Utilisation de bases de données par un métamoteur de recherche externe : les conditions de licéité rappelées par la CJUE

Dans une décision du 19 décembre 2013, la Cour de justice de l’Union européenne (CJUE) a rappelé les conditions d’utilisation d’un métamoteur de recherche dédié pour que celui-ci ne soit pas considéré comme enfreignant les droits des exploitants des bases de données. (1)

Le litige opposait deux sociétés néerlandaises : la société Innoweb, qui exploite un métamoteur de recherche dédié dans le domaine de la vente automobile (gaspedaal.nl), à la société Wegener, qui exploite un site web d’annonces de vente de voitures d’occasion (autotrack.nl).

La société Wegener, considérant qu’Innoweb portait atteinte à ses droits d’exploitant de base de données par la mise à disposition d’un métamoteur de recherche, a assigné cette dernière afin de mettre fin à l’atteinte à ses droits. Wegener a obtenu gain de cause pour la plupart de ses demandes en première instance. La société Innoweb a fait appel. La cour a alors décidé de poser une série de questions préjudicielles à la Cour de justice de l’Union européenne portant sur l’étendue de la protection des bases de données dans le cadre d’une utilisation par un métamoteur de recherche dédié.

Après avoir rappelé les conditions de la protection juridique d’une base de données, nous verrons comment ces conditions ont été appliquées à l’utilisation d’un métamoteur de recherche dédié.


1. Les sites de petites annonces protégés par le droit des bases de données

Les sites de petites annonces constituent des bases de données, protégées juridiquement.

- La protection juridique des bases de données : un droit sui generis
La directive européenne du 11 mars 1996 a consacré un droit sui generis de la protection des bases des données, indépendant de la protection par le droit d’auteur, et essentiellement axé sur la protection des droits patrimoniaux du fabricant, ou producteur, de bases de données.

Considérant en effet que le développement d’une base de données implique généralement un investissement humain et financier conséquent, sa protection juridique permet au fabricant de limiter ou d’interdire toute extraction ou réutilisation non autorisée des données. L’utilisation de la base dans sa totalité ou une partie substantielle, ou de manière répétée et systématique (par exemple, liste d’abonnés aux pages jaunes, catalogue de produits d’un site de e-commerce ou liste de petites annonces), est soumise à l’autorisation (contrat de licence) de l’ayant-droit, accordée en principe contre rémunération.

En revanche, toutes les bases de données ne sont pas automatiquement protégées. Seules les bases de données dont la collecte de données, leur vérification ou la présentation du contenu attestent un investissement, qualitatif ou quantitatif, substantiel sont protégées juridiquement.

- Les notions d’extraction et de réutilisation des données
Concernant les bases de données protégées, la directive définit les notions d’extraction et de réutilisation comme suit :

“extraction” signifie “le transfert permanent ou temporaire de la totalité ou d'une partie substantielle du contenu d'une base de données sur un autre support par quelque moyen ou sous quelque forme que ce soit” ;

“réutilisation” signifie “toute forme de mise à la disposition du public de la totalité ou d'une partie substantielle du contenu de la base par distribution de copies, par location, par transmission en ligne ou sous d'autres formes (…)”

La directive précise ensuite que “l'extraction et/ou la réutilisation répétées et systématiques de parties non substantielles du contenu de la base de données qui supposeraient des actes contraires à une exploitation normale de cette base, ou qui causeraient un préjudice injustifié aux intérêts légitimes du fabricant de la base, ne sont pas autorisées.” (3)

A contrario, l’utilisation d’une base de donnés par un tiers à des fins de consultation ponctuelle par exemple, n’est pas considérée comme portant atteinte aux droits du producteur.


2. Les conditions d'une utilisation licite des bases de données par un métamoteur de recherche

- Les questions posées à la CJUE
Un site web proposant un métamoteur de recherche peut-il être utilisé, sans l’accord des fabricants des bases de données référencées, pour réutiliser du contenu d’une base de données accessible en ligne en procédant, en temps réel, à des recherches dans la totalité ou une partie substantielle du contenu de ces bases de données tierces ?

Si le métamoteur de recherche ne renvoie aux utilisateurs qu’une partie minime du contenu de la base de données tierce, ou la fait apparaître sur son site web selon sa propre présentation et que les actes de recherche sont répétés en permanence, une telle utilisation du métamoteur correspond-elle alors à une réutilisation répétée et systématique de parties non substantielles du contenu de la base de données, contraire aux intérêts du fabricant de la base ?

C’est en substance la problématique soulevée par la cour d’appel néerlandaise à la CJUE dans l’affaire opposant la société Innoweb à Wegener.

- Définition d’un métamoteur de recherche dédié
Dans un premier temps, la Cour définit en quoi consiste un métamoteur de recherche dédié, puis applique les critères établis par la directive afin de déterminer si l’utilisation des bases de données par ce type de métamoteur enfreint les droits des fabricants.

La Cour distingue entre les moteurs de recherche fonctionnant sur des algorithmes, tels que Google ou Yahoo et les métamoteurs de recherche dédiés. Concernant ce type de métamoteur, l’exploitant du service ne dispose pas d’un moteur de recherche propre mais a recours aux moteurs de recherche utilisés par les sites tiers, couverts par le service de recherche.

Le qualificatif “dédié” signifie que le métamoteur est spécialisé dans les recherches sur un ou plusieurs domaines déterminés (en l’espèce, la vente de voitures d’occasion), permettant, par une seule requête, d’étendre la recherche sur plusieurs sites tiers d’annonces. Le métamoteur de recherche dédié traduit “en temps réel” les requêtes des utilisateurs dans les différents moteurs de recherche des sites tiers, permettant de balayer les données de ces bases.

En l’espèce, le métamoteur du site gaspedaal.nl permet de procéder à des recherches dans les bases de données de vente de voitures selon plusieurs critères (marque, modèle, kilométrage, année et prix notamment). Les résultats obtenus sont agrégés, le site du métamoteur affichant les liens vers les annonces correspondant à la requête. En l’espèce, les données n’étaient pas extraites des bases couvertes par le métamoteur.

- Notion de réutilisation des contenus de la base de données
La Cour analyse ensuite la notion de réutilisation, au regard de la finalité définie dans la directive, en l’appliquant au métamoteur de recherche dédié.

Selon la Cour, la notion de réutilisation au sens de l’article 7 de la directive, “doit être interprétée comme se référant à tout acte consistant à mettre à la disposition du public, sans le consentement de la personne qui a constitué la base de données, les résultats de son investissement, privant ainsi cette dernière de revenus censés lui permettre d’amortir le coût de cet investissement”, peu importe la nature ou la forme du procédé utilisé.

L’activité de l’exploitant d’un métamoteur de recherche a pour objet de fournir aux internautes un dispositif permettant d’explorer toutes les données figurant dans des bases de données protégées, en accédant à l’intégralité du contenu des bases par d’autres voies que celles prévues par les fabricants de ces bases de données. Cette activité a notamment des conséquences financières pour les exploitants des bases de données. En effet, les internautes n’ont plus besoin de se rendre sur leurs sites pour faire leurs recherches, ni même pour accéder aux annonces (ou au moins, sans passer par la page d’accueil du site de petites annonces). Les revenus publicitaires des sites de petites annonces sont alors potentiellement affectés.

La Cour en conclut que l’exploitant d’un métamoteur de recherche dédié procède effectivement à une réutilisation du contenu d’une base de données, au sens de la directive. Cette réutilisation porte sur une partie substantielle, voire même sur la totalité, du contenu de la base concernée, dès lors que le métamoteur : i) fournit à l’utilisateur final un formulaire de recherche offrant les mêmes fonctionnalités que le formulaire de la base de données ; ii) traduit en temps réel les requêtes des utilisateurs finaux dans le moteur de recherche de la base de données, permettant ainsi d’explorer toutes les données de la base ; et iii) présente à l’utilisateur final les résultats sous l’apparence extérieure de son site internet en réunissant les doublons en un seul élément, mais dans un ordre fondé sur des critères comparables à ceux utilisés par le moteur de la base de données pour présenter ses résultats.


    En conséquence, un site qui mettrait à la disposition des internautes un métamoteur de recherche dédié, sans avoir au préalable obtenu l’accord des exploitants des sites couverts par ce métamoteur (et quelque soit le domaine couvert par le métamoteur) doit respecter les critères suivants pour ne pas enfreindre les droits des fabricants des bases de données concernées :
    - fournir un formulaire de recherche comprenant des fonctionnalités différentes de celles proposées par les formulaires des bases de données couvertes ;
    - ne pas traduire en temps réel les requêtes des utilisateurs dans le moteur de recherche de la base de données afin de ne pas explorer toutes les données de cette base ; et
    - ne pas présenter à l’utilisateur les résultats de recherche sous l’apparence extérieure de son site internet, en réunissant les doublons en un seul élément et dans un ordre fondé sur des critères comparables à ceux utilisés par le moteur de la base de données pour présenter ses résultats.

Ainsi, l’exploitant d’un métamoteur de recherche a deux solutions pour ne pas enfreindre les droits des fabricants des bases de données des sites couverts : soit obtenir l’accord de ces sites tiers pour interroger leurs bases de données et proposer les résultats obtenus en temps réel, selon un format similaire à celui utilisé par le/les sites d’annonces, soit exploiter le métamoteur sans l’accord des sites tiers, mais en respectant les critères définis par la CJUE, en acceptant le fait que ces contraintes techniques donneront des résultats certainement moins pertinents pour les utilisateurs.

                                                            * * * * * * * * * * *

(1) CJUE, 5ème chambre, décision du 19 décembre 2013, Innoweb BV, Wegener ICT Media BV, Wegener Mediaventions BV

(2) Directive 96/9/CE du Parlement européen et du Conseil du 11 mars 1996 concernant la protection juridique des bases de données, transposée en droit français aux articles L.341-1 et suivants du code de la propriété intellectuelle

(3) Article 7.2 et 7.3 de la directive


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2015

Quel cadre légal pour le traitement des données personnelles des mineurs sur internet ?

