Toute entreprise, quels que soient son domaine d’activité et sa taille, collecte et traite des données à caractère personnel concernant notamment ses employés et clients, pour des traitements divers (gestion du personnel, gestion clients, contrôles d’accès, etc.).
Les règles de collecte et de traitement de ces données doivent respecter les dispositions de la loi Informatique et Libertés. Cette loi impose au "responsable de traitement" le respect de nombreuses obligations, sous peine de sanctions administratives et pénales.(1)
En pratique, il n'est pas toujours facile de déterminer la personne ou l'entité sur laquelle pèsent ces obligations. Par ailleurs, les problèmes soulevés par le déploiement de nouveaux types de traitements ou de nouveaux services peuvent poser des questions complexes relatives à la conformité à la loi.
Nous rappelons ci-après la notion de responsable de traitement et les responsabilités et sanctions applicables en cas de manquement à la loi Informatique et libertés.
1. Le responsable de traitement de données personnelles
Un traitement de données à caractère personnel comprend tous types d'opérations, quel que soit le procédé utilisé, qui permettent d'identifier une personne physique, directement ou indirectement, et notamment, le fait de collecter, enregistrer, conserver, modifier, diffuser ou détruire des données personnelles.
La loi Informatique et Libertés définit le responsable de traitement de données personnelles comme la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens dudit traitement (art.3).
Dès lors, pour qu'une personne ou un organisme soit qualifié de responsable de traitement, les deux critères suivants doivent être réunis :
- Décider de la finalité du traitement : le responsable de traitement est la personne qui détermine les raisons du traitement, ainsi que les catégories de données collectées. La finalité correspond à des besoins propres à chaque organisme, tels que la nécessité de constituer un fichier clients/prospects pour les activités commerciales.
- Décider des moyens du traitement : le responsable de traitement est la personne qui détermine les modalités de mise en oeuvre de ce traitement. Le responsable déterminera ainsi quels types de données seront collectées, pendant combien de temps elles seront conservées, qui sera le (ou les) destinataire(s) des données, comment les personnes dont les données sont collectées pourront exercer leurs droits (opposition, rectification), etc.
En conséquence, le responsable de traitement est la personne qui détermine et décide de la politique de gestion des données personnelles dans l’entreprise. Le responsable de traitement doit être distingué des personnes (salariés, responsables opérationnels, ou sous-traitants) qui mettent en oeuvre ces traitements, et ce quelque soit leur degré d'autonomie.
Le responsable de traitement est, en règle générale, le dirigeant de l'entreprise. Celui-ci peut cependant décider de mettre en place une délégation de pouvoirs à l’un de ses directeurs (DSI, directeur juridique, etc.) afin d’aménager sa responsabilité, et sous réserve de la validité de cette délégation de pouvoirs. (2)
2. La responsabilité et les sanctions encourues en cas d'infraction à la loi Informatique et Libertés
La collecte et le traitement des données personnelles doivent respecter les principes définis par la loi Informatique et Libertés.
De nombreuses obligations pèsent sur le responsable de traitement, notamment : (i) déclarer à la CNIL tout traitement ou fichier automatisé de données (déclarations ou demandes d'autorisation et d'avis selon les données concernées et les traitements envisagés), préalablement à sa mise en oeuvre, (ii) faire une collecte loyale et licite des données, (iii) respecter la finalité du traitement, (iv) conserver les données pendant une durée raisonnable, (v) assurer l’intégrité des données en adoptant des mesures de sécurité et (vi) permettre aux personnes concernées par le traitement de leurs données, d’exercer leurs droits (droits d'accès, de contestation, de rectification et d’opposition).
En cas de manquement à ces obligations, le responsable de traitement encourt deux types de sanctions : des sanctions administratives, et des sanctions pénales.
2.1 Qui encourt les sanctions administratives ?
La Commission Nationale de l'Informatique et des Libertés (CNIL) dispose de pouvoirs de contrôle et de sanction à l'encontre des responsables de traitements.
Les sanctions prononcées par la CNIL - Des contrôles sur place (dans les locaux de l’entreprise) peuvent être réalisés, au cours desquels les agents de la CNIL peuvent demander la communication de tout document, recueillir tout renseignement utile et accéder aux programmes informatiques et aux données afin de vérifier la conformité à la loi. Ces contrôles peuvent être réalisés de façon inopinée pour répondre à des besoins ponctuels, dans le cadre de l'instruction de plaintes, à l’encontre d’un site web par exemple.
Lorsque des manquements à la loi sont relevés, la CNIL peut prononcer un avertissement ou mettre le responsable du traitement en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe. Si le responsable du traitement ne se conforme pas à la mise en demeure, la CNIL peut prononcer une injonction de cesser le traitement, un retrait de l’autorisation éventuellement accordée ou une sanction pécuniaire d'un montant maximum de 300.000€ (ou 5% du chiffre d'affaires hors taxes du dernier exercice clos de l’entreprise, dans la limite de 300.000€). Le montant de la sanction est proportionné à la gravité des manquements commis et des avantages tirés de ces manquements.
Les personnes ou entités responsables - En pratique, les mises en demeure et autres sanctions délivrées par la CNIL concernent la société, personne morale, mais sont notifiées au chef d'entreprise, en sa qualité de représentant légal. Les traitements de données personnelles étant réalisés pour le compte de la personne morale, c'est généralement cette dernière qui va être sanctionnée par la CNIL. Même si le chef d'entreprise aura décidé des finalités et des moyens du traitement, ce dernier sera rarement sanctionné personnellement. Ce n'est donc pas lui qui va, le cas échéant, payer l'amende.
En principe, il en va de même dans l'hypothèse où le chef d'entreprise aurait délégué la gestion du traitement des données personnelles à un collaborateur. La délégation de pouvoirs ne vise qu'à exonérer le chef d'entreprise de sa responsabilité pénale. Or, dans l'hypothèse où la CNIL serait saisie d'un dossier, le chef d'entreprise n'engagerait pas sa responsabilité pénale en tant que telle, les sanctions prononcées par la CNIL étant d'ordre administratif.
2.2 Qui encourt les sanctions pénales ?
Les infractions à la loi informatique et Libertés sont également sanctionnées pénalement.
Les sanctions pénales - La CNIL peut décider de dénoncer les infractions à la loi au procureur de la République. Par ailleurs, le procureur de la République pourra aviser le Président de la CNIL de toutes poursuites relatives aux infractions Informatiques et Libertés et le cas échéant, des suites qui leur sont données.
Le Code pénal prévoit, aux articles 226-16 et suivants, des sanctions spécifiques aux "atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques". Ainsi, le fait de procéder, y compris par négligence, à des traitements de données personnelles non conformes à la loi Informatique et Libertés est sanctionné jusqu'à 5 ans d’emprisonnement et 300.000€ d’amende.
Ces sanctions concernent les personnes physiques, mais le Code pénal prévoit également des sanctions pour les personnes morales. En effet, les entreprises déclarées responsables pénalement des infractions à la loi Informatique et Libertés encourent jusqu'à 1.500.000€ d'amende et des peines complémentaires, telles que (i) l'interdiction, à titre définitif ou provisoire, d'exercer l'activité dans l'exercice ou à l'occasion de l'exercice de laquelle l'infraction a été commise et (ii) la diffusion de la décision de justice par tout moyen de communication au public.
Les personnes ou entités responsables - Deux catégories de personnes peuvent encourir des sanctions pénales en cas de manquement à la loi Informatique et Libertés : le responsable de traitement, personne morale et le responsable de traitement, personne physique.
- La responsabilité de l'entreprise : l'entreprise, personne morale, peut sous certaines conditions, engager sa responsabilité pénale, soit à la place de la personne physique auteur de l'infraction, soit conjointement avec l’auteur de l’infraction. L'entreprise peut être déclarée responsable pénalement d'infractions, sous réserve qu'elles aient été commises, d'une part, pour "son compte" et d'autre part, par ses organes ou représentants (article 121-2 Code pénal). Le traitement de données personnelles mis en oeuvre au sein d'une entreprise par son dirigeant, pour les besoins de l’entreprise, remplit ces deux conditions.
Dès lors, une entreprise peut être condamnée à payer une amende pour manquement à la loi relative à la protection des données personnelles. Toutefois, sa responsabilité pénale n'exclut pas celle des personnes physiques, auteurs ou complices des mêmes faits.
- La responsabilité du chef d'entreprise ou du titulaire d'une délégation de pouvoirs : le chef d'entreprise est généralement considéré comme le responsable du traitement des données personnelles mis en oeuvre au sein de sa société, car c'est lui qui détermine la politique de gestion des traitements.
La responsabilité pénale de l'employeur sera donc engagée en cas d'infraction à la loi Informatique et Libertés commise par l'un de ses salariés, dans l'hypothèse, par exemple, où il n'aurait pas pris les mesures de sécurité suffisantes pour éviter la perte de données personnelles. Dans ce cas, il sera reproché au chef d'entreprise une négligence fautive dans son devoir de contrôle de l'application de la réglementation par ses employés.
L'employeur poursuivi pour une infraction à la législation Informatique et Libertés peut-il cependant s’exonérer de sa responsabilité s'il justifie d'une délégation de pouvoirs ? En cas de délégation de pouvoirs, le délégataire pourrait être tenu responsable des infractions à la loi, sous réserve que la délégation recouvre le même domaine que celui de l'infraction poursuivie et remplisse les conditions de validité y afférentes.
La charge de la preuve de l’existence d’une délégation de pouvoirs valide incombera au chef d'entreprise ; cette preuve peut être rapportée par tous moyens. Aussi celui-ci devra démontrer que :
(i) la délégation portait sur la gestion des traitements de données personnelles. En présence d'une délégation de pouvoirs écrite, cette dernière devra contenir une mention précise à cet effet, à savoir une clause spécifique Informatique et Libertés ;
(ii) le délégataire est pourvu de l'autorité, de la compétence et des moyens nécessaires pour remplir sa mission. Déléguer cette mission à un simple exécutant, sans pouvoir décisionnaire, n'est pas valable.
Les questions relatives à la responsabilité des manquements à la protection des données personnelles feront encore l'objet de nombreux débats dans les mois à venir. En effet, la proposition de règlement européen portant sur la protection des données personnelles, censé être adopté d'ici 2015, prévoit deux nouveautés, dans sa première version (3) :
- une augmentation sensible des sanctions financières en cas d'infractions : le projet de texte européen prévoit d’imposer des amendes pouvant s'élever à 2% du chiffre d’affaires annuel mondial de l’entreprise fautive ;
- une définition étendue de la notion de responsable de traitement : le projet de texte européen prévoit que le responsable du traitement est "la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités, les conditions et les moyens du traitement de données à caractère personnel”.
Cette nouvelle définition permettra la mise en oeuvre d’un système de co-responsabilité entre tous les acteurs ayant décidé, de manière autonome et concertée, de la création d’un traitement de données à caractère personnel, qu'ils soient salariés, responsables opérationnels ou sous-traitants. L’objet de cette nouvelle définition est notamment de prendre en compte la réalité imposée par les traitements gérés en mode Cloud, pour lesquels les conditions et les moyens de traitements sont généralement déterminés par le prestataire Cloud et non par l’entreprise. Cependant, cette co-responsabilité pourrait être source d’insécurité juridique dans sa mise en oeuvre.
* * * * * * * * * * *
(1) Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.
(2) La délégation de pouvoir est soumise à des conditions de validité - conditions de fond et conditions de forme -pour pouvoir être considérée comme effective vis-à-vis du déléguant.
(3) Proposition de règlement du parlement européen et du conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du 25 janvier 2012, (2012/0011 (COD)
Bénédicte DELEPORTE
Betty SFEZ
Avocats
Deleporte Wentz Avocat
www.dwavocat.com
Mai 2013
lundi 27 mai 2013
mardi 21 mai 2013
Cyberdéfense : la stratégie nationale dévoilée dans le dernier Livre blanc sur la Défense et la Sécurité nationale
Les cyberattaques contre les Etats, leurs institutions, leurs moyens de communications, les banques et les entreprises nationales sont régulièrement au cœur de l’actualité des TIC. Par exemple, dernièrement les médias ont rapporté deux types d’attaques : la première, en février 2013, avait ciblé la presse américaine en piratant les systèmes informatiques du New York Times, du Wall Street Journal et de la chaîne d'informations CNN ; la seconde, en mars 2013, avait ciblé les réseaux informatiques des chaînes de télévision et des banques de la Corée du Sud. Les Etats victimes ont publiquement désigné des gouvernements étrangers comme étant les commanditaires de ces attaques, si bien que l'on serait tenté de qualifier ces conflits de "cyberguerre".(1)
Face à la prolifération de ce type d’attaques, les institutions européennes (2) et les pays, dont la France, développent des politiques de sécurité des réseaux et des systèmes d’information. C'est dans ce contexte que le nouveau Livre blanc sur la Défense et la Sécurité nationale, publié par le Ministère de la défense fin avril 2013, fait de la lutte contre la cybermenace une priorité nationale.(3) Ce livre établit une stratégie nationale de cyberdéfense visant à prévenir et riposter aux cyberattaques.
1. L'existence d'une cybermenace pesant sur le territoire national
Des attaques croissantes dans le cyberespace - Le livre blanc fait état de l’accroissement du nombre d’attaques informatiques contre les systèmes d'information des entreprises nationales et de l'Etat, de leur diversification et de leur sophistication.
Ce texte qualifie la cybermenace de "menace majeure" pour la sécurité de la Nation. Ainsi, parmi les six menaces identifiées dans ce livre comme affectant gravement la sécurité nationale, les cyberattaques viennent en 3e position après les agressions par un autre Etat contre le territoire national et les attaques terroristes.
En outre, le livre blanc précise qu'une attaque informatique de grande envergure pourrait constituer un véritable "acte de guerre", si les intérêts stratégiques nationaux étaient menacés.
Enfin, le livre blanc qualifie le cyberespace de "milieu opérationnel". Le cyberespace constitue ainsi le 5e milieu opérationnel après la terre, la mer, l'air et l'espace. Ce texte précise également que le cyberespace constitue désormais "un champ de confrontation à part entière", et donc une zone de conflit potentiel sur laquelle doivent pouvoir être déployées des forces d'intervention.
Des risques à ne pas négliger - Bien que les cyberattaques n'aient jusqu'à présent causé la mort d'aucun homme, elles font courir des risques considérables pour les entreprises nationales et l'Etat.
En effet, le vol d'informations stratégiques et sensibles (informations industrielles, économiques, financières ou militaires) - ou la captation de savoir-faire par le biais d'intrusions informatiques, peut avoir un impact direct sur la compétitivité économique de la France.
En outre, les attaques visant la destruction ou la prise de contrôle à distance de services essentiels au fonctionnement du pays ou à sa défense, à savoir des actions malveillantes sur les systèmes d'informations et de communication d'opérateurs d'importance vitale (OIV) (4) ou sur les infrastructures et équipements militaires, pourraient engendrer la paralysie de pans entiers de l'activité du pays.
L'Estonie a ainsi été victime d'une vague d'attaques informatiques en avril 2007. Ces attaques, visant les sites web gouvernementaux et publics, ceux des opérateurs de téléphonie mobile, des banques commerciales et des organes d'information, ont perturbé durant plus d'un mois la vie courante du pays, en privant les Estoniens de l'accès à certains services en ligne essentiels.(5)
L'importance de la cybermenace est accentuée par la difficulté à établir l'origine géographique de l'attaque et donc à identifier les pirates. Or, la France doit être en mesure de se protéger contre de telles attaques. C'est pour cette raison que le gouvernement français a décidé d'inscrire la cyberdéfense parmi les priorités stratégiques nationales.
2. L'élaboration d'une stratégie de cyberdéfense nationale
Afin d'assurer la "continuité des fonctions essentielles de la Nation", le livre blanc préconise de renforcer le niveau de sécurité des systèmes d'information (SSI) des OIV et de l'Etat. Ce renforcement de la SSI passera par deux types d'actions : d'une part, l'élaboration et la mise en oeuvre de mesures législatives et réglementaires en matière de sécurité et d'autre part, le déploiement de forces armées destinées à la cyberdéfense.
L'adoption nécessaire de dispositions légales et de bonnes pratiques - Le livre blanc prévoit l'adoption prochaine de mesures législatives et réglementaires visant à permettre aux OIV et à l'Etat, de détecter et traiter les incidents informatiques touchant leurs systèmes d'information.
Aussi, seront imposés le respect de standards et référentiels de sécurité ainsi que l'obligation de déclarer les incidents. Cette dernière mesure, déjà prévue dans le rapport Bockel sur la cyberdéfense de juillet 2012, et le projet de directive européenne sur la sécurité de réseaux et de l'information, de février 2013, impose aux entreprises françaises de notifier à l'ANSSI tous incidents (perte, vol, piratage de données, etc.) qui ont un impact significatif sur la sécurité des services qu'elles fournissent.
Le livre blanc prévoit par ailleurs que des audits de sécurité des systèmes d'information seront réalisés par l'Etat, qui, le cas échéant, pourra imposer des mesures de mise en conformité. Le texte préconise également d'inclure dans "les marchés publics comprenant des éléments numériques des clauses drastiques concernant la sécurité".
Enfin, le livre blanc précise que des budgets annuels seront alloués à des entreprises françaises pour la conception et le développement de produits de sécurité. Ce texte souligne en effet l'importance pour la France de produire "en toute autonomie" des dispositifs de sécurité et de maintenir une "industrie nationale performante".
Le renforcement des capacités militaires de cyberdéfense - Ce renforcement des moyens humains militaires passe par la consolidation des activités de renseignement, la création de forces nouvelles et une formation accrue à la sécurité numérique.
