Cyberdéfense : la stratégie nationale dévoilée dans le dernier Livre blanc sur la Défense et la Sécurité nationale

Les cyberattaques contre les Etats, leurs institutions, leurs moyens de communications, les banques et les entreprises nationales sont régulièrement au cœur de l’actualité des TIC. Par exemple, dernièrement les médias ont rapporté deux types d’attaques : la première, en février 2013, avait ciblé la presse américaine en piratant les systèmes informatiques du New York Times, du Wall Street Journal et de la chaîne d'informations CNN ; la seconde, en mars 2013, avait ciblé les réseaux informatiques des chaînes de télévision et des banques de la Corée du Sud. Les Etats victimes ont publiquement désigné des gouvernements étrangers comme étant les commanditaires de ces attaques, si bien que l'on serait tenté de qualifier ces conflits de "cyberguerre".(1)

Face à la prolifération de ce type d’attaques, les institutions européennes (2) et les pays, dont la France, développent des politiques de sécurité des réseaux et des systèmes d’information. C'est dans ce contexte que le nouveau Livre blanc sur la Défense et la Sécurité nationale, publié par le Ministère de la défense fin avril 2013, fait de la lutte contre la cybermenace une priorité nationale.(3) Ce livre établit une stratégie nationale de cyberdéfense visant à prévenir et riposter aux cyberattaques.


1. L'existence d'une cybermenace pesant sur le territoire national

Des attaques croissantes dans le cyberespace  -  Le livre blanc fait état de l’accroissement du nombre d’attaques informatiques contre les systèmes d'information des entreprises nationales et de l'Etat, de leur diversification et de leur sophistication.

Ce texte qualifie la cybermenace de "menace majeure" pour la sécurité de la Nation. Ainsi, parmi les six menaces identifiées dans ce livre comme affectant gravement la sécurité nationale, les cyberattaques viennent en 3e position après les agressions par un autre Etat contre le territoire national et les attaques terroristes.

En outre, le livre blanc précise qu'une attaque informatique de grande envergure pourrait constituer un véritable "acte de guerre", si les intérêts stratégiques nationaux étaient menacés.

Enfin, le livre blanc qualifie le cyberespace de "milieu opérationnel". Le cyberespace constitue ainsi le 5e milieu opérationnel après la terre, la mer, l'air et l'espace. Ce texte précise également que le cyberespace constitue désormais "un champ de confrontation à part entière", et donc une zone de conflit potentiel sur laquelle doivent pouvoir être déployées des forces d'intervention.

Des risques à ne pas négliger  -  Bien que les cyberattaques n'aient jusqu'à présent causé la mort d'aucun homme, elles font courir des risques considérables pour les entreprises nationales et l'Etat.

En effet, le vol d'informations stratégiques et sensibles (informations industrielles, économiques, financières ou militaires) - ou la captation de savoir-faire par le biais d'intrusions informatiques, peut avoir un impact direct sur la compétitivité économique de la France.

En outre, les attaques visant la destruction ou la prise de contrôle à distance de services essentiels au fonctionnement du pays ou à sa défense, à savoir des actions malveillantes sur les systèmes d'informations et de communication d'opérateurs d'importance vitale (OIV) (4) ou sur les infrastructures et équipements militaires, pourraient engendrer la paralysie de pans entiers de l'activité du pays.

L'Estonie a ainsi été victime d'une vague d'attaques informatiques en avril 2007. Ces attaques, visant les sites web gouvernementaux et publics, ceux des opérateurs de téléphonie mobile, des banques commerciales et des organes d'information, ont perturbé durant plus d'un mois la vie courante du pays, en privant les Estoniens de l'accès à certains services en ligne essentiels.(5)

L'importance de la cybermenace est accentuée par la difficulté à établir l'origine géographique de l'attaque et donc à identifier les pirates. Or, la France doit être en mesure de se protéger contre de telles attaques. C'est pour cette raison que le gouvernement français a décidé d'inscrire la cyberdéfense parmi les priorités stratégiques nationales.


2. L'élaboration d'une stratégie de cyberdéfense nationale

Afin d'assurer la "continuité des fonctions essentielles de la Nation", le livre blanc préconise de renforcer le niveau de sécurité des systèmes d'information (SSI) des OIV et de l'Etat. Ce renforcement de la SSI passera par deux types d'actions : d'une part, l'élaboration et la mise en oeuvre de mesures législatives et réglementaires en matière de sécurité et d'autre part, le déploiement de forces armées destinées à la cyberdéfense.

L'adoption nécessaire de dispositions légales et de bonnes pratiques  -  Le livre blanc prévoit l'adoption prochaine de mesures législatives et réglementaires visant à permettre aux OIV et à l'Etat, de détecter et traiter les incidents informatiques touchant leurs systèmes d'information.

Aussi, seront imposés le respect de standards et référentiels de sécurité ainsi que l'obligation de déclarer les incidents. Cette dernière mesure, déjà prévue dans le rapport Bockel sur la cyberdéfense de juillet 2012, et le projet de directive européenne sur la sécurité de réseaux et de l'information, de février 2013, impose aux entreprises françaises de notifier à l'ANSSI tous incidents (perte, vol, piratage de données, etc.) qui ont un impact significatif sur la sécurité des services qu'elles fournissent.

Le livre blanc prévoit par ailleurs que des audits de sécurité des systèmes d'information seront réalisés par l'Etat, qui, le cas échéant, pourra imposer des mesures de mise en conformité. Le texte préconise également d'inclure dans "les marchés publics comprenant des éléments numériques des clauses drastiques concernant la sécurité".

Enfin, le livre blanc précise que des budgets annuels seront alloués à des entreprises françaises pour la conception et le développement de produits de sécurité. Ce texte souligne en effet l'importance pour la France de produire "en toute autonomie" des dispositifs de sécurité et de maintenir une "industrie nationale performante".

Le renforcement des capacités militaires de cyberdéfense  -  Ce renforcement des moyens humains militaires passe par la consolidation des activités de renseignement, la création de forces nouvelles et une formation accrue à la sécurité numérique.

- Développement des capacités de renseignement : le livre blanc affirme la nécessité de développer l'activité de renseignement et les capacités techniques y afférentes, "afin d'identifier l'origine des attaques, évaluer les capacités offensives des adversaires potentiels et de pouvoir ainsi riposter de manière adéquate".

- Mise en place d'un vivier de réservistes : le livre blanc précise que deux catégories de réserves seront créées : d'une part, une réserve opérationnelle, rattachée aux services de renseignement et mobilisable en cas d'attaque majeure, et d'autre part, une réserve citoyenne cyberdéfense, mobilisant notamment des jeunes techniciens et informaticiens intéressés par les enjeux de sécurité numérique.

- Formation du personnel : enfin, le livre blanc insiste sur la nécessité de sensibiliser les administrations et salariés d'OIV aux règles élémentaires de sécurité ou "d'hygiène cybernétique", d’accroître le nombre d’experts français en sécurité informatique et de veiller à ce que ce domaine soit intégré aux enseignements supérieurs en informatique.


La cybersécurité est devenue un défi majeur tant pour les entreprises que pour les Etats. Le livre blanc insiste sur la nécessité de développer les capacités de la France à détecter les attaques, à en déterminer l'origine et, lorsque les intérêts nationaux sont menacés, à riposter.

Auteur du rapport de juillet 2012 sur la cyberdéfense, le sénateur Bockel a déclaré être satisfait du fait que les préconisations suivantes du rapport aient été reprises dans le livre blanc : faire de la cyberdéfense et de la protection des systèmes d'information une priorité nationale (priorité n°1) ; renforcer les effectifs et les moyens dédiés au sein des armées (priorité n°2) ; rendre obligatoire pour les entreprises et les OIV une déclaration d'incident à l'ANSSI en cas d'attaque importante contre les systèmes d'information (priorité n°5) ; et soutenir notamment des PME spécialisées dans la conception de certains produits ou services importants pour la sécurité informatique (priorité n°7).

L’élément positif à retenir est la détermination d’une politique de cybersécurité à l’échelon national. Cette politique devra cependant s’inscrire en amont, dans un plan pan-européen de cybersécurité. En aval, il est désormais capital de sensibiliser les entreprises et administrations, notamment mais pas uniquement les OIV, à la protection physique et logique de leurs infrastructures technologiques. Ceci passera par une approche pédagogique auprès des personnels des entreprises et des administrations et par le déploiement et la mise en oeuvre d’outils et de pratiques de cybersécurité.

                                                   * * * * * * * * * * *

(1) Voir les articles : "Cyber-attaques en série contre la presse américaine", publié le 1er février 2013 sur http://www.latribune.fr/ et "La cyberattaque, nouvelle arme de guerre des Etats ?", publié le 22 mars 2013 sur http://www.franceinfo.fr/.

(2) Communication conjointe au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions. Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, Bruxelles, le 7.2.2013 COM(2013) 48 final 2013/0027 (COD).

(3) Le livre blanc est disponible en ligne, sur le site du Ministère de la défense à l’URL: http://www.defense.gouv.fr/actualites/articles/livre-blanc-2013

(4) Le livre blanc définit les secteurs d'activité d'importance vitale comme suit (p.105) : activités civiles de l'Etat, activités judiciaires, activités militaires de l'Etat, alimentation, communications électroniques, audiovisuel et information, énergie, espace et recherche, finances, gestion de l'eau, industrie, santé et transports.

(5) voir le rapport de J-M Bockel publié le 18 juillet 2012, "La cyberdéfense : un enjeu mondial, une priorité nationale".


Betty SFEZ
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2013

Les soldes : des méthodes de vente encadrées, même sur internet

Les soldes d’été 2013 débutent le mercredi 26 juin à 8 heures. Les soldes sur internet étant soumis aux mêmes règles que pour la vente en magasin, les e-commerçants français doivent s’assurer que leurs soldes sont conformes à la réglementation. En effet, les périodes de soldes révèlent de nombreuses pratiques trompeuses et illicites de la part de certains commerçants, qu’il s’agisse de publicités induisant les consommateurs en erreur ou des manipulations de prix frauduleuses par exemple.