Selon une étude Ipsos Connect menée en 2014, en France, les enfants de 7 à 12 ans passent en moyenne 5 heures par semaine sur internet, cette durée dépassant 11 heures par semaine pour les adolescents de 13 à 19 ans. (1) Pour autant, les enfants ne connaissent pas les règles de protection de la vie privée et peuvent être amenés à s’inscrire sur des sites et à communiquer des données sans comprendre les conséquences de tels actes.

En mai 2015, 29 autorités nationales de protection des données, regroupées au sein du GPEN (Global Privacy Enforcement Network), ont réalisé une opération d’audit en ligne conjointe sur près de 1.500 services web destinés aux mineurs (sites de jeux, réseaux sociaux et services éducatifs ou de soutien scolaire).

L’objectif de ces audits était de vérifier si les sites et applications internet consultés par les enfants et adolescents respectaient les règles de protection de la vie privée. Les points de contrôle portaient sur le type de données collectées, le niveau d’information et son adaptation aux jeunes utilisateurs ainsi que l’existence de mesures particulières de vigilance ou de contrôle parental pour les plus jeunes.

Les résultats de cette opération, dénommée “Internet Sweep Day”, viennent d’être publiés par la CNIL. (2) Selon ces autorités de protection des données, la protection de la vie privée des mineurs, sur les différents services examinés, est globalement insuffisante.

Après avoir brièvement rappelé le cadre légal de la protection des données personnelles, nous examinons ci-après les initiatives en cours vers un renforcement de la protection de la vie privée des mineurs et les règles de traitement qui devront être déployées par les exploitants de services numériques à destination des mineurs.


1. Le cadre légal de la protection des données personnelles : des règles générales qui s’appliquent à tous, sans distinction d’âge

La loi Informatique et Libertés du 6 janvier 1978 a été modifiée en 2004 pour transposer la directive européenne sur la protection des données personnelles du 24 octobre 1995. (3) Ces textes ne contiennent pas de dispositions relatives aux données personnelles des mineurs. Les dispositions légales s’appliquent donc à tous (adultes et enfants), sans distinction d’âge.

Les principales règles en matière de collecte et de traitement de données à caractère personnelle peuvent être résumées ainsi :

- Une collecte de données loyale et licite ;
- Une obligation de déclaration à la CNIL préalablement à la mise en oeuvre du traitement, ou éventuellement l’obligation de faire une demande d’autorisation pour certains types de traitements ;
- Un traitement de données conforme à la finalité déclarée (ou autorisée) ;
- Le consentement de la personne concernée à la collecte de ses données, accompagné d’une obligation d’information de la personne sur ses droits d’accès, de correction et d’opposition (désinscription / suppression) ;
- La conservation des données pour une durée raisonnable. A l’expiration du délai nécessaire au traitement, y compris les obligations légales de conservation (durées de prescription légale), les données doivent être supprimées ;
- Une obligation de sécurité des données. Le responsable de traitement doit mettre en oeuvre des mesures de sécurité physiques et techniques afin d’éviter tout accès non autorisé aux serveurs d’hébergement afin que les données ne soient modifiées, effacées, voire divulguées au public.

Les sanctions encourues en cas de non-respect à la loi Informatique et Libertés sont sévères : amendes administratives prononcées par la CNIL d'un montant maximum de 300.000€, et condamnations pénales allant jusqu’à 5 ans d’emprisonnement et 300.000€ d’amende.


2. Vers la reconnaissance d’une protection renforcée de la vie privée des mineurs

En Europe, l’absence de régime spécifique aux mineurs ne signifie pas que les organismes, publics ou privés, ne réfléchissent pas à cette problématique, et ce depuis une dizaine d’années. De plus en plus de personnalités, issues tant du monde politique et réglementaire que du monde du numérique et des médias, reconnaissent le besoin de faire évoluer la réglementation sur la protection de la vie privée des mineurs. En effet, les éditeurs de sites pour enfants et adolescents sont aujourd’hui fortement incités à faire preuve d’une vigilance accrue dès lors qu’ils traitent des informations sur leurs jeunes utilisateurs et clients.

Des initiatives publiques et privées
De nombreux textes, recommandations, avis, chartes, définissant les mesures à déployer pour assurer un niveau de protection renforcée aux données des mineurs, ont été adoptés par des organismes publics et privés.

On citera par exemple les recommandations et actions de sensibilisation de la CNIL (rapport "Internet et la collecte de données personnelles auprès de mineurs”, site Jeunes.cnil.fr, organisation du Safer Internet Day en France, animation du collectif pour l’éducation au numérique, etc.), ou encore les avis publiés par le Groupe de l’article 29 (ou “G29”), réunissant les autorités européennes de contrôle de la protection des données (avis portant sur "la protection des données à caractère personnel de l'enfant" et "les réseaux sociaux en ligne”). (4)

Plusieurs organisations professionnelles ont également souhaité apporter des garanties de protection renforcée aux mineurs. Ces initiatives figurent dans les chartes et codes édités par l'Union Française du Marketing Direct (UFMD), l’Autorité de régulation professionnelle de la publicité (ARPP) ou la Chambre de commerce internationale (ICC) par exemple. (5)

Même si ces textes doivent être interprétés comme de la “soft law”, et ne sont pas obligatoires, ils servent néanmoins de repères et permettent de faire évoluer le droit. Ces recommandations et engagements divers peuvent être mis en oeuvre par les acteurs du numérique afin de démontrer leur engagement citoyen pour une meilleure protection de la vie privée des jeunes.

Le futur règlement européen sur la protection des données personnelles
En janvier 2012, le Parlement européen et le Conseil de l’Union européenne ont publié une proposition de règlement visant à réformer le cadre juridique de la protection des données personnelles dans l’Union européenne. (6) Ce texte, qui devrait en principe être adopté fin 2015/début 2016, a fait l'objet de nombreux débats. Ce règlement européen, une fois le texte définitif adopté, sera d’application immédiate et uniforme dans l’ensemble de l’Union européenne et viendra remplacer la Directive de 1995 et les différentes lois nationales de protection des données personnelles, y compris la loi Informatique et Libertés de 1978.

La proposition de règlement européen sur la protection des données à caractère personnel marque une évolution importante concernant la protection de la vie privée des enfants. Plusieurs dispositions spécifiques les concernent.

Le règlement proposé définit expressément l'enfant comme une personne de moins de 18 ans, même si une distinction est parfois faite entre les enfants de moins de 13 ans et les adolescents entre 13 et 18 ans.

Le texte affirme ainsi que :
- “les données à caractère personnel relatives aux enfants nécessitent une protection spécifique car ceux-ci peuvent être moins conscients des risques, des conséquences, des garanties et de leurs droits en matière de traitement des données” ;
- Les enfants seraient exclus des opérations de profilage par traitement automatisé ;
- Des formulaires types relatifs au traitement de données à caractère personnel des enfants seraient définis par la Commission pour garantir des conditions uniformes de mise en oeuvre du règlement à travers l’Union ;
- Enfin, les traitements de données personnelles des enfants de moins de 13 ans ne seraient licites que sous réserve que le consentement soit donné par un parent ou la personne qui en a la garde. (7)

Le montant des sanctions prévues en cas de non conformité aux obligations édictées par le règlement est particulièrement dissuasif : 500 000 euros ou, dans le cas d'une entreprise, 1% de son chiffre d’affaires annuel mondial. Bien que ces chiffres ne soient pas encore définitifs, les montants seront plus élevés que sous la législation actuelle.


3. Quelques recommandations et bonnes pratiques à adopter par les éditeurs de services web et mobiles pour mineurs

Bien qu’il n’existe pas encore en Europe d’obligation spécifique relative à la collecte et au traitement de données personnelles de mineurs, il est fortement recommandé aux services numériques destinés aux enfants, d’anticiper l’évolution de la réglementation.

Plusieurs séries de mesures peuvent d’ores et déjà être déployées ou planifiées, et ce même si le règlement européen n’entrera en vigueur que deux ans après son adoption.

Outre les obligations applicables à toute collecte de données à caractère personnel, les mesures suivantes peuvent ainsi être mises en place :

- Consentement parental : la proposition de règlement soumet le caractère licite des traitements de données personnelles des enfants de moins de 13 ans à l’autorisation des parents. Le consentement parental est incontournable en cas de collecte de données sensibles (données relatives à la santé, aux convictions religieuses ou à l’origine raciale), des photographies de mineur, et de cession des données à des tiers à des fins de prospection commerciale ;

- Mesures techniques : l’éditeur d’un service web ou mobile devra déployer des moyens techniques permettant de s'assurer de l'effectivité du consentement de l'enfant et de l'autorisation des parents, ainsi que des technologies protectrices de la vie privée, telles que des paramètres par défaut ;

- Information et transparence : l’exploitant d’un site ou d’une application mobile devra fournir des informations et communiquer dans des termes adaptés, facilement compréhensibles par un enfant ;

- Droit à l'oubli numérique : enfin, les mineurs devront pouvoir obtenir du responsable du traitement l’effacement et la cessation de la diffusion des données les concernant.


     Les résultats de l’Internet Sweep Day ont fait apparaître des niveaux de protection et d’information insuffisants sur les sites destinés aux jeunes : défaut de sensibilisation spécifique auprès des jeunes sur la collecte de leurs données, redirections vers des sites tiers (dont des sites marchands), dépôt de cookies sans information. Compte tenu de la volonté affirmée par les autorités européennes de renforcer les règles de protection de la vie privée des mineurs, il est recommandé aux éditeurs de services numériques à destination des jeunes de préparer la mise en conformité de leurs services.

On notera enfin que les Etats-Unis, qui ne disposent toujours pas de loi globale au niveau fédéral sur la protection des données personnelles, ont légiféré dès 1998 sur la protection des données des enfants collectées sur internet, avec la loi COPPA (Children’s Online Privacy Protection Act - 1998). (8) La loi COPPA ne s’applique cependant qu’aux données des enfants de moins de 13 ans collectées par des sites web qui leur sont destinés ou qui savent que des enfants utilisent leurs services. Cette loi s’applique aux sites américains, et aux sites étrangers qui ciblent le marché américain (sites de e-commerce, services en ligne ou réseaux sociaux non-américains utilisés par des jeunes américains).


