DMA : Proposition de règlement sur les marchés numériques pour encadrer les “contrôleurs d’accès”

La réforme européenne du droit du numérique vient de passer une étape décisive avec le vote, par le Parlement européen, de la proposition de Règlement sur les marchés numériques (Digital Markets Act - DMA) le 15 décembre 2021, suivi du vote de la proposition de Règlement sur les services numériques (Digital Services Act - DSA) le 20 janvier 2022. Ces deux projets de règlements passent maintenant par l’étape d’un trilogue entre des représentants du Parlement, du Conseil et de la Commission afin de parvenir à un accord sur le texte définitif, pour une entrée en application probablement début 2023. (1) 

L’objectif de cette réforme d’envergure est double : réguler le fonctionnement des marchés numériques, et plus particulièrement, le rôle des “contrôleurs d’accès” (ou “gatekeepers”), dont les GAFAM, qui jouent un rôle dominant sur le marché, et réguler les services numériques, afin de lutter plus efficacement contre les contenus illicites et la propagation de fausses informations.

Dans ce premier article, nous nous concentrons sur le DMA. Un second article suivra afin de présenter le DSA, ces deux textes ayant des objectifs distincts.

Ce qu’il faut retenir

Le DMA a pour objectif de réguler le comportement des grandes plateformes numériques, y compris les services de plateforme essentiels, qui agissent en tant que “contrôleurs d’accès” (ou “gatekeepers”) sur les marchés, notamment les GAFAM. Les services concernés comprennent, entre autres, les systèmes d’exploitation, les services de publicité en ligne, les moteurs de recherche, les réseaux sociaux, etc.

Les contrôleurs d’accès seront soumis à un certain nombre d’obligations dans le but d’améliorer la concurrence entre les entreprises utilisatrices et les services proposés par les contrôleurs d’accès.

1. Le DMA - ou la régulation des contrôleurs d’accès

Selon l’exposé des motifs du DMA, “Certaines grandes plateformes jouent de plus en plus le rôle de points d’accès ou de contrôleurs d’accès entre les entreprises utilisatrices et les utilisateurs finaux et jouissent d’une position solide et durable, qui résulte souvent de la création d’écosystèmes de conglomérat organisés autour de leurs services de plateforme essentiels, renforçant ainsi les barrières à l’entrée existantes.”

Ainsi, le DMA a pour objectif de réguler le comportement des grandes plateformes numériques qui agissent en tant que “contrôleurs d’accès” sur les marchés. Alors qu’il existerait plus de 10.000 plateformes actives sur le marché communautaire, seul un petit nombre d’entre elles captent la plus grande part de la valeur générée.

Suivant le constat des régulateurs, ces plateformes ont atteint une taille telle qu’elles ont rendu les utilisateurs - consommateurs et entreprises, dépendants de leurs services. Elles se positionnent ainsi en tant que régulateurs privés pouvant imposer des conditions inéquitables aux entreprises et aux consommateurs (services captifs, blocage de l’accès aux données générées en ligne par les entreprises, etc.) et imposent des barrières à l’entrée à leurs concurrents potentiels, qui ne peuvent avoir accès au marché. En effet, les contrôleurs d’accès, par leur taille, ont acquis une situation dominante, présentant des risques pour les droits des utilisateurs, personnes physiques et morales.


2. Plateformes essentielles et contrôleurs d’accès

Le DMA vise plus particulièrement les services de plateforme essentiels (les contrôleurs d’accès ou certains services qu’ils proposent). Ces services de plateforme essentiels recouvrent les services suivants :

• l’intermédiation en ligne (y compris les places de marchés - Amazon, App Store, Google Play), 
• les moteurs de recherche (Google),
• les réseaux sociaux (Facebook, Instagram),  
• les plateformes de partage de vidéos (Youtube),
• les services de communication électronique,
• les systèmes d’exploitation (Android, iOS),  
• les services en nuage (AWS, iCloud, Google Cloud) et  
• les services de publicité en ligne (Google Ads).
  

Pour être qualifié de contrôleur d’accès, un service de plateforme essentiel doit remplir plusieurs critères quantitatifs (art. 3 DMA), à savoir :

1. avoir une forte incidence sur le marché numérique européen, c’est-à-dire réaliser un chiffre d’affaires annuel dans l’UE égal ou supérieur à 6,5 milliards d’euros au cours des trois derniers exercices ou avoir une capitalisation boursière moyenne, ou atteindre une juste valeur marchande équivalente de l’entreprise à laquelle il appartient, au moins égale à 65 milliards d’euros au cours du dernier exercice, et fournir un service de plateforme essentiel dans au moins trois Etats membres ; 
2. exploiter un ou plusieurs points d’accès majeur des entreprises pour développer leurs activités commerciales en ligne, c’est-à-dire avoir enregistré plus de 45 millions d’utilisateurs actifs par mois dans l’UE et plus de 10.000 entreprises utilisatrices actives dans l’UE au cours du dernier exercice ; 
3. occuper une position solide et durable sur le marché, c’est-à-dire avoir atteint le nombre d’utilisateurs finaux mentionné ci-dessus pendant les trois derniers exercices.
   

Les contrôleurs d’accès doivent informer la Commission de leur situation dans un délai de trois mois et fournir les informations visées ci-dessus. Ils pourront également démontrer à la Commission qu’ils ne remplissent pas ces critères. Enfin, la Commission pourra désigner comme contrôleur d’accès des services de plateforme essentiels qui satisfont aux exigences qualitatives ci-dessus, mais qui ne remplissent pas les critères quantitatifs.


3. Les obligations des contrôleurs d’accès

Les contrôleurs d’accès sont soumis à un certain nombre d’obligations, l’objectif étant d’améliorer la concurrence entre les entreprises utilisatrices et les services proposés par les contrôleurs d’accès.

Parmi ces obligations, les contrôleurs d’accès doivent (art. 5 DMA) : 

• s’abstenir de combiner les données personnelles issues de leurs services avec les données issues des autres services proposés par le contrôleur d’accès ou par des services tiers ; 
• permettre aux entreprises utilisatrices de proposer les mêmes produits ou services aux utilisateurs finaux via des services d’intermédiation en ligne tiers à des prix ou des conditions différents de ceux proposés par le contrôleur d’accès ; 
• permettre aux entreprises utilisatrices de promouvoir leurs offres auprès des utilisateurs finaux acquis grâce au service de plateforme essentiel et de conclure des contrats avec ces utilisateurs finaux ; 
• s’interdire d’exiger des entreprises utilisatrices ou des utilisateurs finaux qu’ils s’abonnent ou s’enregistrent à un autre service de plateforme essentiel comme condition d’accès, d’inscription ou d’enregistrement à l’un de ses services de plateforme essentiel ; 
• faire réaliser un audit, par un auditeur indépendant, sur les techniques de profilage des consommateurs utilisées, les résultats devant être soumis à la Commission. (art. 13 DMA)
  

Par ailleurs, le DMA interdira certaines pratiques manifestement déloyales, telles que l’interdiction pour les utilisateurs de désinstaller des logiciels ou applications pré-installés. Le règlement imposera également l’interopérabilité entre les services proposés sur ces plateformes et les logiciels tiers.

La Commission européenne aura la possibilité de mener des enquêtes de marché ciblées pour déterminer s’il y a lieu de faire évoluer la règlementation sur les contrôleurs d’accès pour suivre l’évolution des marchés numériques. (art. 18 et s. DMA)

 

4. Des sanctions dissuasives en cas de violation du DMA

Les sanctions pouvant être imposées par la Commission européenne et par les tribunaux nationaux se veulent être à la hauteur des enjeux et de la taille des acteurs concernés.

En cas de violation des dispositions du DMA, les amendes pourront atteindre 10% du chiffre d’affaires réalisé au cours de l’exercice précédent par le contrôleur d’accès. Pour fixer le montant de l’amende, la Commission prendra en considération la gravité, la durée et la récurrence des manquements aux obligations du DMA. (art. 26 DMA)


A l’issue de l’examen du DMA par le Parlement, les députés européens souhaitent améliorer les critères de qualification des contrôleurs d’accès. Les députés ont par ailleurs inclus les navigateurs web, les assistants virtuels et les télévisions connectées dans le champ du DMA et ajouté la possibilité de désinstaller des applications préinstallées. Les seuils quantitatifs permettant de désigner les contrôleurs d’accès ont également été relevés à 8 milliards d’euros de chiffre d’affaires annuel ou 80 milliards d’euros de capitalisation boursière et le montant des amendes a été doublé, de 10 à 20% du chiffre d’affaires.

Ces dernières années, avec la montée en puissance des GAFAM, les juridictions des Etats membres et la Commission en Europe d’une part, les juridictions américaines d’autre part, ont tenté de lutter contre des pratiques jugées abusives de la part des sociétés, qualifiées de “contrôleurs d’accès” - sans grand succès. L’objectif du DMA est donc, par l’imposition de règles homogènes dans l’Union européenne, de lutter contre les avantages permettant à ces très grands groupes de conserver leur position dominante, favorisant notamment leurs produits et services par rapport aux entreprises utilisatrices ou exploiter les données générées par ces entreprises à leur propre avantage et, in fine permettre plus de compétitivité et de diversité, en donnant accès au marché à des acteurs de taille plus modeste.

                                                      * * * * * * * * * * *

(1) Proposition de règlement du Parlement européen et du Conseil relatif aux marchés contestables et équitables dans le secteur du numérique (Digital Markets Act - DMA)


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Février 2022

Plateformes internet - Trois nouveaux décrets “pour favoriser la transparence des plateformes numériques”

Afin d’améliorer la confiance des utilisateurs dans les services numériques, et pour faire suite à la loi pour une République numérique (1), trois décrets d’application “pour favoriser la transparence des plateformes numériques” ont été publiés le 29 septembre 2017. (2) Ces décrets concernent les moteurs de recherche, les réseaux sociaux et les sites comparateurs ainsi que les places de marchés et les sites d'économie collaborative.

1. A compter du 1er janvier 2018, les plateformes qui valorisent des contenus, des biens ou des services proposés par des tiers, à savoir les moteurs de recherche et les sites comparatifs notamment, devront préciser les critères de référencement et de déréférencement ainsi que les critères de classement de leurs résultats. Ces sites devront également indiquer dans quelle mesure le montant de leur rémunération entre en compte dans l'ordre de présentation des contenus.

