La Charte pour l’ouverture des données publiques (ou open data) signée par les chefs d’état des pays du G8 lors du sommet des 17 et 18 juin 2013 en Irlande du Nord, associée à la directive du 26 juin 2013 concernant la réutilisation des informations du secteur public démontrent l’intérêt des politiques pour la promotion d’un réel essor dans ce domaine. (1)
Bien que le droit français dispose d’un cadre réglementaire relatif aux données publiques depuis 1978, avec la loi CADA, les initiatives et projets autour de la réutilisation de ces données restent encore en deçà des attentes. (2) C’est pourquoi il est intéressant de constater que les pays industrialisés (G8 et Etats-membres de l’Union européenne) ont réaffirmé leur engagement pour la promotion de la réutilisation des données publiques par ces deux textes, adoptés au mois de juin dernier.
L’étude de ces textes fait ressortir les principes fondamentaux communs à l’Open Data et à la réutilisation de ces données publiques. Si le premier principe d’ouverture par défaut est une réelle avancée pour affirmer l’importance de l’Open Data, toutes ces données n’ont cependant pas vocation à être librement accessibles et réutilisables. Les droits des personnes (protection des données personnelles et droit d’auteur) sont préservés et certaines catégories de données liées à la sûreté de l’Etat et à la sécurité publique ainsi que les informations commerciales sont exclues de ces dispositifs, comme elles l’étaient déjà de la loi CADA.
1. Charte du G8 et directive Open Data : des principes communs pour une politique de réutilisation des données publiques
La Charte du G8 pour l’ouverture des données publiques repose sur cinq principes, dont l’objet est de faciliter, de manière effective, la réutilisation des données publiques. (3)
1.1 Les cinq principes de la Charte du G8
La Charte pose les cinq principes suivants : l’ouverture des données publiques par défaut ; des données publiques de qualité, en quantité, accessibles et réutilisables ; une ouverture des données pour améliorer la gouvernance et encourager l’innovation.
Principe n°1 : données ouvertes par défaut
Les données des organismes publics doivent être considérées comme étant, par défaut, des données ouvertes, pouvant être réutilisées. Leur accès doit être libre et leur réutilisation, en principe (mais pas obligatoirement), gratuit. Ce premier principe d’ouverture et de réutilisation est considéré comme étant d’importance majeure pour la société et l’économie.
Principe n°2 : de qualité et en quantité
Les données concernées doivent être “de qualité”, c’est-à-dire, à jour, complètes et exactes. En outre, ces données doivent être mises à disposition dans des délais raisonnables après leur production. Les organismes publics doivent utiliser et mettre à disposition des métadonnées fiables, dans un format uniforme pour faciliter la réutilisation des données, notamment transfrontières.
Principe n°3 : accessibles et réutilisables par tous
L’un des objectifs mis en avant par le G8 est le principe de la gratuité et la diffusion des données en formats ouverts afin que ces données soient lisibles, quels que soient le système d’exploitation, la plateforme ou le logiciel de lecture. Comme on le verra plus loin, le principe de gratuité des données publiques n’est pas une obligation. Les administrations peuvent demander le règlement d’une redevance pour couvrir le coût de mise à disposition des données, voire même d’une redevance d’utilisation des données.
Principe n°4 : ouvrir les données pour améliorer la gouvernance
Un autre objectif de l’open data souligné par le G8 est de favoriser l’exercice de la démocratie. En permettant un accès systématique aux données publiques, les organismes publics s’engagent pour plus de transparence sur les méthodes de collecte des données, sur les normes appliquées et sur les mécanismes de publication.
Principe n°5 : ouvrir les données pour encourager l’innovation
La Charte reconnaît que l’ouverture des données publiques pour leur réutilisation inclut les usages à des fins commerciales et non commerciales.
L’accès à ces données par les entreprises doit permettre le développement de produits et services innovants, et ainsi contribuer au développement économique. Les données peuvent être diffusées libres de droits ou sous licence, de préférence ouverte. (4)
1.2 La directive du 26 juin 2013
La directive européenne, publiée dans la lignée de la Charte du G8, vient modifier la directive de 2003 concernant la réutilisation des informations du secteur public. L’objet de cette modification est triple : (i) prendre en compte les évolutions technologiques intervenues depuis dix ans, (ii) réduire les disparités des règles en vigueur entre les différents Etats-membres en matière de politique Open Data afin de lever les obstacles aux offres transfrontalières de produits et services basés sur des données publiques, en imposant un degré minimal d’harmonisation communautaire, et (iii) imposer le principe de l’ouverture des données publiques et le droit de réutilisation, ce droit n’existant pas dans la directive de 2003. On remarquera donc que la plupart des dispositions de la directive de juin 2013 figurent déjà dans la loi française.
Principe des données ouvertes par défaut
Comme la Charte du G8, la directive - version 2013 -, impose le principe des données ouvertes par défaut. Ces données doivent donc pouvoir être librement réutilisables, sous réserve des règles nationales applicables.
Le refus opposé à un demandeur pour accéder à des données doit être justifié. En cas de refus d’accès aux données, l’organisme public doit en communiquer les raisons au demandeur.
Par ailleurs, la directive précise l’extension de son champ d’application aux bibliothèques, bibliothèques universitaires, musées et archives, sous réserve du respect du droit d’auteur notamment (voir les exceptions ci-après).
Formats de fichiers ouverts et structurés
La qualité des données publiques est rappelée par le biais de l’obligation de fournir les données en formats ouverts, lisibles par la machine, permettant l’interopérabilité, et comprenant une présentation précise des métadonnées.
Gratuité ou redevance
La directive ne pose pas la gratuité comme un principe. En effet, les opérations de collecte, de production, de reproduction et de diffusion de ces données ont un coût pour les organismes publics. L’accès aux données publiques peut donc être payant, si possible limité à une redevance couvrant uniquement les coûts marginaux de la diffusion des données.
Toutefois, certains organismes publics doivent générer des recettes. La redevance applicable à leurs données pourra donc être supérieure aux coûts marginaux, sous réserve qu’elle soit fixée selon des critères objectifs, transparents et vérifiables.
Conditions de réutilisation
La réutilisation des données peut être libre ou soumise à des conditions de licence, si possible ouverte.
La directive permet aux organismes publics d’accorder des droits d’exclusivité de réutilisation à des partenaires privés, notamment pour leur permettre d’amortir les investissements réalisés. Cependant, les accords d’exclusivité de réutilisation doivent rester limités, respecter les principes du droit de la concurrence, et être soumis à un réexamen régulier.
La directive du 26 juin 2013 doit être transposée dans les droits nationaux des Etats membres dans un délai de deux ans, à savoir avant le 18 juillet 2015.
2. Toutes les données ne sont cependant pas librement réutilisables
L’affirmation du principe des données ouvertes par défaut, par la Charte du G8 et la directive de juin 2013, ne signifie pas pour autant que toutes les données sont libres d’accès. Les droits des personnes sont notamment reconnus et justifient certaines exceptions au principe de l’Open Data.
Plusieurs catégories de données sont ainsi exclues de l’Open Data, justifiant le refus de communication par les organismes publics. Il s’agit de certaines données soumises à des droits spécifiques (propriété intellectuelle ou données personnelles), relatives à la sûreté de l’Etat et à la sécurité ou encore aux données protégées par la confidentialité. Ces données ne peuvent donc être librement réutilisées.
Les données protégées par le droit de la propriété intellectuelle
Les données protégées par des droits de propriété intellectuelle ne sont pas libres, même si elles sont détenues par des administrations, collectivités ou autres organismes publics. Ces données ne sont donc pas réutilisables, sauf accord de leur titulaire.
Les données à caractère personnel
Dans le respect des dispositions de la loi Informatique et Libertés, les informations publiques comportant des données personnelles restent protégées. La loi française étend l’exception aux données couvertes par le secret médical. Ces données peuvent néanmoins être communiquées à l’intéressé à sa demande dans les conditions fixées par la loi. (5)
Les données relatives à la protection de la sécurité nationale, de la défense et de la sécurité publique
Ces données sont exclues des informations publiques et ne peuvent être communiquées.
Les informations commerciales confidentielles (secrets d’affaires, secret professionnel)
Les informations confidentielles échangées entre des entreprises privées et l’administration, par exemple dans le cadre d’appel d’offres et de l’exécution de marchés publics, restent couvertes par la confidentialité.
Les données statistiques confidentielles
Toutes les données statistiques ne sont pas des données publiques. Certaines statistiques peuvent en effet comprendre des données permettant d’identifier des personnes, directement ou indirectement ; d’autres peuvent être directement liées à la sécurité publique, etc.
La frontière entre données publiques et données protégées, et donc le droit de réutilisation, n’est pas toujours aisée à tracer. Il existe à ce sujet quelques décisions de justice venant préciser le contour de la protection de la vie privée ou des droits de propriété intellectuelle et du producteur de base de données. (6)
Que ces nouveaux textes soient un véritable pas en avant ou la réaffirmation de droits déjà définis dans la loi, peu importe. Il nous paraît que l’engagement des principaux pays industrialisés sur des principes communs à l’Open Data démontre une volonté réelle de participer à l’essor de la réutilisation de ces données par le secteur privé, que ce soit à des fins d’intérêt général ou commerciales.
Même si l’administration française est de plus en plus active dans ce domaine (voir le site www.data.gouv.fr qui affiche un accès à plus de 350 000 jeux de données publiques), sans oublier l’engagement de certaines collectivités locales et des organismes culturels (musées du Louvre ou du quai Branly par exemple), le domaine de la réutilisation des données publiques paraît bien encadré juridiquement, afin de permettre aux entrepreneurs de développer de nouveaux produits et services.
A cette fin, l’annexe à la charte du G8 liste utilement des catégories de données à forte valeur ajoutée. On retiendra par exemple les catégories suivantes : données d’environnement, données d’observation de la Terre et données géospatiales ; données d’éducation ; données relatives aux finances et aux marchés ; données de santé ; ou données dans les domaines de la science et de la recherche. On peut donc comprendre que l’Open Data n’est pas qu’un débat théorique. Si l’on considère ces données brutes comme une matière première à transformer, il existe de réelles opportunités en matière de développement de projets dans un environnement réglementaire qui tend à se préciser.
* * * * * * * * * * *
(1) Charte du G8 pour l’Ouverture des Données Publiques - 18 juin 2013, accessible sur le site etalab.gouv.fr ; Directive 2013/37/UE du Parlement européen et du Conseil du 26 juin 2013 modifiant la directive 2003/98/CE concernant la réutilisation des informations du secteur public
(2) Loi n°78-753 du 17 juillet 1978, dite loi CADA, portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal. A noter que la loi CADA distingue entre “document administratif” et “information publique”, les documents administratifs étant définis à l’article 1er de la loi, et les informations publiques (à savoir, les données contenues dans les document administratifs, sous réserve d’exceptions) sont définies à l’article 10..
(3) Pour rappel, les pays du G8 sont l’Allemagne, le Canada, les Etats-Unis, la France, l’Italie, le Japon, le Royaume Uni et la Russie
(4) A ce titre, voir par exemple la licence ouverte (ou Open licence) publiée par Etalab en décembre 2011
(5) voir article 6 de la loi CADA du 17 juillet 1978
(6) Voir par exemple les précisions apportées par la jurisprudence “notrefamille.com” :
- Respect de la loi Informatique et Libertés du 6 janvier 1978 : C. Adm. d’Appel de Lyon du 4 juillet 2012, Département du Cantal c/ notrefamille.com
- Droit du producteur de base de données : Trib. Adm. de Poitiers du 31 janvier 2013, notrefamille.com c/ Département de la Vienne ; C. Adm. d’Appel de Nancy du 18 avril 2013, notrefamille.com c/ Conseil général de la Moselle
Bénédicte DELEPORTE - Avocat
Septembre 2013
mardi 24 septembre 2013
mardi 10 septembre 2013
Principes et limites à l’accès aux emails des salariés par l’employeur : les dernières décisions jurisprudentielles
Avec l’arrêt Nikon du 2 octobre 2001, la cour de cassation rappelait que le salarié avait droit, même sur le lieu et pendant le temps de travail, au respect de l'intimité de sa vie privée, y compris le respect du secret des correspondances. Dès lors, l'employeur ne pouvait, sans violer cette liberté fondamentale, prendre connaissance des messages personnels émis et reçus par le salarié grâce à l’ordinateur mis à sa disposition pour son travail, et ceci même au cas où l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur. (1)
Cependant, même si le principe général du respect de l'intimité de la vie privée du salarié sur le lieu et pendant le temps de travail a été reconnu, plusieurs décisions de justice sont venues en préciser les contours depuis cet arrêt de 2001, notamment trois décisions rendues par la Cour de cassation en 2013.
1. La délimitation des sphères vie privée / vie professionnelle en matière d’accès aux contenus des ordinateurs professionnels
L'employeur peut avoir accès aux fichiers informatiques créés, reçus et envoyés par les salariés, que ce soit dans le cadre de la réalisation normale de leur mission, ou dans une finalité de contrôle pour protéger les intérêts de l'entreprise ou sauvegarder les preuves en cas de faute disciplinaire du salarié.
Le contrôle par l’employeur doit néanmoins être réalisé pour des motifs légitimes et être justifié, par exemple pour vérifier que le salarié n’utilise pas son ordinateur professionnel d'une manière qui serait susceptible de porter atteinte à l'image de l'entreprise ou pour exercer une activité professionnelle concurrente. Dans ce cas, conformément à la jurisprudence, un tel contrôle ne saurait porter atteinte aux droits du salarié au respect de sa liberté d'expression et de sa vie privée sur son lieu de travail et pendant son temps de travail.
Toutefois, sans pour autant remettre en cause ces libertés fondamentales, la jurisprudence tend, depuis quelques années, à préciser les contours de la sphère vie privée en affirmant que l'outil informatique mis à la disposition du salarié, par l'employeur, pour l’exécution de son travail ne doit pas être détourné de son objet professionnel.
La règle est désormais la suivante : tous les fichiers et emails créés, adressés ou reçus par un salarié à l'aide de son ordinateur professionnel sont présumés professionnels. L’employeur peut donc y accéder hors sa présence et s'en servir, notamment en cas d’action disciplinaire. (2)
Aussi, afin de limiter les accès à des documents relevant de la sphère privée, il appartient au salarié d'apposer un signe distinctif sur les documents et messages personnels. De récentes décisions de la Cour de cassation illustrent parfaitement cette tendance jurisprudentielle.
2. Le principe de présomption du caractère professionnel des échanges
Dans une décision du 16 mai 2013, la Cour de cassation a affirmé que l’employeur pouvait prendre connaissance des messages personnels émis et reçus par le salarié, grâce à son l’ordinateur professionnel mis à sa disposition. Ces emails, même s'ils ne comportaient pas le nom de la société dans l’adresse, sont présumés professionnels. (3)
En l’espèce, une société avait assigné l’un de ses anciens salariés, et son nouvel employeur, pour détournement de clientèle et concurrence déloyale pendant l’exécution du préavis du salarié. Au cours de la procédure, les défendeurs ont invoqué le fait que le constat d’huissier versé aux débats par la société demanderesse, ne constituait pas un mode de preuve licite. Ce constat avait été réalisé à partir de la boîte email de l’ancien salarié, dont l’adresse électronique ne comportait pas le nom de la société, et en l’absence du salarié concerné. Si le salarié utilisait cette messagerie dans un cadre professionnel, il recevait également des messages personnels, protégés par le secret des correspondances et le droit au respect de la vie privée.
La Cour de cassation a cependant jugé que "les courriels adressés et reçus par le salarié à l'aide de l'outil informatique mis à sa disposition par l'employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, en sorte que l'employeur est en droit de les ouvrir hors la présence de l'intéressé, sauf si le salarié les identifie comme personnels."
En conséquence, tous les fichiers et emails édités et reçus par un salarié, à l’aide de son ordinateur professionnel, peuvent être consultés par l’employeur, sauf s’ils sont identifiés comme “personnels” (dans leur intitulé ou placés dans un dossier “personnel”).
3. Les emails envoyés depuis la messagerie personnelle, stockés sur l’ordinateur professionnel sont présumés de nature professionnelle
La Cour de cassation, dans cette décision du 19 juin 2013, a étendu la règle de l’identification “personnel” aux emails émis depuis l’ordinateur personnel du salarié, avec son adresse personnelle, puis transférés sur son ordinateur professionnel. (4)
En l'espèce, le directeur artistique d'une agence de publicité avait été licencié pour faute grave, à savoir pour concurrence déloyale. Une expertise de son disque dur professionnel avait révélé l'échange de nombreux emails, depuis son ordinateur et adresse de messagerie personnels, avec des salariés d’une agence concurrente portant sur les produits d’un client de son employeur. Ces emails avaient ensuite été transférés sur son ordinateur professionnel. Or, ces emails ne portaient pas la mention “personnel” dans leur objet et ne figuraient pas dans un dossier identifié comme personnel dans son ordinateur professionnel. Par ailleurs, plusieurs dossiers et fichiers expressément nommés “perso” ou “personnel” découverts sur le disque dur, avaient été exclus du rapport d'expertise.