- Développement des capacités de renseignement : le livre blanc affirme la nécessité de développer l'activité de renseignement et les capacités techniques y afférentes, "afin d'identifier l'origine des attaques, évaluer les capacités offensives des adversaires potentiels et de pouvoir ainsi riposter de manière adéquate".
- Mise en place d'un vivier de réservistes : le livre blanc précise que deux catégories de réserves seront créées : d'une part, une réserve opérationnelle, rattachée aux services de renseignement et mobilisable en cas d'attaque majeure, et d'autre part, une réserve citoyenne cyberdéfense, mobilisant notamment des jeunes techniciens et informaticiens intéressés par les enjeux de sécurité numérique.
- Formation du personnel : enfin, le livre blanc insiste sur la nécessité de sensibiliser les administrations et salariés d'OIV aux règles élémentaires de sécurité ou "d'hygiène cybernétique", d’accroître le nombre d’experts français en sécurité informatique et de veiller à ce que ce domaine soit intégré aux enseignements supérieurs en informatique.
La cybersécurité est devenue un défi majeur tant pour les entreprises que pour les Etats. Le livre blanc insiste sur la nécessité de développer les capacités de la France à détecter les attaques, à en déterminer l'origine et, lorsque les intérêts nationaux sont menacés, à riposter.
Auteur du rapport de juillet 2012 sur la cyberdéfense, le sénateur Bockel a déclaré être satisfait du fait que les préconisations suivantes du rapport aient été reprises dans le livre blanc : faire de la cyberdéfense et de la protection des systèmes d'information une priorité nationale (priorité n°1) ; renforcer les effectifs et les moyens dédiés au sein des armées (priorité n°2) ; rendre obligatoire pour les entreprises et les OIV une déclaration d'incident à l'ANSSI en cas d'attaque importante contre les systèmes d'information (priorité n°5) ; et soutenir notamment des PME spécialisées dans la conception de certains produits ou services importants pour la sécurité informatique (priorité n°7).
L’élément positif à retenir est la détermination d’une politique de cybersécurité à l’échelon national. Cette politique devra cependant s’inscrire en amont, dans un plan pan-européen de cybersécurité. En aval, il est désormais capital de sensibiliser les entreprises et administrations, notamment mais pas uniquement les OIV, à la protection physique et logique de leurs infrastructures technologiques. Ceci passera par une approche pédagogique auprès des personnels des entreprises et des administrations et par le déploiement et la mise en oeuvre d’outils et de pratiques de cybersécurité.
* * * * * * * * * * *
(1) Voir les articles : "Cyber-attaques en série contre la presse américaine", publié le 1er février 2013 sur http://www.latribune.fr/ et "La cyberattaque, nouvelle arme de guerre des Etats ?", publié le 22 mars 2013 sur http://www.franceinfo.fr/.
(2) Communication conjointe au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions. Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, Bruxelles, le 7.2.2013 COM(2013) 48 final 2013/0027 (COD).
(3) Le livre blanc est disponible en ligne, sur le site du Ministère de la défense à l’URL: http://www.defense.gouv.fr/actualites/articles/livre-blanc-2013
(4) Le livre blanc définit les secteurs d'activité d'importance vitale comme suit (p.105) : activités civiles de l'Etat, activités judiciaires, activités militaires de l'Etat, alimentation, communications électroniques, audiovisuel et information, énergie, espace et recherche, finances, gestion de l'eau, industrie, santé et transports.
(5) voir le rapport de J-M Bockel publié le 18 juillet 2012, "La cyberdéfense : un enjeu mondial, une priorité nationale".
Betty SFEZ
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Mai 2013
Face à la prolifération de ce type d’attaques, les institutions européennes (2) et les pays, dont la France, développent des politiques de sécurité des réseaux et des systèmes d’information. C'est dans ce contexte que le nouveau Livre blanc sur la Défense et la Sécurité nationale, publié par le Ministère de la défense fin avril 2013, fait de la lutte contre la cybermenace une priorité nationale.(3) Ce livre établit une stratégie nationale de cyberdéfense visant à prévenir et riposter aux cyberattaques.
1. L'existence d'une cybermenace pesant sur le territoire national
Des attaques croissantes dans le cyberespace - Le livre blanc fait état de l’accroissement du nombre d’attaques informatiques contre les systèmes d'information des entreprises nationales et de l'Etat, de leur diversification et de leur sophistication.
Ce texte qualifie la cybermenace de "menace majeure" pour la sécurité de la Nation. Ainsi, parmi les six menaces identifiées dans ce livre comme affectant gravement la sécurité nationale, les cyberattaques viennent en 3e position après les agressions par un autre Etat contre le territoire national et les attaques terroristes.
En outre, le livre blanc précise qu'une attaque informatique de grande envergure pourrait constituer un véritable "acte de guerre", si les intérêts stratégiques nationaux étaient menacés.
Enfin, le livre blanc qualifie le cyberespace de "milieu opérationnel". Le cyberespace constitue ainsi le 5e milieu opérationnel après la terre, la mer, l'air et l'espace. Ce texte précise également que le cyberespace constitue désormais "un champ de confrontation à part entière", et donc une zone de conflit potentiel sur laquelle doivent pouvoir être déployées des forces d'intervention.
Des risques à ne pas négliger - Bien que les cyberattaques n'aient jusqu'à présent causé la mort d'aucun homme, elles font courir des risques considérables pour les entreprises nationales et l'Etat.
En effet, le vol d'informations stratégiques et sensibles (informations industrielles, économiques, financières ou militaires) - ou la captation de savoir-faire par le biais d'intrusions informatiques, peut avoir un impact direct sur la compétitivité économique de la France.
En outre, les attaques visant la destruction ou la prise de contrôle à distance de services essentiels au fonctionnement du pays ou à sa défense, à savoir des actions malveillantes sur les systèmes d'informations et de communication d'opérateurs d'importance vitale (OIV) (4) ou sur les infrastructures et équipements militaires, pourraient engendrer la paralysie de pans entiers de l'activité du pays.
L'Estonie a ainsi été victime d'une vague d'attaques informatiques en avril 2007. Ces attaques, visant les sites web gouvernementaux et publics, ceux des opérateurs de téléphonie mobile, des banques commerciales et des organes d'information, ont perturbé durant plus d'un mois la vie courante du pays, en privant les Estoniens de l'accès à certains services en ligne essentiels.(5)
L'importance de la cybermenace est accentuée par la difficulté à établir l'origine géographique de l'attaque et donc à identifier les pirates. Or, la France doit être en mesure de se protéger contre de telles attaques. C'est pour cette raison que le gouvernement français a décidé d'inscrire la cyberdéfense parmi les priorités stratégiques nationales.
2. L'élaboration d'une stratégie de cyberdéfense nationale
Afin d'assurer la "continuité des fonctions essentielles de la Nation", le livre blanc préconise de renforcer le niveau de sécurité des systèmes d'information (SSI) des OIV et de l'Etat. Ce renforcement de la SSI passera par deux types d'actions : d'une part, l'élaboration et la mise en oeuvre de mesures législatives et réglementaires en matière de sécurité et d'autre part, le déploiement de forces armées destinées à la cyberdéfense.
L'adoption nécessaire de dispositions légales et de bonnes pratiques - Le livre blanc prévoit l'adoption prochaine de mesures législatives et réglementaires visant à permettre aux OIV et à l'Etat, de détecter et traiter les incidents informatiques touchant leurs systèmes d'information.
Aussi, seront imposés le respect de standards et référentiels de sécurité ainsi que l'obligation de déclarer les incidents. Cette dernière mesure, déjà prévue dans le rapport Bockel sur la cyberdéfense de juillet 2012, et le projet de directive européenne sur la sécurité de réseaux et de l'information, de février 2013, impose aux entreprises françaises de notifier à l'ANSSI tous incidents (perte, vol, piratage de données, etc.) qui ont un impact significatif sur la sécurité des services qu'elles fournissent.
Le livre blanc prévoit par ailleurs que des audits de sécurité des systèmes d'information seront réalisés par l'Etat, qui, le cas échéant, pourra imposer des mesures de mise en conformité. Le texte préconise également d'inclure dans "les marchés publics comprenant des éléments numériques des clauses drastiques concernant la sécurité".
Enfin, le livre blanc précise que des budgets annuels seront alloués à des entreprises françaises pour la conception et le développement de produits de sécurité. Ce texte souligne en effet l'importance pour la France de produire "en toute autonomie" des dispositifs de sécurité et de maintenir une "industrie nationale performante".
Le renforcement des capacités militaires de cyberdéfense - Ce renforcement des moyens humains militaires passe par la consolidation des activités de renseignement, la création de forces nouvelles et une formation accrue à la sécurité numérique.
- Développement des capacités de renseignement : le livre blanc affirme la nécessité de développer l'activité de renseignement et les capacités techniques y afférentes, "afin d'identifier l'origine des attaques, évaluer les capacités offensives des adversaires potentiels et de pouvoir ainsi riposter de manière adéquate".
- Mise en place d'un vivier de réservistes : le livre blanc précise que deux catégories de réserves seront créées : d'une part, une réserve opérationnelle, rattachée aux services de renseignement et mobilisable en cas d'attaque majeure, et d'autre part, une réserve citoyenne cyberdéfense, mobilisant notamment des jeunes techniciens et informaticiens intéressés par les enjeux de sécurité numérique.
- Formation du personnel : enfin, le livre blanc insiste sur la nécessité de sensibiliser les administrations et salariés d'OIV aux règles élémentaires de sécurité ou "d'hygiène cybernétique", d’accroître le nombre d’experts français en sécurité informatique et de veiller à ce que ce domaine soit intégré aux enseignements supérieurs en informatique.
La cybersécurité est devenue un défi majeur tant pour les entreprises que pour les Etats. Le livre blanc insiste sur la nécessité de développer les capacités de la France à détecter les attaques, à en déterminer l'origine et, lorsque les intérêts nationaux sont menacés, à riposter.
Auteur du rapport de juillet 2012 sur la cyberdéfense, le sénateur Bockel a déclaré être satisfait du fait que les préconisations suivantes du rapport aient été reprises dans le livre blanc : faire de la cyberdéfense et de la protection des systèmes d'information une priorité nationale (priorité n°1) ; renforcer les effectifs et les moyens dédiés au sein des armées (priorité n°2) ; rendre obligatoire pour les entreprises et les OIV une déclaration d'incident à l'ANSSI en cas d'attaque importante contre les systèmes d'information (priorité n°5) ; et soutenir notamment des PME spécialisées dans la conception de certains produits ou services importants pour la sécurité informatique (priorité n°7).
L’élément positif à retenir est la détermination d’une politique de cybersécurité à l’échelon national. Cette politique devra cependant s’inscrire en amont, dans un plan pan-européen de cybersécurité. En aval, il est désormais capital de sensibiliser les entreprises et administrations, notamment mais pas uniquement les OIV, à la protection physique et logique de leurs infrastructures technologiques. Ceci passera par une approche pédagogique auprès des personnels des entreprises et des administrations et par le déploiement et la mise en oeuvre d’outils et de pratiques de cybersécurité.
* * * * * * * * * * *
(1) Voir les articles : "Cyber-attaques en série contre la presse américaine", publié le 1er février 2013 sur http://www.latribune.fr/ et "La cyberattaque, nouvelle arme de guerre des Etats ?", publié le 22 mars 2013 sur http://www.franceinfo.fr/.
(2) Communication conjointe au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions. Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, Bruxelles, le 7.2.2013 COM(2013) 48 final 2013/0027 (COD).
(3) Le livre blanc est disponible en ligne, sur le site du Ministère de la défense à l’URL: http://www.defense.gouv.fr/actualites/articles/livre-blanc-2013
(4) Le livre blanc définit les secteurs d'activité d'importance vitale comme suit (p.105) : activités civiles de l'Etat, activités judiciaires, activités militaires de l'Etat, alimentation, communications électroniques, audiovisuel et information, énergie, espace et recherche, finances, gestion de l'eau, industrie, santé et transports.
(5) voir le rapport de J-M Bockel publié le 18 juillet 2012, "La cyberdéfense : un enjeu mondial, une priorité nationale".
Betty SFEZ
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Mai 2013
vendredi 17 mai 2013
Les soldes : des méthodes de vente encadrées, même sur internet
Les soldes d’été 2013 débutent le mercredi 26 juin à 8 heures. Les soldes sur internet étant soumis aux mêmes règles que pour la vente en magasin, les e-commerçants français doivent s’assurer que leurs soldes sont conformes à la réglementation. En effet, les périodes de soldes révèlent de nombreuses pratiques trompeuses et illicites de la part de certains commerçants, qu’il s’agisse de publicités induisant les consommateurs en erreur ou des manipulations de prix frauduleuses par exemple.
Les soldes sont réglementés aux articles L.310-3 et suivants et R. 310-15 et suivants du Code de commerce.
Les soldes sont définis comme des ventes qui :
- d’une part sont accompagnées ou précédées de publicité et annoncées comme tendant, par une réduction de prix, à l'écoulement accéléré de marchandises en stock, et
- d’autre part, ont lieu durant des périodes de l’année définies par décret.
Nous faisons ci-après un bref rappel des conditions relatives à la vente en solde et des sanctions applicables en cas d’infraction à la loi.
1. Les conditions de la vente en solde
1.1 Des périodes de soldes réglementées
Il existe deux types de soldes :
- Les soldes saisonniers, organisés sur deux périodes de cinq semaines par an, en hiver et en été.
Les soldes d’hiver débutent le deuxième mercredi du mois de janvier à 8h ; les soldes d’été débutent le dernier mercredi de juin à 8h. Ces dates s’appliquent à tout le territoire français, à l’exception de douze départements (principalement frontaliers et DOM) dont la liste figure à l’article D.310-15-3 du Code de commerce.
- Les soldes complémentaires ou soldes flottants, d’une durée de deux semaines par an, consécutives ou non.
Les soldes flottants sont organisés aux dates choisies par le commerçant, sous réserve d’une déclaration préalable en préfecture du département du siège de l’entreprise, au moins un mois avant le début des soldes. Les soldes flottants doivent prendre fin au plus tard un mois avant le début des soldes saisonniers.
1.2 Les produits et services pouvant être vendus en solde
Concernant les produits, l’objectif des soldes est le destockage. Seuls peuvent être vendus en solde des produits neufs, déjà proposés à la vente et achetés et payés par le commerçant au moins un mois avant le début des soldes. En effet, il n’est pas possible d’acheter des produits aux seules fins de les revendre directement en solde, ni de se réapprovisionner en produits soldés pendant cette période.
Certains types de services peuvent également être vendus en solde. Seules certaines catégories de prestations de services revendues par un commerçant, sous réserve d’en avoir acquis une quantité déterminée et non renouvelable auprès d'un autre opérateur, sont concernées par les soldes. Il s’agit par exemple de la vente de voyages ou de séjours à forfait.
A l’issue de la période des soldes, les invendus peuvent continuer à être proposés à la vente au prix soldé. Le commerçant ne pourra cependant plus communiquer sur les soldes et ne pourra afficher qu’un seul prix.
1.3 Les conditions de vente en solde
- La publicité - Les soldes doivent faire l’objet d’une publicité. Celle-ci doit contenir les mentions obligatoires suivantes : la date de début des soldes et la nature des produits soldés, lorsque les soldes ne portent pas sur la totalité du catalogue. (art. R.310-17 c.com)
A noter également que l’usage du terme “soldes” est réglementé. Le mot “soldes” ne peut être utilisé que pour les opérations répondant aux conditions des soldes telles que définies par la loi (période, produits ou services concernés, conditions de prix, etc.). (art. L.310-3-II c.com) Ainsi, le mot soldes ne peut être utilisé pour des opérations promotionnelles, des ventes privées, ou des liquidations commerciales.
- Les prix - Pendant les périodes de soldes, les réductions de prix doivent être effectives et être affichées de manière claire.
Le site de e-commerce devra faire figurer sur ses pages produit : l’ancien prix barré, le prix soldé, et le pourcentage de réduction effective.
La revente à perte est exceptionnellement autorisée en période de soldes. (art. L.442-2 et s. c.com)
- Les garanties - Le e-commerçant est tenu de fournir les mêmes garanties sur ses produits et services soldés que sur les produits et services non soldés.
Les garanties légales - vices cachés et conformité - s’appliqueront aux produits soldés, tout comme les garanties contractuelles éventuelles.
Le droit de rétractation reste également applicable en période de soldes pour les achats réalisés sur internet (sauf exceptions prévues par la loi).
2. Les sanctions en cas de non-conformité à la réglementation
Les services de la Direction générale de la concurrence, de la consommation, et de la répression des fraudes (DGCCRF) et ses antennes locales (Directions départementales de la protection des populations - DDPP) ont notamment pour mission de contrôler le respect de la réglementation en matière de prix et de soldes. (art. L.450-1 et s. c.com)
Ainsi, les e-commerçants qui organiseraient des soldes en contravention avec ces règles sont passibles de peines d’amendes, dont les montants varient selon l’infraction commise :
- en cas de soldes sur des produits détenus depuis moins d’un mois à la date de début de l’opération, ou d’utilisation du terme “soldes” de manière inappropriée : amende de 15.000€ (75.000€ pour les personnes morales) (art. L.310-5 c.com) ;
- en cas de publicité incomplète, qui ne reprendrait pas les mentions obligatoires susvisées : contravention de 5é classe, soit 1.500€ (7.500€ pour les personnes morales) (art. R.310-19-3° c.com) ;
- en cas d’utilisation du terme “solde” dans une publicité, en dehors des périodes de soldes, si l’opération est susceptible d’induire les consommateurs en erreur : amende de 37.000€ ou jusqu’à 50% du montant de la campagne publicitaire trompeuse (art. L.121-15 c.consommation).