Les plateformes de mise en relation doivent prévoir une rubrique accessible depuis toutes les pages du site comprenant notamment les informations relatives à la qualité des personnes pouvant proposer la vente de biens ou de services (consommateurs ou professionnels), la description de la mise en relation entre vendeurs et acheteurs, la commission due à la plateforme pour la mise en relation, etc. A noter que ces informations figurent en principe dans les conditions générales de la plateforme.

Enfin, les plateformes B-to-C doivent mettre à la disposition des vendeurs professionnels un espace permettant la communication des informations prévues aux articles L.221-5 et L.221-6 du code de la consommation (description du bien ou du service proposé, prix, délais de livraison, coordonnées du professionnel, garantie légale, existence d’un droit de rétractation, modalités de règlement des litiges, etc.).

Par ailleurs, les sites web publiant des avis de consommateurs devront préciser si ces avis ont été vérifiés et, le cas échéant, de quelle manière cette vérification a été effectuée. Lorsque les avis sont vérifiés, l’opérateur du site doit veiller à ce que les données personnelles des contributeurs soient traitées conformément aux obligations de la loi Informatique et Libertés.

2. A compter du 1er janvier 2019, les plateformes qui comptabilisent en moyenne plus de 5 millions de visiteurs uniques mensuels devront “appliquer des bonnes pratiques en matière de clarté, de transparence et de loyauté.” Ces règles, qui devront être consultables en ligne, correspondent aux obligations générales d’information précontractuelle définies aux articles L.111-1 et suivants du code de la consommation.


                                                                      * * * * * * * * * * * *

(1) Loi n°2016-1321 du 7 octobre 2016 pour une république numérique

(2) Décret n°2017-1434 du 29 septembre 2017 relatif aux obligations d'information des opérateurs de plateformes numériques ; Décret n°2017-1435 du 29 septembre 2017 relatif à la fixation d'un seuil de connexions à partir duquel les opérateurs de plateformes en ligne élaborent et diffusent des bonnes pratiques pour renforcer la loyauté, la clarté et la transparence des informations transmises aux consommateurs ; Décret n°2017-1436 du 29 septembre 2017 relatif aux obligations d'information relatives aux avis en ligne de consommateurs


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Février 2018

La réforme du droit de la consommation et la nécessaire révision des conditions générales

Le droit applicable aux contrats conclus en ligne (CGV/CGU) a évolué de manière notable ces trois dernières années, avec la promulgation de plusieurs lois ayant notamment réformé le droit de la consommation. Il est donc très important pour les éditeurs de sites de e-commerce de revoir et mettre à jour leurs conditions générales de vente ou d’utilisation. En effet, les conditions générales ne doivent pas rester figées dans le temps, au risque de devenir obsolètes, et de ne plus être applicables en cas de litige. Compte tenu des évolutions législatives et jurisprudentielles, ce document doit être mis à jour régulièrement afin de rester conforme à la loi.

Par ailleurs, même si les CGV n’étaient jusqu’ici pas obligatoires, elles étaient en pratique déjà couramment utilisées à l’égard des consommateurs par la plupart des sites marchands. (1) La loi du 17 mars 2014 relative à la consommation a renforcé les obligations d’information pré-contractuelle et contractuelle du consommateur, rendant les CGV quasiment obligatoires. (2) En outre, les professionnels doivent désormais proposer le recours à un médiateur pour résoudre leurs litiges avec les consommateurs. Enfin, de nouvelles obligations concernant les plateformes d’intermédiation et les comparateurs en ligne ont été introduites dans le code de la consommation, avec l’entrée en vigueur de la la loi pour une République numérique du 7 octobre 2016.


1. La réforme du droit de la consommation

La loi du 17 mars 2014 (“loi Hamon”) a modifié le droit de la consommation, dont certaines règles applicables à la vente en ligne aux consommateurs (B-to-C). Cette réforme, qui transpose la directive européenne “droit des consommateurs” du 25 octobre 2011, est entrée en application par étapes, entre mars 2014 et octobre 2016. (3)

La réforme du droit de la consommation a renforcé l’obligation d’information pré-contractuelle, l’information sur les garanties, le délai de livraison et le transfert des risques. Ces informations, qui doivent être communiquées au consommateur de manière lisible et compréhensible (art. L.111-1 et s. et art. L.221-5 et s.du Code de la consommation), comprennent entre autres :
    - les coordonnées du vendeur professionnel ;
    - la description des caractéristiques essentielles du bien ou du service proposé ainsi que son prix ;
    - si le contrat n’est pas exécuté immédiatement, la date ou le délai de livraison (à défaut de fixation de délai, le professionnel doit s’exécuter au plus tard 30 jours après la conclusion du contrat) ;
    - les informations relatives à l’existence et aux modalités de mise en œuvre des garanties et autres conditions contractuelles. A noter que la garantie de conformité est passée de six mois à deux ans, sauf pour les biens d’occasion (art. L.217-7 code de la consommation) ;
     - l’indication des frais de livraison et autres frais qui viendraient s’ajouter pour le traitement de la commande ;
    - l’existence (ou non) d’un droit de rétractation (conditions et modalités d’exercice du droit de rétractation, frais de renvoi du bien, formulaire type de rétractation), le délai de rétractation étant passé à 14 jours à compter de la réception du bien par le consommateur ou de la conclusion du contrat de service. A défaut d’information relative au droit de rétractation, le délai pour retourner le bien au vendeur est étendu à douze mois (art. L.221-18 et s. Code de la consommation).

Enfin, le risque de perte ou de détérioration du bien est désormais transféré au consommateur au moment de la prise de possession du bien par celui-ci, sauf si le consommateur a choisi un transporteur autre que celui proposé par le professionnel. Dans ce cas, le risque est transféré au consommateur au moment de la remise du bien au transporteur.

En cas de litige, le vendeur professionnel devra établir la preuve de la communication de ces informations au consommateur.


2. Le règlement extra-judiciaire des litiges de consommation

L’ordonnance du 20 août 2015 relative au règlement extra-judiciaire des litiges de consommation est entrée en application début janvier 2016. Ces nouvelles dispositions, figurant dans le code de la consommation, consacrent la faculté pour les consommateurs, de recourir à un médiateur de la consommation pour régler un litige avec un professionnel. L’objectif de ce mode alternatif de règlement des litiges est d’éviter les actions judiciaires, en particulier lorsque le litige porte sur un faible montant. (4)

Ces dispositions s’appliquent non seulement au commerce traditionnel en magasin, mais également au commerce en ligne, pour la vente de produits ou de services entre professionnels et consommateurs (B-to-C). A ce titre, le vendeur professionnel en ligne a l’obligation de proposer aux consommateurs le recours effectif à un dispositif de médiation, en les informant sur la mise à disposition sur son site internet, d’un lien électronique vers une plateforme de Règlement des Litiges en Ligne (“RLL”). (5) Ce dispositif peut être mis en place par l’entreprise ou s’appliquer à l’ensemble des entreprises d’un domaine d’activité. Il est à noter que le professionnel est dans l’obligation de proposer la médiation, mais il ne peut pas l’imposer. Le consommateur reste libre de porter le litige directement devant les tribunaux.

Tout manquement à ces obligations est passible d’une amende administrative de 15.000 euros pour les personnes morales.

Certaines conditions doivent néanmoins être remplies pour pouvoir recourir à une médiation. (6) Pour que le médiateur examine la demande du consommateur :
    - ce dernier doit avoir tenté, au préalable, par une réclamation écrite, selon les modalités prévues, ou selon le contrat, de régler le conflit directement avec le vendeur professionnel ;
    - la demande du consommateur ne doit pas être manifestement abusive ou infondée ;
    - le litige ne doit pas être examiné, ou en cours d’examen, par un autre médiateur ou par un tribunal ;
    - le consommateur doit avoir envoyé sa demande dans un délai d’un an à compter de sa réclamation écrite auprès du professionnel ; enfin
    - le litige doit entrer dans le champ de compétence du médiateur.

S’il est fait appel à un médiateur, celui-ci doit faire connaître aux parties sa solution par courrier simple ou électronique. Il doit rappeler aux parties qu’elles sont libres d’accepter, ou de refuser, sa solution et qu’elles peuvent exercer un recours judiciaire. La réponse du médiateur doit intervenir dans un délai de 90 jours à compter de la notification, délai qui peut être prolongé. Sa proposition de solution doit contenir un délai d’acceptation ou de refus et doit exposer les effets en cas d’acceptation de la solution.

La médiation des litiges de consommation est soumise à la confidentialité.


3. Les nouvelles obligations d’information des plateformes d’intermédiation et des comparateurs en ligne

La loi pour une République numérique du 7 octobre 2016 a également apporté des modifications pour certaines catégories d’activités en ligne entre professionnels et consommateurs. (7) Ces obligations de loyauté et de transparence concernent les opérateurs de plateformes en ligne, à savoir les plateformes de mise en relation en vue de la vente d’un bien ou de partage d’un service et les comparateurs en ligne (art. L.111-7 et s. Code de la consommation).

Ainsi, le code de la consommation définit désormais les “opérateurs de plateformes en ligne” comme les personnes physiques ou morales proposant, à titre professionnel, de manière rémunérée ou non :
    i) un service de classement ou de référencement, au moyen d'algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers (sites comparateurs par exemple) ; ou
    ii) un service de mise en relation de plusieurs parties en vue de la vente d'un bien, de la fourniture d'un service ou de l'échange ou du partage d'un contenu, d'un bien ou d'un service (plateforme de vente de biens, ou de partage de services par exemple).

Les éditeurs de plateformes d’intermédiation en ligne doivent délivrer à leurs utilisateurs une information “loyale, claire et transparente”, comportant les conditions générales d'utilisation du service d'intermédiation qu'il propose, la qualité de l'annonceur et les droits et obligations des parties en matière civile et fiscale, lorsque des consommateurs sont mis en relation avec des professionnels ou des non-professionnels. A ce titre, les plateformes d’intermédiation doivent mettre à la disposition des vendeurs professionnels un espace leur permettant de communiquer aux consommateurs les informations précontractuelles prévues à l’article L.221-5 du code de la consommation (coordonnées du vendeur, caractéristiques des biens et services proposés, etc.).

