L'hébergement de données de santé en Cloud soumis à des contraintes juridiques particulières

Les professionnels de santé (médecins exerçant en cabinet, en clinique ou dans un établissement de santé publique, pharmaciens, etc.) collectent une multitude de données à caractère personnel dans le cadre de leur activité, concernant le patient et sa santé. Ces informations apparaissent, entre autres, dans le dossier médical du patient, les résultats d'examen, les comptes rendus d'hospitalisation.

Le recours à un prestataire informatique pour le stockage et la conservation des données est devenu une pratique courante, y compris en mode Cloud, le cloud computing permettant notamment une gestion des données simplifiée (accessibilité, flexibilité, portabilité, etc.) et une réduction des coûts (investissements en matériel et logiciel réduits et facturation à l'usage).

Toutefois, professionnels de santé et prestataires Cloud doivent être vigilants : d'une part, le recours à un tiers pour héberger des données de santé ne décharge pas le professionnel de santé de ses obligations légales en matière de collecte et de traitement des données ; d'autre part, la fourniture de services d'hébergement de données de santé est soumise à un certain nombre de conditions.


1. Le professionnel de santé : responsable de traitement des données hébergées

On entend généralement par “donnée de santé” les informations relatives à l'état de santé (tant physique que psychique) d'un patient, recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins du patient. Il s’agit de données à caractère personnel, dont la collecte et le traitement sont régis par les dispositions de la loi Informatique et Libertés, complétée en l’espèce par le Code de la santé publique (CSP).(1)

    1.1 Les obligations spécifiques en matière de collecte et de traitement de données de santé 

Les données de santé sont considérées comme des données sensibles, dont le traitement est en principe interdit, sauf exceptions. Les exceptions sont en réalité assez nombreuses puisqu’elles comprennent notamment, outre la plupart des traitements pour lesquels la personne concernée a donné son consentement exprès, les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé et mis en oeuvre par un membre d’une profession de santé.(2)

Les traitements de données comprennent tous types d'opérations qui permettent d'identifier une personne physique, directement ou indirectement, et notamment, le fait de collecter, enregistrer, conserver (et donc héberger), modifier, diffuser, détruire des données.

Les formalités préalables à la collecte de données de santé :
Selon le type de traitement envisagé, le professionnel de santé doit soit déclarer à la CNIL, soit obtenir son autorisation, préalablement à la mise en oeuvre du traitement de données. Les formalités (déclaration ou demande d'autorisation), varient en fonction du traitement concerné (ex: gestion des laboratoires d'analyses, traitements relatifs au dossier médical partagé, etc.).

Les obligations du responsable de traitement :
En matière de données de santé, le responsable de traitement est en principe le médecin exerçant à titre libéral, le dirigeant d'une clinique ou le chef de service de l'établissement de santé public en charge des traitements de données.

En qualité de responsable de traitement, le professionnel de santé est tenu de respecter plusieurs obligations. En cas de manquement à la loi, le responsable de traitement engage sa responsabilité. Ces obligations restent à sa charge, même en cas de recours à la sous-traitance pour l'hébergement des données. Il répond ainsi des manquements à la loi et des failles de sécurité causés par le prestataire Cloud. Le professionnel de santé doit notamment :

- Garantir la sécurité et la confidentialité des données : les données de santé sont soumises à un haut niveau de sécurité. Le Code de la santé publique impose au professionnel de santé le respect de référentiels de sécurité. En pratique, il doit prendre toutes précautions utiles pour empêcher que les données ne soient modifiées, effacées par erreur, ou que des tiers non autorisés aient accès au traitement. Il est donc tenu de mettre en oeuvre, au sein de son établissement de santé, des mesures de sécurité physique (telles que l’accès contrôlé aux locaux hébergeant les serveurs et/ou une liste des personnes autorisées à accéder aux données) et techniques (telles que serveurs sécurisés, utilisation de la carte de professionnel de santé pour accéder aux données). En cas d’hébergement par un tiers, il devra s'assurer que le prestataire Cloud met en oeuvre des mesures de sécurité suffisantes.

- Obtenir le consentement des patients concernés, les informer et garantir leurs droits : le consentement des patients pour la collecte et l'hébergement informatisé de données de santé doit être recueilli. Ce type de traitement ne peut être réalisé à leur insu, sauf exceptions.(3) En outre, le professionnel de santé doit : (i) informer le patient de l'identité des destinataires des données et, le cas échéant, des éventuels transferts de données hors Union européenne, et (ii) assurer le respect des droits des patients concernés, à savoir les droits d'accès, de rectification (mise à jour), de contestation et d'opposition (suppression/désinscription) au traitement de leurs données.

    1.2 Les sanctions encourues en cas de non-respect des obligations en matière de collecte et de traitement de données
En cas de manquement à ses obligations légales, le professionnel de santé encourt les sanctions suivantes :

- Sanctions administratives : en cas de manquement constaté à la suite d'un contrôle sur place, la CNIL peut prononcer un avertissement, une mise en demeure de faire cesser le manquement constaté dans un certain délai, ou si le professionnel de santé ne se conforme pas à la mise en demeure, une sanction pécuniaire d'un montant maximum de 300.000€, une injonction de cesser le traitement ou, le cas échéant un retrait de l’autorisation accordée par la CNIL.(4)

- Sanctions pénales : est puni d’un an d'emprisonnement et 15.000€ d'amende, le fait d'obtenir ou de tenter d'obtenir la communication de données de santé sans le consentement du patient concerné. Sont notamment punis de 5 ans d’emprisonnement et 300.000€ d’amende :
    - tout acte de cession à titre onéreux de données de santé identifiantes, directement ou indirectement, y compris avec l'accord du patient concerné ;
   - le fait de procéder à un traitement de données : (i) y compris par négligence, sans respecter les formalités préalables ; (ii) malgré l'opposition du patient concerné ; (iii) sans prendre les mesures de sécurité prescrites par la loi et (iv) sans le consentement exprès du patient concerné.


2. Le prestataire Cloud de données de santé à caractère personnel : des services d'hébergement soumis à conditions

L'activité d'hébergement de données de santé en Cloud nécessite, pour le prestataire, de respecter un certain nombre de conditions spécifiques.(5)

    2.1 La nécessité d'un agrément pour l’hébergement de données de santé à caractère personnel
Le prestataire d'hébergement de données de santé à caractère personnel doit obtenir un agrément pour exercer son activité. Cet agrément est délivré par le ministre chargé de la santé, qui se prononce après avis de la CNIL et d'un comité d'agrément des hébergeurs. L’agrément est valable pour une durée de 3 ans, renouvelable. A ce jour, 32 sociétés ou organismes ont obtenu l’agrément, soit pour l’hébergement des traitements de données de santé de leurs patients, soit pour l’hébergement de données de santé (dossier médical partagé ou dossier médical personnel) des patients d’organismes tiers.

L'obtention de l’agrément est soumise à la mise en oeuvre (i) de solutions techniques, d'une organisation et de procédures de contrôle assurant la sécurité, la protection, la conservation et la restitution des données hébergées et (ii) d'une politique de confidentialité et de sécurité. L'hébergeur doit ainsi démontrer sa capacité à assurer la confidentialité, la sécurité, l'intégrité et la disponibilité des données de santé qui lui seront confiées par les professionnels de santé.(6)

    2.2 Des engagements contractuels précis adaptés aux contraintes des professionnels de santé
Le prestataire Cloud de données de santé devra proposer un service adapté aux contraintes spécifiques des professionnels de santé, compte tenu notamment de la nature des informations hébergées, de leur niveau de confidentialité, de leur volume, etc. Que le professionnel opte pour un hébergement en Cloud public (ressources mutualisées, la plateforme cloud peut donc être partagée entre plusieurs utilisateurs), privé (infrastructure fermée, dédiée à l'utilisateur), ou hybride (permettant la communication entre les deux infrastructures), les engagements du prestataire devront être contractualisés.

Le Code de la santé publique (art. L1111-8) exige que la prestation de service d'hébergement  conclue avec un professionnel de santé fasse l'objet d'un contrat écrit comprenant a minima, les éléments suivants :
- la description des prestations couvertes par le contrat et des moyens mis en oeuvre par l'hébergeur pour la fourniture des services ;
- les modalités de mise à disposition des données, ainsi que la description des conditions de recueil de l'accord des patients concernés par ces données s'agissant tant de leur hébergement que de leurs modalités d'accès et de transmission. Seuls pourront accéder aux données hébergées les patients concernés et les professionnels de santé qui les prennent en charge ;
- la mention des indicateurs de qualité et de performance permettant la vérification du niveau de service annoncé (convention de performance ou Service Level Agreement) ;
- une information sur les garanties permettant de couvrir la défaillance éventuelle de la plateforme  par la mise en oeuvre, par exemple, d’une solution de redondance (duplication de l’infrastructure) afin de permettre la continuité de service sans interruption en cas de chute de l’infrastructure principale en routant le service vers l’infrastructure secondaire ;
- une clause de réversibilité relative à la restitution au professionnel de santé de l'ensemble des données externalisées, au terme du contrat.

En sus de ces informations, il conviendra de préciser au contrat : les mesures de sécurité mises en oeuvre (systèmes de traçabilité des accès, chiffrement des données), la répartition des responsabilités entre le professionnel de santé et le prestataire, et la localisation des centres serveurs.

