Loi SREN : dynamiser la concurrence sur le marché du Cloud

 

 Ce qu’il faut retenir

La loi Sécurité et Régulation de l’Espace Numérique (“loi SREN”) a été adoptée le 21 mai 2024. L’un des objectifs de la loi est de réduire la dépendance des utilisateurs aux fournisseurs de services Cloud (particulièrement les GAFAM) en prévoyant un certain nombre de mesures pour fluidifier le marché, mais également de renforcer la protection des données stratégiques et sensibles de l’administration dans le cadre de l’utilisation de ces services.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-loi-sren-dynamiser-la-concurrence-sur-le-marche-du-cloud

DSA et conformité des services numériques : ce que doivent savoir les hébergeurs, plateformes et marketplaces (2é partie)

 

Ce qu’il faut retenir

(2è partie) Le Digital Services Act (DSA) est pleinement applicable depuis février 2024. Hébergeurs, plateformes et marketplaces doivent se conformer à des obligations renforcées en matière de responsabilité, de transparence et de gestion des contenus.

 

Lire la suite de l'article: https://www.deleporte-wentz-avocat.com/actualite-dsa-et-conformite-des-services-numeriques-ce-que-doivent-savoir-les-hebergeurs-plateformes-et-marketplaces-2e-partie

DSA et conformité des services numériques : ce que doivent savoir les hébergeurs, plateformes et marketplaces (1ère partie)

Ce qu’il faut retenir

Le Digital Services Act (DSA) est pleinement applicable depuis février 2024. Hébergeurs, plateformes et marketplaces doivent se conformer à des obligations renforcées en matière de responsabilité, de transparence et de gestion des contenus.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-dsa-et-conformite-des-services-numeriques-ce-que-doivent-savoir-les-hebergeurs-plateformes-et-marketplaces-1ere-partie

Prévention de la diffusion de contenus terroristes en ligne : les nouvelles règles applicables

L’un des axes de la lutte anti-terroriste et contre la radicalisation porte sur la lutte contre la diffusion sur internet de contenus à caractère terroriste. L’Union européenne a renforcé sa réglementation en la matière avec l’adoption du règlement relatif à la lutte contre la diffusion de contenus à caractère terroriste en ligne, ou règlement “TCO”, le 29 avril 2021. (1)

En France, après l’adoption de la loi du 24 août 2021, la réglementation relative à la lutte contre la diffusion de contenus terroristes en ligne vient d’être complétée par la loi du 16 août 2022. (2)

Cette loi poursuit et complète l’adaptation du droit français à la lutte contre la diffusion de contenus terroristes suite à l’entrée en application du règlement européen le 7 juin 2022. la nouvelle réglementation précise les conditions relatives à la notification et au retrait des contenus à caractère terroriste, les sanctions applicables pour non-respect de l’obligation de retrait, et enfin, les recours ouverts aux hébergeurs et fournisseurs de contenus pour contester une injonction de retrait de contenus.


1. Les règles relatives au retrait des contenus à caractère terroriste

La notion de “contenu à caractère terroriste” est précisément définie et les différents cas de figure listés dans le règlement comme “un ou plusieurs des types de matériel suivants, à savoir le matériel qui:
    a) incite à la commission de l’une des infractions visées à l’article 3, paragraphe 1, points a) à i), de la directive (UE) 2017/541, lorsque ce matériel prône la commission d’infractions terroristes, directement ou indirectement, par exemple en glorifiant les actes terroristes, entraînant ainsi le risque qu’une ou plusieurs de ces infractions soient commises ;
    b) sollicite une personne ou un groupe de personnes pour commettre l’une des infractions visées à l’article 3 (…) de la directive (UE) 2017/541, ou pour contribuer à la commission de l’une de ces infractions;
    c) sollicite une personne ou un groupe de personnes pour participer aux activités d’un groupe terroriste au sens de l’article 4, point b), de la directive (UE) 2017/541;
    d) fournit des instructions concernant la fabrication ou l’utilisation d’explosifs, d’armes à feu ou d’autres armes, ou de substances nocives ou dangereuses, ou concernant d’autres méthodes ou techniques spécifiques aux fins de commettre l’une des infractions terroristes visées à l’article 3 (…) de la directive (UE) 2017/541 ou de contribuer à la commission de l’une de ces infractions;
    e) constitue une menace quant à la commission d’une des infractions visées à l’article 3 (…) de la directive (UE) 2017/541.”

L’article 6-1 de la LCEN, modifié par la loi du 24 août 2021 et entré en vigueur le 7 juin 2022,  impose un délai très court - 24 heures - aux hébergeurs techniques et aux fournisseurs de contenus pour retirer ou bloquer les contenus à caractère terroriste. Ce délai court à compter de la réception d’une injonction de retrait de la part des autorités. En France, l’autorité compétente pour émettre les injonctions de retrait ou de blocage de contenus à caractère terroriste est l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication - OCLCTIC.

Les injonctions de retrait doivent notamment être motivées et inclure l’URL exacte pour permettre aux destinataires d’accéder directement au contenu litigieux et prendre les mesures de suspension ou de blocage qui s’imposent.
 
Les fournisseurs de services d’hébergement destinataires d’une injonction de retrait informent l’autorité compétente du retrait ou du blocage du contenu en cause et des date et heure de cette action.  

Un modèle d’injonction de retrait et un modèle de réponse aux autorités figurent en annexe au règlement TCO.

L’OCLCTIC peut par ailleurs communiquer les adresses électroniques dont les contenus auraient un caractère terroriste, aux moteurs de recherche ou aux annuaires pour que ces derniers désindexent lesdits contenus, notamment lorsque le retrait n’a pas été effectué dans les délais impartis.

L’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) est identifiée comme l’organisme compétent, par l’intermédiaire d’une personnalité qualifiée désignée en son sein, pour s’assurer notamment de la régularité des demandes de suppression et de déréférencement de contenus.

L’Arcom est également en charge de recueillir auprès des hébergeurs les informations nécessaires au suivi de l’application de leur obligation de retrait ou de blocage et de les mettre en demeure de se conformer à leurs obligations de retrait ou de rétablissement éventuel de contenus litigieux


2. Les sanctions applicables pour non-respect de l’obligation de retrait

Ces dispositions sont complétées par les nouveaux articles 6-1-1 à 6-1-5 de la LCEN qui précisent les modalités pratiques de la mise en oeuvre des injonctions de retrait et notamment les sanctions pénales applicables pour non-respect de l’obligation de retrait ou de blocage de contenus à caractère terroriste.

Le montant des sanctions est à la hauteur de l’enjeu de sécurité publique. En effet, l’absence de retrait ou de blocage d’un tel contenu par un hébergeur ou un éditeur de contenu dans le délai d’une heure à compter de la réception d’une injonction est punie d’un an d’emprisonnement et de 250.000 euros d’amende, ou 1.250.000 euros d’amende pour les personnes morales, qui peuvent par ailleurs être déclarées pénalement responsables. Lorsque cette infraction est commise “de manière habituelle” par une personne morale, l’amende peut atteindre 4% de son chiffre d’affaires mondial pour l’exercice N-1.

En cas de non-respect de leurs obligations de diligence vis-à-vis de ces contenus, l’Arcom peut en outre prononcer une amende administrative à l’encontre des hébergeurs fautifs, pouvant atteindre 4% de leur chiffre d’affaires mondial pour l’exercice N-1. Le montant de la sanction prend en considération plusieurs critères d’appréciation, tels que la nature, la gravité et la durée du manquement, le caractère intentionnel ou négligent du manquement, son caractère répétitif ou non, la coopération de l’hébergeur avec les autorités compétentes, etc.


3. Quels recours pour les hébergeurs et fournisseurs de contenus contre les injonctions de retrait de contenus ?

La loi prévoit différentes voies de recours aux hébergeurs et fournisseurs de contenus pour contester une injonction de retrait.

Les fournisseurs services d’hébergement et de contenus, ainsi que la personnalité qualifiée désignée par l’Arcom, peuvent demander l’annulation d’une injonction de retrait ou de blocage au président du tribunal administratif dans un délai de 48 heures à compter de sa réception par l’hébergeur, ou pour le fournisseur de contenu, à compter du moment où il a été informé du retrait du contenu par l’hébergeur.

De même, les fournisseurs de service d’hébergement et de contenu peuvent demander à la juridiction administrative d’annuler la décision motivée de la personnalité qualifiée désignée par l’Arcom, dans un délai de 48 heures à compter de la notification de cette décision.

Le président du tribunal administratif statue sur la légalité de l’injonction de retrait ou de la décision motivée dans les 72 heures de sa saisine.

    La plateforme Pharos permet à toute personne de signaler les contenus illicites, et notamment les contenus à caractère terroriste. (3) Ces signalements sont ensuite traités par l’OCLCTIC qui peut demander aux hébergeurs et aux fournisseurs de contenus le retrait desdits contenus dans le délai de 24 heures, ou leur blocage par les fournisseurs d’accès et les moteurs de recherche.

Selon les autorités, en 2021 l’OCLCTIC a prononcé près de 15.000 demandes de retrait auprès des hébergeurs et des fournisseurs de contenus.