Contestant son licenciement, le salarié a saisi la juridiction prud'homale. Il affirmait que les emails litigieux avaient un caractère personnel puisqu'ils avaient été envoyés depuis son adresse de messagerie personnelle. Aussi, le salarié considérait que l'accès à ses messages, effectué par un expert mandaté par l'employeur, hors sa présence, constituait une atteinte au respect de sa vie privée Les constatations effectuées par l'expert lui étaient donc inopposables. Selon le salarié, l’employeur ne pouvait ni lire, ni se servir des emails comme preuve d’une faute ; le licenciement était donc dépourvu de cause réelle et sérieuse.
La Cour de cassation n'a pas suivi l'argumentation du salarié. Les juges ont rappelé le principe de base concernant la qualité “professionnelle” des emails se trouvant dans l’ordinateur professionnel du salarié, en précisant que "des courriels et fichiers, intégrés dans le disque dur de l'ordinateur mis à disposition du salarié par l'employeur, ne sont pas identifiés comme personnels du seul fait qu'ils émanent initialement de la messagerie électronique personnelle du salarié".
En conclusion, tout le contenu du disque dur de l’ordinateur professionnel, y compris la messagerie, est présumé à caractère professionnel. Dans ce cas, l’employeur y a librement accès et peut consulter l’ensemble de son contenu, pour le cas échéant, l’utiliser contre le salarié.
De même, dès lors qu’un lien avec l'ordinateur mis à disposition du salarié peut être établi, les messages, dossiers, et autres fichiers sont présumés avoir un caractère professionnel. C'est ainsi que la Cour de cassation a, dans une décision du 12 février 2013, poussé le raisonnement jusqu’à considérer qu’une clé USB, même personnelle, connectée à l'ordinateur professionnel était présumée utilisée à des fins professionnelles. L’employeur peut donc avoir accès aux fichiers contenus sur la clé USB, hors la présence du salarié. (5)
Ainsi, seule la mention précise et clairement identifiable du caractère personnel d'un fichier est susceptible de protéger sa libre consultation par l’employeur. Pour rappel, dans un décision du 10 mai 2012, la Cour de cassation avait jugé que la seule dénomination "Mes documents" donnée à un fichier ne lui conférait pas un caractère personnel. L'employeur pouvait donc librement consulter ce fichier. (6)
On assiste depuis plusieurs années à une porosité accrue entre vie personnelle et vie professionnelle, tendance facilitée par une demande de flexibilité des salariés et par l’évolution des équipements informatiques.
Si les salariés ont tendance à utiliser leur ordinateur professionnel à des fins personnelles (utilisation de la messagerie, stockage de documents, consultation d’internet, etc.), la pratique du BYOD, par laquelle les salariés peuvent être autorisés à utiliser leur propre équipement informatique à des fins professionnelles, implique d’appliquer des règles de conduite strictes pour maintenir une ligne claire entre sphère privée et sphère professionnelle. La première règle consiste à distinguer entre dossiers “personnels” et dossiers “professionnels”.
Les tribunaux considèrent que les documents et emails se trouvant sur un ordinateur professionnel sont d’ordre professionnel par défaut. Cela revient-il à considérer que, pour une entreprise tolérant ou encourageant la pratique du BYOD, les documents et emails se trouvant sur un équipement informatique personnel sont d’ordre personnel par défaut ? (7) Les chartes informatiques doivent permettre aux entreprises de rappeler à leurs collaborateurs les règles de base en matière d’utilisation des outils informatiques et de distinction privé / professionnel.
(1) Cour de cassation, chambre sociale, 2 oct. 2001, n°99-42.942, Nikon France
(2) Les courriels constituent des preuves admissibles et ont force probante devant les Conseils de prud'hommes.
(3) Cour de cassation, chambre sociale, 16 mai 2013, N°12-11866
(4) Cour de cassation, chambre sociale, 19 juin 2013, N°12-12138
(5) Cour de cassation, chambre sociale, 12 février 2013, No 11-28.649
(6) Cour de cassation, chambre sociale, 10 mai 2012, N°11-13.884
(7) BYOD (Bring your own device) consiste pour les salariés à utiliser leur propre équipement (ordinateur, tablette, smartphone) à des fins professionnelles
Bénédicte DELEPORTE
Betty SFEZ
Avocats
Deleporte Wentz Avocat
www.dwavocat.com
Septembre 2013
Cependant, même si le principe général du respect de l'intimité de la vie privée du salarié sur le lieu et pendant le temps de travail a été reconnu, plusieurs décisions de justice sont venues en préciser les contours depuis cet arrêt de 2001, notamment trois décisions rendues par la Cour de cassation en 2013.
1. La délimitation des sphères vie privée / vie professionnelle en matière d’accès aux contenus des ordinateurs professionnels
L'employeur peut avoir accès aux fichiers informatiques créés, reçus et envoyés par les salariés, que ce soit dans le cadre de la réalisation normale de leur mission, ou dans une finalité de contrôle pour protéger les intérêts de l'entreprise ou sauvegarder les preuves en cas de faute disciplinaire du salarié.
Le contrôle par l’employeur doit néanmoins être réalisé pour des motifs légitimes et être justifié, par exemple pour vérifier que le salarié n’utilise pas son ordinateur professionnel d'une manière qui serait susceptible de porter atteinte à l'image de l'entreprise ou pour exercer une activité professionnelle concurrente. Dans ce cas, conformément à la jurisprudence, un tel contrôle ne saurait porter atteinte aux droits du salarié au respect de sa liberté d'expression et de sa vie privée sur son lieu de travail et pendant son temps de travail.
Toutefois, sans pour autant remettre en cause ces libertés fondamentales, la jurisprudence tend, depuis quelques années, à préciser les contours de la sphère vie privée en affirmant que l'outil informatique mis à la disposition du salarié, par l'employeur, pour l’exécution de son travail ne doit pas être détourné de son objet professionnel.
La règle est désormais la suivante : tous les fichiers et emails créés, adressés ou reçus par un salarié à l'aide de son ordinateur professionnel sont présumés professionnels. L’employeur peut donc y accéder hors sa présence et s'en servir, notamment en cas d’action disciplinaire. (2)
Aussi, afin de limiter les accès à des documents relevant de la sphère privée, il appartient au salarié d'apposer un signe distinctif sur les documents et messages personnels. De récentes décisions de la Cour de cassation illustrent parfaitement cette tendance jurisprudentielle.
2. Le principe de présomption du caractère professionnel des échanges
Dans une décision du 16 mai 2013, la Cour de cassation a affirmé que l’employeur pouvait prendre connaissance des messages personnels émis et reçus par le salarié, grâce à son l’ordinateur professionnel mis à sa disposition. Ces emails, même s'ils ne comportaient pas le nom de la société dans l’adresse, sont présumés professionnels. (3)
En l’espèce, une société avait assigné l’un de ses anciens salariés, et son nouvel employeur, pour détournement de clientèle et concurrence déloyale pendant l’exécution du préavis du salarié. Au cours de la procédure, les défendeurs ont invoqué le fait que le constat d’huissier versé aux débats par la société demanderesse, ne constituait pas un mode de preuve licite. Ce constat avait été réalisé à partir de la boîte email de l’ancien salarié, dont l’adresse électronique ne comportait pas le nom de la société, et en l’absence du salarié concerné. Si le salarié utilisait cette messagerie dans un cadre professionnel, il recevait également des messages personnels, protégés par le secret des correspondances et le droit au respect de la vie privée.
La Cour de cassation a cependant jugé que "les courriels adressés et reçus par le salarié à l'aide de l'outil informatique mis à sa disposition par l'employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, en sorte que l'employeur est en droit de les ouvrir hors la présence de l'intéressé, sauf si le salarié les identifie comme personnels."
En conséquence, tous les fichiers et emails édités et reçus par un salarié, à l’aide de son ordinateur professionnel, peuvent être consultés par l’employeur, sauf s’ils sont identifiés comme “personnels” (dans leur intitulé ou placés dans un dossier “personnel”).
3. Les emails envoyés depuis la messagerie personnelle, stockés sur l’ordinateur professionnel sont présumés de nature professionnelle
La Cour de cassation, dans cette décision du 19 juin 2013, a étendu la règle de l’identification “personnel” aux emails émis depuis l’ordinateur personnel du salarié, avec son adresse personnelle, puis transférés sur son ordinateur professionnel. (4)
En l'espèce, le directeur artistique d'une agence de publicité avait été licencié pour faute grave, à savoir pour concurrence déloyale. Une expertise de son disque dur professionnel avait révélé l'échange de nombreux emails, depuis son ordinateur et adresse de messagerie personnels, avec des salariés d’une agence concurrente portant sur les produits d’un client de son employeur. Ces emails avaient ensuite été transférés sur son ordinateur professionnel. Or, ces emails ne portaient pas la mention “personnel” dans leur objet et ne figuraient pas dans un dossier identifié comme personnel dans son ordinateur professionnel. Par ailleurs, plusieurs dossiers et fichiers expressément nommés “perso” ou “personnel” découverts sur le disque dur, avaient été exclus du rapport d'expertise.
Contestant son licenciement, le salarié a saisi la juridiction prud'homale. Il affirmait que les emails litigieux avaient un caractère personnel puisqu'ils avaient été envoyés depuis son adresse de messagerie personnelle. Aussi, le salarié considérait que l'accès à ses messages, effectué par un expert mandaté par l'employeur, hors sa présence, constituait une atteinte au respect de sa vie privée Les constatations effectuées par l'expert lui étaient donc inopposables. Selon le salarié, l’employeur ne pouvait ni lire, ni se servir des emails comme preuve d’une faute ; le licenciement était donc dépourvu de cause réelle et sérieuse.
La Cour de cassation n'a pas suivi l'argumentation du salarié. Les juges ont rappelé le principe de base concernant la qualité “professionnelle” des emails se trouvant dans l’ordinateur professionnel du salarié, en précisant que "des courriels et fichiers, intégrés dans le disque dur de l'ordinateur mis à disposition du salarié par l'employeur, ne sont pas identifiés comme personnels du seul fait qu'ils émanent initialement de la messagerie électronique personnelle du salarié".
En conclusion, tout le contenu du disque dur de l’ordinateur professionnel, y compris la messagerie, est présumé à caractère professionnel. Dans ce cas, l’employeur y a librement accès et peut consulter l’ensemble de son contenu, pour le cas échéant, l’utiliser contre le salarié.
De même, dès lors qu’un lien avec l'ordinateur mis à disposition du salarié peut être établi, les messages, dossiers, et autres fichiers sont présumés avoir un caractère professionnel. C'est ainsi que la Cour de cassation a, dans une décision du 12 février 2013, poussé le raisonnement jusqu’à considérer qu’une clé USB, même personnelle, connectée à l'ordinateur professionnel était présumée utilisée à des fins professionnelles. L’employeur peut donc avoir accès aux fichiers contenus sur la clé USB, hors la présence du salarié. (5)
Ainsi, seule la mention précise et clairement identifiable du caractère personnel d'un fichier est susceptible de protéger sa libre consultation par l’employeur. Pour rappel, dans un décision du 10 mai 2012, la Cour de cassation avait jugé que la seule dénomination "Mes documents" donnée à un fichier ne lui conférait pas un caractère personnel. L'employeur pouvait donc librement consulter ce fichier. (6)
On assiste depuis plusieurs années à une porosité accrue entre vie personnelle et vie professionnelle, tendance facilitée par une demande de flexibilité des salariés et par l’évolution des équipements informatiques.
Si les salariés ont tendance à utiliser leur ordinateur professionnel à des fins personnelles (utilisation de la messagerie, stockage de documents, consultation d’internet, etc.), la pratique du BYOD, par laquelle les salariés peuvent être autorisés à utiliser leur propre équipement informatique à des fins professionnelles, implique d’appliquer des règles de conduite strictes pour maintenir une ligne claire entre sphère privée et sphère professionnelle. La première règle consiste à distinguer entre dossiers “personnels” et dossiers “professionnels”.
Les tribunaux considèrent que les documents et emails se trouvant sur un ordinateur professionnel sont d’ordre professionnel par défaut. Cela revient-il à considérer que, pour une entreprise tolérant ou encourageant la pratique du BYOD, les documents et emails se trouvant sur un équipement informatique personnel sont d’ordre personnel par défaut ? (7) Les chartes informatiques doivent permettre aux entreprises de rappeler à leurs collaborateurs les règles de base en matière d’utilisation des outils informatiques et de distinction privé / professionnel.
* * * * * * * * * *
(1) Cour de cassation, chambre sociale, 2 oct. 2001, n°99-42.942, Nikon France
(2) Les courriels constituent des preuves admissibles et ont force probante devant les Conseils de prud'hommes.
(3) Cour de cassation, chambre sociale, 16 mai 2013, N°12-11866
(4) Cour de cassation, chambre sociale, 19 juin 2013, N°12-12138
(5) Cour de cassation, chambre sociale, 12 février 2013, No 11-28.649
(6) Cour de cassation, chambre sociale, 10 mai 2012, N°11-13.884
(7) BYOD (Bring your own device) consiste pour les salariés à utiliser leur propre équipement (ordinateur, tablette, smartphone) à des fins professionnelles
Bénédicte DELEPORTE
Betty SFEZ
Avocats
Deleporte Wentz Avocat
www.dwavocat.com
Septembre 2013
lundi 5 août 2013
Annulation du contrat de cession d’un fichier d’adresses clients non déclaré à la CNIL
Les bases de données, ou fichiers, constitués de données personnelles de clients (dont les emails et adresses postales) ont une valeur patrimoniale pouvant s’élever à plusieurs centaines de milliers d’euros, compte tenu de la qualité de la base de données (nombre d’adresses, possibilité de cibler les profils des utilisateurs, conformité de la base de données à la réglementation sur la constitution de la base et à la loi Informatique et Libertés, etc.).
Suivant les conditions de leur constitution et la nature des autorisations des personnes concernées, ces bases de données peuvent ensuite être “louées” ou cédées contractuellement contre rémunération. Ainsi, dans le cadre des opération de liquidation des magasins Virgin, le fichier des clients détenteurs de la carte de fidélité Virgin Mégastore, comprenant les coordonnées de 1,6 millions de clients, vient d’être racheté par une enseigne concurrente. (1)
Cependant, la valeur de ces fichiers dépend notamment de leurs conditions de constitution, dont le respect des obligations de déclaration à la CNIL. (2)
Dans un arrêt du 25 juin 2013, la Cour de cassation vient ainsi d’annuler la cession d’une base de données clients au motif que celle-ci n’avait pas été dûment déclarée à la CNIL. (3)
1. Les conditions de constitution et de commercialisation d’une base de données clients de valeur
Les sociétés qui collectent des données relatives à leurs clients et utilisateurs de leurs produits ou services - que ce soit au moment de l’inscription sur leur site internet ou au moment de passer commande - mettent en œuvre un traitement de données à caractère personnel. Cette base de données clients a pour objet (ou finalité) d’identifier les utilisateurs, prospects et/ou clients de l’entreprise.
Or, la constitution d’une base de données est notamment soumise au respect des dispositions de la loi Informatique et Libertés, dont nous rappelons les principales obligations ci-dessous.
1.1 Rappel des principales obligations légales relatives à la collecte et au traitement des données clients
Les traitements de données personnelles comprennent tous types d'opérations qui permettent d'identifier une personne physique, directement ou indirectement, et le fait de collecter, enregistrer, conserver, modifier, diffuser ou détruire des données personnelles.
Le responsable du traitement sera en règle générale, le dirigeant de l'entreprise ou le chef de service de l'organisme au sein de cette société en charge des traitements de données à caractère personnel.
Outre le fait de prendre toutes les précautions nécessaires pour assurer la sécurité et la confidentialité des données clients qu'il a en sa possession, le responsable de traitement doit notamment respecter les obligations suivantes :
Le fichier constitué doit être réalisé selon une finalité définie et précise, telle que la vente d’un produit ou la fourniture d’un service.
Les données collectées doivent donc être pertinentes compte tenu de cette finalité. Par exemple, le formulaire de commande d’un site marchand collectera les nom, prénom et adresse du client (finalité de traitement de la commande). En revanche, il ne sera généralement pas pertinent de demander la catégorie socio-professionnelle ou le statut marital de l'acheteur. Lors de la création du formulaire de passation de commande, il sera donc important de réfléchir aux catégories de données strictement nécessaires au traitement des commandes.
La collecte de données personnelles à des fins commerciales est soumise au consentement de la personne concernée. Ce droit d’information et de consentement implique également que les données ainsi collectées ne peuvent être utilisées à des fins de prospection commerciale, ni cédées que sous réserve d’avoir obtenu le consentement express de cette personne (ou “opt-in”).
Les données personnelles ne peuvent être conservées sans limitation de durée, mais pour une durée "raisonnable" correspondant à la durée nécessaire au traitement.
Enfin, les personnes concernées bénéficient d’un droit d'accès, de rectification (mise à jour), de contestation et d'opposition (suppression/désinscription) au traitement de leurs données. Cette faculté (droit d’accès, désinscription, etc.) se traduit par une information, et un lien hypertexte, figurant en bas des emails commerciaux.
Le fichier, ou base de données, ainsi constitué doit avoir fait l’objet d’une déclaration préalable à la CNIL : le responsable du traitement doit - préalablement à la mise en oeuvre du fichier - procéder à une déclaration simplifiée de conformité (ex: norme simplifiée n°48 pour un fichier clients/prospects) ou à une déclaration normale, selon le type de traitement envisagé et les données collectées.