En matière de cloud computing, il est en effet fréquent que les données circulent entre des centres serveurs situés dans des pays différents. Ces transferts, même s’ils sont transparents pour l’utilisateur, restent soumis aux dispositions de la loi Informatique et Libertés. Les transferts de données depuis le territoire européen vers des pays situés en dehors de l'Union européenne sont interdits, sauf vers un pays reconnu comme offrant un niveau de protection adéquat. En cas de recours à un service Cloud, le professionnel de santé, responsable de traitement, devra s’informer sur la localisation des centres serveurs auprès du prestataire, et en cas de transfert hors Union européenne, procéder aux formalités auprès de la CNIL, préalablement à la mise en oeuvre du service.


Il appartient donc tant au professionnel de santé qu'au prestataire Cloud de prendre des précautions suffisantes quant au traitement des données de santé : le professionnel de santé en communiquant ses contraintes d’utilisation du service au prestataire et en s’informant auprès de celui-ci sur la teneur des prestations et du contrat préalablement à sa conclusion, et le prestataire en faisant jouer son obligation de conseil auprès du professionnel de santé.

Les contraintes réglementaires dans le domaine des données de santé à caractère personnel étant particulièrement strictes, tout manquement à ses obligations par l’une ou l’autre des parties est soumise soit à des sanctions administratives, soit à des sanctions pénales, sans oublier la mise en oeuvre de la responsabilité contractuelle et l’impact négatif fort de ces manquements sur la réputation du professionnel de santé et/ou sur le prestataire de service Cloud. En atteste par exemple l'avertissement récemment prononcé par la CNIL à l'encontre d'un hébergeur de données de santé, ayant fait une déclaration mensongère dans son dossier de demande d'agrément. Celui-ci prétendait chiffrer les données médicales hébergées, ce qui était inexact.(7)

* * * * * * * * * * * *

(1) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée ; Loi n° 2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de soins (dite “Loi Kouchner”) ; Articles L.1110-4, L.1111-7, L.1111-8, R.1110-1, R.1111-1 et suivants du Code de la santé publique ; Articles 226-16 et suivants du Code pénal.
(2) Sur les données de santé, voir l’article 8 de la loi Informatique et Libertés.
(3) En cas d'hébergement, ce consentement n'est pas exigé dès lors que l'accès aux données détenues n'est pas partagé mais limité au professionnel ou à l'établissement de santé qui les a déposées, ainsi qu'au patient concerné.
(4) La CNIL dispose du pouvoir de réaliser des contrôles sur place de conformité à la loi Informatique et Libertés auprès des responsables de traitement. Ainsi, les agents de la CNIL peuvent, sur décision de son Président, accéder aux locaux des cabinets médicaux et autres établissements de santé, demander communication de tout document nécessaire et en prendre copie, recueillir tout renseignement utile, accéder aux programmes informatiques et aux données. L’objectif est d’obtenir un maximum d’informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en œuvre les traitements de données personnelles. Depuis quelques années, les contrôles de la CNIL auprès des professionnels de la santé se sont intensifiés.
(5) Voir les articles L.1111-8 et R.1111-9 à 1111-15 du CSP.
(6) Les conditions de l’agrément et la liste des hébergeurs agréés sont accessibles sur le site web de l'Agence des Systèmes d'Informations Partagés de Santé (ASIP santé: http://esante.gouv.fr/).
(7) Voir communiqué CNIL du 9 janvier 2012 : "La CNIL sanctionne une déclaration mensongère d'un hébergeur de données de santé". En 2009, une société avait déclaré dans son dossier de demande d’agrément qu'elle chiffrait l'ensemble des données médicales hébergées, par un procédé dit de "chiffrage fort", et a obtenu l'agrément. Début 2011, lors d’un contrôle de la CNIL, celle-ci a constaté que les données médicales n'étaient pas chiffrées et qu'elles étaient accessibles aux administrateurs informatiques de l’hébergeur et non pas exclusivement au personnel de santé habilité (la société avait uniquement protégé certaines des données de santé par un codage créé en interne). La CNIL a considéré que le traitement de données était contraire à loi Informatique et Libertés et au Code de la santé publique qui impose de prévenir le Ministre de la santé de tout changement affectant les informations fournies lors de la candidature. En prétendant chiffrer toutes les données médicales, ce qui était inexact, et en n'informant pas le Ministre de la santé d'un tel changement de procédure, l’hébergeur n'avait pas respecté le Code de la santé publique et traitait donc les données de manière illicite.

Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2012

Les atteintes à l’e-réputation de l'entreprise : comment défendre son image de marque sur internet

Les atteintes à l'e-réputation font régulièrement la une de la presse internet. En attestent par exemple, la condamnation de sites de réservation d'hôtels et de voyages en octobre 2011 pour avoir notamment publié de faux avis de consommateurs ou, plus récemment, la révélation des pratiques de la société Orangina qui aurait trafiqué sa page Facebook avec de faux profils pour animer sa propre "fan page".(1)

Avec le développement de l’internet participatif, et la possibilité pour tous de créer, publier et partager des contenus en ligne, mais également de commenter ou recommander des sites webs, produits ou services, la gestion et la maîtrise de sa réputation numérique sont devenues une préoccupation majeure pour les entreprises et leurs dirigeants.

Comment l'entreprise peut-elle éviter "le mauvais buzz", faire face aux critiques et défendre son image de marque sur internet ? L’objet du présent article est d’apporter quelques éléments de réponse.

1. Comment anticiper les risques d’atteinte à la réputation numérique de l'entreprise ?

L'e-réputation consiste en l’image d’une personne physique, d'une entreprise ou d’une marque, telle que perçue par les internautes. Les clients, utilisateurs, concurrents et salariés d'une entreprise peuvent contribuer à faire et à défaire sa réputation ou celle d’une ligne de produits ou de services. Il est donc conseillé de mettre en oeuvre des règles de gestion, ou bonnes pratiques, de l’image de marque de l’entreprise.

    1.1 Les pratiques portant atteinte à l'e-réputation de l’entreprise et/ou de ses dirigeants

Les atteintes à l’e-réputation d’une entreprise peuvent être de deux types : d’une part, l’entreprise qui tente de manipuler son image de marque en ligne par l’intermédiaire de faux avis de consommateurs par exemple, et dont les pratiques sont divulguées, portant ainsi atteinte à la crédibilité de sa communication vis-à-vis du public, d’autre part un utilisateur ou un groupe de consommateurs insatisfaits qui décident de cibler une entreprise et ses produits en publiant des commentaires et avis négatifs, plus ou moins fondés, l’objectif étant de porter atteinte à l’image de cette entreprise et/ou de ses produits.

Les pratiques résultant en une atteinte à l’e-réputation se déclinent de plusieurs manières :

- Les faux avis de consommateurs mis en ligne par une entreprise visant à manipuler sa réputation. Cette pratique peut dans certains cas être qualifiée de pratique commerciale trompeuse ;

- Les faux avis de consommateurs mis en ligne par une entreprise concurrente, et édités par ses salariés ou des entreprises spécialisées dans la rédaction de faux commentaires ;

- Les avis négatifs de consommateurs ciblant les produits et services d'une entreprise, postés sur des forums de discussion, des blogs, etc. ;

- Le dénigrement et la diffusion de fausses informations : le dénigrement consiste à jeter publiquement le discrédit sur un concurrent en répandant des informations erronées ou malveillantes sur sa personnalité ou ses produits, services, compétences et prix, afin de détourner sa clientèle ou d’en tirer un quelconque profit ;

- La divulgation d'informations personnelles sur les clients ou dirigeants de l'entreprise pouvant porter atteinte à leur vie privée ou au droit à l'image ou la divulgation d'informations confidentielles (secret d’affaires, secret de fabrication, savoir-faire, etc.).(2) L’accès aux informations confidentielles peut, par exemple, être dû au piratage du système d'information de l'entreprise en cause ;

- La diffamation et l’injure consistent, par exemple, en l'allégation d’un fait portant atteinte à l’honneur d'un dirigeant d'entreprise ou en l'utilisation d'une expression outrageante à son encontre ;

- Les atteintes à la marque et au nom de domaine : une marque ou un logo peuvent faire l'objet d'un détournement, d'une reproduction non autorisée ou d'une imitation servile. L’atteinte peut par exemple consister en l’apposition d’un terme péjoratif, dénigrant ou insultant au nom de l’entreprise ou à l’une de ses marques (tel que arnaque, escroquerie ou boycott). Les noms de domaine peuvent également être détournés par le "cybersquatting" ou le “typosquatting” ;

- L’usurpation d'identité : l'identité d'une entreprise peut être usurpée au moyen du "phishing", consistant pour les fraudeurs à tromper un internaute sur l'origine d'un message (provenant de sa banque par exemple) afin de lui soutirer des informations confidentielles telles que mots de passe ou numéro de carte bancaire.

Les conséquences d’une atteinte à l’e-réputation :

Ces différentes pratiques sont nuisibles à l'entreprise dans la mesure où celle-ci court le risque de voir sa marque associée à des valeurs non souhaitées ou à des comportements répréhensibles et où la divulgation d'information peut desservir les intérêts de ses clients, actionnaires, fournisseurs, distributeurs et autres partenaires commerciaux.

De nombreuses entreprises ont déjà fait les frais d'un "mauvais buzz", justifié ou non. On citera, par exemple, les sociétés Acadomia (constitution de fichiers nominatifs sans autorisation contenant des commentaires injurieux envers les enseignants et clients), Nestlé (pratiques contestables liées à l’utilisation de l'huile de palme et à la déforestation, dénoncées par Greenpeace) ou, plus récemment, Guerlain (propos racistes tenus par le fondateur).(3)

Les entreprises doivent se préparer à ces types d’atteinte à leur image et développer des règles de gestion de leur e-réputation. 

