AI Act : quelles obligations pour les fournisseurs de modèles d’IA à usage général (GPAI) ?

Ce qu’il faut retenir

Le Règlement européen sur l’intelligence artificielle (ou “AI Act”), adopté le 13 juin 2024, marque une avancée déterminante dans l’encadrement des technologies d’IA dans l’UE. Les fournisseurs de systèmes d’IA sont soumis à des obligations particulières en matière de conformité, de gouvernance, de sécurité et de transparence concernant le développement et la mise sur le marché de systèmes d’IA. Ce second article est une synthèse sur les obligations concernant les fournisseurs de modèles d’IA à usage général (GPAI).

 

Lire la suite de l'article:  https://www.deleporte-wentz-avocat.com/actualite-ai-act-quelles-obligations-pour-les-fournisseurs-de-modeles-d-ia-a-usage-general-gpai

AI Act : quelles obligations pour les fournisseurs de systèmes d’IA à haut risque ?

 

 

Ce qu’il faut retenir

Le Règlement européen sur l’intelligence artificielle (ou “AI Act”), adopté le 13 juin 2024, marque une avancée déterminante dans l’encadrement des technologies d’IA dans l’UE. Les fournisseurs de systèmes d’IA sont soumis à des obligations particulières en matière de conformité, de gouvernance, de sécurité et de transparence concernant le développement et la mise sur le marché de systèmes d’IA. Ce premier article est une synthèse sur les obligations concernant les fournisseurs de systèmes d’IA à haut risque.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-ai-act-quelles-obligations-pour-les-fournisseurs-de-systemes-d-ia-a-haut-risque

L’utilisation des dashcams est-elle licite ?

Ce qu’il faut retenir

L’utilisation des dashcams dans les véhicules n’est pas réglementée spécifiquement en France. L’utilisation des enregistrements doit toutefois respecter les règles de droit à la vie privée, de protection des données personnelles et d’admissibilité de la preuve.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-l-utilisation-des-dashcams-est-elle-licite

Intelligence artificielle - une réglementation en construction

 

Ce qu'il faut retenir

L’Union européenne est entrain de construire un droit européen de l’intelligence artificielle : une proposition de règlement, dont l’objet est d’établir des règles harmonisées, a été publiée en avril 2021, axée sur les risques et la responsabilisation des producteurs de systèmes d’intelligence artificielle, suivie de deux propositions de directives le 28 septembre 2022, dont l’objet est de définir et d’encadrer le régime de responsabilité lié aux systèmes d’IA. Ce règlement devrait être adopté d’ici début 2024. Le présent article porte sur la proposition de règlement - ou AI Act.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-intelligence-artificielle-une-reglementation-en-construction

DSA : Proposition de règlement sur les services numériques pour encadrer les fournisseurs de services en ligne

 

Ce qu’il faut retenir

L’objectif du DSA est de réguler les fournisseurs de services “intermédiaires en ligne”, en leur imposant de nouvelles obligations de transparence et de diligence, afin d’améliorer la lutte contre les contenus illicites et la propagation de fausses informations.  

Les règles de responsabilité des “intermédiaires en ligne” ne sont pas profondément modifiées mais sont aménagées pour prendre en compte l’évolution des services numériques et harmoniser la réglementation dans l’Union européenne.

Le DSA prévoit la mise en place de nouvelles procédures de contrôle avec un système de modération des contenus par les plateformes plus transparent, une meilleure identification des vendeurs professionnels par les plateformes, ainsi que des règles de prévention et de transparence spécifiques pour les “très grandes plateformes” en ligne

Enfin, de nouvelles autorités de contrôle seraient créées au niveau des Etats-membres et au niveau communautaire (Comité européen des services numériques - CESN).

Lire la suite de l'article: https://www.deleporte-wentz-avocat.com/actualite-proposition-de-reglement-sur-les-services-numeriques-dsa-pour-encadrer-les-fournisseurs-de-services-en-ligne

DMA : Proposition de règlement sur les marchés numériques pour encadrer les “contrôleurs d’accès”

Ce qu’il faut retenir

Le DMA a pour objectif de réguler le comportement des grandes plateformes numériques, y compris les services de plateforme essentiels, qui agissent en tant que “contrôleurs d’accès” (ou “gatekeepers”) sur les marchés, notamment les GAFAM. Les services concernés comprennent, entre autres, les systèmes d’exploitation, les services de publicité en ligne, les moteurs de recherche, les réseaux sociaux, etc.

Les contrôleurs d’accès seront soumis à un certain nombre d’obligations dans le but d’améliorer la concurrence entre les entreprises utilisatrices et les services proposés par les contrôleurs d’accès.

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-proposition-de-reglement-sur-les-marches-numeriques-dma-pour-encadrer-les-controleurs-d-acces

La fusion entre le CSA et la Hadopi donne naissance à l’Arcom

Selon la Hadopi, la hausse de la consommation de biens culturels dématérialisés s’est accélérée en 2020. Cette accélération a été favorisée par la crise sanitaire et la période de confinement qui ont entraîné la fermeture des lieux culturels (cinémas, théâtres, salles de spectacles). Constat positif mais également négatif puisqu’un quart des internautes français visiterait chaque mois des sites illicites de biens culturels. (1) Face à ce constat, le bilan de la Hadopi relatif à la lutte contre le piratage en ligne des oeuvres audiovisuelles est plus que mitigé, mais reflète cependant les limites de son champ d’action.

Une réforme était donc nécessaire pour tenter de lutter plus efficacement, et plus rapidement, contre les usages illicites sur internet. Celle-ci passe par la réforme, plus large, de l’audiovisuel qui se met enfin en place avec l’adoption, le 25 octobre 2021, de la loi relative à la régulation et à la protection de l’accès aux oeuvres culturelles à l’ère numérique. (2) Cette réforme, annoncée depuis deux ans, consacre la création de l’Autorité de régulation de la communication audiovisuelle et numérique - Arcom, une nouvelle autorité administrative, née de la fusion du Conseil supérieur de l’audiovisuel (CSA) et de la Haute autorité pour la diffusion des oeuvres et la protection des droits sur internet (Hadopi). L’Arcom entrera en activité au 1er janvier 2022.

Cette nouvelle autorité interviendra sur un champ de compétences élargi, avec des agents disposant de pouvoirs d’investigation pour des actions de lutte, on l’espère, plus efficaces contre les sites illicites. 

Lire la suite de l'article: https://www.deleporte-wentz-avocat.com/actualite-la-fusion-entre-le-csa-et-la-hadopi-donne-naissance-a-l-arcom

Non-conformité et infractions au RGPD - quelles sont les actions répressives de la CNIL

Avec l’entrée en application du règlement général sur la protection des données (RGPD) le 25 mai 2018, le montant des sanctions pouvant être prononcées par les autorités de contrôle (dont la CNIL) a été décuplé. De 150.000 à 3 millions d’euros au maximum avec la loi Informatique et Libertés - version pré-RGPD, le montant des amendes administratives peut désormais atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise. Cependant, un an après l’entrée en application du RGPD, 30% des entreprises européennes ne seraient toujours pas en conformité avec le règlement. (1)

La mise en conformité au RGPD est cependant une procédure souvent lourde et coûteuse pour les organismes. Elle implique la revue des process internes, depuis le développement des nouveaux produits ou services (application du principe de “privacy by design” et le cas échéant réalisation d’une analyse d’impact ou PIA), à la révision des produits et services existant et la création de documents de suivi de conformité (registre des traitements notamment).

Les risques de non-conformité à la réglementation sur la protection des données sont nombreux et les sanctions alourdies. L’action répressive de la CNIL comprend toutefois plusieurs étapes avant la prononciation éventuelle d’une sanction pécuniaire.

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-non-conformite-et-infractions-au-rgpd-quelles-sont-les-actions-repressives-de-la-cnil

ICO : des dispositions innovantes dans la loi PACTE pour développer la confiance

Les ICO (“Initial Coin Offering”) permettent aux start-ups et entreprises innovantes de collecter des fonds de manière dématérialisée à l’international.

La loi PACTE, définitivement promulguée le 22 mai 2019, prévoit des dispositions visant notamment à encadrer et sécuriser la procédure de levée de fonds en crypto-actifs, ou ICO. 