1.2 La nécessité de contrôler la conformité légale de la base de données clients en cas de location ou de cession
En cas de non-respect des obligations légales, la base de données ainsi constituée peut être dénuée de toute valeur patrimoniale. La société ayant constitué cette base ne pourra l’exploiter légalement, que ce soit directement, en accordant des droits d’utilisation de la base à des tiers, ou encore en tentant de la céder.
En cas de cession d’un fichier clients, il est recommandé au cessionnaire de la base (l’acquéreur) de faire stipuler au contrat que la base est effectivement conforme à la réglementation, qu’elle a été dûment déclarée à la CNIL, qu’elle a été constituée dans le respect des droits des personnes concernées et que celles-ci ont effectivement donné leur consentement express à l’utilisation de leurs données par des partenaires commerciaux. Le cas échéant, l’acquéreur pourra exiger de faire réaliser un audit de conformité de la base de données à la réglementation.
Par ailleurs, au cas où l’acquéreur envisagerait de transférer la base de données en dehors de l’Union européenne, il lui appartiendra de s’assurer que les procédures relatives aux autorisations et informations préalables ont été respectées.
Le vendeur du fichier clients devra informer l'acheteur des éventuelles limites d'utilisation des informations comprises dans la base de données. Quant à l'acheteur, il devra exiger du vendeur la preuve de la licéité de la collecte et du traitement des données. Une fois la cession du fichier devenue effective, le nouvel acquéreur deviendra responsable de traitement et prendra en charge les obligations légales à compter de la date effective de ladite cession.
2. Fichier clients illicite : les risques juridiques et financiers encourus par les parties
Le non-respect de la réglementation relative à la constitution des fichiers de données personnelles, notamment de la loi Informatique et Libertés, expose le titulaire des droits sur ce fichier à de sévères sanctions, d’ordre administratif et pénal. Dans le cas d’une cession de fichier, la sanction est également pécuniaire dans la mesure où ce fichier sera dénué de toute existence légale.
2.1 Les sanctions administratives et pénales applicables à un fichier clients illicite
Les pouvoirs de contrôle et de sanction de la CNIL
La CNIL dispose de pouvoirs de contrôle et de sanction à l'encontre des responsables de traitements qui auraient constitué un fichier de données clients en violation des dispositions de la loi Informatique et Libertés. La CNIL peut prononcer un avertissement ou mettre le responsable du traitement en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe. Si le responsable du traitement ne se conforme pas à la mise en demeure, la CNIL peut alors prononcer une sanction pécuniaire d'un montant maximum de 300.000€ et/ou l’injonction de cesser le traitement.
Les sanctions pénales
La CNIL peut également décider de dénoncer les infractions constatées au procureur de la République. Les manquements à la loi Informatique et Libertés sont sévèrement réprimés par des sanctions pénales, se déclinant comme suit :
- le fait de procéder, y compris par négligence, à un traitement de données personnelles sans respecter les formalités préalables de déclaration est puni de 5 ans d’emprisonnement et 300.000€ d’amende ;
- le fait de procéder à un traitement de données personnelles malgré l'opposition de la personne concernée est puni de 5 ans d’emprisonnement et 300.000€ d’amende ; et
- le fait de procéder à de la prospection directe sans obtenir le consentement préalable du destinataire du message publicitaire est puni d'une amende de 750€ par message irrégulièrement expédié ; cette amende peut-être portée au quintuple pour les personnes morales (soit 3.750€ par message). (4)
2.2 La nullité de la vente d’un fichier clients illicite
La Cour de cassation, dans un arrêt du 25 juin 2013, vient de se prononcer sur la licéité de la vente d’un fichier clients informatisé, non déclaré à la CNIL. Dans cet arrêt, la Cour a retenu que, dans la mesure où un fichier non déclaré est illicite, ce fichier doit être considéré comme étant hors commerce. Il ne peut donc faire l'objet d'un contrat et donc d'une vente. La sanction de l'illicéité étant la nullité, ceci implique pour le vendeur d'un fichier non-déclaré l'obligation de rembourser à l'acheteur le prix de la vente, son fichier étant sans valeur juridique ni commerciale.
Dans cette affaire, deux associés d'une société avaient décidé de céder certains éléments de leur fonds de commerce de vente de vins aux particuliers, dont un fichier clients. Ce fichier comprenait près de 6.000 contacts clients. Le prix de la cession était fixé à 46.000€.
L'acquéreur, ayant découvert que le fichier n'avait pas été déclaré à la CNIL, a assigné les vendeurs en résolution de la vente, pour dol et pour non-conformité du fichier clients à la loi. Débouté en première instance, le vendeur a interjeté appel. La Cour d'appel de Rennes a rejeté les demandes de l'acquéreur du fichier. Si la Cour d'appel a relevé qu'un tel fichier clients devait effectivement faire l'objet d'une déclaration simplifiée, et qu'en l'espèce le fichier n’avait pas été déclaré, la loi n'avait cependant pas prévu de sanctionner l'absence d'une telle déclaration par la nullité du fichier.
L'acquéreur a finalement obtenu gain de cause devant la cour suprême. La Cour de cassation a fondé sa décision sur :
- l'article 22 de la Loi Informatique et Libertés qui dispose que : "(...) les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés", et
- l'article 1128 du Code civil qui dispose que : "Il n'y a que les choses qui sont dans le commerce qui puissent être l'objet des conventions". En d'autres termes, il ne peut y avoir de contrat valable que sur un objet licite.
La Cour a ainsi considéré que "tout fichier informatisé contenant des données à caractère personnel doit faire l'objet d'une déclaration auprès de la CNIL et que la vente d'un tel fichier qui, n'ayant pas été déclaré, n'est pas dans le commerce, a un objet illicite".
La Cour de cassation donne ainsi à la loi Informatique et Libertés une importance toute particulière : la valeur commerciale, ou patrimoniale, d'un fichier clients dépend de sa conformité à la réglementation sur la protection des données personnelles.
Si cette jurisprudence ne concerne que le non-respect des formalités préalables, ce raisonnement de la Cour pourrait être étendu à toutes cessions de fichiers clients pour lesquels le vendeur n'aurait pas respecté les autres obligations légales, telle par exemple l’absence de consentement et d'information des personnes concernées.
Les bases de données entrent dans la valorisation patrimoniale des entreprises, au même titre que les contrats commerciaux, leur portefeuille de marques et autres actifs matériels et immatériels. Au-delà des sanctions administratives et pénales encourues en cas de base de données illicite, la conformité de la constitution des bases de données clients est désormais affirmée comme l’un des éléments à valider par le cessionnaire, dans le cadre d’une cession de droits par une entreprise, voire par les investisseurs en cas de prise de participation dans une opération d’augmentation de capital.
* * * * * * * * * * *
(1) Voir article "Bataille pour acquérir le fichier clients de Virgin", publié le 3 juillet 2013 sur http://www.lemonde.fr/.
(2) Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.
(3) Cass. com., 25 juin 2013, n°12-17.037
(4) Article 50 loi Informatique et Libertés ; Articles 226-16 et s., 131-13 et 131-41 du Code pénal et article R-10-1 du Code des Postes et des Communications Electroniques.
Bénédicte DELEPORTE
Betty SFEZ
Avocats
Deleporte Wentz Avocat
http://www.deleporte-wentz-avocat.com/
Août 2013
Suivant les conditions de leur constitution et la nature des autorisations des personnes concernées, ces bases de données peuvent ensuite être “louées” ou cédées contractuellement contre rémunération. Ainsi, dans le cadre des opération de liquidation des magasins Virgin, le fichier des clients détenteurs de la carte de fidélité Virgin Mégastore, comprenant les coordonnées de 1,6 millions de clients, vient d’être racheté par une enseigne concurrente. (1)
Cependant, la valeur de ces fichiers dépend notamment de leurs conditions de constitution, dont le respect des obligations de déclaration à la CNIL. (2)
Dans un arrêt du 25 juin 2013, la Cour de cassation vient ainsi d’annuler la cession d’une base de données clients au motif que celle-ci n’avait pas été dûment déclarée à la CNIL. (3)
1. Les conditions de constitution et de commercialisation d’une base de données clients de valeur
Les sociétés qui collectent des données relatives à leurs clients et utilisateurs de leurs produits ou services - que ce soit au moment de l’inscription sur leur site internet ou au moment de passer commande - mettent en œuvre un traitement de données à caractère personnel. Cette base de données clients a pour objet (ou finalité) d’identifier les utilisateurs, prospects et/ou clients de l’entreprise.
Or, la constitution d’une base de données est notamment soumise au respect des dispositions de la loi Informatique et Libertés, dont nous rappelons les principales obligations ci-dessous.
1.1 Rappel des principales obligations légales relatives à la collecte et au traitement des données clients
Les traitements de données personnelles comprennent tous types d'opérations qui permettent d'identifier une personne physique, directement ou indirectement, et le fait de collecter, enregistrer, conserver, modifier, diffuser ou détruire des données personnelles.
Le responsable du traitement sera en règle générale, le dirigeant de l'entreprise ou le chef de service de l'organisme au sein de cette société en charge des traitements de données à caractère personnel.
Outre le fait de prendre toutes les précautions nécessaires pour assurer la sécurité et la confidentialité des données clients qu'il a en sa possession, le responsable de traitement doit notamment respecter les obligations suivantes :
Le fichier constitué doit être réalisé selon une finalité définie et précise, telle que la vente d’un produit ou la fourniture d’un service.
Les données collectées doivent donc être pertinentes compte tenu de cette finalité. Par exemple, le formulaire de commande d’un site marchand collectera les nom, prénom et adresse du client (finalité de traitement de la commande). En revanche, il ne sera généralement pas pertinent de demander la catégorie socio-professionnelle ou le statut marital de l'acheteur. Lors de la création du formulaire de passation de commande, il sera donc important de réfléchir aux catégories de données strictement nécessaires au traitement des commandes.
La collecte de données personnelles à des fins commerciales est soumise au consentement de la personne concernée. Ce droit d’information et de consentement implique également que les données ainsi collectées ne peuvent être utilisées à des fins de prospection commerciale, ni cédées que sous réserve d’avoir obtenu le consentement express de cette personne (ou “opt-in”).
Les données personnelles ne peuvent être conservées sans limitation de durée, mais pour une durée "raisonnable" correspondant à la durée nécessaire au traitement.
Enfin, les personnes concernées bénéficient d’un droit d'accès, de rectification (mise à jour), de contestation et d'opposition (suppression/désinscription) au traitement de leurs données. Cette faculté (droit d’accès, désinscription, etc.) se traduit par une information, et un lien hypertexte, figurant en bas des emails commerciaux.
Le fichier, ou base de données, ainsi constitué doit avoir fait l’objet d’une déclaration préalable à la CNIL : le responsable du traitement doit - préalablement à la mise en oeuvre du fichier - procéder à une déclaration simplifiée de conformité (ex: norme simplifiée n°48 pour un fichier clients/prospects) ou à une déclaration normale, selon le type de traitement envisagé et les données collectées.
1.2 La nécessité de contrôler la conformité légale de la base de données clients en cas de location ou de cession
En cas de non-respect des obligations légales, la base de données ainsi constituée peut être dénuée de toute valeur patrimoniale. La société ayant constitué cette base ne pourra l’exploiter légalement, que ce soit directement, en accordant des droits d’utilisation de la base à des tiers, ou encore en tentant de la céder.
En cas de cession d’un fichier clients, il est recommandé au cessionnaire de la base (l’acquéreur) de faire stipuler au contrat que la base est effectivement conforme à la réglementation, qu’elle a été dûment déclarée à la CNIL, qu’elle a été constituée dans le respect des droits des personnes concernées et que celles-ci ont effectivement donné leur consentement express à l’utilisation de leurs données par des partenaires commerciaux. Le cas échéant, l’acquéreur pourra exiger de faire réaliser un audit de conformité de la base de données à la réglementation.
Par ailleurs, au cas où l’acquéreur envisagerait de transférer la base de données en dehors de l’Union européenne, il lui appartiendra de s’assurer que les procédures relatives aux autorisations et informations préalables ont été respectées.
Le vendeur du fichier clients devra informer l'acheteur des éventuelles limites d'utilisation des informations comprises dans la base de données. Quant à l'acheteur, il devra exiger du vendeur la preuve de la licéité de la collecte et du traitement des données. Une fois la cession du fichier devenue effective, le nouvel acquéreur deviendra responsable de traitement et prendra en charge les obligations légales à compter de la date effective de ladite cession.
2. Fichier clients illicite : les risques juridiques et financiers encourus par les parties
Le non-respect de la réglementation relative à la constitution des fichiers de données personnelles, notamment de la loi Informatique et Libertés, expose le titulaire des droits sur ce fichier à de sévères sanctions, d’ordre administratif et pénal. Dans le cas d’une cession de fichier, la sanction est également pécuniaire dans la mesure où ce fichier sera dénué de toute existence légale.
2.1 Les sanctions administratives et pénales applicables à un fichier clients illicite
Les pouvoirs de contrôle et de sanction de la CNIL
La CNIL dispose de pouvoirs de contrôle et de sanction à l'encontre des responsables de traitements qui auraient constitué un fichier de données clients en violation des dispositions de la loi Informatique et Libertés. La CNIL peut prononcer un avertissement ou mettre le responsable du traitement en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe. Si le responsable du traitement ne se conforme pas à la mise en demeure, la CNIL peut alors prononcer une sanction pécuniaire d'un montant maximum de 300.000€ et/ou l’injonction de cesser le traitement.
Les sanctions pénales
La CNIL peut également décider de dénoncer les infractions constatées au procureur de la République. Les manquements à la loi Informatique et Libertés sont sévèrement réprimés par des sanctions pénales, se déclinant comme suit :
- le fait de procéder, y compris par négligence, à un traitement de données personnelles sans respecter les formalités préalables de déclaration est puni de 5 ans d’emprisonnement et 300.000€ d’amende ;
- le fait de procéder à un traitement de données personnelles malgré l'opposition de la personne concernée est puni de 5 ans d’emprisonnement et 300.000€ d’amende ; et
- le fait de procéder à de la prospection directe sans obtenir le consentement préalable du destinataire du message publicitaire est puni d'une amende de 750€ par message irrégulièrement expédié ; cette amende peut-être portée au quintuple pour les personnes morales (soit 3.750€ par message). (4)
2.2 La nullité de la vente d’un fichier clients illicite
La Cour de cassation, dans un arrêt du 25 juin 2013, vient de se prononcer sur la licéité de la vente d’un fichier clients informatisé, non déclaré à la CNIL. Dans cet arrêt, la Cour a retenu que, dans la mesure où un fichier non déclaré est illicite, ce fichier doit être considéré comme étant hors commerce. Il ne peut donc faire l'objet d'un contrat et donc d'une vente. La sanction de l'illicéité étant la nullité, ceci implique pour le vendeur d'un fichier non-déclaré l'obligation de rembourser à l'acheteur le prix de la vente, son fichier étant sans valeur juridique ni commerciale.
Dans cette affaire, deux associés d'une société avaient décidé de céder certains éléments de leur fonds de commerce de vente de vins aux particuliers, dont un fichier clients. Ce fichier comprenait près de 6.000 contacts clients. Le prix de la cession était fixé à 46.000€.
L'acquéreur, ayant découvert que le fichier n'avait pas été déclaré à la CNIL, a assigné les vendeurs en résolution de la vente, pour dol et pour non-conformité du fichier clients à la loi. Débouté en première instance, le vendeur a interjeté appel. La Cour d'appel de Rennes a rejeté les demandes de l'acquéreur du fichier. Si la Cour d'appel a relevé qu'un tel fichier clients devait effectivement faire l'objet d'une déclaration simplifiée, et qu'en l'espèce le fichier n’avait pas été déclaré, la loi n'avait cependant pas prévu de sanctionner l'absence d'une telle déclaration par la nullité du fichier.
L'acquéreur a finalement obtenu gain de cause devant la cour suprême. La Cour de cassation a fondé sa décision sur :
- l'article 22 de la Loi Informatique et Libertés qui dispose que : "(...) les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés", et
- l'article 1128 du Code civil qui dispose que : "Il n'y a que les choses qui sont dans le commerce qui puissent être l'objet des conventions". En d'autres termes, il ne peut y avoir de contrat valable que sur un objet licite.
La Cour a ainsi considéré que "tout fichier informatisé contenant des données à caractère personnel doit faire l'objet d'une déclaration auprès de la CNIL et que la vente d'un tel fichier qui, n'ayant pas été déclaré, n'est pas dans le commerce, a un objet illicite".
La Cour de cassation donne ainsi à la loi Informatique et Libertés une importance toute particulière : la valeur commerciale, ou patrimoniale, d'un fichier clients dépend de sa conformité à la réglementation sur la protection des données personnelles.
Si cette jurisprudence ne concerne que le non-respect des formalités préalables, ce raisonnement de la Cour pourrait être étendu à toutes cessions de fichiers clients pour lesquels le vendeur n'aurait pas respecté les autres obligations légales, telle par exemple l’absence de consentement et d'information des personnes concernées.
Les bases de données entrent dans la valorisation patrimoniale des entreprises, au même titre que les contrats commerciaux, leur portefeuille de marques et autres actifs matériels et immatériels. Au-delà des sanctions administratives et pénales encourues en cas de base de données illicite, la conformité de la constitution des bases de données clients est désormais affirmée comme l’un des éléments à valider par le cessionnaire, dans le cadre d’une cession de droits par une entreprise, voire par les investisseurs en cas de prise de participation dans une opération d’augmentation de capital.