Les éditeurs de sites de comparaison en ligne (comparaison des prix et des caractéristiques de biens et de services proposés par des professionnels) doivent communiquer aux consommateurs les informations portant sur les éléments de la comparaison et identifier le contenu publicitaire. Le site de comparaison doit comprendre une rubrique sur le fonctionnement du service, accessible sur toutes les pages du site, et comportant un certain nombre d’informations, telles que : les modalités de référencement, de classement et de déréférencement des contenus (biens ou services) mis en ligne, l’existence d’un lien contractuel, capitalistique ou d’une rémunération susceptible(s) d’influencer le classement ou la présentation des contenus référencés.

Enfin, l’un des objectifs de la loi pour une République numérique est la lutte contre les faux avis d’utilisateurs. A cette fin, de nouvelles dispositions sont désormais prévues dans le code de la consommation imposant aux sites fournissant, à titre principal ou accessoire, un service de publication d’avis en ligne de consommateurs (comprenant la collecte, la modération, ou la diffusion des avis) de délivrer une information loyale, claire et transparente sur les modalités de publication et de traitement de ces avis (art. L.111-7-2 du Code de la consommation). Le site doit informer les utilisateurs si les avis font l’objet d’un contrôle ou d’une modération avant leur publication, ainsi que la date des avis.


    Comme on peut le constater, ces nouveaux textes renforcent les obligations d’information du consommateur, celle-ci devant être loyale, claire et transparente. Ainsi, les sites de e-commerce en activité, sites de vente de biens ou de services, mais également les sites d’intermédiation en ligne et de comparaison doivent mettre à jour leurs conditions d’utilisation ainsi que leur site afin de rester en conformité avec le droit en vigueur.

Il convient de mentionner, par ailleurs, la réforme du droit des contrats, entrée en vigueur le 1er octobre 2016. Le nouveau droit des contrats met notamment l’accent sur la bonne foi pendant la période précontractuelle, mais également pendant l’exécution du contrat. Cette obligation se retrouve dans les notions de loyauté et de clarté mentionnées plus haut. En matière de commerce en ligne, outre la conformité des conditions d’utilisation au droit, il conviendra de s’assurer que celles-ci sont rédigées en termes clairs et compréhensibles pour le consommateur.

Le non-respect de ces obligations de fond (conformité légale) et/ou de forme (CGV claires et compréhensibles) pourrait être considéré par les tribunaux comme une pratique commerciale déloyale ou trompeuse et exposer les contrevenants à des sanctions pénales (amendes) importantes.


                                                               * * * * * * * * * * * *

(1) Dans la suite de cet article, nous n’emploierons que le terme “CGV” pour désigner les contrats conclus en ligne, qu’il s’agisse des conditions générales de vente pour les sites de vente de biens  (CGV) ou conditions générales d’utilisation pour les sites proposant des services (CGU).

(2) Loi n°2014-344 du 17 mars 2014 relative à la consommation (“loi Hamon”) ; Ordonnance n°2016-301 du 14 mars 2016 relative à la partie législative du code de la consommation et Décret n° 2016-884 du 29 juin 2016 relatif à la partie réglementaire du code de la consommation

(3) Directive 2011/83/UE du Parlement européen et du Conseil du 25 octobre 2011 relative aux droits des consommateurs

(4) Ordonnance n°2015-1033 du 20 août 2015 relative au règlement extra-judiciaires des litiges de consommation, codifiée aux articles L.611-1 et suivants du Code de la consommation

(5) Voir article 14 du règlement (UE) n°524/2013 du Parlement européen et du Conseil du 21 mai 2013 relatif au règlement en ligne des litiges de consommation

(6) Article L.612-2 du Code de la consommation

(7) Loi n°2016-1321 du 7 octobre 2016 pour un République numérique et article L.111-7 du Code de la consommation


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2017

Nouvelles obligations d’information des utilisateurs par les plateformes de mise en relation par voie électronique

La loi de finances pour 2016 instaure de nouvelles obligations déclaratives à la charge des plateformes de vente en ligne, depuis le 1er juillet 2016. Ces obligations s’appliquent aux sites de mise en relation entre acheteurs et vendeurs, à savoir les sites permettant la vente d’un bien, la fourniture d’un service ou l’échange ou partage d’un bien ou d’un service, tels que Leboncoin, Airbnb, Uber ou Blablacar par exemple. 

Bien que les revenus issus de ces activités soient en principe soumis à l’impôt sur le revenu, les vendeurs déclarent très rarement.

Ces nouvelles obligations se déclinent de la manière suivante :

1 - Tout d’abord, les plateformes doivent d’une part fournir une information “loyale, claire et transparente” concernant les obligations fiscales et sociales qui incombent aux utilisateurs lors de chaque transaction réalisée par l’intermédiaire du site. Ces informations sont par ailleurs disponibles sur le site de l’administration fiscale. Un lien vers les sites des administrations devra figurer sur la plateforme afin de permettre aux vendeurs de se conformer à leurs obligations.

2 - Chaque année, au mois de janvier, les plateformes devront adresser aux vendeurs un document récapitulant le montant brut des transactions qu’ils ont perçu, par leur intermédiaire, au cours de l’année précédente, dont elles ont connaissance.

3 - Enfin, avant le 15 mars de chaque année (la première fois, le 15 mars 2017), les plateformes devront faire certifier par un tiers indépendant le respect des obligations susvisées (information des utilisateurs et envoi des documents récapitulatifs) et communiquer ce certificat par voie électronique à l’administration fiscale. L’absence de communication de ce certificat est passible d’une amende de 10.000 euros, sauf si l’exploitant de la plateforme envoie le certificat dans un délai de 30 jours.

Ces obligations s’appliquent d’une part aux entreprises, quel que soit le lieu de leur établissement, qui exploitent un site à destination du marché français, d’autre part aux utilisateurs résidant en France ou qui réalisent des ventes ou des prestations de services en France.

                                                                   * * * * * * * * * * * *

(1) CGI, articles 242 bis et 1731 ter. ; LPF, articles L.102 AD et L.80 P

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2016

E-commerce : les nouvelles obligations légales nécessitant une mise en conformité des sites web

La loi relative à la consommation (dite loi “Hamon”), adoptée le 17 mars 2014, transpose notamment la Directive européenne de 2011 relative aux droits des consommateurs. Cette nouvelle loi comprend des dispositions de natures très diverses, portant sur les actions de groupe, l’information et le renforcement des droits contractuels des consommateurs, le crédit à la consommation et l'assurance, les indications géographiques et la protection du nom des collectivités territoriales, la vente en ligne de lunettes et lentilles de vue, le renforcement des moyens de contrôle de la DGCCRF, et des dispositions diverses telles les règles applicables aux VTC. (1)

Parmi ces nombreuses dispositions, nous nous intéressons à celles modifiant les règles applicables aux contrats de vente en ligne B-to-C et aux dispositions renforçant les pouvoirs de la CNIL en matière de respect à la loi Informatique et Libertés.

Ces nouvelles dispositions impliquent, pour la plupart d’entre elles, que les exploitants de sites de e-commerce (vente de biens et de prestations de services) mettent à jour leurs conditions générales de vente ou d’utilisation (CGV/CGU), ainsi que certaines catégories d’informations mentionnées sur leurs sites internet, et adaptent, le cas échéant, leur logistique et organisation interne (conditions de livraison et de retour de marchandise).

Cette mise en conformité doit intervenir rapidement, puisque la plupart des nouvelles dispositions entrent en vigueur le 13 juin 2014. Elles s’appliquent donc à tous les contrats conclus à compter du 14 juin.


1. Une obligation d’information renforcée vis-à-vis des consommateurs

La nouvelle réglementation vient renforcer l’obligation d’information et de transparence de la part des vendeurs professionnels. Cette information, qui doit être claire et compréhensible pour le consommateur, doit être fournie dès la période pré-contractuelle.

    1.1 L’information pré-contractuelle
Avant la conclusion du contrat, la réglementation exige que l’internaute soit informé sur plusieurs points. Ces informations sont les mêmes pour les vendeurs de biens et les prestataires de services, à savoir notamment : l’identité du e-commerçant, les caractéristiques essentielles des biens ou des services proposés, le prix ou son mode de calcul, les conditions de livraison, l’existence de garanties et leurs conditions, l’existence ou non d’un droit de rétractation et ses modalités d’exercice, l’existence de codes de bonne conduite, etc.

L’absence de certaines de ces mentions peut être lourde de conséquences pour le vendeur (tel le rallongement du délai de rétractation à 12 mois).

    1.2 L’information pendant la passation de la commande en ligne
Le professionnel doit accompagner et informer l’internaute tout au long du processus de passation de commande.

A ce titre, et même si cela peut paraître évident, le professionnel doit indiquer de manière très claire que la commande entraîne une obligation de paiement et que la sélection d’options supplémentaires - par le biais d’une case à cocher, par exemple - occasionne des frais additionnels.

    1.3 L’information après la conclusion du contrat
Enfin, l’obligation d’information se poursuit après la conclusion du contrat. Le professionnel doit adresser à l’internaute une confirmation de sa commande et joindre à cette confirmation une copie des CGV ou CGU ainsi qu’un formulaire de rétractation. Ces documents doivent être communiqués sur un support durable, par exemple en pièces jointes à un email de confirmation de commande, sous format .pdf. (2)

En cas de litige, la charge de la preuve du respect de cette obligation d’information incombe au professionnel.


2. Les nouvelles conditions d’exécution des contrats B-to-C

La nouvelle réglementation modifie certaines conditions d’exécution des contrats conclus en ligne telles que les conditions de livraison, et les conditions relatives au droit de rétractation.

    2.1 La livraison, le transfert des risques et les garanties
Les délais d’exécution du contrat : le professionnel doit livrer le bien ou fournir le service à la date ou dans le délai indiqué au consommateur. A défaut de délai stipulé, la livraison ou l’exécution de la prestation doit intervenir au plus tard 30 jours après la conclusion du contrat.

