Gérer et protéger ses données à l’ère du numérique : un impératif de bonne gouvernance pour l’entreprise

Le constat n’est plus neuf : nous vivons désormais dans une économie de la donnée (ou de l’information). Ainsi, un article récemment publié dans l’hebdomadaire The Economist était intitulé “The world’s most valuable resource is no longer oil, but data” (la ressource la plus précieuse dans le monde n’est plus le pétrole, mais la donnée). (1)

Nous vivons également dans une société du partage, où internet, les réseaux sociaux et les sites de “peer-to-peer” remettent en cause la notion de propriété, qu’il s’agisse de la propriété des données, ou la propriété intellectuelle.

 

Une grande partie des données produites ou collectées par les entreprises (données de savoir-faire, données économiques, données personnelles) reste protégée, et leur divulgation non-autorisée est sanctionnée. Toutefois, l’entreprise doit mettre en oeuvre les moyens adéquats pour que cette protection soit effective, sous peine de voir son image de marque dégradée, de perdre des marchés, ou même de voir sa responsabilité engagée en cas d’atteinte à la sécurité des données personnelles de ses salariés et clients. Or, de grands volumes de données confidentielles se retrouvent en accès libre ou à la vente sur internet. La fuite de données peut engager la responsabilité de la personne à l’origine de cette fuite (ou vol de données), mais aussi celle du responsable du traitement en cas de fuite de données personnelles.

Dans le présent article, nous identifions les différentes catégories de données protégées et les règlementations qui leur sont applicables, puis compte tenu des risques juridiques, économiques et technologiques engendrés par les fuites de données, nous rappelons la nécessité de définir et déployer une politique de gouvernance des données et de l’information au sein de l’entreprise. (2)

1. Différentes catégories de données soumises à des règlementations distinctes

Les données produites et collectées par les entreprises sont de natures diverses. Celles-ci comprennent notamment les données industrielles (informations et données relatives aux produits et services développés et commercialisés par l’entreprise, à ses procédés de production, à son savoir-faire spécifique, les brevets, les dessins et modèles), les données économiques (données financières, les marques), les données commerciales (listes de clients, contrats), enfin, les données personnelles des salariées et des clients et prospects.

Même si toutes ces données ne sont pas nécessairement protégées, l’ensemble des données de l’entreprise relèvent de son identité ou de sa spécificité et permettent de la distinguer de ses concurrentes. Plus particulièrement, dans une économie de marché, son savoir-faire lui permet de créer un avantage concurrentiel, économique et industriel, qui peut être sévèrement altéré en cas de violation de ces données.

            1.1 L’évolution de la protection juridique des secrets d’affaires

Une première catégorie de données concerne les secrets d’affaires.

La valeur, et donc la protection des secrets d’affaires, repose en grande partie sur la confidentialité.

Les secrets d’affaires sont protégés en droit français, notamment sur le fondement de la concurrence déloyale, lorsqu’il peut être démontré qu’une personne (concurrent, salarié) a utilisé des données ou informations d’une entreprise A au bénéfice d’une entreprise B, et au détriment de la première. L’entreprise A, (victime du “vol” de données) doit toutefois prouver le détournement de ses données (par exemple, son fichier clients) et pouvoir démontrer un préjudice commercial (baisse de chiffre d’affaires, atteinte à son image de marque), en lien avec le détournement de données.

Suivant le type d’atteinte en cause, des poursuites pénales peuvent également être engagées sur les fondements suivants :

            - la violation du secret professionnel (art. 226-13 du code pénal : “La révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15 000 euros d’amende.”),

            - la violation du secret des correspondances (art. 226-15 : “Le fait, commis de mauvaise foi, d'ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d'en prendre frauduleusement connaissance, est puni d'un an d'emprisonnement et de 45 000 euros d'amende.

Est puni des mêmes peines le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie électronique ou de procéder à l'installation d'appareils de nature à permettre la réalisation de telles interceptions.”),

            - l’abus de confiance (art. 314-1 : “(…) le fait par une personne de détourner, au préjudice d'autrui, des fonds, des valeurs ou un bien quelconque qui lui ont été remis et qu'elle a acceptés à charge de les rendre, de les représenter ou d'en faire un usage déterminé.

L'abus de confiance est puni de trois ans d'emprisonnement et de 375 000 euros d’amende.”),

            - l’atteinte ou le maintien frauduleux dans un système de traitement automatisé de données (STAD), (art. 323-1 : “Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 60 000 € d’amende.”) (3),

            - l’usurpation d’identité numérique, par des actions de phishing par exemple, (art. 226-4-1 : “Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15.000 € d’amende.

Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne.”) (4).