Les soldes sont réglementés aux articles L.310-3 et suivants et R. 310-15 et suivants du Code de commerce.

Les soldes sont définis comme des ventes qui :
    - d’une part sont accompagnées ou précédées de publicité et annoncées comme tendant, par une réduction de prix, à l'écoulement accéléré de marchandises en stock, et
    - d’autre part, ont lieu durant des périodes de l’année définies par décret.

Nous faisons ci-après un bref rappel des conditions relatives à la vente en solde et des sanctions  applicables en cas d’infraction à la loi.


1. Les conditions de la vente en solde

        1.1 Des périodes de soldes réglementées
Il existe deux types de soldes :

- Les soldes saisonniers, organisés sur deux périodes de cinq semaines par an, en hiver et en été.

Les soldes d’hiver débutent le deuxième mercredi du mois de janvier à 8h ; les soldes d’été débutent le dernier mercredi de juin à 8h. Ces dates s’appliquent à tout le territoire français, à l’exception de douze départements (principalement frontaliers et DOM) dont la liste figure à l’article D.310-15-3 du Code de commerce.

- Les soldes complémentaires ou soldes flottants, d’une durée de deux semaines par an,  consécutives ou non.

Les soldes flottants sont organisés aux dates choisies par le commerçant, sous réserve d’une déclaration préalable en préfecture du département du siège de l’entreprise, au moins un mois avant le début des soldes. Les soldes flottants doivent prendre fin au plus tard un mois avant le début des soldes saisonniers.

        1.2 Les produits et services pouvant être vendus en solde
Concernant les produits, l’objectif des soldes est le destockage. Seuls peuvent être vendus en solde des produits neufs, déjà proposés à la vente et achetés et payés par le commerçant au moins un mois avant le début des soldes. En effet, il n’est pas possible d’acheter des produits aux seules fins de les revendre directement en solde, ni de se réapprovisionner en produits soldés pendant cette période.

Certains types de services peuvent également être vendus en solde. Seules certaines catégories de prestations de services revendues par un commerçant, sous réserve d’en avoir acquis une quantité déterminée et non renouvelable auprès d'un autre opérateur, sont concernées par les soldes. Il s’agit par exemple de la vente de voyages ou de séjours à forfait.

A l’issue de la période des soldes, les invendus peuvent continuer à être proposés à la vente au prix soldé. Le commerçant ne pourra cependant plus communiquer sur les soldes et ne pourra afficher qu’un seul prix.

        1.3 Les conditions de vente en solde
- La publicité - Les soldes doivent faire l’objet d’une publicité. Celle-ci doit contenir les mentions obligatoires suivantes : la date de début des soldes et la nature des produits soldés, lorsque les soldes ne portent pas sur la totalité du catalogue. (art. R.310-17 c.com)

A noter également que l’usage du terme “soldes” est réglementé. Le mot “soldes” ne peut être utilisé que pour les opérations répondant aux conditions des soldes telles que définies par la loi (période, produits ou services concernés, conditions de prix, etc.). (art. L.310-3-II c.com) Ainsi, le mot soldes ne peut être utilisé pour des opérations promotionnelles, des ventes privées, ou des liquidations commerciales.

- Les prix - Pendant les périodes de soldes, les réductions de prix doivent être effectives et être affichées de manière claire.

Le site de e-commerce devra faire figurer sur ses pages produit : l’ancien prix barré, le prix soldé, et le pourcentage de réduction effective.

La revente à perte est exceptionnellement autorisée en période de soldes. (art. L.442-2 et s. c.com)

- Les garanties - Le e-commerçant est tenu de fournir les mêmes garanties sur ses produits et services soldés que sur les produits et services non soldés.

Les garanties légales - vices cachés et conformité - s’appliqueront aux produits soldés, tout comme les garanties contractuelles éventuelles.

Le droit de rétractation reste également applicable en période de soldes pour les achats réalisés sur internet (sauf exceptions prévues par la loi).


2. Les sanctions en cas de non-conformité à la réglementation

Les services de la Direction générale de la concurrence, de la consommation, et de la répression des fraudes (DGCCRF) et ses antennes locales (Directions départementales de la protection des populations - DDPP) ont notamment pour mission de contrôler le respect de la réglementation en matière de prix et de soldes. (art. L.450-1 et s. c.com)

Ainsi, les e-commerçants qui organiseraient des soldes en contravention avec ces règles sont passibles de peines d’amendes, dont les montants varient selon l’infraction commise :

        - en cas de soldes sur des produits détenus depuis moins d’un mois à la date de début de l’opération, ou d’utilisation du terme “soldes” de manière inappropriée : amende de 15.000€ (75.000€ pour les personnes morales) (art. L.310-5 c.com) ;
        - en cas de publicité incomplète, qui ne reprendrait pas les mentions obligatoires susvisées : contravention de 5é classe, soit 1.500€ (7.500€ pour les personnes morales) (art. R.310-19-3° c.com) ;
        - en cas d’utilisation du terme “solde” dans une publicité, en dehors des périodes de soldes, si l’opération est susceptible d’induire les consommateurs en erreur : amende de 37.000€ ou jusqu’à 50% du montant de la campagne publicitaire trompeuse (art. L.121-15 c.consommation).

                                                       * * * * * * * * * * * * *

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2013

Cybersécurité : le développement d’une politique européenne de la sécurité des réseaux et des systèmes d’information

Les cyberattaques sont régulièrement au cœur de l’actualité des TIC. En effet, bien que les problèmes de fraude informatique et sur internet ne soient pas nouveaux, les moyens utilisés ne cessent d’évoluer et les conséquences de s’aggraver. (1) Ces cyberattaques se manifestent de diverses manières, telles que spam, phishing, virus informatiques, attaques de réseaux, cyberespionnage, et à des fins non seulement financières mais également économiques et politiques.

Par exemple, dernièrement les médias ont rapporté deux types d’attaques de natures  différentes, la première via une campagne de phishing, avait ciblé plusieurs milliers de clients EDF qui avaient reçu des emails frauduleux visant à extorquer leurs coordonnées bancaires, la seconde, active depuis plusieurs années, qui avait consisté en une attaque de cyberespionnage à grande échelle, dénommée "Red October", touchant des représentations diplomatiques, administrations, organismes de recherche scientifique, groupes énergétiques et nucléaires dans plusieurs pays. (2)

Face à l’accroissement du nombre d’attaques informatiques, à leur diversification, ainsi qu’à la professionnalisation toujours plus grande des pirates informatiques, l’Union européenne a finalement pris la décision de poser les contours d’un cadre commun à tous les Etats membres en matière de sécurité des réseaux numériques, de lutte contre la criminalité en ligne et de protection des consommateurs.

Aussi, après avoir créé un Centre européen de lutte contre la cybercriminalité en janvier 2013 (3), les institutions européennes ont publié, le 7 février dernier, une stratégie commune de cybersécurité ainsi qu’une proposition de directive instaurant des mesures visant à assurer un niveau élevé commun de sécurité des réseaux et de l’information (SRI). (4) Ces deux textes fixent les mesures proposées par la Commission européenne, les objectifs à atteindre par les Etats membres et les obligations qui viendront peser sur les entreprises et administrations publiques. Nous analysons ci-après les principales mesures proposées.


1. Les mesures proposées par la Commission européenne en matière de cybersécurité

La stratégie de la Commission en matière de cybersécurité est ambitieuse. Elle repose sur cinq axes : (i) parvenir à la cyber-résilience, (ii) faire reculer considérablement la cybercriminalité, (iii) développer une politique et des moyens de cyberdéfense liée à la politique de sécurité et de défense commune (PSDC), (iv) développer les ressources industrielles et technologiques en matière de cybersécurité, et enfin (v) instaurer une politique internationale de l'Union européenne cohérente en matière de protection du cyberespace.

A cette fin, la Commission a décidé de prendre les principales mesures suivantes dès 2013 :
    - lancer un projet pilote consacré à la lutte contre les réseaux zombies et les logiciels malveillants, afin de fournir un cadre de coordination et de coopération entre les États membres, les organismes du secteur privé (FAI notamment) et les partenaires internationaux ;
    - renforcer les moyens opérationnels des Etats membres pour combattre la cybercriminalité, en les aidant, par le biais de programmes de financement, d’une part à recenser leurs insuffisances et renforcer leurs moyens d'enquête et de lutte, d’autre part à recenser les meilleures pratiques et techniques disponibles pour lutter contre la cybercriminalité ;
    - promouvoir un marché unique des produits de cybersécurité. Pour ce faire, la Commission souhaite lancer une plateforme public-privé sur les solutions de SRI, afin d'élaborer des mesures favorisant l'adoption de solutions TIC sûres en Europe ;
    - développer les investissements dans la R&D et l'innovation, en instaurant notamment des mécanismes pour mieux coordonner les agendas de recherche des institutions de l'Union européenne et des États membres et inciter ces derniers, et leurs entreprises et industries, à investir davantage dans la R&D.

Enfin, la stratégie commune de l’UE prévoit de développer une politique et des moyens de cyberdéfense. La sécurité nationale de chaque pays pouvant directement être attaquée via les réseaux informatiques, le développement d’une politique de cyberdéfense coordonnée est indispensable. Elle aura notamment pour objectifs de promouvoir le dialogue entre les acteurs civils et militaires dans l’UE, en mettant l'accent sur l'échange de bonnes pratiques et le partage d'informations, et de permettre aux militaires de se former et de s'exercer à la cyberdéfense dans le contexte européen et international.

En France, la question de la cyberdéfense a fait l’objet d’un rapport publié en juillet 2012 par le sénateur Jean-Marie Bockel, et sera traitée dans le prochain Livre blanc sur la défense et la sécurité nationale.


