Annulation du contrat de cession d’un fichier d’adresses clients non déclaré à la CNIL

Les bases de données, ou fichiers, constitués de données personnelles de clients (dont les emails et adresses postales) ont une valeur patrimoniale pouvant s’élever à plusieurs centaines de milliers d’euros, compte tenu de la qualité de la base de données (nombre d’adresses, possibilité de cibler les profils des utilisateurs, conformité de la base de données à la réglementation sur la constitution de la base et à la loi Informatique et Libertés, etc.).

Suivant les conditions de leur constitution et la nature des autorisations des personnes concernées, ces bases de données peuvent ensuite être “louées” ou cédées contractuellement contre rémunération. Ainsi, dans le cadre des opération de liquidation des magasins Virgin, le fichier des clients détenteurs de la carte de fidélité Virgin Mégastore, comprenant les coordonnées de 1,6 millions de clients, vient d’être racheté par une enseigne concurrente. (1)

Cependant, la valeur de ces fichiers dépend notamment de leurs conditions de constitution, dont le respect des obligations de déclaration à la CNIL. (2)

Dans un arrêt du 25 juin 2013, la Cour de cassation vient ainsi d’annuler la cession d’une base de données clients au motif que celle-ci n’avait pas été dûment déclarée à la CNIL. (3)


1. Les conditions de constitution et de commercialisation d’une base de données clients de valeur

Les sociétés qui collectent des données relatives à leurs clients et utilisateurs de leurs produits ou services - que ce soit au moment de l’inscription sur leur site internet ou au moment de passer commande - mettent en œuvre un traitement de données à caractère personnel. Cette base de données clients a pour objet (ou finalité) d’identifier les utilisateurs, prospects et/ou clients de l’entreprise.

Or, la constitution d’une base de données est notamment soumise au respect des dispositions de la loi Informatique et Libertés, dont nous rappelons les principales obligations ci-dessous.

    1.1 Rappel des principales obligations légales relatives à la collecte et au traitement des données clients

Les traitements de données personnelles comprennent tous types d'opérations qui permettent d'identifier une personne physique, directement ou indirectement, et le fait de collecter, enregistrer, conserver, modifier, diffuser ou détruire des données personnelles.

Le responsable du traitement sera en règle générale, le dirigeant de l'entreprise ou le chef de service de l'organisme au sein de cette société en charge des traitements de données à caractère personnel.

Outre le fait de prendre toutes les précautions nécessaires pour assurer la sécurité et la confidentialité des données clients qu'il a en sa possession, le responsable de traitement doit notamment respecter les obligations suivantes :

Le fichier constitué doit être réalisé selon une finalité définie et précise, telle que la vente d’un produit ou la fourniture d’un service.

Les données collectées doivent donc être pertinentes compte tenu de cette finalité. Par exemple, le formulaire de commande d’un site marchand collectera les nom, prénom et adresse du client (finalité de traitement de la commande). En revanche, il ne sera généralement pas pertinent de demander la catégorie socio-professionnelle ou le statut marital de l'acheteur. Lors de la création du formulaire de passation de commande, il sera donc important de réfléchir aux catégories de données strictement nécessaires au traitement des commandes.

La collecte de données personnelles à des fins commerciales est soumise au consentement de la personne concernée. Ce droit d’information et de consentement implique également que les données ainsi collectées ne peuvent être utilisées à des fins de prospection commerciale, ni cédées que sous réserve d’avoir obtenu le consentement express de cette personne (ou “opt-in”).

Les données personnelles ne peuvent être conservées sans limitation de durée, mais pour une durée "raisonnable" correspondant à la durée nécessaire au traitement.

Enfin, les personnes concernées bénéficient d’un droit d'accès, de rectification (mise à jour), de contestation et d'opposition (suppression/désinscription) au traitement de leurs données. Cette faculté (droit d’accès, désinscription, etc.) se traduit par une information, et un lien hypertexte,  figurant en bas des emails commerciaux.

Le fichier, ou base de données, ainsi constitué doit avoir fait l’objet d’une déclaration préalable à la CNIL : le responsable du traitement doit - préalablement à la mise en oeuvre du fichier - procéder à une déclaration simplifiée de conformité (ex: norme simplifiée n°48 pour un fichier clients/prospects) ou à une déclaration normale, selon le type de traitement envisagé et les données collectées.

    1.2 La nécessité de contrôler la conformité légale de la base de données clients en cas de location ou de cession

En cas de non-respect des obligations légales, la base de données ainsi constituée peut être dénuée de toute valeur patrimoniale. La société ayant constitué cette base ne pourra l’exploiter légalement, que ce soit directement, en accordant des droits d’utilisation de la base à des tiers, ou encore en tentant de la céder.

En cas de cession d’un fichier clients, il est recommandé au cessionnaire de la base (l’acquéreur) de faire stipuler au contrat que la base est effectivement conforme à la réglementation, qu’elle a été dûment déclarée à la CNIL, qu’elle a été constituée dans le respect des droits des personnes concernées et que celles-ci ont effectivement donné leur consentement express à l’utilisation de leurs données par des partenaires commerciaux. Le cas échéant, l’acquéreur pourra exiger de faire réaliser un audit de conformité de la base de données à la réglementation.

Par ailleurs, au cas où l’acquéreur envisagerait de transférer la base de données en dehors de l’Union européenne, il lui appartiendra de s’assurer que les procédures relatives aux autorisations  et informations préalables ont été respectées.

Le vendeur du fichier clients devra informer l'acheteur des éventuelles limites d'utilisation des informations comprises dans la base de données. Quant à l'acheteur, il devra exiger du vendeur la preuve de la licéité de la collecte et du traitement des données. Une fois la cession du fichier devenue effective, le nouvel acquéreur deviendra responsable de traitement et prendra en charge les obligations légales à compter de la date effective de ladite cession.


2. Fichier clients illicite : les risques juridiques et financiers encourus par les parties

Le non-respect de la réglementation relative à la constitution des fichiers de données personnelles, notamment de la loi Informatique et Libertés, expose le titulaire des droits sur ce fichier à de sévères sanctions, d’ordre administratif et pénal. Dans le cas d’une cession de fichier, la sanction est également pécuniaire dans la mesure où ce fichier sera dénué de toute existence légale.

    2.1 Les sanctions administratives et pénales applicables à un fichier clients illicite

Les pouvoirs de contrôle et de sanction de la CNIL 
La CNIL dispose de pouvoirs de contrôle et de sanction à l'encontre des responsables de traitements qui auraient constitué un fichier de données clients en violation des dispositions de la loi Informatique et Libertés. La CNIL peut prononcer un avertissement ou mettre le responsable du traitement en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe. Si le responsable du traitement ne se conforme pas à la mise en demeure, la CNIL peut alors prononcer une sanction pécuniaire d'un montant maximum de 300.000€ et/ou l’injonction de cesser le traitement.

Les sanctions pénales 
La CNIL peut également décider de dénoncer les infractions constatées au procureur de la République. Les manquements à la loi Informatique et Libertés sont sévèrement réprimés par des   sanctions pénales, se déclinant comme suit :
    - le fait de procéder, y compris par négligence, à un traitement de données personnelles sans respecter les formalités préalables de déclaration est puni de 5 ans d’emprisonnement et 300.000€ d’amende ;
    - le fait de procéder à un traitement de données personnelles malgré l'opposition de la personne concernée est puni de 5 ans d’emprisonnement et 300.000€ d’amende ; et
    - le fait de procéder à de la prospection directe sans obtenir le consentement préalable du destinataire du message publicitaire est puni d'une amende de 750€ par message irrégulièrement expédié ; cette amende peut-être portée au quintuple pour les personnes morales (soit 3.750€ par message). (4)

    2.2 La nullité de la vente d’un fichier clients illicite

La Cour de cassation, dans un arrêt du 25 juin 2013, vient de se prononcer sur la licéité de la vente d’un fichier clients informatisé, non déclaré à la CNIL. Dans cet arrêt, la Cour a retenu que, dans la mesure où un fichier non déclaré est illicite, ce fichier doit être considéré comme étant hors commerce. Il ne peut donc faire l'objet d'un contrat et donc d'une vente. La sanction de l'illicéité étant la nullité, ceci implique pour le vendeur d'un fichier non-déclaré l'obligation de rembourser à l'acheteur le prix de la vente, son fichier étant sans valeur juridique ni commerciale.

Dans cette affaire, deux associés d'une société avaient décidé de céder certains éléments de leur fonds de commerce de vente de vins aux particuliers, dont un fichier clients. Ce fichier comprenait près de 6.000 contacts clients. Le prix de la cession était fixé à 46.000€.

L'acquéreur, ayant découvert que le fichier n'avait pas été déclaré à la CNIL, a assigné les vendeurs en résolution de la vente, pour dol et pour non-conformité du fichier clients à la loi. Débouté en première instance, le vendeur a interjeté appel. La Cour d'appel de Rennes a rejeté les demandes de l'acquéreur du fichier. Si la Cour d'appel a relevé qu'un tel fichier clients devait effectivement faire l'objet d'une déclaration simplifiée, et qu'en l'espèce le fichier n’avait pas été déclaré, la loi n'avait cependant pas prévu de sanctionner l'absence d'une telle déclaration par la nullité du fichier.

L'acquéreur a finalement obtenu gain de cause devant la cour suprême. La Cour de cassation a fondé sa décision sur :
    - l'article 22 de la Loi Informatique et Libertés qui dispose que : "(...) les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés", et
    - l'article 1128 du Code civil qui dispose que : "Il n'y a que les choses qui sont dans le commerce qui puissent être l'objet des conventions". En d'autres termes, il ne peut y avoir de contrat valable que sur un objet licite.

La Cour a ainsi considéré que "tout fichier informatisé contenant des données à caractère personnel doit faire l'objet d'une déclaration auprès de la CNIL et que la vente d'un tel fichier qui, n'ayant pas été déclaré, n'est pas dans le commerce, a un objet illicite".

La Cour de cassation donne ainsi à la loi Informatique et Libertés une importance toute particulière : la valeur commerciale, ou patrimoniale, d'un fichier clients dépend de sa conformité à la réglementation sur la protection des données personnelles. 


Si cette jurisprudence ne concerne que le non-respect des formalités préalables, ce raisonnement de la Cour pourrait être étendu à toutes cessions de fichiers clients pour lesquels le vendeur n'aurait pas respecté les autres obligations légales, telle par exemple l’absence de consentement et d'information des personnes concernées.