 

Lire la suite de l'article :  https://www.deleporte-wentz-avocat.com/actualite-ico-des-dispositions-innovantes-dans-la-loi-pacte-pour-developper-la-confiance

La CNUCED publie une carte de l’état de la protection des consommateurs dans le monde

La Conférence des Nations unies sur le commerce et le développement (CNUCED ou UNCTAD) a publié le “Global Cyberlaw Tracker”, une carte du monde interactive qui permet de visualiser les pays qui disposent de lois (ou de projets de lois) sur la protection des données personnelles, la protection des consommateurs, le e-commerce et la cybercriminalité, et les pays sans réglementation dans ces domaines. (1)

Protection de données personnelles
Selon la CNUCED, à ce jour, 107 pays, dont 66 pays en voie de développement économique, ont adopté des lois de protection de données personnelles. (2) Le taux d’adoption pour les pays d’Asie et d’Afrique est au même niveau, avec seulement 40% des pays de ces deux continents protégeant les données à caractère personnel. Des pays tels que Cuba, le Venezuela, l’Algérie, l’Egypte, le Sénégal, le Myanmar, le Laos ou le Cambodge par exemple n’ont toujours pas adopté de loi sur la protection des données personnelles.

Protection des consommateurs
Alors que plus de la moitié des pays, dont tous les pays économiquement développés, disposent d’une règlementation sur la protection des consommateurs, comprenant des dispositions plus ou moins protectrices des consommateurs, de nombreux pays en voie de développement économique n’ont pas encore adopté de loi dans ce domaine, dont un grand nombre de pays d’Afrique, mais également l’Inde et l’Arabie Saoudite.

Commerce électronique
Le taux d’adoption de lois applicables au commerce électronique est particulièrement élevé dans le monde, notamment comparé au domaine de la protection des consommateurs. 145 pays disposent d’une loi sur le commerce en ligne, dont 104 pays en voie de développement économique. Plusieurs pays d’Afrique sont à la traîne dans ce domaine.

Cybercriminalité 

Enfin, la réglementation sur la lutte contre la cybercriminalité se répand. Ainsi, 138 pays dans le monde (dont 95 pays en voie de développement économique) ont adopté une loi de lutte contre la cybercriminalité. 30 pays n’ont toujours pas de loi dans ce domaine.

                                                                               * * * * * * * * * *

(1) ”Data Protection and Privacy Legislation Worldwide”, UNCTAD

(2) Etude menée sur la base des 194 pays membres de la CNUCED

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2019

Qu’est-ce que le Cloud Act américain ?

L’adoption du “Cloud Act” aux Etats-Unis en 2018 a suscité de nombreuses critiques et fait couler beaucoup d’encre. Afin de mieux comprendre les enjeux de cette législation, nous résumons ci-après ses principales finalités.

Encapsulé dans la loi américaine sur les dépenses 2018 (“Consolidated Appropriations Act”, 2018), le Cloud Act (pour “Clarifying lawful overseas use of data act”), adopté le 23 mars 2018, donne un cadre légal à la saisie d'emails, documents et communications électroniques localisés dans les serveurs de sociétés américaines et de leurs filiales à l’étranger. (1)

Alors que les sociétés internet et technologiques américaines se félicitent de l’adoption de cette loi, les associations de défense des libertés et de la vie privée dont l'union des libertés civiles américaines (ACLU) et l'Electronic Frontier Fondation (EFF) y sont vivement opposées.

Le Cloud Act devient une alternative au processus actuel de partage d'informations d’utilisateurs entre pays, le MLAT (Mutual legal assistance treaty), et dont la mise en oeuvre est plus rapide et simple à exécuter.

Le Cloud Act contient deux grandes séries de dispositions :

    1 - La communication de données par les sociétés américaines
Toute société dont le siège est aux Etats-Unis, ainsi que les sociétés contrôlées par elle, doit communiquer aux autorités américaines, sur leur demande, les données de communication placées sous son contrôle, sans considération du lieu de stockage de ces données ;

    2 - La signature d’accords entre les administrations américaines et étrangères
Le gouvernement américain pourra signer des accords internationaux avec des gouvernements étrangers, permettant aux autorités de chaque pays de demander directement aux fournisseurs de services de communication, de traitement et de stockage électroniques de données relevant de la juridiction de l’autre pays, la divulgation des données de communication les intéressant, sans avoir à passer par les procédures plus lourdes des MLAT ou des commissions rogatoires internationales.

Ces accords internationaux prendront la forme d’executive agreements, à savoir des accords qui ne nécessitent ni l’accord du Sénat (majorité des deux tiers), ni l’adoption d’une loi par les deux chambres du Congrès. Pour entrer en vigueur, il suffira que les deux chambres ne s’y opposent pas par une résolution conjointe dans les 90 jours de leur signature. En contrepartie, de tels accords ne peuvent être signés qu’avec des pays respectueux des droits fondamentaux et des principaux standards démocratiques.

Les demandes de communication de données concernées par ces accords ne peuvent viser que les infractions les plus graves (« serious crime »). L’objectif est d’accélérer la procédure d’investigation par les forces de l’ordre.

Pour l’instant, il existe une incertitude sur le fait de savoir si un executive agreement pourrait être signé avec l’Union européenne plutôt qu’avec chaque Etat-membre, voire même si les Etats-Unis chercheront à signer avec l’Europe. L’UE serait plutôt favorable à la signature d’un accord global.

En conclusion, le Cloud Act s’applique à toute société placée sous la juridiction des Etats-Unis qui contrôle les données informatiques de ses clients (notamment les GAFAM et leurs filiales), quels que soient leur nationalité et le lieu physique où ces données ont été émises ou sont stockées. Il ne s’agit pas d’une nouvelle procédure mais d’une évolution par rapport à la réglementation précédente issue du Stored Communications Act de datant de 1986.

Le Cloud Act, comme le Stored Communications Act, encadre l’accès des autorités américaines aux données de fournisseurs de services de communication, traitement et stockage électroniques de données placés sous la juridiction des Etats-Unis (procédure judiciaire en cours et sous réserve de disposer d’un mandat (ou warrant) délivré par une juridiction, requête par les autorités gouvernementales américaines dans le cadre d’une procédure pénale sous réserve de disposer d’une réquisition judiciaire (ou court order). Le Cloud Act prévoit que le fournisseur de services auquel les données sont demandées a la possibilité de s’y opposer au motif que la demande, si elle devait être satisfaite, le conduirait à méconnaître la législation d’un pays étranger et l’exposerait à des sanctions (situation de conflits de lois).

Le Cloud Act est-il compatible avec le RGPD ?

Le RGPD (art. 44 et suivants) réglemente les conditions dans lesquelles des données personnelles peuvent être transférées vers des pays tiers. Or le Privacy shield, applicable aux transferts entre sociétés européennes et sociétés américaines adhérant au programme, ne couvre pas les entités gouvernementales.

Le transfert de données à caractère personnel aux autorités américaines par une société américaine ou sa filiale, en application d’une demande fondée sur le Cloud Act et non sur un accord international de type MLAT ou la mise en œuvre d’une commission rogatoire internationale, ne serait pas conforme au RGPD. Il conviendra de suivre comment le Cloud Act sera mis en œuvre dans les prochains mois.

                                                       * * * * * * * * * * *

(1) Consolidated Appropriations Act, 2018 et Clarifying lawful overseas use of data act (Cloud Act), adopté le 23 mars 2018

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2019

Publication d’une ordonnance sur le transfert de titres par blockchain

Après une consultation lancée entre mars et mi-mai 2017 sur la transmission de certains titres financiers via la blockchain, dont la synthèse a été publiée courant septembre, un projet d’ordonnance avait été proposé au Gouvernement par la Direction du Trésor. L’objet de cette consultation était de recueillir l’avis des parties prenantes -banques, sociétés de gestion, acteurs de la blockchain, fintechs, sociétés de conseils, sur la réglementation à mettre en place.

L’ordonnance permettant légalement le transfert de propriété de titres financiers par blockchain vient d’être publiée le 8 décembre. (1) Ce texte a été pris en application de l’article 120 de la loi Sapin II du 9 décembre 2016, dont les dispositions permettent notamment d’adapter le droit applicable à certains titres financiers au moyen d’un dispositif d’enregistrement électronique partagé, ou “technologie de registre distribué” (distributed ledger technology ou DLT). (2)

Bien qu’il soit déjà possible d’utiliser une technologie de registre distribué pour la transmission de titres, de nombreuses zones d’insécurité juridique persistent, y compris concernant le droit applicable en matière de propriété du titre et les modalités de règlement.

La majorité des parties prenantes ayant répondu à la consultation estimait néanmoins qu’il était souhaitable de ne pas remettre en cause le cadre juridique actuel de la transmission de titres, même en cas de transfert de propriété via la blockchain. Elles estimaient par ailleurs nécessaire de prévoir un cadre juridique où “l’intervention du législateur se limiterait à assurer la neutralité technologique des exigences de fond pesant sur les acteurs existants”. Ainsi, la blockchain a besoin d’un cadre juridique, mais a minima.