Les risques supportés par le professionnel : lorsque le vendeur se chargera de l’acheminement du bien vendu, le risque de perte ou de détérioration de ce bien ne sera transféré au consommateur qu’au moment où ce dernier en prendra physiquement possession. Le transfert des risques ne s’opère donc plus, comme précédemment, au moment de la conclusion du contrat de vente.

Toutefois, si le consommateur confie le transport à un prestataire autre que le transporteur proposé par le professionnel, le consommateur supporte alors le risque de perte du bien dès le transport.

Les garanties dues en cas de vente : le consommateur qui achète un bien bénéficie de trois types de garanties : la garantie légale de conformité, la garantie légale des vices cachés et la garantie commerciale, cette dernière garantie n’étant pas obligatoire. L’objet de ces garanties est d’obtenir,  dans certaines conditions, la réparation ou le remplacement du bien défectueux.

La nouvelle règlementation oblige le professionnel à informer le consommateur quant à ces garanties et notamment à préciser dans les CGV l’existence, les conditions de mise en oeuvre et le contenu des garanties légales et, le cas échéant, d’une garantie commerciale et d’un service après-vente. En outre, le Code de la consommation modifié dispose que la garantie commerciale doit faire l’objet d’un écrit, comportant certaines mentions obligatoires.

    2.2 La responsabilité de plein droit
Le professionnel est responsable de plein droit à l'égard du consommateur de la bonne exécution des obligations résultant du contrat conclu à distance, que ces obligations soient exécutées par le professionnel qui a conclu ce contrat ou par d'autres prestataires de services, sans préjudice de son droit de recours contre ceux-ci.

Le vendeur peut s'exonérer de tout ou partie de sa responsabilité vis-à-vis de l’acheteur en rapportant la preuve que l'inexécution ou la mauvaise exécution du contrat est imputable soit au consommateur, soit au fait, imprévisible et insurmontable, d'un tiers au contrat, soit à un cas de force majeure.

Ce régime de responsabilité n’est pas nouveau puisqu’il existe depuis l’entrée en vigueur de la loi pour la confiance dans l’économie numérique de 2004. Il est confirmé dans la loi de mars 2014.

    2.3 Le droit de rétractation
Le délai de rétractation : le professionnel a désormais l’obligation d’accorder au consommateur un délai 14 jours, et non plus 7 jours, pour faire jouer son droit de rétractation. Ce délai commence à courir, soit à compter de la conclusion du contrat - pour les prestations de services, soit à compter de la réception du bien par le consommateur ou un tiers désigné (hors transporteur) - pour la vente.

Ce droit doit pouvoir être exercé au moyen d’un formulaire de rétractation mis à disposition du consommateur par le commerçant, ou toute autre déclaration, dénuée d’ambiguïté, exprimant la volonté de se rétracter.

Le droit de rétractation ne s’applique pas à tous les achats sur internet. Certains contrats, par leur objet, n’ouvrent pas droit à la faculté de rétractation ; les cas d’exclusion du droit de rétractation étant plus nombreux qu’auparavant.

La restitution du bien : le consommateur doit restituer le bien au plus tard, dans les 14 jours suivant la communication de sa décision de se rétracter. La réglementation antérieure ne fixait pas de délai de restitution. 

Le délai de remboursement : en outre, le délai de remboursement par le professionnel au consommateur est réduit de 30 à 14 jours à compter de la date de rétractation, soit potentiellement avant même d'avoir reçu les biens en retour. Le vendeur risque donc d’être dans des situations où il aura remboursé le bien alors que celui-ci n’a pas été renvoyé, ou que le bien a été renvoyé mais dans un état ne permettant pas de le remettre en vente.


3. Le renforcement des contrôles de conformité à la loi Informatique et Libertés

Les sites de commerce électronique collectent des informations relatives à leurs clients (nom, prénom, adresse email, etc.) au moment de l’inscription sur le site ou de la passation de la commande. La loi Informatique et Libertés de 1978 encadre le traitement de ces données à caractère personnel. (3) Elle détaille en outre les missions et pouvoirs dévolus à la CNIL. La loi Hamon vient d’étendre ses pouvoirs de contrôle.

    3.1 Rappel des obligations issues de la loi Informatique et Libertés
Un traitement de données à caractère personnel comprend tous types d'opérations, quel que soit le procédé utilisé, et notamment, le fait de collecter, enregistrer, conserver, modifier, diffuser ou détruire des données personnelles. La collecte et le traitement des données personnelles doivent respecter les principes de loyauté et de proportionnalité définis par la loi Informatique et Libertés. 

De nombreuses obligations pèsent sur le responsable de ce traitement, telles que : (i) déclarer à la CNIL tout traitement ou fichier automatisé de données (déclarations ou demandes d'autorisation et d'avis selon les données concernées et les traitements envisagés), préalablement à sa mise en oeuvre, (ii) respecter la finalité du traitement, (iii) conserver les données pendant une durée raisonnable, (iv) assurer l’intégrité des données en adoptant des mesures de sécurité et (v) permettre aux personnes concernées par le traitement de leurs données, d’exercer leurs droits (droits d'accès, de contestation, de rectification et d’opposition).

    3.2 Les pouvoirs de contrôle de conformité étendus de la CNIL
Depuis 2004, les agents de la CNIL sont habilités à effectuer des contrôles de conformité sur place, c’est-à-dire dans les locaux des entreprises à partir desquels des traitements de données personnelles sont mis en oeuvre. Ces contrôles sont généralement réalisés à la suite de plaintes d’utilisateurs et de manière inopinée. Les agents de la CNIL peuvent demander communication de tout document, recueillir tout renseignement utile et accéder aux programmes informatiques et aux données afin de vérifier la conformité à la loi ou encore se faire assister par des experts.

La loi Hamon modifie la loi Informatique et Libertés en prévoyant désormais la possibilité pour la CNIL d’effectuer des contrôles de conformité à distance. Les agents de la CNIL seront habilités à : (i) procéder à toute constatation utile à partir d’un service de communication au public en ligne, (ii) consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données, le temps nécessaire aux constatations, et (iii) retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.

A la suite des investigations, un procès-verbal de contrôle sera dressé de façon unilatérale et notifié a posteriori à l’entreprise concernée, simplement pour observation. (4)


4. Les sanctions encourues en cas de manquement à la loi Hamon

Les manquements aux dispositions de la loi du 17 mars 2014 relatives notamment à l’obligation d’information des consommateurs, le droit de rétractation et la protection des données personnelles sont assortis de sanctions de nature pénale.

L’information des internautes : tout manquement à l’obligation d’information sera passible d’une amende administrative d’un montant maximal de 3.000€ pour une personne physique et 15.000€ pour une personne morale.

L’obligation de livraison : à défaut de livraison dans les délais, le consommateur peut demander la résolution du contrat de vente. Dans ce cas, le professionnel est tenu de rembourser le consommateur de la totalité des sommes versées, au plus tard dans les 14 jours suivant la date à laquelle le contrat a été dénoncé. La somme versée par le consommateur est de plein droit majorée de 10% si le remboursement intervient plus de 30 jours après ce délai, de 20% jusqu'à soixante jours et de 50% au-delà.

Le droit de rétractation : en cas d’absence d’information précontractuelle sur l’existence du droit de rétractation, le délai de rétractation de 14 jours passe à 12 mois.

Par ailleurs, le professionnel qui ne rembourse pas au consommateur "rétracté" la totalité des sommes versées dans le délai légal de 14 jours se voit - sauf exception - appliquer de plein droit des pénalités croissantes avec le retard de remboursement (taux d’intérêt légal et au-delà de 10 jours de retard, pénalités calculées en pourcentage du prix de vente du bien).

Enfin, les manquements aux conditions d’exercice du droit de rétractation, ainsi que ses effets, sont passibles d’une amende administrative s’élevant à 15.000€ pour une personne physique et 75.000€ pour une personne morale.

La protection des données personnelles : la nouvelle règlementation n’a pas modifié les sanctions en cas de non-respect de la loi Informatique et Libertés.

Pour rappel, à l’issue du contrôle et lorsque des manquements à loi Informatique et Libertés sont relevés, la CNIL peut prononcer un avertissement ou mettre le responsable du traitement en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe. Si le responsable du traitement ne se conforme pas à la mise en demeure, la CNIL peut prononcer une sanction pécuniaire d’un montant maximal de 150.000€ (allant jusqu’à 300.000€ en cas de récidive), une injonction de cesser le traitement ou un retrait de l’autorisation éventuellement accordée par la CNIL.

La CNIL peut également rendre publiques les sanctions qu’elle prononce, en procédant à leur publication sur son site ou en ordonnant leur insertion dans la presse, aux frais de l’organisme sanctionné. Cette dernière sanction est, de toute évidence, susceptible de nuire à l’image de marque de l’entreprise concernée.

Indépendamment des sanctions administratives, l'entreprise qui n'a pas mis en place des mesures de sécurité suffisantes pour protéger les données personnelles est passible de sanctions pénales pouvant atteindre 300.000€ d’amende et cinq ans d'emprisonnement.


   Dans ce contexte, il est recommandé aux exploitants de sites de commerce électronique qui n’auraient pas encore fait cette mise à jour, de faire réaliser, dans les meilleurs délais, un audit de conformité juridique de leur site. Il convient également de porter une attention particulière au processus de passation de commande, à la procédure d’acceptation des CGV/CGU et à la communication effective des documents contractuels à l’acheteur. Enfin, il appartient aux responsables de traitement de données de s’assurer de la conformité des traitements réalisés et si nécessaire, de faire procéder à des audits de conformité à la loi Informatique et Libertés.

                                                      * * * * * * * * * *

(1) Loi n°2014-344 du 17 mars 2014 relative à la consommation et Directive européenne n° 2011/83 du 25 octobre 2011 relative aux droits des consommateurs.