Les bases de données entrent dans la valorisation patrimoniale des entreprises, au même titre que les contrats commerciaux, leur portefeuille de marques et autres actifs matériels et immatériels. Au-delà des sanctions administratives et pénales encourues en cas de base de données illicite, la conformité de la constitution des bases de données clients est désormais affirmée comme l’un des éléments à valider par le cessionnaire, dans le cadre d’une cession de droits par une entreprise, voire par les investisseurs en cas de prise de participation dans une opération d’augmentation de capital.

                                                      * * * * * * * * * * *

(1) Voir article "Bataille pour acquérir le fichier clients de Virgin", publié le 3 juillet 2013 sur http://www.lemonde.fr/.

(2) Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

(3) Cass. com., 25 juin 2013, n°12-17.037

(4) Article 50 loi Informatique et Libertés ; Articles 226-16 et s., 131-13 et 131-41 du Code pénal et article R-10-1 du Code des Postes et des Communications Electroniques.


Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
http://www.deleporte-wentz-avocat.com/
Août 2013

Cybercriminalité : la réponse pénale de l'Union européenne aux attaques contre les systèmes d'information

Partant du constat que les cyberattaques contre les Etats et les entreprises se multiplient et qu'à grande échelle ces d'attaques sont susceptibles de provoquer "des dommages économiques notables, tant du fait de l'interruption des systèmes d'information et des communications qu'en raison de la perte ou l'altération d'informations confidentielles importantes d'un point de vue commercial ou d'autres données", le Parlement européen vient d'adopter, en première lecture, une proposition de directive relative aux attaques visant les systèmes d’information. (1)

Ce texte, adopté à la majorité absolue (541 voix, 91 contre et 9 abstentions), définit les infractions punissables et les sanctions en cas d'attaques contre les systèmes d'information. En outre, il vise à faciliter la prévention de ces infractions et à améliorer la coopération entre les autorités compétentes des Etats membres. Voici ce qu'il faut retenir.


1. Les actes de cybercriminalité sanctionnés

La proposition de directive exige que les États membres érigent en infraction pénale punissable les cinq types d'agissements suivants :

    - l'accès illégal à tout ou partie des systèmes d'information, à savoir l'accès commis en violation d'une mesure de sécurité ;

    - l'atteinte illégale à l'intégrité d'un système d'information, à savoir le fait de provoquer une perturbation grave ou une interruption du fonctionnement d'un système, en introduisant, effaçant, altérant, ou rendant inaccessibles des données informatiques ;

    - l'atteinte illégale à l'intégrité des données, à savoir le fait d'endommager, de détériorer, de supprimer ou de rendre inaccessibles des données informatiques d'un système ;

    - l'interception illégale (par des moyens techniques de transmissions non publiques) de données informatiques à destination, en provenance ou à l'intérieur d'un système d'information ;

    - enfin la mise à disposition (production, vente, importation, diffusion) d'outils (logiciels ou codes d'accès) utilisés dans l'intention de commettre l’une des infractions visées ci-dessus.

Ces actes doivent être commis de manière intentionnelle et sans droit, à savoir sans l'autorisation du propriétaire du système. Le texte exclut de la liste des infractions les "cas mineurs" d'attaques.  Il appartiendra à chaque Etat membre de définir ces "cas mineurs" et le cas échéant, de sanctionner ces attaques, selon leur droit national.

Le droit français sanctionne déjà une partie de ces agissements, à savoir les "atteintes aux systèmes de traitement automatisé de données" (STAD)(articles 323-1 et s. Code pénal).


2. Les personnes punissables de cyberattaques

Les auteurs des infractions mentionnées ci-dessus seront sanctionnés. Il en va de même pour la personne qui aura incité l'auteur à commettre l'une de ces infractions ou qui sera son complice. En outre, sera également punie la personne qui aura tenté de commettre une atteinte illégale à l'intégrité d'un système ou des données.

Par ailleurs, la proposition de directive prévoit que les personnes morales pourront être tenues responsables des infractions, lorsque celles-ci sont commises pour leur compte (par exemple “pirate” informatique mandaté pour attaquer la concurrence). Le droit français sanctionne également les personnes morales en cas d'atteintes à un STAD.

Si la proposition de directive sanctionne les entreprises, ce texte ne prévoit aucune sanction en cas de cyberattaque orchestrée par un Etat.


3. L'adoption de sanctions pénales : des peines plancher d'emprisonnement

La proposition de directive précise que les sanctions doivent être effectives, proportionnées et dissuasives. Ainsi, le texte exige que les Etats membres punissent les cyberdéliquants de peines d'emprisonnement, dont la durée minimum est fixée par le Parlement et le Conseil. Ces peines varient selon les infractions commises, allant de 2 à 5 ans.

Ainsi, la proposition de directive prévoit notamment qu'une personne coupable d'avoir utilisé un réseau d'ordinateurs zombies ("botnet") doit être punie d'un minimum de 3 ans d'emprisonnement. Quant aux pirates informatiques qui attaquent le système d'information d'une infrastructure critique (ex: centrales nucléaires, réseaux de transport et gouvernementaux), qui agissent dans le cadre d'une organisation criminelle ou qui causent de graves préjudices, ils devront être punis d'un minimum de 5 ans d'emprisonnement. La notion de "grave préjudice" n'est cependant pas définie dans le texte.

Le texte prévoit également des sanctions spécifiques à l'encontre des personnes morales, à savoir des amendes et des peines complémentaires telles que la fermeture temporaire ou définitive d'établissements ayant servi à commettre l'infraction.

En France, les infractions existantes en matière d'atteintes à un STAD sont punies de peines d'emprisonnement - de 2 à 7 ans, et d'amendes - de 30.000€ à 100.000€. Toutefois, contrairement aux dispositions de la proposition de directive, ces sanctions sont des peines maximales. Le recours aux peines plancher est peu utilisé dans notre système pénal ; traditionnellement, la loi pénale française fixe pour chaque infraction la peine maximale encourue, que le juge ne peut dépasser mais dont il est libre de faire une application partielle en fonction des faits de l'espèce et de la personnalité du condamné. Aussi, lorsque la directive sera adoptée, il appartiendra à la France de renforcer ses sanctions.


4. La poursuite des infractions et la coopération entre les Etats membres

La compétence des Etats membres  -  La proposition de directive prévoit que les Etats membres sont compétents lorsque l'une des infractions, mentionnées ci-dessus, a été commise, soit en tout ou en partie sur leur territoire, soit par l’un de leurs ressortissants, sous réserve que l'acte frauduleux constitue une infraction dans le pays où il a été commis.
En outre, lorsque l'acte cybercriminel a été commis en tout ou en partie sur son territoire, un État membre veille à se déclarer compétent lorsque : a) l'auteur de l'infraction a commis celle-ci alors qu'il était physiquement présent sur son territoire, que l'infraction vise un système d'information situé sur son territoire ou non ; ou b) l'infraction vise un système d'information situé sur son territoire, que l'auteur de l'infraction soit physiquement présent sur son territoire ou non lors de la commission de l'infraction.

Enfin, le texte prévoit qu'un Etat membre peut établir sa compétence, après en avoir informé la Commission européenne, lorsqu'une infraction a été commise en dehors de son territoire mais que, soit l'auteur de l'infraction réside habituellement sur son territoire, soit l'infraction a été commise pour le compte d'une personne morale établie sur son territoire.

La proposition de directive offre donc aux Etats membres une compétence juridictionnelle très étendue en matière de cyberattaques. Cette extension est telle que, selon les cas, plusieurs Etats pourraient se déclarer compétents à l'égard d'une même infraction. Or, le texte ne prévoit pas de solution particulière dans l'hypothèse où plusieurs Etats revendiqueraient une telle compétence.

Une coopération renforcée  -  Afin de lutter efficacement contre les attaques de cyberdéliquants, la proposition de directive souhaite mettre en place un système d'échange d'informations relatives aux infractions entre les Etats.

Pour ce faire, le texte exige que les États membres mettent en place un système de suivi des infractions (nombre d'infractions et nombre de personnes poursuivies et condamnées enregistrées), puis transmettent à la Commission les statistiques recueillies. Ces statistiques seront ensuite communiquées aux agences et organes spécialisés compétents de l'Union.

Par ailleurs, la proposition de directive créerait un réseau d'information et imposerait ainsi aux Etats membres de disposer de points de contact nationaux opérationnels chargés de relayer les informations pertinentes. Ces points de contact devraient être disponibles 24h/24 et 7j/7 et capables de répondre, dans un délai de 8 heures, à une demande urgente d'un autre Etat membre. Le texte ne donne pas d'information quant à l'organisation et la composition des équipes de ces points de contacts.


Cette proposition de directive doit désormais être votée par le Conseil. Une fois adoptée, les 28 Etats membres auront deux ans pour transposer la directive dans leurs droits nationaux.

Ce texte, qui vise à mettre en oeuvre une approche cohérente et globale de lutte contre la cybercriminalité, se situe dans le prolongement de la publication d'une stratégie commune de cybersécurité ainsi d’une proposition de directive relative à la sécurité des réseaux et de l’information. (2)

Cependant, face aux cybermenaces, les Etats membres n'attendent pas que la politique commune de l'Union soit définitivement adoptée pour agir aux niveaux nationaux et commencer à s’organiser. C'est ainsi qu'en avril 2013, la France a publié un nouveau Livre blanc sur la Défense et la Sécurité nationale. Ce livre blanc définit une stratégie nationale de cyberdéfense visant à prévenir et riposter aux cyberattaques. (3) De même, le gouvernement britannique vient d'entériner un accord visant à lutter contre les cybermenaces, avec neuf sociétés du secteur des télécommunications, de la défense, de l’aéronautique et des technologies de l’information. Cet accord a pour objectif d'établir un environnement collaboratif propice au partage du savoir et de l’expertise en matière de cyberdéfense. Il comporte plusieurs volets, tels que la protection des infrastructures, la surveillance préventive des systèmes ennemis et la sécurisation des réseaux au sein des agences gouvernementales. (4)


                                                     * * * * * * * * * *

(1) Résolution législative du Parlement européen du 4 juillet 2013 sur la proposition de directive du Parlement européen et du Conseil relative aux attaques visant les systèmes d'information et abrogeant la décision-cadre 2005/222/JAI du Conseil.