* * * * * * * * * * *
(1) Voir article "Bataille pour acquérir le fichier clients de Virgin", publié le 3 juillet 2013 sur http://www.lemonde.fr/.
(2) Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.
(3) Cass. com., 25 juin 2013, n°12-17.037
(4) Article 50 loi Informatique et Libertés ; Articles 226-16 et s., 131-13 et 131-41 du Code pénal et article R-10-1 du Code des Postes et des Communications Electroniques.
Bénédicte DELEPORTE
Betty SFEZ
Avocats
Deleporte Wentz Avocat
http://www.deleporte-wentz-avocat.com/
Août 2013
jeudi 11 juillet 2013
Cybercriminalité : la réponse pénale de l'Union européenne aux attaques contre les systèmes d'information
Partant du constat que les cyberattaques contre les Etats et les entreprises se multiplient et qu'à grande échelle ces d'attaques sont susceptibles de provoquer "des dommages économiques notables, tant du fait de l'interruption des systèmes d'information et des communications qu'en raison de la perte ou l'altération d'informations confidentielles importantes d'un point de vue commercial ou d'autres données", le Parlement européen vient d'adopter, en première lecture, une proposition de directive relative aux attaques visant les systèmes d’information. (1)
Ce texte, adopté à la majorité absolue (541 voix, 91 contre et 9 abstentions), définit les infractions punissables et les sanctions en cas d'attaques contre les systèmes d'information. En outre, il vise à faciliter la prévention de ces infractions et à améliorer la coopération entre les autorités compétentes des Etats membres. Voici ce qu'il faut retenir.
1. Les actes de cybercriminalité sanctionnés
La proposition de directive exige que les États membres érigent en infraction pénale punissable les cinq types d'agissements suivants :
- l'accès illégal à tout ou partie des systèmes d'information, à savoir l'accès commis en violation d'une mesure de sécurité ;
- l'atteinte illégale à l'intégrité d'un système d'information, à savoir le fait de provoquer une perturbation grave ou une interruption du fonctionnement d'un système, en introduisant, effaçant, altérant, ou rendant inaccessibles des données informatiques ;
- l'atteinte illégale à l'intégrité des données, à savoir le fait d'endommager, de détériorer, de supprimer ou de rendre inaccessibles des données informatiques d'un système ;
- l'interception illégale (par des moyens techniques de transmissions non publiques) de données informatiques à destination, en provenance ou à l'intérieur d'un système d'information ;
- enfin la mise à disposition (production, vente, importation, diffusion) d'outils (logiciels ou codes d'accès) utilisés dans l'intention de commettre l’une des infractions visées ci-dessus.
Ces actes doivent être commis de manière intentionnelle et sans droit, à savoir sans l'autorisation du propriétaire du système. Le texte exclut de la liste des infractions les "cas mineurs" d'attaques. Il appartiendra à chaque Etat membre de définir ces "cas mineurs" et le cas échéant, de sanctionner ces attaques, selon leur droit national.
Le droit français sanctionne déjà une partie de ces agissements, à savoir les "atteintes aux systèmes de traitement automatisé de données" (STAD)(articles 323-1 et s. Code pénal).
2. Les personnes punissables de cyberattaques
Les auteurs des infractions mentionnées ci-dessus seront sanctionnés. Il en va de même pour la personne qui aura incité l'auteur à commettre l'une de ces infractions ou qui sera son complice. En outre, sera également punie la personne qui aura tenté de commettre une atteinte illégale à l'intégrité d'un système ou des données.
Par ailleurs, la proposition de directive prévoit que les personnes morales pourront être tenues responsables des infractions, lorsque celles-ci sont commises pour leur compte (par exemple “pirate” informatique mandaté pour attaquer la concurrence). Le droit français sanctionne également les personnes morales en cas d'atteintes à un STAD.
Si la proposition de directive sanctionne les entreprises, ce texte ne prévoit aucune sanction en cas de cyberattaque orchestrée par un Etat.
3. L'adoption de sanctions pénales : des peines plancher d'emprisonnement
La proposition de directive précise que les sanctions doivent être effectives, proportionnées et dissuasives. Ainsi, le texte exige que les Etats membres punissent les cyberdéliquants de peines d'emprisonnement, dont la durée minimum est fixée par le Parlement et le Conseil. Ces peines varient selon les infractions commises, allant de 2 à 5 ans.
Ainsi, la proposition de directive prévoit notamment qu'une personne coupable d'avoir utilisé un réseau d'ordinateurs zombies ("botnet") doit être punie d'un minimum de 3 ans d'emprisonnement. Quant aux pirates informatiques qui attaquent le système d'information d'une infrastructure critique (ex: centrales nucléaires, réseaux de transport et gouvernementaux), qui agissent dans le cadre d'une organisation criminelle ou qui causent de graves préjudices, ils devront être punis d'un minimum de 5 ans d'emprisonnement. La notion de "grave préjudice" n'est cependant pas définie dans le texte.
Le texte prévoit également des sanctions spécifiques à l'encontre des personnes morales, à savoir des amendes et des peines complémentaires telles que la fermeture temporaire ou définitive d'établissements ayant servi à commettre l'infraction.
En France, les infractions existantes en matière d'atteintes à un STAD sont punies de peines d'emprisonnement - de 2 à 7 ans, et d'amendes - de 30.000€ à 100.000€. Toutefois, contrairement aux dispositions de la proposition de directive, ces sanctions sont des peines maximales. Le recours aux peines plancher est peu utilisé dans notre système pénal ; traditionnellement, la loi pénale française fixe pour chaque infraction la peine maximale encourue, que le juge ne peut dépasser mais dont il est libre de faire une application partielle en fonction des faits de l'espèce et de la personnalité du condamné. Aussi, lorsque la directive sera adoptée, il appartiendra à la France de renforcer ses sanctions.
4. La poursuite des infractions et la coopération entre les Etats membres
La compétence des Etats membres - La proposition de directive prévoit que les Etats membres sont compétents lorsque l'une des infractions, mentionnées ci-dessus, a été commise, soit en tout ou en partie sur leur territoire, soit par l’un de leurs ressortissants, sous réserve que l'acte frauduleux constitue une infraction dans le pays où il a été commis.
En outre, lorsque l'acte cybercriminel a été commis en tout ou en partie sur son territoire, un État membre veille à se déclarer compétent lorsque : a) l'auteur de l'infraction a commis celle-ci alors qu'il était physiquement présent sur son territoire, que l'infraction vise un système d'information situé sur son territoire ou non ; ou b) l'infraction vise un système d'information situé sur son territoire, que l'auteur de l'infraction soit physiquement présent sur son territoire ou non lors de la commission de l'infraction.
Enfin, le texte prévoit qu'un Etat membre peut établir sa compétence, après en avoir informé la Commission européenne, lorsqu'une infraction a été commise en dehors de son territoire mais que, soit l'auteur de l'infraction réside habituellement sur son territoire, soit l'infraction a été commise pour le compte d'une personne morale établie sur son territoire.
La proposition de directive offre donc aux Etats membres une compétence juridictionnelle très étendue en matière de cyberattaques. Cette extension est telle que, selon les cas, plusieurs Etats pourraient se déclarer compétents à l'égard d'une même infraction. Or, le texte ne prévoit pas de solution particulière dans l'hypothèse où plusieurs Etats revendiqueraient une telle compétence.
Une coopération renforcée - Afin de lutter efficacement contre les attaques de cyberdéliquants, la proposition de directive souhaite mettre en place un système d'échange d'informations relatives aux infractions entre les Etats.
Pour ce faire, le texte exige que les États membres mettent en place un système de suivi des infractions (nombre d'infractions et nombre de personnes poursuivies et condamnées enregistrées), puis transmettent à la Commission les statistiques recueillies. Ces statistiques seront ensuite communiquées aux agences et organes spécialisés compétents de l'Union.
Par ailleurs, la proposition de directive créerait un réseau d'information et imposerait ainsi aux Etats membres de disposer de points de contact nationaux opérationnels chargés de relayer les informations pertinentes. Ces points de contact devraient être disponibles 24h/24 et 7j/7 et capables de répondre, dans un délai de 8 heures, à une demande urgente d'un autre Etat membre. Le texte ne donne pas d'information quant à l'organisation et la composition des équipes de ces points de contacts.
Cette proposition de directive doit désormais être votée par le Conseil. Une fois adoptée, les 28 Etats membres auront deux ans pour transposer la directive dans leurs droits nationaux.
Ce texte, qui vise à mettre en oeuvre une approche cohérente et globale de lutte contre la cybercriminalité, se situe dans le prolongement de la publication d'une stratégie commune de cybersécurité ainsi d’une proposition de directive relative à la sécurité des réseaux et de l’information. (2)
Cependant, face aux cybermenaces, les Etats membres n'attendent pas que la politique commune de l'Union soit définitivement adoptée pour agir aux niveaux nationaux et commencer à s’organiser. C'est ainsi qu'en avril 2013, la France a publié un nouveau Livre blanc sur la Défense et la Sécurité nationale. Ce livre blanc définit une stratégie nationale de cyberdéfense visant à prévenir et riposter aux cyberattaques. (3) De même, le gouvernement britannique vient d'entériner un accord visant à lutter contre les cybermenaces, avec neuf sociétés du secteur des télécommunications, de la défense, de l’aéronautique et des technologies de l’information. Cet accord a pour objectif d'établir un environnement collaboratif propice au partage du savoir et de l’expertise en matière de cyberdéfense. Il comporte plusieurs volets, tels que la protection des infrastructures, la surveillance préventive des systèmes ennemis et la sécurisation des réseaux au sein des agences gouvernementales. (4)
* * * * * * * * * *
(1) Résolution législative du Parlement européen du 4 juillet 2013 sur la proposition de directive du Parlement européen et du Conseil relative aux attaques visant les systèmes d'information et abrogeant la décision-cadre 2005/222/JAI du Conseil.
(2) Communication conjointe au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions. Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, Bruxelles, le 7.2.2013 COM(2013) 48 final 2013/0027 (COD).
(3) Voir notre article "Cyberdéfense : la stratégie nationale dévoilée dans le dernier Livre blanc sur la Défense et la Sécurité nationale", publié le 21 mai 2013 sur le blog du Cabinet (http://dwavocat.blogspot.fr/).
(4) Voir un article "Cyberdéfense : le Royaume-Uni consolide son arsenal", publié le 5 juillet 2013, sur http://www.itespresso.fr/.
Betty SFEZ - Avocat
Deleporte Wentz Avocat
http://www.deleporte-wentz-avocat.com/
Juillet 2013
Ce texte, adopté à la majorité absolue (541 voix, 91 contre et 9 abstentions), définit les infractions punissables et les sanctions en cas d'attaques contre les systèmes d'information. En outre, il vise à faciliter la prévention de ces infractions et à améliorer la coopération entre les autorités compétentes des Etats membres. Voici ce qu'il faut retenir.
1. Les actes de cybercriminalité sanctionnés
La proposition de directive exige que les États membres érigent en infraction pénale punissable les cinq types d'agissements suivants :
- l'accès illégal à tout ou partie des systèmes d'information, à savoir l'accès commis en violation d'une mesure de sécurité ;
- l'atteinte illégale à l'intégrité d'un système d'information, à savoir le fait de provoquer une perturbation grave ou une interruption du fonctionnement d'un système, en introduisant, effaçant, altérant, ou rendant inaccessibles des données informatiques ;
- l'atteinte illégale à l'intégrité des données, à savoir le fait d'endommager, de détériorer, de supprimer ou de rendre inaccessibles des données informatiques d'un système ;
- l'interception illégale (par des moyens techniques de transmissions non publiques) de données informatiques à destination, en provenance ou à l'intérieur d'un système d'information ;
- enfin la mise à disposition (production, vente, importation, diffusion) d'outils (logiciels ou codes d'accès) utilisés dans l'intention de commettre l’une des infractions visées ci-dessus.
Ces actes doivent être commis de manière intentionnelle et sans droit, à savoir sans l'autorisation du propriétaire du système. Le texte exclut de la liste des infractions les "cas mineurs" d'attaques. Il appartiendra à chaque Etat membre de définir ces "cas mineurs" et le cas échéant, de sanctionner ces attaques, selon leur droit national.
Le droit français sanctionne déjà une partie de ces agissements, à savoir les "atteintes aux systèmes de traitement automatisé de données" (STAD)(articles 323-1 et s. Code pénal).
2. Les personnes punissables de cyberattaques
Les auteurs des infractions mentionnées ci-dessus seront sanctionnés. Il en va de même pour la personne qui aura incité l'auteur à commettre l'une de ces infractions ou qui sera son complice. En outre, sera également punie la personne qui aura tenté de commettre une atteinte illégale à l'intégrité d'un système ou des données.
Par ailleurs, la proposition de directive prévoit que les personnes morales pourront être tenues responsables des infractions, lorsque celles-ci sont commises pour leur compte (par exemple “pirate” informatique mandaté pour attaquer la concurrence). Le droit français sanctionne également les personnes morales en cas d'atteintes à un STAD.
Si la proposition de directive sanctionne les entreprises, ce texte ne prévoit aucune sanction en cas de cyberattaque orchestrée par un Etat.
3. L'adoption de sanctions pénales : des peines plancher d'emprisonnement
La proposition de directive précise que les sanctions doivent être effectives, proportionnées et dissuasives. Ainsi, le texte exige que les Etats membres punissent les cyberdéliquants de peines d'emprisonnement, dont la durée minimum est fixée par le Parlement et le Conseil. Ces peines varient selon les infractions commises, allant de 2 à 5 ans.
Ainsi, la proposition de directive prévoit notamment qu'une personne coupable d'avoir utilisé un réseau d'ordinateurs zombies ("botnet") doit être punie d'un minimum de 3 ans d'emprisonnement. Quant aux pirates informatiques qui attaquent le système d'information d'une infrastructure critique (ex: centrales nucléaires, réseaux de transport et gouvernementaux), qui agissent dans le cadre d'une organisation criminelle ou qui causent de graves préjudices, ils devront être punis d'un minimum de 5 ans d'emprisonnement. La notion de "grave préjudice" n'est cependant pas définie dans le texte.
Le texte prévoit également des sanctions spécifiques à l'encontre des personnes morales, à savoir des amendes et des peines complémentaires telles que la fermeture temporaire ou définitive d'établissements ayant servi à commettre l'infraction.
En France, les infractions existantes en matière d'atteintes à un STAD sont punies de peines d'emprisonnement - de 2 à 7 ans, et d'amendes - de 30.000€ à 100.000€. Toutefois, contrairement aux dispositions de la proposition de directive, ces sanctions sont des peines maximales. Le recours aux peines plancher est peu utilisé dans notre système pénal ; traditionnellement, la loi pénale française fixe pour chaque infraction la peine maximale encourue, que le juge ne peut dépasser mais dont il est libre de faire une application partielle en fonction des faits de l'espèce et de la personnalité du condamné. Aussi, lorsque la directive sera adoptée, il appartiendra à la France de renforcer ses sanctions.
4. La poursuite des infractions et la coopération entre les Etats membres
La compétence des Etats membres - La proposition de directive prévoit que les Etats membres sont compétents lorsque l'une des infractions, mentionnées ci-dessus, a été commise, soit en tout ou en partie sur leur territoire, soit par l’un de leurs ressortissants, sous réserve que l'acte frauduleux constitue une infraction dans le pays où il a été commis.
En outre, lorsque l'acte cybercriminel a été commis en tout ou en partie sur son territoire, un État membre veille à se déclarer compétent lorsque : a) l'auteur de l'infraction a commis celle-ci alors qu'il était physiquement présent sur son territoire, que l'infraction vise un système d'information situé sur son territoire ou non ; ou b) l'infraction vise un système d'information situé sur son territoire, que l'auteur de l'infraction soit physiquement présent sur son territoire ou non lors de la commission de l'infraction.
Enfin, le texte prévoit qu'un Etat membre peut établir sa compétence, après en avoir informé la Commission européenne, lorsqu'une infraction a été commise en dehors de son territoire mais que, soit l'auteur de l'infraction réside habituellement sur son territoire, soit l'infraction a été commise pour le compte d'une personne morale établie sur son territoire.
La proposition de directive offre donc aux Etats membres une compétence juridictionnelle très étendue en matière de cyberattaques. Cette extension est telle que, selon les cas, plusieurs Etats pourraient se déclarer compétents à l'égard d'une même infraction. Or, le texte ne prévoit pas de solution particulière dans l'hypothèse où plusieurs Etats revendiqueraient une telle compétence.
Une coopération renforcée - Afin de lutter efficacement contre les attaques de cyberdéliquants, la proposition de directive souhaite mettre en place un système d'échange d'informations relatives aux infractions entre les Etats.
Pour ce faire, le texte exige que les États membres mettent en place un système de suivi des infractions (nombre d'infractions et nombre de personnes poursuivies et condamnées enregistrées), puis transmettent à la Commission les statistiques recueillies. Ces statistiques seront ensuite communiquées aux agences et organes spécialisés compétents de l'Union.
Par ailleurs, la proposition de directive créerait un réseau d'information et imposerait ainsi aux Etats membres de disposer de points de contact nationaux opérationnels chargés de relayer les informations pertinentes. Ces points de contact devraient être disponibles 24h/24 et 7j/7 et capables de répondre, dans un délai de 8 heures, à une demande urgente d'un autre Etat membre. Le texte ne donne pas d'information quant à l'organisation et la composition des équipes de ces points de contacts.