Ce texte, devant entrer en vigueur au plus tard le 1er juillet 2018, viendra modifier le code de commerce et le code monétaire et financier. Cette réforme s'appliquera aux titres financiers pour lesquels le droit européen n’impose pas de passer par un dépositaire central de titres (parts de fonds, titres de créance négociables, actions et obligations non cotées). Un décret en Conseil d'Etat doit fixer les conditions dans lesquelles les titres financiers peuvent être inscrits dans un dispositif d'enregistrement électronique partagé présentant des garanties, notamment en matière d'authentification, au moins équivalentes à celles présentées par une inscription en compte-titres.


                                                                        * * * * * * * * * * *

(1) Ordonnance n°2017-1674 du 8 décembre 2017 relative à l'utilisation d'un dispositif d'enregistrement électronique partagé pour la représentation et la transmission de titres financiers

(2) art. 120 de la loi n°2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (loi “Sapin II”)


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2017

Après le Parlement européen, le CESE publie un avis sur l’intelligence artificielle (IA)

Après les recommandations sur la robotique, émises par le Parlement européen en février dernier (1), le Comité économique social et européen (CESE) vient de se prononcer sur ce sujet dans un avis publié le 31 mai 2017. (2)

L’intelligence artificielle (IA), comme toutes les technologies de rupture, présente de multiples avantages dans de nombreux domaines (industrie, services, éducation, etc.), mais pose également des risques et des défis en matière de sécurité, de contrôle des robots intelligents et de l’IA, ainsi qu’en matière d’éthique et de protection de la vie privée, sans oublier les impacts sur la société et l’économie.


IA et enjeux de société

Le CESE a relevé onze domaines dans lesquels l’IA soulève des enjeux de société et pour lesquels des réponses doivent être apportées : l’éthique ; la sécurité ; la vie privée ; la transparence et l’obligation de rendre des comptes ; le travail ; l’éducation et les compétences ; l’(in)égalité et l’inclusion ; la législation et la réglementation ; la gouvernance et la démocratie ; la guerre ; la superintelligence.


IA et travail : la seconde ère du machinisme

Le CESE se penche également sur l’incidence de l’IA sur le travail, à savoir, l’emploi, les conditions de travail et les régimes sociaux. Selon Erik Brynjolfsson et Andrew McAfee, professeurs à MIT et auteurs de “The Second Machine Age”, il existe une différence majeure entre la première et la seconde ère du machinisme. La première ère du machinisme a consisté dans le remplacement de la force musculaire (animale, humaine) par les machines. Les répercussions ont porté principalement sur les travailleurs manuels et peu qualifiés. Or avec la seconde ère du machinisme, tous les secteurs de l’industrie et de l’économie sont concernés. Les machines “intelligentes” développent des compétences cognitives et peuvent réaliser des prestations intellectuelles. Ainsi, les répercussions porteront non seulement sur les travailleurs peu qualifiés, mais aussi sur les travailleurs diplômés.

De nombreuses catégories d’emplois, aujourd’hui tenus par des humains, devraient disparaître dans les décennies à venir, au profit de robots plus ou moins intelligents et plus ou loins autonomes. Toutefois, de nouveaux emplois devraient voir le jour, bien que l’on ne soit pas en mesure aujourd’hui de prédire leur nature ou leur nombre. En conséquence, l’un des points fondamentaux sera de permettre au plus grand nombre d’acquérir et de développer des compétences numériques.


IA et réglementation

Un autre point abordé par le CESE concerne la réglementation. Le Comité a d’ores et déjà identifié 39 règlements, directives, déclarations et communications qui devront être révisés ou adaptés par l’UE, ainsi que la Charte européenne des droits fondamentaux pour prendre en compte l’IA.


Des préconisations communes à celles du Parlement européen ...

Certaines des préconisations du Comité rejoignent celles émises par le Parlement européen. Le CESE préconise notamment :

    - l’instauration d’un code européen de déontologie pour le développement, le déploiement et l’utilisation de l’IA, “afin que les systèmes d’IA demeurent, tout au long de leur processus d’exploitation, compatibles avec les principes de dignité humaine, d’intégrité, de liberté, de respect de la vie privée, de diversité culturelle et d’égalité entre hommes et femmes, ainsi qu’avec les droits fondamentaux”. Ainsi, les questions éthiques concernant le développement de l’IA doivent être abordées. Les systèmes d’IA doivent être développés et déployés “dans les limites de nos normes, valeurs et libertés fondamentales et des droits de l’homme”. Ces règles devraient s’appliquer, de manière uniforme, à l’échelle mondiale ;

    - la mise en place d’un système européen de normalisation pour la vérification, la validation et le contrôle des systèmes d’IA, fondé sur des normes de sécurité, de transparence, d’intelligibilité et d’obligation de rendre des comptes. Le Comité reconnaît que la robotique doit être réglementée au niveau pan-européen, notamment pour des raisons concurrentielles sur le marché mondial.


Mais une divergence de fond sur le statut juridique du robot

Enfin, et contrairement au Parlement européen, le Comité se prononce contre la création d’une personnalité juridique spécifique pour les robots. Le CESE prône une approche dite “human-in-command” de l’IA, reposant sur un développement responsable, sûr et utile de l’IA, dans le cadre duquel “les machines resteraient les machines, sous le contrôle permanent des humains”. Pour le CESE, une personne physique devra toujours rester responsable en dernier ressort.


     Le Comité économique social et européen, en qualité de représentant de la société civile européenne souhaite poursuivre la réflexion sur l’IA en y associant toutes les parties prenantes concernées dans les domaines de la politique, de l’économie et de l’industrie, la santé et l’éducation notamment. En effet, compte tenu de la nature transverse des questions posées par l’évolution de l’IA et de ses impacts multiples sur la société, le débat doit couvrir tous les pans de la société sur lesquels l’IA est susceptible d’avoir une incidence.

                                                                      * * * * * * * * * * * *

(1) “Résolution du Parlement européen du 16 février 2017 contenant des recommandations à la Commission concernant des règles de droit civil sur la robotique” (2015/2103(INL)), et voir notre article “De la science-fiction au droit : vers un cadre juridique européen de la robotique à l’aube d’une nouvelle révolution industrielle” publié en mai 2017

(2) Avis du Comité économique et social européen “L’intelligence artificielle – Les retombées de l’intelligence artificielle pour le marché unique (numérique), la production, la consommation, l’emploi et la société”, 31 mai 2017, (INT/806 – EESC-2016-05369-00-00-AC-TRA (NL))
 

Photo © ClaudeAI.uk (https://claudeai.uk/ai-blog/ ) 

 

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juillet 2017

La réforme du droit de la consommation et la nécessaire révision des conditions générales

Le droit applicable aux contrats conclus en ligne (CGV/CGU) a évolué de manière notable ces trois dernières années, avec la promulgation de plusieurs lois ayant notamment réformé le droit de la consommation. Il est donc très important pour les éditeurs de sites de e-commerce de revoir et mettre à jour leurs conditions générales de vente ou d’utilisation. En effet, les conditions générales ne doivent pas rester figées dans le temps, au risque de devenir obsolètes, et de ne plus être applicables en cas de litige. Compte tenu des évolutions législatives et jurisprudentielles, ce document doit être mis à jour régulièrement afin de rester conforme à la loi.

Par ailleurs, même si les CGV n’étaient jusqu’ici pas obligatoires, elles étaient en pratique déjà couramment utilisées à l’égard des consommateurs par la plupart des sites marchands. (1) La loi du 17 mars 2014 relative à la consommation a renforcé les obligations d’information pré-contractuelle et contractuelle du consommateur, rendant les CGV quasiment obligatoires. (2) En outre, les professionnels doivent désormais proposer le recours à un médiateur pour résoudre leurs litiges avec les consommateurs. Enfin, de nouvelles obligations concernant les plateformes d’intermédiation et les comparateurs en ligne ont été introduites dans le code de la consommation, avec l’entrée en vigueur de la la loi pour une République numérique du 7 octobre 2016.