                                                        * * * * * * * * * * *


(1) Règlement (UE) 2021/784 du Parlement européen et du Conseil du 29 avril 2021 relatif à la lutte contre la diffusion de contenus à caractère terroriste en ligne, ou règlement “TCO” (terrorist content online)

(2) Loi n°2021-1109 du 24 août 2021 confortant le respect des principes de la République ;
Loi n°2022-1159 du 16 août 2022 portant diverses dispositions d'adaptation au droit de l'Union européenne en matière de prévention de la diffusion de contenus à caractère terroriste en ligne, codifiée aux articles 6-1-1 à 6-1-5 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN)

(3) Plateforme Pharos accessible à : https://www.internet-signalement.gouv.fr/PharosS1/

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2022

Qu’est-ce que le Cloud Act américain ?

L’adoption du “Cloud Act” aux Etats-Unis en 2018 a suscité de nombreuses critiques et fait couler beaucoup d’encre. Afin de mieux comprendre les enjeux de cette législation, nous résumons ci-après ses principales finalités.

Encapsulé dans la loi américaine sur les dépenses 2018 (“Consolidated Appropriations Act”, 2018), le Cloud Act (pour “Clarifying lawful overseas use of data act”), adopté le 23 mars 2018, donne un cadre légal à la saisie d'emails, documents et communications électroniques localisés dans les serveurs de sociétés américaines et de leurs filiales à l’étranger. (1)

Alors que les sociétés internet et technologiques américaines se félicitent de l’adoption de cette loi, les associations de défense des libertés et de la vie privée dont l'union des libertés civiles américaines (ACLU) et l'Electronic Frontier Fondation (EFF) y sont vivement opposées.

Le Cloud Act devient une alternative au processus actuel de partage d'informations d’utilisateurs entre pays, le MLAT (Mutual legal assistance treaty), et dont la mise en oeuvre est plus rapide et simple à exécuter.

Le Cloud Act contient deux grandes séries de dispositions :

    1 - La communication de données par les sociétés américaines
Toute société dont le siège est aux Etats-Unis, ainsi que les sociétés contrôlées par elle, doit communiquer aux autorités américaines, sur leur demande, les données de communication placées sous son contrôle, sans considération du lieu de stockage de ces données ;

    2 - La signature d’accords entre les administrations américaines et étrangères
Le gouvernement américain pourra signer des accords internationaux avec des gouvernements étrangers, permettant aux autorités de chaque pays de demander directement aux fournisseurs de services de communication, de traitement et de stockage électroniques de données relevant de la juridiction de l’autre pays, la divulgation des données de communication les intéressant, sans avoir à passer par les procédures plus lourdes des MLAT ou des commissions rogatoires internationales.

Ces accords internationaux prendront la forme d’executive agreements, à savoir des accords qui ne nécessitent ni l’accord du Sénat (majorité des deux tiers), ni l’adoption d’une loi par les deux chambres du Congrès. Pour entrer en vigueur, il suffira que les deux chambres ne s’y opposent pas par une résolution conjointe dans les 90 jours de leur signature. En contrepartie, de tels accords ne peuvent être signés qu’avec des pays respectueux des droits fondamentaux et des principaux standards démocratiques.

Les demandes de communication de données concernées par ces accords ne peuvent viser que les infractions les plus graves (« serious crime »). L’objectif est d’accélérer la procédure d’investigation par les forces de l’ordre.

Pour l’instant, il existe une incertitude sur le fait de savoir si un executive agreement pourrait être signé avec l’Union européenne plutôt qu’avec chaque Etat-membre, voire même si les Etats-Unis chercheront à signer avec l’Europe. L’UE serait plutôt favorable à la signature d’un accord global.

En conclusion, le Cloud Act s’applique à toute société placée sous la juridiction des Etats-Unis qui contrôle les données informatiques de ses clients (notamment les GAFAM et leurs filiales), quels que soient leur nationalité et le lieu physique où ces données ont été émises ou sont stockées. Il ne s’agit pas d’une nouvelle procédure mais d’une évolution par rapport à la réglementation précédente issue du Stored Communications Act de datant de 1986.

Le Cloud Act, comme le Stored Communications Act, encadre l’accès des autorités américaines aux données de fournisseurs de services de communication, traitement et stockage électroniques de données placés sous la juridiction des Etats-Unis (procédure judiciaire en cours et sous réserve de disposer d’un mandat (ou warrant) délivré par une juridiction, requête par les autorités gouvernementales américaines dans le cadre d’une procédure pénale sous réserve de disposer d’une réquisition judiciaire (ou court order). Le Cloud Act prévoit que le fournisseur de services auquel les données sont demandées a la possibilité de s’y opposer au motif que la demande, si elle devait être satisfaite, le conduirait à méconnaître la législation d’un pays étranger et l’exposerait à des sanctions (situation de conflits de lois).

Le Cloud Act est-il compatible avec le RGPD ?

Le RGPD (art. 44 et suivants) réglemente les conditions dans lesquelles des données personnelles peuvent être transférées vers des pays tiers. Or le Privacy shield, applicable aux transferts entre sociétés européennes et sociétés américaines adhérant au programme, ne couvre pas les entités gouvernementales.

Le transfert de données à caractère personnel aux autorités américaines par une société américaine ou sa filiale, en application d’une demande fondée sur le Cloud Act et non sur un accord international de type MLAT ou la mise en œuvre d’une commission rogatoire internationale, ne serait pas conforme au RGPD. Il conviendra de suivre comment le Cloud Act sera mis en œuvre dans les prochains mois.

                                                       * * * * * * * * * * *

(1) Consolidated Appropriations Act, 2018 et Clarifying lawful overseas use of data act (Cloud Act), adopté le 23 mars 2018

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2019

Pourquoi être concerné par le RGPD si votre entreprise n'est pas localisée dans l’UE ?

La directive du 24 octobre 1995 sur la protection des données s’appliquait aux traitements de données réalisés par des organismes, responsables de traitement, situés dans l’Union européenne. Les traitements de données réalisés par des responsables de traitement situés en dehors de l’UE n’étaient en principe pas soumis aux règles de la directive européenne, telles que transposées dans les lois nationales des Etats-membres. (1) Or, avec le développement des technologies et des services en ligne autour de la donnée, de nombreuses sociétés situées hors Union européenne, telles que Google, Amazon, Facebook ou Apple (les “GAFA”) notamment, collectent et traitent des données d’Européens et “échappent” à la réglementation européenne, même si les transferts de données vers ces sociétés américaines sont notamment soumis aux principes du Privacy Shield.

Désormais la donnée, et plus particulièrement la donnée personnelle, est au coeur de l’économie numérique. Il était donc nécessaire de mettre à jour la règlementation des données personnelles pour prendre en compte les évolutions technologiques intervenues depuis la directive de 1995 et assurer un niveau de protection élevé et homogène des données personnelles. C’est chose faite avec le règlement général sur la protection des données (RGPD). Ce texte, adopté le 27 avril 2016 après plus de quatre ans d’intenses discussions, doit entrer en application le 25 mai 2018. (2)

L’un des objectifs du RGPD est de prendre en compte, d’une part les cas dans lesquels plusieurs responsables de traitements et/ou sous-traitants, situés dans différentes régions du monde, sont impliqués dans un traitement de données, d’autre part les services de cloud computing et de big data (serveurs déployés et données collectées dans plusieurs régions), et enfin les activités des GAFA, ceci afin que les données personnelles des résidents européens restent protégées quel que soit le pays dans le monde où se trouve le responsable de traitement.

Le champ d’application du règlement couvre donc non seulement le territoire de l’Union européenne, mais aussi les entreprises situées hors Union européenne qui visent le marché européen. Ces entreprises sont donc concernées par le RGPD et doivent se mettre en conformité avec ces nouvelles règles.


1. Le RGPD, un texte applicable en Europe et au-delà

La directive de 1995 devait être transposée dans les lois nationales des Etats membres. Ces lois nationales sur la protection des données personnelles comportaient cependant des différences entre les Etats membres, certains états ayant choisi une application stricte de la directive, alors que d’autres ont opté pour une application plus souple.

Le règlement général sera d’application directe dans les Etats membres. Ses règles s’appliqueront de manière quasiment uniforme dans tous les Etats membres, hormis quelques dispositions qui pourront différer d’un pays à l’autre. (3)

Mais alors que la directive n’avait que peu d’impact en dehors de l’Union européenne, le règlement sera d’application territoriale dans l’UE, mais également extra-territoriale, au-delà de l’UE. (4)

    1.1 Application dans l’Union européenne

Le règlement s’appliquera, d’une part aux traitements de données à caractère personnel réalisés dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l’Union européenne, que le traitement lui-même ait lieu ou non dans l’UE.

L’établissement situé dans l’UE nécessite un effectif et une activité stables. En revanche, l’établissement n’est pas soumis à une forme juridique particulière. Il peut s’agir du siège, d’une filiale, voire de la succursale d’une entreprise, elle-même située en dehors de l’Union.

Le traitement peut être réalisé, ou non dans l’UE. Cette disposition permet par exemple de soumettre au règlement les bases de données hébergées en cloud, quels que soient les pays d’installation des serveurs.

    1.2 Application extra-territoriale

Le règlement s’appliquera d’autre part aux traitements de données à caractère personnel relatifs à des personnes qui se trouvent dans l’UE, réalisés par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l’UE, lorsque les activités de traitement sont liées à l'offre de biens (site de e-commerce) ou de services (applications mobiles, hébergement de données en cloud) à ces personnes, à titre gratuit ou payant.