Cette proposition de directive doit désormais être votée par le Conseil. Une fois adoptée, les 28 Etats membres auront deux ans pour transposer la directive dans leurs droits nationaux.
Ce texte, qui vise à mettre en oeuvre une approche cohérente et globale de lutte contre la cybercriminalité, se situe dans le prolongement de la publication d'une stratégie commune de cybersécurité ainsi d’une proposition de directive relative à la sécurité des réseaux et de l’information. (2)
Cependant, face aux cybermenaces, les Etats membres n'attendent pas que la politique commune de l'Union soit définitivement adoptée pour agir aux niveaux nationaux et commencer à s’organiser. C'est ainsi qu'en avril 2013, la France a publié un nouveau Livre blanc sur la Défense et la Sécurité nationale. Ce livre blanc définit une stratégie nationale de cyberdéfense visant à prévenir et riposter aux cyberattaques. (3) De même, le gouvernement britannique vient d'entériner un accord visant à lutter contre les cybermenaces, avec neuf sociétés du secteur des télécommunications, de la défense, de l’aéronautique et des technologies de l’information. Cet accord a pour objectif d'établir un environnement collaboratif propice au partage du savoir et de l’expertise en matière de cyberdéfense. Il comporte plusieurs volets, tels que la protection des infrastructures, la surveillance préventive des systèmes ennemis et la sécurisation des réseaux au sein des agences gouvernementales. (4)
* * * * * * * * * *
(1) Résolution législative du Parlement européen du 4 juillet 2013 sur la proposition de directive du Parlement européen et du Conseil relative aux attaques visant les systèmes d'information et abrogeant la décision-cadre 2005/222/JAI du Conseil.
(2) Communication conjointe au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions. Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, Bruxelles, le 7.2.2013 COM(2013) 48 final 2013/0027 (COD).
(3) Voir notre article "Cyberdéfense : la stratégie nationale dévoilée dans le dernier Livre blanc sur la Défense et la Sécurité nationale", publié le 21 mai 2013 sur le blog du Cabinet (http://dwavocat.blogspot.fr/).
(4) Voir un article "Cyberdéfense : le Royaume-Uni consolide son arsenal", publié le 5 juillet 2013, sur http://www.itespresso.fr/.
Betty SFEZ - Avocat
Deleporte Wentz Avocat
http://www.deleporte-wentz-avocat.com/
Juillet 2013
vendredi 5 juillet 2013
Une nouvelle norme AFNOR pour assainir le domaine des avis de consommateurs sur internet
On connaît l’importance de l’influence des avis de consommateurs sur la décision d’achat en ligne, que ce soit pour les achats de biens ou de prestations (choix d’un hôtel ou d’un restaurant) et donc sur l’e-réputation des produits et commerces référencés.
Selon une enquête réalisée par le cabinet Easypanel en mars 2013, citée par la société Testntrust, 82% des e-consommateurs consulteraient “toujours” ou “parfois” les avis pour les guider dans leur décision d’achat. (1) Par ailleurs, selon LaFourchette.com, site comparateur de restaurants, l’augmentation d’un point de la note moyenne d’un restaurant se traduirait par une augmentation de 6% du nombre de réservations mensuelles. (2) A contrario, la baisse de cette note entraîne une baisse du chiffre d’affaires du commerce en cause.
Malheureusement nombre de sites affichent de faux avis de consommateurs : personnes n’ayant jamais acheté le produit ou séjourné à l’hôtel en référence, personnes rédigeant des avis contre rémunération, ou sites achetant de faux avis à des agences “spécialisées”.
Afin d’assainir ce domaine, une nouvelle norme “Avis en ligne des consommateurs” vient d’être publiée par l’AFNOR le 4 juillet. Cette norme, qui concerne tous types de produits et services et tous types de sites (sites comparateurs ou sites de e-commerce), a pour objet de maintenir la confiance des consommateurs sur ces avis en prônant plus de transparence. (3)
1. Les trois étapes du traitement des avis de consommateurs sur internet
La norme traite les avis en trois étapes, à savoir : l’étape de la collecte de l’avis, sa modération par le site web et enfin la restitution ou publication de l’avis sur le site.
- La collecte de l’avis
La collecte de l’avis du consommateur doit être conforme aux principaux points suivants : l’auteur s’engage à avoir effectivement acheté le produit ou utilisé le service et cette expérience doit pouvoir être vérifiée ; l’auteur de l’avis doit être identifié (l’avis peut cependant être anonymisé sur le site) et pouvoir être contacté (adresse email et téléphone par exemple) ; le site a interdiction d’acheter des avis.
- La modération par le site
Les avis doivent être modérés a priori, de manière automatique ou humaine. Le modérateur doit maîtriser la langue dans laquelle l’avis a été rédigé. Les règles de modération des avis sont décrites aux conditions de vente (CGV) ou d’utilisation (CGU) du site. Le délai de modération doit être rapide et les motifs de rejet d’un avis doivent être indiqués. Une fois en ligne, l’avis ne peut être modifié, mais il peut être supprimé à la demande de son auteur.
- La restitution (publication) de l’avis
Les avis doivent être publiés par ordre chronologique (plus récent au plus ancien), d’autres types de tri étant possibles. Les méthodes de calcul des notes globales et les délais de prise en compte des notes doivent être claires. Enfin, le délai de restitution (publication) doit être rapide et affiché.
2. Les conditions de mise en conformité par les sites de e-commerce
Pour rappel, la norme n’est pas une loi mais un texte consensuel élaboré par un panel de professionnels et qui reflète l’état de l’art. Les normes sont en principe revues tous les cinq ans environ, et sont donc évolutives.
La norme sur les avis en ligne des consommateurs n’est pas d’application obligatoire. Les professionnels qui le souhaitent peuvent soit décider de l’appliquer volontairement, soit obtenir une certification.
- L’auto-déclaration
Les sites comparateurs et de e-commerce collectant des avis de consommateurs peuvent décider de se mettre en conformité avec la norme NF Z74-501 par une auto-déclaration de conformité. Cependant, l’auto-déclaration de conformité à la norme engage la responsabilité de l’exploitant du site en cas de contrôle de la DGCCRF par exemple.
L’utilisation abusive d’une norme AFNOR est sanctionnée par le code de la consommation au titre des pratiques commerciales trompeuses. (4)
- La certification
La certification a pour objet de faire contrôler et attester par un organisme certificateur tiers la conformité des pratiques à la norme en référence.
Les critères figurant dans cette norme sur les avis en ligne de consommateurs peuvent paraître soit relever du bon sens (interdiction d’acheter de faux avis) soit poser des règles trop contraignantes (règles de modération). Cependant, la norme a le mérite de créer un référentiel de confiance pour assainir le domaine des avis, qui, comme nous l’avons rappelé plus haut, est un élément clé dans la décision d’achat des consommateurs. La question sera de voir comment cette norme sera accueillie par les sites comparateurs, et si elle sera par la suite étendue à l’international.
Enfin, bien que cette norme soit générique en ce qu’elle a vocation à s’appliquer à tous types de biens et de services et à tous types de sites recueillant des avis de consommateurs, elle ne prend a priori pas en compte les avis publiés sur les réseaux sociaux (Facebook, Twitter), qui restent à prendre avec “modération”, ni les “likes” (j’aime) et autres “followers”, mais il s’agit là d’un autre sujet.
* * * * * * * * * *
(1) Communiqué de la société Testntrust du 17 avril 2013
(2) Cité dans l’article des Echos “Le e-commerce chasse les faux avis de consommateurs”, publié le 2 juillet 2013
(3) Norme AFNOR Avis en ligne des consommateurs NF Z74-501
(4) Voir art. L.121-1 et s. et art. L.213.1 et s. du code de la consommation. Les peines maximum encourues s’élèvent à 37 500€ pour l’exploitant du site personne physique et 187 500€ pour les personnes morales.
Bénédicte DELEPORTE – Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Juillet 2013
Selon une enquête réalisée par le cabinet Easypanel en mars 2013, citée par la société Testntrust, 82% des e-consommateurs consulteraient “toujours” ou “parfois” les avis pour les guider dans leur décision d’achat. (1) Par ailleurs, selon LaFourchette.com, site comparateur de restaurants, l’augmentation d’un point de la note moyenne d’un restaurant se traduirait par une augmentation de 6% du nombre de réservations mensuelles. (2) A contrario, la baisse de cette note entraîne une baisse du chiffre d’affaires du commerce en cause.
Malheureusement nombre de sites affichent de faux avis de consommateurs : personnes n’ayant jamais acheté le produit ou séjourné à l’hôtel en référence, personnes rédigeant des avis contre rémunération, ou sites achetant de faux avis à des agences “spécialisées”.
Afin d’assainir ce domaine, une nouvelle norme “Avis en ligne des consommateurs” vient d’être publiée par l’AFNOR le 4 juillet. Cette norme, qui concerne tous types de produits et services et tous types de sites (sites comparateurs ou sites de e-commerce), a pour objet de maintenir la confiance des consommateurs sur ces avis en prônant plus de transparence. (3)
1. Les trois étapes du traitement des avis de consommateurs sur internet
La norme traite les avis en trois étapes, à savoir : l’étape de la collecte de l’avis, sa modération par le site web et enfin la restitution ou publication de l’avis sur le site.
- La collecte de l’avis
La collecte de l’avis du consommateur doit être conforme aux principaux points suivants : l’auteur s’engage à avoir effectivement acheté le produit ou utilisé le service et cette expérience doit pouvoir être vérifiée ; l’auteur de l’avis doit être identifié (l’avis peut cependant être anonymisé sur le site) et pouvoir être contacté (adresse email et téléphone par exemple) ; le site a interdiction d’acheter des avis.
- La modération par le site
Les avis doivent être modérés a priori, de manière automatique ou humaine. Le modérateur doit maîtriser la langue dans laquelle l’avis a été rédigé. Les règles de modération des avis sont décrites aux conditions de vente (CGV) ou d’utilisation (CGU) du site. Le délai de modération doit être rapide et les motifs de rejet d’un avis doivent être indiqués. Une fois en ligne, l’avis ne peut être modifié, mais il peut être supprimé à la demande de son auteur.
- La restitution (publication) de l’avis
Les avis doivent être publiés par ordre chronologique (plus récent au plus ancien), d’autres types de tri étant possibles. Les méthodes de calcul des notes globales et les délais de prise en compte des notes doivent être claires. Enfin, le délai de restitution (publication) doit être rapide et affiché.
2. Les conditions de mise en conformité par les sites de e-commerce
Pour rappel, la norme n’est pas une loi mais un texte consensuel élaboré par un panel de professionnels et qui reflète l’état de l’art. Les normes sont en principe revues tous les cinq ans environ, et sont donc évolutives.
La norme sur les avis en ligne des consommateurs n’est pas d’application obligatoire. Les professionnels qui le souhaitent peuvent soit décider de l’appliquer volontairement, soit obtenir une certification.
- L’auto-déclaration
Les sites comparateurs et de e-commerce collectant des avis de consommateurs peuvent décider de se mettre en conformité avec la norme NF Z74-501 par une auto-déclaration de conformité. Cependant, l’auto-déclaration de conformité à la norme engage la responsabilité de l’exploitant du site en cas de contrôle de la DGCCRF par exemple.
L’utilisation abusive d’une norme AFNOR est sanctionnée par le code de la consommation au titre des pratiques commerciales trompeuses. (4)
- La certification
La certification a pour objet de faire contrôler et attester par un organisme certificateur tiers la conformité des pratiques à la norme en référence.
Les critères figurant dans cette norme sur les avis en ligne de consommateurs peuvent paraître soit relever du bon sens (interdiction d’acheter de faux avis) soit poser des règles trop contraignantes (règles de modération). Cependant, la norme a le mérite de créer un référentiel de confiance pour assainir le domaine des avis, qui, comme nous l’avons rappelé plus haut, est un élément clé dans la décision d’achat des consommateurs. La question sera de voir comment cette norme sera accueillie par les sites comparateurs, et si elle sera par la suite étendue à l’international.
Enfin, bien que cette norme soit générique en ce qu’elle a vocation à s’appliquer à tous types de biens et de services et à tous types de sites recueillant des avis de consommateurs, elle ne prend a priori pas en compte les avis publiés sur les réseaux sociaux (Facebook, Twitter), qui restent à prendre avec “modération”, ni les “likes” (j’aime) et autres “followers”, mais il s’agit là d’un autre sujet.
* * * * * * * * * *
(1) Communiqué de la société Testntrust du 17 avril 2013
(2) Cité dans l’article des Echos “Le e-commerce chasse les faux avis de consommateurs”, publié le 2 juillet 2013
(3) Norme AFNOR Avis en ligne des consommateurs NF Z74-501
(4) Voir art. L.121-1 et s. et art. L.213.1 et s. du code de la consommation. Les peines maximum encourues s’élèvent à 37 500€ pour l’exploitant du site personne physique et 187 500€ pour les personnes morales.
Bénédicte DELEPORTE – Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Juillet 2013
mardi 2 juillet 2013
E-pharmacie : les conditions de vente de médicaments sur internet enfin précisées
Les médicaments sont des produits particuliers et leur vente sur internet, bien que désormais autorisée avec l’ordonnance et le décret d’application de décembre 2012, reste très encadrée. (1)
Conformément à l’article L.5121-5 du Code de la santé publique, le gouvernement vient de publier l’arrêté relatif aux bonnes pratiques de dispensation des médicaments par voie électronique. Cet arrêté a pour objet de préciser les conditions et recommandations relatives aux sites de e-pharmacie (conception du site et exploitation) et à la vente des médicaments en ligne (présentation des produits et conditions de vente). Il doit entrer en vigueur le 12 juillet 2013. (2)
La mise en place de la réglementation relative à la vente de médicaments en ligne s’élabore cependant dans la douleur. En effet, à la suite de la publication des textes de décembre 2012, le Conseil d’Etat a rendu une ordonnance en référé le 14 février 2013 relative aux catégories de médicaments pouvant être vendus en ligne. La réglementation française se voulant plus restrictive que la directive européenne, le Conseil d’Etat a ordonné la suspension du nouvel article L.5125-4 du Code de la santé publique qui interdisait la vente en ligne non seulement aux médicaments soumis à prescription obligatoire, mais également à une partie des médicaments en vente libre. (3) Or, la vente en ligne devait être autorisée pour tous les médicaments vendus sans ordonnance. Par ailleurs, le premier projet d’arrêté, datant de février, avait fait l’objet d’un avis défavorable de la part de l’Autorité de la concurrence. En effet, ce projet comportait plusieurs mesures restrictives de concurrence, jugées non justifiées par des considérations de santé publique (notamment interdiction de vente, sur le même site, de médicaments et de produits de para-pharmacie, ou restrictions en matière de liberté des prix). (4)
L’arrêté du 20 juin 2013 a levé ces restrictions. Nous rappelons ci-après les principales dispositions de cet arrêté, à savoir les conditions spécifiques relatives à la conception et à l’exploitation d’un site de e-pharmacie, à l’exercice de l’activité de e-pharmacien et à la vente de médicaments en ligne.
1. La conception et l’exploitation du site de e-pharmacie
Afin de respecter les particularités liées à la profession de pharmacien (profession réglementée), et à la vente de médicaments (produits particuliers), le site de e-pharmacie doit respecter certaines obligations de nature technique et interdictions, en sus des règles généralement applicables à la création et à l’exploitation d’un site de commerce électronique.
- L’exploitation du site de e-pharmacie : l’ordonnance de décembre 2012 réserve l’exploitation des sites de e-pharmacie aux pharmaciens titulaires d’une officine. La création du site est soumise au dépôt d’une demande d’autorisation auprès du directeur général de l’Agence Régionale de Santé (DGARS) ainsi que l’information du Conseil de l’Ordre des pharmaciens. (5)
L’arrêté de juin 2013 fixe des règles supplémentaires devant être respectées par le pharmacien souhaitant se lancer dans le commerce de médicaments en ligne.
L’exploitation d’un site de e-pharmacie est soumise à certaines interdictions justifiées par le souci de préserver l’indépendance professionnelle du pharmacien, le secret professionnel, la communication d’informations neutres et objectives, conformément aux règles de déontologie décrites dans le Code de la santé publique.
Il est interdit au e-pharmacien :
- de faire financer la création et l'exploitation du site par une entreprise produisant ou commercialisant des produits de santé (laboratoire pharmaceutique),
- de sous-traiter à un tiers l'activité de vente par internet, à l'exception de la conception et de la maintenance techniques du site,
- de recourir à des techniques de référencement payant via des moteurs de recherche ou des comparateurs de prix.
Enfin, sont interdits les liens hypertextes vers les sites des entreprises pharmaceutiques et les forums de discussion.
- Le choix du nom de domaine : le e-pharmacien n’a pas une liberté totale de choix du nom de domaine pour sa pharmacie en ligne. L’arrêté “recommande” que l'adresse du site internet comprenne le nom du pharmacien, éventuellement accolé à celui de l'officine. Ainsi, le nom de domaine ne doit pas être fantaisiste, ni tromper le patient sur le contenu du site, ou avoir un objectif promotionnel.