                                                          * * * * * * * * * * *

(1) Voir citation sur le site de la CNIL à http://www.cnil.fr/les-themes/internet-telephonie/actualite/article/internet-sweep-day-les-sites-pour-enfants-sont-ils-respectueux-de-la-vie-privee/

(2) Communiqué CNIL du 2 septembre 2015, Vie privée des enfants : une protection insuffisante sur les sites Internet.

(3) Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ; Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

(4) Rapport CNIL intitulé "Internet et la collecte de données personnelles auprès de mineurs", publié le 12 juin 2001 ; Avis 2/2009 du G29 sur la protection des données à caractère personnel de l'enfant, adopté le 11 février 2009, WP160 et Avis 5/2009 sur les réseaux sociaux en ligne, adopté le 12 juin 2009, WP163.

(5) Voir la Charte de l’emailing adoptée par l’UFMD en mars 2005, la recommandation “Enfant” de l’ARPP de juin 2004 et le Code ICC consolidé sur les pratiques de publicité et de communication commerciale de 2006, révisé en avril 2015

(6) Proposition de Règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, COM(2012) 11 final, le 25 janvier 2012.

(7) Considérants 29, 58, et 130 et article 8 de la proposition de règlement.

(8) Children’s Online Privacy Protection Act - 1998 (COPPA). Voir par exemple les FAQs sur le site de la Federal Trade Commission https://www.ftc.gov/tips-advice/business-center/guidance/complying-coppa-frequently-asked-questions


Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com


Septembre 2015

Géolocalisation : quel cadre légal pour les véhicules des salariés ?

Face au développement du recours à la géolocalisation en entreprise, la Commission nationale de l’informatique et des libertés a publié, en juin dernier, une nouvelle délibération portant norme simplifiée. (1) Ce texte vise à préciser l’encadrement juridique de la mise en œuvre des dispositifs de géolocalisation sur les véhicules utilisés par les salariés. Il remplace une norme de 2006 qui, compte tenu de l’évolution des technologies et des usages, était devenue en partie inadaptée. (2) Nous faisons ci-après un bref rappel des règles applicables en la matière.


1. Les conditions d’installation à respecter par l’employeur

Le caractère particulièrement intrusif de la géolocalisation dans le cadre du travail a conduit la Cnil à définir plus en détail les conditions de recours à ce dispositif.

     - Les cas de recours autorisés à un dispositif de géolocalisation
 

L’utilisation d’un système de géolocalisation par GPS des véhicules mis à disposition des salariés est strictement limitée aux finalités suivantes :
(i) respecter une réglementation imposant l’installation d’un tel dispositif en raison du type de transport ou de la nature des biens transportés ;
(ii) besoins du suivi et de la facturation d’une prestation de transport de personnes ou de marchandises, ou d’une prestation de services liée à l’utilisation d’un véhicule et la justification d’une prestation auprès d’un client ou d’un donneur d’ordre ;
(iii) garantir la sûreté ou la sécurité des employés et/ou des marchandises transportées ;
(iv) améliorer l’allocation des moyens pour des prestations à accomplir dans des lieux éloignés (pour des interventions d’urgence par exemple) ;
(v) s’assurer du respect, par les salariés, des règles d’utilisation du véhicule prédéterminée par l’employeur.

Il est enfin précisé, à titre de finalité accessoire du traitement, que le dispositif peut être utilisé pour le suivi du temps de travail des salariés, sous réserve que ce suivi ne puisse être réalisé par un autre moyen, et uniquement pendant le temps de travail.

     - Les informations pouvant être collectées et traitées

Seules les données limitativement énumérées par la Commission peuvent faire l’objet d’un traitement, à savoir : les informations d’identification des salariés (nom, prénom, numéro de plaque d’immatriculation, etc.), aux déplacements des salariés (historique des déplacements effectués, etc.), à l’utilisation du véhicule (vitesse de circulation, nombre de kilomètre, temps de conduite, etc.), ainsi que les dates et heures d’activation / désactivation du dispositif.

     - Les points spécifiques à retenir
 

En toute hypothèse, la mise en œuvre d’un dispositif de géolocalisation ne peut induire la collecte et le traitement des données de localisation en dehors du temps de travail du conducteur, en particulier lors des trajets entre le domicile et le lieu de travail ou encore pendant les temps de pause. De même, le traitement de la vitesse maximale n’est pas autorisé, sauf disposition légale contraire ; seul celui de la vitesse moyenne est envisageable.

Par ailleurs, il ressort de la délibération Cnil que le salarié doit pouvoir désactiver le système GPS, l’employeur pouvant demander des explications en cas de désactivations répétées ou d’une durée excessive. Enfin, les salariés investis d’un mandat électif ou syndical ne doivent en aucun cas faire l’objet d’une opération de géolocalisation lorsqu’ils se déplacent dans le cadre de l’exercice de leur mandat.


2. Les obligations inhérentes à la mise en oeuvre d’un dispositif de géolocalisation

L’installation d’un système de géolocalisation implique pour l’employeur le respect de plusieurs obligations légales.

     - Les formalités préalables auprès de la Cnil
 

Un dispositif de géolocalisation installé dans les véhicules mis à disposition des salariés doit faire l’objet d’une déclaration à la Cnil préalablement à sa mise en oeuvre, au moyen d’une déclaration simplifiée de conformité.

Les entreprises ayant déjà effectué une déclaration simplifiée en référence à la norme de 2006 ont jusqu’au 17 juin 2016 pour se mettre en conformité avec les nouvelles conditions posées par la Cnil. Seuls peuvent bénéficier de cette procédure les traitements de géolocalisation des véhicules répondant exactement aux conditions définies par la Cnil. Si l’un des critères n’est pas rempli, d’autres formalités préalables seront requises.

     - La consultation et l’information des représentants du personnel et des salariés
 

La mise en œuvre d’un dispositif de géolocalisation sur les véhicules utilisés par les employés implique l’information et la consultation préalable des représentants du personnel.

Par ailleurs, le salarié concerné doit également être informé, individuellement et préalablement à la mise en œuvre du traitement. Les mentions devant être portées à sa connaissance sont notamment les finalités poursuivies, les données traitées, la durée de conservation, etc. (3)

     - Les obligations relatives au traitement des données
 

Comme pour tout traitement de données personnelles, le responsable de traitement doit respecter des obligations quant à la durée de conservation des données et à leur sécurité mais également concernant l’information et les droits des salariés concernés (droit d’accès, de rectification, d’opposition, etc.).

Les données de localisation doivent ainsi être conservées uniquement pour une durée dite « pertinente » au regard de l’objectif du traitement. Une durée de deux mois est considérée adéquate par la Cnil.

Toutefois, la délibération Cnil mentionne plusieurs cas dans lesquels la durée de conservation peut aller au-delà de deux mois, notamment si la conservation de l’historique des déplacements a pour but l’optimisation des tournées.

Quant à la sécurité des données, l’employeur est tenu de prendre toutes les précautions nécessaires (mise en place de mesures à la fois physique et technique). A ce titre, la Cnil recommande notamment la réalisation d’une étude des risques, la mise en place d’un mécanisme de gestion des habilitations régulièrement mis à jour, le chiffrement des données, etc.


   A défaut, pour l’employeur de respecter la réglementation précitée, le dispositif de géolocalisation mis en oeuvre au sein de l’entreprise sera jugé illégal et ne pourrait être opposé aux salariés, notamment à des fins disciplinaires ou pour justifier un licenciement. En outre, le manquement aux obligations légales est puni de sévères sanctions financières et pénales. Dans ce contexte, il est recommandé aux entreprises de s’assurer, au moyen d’un audit par exemple, de la conformité de leur dispositif de géolocalisation à ces nouvelles règles et à défaut, de prendre toutes mesures nécessaires de mise en conformité.


                                                          * * * * * * * * * * *

(1) Délibération n°2015-165 du 4 juin 2015 portant adoption d’une norme simplifiée concernant les traitements automatisés de données à caractère personnel mis en œuvre par les organismes publics ou privés destinés à géolocaliser les véhicules utilisés par leurs employés (norme simplifiée n°51). Cette délibération vient remplacer la précédente recommandation CNIL sur le même sujet en date du 16 mai 2015.

(2) A noter que cette délibération ne concerne pas les dispositifs de contrôle des transports routiers (chronotachygraphes), dispensés de déclaration à la Cnil - voir délibération Cnil n°2014-235 du 27 mai 2014.

(3) Voir notamment les articles L.1121-1, L.1222-3, L.1222-4 et L.2323-32 du Code du travail.

Betty SFEZ 

Avocat
 

Deleporte Wentz Avocat

www.dwavocat.com

Septembre 2015

Drones : les recommandations du G29 en matière de protection de la vie privée

   Le marché européen des drones est en plein essor. Ces “aéronefs télépilotés” sont utilisés dans de multiples domaines : sécurité publique (surveillance de manifestations sur la voie publique, lutte anti-incendie, sécurité de zones touchées par des accidents industriels, comme à Fukushima par exemple), surveillance de l’état des infrastructures ou de bâtiments, tournages de reportages d’information (inondations), sportifs (Tour de France), ou culturels, mais également dans les loisirs (aéromodélisme).

Toutefois, leur commercialisation et leur utilisation soulèvent des enjeux importants, notamment en matière de respect de la vie privée. Les drones peuvent en effet être équipés d’appareils photo, de caméras ou de capteurs sonores. Ces engins peuvent ainsi collecter, stocker, transmettre ou analyser une masse d’informations, et surveiller nos comportements et nos déplacements en toute discrétion et à notre insu.