   1.2 La mise en oeuvre de bonnes pratiques en matière de gestion de l’image de marque de l’entreprise

Anticiper les risques d’atteinte à l’image est indispensable ; l'entreprise doit donc développer une véritable politique de gestion de sa réputation numérique et mettre en oeuvre des bonnes pratiques de gestion de son image de marque :

- La protection des marques et noms de domaine de l'entreprise : en premier lieu, il est recommandé à l'entreprise de protéger sa/ses marques par le droit de la propriété intellectuelle par leur enregistrement auprès de l’INPI, éventuellement sous plusieurs formes (verbale et figurative) et d’étendre la protection à plusieurs pays au cas où l’entreprise aurait une activité commerciale à l’international (marque communautaire ou internationale). Ce mode de protection permettra à l’entreprise de poursuivre en justice les tiers qui reproduiraient sa marque de manière non autorisée et/ou en cas de parasitisme ou de dénigrement.

- La sécurisation du système d'information de l'entreprise : afin d'éviter une fuite d'informations, l'entreprise devra sécuriser son système d'information en déployant : (i) des solutions techniques de sécurisation de ses équipements (pare-feu, antivirus, filtre anti-spam, utilisation de codage pour les données sensibles, y compris la mise à jour régulière de ces dispositifs de sécurité), et (ii) une communication pédagogique envers les salariés axée sur les risques technologiques, la nécessité de signaler les incidents de sécurité et de prendre les précautions nécessaires en matière de sécurisation de leurs équipements et comptes (ex: choix de mots de passe complexes).

- L’adoption d’une stratégie de communication et de veille de l'e-réputation : l'entreprise doit communiquer sur sa marque, ses produits et services de manière régulière et adaptée aux nouveaux usages d'internet, par exemple en animant une communauté d'internautes et en dialoguant avec ses clients via la plate-forme internet collaborative de la société, telle la SNCF avec sa rubrique débats (http://debats.sncf.com/), ou via une page entreprise sur Facebook par exemple. La gestion de l'e-réputation sera alors assurée : (i) par la désignation d'un community manager, ayant pour mission d'animer la marque de l'entreprise auprès des différentes communautés d'internautes, et de répondre aux questions, détecter les problèmes ou désamorcer les crises ; (ii) et si nécessaire, par la mise en ligne de conditions d'utilisation détaillant les conditions de modération applicables à la plate-forme collaborative utilisée par l'entreprise.

Par ailleurs, de nouveaux outils et services sont mis à la disposition des entreprises par des sociétés spécialisées dans la gestion de l'e-réputation : logiciels de mesure de visibilité sur les réseaux sociaux, plates-formes permettant aux professionnels de consulter en temps réel les avis, commentaires et notes donnés par les internautes, assurance spécifique contre les atteintes à l'e-réputation, etc. Il est cependant recommandé d'étudier avec attention les contrats proposés par ces prestataires, les services et les engagements étant variables selon les prestataires.(4)

- La sensibilisation des salariés de l'entreprise : les salariés tendent de plus en plus à s'exprimer sur internet à propos de leur employeur. Les entreprises doivent donc instaurer une politique de sensibilisation de leur personnel consistant, d’une part en formations ciblées sur les bonnes pratiques d'utilisation des outils de communication électronique (email, réseaux sociaux et le cas échéant réseau social de l’entreprise), l’exercice de la liberté d'expression et ses limites, d’autre part dans la mise en place d'une charte internet complète et à jour.(5)

- L’information des internautes : enfin, l'image de marque de l’entreprise passe par une information claire sur les caractéristiques essentielles de ses produits et services, ses conditions de vente et de livraison, ses conditions de fourniture de services, les prix pratiqués, la politique relative aux données personnelles, etc. A ce titre, il est recommandé de soigner la rédaction des conditions générales de vente/d'utilisation et mentions légales figurant sur le site web de l'entreprise.

Si, en dépit de ces précautions, l'entreprise est victime d'atteintes à sa réputation sur internet, plusieurs moyens d'action pourront être envisagés pour lutter contre de telles offenses.

2. Comment réagir et se défendre en cas d’atteinte à la réputation numérique de l'entreprise

    2.1 Une riposte graduée en fonction de la gravité de l'atteinte

En cas d'atteinte à son e-réputation, l'entreprise doit définir la stratégie qui sera la plus efficace pour y mettre fin et réagir sans délai afin de ne pas laisser une information nuisible se propager. Cependant, avant toute action, judiciaire ou extra-judiciaire, il sera primordial de conserver la preuve des éléments litigieux, notamment via un constat d’huissier. Plusieurs actions sont envisageables compte tenu du type et de la gravité de l’atteinte à son image. Il est recommandé de faire établir une analyse de la gravité de l’atteinte à l’image et de la stratégie de défense à mettre en oeuvre avec l’aide d’un avocat.

- "Noyer" ou "nettoyer" les contenus indésirables : l'entreprise peut tenter de "noyer" les contenus nuisibles en mettant en ligne de nouveaux contenus correctifs ou informatifs (mais ni erronés, ni trompeurs) sur ses produits et/ou services, les informations litigieuses redescendant dans les pages de résultats des moteurs de recherche.

En outre, bien qu'il ne soit pas toujours possible de faire totalement disparaître du web certaines informations, l'entreprise peut tenter de les faire supprimer, par des moyens techniques divers, tels l'utilisation de dispositifs d'alerte mis en place par la plupart des médias participatifs ou le recours à des sociétés spécialisées dans le "nettoyage" de l'e-réputation. Il est là aussi recommandé d'étudier avec attention les contrats proposés par ces prestataires avant d’avoir recours à ces services.(6)

- Instaurer un dialogue avec l'auteur du trouble : s'il est identifié, l'entreprise peut préférer se rapprocher du/des auteur(s) des contenus portant atteinte à son image de marque, et tenter de négocier le retrait des informations gênantes afin d'éviter ou de limiter tout déficit d'image. Le rôle du community manager peut être déterminant dans le désamorçage du problème.

L'entreprise ou ses dirigeants victimes peuvent également faire jouer leur droit de réponse en ligne, dont l'exercice est soumis, par la loi, à certaines conditions ou faire jouer leur droit d'opposition à la divulgation de données personnelles, permettant de demander la suppression de ces données, soit auprès du webmaster du site internet à l'origine de la publication litigieuse, soit à défaut de suppression dans un délai de deux mois, auprès de la CNIL qui enjoindra au responsable du site web de faire le nécessaire.(7)

- Mettre en oeuvre des procédures alternatives de règlement des litiges : en cas de tentative d’enregistrement d’une marque ou d’un nom de domaine potentiellement contrefaisant ou dénigrant, l'entreprise peut selon les cas, soit lancer une procédure d'opposition, permettant d'empêcher l'enregistrement d'une marque nouvelle qui porterait atteinte à ses droits, soit lancer une procédure de suppression ou de transfert à son profit d'un nom de domaine susceptible de porter atteinte à ses droits. Les conditions de mise en oeuvre de ces procédures varient selon le type de marque ou d'extension du nom de domaine et selon l'office d'enregistrement et de gestion concernés.(8)

- Engager une action judiciaire : enfin, l'entreprise ou son dirigeant peut décider d'agir en justice afin d'obtenir (i) l'identité de l'auteur des propos litigieux, si celui-ci n'est pas identifié, (ii) le retrait du contenu litigieux, ou la désindéxation des pages sur lesquelles ces contenus ont été diffusés, et (iii) la réparation du préjudice subi par la condamnation de l'auteur à des dommages et intérêts. Ces actions, en référé ou au fond, seront dirigées selon les cas, soit directement contre l'auteur des faits au cas où l’entreprise a pu l’identifier, soit contre l'hébergeur du site internet litigieux ou les FAI au cas où ceux-ci n’auraient pas fourni les informations permettant d’identifier l’auteur des contenus ou n’auraient pas retiré les contenus litigieux à la demande de l’entreprise.(9)

Si internet permet de s’exprimer librement, le web n'est pas pour autant une zone de non-droit. Certaines atteintes à la liberté d’expression et à l'e-réputation sont sévèrement réprimées par la loi.

    2.2 Les différents fondements pouvant être invoqués en cas d’action judiciaire contre les auteurs des troubles

Plusieurs fondements juridiques peuvent être invoqués suivant le type d'atteinte subie, en cas d’action judiciaire contre les auteurs des troubles :

- La diffamation et l'injure sont réprimées par la loi du 29 juillet 1881 sur la liberté de la presse et sont notamment punies d'une amende de 12.000€. Les sanctions peuvent atteindre un an d'emprisonnement et 45.000€ d'amende en cas de diffamation à caractère racial. Il convient cependant de noter que ce type d’action est soumis à un délai de prescription court (trois mois).(10)

- Le dénigrement est sanctionné sur le fondement de l'action en concurrence déloyale en application de l'article 1382 du Code civil. Cette action vise à mettre en cause la responsabilité civile de l'auteur des propos litigieux et d'obtenir le versement de dommages et intérêts.(11)

- Le délit d'atteinte à la vie privée est prévu par le Code pénal qui punit d'un an d'emprisonnement et de 45.000€ d'amende, le fait de porter volontairement atteinte à l'intimité de la vie privée d'autrui. La loi réprime le fait d'enregistrer et/ou de diffuser des paroles prononcées à titre confidentiel ou l'image d'une personne se trouvant dans un lieu privé, sans le consentement de la personne concernée (articles 226-1 et 226-2 Code pénal).

- Le non-respect du droit d'opposition est réprimé par la loi Informatique et Libertés qui punit de cinq ans d'emprisonnement et 300.000€ d'amende le fait de procéder à un traitement de données à caractère personnel malgré l’opposition de la personne concernée, lorsque cette opposition est fondée sur des motifs légitimes (article 226-18-1 du Code pénal).