Pour déterminer si l’entreprise, responsable du traitement ou sous-traitant, vise le marché européen en proposant des biens ou des services à des personnes situées dans l’UE, il conviendra de relever les indices qui permettront d’établir que le responsable du traitement ou le sous-traitant visent bien le marché européen. Par exemple, la simple accessibilité du site internet de l’entreprise en cause, une adresse email ou l'utilisation d'une langue généralement utilisée dans le pays tiers où cette entreprise est établie ne suffira pas pour déterminer que le responsable du traitement ou le sous-traitant visent effectivement le marché européen. En revanche, des éléments tels que l'utilisation d'une langue européenne ou d'une monnaie telle que l’euro pourront permettre de démontrer que le marché européen est effectivement visé.

Par ailleurs, les traitements de données de personnes situées dans l'Union européenne par une entreprise, responsable du traitement ou sous-traitant, qui n'est pas établie dans l'Union seront également soumis au règlement lorsque ces traitements ont pour objet le suivi du comportement de ces personnes, sous réserve qu’il s’agisse de leur comportement dans l’UE. Cette disposition concerne particulièrement les activités de profilage en ligne, “afin notamment de prendre des décisions concernant” la personne, “ou d'analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit.” (5)

On retiendra également que ces dispositions s’appliquent tant aux responsables de traitement qu’aux sous-traitants. Ces derniers sont donc concernés par les dispositions du RGPD, au même titre que les responsables de traitement, donneurs d’ordre, ou peuvent même être considérés comme co-responsables de traitement.

Ainsi, le règlement ne limite pas son applicabilité aux responsables de traitements et aux sous-traitants établis dans l’Union européenne, mais étend son périmètre géographique au-delà des frontières de l’Union européenne, dès lors que des données personnelles de résidents européens sont concernées.


2. Quelles conséquences pour les entreprises non-européennes ?

Les entreprises n’ayant aucun établissement sur le territoire de l’UE, mais qui visent l’Europe pour leurs activités commerciales (voir critères ci-dessus), et à ce titre, qui collectent et traitent des données personnelles d’Européens devront donc se conformer au RGPD, la date butoir étant fixée au 25 mai 2018.

    2.1 L’obligation de désigner un représentant dans l’Union

Au-delà des travaux de mise en conformité au règlement, les entreprises, responsables de traitements et sous-traitants, n’ayant pas d’établissement sur le territoire de l’UE devront désigner “par écrit” un représentant dans l’Union. (6)

Ce représentant devra être établi dans un des États membres dans lesquels se trouvent les personnes physiques dont les données font l'objet d'un traitement. Le représentant, mandaté par le responsable du traitement ou le sous-traitant, servira de contact pour les autorités de contrôle et les personnes concernées pour les questions relatives au traitement. Le responsable du traitement ou le sous-traitant resteront néanmoins responsables juridiquement de la conformité et du respect au RGPD.
La désignation d’un représentant ne s’appliquera cependant pas à toutes les entreprises non-européennes concernées.

Seront exemptés de cette obligation les responsables du traitement ou sous-traitants :
. qui mettront en oeuvre des traitements à titre occasionnel,
. qui n'impliquent pas un traitement à grande échelle des catégories particulières de données sensibles visées à l'article 9 par.1, ou un traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10,
. et qui mettront en oeuvre des traitements ne nécessitant pas d’analyse d’impact en vertu de l’article 35 du règlement.

De même, les autorités et organismes publics non européens ne sont pas concernés par cette obligation de désignation d’un représentant.

    2.2 Le cas du Royaume-Uni après le Brexit

Une fois que le Royaume-Uni sera sorti de l’Union européenne, il ne sera plus soumis au RGPD. Cependant, le gouvernement britannique vient de se prononcer pour l’adoption d’une loi, réformant la Data Protection Act 1998 actuelle et intégrant dans le droit anglais les règles du RGPD.

L’objet de ce projet de loi est de rassurer le monde des affaires suite au Brexit, sur la possibilité de poursuivre les transferts de données entre le Royaume-Uni et l’Union européenne. Par ce biais, le Royaume-Uni souhaite s’assurer que sa loi sur la protection des données personnelles sera considérée par la Commission de Bruxelles comme offrant un niveau de protection adéquat, permettant de continuer à transférer librement des données personnelles entre le Royaume-Uni et l’UE. (7)

    2.3 La mise en conformité au RGPD

Le règlement européen comprend de nombreux principes nouveaux ou renforcés par rapport à la réglementation actuelle qu’il convient de prendre en compte. Ces principes devront être intégrés  par les entreprises dans leurs procédures de développement de nouveaux produits et services à destination du marché européen, pour être en conformité au règlement. Parmi ces principes, il convient de rappeler : (8)

a) Concernant les droits des personnes :
    - Le renforcement des conditions de l’obtention du consentement des personnes (art. 7) : les termes relatifs au consentement doivent être rédigés de manière claire et explicite. ;
    - L’information des personnes concernées doit être transparente, et rédigée en termes clairs et simples ;
    - Le droit à la portabilité des données (art. 20) permet aux personnes concernées de demander au responsable de traitement de récupérer ou transmettre leurs données personnelles collectées pour les transférer à un nouveau responsable de traitement ;
    - La protection spécifique des données personnelles des mineurs de moins de 16 ans (art. 8). Lorsque des services en ligne sont destinés aux enfants, les traitements de données de mineurs de moins de 16 ans (ou 13 ans dans les Etats membres qui ont fixé cette limite d’âge) seront soumis à l’accord ou l’autorisation de la personne exerçant l’autorité parentale.

b) Concernant les responsables de traitements et sous-traitants
    - Les traitements automatisés et les techniques de profilage sont encadrés (art. 22). Ces traitements seront autorisés sous certaines conditions et si la personne a donné son consentement ;
    - Le responsable de traitement devra déployer des règles internes claires et facilement accessibles afin de garantir et démontrer le respect de la réglementation (notion d’“accountability”) (art. 5 et 24) ;
    - Lors du développement de nouveaux produits ou services, les responsables de traitement devront intégrer par défaut la protection des données personnelles dans la définition des moyens de traitement et dans le traitement lui-même (principe de “protection de la vie privée dès la conception” ou “privacy by design”) (art. 5 et 25) ;
    - Le règlement prévoit des règles de sécurité accrues et une obligation de notification des failles de sécurité à tous les responsables de traitement (art. 5, et 32 à 34) ;
    - Un délégué à la protection des données devra être désigné dans les entreprises ayant pour “activité de base” la gestion de données personnelles “à grande échelle” ou le contrôle et suivi du comportement des personnes (art. 37, 38 et 39).

Enfin, le règlement prévoit un pouvoir de sanction par les autorités de contrôle plus large et dissuasif (art. 83). Selon le type de violation retenu, les autorités de contrôle pourront prononcer des amendes administratives pouvant s’élever soit à 10 millions d’euros ou 2% du chiffre d’affaires total mondial de l’entreprise pour l’exercice précédent, le montant le plus élevé étant retenu, soit à 20 millions d’euros ou 4% du chiffre d’affaires total mondial de l’entreprise pour l’exercice précédent.

                                                                   * * * * * * * * * * * *


(1) Voir l’article 4 “Droit national applicable” de la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD)

(3) Par exemple, l’âge minimum pour un jeune pour donner son consentement pourra être compris entre 13 et 16 ans, le choix étant laissé à chaque Etat membre.

(4) Voir RGPD, considérants 22 à 24 et article 3 “Champ d’application territoriale”

(5) Considérant 24

(6) RGPD, article 27

(7) “UK Government announces proposals for a new Data Protection Bill”, in Technology Law Dispatch, 16 août 2017

(8) Pour une analyse plus détaillée des obligations relatives à la mise en conformité au RGPD, voir nos articles à ce sujet : “Adoption du Règlement européen sur la protection des données personnelles : le compte à rebours de la mise en conformité a commencé”, “Entrée en application du RGPD en mai 2018 : comment organiser votre mise en conformité au règlement européen ?”, “Sécurité des données personnelles : vers la généralisation de la procédure de notification des incidents de sécurité"


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2017

Plateformes en ligne : le Parlement européen pour une évolution de leur régime de responsabilité

Répondant à une communication de la Commission européenne du 25 mai 2016, le Parlement européen a voté, le 15 juin 2017, une résolution dans laquelle les euro-députés se sont prononcés en faveur de la responsabilisation des plateformes en ligne concernant le respect du droit d’auteur, la lutte contre les contenus illégaux, et la protection des mineurs et des consommateurs. (1)


La définition du terme “plateforme”

Les euro-députés constatent tout d’abord la difficulté de donner une définition unique de la notion de plateforme en ligne “qui soit juridiquement pertinente et à l’épreuve du temps, compte tenu de facteurs tels que la grande variété des plateformes en ligne et de leurs domaines d’activités ou encore l’évolution rapide de l’environnement numérique à l’échelle mondiale”. Les plateformes, B-to-C ou B-to-B, englobent en effet un large éventail d’activités telles que moteurs de recherche, réseaux sociaux, commerce électronique, communication et médias, paiement en ligne, etc. Il est donc difficile de créer des règles applicables aux différents types de plateformes et il semble plus approprié de les aborder de manière sectorielle.

Il existe néanmoins des caractéristiques communes aux plateformes, telles que par exemple, la possibilité de mettre en relation différents types d’utilisateurs, d’offrir des services en ligne adaptés à leurs préférences et fondés sur des données fournies par les utilisateurs, de classer ou de référencer des contenus, notamment au moyen d’algorithmes.