1. La réforme du droit de la consommation

La loi du 17 mars 2014 (“loi Hamon”) a modifié le droit de la consommation, dont certaines règles applicables à la vente en ligne aux consommateurs (B-to-C). Cette réforme, qui transpose la directive européenne “droit des consommateurs” du 25 octobre 2011, est entrée en application par étapes, entre mars 2014 et octobre 2016. (3)

La réforme du droit de la consommation a renforcé l’obligation d’information pré-contractuelle, l’information sur les garanties, le délai de livraison et le transfert des risques. Ces informations, qui doivent être communiquées au consommateur de manière lisible et compréhensible (art. L.111-1 et s. et art. L.221-5 et s.du Code de la consommation), comprennent entre autres :
    - les coordonnées du vendeur professionnel ;
    - la description des caractéristiques essentielles du bien ou du service proposé ainsi que son prix ;
    - si le contrat n’est pas exécuté immédiatement, la date ou le délai de livraison (à défaut de fixation de délai, le professionnel doit s’exécuter au plus tard 30 jours après la conclusion du contrat) ;
    - les informations relatives à l’existence et aux modalités de mise en œuvre des garanties et autres conditions contractuelles. A noter que la garantie de conformité est passée de six mois à deux ans, sauf pour les biens d’occasion (art. L.217-7 code de la consommation) ;
     - l’indication des frais de livraison et autres frais qui viendraient s’ajouter pour le traitement de la commande ;
    - l’existence (ou non) d’un droit de rétractation (conditions et modalités d’exercice du droit de rétractation, frais de renvoi du bien, formulaire type de rétractation), le délai de rétractation étant passé à 14 jours à compter de la réception du bien par le consommateur ou de la conclusion du contrat de service. A défaut d’information relative au droit de rétractation, le délai pour retourner le bien au vendeur est étendu à douze mois (art. L.221-18 et s. Code de la consommation).

Enfin, le risque de perte ou de détérioration du bien est désormais transféré au consommateur au moment de la prise de possession du bien par celui-ci, sauf si le consommateur a choisi un transporteur autre que celui proposé par le professionnel. Dans ce cas, le risque est transféré au consommateur au moment de la remise du bien au transporteur.

En cas de litige, le vendeur professionnel devra établir la preuve de la communication de ces informations au consommateur.


2. Le règlement extra-judiciaire des litiges de consommation

L’ordonnance du 20 août 2015 relative au règlement extra-judiciaire des litiges de consommation est entrée en application début janvier 2016. Ces nouvelles dispositions, figurant dans le code de la consommation, consacrent la faculté pour les consommateurs, de recourir à un médiateur de la consommation pour régler un litige avec un professionnel. L’objectif de ce mode alternatif de règlement des litiges est d’éviter les actions judiciaires, en particulier lorsque le litige porte sur un faible montant. (4)

Ces dispositions s’appliquent non seulement au commerce traditionnel en magasin, mais également au commerce en ligne, pour la vente de produits ou de services entre professionnels et consommateurs (B-to-C). A ce titre, le vendeur professionnel en ligne a l’obligation de proposer aux consommateurs le recours effectif à un dispositif de médiation, en les informant sur la mise à disposition sur son site internet, d’un lien électronique vers une plateforme de Règlement des Litiges en Ligne (“RLL”). (5) Ce dispositif peut être mis en place par l’entreprise ou s’appliquer à l’ensemble des entreprises d’un domaine d’activité. Il est à noter que le professionnel est dans l’obligation de proposer la médiation, mais il ne peut pas l’imposer. Le consommateur reste libre de porter le litige directement devant les tribunaux.

Tout manquement à ces obligations est passible d’une amende administrative de 15.000 euros pour les personnes morales.

Certaines conditions doivent néanmoins être remplies pour pouvoir recourir à une médiation. (6) Pour que le médiateur examine la demande du consommateur :
    - ce dernier doit avoir tenté, au préalable, par une réclamation écrite, selon les modalités prévues, ou selon le contrat, de régler le conflit directement avec le vendeur professionnel ;
    - la demande du consommateur ne doit pas être manifestement abusive ou infondée ;
    - le litige ne doit pas être examiné, ou en cours d’examen, par un autre médiateur ou par un tribunal ;
    - le consommateur doit avoir envoyé sa demande dans un délai d’un an à compter de sa réclamation écrite auprès du professionnel ; enfin
    - le litige doit entrer dans le champ de compétence du médiateur.

S’il est fait appel à un médiateur, celui-ci doit faire connaître aux parties sa solution par courrier simple ou électronique. Il doit rappeler aux parties qu’elles sont libres d’accepter, ou de refuser, sa solution et qu’elles peuvent exercer un recours judiciaire. La réponse du médiateur doit intervenir dans un délai de 90 jours à compter de la notification, délai qui peut être prolongé. Sa proposition de solution doit contenir un délai d’acceptation ou de refus et doit exposer les effets en cas d’acceptation de la solution.

La médiation des litiges de consommation est soumise à la confidentialité.


3. Les nouvelles obligations d’information des plateformes d’intermédiation et des comparateurs en ligne

La loi pour une République numérique du 7 octobre 2016 a également apporté des modifications pour certaines catégories d’activités en ligne entre professionnels et consommateurs. (7) Ces obligations de loyauté et de transparence concernent les opérateurs de plateformes en ligne, à savoir les plateformes de mise en relation en vue de la vente d’un bien ou de partage d’un service et les comparateurs en ligne (art. L.111-7 et s. Code de la consommation).

Ainsi, le code de la consommation définit désormais les “opérateurs de plateformes en ligne” comme les personnes physiques ou morales proposant, à titre professionnel, de manière rémunérée ou non :
    i) un service de classement ou de référencement, au moyen d'algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers (sites comparateurs par exemple) ; ou
    ii) un service de mise en relation de plusieurs parties en vue de la vente d'un bien, de la fourniture d'un service ou de l'échange ou du partage d'un contenu, d'un bien ou d'un service (plateforme de vente de biens, ou de partage de services par exemple).

Les éditeurs de plateformes d’intermédiation en ligne doivent délivrer à leurs utilisateurs une information “loyale, claire et transparente”, comportant les conditions générales d'utilisation du service d'intermédiation qu'il propose, la qualité de l'annonceur et les droits et obligations des parties en matière civile et fiscale, lorsque des consommateurs sont mis en relation avec des professionnels ou des non-professionnels. A ce titre, les plateformes d’intermédiation doivent mettre à la disposition des vendeurs professionnels un espace leur permettant de communiquer aux consommateurs les informations précontractuelles prévues à l’article L.221-5 du code de la consommation (coordonnées du vendeur, caractéristiques des biens et services proposés, etc.).

Les éditeurs de sites de comparaison en ligne (comparaison des prix et des caractéristiques de biens et de services proposés par des professionnels) doivent communiquer aux consommateurs les informations portant sur les éléments de la comparaison et identifier le contenu publicitaire. Le site de comparaison doit comprendre une rubrique sur le fonctionnement du service, accessible sur toutes les pages du site, et comportant un certain nombre d’informations, telles que : les modalités de référencement, de classement et de déréférencement des contenus (biens ou services) mis en ligne, l’existence d’un lien contractuel, capitalistique ou d’une rémunération susceptible(s) d’influencer le classement ou la présentation des contenus référencés.

Enfin, l’un des objectifs de la loi pour une République numérique est la lutte contre les faux avis d’utilisateurs. A cette fin, de nouvelles dispositions sont désormais prévues dans le code de la consommation imposant aux sites fournissant, à titre principal ou accessoire, un service de publication d’avis en ligne de consommateurs (comprenant la collecte, la modération, ou la diffusion des avis) de délivrer une information loyale, claire et transparente sur les modalités de publication et de traitement de ces avis (art. L.111-7-2 du Code de la consommation). Le site doit informer les utilisateurs si les avis font l’objet d’un contrôle ou d’une modération avant leur publication, ainsi que la date des avis.


    Comme on peut le constater, ces nouveaux textes renforcent les obligations d’information du consommateur, celle-ci devant être loyale, claire et transparente. Ainsi, les sites de e-commerce en activité, sites de vente de biens ou de services, mais également les sites d’intermédiation en ligne et de comparaison doivent mettre à jour leurs conditions d’utilisation ainsi que leur site afin de rester en conformité avec le droit en vigueur.

Il convient de mentionner, par ailleurs, la réforme du droit des contrats, entrée en vigueur le 1er octobre 2016. Le nouveau droit des contrats met notamment l’accent sur la bonne foi pendant la période précontractuelle, mais également pendant l’exécution du contrat. Cette obligation se retrouve dans les notions de loyauté et de clarté mentionnées plus haut. En matière de commerce en ligne, outre la conformité des conditions d’utilisation au droit, il conviendra de s’assurer que celles-ci sont rédigées en termes clairs et compréhensibles pour le consommateur.

Le non-respect de ces obligations de fond (conformité légale) et/ou de forme (CGV claires et compréhensibles) pourrait être considéré par les tribunaux comme une pratique commerciale déloyale ou trompeuse et exposer les contrevenants à des sanctions pénales (amendes) importantes.