- Les pratiques commerciales trompeuses sont définies par le Code de la consommation et punies de deux ans d'emprisonnement et/ou 37.500€ d'amende (personnes morales : 187.500€ ou 50% des dépenses de publicité ou de la pratique constituant le délit). Ces pratiques consistent à tromper le consommateur et l’amener à prendre une décision commerciale qu’il n’aurait pas prise autrement.(12)

Les pratiques commerciales trompeuses visent ici les faux avis de consommateurs ou les commentaires positifs postés par l’entreprise elle-même, sous l’apparence d’un client satisfait. Ces pratiques font l’objet, depuis début 2011, d’enquêtes spécifiques diligentées par les agents de la DGCCRF. Par ailleurs, l’AFNOR est en train de travailler à un projet de norme visant à renforcer la fiabilité des commentaires déposés par les internautes sur les sites marchands.

- Les atteintes à la marque telles que la reproduction sans autorisation ou l'imitation servile sont sanctionnées au titre de la contrefaçon et punies de trois ans d’emprisonnement et de 300.000€ d’amende (article L.716-10 du Code de la propriété intellectuelle).

- Le délit d'usurpation d'identité numérique est défini par la LOPPSI 2 et passible d'un an d'emprisonnement et 15.000€ d’amende. Ce nouveau délit permet de sanctionner, par exemple, les actes de "phishing".(13)

Enfin, cet arsenal répressif pourrait bientôt se voir renforcé par l'instauration, (i) d'un droit à l'oubli numérique, facilitant la suppression des données publiées et prévu dans le projet de règlement communautaire sur les données personnelles et (ii) d'un délit d'atteinte au secret des affaires, punissant de trois ans d'emprisonnement et 375.000€ d'amende, la divulgation d'informations de nature commerciale, industrielle, scientifique, etc. compromettant gravement les intérêts d'une entreprise et prévu par une proposition de loi sur la protection des informations économiques.(14)

* * * * * * * * * * *

(1) Condamnation des sociétés Expedia et autres, à payer près de 430.000€ de dommages et intérêts au Syndicat national des hôteliers, restaurateurs, cafetiers et traiteurs (Synhorcat) (Tribunal com. Paris, 15e ch., 4/10/2011) ; et voir l’article : "Orangina aurait trafiqué sa page Facebook avec de faux profils", Le Journal du Net (15/02/2012).
(2) L'article 9 al.1 du Code civil dispose que "Chacun a droit au respect à sa vie privée". Cette disposition permet à toute personne de s'opposer à la divulgation d'informations concernant, notamment, la vie conjugale, la vie familiale, la santé, la sexualité ou encore le patrimoine du dirigeant de l'entreprise. En vertu du droit au respect de la vie privée, la jurisprudence a créé le droit à l'image afin de permettre à une personne, célèbre ou non, de s'opposer à la captation, la fixation ou à la diffusion de son image, sans son autorisation expresse et préalable.
(3) Voir les articles publiés sur Le Journal du Net : "L'affaire Nestlé: autoritarisme, mépris, absence" et "Acadomia engage le dialogue....mais reste muette" (29/04/2011).
(4) Voir les articles publiés sur le site Les Echos entrepreneur : "Le nouveau filon de l'e-réputation" (18/02/2011) et sur le site Capital.fr : "De nouvelles assurances pour protéger votre e-réputation" (31/01/2012).
(5) Voir nos articles : "La charte technologique : un document essentiel pour la protection des réseaux et des données de l'entreprise" (09/2008) et "La charte informatique face à l'évolution des technologies : l'outil indispensable pour définir les règles du jeu" (12/2011) (accessible sur notre site web: www.dwavocat.com).
(6) Voir article publié sur le Blog de l'agence de communication digitale 50A (www.50a.fr) : "Nettoyeur pour 9,90€: une e-réputation au rabais?" (30/11/2011).
(7) Article 6-IV de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN) et Décret n°2007-1527 du 24 octobre 2007 ; Loi n°78-17 du 6 janvier 1978, modifiée relative à l’informatique, aux fichiers et aux libertés, et notamment article 38 ; Fiche pratique CNIL : "l'e-réputation en questions" (24/08/2011).
(8) Voir les articles L.45 et s. du Code des postes et des communications électroniques et la procédure "Syreli" devant l'AFNIC.
(9) Voir l'article 6 de la LCEN et le Décret n°2011-219 du 25 février 2011.
(10) Sur la diffamation, voir jugement du TGI de Nanterre du 6/01/2011 David Douillé c/ Bakchich et autres et jugement du TGI de Paris du 8/09/2010, M. X c/ Google inc., Eric S., et Google France
(11) Sur le dénigrement, voir jugement du TGI de Béthune du 14/12/2010 société Kemenn c/ Eric N.
(12) Voir les articles L.121-1, L.121-6 et L213-1 du Code de la consommation et l’art. 131-38 du Code pénal.
(13) Loi n°2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure, dite LOPPSI 2 (art. 2) et article 226-4-1 du Code pénal.
(14) Proposition de règlement du parlement européen et du conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du 25 janvier 2012 ; Proposition de loi relative à la protection des informations économiques du 13 janvier 2012.

Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2012

L'arsenal répressif contre le spamming s'étoffe : sera-t-il efficace pour enrayer la fraude ?

Le spamming est un fléau qui touche tout utilisateur, particuliers et entreprises. Ces spams ont un impact économique de poids sur les entreprises (coût de traitement des emails, encombrement des serveurs, etc.), et sont une source majeure de fraudes sur internet : fraude financière, écoulement de produits de contrefaçon, proposition de services illicites, etc.

Pour faire face à cette fraude d’envergure internationale, la France a mis en place un arsenal répressif contre le spamming (mesures législatives, actions gouvernementales, initiatives privées, etc.). Mais la mise en oeuvre de ces mesures sera-t-elle suffisante pour réduire l’ampleur de cette pratique ? Nous procédons ci-après à l’analyse du spamming et aux moyens mis en oeuvre pour sa répression.


1. Le spamming : un phénomène mondial difficile à combattre techniquement et judiciairement

Depuis de nombreuses années, le volume du spamming et les menaces qu'il véhicule (escroqueries, virus, etc.) portent préjudice à tous les acteurs et utilisateurs de l'internet.

    1.1 La pratique du spamming

Définition  -  Le spamming ne doit pas être confondu avec la prospection commerciale par e-mail. Le spamming est illégal ; la prospection commerciale est licite. (1)

Le spamming consiste en l'envoi massif, et parfois répété, de courriers électroniques non sollicités, à des personnes avec lesquelles l'expéditeur n'a jamais eu de contact et dont il a capté les adresses électroniques de façon irrégulière. Ces trois conditions cumulatives doivent être présentes afin que l’emailing soit considéré comme du “spamming”.

Typologie du/des spams  -  Le spam contient généralement de la publicité. Il peut s’agir d'e-mails adressés par des entreprises ignorant la législation et voyant cette pratique comme un moyen peu coûteux d’assurer la promotion de leurs produits ou services. 
Le plus souvent, le spam est frauduleux. Le message est trompeur, ou est porteur de virus informatique, ou encore ne dispose pas d'une adresse valide d'expédition ou de désinscription. De même, il est fréquent que l'expéditeur masque son identité ou usurpe l’adresse e-mail d’un tiers, afin de ne pas être identifié.

Le spamming peut recouvrir plusieurs formes d'escroqueries :
    (i) les spams proposant la vente de produits ou médicaments contrefaits, des services de jeux d’argent illicites, etc. ;
    (ii) le "phishing" visant à tromper le destinataire en lui faisant croire qu’il s’agit d’un e-mail envoyé par une société de services (ex: une banque), ou via les fraudes “à la nigériane” par l’envoi d’emails de la part de pseudo victimes d’un régime totalitaire proposant au destinataire de l’email de réceptionner de très grosses sommes d’argent contre une commission substantielle, l’objectif du spammeur étant à chaque fois de récupérer les données confidentielles des destinataires (mots de passe, numéro de carte bancaire), ou encore
    (iii) le "pump-and-dump" par le biais duquel les spammeurs tentent de tirer profit de l'agitation des marchés financiers. Les fraudeurs adressent de nombreux spams présentant des actions comme étant une “bonne affaire” dans laquelle il faut investir ; ces fausses affirmations ayant pour but de faire grimper artificiellement les cours de ces actions jusqu'au moment où les spammeurs décident de revendre leurs actions. (2)

    1.2 L'impact économique du spamming

Le spamming est un phénomène qui touche tous les pays, tous les internautes et toutes les entreprises, quels que soient leurs secteurs d'activité.

Plusieurs études et rapports sur le spamming sont publiés chaque année par des entreprises ou organismes impliqués dans la sécurité des réseaux. Il ressort de ces rapports que (3) :

- Le volume de spams diffusé sur internet au niveau mondial serait passé de 97% des e-mails circulant sur les réseaux en 2008 à 80% en 2011. Selon le rapport Symantec Intelligence de septembre 2011, en août 2011 sur 100% des e-mails échangés en France, près de 78% étaient des spams. Le volume de spam semble donc diminuer. Toutefois, cela qui implique que moins de 20% des e-mails échangés dans le monde seraient désirables/légitimes.

- Le coût financier du spamming pour les entreprises était estimé dans le monde à 20,5 milliards de dollars en 2003, ce coût étant passé à 198,3 milliards de dollars en 2007. En 2011, les menaces informatiques (dont le spamming) représentaient 1,8 milliards d'euros de perte financière pour la France.