* * * * * * * * * * * * *
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Mai 2013
Les soldes sont réglementés aux articles L.310-3 et suivants et R. 310-15 et suivants du Code de commerce.
Les soldes sont définis comme des ventes qui :
- d’une part sont accompagnées ou précédées de publicité et annoncées comme tendant, par une réduction de prix, à l'écoulement accéléré de marchandises en stock, et
- d’autre part, ont lieu durant des périodes de l’année définies par décret.
Nous faisons ci-après un bref rappel des conditions relatives à la vente en solde et des sanctions applicables en cas d’infraction à la loi.
1. Les conditions de la vente en solde
1.1 Des périodes de soldes réglementées
Il existe deux types de soldes :
- Les soldes saisonniers, organisés sur deux périodes de cinq semaines par an, en hiver et en été.
Les soldes d’hiver débutent le deuxième mercredi du mois de janvier à 8h ; les soldes d’été débutent le dernier mercredi de juin à 8h. Ces dates s’appliquent à tout le territoire français, à l’exception de douze départements (principalement frontaliers et DOM) dont la liste figure à l’article D.310-15-3 du Code de commerce.
- Les soldes complémentaires ou soldes flottants, d’une durée de deux semaines par an, consécutives ou non.
Les soldes flottants sont organisés aux dates choisies par le commerçant, sous réserve d’une déclaration préalable en préfecture du département du siège de l’entreprise, au moins un mois avant le début des soldes. Les soldes flottants doivent prendre fin au plus tard un mois avant le début des soldes saisonniers.
1.2 Les produits et services pouvant être vendus en solde
Concernant les produits, l’objectif des soldes est le destockage. Seuls peuvent être vendus en solde des produits neufs, déjà proposés à la vente et achetés et payés par le commerçant au moins un mois avant le début des soldes. En effet, il n’est pas possible d’acheter des produits aux seules fins de les revendre directement en solde, ni de se réapprovisionner en produits soldés pendant cette période.
Certains types de services peuvent également être vendus en solde. Seules certaines catégories de prestations de services revendues par un commerçant, sous réserve d’en avoir acquis une quantité déterminée et non renouvelable auprès d'un autre opérateur, sont concernées par les soldes. Il s’agit par exemple de la vente de voyages ou de séjours à forfait.
A l’issue de la période des soldes, les invendus peuvent continuer à être proposés à la vente au prix soldé. Le commerçant ne pourra cependant plus communiquer sur les soldes et ne pourra afficher qu’un seul prix.
1.3 Les conditions de vente en solde
- La publicité - Les soldes doivent faire l’objet d’une publicité. Celle-ci doit contenir les mentions obligatoires suivantes : la date de début des soldes et la nature des produits soldés, lorsque les soldes ne portent pas sur la totalité du catalogue. (art. R.310-17 c.com)
A noter également que l’usage du terme “soldes” est réglementé. Le mot “soldes” ne peut être utilisé que pour les opérations répondant aux conditions des soldes telles que définies par la loi (période, produits ou services concernés, conditions de prix, etc.). (art. L.310-3-II c.com) Ainsi, le mot soldes ne peut être utilisé pour des opérations promotionnelles, des ventes privées, ou des liquidations commerciales.
- Les prix - Pendant les périodes de soldes, les réductions de prix doivent être effectives et être affichées de manière claire.
Le site de e-commerce devra faire figurer sur ses pages produit : l’ancien prix barré, le prix soldé, et le pourcentage de réduction effective.
La revente à perte est exceptionnellement autorisée en période de soldes. (art. L.442-2 et s. c.com)
- Les garanties - Le e-commerçant est tenu de fournir les mêmes garanties sur ses produits et services soldés que sur les produits et services non soldés.
Les garanties légales - vices cachés et conformité - s’appliqueront aux produits soldés, tout comme les garanties contractuelles éventuelles.
Le droit de rétractation reste également applicable en période de soldes pour les achats réalisés sur internet (sauf exceptions prévues par la loi).
2. Les sanctions en cas de non-conformité à la réglementation
Les services de la Direction générale de la concurrence, de la consommation, et de la répression des fraudes (DGCCRF) et ses antennes locales (Directions départementales de la protection des populations - DDPP) ont notamment pour mission de contrôler le respect de la réglementation en matière de prix et de soldes. (art. L.450-1 et s. c.com)
Ainsi, les e-commerçants qui organiseraient des soldes en contravention avec ces règles sont passibles de peines d’amendes, dont les montants varient selon l’infraction commise :
- en cas de soldes sur des produits détenus depuis moins d’un mois à la date de début de l’opération, ou d’utilisation du terme “soldes” de manière inappropriée : amende de 15.000€ (75.000€ pour les personnes morales) (art. L.310-5 c.com) ;
- en cas de publicité incomplète, qui ne reprendrait pas les mentions obligatoires susvisées : contravention de 5é classe, soit 1.500€ (7.500€ pour les personnes morales) (art. R.310-19-3° c.com) ;
- en cas d’utilisation du terme “solde” dans une publicité, en dehors des périodes de soldes, si l’opération est susceptible d’induire les consommateurs en erreur : amende de 37.000€ ou jusqu’à 50% du montant de la campagne publicitaire trompeuse (art. L.121-15 c.consommation).
* * * * * * * * * * * * *
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Mai 2013
lundi 4 mars 2013
Cybersécurité : le développement d’une politique européenne de la sécurité des réseaux et des systèmes d’information
Les cyberattaques sont régulièrement au cœur de l’actualité des TIC. En effet, bien que les problèmes de fraude informatique et sur internet ne soient pas nouveaux, les moyens utilisés ne cessent d’évoluer et les conséquences de s’aggraver. (1) Ces cyberattaques se manifestent de diverses manières, telles que spam, phishing, virus informatiques, attaques de réseaux, cyberespionnage, et à des fins non seulement financières mais également économiques et politiques.
Par exemple, dernièrement les médias ont rapporté deux types d’attaques de natures différentes, la première via une campagne de phishing, avait ciblé plusieurs milliers de clients EDF qui avaient reçu des emails frauduleux visant à extorquer leurs coordonnées bancaires, la seconde, active depuis plusieurs années, qui avait consisté en une attaque de cyberespionnage à grande échelle, dénommée "Red October", touchant des représentations diplomatiques, administrations, organismes de recherche scientifique, groupes énergétiques et nucléaires dans plusieurs pays. (2)
Face à l’accroissement du nombre d’attaques informatiques, à leur diversification, ainsi qu’à la professionnalisation toujours plus grande des pirates informatiques, l’Union européenne a finalement pris la décision de poser les contours d’un cadre commun à tous les Etats membres en matière de sécurité des réseaux numériques, de lutte contre la criminalité en ligne et de protection des consommateurs.
Aussi, après avoir créé un Centre européen de lutte contre la cybercriminalité en janvier 2013 (3), les institutions européennes ont publié, le 7 février dernier, une stratégie commune de cybersécurité ainsi qu’une proposition de directive instaurant des mesures visant à assurer un niveau élevé commun de sécurité des réseaux et de l’information (SRI). (4) Ces deux textes fixent les mesures proposées par la Commission européenne, les objectifs à atteindre par les Etats membres et les obligations qui viendront peser sur les entreprises et administrations publiques. Nous analysons ci-après les principales mesures proposées.
1. Les mesures proposées par la Commission européenne en matière de cybersécurité
La stratégie de la Commission en matière de cybersécurité est ambitieuse. Elle repose sur cinq axes : (i) parvenir à la cyber-résilience, (ii) faire reculer considérablement la cybercriminalité, (iii) développer une politique et des moyens de cyberdéfense liée à la politique de sécurité et de défense commune (PSDC), (iv) développer les ressources industrielles et technologiques en matière de cybersécurité, et enfin (v) instaurer une politique internationale de l'Union européenne cohérente en matière de protection du cyberespace.
A cette fin, la Commission a décidé de prendre les principales mesures suivantes dès 2013 :
- lancer un projet pilote consacré à la lutte contre les réseaux zombies et les logiciels malveillants, afin de fournir un cadre de coordination et de coopération entre les États membres, les organismes du secteur privé (FAI notamment) et les partenaires internationaux ;
- renforcer les moyens opérationnels des Etats membres pour combattre la cybercriminalité, en les aidant, par le biais de programmes de financement, d’une part à recenser leurs insuffisances et renforcer leurs moyens d'enquête et de lutte, d’autre part à recenser les meilleures pratiques et techniques disponibles pour lutter contre la cybercriminalité ;
- promouvoir un marché unique des produits de cybersécurité. Pour ce faire, la Commission souhaite lancer une plateforme public-privé sur les solutions de SRI, afin d'élaborer des mesures favorisant l'adoption de solutions TIC sûres en Europe ;
- développer les investissements dans la R&D et l'innovation, en instaurant notamment des mécanismes pour mieux coordonner les agendas de recherche des institutions de l'Union européenne et des États membres et inciter ces derniers, et leurs entreprises et industries, à investir davantage dans la R&D.
Enfin, la stratégie commune de l’UE prévoit de développer une politique et des moyens de cyberdéfense. La sécurité nationale de chaque pays pouvant directement être attaquée via les réseaux informatiques, le développement d’une politique de cyberdéfense coordonnée est indispensable. Elle aura notamment pour objectifs de promouvoir le dialogue entre les acteurs civils et militaires dans l’UE, en mettant l'accent sur l'échange de bonnes pratiques et le partage d'informations, et de permettre aux militaires de se former et de s'exercer à la cyberdéfense dans le contexte européen et international.
En France, la question de la cyberdéfense a fait l’objet d’un rapport publié en juillet 2012 par le sénateur Jean-Marie Bockel, et sera traitée dans le prochain Livre blanc sur la défense et la sécurité nationale.
2. Les objectifs à atteindre par les États membres
Les institutions européennes, à travers une stratégie globale et une proposition de directive, souhaitent que les États membres déploient un niveau élevé de sécurité des réseaux et des systèmes informatiques sur leur territoire. Pour ce faire, chaque État membre doit notamment remplir les objectifs suivants :
2.1 La sensibilisation des utilisateurs finaux aux risques numériques
La Commission demande aux Etats membres, d’une part, d’organiser tous les ans, à partir de 2013, un mois de la cybersécurité, avec l'aide de l'ENISA (l'Agence Européenne chargée de la sécurité des réseaux et de l'information) et la participation du secteur privé, et, d’autre part, d’intensifier les efforts consacrés à l'éducation et la formation à la SRI au niveau national, en prévoyant des formations en milieu scolaire, dans le cursus des étudiants en informatique et pour le personnel des administrations publiques.
2.2 L’adoption d’une stratégie nationale en matière de SRI
La proposition de directive imposerait aux Etats membres d’adopter une stratégie nationale comportant un plan national de coopération. La stratégie nationale devra déterminer les objectifs stratégiques et les mesures politiques et réglementaires visant à parvenir à un niveau élevé de sécurité des SRI et à le maintenir. Le texte européen donne cependant peu d’informations quant au contenu exact de cette stratégie et de ce plan.
2.3 La désignation d’une autorité nationale et d’une équipe d’intervention compétentes en matière de sécurité des SRI
Chaque Etat membre devra constituer une équipe d'intervention en cas d'urgence informatique (CERT), chargée de la gestion des incidents et des risques. Les missions exactes de cette équipe seront fixées par chaque Etat membre.
En outre, chaque Etat membre devra désigner une autorité compétente ayant pour mission de contrôler l'application de la directive au niveau national. Cette autorité recevra les notifications d'incidents des administrations publiques et des entreprises, et pourra informer le public lorsqu'elle jugera qu'il est dans l'intérêt général de divulguer des informations relatives à un incident particulier.
Cette autorité compétente pourra enquêter et donner des instructions contraignantes aux administrations et entreprises ne respectant pas leurs obligations de sécurité. En outre, cette autorité notifiera aux services répressifs les incidents susceptibles de constituer une infraction pénale grave et coopèrera avec les autorités chargées de la protection des données personnelles en cas d'incident portant atteinte à de telles données.
A noter que la France s’est déjà dotée d’une autorité compétente, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), depuis 2009.
3. Les obligations incombant aux entreprises et aux administrations publiques
La politique européenne de sécurité des SRI vise à faire en sorte que les administrations publiques et les entreprises, appartenant à des secteurs d’activité stratégiques, évaluent les risques qu'ils courent en termes de cybersécurité, assurent la fiabilité et la résilience des réseaux et systèmes informatiques par une gestion appropriée des risques et partagent les informations recensées avec les autorités nationales compétentes en matière de SRI.
3.1 Les recommandations de la Commission européenne
Dans le cadre du déploiement de sa stratégie, la Commission invite notamment les entreprises européennes à :
- investir dans un niveau élevé de cybersécurité, élaborer de “bonnes pratiques” via des chartes ou codes de conduite par exemple, et développer le partage d'informations relatives à la sécurité avec les pouvoirs publics, en vue d'assurer une protection solide et efficace des biens et des personnes, notamment par des partenariats public-privé ;
- sensibiliser salariés et clients à la cybersécurité. En particulier, les entreprises doivent réfléchir à la façon de sensibiliser leurs dirigeants à leurs responsabilités en matière de cybersécurité. La Commission ne donne pas plus de détails quant aux mesures de sensibilisation devant être menées au sein des entreprises. Ces mesures devraient logiquement être déployées par le biais de plans internes de formation à la sécurité informatique ou de mise en oeuvre de chartes informatiques adaptées aux outils mis à disposition des salariés, ou encore par l'organisation régulière de conférences participatives, de campagnes de e-learning, ou de serious games par exemple ;
- promouvoir un marché unique des outils de cybersécurité, en favorisant l'élaboration et l'adoption de normes de sécurité et de normes techniques. En outre, les entreprises devront mettre en oeuvre des procédures intégrant la sécurité et le respect de la vie privée dès la conception de nouveaux produits et services TIC. Cette disposition, applicable à la vie privée, figure par ailleurs dans le projet de règlement sur la protection de la vie privée, actuellement en cours de discussion.
3.2 Les exigences figurant à la proposition de directive
La proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, a été publiée le 7 février 2013. Cette proposition de directive fixe plusieurs types d’obligations en matière de sécurité des réseaux.
Les administrations publiques et les entreprises devront prendre des mesures techniques et organisationnelles nécessaires pour éviter les incidents et gérer les risques qui menacent la sécurité des réseaux et des systèmes informatiques qu'elles contrôlent et utilisent dans le cadre de leurs activités. Ces mesures doivent garantir non seulement un niveau de sécurité adapté au risque existant, mais également la continuité des services qui dépendent de ces réseaux et systèmes.
En outre, les administrations publiques et les entreprises devront notifier à l'autorité compétente les incidents (perte, vol, piratage de données, etc.) qui ont un impact significatif sur la sécurité des services qu'elles fournissent. L'autorité compétente pourra demander aux administrations publiques et aux entreprises d’informer le public, lorsqu'elle juge qu'il est dans l'intérêt général de divulguer les informations relatives à l'incident.
Selon la proposition de directive, les entreprises concernées par ces obligations de sécurité seront :
(i) les “prestataires de services de la société de l'information qui permettent la fourniture d'autres services de la société de l'information”, tels les plateformes de commerce électronique, les services de paiement par internet, les réseaux sociaux, les moteurs de recherche, etc. ;
(ii) les opérateurs d'importance vitale dans le domaine de l'énergie, des transports, des services bancaires, des infrastructures de marchés financiers et de la santé.
Enfin, seuls seront concernés par ces obligations, les prestataires et opérateurs dont l'effectif est supérieur à 10 personnes et dont le chiffre d'affaires annuel excède deux millions d'euros.
Cette proposition de directive devrait, selon l’avancée des débats, être définitivement adoptée d’ici 2014. Le texte définitif devra ensuite faire l’objet d’une transposition dans les droits nationaux dans les 18 mois suivant l’adoption de la directive, soit entre fin 2015 et mi-2016.
Le déploiement d’un tel plan de lutte multinationale contre la cybercriminalité est de toute évidence nécessaire. En effet, les réseaux n’ayant pas de frontières, une approche commune en matière de lutte contre la cybercriminalité - pour autant que cette approche soit cohérente et réaliste - semble la meilleure réponse aux attaques. Dans ce sens, le plan proposé par les instances de l’Union est ambitieux, a fortiori en période de difficultés économiques, alors que les budgets de l’Union européenne et des pays membres font l’objet de restrictions. On peut donc légitimement se demander où états et entreprises trouveront les fonds nécessaires pour mettre en oeuvre cette politique.
* * * * * * * * * * * *
(1) Pour mémoire, la loi Godfrain, relative à la fraude informatique date du 5 janvier 1988. Cette loi dispose notamment que : “Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende.
Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45000 euros d'amende.” (loi codifiée aux articles 323-1 et suivants du code pénal)
(2) Voir l'article "Cyberattaques : des milliers de clients d'EDF cibles de mails frauduleux.", publié sur www.latribune.fr, le 31 janvier 2013 et l'article "Kaspersky Lab identifie l'opération "Red October", une campagne évoluée de cyberespionnage ciblant les représentations diplomatiques et les administrations à travers le monde", publié sur www.kaspersky.com, rubrique "Actualités", le 14 janvier 2013.
(3) Voir le communiqué de presse de la Commission européenne du 9 janvier 2013. Le Centre européen de lutte contre la cybercriminalité (EC3) a été créé en janvier 2013. L'EC3 fournira des analyses et des informations, contribuera aux enquêtes, apportera des moyens criminalistiques de haut niveau, facilitera la coopération, créera des filières de partage des informations entre les autorités compétentes dans les États membres, le secteur privé et d'autres parties prenantes, et endossera progressivement le rôle de porte-parole des professionnels du maintien de l'ordre.