L’évolution du régime de responsabilité des intermédiaires

Les plateformes en ligne qui hébergent des contenus fournis par des tiers-utilisateurs bénéficient actuellement du régime de responsabilité des hébergeurs, prévu à l’article 14 de la directive du 8 juin 2000 sur le commerce électronique (2) (transposée en droit français par la loi du 21 juin 2004 pour la confiance dans l’économie numérique). (3)

En vertu de ce régime de responsabilité, les hébergeurs ne peuvent voir leur responsabilité engagée pour les contenus hébergés sur leurs serveurs que s’ils en avaient une connaissance effective, ou si après avoir été informés de leur caractère manifestement illicite, ils n’ont pas supprimé l’accès à ces contenus.

La jurisprudence a été amenée à définir les contours de la notion d’hébergeur, et plus particulièrement les cas dans lesquels leur responsabilité pouvait être engagée, à savoir, lorsque l’hébergeur (ou la plateforme) a connaissance des contenus hébergés par la notification de leur caractère manifestement illicite, par une modération de ces contenus avant leur mise en ligne, voire par une intervention sur ces contenus (référencement par exemple). (4)

Même si le régime de responsabilité spécifique des hébergeurs est adapté à l’activité des plateformes en ligne, pour autant qu’elles n’interviennent pas sur les contenus hébergés, avec le temps les plateformes ont réalisé de plus en plus d’opérations sur les contenus hébergés, afin d’améliorer leur référencement et/ou de le monétiser via des bannières publicitaires et autres actions marketing de plus en plus ciblées.

Selon les euro-députés, le développement durable et la confiance des consommateurs dans les plateformes en ligne nécessite un environnement réglementaire “efficace et attrayant”. Les euro-députés proposent alors de préciser les obligations des intermédiaires, notamment en responsabilisant les plateformes qui ne jouent pas un rôle neutre au sens de la directive du 8 juin 2000 sur le commerce électronique, qui ne pourraient plus bénéficier du régime de responsabilité aménagé.

A cette fin, les euro-députés demandent à la Commission de formuler “des orientations sur la mise en œuvre du cadre de responsabilité des intermédiaires afin de permettre aux plateformes en ligne de respecter leurs obligations ainsi que les règles relatives à la responsabilité", notamment en clarifiant les procédures de notification et de retrait de contenus et en présentant des orientations sur les mesures volontaires de lutte contre ces contenus.


Plateformes en ligne et partage de contenus culturels

L’évolution de la responsabilité des plateformes est une demande importante du Parlement notamment pour les industries culturelles et créatives, avec un renforcement des mesures de lutte contre les contenus en ligne illégaux et dangereux – une référence étant faite à la proposition de directive SMA (services de médias audiovisuels) et aux mesures pour les plateformes de partage de vidéos, concernant la protection des mineurs et le retrait des contenus associés à des discours haineux.

Par ailleurs, constatant que bien que l’on n’ait jamais autant consommé de contenus issus de la création, par l’intermédiaire de plateformes de mise à disposition de contenu par les utilisateurs  (tels que Youtube ou Dailymotion par exemple) et les services d’agrégation de contenus, les secteurs de la création ne bénéficient pas d’une augmentation de leurs revenus proportionnée à cette augmentation de la consommation.

Alors que plusieurs textes européens sont en cours d’examen au Parlement, les euro-députés souhaitent un renforcement de la sécurité juridique et du “respect envers les titulaires de droits”. Selon les euro-députés, les plateformes qui hébergent un volume important d’oeuvres protégées, mises à la disposition du public, devraient conclure des accords de licence avec les titulaires de droits correspondants, (à moins qu’elles ne soient pas actives et qu’elles relèvent du régime de responsabilité prévu à l’article 14 de la directive de juin 2000), en vue de partager avec les auteurs, créateurs et titulaires de droits correspondants une juste part des bénéfices engendrés.

De telles initiatives commencent ainsi à voir le jour, telle la plateforme de streaming musical Spotify, qui a annoncé récemment la création d'un fonds de 43 millions de dollars pour améliorer la rémunération des droits d'auteur d'artistes américains. (5)


Plateformes et algorithmes

Les euro-députés rappellent enfin l’importance de préciser les méthodes de prise de décision fondée sur des algorithmes et de promouvoir la transparence quant à leur utilisation de ces algorithmes. L’accent doit être mis sur les risques d’erreur et de distorsion dans l’utilisation des algorithmes afin de prévenir toute discrimination ou pratique déloyale et toute atteinte à la vie privée. Le Parlement demande à la Commission européenne de mener une enquête sur les erreurs possibles et l’exploitation des algorithmes et de créer des conditions de concurrence équitables pour des services en ligne et hors ligne comparables.


Bien que les résolutions ne soient pas des actes réglementaires contraignants - les résolutions ne créent pas d’obligations juridiques mais ont une valeur politique et indicative -, ce texte a pour objet de communiquer la position des députés européens à la Commission. Celle-ci s’en inspirera lors de sa proposition de révision de la directive e-commerce qui devrait intervenir dans les mois à venir.

                                                             * * * * * * * * * * * *

(1) Résolution du Parlement européen du 15 juin 2017 sur “Les plateformes en ligne et le marché unique numérique” et Communication de la Commission du 25 mai 2016 sur “Les plateformes en ligne et le marché unique numérique – Perspectives et défis pour l’Europe”

(2) Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique»)

(3) L’article 6 I 2 de la LCEN dispose que “Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d'un destinataire de ces services si elles n'avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l'accès impossible.
L'alinéa précédent ne s'applique pas lorsque le destinataire du service agit sous l'autorité ou le contrôle de la personne visée audit alinéa.”

(4) Voir par exemple TGI Paris, ordonnance du 15 novembre 2004, Jurisdata 2004 n°258504 ; CA Paris, 4é ch.A, 7 juin 2006, Tiscali Media c. Dargaud ; CA Paris, Pôle 5 ch.1, 2 déc. 2014, TF1 et autres c. Dailymotion

(5) “Spotify crée un fonds de 43 millions de dollars pour indemniser les artistes”, in La Tribune 30 mai 2017


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juillet 2017

Hébergement de données de santé : les modifications apportées par la loi du 26 janvier 2016

Le Code de la santé publique dispose que toute personne prise en charge par un professionnel ou un établissement de santé a droit au respect de sa vie privée et au secret des informations la concernant. Les professionnels de santé, ainsi que ceux intervenant dans le système de santé, sont soumis au secret médical (art. L.1110-4 CSP).

Les professionnels de santé sont également tenus de respecter les obligations relatives aux traitements de données à caractère personnel, en leur qualité de responsable du traitement. Parmi ces obligations, la sécurité des données de santé constitue un impératif.

Les données de santé à caractère personnel sont considérées comme des informations sensibles, soumises à un haut niveau de sécurité, physique et technique, a fortiori en cas d’hébergement par un prestataire tiers.

Depuis l’entrée en vigueur de la loi “Kouchner” de 2002, les prestataires hébergeurs de données de santé doivent être agréés. La loi du 26 janvier 2016 de modernisation de notre système de santé a apporté un certain nombre de modifications à l’article L.1111-8 du Code de la santé publique relatif à l’hébergement de données de santé. Le périmètre des données, et les catégories de personnes concernées par l’hébergement agréé, ont été élargies. L’obligation d’agrément est maintenue et renforcée. (1)


1. L’élargissement des catégories de données et des parties concernées

Les données de santé hébergées par un prestataire tiers, doivent l’être chez un hébergeur agréé. La loi santé du 26 janvier 2016 a modifié le périmètre des catégories de données de santé concernées par cette obligation.

Qu’entend-on par “donnée de santé” ?
On entend généralement par “donnée de santé” les informations relatives à l'état de santé (tant physique que psychique) d'un patient, recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins du patient. Il s’agit de données à caractère personnel, dont la collecte et le traitement sont régis par les dispositions de la loi Informatique et Libertés, complétée en l’espèce par le Code de la santé publique (CSP).(2)

Bien que la collecte et le traitement de données de santé à caractère personnel soit interdit par principe, il existe en pratique de nombreuses exceptions, notamment pour les cas de collecte par les professionnels et établissements de santé, les services médico-sociaux, mais également la collecte et le traitement par des organismes tiers, tels les compagnies d’assurance et sociétés mutuelles.

Les catégories de données concernées par l’hébergement agréé :
Dans son ancienne rédaction, l’article L.1111-8 al.1 du CSP disposait que les données de santé à caractère personnel “recueillies ou produites à l’occasion des activités de prévention, de diagnostique ou de soins” étaient concernées par cette obligation d’hébergement agréé. Or, si la question était claire pour les données de santé recueillies par les professionnels et les établissement de santé (médecins, infirmiers, hôpitaux et cliniques), la situation était plus confuse pour les autres acteurs pouvant intervenir, même à titre accessoire, dans le domaine de la santé.

Cette ambigüité est levée avec la nouvelle rédaction de l’article L.1111-8 qui étend les catégories de données concernées et inclut désormais les données recueillies à l’occasion du “suivi social et médico-social”.

Les parties concernées par l’hébergement agréé :
Selon l’ancien article L.1111-8 al.1 du CSP les professionnels de santé, les établissements de santé et la personne concernée étaient les seules parties explicitement visées par cette obligation.  Une question se posait pour les autres organismes amenés à collecter des données de santé.