En outre, le nom de domaine doit évidemment respecter la réglementation en vigueur et notamment les dispositions du Code des postes et communications électroniques.
- Les mentions légales obligatoires : le site de e-pharmacie doit comporter des informations relatives à l’identification de l’exploitant du site conformément aux règles énoncées dans la loi pour la confiance dans l’économie numérique (LCEN du 21 juin 2004), complétées par les informations spécifiques telles que le numéro Répertoire Partagé des Professionnels de Santé du pharmacien, le numéro de licence de la pharmacie. Le site doit également intégrer des liens hypertextes vers les sites internet de l'Ordre national des pharmaciens et du Ministère chargé de la santé (qui tiennent à jour une liste des sites internet de pharmacies autorisés) et celui de l'Agence nationale de sécurité du médicament et des produits de santé.
- Le contenu du site de e-pharmacie : Le site n’est pas limité à la seule vente de médicaments. Le e-pharmacien pourra ainsi proposer à la vente en ligne toutes les autres gammes de produits vendues dans son officine, notamment les produits de para-pharmacie, de soin ou vétérinaires par exemple.
Le site devra cependant comporter un onglet spécifique à la vente de médicaments, afin de distinguer clairement les médicaments des autres produits vendus par le e-pharmacien.
Un espace privé pour chaque client-patient doit pouvoir être créé. Ce compte personnel du client récapitulera l’intégralité des commandes et des échanges avec le pharmacien.
2. L’exercice de l'activité d’e-pharmacien
L’activité de e-pharmacien s’exerce dans le prolongement de celle de pharmacien. Ainsi, comme mentionné ci-dessus, le pharmacien qui exploite un site de vente en ligne reste soumis à la réglementation prévue au Code de la santé publique, qui vient s’ajouter à celle relative au commerce électronique.
L’arrêté de juin 2013 prévoit plusieurs obligations spécifiques à la charge du e-pharmacien.
- La prolongation de l’obligation d’information et de conseil du patient, en ligne : la vente de médicaments en ligne est soumise à la possibilité d’établir un échange interactif et personnalisé entre le pharmacien et le patient avant la validation de la commande. Les réponses automatisées aux questions des patients ne permettent pas d’assurer une information pertinente et un conseil adapté aux besoins du patient.
Le e-pharmacien doit s'assurer de l'adéquation de la commande à l'état de santé du patient. Pour ce faire, le site de e-pharmacie doit intégrer les éléments suivants :
- un questionnaire à remplir obligatoirement par le patient avant la validation de sa première commande en ligne. Ce questionnaire, dans lequel le patient renseigne son âge, son poids, etc. est validé par le e-pharmacien avant la validation de la commande ;
- un dispositif technique, sécurisé et assurant la confidentialité des échanges, permettant le dialogue entre le pharmacien et le patient, par email ou tchat.
Outre le conseil et l'information au stade de la commande, le patient doit pouvoir poser des questions complémentaires au e-pharmacien, qui a l'obligation d'y répondre, via email ou tchat. Tous les échanges entre le e-pharmacien et le patient sont tracés, chiffrés et archivés.
- Le contrôle pharmaceutique : le contrôle de la quantité de médicaments à délivrer au patient est réalisé par le pharmacien. Un dispositif de blocage des commandes doit être mis en place sur le site pour éviter le dépassement de la quantité maximale autorisée. Une quantité minimale d'achat ne peut être exigée et le patient doit pouvoir ne commander qu'une seule boîte d'un médicament. Le e-pharmacien assure personnellement la délivrance et contrôle que le médicament qu'il délivre est bien celui commandé.
- La protection des données personnelles des patients : les données de santé sont des données considérées comme sensibles, faisant l'objet d'une protection renforcée. En qualité de responsable du traitement, le e-pharmacien est soumis aux dispositions de la loi Informatique et Libertés du 6 janvier 1978.
3. Les conditions de vente en ligne des médicaments
Hormis les règles généralement applicables à la vente en ligne, l’arrêté prévoit des conditions spécifiques additionnelles pour la vente de médicaments en ligne.
- Catégorie de médicaments autorisés à la vente en ligne : l’arrêté du juin 2013 confirme la catégorie de médicaments pouvant être vendus sur internet, à savoir les médicaments “de médication officinale qui peuvent être présentés en accès direct au public en officine, ayant obtenu l'autorisation de mise sur le marché (…)”. Les médicaments soumis à prescription obligatoire restent exclus de la vente sur internet.
- La présentation des produits en ligne : les conditions de présentation des médicaments sont strictement encadrées, de manière à rester neutres, claires, non trompeuses et informatives. L’arrêté précise ainsi les informations devant figurer sur les fiches produits, telles que les dénominations de fantaisie et commune du médicament, les indications thérapeutiques de l'autorisation de mise sur le marché, etc. ainsi que la manière de classer les médicaments (par catégorie générale d'indication - douleurs, fièvre, nausées, toux… - puis de substances actives).
- Les prix : l'affichage du prix doit être visuellement identique pour chaque médicament afin d'éviter toute promotion ou mise en avant d'un médicament par rapport à un autre. Les frais de livraison sont en sus et précisés au moment de la commande.
- Les conditions de vente des médicaments : la vente de médicaments est soumise à des conditions spécifiques.
- L’âge minimum du client : la vente de médicaments en ligne est réservée aux personnes ayant au moins 16 ans.
- Les conditions générales de vente : la vente des médicaments en ligne est soumise à des conditions générales de vente (CGV). Les CGV doivent avoir été effectivement acceptées par le client-patient avant la conclusion de la commande, ou au plus tard avant le paiement. Ces conditions sont clairement présentées et facilement accessibles pour le patient.
Il est à préciser que le consommateur qui achète des médicaments en ligne ne bénéficie pas du droit de rétractation. L'absence du droit de rétractation doit être indiquée de manière claire dans les CGV et rappelée avant la validation de la commande.
- La préparation de la commande et la livraison : les délais de traitement de la commande et de livraison sont précisés au patient. La préparation des commandes ne peut se faire qu'au sein de l'officine, dans un espace adapté à cet effet.
Le médicament est envoyé dans un paquet scellé par l'officine de pharmacie, sous la responsabilité du pharmacien. Le patient peut également se déplacer à l'officine pour prendre livraison de la commande.
- Les réclamations : en cas d'erreur de délivrance (erreur de produit ou produit détérioré), le e-pharmacien doit rembourser le patient selon les modalités décrites dans les CGV.
Ainsi, les sites de e-pharmacie peuvent proposer à la vente, non seulement les médicaments non soumis à ordonnance, mais également les autres produits proposés dans l’officine. Le site internet de e-pharmacie devient ainsi le prolongement virtuel d’une officine de pharmacie.
La e-pharmacie est cependant très encadrée depuis la conception du site web jusqu’aux conditions de vente. Aussi, avant de se lancer dans la vente de médicaments en ligne, il est recommandé aux e-pharmaciens de s’assurer de la conformité du site et des modalités de vente aux règles mentionnées ci-dessus ainsi qu’aux règles propres au commerce électronique, sans oublier les règles professionnelles et déontologiques inscrites dans le Code de la santé publique. * * * * * * * * * * * * *
(1) Ordonnance n°2012-1427 du 19 décembre 2012 relative au renforcement de la sécurité de la chaîne d'approvisionnement des médicaments, à l'encadrement de la vente de médicaments sur internet et à la lutte contre la falsification de médicaments ; Décret n°2012-1562 du 31 décembre 2012 relatif au renforcement de la sécurité de la chaîne d’approvisionnement des médicaments et à l’encadrement de la vente de médicaments sur internet. Articles L.4211-1, L.5122-6-1, L.5125-33 et s., R.5125-26 et R.5125-70 et s. CSP.
(2) Arrêté n°AFSP1313848A du 20 juin 2013 relatif aux bonnes pratiques de dispensation des médicaments par voie électronique.
(3) Ordonnance du Conseil d’Etat n°365459 du 14 février 2013
(4) Avis de l’Autorité de la concurrence n°13-A-12 du 10 avril 2013 relatif à un projet d’arrêté de la ministre des affaires sociales et de la santé relatif aux bonnes pratiques de dispensation des médicaments par voie électronique
(5) Voir notre article “La nouvelle réglementation française sur la vente de médicaments sur internet”, publié sur notre Blog le 14 janvier 2013 (http://dwavocat.blogspot.fr/2013/01/la-nouvelle-reglementation-francaise.html).
Article publié sur le Journal du Net le 3/07/2013
Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Juillet 2013
Conformément à l’article L.5121-5 du Code de la santé publique, le gouvernement vient de publier l’arrêté relatif aux bonnes pratiques de dispensation des médicaments par voie électronique. Cet arrêté a pour objet de préciser les conditions et recommandations relatives aux sites de e-pharmacie (conception du site et exploitation) et à la vente des médicaments en ligne (présentation des produits et conditions de vente). Il doit entrer en vigueur le 12 juillet 2013. (2)
La mise en place de la réglementation relative à la vente de médicaments en ligne s’élabore cependant dans la douleur. En effet, à la suite de la publication des textes de décembre 2012, le Conseil d’Etat a rendu une ordonnance en référé le 14 février 2013 relative aux catégories de médicaments pouvant être vendus en ligne. La réglementation française se voulant plus restrictive que la directive européenne, le Conseil d’Etat a ordonné la suspension du nouvel article L.5125-4 du Code de la santé publique qui interdisait la vente en ligne non seulement aux médicaments soumis à prescription obligatoire, mais également à une partie des médicaments en vente libre. (3) Or, la vente en ligne devait être autorisée pour tous les médicaments vendus sans ordonnance. Par ailleurs, le premier projet d’arrêté, datant de février, avait fait l’objet d’un avis défavorable de la part de l’Autorité de la concurrence. En effet, ce projet comportait plusieurs mesures restrictives de concurrence, jugées non justifiées par des considérations de santé publique (notamment interdiction de vente, sur le même site, de médicaments et de produits de para-pharmacie, ou restrictions en matière de liberté des prix). (4)
L’arrêté du 20 juin 2013 a levé ces restrictions. Nous rappelons ci-après les principales dispositions de cet arrêté, à savoir les conditions spécifiques relatives à la conception et à l’exploitation d’un site de e-pharmacie, à l’exercice de l’activité de e-pharmacien et à la vente de médicaments en ligne.
1. La conception et l’exploitation du site de e-pharmacie
Afin de respecter les particularités liées à la profession de pharmacien (profession réglementée), et à la vente de médicaments (produits particuliers), le site de e-pharmacie doit respecter certaines obligations de nature technique et interdictions, en sus des règles généralement applicables à la création et à l’exploitation d’un site de commerce électronique.
- L’exploitation du site de e-pharmacie : l’ordonnance de décembre 2012 réserve l’exploitation des sites de e-pharmacie aux pharmaciens titulaires d’une officine. La création du site est soumise au dépôt d’une demande d’autorisation auprès du directeur général de l’Agence Régionale de Santé (DGARS) ainsi que l’information du Conseil de l’Ordre des pharmaciens. (5)
L’arrêté de juin 2013 fixe des règles supplémentaires devant être respectées par le pharmacien souhaitant se lancer dans le commerce de médicaments en ligne.
L’exploitation d’un site de e-pharmacie est soumise à certaines interdictions justifiées par le souci de préserver l’indépendance professionnelle du pharmacien, le secret professionnel, la communication d’informations neutres et objectives, conformément aux règles de déontologie décrites dans le Code de la santé publique.
Il est interdit au e-pharmacien :
- de faire financer la création et l'exploitation du site par une entreprise produisant ou commercialisant des produits de santé (laboratoire pharmaceutique),
- de sous-traiter à un tiers l'activité de vente par internet, à l'exception de la conception et de la maintenance techniques du site,
- de recourir à des techniques de référencement payant via des moteurs de recherche ou des comparateurs de prix.
Enfin, sont interdits les liens hypertextes vers les sites des entreprises pharmaceutiques et les forums de discussion.
- Le choix du nom de domaine : le e-pharmacien n’a pas une liberté totale de choix du nom de domaine pour sa pharmacie en ligne. L’arrêté “recommande” que l'adresse du site internet comprenne le nom du pharmacien, éventuellement accolé à celui de l'officine. Ainsi, le nom de domaine ne doit pas être fantaisiste, ni tromper le patient sur le contenu du site, ou avoir un objectif promotionnel.
En outre, le nom de domaine doit évidemment respecter la réglementation en vigueur et notamment les dispositions du Code des postes et communications électroniques.
- Les mentions légales obligatoires : le site de e-pharmacie doit comporter des informations relatives à l’identification de l’exploitant du site conformément aux règles énoncées dans la loi pour la confiance dans l’économie numérique (LCEN du 21 juin 2004), complétées par les informations spécifiques telles que le numéro Répertoire Partagé des Professionnels de Santé du pharmacien, le numéro de licence de la pharmacie. Le site doit également intégrer des liens hypertextes vers les sites internet de l'Ordre national des pharmaciens et du Ministère chargé de la santé (qui tiennent à jour une liste des sites internet de pharmacies autorisés) et celui de l'Agence nationale de sécurité du médicament et des produits de santé.
- Le contenu du site de e-pharmacie : Le site n’est pas limité à la seule vente de médicaments. Le e-pharmacien pourra ainsi proposer à la vente en ligne toutes les autres gammes de produits vendues dans son officine, notamment les produits de para-pharmacie, de soin ou vétérinaires par exemple.
Le site devra cependant comporter un onglet spécifique à la vente de médicaments, afin de distinguer clairement les médicaments des autres produits vendus par le e-pharmacien.
Un espace privé pour chaque client-patient doit pouvoir être créé. Ce compte personnel du client récapitulera l’intégralité des commandes et des échanges avec le pharmacien.
2. L’exercice de l'activité d’e-pharmacien
L’activité de e-pharmacien s’exerce dans le prolongement de celle de pharmacien. Ainsi, comme mentionné ci-dessus, le pharmacien qui exploite un site de vente en ligne reste soumis à la réglementation prévue au Code de la santé publique, qui vient s’ajouter à celle relative au commerce électronique.
L’arrêté de juin 2013 prévoit plusieurs obligations spécifiques à la charge du e-pharmacien.
- La prolongation de l’obligation d’information et de conseil du patient, en ligne : la vente de médicaments en ligne est soumise à la possibilité d’établir un échange interactif et personnalisé entre le pharmacien et le patient avant la validation de la commande. Les réponses automatisées aux questions des patients ne permettent pas d’assurer une information pertinente et un conseil adapté aux besoins du patient.
Le e-pharmacien doit s'assurer de l'adéquation de la commande à l'état de santé du patient. Pour ce faire, le site de e-pharmacie doit intégrer les éléments suivants :
- un questionnaire à remplir obligatoirement par le patient avant la validation de sa première commande en ligne. Ce questionnaire, dans lequel le patient renseigne son âge, son poids, etc. est validé par le e-pharmacien avant la validation de la commande ;
- un dispositif technique, sécurisé et assurant la confidentialité des échanges, permettant le dialogue entre le pharmacien et le patient, par email ou tchat.
Outre le conseil et l'information au stade de la commande, le patient doit pouvoir poser des questions complémentaires au e-pharmacien, qui a l'obligation d'y répondre, via email ou tchat. Tous les échanges entre le e-pharmacien et le patient sont tracés, chiffrés et archivés.
- Le contrôle pharmaceutique : le contrôle de la quantité de médicaments à délivrer au patient est réalisé par le pharmacien. Un dispositif de blocage des commandes doit être mis en place sur le site pour éviter le dépassement de la quantité maximale autorisée. Une quantité minimale d'achat ne peut être exigée et le patient doit pouvoir ne commander qu'une seule boîte d'un médicament. Le e-pharmacien assure personnellement la délivrance et contrôle que le médicament qu'il délivre est bien celui commandé.
- La protection des données personnelles des patients : les données de santé sont des données considérées comme sensibles, faisant l'objet d'une protection renforcée. En qualité de responsable du traitement, le e-pharmacien est soumis aux dispositions de la loi Informatique et Libertés du 6 janvier 1978.
3. Les conditions de vente en ligne des médicaments
Hormis les règles généralement applicables à la vente en ligne, l’arrêté prévoit des conditions spécifiques additionnelles pour la vente de médicaments en ligne.
- Catégorie de médicaments autorisés à la vente en ligne : l’arrêté du juin 2013 confirme la catégorie de médicaments pouvant être vendus sur internet, à savoir les médicaments “de médication officinale qui peuvent être présentés en accès direct au public en officine, ayant obtenu l'autorisation de mise sur le marché (…)”. Les médicaments soumis à prescription obligatoire restent exclus de la vente sur internet.
- La présentation des produits en ligne : les conditions de présentation des médicaments sont strictement encadrées, de manière à rester neutres, claires, non trompeuses et informatives. L’arrêté précise ainsi les informations devant figurer sur les fiches produits, telles que les dénominations de fantaisie et commune du médicament, les indications thérapeutiques de l'autorisation de mise sur le marché, etc. ainsi que la manière de classer les médicaments (par catégorie générale d'indication - douleurs, fièvre, nausées, toux… - puis de substances actives).
- Les prix : l'affichage du prix doit être visuellement identique pour chaque médicament afin d'éviter toute promotion ou mise en avant d'un médicament par rapport à un autre. Les frais de livraison sont en sus et précisés au moment de la commande.
- Les conditions de vente des médicaments : la vente de médicaments est soumise à des conditions spécifiques.