2. Les objectifs à atteindre par les États membres

Les institutions européennes, à travers une stratégie globale et une proposition de directive, souhaitent que les États membres déploient un niveau élevé de sécurité des réseaux et des systèmes informatiques sur leur territoire. Pour ce faire, chaque État membre doit notamment remplir les objectifs suivants :

    2.1  La sensibilisation des utilisateurs finaux aux risques numériques
La Commission demande aux Etats membres, d’une part, d’organiser tous les ans, à partir de 2013, un mois de la cybersécurité, avec l'aide de l'ENISA (l'Agence Européenne chargée de la sécurité des réseaux et de l'information) et la participation du secteur privé, et, d’autre part, d’intensifier les efforts consacrés à l'éducation et la formation à la SRI au niveau national, en prévoyant des formations en milieu scolaire, dans le cursus des étudiants en informatique et pour le personnel des administrations publiques.

    2.2  L’adoption d’une stratégie nationale en matière de SRI
La proposition de directive imposerait aux Etats membres d’adopter une stratégie nationale comportant un plan national de coopération. La stratégie nationale devra déterminer les objectifs stratégiques et les mesures politiques et réglementaires visant à parvenir à un niveau élevé de sécurité des SRI et à le maintenir. Le texte européen donne cependant peu d’informations quant au contenu exact de cette stratégie et de ce plan.

    2.3 La désignation d’une autorité nationale et d’une équipe d’intervention compétentes en matière de sécurité des SRI
Chaque Etat membre devra constituer une équipe d'intervention en cas d'urgence informatique (CERT), chargée de la gestion des incidents et des risques. Les missions exactes de cette équipe seront fixées par chaque Etat membre.

En outre, chaque Etat membre devra désigner une autorité compétente ayant pour mission de contrôler l'application de la directive au niveau national. Cette autorité recevra les notifications d'incidents des administrations publiques et des entreprises, et pourra informer le public lorsqu'elle jugera qu'il est dans l'intérêt général de divulguer des informations relatives à un incident particulier.

Cette autorité compétente pourra enquêter et donner des instructions contraignantes aux administrations et entreprises ne respectant pas leurs obligations de sécurité. En outre, cette autorité notifiera aux services répressifs les incidents susceptibles de constituer une infraction pénale grave et coopèrera avec les autorités chargées de la protection des données personnelles en cas d'incident portant atteinte à de telles données. 

A noter que la France s’est déjà dotée d’une autorité compétente, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), depuis 2009.


3. Les obligations incombant aux entreprises et aux administrations publiques

La politique européenne de sécurité des SRI vise à faire en sorte que les administrations publiques et les entreprises, appartenant à des secteurs d’activité stratégiques, évaluent les risques qu'ils courent en termes de cybersécurité, assurent la fiabilité et la résilience des réseaux et systèmes informatiques par une gestion appropriée des risques et partagent les informations recensées avec les autorités nationales compétentes en matière de SRI.

    3.1  Les recommandations de la Commission européenne
Dans le cadre du déploiement de sa stratégie, la Commission invite notamment les entreprises européennes à :

    - investir dans un niveau élevé de cybersécurité, élaborer de “bonnes pratiques” via des chartes ou codes de conduite par exemple, et développer le partage d'informations relatives à la sécurité avec les pouvoirs publics, en vue d'assurer une protection solide et efficace des biens et des personnes, notamment par des partenariats public-privé ;

    - sensibiliser salariés et clients à la cybersécurité. En particulier, les entreprises doivent réfléchir à la façon de sensibiliser leurs dirigeants à leurs responsabilités en matière de cybersécurité. La Commission ne donne pas plus de détails quant aux mesures de sensibilisation devant être menées au sein des entreprises. Ces mesures devraient logiquement être déployées par le biais de plans internes de formation à la sécurité informatique ou de mise en oeuvre de chartes informatiques adaptées aux outils mis à disposition des salariés, ou encore par l'organisation régulière de conférences participatives, de campagnes de e-learning, ou de serious games par exemple ;

    - promouvoir un marché unique des outils de cybersécurité, en favorisant l'élaboration et l'adoption de normes de sécurité et de normes techniques. En outre, les entreprises devront mettre en oeuvre des procédures intégrant la sécurité et le respect de la vie privée dès la conception de nouveaux produits et services TIC. Cette disposition, applicable à la vie privée, figure par ailleurs dans le projet de règlement sur la protection de la vie privée, actuellement en cours de discussion.

    3.2  Les exigences figurant à la proposition de directive
La proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, a été publiée le 7 février 2013. Cette proposition de directive fixe plusieurs types d’obligations en matière de sécurité des réseaux.

Les administrations publiques et les entreprises devront prendre des mesures techniques et organisationnelles nécessaires pour éviter les incidents et gérer les risques qui menacent la sécurité des réseaux et des systèmes informatiques qu'elles contrôlent et utilisent dans le cadre de leurs activités. Ces mesures doivent garantir non seulement un niveau de sécurité adapté au risque existant, mais également la continuité des services qui dépendent de ces réseaux et systèmes.

En outre, les administrations publiques et les entreprises devront notifier à l'autorité compétente les incidents (perte, vol, piratage de données, etc.) qui ont un impact significatif sur la sécurité des services qu'elles fournissent. L'autorité compétente pourra demander aux administrations publiques et aux entreprises d’informer le public, lorsqu'elle juge qu'il est dans l'intérêt général de divulguer les informations relatives à l'incident.

Selon la proposition de directive, les entreprises concernées par ces obligations de sécurité seront :
(i) les “prestataires de services de la société de l'information qui permettent la fourniture d'autres services de la société de l'information”, tels les plateformes de commerce électronique, les services de paiement par internet, les réseaux sociaux, les moteurs de recherche, etc. ;
(ii) les opérateurs d'importance vitale dans le domaine de l'énergie, des transports, des services bancaires, des infrastructures de marchés financiers et de la santé.

Enfin, seuls seront concernés par ces obligations, les prestataires et opérateurs dont l'effectif est supérieur à 10 personnes et dont le chiffre d'affaires annuel excède deux millions d'euros.

Cette proposition de directive devrait, selon l’avancée des débats, être définitivement adoptée d’ici 2014. Le texte définitif devra ensuite faire l’objet d’une transposition dans les droits nationaux dans les 18 mois suivant l’adoption de la directive, soit entre fin 2015 et mi-2016.


Le déploiement d’un tel plan de lutte multinationale contre la cybercriminalité est de toute évidence nécessaire. En effet, les réseaux n’ayant pas de frontières, une approche commune en matière de lutte contre la cybercriminalité - pour autant que cette approche soit cohérente et réaliste - semble la meilleure réponse aux attaques. Dans ce sens, le plan proposé par les instances de l’Union est ambitieux, a fortiori en période de difficultés économiques, alors que les budgets de l’Union européenne et des pays membres font l’objet de restrictions. On peut donc légitimement se demander où états et entreprises trouveront les fonds nécessaires pour mettre en oeuvre cette politique. 

                                               * * * * * * * * * * * *

(1) Pour mémoire, la loi Godfrain, relative à la fraude informatique date du 5 janvier 1988. Cette loi dispose notamment que : “Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende.
Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45000 euros d'amende.” (loi codifiée aux articles 323-1 et suivants du code pénal)

(2) Voir l'article "Cyberattaques : des milliers de clients d'EDF cibles de mails frauduleux.", publié sur www.latribune.fr, le 31 janvier 2013 et l'article "Kaspersky Lab identifie l'opération "Red October", une campagne évoluée de cyberespionnage ciblant les représentations diplomatiques et les administrations à travers le monde", publié sur www.kaspersky.com, rubrique "Actualités", le 14 janvier 2013.

(3) Voir le communiqué de presse de la Commission européenne du 9 janvier 2013. Le Centre européen de lutte contre la cybercriminalité (EC3) a été créé en janvier 2013. L'EC3 fournira des analyses et des informations, contribuera aux enquêtes, apportera des moyens criminalistiques de haut niveau, facilitera la coopération, créera des filières de partage des informations entre les autorités compétentes dans les États membres, le secteur privé et d'autres parties prenantes, et endossera progressivement le rôle de porte-parole des professionnels du maintien de l'ordre.

(4) Communication conjointe au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions. Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, Bruxelles, le 7.2.2013 COM(2013) 48 final 2013/0027 (COD).


Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2013

La directive DME2 relative aux établissements de monnaie électronique enfin transposée en droit français

La France vient de transposer la Directive européenne du 16 septembre 2009 relative au statut des établissements de monnaie électronique (dite "DME2") avec la loi du 28 janvier 2013. Cette loi a créé un nouveau cadre légal relatif à l'accès et à l’exercice de l'activité d'établissement de monnaie électronique ("EME"). Un EME est une personne morale, autre qu'un établissement de crédit, émettant et gérant à titre de profession habituelle de la monnaie électronique. (1)

Jusqu'à présent, en France, les services de monnaie électronique ne pouvaient être proposés que par des banques ou des établissements de crédit. Ainsi, les entreprises françaises souhaitant proposer ces services devaient nécessairement obtenir un agrément en tant qu'établissement de crédit, nécessitant une mise en conformité avec un régime très strict. La transposition de la Directive DME2 en droit français, permettant un assouplissement de ce régime, était donc attendue par les entrepreneurs n’appartenant pas au domaine bancaire qui souhaitent se lancer dans l’activité de fourniture de service de monnaie électronique.

Les nouvelles dispositions légales, codifiées en partie dans le Code monétaire et financier, concernent d’une part, les conditions d’accès à l’activité d’EME et d’autre part, les conditions d’exercice de cette activité. (2) Le non respect de ces conditions est sévèrement sanctionné.