    1.3 Les actions judiciaires engagées par les entreprises

A ce jour en France, seules quelques sociétés ont engagé des poursuites contre des spammeurs. Plusieurs raisons expliquent ce nombre très limité d’actions judiciaires :
    - la difficulté et le coût d'identification du spammeur, la plupart des spams étant difficilement localisables (adresse d'expédition non valide ou expéditeur non identifiable) ;
    - le caractère éminemment international du spamming. Si les spams proviennent de l’étranger, et sous réserve de l’identification et de la localisation effective du fraudeur, les procédures judiciaires seront longues, coûteuses et plus complexes, compte tenu des difficultés pour faire exécuter les décisions de justice françaises par certaines juridictions étrangères ;
    - enfin, l'absence, jusqu'à récemment, d'un cadre légal spécifique visant à réprimer le spamming en tant que tel. Ceci explique que la plupart de décisions rendues ont condamné les spammeurs sur des fondements juridiques divers (4) :

Le droit des contrats  -  En 2002 et 2004, des fournisseurs d'accès (FAI) et services de messagerie ont fait condamner leurs abonnés-spammeurs pour avoir procédé à des envois d’emails en masse, en violation des conditions prévues aux contrats de fourniture de services. Outre la résiliation des contrats des abonnés-spammeurs, ces derniers ont été condamnés au paiement de sommes paraissant dérisoires compte tenu des dommages et frais encourus (quelques centaines d’euros et 5.000€ de dommages et intérêts pour atteinte à l'image des services fournis par les FAI).

La contrefaçon de marque  -  En 2004, un spammeur a été condamné pour contrefaçon de marque, à hauteur de 30.000€. Le tribunal a considéré que l'utilisation, à des fins de prospection commerciale, d'une adresse e-mail reprenant l'une des marques de la société Microsoft dans son extension constituait un usage contrefaisant de ladite marque. En l'espèce, le spammeur avait utilisé la marque Hotmail, appartenant à Microsoft, dans l'adresse électronique dont il se servait pour envoyer en masse des e-mails publicitaires. Or, l'adresse litigieuse n'avait pas été délivrée par Microsoft.

Le délit d'entrave au traitement automatisé de données -  En 2002 et 2003, des spammeurs ont été condamnés à, respectivement, 4 et 10 mois d'emprisonnement avec sursis et à 20.000€ et 34.000€ de dommages et intérêts pour délit d’entrave au traitement automatisé de données (réprimé par la loi Godfrain de 1988). Ces spammeurs avaient envoyé un très grand nombre d'e-mails à des salariés de plusieurs entreprises, conduisant à paralyser l'ensemble des boîtes mails des destinataires et saturant ainsi les services de messagerie des sociétés concernées.

Afin d'enrayer ce phénomène, le législateur français a fait évoluer la réglementation en adoptant un cadre légal spécifique qui, complété par des initiatives publiques et privées, a permis la mise en place d'un arsenal répressif.


2. Le renforcement de l'arsenal répressif contre le spamming

En France, pouvoirs publics et acteurs de l'internet mènent depuis quelques années une politique active de lutte contre le spamming.

    2.1 Le dispositif légal mis en place

Le spamming est désormais une pratique spécifiquement interdite par la loi et sanctionnée. Plusieurs textes de loi sont applicables suivant le type de fraude incriminée (5) :

La LCEN  -  Le spamming peut être réprimé sur le fondement des dispositions relatives à la prospection commerciale par e-mail, prévue par la loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004 et codifiée dans le Code des postes et communications électroniques (CPCE) et le Code de la consommation. Ces textes interdisent de procéder à la prospection commerciale sans l'accord préalable du destinataire, sous peine d'une amende de 750€ par e-mail litigieux envoyé.

En outre, l’ordonnance du 24 août 2011 relative aux communications électroniques, a modifié ces dispositions légales afin de renforcer la lutte contre les messages commerciaux non sollicités. L'ordonnance élargit le champ des techniques de communication pouvant être concernées par le spamming et exige des expéditeurs de messages publicitaires qu'ils permettent au destinataire de s'y opposer (par exemple par le biais d'une adresse électronique).

La loi Informatique et Libertés  -  Le spamming peut être réprimé sur le fondement la loi Informatique et Libertés du 6 janvier 1978, dont les manquements sont sanctionnés civilement et pénalement. Concernant les sanctions pénales, est puni de 5 ans d'emprisonnement et de 300.000€ d'amende le fait de (i) collecter des données personnelles par un moyen frauduleux, déloyal ou illicite ou (ii) procéder à un traitement de données personnelles concernant une personne physique malgré son opposition, lorsque ce traitement répond à des fins de prospection commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes.

Concernant les sanctions civiles, la CNIL peut, à la suite de plaintes, (i) prononcer des sanctions contre les personnes procédant à un traitement de données personnelles ne respectant pas la loi (avertissement ou sanction pécuniaire jusqu'à 300.000€) et (ii) dénoncer les infractions au Procureur de la République. Ainsi, en 2008, la CNIL a sanctionné d'une amende de 30.000€, la société CDiscount pour ne pas avoir tenu compte des demandes de désinscription formulées par des internautes ne souhaitant plus recevoir d’e-mails publicitaires de cette société. (6)

La loi Godfrain  -  Le spamming peut être sanctionné sur le fondement de la loi Godfrain sur la fraude informatique du 5 janvier 1988, punissant le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données (envoi massif de messages provoquant l'impossibilité d'utiliser le système) ou le fait d'introduire frauduleusement des données dans un système de traitement automatisé, ou de supprimer ou modifier frauduleusement les données qu'il contient. Ces agissements sont punis de 5 ans d'emprisonnement et de 75.000€ d'amende.

La LOPPSI 2  -  Avec l’entrée en vigueur de la loi d'orientation et de programmation pour la performance de la sécurité intérieure du 14 mars 2011 (LOPPSI 2), le délit d'usurpation d'identité numérique est désormais identifié comme tel et passible d'un an d'emprisonnement et de 15.000€ d’amende. Ce nouveau délit permet de sanctionner les spammeurs qui ont recours à l'usurpation d'identité pour tromper leurs victimes, ou pour leur extorquer des fonds via la pratique du phishing par exemple. (7)

Le projet de loi sur les droits des consommateurs  -   Enfin, le projet de loi renforçant les droits, la protection et l'information des consommateurs, actuellement en cours de discussion au Parlement, prévoit d'assortir de sanctions administratives dissuasives les manquements aux dispositions du CPCE. La DGCCRF pourra ainsi prononcer des amendes d'un montant maximum de 15.000€ contre les spammeurs identifiés. (8)

Ce dispositif légal est renforcé par des initiatives publiques et privées visant à identifier et à faire sanctionner les spammeurs.

    2.2 Les actions publiques et privées contre le spamming

La lutte contre le spam mobilise de nombreux acteurs publics et privés ; leurs actions se matérialisent notamment par la mise en place de plates-formes web de dénonciation du spam. (9)

La liste eRobinson et la boîte à spams  -  Au début des années 2000, la FEVAD et la CNIL ont mis en place des dispositifs de lutte contre le spamming dénommés respectivement, liste eRobinson et boîte à spams. Ces dispositifs permettaient aux internautes de faire savoir qu'ils ne souhaitaient plus être destinataires de messages non sollicités et de transférer les messages litigieux qu'ils recevaient. Ces actions, ayant abouti à de nombreuses dénonciations, ont depuis été relayées par Signal Spam.

La plate-forme Signal Spam  -  Cette plate-forme de signalisation nationale a été lancée avec l'aide du Gouvernement en mai 2007. Elle vise à recueillir et traiter les plaintes des internautes puis les redirige, une fois le spammeur identifié, vers les autorités publiques et la CNIL. Sur la base des informations transmises, la CNIL peut ouvrir un dossier de plainte, effectuer des contrôles sur place et sanctionner les spammeurs établis en France. C'est dans ce cadre que la CNIL a procédé, en septembre 2008, à une large campagne de contrôle au sein des entreprises dont les opérations de spamming avaient été identifiées. Depuis la mise en ligne de cette plateforme, plus de 23 millions de spams ont été signalés. 

La plate-forme PHAROS - Cette plateforme nationale de signalisation des contenus illicites de l'internet a été créée en 2009 par l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC). En 2010, la plate-forme a traité près de 78 000 signalements. L'OCLCTIC a signé, le 4 mai 2011, une convention de partenariat avec Signal Spam. Les signalements sur cette plate-forme sont, après vérification, orientés vers un service d'enquête. Si le contenu signalé est illicite mais provient de l'étranger, il est transmis à Interpol qui l'oriente vers les autorités judiciaires du pays concerné.


3. Quelles sont les perspectives d'enrayement du phénomène?

Il existe une véritable mobilisation pour lutter contre cette pratique de prospection illicite. Cependant, ces actions seront-elles suffisantes pour endiguer le fléau du spamming ?

L'adoption d'un cadre juridique claire, l'existence de sanctions pénales dissuasives, la multiplication des moyens de lutte et enfin la mobilisation de nombreux acteurs publics et privés en relation avec les forces de l’ordre sont des signes positifs pour la lutte contre le spamming. Toutefois, en dépit de ces actions, le spam représente encore, en France, près de 80% des e-mails circulant sur les réseaux en 2011.

En effet, la lutte contre le spamming nécessite la mise en commun des efforts et des moyens ; elle doit être menée simultanément à plusieurs niveaux : politique, législatif, pédagogique, technologique, national, et international. La mobilisation de tous les acteurs concernés est indispensable car elle nécessite une extrême réactivité pour compenser la volatilité des données et des traces dans l'espace numérique.