A ce jour, il n’existe pas de réglementations harmonisées en Europe en matière de drones. La Commission européenne a annoncé en avril 2014, son intention de se pencher sur une réglementation européenne pour encadrer l’usage des drones civils. (1) Une proposition de la Commission est attendue pour fin 2015, mais dès 2014 celle-ci avait affirmé que « Les données collectées par les drones devront être conformes aux règles applicables en matière de protection des données et les autorités chargées de la protection des données devront surveiller la collecte et le traitement ultérieur des données à caractère personnel ». La Commission précisait en outre, qu’elle examinerait comment garantir que les règles de protection des données s’appliquent pleinement aux aéronefs télépilotés et proposera des modifications ou des orientations spécifiques en tant que de besoin.

    Sans attendre la proposition de la Commission européenne, le G29 (groupe de travail rassemblant les représentants de chaque autorité de protection des données nationales) a publié en juin 2015 un avis sur les drones. (2)

Dans cet avis, le G29 identifie les risques d’atteinte à la vie privée et souligne notamment le manque de transparence quant aux types de traitements effectués, de données collectées et de finalités poursuivies, dès lors qu’un traitement de données est réalisé par le biais d’un drone. Pour contenir ces risques, le G29 fournit une liste de recommandations à destination des opérateurs, utilisateurs et fabricants de drones, ainsi qu’aux législateurs européens et nationaux.

- Les opérateurs ou les utilisateurs de drones sont ainsi invités à (i) se renseigner sur les formalités obligatoires à accomplir auprès de la Direction de l’aviation civile de leur pays, (ii) ne collecter que les données strictement nécessaires au traitement et à ce titre, installer sur leurs drones des technologies ne permettant pas de collecter plus de données que nécessaire, et (iii) informer par tous moyens les personnes concernées des conditions de la collecte et du traitement de leurs données (par exemple, par la distribution de prospectus aux participants d’un événement public au cours duquel des drones sont utilisés ou par la publication d’un message éditorial sur le site internet de l’opérateur).

- Les fabricants et les opérateurs sont notamment invités à (i) promouvoir et adopter un code de conduite, (ii) rendre leurs drones plus visibles, à l’aide de lumières clignotantes ou de couleurs vives par exemple, et (iii) insérer dans les emballages de drones de petites tailles une notice d’information sur la nature intrusive de la technologie et le nécessaire respect de la réglementation applicable.

- Les législateurs européens et nationaux sont invités à promouvoir un cadre légal (i) offrant des garanties en matière de sécurité et de respect des droits fondamentaux, (ii) imposant notamment le respect de la vie privée comme exigence pour l’obtention d’une qualification ou d’une licence en vue d’une utilisation commerciale du drone et (iii) instaurant un régime spécifique de responsabilité pour l’utilisation de drones.

Enfin, le G29 insiste sur le fait que le recours à cette technologie par les autorités policières (i) ne peut être généralisé et doit être expressément prévu et justifié par un texte, (ii) doit respecter les principes fondamentaux posés par la réglementation sur la protection des données personnelles (nécessité, proportionnalité, finalité déterminée, etc.), et en toute hypothèse, ne peut donner lieu à la surveillance constante d’un individu, sauf cas particuliers.


    Il est intéressant de souligner que quelques jours à peine après la publication de cet avis du G29, le Parlement européen a divulgué son projet de rapport sur l’utilisation des drones dans le domaine de l’aviation civile. (3) Dans ce texte, le Parlement précise que « la question de la protection des données et de la vie privée est essentielle en vue de faciliter le développement et l’intégration en toute sécurité des systèmes d’aéronefs télépilotés dans l’aviation civile ». Le Parlement estime que la législation sur la protection de la vie privée et les données personnelles, tout comme celle relative à la navigation aérienne, devrait figurer dans une notice d’information aux acquéreurs.

Néanmoins, le Parlement souligne qu’« une nouvelle législation spécifique pour la protection des données dans le domaine des systèmes d'aéronefs télépilotés ne devrait pas être nécessaire » et estime, à ce titre, que « les agences compétentes pour la protection des données dans les États membres devraient partager les orientations spécifiques en matière de protection des données pour les drones à caractère commercial, et invite les États membres à mettre en oeuvre rigoureusement la législation concernant la protection de données, de sorte que ces deux éléments répondent aux préoccupations des citoyens en matière de vie privée et que les exploitants des systèmes d'aéronefs télépilotés ne doivent pas faire face à une charge administrative disproportionnée ».

Il convient donc d’attendre la publication de la proposition de la Commission pour connaître l’ampleur des exigences européennes en matière de drones et de respect de la vie privée.

                                                                      * * * * * * * * * * *

(1) Communiqué de presse de la Commission européenne du 8 avril 2014, « La Commission européenne préconise des normes strictes pour réglementer l'utilisation des drones civils ».

(2) Article 29 Data Protection Working Party, Opinion 01/2015 on Privacy and Data Protection Issues relating to the Utilisation of Drones, June 16th 2015 (WP 231).

(3) Parlement européen, Commission des transports et du tourisme, projet de rapport sur l’utilisation d’aéronefs télépilotés (RPAS ou UAV), dans le domaine de l’aviation civile, du 19 juin 2015.


Betty SFEZ
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juillet 2015

Les plateformes d’affiliation publicitaire soumises à la loi Sapin

L'achat d'espace publicitaire est un contrat conclu entre un annonceur et un intermédiaire (agence médias), déterminant les conditions dans lesquelles l’annonceur confie à l’agence la mission d'acheter auprès de tiers diffuseurs (supports ou leurs régies), les espaces sur lesquels l'annonceur souhaite diffuser la publicité pour ses produits ou services.

Ce contrat est régi par la loi du 29 janvier 1993 relative à la prévention de la corruption et à la transparence de la vie économique et des procédures publiques (la “loi Sapin”).(1)

L’activité d’achat d’espace a cependant beaucoup évolué depuis le vote de la loi, notamment avec l’avènement de la publicité en ligne. La question se pose de savoir si toutes les nouvelles activités liées à la publicité sur internet, notamment l’activité des plateformes d’affiliation, relèvent ou non de la loi Sapin.

Un arrêt de la Cour d’appel de Paris, rendu le 17 avril 2015, vient de confirmer l’application de la loi Sapin à une plateforme d’affiliation. (2)

Nous rappelons ci-dessous les règles applicables à l’achat d’espace publicitaire, puis, dans un deuxième temps, examinons l’application de ces règles à l’activité des plateformes d’affiliation.


1. L’achat d’espace publicitaire et la loi Sapin

    1.1 Définitions et champ d’application 

La loi Sapin est applicable à tout achat d'espace publicitaire par un intermédiaire pour le compte d’un annonceur, dans un média, quel que soit le support : physique (presse, affichage public, prospectus, etc.), audiovisuel (radio, TV, cinéma), numérique (internet), et quel que soit le mode de commercialisation de l’espace de diffusion de la publicité.

En vertu de la loi Sapin, tout intermédiaire qui achète de l’espace publicitaire sur l’ordre d’un annonceur agit en qualité de mandataire de ce dernier.

- Contrat de mandat écrit obligatoire
L’intermédiaire agit au nom et pour le compte de l’annonceur, dans le cadre d'un contrat de mandat écrit. (art. 20 loi Sapin)

Ainsi, l’obligation essentielle de l’agence média est d’exécuter sa mission en accomplissant son rôle d’intermédiaire, par la transmission des ordres de publicité aux tiers diffuseurs et par l’obligation d’en rendre compte à son client (annonceur).

La loi prévoit que le contrat doit détailler les diverses prestations effectuées dans le cadre du mandat et le montant de leur rémunération, le cas échéant en les distinguant des autres prestations pouvant être réalisées dans le cadre de la relation contractuelle et des rémunérations correspondantes. (art. 20 al.2 loi Sapin)

- Reddition de la mission
Le tiers diffuseur doit se conformer aux instructions de l’intermédiaire et exécuter l’ordre de publicité, en mettant à la disposition de l’annonceur l’espace publicitaire sur lequel porte l’ordre de publicité.

L'agence médias, intermédiaire-mandataire, doit rendre compte de sa mission à l’annonceur, en l’informant notamment du déroulement de sa mission (y compris des négociations ou de  l'évolution des tarifs par exemple).

L'agence est également tenue à une reddition des comptes, conformément à l’article 1993 du code civil.

    1.2 Conditions de paiement de l’intermédiaire et des supports
 
- Rémunération de l’intermédiaire (agence médias)
Conformément aux dispositions du code civil régissant le contrat de mandat (art. 1984 et suiv.), l’annonceur (le mandant) est tenu de régler la rémunération convenue à l’intermédiaire (le mandataire), et de lui rembourser les avances et frais qui auraient été engagés pour l’exécution du mandat.

Les conditions de rémunération des autres prestations, hors achat d'espace, doivent être mentionnées séparément dans le contrat.

Outre le mandat, la seconde règle essentielle imposée par la loi Sapin, est l’interdiction pour l’intermédiaire, de recevoir d'autre rémunération que celle que lui verse son client, l’annonceur. En tant qu'acheteur d'espace, l’agence même lorsqu'elle agit en qualité de conseil en plan média et préconisation de support, ne peut percevoir de rémunération, rétrocession, ni avantage quelconque des régies et tiers diffuseurs. (art. 21 et 22 loi Sapin)

- Rémunération des tiers diffuseurs (supports ou régies)
Les tiers diffuseurs doivent adresser les factures d'achat d'espaces directement à l'annonceur, l'intermédiaire pouvant éventuellement en recevoir une copie. (art. 20 al.3 loi Sapin)

Cette disposition est applicable y compris lorsque le contrat prévoit le paiement des espaces par l’agence intermédiaire. En effet, comme le précise la circulaire du 19 septembre 1994, complétant la loi Sapin, l'annonceur a le choix entre payer directement le tiers diffuseur ou faire transiter le paiement par son mandataire (l’agence médias).

En cas de paiement du tiers diffuseur par l’intermédiaire, la circulaire de 1994 prévoit que les sommes destinées à payer les tiers doivent être inscrites par l’agence médias sur un compte de tiers au nom de l’annonceur, ces sommes n’entrant pas dans le chiffre d’affaires de l’agence médias. Le contrat peut cependant prévoir l’envoi par l’agence médias à l’annonceur d’un récapitulatif des sommes dues aux différents supports et du montant de ses propres honoraires.