Le nouvel article ne précise plus les personnes concernées par la collecte et le traitement, et suit la doctrine de la CNIL et du Comité d'agrément des hébergeurs de donnés de santé (CAH). Ceci signifie qu’en pratique, toute personne physique ou morale qui collecte et/ou traite des données de santé à caractère personnel et souhaite les faire héberger par un tiers, est soumise à l’obligation d’avoir recours à un hébergeur agréé.

Ainsi, non seulement les médecins et autres professionnels de santé (professions para-médicales), les établissements de santé (hôpitaux et cliniques) restent concernés mais également le cas échéant, les compagnies d’assurance et les mutuelles (collecte et traitement de données de santé dans le cadre de leur procédure d’octroi de prêts, assurance-vie, contrats de prévoyance, remboursement de frais de santé, etc.), les maisons de retraite (EHPAD - suivi de l’état de santé des résidents), les services de santé au travail (état de santé des salariés), les fédérations sportives (aptitude physique des licenciés à la pratique du sport).

Le stockage de données en interne et le stockage mutualisé :
Il convient de noter que les parties qui collectent et traitent des données de santé sans hébergement tiers ne sont pas soumises à l’agrément. Ainsi, un établissement hospitalier qui stockerait les données de ses patients sur ses propres serveurs en interne n’est pas concerné par l’obligation d’agrément. En revanche, si cet établissement stockait non seulement ses propres données de santé, mais également celles d’établissements ou de médecins tiers, il s’agira pour ces données, d’une prestation d’hébergement tiers soumise à l’agrément. De même, les établissements de coopération sanitaire (Groupements de coopération sanitaire, Communautés hospitalières, etc.) qui mettent leur système d’hébergement à la disposition de leurs membres sont soumis à la procédure d’agrément. (3)

L’information de la personne prise en charge :
Par ailleurs, le consentement exprès de la personne concernée (patient, personne prise en charge) pour l’hébergement externalisé de ses données n’est plus requis. Répondant à une contrainte pratique, la personne prise en charge doit être “dûment informée” et ne pourra s’opposer à l’hébergement externalisé de ses données “que pour un motif légitime”.


2. L’agrément de l’hébergeur de données de santé : une obligation maintenue et renforcée

On soulignera que l’ancienne rédaction de l’article L.1111-8 al.1 du CSP faisait peser l’obligation du dépôt de données de santé chez un hébergeur agréé sur les déposants (professionnels et établissements de santé), en qualité de responsables de traitement. Or, la nouvelle rédaction met désormais l’accent non plus sur les déposants, mais sur le prestataire, précisant que la personne qui héberge des données de santé doit être agréée à ce effet. Il en ressort donc un infléchissement de la responsabilité vers le prestataire d’hébergement.

Les conditions de l’agrément :
Seuls les prestataires hébergeurs agréés sont habilité à héberger des données de santé à caractère personnel. L’agrément est délivré après une évaluation des capacités des prestataires candidats, portant sur les aspects financiers, éthiques et de sécurité de leur activité.

Les conditions de l’agrément n’ont pas changé avec la loi du 26 janvier 2016. Celles-ci ont été fixées par deux décrets de 2006 et 2011, codifiés aux articles R.1111-9 et suivants du CSP, et précisées par l’ASIP-Santé.

Le délai de traitement de la demande d’agrément est de cinq à huit mois. L’agrément est prononcé par le ministre chargé de la santé, après avis de la CNIL et du Comité d'agrément des hébergeurs de donnés de santé. L’agrément est délivré pour une durée de trois ans. Il peut être retiré en cas de non-conformité de l’hébergeur aux obligations légales, réglementaires ou aux prescriptions fixées par l’agrément. (4)

Il existe actuellement 92 hébergeurs agréés, dont la liste à jour figure sur le site de l’ASIP-Santé. (5)

Le contrat d’hébergement de données de santé :
L’hébergement de données de santé à caractère personnel doit faire l’objet d’un contrat, conclu entre l’hébergeur et le déposant des données (professionnel ou établissement de santé, etc.). Le modèle de contrat est communiqué par le prestataire avec son dossier de demande d’agrément. Ce contrat doit comprendre, a minima, les conditions listées à l’article R.1111-13.

A l’issue de la prestation d’hébergement des données de santé, l’hébergeur restitue les données à la personne qui les lui a confiées sans en garder de copie. Le contrat d’hébergement prévoit les “prestations à la fin de l’hébergement”, à savoir, les conditions de la réversibilité de la base de données à la personne qui les lui a confiées ou au nouveau prestataire d’hébergement.

L’hébergement en dehors du territoire français :
L’obligation de recourir à un hébergeur agréé pour l’hébergement de données de santé recueillies en France peut produire des effets extra-territoriaux. En effet, selon l’ASIP-Santé, rien ne s’oppose à ce qu’une base de données de santé à caractère personnel soit hébergée en dehors du territoire français. Cependant, l’hébergeur étranger est tenu de respecter les conditions légales et réglementaires applicables en France, notamment en matière d’agrément.

De même, les hébergeurs étrangers qui seraient amenés à proposer une prestation d’hébergement de données de santé en France devront s’assurer que leur activité est conforme à la réglementation française.

En outre, en cas de transfert des données de santé à caractère personnel en dehors de l’Union européenne, les parties devront par ailleurs respecter dispositions de la loi Informatique et Libertés applicables. Il conviendra notamment d’être vigilant en cas d’hébergement des données en mode Cloud. (6)


                                                           * * * * * * * * * * * *

(1) Loi n°2016-41 du 26 janvier 2016 de modernisation de notre système de santé et plus particulièrement, voir article 96, codifié sous l’article L.1111-8 du Code de la santé publique

(2) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée, et concernant les données de santé, l’article 8 ; Loi n°2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de soins (dite “Loi Kouchner”) ; Articles L.1110-4, L.1111-7, L.1111-8, R.1110-1, R.1111-1 et suivants du Code de la santé publique; Articles 226-16 et suivants du Code pénal.

(3) FAQ Asip-Santé

(4) Décret n°2006-6 du 4 janvier 2006 relatif à l'hébergement de données de santé à caractère personnel et modifiant le code de la santé publique (dispositions réglementaires) ; Décret n°2011-246 du 4 mars 2011 relatif à l'hébergement de données de santé à caractère personnel sur support papier et modifiant le code de la santé publique et articles R. 1111-9 et suivants du CSP.

(5) http://esante.gouv.fr/services/referentiels/securite/hebergeurs-agrees

(6) Voir également nos précédents articles sur ce sujet publiés sur le blog du Cabinet: “L’hébergement de données de santé en Cloud soumis à des contraintes particulières” et “Données de santé : des obligations de sécurité spécifiques pour les professionnels de santé”

Bénédicte DELEPORTE – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2016

Données de santé : des obligations de sécurité spécifiques pour les professionnels de la santé

Les données de santé sont considérées comme des informations sensibles, et à ce titre, sont soumises à un haut niveau de sécurité, physique et technique. Toutefois, les médias rapportent régulièrement l'existence de fuites de données de patients, par des centres hospitaliers ou des laboratoires d'analyses médicales, retrouvées sur la Toile. (1)

Les professionnels et établissements de santé sont ainsi légalement tenus de préserver la sécurité et la confidentialité des données de leurs patients, le recours à la sous-traitance pour certains traitements de données ou leur hébergement, ne déchargeant pas les professionnels des obligations, comme vient de le rappeler la CNIL.


1. Les obligations de sécurité et de confidentialité des données des patients pesant sur les professionnels de santé

Les informations relatives à l'état de santé physique et psychique d'un patient sont considérées par la loi comme des données sensibles. Le traitement de ces données, notamment leur collecte, utilisation, communication, stockage, destruction, est soumis à des conditions particulières définies dans la loi Informatique et Libertés (art. 8, 34 et 35) et le Code de la santé publique.

Les professionnels et établissements de santé sont tenus de respecter les obligations relatives aux traitements de données à caractère personnel, en leur qualité de responsable du traitement. Parmi ces obligations, la sécurité des données constitue un impératif.

Le Code de la santé publique dispose, en outre, que toute personne prise en charge par un professionnel ou un établissement de santé a droit au respect de sa vie privée et au secret des informations la concernant. Les professionnels de santé, ainsi que ceux intervenant dans le système de santé, sont soumis au secret médical (art. L.1110-4).

Le Code de la santé publique impose aux professionnels de santé le respect de référentiels de sécurité. En pratique, ces professionnels doivent prendre toutes précautions utiles pour empêcher que les données ne soient modifiées, effacées par erreur, ou que des tiers non autorisés aient accès au traitement. Ils sont donc tenus de mettre en oeuvre :

    - des mesures de sécurité physique par un accès contrôlé aux locaux hébergeant les serveurs et par la mise en oeuvre d'une procédure d’habilitation permettant de restreindre l’accès aux seules personnes habilitées, et

    - des mesures techniques par la protection des serveurs par des firewalls, filtres anti-spam et anti-virus, l'accès aux postes de travail par des mots de passe individuels et régulièrement renouvelés, l'utilisation de la carte de professionnel de santé pour accéder aux données, le chiffrement des données, etc.