(4) Communication conjointe au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions. Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, Bruxelles, le 7.2.2013 COM(2013) 48 final 2013/0027 (COD).
Bénédicte DELEPORTE
Betty SFEZ
Avocats
Deleporte Wentz Avocat
www.dwavocat.com
Mars 2013
Par exemple, dernièrement les médias ont rapporté deux types d’attaques de natures différentes, la première via une campagne de phishing, avait ciblé plusieurs milliers de clients EDF qui avaient reçu des emails frauduleux visant à extorquer leurs coordonnées bancaires, la seconde, active depuis plusieurs années, qui avait consisté en une attaque de cyberespionnage à grande échelle, dénommée "Red October", touchant des représentations diplomatiques, administrations, organismes de recherche scientifique, groupes énergétiques et nucléaires dans plusieurs pays. (2)
Face à l’accroissement du nombre d’attaques informatiques, à leur diversification, ainsi qu’à la professionnalisation toujours plus grande des pirates informatiques, l’Union européenne a finalement pris la décision de poser les contours d’un cadre commun à tous les Etats membres en matière de sécurité des réseaux numériques, de lutte contre la criminalité en ligne et de protection des consommateurs.
Aussi, après avoir créé un Centre européen de lutte contre la cybercriminalité en janvier 2013 (3), les institutions européennes ont publié, le 7 février dernier, une stratégie commune de cybersécurité ainsi qu’une proposition de directive instaurant des mesures visant à assurer un niveau élevé commun de sécurité des réseaux et de l’information (SRI). (4) Ces deux textes fixent les mesures proposées par la Commission européenne, les objectifs à atteindre par les Etats membres et les obligations qui viendront peser sur les entreprises et administrations publiques. Nous analysons ci-après les principales mesures proposées.
1. Les mesures proposées par la Commission européenne en matière de cybersécurité
La stratégie de la Commission en matière de cybersécurité est ambitieuse. Elle repose sur cinq axes : (i) parvenir à la cyber-résilience, (ii) faire reculer considérablement la cybercriminalité, (iii) développer une politique et des moyens de cyberdéfense liée à la politique de sécurité et de défense commune (PSDC), (iv) développer les ressources industrielles et technologiques en matière de cybersécurité, et enfin (v) instaurer une politique internationale de l'Union européenne cohérente en matière de protection du cyberespace.
A cette fin, la Commission a décidé de prendre les principales mesures suivantes dès 2013 :
- lancer un projet pilote consacré à la lutte contre les réseaux zombies et les logiciels malveillants, afin de fournir un cadre de coordination et de coopération entre les États membres, les organismes du secteur privé (FAI notamment) et les partenaires internationaux ;
- renforcer les moyens opérationnels des Etats membres pour combattre la cybercriminalité, en les aidant, par le biais de programmes de financement, d’une part à recenser leurs insuffisances et renforcer leurs moyens d'enquête et de lutte, d’autre part à recenser les meilleures pratiques et techniques disponibles pour lutter contre la cybercriminalité ;
- promouvoir un marché unique des produits de cybersécurité. Pour ce faire, la Commission souhaite lancer une plateforme public-privé sur les solutions de SRI, afin d'élaborer des mesures favorisant l'adoption de solutions TIC sûres en Europe ;
- développer les investissements dans la R&D et l'innovation, en instaurant notamment des mécanismes pour mieux coordonner les agendas de recherche des institutions de l'Union européenne et des États membres et inciter ces derniers, et leurs entreprises et industries, à investir davantage dans la R&D.
Enfin, la stratégie commune de l’UE prévoit de développer une politique et des moyens de cyberdéfense. La sécurité nationale de chaque pays pouvant directement être attaquée via les réseaux informatiques, le développement d’une politique de cyberdéfense coordonnée est indispensable. Elle aura notamment pour objectifs de promouvoir le dialogue entre les acteurs civils et militaires dans l’UE, en mettant l'accent sur l'échange de bonnes pratiques et le partage d'informations, et de permettre aux militaires de se former et de s'exercer à la cyberdéfense dans le contexte européen et international.
En France, la question de la cyberdéfense a fait l’objet d’un rapport publié en juillet 2012 par le sénateur Jean-Marie Bockel, et sera traitée dans le prochain Livre blanc sur la défense et la sécurité nationale.
2. Les objectifs à atteindre par les États membres
Les institutions européennes, à travers une stratégie globale et une proposition de directive, souhaitent que les États membres déploient un niveau élevé de sécurité des réseaux et des systèmes informatiques sur leur territoire. Pour ce faire, chaque État membre doit notamment remplir les objectifs suivants :
2.1 La sensibilisation des utilisateurs finaux aux risques numériques
La Commission demande aux Etats membres, d’une part, d’organiser tous les ans, à partir de 2013, un mois de la cybersécurité, avec l'aide de l'ENISA (l'Agence Européenne chargée de la sécurité des réseaux et de l'information) et la participation du secteur privé, et, d’autre part, d’intensifier les efforts consacrés à l'éducation et la formation à la SRI au niveau national, en prévoyant des formations en milieu scolaire, dans le cursus des étudiants en informatique et pour le personnel des administrations publiques.
2.2 L’adoption d’une stratégie nationale en matière de SRI
La proposition de directive imposerait aux Etats membres d’adopter une stratégie nationale comportant un plan national de coopération. La stratégie nationale devra déterminer les objectifs stratégiques et les mesures politiques et réglementaires visant à parvenir à un niveau élevé de sécurité des SRI et à le maintenir. Le texte européen donne cependant peu d’informations quant au contenu exact de cette stratégie et de ce plan.
2.3 La désignation d’une autorité nationale et d’une équipe d’intervention compétentes en matière de sécurité des SRI
Chaque Etat membre devra constituer une équipe d'intervention en cas d'urgence informatique (CERT), chargée de la gestion des incidents et des risques. Les missions exactes de cette équipe seront fixées par chaque Etat membre.
En outre, chaque Etat membre devra désigner une autorité compétente ayant pour mission de contrôler l'application de la directive au niveau national. Cette autorité recevra les notifications d'incidents des administrations publiques et des entreprises, et pourra informer le public lorsqu'elle jugera qu'il est dans l'intérêt général de divulguer des informations relatives à un incident particulier.
Cette autorité compétente pourra enquêter et donner des instructions contraignantes aux administrations et entreprises ne respectant pas leurs obligations de sécurité. En outre, cette autorité notifiera aux services répressifs les incidents susceptibles de constituer une infraction pénale grave et coopèrera avec les autorités chargées de la protection des données personnelles en cas d'incident portant atteinte à de telles données.
A noter que la France s’est déjà dotée d’une autorité compétente, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), depuis 2009.
3. Les obligations incombant aux entreprises et aux administrations publiques
La politique européenne de sécurité des SRI vise à faire en sorte que les administrations publiques et les entreprises, appartenant à des secteurs d’activité stratégiques, évaluent les risques qu'ils courent en termes de cybersécurité, assurent la fiabilité et la résilience des réseaux et systèmes informatiques par une gestion appropriée des risques et partagent les informations recensées avec les autorités nationales compétentes en matière de SRI.
3.1 Les recommandations de la Commission européenne
Dans le cadre du déploiement de sa stratégie, la Commission invite notamment les entreprises européennes à :
- investir dans un niveau élevé de cybersécurité, élaborer de “bonnes pratiques” via des chartes ou codes de conduite par exemple, et développer le partage d'informations relatives à la sécurité avec les pouvoirs publics, en vue d'assurer une protection solide et efficace des biens et des personnes, notamment par des partenariats public-privé ;
- sensibiliser salariés et clients à la cybersécurité. En particulier, les entreprises doivent réfléchir à la façon de sensibiliser leurs dirigeants à leurs responsabilités en matière de cybersécurité. La Commission ne donne pas plus de détails quant aux mesures de sensibilisation devant être menées au sein des entreprises. Ces mesures devraient logiquement être déployées par le biais de plans internes de formation à la sécurité informatique ou de mise en oeuvre de chartes informatiques adaptées aux outils mis à disposition des salariés, ou encore par l'organisation régulière de conférences participatives, de campagnes de e-learning, ou de serious games par exemple ;
- promouvoir un marché unique des outils de cybersécurité, en favorisant l'élaboration et l'adoption de normes de sécurité et de normes techniques. En outre, les entreprises devront mettre en oeuvre des procédures intégrant la sécurité et le respect de la vie privée dès la conception de nouveaux produits et services TIC. Cette disposition, applicable à la vie privée, figure par ailleurs dans le projet de règlement sur la protection de la vie privée, actuellement en cours de discussion.
3.2 Les exigences figurant à la proposition de directive
La proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, a été publiée le 7 février 2013. Cette proposition de directive fixe plusieurs types d’obligations en matière de sécurité des réseaux.
Les administrations publiques et les entreprises devront prendre des mesures techniques et organisationnelles nécessaires pour éviter les incidents et gérer les risques qui menacent la sécurité des réseaux et des systèmes informatiques qu'elles contrôlent et utilisent dans le cadre de leurs activités. Ces mesures doivent garantir non seulement un niveau de sécurité adapté au risque existant, mais également la continuité des services qui dépendent de ces réseaux et systèmes.
En outre, les administrations publiques et les entreprises devront notifier à l'autorité compétente les incidents (perte, vol, piratage de données, etc.) qui ont un impact significatif sur la sécurité des services qu'elles fournissent. L'autorité compétente pourra demander aux administrations publiques et aux entreprises d’informer le public, lorsqu'elle juge qu'il est dans l'intérêt général de divulguer les informations relatives à l'incident.
Selon la proposition de directive, les entreprises concernées par ces obligations de sécurité seront :
(i) les “prestataires de services de la société de l'information qui permettent la fourniture d'autres services de la société de l'information”, tels les plateformes de commerce électronique, les services de paiement par internet, les réseaux sociaux, les moteurs de recherche, etc. ;
(ii) les opérateurs d'importance vitale dans le domaine de l'énergie, des transports, des services bancaires, des infrastructures de marchés financiers et de la santé.
Enfin, seuls seront concernés par ces obligations, les prestataires et opérateurs dont l'effectif est supérieur à 10 personnes et dont le chiffre d'affaires annuel excède deux millions d'euros.
Cette proposition de directive devrait, selon l’avancée des débats, être définitivement adoptée d’ici 2014. Le texte définitif devra ensuite faire l’objet d’une transposition dans les droits nationaux dans les 18 mois suivant l’adoption de la directive, soit entre fin 2015 et mi-2016.
Le déploiement d’un tel plan de lutte multinationale contre la cybercriminalité est de toute évidence nécessaire. En effet, les réseaux n’ayant pas de frontières, une approche commune en matière de lutte contre la cybercriminalité - pour autant que cette approche soit cohérente et réaliste - semble la meilleure réponse aux attaques. Dans ce sens, le plan proposé par les instances de l’Union est ambitieux, a fortiori en période de difficultés économiques, alors que les budgets de l’Union européenne et des pays membres font l’objet de restrictions. On peut donc légitimement se demander où états et entreprises trouveront les fonds nécessaires pour mettre en oeuvre cette politique.
* * * * * * * * * * * *
(1) Pour mémoire, la loi Godfrain, relative à la fraude informatique date du 5 janvier 1988. Cette loi dispose notamment que : “Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende.
Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45000 euros d'amende.” (loi codifiée aux articles 323-1 et suivants du code pénal)
(2) Voir l'article "Cyberattaques : des milliers de clients d'EDF cibles de mails frauduleux.", publié sur www.latribune.fr, le 31 janvier 2013 et l'article "Kaspersky Lab identifie l'opération "Red October", une campagne évoluée de cyberespionnage ciblant les représentations diplomatiques et les administrations à travers le monde", publié sur www.kaspersky.com, rubrique "Actualités", le 14 janvier 2013.
(3) Voir le communiqué de presse de la Commission européenne du 9 janvier 2013. Le Centre européen de lutte contre la cybercriminalité (EC3) a été créé en janvier 2013. L'EC3 fournira des analyses et des informations, contribuera aux enquêtes, apportera des moyens criminalistiques de haut niveau, facilitera la coopération, créera des filières de partage des informations entre les autorités compétentes dans les États membres, le secteur privé et d'autres parties prenantes, et endossera progressivement le rôle de porte-parole des professionnels du maintien de l'ordre.
(4) Communication conjointe au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions. Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, Bruxelles, le 7.2.2013 COM(2013) 48 final 2013/0027 (COD).
Bénédicte DELEPORTE
Betty SFEZ
Avocats
Deleporte Wentz Avocat
www.dwavocat.com
Mars 2013
samedi 9 février 2013
La directive DME2 relative aux établissements de monnaie électronique enfin transposée en droit français
La France vient de transposer la Directive européenne du 16 septembre 2009 relative au statut des établissements de monnaie électronique (dite "DME2") avec la loi du 28 janvier 2013. Cette loi a créé un nouveau cadre légal relatif à l'accès et à l’exercice de l'activité d'établissement de monnaie électronique ("EME"). Un EME est une personne morale, autre qu'un établissement de crédit, émettant et gérant à titre de profession habituelle de la monnaie électronique. (1)
Jusqu'à présent, en France, les services de monnaie électronique ne pouvaient être proposés que par des banques ou des établissements de crédit. Ainsi, les entreprises françaises souhaitant proposer ces services devaient nécessairement obtenir un agrément en tant qu'établissement de crédit, nécessitant une mise en conformité avec un régime très strict. La transposition de la Directive DME2 en droit français, permettant un assouplissement de ce régime, était donc attendue par les entrepreneurs n’appartenant pas au domaine bancaire qui souhaitent se lancer dans l’activité de fourniture de service de monnaie électronique.
Les nouvelles dispositions légales, codifiées en partie dans le Code monétaire et financier, concernent d’une part, les conditions d’accès à l’activité d’EME et d’autre part, les conditions d’exercice de cette activité. (2) Le non respect de ces conditions est sévèrement sanctionné.
1. Les conditions d'accès à l'activité d’établissement de monnaie électronique
Afin de pouvoir émettre et gérer de la monnaie électronique à titre de profession habituelle, il est nécessaire de remplir les conditions suivantes :
1.1 L’agrément de l’ACP
Préalablement à l’émission et à la gestion de monnaie électronique, les EME doivent obtenir un agrément délivré par l’Autorité de contrôle prudentiel ("ACP"), après avis de la Banque de France.
Pour délivrer l’agrément, l’ACP s’assure de l’aptitude de l’entreprise requérante à garantir une gestion saine et prudente de l’établissement. Ainsi, l'ACP vérifie que l'EME dispose d'un solide dispositif de gouvernement d'entreprise, comprenant notamment une structure organisationnelle claire avec un partage des responsabilités bien défini, transparent et cohérent. En outre, l'ACP apprécie la qualité des actionnaires ou associés qui détiennent une participation qualifiée. Elle vérifie ainsi que l'EME est dirigé effectivement par deux personnes au moins possédant l'honorabilité ainsi que la compétence et l'expérience nécessaires à leur fonction et requises pour les activités d'émission et de gestion de monnaie électronique.
L'établissement doit satisfaire à tout moment aux conditions de son agrément. Toute modification de ces conditions ayant une incidence sur l'exactitude des informations fournies au moment de la demande doit faire l'objet d'une déclaration auprès de l'ACP.
Le retrait de l'agrément de l'EME peut être décidé d'office par l'ACP lorsque l'établissement (i) ne fait pas usage de l'agrément dans un délai de 12 mois ou a cessé d'exercer son activité pendant une période supérieure à 6 mois, (ii) a obtenu l'agrément au moyen de fausses déclarations ou par tout autre moyen irrégulier, ou (iii) ne remplit plus les conditions auxquelles est subordonné son agrément.
1.2 Un capital social minimum obligatoire
Pour délivrer l’agrément, l’ACP vérifie si l’établissement candidat dispose, au moment de la délivrance de l’agrément, d’un capital libéré d’un montant au moins égal à un montant qui sera fixé par voie réglementaire. La Directive DME2 prévoit un seuil minimal de 350.000€.
2. Les conditions d'exercice de l'activité d’établissement de monnaie électronique
L'exercice de l'activité d'EME est soumis aux conditions suivantes :
2.1 Des dispositions prudentielles particulières
- Le respect de normes de gestion strictes : les EME sont tenus de respecter des normes de gestion destinées à garantir leur solvabilité ainsi que l’équilibre de leur structure financière. Ils disposent également d’un dispositif approprié de contrôle interne, permettant notamment de mesurer les risques et la rentabilité de leurs activités. Enfin, les EME doivent respecter un niveau de fonds propres adéquat. Comme pour le capital initial, le montant minimum des fonds propres et les modalités de calcul y afférentes seront fixées par voie réglementaire.
- Les conditions de l’externalisation de fonctions opérationnelles : les EME qui souhaitent externaliser une partie de leurs "fonctions opérationnelles" doivent en informer l'ACP. Cette externalisation ne doit pas être faite d'une manière qui nuise à la qualité du contrôle interne de l'établissement ou qui empêche l'ACP de contrôler que cet établissement respecte les obligations qui lui incombent. Les conditions d'application précises de ces nouvelles dispositions seront fixées par voie d'arrêté.
2.2 Des règles spécifiques en matière de secret professionnel et de comptabilité
- Le secret professionnel : toute personne au sein d'un EME (membre du conseil d'administration ou de surveillance, membre de la direction ou employé) est tenu au secret professionnel.