1. Les conditions d'accès à l'activité d’établissement de monnaie électronique
Afin de pouvoir émettre et gérer de la monnaie électronique à titre de profession habituelle, il est nécessaire de remplir les conditions suivantes :

    1.1  L’agrément de l’ACP
Préalablement à l’émission et à la gestion de monnaie électronique, les EME doivent obtenir un agrément délivré par l’Autorité de contrôle prudentiel ("ACP"), après avis de la Banque de France.

Pour délivrer l’agrément, l’ACP s’assure de l’aptitude de l’entreprise requérante à garantir une gestion saine et prudente de l’établissement. Ainsi, l'ACP vérifie que l'EME dispose d'un solide dispositif de gouvernement d'entreprise, comprenant notamment une structure organisationnelle claire avec un partage des responsabilités bien défini, transparent et cohérent. En outre, l'ACP apprécie la qualité des actionnaires ou associés qui détiennent une participation qualifiée. Elle vérifie ainsi que l'EME est dirigé effectivement par deux personnes au moins possédant l'honorabilité ainsi que la compétence et l'expérience nécessaires à leur fonction et requises pour les activités d'émission et de gestion de monnaie électronique.

L'établissement doit satisfaire à tout moment aux conditions de son agrément. Toute modification de ces conditions ayant une incidence sur l'exactitude des informations fournies au moment de la demande doit faire l'objet d'une déclaration auprès de l'ACP.

Le retrait de l'agrément de l'EME peut être décidé d'office par l'ACP lorsque l'établissement (i) ne fait pas usage de l'agrément dans un délai de 12 mois ou a cessé d'exercer son activité pendant une période supérieure à 6 mois, (ii) a obtenu l'agrément au moyen de fausses déclarations ou par tout autre moyen irrégulier, ou (iii) ne remplit plus les conditions auxquelles est subordonné son agrément.

    1.2  Un capital social minimum obligatoire
Pour délivrer l’agrément, l’ACP vérifie si l’établissement candidat dispose, au moment de la délivrance de l’agrément, d’un capital libéré d’un montant au moins égal à un montant qui sera fixé par voie réglementaire. La Directive DME2 prévoit un seuil minimal de 350.000€.

2. Les conditions d'exercice de l'activité d’établissement de monnaie électronique
L'exercice de l'activité d'EME est soumis aux conditions suivantes :

    2.1  Des dispositions prudentielles particulières
- Le respect de normes de gestion strictes : les EME sont tenus de respecter des normes de gestion destinées à garantir leur solvabilité ainsi que l’équilibre de leur structure financière. Ils disposent également d’un dispositif approprié de contrôle interne, permettant notamment de mesurer les risques et la rentabilité de leurs activités. Enfin, les EME doivent respecter un niveau de fonds propres adéquat. Comme pour le capital initial, le montant minimum des fonds propres et les modalités de calcul y afférentes seront fixées par voie réglementaire.

- Les conditions de l’externalisation de fonctions opérationnelles : les EME qui souhaitent externaliser une partie de leurs "fonctions opérationnelles" doivent en informer l'ACP. Cette externalisation ne doit pas être faite d'une manière qui nuise à la qualité du contrôle interne de l'établissement ou qui empêche l'ACP de contrôler que cet établissement respecte les obligations qui lui incombent. Les conditions d'application précises de ces nouvelles dispositions seront fixées par voie d'arrêté.

    2.2  Des règles spécifiques en matière de secret professionnel et de comptabilité
- Le secret professionnel : toute personne au sein d'un EME (membre du conseil d'administration ou de surveillance, membre de la direction ou employé) est tenu au secret professionnel.

Toutefois, ce secret peut être levé dans deux cas. Les EME peuvent communiquer des informations couvertes par le secret professionnel (i) au cas par cas, lorsque les personnes concernées ont donné leur consentement exprès, et (ii) aux personnes avec lesquelles ils négocient, concluent ou exécutent certaines opérations, dès lors que ces informations sont nécessaires à celles-ci (par exemple, en cas de prises de participation ou de contrôle dans un EME, de cessions d'actifs ou de fonds de commerce ou de cessions ou transferts de contrats).

- Les règles de tenue de la comptabilité et de contrôle légal des comptes : les EME sont soumis à plusieurs obligations d'ordre comptable concernant l'édition des inventaires, comptes et rapports de gestion, la publication des comptes annuels, la désignation ou la convocation d'un commissaires aux comptes, etc. L'ACP s'assure que les publications de comptes annuels sont régulièrement effectuées et peut ordonner à l'établissement de procéder à des publications rectificatives, en cas d'inexactitudes ou d'omissions relevées dans les documents publiés.

    2.3  Les activités autorisées
En sus de l’émission, la gestion et la mise à disposition de monnaie électronique, les EME peuvent :
    - (i) fournir des services de paiement,
    - (ii) fournir des services connexes à la prestation de services de paiement ou étroitement liés à l’émission et la gestion de monnaie électronique (par exemple, des services de change et de garde, l’enregistrement et le traitement des données), et
    - (iii) exercer une activité commerciale autre que les activités mentionnées ci-dessus. Toutefois, ces activités commerciales ne doivent pas être incompatibles avec les exigences de la profession, notamment le maintien de la réputation de l’établissement, de la primauté des intérêts des clients et du jeu de la concurrence sur le marché considéré.

Les modalités selon lesquelles les EME exercent, à titre de profession habituelle, une activité autre que l'émission et la gestion de monnaie électronique seront fixées par voie d'arrêté.

    2.4  La protection du consommateur
La loi prévoit des obligations contractuelles particulières relatives à l’information préalable du consommateur. Les conditions contractuelles doivent être communiquées dans des termes clairs et aisément compréhensibles au client détenteur de monnaie électronique, avant tout contrat ou offre liant les parties.

La monnaie électronique est remboursée par l'établissement émetteur au détenteur de monnaie électronique qui en fait la demande. Le remboursement des unités de monnaie électronique doit être effectué sans frais pour le détenteur, sauf exceptions. Dans ce cas, le contrat doit préciser les conditions, le montant, la nature et le détail de calcul de ces frais.

    2.5  Un régime allégé pour les petits EME
La loi prévoit un régime allégé pour les petits EME. Ces établissements pourront être exemptés de l'essentiel du dispositif prudentiel, si leurs activités commerciales dans leur ensemble génèrent une moyenne de la monnaie électronique en circulation inférieure à un montant qui sera fixé par décret. La directive DME2 prévoit un plafond maximal de 5 millions d'euros.

3. Les sanctions applicables en cas d’infraction à la loi
La loi prévoit plusieurs sanctions en cas d’infraction à la loi par l’établissement ou ses dirigeants.

- Les sanctions applicables à l’établissement : sont notamment punis de 3 ans d'emprisonnement et 375.000€ d'amende (1.875.000€ pour les personnes morales), toute personne ou entreprise, autre que les EME (i) émettant et gérant de la monnaie électronique à titre de profession habituelle, ou (ii) utilisant une dénomination, une raison sociale, une publicité ou, d’une façon générale, des expressions faisant croire qu’elle est agréée en tant qu’établissement de monnaie électronique.

Ces peines principales peuvent être accompagnées de peines complémentaires telles que l'interdiction d'exercer l'activité professionnelle dans l'exercice ou à l'occasion de laquelle l'infraction a été commise, ou la fermeture des établissements de l’entreprise ayant servi à commettre les faits incriminés, pour une durée de 5 ans au plus.

- Les sanctions propres aux dirigeants d'EME : le dirigeant d'un établissement peut être condamné à des peines allant jusqu'à 5 ans d'emprisonnement et 75.000 € d'amende, dans les cas suivants :
    - défaut de réponse, après mise en demeure, aux demandes d'informations de l'ACP ; obstacle à l'exercice par l'ACP de sa mission de contrôle ou communication de renseignements inexacts ;
-     édition et publication des inventaires, comptes annuels et rapports de gestion, ne respectant pas les conditions prévues par la loi ;
    - défaut de désignation ou convocation des commissaires aux comptes dans les cas prévus par la loi ; obstacle aux vérifications ou contrôles des commissaires aux comptes ou refus de communication des pièces utiles à l'exercice de leur mission.

      Avec la transposition de la DME2, la loi du 28 janvier 2013 crée un régime juridique autonome pour les établissements de monnaie électronique. Ce régime "simplifié" doit favoriser l'arrivée de nouveaux acteurs sur le marché de la monnaie électronique.

Les dispositions de la loi de 2013 s’appliquent aux établissements qui proposaient déjà ces services avant la transposition de la directive. Les contrats en cours de ces établissements  devront être modifiés afin de se mettre en conformité avec les nouvelles règles applicables. Les clauses des contrats contraires à la loi sont considérées comme caduques. Les établissements émetteurs sont tenus de mettre les contrats les liant à leurs clients détenteurs de monnaie électronique, en conformité avec la nouvelle loi dans les 6 mois à compter de sa promulgation, soit au plus tard fin juillet 2013.

* * * * * * * * * *

(1) Directive 2009/110/CE du Parlement européen et du Conseil du 16 septembre 2009 concernant l’accès à l’activité des établissements de monnaie électronique et son exercice ainsi que la surveillance prudentielle de ces établissements, modifiant les directives 2005/60/CE et 2006/48/CE et abrogeant la directive 2000/46/CE (DME2) ; Loi n°2013-100 du 28 janvier 2013 portant diverses dispositions d'adaptation de la législation au droit de l'Union européenne en matière économique et financière.

(2) La loi du 28 janvier 2013 est codifiée au Code monétaire et financier. Voir notamment les articles L.133-29, L.315-1 et s., L.525-1 et s., L.526-1 et s., et L.572-13 et s. du Code monétaire et financier.