(2) Communication conjointe au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions. Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, Bruxelles, le 7.2.2013 COM(2013) 48 final 2013/0027 (COD).

(3) Voir notre article "Cyberdéfense : la stratégie nationale dévoilée dans le dernier Livre blanc sur la Défense et la Sécurité nationale", publié le 21 mai 2013 sur le blog du Cabinet (http://dwavocat.blogspot.fr/).

(4) Voir un article "Cyberdéfense : le Royaume-Uni consolide son arsenal", publié le 5 juillet 2013, sur http://www.itespresso.fr/.


Betty SFEZ - Avocat

Deleporte Wentz Avocat
http://www.deleporte-wentz-avocat.com/
Juillet 2013

Une nouvelle norme AFNOR pour assainir le domaine des avis de consommateurs sur internet

On connaît l’importance de l’influence des avis de consommateurs sur la décision d’achat en ligne, que ce soit pour les achats de biens ou de prestations (choix d’un hôtel ou d’un restaurant) et donc sur l’e-réputation des produits et commerces référencés.
Selon une enquête réalisée par le cabinet Easypanel en mars 2013, citée par la société Testntrust, 82% des e-consommateurs consulteraient “toujours” ou “parfois” les avis pour les guider dans leur décision d’achat. (1) Par ailleurs, selon LaFourchette.com, site comparateur de restaurants, l’augmentation d’un point de la note moyenne d’un restaurant se traduirait par une augmentation de 6% du nombre de réservations mensuelles. (2) A contrario, la baisse de cette note entraîne une baisse du chiffre d’affaires du commerce en cause.
Malheureusement nombre de sites affichent de faux avis de consommateurs : personnes n’ayant jamais acheté le produit ou séjourné à l’hôtel en référence, personnes rédigeant des avis contre rémunération, ou sites achetant de faux avis à des agences “spécialisées”.

Afin d’assainir ce domaine, une nouvelle norme “Avis en ligne des consommateurs” vient d’être publiée par l’AFNOR le 4 juillet. Cette norme, qui concerne tous types de produits et services et tous types de sites (sites comparateurs ou sites de e-commerce), a pour objet de maintenir la confiance des consommateurs sur ces avis en prônant plus de transparence. (3)


1. Les trois étapes du traitement des avis de consommateurs sur internet

La norme traite les avis en trois étapes, à savoir : l’étape de la collecte de l’avis, sa modération par le site web et enfin la restitution ou publication de l’avis sur le site.

- La collecte de l’avis
La collecte de l’avis du consommateur doit être conforme aux principaux points suivants : l’auteur s’engage à avoir effectivement acheté le produit ou utilisé le service et cette expérience doit pouvoir être vérifiée ; l’auteur de l’avis doit être identifié (l’avis peut cependant être anonymisé sur le site) et pouvoir être contacté (adresse email et téléphone par exemple) ; le site a interdiction d’acheter des avis.

- La modération par le site
Les avis doivent être modérés a priori, de manière automatique ou humaine. Le modérateur doit maîtriser la langue dans laquelle l’avis a été rédigé. Les règles de modération des avis sont décrites aux conditions de vente (CGV) ou d’utilisation (CGU) du site. Le délai de modération doit être rapide et les motifs de rejet d’un avis doivent être indiqués. Une fois en ligne, l’avis ne peut être modifié, mais il peut être supprimé à la demande de son auteur.

- La restitution (publication) de l’avis
Les avis doivent être publiés par ordre chronologique (plus récent au plus ancien), d’autres types de tri étant possibles. Les méthodes de calcul des notes globales et les délais de prise en compte des notes doivent être claires. Enfin, le délai de restitution (publication) doit être rapide et affiché.


2. Les conditions de mise en conformité par les sites de e-commerce

Pour rappel, la norme n’est pas une loi mais un texte consensuel élaboré par un panel de professionnels et qui reflète l’état de l’art. Les normes sont en principe revues tous les cinq ans environ, et sont donc évolutives.

La norme sur les avis en ligne des consommateurs n’est pas d’application obligatoire. Les professionnels qui le souhaitent peuvent soit décider de l’appliquer volontairement, soit obtenir une certification.

- L’auto-déclaration
Les sites comparateurs et de e-commerce collectant des avis de consommateurs peuvent décider de se mettre en conformité avec la norme NF Z74-501 par une auto-déclaration de conformité. Cependant, l’auto-déclaration de conformité à la norme engage la responsabilité de l’exploitant du site en cas de contrôle de la DGCCRF par exemple.

L’utilisation abusive d’une norme AFNOR est sanctionnée par le code de la consommation au titre des pratiques commerciales trompeuses. (4)

- La certification
La certification a pour objet de faire contrôler et attester par un organisme certificateur tiers la conformité des pratiques à la norme en référence.


Les critères figurant dans cette norme sur les avis en ligne de consommateurs peuvent paraître soit relever du bon sens (interdiction d’acheter de faux avis) soit poser des règles trop contraignantes (règles de modération). Cependant, la norme a le mérite de créer un référentiel de confiance pour assainir le domaine des avis, qui, comme nous l’avons rappelé plus haut, est un élément clé dans la décision d’achat des consommateurs. La question sera de voir comment cette norme sera accueillie par les sites comparateurs, et si elle sera par la suite étendue à l’international.

Enfin, bien que cette norme soit générique en ce qu’elle a vocation à s’appliquer à tous types de biens et de services et à tous types de sites recueillant des avis de consommateurs, elle ne prend a priori pas en compte les avis publiés sur les réseaux sociaux (Facebook, Twitter), qui restent à prendre avec “modération”, ni les “likes” (j’aime) et autres “followers”, mais il s’agit là d’un autre sujet.

                                                        * * * * * * * * * *

(1) Communiqué de la société Testntrust du 17 avril 2013

(2) Cité dans l’article des Echos “Le e-commerce chasse les faux avis de consommateurs”, publié le 2 juillet 2013

(3) Norme AFNOR Avis en ligne des consommateurs NF Z74-501

(4) Voir art. L.121-1 et s. et art. L.213.1 et s. du code de la consommation. Les peines maximum encourues s’élèvent à 37 500€ pour l’exploitant du site personne physique et 187 500€ pour les personnes morales.


Bénédicte DELEPORTE – Avocat

Deleporte Wentz Avocat
www.dwavocat.com
Juillet 2013

E-pharmacie : les conditions de vente de médicaments sur internet enfin précisées

Les médicaments sont des produits particuliers et leur vente sur internet, bien que désormais autorisée avec l’ordonnance et le décret d’application de décembre 2012, reste très encadrée. (1)

Conformément à l’article L.5121-5 du Code de la santé publique, le gouvernement vient de publier l’arrêté relatif aux bonnes pratiques de dispensation des médicaments par voie électronique. Cet arrêté a pour objet de préciser les conditions et recommandations relatives aux sites de e-pharmacie (conception du site et exploitation) et à la vente des médicaments en ligne (présentation des produits et conditions de vente). Il doit entrer en vigueur le 12 juillet 2013. (2)

La mise en place de la réglementation relative à la vente de médicaments en ligne s’élabore cependant dans la douleur. En effet, à la suite de la publication des textes de décembre 2012, le Conseil d’Etat a rendu une ordonnance en référé le 14 février 2013 relative aux catégories de médicaments pouvant être vendus en ligne. La réglementation française se voulant plus restrictive que la directive européenne, le Conseil d’Etat a ordonné la suspension du nouvel article L.5125-4 du Code de la santé publique qui interdisait la vente en ligne non seulement aux médicaments soumis à prescription obligatoire, mais également à une partie des médicaments en vente libre. (3) Or, la vente en ligne devait être autorisée pour tous les médicaments vendus sans ordonnance. Par ailleurs, le premier projet d’arrêté, datant de février, avait fait l’objet d’un avis défavorable de la part de l’Autorité de la concurrence. En effet, ce projet comportait plusieurs mesures restrictives de concurrence, jugées non justifiées par des considérations de santé publique (notamment interdiction de vente, sur le même site, de médicaments et de produits de para-pharmacie, ou restrictions en matière de liberté des prix). (4)

L’arrêté du 20 juin 2013 a levé ces restrictions. Nous rappelons ci-après les principales dispositions de cet arrêté, à savoir les conditions spécifiques relatives à la conception et à l’exploitation d’un site de e-pharmacie, à l’exercice de l’activité de e-pharmacien et à la vente de médicaments en ligne.


1. La conception et l’exploitation du site de e-pharmacie

Afin de respecter les particularités liées à la profession de pharmacien (profession réglementée), et à la vente de médicaments (produits particuliers), le site de e-pharmacie doit respecter certaines obligations de nature technique et interdictions, en sus des règles généralement applicables à la création et à l’exploitation d’un site de commerce électronique.

- L’exploitation du site de e-pharmacie : l’ordonnance de décembre 2012 réserve l’exploitation des sites de e-pharmacie aux pharmaciens titulaires d’une officine. La création du site est soumise au dépôt d’une demande d’autorisation auprès du directeur général de l’Agence Régionale de Santé (DGARS) ainsi que l’information du Conseil de l’Ordre des pharmaciens. (5)

L’arrêté de juin 2013 fixe des règles supplémentaires devant être respectées par le pharmacien souhaitant se lancer dans le commerce de médicaments en ligne.

L’exploitation d’un site de e-pharmacie est soumise à certaines interdictions justifiées par le souci de préserver l’indépendance professionnelle du pharmacien, le secret professionnel,  la communication d’informations neutres et objectives, conformément aux règles de déontologie décrites dans le Code de la santé publique.

Il est interdit au e-pharmacien :
    - de faire financer la création et l'exploitation du site par une entreprise produisant ou commercialisant des produits de santé (laboratoire pharmaceutique),
    - de sous-traiter à un tiers l'activité de vente par internet, à l'exception de la conception et de la maintenance techniques du site,
    - de recourir à des techniques de référencement payant via des moteurs de recherche ou des comparateurs de prix.

Enfin, sont interdits les liens hypertextes vers les sites des entreprises pharmaceutiques et les forums de discussion.

- Le choix du nom de domaine : le e-pharmacien n’a pas une liberté totale de choix du nom de domaine pour sa pharmacie en ligne. L’arrêté “recommande” que l'adresse du site internet comprenne le nom du pharmacien, éventuellement accolé à celui de l'officine. Ainsi, le nom de domaine ne doit pas être fantaisiste, ni tromper le patient sur le contenu du site, ou avoir un objectif promotionnel.