Les entreprises ont un rôle à jouer dans l’enrayement du spam en adoptant notamment des solutions techniques adéquates permettant de sécuriser leur système d'information (pare-feu, antivirus, filtre anti-spam, dispositif d'alerte, utilisation de codage pour les données sensibles, etc. y compris une mise à jour régulière de ces dispositifs de sécurité). Ces solutions techniques doivent être accompagnées d’une politique pédagogique envers les salariés axée sur les risques technologiques, la nécessité de signaler les incidents de sécurité et de prendre des précautions telles que l’adoption de mots de passe complexes, ou ne pas ouvrir les pièces jointes d'e-mails dont l'expéditeur est inconnu.

 * * * * * * * * * * *

(1) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée (loi Informatique et Libertés) et Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN). La prospection commerciale, dont l’objet vise à promouvoir des biens ou des services, est une pratique licite dès lors qu'elle est réalisée à partir d’un fichier d’adresses collectées et traitées dans le respect de la loi Informatique et Libertés et de la loi LCEN. Dans le cadre d’une prospection par emailing publicitaire, chaque message électronique doit obligatoirement préciser l'identité de l'annonceur, et proposer un moyen simple de s'opposer à la réception de nouvelles sollicitations.

(2) Voir article publié sur Solutions-Logiciels.com le 30 août 2011 sur le Rapport Symantec Intelligence d'août 2011.

(3) Voir par exemple les rapports Microsoft 2008 et 2011 sur les données de sécurité ; Rapport sur l'état de la lutte contre le spam en Europe 2009 de l'ENISA (l'agence européenne chargée de la sécurité des réseaux et de l'information) ; Etat des lieux du spam dans le monde selon Kaspersky (article publié le 2 mars 2011 sur Blogdumoderateur.com) ; Rapport Symantec Intelligence d'août et septembre 2011 ; Etude " Monde : Le spam", publiée au Journal du Net le 24 août 2009 ; Article " Retour sur 2010 : l'Internet en chiffres" publié le 13 janv. 2011 sur Clubic.com et article " La France est un des pays les moins ciblés par les cyber-attaques", publié sur Challenges.fr le 13 oct. 2011.

(4) Sur le droit des contrats : TGI Paris, ord. Réf., 15 janvier 2002, P.V c/ Sté Liberty Surf et Sté Free et Trib. com. Paris, 5 mai 2004, Sté Microsoft Corp., SNC AOL France c/ M. K.., RG n° 03/094500 ; Sur la contrefaçon de marque : TGI Paris, ord. réf., 6 avr. 2004, Microsoft Corporation c/ E nov developpement confirmé par TGI Paris, 3e ch., 18 oct. 2006, Sté Microsoft Corp. c/ Sté E-nov Développement, RG n° 04/01810 ; Sur le délit d'entrave : Loi n°88-19 du 5 janvier 1988 sur la fraude informatique (Loi Godfrain) et TGI Paris 24 mai 2002, Monsieur P. c/ Société Lyonnaise Communications ; TGI du Mans, corr., 7 nov. 2003, Proc. De la République, Sté Smith et Nephew c/ L.

(5) Articles L34-5 et R.10-1 CPCE, L.121-20-5 C. conso. et articles 226-18 et 226-18-1, 323-2 et 323-3 et 226-4-1 du Code pénal.

(6) Articles 11, 17, 45 à 47 et 52 loi Informatique et Libertés et Délibération CNIL n°2008-422 du 6 novembre 2008 à l'égard de la société CDiscount.

(7) Loi n°2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure, dite LOPPSI 2 (art. 2) et article 226-4-1 C. pénal : "Le fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d'un an d'emprisonnement et de 15 000 € d'amende. Cette infraction est punie des mêmes peines lorsqu'elle est commise sur un réseau de communication au public en ligne".

(8) Projet de loi renforçant les droits, la protection et l'information des consommateurs - article 8 (http://www.assemblee-nationale.fr/13/projets/pl4141.asp).

(9) Question Ass. Nat., 13 septembre 2011, p. 9873 - Industrie, Energie et économie numérique - Internet. Escroquerie. Lutte et prévention - n°105283 du 12 avril 2011. Informations sur les plateformes Signal Spam et Pharos accessibles via https://www.signal-spam.fr/ et https://www.internet-signalement.gouv.fr/.



Betty SFEZ - Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Février 2012

Les règles spécifiques applicables aux marques de vins et alcools

Le choix, par un producteur, négociant ou commerçant, d'une marque désignant une boisson alcoolique, est soumis à plusieurs conditions prévues par la loi. Ces conditions sont définies aux  articles L.711-1 et suivants du Code de la propriété intellectuelle (CPI), qui précisent notamment que pour constituer une marque valable, le signe choisi doit être distinctif, non trompeur et disponible. En sus de ces conditions, les marques désignant des vins et alcools ne doivent pas porter atteinte aux appellations d'origine et doivent respecter des règles particulières en matière de publicité.

Ces conditions, que nous détaillons ci-après, doivent être prises en compte avant d’entreprendre la procédure de dépôt d'une marque désignant des vins et alcools.

1. Le caractère distinctif, non trompeur et disponible de la marque

Comme pour tous produits et services, la marque choisie pour identifier un vin ou un alcool doit être distinctive, non trompeuse et disponible.

    1.1 Une marque distinctive

La loi exige que la marque présente un caractère distinctif par rapport aux produits. Par distinctif, il faut comprendre un signe permettant au titulaire de la marque de distinguer ses produits de ceux des tiers. Ainsi, la marque ne doit être ni générique ou usuelle, ni descriptive, ni imposée par la fonction ou la nature du produit ou du service (art. L.711-2 CPI).

Par exemple, dans une affaire jugée par la Cour d'appel de Paris en 2007 impliquant le distributeur Nicolas, la marque "Petites récoltes" a été déclarée distinctive. Dans cette affaire, la société Nicolas, titulaire de la marque "Petites récoltes" pour désigner une gamme de vin, avait assigné une société en contrefaçon pour avoir enregistré la marque "La petite cueillette" pour désigner des produits identiques. Pour faire débouter la société Nicolas de ses demandes, la société attaquée invoquait le défaut de caractère distinctif de la marque "Petites récoltes", au motif que cette marque serait descriptive. Toutefois, la Cour a considéré que l'expression "petites récoltes" n’était pas utilisée dans le langage courant pour désigner exclusivement des vins de pays. La Cour a également retenu que l'élément distinctif prépondérant de cette marque était le terme "petite", ce mot se rapportant à deux registres : celui d'une origine moins noble du produit (un petit vin) mais aussi plus proche du public, le terme comportant une certaine connotation affective. Dès lors, la Cour a jugé que cette marque était suffisamment distinctive pour être valide.(1)

    1.2 Une marque non trompeuse

Une marque ne peut être constituée d'un signe déceptif, c'est-à-dire d'un signe de nature à tromper le public notamment sur la nature, la composition, la qualité, l'origine ou la provenance géographique du produit (art. L.711-3 CPI).

Les tribunaux ont, à plusieurs reprises, refusé l'enregistrement ou annulé des marques jugées trompeuses (2) :

- Les marques "Soviet champagne" et "Russian Champagne" : la Cour d'appel de Paris a jugé en 2007, que les marques "Soviet champagne" et "Russian Champagne" présentaient un caractère déceptif, de sorte que leur dépôt était illicite. Selon la Cour, ces signes ne pouvaient être enregistrés au motif qu'ils étaient de nature à tromper le public sur la nature, la qualité et la provenance géographique des produits désignés en laissant croire qu'il existait, à coté de l'appellation d'origine "Champagne", d'autres appellations bénéficiant à des vins issus d'un autre terroir mais bénéficiant néanmoins des qualités et caractéristiques spécifiques liées à un même savoir-faire.

- La marque “Château des Barrigards” : la Cour de cassation a annulé, en 2007, la marque "Château des Barrigards" pour tromperie. Selon la Cour, le nom d'une exploitation ne peut être déposé comme marque pour désigner un vin si les opérations de récolte et de vinification n'y sont pas réalisées. Tel était le cas en l'espèce, puisque ces opérations n'étaient pas réalisées sur le lieu-dit "Les Barrigards". 

    1.3 Une marque disponible

Enfin, pour constituer une marque valable, le signe doit être disponible, à savoir ne pas déjà être couvert par des droits antérieurs. Un signe est indisponible lorsqu'il a déjà été déposé par un tiers et enregistré comme marque pour désigner un produit ou un service identique ou similaire. A contrario, une personne ou une société peut déposer et enregistrer une marque identique à une marque déjà enregistrée, sous réserve que la nouvelle marque désigne des produits ou services  différents de ceux de la marque antérieure.(3)

Ainsi, en 2010, la Cour d'appel de Paris a rejeté la demande d'enregistrement formulée par une société pour la marque "Larme de Reine", désignée pour des boissons alcoolisées, au motif qu'il existait un risque de confusion dans l'esprit du public avec la marque antérieure "Larme du Duc", désignant également des boissons alcooliques. La Cour a considéré que sur les plans visuel et auditif, les deux marques présentaient une même structure reposant sur l'association d'un premier terme identique "larme", suivi d'une préposition “de”, “du” et de la désignation d'un titre nobiliaire "reine" ou "duc".(4)

2. Une marque désignant des vins et alcools ne doit pas porter atteinte aux appellations d'origine contrôlée

Une appellation d'origine se définit comme la dénomination d'un pays, d'une région ou d'une localité servant à désigner un produit qui en est originaire et dont la qualité ou les caractères sont dus au milieu géographique, comprenant des facteurs naturels et des facteurs humains (art. L.721-1 CPI et L.115-1 C. conso.).(5)

Une appellation d'origine ne peut être déposée en tant que telle à titre de marque pour désigner des vins bénéficiant de cette appellation d'origine.