Toutefois, ce secret peut être levé dans deux cas. Les EME peuvent communiquer des informations couvertes par le secret professionnel (i) au cas par cas, lorsque les personnes concernées ont donné leur consentement exprès, et (ii) aux personnes avec lesquelles ils négocient, concluent ou exécutent certaines opérations, dès lors que ces informations sont nécessaires à celles-ci (par exemple, en cas de prises de participation ou de contrôle dans un EME, de cessions d'actifs ou de fonds de commerce ou de cessions ou transferts de contrats).
- Les règles de tenue de la comptabilité et de contrôle légal des comptes : les EME sont soumis à plusieurs obligations d'ordre comptable concernant l'édition des inventaires, comptes et rapports de gestion, la publication des comptes annuels, la désignation ou la convocation d'un commissaires aux comptes, etc. L'ACP s'assure que les publications de comptes annuels sont régulièrement effectuées et peut ordonner à l'établissement de procéder à des publications rectificatives, en cas d'inexactitudes ou d'omissions relevées dans les documents publiés.
2.3 Les activités autorisées
En sus de l’émission, la gestion et la mise à disposition de monnaie électronique, les EME peuvent :
- (i) fournir des services de paiement,
- (ii) fournir des services connexes à la prestation de services de paiement ou étroitement liés à l’émission et la gestion de monnaie électronique (par exemple, des services de change et de garde, l’enregistrement et le traitement des données), et
- (iii) exercer une activité commerciale autre que les activités mentionnées ci-dessus. Toutefois, ces activités commerciales ne doivent pas être incompatibles avec les exigences de la profession, notamment le maintien de la réputation de l’établissement, de la primauté des intérêts des clients et du jeu de la concurrence sur le marché considéré.
Les modalités selon lesquelles les EME exercent, à titre de profession habituelle, une activité autre que l'émission et la gestion de monnaie électronique seront fixées par voie d'arrêté.
2.4 La protection du consommateur
La loi prévoit des obligations contractuelles particulières relatives à l’information préalable du consommateur. Les conditions contractuelles doivent être communiquées dans des termes clairs et aisément compréhensibles au client détenteur de monnaie électronique, avant tout contrat ou offre liant les parties.
La monnaie électronique est remboursée par l'établissement émetteur au détenteur de monnaie électronique qui en fait la demande. Le remboursement des unités de monnaie électronique doit être effectué sans frais pour le détenteur, sauf exceptions. Dans ce cas, le contrat doit préciser les conditions, le montant, la nature et le détail de calcul de ces frais.
2.5 Un régime allégé pour les petits EME
La loi prévoit un régime allégé pour les petits EME. Ces établissements pourront être exemptés de l'essentiel du dispositif prudentiel, si leurs activités commerciales dans leur ensemble génèrent une moyenne de la monnaie électronique en circulation inférieure à un montant qui sera fixé par décret. La directive DME2 prévoit un plafond maximal de 5 millions d'euros.
3. Les sanctions applicables en cas d’infraction à la loi
La loi prévoit plusieurs sanctions en cas d’infraction à la loi par l’établissement ou ses dirigeants.
- Les sanctions applicables à l’établissement : sont notamment punis de 3 ans d'emprisonnement et 375.000€ d'amende (1.875.000€ pour les personnes morales), toute personne ou entreprise, autre que les EME (i) émettant et gérant de la monnaie électronique à titre de profession habituelle, ou (ii) utilisant une dénomination, une raison sociale, une publicité ou, d’une façon générale, des expressions faisant croire qu’elle est agréée en tant qu’établissement de monnaie électronique.
Ces peines principales peuvent être accompagnées de peines complémentaires telles que l'interdiction d'exercer l'activité professionnelle dans l'exercice ou à l'occasion de laquelle l'infraction a été commise, ou la fermeture des établissements de l’entreprise ayant servi à commettre les faits incriminés, pour une durée de 5 ans au plus.
- Les sanctions propres aux dirigeants d'EME : le dirigeant d'un établissement peut être condamné à des peines allant jusqu'à 5 ans d'emprisonnement et 75.000 € d'amende, dans les cas suivants :
- défaut de réponse, après mise en demeure, aux demandes d'informations de l'ACP ; obstacle à l'exercice par l'ACP de sa mission de contrôle ou communication de renseignements inexacts ;
- édition et publication des inventaires, comptes annuels et rapports de gestion, ne respectant pas les conditions prévues par la loi ;
- défaut de désignation ou convocation des commissaires aux comptes dans les cas prévus par la loi ; obstacle aux vérifications ou contrôles des commissaires aux comptes ou refus de communication des pièces utiles à l'exercice de leur mission.
Jusqu'à présent, en France, les services de monnaie électronique ne pouvaient être proposés que par des banques ou des établissements de crédit. Ainsi, les entreprises françaises souhaitant proposer ces services devaient nécessairement obtenir un agrément en tant qu'établissement de crédit, nécessitant une mise en conformité avec un régime très strict. La transposition de la Directive DME2 en droit français, permettant un assouplissement de ce régime, était donc attendue par les entrepreneurs n’appartenant pas au domaine bancaire qui souhaitent se lancer dans l’activité de fourniture de service de monnaie électronique.
Les nouvelles dispositions légales, codifiées en partie dans le Code monétaire et financier, concernent d’une part, les conditions d’accès à l’activité d’EME et d’autre part, les conditions d’exercice de cette activité. (2) Le non respect de ces conditions est sévèrement sanctionné.
1. Les conditions d'accès à l'activité d’établissement de monnaie électronique
Afin de pouvoir émettre et gérer de la monnaie électronique à titre de profession habituelle, il est nécessaire de remplir les conditions suivantes :
1.1 L’agrément de l’ACP
Préalablement à l’émission et à la gestion de monnaie électronique, les EME doivent obtenir un agrément délivré par l’Autorité de contrôle prudentiel ("ACP"), après avis de la Banque de France.
Pour délivrer l’agrément, l’ACP s’assure de l’aptitude de l’entreprise requérante à garantir une gestion saine et prudente de l’établissement. Ainsi, l'ACP vérifie que l'EME dispose d'un solide dispositif de gouvernement d'entreprise, comprenant notamment une structure organisationnelle claire avec un partage des responsabilités bien défini, transparent et cohérent. En outre, l'ACP apprécie la qualité des actionnaires ou associés qui détiennent une participation qualifiée. Elle vérifie ainsi que l'EME est dirigé effectivement par deux personnes au moins possédant l'honorabilité ainsi que la compétence et l'expérience nécessaires à leur fonction et requises pour les activités d'émission et de gestion de monnaie électronique.
L'établissement doit satisfaire à tout moment aux conditions de son agrément. Toute modification de ces conditions ayant une incidence sur l'exactitude des informations fournies au moment de la demande doit faire l'objet d'une déclaration auprès de l'ACP.
Le retrait de l'agrément de l'EME peut être décidé d'office par l'ACP lorsque l'établissement (i) ne fait pas usage de l'agrément dans un délai de 12 mois ou a cessé d'exercer son activité pendant une période supérieure à 6 mois, (ii) a obtenu l'agrément au moyen de fausses déclarations ou par tout autre moyen irrégulier, ou (iii) ne remplit plus les conditions auxquelles est subordonné son agrément.
1.2 Un capital social minimum obligatoire
Pour délivrer l’agrément, l’ACP vérifie si l’établissement candidat dispose, au moment de la délivrance de l’agrément, d’un capital libéré d’un montant au moins égal à un montant qui sera fixé par voie réglementaire. La Directive DME2 prévoit un seuil minimal de 350.000€.
2. Les conditions d'exercice de l'activité d’établissement de monnaie électronique
L'exercice de l'activité d'EME est soumis aux conditions suivantes :
2.1 Des dispositions prudentielles particulières
- Le respect de normes de gestion strictes : les EME sont tenus de respecter des normes de gestion destinées à garantir leur solvabilité ainsi que l’équilibre de leur structure financière. Ils disposent également d’un dispositif approprié de contrôle interne, permettant notamment de mesurer les risques et la rentabilité de leurs activités. Enfin, les EME doivent respecter un niveau de fonds propres adéquat. Comme pour le capital initial, le montant minimum des fonds propres et les modalités de calcul y afférentes seront fixées par voie réglementaire.
- Les conditions de l’externalisation de fonctions opérationnelles : les EME qui souhaitent externaliser une partie de leurs "fonctions opérationnelles" doivent en informer l'ACP. Cette externalisation ne doit pas être faite d'une manière qui nuise à la qualité du contrôle interne de l'établissement ou qui empêche l'ACP de contrôler que cet établissement respecte les obligations qui lui incombent. Les conditions d'application précises de ces nouvelles dispositions seront fixées par voie d'arrêté.
2.2 Des règles spécifiques en matière de secret professionnel et de comptabilité
- Le secret professionnel : toute personne au sein d'un EME (membre du conseil d'administration ou de surveillance, membre de la direction ou employé) est tenu au secret professionnel.
Toutefois, ce secret peut être levé dans deux cas. Les EME peuvent communiquer des informations couvertes par le secret professionnel (i) au cas par cas, lorsque les personnes concernées ont donné leur consentement exprès, et (ii) aux personnes avec lesquelles ils négocient, concluent ou exécutent certaines opérations, dès lors que ces informations sont nécessaires à celles-ci (par exemple, en cas de prises de participation ou de contrôle dans un EME, de cessions d'actifs ou de fonds de commerce ou de cessions ou transferts de contrats).
- Les règles de tenue de la comptabilité et de contrôle légal des comptes : les EME sont soumis à plusieurs obligations d'ordre comptable concernant l'édition des inventaires, comptes et rapports de gestion, la publication des comptes annuels, la désignation ou la convocation d'un commissaires aux comptes, etc. L'ACP s'assure que les publications de comptes annuels sont régulièrement effectuées et peut ordonner à l'établissement de procéder à des publications rectificatives, en cas d'inexactitudes ou d'omissions relevées dans les documents publiés.
2.3 Les activités autorisées
En sus de l’émission, la gestion et la mise à disposition de monnaie électronique, les EME peuvent :
- (i) fournir des services de paiement,
- (ii) fournir des services connexes à la prestation de services de paiement ou étroitement liés à l’émission et la gestion de monnaie électronique (par exemple, des services de change et de garde, l’enregistrement et le traitement des données), et
- (iii) exercer une activité commerciale autre que les activités mentionnées ci-dessus. Toutefois, ces activités commerciales ne doivent pas être incompatibles avec les exigences de la profession, notamment le maintien de la réputation de l’établissement, de la primauté des intérêts des clients et du jeu de la concurrence sur le marché considéré.
Les modalités selon lesquelles les EME exercent, à titre de profession habituelle, une activité autre que l'émission et la gestion de monnaie électronique seront fixées par voie d'arrêté.
2.4 La protection du consommateur
La loi prévoit des obligations contractuelles particulières relatives à l’information préalable du consommateur. Les conditions contractuelles doivent être communiquées dans des termes clairs et aisément compréhensibles au client détenteur de monnaie électronique, avant tout contrat ou offre liant les parties.
La monnaie électronique est remboursée par l'établissement émetteur au détenteur de monnaie électronique qui en fait la demande. Le remboursement des unités de monnaie électronique doit être effectué sans frais pour le détenteur, sauf exceptions. Dans ce cas, le contrat doit préciser les conditions, le montant, la nature et le détail de calcul de ces frais.
2.5 Un régime allégé pour les petits EME
La loi prévoit un régime allégé pour les petits EME. Ces établissements pourront être exemptés de l'essentiel du dispositif prudentiel, si leurs activités commerciales dans leur ensemble génèrent une moyenne de la monnaie électronique en circulation inférieure à un montant qui sera fixé par décret. La directive DME2 prévoit un plafond maximal de 5 millions d'euros.
3. Les sanctions applicables en cas d’infraction à la loi
La loi prévoit plusieurs sanctions en cas d’infraction à la loi par l’établissement ou ses dirigeants.
- Les sanctions applicables à l’établissement : sont notamment punis de 3 ans d'emprisonnement et 375.000€ d'amende (1.875.000€ pour les personnes morales), toute personne ou entreprise, autre que les EME (i) émettant et gérant de la monnaie électronique à titre de profession habituelle, ou (ii) utilisant une dénomination, une raison sociale, une publicité ou, d’une façon générale, des expressions faisant croire qu’elle est agréée en tant qu’établissement de monnaie électronique.
Ces peines principales peuvent être accompagnées de peines complémentaires telles que l'interdiction d'exercer l'activité professionnelle dans l'exercice ou à l'occasion de laquelle l'infraction a été commise, ou la fermeture des établissements de l’entreprise ayant servi à commettre les faits incriminés, pour une durée de 5 ans au plus.
- Les sanctions propres aux dirigeants d'EME : le dirigeant d'un établissement peut être condamné à des peines allant jusqu'à 5 ans d'emprisonnement et 75.000 € d'amende, dans les cas suivants :
- défaut de réponse, après mise en demeure, aux demandes d'informations de l'ACP ; obstacle à l'exercice par l'ACP de sa mission de contrôle ou communication de renseignements inexacts ;
- édition et publication des inventaires, comptes annuels et rapports de gestion, ne respectant pas les conditions prévues par la loi ;
- défaut de désignation ou convocation des commissaires aux comptes dans les cas prévus par la loi ; obstacle aux vérifications ou contrôles des commissaires aux comptes ou refus de communication des pièces utiles à l'exercice de leur mission.
Avec la transposition de la DME2, la loi du 28 janvier 2013 crée un régime juridique autonome pour les établissements de monnaie électronique. Ce régime "simplifié" doit favoriser l'arrivée de nouveaux acteurs sur le marché de la monnaie électronique.
Les dispositions de la loi de 2013 s’appliquent aux établissements qui proposaient déjà ces services avant la transposition de la directive. Les contrats en cours de ces établissements devront être modifiés afin de se mettre en conformité avec les nouvelles règles applicables. Les clauses des contrats contraires à la loi sont considérées comme caduques. Les établissements émetteurs sont tenus de mettre les contrats les liant à leurs clients détenteurs de monnaie électronique, en conformité avec la nouvelle loi dans les 6 mois à compter de sa promulgation, soit au plus tard fin juillet 2013.
Les dispositions de la loi de 2013 s’appliquent aux établissements qui proposaient déjà ces services avant la transposition de la directive. Les contrats en cours de ces établissements devront être modifiés afin de se mettre en conformité avec les nouvelles règles applicables. Les clauses des contrats contraires à la loi sont considérées comme caduques. Les établissements émetteurs sont tenus de mettre les contrats les liant à leurs clients détenteurs de monnaie électronique, en conformité avec la nouvelle loi dans les 6 mois à compter de sa promulgation, soit au plus tard fin juillet 2013.
* * * * * * * * * *
(1) Directive 2009/110/CE du Parlement européen et du Conseil du 16 septembre 2009 concernant l’accès à l’activité des établissements de monnaie électronique et son exercice ainsi que la surveillance prudentielle de ces établissements, modifiant les directives 2005/60/CE et 2006/48/CE et abrogeant la directive 2000/46/CE (DME2) ; Loi n°2013-100 du 28 janvier 2013 portant diverses dispositions d'adaptation de la législation au droit de l'Union européenne en matière économique et financière.
(2) La loi du 28 janvier 2013 est codifiée au Code monétaire et financier. Voir notamment les articles L.133-29, L.315-1 et s., L.525-1 et s., L.526-1 et s., et L.572-13 et s. du Code monétaire et financier.
Betty SFEZ - Avocat
Deleporte Wentz Avocat
www.deleporte-wentz-avocat.com
Février 2012
mardi 29 janvier 2013
La prochaine réforme de la protection des données personnelles en Europe : vers un renforcement des droits des personnes et des obligations des entreprises
La directive européenne sur la protection des données personnelles date d’octobre 1995. Or, depuis 1995, les manières de collecter, utiliser, interconnecter, diffuser - en d’autres termes “traiter” - les données à caractère personnel, ont beaucoup évolué. Pour prendre en compte ces évolutions, notamment le développement des usages d’internet et des réseaux sociaux, mais également de toutes les technologies utilisant des données personnelles, la Commission européenne a publié le 25 janvier 2012, une proposition de règlement relatif à la protection des personnes relative au traitement de leurs données à caractère personnel. (1)
Ce règlement, une fois le texte définitif adopté, sera d’application immédiate et uniforme dans l’ensemble de l’Union européenne et viendra remplacer la directive de 1995 et les différentes lois nationales de protection des données personnelles. Ce texte devrait être adopté début 2014 et entrer en vigueur début 2016. Même si cette échéance peut paraître encore éloignée, et que certains aspects du règlement sont toujours en cours de discussion, il nous semble important d’en exposer les principaux aspects afin de permettre aux entreprises d’anticiper au mieux sa mise en oeuvre.
Il ne s’agit pas ici de faire une description exhaustive de la proposition de règlement mais de se focaliser sur les principales dispositions. Ainsi, les deux grands axes à retenir sont un renforcement des droits des personnes concernées sur leurs données, notamment en matière d’information préalable, de consentement, de droit d’opposition et de droit à l’oubli, et en parallèle, un renforcement des obligations des entreprises en matière de collecte et de traitement des données personnelles, avec des sanctions alourdies en cas de non-respect de la nouvelle règlementation.