En outre, le nom de domaine doit évidemment respecter la réglementation en vigueur et notamment les dispositions du Code des postes et communications électroniques.

- Les mentions légales obligatoires : le site de e-pharmacie doit comporter des informations relatives à l’identification de l’exploitant du site conformément aux règles énoncées dans la loi pour la confiance dans l’économie numérique (LCEN du 21 juin 2004), complétées par les informations spécifiques telles que le numéro Répertoire Partagé des Professionnels de Santé du pharmacien, le numéro de licence de la pharmacie. Le site doit également intégrer des liens hypertextes vers les sites internet de l'Ordre national des pharmaciens et du Ministère chargé de la santé (qui tiennent à jour une liste des sites internet de pharmacies autorisés) et celui de l'Agence nationale de sécurité du médicament et des produits de santé.

- Le contenu du site de e-pharmacie : Le site n’est pas limité à la seule vente de médicaments. Le e-pharmacien pourra ainsi proposer à la vente en ligne toutes les autres gammes de produits vendues dans son officine, notamment les produits de para-pharmacie, de soin ou vétérinaires par exemple.

Le site devra cependant comporter un onglet spécifique à la vente de médicaments, afin de distinguer clairement les médicaments des autres produits vendus par le e-pharmacien.

Un espace privé pour chaque client-patient doit pouvoir être créé. Ce compte personnel du client récapitulera l’intégralité des commandes et des échanges avec le pharmacien.


2. L’exercice de l'activité d’e-pharmacien

L’activité de e-pharmacien s’exerce dans le prolongement de celle de pharmacien. Ainsi, comme mentionné ci-dessus, le pharmacien qui exploite un site de vente en ligne reste soumis à la réglementation prévue au Code de la santé publique, qui vient s’ajouter à celle relative au commerce électronique.

L’arrêté de juin 2013 prévoit plusieurs obligations spécifiques à la charge du e-pharmacien.

- La prolongation de l’obligation d’information et de conseil du patient, en ligne : la vente de médicaments en ligne est soumise à la possibilité d’établir un échange interactif et personnalisé entre le pharmacien et le patient avant la validation de la commande. Les réponses automatisées aux questions des patients ne permettent pas d’assurer une information pertinente et un conseil adapté aux besoins du patient.

Le e-pharmacien doit s'assurer de l'adéquation de la commande à l'état de santé du patient.  Pour ce faire, le site de e-pharmacie doit intégrer les éléments suivants : 
    - un questionnaire à remplir obligatoirement par le patient avant la validation de sa première commande en ligne. Ce questionnaire, dans lequel le patient renseigne son âge, son poids, etc. est validé par le e-pharmacien avant la validation de la commande ;
    - un dispositif technique, sécurisé et assurant la confidentialité des échanges, permettant le dialogue entre le pharmacien et le patient, par email ou tchat.

Outre le conseil et l'information au stade de la commande, le patient doit pouvoir poser des questions complémentaires au e-pharmacien, qui a l'obligation d'y répondre, via email ou tchat. Tous les échanges entre le e-pharmacien et le patient sont tracés, chiffrés et archivés.

- Le contrôle pharmaceutique : le contrôle de la quantité de médicaments à délivrer au patient est réalisé par le pharmacien. Un dispositif de blocage des commandes doit être mis en place sur le site pour éviter le dépassement de la quantité maximale autorisée. Une quantité minimale d'achat ne peut être exigée et le patient doit pouvoir ne commander qu'une seule boîte d'un médicament. Le e-pharmacien assure personnellement la délivrance et contrôle que le médicament qu'il délivre est bien celui commandé.

- La protection des données personnelles des patients : les données de santé sont des données considérées comme sensibles, faisant l'objet d'une protection renforcée. En qualité de responsable du traitement, le e-pharmacien est soumis aux dispositions de la loi Informatique et Libertés du 6 janvier 1978.


3. Les conditions de vente en ligne des médicaments

Hormis les règles généralement applicables à la vente en ligne, l’arrêté prévoit des conditions spécifiques additionnelles pour la vente de médicaments en ligne.

- Catégorie de médicaments autorisés à la vente en ligne : l’arrêté du juin 2013 confirme la catégorie de médicaments pouvant être vendus sur internet, à savoir les médicaments “de médication officinale qui peuvent être présentés en accès direct au public en officine, ayant obtenu l'autorisation de mise sur le marché (…)”. Les médicaments soumis à prescription obligatoire restent exclus de la vente sur internet.

- La présentation des produits en ligne : les conditions de présentation des médicaments sont strictement encadrées, de manière à rester neutres, claires, non trompeuses et informatives. L’arrêté précise ainsi les informations devant figurer sur les fiches produits,  telles que les dénominations de fantaisie et commune du médicament, les indications thérapeutiques de l'autorisation de mise sur le marché, etc. ainsi que la manière de classer les médicaments (par catégorie générale d'indication - douleurs, fièvre, nausées, toux… - puis de substances actives).

- Les prix : l'affichage du prix doit être visuellement identique pour chaque médicament afin d'éviter toute promotion ou mise en avant d'un médicament par rapport à un autre. Les frais de livraison sont en sus et précisés au moment de la commande.

- Les conditions de vente des médicaments : la vente de médicaments est soumise à des conditions spécifiques.

    - L’âge minimum du client : la vente de médicaments en ligne est réservée aux personnes ayant au moins 16 ans.

    - Les conditions générales de vente : la vente des médicaments en ligne est soumise à des conditions générales de vente (CGV). Les CGV doivent avoir été effectivement acceptées par le client-patient avant la conclusion de la commande, ou au plus tard avant le paiement. Ces conditions sont clairement présentées et facilement accessibles pour le patient.

Il est à préciser que le consommateur qui achète des médicaments en ligne ne bénéficie pas du droit de rétractation. L'absence du droit de rétractation doit être indiquée de manière claire dans les CGV et rappelée avant la validation de la commande.

    - La préparation de la commande et la livraison : les délais de traitement de la commande et de livraison sont précisés au patient. La préparation des commandes ne peut se faire qu'au sein de l'officine, dans un espace adapté à cet effet.

Le médicament est envoyé dans un paquet scellé par l'officine de pharmacie, sous la responsabilité du pharmacien. Le patient peut également se déplacer à l'officine pour prendre livraison de la commande.

    - Les réclamations : en cas d'erreur de délivrance (erreur de produit ou produit détérioré), le e-pharmacien doit rembourser le patient selon les modalités décrites dans les CGV.


Ainsi, les sites de e-pharmacie peuvent proposer à la vente, non seulement les médicaments non soumis à ordonnance, mais également les autres produits proposés dans l’officine. Le site internet de e-pharmacie devient ainsi le prolongement virtuel d’une officine de pharmacie.

La e-pharmacie est cependant très encadrée depuis la conception du site web jusqu’aux conditions de vente. Aussi, avant de se lancer dans la vente de médicaments en ligne, il est recommandé aux e-pharmaciens de s’assurer de la conformité du site et des modalités de vente aux règles mentionnées ci-dessus ainsi qu’aux règles propres au commerce électronique, sans oublier les règles professionnelles et déontologiques inscrites dans le Code de la santé publique.                                                       * * * * * * * * * * * * *

(1) Ordonnance n°2012-1427 du 19 décembre 2012 relative au renforcement de la sécurité de la chaîne d'approvisionnement des médicaments, à l'encadrement de la vente de médicaments sur internet et à la lutte contre la falsification de médicaments ; Décret n°2012-1562 du 31 décembre 2012 relatif au renforcement de la sécurité de la chaîne d’approvisionnement des médicaments et à l’encadrement de la vente de médicaments sur internet. Articles L.4211-1, L.5122-6-1, L.5125-33 et s., R.5125-26 et R.5125-70 et s. CSP.

(2) Arrêté n°AFSP1313848A du 20 juin 2013 relatif aux bonnes pratiques de dispensation des médicaments par voie électronique.

(3) Ordonnance du Conseil d’Etat n°365459 du 14 février 2013

(4) Avis de l’Autorité de la concurrence n°13-A-12 du 10 avril 2013 relatif à un projet d’arrêté de la ministre des affaires sociales et de la santé relatif aux bonnes pratiques de dispensation des médicaments par voie électronique

(5) Voir notre article “La nouvelle réglementation française sur la vente de médicaments sur internet”, publié sur notre Blog le 14 janvier 2013 (http://dwavocat.blogspot.fr/2013/01/la-nouvelle-reglementation-francaise.html).




Article publié sur le Journal du Net le 3/07/2013


Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat

Deleporte Wentz Avocat
www.dwavocat.com
Juillet 2013

Conflit entre les noms de domaine e-obseques.fr et i-obseques-paris.fr : absence de concurrence déloyale

Le Tribunal de commerce de Paris a rendu le 24 mai 2013 une décision intéressante en matière de noms de domaine. (1) Dans cette décision, le Tribunal a rappelé que le titulaire d’un nom de domaine descriptif de l'objet même du site web auquel il renvoit ne peut se prévaloir d’une quelconque protection juridique. En conséquence, l’exploitation par un concurrent d’un nom de domaine similaire ne constitue pas une faute.


1. Le contexte

Cette affaire opposait la société Le Passage exploitant un site web proposant des services d'obsèques dans toute la France à l’URL e-obseques.fr, à la société Services Funéraires - Ville de Paris (SFVP) exploitant un site web fournissant des services funéraires, à Paris et en proche banlieue parisienne à l’URL i-obseques-paris.fr.

Les noms de domaine e-obseques.fr et i-obseques-paris.fr avaient été respectivement enregistrés  en août 2010 et en avril 2011.

La société Le Passage a assigné les SFVP au motif que l'utilisation d'un nom de domaine, proche du sien, créait une confusion avec son propre site web et qu'en faisant ce choix de nom de domaine les SFVP agissaient de façon déloyale. La société Le Passage prétendait ainsi que l'attitude des SFVP était constitutive d'actes de concurrence déloyale.