Afin de garantir la sécurité et la confidentialité des données, il est recommandé aux directeurs d'établissements de santé, publics comme privés, de sensibiliser leur personnel aux bonnes pratiques à adopter. Cette sensibilisation passera par exemple, par des plans internes de formation à la sécurité informatique et l’adoption d’une charte informatique adaptée aux outils et autres moyens informatiques mis à la disposition du personnel.

L’absence de déploiement de mesures de sécurité technique ou la négligence dans le déploiement de mesures adaptées sont considérées comme des atteintes graves à la protection de la vie privée des personnes et sont sanctionnées pénalement (jusqu'à 5 ans d’emprisonnement et 300.000€ d’amende - article 226-17 du code pénal). La violation du secret médical est punie d'un an d'emprisonnement et 15.000€ d'amende.


2. Les obligations de sécurité et de confidentialité des données de santé en cas d'externalisation

L’externalisation est entendue comme la sous-traitance à un prestataire tiers de certains types de traitements sur les données ou l’hébergement des données. Ces prestations restent soumises aux mêmes obligations de sécurité et de confidentialité. L’établissement de santé, considéré comme le responsable du traitement, doit donc s’assurer que son sous-traitant agit en conformité avec les obligations légales.

La sous-traitance  -  Le professionnel ou l'établissement de santé peut décider d'externaliser une partie du traitement des données des patients. Dans ce cas, le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité telles que prévues par la loi.

A ce titre, le contrat conclu entre le sous-traitant et le professionnel de santé doit détailler les obligations du sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoir que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

L'hébergement de données de santé par un tiers  -  En cas d’hébergement par un tiers, le professionnel ou l'établissement de santé devra s'assurer que le prestataire met en oeuvre des mesures de sécurité suffisantes. A ce titre, le professionnel de santé doit faire héberger les données de ses patients chez un prestataire agréé par le ministre chargé de la santé, conformément aux articles L.1111-8 et R.1111-9 du Code de la santé publique.

L'obtention de l’agrément est soumise à la mise en oeuvre (i) de solutions techniques, d'une organisation et de procédures de contrôle assurant la sécurité, la protection, la conservation et la restitution des données hébergées, et (ii) d'une politique de confidentialité et de sécurité. L'hébergeur doit ainsi démontrer sa capacité à assurer la confidentialité, la sécurité, l'intégrité et la disponibilité des données de santé qui lui seront confiées par les professionnels de santé.

La prestation d'hébergement fait l'objet d'un contrat avec le professionnel ou l'établissement de santé, détaillant notamment les prestations fournies et les modalités d'accès aux données.


3. Le rappel des conditions de la protection des données de santé par la CNIL

Malgré ces obligations fortes, de nombreux professionnels et établissements de santé peinent à se mettre en conformité avec la réglementation. Les professionnels des milieux hospitaliers (médecins, infirmiers, etc.), par exemple, ne sont pas toujours informés ni sensibilisés aux règles particulières devant être respectées en matière de sécurité des données. Des données de santé de patients identifiés sont régulièrement accessibles par des sous-traitants intervenant en milieu hospitalier ou dans des laboratoires d’analyses, ou ont même été rendues accessibles en ligne, par simple négligence.

A titre d’illustration, la CNIL, par une délibération du 25 septembre 2013, a mis en demeure publiquement le centre hospitalier de Saint-Malo pour non-respect de la confidentialité des données.

En l'espèce, suite à un contrôle réalisé au sein du centre hospitalier, la CNIL a constaté qu’un des prestataires avait accédé, avec l’accord de l’établissement, aux dossiers médicaux de plusieurs centaines de patients, en méconnaissance totale des dispositions du Code de la santé publique et de la loi Informatique et Libertés relatives au respect de la vie privée des patients et à la sécurité de leurs données.

Le sous-traitant avait été mandaté par le centre hospitalier pour une mission de codage des actes médicaux et paramédicaux. En effet, lors de la prise en charge d'un patient par un centre hospitalier, les actes pratiqués sont codés selon une nomenclature particulière, correspondant au code de remboursement par l'assurance maladie.

Le Code de la santé publique prévoit que les établissements doivent procéder à une analyse de leur activité pour détecter d'éventuelles erreurs de codage. Ces analyses sont généralement sous-traitées par les établissements de santé à des sociétés privées.

Or, la loi soumet le traitement de données à caractère personnel à des fins d'évaluation ou d'analyse des activités de soins et de prévention, à l'obtention d'une autorisation. La CNIL veille ainsi, par le biais de contrôles sur place, dans les établissements de santé, à ce que ces traitements ne portent pas sur les données nominatives des malades.

La mise en demeure prononcée par la CNIL a imposé au centre hospitalier de prendre des mesures garantissant la sécurité et la confidentialité des dossiers médicaux des patients pris en charge et de veiller à ce que ces dossiers ne puissent pas être accessibles aux tiers. En outre, l'établissement de santé devait justifier du respect de cette injonction auprès de la CNIL sous 10 jours.

Dans un communiqué du 17 octobre 2013, la CNIL a annoncé que le centre hospitalier s’était mis en conformité suite à la mise en demeure en mettant en oeuvre plusieurs mesures telles que la suppression de l’accès, par le sous-traitant, aux dossiers médicaux des patients, qui demeurent  désormais sous la seule autorité du médecin responsable de l'information médicale de l'établissement, et la formalisation d’une politique stricte de sécurité des systèmes d’information. (2)

Compte tenu de cette mise en conformité, la CNIL a décidé de clôturer la procédure à l’encontre du centre hospitalier de Saint-Malo.

                                                       * * * * * * * * * *

(1) Voir notamment les articles intitulés "Des centaines de résultats d'analyses médicales accessibles sur internet", publié sur www.rue89.com, le 10 janvier 2012 et "Fuite de données concernant une quarantaine de centres hospitaliers français", publié sur http://www.datasecuritybreach.fr/, le 31 octobre 2013.

(2) Délibération CNIL n°2013-037 du 25 septembre 2013 mettant en demeure le centre hospitalier de Saint-Malo, et Communiqué CNIL intitulé "Clôture de la mise en demeure adoptée à l’encontre du centre hospitalier de Saint-Malo" du 17 octobre 2013.


Bénédicte Deleporte - Avocat
Betty Sfez - Avocat

Deleporte Wentz Avocat

www.dwavocat.com

Novembre 2013

Quel(s) régime(s) de responsabilité pour les sites comparateurs de prix ?

Avec internet, il est devenu beaucoup plus aisé de comparer les offres de produits et de services en quelques clics. Les sites comparateurs de prix jouent ainsi un rôle significatif dans le processus d'achat des consommateurs.

Les sites comparateurs suscitent cependant de nombreuses questions en matière de transparence  et de loyauté des informations, notamment quant au caractère fiable, exhaustif et à jour des informations fournies, la pertinence des critères de comparaison, leur mode de rémunération par les sites marchands référencés ou leur degré d’indépendance vis-à-vis des sites marchands.

Afin d’améliorer leur image et le niveau de confiance en leurs services, la Fevad et le Secrétariat d’Etat chargé de la prospective, de l’évaluation des politiques publiques et du développement de l’économie numérique ont adopté, le 11 juin 2008, une Charte des sites internet comparateurs. Cette charte, signée par les principaux sites comparateurs, comporte d’une part des recommandations relatives aux informations communiquées par les sites comparateurs aux utilisateurs, d’autre part des recommandations relatives aux relations entre les sites comparateurs et les sites marchands. (1)

Cependant, malgré l’adoption de la Charte des sites internet comparateurs, les sites Kelkoo et shopping.com ont été poursuivis pour pratiques trompeuses, pratique commerciale déloyale et contrefaçon de marque. La jurisprudence en résultant permet d’une part de clarifier la qualification juridique de l’activité de comparateur, d’autre part de rappeler leur responsabilité quant au contenu des annonces.


1. La qualification juridique de l’activité de comparateur de prix

S’ils proposent globalement le même type de services, les sites comparateurs ne fonctionnent pas tous sur un modèle unique.

    1.1 Plusieurs modèles de fonctionnement co-existent 
L’objet de tous les sites comparateurs de prix, qu’ils soient généralistes (biens de consommation) ou spécialisés (comparaison en matière de contrats d’assurance ou de voyages par exemple), est de référencer des offres de produits et de services de sites marchands. Le site comparateur permet alors aux internautes, grâce à un moteur de recherches, de rechercher et de comparer les offres de produits et de services des sites marchands référencés, puis d’accéder directement à l’offre de leur choix pour éventuellement commander le produit ou le service concerné sur un site marchand référencé. (2) 

On peut distinguer deux modèles principaux de fonctionnement :

    - Le référencement payant : le référencement des sites marchands sur la plupart des sites comparateurs de prix est régi par des accords commerciaux conclus entre le site comparateur et chaque site marchand. Le comparateur est généralement rémunéré soit au coût par clic (CPC), indépendamment de la transformation du clic sur la page d’annonce du marchand en achat, soit au coût par action ou par acquisition (CPA), si la vente a effectivement lieu. 

    - Le référencement gratuit : d’autres comparateurs (tel Google Shopping) proposent également, parallèlement au référencement payant, un référencement naturel des sites marchands, en “trackant” l’ensemble des offres disponibles en ligne, sous réserve de l'inscription du site marchand sur la plateforme du site comparateur.

Le comparateur joue un rôle d'intermédiaire entre les internautes et les sites marchands référencés sur sa plateforme. Toutefois, la multiplicité des services proposés et les différents modes de rémunération adoptés par ceux-ci soulèvent la question de la qualification juridique de l’activité de comparateur.