1. Le renforcement des droits des personnes concernées sur leurs données
Les sources de collecte de données personnelles se sont démultipliées ces dernières années, d’une part avec des technologies et pratiques commerciales facilitant ces collectes (développement du e-commerce, du web 2.0, des smartphones et des applications mobiles, du cloud computing, des technologies et objets dits “intelligents”, etc.), d’autre part du fait de l’évolution des modes d’utilisation de ces technologies par les internautes (grâce aux achats en ligne, à l’utilisation des réseaux sociaux, des applications mobiles, des services de géolocalisation, entre autres). L’intensification de l’utilisation de nos données personnelles et l’absence de frontières physiques ont rendu les lois sur la protection des données personnelles quelque peu obsolètes, en témoignent les incessants allers-retours entre la Commission européenne et les principales sociétés du web (Google et Facebook par exemple), en matière de rappel au respect des principes de protection des données à caractère personnel.
La proposition de règlement européen apporte des modifications substantielles concernant les droits des personnes dont les données sont traitées, en allant vers un renforcement de ces droits.
1.1 Les règles de recueil du consentement des personnes
Les modalités de recueil du consentement par la personne concernée, au traitement de ses données personnelles, ont été précisées et vont dans le sens d’une plus grande maîtrise de principe de l’accord et de son retrait par la personne concernée.
Le texte européen définit le consentement comme toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne dont les données sont traitées (la “personne concernée”) accepte, par une déclaration ou par un acte positif univoque, que des données personnelles la concernant fassent l'objet d'un traitement.
Ainsi, lorsqu’il est requis, le consentement au traitement des données personnelles ne peut être tacite ou implicite. Il doit nécessairement répondre à une information préalable claire, précise et complète. La charge de la preuve de l’obtention du consentement de l’utilisateur incombera à l’entreprise qui traite ces données.
En outre, le consentement de la personne concernée, au traitement de ses données, n'est valable que si cette personne est effectivement en mesure de retirer son consentement à tout moment, et donc de s'opposer ultérieurement à la poursuite du traitement de ses données.
Les entreprises devront systématiquement s’assurer que les acheteurs de leurs produits ou les utilisateurs de leurs services ont accepté de façon effective la collecte et le traitement de leurs données.
Enfin, le règlement prévoit que “le consentement ne constitue pas un fondement juridique valable pour le traitement lorsqu'il existe un déséquilibre significatif entre la personne concernée et le responsable du traitement”. Il en irait ainsi lorsque la personne concernée se trouverait dans une situation de dépendance par rapport à l’entreprise et qu’elle ne serait pas en mesure de négocier ou de faire modifier les conditions contractuelles ; par exemple, les données personnelles concernant un salarié et traitées par son employeur dans le cadre de l’exécution du contrat de travail, ou les contrats d'adhésion entre des particuliers et des entreprises. Il sera intéressant de voir comment cette disposition sera interprétée, dans la mesure où la plupart des contrats conclus entre les consommateurs et les sociétés de services (téléphonie, assurances, banque, etc.) et tous les contrats conclus en ligne peuvent être qualifiés de contrats d’adhésion dans lesquels existe un “déséquilibre significatif” entre les parties.
1.2 Les droits des personnes concernées
Outre le renforcement des règles relatives au recueil du consentement des personnes, leurs droits sur la manière dont leurs données seront traitées ont été précisés.
- Le droit à l’oubli numérique : ce droit permet à toute personne de demander la suppression totale des données collectées par une entreprise, notamment lorsque ces collectes ont été réalisées alors que la personne concernée était mineure, ou lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées, ou encore lorsque le délai de conservation autorisé a expiré.
Dès lors, toute entreprise ayant collecté des données à caractère personnel devra les effacer, à la demande de la personne concernée, et en cesser toute diffusion. Par exemple, un internaute qui voudrait résilier son compte sur un réseau social devrait pouvoir obtenir de l’exploitant du site qu'il détruise toutes les données personnelles le concernant, sous réserve du droit applicable (droit du pays d’établissement de l’exploitant du site ou droit du pays de résidence de l’internaute - en l’occurrence, droit de l’UE).
La proposition de règlement prévoit également que l’entreprise doit d’une part, procéder à l'effacement des données sans délai, sauf motif légitime pour les conserver (pour respecter une obligation légale de conservation des données ou à des fins de recherche statistique et scientifique par exemple) et d’autre part, prendre toutes mesures utiles afin d'informer l'ensemble des tiers à qui elle a communiqué les données de la demande de la personne concernée.
- Le droit à la portabilité des données : ce droit offre la possibilité aux personnes concernées de se voir restituer leurs données personnelles dans un format électronique communément utilisé, permettant de les transférer à un autre fournisseur de service. Comme pour les numéros de téléphone, le principe de portabilité des données permet de faciliter le transfert des données personnelles vers de nouveaux prestataires, et de ne pas être tenu de rester indéfiniment chez le même prestataire quand bien même le niveau et/ou le prix des services serait devenu insatisfaisant.
- Le droit d’opposition au profilage : la proposition de règlement impose le principe du consentement préalable et le respect du droit d’opposition des personnes concernées aux actions de marketing direct et de profilage. Le “profilage” peut se définir comme toute forme de traitement de données personnelles destiné à évaluer certains aspects personnels propres à une personne physique ou à analyser ou prévoir ses habitudes de navigation sur le web, ses habitudes d’achat de biens et de services, voire sa productivité professionnelle, ou sa catégorie socio-professionnelle. Le texte européen exige que ces personnes soient dûment informées du traitement de leurs données à des fins de profilage et des effets escomptés de ce traitement.
2. Le renforcement des obligations applicables aux entreprises collectant des données personnelles
Face au renforcement des droits des personnes concernées, les obligations des sociétés collectant des données à caractère personnel ont également été renforcées par rapport à la situation actuelle, avec un alourdissement des sanctions pécuniaires en cas de violation des dispositions réglementaires.
2.1 L’obligation de déployer de nouvelles procédures internes de gouvernance
Les formalités déclaratives auprès de la CNIL seront simplifiées, et pour certaines catégories de traitements, supprimées.
En contrepartie, les entreprises devront déployer des procédures internes pour assurer le respect des principes de protection des données personnelles. Ces procédures, créant une véritable politique de gouvernance en matière de protection des données personnelles, comprendront : audits, registres, études d’impact, prise en compte de la protection des données dès la conception des nouveaux produits et services (mise en oeuvre des principes de “Privacy by design” ou de “Privacy by default”), codes de conduite, etc. (2)
Les entreprises devront adopter des règles internes contraignantes, tenir une documentation permettant de conserver la trace des traitements mis en oeuvre et de leurs caractéristiques, pouvoir rapporter la preuve de la mise en oeuvre de mesures de sécurité des données appropriées, mettre en œuvre des mécanismes pour vérifier l’efficacité de ces mesures, etc. Ces mesures et procédures techniques et organisationnelles devront être appliquées depuis la définition des moyens de traitement jusqu’à leur mise en oeuvre effective.
Par ailleurs, en cas de traitements sensibles de données personnelles, les entreprises devront réaliser une analyse d'impact et définir des mesures appropriées pour garantir la protection des données en cause. Par “traitement sensible”, il faut comprendre tout traitement présentant des risques particuliers au regard des droits et libertés des personnes concernées, du fait de leur nature ou de leur finalité (tels que les traitements de données relatifs à la santé, aux orientations sexuelles, aux origines raciales ou ethniques, ou encore les traitements relatifs à la surveillance de zones accessibles au public impliquant l’usage de dispositifs de vidéosurveillance).
Enfin, en cas d’existence de plusieurs filiales dans l’Union européenne, l’autorité en charge de la protection des données compétente sera celle de l’Etat membre dans lequel le responsable du traitement a son établissement principal. Ce concept de “guichet unique” sera certainement amené à être précisé dans la version finale du règlement.
2.2 La désignation d’un délégué à la protection des données
Le délégué à la protection des données (ou “DPD”) est l’équivalent en France, du Correspondant Informatique et Libertés, communément appelé “CIL”. Dans le dispositif actuel, le CIL, dont la nomination n’est pas obligatoire, a pour mission de veiller à l'application de la loi Informatique et Libertés au sein de l’entreprise qui l’a désigné. La désignation d’un CIL présente de nombreux avantages, tel que l’allégement des formalités obligatoires auprès de la CNIL et l’amélioration de la maîtrise des risques juridiques et techniques liés aux traitements des données personnelles. (3)
Avec l’entrée en vigueur du règlement européen, les entreprises auront l’obligation de désigner un délégué à la protection des données dans deux cas : si l’entreprise compte au moins 250 salariés ou si cette société traite des données sensibles, à savoir des données dont la nature, la portée et/ou la finalité exigent un suivi régulier et systématique des personnes concernées. Le DPD pourra être interne à l’entreprise ou externe à celle-ci (avocat ou consultant en informatique par exemple).
2.3 L’obligation de notifier les violations de données à la CNIL
Une violation de données personnelles consiste en une atteinte à la sécurité des traitements, entraînant de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation ou la consultation non autorisée de données personnelles transmises, conservées ou traitées d’une autre manière. Par exemple, une faille dans la boutique d’un e-commerçant qui permettrait de récupérer des noms, adresses, et/ou numéros de cartes bancaires des utilisateurs inscrits ou un email confidentiel destiné à un client, et diffusé par erreur à d’autres personnes constitueraient des cas de violation de données personnelles.
Les entreprises françaises ont l’obligation de notifier toute violation grave des données à la CNIL dans les meilleurs délais, et si possible dans un délai de 24 heures après en avoir eu connaissance. La notification doit au minimum décrire (i) la nature de la violation ainsi que les catégories et le nombre de personnes et de données affectées, (ii) les conséquences de la violation des données, et (iii) les mesures proposées ou prises pour y remédier. L’entreprise doit conserver une trace documentaire de toute violation de données à caractère personnel.
Sauf à démontrer à la CNIL qu’elle a pris des mesures de sécurité appropriées, l’entreprise a l’obligation d’informer toutes personnes concernées de la violation de leurs données, lorsque cette violation est susceptible de porter atteinte à la protection de leurs données personnelles ou à la vie privée.
Cette obligation existe déjà à l’article 34 bis de la Loi Informatique et Libertés. Si la loi française impose uniquement cette notification aux fournisseurs de services de communication électronique, le texte européen ne semble pas faire de distinction suivant l’activité de l’entreprise. Cette obligation serait donc à la charge de toute entreprise traitant des données personnelles.
2.4 De lourdes sanctions en cas de non respect de la réglementation
Ces règles, qui s’appliqueront directement dans chacun des Etats membres de l’Union européenne, prévoient des sanctions financières particulièrement lourdes en cas de non respect de la réglementation.
Les entreprises qui enfreindraient les règles posées par le règlement seront passibles de sanctions financières pouvant atteindre des montants élevés. Si en France la CNIL peut déjà aujourd’hui prononcer des amendes d’un montant maximum de 300.000€, le texte européen permettra d’imposer des amendes pouvant s'élever à 2% du chiffre d’affaires annuel mondial de l’entreprise fautive.
Le montant de l'amende sera fixé en tenant compte de plusieurs paramètres tels la nature, la gravité et la durée de la violation, le fait que l'infraction a été commise de façon délibérée ou par négligence, le degré de responsabilité de la personne en cause, l’existence de cas de violations commises antérieurement par la société, ou le degré de coopération avec la CNIL en vue de remédier à la violation ou à la non-conformité.
Il convient cependant de noter que sans moyens humains supplémentaires, il sera difficile pour la CNIL, comme pour les autres autorités en charge de la protection des données personnelles, de jouer pleinement leur rôle.
Le risque, pour tout texte réglementaire technique, est d’être trop attaché à l'état des technologies à la date de son adoption. Or, la vitesse de l’évolution des usages, des pratiques et des outils et services disponibles tendent à rendre ces textes règlementaires très rapidement obsolètes. Même si la proposition de règlement relatif à la protection des données personnelles n’est pas encore définitif, il est à craindre qu’un texte qui ne serait pas assez générique dans son approche, prenant en compte les technologies plutôt que les usages, devienne rapidement caduque et difficilement applicable.
La proposition de règlement fait ainsi l’objet de nombreuses réserves et critiques depuis sa première publication, en janvier 2012. Ce texte suscite une multiplication de résolutions, amendements ou avis mettant en relief ses points faibles ou manquements. Par exemple, l’Assemblée nationale, dans sa proposition de résolution de février 2012, recommandait de compléter le texte européen en ajoutant des dispositions spécifiques au Cloud computing, ces services n’étant pas expressément visés par la proposition de règlement.
Le texte est actuellement en cours d’examen par le Parlement européen au sein de la Commission chargée des questions relatives aux affaires civiles, justice et affaires intérieures (Commission LIBE). Jan Philipp Albrecht, député européen et rapporteur du groupe, vient de publier son projet de rapport le 8 janvier 2013. Ce texte prévoit notamment d’allonger le délai de notification des violations de données de 24 à 72h ; l’exercice gratuit du droit d’opposition et le recours à la “pseudonymisation” et à l’anonymisation des données pour ne pas identifier directement une personne physique, notamment sur les réseaux sociaux. Ce projet de rapport précise par ailleurs que l’utilisation d’options par défaut, que la personne concernée doit modifier pour marquer son opposition au traitement, comme les cases pré-cochées (opt-out), n’est pas l’expression d’un libre consentement. Enfin, le texte encourage la mise en place d’un système normalisé d’icônes et de logos afin de faciliter la compréhension des conditions de collecte et de traitement des données par les personnes concernées. (4)
Les négociations entre le Parlement, la Commission et le Conseil européen débuteront à partir de mai 2013 en vue d’obtenir un compromis et un texte final d’ici le début de l’année prochaine.
* * * * * * * * * * * *
(1) Voir les textes en référence : proposition de règlement du parlement européen et du conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du 25 janvier 2012, (2012/0011 (COD) ; directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ; et loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.
(2) Le “Privacy By Design” ou principe de protection des données dès la conception d’un produit ou d’un service, requiert l’intégration de la prise en compte de la protection dans le cycle de vie d’une technologie, dès la première étape de sa conception jusqu’à son déploiement, son utilisation et son élimination. Le “Privacy by Default” ou principe de la protection des données par défaut, requiert que les paramètres de respect de la vie privée dans les services et produits soient par défaut conformes aux principes généraux de la protection des données, tels que la réduction au minimum des volumes de données collectées et la limitation de la finalité des traitements.
(3) Voir à ce sujet notre article “Le Correspondant Informatique et Libertés, garant de la conformité des traitements de données personnelles à la loi”, sur notre blog à http://dwavocat.blogspot.fr/2011/12/le-correspondant-informatique-et.html
(4) Projet de rapport sur la proposition de règlement européen relative aux données du 25 janvier 2012, Commission des libertés civiles, de la justice et des affaires intérieures, publié par le rapporteur Jan Philipp Albrecht le 8 janvier 2013.
Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Janvier 2013
Ce règlement, une fois le texte définitif adopté, sera d’application immédiate et uniforme dans l’ensemble de l’Union européenne et viendra remplacer la directive de 1995 et les différentes lois nationales de protection des données personnelles. Ce texte devrait être adopté début 2014 et entrer en vigueur début 2016. Même si cette échéance peut paraître encore éloignée, et que certains aspects du règlement sont toujours en cours de discussion, il nous semble important d’en exposer les principaux aspects afin de permettre aux entreprises d’anticiper au mieux sa mise en oeuvre.
Il ne s’agit pas ici de faire une description exhaustive de la proposition de règlement mais de se focaliser sur les principales dispositions. Ainsi, les deux grands axes à retenir sont un renforcement des droits des personnes concernées sur leurs données, notamment en matière d’information préalable, de consentement, de droit d’opposition et de droit à l’oubli, et en parallèle, un renforcement des obligations des entreprises en matière de collecte et de traitement des données personnelles, avec des sanctions alourdies en cas de non-respect de la nouvelle règlementation.
1. Le renforcement des droits des personnes concernées sur leurs données
Les sources de collecte de données personnelles se sont démultipliées ces dernières années, d’une part avec des technologies et pratiques commerciales facilitant ces collectes (développement du e-commerce, du web 2.0, des smartphones et des applications mobiles, du cloud computing, des technologies et objets dits “intelligents”, etc.), d’autre part du fait de l’évolution des modes d’utilisation de ces technologies par les internautes (grâce aux achats en ligne, à l’utilisation des réseaux sociaux, des applications mobiles, des services de géolocalisation, entre autres). L’intensification de l’utilisation de nos données personnelles et l’absence de frontières physiques ont rendu les lois sur la protection des données personnelles quelque peu obsolètes, en témoignent les incessants allers-retours entre la Commission européenne et les principales sociétés du web (Google et Facebook par exemple), en matière de rappel au respect des principes de protection des données à caractère personnel.
La proposition de règlement européen apporte des modifications substantielles concernant les droits des personnes dont les données sont traitées, en allant vers un renforcement de ces droits.
1.1 Les règles de recueil du consentement des personnes
Les modalités de recueil du consentement par la personne concernée, au traitement de ses données personnelles, ont été précisées et vont dans le sens d’une plus grande maîtrise de principe de l’accord et de son retrait par la personne concernée.
Le texte européen définit le consentement comme toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne dont les données sont traitées (la “personne concernée”) accepte, par une déclaration ou par un acte positif univoque, que des données personnelles la concernant fassent l'objet d'un traitement.
Ainsi, lorsqu’il est requis, le consentement au traitement des données personnelles ne peut être tacite ou implicite. Il doit nécessairement répondre à une information préalable claire, précise et complète. La charge de la preuve de l’obtention du consentement de l’utilisateur incombera à l’entreprise qui traite ces données.
En outre, le consentement de la personne concernée, au traitement de ses données, n'est valable que si cette personne est effectivement en mesure de retirer son consentement à tout moment, et donc de s'opposer ultérieurement à la poursuite du traitement de ses données.
Les entreprises devront systématiquement s’assurer que les acheteurs de leurs produits ou les utilisateurs de leurs services ont accepté de façon effective la collecte et le traitement de leurs données.