2. Le caractère générique du nom de domaine e-obseques.fr

    2.1 Les arguments du titulaire du nom de domaine i-obseques-paris.fr
Les SFVP ont rejeté les prétentions de la société Le Passage pour les raisons suivantes :

    - d’une part, le nom de domaine e-obseques.fr est descriptif et n'est pas similaire à i-obseques-paris.fr. En outre, l'analyse comparative des sites et des services fournis permet d'affirmer que les activités des deux sociétés ne sont pas identiques. Or, selon les SFVP, il ne peut exister de risque de confusion entre les activités des deux sociétés, dans la mesure où ni les noms de domaine, ni les sites web, ni les services proposés sont identiques ou similaires ;

    - d’autre part, les SFVP affirment ne pas avoir capté la clientèle de la société Le Passage et soulignent à ce titre, que cette dernière ne rapporte pas la preuve d'une quelconque baisse du nombre de visites sur son site, ni d'une baisse de chiffre d'affaires depuis le lancement du site i-obseques-paris.fr.

En conséquence, les SFVP soutenaient n'avoir commis aucune faute et donc aucun acte de concurrence déloyale.

    2.2 Seul un nom de domaine distinctif peut être protégé
Il est de jurisprudence constante que seul doit être protégé le nom de domaine distinctif. Les tribunaux rejettent ainsi l'idée d'une protection basée sur l'antériorité du dépôt d'un nom de domaine générique.

Dans notre affaire, les SFVP considéraient que le nom de domaine e-obseques.fr était dénué de caractère distinctif, pour les raisons suivantes :

    - le nom de domaine e-obseques.fr correspond à la désignation du service fourni par la société Le Passage, à savoir un service d’obsèques proposé par voie électronique. En effet, le préfixe "e" désigne habituellement un service par voie électronique ; le terme "obseques" désigne le service fourni ;
    - les termes composant ce nom de domaine s'apparentent à des mots-clés, comme ceux utilisés pour effectuer une requête sur un moteur de recherche, pour naviguer sur internet ;
    - les termes composant ce nom de domaine ne permettent pas l'identification d'une entreprise particulière.

Dès lors, les SFVP considéraient que les termes composant le nom de domaine de la société Le Passage étaient purement descriptifs de son activité et que le nom de domaine e-obseques.fr était dépourvu de toute originalité et de caractère distinctif. Les SFVP concluaient que ce caractère descriptif privait la société Le Passage d'une quelconque exclusivité quant à l'utilisation des termes composant le nom de domaine e-obseques.fr.


3. Une décision en ligne avec la jurisprudence des noms de domaine

Le Tribunal a suivi les arguments des SFVP en relevant que :

    - l’adresse internet choisie par la société Le Passage pour exercer son activité est la simple juxtaposition du mot obsèques et de la lettre “e-” ;
    - dans l’environnement internet, la lettre “e-” associée au terme “commerce” évoque le commerce électronique ;
    - l’adresse «“e-obseques.fr” signifie donc “commerce électronique d’obsèques”, ce qui est l’exacte activité du site internet exploité par la société Le Passage.

Selon le Tribunal, en choisissant des termes intégralement descriptifs, la société Le Passage s’exposait à retrouver les mêmes termes dans des sites concurrents et notamment sur les moteurs de recherches, qui prennent en compte la requête “obsèques” pour délivrer leurs réponses.

Compte tenu de ce choix de nom de domaine, qui lui a évité les investissements indispensables pour donner une notoriété propre à une adresse internet non descriptive, le Tribunal a jugé que la société Le Passage ne pouvait revendiquer une protection qui aboutirait à lui reconnaître un monopole d’utilisation d’un terme descriptif.

Enfin, le Tribunal a constaté que la société Le Passage n'était pas en mesure d’établir  l'existence d'une confusion entre le graphisme de leur site et celui du site web des SFVP. Le Tribunal a donc jugé que les SFVP n'avaient commis aucune faute et a débouté la société Le Passage de toutes ses demandes.


Cette décision est conforme à la jurisprudence actuelle en matière de noms de domaine. Ainsi, dans un arrêt récent de la Cour d’appel de Bastia, les juges ont rendu une décision similaire concernant les noms de domaines "mariagesencorse.com" et "mariageencorse". (2)

Dans cette affaire, le titulaire du nom de domaine "mariagesencorse.com" avait assigné en concurrence déloyale, le titulaire du nom de domaine "mariageencorse", enregistré postérieurement. Le demandeur réclamait que la société concurrente soit condamnée (i) à ne plus utiliser le nom de domaine litigieux, (ii) à procéder aux formalités de transfert du nom de domaine au profit du demandeur et (iii) à payer des dommages et intérêts pour préjudice commercial et moral. Le demandeur a été débouté de ses demandes au motif que le nom de domaine litigieux était générique et descriptif de l’activité de la société. Son titulaire ne pouvait donc valablement se prévaloir de la protection d'un tel nom de domaine.


                                                    * * * * * * * * * * *

(1) Tribunal de commerce de Paris, 15e ch., 24 mai 2013, C. Davril, Le Passage / SFVP. Voir décision sur Légalis : http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=3764. A noter que dans cette affaire, les SFVP étaient représentés par le Cabinet Deleporte Wentz Avocat.

(2) CA Bastia, ch. civ. B, 20 mars 2013, Angela A. c/ Iris Média et autres.

Betty SFEZ
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2013

Accès frauduleux à un STAD : de la nécessité de sécuriser le système d'information de l’entreprise

1. Le contexte

La sécurité informatique doit être l'une des préoccupations majeures des entreprises. Et pour cause : la perte ou le vol d'informations ou l'indisponibilité du système d'information peuvent avoir de lourdes conséquences, telles l’atteinte à l'e-réputation de l'entreprise, la captation frauduleuse de clientèle, la perte de marchés et de compétitivité, la divulgation de secrets d’affaires et de savoir-faire.

Face à ces menaces, le système juridique français dispose d'un arsenal répressif issu, entre autres, de la loi Godfrain du 5 janvier 1988 (modifiée par la loi du 27 mars 2012). (1) Sont ainsi sanctionnées pénalement les atteintes aux systèmes de traitement automatisé de données (STAD), aux bases de données à caractère personnel, et au secret des correspondances, sans oublier l'usurpation d'identité numérique, l'escroquerie, la contrefaçon, etc. Mais la répression judiciaire n'est pas l'unique solution en réaction à une intrusion non autorisée. Il appartient aux entreprises d’être proactives et de définir et mettre en oeuvre une politique de sécurité de leurs réseaux et systèmes d'information, faute de quoi, celles-ci pourraient être considérées comme ayant commis une grave négligence.

Une décision récente rendue par le Tribunal de grande instance de Créteil illustre parfaitement ces obligations. Dans cette affaire, une personne avait accédé et récupéré des documents internes via l'extranet de l'Agence nationale de sécurité de l'alimentation, de l'environnement et du travail (l'Anses). L'auteur des faits a cependant été relaxé au motif que l'Anses n'avait pas sécurisé son système d'information. (2)


2. Le jugement du TGI de Créteil du 23 avril 2013

Dans cette affaire, la fraude avait été découverte par un salarié de l’Anses qui, en naviguant sur internet, avait retrouvé des documents internes à l'Agence et non divulgués au public. L'Anses a porté plainte auprès des services de police pour intrusion dans son système d'information et vol de données.

L’Anses étant considérée comme un opérateur d'importance vitale (ou OIV), l'enquête a été diligentée par la Direction centrale du renseignement intérieur (DCRI). (3) Les investigations ont permis de déceler une erreur de paramétrage du serveur hébergeant l'extranet de l'Agence, de découvrir depuis quelle adresse IP les documents de l'agence avaient été téléchargés et de remonter jusqu'à l'auteur de l'intrusion.

L'auteur des faits a ensuite été cité à comparaître pour d'une part, avoir accédé et s'être maintenu frauduleusement dans le STAD de l'Anses et d'autre part, avoir soustrait des documents sur l'extranet de l'Agence, via téléchargement. Pour mémoire, ces infractions sont punies d'un maximum de 5 ans d'emprisonnement et 75.000€ d'amende. (4)

Si le prévenu a reconnu avoir récupéré les documents de l'Anses via son VPN, il a néanmoins indiqué être arrivé par erreur au coeur de l'extranet de l'Anses et avoir eu librement accès aux documents litigieux, après une recherche complexe sur le moteur de recherche Google. En outre, le prévenu a précisé ne pas avoir récupéré de documents via la page d'accueil du site de l'Agence, dont l'accès était sécurisé (identifiant et mot de passe).

Le Tribunal a relaxé le prévenu des deux chefs d'accusation, pour les motifs exposés ci-après.

    2.1 Pas d'atteinte à un STAD non sécurisé
Le Tribunal a rappelé que le délit d'accès frauduleux à un STAD était constitué dès lors qu’une personne non habilitée pénétrait dans un système de traitement automatisé de données en sachant qu’elle n’y était pas autorisée.

Or, en l’espèce, une défaillance technique existait dans le système de l'Anses. Le prévenu, qui n’était pas ingénieur informatique et n’avait pas utilisé de moyens très sophistiqués pour s’introduire dans le système de l’Anses, avait pu récupérer les documents sans aucun procédé frauduleux.

Aussi, le Tribunal a jugé que "même s’il n’est pas nécessaire pour que l’infraction existe que l’accès soit limité par un dispositif de protection, le maître du système, l’Anses, en raison de la défaillance technique, n’a pas manifesté clairement l’intention de restreindre l’accès aux données récupérées par (le prévenu) aux seules personnes autorisées".

Dès lors, le Tribunal a considéré que le prévenu avait pu légitimement penser que, si l’accès à certaines données du site de l'Agence nécessitaient un code d’accès et un mot de passe, les données qu’il avait récupérées étaient en libre accès.

    2.2. Pas de vol de données sans soustraction matérielle
Le vol consiste en la soustraction frauduleuse de la chose d’autrui (art. 311-1 du Code pénal). Or, dans le cas présent, le prévenu avait simplement téléchargé et enregistré sur des supports des fichiers informatiques de l’Anses, cette dernière n’ayant jamais été dépossédée de ces données, puisque les documents demeuraient disponibles et accessibles à tous sur le serveur.

Aussi, le Tribunal a jugé qu'en l’absence de soustraction matérielle des documents appartenant à l’Anses, et donc en l'absence d’appréhension d’une chose, le délit de vol n'était pas constitué.

Dès lors, le Tribunal a considéré que le prévenu avait pu légitimement penser que les documents litigieux étaient librement téléchargeables, puisque non protégés par un quelconque système. Il n’y a pas eu de la part du prévenu une volonté d’appropriation frauduleuse de ces fichiers informatiques et donc pas d’élément intentionnel de l’infraction.