    1.2 Le comparateur de prix : courtier ou site publicitaire ?
Les sites comparateurs de prix sont des opérateurs de commerce électronique. Cependant, le rôle joué par ces sites peut relever de la mise en relation entre le consommateur et le site marchand selon le mode du courtage, ou relever de l’activité publicitaire, tel qu’il ressort de l’affaire Kelkoo.

        1.2.1 Opérateur de commerce électronique, courtier et site publicitaire
- L'opérateur de commerce électronique exerce une activité de commerce électronique, telle que définie à l'article 14 de la loi du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN), à savoir : "l'activité économique par laquelle une personne propose ou assure à distance et par voie électronique la fourniture de biens ou de services".

Ces services comprennent "(…) ceux consistant à fournir des informations en ligne, des communications commerciales et des outils de recherche, d'accès et de récupération de données, d'accès à un réseau de communication ou d'hébergement d'informations, y compris lorsqu'ils ne sont pas rémunérés par ceux qui les reçoivent. (...)".

Il ressort de la définition, très large, donnée par cet article que la plupart des sites web peuvent être considérés comme exerçant une activité de commerce électronique.

- Le courtier est un intermédiaire qui met en relation des personnes désireuses de traiter entre elles. Il existe une multitude de types de courtage, du courtier en marchandises (tels les courtiers en vins) aux courtiers en services divers (tels les courtiers en assurances). Le rôle du courtier se limite à rapprocher deux personnes pour qu’elles concluent un contrat entre elles. Le courtier est un commerçant qui agit en toute indépendance. (3)

La plupart des plateformes de mise en relation entre internautes et vendeurs de produits ou services agissent dans le cadre du courtage.

- L’activité est de nature publicitaire lorsqu’elle a pour objet de promouvoir des produits ou services. En matière de commerce électronique, l’article 20 de la LCEN dispose que la publicité doit pouvoir être clairement identifiée comme telle et doit rendre clairement identifiable la personne physique ou morale pour le compte de laquelle elle est réalisée.

Les dispositions de l'article L.121-1 du Code de la consommation relatives aux pratiques commerciales trompeuses sont applicables à la publicité en ligne. Sont notamment considérées comme pratiques commerciales trompeuses, les pratiques qui créent une confusion avec un autre bien ou service ou une marque, les pratiques reposant sur des présentations fausses ou de nature à induire en erreur, l’omission ou la dissimulation d’une information substantielle (telle que les caractéristiques principales du bien ou du service, l’adresse et l’identité du professionnel et le prix TTC et les frais de livraison à la charge de l’acheteur).

La qualification de l’activité du site est donc particulièrement importante compte tenu de l’incidence des obligations qui vont peser sur l’exploitant du service.

        1.2.2 L’affaire Kelkoo : le site comparateur est un site publicitaire
Dans une affaire opposant la société Concurrence, exploitant un magasin de produits électroniques et audiovisuels, à la société Kelkoo, exploitant un site comparateur de prix, la Cour d’appel de Grenoble a jugé, en octobre 2010, que le comparateur n’exerçait pas une activité de courtier mais une activité publicitaire.

En l'espèce, les deux sociétés avaient signé un contrat de partenariat ayant pour objet de promouvoir le site de la société Concurrence à travers la mise en place de liens hypertextes, cliquables à partir du site kelkoo.fr vers le site concurrence.fr., Kelkoo étant rémunéré au clic (CPC). Ce contrat a été résilié, notamment pour non paiement de plusieurs factures à Kelkoo.

En appel, la société Concurrence, qui contestait devoir régler ces factures, invoquait notamment le fait que la société Kelkoo ne respectait pas les règles applicables à la publicité en ligne en ne s’identifiant pas comme site publicitaire et en affirmant que les publicités de la société Kelkoo étaient mensongères et de nature trompeuses.

Kelkoo soutenait pour sa part que l’activité du site relevait du courtage et non de la publicité et  que sa responsabilité était limitée en tant que simple intermédiaire, soumis à une obligation de moyens. A ce titre, le marchand est responsable des informations communiquées au site comparateur relatives à ses offres.

La Cour a jugé que dans la mesure où la rémunération des marchands était réalisée au clic et non sur la base du coût par action/acquisition, le site comparateur n’intervenant pas en qualité d’intermédiaire entre les acheteurs et les vendeurs, la qualification de courtier ne pouvait être retenue. Cependant, en application des dispositions de l’article 14 de la LCEN, le site comparateur opère néanmoins une activité de commerce électronique. La Cour poursuit en qualifiant cette activité de publicitaire.

La Cour en conclut que la société Kelkoo, en qualité de site publicitaire, est tenue de respecter la réglementation en matière de publicité, telle que prévue à l'article 20 de la LCEN et au Code de la consommation. Constatant la non-conformité du site comparateur Kelkoo à la réglementation sur la publicité, la Cour a décidé que celle-ci suivait une pratique qualifiée de trompeuse au sens de l’article L.121-1 du Code de la consommation et qui constitue une pratique commerciale déloyale au sens des dispositions de l’article L.120-1 du même code en omettant de s’identifier comme site publicitaire, de mettre à jour les prix en temps réel, d’indiquer les périodes de validité des offres, d’indiquer les frais en sus du prix, etc. (4)

Dans un arrêt du 29 novembre 2011, la Cour de cassation a partiellement cassé la décision d’appel. Les juges ont en effet estimé que l'éditeur d'un site comparateur de prix, qui ne s'identifie pas comme site publicitaire, ne se rend pas automatiquement coupable de pratique trompeuse.

La Cour affirme que pour être qualifiés de déloyaux, les agissements d'un comparateur doivent avoir faussé le jeu de la concurrence sur le marché et donc altéré le comportement du consommateur. Selon la Cour, les juges d'appel auraient dû vérifier si les omissions reprochées au site internet étaient susceptibles d'altérer de manière substantielle le comportement économique du consommateur. En conséquence, la Cour affirme que pour être qualifiés de déloyaux les agissements d'un comparateur doivent avoir faussé le jeu de la concurrence sur le marché et donc altéré le comportement du consommateur. (5)

On constate donc que la qualification de l’activité des sites comparateurs et les contours de cette qualification sont loin d’être définitivement réglées. S’il ne fait pas de doute qu’un site comparateur exerce une activité de commerce électronique, il reste nécessaire d’analyser les modalités de mise en oeuvre du service par le site comparateur. La qualification de site publicitaire ne nous paraît pas devoir s’appliquer automatiquement à tous les sites comparateurs. Certains sites peuvent relever du courtage, et ce indépendamment du mode de rémunération du site comparateur.


2. Le régime de responsabilité applicable aux sites comparateurs

Quelle que soit la nature juridique de leur activité, restait encore à déterminer le régime de responsabilité applicable aux sites comparateurs de prix. En effet, concernant les contenus (annonces) accessibles en ligne à partir de leurs sites, les comparateurs sont susceptibles de relever soit du régime de l’hébergeur tel que défini à la LCEN, soit du régime de responsabilité de droit commun. Une illustration en a été donnée par le TGI de Paris dans une affaire opposant la société J.M. Weston à Shopping Epinions International.

    2.1 Hébergement ou édition de contenu ?
Lorsque la responsabilité d'un exploitant de site internet est susceptible d'être engagée, il convient de déterminer si l'exploitant relève du régime du droit commun de l'éditeur ou au contraire, s'il peut bénéficier du régime de responsabilité des hébergeurs prévu à l’article 6.I.2 de la LCEN.

        2.1.1 La distinction entre hébergeur et éditeur de contenu
- Les hébergeurs bénéficient d'un régime de responsabilité atténuée sur les contenus hébergés, fournis par des tiers au service. L’hébergeur technique n’est pas, en principe, responsable des contenus fournis par des tiers. Est considéré comme hébergeur, le prestataire technique qui fournit un service de stockage de contenus numériques (textes, photos, vidéos, musique, etc.).

Les hébergeurs ne sont pas soumis à une obligation générale de surveillance des contenus hébergés sur leurs serveurs. Leur responsabilité ne peut être engagée du fait des activités des titulaires des contenus ou des informations qu’ils stockent, sauf s’ils jouent un rôle actif sur ces contenus. En l’absence de connaissance, et donc de contrôle, des contenus (notamment via la modération du site), la responsabilité relevant du régime de l’hébergeur s’appliquera.

- Le régime de responsabilité de l’éditeur n'est pas spécifique à internet. Il s'agit du régime général applicable à l'édition et aux responsables de la publication, sur papier ou sous format électronique, en application notamment de la loi du 29 juillet 1881.

La responsabilité éditoriale signifie que l’exploitant d’un site internet est responsable, en qualité d'éditeur, de tout ou partie du contenu du site. En effet, l’éditeur maîtrise, ou contrôle, les contenus qu’il publie, il en est donc responsable. Sa responsabilité civile et pénale peut être engagée en cas de contenus erronés, diffamants, contrefaisants, contraires à la loi ou à l’ordre public, etc.

Par extension, ce régime de responsabilité éditoriale est appliqué aux exploitants de sites web, à chaque fois qu’ils interviennent sur des contenus fournis par des tiers, par la validation ou la modération des contenus par l’hébergeur, avant leur mise en ligne (ou publication).