Betty SFEZ - Avocat

Deleporte Wentz Avocat
www.deleporte-wentz-avocat.com

Février 2012

La prochaine réforme de la protection des données personnelles en Europe : vers un renforcement des droits des personnes et des obligations des entreprises

La directive européenne sur la protection des données personnelles date d’octobre 1995.  Or, depuis 1995, les manières de collecter, utiliser, interconnecter, diffuser - en d’autres termes “traiter” - les données à caractère personnel, ont beaucoup évolué. Pour prendre en compte ces évolutions, notamment le développement des usages d’internet et des réseaux sociaux, mais également de toutes les technologies utilisant des données personnelles, la Commission européenne a publié le 25 janvier 2012, une proposition de règlement relatif à la protection des personnes relative au traitement de leurs données à caractère personnel. (1)

Ce règlement, une fois le texte définitif adopté, sera d’application immédiate et uniforme dans l’ensemble de l’Union européenne et viendra remplacer la directive de 1995 et les différentes lois nationales de protection des données personnelles. Ce texte devrait être adopté début 2014 et entrer en vigueur début 2016. Même si cette échéance peut paraître encore éloignée, et que certains aspects du règlement sont toujours en cours de discussion, il nous semble important d’en exposer les principaux aspects afin de permettre aux entreprises d’anticiper au mieux sa mise en oeuvre.

Il ne s’agit pas ici de faire une description exhaustive de la proposition de règlement mais de se focaliser sur les principales dispositions. Ainsi, les deux grands axes à retenir sont un renforcement des droits des personnes concernées sur leurs données, notamment en matière d’information préalable, de consentement, de droit d’opposition et de droit à l’oubli, et en parallèle, un renforcement des obligations des entreprises en matière de collecte et de traitement des données personnelles, avec des sanctions alourdies en cas de non-respect de la nouvelle règlementation.


1. Le renforcement des droits des personnes concernées sur leurs données

Les sources de collecte de données personnelles se sont démultipliées ces dernières années, d’une part avec des technologies et pratiques commerciales facilitant ces collectes (développement du e-commerce, du web 2.0, des smartphones et des applications mobiles,  du cloud computing, des technologies et objets dits “intelligents”, etc.), d’autre part du fait de l’évolution des modes d’utilisation de ces technologies par les internautes (grâce aux achats en ligne, à l’utilisation des réseaux sociaux, des applications mobiles, des services de géolocalisation, entre autres). L’intensification de l’utilisation de nos données personnelles et l’absence de frontières physiques ont rendu les lois sur la protection des données personnelles quelque peu obsolètes, en témoignent les incessants allers-retours entre la Commission européenne et les principales sociétés du web (Google et Facebook par exemple), en matière de rappel au respect des principes de protection des données à caractère personnel.

La proposition de règlement européen apporte des modifications substantielles concernant les droits des personnes dont les données sont traitées, en allant vers un renforcement de ces droits.

    1.1 Les règles de recueil du consentement des personnes
Les modalités de recueil du consentement par la personne concernée, au traitement de ses données personnelles, ont été précisées et vont dans le sens d’une plus grande maîtrise de principe de l’accord et de son retrait par la personne concernée.

Le texte européen définit le consentement comme toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne dont les données sont traitées (la “personne concernée”) accepte, par une déclaration ou par un acte positif univoque, que des données personnelles la concernant fassent l'objet d'un traitement.

Ainsi, lorsqu’il est requis, le consentement au traitement des données personnelles ne peut être tacite ou implicite. Il doit nécessairement répondre à une information préalable claire, précise et complète. La charge de la preuve de l’obtention du consentement de l’utilisateur incombera à l’entreprise qui traite ces données.

En outre, le consentement de la personne concernée, au traitement de ses données, n'est valable que si cette personne est effectivement en mesure de retirer son consentement à tout moment, et donc de s'opposer ultérieurement à la poursuite du traitement de ses données.

Les entreprises devront systématiquement s’assurer que les acheteurs de leurs produits ou les utilisateurs de leurs services ont accepté de façon effective la collecte et le traitement de leurs données.

Enfin, le règlement prévoit que “le consentement ne constitue pas un fondement juridique valable pour le traitement lorsqu'il existe un déséquilibre significatif entre la personne concernée et le responsable du traitement”. Il en irait ainsi lorsque la personne concernée se trouverait dans une situation de dépendance par rapport à l’entreprise et qu’elle ne serait pas en mesure de négocier ou de faire modifier les conditions contractuelles ; par exemple, les données personnelles concernant un salarié et traitées par son employeur dans le cadre de  l’exécution du contrat de travail, ou les contrats d'adhésion entre des particuliers et des entreprises. Il sera intéressant de voir comment cette disposition sera interprétée, dans la mesure où la plupart des contrats conclus entre les consommateurs et les sociétés de services (téléphonie, assurances, banque, etc.) et tous les contrats conclus en ligne peuvent être qualifiés de contrats d’adhésion dans lesquels existe un “déséquilibre significatif” entre les parties.

    1.2 Les droits des personnes concernées
Outre le renforcement des règles relatives au recueil du consentement des personnes, leurs droits sur la manière dont leurs données seront traitées ont été précisés.

- Le droit à l’oubli numérique : ce droit permet à toute personne de demander la suppression totale des données collectées par une entreprise, notamment lorsque ces collectes ont été réalisées alors que la personne concernée était mineure, ou lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées, ou encore lorsque le délai de conservation autorisé a expiré.

Dès lors, toute entreprise ayant collecté des données à caractère personnel devra les effacer, à la demande de la personne concernée, et en cesser toute diffusion. Par exemple, un internaute qui voudrait résilier son compte sur un réseau social devrait pouvoir obtenir de l’exploitant du site qu'il détruise toutes les données personnelles le concernant, sous réserve du droit applicable (droit du pays d’établissement de l’exploitant du site ou droit du pays de résidence de l’internaute - en l’occurrence, droit de l’UE).

La proposition de règlement prévoit également que l’entreprise doit d’une part, procéder à l'effacement des données sans délai, sauf motif légitime pour les conserver (pour respecter une obligation légale de conservation des données ou à des fins de recherche statistique et scientifique par exemple) et d’autre part, prendre toutes mesures utiles afin d'informer l'ensemble des tiers à qui elle a communiqué les données de la demande de la personne concernée.

- Le droit à la portabilité des données : ce droit offre la possibilité aux personnes concernées de se voir restituer leurs données personnelles dans un format électronique communément utilisé, permettant de les transférer à un autre fournisseur de service. Comme pour les numéros de téléphone, le principe de portabilité des données permet de faciliter le transfert des données personnelles vers de nouveaux prestataires, et de ne pas être tenu de rester  indéfiniment chez le même prestataire quand bien même le niveau et/ou le prix des services serait devenu insatisfaisant. 

- Le droit d’opposition au profilage : la proposition de règlement impose le principe du consentement préalable et le respect du droit d’opposition des personnes concernées aux actions de marketing direct et de profilage. Le “profilage” peut se définir comme toute forme de traitement de données personnelles destiné à évaluer certains aspects personnels propres à une personne physique ou à analyser ou prévoir ses habitudes de navigation sur le web, ses habitudes d’achat de biens et de services, voire sa productivité professionnelle, ou sa catégorie socio-professionnelle. Le texte européen exige que ces personnes soient dûment informées du traitement de leurs données à des fins de profilage et des effets escomptés de ce traitement.


2. Le renforcement des obligations applicables aux entreprises collectant des données personnelles

Face au renforcement des droits des personnes concernées, les obligations des sociétés collectant des données à caractère personnel ont également été renforcées par rapport à la situation actuelle, avec un alourdissement des sanctions pécuniaires en cas de violation des dispositions réglementaires. 

    2.1 L’obligation de déployer de nouvelles procédures internes de gouvernance
Les formalités déclaratives auprès de la CNIL seront simplifiées, et pour certaines catégories de traitements, supprimées.

En contrepartie, les entreprises devront déployer des procédures internes pour assurer le respect des principes de protection des données personnelles. Ces procédures, créant une véritable politique de gouvernance en matière de protection des données personnelles, comprendront : audits, registres, études d’impact, prise en compte de la protection des données dès la conception des nouveaux produits et services (mise en oeuvre des principes de “Privacy by design” ou de “Privacy by default”), codes de conduite, etc. (2)

Les entreprises devront adopter des règles internes contraignantes, tenir une documentation permettant de conserver la trace des traitements mis en oeuvre et de leurs caractéristiques, pouvoir rapporter la preuve de la mise en oeuvre de mesures de sécurité des données appropriées, mettre en œuvre des mécanismes pour vérifier l’efficacité de ces mesures, etc. Ces mesures et procédures techniques et organisationnelles devront être appliquées depuis la définition des moyens de traitement jusqu’à leur mise en oeuvre effective.

Par ailleurs, en cas de traitements sensibles de données personnelles, les entreprises devront réaliser une analyse d'impact et définir des mesures appropriées pour garantir la protection des données en cause. Par “traitement sensible”, il faut comprendre tout  traitement présentant des risques particuliers au regard des droits et libertés des personnes concernées, du fait de leur nature ou de leur finalité (tels que les traitements de données relatifs à la santé, aux orientations sexuelles, aux origines raciales ou ethniques, ou encore les traitements relatifs à la surveillance de zones accessibles au public impliquant l’usage de dispositifs de vidéosurveillance).

Enfin, en cas d’existence de plusieurs filiales dans l’Union européenne, l’autorité en charge de la protection des données compétente sera celle de l’Etat membre dans lequel le responsable du traitement a son établissement principal. Ce concept de “guichet unique” sera certainement amené à être précisé dans la version finale du règlement.