3. En conclusion : l’obligation de sécurisation du STAD

Ce jugement est dans la droite ligne de la jurisprudence relative aux accès frauduleux aux systèmes informatiques et permet de rappeler les obligations incombant aux entreprises en matière de sécurisation de leurs systèmes. (5)

Ainsi, pour que l’infraction soit constituée, les éléments suivants doivent être démontrés : intrusion  non autorisée dans le STAD (via phishing, hacking ou toute autre méthode permettant de s’introduire frauduleusement dans le système) et vol de données par soustraction matérielle. Ceci implique donc que le STAD doit être sécurisé.

La négligence en matière de sécurité est d'ailleurs expressément sanctionnée par la loi. Le Code pénal punit de 5 ans d'emprisonnement et 300.000€ d'amende, toutes entreprises qui traiteraient des données personnelles concernant leurs clients, par exemple, sans mettre en place des mesures de sécurité permettant d'en assurer l'intégrité et la confidentialité.

En outre, la tendance vers un renforcement de cette obligation de sécurité pesant sur les entreprises ressort de plusieurs projets et études, telle que la proposition de règlement européen  du 25 janvier 2012 relatif au traitement des données personnelles et les recommandations du livre blanc sur la Défense et la Sécurité nationale, publié par le Ministère de la défense fin avril 2013. (6)

Il est donc recommandé aux entreprises de s’assurer, via des audits juridique et de sécurité, de la protection de leurs réseaux et systèmes d'information et de la conformité de leur politique de sécurité à la loi. A défaut, il conviendra de prendre toutes mesures nécessaires de mise en conformité par la mise en oeuvre de procédés de sécurisation logique et physique de leurs systèmes d’information, la sensibilisation et la formation des salariés et utilisateurs via la publication de bonnes pratiques ou de codes de conduite en matière de sécurité et des audits réguliers.
                                                            * * * * * * * * * * *

(1) Loi n°88-19 du 5 janvier 1988, dite Loi Godfrain, modifiée par la loi n° 2012-410 du 27 mars 2012 relative à la protection de l'identité.

(2) TGI de Créteil, 11e ch. correctionnelle, 23 avril 2013, Ministère public / Olivier L. A noter que le Ministère public a interjeté appel de ce jugement

(3) Les opérateurs d'importance vitale - OIV - sont des organismes publics ou privés de production et de distribution de biens et de services indispensables à la satisfaction des besoins essentiels de la population, à l’exercice de l’autorité de l’État, au fonctionnement de l’économie, au maintien du potentiel de défense et à la sécurité de la nation. Un organisme est considéré comme OIV si l’arrêt ou la destruction de son activité peut avoir de graves incidences sur la santé, la sécurité, le bien-être économique des citoyens ou le fonctionnement de l’Etat. On trouve des OIV dans de nombreux secteurs de l'économie : banque et finance, transports et distribution, énergie, services de base, santé, approvisionnement alimentaire et communications, ainsi que certains services administratifs de base. Voir précisions aux articles R.1332-1 et suivants du Code de la défense

(4) Les atteintes aux systèmes de traitement automatisé de données (STAD) sont sanctionnées par les articles 323-1 et s. du Code pénal. Ces articles, issus de la loi Godfrain, ont été modifiés par la loi du 27 mars 2012 relative à la protection de l'identité. Cette loi a ajouté des pénalités majorées en cas d’atteinte à un STAD de l’Etat ; le vol est défini et sanctionné par les articles 311-1 et s. du Code pénal.

(5) Voir par exemple : CA Paris, 12é ch., 30 oct. 2002 Antoine C. / Ministère public et société Tati ; TGI Paris, 12é ch., 17 déc. 2010, Blogmusik / Anthony C.

(6) Voir : proposition de règlement du parlement européen et du conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du 25 janvier 2012, (2012/0011 (COD) ; Livre blanc sur la Défense et la Sécurité nationale, publié par le Ministère de la défense fin avril 2013

Article publié sur le Journal du Net le 11/06/2013

Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2013

Protection des données personnelles : qui est responsable en cas de manquement à la loi ?

Toute entreprise, quels que soient son domaine d’activité et sa taille, collecte et traite des données à caractère personnel concernant notamment ses employés et clients, pour des traitements divers (gestion du personnel, gestion clients, contrôles d’accès, etc.).

Les règles de collecte et de traitement de ces données doivent respecter les dispositions de la loi Informatique et Libertés. Cette loi impose au "responsable de traitement" le respect de nombreuses obligations, sous peine de sanctions administratives et pénales.(1)

En pratique, il n'est pas toujours facile de déterminer la personne ou l'entité sur laquelle pèsent ces obligations. Par ailleurs, les problèmes soulevés par le déploiement de nouveaux types de traitements ou de nouveaux services peuvent poser des questions complexes relatives à la conformité à la loi.

Nous rappelons ci-après la notion de responsable de traitement et les responsabilités et sanctions applicables en cas de manquement à la loi Informatique et libertés.


1. Le responsable de traitement de données personnelles

Un traitement de données à caractère personnel comprend tous types d'opérations, quel que soit le procédé utilisé, qui permettent d'identifier une personne physique, directement ou indirectement, et notamment, le fait de collecter, enregistrer, conserver, modifier, diffuser ou détruire des données personnelles.

La loi Informatique et Libertés définit le responsable de traitement de données personnelles comme la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens dudit traitement (art.3).

Dès lors, pour qu'une personne ou un organisme soit qualifié de responsable de traitement, les deux critères suivants doivent être réunis :

- Décider de la finalité du traitement : le responsable de traitement est la personne qui détermine les raisons du traitement, ainsi que les catégories de données collectées. La finalité correspond à des besoins propres à chaque organisme, tels que la nécessité de constituer un fichier clients/prospects pour les activités commerciales. 

- Décider des moyens du traitement : le responsable de traitement est la personne qui détermine les modalités de mise en oeuvre de ce traitement. Le responsable déterminera ainsi quels types de données seront collectées, pendant combien de temps elles seront conservées, qui sera le (ou les) destinataire(s) des données, comment les personnes dont les données sont collectées pourront exercer leurs droits (opposition, rectification), etc.

En conséquence, le responsable de traitement est la personne qui détermine et décide de la politique de gestion des données personnelles dans l’entreprise. Le responsable de traitement doit être distingué des personnes (salariés, responsables opérationnels, ou sous-traitants) qui mettent en oeuvre ces traitements, et ce quelque soit leur degré d'autonomie.

Le responsable de traitement est, en règle générale, le dirigeant de l'entreprise. Celui-ci peut cependant décider de mettre en place une délégation de pouvoirs à l’un de ses directeurs (DSI, directeur juridique, etc.) afin d’aménager sa responsabilité, et sous réserve de la validité de cette délégation de pouvoirs. (2)


2. La responsabilité et les sanctions encourues en cas d'infraction à la loi Informatique et Libertés

La collecte et le traitement des données personnelles doivent respecter les principes définis par la loi Informatique et Libertés. 

De nombreuses obligations pèsent sur le responsable de traitement, notamment : (i) déclarer à la CNIL tout traitement ou fichier automatisé de données (déclarations ou demandes d'autorisation et d'avis selon les données concernées et les traitements envisagés), préalablement à sa mise en oeuvre, (ii) faire une collecte loyale et licite des données, (iii) respecter la finalité du traitement, (iv) conserver les données pendant une durée raisonnable, (v) assurer l’intégrité des données en adoptant des mesures de sécurité et (vi) permettre aux personnes concernées par le traitement de leurs données, d’exercer leurs droits (droits d'accès, de contestation, de rectification et d’opposition).

En cas de manquement à ces obligations, le responsable de traitement encourt deux types de sanctions : des sanctions administratives, et des sanctions pénales.

    2.1 Qui encourt les sanctions administratives ?
La Commission Nationale de l'Informatique et des Libertés (CNIL) dispose de pouvoirs de contrôle et de sanction à l'encontre des responsables de traitements.

Les sanctions prononcées par la CNIL  - Des contrôles sur place (dans les locaux de l’entreprise) peuvent être réalisés, au cours desquels les agents de la CNIL peuvent demander la communication de tout document, recueillir tout renseignement utile et accéder aux programmes informatiques et aux données afin de vérifier la conformité à la loi. Ces contrôles peuvent être réalisés de façon inopinée pour répondre à des besoins ponctuels, dans le cadre de l'instruction de plaintes, à l’encontre d’un site web par exemple.

Lorsque des manquements à la loi sont relevés, la CNIL peut prononcer un avertissement ou mettre le responsable du traitement en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe. Si le responsable du traitement ne se conforme pas à la mise en demeure, la CNIL peut prononcer une injonction de cesser le traitement, un retrait de l’autorisation éventuellement accordée ou une sanction pécuniaire d'un montant maximum de 300.000€ (ou 5% du chiffre d'affaires hors taxes du dernier exercice clos de l’entreprise, dans la limite de 300.000€). Le montant de la sanction est proportionné à la gravité des manquements commis et des avantages tirés de ces manquements.

Les personnes ou entités responsables  -  En pratique, les mises en demeure et autres sanctions délivrées par la CNIL concernent la société, personne morale, mais sont notifiées au chef d'entreprise, en sa qualité de représentant légal. Les traitements de données personnelles étant réalisés pour le compte de la personne morale, c'est généralement cette dernière qui va être sanctionnée par la CNIL. Même si le chef d'entreprise aura décidé des finalités et des moyens du traitement, ce dernier sera rarement sanctionné personnellement. Ce n'est donc pas lui qui va, le cas échéant, payer l'amende.

En principe, il en va de même dans l'hypothèse où le chef d'entreprise aurait délégué la gestion du traitement des données personnelles à un collaborateur. La délégation de pouvoirs ne vise qu'à exonérer le chef d'entreprise de sa responsabilité pénale. Or, dans l'hypothèse où la CNIL serait saisie d'un dossier, le chef d'entreprise n'engagerait pas sa responsabilité pénale en tant que telle, les sanctions prononcées par la CNIL étant d'ordre administratif.

    2.2 Qui encourt les sanctions pénales ?
Les infractions à la loi informatique et Libertés sont également sanctionnées pénalement.