        2.1.2 Un site comparateur peut être éditeur du contenu
Dans une affaire opposant la société J.M. Weston, fabricant et distributeur de chaussures, à la société Shopping Epinions International, exploitant le site comparateur Shopping.com, le Tribunal de grande instance de Paris a considéré, dans un jugement du 15 décembre 2011, que le comparateur était un éditeur de contenu au sens de la loi. (6)

En l'espèce, la société Shopping Epinions International était poursuivie par la société J.M. Weston pour contrefaçon de la marque Weston.

La société Shopping Epinions International soutenait que son activité relevait du régime de l’hébergeur dans la mesure où elle exerçait une activité de stockage d’annonces fournies par des tiers, et qu’elle n’était donc pas responsable de ces contenus. 

Le Tribunal, après une analyse des différentes activités du site shopping.com, relève que les opérations techniques de présentation et d’organisation des données, la mise à disposition d’outils de classification des contenus pour assurer une optimisation du site, la sélection des annonceurs, la référence de marchands avec lesquels elle n’avait pas d’accord commercial (référencement naturel) à côté des marchands sous contrat, la présence d’annonces publicitaires sur le site (générant des revenus), et le fait que la société pouvait ajouter ou supprimer certains mots-clés, ne permettaient pas de caractériser une action éditoriale, dans la mesure où des opérations techniques n’impliquent pas la connaissance ou le contrôle des contenus.

En revanche, le Tribunal retient que shopping.com opérait une sélection préalable sur les informations fournies par les sites marchands partenaires (les annonceurs) dans les fiches produits avant de les reproduire dans les annonces. En outre, les conditions générales du service entre la société et les annonceurs accordaient à shopping.com les droits de sélectionner, modifier et adapter le contenu fourni par les annonceurs.

Cette sélection et ce pouvoir d'intervention sur le contenu fourni par les annonceurs supposait une prise de connaissance et un contrôle préalable du contenu mis en ligne par shopping.com. Le site comparateur exerçait donc un rôle actif auprès des annonceurs afin d'optimiser leurs offres. Les juges en ont donc conclu que le site shopping.com relevait du régime de responsabilité de l’éditeur. A ce titre, la société Shopping Epinions a été reconnue comme ayant commis des actes de contrefaçon par reproduction des marques Weston, faisant apparaître sur les moteurs de recherche Google et Yahoo! des annonces publicitaires comportant le signe Weston associé à des chaussures d’autre marque et renvoyant vers le site shopping.com, laissant à penser que des offres de vente de chaussures de marque Weston étaient disponibles depuis le site shopping.com.

La portée de ce jugement est cependant relative. En l’espèce, shopping.com intervenait effectivement sur les contenus fournis par les sites marchands. Cependant, en cas de référencement automatique sur le site comparateur des annonces fournies par les marchands, sans intervention éditoriale du comparateur sur ces contenus, la qualification d’hébergeur aurait été retenue.

    2.2 Le nécessaire respect des obligations applicables à l’activité commerciale
Que le site comparateur relève du régime de responsabilité de l’hébergeur technique ou de l’éditeur, sa responsabilité civile, voire pénale, pourra être engagée en cas de non-respect ou de non-conformité aux obligations dont relève son activité.

Les décisions de justice impliquant les sites Kelkoo et shopping.com respectivement ont retenu la responsabilité de ces sites pour manquement à la réglementation en matière de publicité et de propriété intellectuelle.

        2.2.1 Le respect des règles applicables à la publicité
Comme nous l’avons évoqué plus haut, la Cour d’appel de Grenoble a qualifié l’activité de Kelkoo de publicitaire. Les parties se sont ensuite pourvues en cassation.

Par le biais de deux arrêts, rendus le 29 novembre 2011, la Cour de cassation a retenu :
- d’une part, que l'exploitant d'un site comparateur de prix, qui ne s'identifie pas comme un site publicitaire, n’est coupable de pratique trompeuse, au sens des dispositions de l'article L.121-1 du Code de la consommation que si les omissions reprochées au site internet étaient susceptibles d'altérer de manière substantielle le comportement économique du consommateur ;
- d’autre part, que l'article 20 de la LCEN dispose que toute publicité en ligne doit pouvoir être clairement identifiée en tant que telle. Or, le comparateur Kelkoo a manqué à son obligation de rendre facilement accessible la nature publicitaire de son site internet, le consommateur étant obligé d’ouvrir plusieurs fenêtres de Kelkoo.fr pour être informé du fait qu’il se trouvait sur un site publicitaire. La Cour considère que ce cheminement (ouverture de plusieurs pages successives pour accéder à l’information) est incompatible avec les dispositions de l'article 20 de la LCEN et déclare recevable la demande de la société Concurrence visant à mettre fin à ces pratiques illicites.

        2.2.2 Le respect des règles de la propriété intellectuelle
Dans l'affaire opposant la société J.M. Weston (fabricant de chaussures) à la société Shopping Epinions International, exploitant le site shopping.com, le fabricant affirmait que le comparateur avait commis des actes de contrefaçon de ses marques.

- Au terme de l'analyse d'un premier procès-verbal de constat de 2009, le Tribunal a rejeté la contrefaçon au motif que la marque litigieuse n'apparaissait pas sur le site du comparateur mais que celle-ci était simplement stockée par le comparateur en tant que mot-clé pour provoquer l'apparition d'une annonce (sans reproduction de la marque dans le texte) qui redirigeait vers le site marchand de son annonceur. Conformément à la jurisprudence de la Cour de justice de l’Union européenne, le Tribunal en a conclu que le site comparateur ne faisant pas usage de la marque Weston dans le cadre de sa propre communication commerciale, mais permettant seulement à ses propres clients de faire usage d'un signe identique ou similaire à la marque du fabricant, ne commettait pas des actes de contrefaçon de marque.

- Par contre, au terme de l'analyse d'un second procès-verbal de constat de 2010, le Tribunal a jugé que le comparateur avait commis des actes de contrefaçon des marques du fabricant au motif que la page de résultat des moteurs de recherches Google et Yahoo! faisait apparaître des liens commerciaux ou sponsorisés comportant des annonces reprenant la marque Weston dans le titre ou dans le corps du message promotionnel, alors que le site shopping.com ne proposait pas de chaussures de cette marque. Le Tribunal en a conclu que l'édition d'un tel lien commercial, créant un risque de confusion dans l'esprit de l'internaute d'attention moyenne, constituait un acte de contrefaçon desdites marques par le site shopping.com.


L’activité des sites comparateurs est juridiquement complexe et sa qualification dépend des modalités de mise en oeuvre du service. Comme mentionné dans cet article, plusieurs modèles de sites comparateurs de prix co-existent, identifiés notamment dans l’Avis de l’Autorité de la concurrence du 18 septembre 2012, relatif au fonctionnement concurrentiel du commerce électronique. L’Autorité de la concurrence relève que l’adoption, par les sites comparateurs, de la Charte des sites internet comparateurs permet d’améliorer les conditions de transparence sur le fonctionnement du service, et donc le niveau de confiance des internautes, sachant que le respect de la Charte par les sites adhérents est soumis à des audits de conformité réguliers. L’Autorité émet par ailleurs des pistes d’amélioration en matière notamment d’affichage des prix (et de ce qui est compris dans le prix) et de classement des offres. (7)

PS: mise à jour du 26 décembre 2012:
La Cour de cassation vient de rendre une nouvelle décision relative à un site comparateur de prix le 4 décembre 2012. En l'occurrence, l'absence d'indication claire et facilement accessible à la dinstinction entre ces deux catégories d'annonces, et au fait que les annonces payantes étaient référencées en priorité, ont été considérées comme constitutives  d’une pratique commerciale déloyale et trompeuse. La Cour de cassation a ainsi décidé que "l’absence d’identification claire du référencement prioritaire est susceptible d’altérer de manière substantielle le comportement économique du consommateur qui est orienté d’abord vers les produits et offres des e-marchands “payants” et ne dispose pas ainsi de critères objectifs de choix". (8)

* * * * * * * * * * *

(1) Charte des sites Internet comparateurs, adoptée le 11 juin 2008 avec le soutient de la FEVAD et du Secrétariat d'Etat chargé de la prospective, de l'évaluation des politiques publiques et du développement de l'économie numérique. Les sites comparateurs signataires de la Charte Fevad sont : Easyvoyage, Kelkoo, Leguide.com, Pangora, Pricerunner, Shopping.com, VoyagerMoinsCher, Alibabuy, Anyresa, BilletMoinsCher.com, Sprice, Achetez Facile et AssureMieux.com.
(2) Voir la définition de site comparateur en annexe à la Charte des sites internet comparateurs du 11 juin 2008.
(3) Voir les articles L.131-1 et suivants du Code de commerce.
(4) CA Grenoble, ch.com. 21 octobre 2010, Concurrence / Kelkoo.com
(5) Cour cass. Ch. com., 29 novembre 2011, n°10-27.402 et n°09-13223, Kelkoo / Concurrence.
(6) TGI Paris, 3e ch., 4e section, 15 déc. 2011, J.M. Weston / Shopping Epinions International.
(7) Avis de l'Autorité de la concurrence n°12-A-20 du 18 septembre 2012 relatif au fonctionnement concurrentiel du commerce électronique (p. 33 à 36).
(8) Cass com., 4 décembre 2012, Leguide.com / Pewterpassion.com
 

Bénédicte DELEPORTE - Avocat
Betty SFEZ - Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2012