Des poursuites peuvent aussi être engagées sur le fondement du vol, de l’escroquerie, de la contrefaçon (voir ci-dessous).

Cependant, la protection des secrets d’affaires est aujourd’hui imparfaite, tant en droit français, qu’à l’international. En effet, chaque pays tend à avoir sa propre définition de la notion de “secrets d’affaires” et ne leur accorde pas le même niveau de protection. Des améliorations étaient donc nécessaires.

Plusieurs propositions de lois relatives à la protection des secrets d’affaires ont été déposées en France, entre 2009 et 2015. La dernière tentative remonte au projet de loi pour la croissance (loi “Macron" (5), dans lequel un chapitre sur la protection du secret des affaires avait été proposé, sans suite.

Finalement, au niveau européen, la directive sur la protection des savoir-faire et des secrets d’affaires a été adoptée le 8 juin 2016. (6) L’objet de cette directive est d’établir une définition “homogène” du secret d’affaires, élaborée de façon à couvrir non seulement le savoir-faire, mais aussi les informations commerciales et technologiques, sous réserve de leur valeur commerciale et de l’intérêt à les garder confidentiels.

Le secret d’affaires est défini comme comprenant : “des informations qui répondent à toutes les conditions suivantes :

a) elles sont secrètes en ce sens que, dans leur globalité ou dans la configuration et l'assemblage exacts de leurs éléments, elles ne sont pas généralement connues des personnes appartenant aux milieux qui s'occupent normalement du genre d'informations en question, ou ne leur sont pas aisément accessibles,

b) elles ont une valeur commerciale parce qu'elles sont secrètes,

c) elles ont fait l'objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes." (7)

La directive sur les secrets d’affaires doit être transposée dans les droits des Etats membres au plus tard le 9 juin 2018.

            1.2 Les développements et inventions protégés par le droit de la propriété intellectuelle et industrielle

Les données et informations de l’entreprise comprennent également des documents, produits et services qui font partie intégrante de son savoir-faire, et sont protégés par le droit de la propriété intellectuelle. Il peut s’agir de documents produits par la société, de logiciels, de bases de données, de produits pouvant être protégés par le droit des dessins et modèles et/ou par le droit des brevets, sous réserve évidemment de remplir les conditions requises pour bénéficier de cette protection.

Contrairement aux secrets d’affaires, les données et informations protégées par le droit de la propriété intellectuelle ne sont pas confidentielles et ont vocation à être diffusées et/ou commercialisées. Toutefois, leur diffusion ne doit pas pour autant porter atteinte à leur protection juridique.

Pour rappel, l’utilisation des logiciels et des bases de données est soumise à des conditions de licence (même pour les logiciels open source) ; la reproduction et la réutilisation de documents est généralement soumise à l’autorisation préalable de leur auteur (ou de l’entreprise au sein de laquelle ces documents ont été développés) ; et la fabrication de produits brevetés par un tiers est également soumise à des accords contractuels.

L’utilisation, la reproduction, la diffusion non autorisée d’oeuvres protégées par le droit de la propriété intellectuelle relève de la contrefaçon. (8) En droit français, le délit de contrefaçon est sanctionné par une amende maximale de 300.000 euros et puni de trois ans d’emprisonnement.

            1.3 Les données à caractère personnel

Enfin, les données à caractère personnel ont leur propre régime de protection, avec la loi Informatique et Libertés en France, bientôt remplacée par le Règlement général européen sur la protection des données (RGPD), devant entrer en application le 26 mai 2018. (9)

Les données à caractère personnel sont définies comme toutes données pouvant identifier une personne physique, directement ou indirectement. Ces données comprennent les nom, prénoms, adresse, date de naissance, numéros de téléphone, de sécurité sociale, de compte bancaire, les données de biométrie (empreintes digitales, voix), etc.

Les données à caractère personnel sont la “propriété” de leurs titulaires. Les entreprises collectent toutes des données personnelles, qu’il s’agisse des données de leurs employés ou des données de leurs clients et prospects, ou dans le domaine de la santé, des données de patients. Or, en qualité de responsables de traitement de ces données, les entreprises sont soumises à des obligations de protection des données, qui recouvrent notamment l’obligation d’intégrité des données, de confidentialité et de sécurité.

Ainsi, l’entreprise, responsable de traitement est tenue de protéger les données personnelles contre la perte, la destruction ou les dégâts d’origine accidentelle pouvant intervenir.

Le RGPD comprend une série de règles strictes, incombant au responsable du traitement, concernant la sécurité des données, sous réserve “de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques.”

Cette obligation de sécurité couvre les données elles-mêmes, les moyens techniques pour assurer leur conservation et leur accessibilité, et les règles d’accès.