    2.2 La désignation d’un délégué à la protection des données
Le délégué à la protection des données (ou “DPD”) est l’équivalent en France, du Correspondant Informatique et Libertés, communément appelé “CIL”. Dans le dispositif actuel, le CIL, dont la nomination n’est pas obligatoire, a pour mission de veiller à l'application de la loi Informatique et Libertés au sein de l’entreprise qui l’a désigné. La désignation d’un CIL présente de nombreux avantages, tel que l’allégement des formalités obligatoires auprès de la CNIL et l’amélioration de la maîtrise des risques juridiques et techniques liés aux traitements des données personnelles. (3)

Avec l’entrée en vigueur du règlement européen, les entreprises auront l’obligation de désigner un délégué à la protection des données dans deux cas : si l’entreprise compte au moins 250 salariés ou si cette société traite des données sensibles, à savoir des données dont la nature, la portée et/ou la finalité exigent un suivi régulier et systématique des personnes concernées. Le DPD pourra être interne à l’entreprise ou externe à celle-ci (avocat ou consultant en informatique par exemple).

    2.3 L’obligation de notifier les violations de données à la CNIL
Une violation de données personnelles consiste en une atteinte à la sécurité des traitements, entraînant de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation ou la consultation non autorisée de données personnelles transmises, conservées ou traitées d’une autre manière. Par exemple, une faille dans la boutique d’un e-commerçant qui permettrait de récupérer des noms, adresses, et/ou numéros de cartes bancaires des utilisateurs inscrits ou un email confidentiel destiné à un client, et diffusé par erreur à d’autres personnes constitueraient des cas de violation de données personnelles.

Les entreprises françaises ont l’obligation de notifier toute violation grave des données à la CNIL dans les meilleurs délais, et si possible dans un délai de 24 heures après en avoir eu connaissance. La notification doit au minimum décrire (i) la nature de la violation ainsi que les catégories et le nombre de personnes et de données affectées, (ii) les conséquences de la violation des données, et (iii) les mesures proposées ou prises pour y remédier. L’entreprise doit conserver une trace documentaire de toute violation de données à caractère personnel.

Sauf à démontrer à la CNIL qu’elle a pris des mesures de sécurité appropriées, l’entreprise a l’obligation d’informer toutes personnes concernées de la violation de leurs données, lorsque cette violation est susceptible de porter atteinte à la protection de leurs données personnelles ou à la vie privée.

Cette obligation existe déjà à l’article 34 bis de la Loi Informatique et Libertés. Si la loi française impose uniquement cette notification aux fournisseurs de services de communication électronique, le texte européen ne semble pas faire de distinction suivant l’activité de l’entreprise. Cette obligation serait donc à la charge de toute entreprise traitant des données personnelles.

    2.4 De lourdes sanctions en cas de non respect de la réglementation
Ces règles, qui s’appliqueront directement dans chacun des Etats membres de l’Union européenne, prévoient des sanctions financières particulièrement lourdes en cas de non respect de la réglementation.

Les entreprises qui enfreindraient les règles posées par le règlement seront passibles de sanctions financières pouvant atteindre des montants élevés. Si en France la CNIL peut déjà aujourd’hui prononcer des amendes d’un montant maximum de 300.000€, le texte européen permettra d’imposer des amendes pouvant s'élever à 2% du chiffre d’affaires annuel mondial de l’entreprise fautive.

Le montant de l'amende sera fixé en tenant compte de plusieurs paramètres tels la nature, la gravité et la durée de la violation, le fait que l'infraction a été commise de façon délibérée ou par négligence, le degré de responsabilité de la personne en cause, l’existence de cas de violations commises antérieurement par la société, ou le degré de coopération avec la CNIL en vue de remédier à la violation ou à la non-conformité.

Il convient cependant de noter que sans moyens humains supplémentaires, il sera difficile pour la CNIL, comme pour les autres autorités en charge de la protection des données personnelles, de jouer pleinement leur rôle.


    Le risque, pour tout texte réglementaire technique, est d’être trop attaché à l'état des technologies à la date de son adoption. Or, la vitesse de l’évolution des usages, des pratiques et des outils et services disponibles tendent à rendre ces textes règlementaires très rapidement obsolètes. Même si la proposition de règlement relatif à la protection des données personnelles n’est pas encore définitif, il est à craindre qu’un texte qui ne serait pas assez générique dans son approche, prenant en compte les technologies plutôt que les usages, devienne rapidement caduque et difficilement applicable.

La proposition de règlement fait ainsi l’objet de nombreuses réserves et critiques depuis sa première publication, en janvier 2012. Ce texte suscite une multiplication de résolutions, amendements ou avis mettant en relief ses points faibles ou manquements. Par exemple, l’Assemblée nationale, dans sa proposition de résolution de février 2012, recommandait de compléter le texte européen en ajoutant des dispositions spécifiques au Cloud computing, ces services n’étant pas expressément visés par la proposition de règlement.

Le texte est actuellement en cours d’examen par le Parlement européen au sein de la Commission chargée des questions relatives aux affaires civiles, justice et affaires intérieures (Commission LIBE). Jan Philipp Albrecht, député européen et rapporteur du groupe, vient de publier son projet de rapport le 8 janvier 2013. Ce texte prévoit notamment d’allonger le délai de notification des violations de données de 24 à 72h ; l’exercice gratuit du droit d’opposition et le recours à la “pseudonymisation” et à l’anonymisation des données pour ne pas identifier directement une personne physique, notamment sur les réseaux sociaux. Ce projet de rapport précise par ailleurs que l’utilisation d’options par défaut, que la personne concernée doit modifier pour marquer son opposition au traitement, comme les cases pré-cochées (opt-out), n’est pas l’expression d’un libre consentement. Enfin, le texte encourage la mise en place d’un système normalisé d’icônes et de logos afin de faciliter la compréhension des conditions de collecte et de traitement des données par les personnes concernées. (4)

Les négociations entre le Parlement, la Commission et le Conseil européen débuteront à partir de mai 2013 en vue d’obtenir un compromis et un texte final d’ici le début de l’année prochaine.


* * * * * * * * * * * *

(1) Voir les textes en référence : proposition de règlement du parlement européen et du conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du 25 janvier 2012, (2012/0011 (COD) ; directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ; et loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

(2) Le “Privacy By Design” ou principe de protection des données dès la conception d’un produit ou d’un service, requiert l’intégration de la prise en compte de la protection dans le cycle de vie d’une technologie, dès la première étape de sa conception jusqu’à son déploiement, son utilisation et son élimination. Le “Privacy by Default” ou principe de la protection des données par défaut, requiert que les paramètres de respect de la vie privée dans les services et produits soient par défaut conformes aux principes généraux de la protection des données, tels que la réduction au minimum des volumes de données collectées et la limitation de la finalité des traitements.

(3) Voir à ce sujet notre article “Le Correspondant Informatique et Libertés, garant de la conformité des traitements de données personnelles à la loi”, sur notre blog à http://dwavocat.blogspot.fr/2011/12/le-correspondant-informatique-et.html

(4) Projet de rapport sur la proposition de règlement européen relative aux données du 25 janvier 2012, Commission des libertés civiles, de la justice et des affaires intérieures, publié par le rapporteur Jan Philipp Albrecht le 8 janvier 2013.


Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2013

La nouvelle réglementation française sur la vente de médicaments sur internet

Bien que jusqu'à présent le Code de la santé publique (CSP) n’interdisait pas expressément la vente de médicaments en ligne, ce mode de distribution n’était pas pour autant autorisé dans la mesure où les dispositions légales ne permettaient pas en pratique d’utiliser ce canal de vente en France.

Suite à l'adoption de la directive européenne du 8 juin 2011 autorisant la vente de médicaments sur internet, la plupart des pays voisins de la France avaient adopté une législation en la matière, autorisant la vente de médicaments sans et/ou avec prescription, et s'appuyant ou non sur une officine physique.

La vente de médicaments sur internet est désormais prévue par la loi depuis fin décembre 2012, avec la publication de l’ordonnance du 19 décembre 2012 et du décret du 31 décembre.


1. Le cheminement vers l'adoption d'un cadre légal, sous la pression de l'Union européenne

L’encadrement de la vente de médicaments par internet est l’aboutissement d’un long processus, démarré avec l’arrêt DocMorris de la CJCE en 2003 pour arriver à la Directive du 8 juin 2011.

    1.1 La reconnaissance de la validité de la vente des médicaments sur internet : l’arrêt DocMorris
Le 11 décembre 2003, la Cour de Justice des Communautés européennes (CJCE) a rendu une décision reconnaissant le droit de vendre des médicaments sur internet. (1) Cette affaire opposait une association allemande (DAV) ayant pour but la défense des intérêts de la profession de pharmacien, à la société néerlandaise DocMorris qui pratiquait la vente de médicaments en officine traditionnelle aux Pays-Bas mais également sur internet. Le site internet était traduit en allemand et offrait la possibilité d'être livré en médicaments, soumis ou non à prescription médicale, en Allemagne. Or, la législation allemande interdisait la vente à distance de médicaments, dont la délivrance était réservée exclusivement aux pharmaciens, et qualifiait d'illégale toute publicité pour la vente de médicaments par correspondance.

Interrogée sur la validité de la réglementation allemande, la CJCE a jugé qu'une telle interdiction constituait une restriction à la libre circulation des marchandises. Cependant, la Cour a distingué entre médicaments soumis à prescription médicale, considérant qu'une telle restriction de vente était justifiée par la nécessité de protéger la santé et la vie des personnes, et les médicaments non soumis à prescription médicale.

Concernant les médicaments non soumis à prescription médicale, la CJCE estime que l’interdiction de vente à distance n'est pas justifiée, dans la mesure où rien ne permet de considérer que les pharmacies virtuelles ne permettent pas de satisfaire aux obligations d'information et de conseil lors de l'achat de ces médicaments.