(2) Au sujet de la validité et de l’opposabilité des CGV, voir notre article http://dwavocat.blogspot.fr/2012/10/e-commerce-les-conditions-de-validite.html

(3) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

(4) Au sujet des nouveaux pouvoirs d’enquête de la CNIL, voir notre article http://dwavocat.blogspot.fr/2014/03/donnees-personnelles-vers-un.html



Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com

Juin 2014

Une nouvelle norme AFNOR pour assainir le domaine des avis de consommateurs sur internet

On connaît l’importance de l’influence des avis de consommateurs sur la décision d’achat en ligne, que ce soit pour les achats de biens ou de prestations (choix d’un hôtel ou d’un restaurant) et donc sur l’e-réputation des produits et commerces référencés.
Selon une enquête réalisée par le cabinet Easypanel en mars 2013, citée par la société Testntrust, 82% des e-consommateurs consulteraient “toujours” ou “parfois” les avis pour les guider dans leur décision d’achat. (1) Par ailleurs, selon LaFourchette.com, site comparateur de restaurants, l’augmentation d’un point de la note moyenne d’un restaurant se traduirait par une augmentation de 6% du nombre de réservations mensuelles. (2) A contrario, la baisse de cette note entraîne une baisse du chiffre d’affaires du commerce en cause.
Malheureusement nombre de sites affichent de faux avis de consommateurs : personnes n’ayant jamais acheté le produit ou séjourné à l’hôtel en référence, personnes rédigeant des avis contre rémunération, ou sites achetant de faux avis à des agences “spécialisées”.

Afin d’assainir ce domaine, une nouvelle norme “Avis en ligne des consommateurs” vient d’être publiée par l’AFNOR le 4 juillet. Cette norme, qui concerne tous types de produits et services et tous types de sites (sites comparateurs ou sites de e-commerce), a pour objet de maintenir la confiance des consommateurs sur ces avis en prônant plus de transparence. (3)


1. Les trois étapes du traitement des avis de consommateurs sur internet

La norme traite les avis en trois étapes, à savoir : l’étape de la collecte de l’avis, sa modération par le site web et enfin la restitution ou publication de l’avis sur le site.

- La collecte de l’avis
La collecte de l’avis du consommateur doit être conforme aux principaux points suivants : l’auteur s’engage à avoir effectivement acheté le produit ou utilisé le service et cette expérience doit pouvoir être vérifiée ; l’auteur de l’avis doit être identifié (l’avis peut cependant être anonymisé sur le site) et pouvoir être contacté (adresse email et téléphone par exemple) ; le site a interdiction d’acheter des avis.

- La modération par le site
Les avis doivent être modérés a priori, de manière automatique ou humaine. Le modérateur doit maîtriser la langue dans laquelle l’avis a été rédigé. Les règles de modération des avis sont décrites aux conditions de vente (CGV) ou d’utilisation (CGU) du site. Le délai de modération doit être rapide et les motifs de rejet d’un avis doivent être indiqués. Une fois en ligne, l’avis ne peut être modifié, mais il peut être supprimé à la demande de son auteur.

- La restitution (publication) de l’avis
Les avis doivent être publiés par ordre chronologique (plus récent au plus ancien), d’autres types de tri étant possibles. Les méthodes de calcul des notes globales et les délais de prise en compte des notes doivent être claires. Enfin, le délai de restitution (publication) doit être rapide et affiché.


2. Les conditions de mise en conformité par les sites de e-commerce

Pour rappel, la norme n’est pas une loi mais un texte consensuel élaboré par un panel de professionnels et qui reflète l’état de l’art. Les normes sont en principe revues tous les cinq ans environ, et sont donc évolutives.

La norme sur les avis en ligne des consommateurs n’est pas d’application obligatoire. Les professionnels qui le souhaitent peuvent soit décider de l’appliquer volontairement, soit obtenir une certification.

- L’auto-déclaration
Les sites comparateurs et de e-commerce collectant des avis de consommateurs peuvent décider de se mettre en conformité avec la norme NF Z74-501 par une auto-déclaration de conformité. Cependant, l’auto-déclaration de conformité à la norme engage la responsabilité de l’exploitant du site en cas de contrôle de la DGCCRF par exemple.

L’utilisation abusive d’une norme AFNOR est sanctionnée par le code de la consommation au titre des pratiques commerciales trompeuses. (4)

- La certification
La certification a pour objet de faire contrôler et attester par un organisme certificateur tiers la conformité des pratiques à la norme en référence.


Les critères figurant dans cette norme sur les avis en ligne de consommateurs peuvent paraître soit relever du bon sens (interdiction d’acheter de faux avis) soit poser des règles trop contraignantes (règles de modération). Cependant, la norme a le mérite de créer un référentiel de confiance pour assainir le domaine des avis, qui, comme nous l’avons rappelé plus haut, est un élément clé dans la décision d’achat des consommateurs. La question sera de voir comment cette norme sera accueillie par les sites comparateurs, et si elle sera par la suite étendue à l’international.

Enfin, bien que cette norme soit générique en ce qu’elle a vocation à s’appliquer à tous types de biens et de services et à tous types de sites recueillant des avis de consommateurs, elle ne prend a priori pas en compte les avis publiés sur les réseaux sociaux (Facebook, Twitter), qui restent à prendre avec “modération”, ni les “likes” (j’aime) et autres “followers”, mais il s’agit là d’un autre sujet.

                                                        * * * * * * * * * *

(1) Communiqué de la société Testntrust du 17 avril 2013

(2) Cité dans l’article des Echos “Le e-commerce chasse les faux avis de consommateurs”, publié le 2 juillet 2013

(3) Norme AFNOR Avis en ligne des consommateurs NF Z74-501

(4) Voir art. L.121-1 et s. et art. L.213.1 et s. du code de la consommation. Les peines maximum encourues s’élèvent à 37 500€ pour l’exploitant du site personne physique et 187 500€ pour les personnes morales.


Bénédicte DELEPORTE – Avocat

Deleporte Wentz Avocat
www.dwavocat.com
Juillet 2013

E-pharmacie : les conditions de vente de médicaments sur internet enfin précisées

Les médicaments sont des produits particuliers et leur vente sur internet, bien que désormais autorisée avec l’ordonnance et le décret d’application de décembre 2012, reste très encadrée. (1)

Conformément à l’article L.5121-5 du Code de la santé publique, le gouvernement vient de publier l’arrêté relatif aux bonnes pratiques de dispensation des médicaments par voie électronique. Cet arrêté a pour objet de préciser les conditions et recommandations relatives aux sites de e-pharmacie (conception du site et exploitation) et à la vente des médicaments en ligne (présentation des produits et conditions de vente). Il doit entrer en vigueur le 12 juillet 2013. (2)

La mise en place de la réglementation relative à la vente de médicaments en ligne s’élabore cependant dans la douleur. En effet, à la suite de la publication des textes de décembre 2012, le Conseil d’Etat a rendu une ordonnance en référé le 14 février 2013 relative aux catégories de médicaments pouvant être vendus en ligne. La réglementation française se voulant plus restrictive que la directive européenne, le Conseil d’Etat a ordonné la suspension du nouvel article L.5125-4 du Code de la santé publique qui interdisait la vente en ligne non seulement aux médicaments soumis à prescription obligatoire, mais également à une partie des médicaments en vente libre. (3) Or, la vente en ligne devait être autorisée pour tous les médicaments vendus sans ordonnance. Par ailleurs, le premier projet d’arrêté, datant de février, avait fait l’objet d’un avis défavorable de la part de l’Autorité de la concurrence. En effet, ce projet comportait plusieurs mesures restrictives de concurrence, jugées non justifiées par des considérations de santé publique (notamment interdiction de vente, sur le même site, de médicaments et de produits de para-pharmacie, ou restrictions en matière de liberté des prix). (4)

L’arrêté du 20 juin 2013 a levé ces restrictions. Nous rappelons ci-après les principales dispositions de cet arrêté, à savoir les conditions spécifiques relatives à la conception et à l’exploitation d’un site de e-pharmacie, à l’exercice de l’activité de e-pharmacien et à la vente de médicaments en ligne.


1. La conception et l’exploitation du site de e-pharmacie

Afin de respecter les particularités liées à la profession de pharmacien (profession réglementée), et à la vente de médicaments (produits particuliers), le site de e-pharmacie doit respecter certaines obligations de nature technique et interdictions, en sus des règles généralement applicables à la création et à l’exploitation d’un site de commerce électronique.

- L’exploitation du site de e-pharmacie : l’ordonnance de décembre 2012 réserve l’exploitation des sites de e-pharmacie aux pharmaciens titulaires d’une officine. La création du site est soumise au dépôt d’une demande d’autorisation auprès du directeur général de l’Agence Régionale de Santé (DGARS) ainsi que l’information du Conseil de l’Ordre des pharmaciens. (5)

L’arrêté de juin 2013 fixe des règles supplémentaires devant être respectées par le pharmacien souhaitant se lancer dans le commerce de médicaments en ligne.

L’exploitation d’un site de e-pharmacie est soumise à certaines interdictions justifiées par le souci de préserver l’indépendance professionnelle du pharmacien, le secret professionnel,  la communication d’informations neutres et objectives, conformément aux règles de déontologie décrites dans le Code de la santé publique.

Il est interdit au e-pharmacien :
    - de faire financer la création et l'exploitation du site par une entreprise produisant ou commercialisant des produits de santé (laboratoire pharmaceutique),
    - de sous-traiter à un tiers l'activité de vente par internet, à l'exception de la conception et de la maintenance techniques du site,
    - de recourir à des techniques de référencement payant via des moteurs de recherche ou des comparateurs de prix.

Enfin, sont interdits les liens hypertextes vers les sites des entreprises pharmaceutiques et les forums de discussion.

- Le choix du nom de domaine : le e-pharmacien n’a pas une liberté totale de choix du nom de domaine pour sa pharmacie en ligne. L’arrêté “recommande” que l'adresse du site internet comprenne le nom du pharmacien, éventuellement accolé à celui de l'officine. Ainsi, le nom de domaine ne doit pas être fantaisiste, ni tromper le patient sur le contenu du site, ou avoir un objectif promotionnel.

En outre, le nom de domaine doit évidemment respecter la réglementation en vigueur et notamment les dispositions du Code des postes et communications électroniques.

- Les mentions légales obligatoires : le site de e-pharmacie doit comporter des informations relatives à l’identification de l’exploitant du site conformément aux règles énoncées dans la loi pour la confiance dans l’économie numérique (LCEN du 21 juin 2004), complétées par les informations spécifiques telles que le numéro Répertoire Partagé des Professionnels de Santé du pharmacien, le numéro de licence de la pharmacie. Le site doit également intégrer des liens hypertextes vers les sites internet de l'Ordre national des pharmaciens et du Ministère chargé de la santé (qui tiennent à jour une liste des sites internet de pharmacies autorisés) et celui de l'Agence nationale de sécurité du médicament et des produits de santé.