- En effet, un producteur ou un commerçant ne peut choisir comme marque une dénomination constituant une appellation d'origine dès lors que ce choix serait de nature à donner un caractère générique à l'appellation ou à détourner ou affaiblir la notoriété de l'appellation (art. L.643-1 Code rural).

- En outre, l'appellation d'origine est un signe distinctif collectif dont l'usage appartient à tous les producteurs d'une région considérée et qui fait présumer certaines qualités liées à cette provenance géographique. Parce qu'il est un signe collectif, un producteur ou un commerçant ne peut s'en attribuer le monopole en le déposant comme marque.

- Enfin, une marque composée uniquement d'une appellation d'origine ne peut être enregistrée dans la mesure où cette marque serait descriptive ; cette marque comprenant la désignation du vin et la provenance géographique. Toutefois il est possible, pour désigner des vins et alcools bénéficiant de l'appellation d'origine, de déposer une marque complexe constituée de l'appellation d'origine et d'un élément complémentaire arbitraire, conférant à l'ensemble un caractère distinctif. La Cour de cassation a ainsi admis, en 2004, l'enregistrement d'une marque complexe incorporant l'appellation d'origine "Châteauneuf du Pape".(6)

Par ailleurs, la loi dispose qu'un signe portant atteinte à une appellation d'origine protégée ne peut être adopté comme marque (art. L.711-4 (d) CPI).

Une appellation d'origine ne peut être déposée à titre de marque pour désigner des vins ne bénéficiant pas de cette appellation d'origine car une telle marque serait alors trompeuse. C'est sur ce fondement que la Cour de cassation a prononcé la nullité de la marque "Cru du Fort Médoc" pour caractère déceptif. En effet, le vin commercialisé sous la marque "Cru du Fort Médoc", ne bénéficiant pas de l'appellation d'origine "Médoc", créait une confusion trompeuse dans l'esprit du public. En revanche, si le vin avait bénéficié de l’appellation d’origine Médoc, il est probable que la marque aurait été reconnue comme valable.(7)

3. Les règles spécifiques en matière de publicité désignant des vins et alcools

Le droit des marques est régi par le principe de spécialité, en vertu duquel une marque n'est protégée que pour les produits désignés. Deux marques identiques peuvent donc coexister à condition qu'elles désignent des produits ou services différents et qu’elles ne créent pas de confusion dans l’esprit du public.

Ce principe de spécialité connaît cependant une exception en matière de marque de vins et d'alcools, le dépôt d’une marque désignant un vin ou alcool postérieurement à une marque identique désignant un autre produit étant considéré porter atteinte au droit d’exploitation du titulaire antérieur.

Pour rappel, la publicité directe ou indirecte en faveur des boissons alcooliques fait l'objet d'une réglementation très stricte. Ce type de publicité est généralement prohibé, sauf dans les cas expressément autorisés par la loi. Lorsque la publicité est autorisée (selon le type de média, les créneaux horaires, etc.), les éléments composant cette publicité sont limitativement définis à l’article L.3323-4 du Code de la santé publique (CSP).

Aux termes de l’article L.3323-3 al.1 du CSP, la publicité indirecte consiste dans toute publicité “(…) en faveur d'un organisme, d'un service, d'une activité, d'un produit ou d'un article autre qu'une boisson alcoolique qui, par son graphisme, sa présentation, l'utilisation d'une dénomination, d'une marque, d'un emblème publicitaire ou d'un autre signe distinctif, rappelle une boisson alcoolique.”(8)

En conséquence, ces dispositions interdisent automatiquement toute publicité pour des produits couverts par le même signe qu'une marque d'alcool. Elles limitent ainsi les possibilités d'exploitation d'une marque antérieure désignant des produits autres que des alcools, dès lors qu'un signe identique est déposé ultérieurement pour désigner des boissons alcooliques. Un tel dépôt plus récent s'avère donc préjudiciable pour le titulaire de la marque antérieure.

C'est sur ce fondement que des marques désignant des boissons alcooliques ont été invalidées(9) :

- La marque "Victoria's Secret" : la Cour d'appel de Paris a prononcé, en 2000, la nullité de la marque "Victoria's Secret", désignant des boissons alcooliques (et notamment du Cognac), au motif que le titulaire de la marque antérieure, déposée pour désigner notamment des catalogues et services de vente par correspondance de vêtements féminins, ne pouvait plus exploiter librement sa marque.

- La marque "Diptyque" : en 2011, la Cour d'appel de Paris a prononcé la nullité de la marque "Diptyque" désignant des boissons alcooliques, au motif que le titulaire de la marque antérieure "Diptyque", désignant des produits cosmétiques et luminaires, ne pouvait plus promouvoir librement ses propres produits et donc exercer pleinement son droit de propriété. Selon la Cour, cette situation portait atteinte aux droits dont jouissait la société Diptyque avant le dépôt de la marque litigieuse, justifiant l'annulation de cette dernière.

Que l’on soit producteur, négociant ou distributeur, il est donc vivement recommandé de sélectionner une marque pour promouvoir ses produits alcooliques ou services de vente de ces produits avec une attention toute particulière, compte tenu des règles généralement applicables à la validité d’une marque, mais aussi des règles spécifiques en matière d’alcool. Il sera également prudent d’appliquer par extension les mêmes règles de sélection de la marque avant son dépôt pour les marques désignant des services de vente de vins et alcools, y compris sur internet.

* * * * * * * * * * *

(1) Cass. com., 6 mars 2007, n°05-13.705.
(2) CA Paris, 4e ch., section A, 25 avril 2007, n°06/03001 ; CA Bordeaux, 1ère ch. Civ., sect. A, 3 janvier 2011, n°RG 09/02994 et Cass. com., 30 mai 2007, n°05-21.798, Château des Barrigards et a. c/ Lobreau et a.
(3) C'est ce que l'on appelle la règle de spécialité en droit des marques. Cette règle ne saurait cependant être appliquée sans discernement et la jurisprudence condamne le choix des signes créant des confusions avec d'autres marques. L'appréciation du risque de confusion entre deux marques désignant des produits ou services identiques ou similaires est fondée sur une impression d'ensemble en tenant compte des éléments distinctifs et dominants des signes en cause et s'attache aux éléments visuels, phonétiques et intellectuels des signes considérés.
(4) CA Paris, pôle 5, ch. 2, 3 septembre 2010, n°10/00644 et CA Bordeaux, 19 février 2007, n°06/005300.
(5) L'indication de provenance a seulement pour objet de désigner le lieu de préparation ou de fabrication du produit. Elle se distingue de l'appellation d'origine car elle ne garantit aucune qualité particulière tenant au terrain (climat, sol, faune, flore) et aux modes de production ou de fabrication.Des spécificités existent également concernant les indications géographiques, elles ne sont pas abordées dans le présent article.
(6)Cass. com., 21 sept. 2004, n°02-15.435, Châteauneuf du Pape.
(7) Cass. com., 9 nov. 1981 : Bull. civ. IV, n°386).
(8) Cette disposition ne s’applique pas à la publicité pour un produit, autre qu’une boisson alcoolique, mis sur le marché avant le 1er janvier 1990 par une entreprise juridiquement ou financièrement distincte de toute entreprise qui fabrique, importe ou commercialise une boisson alcoolique.
(9) CA Paris, Pôle 5-chambre 1, 26 oct. 2011, n°09/23375, société Diptyque c/ société JAS Hennessy et CA Paris, 4e ch. sect. A, 20 sept. 2000, n° RG : 98/14609, Sté Roullet Fransac Sarl c/ Sté V Secret catalogue Inc.

Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat

www.dwavocat.com

Février 2012

Quelles sont les règles applicables aux soldes sur internet ?

Les soldes d'hiver 2012 ont débuté le 11 janvier dernier et doivent prendre fin le 14 février à minuit. Aux termes d’une enquête FEVAD/CSA publiée le 9 janvier, plus de 22 millions de Français ont l’intention d’acheter en ligne à l’occasion des soldes d’hiver.(1)

Les soldes sur internet sont soumis aux mêmes règles que pour la vente en magasin. Les soldes étant propices à toutes sortes d’abus et de fraudes par des commerçants peu scrupuleux, ces opérations sont très encadrées afin d’éviter les dérives, depuis les périodes autorisées pour les opérations de soldes, en passant par la publicité des soldes, jusqu’aux règles applicables en matière de prix. 

Nous rappelons ci-après les obligations légales, incombant notamment aux e-commerçants, en matière de soldes et les sanctions encourues en cas de manquements à la réglementation.


1. Des périodes de soldes réglementées

Les soldes doivent avoir lieu durant les périodes définies par la loi pour l'année civile. Il existe deux types de soldes : les soldes saisonniers et les soldes complémentaires, ou soldes flottants.(2)

Les soldes saisonniers  -  Comme les commerçants traditionnels, les e-commerçants ont la possibilité d’organiser deux périodes de soldes par an, d'une durée de 5 semaines chacune.

Les périodes de solde saisonniers sont fixées par décret : les soldes d'hiver débutent le deuxième mercredi de janvier à 8 heures du matin et les soldes d'été débutent le dernier mercredi de juin à 8 heures du matin. (art. R.310-15-2 C. com.)

Toutefois, 18 départements (principalement frontaliers et DOM) ont la possibilité de démarrer les soldes à des périodes différentes afin de tenir compte d'une forte saisonnalité des ventes ou d'opérations commerciales menées dans des régions frontalières.

Les soldes complémentaires  -  Ces opérations commerciales, également appelées soldes flottants, sont autorisées pour une durée maximale de 2 semaines par an, consécutives ou non.