    1.3 Sanctions applicables en cas de violation des dispositions légales
 
Le manquement aux obligations légales est sévèrement sanctionné en vertu des dispositions de l’article 25 de la loi Sapin, ce texte étant considéré comme étant d’ordre public.

L’absence de contrat de mandat écrit est passible d’une amende maximum de 30.000€ ; l’absence de communication de la facture par le tiers diffuseur directement à l’annonceur est puni d’une amende maximum de 75.000€.


2. L’évolution de l’activité d’achat d’espace publicitaire en ligne : les plateformes d’affiliation

L’activité d’achat d’espace publicitaire a beaucoup évolué ces dernières années. Ainsi, à côté de l’achat d’espace “classique”, et de la relation entre les intervenants traditionnels (annonceurs / intermédiaires-agences médias / supports-régies), sont apparus de nouveaux intervenants entre les annonceurs et les supports, remettant en cause l’application de la loi Sapin. Parmi ces nouveaux intermédiaires figurent les plateformes d’affiliation.

    2.1 Les plateformes d’affiliation : définition
 
Les exploitants des plateformes d’affiliation agissent en tant qu’intermédiaires entre les annonceurs et les supports (affiliés). Un contrat est ainsi conclu entre la plateforme et les annonceurs. Un autre contrat est conclu entre la plateforme et les affiliés.

Toutefois, la plateforme d’affiliation exerce-t-elle effectivement une activité d’achat d’espace publicitaire pour le compte de l’annonceur, régie par la loi Sapin ? En effet, ces plateformes fonctionnent généralement de manière automatisée, sachant d’une part que la sélection des affiliés est souvent réalisée directement par l’annonceur, d’autre part que les conditions financières des affiliés sont souvent fixées par l’annonceur (calcul sur le taux d’affichage, de clics, du nombre d’inscriptions, etc. - ou facturation au CPC, CPM, CPA, CPL selon les cas), et non par les affiliés/supports. Les affiliés ne connaîtront le prix auquel leurs espaces sont vendus que lorsqu’ils consulteront l’outil de tracking mis à leur disposition par la plateforme d’affiliation ou recevront un appel à facture de la plateforme.

Si l’on considère que la loi Sapin ne s’applique pas aux plateformes d’affiliation, celles-ci ne seraient alors pas soumises aux obligations relatives au mandat et aux conditions de facturation, telles que rappelé ci-dessus.

Or, un arrêt de la cour d’appel de Paris vient de confirmer l’application de la loi Sapin à l’activité d’affiliation.

    2.2 L’arrêt de la cour d’appel de Paris du 17 avril 2015
 
Cette affaire opposait la société Assurland.com (l’annonceur) à la société Public-Idées (la plateforme d’affiliation). Le litige portait sur la contestation par Assurland.com des sommes facturées par la plateforme après avoir modifié sa grille tarifaire.

Les juges rappellent que la société Public-Idées diffuse des campagnes publicitaires sur internet au travers de ses affiliés. La société Public-Idées et Assurland.com ont conclu un contrat de service “par lequel la première met à la disposition de la seconde son réseau d’affiliés, en vue de lui permettre d’augmenter sa visibilité parmi les internautes, et en définissant les conditions dans lesquelles la société Assurland peut accéder aux services de la société Public-Idées.”

Le contrat de service de Public-Idées comprenait des conditions tarifaires, la grille tarifaire ayant été modifiée en novembre 2010, de manière rétroactive prenant effet en juillet 2009. En février 2011, des divergences sont apparues entre les parties sur l’interprétation des conditions de tarification. La société Public-Idées a assigné Assurland.com devant le tribunal de commerce en paiement notamment, des sommes contestées. Par jugement du 19 mars 2013, le tribunal a prononcé la résiliation du contrat aux torts exclusifs de la société Assurland.com et l’a condamnée à payer les sommes dues à la société Public-Idées.

En appel, Assurland.com a notamment soulevé le fait que les factures n’étaient pas dues en l’absence de mandat écrit avec la société Public-Idées, tel que requis par la loi Sapin.

Les juges analysent l’activité de la plateforme Public-Idées comme “un achat d’espace publicitaire par la société Assurland auprès des affiliés ; par l’intermédiaire de la société Public-Idées exploitante de la plateforme regroupant les affiliés”.

Cette activité est couverte par les dispositions de l’article 20 de la loi Sapin qui impose un mandat écrit entre l’annonceur et l’intermédiaire, fixant les conditions de rémunération du mandataire (la plateforme). Dans la mesure où les conditions de rémunération étaient prévues dans le contrat de service de Public-Idées, les juges estiment que “le contrat existant entre les sociétés Assurland et Public-Idées remplit les conditions imposées par la loi Sapin (…), de sorte que la demande de nullité de la société Assurland doit être écartée.”

La cour a néanmoins décidé que le contrat devait être résilié aux torts exclusifs de la société Public-Idées dans la mesure où celle-ci n’a pas correctement appliqué la tarification contractuelle.


   En conséquence, il convient de considérer que l’opération consistant en l’achat d’espace publicitaire par un annonceur auprès d’affiliés par l’intermédiaire d’une plateforme d’affiliation est régie par les dispositions de la loi Sapin, imposant non seulement un mandat écrit entre l’annonceur et l’intermédiaire, mais également des modalités de paiement, telles que prévues aux articles 21 et 22 de la loi.

                                                                       * * * * * * * * * * *

(1) Loi n°93-122 du 29 janvier 1993 relative à la prévention de la corruption et à la transparence de la vie économique et des procédures publiques, et plus particulièrement le chapitre II “Prestations de publicité” ; notamment complété par la circulaire du 19 septembre 1994 relative à la transparence et à la non-discrimination dans la publicité.

(2) CA Paris, pôle 5 ch.11, 17 avril 2015, Assurland.com c. Public-Idées


 
Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2015

Le cabinet Deleporte Wentz Avocat a le plaisir d’annoncer l’ouverture d’un bureau à Singapour

L’activité de Deleporte Wentz Avocat, cabinet fondé à Paris en 2007, est focalisée autour du droit des technologies - logiciel, internet, e-commerce, données personnelles, médias numériques, propriété intellectuelle. Nous conseillons les entreprises, des start-ups aux multinationales, dans le cadre de leurs projets IT, en droit français et en droits européens à travers notre réseau de cabinets indépendants situés dans plusieurs pays d’Europe.

L’expansion vers l’Asie du Sud-Est nous permet d’accompagner nos clients dans leur développement à l’international vers cette partie du monde, mais également d’accompagner les sociétés implantées en Asie qui souhaitent étendre leurs activités vers la France et l’Europe.

Singapour, cité-état de 5,5 millions d’habitants, située à la pointe sud de la péninsule malaisienne, est le centre économique de l’Asie du Sud-Est et de l’ASEAN, et une place financière, économique et technologique de 1er rang.

Singapour est par ailleurs une plateforme pour les entreprises souhaitant étendre leurs activités commerciales dans la région, vers des zones très dynamiques comme l’Indonésie, la Malaisie, la Thaïlande, le Vietnam, ou les Philippines.

A cette fin, Deleporte Wentz Avocat développe un réseau de cabinets d’avocats dans ces pays, capables de prendre le relais en droit local (notamment en droit des sociétés et droit commercial).

Pour toute question ou projet IT, n’hésitez pas à nous contacter.

Vers un renforcement de la réglementation en matière de protection des données personnelles aux Etats-Unis ?

Les Etats-Unis disposent de plusieurs lois sectorielles en matière de protection des données personnelles, mais pas de loi globale, équivalente à la directive européenne de 1995 ou à la loi informatique et libertés en France. Ce constat est valable tant au niveau fédéral qu’au niveau des états fédérés.

Ainsi, au fil des ans, le législateur fédéral a adopté plusieurs lois sur la protection des données personnelles telles que le Privacy Act (1974), concernant les traitements de données effectués par le gouvernement fédéral, et pour le secteur privé le Health Insurance Portability and Accountability Act (1996), le Children’s Online Privacy Protection Act (COPPA) (1998) et le Gramm-Leach Bliley Act (1999), visant respectivement la protection des données de santé, des mineurs et financières.

Par ailleurs, de nombreux états fédérés ont adopté, ou sont sur le point d’adopter, des lois imposant aux entreprises de notifier toute violation de données personnelles aux personnes concernées (consommateurs, internautes, abonnés), ou visant à assurer un niveau élevé de protection de la vie privée des élèves.

Face à la pression grandissante de la part de groupes de citoyens et consommateurs américains, notamment suite aux révélations d'Edward Snowden sur les pratiques mises en œuvre par la National Security Agency (NSA), mais également de la part de la Commission européenne, les uns et les autres exigeant un niveau global de protection de la vie privée plus élevé, le Congrès américain a récemment annoncé réfléchir sur une réforme de vaste ampleur visant à établir des normes fédérales en matière de protection de la vie privée. (1)

Nous donnons ci-après un aperçu des principales réglementations et des réformes législatives en cours au niveau des états fédérés, avant d'aborder les récentes initiatives de réglementation au niveau fédéral.


1. Des avancées significatives au niveau des états fédérés

Deux domaines ressortent principalement des législations des états fédérés : l'obligation de notification des violations de données personnelles et les règles relatives au respect de la vie privée des élèves.

    1.1  L’obligation de notification des violations de données personnelles

On entend généralement par violation de données personnelles toute violation de la sécurité (telle qu'une atteinte à un STAD) entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données.

Depuis le début de l’année 2015, plusieurs états, dont le Wyoming et l'état de Washington, ont introduit des projets de loi ou des amendements à des lois existantes relatifs à l'obligation de notifier les violations des données personnelles. Hormis les états du Wyoming et de Washington, il en va notamment des états du Montana, de l’Alabama et du Connecticut. Ces différents textes, qui doivent entrer en vigueur dans les prochains mois, listent pour la plupart les catégories de données personnelles concernées par l’obligation de notification, les destinataires des notifications, les informations à fournir et le délai dans lequel cette notification doit avoir lieu. (2)

Les informations personnelles concernées par cette obligation de notification sont notamment les données de nature médicale, les données biométriques, l’état civil, le régime matrimonial, les numéros de sécurité sociale, de permis de conduire, etc.