- Le contenu du site de e-pharmacie : Le site n’est pas limité à la seule vente de médicaments. Le e-pharmacien pourra ainsi proposer à la vente en ligne toutes les autres gammes de produits vendues dans son officine, notamment les produits de para-pharmacie, de soin ou vétérinaires par exemple.

Le site devra cependant comporter un onglet spécifique à la vente de médicaments, afin de distinguer clairement les médicaments des autres produits vendus par le e-pharmacien.

Un espace privé pour chaque client-patient doit pouvoir être créé. Ce compte personnel du client récapitulera l’intégralité des commandes et des échanges avec le pharmacien.


2. L’exercice de l'activité d’e-pharmacien

L’activité de e-pharmacien s’exerce dans le prolongement de celle de pharmacien. Ainsi, comme mentionné ci-dessus, le pharmacien qui exploite un site de vente en ligne reste soumis à la réglementation prévue au Code de la santé publique, qui vient s’ajouter à celle relative au commerce électronique.

L’arrêté de juin 2013 prévoit plusieurs obligations spécifiques à la charge du e-pharmacien.

- La prolongation de l’obligation d’information et de conseil du patient, en ligne : la vente de médicaments en ligne est soumise à la possibilité d’établir un échange interactif et personnalisé entre le pharmacien et le patient avant la validation de la commande. Les réponses automatisées aux questions des patients ne permettent pas d’assurer une information pertinente et un conseil adapté aux besoins du patient.

Le e-pharmacien doit s'assurer de l'adéquation de la commande à l'état de santé du patient.  Pour ce faire, le site de e-pharmacie doit intégrer les éléments suivants : 
    - un questionnaire à remplir obligatoirement par le patient avant la validation de sa première commande en ligne. Ce questionnaire, dans lequel le patient renseigne son âge, son poids, etc. est validé par le e-pharmacien avant la validation de la commande ;
    - un dispositif technique, sécurisé et assurant la confidentialité des échanges, permettant le dialogue entre le pharmacien et le patient, par email ou tchat.

Outre le conseil et l'information au stade de la commande, le patient doit pouvoir poser des questions complémentaires au e-pharmacien, qui a l'obligation d'y répondre, via email ou tchat. Tous les échanges entre le e-pharmacien et le patient sont tracés, chiffrés et archivés.

- Le contrôle pharmaceutique : le contrôle de la quantité de médicaments à délivrer au patient est réalisé par le pharmacien. Un dispositif de blocage des commandes doit être mis en place sur le site pour éviter le dépassement de la quantité maximale autorisée. Une quantité minimale d'achat ne peut être exigée et le patient doit pouvoir ne commander qu'une seule boîte d'un médicament. Le e-pharmacien assure personnellement la délivrance et contrôle que le médicament qu'il délivre est bien celui commandé.

- La protection des données personnelles des patients : les données de santé sont des données considérées comme sensibles, faisant l'objet d'une protection renforcée. En qualité de responsable du traitement, le e-pharmacien est soumis aux dispositions de la loi Informatique et Libertés du 6 janvier 1978.


3. Les conditions de vente en ligne des médicaments

Hormis les règles généralement applicables à la vente en ligne, l’arrêté prévoit des conditions spécifiques additionnelles pour la vente de médicaments en ligne.

- Catégorie de médicaments autorisés à la vente en ligne : l’arrêté du juin 2013 confirme la catégorie de médicaments pouvant être vendus sur internet, à savoir les médicaments “de médication officinale qui peuvent être présentés en accès direct au public en officine, ayant obtenu l'autorisation de mise sur le marché (…)”. Les médicaments soumis à prescription obligatoire restent exclus de la vente sur internet.

- La présentation des produits en ligne : les conditions de présentation des médicaments sont strictement encadrées, de manière à rester neutres, claires, non trompeuses et informatives. L’arrêté précise ainsi les informations devant figurer sur les fiches produits,  telles que les dénominations de fantaisie et commune du médicament, les indications thérapeutiques de l'autorisation de mise sur le marché, etc. ainsi que la manière de classer les médicaments (par catégorie générale d'indication - douleurs, fièvre, nausées, toux… - puis de substances actives).

- Les prix : l'affichage du prix doit être visuellement identique pour chaque médicament afin d'éviter toute promotion ou mise en avant d'un médicament par rapport à un autre. Les frais de livraison sont en sus et précisés au moment de la commande.

- Les conditions de vente des médicaments : la vente de médicaments est soumise à des conditions spécifiques.

    - L’âge minimum du client : la vente de médicaments en ligne est réservée aux personnes ayant au moins 16 ans.

    - Les conditions générales de vente : la vente des médicaments en ligne est soumise à des conditions générales de vente (CGV). Les CGV doivent avoir été effectivement acceptées par le client-patient avant la conclusion de la commande, ou au plus tard avant le paiement. Ces conditions sont clairement présentées et facilement accessibles pour le patient.

Il est à préciser que le consommateur qui achète des médicaments en ligne ne bénéficie pas du droit de rétractation. L'absence du droit de rétractation doit être indiquée de manière claire dans les CGV et rappelée avant la validation de la commande.

    - La préparation de la commande et la livraison : les délais de traitement de la commande et de livraison sont précisés au patient. La préparation des commandes ne peut se faire qu'au sein de l'officine, dans un espace adapté à cet effet.

Le médicament est envoyé dans un paquet scellé par l'officine de pharmacie, sous la responsabilité du pharmacien. Le patient peut également se déplacer à l'officine pour prendre livraison de la commande.

    - Les réclamations : en cas d'erreur de délivrance (erreur de produit ou produit détérioré), le e-pharmacien doit rembourser le patient selon les modalités décrites dans les CGV.


Ainsi, les sites de e-pharmacie peuvent proposer à la vente, non seulement les médicaments non soumis à ordonnance, mais également les autres produits proposés dans l’officine. Le site internet de e-pharmacie devient ainsi le prolongement virtuel d’une officine de pharmacie.

La e-pharmacie est cependant très encadrée depuis la conception du site web jusqu’aux conditions de vente. Aussi, avant de se lancer dans la vente de médicaments en ligne, il est recommandé aux e-pharmaciens de s’assurer de la conformité du site et des modalités de vente aux règles mentionnées ci-dessus ainsi qu’aux règles propres au commerce électronique, sans oublier les règles professionnelles et déontologiques inscrites dans le Code de la santé publique.                                                       * * * * * * * * * * * * *

(1) Ordonnance n°2012-1427 du 19 décembre 2012 relative au renforcement de la sécurité de la chaîne d'approvisionnement des médicaments, à l'encadrement de la vente de médicaments sur internet et à la lutte contre la falsification de médicaments ; Décret n°2012-1562 du 31 décembre 2012 relatif au renforcement de la sécurité de la chaîne d’approvisionnement des médicaments et à l’encadrement de la vente de médicaments sur internet. Articles L.4211-1, L.5122-6-1, L.5125-33 et s., R.5125-26 et R.5125-70 et s. CSP.

(2) Arrêté n°AFSP1313848A du 20 juin 2013 relatif aux bonnes pratiques de dispensation des médicaments par voie électronique.

(3) Ordonnance du Conseil d’Etat n°365459 du 14 février 2013

(4) Avis de l’Autorité de la concurrence n°13-A-12 du 10 avril 2013 relatif à un projet d’arrêté de la ministre des affaires sociales et de la santé relatif aux bonnes pratiques de dispensation des médicaments par voie électronique

(5) Voir notre article “La nouvelle réglementation française sur la vente de médicaments sur internet”, publié sur notre Blog le 14 janvier 2013 (http://dwavocat.blogspot.fr/2013/01/la-nouvelle-reglementation-francaise.html).




Article publié sur le Journal du Net le 3/07/2013


Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat

Deleporte Wentz Avocat
www.dwavocat.com
Juillet 2013

Les soldes : des méthodes de vente encadrées, même sur internet

Les soldes d’été 2013 débutent le mercredi 26 juin à 8 heures. Les soldes sur internet étant soumis aux mêmes règles que pour la vente en magasin, les e-commerçants français doivent s’assurer que leurs soldes sont conformes à la réglementation. En effet, les périodes de soldes révèlent de nombreuses pratiques trompeuses et illicites de la part de certains commerçants, qu’il s’agisse de publicités induisant les consommateurs en erreur ou des manipulations de prix frauduleuses par exemple.

Les soldes sont réglementés aux articles L.310-3 et suivants et R. 310-15 et suivants du Code de commerce.

Les soldes sont définis comme des ventes qui :
    - d’une part sont accompagnées ou précédées de publicité et annoncées comme tendant, par une réduction de prix, à l'écoulement accéléré de marchandises en stock, et
    - d’autre part, ont lieu durant des périodes de l’année définies par décret.

Nous faisons ci-après un bref rappel des conditions relatives à la vente en solde et des sanctions  applicables en cas d’infraction à la loi.


1. Les conditions de la vente en solde

        1.1 Des périodes de soldes réglementées
Il existe deux types de soldes :

- Les soldes saisonniers, organisés sur deux périodes de cinq semaines par an, en hiver et en été.

Les soldes d’hiver débutent le deuxième mercredi du mois de janvier à 8h ; les soldes d’été débutent le dernier mercredi de juin à 8h. Ces dates s’appliquent à tout le territoire français, à l’exception de douze départements (principalement frontaliers et DOM) dont la liste figure à l’article D.310-15-3 du Code de commerce.

- Les soldes complémentaires ou soldes flottants, d’une durée de deux semaines par an,  consécutives ou non.

Les soldes flottants sont organisés aux dates choisies par le commerçant, sous réserve d’une déclaration préalable en préfecture du département du siège de l’entreprise, au moins un mois avant le début des soldes. Les soldes flottants doivent prendre fin au plus tard un mois avant le début des soldes saisonniers.