                                                               * * * * * * * * * * * *

(1) Dans la suite de cet article, nous n’emploierons que le terme “CGV” pour désigner les contrats conclus en ligne, qu’il s’agisse des conditions générales de vente pour les sites de vente de biens  (CGV) ou conditions générales d’utilisation pour les sites proposant des services (CGU).

(2) Loi n°2014-344 du 17 mars 2014 relative à la consommation (“loi Hamon”) ; Ordonnance n°2016-301 du 14 mars 2016 relative à la partie législative du code de la consommation et Décret n° 2016-884 du 29 juin 2016 relatif à la partie réglementaire du code de la consommation

(3) Directive 2011/83/UE du Parlement européen et du Conseil du 25 octobre 2011 relative aux droits des consommateurs

(4) Ordonnance n°2015-1033 du 20 août 2015 relative au règlement extra-judiciaires des litiges de consommation, codifiée aux articles L.611-1 et suivants du Code de la consommation

(5) Voir article 14 du règlement (UE) n°524/2013 du Parlement européen et du Conseil du 21 mai 2013 relatif au règlement en ligne des litiges de consommation

(6) Article L.612-2 du Code de la consommation

(7) Loi n°2016-1321 du 7 octobre 2016 pour un République numérique et article L.111-7 du Code de la consommation


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2017

Nouvelles obligations d’information des utilisateurs par les plateformes de mise en relation par voie électronique

La loi de finances pour 2016 instaure de nouvelles obligations déclaratives à la charge des plateformes de vente en ligne, depuis le 1er juillet 2016. Ces obligations s’appliquent aux sites de mise en relation entre acheteurs et vendeurs, à savoir les sites permettant la vente d’un bien, la fourniture d’un service ou l’échange ou partage d’un bien ou d’un service, tels que Leboncoin, Airbnb, Uber ou Blablacar par exemple. 

Bien que les revenus issus de ces activités soient en principe soumis à l’impôt sur le revenu, les vendeurs déclarent très rarement.

Ces nouvelles obligations se déclinent de la manière suivante :

1 - Tout d’abord, les plateformes doivent d’une part fournir une information “loyale, claire et transparente” concernant les obligations fiscales et sociales qui incombent aux utilisateurs lors de chaque transaction réalisée par l’intermédiaire du site. Ces informations sont par ailleurs disponibles sur le site de l’administration fiscale. Un lien vers les sites des administrations devra figurer sur la plateforme afin de permettre aux vendeurs de se conformer à leurs obligations.

2 - Chaque année, au mois de janvier, les plateformes devront adresser aux vendeurs un document récapitulant le montant brut des transactions qu’ils ont perçu, par leur intermédiaire, au cours de l’année précédente, dont elles ont connaissance.

3 - Enfin, avant le 15 mars de chaque année (la première fois, le 15 mars 2017), les plateformes devront faire certifier par un tiers indépendant le respect des obligations susvisées (information des utilisateurs et envoi des documents récapitulatifs) et communiquer ce certificat par voie électronique à l’administration fiscale. L’absence de communication de ce certificat est passible d’une amende de 10.000 euros, sauf si l’exploitant de la plateforme envoie le certificat dans un délai de 30 jours.

Ces obligations s’appliquent d’une part aux entreprises, quel que soit le lieu de leur établissement, qui exploitent un site à destination du marché français, d’autre part aux utilisateurs résidant en France ou qui réalisent des ventes ou des prestations de services en France.

                                                                   * * * * * * * * * * * *

(1) CGI, articles 242 bis et 1731 ter. ; LPF, articles L.102 AD et L.80 P

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2016

Nouvelle convention fiscale de non double imposition entre la France et Singapour : les conditions de retenue à la source pour les prestations de services

Une société étrangère fournissant des prestations - y compris des services de consultant, des prestations de développement de logiciel ou de sites web, des services de Cloud computing, etc. à une entreprise située à Singapour (à savoir une société de droit singapourien ou une société de droit étranger disposant d’un établissement stable à Singapour) est en principe soumise à une retenue à la source (ou "withholding tax") de 15% pour les revenus réalisés à Singapour. (1)

Cette retenue à la source est applicable aux prestations réalisées par la société étrangère sur le territoire de Singapour. En revanche, si les prestations sont réalisées à distance, en dehors de Singapour, et que les résultats sont ensuite envoyés ou mis à disposition au client à Singapour, les revenus ne seront pas soumis à cette retenue à la source.

La retenue à la source peut être réduite, voire supprimée, s’il existe une convention fiscale entre Singapour et le pays de la société fournissant la prestation de service.

La république de Singapour a signé plusieurs conventions de non double imposition avec des pays étrangers, dont la France.

Une nouvelle convention évitant les doubles impositions entre Singapour et la France est entrée en vigueur le 1er juin 2016. Cette convention remplace une convention plus ancienne, datant du 9 septembre 1974. (2)

Ainsi, pour des entreprises françaises du secteur IT qui fourniraient des prestations à des sociétés singapouriennes, l’application de la convention de non double imposition signifie que, sous réserve que la société française n’ait pas d’établissement stable à Singapour (tel que défini à l’article 5 de la convention), les revenus réalisés et facturés par cette société française seront imposés en France, et non à Singapour. La société singapourienne qui paiera les prestations (redevances) au prestataire français n’aura pas à appliquer de retenue à la source, sous réserve de remplir les conditions sus-mentionnées. (3)

Singapour est un partenaire commercial d’importance pour la France. Un nombre croissant de sociétés françaises choisissent Singapour, souvent comme “hub” et point d’entrée dans le marché de l’ASEAN, pour développer leurs activités vers l’Asie. Le renouvellement de cette convention de non double imposition entre les deux pays devrait être perçu comme une incitation à l’accélération de leurs relations commerciales bilatérales.

Pour toute question fiscale spécifique, notamment concernant les problèmes de retenue à la source, de TVA et de GST, il est recommandé de consulter un avocat fiscaliste.


                                                                 * * * * * * * * * * *

N.B. : dans ce court article, nous nous concentrons sur les sociétés de services et la problématique de la retenue à la source. On notera cependant que la convention fiscale couvre de nombreux domaines non abordés ici.

(1) Le taux applicable dépend du service fourni et du type de paiement. Pour de plus amples informations, il est recommandé de se rendre sur le site du Inland Revenue Authority of Singapore (www.iras.gov.sg)

(2) Convention entre le gouvernement de la République française et le gouvernement de la République de Singapour tendant à éviter les doubles impositions et à prévenir l’évasion fiscale en matière d’impôts sur les revenus, conclue le 15 janvier 2015 et entrée en vigueur le 1er juin 2016. La précédente convention avait été conclue le 9 septembre 1974 et était entrée en vigueur le 1er août 1975.

(3) Voir l’article article 7 par.1 de la Convention, “Bénéfices des entreprises”


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2016

Adoption du Règlement européen sur la protection des données personnelles : le compte à rebours de la mise en conformité a commencé

Après plus de quatre ans de discussions au niveau européen, le règlement général sur la protection des données (ou RGPD) a enfin été promulgué le 27 avril 2016. Le règlement sera applicable dans tous les Etats membres dans deux ans, à partir du 25 mai 2018. (1) Le compte à rebours de la mise en conformité a donc commencé à courir pour tous les organismes en charge de traitements de données à caractère personnel.

Il convient de noter que ce règlement fait partie d’une réforme globale de la législation européenne sur la protection des données (le “paquet sur la protection des données”) comprenant également une directive sur les données traitées par les autorités policières et judiciaires européennes.


1. Le RGPD, socle du droit européen des données personnelles

Le RGPD a pour effet d’abroger la directive 95/46 CE du 24 octobre 1995 sur la protection des données personnelles. Ce texte, qui s’appliquera uniformément dans l’Union européenne,  constituera le socle de base en matière de réglementation des données personnelles en Europe, avec un ensemble unique de règles (à quelques exceptions près).

Le RGPD s’appuie sur le droit existant de la protection des données personnelles. Ainsi, les principes relatifs aux traitements de données à caractère personnel, notamment les principes de licéité, de loyauté et transparence des traitements, les principes de finalité déterminée, d’adéquation des traitements, de conservation pour une durée limitée et de sécurité des données sont rappelés à l’article 5.

Toutefois, compte tenu des évolutions techniques et comportementales intervenues depuis la directive d’octobre 1995, il était important d’adapter la réglementation et de mettre en place des règles plus homogènes au sein de l’Union européenne. Il s’agit cependant d’un texte complexe, comprenant 173 considérants et 99 articles, quand la directive ne comprenait que 34 articles.