- L’âge minimum du client : la vente de médicaments en ligne est réservée aux personnes ayant au moins 16 ans.
- Les conditions générales de vente : la vente des médicaments en ligne est soumise à des conditions générales de vente (CGV). Les CGV doivent avoir été effectivement acceptées par le client-patient avant la conclusion de la commande, ou au plus tard avant le paiement. Ces conditions sont clairement présentées et facilement accessibles pour le patient.
Il est à préciser que le consommateur qui achète des médicaments en ligne ne bénéficie pas du droit de rétractation. L'absence du droit de rétractation doit être indiquée de manière claire dans les CGV et rappelée avant la validation de la commande.
- La préparation de la commande et la livraison : les délais de traitement de la commande et de livraison sont précisés au patient. La préparation des commandes ne peut se faire qu'au sein de l'officine, dans un espace adapté à cet effet.
Le médicament est envoyé dans un paquet scellé par l'officine de pharmacie, sous la responsabilité du pharmacien. Le patient peut également se déplacer à l'officine pour prendre livraison de la commande.
- Les réclamations : en cas d'erreur de délivrance (erreur de produit ou produit détérioré), le e-pharmacien doit rembourser le patient selon les modalités décrites dans les CGV.
Ainsi, les sites de e-pharmacie peuvent proposer à la vente, non seulement les médicaments non soumis à ordonnance, mais également les autres produits proposés dans l’officine. Le site internet de e-pharmacie devient ainsi le prolongement virtuel d’une officine de pharmacie.
La e-pharmacie est cependant très encadrée depuis la conception du site web jusqu’aux conditions de vente. Aussi, avant de se lancer dans la vente de médicaments en ligne, il est recommandé aux e-pharmaciens de s’assurer de la conformité du site et des modalités de vente aux règles mentionnées ci-dessus ainsi qu’aux règles propres au commerce électronique, sans oublier les règles professionnelles et déontologiques inscrites dans le Code de la santé publique. * * * * * * * * * * * * *
(1) Ordonnance n°2012-1427 du 19 décembre 2012 relative au renforcement de la sécurité de la chaîne d'approvisionnement des médicaments, à l'encadrement de la vente de médicaments sur internet et à la lutte contre la falsification de médicaments ; Décret n°2012-1562 du 31 décembre 2012 relatif au renforcement de la sécurité de la chaîne d’approvisionnement des médicaments et à l’encadrement de la vente de médicaments sur internet. Articles L.4211-1, L.5122-6-1, L.5125-33 et s., R.5125-26 et R.5125-70 et s. CSP.
(2) Arrêté n°AFSP1313848A du 20 juin 2013 relatif aux bonnes pratiques de dispensation des médicaments par voie électronique.
(3) Ordonnance du Conseil d’Etat n°365459 du 14 février 2013
(4) Avis de l’Autorité de la concurrence n°13-A-12 du 10 avril 2013 relatif à un projet d’arrêté de la ministre des affaires sociales et de la santé relatif aux bonnes pratiques de dispensation des médicaments par voie électronique
(5) Voir notre article “La nouvelle réglementation française sur la vente de médicaments sur internet”, publié sur notre Blog le 14 janvier 2013 (http://dwavocat.blogspot.fr/2013/01/la-nouvelle-reglementation-francaise.html).
Article publié sur le Journal du Net le 3/07/2013
Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Juillet 2013
vendredi 14 juin 2013
Conflit entre les noms de domaine e-obseques.fr et i-obseques-paris.fr : absence de concurrence déloyale
Le Tribunal de commerce de Paris a rendu le 24 mai 2013 une décision intéressante en matière de noms de domaine. (1) Dans cette décision, le Tribunal a rappelé que le titulaire d’un nom de domaine descriptif de l'objet même du site web auquel il renvoit ne peut se prévaloir d’une quelconque protection juridique. En conséquence, l’exploitation par un concurrent d’un nom de domaine similaire ne constitue pas une faute.
1. Le contexte
Cette affaire opposait la société Le Passage exploitant un site web proposant des services d'obsèques dans toute la France à l’URL e-obseques.fr, à la société Services Funéraires - Ville de Paris (SFVP) exploitant un site web fournissant des services funéraires, à Paris et en proche banlieue parisienne à l’URL i-obseques-paris.fr.
Les noms de domaine e-obseques.fr et i-obseques-paris.fr avaient été respectivement enregistrés en août 2010 et en avril 2011.
La société Le Passage a assigné les SFVP au motif que l'utilisation d'un nom de domaine, proche du sien, créait une confusion avec son propre site web et qu'en faisant ce choix de nom de domaine les SFVP agissaient de façon déloyale. La société Le Passage prétendait ainsi que l'attitude des SFVP était constitutive d'actes de concurrence déloyale.
2. Le caractère générique du nom de domaine e-obseques.fr
2.1 Les arguments du titulaire du nom de domaine i-obseques-paris.fr
Les SFVP ont rejeté les prétentions de la société Le Passage pour les raisons suivantes :
- d’une part, le nom de domaine e-obseques.fr est descriptif et n'est pas similaire à i-obseques-paris.fr. En outre, l'analyse comparative des sites et des services fournis permet d'affirmer que les activités des deux sociétés ne sont pas identiques. Or, selon les SFVP, il ne peut exister de risque de confusion entre les activités des deux sociétés, dans la mesure où ni les noms de domaine, ni les sites web, ni les services proposés sont identiques ou similaires ;
- d’autre part, les SFVP affirment ne pas avoir capté la clientèle de la société Le Passage et soulignent à ce titre, que cette dernière ne rapporte pas la preuve d'une quelconque baisse du nombre de visites sur son site, ni d'une baisse de chiffre d'affaires depuis le lancement du site i-obseques-paris.fr.
En conséquence, les SFVP soutenaient n'avoir commis aucune faute et donc aucun acte de concurrence déloyale.
2.2 Seul un nom de domaine distinctif peut être protégé
Il est de jurisprudence constante que seul doit être protégé le nom de domaine distinctif. Les tribunaux rejettent ainsi l'idée d'une protection basée sur l'antériorité du dépôt d'un nom de domaine générique.
Dans notre affaire, les SFVP considéraient que le nom de domaine e-obseques.fr était dénué de caractère distinctif, pour les raisons suivantes :
- le nom de domaine e-obseques.fr correspond à la désignation du service fourni par la société Le Passage, à savoir un service d’obsèques proposé par voie électronique. En effet, le préfixe "e" désigne habituellement un service par voie électronique ; le terme "obseques" désigne le service fourni ;
- les termes composant ce nom de domaine s'apparentent à des mots-clés, comme ceux utilisés pour effectuer une requête sur un moteur de recherche, pour naviguer sur internet ;
- les termes composant ce nom de domaine ne permettent pas l'identification d'une entreprise particulière.
Dès lors, les SFVP considéraient que les termes composant le nom de domaine de la société Le Passage étaient purement descriptifs de son activité et que le nom de domaine e-obseques.fr était dépourvu de toute originalité et de caractère distinctif. Les SFVP concluaient que ce caractère descriptif privait la société Le Passage d'une quelconque exclusivité quant à l'utilisation des termes composant le nom de domaine e-obseques.fr.
3. Une décision en ligne avec la jurisprudence des noms de domaine
Le Tribunal a suivi les arguments des SFVP en relevant que :
- l’adresse internet choisie par la société Le Passage pour exercer son activité est la simple juxtaposition du mot obsèques et de la lettre “e-” ;
- dans l’environnement internet, la lettre “e-” associée au terme “commerce” évoque le commerce électronique ;
- l’adresse «“e-obseques.fr” signifie donc “commerce électronique d’obsèques”, ce qui est l’exacte activité du site internet exploité par la société Le Passage.
Selon le Tribunal, en choisissant des termes intégralement descriptifs, la société Le Passage s’exposait à retrouver les mêmes termes dans des sites concurrents et notamment sur les moteurs de recherches, qui prennent en compte la requête “obsèques” pour délivrer leurs réponses.
Compte tenu de ce choix de nom de domaine, qui lui a évité les investissements indispensables pour donner une notoriété propre à une adresse internet non descriptive, le Tribunal a jugé que la société Le Passage ne pouvait revendiquer une protection qui aboutirait à lui reconnaître un monopole d’utilisation d’un terme descriptif.
Enfin, le Tribunal a constaté que la société Le Passage n'était pas en mesure d’établir l'existence d'une confusion entre le graphisme de leur site et celui du site web des SFVP. Le Tribunal a donc jugé que les SFVP n'avaient commis aucune faute et a débouté la société Le Passage de toutes ses demandes.
Cette décision est conforme à la jurisprudence actuelle en matière de noms de domaine. Ainsi, dans un arrêt récent de la Cour d’appel de Bastia, les juges ont rendu une décision similaire concernant les noms de domaines "mariagesencorse.com" et "mariageencorse". (2)
Dans cette affaire, le titulaire du nom de domaine "mariagesencorse.com" avait assigné en concurrence déloyale, le titulaire du nom de domaine "mariageencorse", enregistré postérieurement. Le demandeur réclamait que la société concurrente soit condamnée (i) à ne plus utiliser le nom de domaine litigieux, (ii) à procéder aux formalités de transfert du nom de domaine au profit du demandeur et (iii) à payer des dommages et intérêts pour préjudice commercial et moral. Le demandeur a été débouté de ses demandes au motif que le nom de domaine litigieux était générique et descriptif de l’activité de la société. Son titulaire ne pouvait donc valablement se prévaloir de la protection d'un tel nom de domaine.
* * * * * * * * * * *
(1) Tribunal de commerce de Paris, 15e ch., 24 mai 2013, C. Davril, Le Passage / SFVP. Voir décision sur Légalis : http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=3764. A noter que dans cette affaire, les SFVP étaient représentés par le Cabinet Deleporte Wentz Avocat.
(2) CA Bastia, ch. civ. B, 20 mars 2013, Angela A. c/ Iris Média et autres.
Betty SFEZ
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Juin 2013
1. Le contexte
Cette affaire opposait la société Le Passage exploitant un site web proposant des services d'obsèques dans toute la France à l’URL e-obseques.fr, à la société Services Funéraires - Ville de Paris (SFVP) exploitant un site web fournissant des services funéraires, à Paris et en proche banlieue parisienne à l’URL i-obseques-paris.fr.
Les noms de domaine e-obseques.fr et i-obseques-paris.fr avaient été respectivement enregistrés en août 2010 et en avril 2011.
La société Le Passage a assigné les SFVP au motif que l'utilisation d'un nom de domaine, proche du sien, créait une confusion avec son propre site web et qu'en faisant ce choix de nom de domaine les SFVP agissaient de façon déloyale. La société Le Passage prétendait ainsi que l'attitude des SFVP était constitutive d'actes de concurrence déloyale.
2. Le caractère générique du nom de domaine e-obseques.fr
2.1 Les arguments du titulaire du nom de domaine i-obseques-paris.fr
Les SFVP ont rejeté les prétentions de la société Le Passage pour les raisons suivantes :
- d’une part, le nom de domaine e-obseques.fr est descriptif et n'est pas similaire à i-obseques-paris.fr. En outre, l'analyse comparative des sites et des services fournis permet d'affirmer que les activités des deux sociétés ne sont pas identiques. Or, selon les SFVP, il ne peut exister de risque de confusion entre les activités des deux sociétés, dans la mesure où ni les noms de domaine, ni les sites web, ni les services proposés sont identiques ou similaires ;
- d’autre part, les SFVP affirment ne pas avoir capté la clientèle de la société Le Passage et soulignent à ce titre, que cette dernière ne rapporte pas la preuve d'une quelconque baisse du nombre de visites sur son site, ni d'une baisse de chiffre d'affaires depuis le lancement du site i-obseques-paris.fr.
En conséquence, les SFVP soutenaient n'avoir commis aucune faute et donc aucun acte de concurrence déloyale.
2.2 Seul un nom de domaine distinctif peut être protégé
Il est de jurisprudence constante que seul doit être protégé le nom de domaine distinctif. Les tribunaux rejettent ainsi l'idée d'une protection basée sur l'antériorité du dépôt d'un nom de domaine générique.
Dans notre affaire, les SFVP considéraient que le nom de domaine e-obseques.fr était dénué de caractère distinctif, pour les raisons suivantes :
- le nom de domaine e-obseques.fr correspond à la désignation du service fourni par la société Le Passage, à savoir un service d’obsèques proposé par voie électronique. En effet, le préfixe "e" désigne habituellement un service par voie électronique ; le terme "obseques" désigne le service fourni ;
- les termes composant ce nom de domaine s'apparentent à des mots-clés, comme ceux utilisés pour effectuer une requête sur un moteur de recherche, pour naviguer sur internet ;
- les termes composant ce nom de domaine ne permettent pas l'identification d'une entreprise particulière.
Dès lors, les SFVP considéraient que les termes composant le nom de domaine de la société Le Passage étaient purement descriptifs de son activité et que le nom de domaine e-obseques.fr était dépourvu de toute originalité et de caractère distinctif. Les SFVP concluaient que ce caractère descriptif privait la société Le Passage d'une quelconque exclusivité quant à l'utilisation des termes composant le nom de domaine e-obseques.fr.
3. Une décision en ligne avec la jurisprudence des noms de domaine
Le Tribunal a suivi les arguments des SFVP en relevant que :
- l’adresse internet choisie par la société Le Passage pour exercer son activité est la simple juxtaposition du mot obsèques et de la lettre “e-” ;
- dans l’environnement internet, la lettre “e-” associée au terme “commerce” évoque le commerce électronique ;
- l’adresse «“e-obseques.fr” signifie donc “commerce électronique d’obsèques”, ce qui est l’exacte activité du site internet exploité par la société Le Passage.
Selon le Tribunal, en choisissant des termes intégralement descriptifs, la société Le Passage s’exposait à retrouver les mêmes termes dans des sites concurrents et notamment sur les moteurs de recherches, qui prennent en compte la requête “obsèques” pour délivrer leurs réponses.
Compte tenu de ce choix de nom de domaine, qui lui a évité les investissements indispensables pour donner une notoriété propre à une adresse internet non descriptive, le Tribunal a jugé que la société Le Passage ne pouvait revendiquer une protection qui aboutirait à lui reconnaître un monopole d’utilisation d’un terme descriptif.
Enfin, le Tribunal a constaté que la société Le Passage n'était pas en mesure d’établir l'existence d'une confusion entre le graphisme de leur site et celui du site web des SFVP. Le Tribunal a donc jugé que les SFVP n'avaient commis aucune faute et a débouté la société Le Passage de toutes ses demandes.
Cette décision est conforme à la jurisprudence actuelle en matière de noms de domaine. Ainsi, dans un arrêt récent de la Cour d’appel de Bastia, les juges ont rendu une décision similaire concernant les noms de domaines "mariagesencorse.com" et "mariageencorse". (2)
Dans cette affaire, le titulaire du nom de domaine "mariagesencorse.com" avait assigné en concurrence déloyale, le titulaire du nom de domaine "mariageencorse", enregistré postérieurement. Le demandeur réclamait que la société concurrente soit condamnée (i) à ne plus utiliser le nom de domaine litigieux, (ii) à procéder aux formalités de transfert du nom de domaine au profit du demandeur et (iii) à payer des dommages et intérêts pour préjudice commercial et moral. Le demandeur a été débouté de ses demandes au motif que le nom de domaine litigieux était générique et descriptif de l’activité de la société. Son titulaire ne pouvait donc valablement se prévaloir de la protection d'un tel nom de domaine.
* * * * * * * * * * *
(1) Tribunal de commerce de Paris, 15e ch., 24 mai 2013, C. Davril, Le Passage / SFVP. Voir décision sur Légalis : http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=3764. A noter que dans cette affaire, les SFVP étaient représentés par le Cabinet Deleporte Wentz Avocat.
(2) CA Bastia, ch. civ. B, 20 mars 2013, Angela A. c/ Iris Média et autres.
Betty SFEZ
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Juin 2013
mardi 11 juin 2013
Accès frauduleux à un STAD : de la nécessité de sécuriser le système d'information de l’entreprise
1. Le contexte
La sécurité informatique doit être l'une des préoccupations majeures des entreprises. Et pour cause : la perte ou le vol d'informations ou l'indisponibilité du système d'information peuvent avoir de lourdes conséquences, telles l’atteinte à l'e-réputation de l'entreprise, la captation frauduleuse de clientèle, la perte de marchés et de compétitivité, la divulgation de secrets d’affaires et de savoir-faire.
Face à ces menaces, le système juridique français dispose d'un arsenal répressif issu, entre autres, de la loi Godfrain du 5 janvier 1988 (modifiée par la loi du 27 mars 2012). (1) Sont ainsi sanctionnées pénalement les atteintes aux systèmes de traitement automatisé de données (STAD), aux bases de données à caractère personnel, et au secret des correspondances, sans oublier l'usurpation d'identité numérique, l'escroquerie, la contrefaçon, etc. Mais la répression judiciaire n'est pas l'unique solution en réaction à une intrusion non autorisée. Il appartient aux entreprises d’être proactives et de définir et mettre en oeuvre une politique de sécurité de leurs réseaux et systèmes d'information, faute de quoi, celles-ci pourraient être considérées comme ayant commis une grave négligence.