Enfin, le règlement prévoit que “le consentement ne constitue pas un fondement juridique valable pour le traitement lorsqu'il existe un déséquilibre significatif entre la personne concernée et le responsable du traitement”. Il en irait ainsi lorsque la personne concernée se trouverait dans une situation de dépendance par rapport à l’entreprise et qu’elle ne serait pas en mesure de négocier ou de faire modifier les conditions contractuelles ; par exemple, les données personnelles concernant un salarié et traitées par son employeur dans le cadre de l’exécution du contrat de travail, ou les contrats d'adhésion entre des particuliers et des entreprises. Il sera intéressant de voir comment cette disposition sera interprétée, dans la mesure où la plupart des contrats conclus entre les consommateurs et les sociétés de services (téléphonie, assurances, banque, etc.) et tous les contrats conclus en ligne peuvent être qualifiés de contrats d’adhésion dans lesquels existe un “déséquilibre significatif” entre les parties.
1.2 Les droits des personnes concernées
Outre le renforcement des règles relatives au recueil du consentement des personnes, leurs droits sur la manière dont leurs données seront traitées ont été précisés.
- Le droit à l’oubli numérique : ce droit permet à toute personne de demander la suppression totale des données collectées par une entreprise, notamment lorsque ces collectes ont été réalisées alors que la personne concernée était mineure, ou lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées, ou encore lorsque le délai de conservation autorisé a expiré.
Dès lors, toute entreprise ayant collecté des données à caractère personnel devra les effacer, à la demande de la personne concernée, et en cesser toute diffusion. Par exemple, un internaute qui voudrait résilier son compte sur un réseau social devrait pouvoir obtenir de l’exploitant du site qu'il détruise toutes les données personnelles le concernant, sous réserve du droit applicable (droit du pays d’établissement de l’exploitant du site ou droit du pays de résidence de l’internaute - en l’occurrence, droit de l’UE).
La proposition de règlement prévoit également que l’entreprise doit d’une part, procéder à l'effacement des données sans délai, sauf motif légitime pour les conserver (pour respecter une obligation légale de conservation des données ou à des fins de recherche statistique et scientifique par exemple) et d’autre part, prendre toutes mesures utiles afin d'informer l'ensemble des tiers à qui elle a communiqué les données de la demande de la personne concernée.
- Le droit à la portabilité des données : ce droit offre la possibilité aux personnes concernées de se voir restituer leurs données personnelles dans un format électronique communément utilisé, permettant de les transférer à un autre fournisseur de service. Comme pour les numéros de téléphone, le principe de portabilité des données permet de faciliter le transfert des données personnelles vers de nouveaux prestataires, et de ne pas être tenu de rester indéfiniment chez le même prestataire quand bien même le niveau et/ou le prix des services serait devenu insatisfaisant.
- Le droit d’opposition au profilage : la proposition de règlement impose le principe du consentement préalable et le respect du droit d’opposition des personnes concernées aux actions de marketing direct et de profilage. Le “profilage” peut se définir comme toute forme de traitement de données personnelles destiné à évaluer certains aspects personnels propres à une personne physique ou à analyser ou prévoir ses habitudes de navigation sur le web, ses habitudes d’achat de biens et de services, voire sa productivité professionnelle, ou sa catégorie socio-professionnelle. Le texte européen exige que ces personnes soient dûment informées du traitement de leurs données à des fins de profilage et des effets escomptés de ce traitement.
2. Le renforcement des obligations applicables aux entreprises collectant des données personnelles
Face au renforcement des droits des personnes concernées, les obligations des sociétés collectant des données à caractère personnel ont également été renforcées par rapport à la situation actuelle, avec un alourdissement des sanctions pécuniaires en cas de violation des dispositions réglementaires.
2.1 L’obligation de déployer de nouvelles procédures internes de gouvernance
Les formalités déclaratives auprès de la CNIL seront simplifiées, et pour certaines catégories de traitements, supprimées.
En contrepartie, les entreprises devront déployer des procédures internes pour assurer le respect des principes de protection des données personnelles. Ces procédures, créant une véritable politique de gouvernance en matière de protection des données personnelles, comprendront : audits, registres, études d’impact, prise en compte de la protection des données dès la conception des nouveaux produits et services (mise en oeuvre des principes de “Privacy by design” ou de “Privacy by default”), codes de conduite, etc. (2)
Les entreprises devront adopter des règles internes contraignantes, tenir une documentation permettant de conserver la trace des traitements mis en oeuvre et de leurs caractéristiques, pouvoir rapporter la preuve de la mise en oeuvre de mesures de sécurité des données appropriées, mettre en œuvre des mécanismes pour vérifier l’efficacité de ces mesures, etc. Ces mesures et procédures techniques et organisationnelles devront être appliquées depuis la définition des moyens de traitement jusqu’à leur mise en oeuvre effective.
Par ailleurs, en cas de traitements sensibles de données personnelles, les entreprises devront réaliser une analyse d'impact et définir des mesures appropriées pour garantir la protection des données en cause. Par “traitement sensible”, il faut comprendre tout traitement présentant des risques particuliers au regard des droits et libertés des personnes concernées, du fait de leur nature ou de leur finalité (tels que les traitements de données relatifs à la santé, aux orientations sexuelles, aux origines raciales ou ethniques, ou encore les traitements relatifs à la surveillance de zones accessibles au public impliquant l’usage de dispositifs de vidéosurveillance).
Enfin, en cas d’existence de plusieurs filiales dans l’Union européenne, l’autorité en charge de la protection des données compétente sera celle de l’Etat membre dans lequel le responsable du traitement a son établissement principal. Ce concept de “guichet unique” sera certainement amené à être précisé dans la version finale du règlement.
2.2 La désignation d’un délégué à la protection des données
Le délégué à la protection des données (ou “DPD”) est l’équivalent en France, du Correspondant Informatique et Libertés, communément appelé “CIL”. Dans le dispositif actuel, le CIL, dont la nomination n’est pas obligatoire, a pour mission de veiller à l'application de la loi Informatique et Libertés au sein de l’entreprise qui l’a désigné. La désignation d’un CIL présente de nombreux avantages, tel que l’allégement des formalités obligatoires auprès de la CNIL et l’amélioration de la maîtrise des risques juridiques et techniques liés aux traitements des données personnelles. (3)
Avec l’entrée en vigueur du règlement européen, les entreprises auront l’obligation de désigner un délégué à la protection des données dans deux cas : si l’entreprise compte au moins 250 salariés ou si cette société traite des données sensibles, à savoir des données dont la nature, la portée et/ou la finalité exigent un suivi régulier et systématique des personnes concernées. Le DPD pourra être interne à l’entreprise ou externe à celle-ci (avocat ou consultant en informatique par exemple).
2.3 L’obligation de notifier les violations de données à la CNIL
Une violation de données personnelles consiste en une atteinte à la sécurité des traitements, entraînant de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation ou la consultation non autorisée de données personnelles transmises, conservées ou traitées d’une autre manière. Par exemple, une faille dans la boutique d’un e-commerçant qui permettrait de récupérer des noms, adresses, et/ou numéros de cartes bancaires des utilisateurs inscrits ou un email confidentiel destiné à un client, et diffusé par erreur à d’autres personnes constitueraient des cas de violation de données personnelles.
Les entreprises françaises ont l’obligation de notifier toute violation grave des données à la CNIL dans les meilleurs délais, et si possible dans un délai de 24 heures après en avoir eu connaissance. La notification doit au minimum décrire (i) la nature de la violation ainsi que les catégories et le nombre de personnes et de données affectées, (ii) les conséquences de la violation des données, et (iii) les mesures proposées ou prises pour y remédier. L’entreprise doit conserver une trace documentaire de toute violation de données à caractère personnel.
Sauf à démontrer à la CNIL qu’elle a pris des mesures de sécurité appropriées, l’entreprise a l’obligation d’informer toutes personnes concernées de la violation de leurs données, lorsque cette violation est susceptible de porter atteinte à la protection de leurs données personnelles ou à la vie privée.
Cette obligation existe déjà à l’article 34 bis de la Loi Informatique et Libertés. Si la loi française impose uniquement cette notification aux fournisseurs de services de communication électronique, le texte européen ne semble pas faire de distinction suivant l’activité de l’entreprise. Cette obligation serait donc à la charge de toute entreprise traitant des données personnelles.
2.4 De lourdes sanctions en cas de non respect de la réglementation
Ces règles, qui s’appliqueront directement dans chacun des Etats membres de l’Union européenne, prévoient des sanctions financières particulièrement lourdes en cas de non respect de la réglementation.
Les entreprises qui enfreindraient les règles posées par le règlement seront passibles de sanctions financières pouvant atteindre des montants élevés. Si en France la CNIL peut déjà aujourd’hui prononcer des amendes d’un montant maximum de 300.000€, le texte européen permettra d’imposer des amendes pouvant s'élever à 2% du chiffre d’affaires annuel mondial de l’entreprise fautive.
Le montant de l'amende sera fixé en tenant compte de plusieurs paramètres tels la nature, la gravité et la durée de la violation, le fait que l'infraction a été commise de façon délibérée ou par négligence, le degré de responsabilité de la personne en cause, l’existence de cas de violations commises antérieurement par la société, ou le degré de coopération avec la CNIL en vue de remédier à la violation ou à la non-conformité.
Il convient cependant de noter que sans moyens humains supplémentaires, il sera difficile pour la CNIL, comme pour les autres autorités en charge de la protection des données personnelles, de jouer pleinement leur rôle.
Le risque, pour tout texte réglementaire technique, est d’être trop attaché à l'état des technologies à la date de son adoption. Or, la vitesse de l’évolution des usages, des pratiques et des outils et services disponibles tendent à rendre ces textes règlementaires très rapidement obsolètes. Même si la proposition de règlement relatif à la protection des données personnelles n’est pas encore définitif, il est à craindre qu’un texte qui ne serait pas assez générique dans son approche, prenant en compte les technologies plutôt que les usages, devienne rapidement caduque et difficilement applicable.
La proposition de règlement fait ainsi l’objet de nombreuses réserves et critiques depuis sa première publication, en janvier 2012. Ce texte suscite une multiplication de résolutions, amendements ou avis mettant en relief ses points faibles ou manquements. Par exemple, l’Assemblée nationale, dans sa proposition de résolution de février 2012, recommandait de compléter le texte européen en ajoutant des dispositions spécifiques au Cloud computing, ces services n’étant pas expressément visés par la proposition de règlement.
Le texte est actuellement en cours d’examen par le Parlement européen au sein de la Commission chargée des questions relatives aux affaires civiles, justice et affaires intérieures (Commission LIBE). Jan Philipp Albrecht, député européen et rapporteur du groupe, vient de publier son projet de rapport le 8 janvier 2013. Ce texte prévoit notamment d’allonger le délai de notification des violations de données de 24 à 72h ; l’exercice gratuit du droit d’opposition et le recours à la “pseudonymisation” et à l’anonymisation des données pour ne pas identifier directement une personne physique, notamment sur les réseaux sociaux. Ce projet de rapport précise par ailleurs que l’utilisation d’options par défaut, que la personne concernée doit modifier pour marquer son opposition au traitement, comme les cases pré-cochées (opt-out), n’est pas l’expression d’un libre consentement. Enfin, le texte encourage la mise en place d’un système normalisé d’icônes et de logos afin de faciliter la compréhension des conditions de collecte et de traitement des données par les personnes concernées. (4)
Les négociations entre le Parlement, la Commission et le Conseil européen débuteront à partir de mai 2013 en vue d’obtenir un compromis et un texte final d’ici le début de l’année prochaine.
* * * * * * * * * * * *
(1) Voir les textes en référence : proposition de règlement du parlement européen et du conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du 25 janvier 2012, (2012/0011 (COD) ; directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ; et loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.
(2) Le “Privacy By Design” ou principe de protection des données dès la conception d’un produit ou d’un service, requiert l’intégration de la prise en compte de la protection dans le cycle de vie d’une technologie, dès la première étape de sa conception jusqu’à son déploiement, son utilisation et son élimination. Le “Privacy by Default” ou principe de la protection des données par défaut, requiert que les paramètres de respect de la vie privée dans les services et produits soient par défaut conformes aux principes généraux de la protection des données, tels que la réduction au minimum des volumes de données collectées et la limitation de la finalité des traitements.
(3) Voir à ce sujet notre article “Le Correspondant Informatique et Libertés, garant de la conformité des traitements de données personnelles à la loi”, sur notre blog à http://dwavocat.blogspot.fr/2011/12/le-correspondant-informatique-et.html
(4) Projet de rapport sur la proposition de règlement européen relative aux données du 25 janvier 2012, Commission des libertés civiles, de la justice et des affaires intérieures, publié par le rapporteur Jan Philipp Albrecht le 8 janvier 2013.
Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Janvier 2013
lundi 14 janvier 2013
La nouvelle réglementation française sur la vente de médicaments sur internet
Bien que jusqu'à présent le Code de la santé publique (CSP) n’interdisait pas expressément la vente de médicaments en ligne, ce mode de distribution n’était pas pour autant autorisé dans la mesure où les dispositions légales ne permettaient pas en pratique d’utiliser ce canal de vente en France.
Suite à l'adoption de la directive européenne du 8 juin 2011 autorisant la vente de médicaments sur internet, la plupart des pays voisins de la France avaient adopté une législation en la matière, autorisant la vente de médicaments sans et/ou avec prescription, et s'appuyant ou non sur une officine physique.
La vente de médicaments sur internet est désormais prévue par la loi depuis fin décembre 2012, avec la publication de l’ordonnance du 19 décembre 2012 et du décret du 31 décembre.
1. Le cheminement vers l'adoption d'un cadre légal, sous la pression de l'Union européenne
L’encadrement de la vente de médicaments par internet est l’aboutissement d’un long processus, démarré avec l’arrêt DocMorris de la CJCE en 2003 pour arriver à la Directive du 8 juin 2011.
1.1 La reconnaissance de la validité de la vente des médicaments sur internet : l’arrêt DocMorris
Le 11 décembre 2003, la Cour de Justice des Communautés européennes (CJCE) a rendu une décision reconnaissant le droit de vendre des médicaments sur internet. (1) Cette affaire opposait une association allemande (DAV) ayant pour but la défense des intérêts de la profession de pharmacien, à la société néerlandaise DocMorris qui pratiquait la vente de médicaments en officine traditionnelle aux Pays-Bas mais également sur internet. Le site internet était traduit en allemand et offrait la possibilité d'être livré en médicaments, soumis ou non à prescription médicale, en Allemagne. Or, la législation allemande interdisait la vente à distance de médicaments, dont la délivrance était réservée exclusivement aux pharmaciens, et qualifiait d'illégale toute publicité pour la vente de médicaments par correspondance.
Interrogée sur la validité de la réglementation allemande, la CJCE a jugé qu'une telle interdiction constituait une restriction à la libre circulation des marchandises. Cependant, la Cour a distingué entre médicaments soumis à prescription médicale, considérant qu'une telle restriction de vente était justifiée par la nécessité de protéger la santé et la vie des personnes, et les médicaments non soumis à prescription médicale.
Concernant les médicaments non soumis à prescription médicale, la CJCE estime que l’interdiction de vente à distance n'est pas justifiée, dans la mesure où rien ne permet de considérer que les pharmacies virtuelles ne permettent pas de satisfaire aux obligations d'information et de conseil lors de l'achat de ces médicaments.
1.2 La résolution du Conseil de l’Europe sur les bonnes pratiques à adopter en en matière de distribution de médicaments par correspondance
Partant du constat que de plus en plus d’États membres de l’Union européenne autorisaient la vente de médicaments à distance, et que les patients, désireux d’obtenir facilement et rapidement les médicaments dont ils ont besoin, devaient pouvoir le faire en toute confiance, le Conseil de l’Europe a adopté en 2007 une résolution recommandant aux Etats membres d'adopter des normes garantissant la sûreté de la vente de médicaments à distance, la sécurité du patient et la qualité des médicaments délivrés. (2)
1.3 Dernière étape : la directive du 8 juin 2011 autorisant la vente de médicament sur Internet
La Directive du 8 juin 2011 impose aux Etats membres de permettre la vente à distance au public de médicaments, tout en leur laissant la possibilité d’interdire la vente à distance pour les médicaments soumis à prescription. (3) La Directive prévoit notamment que la vente de médicaments sur internet est réservée (i) aux personnes autorisées ou habilitées, en conformité avec la législation de l’Etat membre dans lequel elles sont établies, et (ii) aux médicaments respectant la législation nationale de l'Etat membre de destination.
En outre, pour aider le grand public à identifier les sites internet mettant légalement en vente des médicaments, la directive prévoit la création d’un logo commun à l’ensemble de l’Union européenne renseignant, en outre, sur l’Etat membre dans lequel est établi le pharmacien.
Enfin, les Etats membres doivent mettre en place un site internet comportant notamment la liste des pharmaciens et des sites web proposant des médicaments en ligne, et des informations générales sur les risques liés aux médicaments fournis illégalement au public.
La directive devait être transposée dans les droits des Etats membres avant le 2 janvier 2013. La France s’est mise en conformité en décembre 2012.
2. Le nouveau cadre juridique de la vente de médicaments par internet
Par ordonnance et décret publiés fin décembre 2012, modifiant le Code de la santé publique, le gouvernement vient d'encadrer la vente de médicaments en ligne. (4)
La vente de médicaments en ligne est ainsi soumise à des conditions spécifiques, édictées par la nouvelle réglementation applicable. S’agissant de vente à distance, les règles relatives au commerce électronique s’appliquent également à la vente de médicament sur internet.