    1.2 La résolution du Conseil de l’Europe sur les bonnes pratiques à adopter en en matière de distribution de médicaments par correspondance
Partant du constat que de plus en plus d’États membres de l’Union européenne autorisaient la vente de médicaments à distance, et que les patients, désireux d’obtenir facilement et rapidement les médicaments dont ils ont besoin, devaient pouvoir le faire en toute confiance, le Conseil de l’Europe a adopté en 2007 une résolution recommandant aux Etats membres d'adopter des normes garantissant la sûreté de la vente de médicaments à distance, la sécurité du patient et la qualité des médicaments délivrés. (2)

    1.3 Dernière étape : la directive du 8 juin 2011 autorisant la vente de médicament sur Internet
La Directive du 8 juin 2011 impose aux Etats membres de permettre la vente à distance au public de médicaments, tout en leur laissant la possibilité d’interdire la vente à distance pour les médicaments soumis à prescription. (3) La Directive prévoit notamment que la vente de médicaments sur internet est réservée (i) aux personnes autorisées ou habilitées, en conformité avec la législation de l’Etat membre dans lequel elles sont établies, et (ii) aux médicaments respectant la législation nationale de l'Etat membre de destination.

En outre, pour aider le grand public à identifier les sites internet mettant légalement en vente des médicaments, la directive prévoit la création d’un logo commun à l’ensemble de l’Union européenne renseignant, en outre, sur l’Etat membre dans lequel est établi le pharmacien.

Enfin, les Etats membres doivent mettre en place un site internet comportant notamment la liste des pharmaciens et des sites web proposant des médicaments en ligne, et des informations générales sur les risques liés aux médicaments fournis illégalement au public.

La directive devait être transposée dans les droits des Etats membres avant le 2 janvier 2013. La France s’est mise en conformité en décembre 2012.


2. Le nouveau cadre juridique de la vente de médicaments par internet

Par ordonnance et décret publiés fin décembre 2012, modifiant le Code de la santé publique, le gouvernement vient d'encadrer la vente de médicaments en ligne. (4)

La vente de médicaments en ligne est ainsi soumise à des conditions spécifiques, édictées par la nouvelle réglementation applicable. S’agissant de vente à distance, les règles relatives au commerce électronique s’appliquent également à la vente de médicament sur internet.

    2.1 Les principales conditions de la vente en ligne de médicaments 
La vente en ligne de médicaments est soumise aux conditions suivantes :

- La création d'un site web destiné à la vente de médicaments est réservée aux pharmaciens titulaires d'une officine (et aux pharmaciens gérants de pharmacies mutualistes ou de secours minière). Les pharmaciens adjoints, ayant reçu délégation du pharmacien d'officine, peuvent participer à l'exploitation du site internet de l'officine de pharmacie. Enfin, les pharmaciens remplaçants de titulaires d'officine, ou gérants d'officine après décès du titulaire, peuvent poursuivre l’exploitation du site de l'officine, créé antérieurement.

- Seuls les médicaments pouvant être présentés "en accès direct" au public en officine (médicaments “OTC” ou “over the counter”) ayant obtenu une autorisation de mise sur le marché peuvent être proposés à la vente en ligne. A contrario, l’interdiction de vente en ligne est maintenue pour les médicaments délivrés sur ordonnance.

- La création d'un site internet est soumise au dépôt d’une demande d'autorisation auprès du directeur général de l'Agence Régionale de Santé (DGARS) dans le ressort duquel est située l'officine.

- Dans les 15 jours suivant la date d'autorisation du DGARS, le pharmacien doit informer le Conseil de l'Ordre dont il relève, de la création du site internet. L'Ordre national des pharmaciens tiendra à jour une liste des sites internet autorisés et la mettra à la disposition du public sur son site web.

- Dans un souci de sécurité et d’information du public, la nouvelle réglementation prévoit que le site internet doit intégrer les coordonnées de l'Agence nationale de sécurité du médicament et des produits de santé (ANSM, successeur de l’Afssaps), un lien hypertexte vers le site de l'Ordre national des pharmaciens et du Ministère chargé de la santé, ainsi que le logo communautaire, qui devra être affiché sur chaque page du site internet.

- Enfin, la nouvelle réglementation prévoit que toute commande livrée en dehors de l'officine ne peut être remise qu'en paquet opaque et scellé portant le nom et l'adresse de l'acheteur, de telle sorte que le destinataire puisse s'assurer qu'il n'a pu être ouvert par un tiers. En outre, il incombe au pharmacien de veiller à ce que les conditions de transport soient compatibles avec la bonne conservation des médicaments et que toutes explications et recommandations soient mises à la disposition du patient.

    2.2 Le nécessaire respect des règles de la vente à distance
A ces règles spécifiques s’ajoutent les règles du commerce électronique, telles que prévues notamment par la Loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004, les règles en matière de protection du consommateur et de la santé publique, ainsi que les règles relatives à la protection des données personnelles ou à la publicité.

- L’information du consommateur : ainsi, bien que non rappelé par la nouvelle réglementation, les sites de vente de médicaments devront contenir, outre les informations relatives aux mises en garde en matière de consommation de médicaments, les informations légales en matière de vente à distance aux consommateurs. Ces règles imposent notamment que l'exploitant d'un site internet s'identifie clairement auprès des internautes et que les caractéristiques essentielles des produits mis en vente, leur prix, leurs conditions de vente et de livraison soient précisés.

- La conclusion du contrat de vente en ligne : la loi ne prévoit pas de conditions spécifiques à la commande de médicaments sur internet. Il appartiendra cependant au pharmacien de respecter les règles relatives à la vente à distance prévues par le Code civil et le Code de la consommation. Ces règles prévoient notamment que pour passer commande, l'internaute doit avoir pris connaissance et effectivement accepté les conditions générales de vente.

- Les règles relatives à la publicité : en matière de vente de médicaments en ligne, il appartiendra aux pharmaciens d'être vigilants en matière de prospection commerciale et d'e-mailing. En effet,  conformément aux articles L.5125-25 et R.5125-28 CSP, il leur est interdit de solliciter des commandes auprès du public et d'avoir recours à des moyens de fidélisation de la clientèle.

- Le régime de responsabilité applicable au pharmacien en ligne : le pharmacien est responsable du contenu du site internet qu'il édite et des conditions dans lesquelles est exercée l'activité de commerce électronique de médicaments. En cas de manquement aux règles précitées et aux "bonnes pratiques de dispensation" définies par l'ANSM, le DGARS territorialement compétent peut mettre le pharmacien fautif en demeure de se conformer à ses prescriptions. A défaut de mise en conformité, le DGARS peut prononcer (i) la fermeture temporaire du site internet, pour une durée maximale de 5 mois et/ou (ii) une amende dont le montant ne peut être supérieur à 30% du chiffre d'affaires réalisé par la pharmacie dans le cadre de l'activité de commerce électronique, dans la limite d'un million d'euros.


La transposition des dispositions de la directive européenne en droit français fournit désormais un cadre légal à la vente de médicaments OTC en ligne. Cette nouvelle réglementation est cependant vivement critiquée par l'Ordre des pharmaciens qui s’est prononcé via un communiqué, dès le 20 décembre 2012.

Mettant en avant la priorité d’assurer la sécurité du patient, l’Ordre des pharmaciens rappelle notamment que le médicament n’est pas un bien de consommation ordinaire, rien ne pouvant remplacer les conseils dispensés en officine.

Cependant, d’une part, seuls les médicaments OTC peuvent être vendus en ligne. D’autre part, rien n’empêche le site d’intégrer un service de prise de contact avec un pharmacien pour se faire dispenser les conseils nécessaires.

* * * * * * * * * * * *

(1) CJCE, 11 décembre 2003, Aff. C-322/01, Deutscher Apothekerverband EV / 0800 DocMorris NV et Jacques Waterval.

(2) Résolution ResAP(2007)2 sur les bonnes pratiques en matière de distribution de médicaments par correspondance, visant à protéger la sécurité des patients et la qualité des médicaments délivrés.

(3) Directive n°2011/62/UE du Parlement européen et du Conseil du 8 juin 2011 modifiant la directive n°2001/83/CE instituant un code communautaire relatif aux médicaments à usage humain, en ce qui concerne la prévention de l’introduction dans la chaîne d’approvisionnement légale de médicaments falsifiés

(4) Ordonnance n°2012-1427 du 19 décembre 2012 relative au renforcement de la sécurité de la chaîne d'approvisionnement des médicaments, à l'encadrement de la vente de médicaments sur internet et à la lutte contre la falsification de médicaments. Décret n°2012-1562 du 31 décembre 2012 relatif au renforcement de la sécurité de la chaîne d’approvisionnement des médicaments et à l’encadrement de la vente de médicaments sur internet. Articles L.4211-1, L.5122-6-1, L.5125-33 et s., R.5125-26 et R.5125-70 et s. CSP.


Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2013

Marques de vins et alcools : ne pas négliger les règles relatives à la publicité

Le choix, par un producteur, négociant ou commerçant, d'une marque désignant une boisson alcoolique, est soumis à plusieurs conditions relatives au droit des marques et aux règles applicables aux appellations d'origine, notamment prévues par le Code de la propriété intellectuelle. Ainsi, pour être valable, la marque choisie pour identifier un vin ou un alcool doit être distinctive, non trompeuse, disponible et ne pas porter atteinte aux appellations d'origine. (1)

En sus de ces conditions, les marques désignant des vins et alcools doivent respecter des règles particulières en matière de publicité, définies au Code de la santé publique. Ces règles, qui viennent d'être rappelées par la Cour de cassation, doivent être prises en compte avant d’entreprendre la procédure de dépôt d'une marque désignant des vins et alcools.


1. Rappel des règles en matière de publicité désignant des vins et alcools

Le droit des marques est régi par le principe de spécialité, en vertu duquel une marque n'est protégée que pour les produits ou services désignés. Deux marques identiques peuvent donc coexister à condition qu'elles désignent des produits ou services différents et qu’elles ne créent pas de confusion dans l’esprit du public.

Ce principe de spécialité connaît une exception en matière de marque de vins et d'alcools. Ainsi, le dépôt d’une marque désignant un vin ou alcool, postérieurement à une marque identique désignant un autre produit, est considéré comme portant atteinte au droit d’exploitation du titulaire antérieur, dans la mesure où les règles applicables à la marque pour la boisson alcoolique vont limiter le champ d’exploitation de la marque antérieure.