Les e-commerçants sont tenus de faire une déclaration préalable des périodes de soldes flottants auprès du Préfet du département du siège de l’entreprise, soit par lettre recommandée avec accusé de réception, soit par voie électronique sur le site de la DGCCRF. Cette déclaration doit être faite au moins un mois avant le début des soldes.(3)


2. Les produits et services concernés par les soldes

Opération de déstockage  -  Les produits proposés en solde sont uniquement les stocks invendus de produits neufs ; l'objet des soldes étant de pouvoir écouler ces marchandises. Le stock, se trouvant dans l'établissement commercial, ses réserves ou un dépôt, doit donc être préalablement constitué : les produits ne peuvent faire l'objet de réapprovisionnement, sous peine d’amende.

Les produits soldés doivent avoir été proposés à la vente en ligne et payés par le e-commerçant depuis au moins 1 mois avant le premier jour des soldes. L'objectif de cette mesure est d'interdire aux commerçants l'achat de produits spécifiques pour la période des soldes, et ainsi d'éviter que le consommateur ne soit trompé sur la réalité de la réduction de prix. (art. L.310-3-I C. com.)

Les prestations de services  -  La DGCCRF considère que le régime des soldes est également applicable à certains types de prestations de services. Selon l'Administration, seules les prestations de services revendues par un commerçant qui en a acquis de manière ferme et définitive une quantité déterminée non renouvelable auprès d'autre opérateur (par exemple, la vente de voyages ou de séjours à forfait), peuvent être soldées ; il n'en va pas de même pour les prestations fournies dans l'immédiat (tels que par exemple les services permettant aux internautes de créer leur site web, un magazines ou des albums photos à partir d’une plateforme fournissant modèles et maquettes-types).

Les conditions de garantie  -  Les produits vendus en période de soldes bénéficient des mêmes garanties que celles prévues pour les produits vendus hors soldes, notamment la garantie contre les vices cachés et autres garanties contractuelles qui seraient habituellement appliquées. Les limitations de garanties sur les produits soldés sont donc interdites. Les mentions du type “articles soldés ni repris, ni échangés” sont considérées comme abusives et ne dispensent pas les e-commerçants d'échanger ou de rembourser les produits présentant des vices cachés par exemple.

En outre, en matière de vente à distance, le consommateur continue à bénéficier du droit de rétractation (sauf exceptions prévues par la loi), même en période de soldes.


3. Produits soldés : les règles applicables en matière de publicité et de prix

L’usage du mot “solde”  -  L’utilisation du terme “soldes” est réglementée. Le terme solde(s) est interdit pour désigner toute activité, dénomination sociale, nom commercial ou enseigne qui ne se rapporte pas à une opération de soldes impliquant une réduction de prix. Dès lors, un e-commerçant ne peut utiliser le mot solde pour des opérations commerciales autre que les soldes telles que définies par la loi. (art. L.310-3-II C. com.)

Les mentions obligatoires  -  Toute publicité relative à une opération de soldes doit mentionner la date de début de l'opération et la nature des produits sur lesquels porte l'opération, si celle-ci ne concerne pas la totalité des produits vendus sur le site marchand. (art. R. 310-17 C. com.)

Les conditions de réductions de prix  -  Les réductions de prix en période de soldes sont soumises à certaines conditions, afin notamment d’éviter la fraude :

- Des réductions de prix effectives : les soldes sont des opérations commerciales comportant de réelles réductions de prix. Ainsi, le commerçant qui maintiendrait ses prix, ou qui augmenterait les prix quelques jours avant les soldes pour les ramener ensuite à leur ancien niveau s'exposerait à des sanctions.

- Des réductions claires : l'acheteur doit être informé des réductions de prix pratiquées et pouvoir clairement faire la distinction entre les produits soldés et non soldés.

Ainsi, le site marchand doit afficher : l'ancien prix (lequel devra apparaître barré), le nouveau prix et le taux de réduction pratiqué. Pour plus de clarté, une rubrique “spécial soldes” peut regrouper les produits soldés. Les publicités, en ligne et hors ligne, doivent préciser l'importance de la réduction de prix (en valeur absolue ou en pourcentage), les produits ou services concernés par les soldes et la période pendant laquelle les produits ou services sont proposés à prix réduit.(4)

- La revente à perte autorisée : la revente d'un produit à un prix inférieur à son prix d'achat, ou revente à perte, est généralement prohibée. Toutefois, cette pratique est exceptionnellement autorisée pendant la période des soldes. (art. L.442-2 et s. C. com.)

Les produits invendus à l’issue de la période des soldes  -  Une fois la période des soldes terminée, le commerçant a la possibilité de poursuivre la vente des produits soldés invendus. En revanche, il devra cesser toute publicité spécifique aux soldes concernant ces produits et ne pourra afficher qu'un seul prix.


4. Les sanctions applicables en cas de non-respect de la réglementation sur les soldes

Le rôle de la DGCCRF  -  Les agents de la DGCCRF disposent de pouvoirs d'enquête leur permettant d'accéder aux locaux des entreprises, de se faire communiquer tous documents professionnels et recueillir tous renseignements. Ces agents sont notamment compétents pour contrôler le respect des règles relatives à l'information des consommateurs sur les prix et les conditions de vente. (art. L.450-1 et s. du C. com.)

Les sanctions  -  Les manquements aux règles précitées sont punis d'amendes dont les montants varient selon l'infraction commise.

Ainsi, le fait d’organiser des soldes sur des produits détenus depuis moins d'un mois à la date de début de la période de soldes et/ou le fait d'utiliser le mot solde (ou ses dérivés) dans les cas où cette utilisation ne se rapporte pas à une opération de soldes telle que définie par la loi sont punis d'une amende de 15.000€ (75.000€ pour une personne morale). (art. L.310-5 C. com.)

Le fait de ne pas mentionner dans la publicité, la date de début de l'opération commerciale et la nature des produits ou services sur lesquels portent les soldes est puni d'une contravention de 5e classe, soit 1.500€ (7.500€ pour une personne morale). (art. R.310-19-3° C. com.)

Enfin, le fait d'utiliser le mot solde dans une publicité, hors période de soldes et sans autorisation, est passible de l'amende prévue pour la publicité trompeuse, si l'opération est susceptible d'induire  les consommateurs en erreur. Le montant de l'amende s'élève à 37.000€ et peut aller jusqu'à 50% du montant consacré à la publicité litigieuse. (art. L.121-15 C. conso.)


5. Réglementation des soldes et territorialité

Le problème de la réglementation française des soldes et de son application territoriale, notamment pour les périodes de soldes, se posait pour la vente en ligne lorsque les périodes différaient selon les départements d’établissement des lieux de vente. Les dates des soldes saisonniers étant désormais les mêmes sur tout le territoire français (sauf certains départements et DOM, soumis à des dates différentes, comme indiqué ci-dessus), ce problème ne se pose plus au niveau national. Les entreprises de e-commerce établies en France sont soumises à ces règles - périodes de soldes, règles relatives à la publicité des soldes, à la fixation des prix, etc. - de la même manière que les magasins “en dur”.

Cependant, le problème de la territorialité de la réglementation des soldes n’est pas entièrement résolu pour autant : non seulement les consommateurs peuvent acheter sur des sites de e-commerce établis à l’étranger, à des prix “soldés” à des périodes différentes de celles applicables sur le territoire français, mais les règles applicables en matière d’établissement des prix et de publicité peuvent ne pas être encadrées de manière aussi stricte qu’en France. De la même manière, rien n’empêche les consommateurs étrangers de profiter des périodes de soldes sur les sites établis en France (sauf le refus du e-commerçant de vendre à des acheteurs résidant à l’étranger).

Le “handicap” de la concurrence des sites étrangers non soumis aux mêmes règles doit cependant être mis en perspective avec les garanties offertes par les conditions de vente des sites français (voir ci-dessus), et les obligations de transparence en matière de prix, ces deux éléments devant rassurer le consommateur. Enfin, avec la transposition de la directive protection des consommateurs, applicable dans les états membres au plus tard en juin 2014, les règles généralement applicables au commerce en ligne au sein de l’Union européenne (notamment information du consommateur, obligations en matière de livraison, délai de rétractation, etc.) seront amenées à se rapprocher. Certes, la directive ne concerne pas les conditions applicables aux soldes en ligne, mais les droits et obligations applicables à la vente en ligne B-to-C seront désormais très proches dans les différents états membres de l’Union.(5)


* * * * * * * * * * * *

(1) Voir communiqué de presse du 9 janvier 2012 sur le site de la Fevad (www.fevad.com), à la rubrique > espace presse
(2) Les règles concernant les soldes sont définies aux articles L.310-3 et suivants et R.310-15 et suivants du Code de commerce.
(3) Voir art. R.310-15 C. com. ; la télé-déclaration peut être faite en ligne sur le site de la DGCCRF (http://telesoldes.dgccrf.bercy.gouv.fr/).
(4) Voir notamment les articles 1 et 2 de l'arrêté du 31 décembre 2008 relatif aux annonces de réduction de prix à l'égard du consommateur qui disposent que toute publicité relative à l'annonce de réduction de prix, lorsqu'elle est faite sur le lieu de vente (en l’occurrence, le site marchand), doit faire apparaître, outre le prix annoncé, le prix de référence, qui ne peut excéder le prix le plus bas effectivement pratiqué au cours des 30 derniers jours précédant le début de la période des soldes. L'annonceur peut également utiliser comme prix de référence le prix conseillé par le fabricant ou l'importateur du produit sous réserve que ce prix soit couramment pratiqué par les autres distributeurs.
(5) Directive 2011/83/UE du 25 octobre 2011 relative aux droits des consommateurs.

Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2012

article publié sur le Journal du Net le 30 janvier 2012