2.1 Les principales conditions de la vente en ligne de médicaments
La vente en ligne de médicaments est soumise aux conditions suivantes :
- La création d'un site web destiné à la vente de médicaments est réservée aux pharmaciens titulaires d'une officine (et aux pharmaciens gérants de pharmacies mutualistes ou de secours minière). Les pharmaciens adjoints, ayant reçu délégation du pharmacien d'officine, peuvent participer à l'exploitation du site internet de l'officine de pharmacie. Enfin, les pharmaciens remplaçants de titulaires d'officine, ou gérants d'officine après décès du titulaire, peuvent poursuivre l’exploitation du site de l'officine, créé antérieurement.
- Seuls les médicaments pouvant être présentés "en accès direct" au public en officine (médicaments “OTC” ou “over the counter”) ayant obtenu une autorisation de mise sur le marché peuvent être proposés à la vente en ligne. A contrario, l’interdiction de vente en ligne est maintenue pour les médicaments délivrés sur ordonnance.
- La création d'un site internet est soumise au dépôt d’une demande d'autorisation auprès du directeur général de l'Agence Régionale de Santé (DGARS) dans le ressort duquel est située l'officine.
- Dans les 15 jours suivant la date d'autorisation du DGARS, le pharmacien doit informer le Conseil de l'Ordre dont il relève, de la création du site internet. L'Ordre national des pharmaciens tiendra à jour une liste des sites internet autorisés et la mettra à la disposition du public sur son site web.
- Dans un souci de sécurité et d’information du public, la nouvelle réglementation prévoit que le site internet doit intégrer les coordonnées de l'Agence nationale de sécurité du médicament et des produits de santé (ANSM, successeur de l’Afssaps), un lien hypertexte vers le site de l'Ordre national des pharmaciens et du Ministère chargé de la santé, ainsi que le logo communautaire, qui devra être affiché sur chaque page du site internet.
- Enfin, la nouvelle réglementation prévoit que toute commande livrée en dehors de l'officine ne peut être remise qu'en paquet opaque et scellé portant le nom et l'adresse de l'acheteur, de telle sorte que le destinataire puisse s'assurer qu'il n'a pu être ouvert par un tiers. En outre, il incombe au pharmacien de veiller à ce que les conditions de transport soient compatibles avec la bonne conservation des médicaments et que toutes explications et recommandations soient mises à la disposition du patient.
2.2 Le nécessaire respect des règles de la vente à distance
A ces règles spécifiques s’ajoutent les règles du commerce électronique, telles que prévues notamment par la Loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004, les règles en matière de protection du consommateur et de la santé publique, ainsi que les règles relatives à la protection des données personnelles ou à la publicité.
- L’information du consommateur : ainsi, bien que non rappelé par la nouvelle réglementation, les sites de vente de médicaments devront contenir, outre les informations relatives aux mises en garde en matière de consommation de médicaments, les informations légales en matière de vente à distance aux consommateurs. Ces règles imposent notamment que l'exploitant d'un site internet s'identifie clairement auprès des internautes et que les caractéristiques essentielles des produits mis en vente, leur prix, leurs conditions de vente et de livraison soient précisés.
- La conclusion du contrat de vente en ligne : la loi ne prévoit pas de conditions spécifiques à la commande de médicaments sur internet. Il appartiendra cependant au pharmacien de respecter les règles relatives à la vente à distance prévues par le Code civil et le Code de la consommation. Ces règles prévoient notamment que pour passer commande, l'internaute doit avoir pris connaissance et effectivement accepté les conditions générales de vente.
- Les règles relatives à la publicité : en matière de vente de médicaments en ligne, il appartiendra aux pharmaciens d'être vigilants en matière de prospection commerciale et d'e-mailing. En effet, conformément aux articles L.5125-25 et R.5125-28 CSP, il leur est interdit de solliciter des commandes auprès du public et d'avoir recours à des moyens de fidélisation de la clientèle.
- Le régime de responsabilité applicable au pharmacien en ligne : le pharmacien est responsable du contenu du site internet qu'il édite et des conditions dans lesquelles est exercée l'activité de commerce électronique de médicaments. En cas de manquement aux règles précitées et aux "bonnes pratiques de dispensation" définies par l'ANSM, le DGARS territorialement compétent peut mettre le pharmacien fautif en demeure de se conformer à ses prescriptions. A défaut de mise en conformité, le DGARS peut prononcer (i) la fermeture temporaire du site internet, pour une durée maximale de 5 mois et/ou (ii) une amende dont le montant ne peut être supérieur à 30% du chiffre d'affaires réalisé par la pharmacie dans le cadre de l'activité de commerce électronique, dans la limite d'un million d'euros.
La transposition des dispositions de la directive européenne en droit français fournit désormais un cadre légal à la vente de médicaments OTC en ligne. Cette nouvelle réglementation est cependant vivement critiquée par l'Ordre des pharmaciens qui s’est prononcé via un communiqué, dès le 20 décembre 2012.
Mettant en avant la priorité d’assurer la sécurité du patient, l’Ordre des pharmaciens rappelle notamment que le médicament n’est pas un bien de consommation ordinaire, rien ne pouvant remplacer les conseils dispensés en officine.
Cependant, d’une part, seuls les médicaments OTC peuvent être vendus en ligne. D’autre part, rien n’empêche le site d’intégrer un service de prise de contact avec un pharmacien pour se faire dispenser les conseils nécessaires.
* * * * * * * * * * * *
(1) CJCE, 11 décembre 2003, Aff. C-322/01, Deutscher Apothekerverband EV / 0800 DocMorris NV et Jacques Waterval.
(2) Résolution ResAP(2007)2 sur les bonnes pratiques en matière de distribution de médicaments par correspondance, visant à protéger la sécurité des patients et la qualité des médicaments délivrés.
(3) Directive n°2011/62/UE du Parlement européen et du Conseil du 8 juin 2011 modifiant la directive n°2001/83/CE instituant un code communautaire relatif aux médicaments à usage humain, en ce qui concerne la prévention de l’introduction dans la chaîne d’approvisionnement légale de médicaments falsifiés
(4) Ordonnance n°2012-1427 du 19 décembre 2012 relative au renforcement de la sécurité de la chaîne d'approvisionnement des médicaments, à l'encadrement de la vente de médicaments sur internet et à la lutte contre la falsification de médicaments. Décret n°2012-1562 du 31 décembre 2012 relatif au renforcement de la sécurité de la chaîne d’approvisionnement des médicaments et à l’encadrement de la vente de médicaments sur internet. Articles L.4211-1, L.5122-6-1, L.5125-33 et s., R.5125-26 et R.5125-70 et s. CSP.
Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Janvier 2013
Suite à l'adoption de la directive européenne du 8 juin 2011 autorisant la vente de médicaments sur internet, la plupart des pays voisins de la France avaient adopté une législation en la matière, autorisant la vente de médicaments sans et/ou avec prescription, et s'appuyant ou non sur une officine physique.
La vente de médicaments sur internet est désormais prévue par la loi depuis fin décembre 2012, avec la publication de l’ordonnance du 19 décembre 2012 et du décret du 31 décembre.
1. Le cheminement vers l'adoption d'un cadre légal, sous la pression de l'Union européenne
L’encadrement de la vente de médicaments par internet est l’aboutissement d’un long processus, démarré avec l’arrêt DocMorris de la CJCE en 2003 pour arriver à la Directive du 8 juin 2011.
1.1 La reconnaissance de la validité de la vente des médicaments sur internet : l’arrêt DocMorris
Le 11 décembre 2003, la Cour de Justice des Communautés européennes (CJCE) a rendu une décision reconnaissant le droit de vendre des médicaments sur internet. (1) Cette affaire opposait une association allemande (DAV) ayant pour but la défense des intérêts de la profession de pharmacien, à la société néerlandaise DocMorris qui pratiquait la vente de médicaments en officine traditionnelle aux Pays-Bas mais également sur internet. Le site internet était traduit en allemand et offrait la possibilité d'être livré en médicaments, soumis ou non à prescription médicale, en Allemagne. Or, la législation allemande interdisait la vente à distance de médicaments, dont la délivrance était réservée exclusivement aux pharmaciens, et qualifiait d'illégale toute publicité pour la vente de médicaments par correspondance.
Interrogée sur la validité de la réglementation allemande, la CJCE a jugé qu'une telle interdiction constituait une restriction à la libre circulation des marchandises. Cependant, la Cour a distingué entre médicaments soumis à prescription médicale, considérant qu'une telle restriction de vente était justifiée par la nécessité de protéger la santé et la vie des personnes, et les médicaments non soumis à prescription médicale.
Concernant les médicaments non soumis à prescription médicale, la CJCE estime que l’interdiction de vente à distance n'est pas justifiée, dans la mesure où rien ne permet de considérer que les pharmacies virtuelles ne permettent pas de satisfaire aux obligations d'information et de conseil lors de l'achat de ces médicaments.
1.2 La résolution du Conseil de l’Europe sur les bonnes pratiques à adopter en en matière de distribution de médicaments par correspondance
Partant du constat que de plus en plus d’États membres de l’Union européenne autorisaient la vente de médicaments à distance, et que les patients, désireux d’obtenir facilement et rapidement les médicaments dont ils ont besoin, devaient pouvoir le faire en toute confiance, le Conseil de l’Europe a adopté en 2007 une résolution recommandant aux Etats membres d'adopter des normes garantissant la sûreté de la vente de médicaments à distance, la sécurité du patient et la qualité des médicaments délivrés. (2)
1.3 Dernière étape : la directive du 8 juin 2011 autorisant la vente de médicament sur Internet
La Directive du 8 juin 2011 impose aux Etats membres de permettre la vente à distance au public de médicaments, tout en leur laissant la possibilité d’interdire la vente à distance pour les médicaments soumis à prescription. (3) La Directive prévoit notamment que la vente de médicaments sur internet est réservée (i) aux personnes autorisées ou habilitées, en conformité avec la législation de l’Etat membre dans lequel elles sont établies, et (ii) aux médicaments respectant la législation nationale de l'Etat membre de destination.
En outre, pour aider le grand public à identifier les sites internet mettant légalement en vente des médicaments, la directive prévoit la création d’un logo commun à l’ensemble de l’Union européenne renseignant, en outre, sur l’Etat membre dans lequel est établi le pharmacien.
Enfin, les Etats membres doivent mettre en place un site internet comportant notamment la liste des pharmaciens et des sites web proposant des médicaments en ligne, et des informations générales sur les risques liés aux médicaments fournis illégalement au public.
La directive devait être transposée dans les droits des Etats membres avant le 2 janvier 2013. La France s’est mise en conformité en décembre 2012.
2. Le nouveau cadre juridique de la vente de médicaments par internet
Par ordonnance et décret publiés fin décembre 2012, modifiant le Code de la santé publique, le gouvernement vient d'encadrer la vente de médicaments en ligne. (4)
La vente de médicaments en ligne est ainsi soumise à des conditions spécifiques, édictées par la nouvelle réglementation applicable. S’agissant de vente à distance, les règles relatives au commerce électronique s’appliquent également à la vente de médicament sur internet.
2.1 Les principales conditions de la vente en ligne de médicaments
La vente en ligne de médicaments est soumise aux conditions suivantes :
- La création d'un site web destiné à la vente de médicaments est réservée aux pharmaciens titulaires d'une officine (et aux pharmaciens gérants de pharmacies mutualistes ou de secours minière). Les pharmaciens adjoints, ayant reçu délégation du pharmacien d'officine, peuvent participer à l'exploitation du site internet de l'officine de pharmacie. Enfin, les pharmaciens remplaçants de titulaires d'officine, ou gérants d'officine après décès du titulaire, peuvent poursuivre l’exploitation du site de l'officine, créé antérieurement.
- Seuls les médicaments pouvant être présentés "en accès direct" au public en officine (médicaments “OTC” ou “over the counter”) ayant obtenu une autorisation de mise sur le marché peuvent être proposés à la vente en ligne. A contrario, l’interdiction de vente en ligne est maintenue pour les médicaments délivrés sur ordonnance.
- La création d'un site internet est soumise au dépôt d’une demande d'autorisation auprès du directeur général de l'Agence Régionale de Santé (DGARS) dans le ressort duquel est située l'officine.
- Dans les 15 jours suivant la date d'autorisation du DGARS, le pharmacien doit informer le Conseil de l'Ordre dont il relève, de la création du site internet. L'Ordre national des pharmaciens tiendra à jour une liste des sites internet autorisés et la mettra à la disposition du public sur son site web.
- Dans un souci de sécurité et d’information du public, la nouvelle réglementation prévoit que le site internet doit intégrer les coordonnées de l'Agence nationale de sécurité du médicament et des produits de santé (ANSM, successeur de l’Afssaps), un lien hypertexte vers le site de l'Ordre national des pharmaciens et du Ministère chargé de la santé, ainsi que le logo communautaire, qui devra être affiché sur chaque page du site internet.
- Enfin, la nouvelle réglementation prévoit que toute commande livrée en dehors de l'officine ne peut être remise qu'en paquet opaque et scellé portant le nom et l'adresse de l'acheteur, de telle sorte que le destinataire puisse s'assurer qu'il n'a pu être ouvert par un tiers. En outre, il incombe au pharmacien de veiller à ce que les conditions de transport soient compatibles avec la bonne conservation des médicaments et que toutes explications et recommandations soient mises à la disposition du patient.
2.2 Le nécessaire respect des règles de la vente à distance
A ces règles spécifiques s’ajoutent les règles du commerce électronique, telles que prévues notamment par la Loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004, les règles en matière de protection du consommateur et de la santé publique, ainsi que les règles relatives à la protection des données personnelles ou à la publicité.
- L’information du consommateur : ainsi, bien que non rappelé par la nouvelle réglementation, les sites de vente de médicaments devront contenir, outre les informations relatives aux mises en garde en matière de consommation de médicaments, les informations légales en matière de vente à distance aux consommateurs. Ces règles imposent notamment que l'exploitant d'un site internet s'identifie clairement auprès des internautes et que les caractéristiques essentielles des produits mis en vente, leur prix, leurs conditions de vente et de livraison soient précisés.
- La conclusion du contrat de vente en ligne : la loi ne prévoit pas de conditions spécifiques à la commande de médicaments sur internet. Il appartiendra cependant au pharmacien de respecter les règles relatives à la vente à distance prévues par le Code civil et le Code de la consommation. Ces règles prévoient notamment que pour passer commande, l'internaute doit avoir pris connaissance et effectivement accepté les conditions générales de vente.
- Les règles relatives à la publicité : en matière de vente de médicaments en ligne, il appartiendra aux pharmaciens d'être vigilants en matière de prospection commerciale et d'e-mailing. En effet, conformément aux articles L.5125-25 et R.5125-28 CSP, il leur est interdit de solliciter des commandes auprès du public et d'avoir recours à des moyens de fidélisation de la clientèle.
- Le régime de responsabilité applicable au pharmacien en ligne : le pharmacien est responsable du contenu du site internet qu'il édite et des conditions dans lesquelles est exercée l'activité de commerce électronique de médicaments. En cas de manquement aux règles précitées et aux "bonnes pratiques de dispensation" définies par l'ANSM, le DGARS territorialement compétent peut mettre le pharmacien fautif en demeure de se conformer à ses prescriptions. A défaut de mise en conformité, le DGARS peut prononcer (i) la fermeture temporaire du site internet, pour une durée maximale de 5 mois et/ou (ii) une amende dont le montant ne peut être supérieur à 30% du chiffre d'affaires réalisé par la pharmacie dans le cadre de l'activité de commerce électronique, dans la limite d'un million d'euros.
La transposition des dispositions de la directive européenne en droit français fournit désormais un cadre légal à la vente de médicaments OTC en ligne. Cette nouvelle réglementation est cependant vivement critiquée par l'Ordre des pharmaciens qui s’est prononcé via un communiqué, dès le 20 décembre 2012.
Mettant en avant la priorité d’assurer la sécurité du patient, l’Ordre des pharmaciens rappelle notamment que le médicament n’est pas un bien de consommation ordinaire, rien ne pouvant remplacer les conseils dispensés en officine.
Cependant, d’une part, seuls les médicaments OTC peuvent être vendus en ligne. D’autre part, rien n’empêche le site d’intégrer un service de prise de contact avec un pharmacien pour se faire dispenser les conseils nécessaires.
* * * * * * * * * * * *
(1) CJCE, 11 décembre 2003, Aff. C-322/01, Deutscher Apothekerverband EV / 0800 DocMorris NV et Jacques Waterval.
(2) Résolution ResAP(2007)2 sur les bonnes pratiques en matière de distribution de médicaments par correspondance, visant à protéger la sécurité des patients et la qualité des médicaments délivrés.
(3) Directive n°2011/62/UE du Parlement européen et du Conseil du 8 juin 2011 modifiant la directive n°2001/83/CE instituant un code communautaire relatif aux médicaments à usage humain, en ce qui concerne la prévention de l’introduction dans la chaîne d’approvisionnement légale de médicaments falsifiés
(4) Ordonnance n°2012-1427 du 19 décembre 2012 relative au renforcement de la sécurité de la chaîne d'approvisionnement des médicaments, à l'encadrement de la vente de médicaments sur internet et à la lutte contre la falsification de médicaments. Décret n°2012-1562 du 31 décembre 2012 relatif au renforcement de la sécurité de la chaîne d’approvisionnement des médicaments et à l’encadrement de la vente de médicaments sur internet. Articles L.4211-1, L.5122-6-1, L.5125-33 et s., R.5125-26 et R.5125-70 et s. CSP.
Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Janvier 2013
Inscription à :
Articles (Atom)