Nous faisons un point ci-dessous sur les principales dispositions du RGPD, concernant les droits des personnes d’une part, puis les droits des entreprises d’autre part.


2. RGPD et droits des personnes

Concernant les droits des personnes, plusieurs dispositions du RGPD ont pour effet de renforcer les droits existants sur leurs données personnelles. Les principales évolutions concernent notamment :

    - Le renforcement des conditions de l’obtention du consentement des personnes (art. 7): les termes relatifs au consentement doivent être rédigés de manière claire et explicite. La personne concernée pourra à tout moment revenir sur son consentement. La charge de la preuve de l’obtention du consentement repose sur le responsable de traitement qui devra être en mesure de démontrer que la personne concernée a donné son consentement au traitement de données la concernant.

    - La modification du droit à l’information dans le sens de la transparence et de la simplification (art. 12, 13 et 14) : l’information doit être concise, claire, compréhensible et facilement accessible. Elle doit être rédigée en termes clairs et simples, en particulier lorsqu’elle est destinée aux enfants.

    - Le règlement consacre le “droit à l’oubli numérique” (ou droit à l’effacement), comme défini par la Cour de justice de l’Union européenne dans son arrêt “Google Spain” du 13 mai 2014. (art. 17) La personne concernée a le droit de demander au responsable de traitement la suppression de ses données personnelles dans les meilleurs délais. La suppression est cependant soumise à un certain nombre de conditions (notamment concernant le droit à l’information) et n’est pas automatique. Ces conditions et limites au droit à l’oubli sont définies par la jurisprudence depuis 2014.

    - Le droit à la portabilité des données est un nouveau droit pour les personnes (art. 20). Sauf conditions particulières, celles-ci pourront demander au responsable de traitement de récupérer ou transmettre leurs données personnelles collectées pour transfert à un nouveau responsable de traitement (par exemple, transferts entre services similaires proposés par des concurrents). Afin d’éviter les blocages ou le contournement de cette obligation, le responsable de traitement doit communiquer les données dans un format structuré, couramment utilisé et lisible par la machine.

    - Enfin, le règlement consacre le principe d’une protection spécifique des données personnelles des mineurs de moins de 16 ans (art. 8). Les enfants utilisent de plus en plus les services internet pour communiquer (réseaux sociaux, tchat, SMS, MMS). Le RGPD reconnaît la nécessité d’accorder une protection particulière à leurs données. Le 38é considérant dispose que les enfants doivent bénéficier d’une protection spécifique dans le cadre de l’utilisation de leurs données personnelles à des fins de marketing ou de création de profils utilisateurs. Lorsque des services en ligne sont destinés aux enfants, les traitements de données de mineurs de moins de 16 ans (ou 13 ans dans les Etats membres qui ont fixé cette limite d’âge) seront soumis à l’accord ou l’autorisation de la personne exerçant l’autorité parentale. Le responsable de traitement devra mettre en oeuvre des moyens “raisonnables”, prenant en compte les technologies disponibles, pour s’assurer du caractère effectif de l’accord parental.


3. RGPD et droits des responsables de traitement

Concernant les droits des responsables de traitement (entreprises et autres organismes traitant des données personnelles), on notera une simplification des formalités, mais des obligations plus strictes à leur égard. Par ailleurs, le plafond des sanctions est nettement plus élevé que dans la réglementation actuelle. Les principales évolutions concernent notamment :

    - Le recours aux traitements automatisés et aux techniques de profilage - qui prennent un nouvel essor avec le déploiement des techniques liées au Big data notamment, sera encadré (art. 22). Ces traitements seront autorisés sous certaines conditions et si la personne a donné son consentement.

    - Le responsable de traitement devra déployer des règles internes claires et facilement accessibles afin de garantir et démontrer le respect de la réglementation en matière de recensement des traitements, de sécurité, et le cas échéant d’accomplissement des formalités préalables et de désignation d’un délégué à la protection des données (notion d’“accountability”) (art. 5 et 24).

    - Lors du développement de nouveaux produits ou services, les responsables de traitement devront intégrer par défaut la protection des données personnelles dans la définition des moyens de traitement et dans le traitement lui-même (principe de “protection de la vie privée dès la conception” ou “privacy by design”) (art. 5 et 25).

    - Le règlement crée la notion de co-responsables de traitement (art. 26) afin de prendre en compte l’évolution des techniques, et notamment l’essor des services de Cloud computing, pour lesquels l’entité qui collecte les données ne contrôle plus nécessairement les moyens de traitement de ces données. Deux responsables de traitement peuvent donc co-exister, à savoir, d’une part l’entité qui collecte et utilise les données, et d’autre part, l’entité qui détermine les moyens techniques du traitement (souvent, l’hébergeur ou le prestataire de services Cloud, sous-traitant de l’entité qui collecte les données). En cas de co-responsabilité, les co-responsables de traitement devront déterminer les périmètres respectifs de leur responsabilité dans le cadre de la mise en oeuvre de leurs obligations, notamment vis-à-vis des personnes. Les sous-traitants voient donc leur responsabilité reconnue au même titre que celle de leur client. Il s’agit d’un régime de responsabilité conjointe.

    - Le règlement supprime l’obligation de déclaration préalable d’un traitement de données,  (art. 30) sauf en cas de transfert de données hors de l’Union européenne pour lequel un régime spécifique a été instauré. En contrepartie, le responsable de traitement est tenu (i) soit de tenir un registre interne recensant les traitements mis en œuvre, (ii) soit de se conformer à une consultation préalable de l’autorité de supervision pour les cas où la mise en place des traitements a nécessité une étude d’impact et comporte des risques particuliers.

    - Le règlement prévoit des règles de sécurité accrues pour la protection des données à caractère personnel, en étendant l’obligation de notification des failles de sécurité à tous les responsables de traitement (art. 5, et 32 à 34). Actuellement, cette obligation ne s’impose qu’aux opérateurs de communications électroniques et aux opérateurs d’importance vitale (OIV).

    - Un délégué à la protection des données devra être désigné dans les entreprises ayant pour “activité de base” la gestion de données personnelles “à grande échelle” ou le contrôle et suivi du comportement des personnes (art. 37, 38 et 39). Le délégué à la protection des données (qui remplacera le correspondant informatique et libertés - CIL en France) devra être compétent en droit et en matière de protection des données personnelles. Il pourra être salarié du responsable de traitement ou du sous-traitant ou être externe à l’entreprise.

    - Les règles de transfert des données hors Union européenne évoluent peu (art. 44 à 50). Le principe reste l’interdiction de transférer des données personnelles en dehors de l’Union européenne, vers des pays n’offrant pas un niveau de protection adéquat, sauf si l’un des outils permettant de protéger les données est mis en place entre le responsable de traitement européen et son sous-traitant ou sa filiale (clauses contractuelles-types définies par la Commission européenne, règles d’entreprise contraignantes (“Binding corporate rules” - BCR), ou code de conduite).

    - Les entreprises présentes dans plusieurs Etats membres désigneront une autorité de contrôle comme autorité principale compétente, notamment en cas de litige (art. 56). Cette autorité de contrôle principale sera compétente sur la base du critère de l’établissement principal, entendu comme le lieu où sont prises les principales décisions quant aux finalités, conditions et moyens de traitement de données à caractère personnel.

    - Le règlement prévoit un pouvoir de sanction par les autorités de contrôle plus large et dissuasif (art. 83). Selon le type de violation retenu, les autorités de contrôle pourront prononcer des amendes administratives pouvant s’élever soit à 10 millions d’euros ou 2% du chiffre d’affaires total mondial de l’entreprise pour l’exercice précédent, le montant le plus élevé étant retenu, soit à 20 millions d’euros ou 4% du chiffre d’affaires total mondial de l’entreprise pour l’exercice précédent.

Enfin, il convient de noter que le RGPD a vocation à s’appliquer non seulement au sein de l’Union européenne, mais qu’il produira également des effets extra-territoriaux (art. 3 et 27). Ainsi, le règlement s’appliquera :
    - aux responsables de traitement situés dans l’Union, que le traitement soit réalisé ou non sur le territoire de l’Union européenne, et
    - aux traitements de données personnelles de citoyens et résidents d’un pays membre, réalisés par un responsable de traitement ou un sous-traitant non situé dans l’UE, dès lors que l’offre de produits ou de services cible le marché européen. Certaines entreprises non-européennes risquent donc de devoir se conformer au RGPD.