Les sanctions pénales  -  La CNIL peut décider de dénoncer les infractions à la loi au procureur de la République. Par ailleurs, le procureur de la République pourra aviser le Président de la CNIL de toutes poursuites relatives aux infractions Informatiques et Libertés et le cas échéant, des suites qui leur sont données.

Le Code pénal prévoit, aux articles 226-16 et suivants, des sanctions spécifiques aux "atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques". Ainsi, le fait de procéder, y compris par négligence, à des traitements de données personnelles non conformes à la loi Informatique et Libertés est sanctionné jusqu'à 5 ans d’emprisonnement et 300.000€ d’amende.

Ces sanctions concernent les personnes physiques, mais le Code pénal prévoit également des sanctions pour les personnes morales. En effet, les entreprises déclarées responsables pénalement des infractions à la loi Informatique et Libertés encourent jusqu'à 1.500.000€ d'amende et des peines complémentaires, telles que (i) l'interdiction, à titre définitif ou provisoire, d'exercer l'activité dans l'exercice ou à l'occasion de l'exercice de laquelle l'infraction a été commise et (ii) la diffusion de la décision de justice par tout moyen de communication au public.

Les personnes ou entités responsables  - Deux catégories de personnes peuvent encourir des sanctions pénales en cas de manquement à la loi Informatique et Libertés : le responsable de traitement, personne morale et le responsable de traitement, personne physique.

- La responsabilité de l'entreprise : l'entreprise, personne morale, peut sous certaines conditions, engager sa responsabilité pénale, soit à la place de la personne physique auteur de l'infraction, soit conjointement avec l’auteur de l’infraction. L'entreprise peut être déclarée responsable pénalement d'infractions, sous réserve qu'elles aient été commises, d'une part, pour "son compte" et d'autre part, par ses organes ou représentants (article 121-2 Code pénal). Le traitement de données personnelles mis en oeuvre au sein d'une entreprise par son dirigeant, pour les besoins de l’entreprise, remplit ces deux conditions.

Dès lors, une entreprise peut être condamnée à payer une amende pour manquement à la loi relative à la protection des données personnelles. Toutefois, sa responsabilité pénale n'exclut pas celle des personnes physiques, auteurs ou complices des mêmes faits.

- La responsabilité du chef d'entreprise ou du titulaire d'une délégation de pouvoirs : le chef d'entreprise est généralement considéré comme le responsable du traitement des données personnelles mis en oeuvre au sein de sa société, car c'est lui qui détermine la politique de gestion des traitements.

La responsabilité pénale de l'employeur sera donc engagée en cas d'infraction à la loi Informatique et Libertés commise par l'un de ses salariés, dans l'hypothèse, par exemple, où il n'aurait pas pris les mesures de sécurité suffisantes pour éviter la perte de données personnelles. Dans ce cas, il sera reproché au chef d'entreprise une négligence fautive dans son devoir de contrôle de l'application de la réglementation par ses employés.

L'employeur poursuivi pour une infraction à la législation Informatique et Libertés peut-il cependant s’exonérer de sa responsabilité s'il justifie d'une délégation de pouvoirs ? En cas de délégation de pouvoirs, le délégataire pourrait être tenu responsable des infractions à la loi, sous réserve que la délégation recouvre le même domaine que celui de l'infraction poursuivie et remplisse les conditions de validité y afférentes.

La charge de la preuve de l’existence d’une délégation de pouvoirs valide incombera au chef d'entreprise ; cette preuve peut être rapportée par tous moyens. Aussi celui-ci devra démontrer que :
    (i) la délégation portait sur la gestion des traitements de données personnelles. En présence d'une délégation de pouvoirs écrite, cette dernière devra contenir une mention précise à cet effet, à savoir une clause spécifique Informatique et Libertés ;
    (ii) le délégataire est pourvu de l'autorité, de la compétence et des moyens nécessaires pour remplir sa mission. Déléguer cette mission à un simple exécutant, sans pouvoir décisionnaire, n'est pas valable.


Les questions relatives à la responsabilité des manquements à la protection des données personnelles feront encore l'objet de nombreux débats dans les mois à venir. En effet, la proposition de règlement européen portant sur la protection des données personnelles, censé être adopté d'ici 2015, prévoit deux nouveautés, dans sa première version (3) :
  - une augmentation sensible des sanctions financières en cas d'infractions : le projet de texte européen prévoit d’imposer des amendes pouvant s'élever à 2% du chiffre d’affaires annuel mondial de l’entreprise fautive ;
  - une définition étendue de la notion de responsable de traitement : le projet de texte européen prévoit que le responsable du traitement est "la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités, les conditions et les moyens du traitement de données à caractère personnel”.

Cette nouvelle définition permettra la mise en oeuvre d’un système de co-responsabilité entre tous les acteurs ayant décidé, de manière autonome et concertée, de la création d’un traitement de données à caractère personnel, qu'ils soient salariés, responsables opérationnels ou sous-traitants. L’objet de cette nouvelle définition est notamment de prendre en compte la réalité imposée par les traitements gérés en mode Cloud, pour lesquels les conditions et les moyens de traitements sont généralement déterminés par le prestataire Cloud et non par l’entreprise. Cependant, cette co-responsabilité pourrait être source d’insécurité juridique dans sa mise en oeuvre.

                                               * * * * * * * * * * *

(1) Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

(2) La délégation de pouvoir est soumise à des conditions de validité - conditions de fond et conditions de forme -pour pouvoir être considérée comme effective vis-à-vis du déléguant.

(3) Proposition de règlement du parlement européen et du conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du 25 janvier 2012, (2012/0011 (COD)

Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2013

Cyberdéfense : la stratégie nationale dévoilée dans le dernier Livre blanc sur la Défense et la Sécurité nationale

Les cyberattaques contre les Etats, leurs institutions, leurs moyens de communications, les banques et les entreprises nationales sont régulièrement au cœur de l’actualité des TIC. Par exemple, dernièrement les médias ont rapporté deux types d’attaques : la première, en février 2013, avait ciblé la presse américaine en piratant les systèmes informatiques du New York Times, du Wall Street Journal et de la chaîne d'informations CNN ; la seconde, en mars 2013, avait ciblé les réseaux informatiques des chaînes de télévision et des banques de la Corée du Sud. Les Etats victimes ont publiquement désigné des gouvernements étrangers comme étant les commanditaires de ces attaques, si bien que l'on serait tenté de qualifier ces conflits de "cyberguerre".(1)

Face à la prolifération de ce type d’attaques, les institutions européennes (2) et les pays, dont la France, développent des politiques de sécurité des réseaux et des systèmes d’information. C'est dans ce contexte que le nouveau Livre blanc sur la Défense et la Sécurité nationale, publié par le Ministère de la défense fin avril 2013, fait de la lutte contre la cybermenace une priorité nationale.(3) Ce livre établit une stratégie nationale de cyberdéfense visant à prévenir et riposter aux cyberattaques.


1. L'existence d'une cybermenace pesant sur le territoire national

Des attaques croissantes dans le cyberespace  -  Le livre blanc fait état de l’accroissement du nombre d’attaques informatiques contre les systèmes d'information des entreprises nationales et de l'Etat, de leur diversification et de leur sophistication.

Ce texte qualifie la cybermenace de "menace majeure" pour la sécurité de la Nation. Ainsi, parmi les six menaces identifiées dans ce livre comme affectant gravement la sécurité nationale, les cyberattaques viennent en 3e position après les agressions par un autre Etat contre le territoire national et les attaques terroristes.

En outre, le livre blanc précise qu'une attaque informatique de grande envergure pourrait constituer un véritable "acte de guerre", si les intérêts stratégiques nationaux étaient menacés.

Enfin, le livre blanc qualifie le cyberespace de "milieu opérationnel". Le cyberespace constitue ainsi le 5e milieu opérationnel après la terre, la mer, l'air et l'espace. Ce texte précise également que le cyberespace constitue désormais "un champ de confrontation à part entière", et donc une zone de conflit potentiel sur laquelle doivent pouvoir être déployées des forces d'intervention.

Des risques à ne pas négliger  -  Bien que les cyberattaques n'aient jusqu'à présent causé la mort d'aucun homme, elles font courir des risques considérables pour les entreprises nationales et l'Etat.

En effet, le vol d'informations stratégiques et sensibles (informations industrielles, économiques, financières ou militaires) - ou la captation de savoir-faire par le biais d'intrusions informatiques, peut avoir un impact direct sur la compétitivité économique de la France.

En outre, les attaques visant la destruction ou la prise de contrôle à distance de services essentiels au fonctionnement du pays ou à sa défense, à savoir des actions malveillantes sur les systèmes d'informations et de communication d'opérateurs d'importance vitale (OIV) (4) ou sur les infrastructures et équipements militaires, pourraient engendrer la paralysie de pans entiers de l'activité du pays.

L'Estonie a ainsi été victime d'une vague d'attaques informatiques en avril 2007. Ces attaques, visant les sites web gouvernementaux et publics, ceux des opérateurs de téléphonie mobile, des banques commerciales et des organes d'information, ont perturbé durant plus d'un mois la vie courante du pays, en privant les Estoniens de l'accès à certains services en ligne essentiels.(5)

L'importance de la cybermenace est accentuée par la difficulté à établir l'origine géographique de l'attaque et donc à identifier les pirates. Or, la France doit être en mesure de se protéger contre de telles attaques. C'est pour cette raison que le gouvernement français a décidé d'inscrire la cyberdéfense parmi les priorités stratégiques nationales.


2. L'élaboration d'une stratégie de cyberdéfense nationale

Afin d'assurer la "continuité des fonctions essentielles de la Nation", le livre blanc préconise de renforcer le niveau de sécurité des systèmes d'information (SSI) des OIV et de l'Etat. Ce renforcement de la SSI passera par deux types d'actions : d'une part, l'élaboration et la mise en oeuvre de mesures législatives et réglementaires en matière de sécurité et d'autre part, le déploiement de forces armées destinées à la cyberdéfense.

L'adoption nécessaire de dispositions légales et de bonnes pratiques  -  Le livre blanc prévoit l'adoption prochaine de mesures législatives et réglementaires visant à permettre aux OIV et à l'Etat, de détecter et traiter les incidents informatiques touchant leurs systèmes d'information.