Les destinataires de ces notifications sont les personnes dont les données ont été compromises, mais également, selon les états, le Bureau de protection des consommateurs du Procureur général lorsque la violation concerne plus de cinq cents résidents, ou encore le Commissaire aux assurances si l’organisme concerné est une compagnie d’assurance.

Ces textes législatifs enjoignent aux entreprises qu’elles fournissent une information claire et compréhensible aux destinataires de la notification. Les mentions obligatoires à communiquer comprennent notamment : une description générale de la violation, la date approximative de l’incident, les actions prises pour prévenir les violations à venir et des conseils sur les bonnes pratiques à adopter par les citoyens pour éviter la violation de leurs données. Dès lors que la notification est faite auprès du Procureur général, celle-ci doit inclure une copie de la notification adressée aux personnes concernées, la date de cette notification ainsi qu’une indication du nombre de résidents de l’état affectés par la violation de données.

Enfin, certains textes mentionnent le délai maximal dans lequel la notification doit être envoyée. Ce délai varie entre 30 et 45 jours, à compter de la découverte de l’incident.

    1.2  La protection de la vie privée des élèves

Les lois sur la vie privée des élèves, de l’école maternelle au lycée, se multiplient. On compte aujourd’hui huit états ayant adopté des lois sur la protection de la vie privée des élèves, et plus d’une centaine de projets de lois sont envisagés par 42 états. A ce titre, sept états (Californie, Caroline du Nord, Colorado, Idaho, Kentucky, Louisiane, et l'état de New-York) ont adopté en 2014 de nouveaux textes (lois ou amendements à des lois existantes) relatifs à la vie privée des écoliers.

Ainsi, les états de l’Idaho et de New-York ont promulgué des lois interdisant aux entreprises d’utiliser les données personnelles des élèves à des fins marketing, publicitaire et commerciale. Le Kentucky a voté une loi proscrivant aux fournisseurs de services de Cloud computing le traitement des données personnelles des élèves à des fins commerciales. (3)

La Californie a adopté le "Student Online Personal Information Protection Act" (SOPIPA). Cette loi, qui doit entrer en vigueur le 1er janvier 2016, interdit aux opérateurs sur internet de vendre et d’utiliser les données des élèves pour réaliser de la publicité ciblée via des sites internet et des applications mobiles. La Californie prévoit également de modifier les dispositions concernant la vie privée dans son "Business and Professions Code". Cet amendement interdira de manière générale l’utilisation des données des étudiants à des fins autres que la finalité initiale, à savoir, les buts inhérents à l’éducation, de l’école maternelle au lycée ("K-12 school purposes").

Enfin, en Géorgie, le "Student Data Privacy, Accessibility and Transparency Act", adopté le 6 mai 2015, crée un droit d’accès, pour les parents d’élèves qui en font la demande, aux dossiers scolaires de leurs enfants et aux données personnelles qu’ils contiennent. En pratique, les parents d’élèves ont désormais la possibilité de consulter ces dossiers et de modifier et/ou de supprimer les informations personnelles concernant leurs enfants.


2. Les prémices d’une harmonisation législative au niveau fédéral

Lors d'une allocution le 12 janvier 2015, le Président Obama a déclaré vouloir travailler avec le Congrès à l'élaboration de nouvelles lois visant à mieux encadrer la protection de la vie privée des Américains. Suite à cette déclaration les premières propositions de lois ont été élaborées dans trois domaines en particulier : notification des violations de données personnelles, protection de la vie privée des consommateurs et protection de la vie privée des élèves.

    2.1  La notification des violations de données personnelles

Une première proposition de loi a pour objectif d’imposer aux entreprises de notifier à leurs clients, dans un délai maximal de 30 jours, toute faille de sécurité ayant un impact sur leurs données. (4) Ce texte ne concernerait que les entreprises stockant des données sensibles personnelles ou financières de plus de 10.000 clients. Ces entreprises devront notifier les cas de violations de données aux personnes concernées. Au sens de ce texte, les "données sensibles" désignent toute information ou tout groupe d’informations sous forme électronique et incluant une adresse postale, un numéro de sécurité sociale non tronqué, un numéro de permis de conduire, un mot de passe, des données biométriques, etc.

L'objectif de cette initiative est d’harmoniser la réglementation au niveau fédéral. En effet, on compte actuellement 47 lois réglementant la question de la violation des données personnelles aux Etats-Unis. Ainsi par exemple, en fonction de l’état dans lequel il réside, un citoyen américain peut être averti ou non en cas de piratage de ses données.

    2.2  Le renforcement de la protection de la vie privée des consommateurs

La seconde proposition de loi fédérale concerne les droits des consommateurs. (5) Cette proposition devrait permettre aux consommateurs américains de connaître l’étendue du traitement de leurs données envisagé par le professionnel (conditions de collecte, d’utilisation, de partage, et de revente éventuelles des données).

Le projet de texte propose de fournir un corpus unique de normes fédérales remplaçant le patchwork des lois existantes. Il étendrait la protection actuellement offerte par les états et proposerait l'adhésion au programme "Safe Harbor" aux entreprises adoptant un code de conduite approuvé par la Federal Trade Commission (FTC) et conforme au texte de loi.

Pour rappel, le Safe Harbor désigne un ensemble de principes de protection des données personnelles, négociés entre les autorités américaines (US Department of Commerce) et la Commission européenne en 2000, sur la base de la directive européenne de 1995 sur la protection des données personnelles. Le système du Safe Harbor fonctionne sur le volontariat et est déclaratif pour les entreprises souhaitant y adhérer. Les principes du Safe Harbor permettent d’assurer un niveau de protection suffisant pour les transferts de données en provenance de l’Union européenne vers des entreprises établies aux Etats-Unis ayant adhéré au programme. (6)

    2.3  Le souci de garantir la protection des données personnelles des élèves

Enfin, la troisième série de textes fédéraux est spécifiquement consacrée aux élèves. Les législateurs réfléchissent au rôle des technologies dans le milieu scolaire. En effet la multiplication des données et de leurs modes de communication (notamment via les outils de collaboration entre élèves ou les outils multimédias) impose de définir des règles de sécurité et de protection de la vie privée. (7)

La première proposition vise à créer de nouvelles obligations liées à la collecte et au traitement des données des élèves. Ce texte interdirait notamment aux entreprises proposant des logiciels éducatifs de revendre les données qu'elles collectent auprès des élèves, ou d'utiliser ces données pour des publicités ciblées.

Le second texte, un amendement au Family Educational Rights and Privacy Act (FERPA - 1974), a pour objectif de créer un droit d’accès pour les parents d’élèves aux dossiers scolaires de leurs enfants. Les parents pourront ainsi consulter et corriger ou supprimer les données personnelles de leurs enfants, détenues par les écoles.


    Ces initiatives diverses, tant au niveau des états fédérés qu’au niveau fédéral, traduisent la volonté des Etats-Unis de pallier les lacunes de la réglementation en vigueur en matière de protection des données personnelles. Toutefois, ces propositions de lois et amendements se heurtent à une forte opposition de la part d'une partie des membres du Congrès. En outre, on constate que l'approche américaine reste orientée sur des textes spécifiques et/ou sectoriels et que les Etats-Unis ne se dirigent pas vers une grande loi fédérale de protection des données personnelles.

Par ailleurs, depuis l’affaire Snowden (ou "Prism"), le programme Safe Harbor est remis en cause notamment par les institutions européennes. Ainsi, en novembre 2013, la Commission européenne a publié 13 recommandations visant à rétablir la confiance dans les transferts de données entre l’Union européenne et les Etats-Unis. Face à l’inertie des Etats-Unis, le Parlement européen a émis, en mars 2014, une résolution réclamant la suspension immédiate du programme Safe Harbor. (8) Si le programme Safe Harbor devait réellement être dénoncé, cela aurait un impact significatif sur le commerce transatlantique, obligeant à revenir à un système d'autorisation préalable à l'exportation de données personnelles depuis l'Europe vers les Etats-Unis. L'impact serait particulièrement sensible pour les entreprises américaines exploitant des services en cloud computing vers l'Europe ou pour les services de réseaux sociaux.


                                                             * * * * * * * * * * * *

Betty SFEZ – Avocat
en collaboration avec Inès NUNGUET

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2015


(1) L'une des questions posées cependant est de déterminer si les questions relatives à la réglementation de la protection de la vie privée relèvent du pouvoir fédéral ou du domaine législatif des états fédérés, ce qui explique en partie pourquoi les Etats-Unis ne disposent pas encore de loi "globale" sur le sujet.

 (2) Voir notamment : Wyoming: Enrolled Act no. 20 and 22, Senate – 63rd legislature of the state of Wyoming 2015 General Session ; Washington : Senate Bill 5047 State of Washington 64th Legislature, Prefiled 01/07/15. Act relating to enhancing the protection of consumer financial information.

(3) Voir notamment : Idaho : Idaho Code §33-133, Title 33 Education; Chapter 1 State Board of Education - 33-133, added 2014, ch. 281, sec. 3, p. 711 ; Kentucky : Ky. Rev. Stat. §365.734, Prohibited uses of personally identifiable student information by cloud computing service provider -- Administrative regulations - Created 2014 Ky. Acts ch. 84, sec. 2, effective July 15, 2014.

(4) Voir notamment : Bill of April 30, 2015 ("Consumer Privacy Protection Act of 2015"), introduced by Senator Patrick Leahy, introducing new data breach legislation.

(5) Consumer Privacy Bill of Rights Act of 2015.

(6) Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel ; Le programme Safe Harbor est décrit sur le site du US Department of Commerce à http://export.gov/safeharbor/

(7) Voir : Family Educational Rights and Privacy Act (FERPA) et Student Digital Privacy and Parental Act of 2015 (Bill of April 29, 2015).