Les entreprises disposent de cette période de transition de deux ans pour préparer leur mise en conformité juridique et opérationnelle. Cette mise en conformité implique une mise à niveau des conditions d’utilisation et des politiques de protection des données des services proposés ainsi que ses politiques internes de protection des données applicables aux salariés. Certaines obligations demandent une mise à niveau opérationnelle. Enfin, certains types de traitements nécessiteront une mise à niveau technique (preuve du recueil du consentement, notamment pour les traitements de données de mineurs).

En France, la loi Informatique et Libertés ne disparaîtra pas pour autant, mais son périmètre d’application sera réduit aux traitements des autorités publiques et à certains traitements de santé.


                                                              * * * * * * * * * * * *

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)


Bénédicte DELEPORTE – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2016

Quelles mesures pour le transfert de données personnelles vers les Etats-Unis après l’invalidation des règles du Safe Harbor par la CJUE ?

Après le coup de tonnerre lancé par la décision de la Cour de justice de l’Union européenne (CJUE) du 6 octobre 2015 d’invalider les règles du Safe Harbor, les entreprises européennes qui travaillent avec des partenaires commerciaux aux Etats-Unis ayant adhéré aux principes du Safe Harbor (maisons-mères, filiales, sous-traitants, prestataires de services Cloud) doivent revoir les conditions de transfert de données personnelles vers ces entités. (1)

Dans cet article, nous faisons un point sur les règles de transfert de données personnelles à l’international et apportons quelques réponses aux mesures à prendre suite à la décision de la CJUE.


1. Le contexte : les règles relatives aux transferts de données personnelles hors de l’UE et l’invalidation des principes du Safe Harbor

Les règles européennes de protection de la vie privée sont d’application stricte. Alors que depuis la directive du 24 octobre 1995 sur la protection des données personnelles, les entreprises peuvent librement transférer les données personnelles d’un Etat membre à un autre sans formalités particulières, les transferts en dehors de l’Union européenne restent par principe interdits, sauf dans le cadre des exceptions que nous rappelons ci-après.

    1.1 L’encadrement des transferts de données personnelles hors Union européenne

Avec la globalisation des échanges commerciaux, la plupart des entreprises sont amenées à transférer des données personnelles dans des pays tiers, que ce soit vers d’autres sociétés de leur groupe, vers des partenaires commerciaux ou vers des prestataires de services. Or, les transferts de données personnelles en dehors de l’Union européenne sont en principe interdits. Il existe néanmoins plusieurs exceptions à ce principe. Sont ainsi autorisés :

    - les transferts de données réalisés vers un pays reconnu par la Commission européenne comme assurant un niveau de protection suffisant ou “adéquat”. Seuls quelques pays sont reconnus comme ayant une législation assurant un niveau de protection des données personnelles équivalent à celui en vigueur en Europe ; (2)
    - les transferts de données réalisés entre deux entités (exportatrice et importatrices de données) ayant signé les Clauses contractuelles types (“CCT”) adoptées par la Commission européenne. Les CCT sont des modèles de contrats de transferts de données. Cette solution contractuelle est applicable, soit entre deux responsables de traitement, soit entre un responsable de traitement et un sous-traitant ;
    - les transferts de données réalisés à l’intérieur d’un groupe multinational, entre deux ou plusieurs filiales du groupe, et sous réserve que l’entreprise multinationale ait mis en oeuvre des Règles internes d’entreprise (“Binding Corporate Rules” ou “BCR”) adoptées par l’ensemble des filiales et validées par l’une des autorités nationales de protection des données (ou “autorités de contrôle”, telle que la CNIL) ;
    - les transferts réalisés dans des situations exceptionnelles, sous réserve du consentement de la personne concernée par le traitement de données ;
    - enfin, les transferts de données réalisés vers les Etats-Unis, sous réserve que la société importatrice adhère aux principes du Safe Harbor.

Le système du Safe Harbor (ou “sphère de sécurité”) est un ensemble de règles de protection des données personnelles, négocié entre les autorités américaines (Department of Commerce) et la Commission européenne en 2000 et validé par une décision de la Commission du 26 juillet 2000. Le fonctionnement du Safe Harbor repose sur l’engagement des entreprises américaines qui décident d'y adhérer et l’auto-certification de celles-ci. L'adhésion au Safe Harbor est volontaire, mais ses règles sont alors contraignantes pour les entreprises adhérentes. La commission fédérale du commerce américaine (FTC) est chargée du contrôle de l'application des principes du Safe Harbor par les entreprises adhérentes.

Toutefois, les principes du Safe Harbor viennent d’être invalidés par la Cour de justice de l’Union européenne.

    1.2 La décision Schrems de la CJUE du 6 octobre 2015

Dans sa décision du 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) a remis en cause le système du Safe Harbor, en jugeant qu’une autorité de contrôle pouvait suspendre les transferts de données personnelles depuis l’Union européenne vers les Etats-Unis.

L’affaire en cause concernait un citoyen autrichien, Maximillian Schrems, utilisateur de Facebook depuis 2008. Les données fournies par les utilisateurs de Facebook transitent par sa filiale située en Irlande, avant d’être transférées vers le territoire américain. Monsieur Schrems a déposé plainte auprès de l’autorité irlandaise de protection des données (Data Protection Commissioner), considérant que suite aux révélations de 2013 concernant les activités de renseignement des Etats-Unis (affaire “Snowden”), ce pays n’offrait pas de réelle protection contre la surveillance des données de citoyens européens. L’autorité irlandaise a rejeté la plainte déposée en arguant que, dans sa décision du 26 juillet 2000, la Commission européenne avait considéré que les Etats-Unis assuraient un niveau adéquat de protection des données à caractère personnel transférées dans le cadre de règles de Safe Harbor. (3)

La High Court of Ireland (Haute cour de justice irlandaise), saisie de l’affaire, a alors posé deux questions préjudicielles à la CJUE, afin de savoir si la décision rendue par la Commission européenne en 2000 empêchait une autorité nationale de contrôle d’enquêter lorsqu’un plaignant soutient qu’un pays tiers à l’Union n’offre pas les protections adéquates concernant les données personnelles transférées. Le plaignant est-il ainsi lié, de manière absolue, par la décision rendue par la Commission, sans autre possibilité de recours ?

Dans sa décision du 6 octobre 2015, la CJUE a jugé que la Commission européenne devait apprécier si les Etats-Unis assuraient effectivement, par leur législation ou leurs engagements internationaux, “un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive lue à la lumière de la Charte des droits fondamentaux de l’Union européenne”.

En l’espèce, la CJUE a relevé que les autorités américaines pouvaient accéder, de manière massive et indifférenciée, aux données ainsi transférées, sans assurer de protection juridique efficace aux personnes concernées, notamment aux citoyens européens.

Au regard de la hiérarchie des normes, les entreprises américaines sont en effet tenues de se soumettre aux lois américaines d’ordre public et doivent ainsi écarter “sans limitation” l’application des clauses du Safe Harbor qui leur seraient contraires. Constatant que la Commission européenne n’a pas recherché si les Etats-Unis assuraient effectivement une protection adéquate des données personnelles, la Cour a prononcé l’invalidation de la décision d’adéquation.

La CJUE a par ailleurs jugé que, même en présence d’une décision de la Commission européenne reconnaissant le caractère adéquat de la protection des données à caractère personnel, les autorités nationales de contrôle doivent pouvoir examiner en toute indépendance si le transfert des données d’une personne vers un pays tiers respecte les exigences posées par la directive de 1995.

La Cour en a déduit qu’une autorité nationale devait pouvoir, en cas de doute sur la validité d’une décision d’adéquation de la Commission, saisir les juridictions nationales pour que celles-ci puissent, le cas échéant, renvoyer l’affaire devant la Cour de justice. A cet égard, la décision invalidée de la Commission européenne ne pouvait priver les autorités de contrôle d’une telle possibilité.


2. Les conséquences de l’arrêt Schrems : une insécurité juridique nécessitant une mise à jour des conditions de transfert des données

Les transferts de données personnelles opérés vers les Etats-Unis dans le cadre des principes du Safe Harbor n’ont donc désormais plus de base légale. Ceci implique non seulement, que les transferts de données précédemment validés ne sont plus conformes à la loi, mais également qu’il n’est plus possible de réaliser de nouveaux transferts de données sur la base du dispositif Safe Harbor.

    2.1 Les suites de la décision Schrems

- Le Groupe de travail “article 29” (ou G29) : la CNIL examine actuellement, avec ses homologues du G29 (représentants des autorités de protection des données des Etats membres), les conséquences juridiques et opérationnelles de l’arrêt du 6 octobre 2015.