        1.2 Les produits et services pouvant être vendus en solde
Concernant les produits, l’objectif des soldes est le destockage. Seuls peuvent être vendus en solde des produits neufs, déjà proposés à la vente et achetés et payés par le commerçant au moins un mois avant le début des soldes. En effet, il n’est pas possible d’acheter des produits aux seules fins de les revendre directement en solde, ni de se réapprovisionner en produits soldés pendant cette période.

Certains types de services peuvent également être vendus en solde. Seules certaines catégories de prestations de services revendues par un commerçant, sous réserve d’en avoir acquis une quantité déterminée et non renouvelable auprès d'un autre opérateur, sont concernées par les soldes. Il s’agit par exemple de la vente de voyages ou de séjours à forfait.

A l’issue de la période des soldes, les invendus peuvent continuer à être proposés à la vente au prix soldé. Le commerçant ne pourra cependant plus communiquer sur les soldes et ne pourra afficher qu’un seul prix.

        1.3 Les conditions de vente en solde
- La publicité - Les soldes doivent faire l’objet d’une publicité. Celle-ci doit contenir les mentions obligatoires suivantes : la date de début des soldes et la nature des produits soldés, lorsque les soldes ne portent pas sur la totalité du catalogue. (art. R.310-17 c.com)

A noter également que l’usage du terme “soldes” est réglementé. Le mot “soldes” ne peut être utilisé que pour les opérations répondant aux conditions des soldes telles que définies par la loi (période, produits ou services concernés, conditions de prix, etc.). (art. L.310-3-II c.com) Ainsi, le mot soldes ne peut être utilisé pour des opérations promotionnelles, des ventes privées, ou des liquidations commerciales.

- Les prix - Pendant les périodes de soldes, les réductions de prix doivent être effectives et être affichées de manière claire.

Le site de e-commerce devra faire figurer sur ses pages produit : l’ancien prix barré, le prix soldé, et le pourcentage de réduction effective.

La revente à perte est exceptionnellement autorisée en période de soldes. (art. L.442-2 et s. c.com)

- Les garanties - Le e-commerçant est tenu de fournir les mêmes garanties sur ses produits et services soldés que sur les produits et services non soldés.

Les garanties légales - vices cachés et conformité - s’appliqueront aux produits soldés, tout comme les garanties contractuelles éventuelles.

Le droit de rétractation reste également applicable en période de soldes pour les achats réalisés sur internet (sauf exceptions prévues par la loi).


2. Les sanctions en cas de non-conformité à la réglementation

Les services de la Direction générale de la concurrence, de la consommation, et de la répression des fraudes (DGCCRF) et ses antennes locales (Directions départementales de la protection des populations - DDPP) ont notamment pour mission de contrôler le respect de la réglementation en matière de prix et de soldes. (art. L.450-1 et s. c.com)

Ainsi, les e-commerçants qui organiseraient des soldes en contravention avec ces règles sont passibles de peines d’amendes, dont les montants varient selon l’infraction commise :

        - en cas de soldes sur des produits détenus depuis moins d’un mois à la date de début de l’opération, ou d’utilisation du terme “soldes” de manière inappropriée : amende de 15.000€ (75.000€ pour les personnes morales) (art. L.310-5 c.com) ;
        - en cas de publicité incomplète, qui ne reprendrait pas les mentions obligatoires susvisées : contravention de 5é classe, soit 1.500€ (7.500€ pour les personnes morales) (art. R.310-19-3° c.com) ;
        - en cas d’utilisation du terme “solde” dans une publicité, en dehors des périodes de soldes, si l’opération est susceptible d’induire les consommateurs en erreur : amende de 37.000€ ou jusqu’à 50% du montant de la campagne publicitaire trompeuse (art. L.121-15 c.consommation).

                                                       * * * * * * * * * * * * *

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2013

La prochaine réforme de la protection des données personnelles en Europe : vers un renforcement des droits des personnes et des obligations des entreprises

La directive européenne sur la protection des données personnelles date d’octobre 1995.  Or, depuis 1995, les manières de collecter, utiliser, interconnecter, diffuser - en d’autres termes “traiter” - les données à caractère personnel, ont beaucoup évolué. Pour prendre en compte ces évolutions, notamment le développement des usages d’internet et des réseaux sociaux, mais également de toutes les technologies utilisant des données personnelles, la Commission européenne a publié le 25 janvier 2012, une proposition de règlement relatif à la protection des personnes relative au traitement de leurs données à caractère personnel. (1)

Ce règlement, une fois le texte définitif adopté, sera d’application immédiate et uniforme dans l’ensemble de l’Union européenne et viendra remplacer la directive de 1995 et les différentes lois nationales de protection des données personnelles. Ce texte devrait être adopté début 2014 et entrer en vigueur début 2016. Même si cette échéance peut paraître encore éloignée, et que certains aspects du règlement sont toujours en cours de discussion, il nous semble important d’en exposer les principaux aspects afin de permettre aux entreprises d’anticiper au mieux sa mise en oeuvre.

Il ne s’agit pas ici de faire une description exhaustive de la proposition de règlement mais de se focaliser sur les principales dispositions. Ainsi, les deux grands axes à retenir sont un renforcement des droits des personnes concernées sur leurs données, notamment en matière d’information préalable, de consentement, de droit d’opposition et de droit à l’oubli, et en parallèle, un renforcement des obligations des entreprises en matière de collecte et de traitement des données personnelles, avec des sanctions alourdies en cas de non-respect de la nouvelle règlementation.


1. Le renforcement des droits des personnes concernées sur leurs données

Les sources de collecte de données personnelles se sont démultipliées ces dernières années, d’une part avec des technologies et pratiques commerciales facilitant ces collectes (développement du e-commerce, du web 2.0, des smartphones et des applications mobiles,  du cloud computing, des technologies et objets dits “intelligents”, etc.), d’autre part du fait de l’évolution des modes d’utilisation de ces technologies par les internautes (grâce aux achats en ligne, à l’utilisation des réseaux sociaux, des applications mobiles, des services de géolocalisation, entre autres). L’intensification de l’utilisation de nos données personnelles et l’absence de frontières physiques ont rendu les lois sur la protection des données personnelles quelque peu obsolètes, en témoignent les incessants allers-retours entre la Commission européenne et les principales sociétés du web (Google et Facebook par exemple), en matière de rappel au respect des principes de protection des données à caractère personnel.

La proposition de règlement européen apporte des modifications substantielles concernant les droits des personnes dont les données sont traitées, en allant vers un renforcement de ces droits.

    1.1 Les règles de recueil du consentement des personnes
Les modalités de recueil du consentement par la personne concernée, au traitement de ses données personnelles, ont été précisées et vont dans le sens d’une plus grande maîtrise de principe de l’accord et de son retrait par la personne concernée.

Le texte européen définit le consentement comme toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne dont les données sont traitées (la “personne concernée”) accepte, par une déclaration ou par un acte positif univoque, que des données personnelles la concernant fassent l'objet d'un traitement.

Ainsi, lorsqu’il est requis, le consentement au traitement des données personnelles ne peut être tacite ou implicite. Il doit nécessairement répondre à une information préalable claire, précise et complète. La charge de la preuve de l’obtention du consentement de l’utilisateur incombera à l’entreprise qui traite ces données.

En outre, le consentement de la personne concernée, au traitement de ses données, n'est valable que si cette personne est effectivement en mesure de retirer son consentement à tout moment, et donc de s'opposer ultérieurement à la poursuite du traitement de ses données.

Les entreprises devront systématiquement s’assurer que les acheteurs de leurs produits ou les utilisateurs de leurs services ont accepté de façon effective la collecte et le traitement de leurs données.

Enfin, le règlement prévoit que “le consentement ne constitue pas un fondement juridique valable pour le traitement lorsqu'il existe un déséquilibre significatif entre la personne concernée et le responsable du traitement”. Il en irait ainsi lorsque la personne concernée se trouverait dans une situation de dépendance par rapport à l’entreprise et qu’elle ne serait pas en mesure de négocier ou de faire modifier les conditions contractuelles ; par exemple, les données personnelles concernant un salarié et traitées par son employeur dans le cadre de  l’exécution du contrat de travail, ou les contrats d'adhésion entre des particuliers et des entreprises. Il sera intéressant de voir comment cette disposition sera interprétée, dans la mesure où la plupart des contrats conclus entre les consommateurs et les sociétés de services (téléphonie, assurances, banque, etc.) et tous les contrats conclus en ligne peuvent être qualifiés de contrats d’adhésion dans lesquels existe un “déséquilibre significatif” entre les parties.

    1.2 Les droits des personnes concernées
Outre le renforcement des règles relatives au recueil du consentement des personnes, leurs droits sur la manière dont leurs données seront traitées ont été précisés.

- Le droit à l’oubli numérique : ce droit permet à toute personne de demander la suppression totale des données collectées par une entreprise, notamment lorsque ces collectes ont été réalisées alors que la personne concernée était mineure, ou lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées, ou encore lorsque le délai de conservation autorisé a expiré.

Dès lors, toute entreprise ayant collecté des données à caractère personnel devra les effacer, à la demande de la personne concernée, et en cesser toute diffusion. Par exemple, un internaute qui voudrait résilier son compte sur un réseau social devrait pouvoir obtenir de l’exploitant du site qu'il détruise toutes les données personnelles le concernant, sous réserve du droit applicable (droit du pays d’établissement de l’exploitant du site ou droit du pays de résidence de l’internaute - en l’occurrence, droit de l’UE).

La proposition de règlement prévoit également que l’entreprise doit d’une part, procéder à l'effacement des données sans délai, sauf motif légitime pour les conserver (pour respecter une obligation légale de conservation des données ou à des fins de recherche statistique et scientifique par exemple) et d’autre part, prendre toutes mesures utiles afin d'informer l'ensemble des tiers à qui elle a communiqué les données de la demande de la personne concernée.

- Le droit à la portabilité des données : ce droit offre la possibilité aux personnes concernées de se voir restituer leurs données personnelles dans un format électronique communément utilisé, permettant de les transférer à un autre fournisseur de service. Comme pour les numéros de téléphone, le principe de portabilité des données permet de faciliter le transfert des données personnelles vers de nouveaux prestataires, et de ne pas être tenu de rester  indéfiniment chez le même prestataire quand bien même le niveau et/ou le prix des services serait devenu insatisfaisant. 