(8) Communiqué intitulé "La Commission européenne appelle les États-Unis à rétablir la confiance dans les transferts de données entre l’UE et les Etats-Unis", du 27 novembre 2013 ; Résolution du Parlement européen du 12 mars 2014 sur le programme de surveillance de la NSA, les organismes de surveillance dans divers États membres et les incidences sur les droits fondamentaux des citoyens européens et sur la coopération transatlantique en matière de justice et d'affaires intérieures.

Cybersécurité et OIV : les nouvelles exigences réglementaires européennes et françaises

Les institutions européennes et le gouvernement français ont élaboré leurs stratégies de lutte contre la cybercriminalité, et adopté ou sont en voie d’adoption de plusieurs textes législatifs et règlementaires.

Au niveau européen, la Commission a adopté, en février 2013, une proposition de directive visant à assurer un niveau élevé commun de sécurité des réseaux et de l’information dans l’Union. Ce texte précise notamment les obligations à la charge des “opérateurs d’infrastructure essentielle”. La proposition a été modifiée et adoptée en première lecture par le Parlement européen, le 13 février 2014. Ce texte est depuis en cours d’examen devant le Conseil. (1)

Les exigences issues du texte européen sont en partie similaires à celles imposées aux opérateurs d’importance vitale (OIV) par la loi de programmation militaire française 2014-2019 du 18 décembre 2013 (LPM), dont les premiers décrets d’application viennent d’être publiés. (2)

Nous proposons ci-dessous une synthèse des principales dispositions européennes, en cours de discussion,et françaises, en vigueur.


1. Les opérateurs concernés

- Le projet de directive européenne, dans sa version initiale proposée par la Commission, imposait de nouvelles obligations aux administrations publiques et aux acteurs du marché.

Les acteurs du marché sont définis et divisés en deux catégories :

• les “prestataires de services de la société de l’information qui permettent la fourniture d’autres services de la société d’information”, à savoir les : plateformes de e-commerce, réseaux sociaux, moteurs de recherches, services Cloud, etc. ;

• les “opérateurs d’infrastructure essentielle au maintien de fonctions économiques et sociétales vitales”, dont la perturbation ou la destruction aurait une incidence considérable dans un État membre en conséquence du non-maintien de ces fonctions. Ces opérateurs exercent leurs activités dans les domaines de l’énergie, des transports, des services bancaires, des infrastructures de marchés financiers, des points d'échange internet, de la chaîne d'approvisionnement alimentaire et de la santé.

Toutefois, ces dispositions ont été amendées par le Parlement, qui ne retiendra que les acteurs du marché qualifiés d’opérateurs d’infrastructure essentielle, dont l’effectif excède 10 personnes et dont le chiffre d’affaires annuel est supérieur à 2 millions d’euros. Les micro et petites entreprises sont donc exclues, sauf exception.

Aujourd’hui, de nombreuses questions concernant le champ d’application de la directive sont soulevées devant le Conseil. Les ministres ont émis le souhait d’ajouter une liste des secteurs d’infrastructures critiques communs et de définir des critères afin de déterminer les opérateurs qui en font partie, et décider si et dans quelle mesure les “services de la société d’information” et les “facilitateurs de services internet” devraient également être inclus dans le champ d’application de la directive.

- La réglementation française impose des obligations en matière de cybersécurité uniquement aux opérateurs d’importance vitale.

La notion française d’OIV est cependant plus large que la notion européenne d’opérateur d’infrastructure essentielle, dans la mesure où l’on ne distingue pas selon que l’OIV est une grande entreprise ou une PME, une société privée ou une administration publique

Pour rappel, les OIV sont définis, dans le Code de la défense, comme des opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont le dommage ou l'indisponibilité ou la destruction par suite d'un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement d'obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation, ou de mettre gravement en cause la santé ou la vie de la population.


2. Le respect des mesures de sécurité et les audits

La proposition de directive dispose que les autorités compétentes des Etats membres doivent être en mesure de veiller au respect des obligations par les acteurs du marché. Ces autorités doivent ainsi être dotées de pouvoirs leur permettant (i) de donner des instructions contraignantes, et (ii) d’exiger des acteurs du marché qu’ils fournissent des éléments prouvant la mise en œuvre effective des politiques de sécurité, tels que les résultats d’un audit réalisé par un organisme qualifié indépendant ou une autorité nationale.

La réglementation française prévoit des obligations similaires. Les OIV doivent, d’une part respecter les règles et mesures de sécurité élaborées par le Premier ministre et, d’autre part soumettre leur système d’information (SI) à des audits destinés à vérifier le niveau de sécurité et le respect des règles de sécurité.

A ce titre,  l’un des décrets du 27 mars 2015 précise que l’ANSSI élabore et propose au Premier ministre ces règles de sécurité, qui sont ensuite établies par arrêté du Premier ministre pris après avis des ministres coordonnateurs des secteurs d'activités d'importance vitale concernés. Des arrêtés pourront prévoir des règles et délais de mise en conformité différents selon le secteur ou le type d'activité de l'opérateur. En outre, chaque OIV doit établir, tenir à jour et communiquer à l’ANSSI la liste de ses SI, y compris ceux des opérateurs tiers qui participent à ces systèmes, auxquels s’appliquent également les règles de sécurité.

De même, le décret précise qu’en cas de contrôle, le Premier ministre informe l'opérateur des objectifs de l'audit, du périmètre et du délai dans lequel l'audit sera réalisé. Ce type de contrôle ne pourra en principe être réalisé qu’une fois par an, par opérateur. En cas de contrôle, l’OIV devra fournir au prestataire en charge de l’audit les informations nécessaires pour évaluer la sécurité du SI ainsi que les moyens nécessaires pour y accéder. En fin de mission, le prestataire remettra à l’ANSSI un rapport comportant ses observations et, le cas échéant, les commentaires de l’opérateur concerné. Ces contrôles seront réalisés par des prestataires de service “qualifiés” ou par les agents de l’ANSSI.


3. La détection et la gestion des risques

La proposition de directive dispose que les organismes concernés doivent prendre des mesures préventives, d’ordre technique et organisationnel, visant à détecter et gérer les risques menaçant la sécurité de leurs réseaux et systèmes informatiques (RSI). Ces mesures doivent permettre d’éviter les incidents portant atteinte à la sécurité des RSI et de réduire au minimum leur impact sur les services qu’ils fournissent.

Ces obligations sont à mettre en parallèle avec l’obligation de détection prescrite par la règlementation française. En effet, dans certains cas, les OIV ont l’obligation de mettre en œuvre des systèmes qualifiés de détection des évènements susceptibles d’affecter la sécurité de leurs systèmes d’information. Les règles de sécurité fixeront les conditions et les délais dans lesquels les OIV mettront en oeuvre ces systèmes de détection, ainsi que le type de système utilisé. En outre, l’OIV doit conclure une convention avec le prestataire de service exploitant le système de détection comportant certaines mentions obligatoires (SI faisant l’objet du service de détection, type de système de détection utilisé et ses fonctionnalités, nature des informations échangées, etc.).


4. La notification des incidents de sécurité

Le projet de texte européen prévoit que les acteurs du marché doivent notifier à l’autorité compétente, sans retard injustifié, “les incidents qui ont impact significatif”. Il s’agit d’incidents qui portent atteinte à la sécurité et à la continuité d’un réseau ou d'un système d'information et qui entraînent une perturbation notable de fonctions économiques ou sociétales essentielles.

Afin de déterminer l’ampleur de l’impact, trois critères à prendre en compte ont été proposés par le Parlement : le nombre d’utilisateurs dont le service essentiel est concerné, la durée de l’incident et la portée géographique eu égard à la zone touchée par l’incident. Ces critères sont susceptibles d’être modifiés par le Conseil.

Par ailleurs, la proposition de directive prévoit la possibilité, pour les autorités compétentes, d’informer le public d’un incident, si sa sensibilisation est nécessaire pour prévenir ou gérer un incident en cours, ou lorsque l’organisme concerné refuse de remédier à “une grave faiblesse structurelle sans délai injustifié”. Les informations rendues publiques seront anonymes.

La règlementation met également à la charge des OIV, une obligation de déclarer sans délai (“dès que l’opérateur en a connaissance”) au Premier ministre les incidents affectant le fonctionnement ou la sécurité de leurs SI. Des arrêtés viendront préciser les informations, leurs modalités de transmission et les types d’incidents concernés, en les distinguant, le cas échéant, selon le secteur ou le type d’activité de l’opérateur. Enfin, contrairement au texte européen, il n’est pas prévu la possibilité pour l’ANSSI ou les services de l’Etat d’informer le public en cas d’incident.


5. La qualification des produits et prestataires

Le projet de texte européen fait expressément référence à la qualification, sans donner plus de détail aux Etats membres.

En France, la procédure de qualification des produits de sécurité (sondes, etc.) et des prestataires de service vient d’être précisée par décret. Ce texte prévoit que la demande de qualification de produit ou en tant que prestataire de confiance est adressée à l’ANSSI. Après un premier examen du dossier par l’ANSSI, l’évaluation du produit ou des services concernés est réalisée par un centre d’évaluation agréé. Au terme de l’évaluation le centre remet un rapport sur la base duquel l’ANSSI va décider ou non de proposer la qualification du produit ou du prestataire au Premier ministre. La qualification est délivrée pour une durée maximale de 3 ans, renouvelable dans les mêmes conditions.


   L’ANSSI mène actuellement les travaux de préparation des arrêtés en collaboration avec les acteurs concernés. Pour ce faire, l’agence a mis en place, pour chaque domaine d’activité, un groupe de travail dans le but de définir des règles de sécurité adaptées aux spécificités des différents métiers. Ces arrêtés sectoriels devraient être publiés courant 2015.

Quant à la directive, le Conseil a tenu deux réunions de trilogue à son sujet avec le Parlement européen fin 2014. (3) En mars 2015, le Conseil a accepté de reprendre les négociations, la prochaine réunion de trilogue devant se tenir dans les jours prochains.

Une fois adoptée, les Etats membres devront transposer la directive dans leur législation interne dans un délai de 18 mois. Si les dispositions de la règlementation française sont conformes aux orientations de politique européenne, la transposition du texte définitif de la directive est néanmoins susceptible de nécessiter quelques aménagements en droit français.