Aussi, seront imposés le respect de standards et référentiels de sécurité ainsi que l'obligation de déclarer les incidents. Cette dernière mesure, déjà prévue dans le rapport Bockel sur la cyberdéfense de juillet 2012, et le projet de directive européenne sur la sécurité de réseaux et de l'information, de février 2013, impose aux entreprises françaises de notifier à l'ANSSI tous incidents (perte, vol, piratage de données, etc.) qui ont un impact significatif sur la sécurité des services qu'elles fournissent.

Le livre blanc prévoit par ailleurs que des audits de sécurité des systèmes d'information seront réalisés par l'Etat, qui, le cas échéant, pourra imposer des mesures de mise en conformité. Le texte préconise également d'inclure dans "les marchés publics comprenant des éléments numériques des clauses drastiques concernant la sécurité".

Enfin, le livre blanc précise que des budgets annuels seront alloués à des entreprises françaises pour la conception et le développement de produits de sécurité. Ce texte souligne en effet l'importance pour la France de produire "en toute autonomie" des dispositifs de sécurité et de maintenir une "industrie nationale performante".

Le renforcement des capacités militaires de cyberdéfense  -  Ce renforcement des moyens humains militaires passe par la consolidation des activités de renseignement, la création de forces nouvelles et une formation accrue à la sécurité numérique.

- Développement des capacités de renseignement : le livre blanc affirme la nécessité de développer l'activité de renseignement et les capacités techniques y afférentes, "afin d'identifier l'origine des attaques, évaluer les capacités offensives des adversaires potentiels et de pouvoir ainsi riposter de manière adéquate".

- Mise en place d'un vivier de réservistes : le livre blanc précise que deux catégories de réserves seront créées : d'une part, une réserve opérationnelle, rattachée aux services de renseignement et mobilisable en cas d'attaque majeure, et d'autre part, une réserve citoyenne cyberdéfense, mobilisant notamment des jeunes techniciens et informaticiens intéressés par les enjeux de sécurité numérique.

- Formation du personnel : enfin, le livre blanc insiste sur la nécessité de sensibiliser les administrations et salariés d'OIV aux règles élémentaires de sécurité ou "d'hygiène cybernétique", d’accroître le nombre d’experts français en sécurité informatique et de veiller à ce que ce domaine soit intégré aux enseignements supérieurs en informatique.


La cybersécurité est devenue un défi majeur tant pour les entreprises que pour les Etats. Le livre blanc insiste sur la nécessité de développer les capacités de la France à détecter les attaques, à en déterminer l'origine et, lorsque les intérêts nationaux sont menacés, à riposter.

Auteur du rapport de juillet 2012 sur la cyberdéfense, le sénateur Bockel a déclaré être satisfait du fait que les préconisations suivantes du rapport aient été reprises dans le livre blanc : faire de la cyberdéfense et de la protection des systèmes d'information une priorité nationale (priorité n°1) ; renforcer les effectifs et les moyens dédiés au sein des armées (priorité n°2) ; rendre obligatoire pour les entreprises et les OIV une déclaration d'incident à l'ANSSI en cas d'attaque importante contre les systèmes d'information (priorité n°5) ; et soutenir notamment des PME spécialisées dans la conception de certains produits ou services importants pour la sécurité informatique (priorité n°7).

L’élément positif à retenir est la détermination d’une politique de cybersécurité à l’échelon national. Cette politique devra cependant s’inscrire en amont, dans un plan pan-européen de cybersécurité. En aval, il est désormais capital de sensibiliser les entreprises et administrations, notamment mais pas uniquement les OIV, à la protection physique et logique de leurs infrastructures technologiques. Ceci passera par une approche pédagogique auprès des personnels des entreprises et des administrations et par le déploiement et la mise en oeuvre d’outils et de pratiques de cybersécurité.

                                                   * * * * * * * * * * *

(1) Voir les articles : "Cyber-attaques en série contre la presse américaine", publié le 1er février 2013 sur http://www.latribune.fr/ et "La cyberattaque, nouvelle arme de guerre des Etats ?", publié le 22 mars 2013 sur http://www.franceinfo.fr/.

(2) Communication conjointe au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions. Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, Bruxelles, le 7.2.2013 COM(2013) 48 final 2013/0027 (COD).

(3) Le livre blanc est disponible en ligne, sur le site du Ministère de la défense à l’URL: http://www.defense.gouv.fr/actualites/articles/livre-blanc-2013

(4) Le livre blanc définit les secteurs d'activité d'importance vitale comme suit (p.105) : activités civiles de l'Etat, activités judiciaires, activités militaires de l'Etat, alimentation, communications électroniques, audiovisuel et information, énergie, espace et recherche, finances, gestion de l'eau, industrie, santé et transports.

(5) voir le rapport de J-M Bockel publié le 18 juillet 2012, "La cyberdéfense : un enjeu mondial, une priorité nationale".


Betty SFEZ
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2013

Les soldes : des méthodes de vente encadrées, même sur internet

Les soldes d’été 2013 débutent le mercredi 26 juin à 8 heures. Les soldes sur internet étant soumis aux mêmes règles que pour la vente en magasin, les e-commerçants français doivent s’assurer que leurs soldes sont conformes à la réglementation. En effet, les périodes de soldes révèlent de nombreuses pratiques trompeuses et illicites de la part de certains commerçants, qu’il s’agisse de publicités induisant les consommateurs en erreur ou des manipulations de prix frauduleuses par exemple.

Les soldes sont réglementés aux articles L.310-3 et suivants et R. 310-15 et suivants du Code de commerce.

Les soldes sont définis comme des ventes qui :
    - d’une part sont accompagnées ou précédées de publicité et annoncées comme tendant, par une réduction de prix, à l'écoulement accéléré de marchandises en stock, et
    - d’autre part, ont lieu durant des périodes de l’année définies par décret.

Nous faisons ci-après un bref rappel des conditions relatives à la vente en solde et des sanctions  applicables en cas d’infraction à la loi.


1. Les conditions de la vente en solde

        1.1 Des périodes de soldes réglementées
Il existe deux types de soldes :

- Les soldes saisonniers, organisés sur deux périodes de cinq semaines par an, en hiver et en été.

Les soldes d’hiver débutent le deuxième mercredi du mois de janvier à 8h ; les soldes d’été débutent le dernier mercredi de juin à 8h. Ces dates s’appliquent à tout le territoire français, à l’exception de douze départements (principalement frontaliers et DOM) dont la liste figure à l’article D.310-15-3 du Code de commerce.

- Les soldes complémentaires ou soldes flottants, d’une durée de deux semaines par an,  consécutives ou non.

Les soldes flottants sont organisés aux dates choisies par le commerçant, sous réserve d’une déclaration préalable en préfecture du département du siège de l’entreprise, au moins un mois avant le début des soldes. Les soldes flottants doivent prendre fin au plus tard un mois avant le début des soldes saisonniers.

        1.2 Les produits et services pouvant être vendus en solde
Concernant les produits, l’objectif des soldes est le destockage. Seuls peuvent être vendus en solde des produits neufs, déjà proposés à la vente et achetés et payés par le commerçant au moins un mois avant le début des soldes. En effet, il n’est pas possible d’acheter des produits aux seules fins de les revendre directement en solde, ni de se réapprovisionner en produits soldés pendant cette période.

Certains types de services peuvent également être vendus en solde. Seules certaines catégories de prestations de services revendues par un commerçant, sous réserve d’en avoir acquis une quantité déterminée et non renouvelable auprès d'un autre opérateur, sont concernées par les soldes. Il s’agit par exemple de la vente de voyages ou de séjours à forfait.

A l’issue de la période des soldes, les invendus peuvent continuer à être proposés à la vente au prix soldé. Le commerçant ne pourra cependant plus communiquer sur les soldes et ne pourra afficher qu’un seul prix.

        1.3 Les conditions de vente en solde
- La publicité - Les soldes doivent faire l’objet d’une publicité. Celle-ci doit contenir les mentions obligatoires suivantes : la date de début des soldes et la nature des produits soldés, lorsque les soldes ne portent pas sur la totalité du catalogue. (art. R.310-17 c.com)

A noter également que l’usage du terme “soldes” est réglementé. Le mot “soldes” ne peut être utilisé que pour les opérations répondant aux conditions des soldes telles que définies par la loi (période, produits ou services concernés, conditions de prix, etc.). (art. L.310-3-II c.com) Ainsi, le mot soldes ne peut être utilisé pour des opérations promotionnelles, des ventes privées, ou des liquidations commerciales.

- Les prix - Pendant les périodes de soldes, les réductions de prix doivent être effectives et être affichées de manière claire.

Le site de e-commerce devra faire figurer sur ses pages produit : l’ancien prix barré, le prix soldé, et le pourcentage de réduction effective.

La revente à perte est exceptionnellement autorisée en période de soldes. (art. L.442-2 et s. c.com)

- Les garanties - Le e-commerçant est tenu de fournir les mêmes garanties sur ses produits et services soldés que sur les produits et services non soldés.

Les garanties légales - vices cachés et conformité - s’appliqueront aux produits soldés, tout comme les garanties contractuelles éventuelles.

Le droit de rétractation reste également applicable en période de soldes pour les achats réalisés sur internet (sauf exceptions prévues par la loi).


2. Les sanctions en cas de non-conformité à la réglementation

Les services de la Direction générale de la concurrence, de la consommation, et de la répression des fraudes (DGCCRF) et ses antennes locales (Directions départementales de la protection des populations - DDPP) ont notamment pour mission de contrôler le respect de la réglementation en matière de prix et de soldes. (art. L.450-1 et s. c.com)

Ainsi, les e-commerçants qui organiseraient des soldes en contravention avec ces règles sont passibles de peines d’amendes, dont les montants varient selon l’infraction commise :

        - en cas de soldes sur des produits détenus depuis moins d’un mois à la date de début de l’opération, ou d’utilisation du terme “soldes” de manière inappropriée : amende de 15.000€ (75.000€ pour les personnes morales) (art. L.310-5 c.com) ;
        - en cas de publicité incomplète, qui ne reprendrait pas les mentions obligatoires susvisées : contravention de 5é classe, soit 1.500€ (7.500€ pour les personnes morales) (art. R.310-19-3° c.com) ;
        - en cas d’utilisation du terme “solde” dans une publicité, en dehors des périodes de soldes, si l’opération est susceptible d’induire les consommateurs en erreur : amende de 37.000€ ou jusqu’à 50% du montant de la campagne publicitaire trompeuse (art. L.121-15 c.consommation).

                                                       * * * * * * * * * * * * *

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2013