Entretemps, le G29 a demandé aux institutions européennes de mettre en place une solution visant à palier l’insécurité juridique du système Safe Harbor actuel. Dans un communiqué du 15 octobre dernier, le G29 a invité les institutions européennes à engager des discussions avec les autorités américaines, afin de trouver un dispositif permettant le transfert des données personnelles dans le respect des droits fondamentaux, et ce avant le 31 janvier 2016. (4)

En cas d’échec des négociations à l’échéance de ce délai de rigueur, les autorités européennes de contrôle pourraient “mettre en oeuvre toutes les actions nécessaires, y compris des actions répressives coordonnées”.

- Les autorités de contrôle : en réaction à la décision de la CJUE, plusieurs autorités de protection des données ont d’ores et déjà pris des mesures “préventives”.

Les autorités de régulation des différents Länder allemands et l’organe de supervision nationale ont annoncé qu’ils n’autoriseraient plus aucun transfert de données vers les États-Unis, y compris par le biais de Clauses contractuelles types ou des BCR.

L’autorité espagnole (Agencia Española de Protección de Datos - AEPD) a annoncé qu’elle adresserait aux organismes ayant déclaré procéder à des transferts dans le cadre du Safe Harbor, un courrier afin de savoir quelles solutions alternatives ils souhaitent mettre en place.

La décision Schrems a également produit des répercussions au-delà des frontières de l’Union européenne, notamment pour les pays assurant une protection adéquate, dans leurs propres transferts vers les Etats-Unis.

Ainsi, l’autorité israélienne de protection des données (Israeli Law, Information and Technology Agency - ILITA) a décidé de suspendre les transferts de données personnelles vers les Etats-Unis.

Enfin, l’autorité suisse a affirmé que, tant qu’un nouvel accord avec le gouvernement américain ne serait pas renégocié, le “U.S.-Swiss Safe Harbor Framework” ne constituerait plus une base légale suffisante pour une transmission de données personnelles aux États-Unis compatible avec la loi suisse sur la protection des données (LPD). 


Enfin, d’autres pays tiers à l’Union européenne réfléchissent actuellement aux conditions de transfert de données vers les Etats-Unis et à l’international.

- La Commission européenne : le 6 novembre dernier, la Commission a publié des orientations sur les possibilités de transferts transatlantiques de données, applicables jusqu'à la mise en place d'un nouveau cadre réglementaire.

La communication de la Commission analyse les répercussions de l'arrêt Schrems et propose des alternatives possibles pour transférer légalement des données à caractère personnel vers les États-Unis (CCT ou BCR notamment). (5)

- Vers un Safe Harbor 2.0 ? : enfin, la Commission européenne a décidé de procéder à un réexamen des principes de Safe Harbor à la suite des révélations d’Edward Snowden courant 2013 sur les opérations de surveillance opérées notamment par la NSA depuis l’entrée en vigueur des lois d’exception américaines votées après les attentats du 11 septembre 2001. Dès novembre 2013, la Commission a publié 13 recommandations en vue d’améliorer le système.

Depuis l'arrêt Schrems du 6 octobre 2015, la Commission accélère les négociations avec les États-Unis en vue d'établir un nouveau cadre pour mieux protéger les transferts de données à caractère personnel de citoyens européens vers les Etats-Unis. L'objectif de la Commission est de conclure ces discussions avant fin janvier 2016.

    2.2 Comment gérer les transferts de données pendant cette période transitoire ?

L’invalidation du dispositif Safe Harbor ouvre une période d’incertitude et soulève de nombreuses questions pour les entreprises opérant en vertu des principes du Safe Harbor.

Ainsi, les entreprises qui transfèrent des données personnelles vers les Etats-Unis peuvent-elles continuer leurs activités sans changer de cadre, en attendant la prise de position des institutions ? Est-il opportun de mettre en place des Clauses contractuelles types ou des BCR, sachant que cette procédure prend un certain temps pour sa mise en oeuvre (approbation des BCR par une autorité de protection ou signature des CCT par les entreprises concernées) ? Doit-on suspendre les transferts de données vers les Etats-Unis et les relocaliser en Europe, voire les transférer vers un pays “adéquat” ? Enfin, pour les transferts de données dans le cadre de l’exécution d’un contrat de service en cloud computing, que faire si le prestataire du service cloud américain refuse de modifier les conditions de transfert et que l’entreprise européenne est alors contrainte de résilier le contrat à ses frais ?

Le délai de trois mois pour arriver à un nouveau système Safe Harbor peut paraître “agressif” et rien ne garantit qu’il sera tenu.

En attendant que les autorités et les institutions prennent position et qu'un Safe Harbor 2.0 voie le jour, les entreprises doivent mettre en place des solutions juridiques et techniques pour limiter les risques juridiques liés à ces transferts. A ce titre, il convient de rappeler que les sanctions encourues en cas de non respect de la réglementation sur la protection des données personnelles, en matière de transferts non autorisés de données, peuvent atteindre 300.000 euros d’amende et 5 ans d’emprisonnement.

- Audits juridiques : dans un premier temps, il est recommandé de réaliser un audit juridique et technique des transferts de données en cours et des analyses de risques. Il convient d’identifier clairement les traitements et types de données concernés, le régime juridique sous lequel ces données sont transférées, puis d’étudier les impacts de l’invalidation du système Safe Harbor pour l’entreprise, à court et moyen terme.

- Solutions de mise en conformité : une fois l’audit réalisé et les transferts identifiés, il conviendra de réfléchir à l’adoption de solutions alternatives de mise en conformité plus protectrices. Trois solutions sont envisageables : les Clauses contractuelles types (CCT), le contrat privé et les Binding corporate rules (BCR) au sein d’un groupe multinational.

Les Clauses contractuelles types peuvent paraître comme la solution la plus simple à mettre en place à court terme. Il est cependant nécessaire d’identifier le modèle de contrat applicable et le faire signer, en l’état, par chacune des parties. En cas de modification des Clauses contractuelles, le document devra alors être envoyé à l’autorité de contrôle pour validation.

A défaut d’accord avec les prestataires américains tiers pour fonctionner sous le système des Clauses contractuelles types, et si les circonstances l’exigent et/ou le permettent, il conviendra d’envisager de rompre les relations commerciales existantes et d’opter pour des prestataires européens ou localisés dans un pays “adéquat”.

La solution du contrat, à savoir un contrat rédigé par les parties et adapté aux transferts envisagés, peut être favorisée. Solution plus flexible et adaptée que les Clauses contractuelles types, il est cependant nécessaire de prendre en compte leur coût, la procédure et les délais de demande d’autorisation à l’autorité de contrôle. Cette solution peut être utilisée entre deux partenaires commerciaux ou entre les sociétés d’un même groupe (alternative aux BCR).

Enfin, la solution des Binding corporate rules - BCR ne peut être déployée que dans le cadre d’un groupe multinational et n’est pas une alternative pour les relations avec des partenaires commerciaux ou prestataires de services tiers. En outre, les BCR nécessitent généralement plusieurs mois de travail pour leur élaboration, puis leur approbation par une autorité de régulation, avant de pouvoir être déployées dans le groupe.

Ces solutions de mise en conformité ont l'avantage de la stabilité. En effet, si les autorités se mettent d'accord sur un Safe Harbor 2.0, la décision Schrems rappelle que les autorités de contrôle de la protection des données pourront saisir les juridictions nationales, suite à la plainte d'une personne dont les droits auraient été violés par une société située aux Etats-Unis et adhérente aux principes du Safe Harbor. 
 
En toute hypothèse, il convient de s’adapter au cas par cas, en fonction de la taille de l’entreprise, du nombre de traitements concernés, et des risques identifiés. Le Cabinet peut vous accompagner dans cette démarche de mise en conformité.


                                                           * * * * * * * * * * * *


(1) CJUE, grande ch., 6 octobre 2015, Maximillian S. / Data Protection Commissioner

(2) Les pays assurant une protection adéquate, et donc, vers lesquels il est possible de transférer des données personnelles sans formalités supplémentaires sont : l’Argentine, le Canada, l’Islande, Israël, le Liechtenstein, la Norvège, la Nouvelle-Zélande, la Suisse, l’Uruguay

(3) Décision 2000/520/CE du 26 juillet 2000

(4) Communiqué du G29, Bruxelles le 15 octobre 2015 : “Statement of the Article 29 Working Party”.

(5) Communiqué de la Commission européenne du 6 novembre 2015, “La Commission publie des orientations sur les transferts transatlantiques de données et appelle à définir rapidement un nouveau cadre à la suite de l'arrêt rendu dans l'affaire Schrems”.


Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2015