                                                            * * * * * * * * * * *

(1) Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, Bruxelles, le 7 février 2013 ; Résolution législative du Parlement européen du 13 mars 2014 sur la proposition de directive NIS.

(2) Loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale ; Décrets n°2015-351 et n°2015-350 du 27 mars 2015 relatifs à la sécurité des systèmes d’information des opérateurs d’importance vitale et à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale.

(3) Le trilogue est une réunion tripartite informelle entre représentants des trois institutions européennes, la Commission, le Parlement et le Conseil des ministres, visant à accélérer le processus législatif.

 

Betty SFEZ
Avocat

Deleporte Wentz Avocat

www.dwavocat.com

Mai 2015

L’allègement de la réglementation des loteries commerciales à l’égard des consommateurs

Jusqu’à récemment, l’organisation de loteries commerciales était très encadrée, malgré quelques évolutions jurisprudentielles et réglementaires intervenues ces dernières années. (1) En vertu de la loi du 21 mai 1836, les loteries étaient en effet réputées illicites dès lors qu’elles remplissaient quatre conditions cumulatives (à savoir : une offre au public, l’espérance d’un gain, déterminé par le hasard, en contrepartie d’un sacrifice pécuniaire de la part du participant). Si la loterie ne remplissait pas l’une de ces conditions, alors elle était considérée licite, mais restait soumise à des conditions de forme strictes.

La loi de simplification de la vie des entreprises du 20 décembre 2014 a profondément allégé ces contraintes, (2) mettant le droit français en conformité avec la directive européenne de 2005 relative aux pratiques commerciales déloyales. (3) Les loteries publicitaires peuvent désormais être organisées plus facilement. Cependant, leur encadrement juridique est plus incertain, les loteries pouvant être sanctionnées pour pratique commerciale déloyale ou trompeuse. 


1. La levée des contraintes applicables à l’organisation des loteries commerciales

    - L’allègement de la réglementation

La loterie commerciale est définie comme un jeu dont les gagnants sont désignés au sort.

Désormais, les loteries commerciales sont réputées licites.

Ce principe est énoncé à l’article L.121-36 du code de la consommation qui dispose, dans sa nouvelle rédaction, que “Les pratiques commerciales mises en œuvre par les professionnels à l'égard des consommateurs, sous la forme d'opérations promotionnelles tendant à l'attribution d'un gain ou d'un avantage de toute nature par la voie d'un tirage au sort, quelles qu'en soient les modalités, ou par l'intervention d'un élément aléatoire, sont licites dès lors qu'elles ne sont pas déloyales au sens de l’article L.120-1”.

Cet article définit les seules conditions applicables aux loteries commerciales. Ainsi, les anciennes exigences de forme disparaissent, notamment les mentions obligatoires, l’obligation de rembourser les frais de participation, la participation au jeu sans obligation d’achat, le dépôt du règlement du jeu chez un huissier, etc.

    - Le champ d’application de la nouvelle réglementation

La nouvelle réglementation s’applique aux loteries commerciales (ou publicitaires) à destination des consommateurs. Elle concerne les jeux de type loterie avec tirage au sort, ou comprenant un élément aléatoire.

La loi ne distingue pas suivant la manière dont le jeu est organisé : en magasin, par voie d’imprimés adressés par la poste, par internet ou par SMS.

Il convient de noter que les concours, qui n’étaient pas illicites sous le régime précédent, ne sont pas concernés par ces nouvelles règles. Pour rappel, le concours est défini comme le jeu qui récompense les personnes qui ont subi avec succès une épreuve mettant en oeuvre leurs connaissances, leur sagacité ou toute autre aptitude. Les gagnants sont sélectionnés en fonction de la qualité des réponses aux questions du jeu et non par tirage au sort. Cependant, un concours qui intégrerait un élément aléatoire (question relevant du hasard, ou tirage au sort pour départager les gagnants) relève de la loterie.


2. La contrepartie d’une plus grande liberté d’organisation : un encadrement juridique plus incertain

Toutes les loteries publicitaires ne seront cependant pas considérées comme étant de facto licites. Ainsi, les loteries considérées comme relevant de pratiques commerciales déloyales pourront être sanctionnées.

    - La définition des pratiques commerciales déloyales

Les pratiques déloyales consistent en des pratiques “contraires aux exigences de la diligence professionnelle”. Une pratique commerciale déloyale “altère, ou est susceptible d'altérer de manière substantielle, le comportement économique du consommateur normalement informé et raisonnablement attentif et avisé, à l'égard d'un bien ou d'un service.” (article L.120-1 du code de la consommation).

En effet, en vertu du nouveau régime applicable aux loteries publicitaires, les loteries trompeuses, au sens de l’article L.121-1 du code de la consommation et les loteries considérées comme agressives, au sens de l’article L.122-11 relèvent des pratiques commerciales déloyales.

Parmi les pratiques trompeuses décrites à l’article L.121-1 du code de la consommation, on relèvera celles pouvant s’appliquer plus particulièrement aux loteries commerciales, notamment les pratiques qui reposeraient sur des allégations, indications ou présentations fausses ou de nature à induire en erreur et portant sur la portée des engagements de l’annonceur ; la nature, le procédé ou le motif de la vente ou de la prestation de services ; l’identité, les qualités, les aptitudes et les droits du professionnel ; enfin, lorsque la personne pour le compte de laquelle la pratique commerciale est mise en oeuvre n'est pas clairement identifiable.

En outre, les pratiques suivantes sont considérées comme trompeuses :
    - l’allégation qu'un produit ou qu'un service augmente les chances de gagner aux jeux de hasard,
    - le fait d'affirmer qu'un concours est organisé ou qu'un prix peut être gagné sans attribuer les prix décrits ou un équivalent raisonnable,
    - le fait de décrire un produit ou un service comme étant "gratuit", "à titre gracieux", "sans frais" ou autres termes similaires, si le consommateur doit payer quoi que ce soit d'autre que les coûts inévitables liés à la réponse et au fait de prendre possession ou livraison de l'article. (4)

Les contraintes d’espace ont été prises en compte par la loi pour apprécier si des informations substantielles ont été omises, ainsi que des mesures prises par le professionnel “pour mettre ces informations à la disposition du consommateur par d'autres moyens.” Par exemple, une loterie commerciale qui serait diffusée par le biais d’une application mobile ou par SMS pourrait renvoyer via un hyperlien, vers une page descriptive du jeu et vers le règlement du jeu.

Les pratiques commerciales agressives sont définies comme le fait de solliciter de façon répétée et insistante ou d’utiliser une contrainte physique ou morale, ayant pour effet d’altérer de manière significative la liberté de choix, ou de vicier le consentement d'un consommateur. (5)

    - Les sanctions applicables aux pratiques commerciales déloyales

Les sanctions pour pratiques commerciales trompeuses ou agressives sont très lourdes.

Les pratiques commerciales trompeuses ou agressives sont punies d'un emprisonnement de deux ans et d'une amende d’un montant maximum de 300.000€ (portée à 1.500.000€ pour les personnes morales).

Le montant de l'amende peut être porté, de manière proportionnée aux avantages tirés du manquement, à 10% du chiffre d'affaires moyen annuel, calculé sur les trois derniers chiffres d'affaires annuels connus à la date des faits, ou pour les pratiques commerciales trompeuses, à 50% des dépenses engagées pour la réalisation de la publicité ou de la pratique constituant le délit (ou à 250% des dépenses engagées pour les personnes morales). (6)

    - La nécessité de présenter le jeu de manière claire et loyale

En cas de contentieux portant sur le caractère licite ou trompeur d’une loterie publicitaire, la licéité sera appréciée au cas par cas par les tribunaux.

Afin d’éviter qu’une loterie publicitaire soit sanctionnée pour pratique commerciale trompeuse ou agressive, il est donc nécessaire de prendre quelques précautions.

En effet, bien que le nouveau régime juridique applicable aux loteries publicitaires soit nettement allégé par rapport au régime précédent, les annonceurs qui souhaitent organiser des loteries doivent s’assurer que le message est clair, non ambigüe, loyal et non trompeur.

L’organisateur du jeu et le cas échéant l’annonceur doivent être clairement identifiés. Le mécanisme du jeu, les gains, les règles d’attribution des lots, les frais de participation et le cas échéant, les conditions de participation (âge minimum, durée du jeu, etc.) et l’obligation d’achat d’un produit ou d’un service devront être décrits de manière claire et facilement compréhensible par le consommateur.

Enfin, même si cette obligation ne figure pas dans la loi, il est recommandé de rédiger un règlement du jeu qui reprendra les éléments décrits ci-dessus. Si le jeu est complexe ou s’il est diffusé à un grand nombre de consommateurs, le dépôt chez un huissier permettra de limiter les risques de contestation.


                                                             * * * * * * * * * * *

(1) La loi du 21 mai 1836 portant prohibition des loteries avait ainsi été modifiée en 2004 (loi n°2004-204), en 2007 (loi n°2007-297), et en 2014 (loi n°2014-344).

(2) Article 54 de la loi n°2014-1545 du 20 décembre 2014 relative à la simplification de la vie des entreprises, codifié à l’article L.121-36 du code de la consommation.

(3) Voir la directive 2005/29 du 11 mai 2005 relative aux pratiques commerciales déloyales. A noter que dans une décision de la Cour de justice de l’Union européenne du 14 janvier 2010 (CJUE, affaire C-304/08), les juges ont considéré que les loteries constituent une pratique commerciale, et qu’à ce titre, elles entrent dans le champ d’application de la directive de 2005. Dans la mesure où les loteries commerciales, notamment avec obligation d’achat, ne font pas partie de la liste des pratiques commerciales  déloyales interdites par la directive européenne, les Etats-membres ne peuvent les interdire.

(4) Article L.121-1-1 du code de la consommation

(5) Article L.122-11 du code de la consommation

(6) Articles L.121-6 et L.122-12 du code de la consommation


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2015