- Le droit d’opposition au profilage : la proposition de règlement impose le principe du consentement préalable et le respect du droit d’opposition des personnes concernées aux actions de marketing direct et de profilage. Le “profilage” peut se définir comme toute forme de traitement de données personnelles destiné à évaluer certains aspects personnels propres à une personne physique ou à analyser ou prévoir ses habitudes de navigation sur le web, ses habitudes d’achat de biens et de services, voire sa productivité professionnelle, ou sa catégorie socio-professionnelle. Le texte européen exige que ces personnes soient dûment informées du traitement de leurs données à des fins de profilage et des effets escomptés de ce traitement.


2. Le renforcement des obligations applicables aux entreprises collectant des données personnelles

Face au renforcement des droits des personnes concernées, les obligations des sociétés collectant des données à caractère personnel ont également été renforcées par rapport à la situation actuelle, avec un alourdissement des sanctions pécuniaires en cas de violation des dispositions réglementaires. 

    2.1 L’obligation de déployer de nouvelles procédures internes de gouvernance
Les formalités déclaratives auprès de la CNIL seront simplifiées, et pour certaines catégories de traitements, supprimées.

En contrepartie, les entreprises devront déployer des procédures internes pour assurer le respect des principes de protection des données personnelles. Ces procédures, créant une véritable politique de gouvernance en matière de protection des données personnelles, comprendront : audits, registres, études d’impact, prise en compte de la protection des données dès la conception des nouveaux produits et services (mise en oeuvre des principes de “Privacy by design” ou de “Privacy by default”), codes de conduite, etc. (2)

Les entreprises devront adopter des règles internes contraignantes, tenir une documentation permettant de conserver la trace des traitements mis en oeuvre et de leurs caractéristiques, pouvoir rapporter la preuve de la mise en oeuvre de mesures de sécurité des données appropriées, mettre en œuvre des mécanismes pour vérifier l’efficacité de ces mesures, etc. Ces mesures et procédures techniques et organisationnelles devront être appliquées depuis la définition des moyens de traitement jusqu’à leur mise en oeuvre effective.

Par ailleurs, en cas de traitements sensibles de données personnelles, les entreprises devront réaliser une analyse d'impact et définir des mesures appropriées pour garantir la protection des données en cause. Par “traitement sensible”, il faut comprendre tout  traitement présentant des risques particuliers au regard des droits et libertés des personnes concernées, du fait de leur nature ou de leur finalité (tels que les traitements de données relatifs à la santé, aux orientations sexuelles, aux origines raciales ou ethniques, ou encore les traitements relatifs à la surveillance de zones accessibles au public impliquant l’usage de dispositifs de vidéosurveillance).

Enfin, en cas d’existence de plusieurs filiales dans l’Union européenne, l’autorité en charge de la protection des données compétente sera celle de l’Etat membre dans lequel le responsable du traitement a son établissement principal. Ce concept de “guichet unique” sera certainement amené à être précisé dans la version finale du règlement.

    2.2 La désignation d’un délégué à la protection des données
Le délégué à la protection des données (ou “DPD”) est l’équivalent en France, du Correspondant Informatique et Libertés, communément appelé “CIL”. Dans le dispositif actuel, le CIL, dont la nomination n’est pas obligatoire, a pour mission de veiller à l'application de la loi Informatique et Libertés au sein de l’entreprise qui l’a désigné. La désignation d’un CIL présente de nombreux avantages, tel que l’allégement des formalités obligatoires auprès de la CNIL et l’amélioration de la maîtrise des risques juridiques et techniques liés aux traitements des données personnelles. (3)

Avec l’entrée en vigueur du règlement européen, les entreprises auront l’obligation de désigner un délégué à la protection des données dans deux cas : si l’entreprise compte au moins 250 salariés ou si cette société traite des données sensibles, à savoir des données dont la nature, la portée et/ou la finalité exigent un suivi régulier et systématique des personnes concernées. Le DPD pourra être interne à l’entreprise ou externe à celle-ci (avocat ou consultant en informatique par exemple).

    2.3 L’obligation de notifier les violations de données à la CNIL
Une violation de données personnelles consiste en une atteinte à la sécurité des traitements, entraînant de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation ou la consultation non autorisée de données personnelles transmises, conservées ou traitées d’une autre manière. Par exemple, une faille dans la boutique d’un e-commerçant qui permettrait de récupérer des noms, adresses, et/ou numéros de cartes bancaires des utilisateurs inscrits ou un email confidentiel destiné à un client, et diffusé par erreur à d’autres personnes constitueraient des cas de violation de données personnelles.

Les entreprises françaises ont l’obligation de notifier toute violation grave des données à la CNIL dans les meilleurs délais, et si possible dans un délai de 24 heures après en avoir eu connaissance. La notification doit au minimum décrire (i) la nature de la violation ainsi que les catégories et le nombre de personnes et de données affectées, (ii) les conséquences de la violation des données, et (iii) les mesures proposées ou prises pour y remédier. L’entreprise doit conserver une trace documentaire de toute violation de données à caractère personnel.

Sauf à démontrer à la CNIL qu’elle a pris des mesures de sécurité appropriées, l’entreprise a l’obligation d’informer toutes personnes concernées de la violation de leurs données, lorsque cette violation est susceptible de porter atteinte à la protection de leurs données personnelles ou à la vie privée.

Cette obligation existe déjà à l’article 34 bis de la Loi Informatique et Libertés. Si la loi française impose uniquement cette notification aux fournisseurs de services de communication électronique, le texte européen ne semble pas faire de distinction suivant l’activité de l’entreprise. Cette obligation serait donc à la charge de toute entreprise traitant des données personnelles.

    2.4 De lourdes sanctions en cas de non respect de la réglementation
Ces règles, qui s’appliqueront directement dans chacun des Etats membres de l’Union européenne, prévoient des sanctions financières particulièrement lourdes en cas de non respect de la réglementation.

Les entreprises qui enfreindraient les règles posées par le règlement seront passibles de sanctions financières pouvant atteindre des montants élevés. Si en France la CNIL peut déjà aujourd’hui prononcer des amendes d’un montant maximum de 300.000€, le texte européen permettra d’imposer des amendes pouvant s'élever à 2% du chiffre d’affaires annuel mondial de l’entreprise fautive.

Le montant de l'amende sera fixé en tenant compte de plusieurs paramètres tels la nature, la gravité et la durée de la violation, le fait que l'infraction a été commise de façon délibérée ou par négligence, le degré de responsabilité de la personne en cause, l’existence de cas de violations commises antérieurement par la société, ou le degré de coopération avec la CNIL en vue de remédier à la violation ou à la non-conformité.

Il convient cependant de noter que sans moyens humains supplémentaires, il sera difficile pour la CNIL, comme pour les autres autorités en charge de la protection des données personnelles, de jouer pleinement leur rôle.


    Le risque, pour tout texte réglementaire technique, est d’être trop attaché à l'état des technologies à la date de son adoption. Or, la vitesse de l’évolution des usages, des pratiques et des outils et services disponibles tendent à rendre ces textes règlementaires très rapidement obsolètes. Même si la proposition de règlement relatif à la protection des données personnelles n’est pas encore définitif, il est à craindre qu’un texte qui ne serait pas assez générique dans son approche, prenant en compte les technologies plutôt que les usages, devienne rapidement caduque et difficilement applicable.

La proposition de règlement fait ainsi l’objet de nombreuses réserves et critiques depuis sa première publication, en janvier 2012. Ce texte suscite une multiplication de résolutions, amendements ou avis mettant en relief ses points faibles ou manquements. Par exemple, l’Assemblée nationale, dans sa proposition de résolution de février 2012, recommandait de compléter le texte européen en ajoutant des dispositions spécifiques au Cloud computing, ces services n’étant pas expressément visés par la proposition de règlement.

Le texte est actuellement en cours d’examen par le Parlement européen au sein de la Commission chargée des questions relatives aux affaires civiles, justice et affaires intérieures (Commission LIBE). Jan Philipp Albrecht, député européen et rapporteur du groupe, vient de publier son projet de rapport le 8 janvier 2013. Ce texte prévoit notamment d’allonger le délai de notification des violations de données de 24 à 72h ; l’exercice gratuit du droit d’opposition et le recours à la “pseudonymisation” et à l’anonymisation des données pour ne pas identifier directement une personne physique, notamment sur les réseaux sociaux. Ce projet de rapport précise par ailleurs que l’utilisation d’options par défaut, que la personne concernée doit modifier pour marquer son opposition au traitement, comme les cases pré-cochées (opt-out), n’est pas l’expression d’un libre consentement. Enfin, le texte encourage la mise en place d’un système normalisé d’icônes et de logos afin de faciliter la compréhension des conditions de collecte et de traitement des données par les personnes concernées. (4)

Les négociations entre le Parlement, la Commission et le Conseil européen débuteront à partir de mai 2013 en vue d’obtenir un compromis et un texte final d’ici le début de l’année prochaine.


* * * * * * * * * * * *

(1) Voir les textes en référence : proposition de règlement du parlement européen et du conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du 25 janvier 2012, (2012/0011 (COD) ; directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ; et loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

(2) Le “Privacy By Design” ou principe de protection des données dès la conception d’un produit ou d’un service, requiert l’intégration de la prise en compte de la protection dans le cycle de vie d’une technologie, dès la première étape de sa conception jusqu’à son déploiement, son utilisation et son élimination. Le “Privacy by Default” ou principe de la protection des données par défaut, requiert que les paramètres de respect de la vie privée dans les services et produits soient par défaut conformes aux principes généraux de la protection des données, tels que la réduction au minimum des volumes de données collectées et la limitation de la finalité des traitements.

(3) Voir à ce sujet notre article “Le Correspondant Informatique et Libertés, garant de la conformité des traitements de données personnelles à la loi”, sur notre blog à http://dwavocat.blogspot.fr/2011/12/le-correspondant-informatique-et.html

(4) Projet de rapport sur la proposition de règlement européen relative aux données du 25 janvier 2012, Commission des libertés civiles, de la justice et des affaires intérieures, publié par le rapporteur Jan Philipp Albrecht le 8 janvier 2013.


Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2013