Une décision récente rendue par le Tribunal de grande instance de Créteil illustre parfaitement ces obligations. Dans cette affaire, une personne avait accédé et récupéré des documents internes via l'extranet de l'Agence nationale de sécurité de l'alimentation, de l'environnement et du travail (l'Anses). L'auteur des faits a cependant été relaxé au motif que l'Anses n'avait pas sécurisé son système d'information. (2)
2. Le jugement du TGI de Créteil du 23 avril 2013
Dans cette affaire, la fraude avait été découverte par un salarié de l’Anses qui, en naviguant sur internet, avait retrouvé des documents internes à l'Agence et non divulgués au public. L'Anses a porté plainte auprès des services de police pour intrusion dans son système d'information et vol de données.
L’Anses étant considérée comme un opérateur d'importance vitale (ou OIV), l'enquête a été diligentée par la Direction centrale du renseignement intérieur (DCRI). (3) Les investigations ont permis de déceler une erreur de paramétrage du serveur hébergeant l'extranet de l'Agence, de découvrir depuis quelle adresse IP les documents de l'agence avaient été téléchargés et de remonter jusqu'à l'auteur de l'intrusion.
L'auteur des faits a ensuite été cité à comparaître pour d'une part, avoir accédé et s'être maintenu frauduleusement dans le STAD de l'Anses et d'autre part, avoir soustrait des documents sur l'extranet de l'Agence, via téléchargement. Pour mémoire, ces infractions sont punies d'un maximum de 5 ans d'emprisonnement et 75.000€ d'amende. (4)
Si le prévenu a reconnu avoir récupéré les documents de l'Anses via son VPN, il a néanmoins indiqué être arrivé par erreur au coeur de l'extranet de l'Anses et avoir eu librement accès aux documents litigieux, après une recherche complexe sur le moteur de recherche Google. En outre, le prévenu a précisé ne pas avoir récupéré de documents via la page d'accueil du site de l'Agence, dont l'accès était sécurisé (identifiant et mot de passe).
Le Tribunal a relaxé le prévenu des deux chefs d'accusation, pour les motifs exposés ci-après.
2.1 Pas d'atteinte à un STAD non sécurisé
Le Tribunal a rappelé que le délit d'accès frauduleux à un STAD était constitué dès lors qu’une personne non habilitée pénétrait dans un système de traitement automatisé de données en sachant qu’elle n’y était pas autorisée.
Or, en l’espèce, une défaillance technique existait dans le système de l'Anses. Le prévenu, qui n’était pas ingénieur informatique et n’avait pas utilisé de moyens très sophistiqués pour s’introduire dans le système de l’Anses, avait pu récupérer les documents sans aucun procédé frauduleux.
Aussi, le Tribunal a jugé que "même s’il n’est pas nécessaire pour que l’infraction existe que l’accès soit limité par un dispositif de protection, le maître du système, l’Anses, en raison de la défaillance technique, n’a pas manifesté clairement l’intention de restreindre l’accès aux données récupérées par (le prévenu) aux seules personnes autorisées".
Dès lors, le Tribunal a considéré que le prévenu avait pu légitimement penser que, si l’accès à certaines données du site de l'Agence nécessitaient un code d’accès et un mot de passe, les données qu’il avait récupérées étaient en libre accès.
2.2. Pas de vol de données sans soustraction matérielle
Le vol consiste en la soustraction frauduleuse de la chose d’autrui (art. 311-1 du Code pénal). Or, dans le cas présent, le prévenu avait simplement téléchargé et enregistré sur des supports des fichiers informatiques de l’Anses, cette dernière n’ayant jamais été dépossédée de ces données, puisque les documents demeuraient disponibles et accessibles à tous sur le serveur.
Aussi, le Tribunal a jugé qu'en l’absence de soustraction matérielle des documents appartenant à l’Anses, et donc en l'absence d’appréhension d’une chose, le délit de vol n'était pas constitué.
Dès lors, le Tribunal a considéré que le prévenu avait pu légitimement penser que les documents litigieux étaient librement téléchargeables, puisque non protégés par un quelconque système. Il n’y a pas eu de la part du prévenu une volonté d’appropriation frauduleuse de ces fichiers informatiques et donc pas d’élément intentionnel de l’infraction.
3. En conclusion : l’obligation de sécurisation du STAD
Ce jugement est dans la droite ligne de la jurisprudence relative aux accès frauduleux aux systèmes informatiques et permet de rappeler les obligations incombant aux entreprises en matière de sécurisation de leurs systèmes. (5)
Ainsi, pour que l’infraction soit constituée, les éléments suivants doivent être démontrés : intrusion non autorisée dans le STAD (via phishing, hacking ou toute autre méthode permettant de s’introduire frauduleusement dans le système) et vol de données par soustraction matérielle. Ceci implique donc que le STAD doit être sécurisé.
La négligence en matière de sécurité est d'ailleurs expressément sanctionnée par la loi. Le Code pénal punit de 5 ans d'emprisonnement et 300.000€ d'amende, toutes entreprises qui traiteraient des données personnelles concernant leurs clients, par exemple, sans mettre en place des mesures de sécurité permettant d'en assurer l'intégrité et la confidentialité.
En outre, la tendance vers un renforcement de cette obligation de sécurité pesant sur les entreprises ressort de plusieurs projets et études, telle que la proposition de règlement européen du 25 janvier 2012 relatif au traitement des données personnelles et les recommandations du livre blanc sur la Défense et la Sécurité nationale, publié par le Ministère de la défense fin avril 2013. (6)
Il est donc recommandé aux entreprises de s’assurer, via des audits juridique et de sécurité, de la protection de leurs réseaux et systèmes d'information et de la conformité de leur politique de sécurité à la loi. A défaut, il conviendra de prendre toutes mesures nécessaires de mise en conformité par la mise en oeuvre de procédés de sécurisation logique et physique de leurs systèmes d’information, la sensibilisation et la formation des salariés et utilisateurs via la publication de bonnes pratiques ou de codes de conduite en matière de sécurité et des audits réguliers.
* * * * * * * * * * *
(1) Loi n°88-19 du 5 janvier 1988, dite Loi Godfrain, modifiée par la loi n° 2012-410 du 27 mars 2012 relative à la protection de l'identité.
(2) TGI de Créteil, 11e ch. correctionnelle, 23 avril 2013, Ministère public / Olivier L. A noter que le Ministère public a interjeté appel de ce jugement
(3) Les opérateurs d'importance vitale - OIV - sont des organismes publics ou privés de production et de distribution de biens et de services indispensables à la satisfaction des besoins essentiels de la population, à l’exercice de l’autorité de l’État, au fonctionnement de l’économie, au maintien du potentiel de défense et à la sécurité de la nation. Un organisme est considéré comme OIV si l’arrêt ou la destruction de son activité peut avoir de graves incidences sur la santé, la sécurité, le bien-être économique des citoyens ou le fonctionnement de l’Etat. On trouve des OIV dans de nombreux secteurs de l'économie : banque et finance, transports et distribution, énergie, services de base, santé, approvisionnement alimentaire et communications, ainsi que certains services administratifs de base. Voir précisions aux articles R.1332-1 et suivants du Code de la défense
(4) Les atteintes aux systèmes de traitement automatisé de données (STAD) sont sanctionnées par les articles 323-1 et s. du Code pénal. Ces articles, issus de la loi Godfrain, ont été modifiés par la loi du 27 mars 2012 relative à la protection de l'identité. Cette loi a ajouté des pénalités majorées en cas d’atteinte à un STAD de l’Etat ; le vol est défini et sanctionné par les articles 311-1 et s. du Code pénal.
(5) Voir par exemple : CA Paris, 12é ch., 30 oct. 2002 Antoine C. / Ministère public et société Tati ; TGI Paris, 12é ch., 17 déc. 2010, Blogmusik / Anthony C.
(6) Voir : proposition de règlement du parlement européen et du conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du 25 janvier 2012, (2012/0011 (COD) ; Livre blanc sur la Défense et la Sécurité nationale, publié par le Ministère de la défense fin avril 2013
Article publié sur le Journal du Net le 11/06/2013
Bénédicte DELEPORTE
Betty SFEZ
Avocats
Deleporte Wentz Avocat
www.dwavocat.com
Juin 2013
La sécurité informatique doit être l'une des préoccupations majeures des entreprises. Et pour cause : la perte ou le vol d'informations ou l'indisponibilité du système d'information peuvent avoir de lourdes conséquences, telles l’atteinte à l'e-réputation de l'entreprise, la captation frauduleuse de clientèle, la perte de marchés et de compétitivité, la divulgation de secrets d’affaires et de savoir-faire.
Face à ces menaces, le système juridique français dispose d'un arsenal répressif issu, entre autres, de la loi Godfrain du 5 janvier 1988 (modifiée par la loi du 27 mars 2012). (1) Sont ainsi sanctionnées pénalement les atteintes aux systèmes de traitement automatisé de données (STAD), aux bases de données à caractère personnel, et au secret des correspondances, sans oublier l'usurpation d'identité numérique, l'escroquerie, la contrefaçon, etc. Mais la répression judiciaire n'est pas l'unique solution en réaction à une intrusion non autorisée. Il appartient aux entreprises d’être proactives et de définir et mettre en oeuvre une politique de sécurité de leurs réseaux et systèmes d'information, faute de quoi, celles-ci pourraient être considérées comme ayant commis une grave négligence.
Une décision récente rendue par le Tribunal de grande instance de Créteil illustre parfaitement ces obligations. Dans cette affaire, une personne avait accédé et récupéré des documents internes via l'extranet de l'Agence nationale de sécurité de l'alimentation, de l'environnement et du travail (l'Anses). L'auteur des faits a cependant été relaxé au motif que l'Anses n'avait pas sécurisé son système d'information. (2)
2. Le jugement du TGI de Créteil du 23 avril 2013
Dans cette affaire, la fraude avait été découverte par un salarié de l’Anses qui, en naviguant sur internet, avait retrouvé des documents internes à l'Agence et non divulgués au public. L'Anses a porté plainte auprès des services de police pour intrusion dans son système d'information et vol de données.
L’Anses étant considérée comme un opérateur d'importance vitale (ou OIV), l'enquête a été diligentée par la Direction centrale du renseignement intérieur (DCRI). (3) Les investigations ont permis de déceler une erreur de paramétrage du serveur hébergeant l'extranet de l'Agence, de découvrir depuis quelle adresse IP les documents de l'agence avaient été téléchargés et de remonter jusqu'à l'auteur de l'intrusion.
L'auteur des faits a ensuite été cité à comparaître pour d'une part, avoir accédé et s'être maintenu frauduleusement dans le STAD de l'Anses et d'autre part, avoir soustrait des documents sur l'extranet de l'Agence, via téléchargement. Pour mémoire, ces infractions sont punies d'un maximum de 5 ans d'emprisonnement et 75.000€ d'amende. (4)
Si le prévenu a reconnu avoir récupéré les documents de l'Anses via son VPN, il a néanmoins indiqué être arrivé par erreur au coeur de l'extranet de l'Anses et avoir eu librement accès aux documents litigieux, après une recherche complexe sur le moteur de recherche Google. En outre, le prévenu a précisé ne pas avoir récupéré de documents via la page d'accueil du site de l'Agence, dont l'accès était sécurisé (identifiant et mot de passe).
Le Tribunal a relaxé le prévenu des deux chefs d'accusation, pour les motifs exposés ci-après.
2.1 Pas d'atteinte à un STAD non sécurisé
Le Tribunal a rappelé que le délit d'accès frauduleux à un STAD était constitué dès lors qu’une personne non habilitée pénétrait dans un système de traitement automatisé de données en sachant qu’elle n’y était pas autorisée.
Or, en l’espèce, une défaillance technique existait dans le système de l'Anses. Le prévenu, qui n’était pas ingénieur informatique et n’avait pas utilisé de moyens très sophistiqués pour s’introduire dans le système de l’Anses, avait pu récupérer les documents sans aucun procédé frauduleux.
Aussi, le Tribunal a jugé que "même s’il n’est pas nécessaire pour que l’infraction existe que l’accès soit limité par un dispositif de protection, le maître du système, l’Anses, en raison de la défaillance technique, n’a pas manifesté clairement l’intention de restreindre l’accès aux données récupérées par (le prévenu) aux seules personnes autorisées".
Dès lors, le Tribunal a considéré que le prévenu avait pu légitimement penser que, si l’accès à certaines données du site de l'Agence nécessitaient un code d’accès et un mot de passe, les données qu’il avait récupérées étaient en libre accès.
2.2. Pas de vol de données sans soustraction matérielle
Le vol consiste en la soustraction frauduleuse de la chose d’autrui (art. 311-1 du Code pénal). Or, dans le cas présent, le prévenu avait simplement téléchargé et enregistré sur des supports des fichiers informatiques de l’Anses, cette dernière n’ayant jamais été dépossédée de ces données, puisque les documents demeuraient disponibles et accessibles à tous sur le serveur.
Aussi, le Tribunal a jugé qu'en l’absence de soustraction matérielle des documents appartenant à l’Anses, et donc en l'absence d’appréhension d’une chose, le délit de vol n'était pas constitué.
Dès lors, le Tribunal a considéré que le prévenu avait pu légitimement penser que les documents litigieux étaient librement téléchargeables, puisque non protégés par un quelconque système. Il n’y a pas eu de la part du prévenu une volonté d’appropriation frauduleuse de ces fichiers informatiques et donc pas d’élément intentionnel de l’infraction.
3. En conclusion : l’obligation de sécurisation du STAD
Ce jugement est dans la droite ligne de la jurisprudence relative aux accès frauduleux aux systèmes informatiques et permet de rappeler les obligations incombant aux entreprises en matière de sécurisation de leurs systèmes. (5)
Ainsi, pour que l’infraction soit constituée, les éléments suivants doivent être démontrés : intrusion non autorisée dans le STAD (via phishing, hacking ou toute autre méthode permettant de s’introduire frauduleusement dans le système) et vol de données par soustraction matérielle. Ceci implique donc que le STAD doit être sécurisé.
La négligence en matière de sécurité est d'ailleurs expressément sanctionnée par la loi. Le Code pénal punit de 5 ans d'emprisonnement et 300.000€ d'amende, toutes entreprises qui traiteraient des données personnelles concernant leurs clients, par exemple, sans mettre en place des mesures de sécurité permettant d'en assurer l'intégrité et la confidentialité.
En outre, la tendance vers un renforcement de cette obligation de sécurité pesant sur les entreprises ressort de plusieurs projets et études, telle que la proposition de règlement européen du 25 janvier 2012 relatif au traitement des données personnelles et les recommandations du livre blanc sur la Défense et la Sécurité nationale, publié par le Ministère de la défense fin avril 2013. (6)
Il est donc recommandé aux entreprises de s’assurer, via des audits juridique et de sécurité, de la protection de leurs réseaux et systèmes d'information et de la conformité de leur politique de sécurité à la loi. A défaut, il conviendra de prendre toutes mesures nécessaires de mise en conformité par la mise en oeuvre de procédés de sécurisation logique et physique de leurs systèmes d’information, la sensibilisation et la formation des salariés et utilisateurs via la publication de bonnes pratiques ou de codes de conduite en matière de sécurité et des audits réguliers.
* * * * * * * * * * *
(1) Loi n°88-19 du 5 janvier 1988, dite Loi Godfrain, modifiée par la loi n° 2012-410 du 27 mars 2012 relative à la protection de l'identité.
(2) TGI de Créteil, 11e ch. correctionnelle, 23 avril 2013, Ministère public / Olivier L. A noter que le Ministère public a interjeté appel de ce jugement
(3) Les opérateurs d'importance vitale - OIV - sont des organismes publics ou privés de production et de distribution de biens et de services indispensables à la satisfaction des besoins essentiels de la population, à l’exercice de l’autorité de l’État, au fonctionnement de l’économie, au maintien du potentiel de défense et à la sécurité de la nation. Un organisme est considéré comme OIV si l’arrêt ou la destruction de son activité peut avoir de graves incidences sur la santé, la sécurité, le bien-être économique des citoyens ou le fonctionnement de l’Etat. On trouve des OIV dans de nombreux secteurs de l'économie : banque et finance, transports et distribution, énergie, services de base, santé, approvisionnement alimentaire et communications, ainsi que certains services administratifs de base. Voir précisions aux articles R.1332-1 et suivants du Code de la défense
(4) Les atteintes aux systèmes de traitement automatisé de données (STAD) sont sanctionnées par les articles 323-1 et s. du Code pénal. Ces articles, issus de la loi Godfrain, ont été modifiés par la loi du 27 mars 2012 relative à la protection de l'identité. Cette loi a ajouté des pénalités majorées en cas d’atteinte à un STAD de l’Etat ; le vol est défini et sanctionné par les articles 311-1 et s. du Code pénal.
(5) Voir par exemple : CA Paris, 12é ch., 30 oct. 2002 Antoine C. / Ministère public et société Tati ; TGI Paris, 12é ch., 17 déc. 2010, Blogmusik / Anthony C.
(6) Voir : proposition de règlement du parlement européen et du conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du 25 janvier 2012, (2012/0011 (COD) ; Livre blanc sur la Défense et la Sécurité nationale, publié par le Ministère de la défense fin avril 2013
Article publié sur le Journal du Net le 11/06/2013
Bénédicte DELEPORTE
Betty SFEZ
Avocats
Deleporte Wentz Avocat
www.dwavocat.com
Juin 2013
Inscription à :
Articles (Atom)