En effet, la publicité directe ou indirecte en faveur des boissons alcooliques fait l'objet d'une réglementation très stricte. Ce type de publicité est généralement prohibé, sauf dans les cas expressément autorisés par l'article L.3323-2 du Code de la santé publique (CSP). (2)

Lorsque la publicité est autorisée (selon le type de média, les créneaux horaires, etc.), les éléments composant cette publicité sont limitativement définis à l’article L.3323-4 du CSP et comprennent l’indication du degré volumique d'alcool, de l'origine, de la composition du produit, du nom du fabricant, du mode d'élaboration, des modalités de vente et du mode de consommation du produit, des références relatives aux terroirs de production, d'un message sanitaire précisant que “l'abus d'alcool est dangereux pour la santé”, etc.

Aux termes de l’article L.3323-3 al.1 du CSP, la publicité indirecte consiste notamment en toute publicité en faveur d'un produit ou d'un article autre qu'une boisson alcoolique qui, par l'utilisation  d'une marque, d'un emblème publicitaire ou d'un autre signe distinctif, rappelle une boisson alcoolique. (3)

Ces dispositions interdisent donc ou restreignent automatiquement toute publicité pour des produits couverts par le même signe qu'une marque d'alcool. Elles limitent ainsi les possibilités d'exploitation d'une marque antérieure désignant des produits autres que des alcools, dès lors qu'un signe identique est déposé ultérieurement pour désigner des boissons alcooliques.

C'est sur ce fondement que la Cour de cassation vient de confirmer l’annulation d'une marque désignant des boissons alcooliques.


2. La récente confirmation de l’annulation de la marque DIPTYQUE déposée par la société Hennessy

La société Diptyque, ayant pour activité la fabrication et la commercialisation de bougies parfumées et d'eaux de toilette, avait déposé la marque DIPTYQUE pour désigner des produits et services en lien avec son activité commerciale. Postérieurement à ce dépôt, la société Hennessy a déposé une marque identique pour désigner un cognac. La société Hennessy, refusant de procéder au retrait de sa marque et de retirer du marché les cognacs qu'elle commercialisait sous cette dénomination, a été assignée par la société Diptyque sur le fondement du droit des marques et des règles relatives à la publicité.

Dans un arrêt du 26 octobre 2011, la Cour d'appel de Paris avait prononcé la nullité de la marque DIPTYQUE désignant des boissons alcooliques, au motif que le titulaire de la marque antérieure  DIPTYQUE, désignant des produits cosmétiques et luminaires, ne pouvait plus promouvoir librement ses propres produits et exercer pleinement son droit de propriété sur sa marque. Selon la Cour d’appel, cette situation portait atteinte aux droits dont jouissait la société Diptyque avant le dépôt de la marque litigieuse, justifiant l'annulation de cette dernière.

La société Hennessy s’est alors pourvue en cassation afin de faire casser l’arrêt déclarant la nullité de sa marque DIPTYQUE et l’interdiction de commercialiser des boissons alcooliques sous cette dénomination.

La société Hennessy reprochait à la Cour d’appel d'avoir appliqué un raisonnement trop théorique et de ne pas avoir analysé les faits de l'espèce, à savoir les marchés visés par ces produits et l’absence de confusion.

Plusieurs raisons étaient avancées par Hennessy :

    - La publicité faite par la société Diptyque pour ses produits ne s'apparente pas à de la publicité indirecte en faveur de boissons alcoolisées au sens de l'article L.3323-3 CSP. Selon la société Hennessy, la nature des produits en cause, les clientèles et les réseaux de distribution des produits sont si distincts que la publicité faite pas la société Diptyque ne saurait "rappeler les boissons alcooliques" de la société Hennessy. Il ne peut y avoir de confusion entre les bougies et eaux de toilette dont la promotion est assurée essentiellement dans des magazines de mode et décoration et le cognac commercialisé sous la marque DIPTYQUE ;

    - Quand bien même cette publicité serait qualifiée de publicité indirecte en faveur des boissons alcoolisées, au sens de l'article L.3323-3 CSP, cette forme de publicité est autorisée dans la presse écrite (sauf publications destinées à la jeunesse) par l'article L.3323-2 du même code. Or, en l'espèce, la société Diptyque fait de la publicité pour ses produits dans des magazines de mode et décoration. Aussi, la société Hennessy estime que le dépôt de la marque DIPTYQUE pour désigner des boissons alcoolisées et l'usage de cette marque ne peut entraîner une quelconque entrave à la publicité des produits de la société Diptyque dans la presse écrite correspondant aux consommateurs de ces produits (magazines de mode ou de décoration).

Dans un arrêt du 20 novembre 2012, la Cour de cassation rejette ces arguments, en faveur d'une interprétation stricte des règles en matière de publicité. (4)

La Cour considère que la publicité faite par la société Diptyque pour ses produits constitue une publicité indirecte en faveur de boissons alcooliques et rappelle à ce titre qu'en vertu de l'article L3323-3 CSP, est "considérée comme publicité indirecte en faveur d'une boisson alcoolique et comme telle, soumise aux restrictions prévues à l'article L.3323-2 (CSP), la publicité en faveur d'un produit autre qu'une boisson alcoolique qui par l'utilisation d'une marque, rappelle une telle boisson".

La Cour constate que la société Diptyque avait, depuis le 1er janvier 1990, mis sur le marché sous sa marque DIPTYQUE divers produits autres que des boissons alcooliques, et que la société Hennessy faisait usage d'une marque identique pour commercialiser des boissons alcooliques. Elle conclut alors que la "Cour d'appel, en a exactement déduit, sans avoir à faire d'autres recherches, que le dépôt de la marque DIPTYQUE par la société Hennessy et la commercialisation de produits sous celle-ci créaient une entrave à la libre utilisation de la marque première". La Cour a donc rejeté le pourvoi formé par la société Hennessy et confirmé la décision de la Cour d’appel de Paris, à savoir, l’annulation de la marque DIPTYQUE déposée par la société Hennessy.


En conséquence, compte tenu de la réglementation et de son application jurisprudentielle, il est vivement recommandé aux producteurs, négociants ou distributeurs souhaitant déposer une marque pour promouvoir des boissons alcooliques, de sélectionner la marque avec une attention toute particulière. Il conviendra ainsi de s'assurer au préalable qu’une marque identique ou similaire n’est pas déjà enregistrée, non seulement dans les classes considérées pour les boissons alcooliques, mais dans toutes autres classes de produits et services. Comme rappelé plus haut, la validité de la marque pour une boisson alcoolique sera analysée non seulement au regard des critères habituels (caractère distinctif, non trompeur, disponible) mais également au regard des règles relatives à la publicité des alcools, telles que définies au Code de la santé publique.


* * * * * * * * * * *

(1) Voir notre précédent article sur ce thème, publié sur ce blog intitulé "Les règles spécifiques applicables aux marques de vins et alcools" http://dwavocat.blogspot.fr/2012/02/les-marques-de-vins-et-alcools-des.html

(2) Article L.3323-2 CSP : La publicité, directe ou indirecte, en faveur des boissons alcooliques est autorisée exclusivement "1°) Dans la presse écrite à l'exclusion des publications destinées à la jeunesse ; 2°) Par voie de radiodiffusion sonore pour les catégories de radios et dans les tranches horaires déterminées par décret en Conseil d'Etat ; 3°) Sous forme d'affiches et d'enseignes ; d'affichettes et d'objets à l'intérieur des lieux de vente à caractère spécialisé, dans des conditions définies par décret en Conseil d'Etat ; 4°) Sous forme d'envoi par les producteurs, les fabricants, les importateurs, les négociants, les concessionnaires ou les entrepositaires, de messages, de circulaires commerciales, de catalogues et de brochures ; 5°) Par inscription sur les véhicules utilisés pour les opérations normales de livraison des boissons, dès lors que cette inscription ne comporte que la désignation des produits ainsi que le nom et l'adresse du fabricant, des agents ou dépositaires, à l'exclusion de toute autre indication ; 6°) En faveur des fêtes et foires traditionnelles consacrées à des boissons alcooliques locales et à l'intérieur de celles-ci, dans des conditions définies par décret ; 7°) En faveur des musées, universités, confréries ou stages d'initiation oenologique à caractère traditionnel ainsi qu'en faveur de présentations et de dégustations, dans des conditions définies par décret ; 8°) Sous forme d'offre, à titre gratuit ou onéreux, d'objets strictement réservés à la consommation de boissons contenant de l'alcool, marqués à leurs noms, par les producteurs et les fabricants de ces boissons, à l'occasion de la vente directe de leurs produits aux consommateurs et aux distributeurs ou à l'occasion de la visite touristique des lieux de fabrication ; 9°) Sur les services de communications en ligne à l'exclusion de ceux qui, par leur caractère, leur présentation ou leur objet, apparaissent comme principalement destinés à la jeunesse, ainsi que ceux édités par des associations, sociétés et fédérations sportives ou des ligues professionnelles au sens du code du sport, sous réserve que la propagande ou la publicité ne soit ni intrusive ni interstitielle ".

(3) On se souviendra, par exemple, de l’annulation en France de la marque CHAMPAGNE, déposée par la société Yves Saint Laurent en 1993 pour désigner un parfum, par la Cour d’appel de Paris (arrêt du 15 décembre 1993) suite à l’action intentée par le CIVC (Comité interprofessionnel du vin de Champagne). Cette décision était cependant fondée sur la notion de concurrence parasitaire par rapport à la notoriété du vin de Champagne. L’application des règles énoncées au Code de la santé publique, aux articles L.721-1 du Code de la propriété intellectuelle et L.115-1 du Code de la consommation à cette affaire aurait très certainement abouti à la même décision.

(4) Cass. com., 20 novembre 2012, n°12-11753, société Diptyque c/ société JAS Hennessy

Betty SFEZ – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2013