Ainsi, l’article 32 du RGPD dispose que “1. (…) le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

            a) la pseudonymisation et le chiffrement des données à caractère personnel ;

            b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

             c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;

            d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. (…)

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, (…).”

En cas de violation de données à caractère personnel, et dès lors que cette violation est susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, le responsable du traitement est tenu de notifier la violation à l'autorité de contrôle compétente (en France, la CNIL) dans les meilleurs délais. (art 33 du RGPD)

Toute violation des dispositions relatives à la sécurité des données (articles 32 et suivants du RGDP) est passible d’une amende administrative d’un montant maximum de 10.000.000 d’euros ou 2% du chiffre d’affaires annuel mondial de l’entreprise. (art 83 du RGPD)

Compte tenu des risque commerciaux et industriels, ainsi que des risques de mise en cause de la responsabilité de l’entreprise, il est donc impératif de définir et déployer des mesures de protection des données et des secrets d’affaires de l’entreprise.

2. Comment protéger l’entreprise : la mise en oeuvre d’une politique de gouvernance des données

L’entreprise se doit de protéger ses données contre leur divulgation non autorisée et/ou non maîtrisée.

La divulgation non autorisée des données peut non seulement avoir pour conséquence des pertes de marché dues à la perte des avantages industriels et commerciaux de l’entreprise ; mais comme nous l’avons vu ci-dessus, celle-ci peut également voir sa responsabilité engagée en sa qualité de responsable de traitement, en cas de divulgation non autorisée de données à caractère personnel.

Les cas de fuites de données peuvent être dus à des actes malveillants. Ils sont aussi trop souvent dus à des négligences au sein de l’entreprise, telles que l’absence de politique de gestion des informations, des systèmes d’information (SI) défaillants (pare-feux non à jour, mauvaise gestion des droits d’accès aux équipements et des mots de passe).

            2.1 Définir la politique de protection des données de l’entreprise

A l’ère de l’open space, de l’aplanissement de la pyramide hiérarchique et de la fin du management en silos, la définition d’une politique rigoureuse de gouvernance des données reste indispensable, et ce quelle que soit la taille de l’entreprise. En effet, tous les collaborateurs et intervenants de l’entreprise n’ont pas vocation à avoir accès à toutes les données de l’entreprise.

Les risques de divulgation d’informations sont multiples et comprennent par exemple :

            - la communication non autorisée par des employés, ex-employés, consultants, intérimaires, stagiaires, ou prestataires, à des tiers (clients, concurrents, …), que cette communication soit malveillante ou négligente,

            - les discussions ou réunions d’affaires entre collègues, et les entretiens téléphoniques, dans des espaces publics (restaurant, train, avion),

mais aussi, tous détournements de nature informatique, tels que :

            - les fuites de données sur internet (serveurs non ou mal protégés), et les cyberattaques informatiques (hacking), ou

            - le détournement frauduleux de données suite à des campagnes de phishing. (10)

Les différentes parties prenantes de l’entreprise doivent contribuer à la définition de la politique de gouvernance des données : la direction des systèmes d’information (DSI), mais également les directions juridique, financières, RH, marketing, ventes, le cas échéant R&D.

La sensibilisation doit comprendre des règles relatives à la destruction (suppression) de documents, et des règles absolues relatives à l’interdiction de mettre des données et informations en ligne, sur des systèmes ouverts.

Enfin, il convient d’être particulièrement attentif à la gestion des départs de l’entreprise et des fins de contrats, afin de minimiser les fuites de données (secrets d’affaires, listes de clients, listes de contrats, etc.).

Cette politique pourra comporter une charte de gouvernance des données qui, telle que la charte informatique, devrait être distribuée et signée par chaque collaborateur et intervenant dans l’entreprise. L’objet de ce document est de sensibiliser chaque collaborateur à la valeur des données et du savoir-faire de l’entreprise. L’entreprise peut même compléter cette action de sensibilisation avec un tutoriel consacré à la bonne gestion des données.

            2.2 Définir les règles techniques de protection des données de l’entreprise

La politique de protection des données de l’entreprise doit également comprendre des règles techniques. Celles-ci se recoupent largement avec les règles devant figurer dans la charte informatique de l’entreprise.

Ces règles comprennent notamment :

            - la gestion des identifiants et des mots de passe,

            - la clôture des comptes utilisateur dès le départ d’un employé, consultant, etc.,

            - les règles applicables à l’utilisation, par les intervenants dans l’entreprise (employés, consultants), de leurs propres appareils - ou politique de BYOD (Bring your own device),

mais également les règles applicables aux collaborateurs de la DSI :

            - une obligation de confidentialité renforcée,

            - les règles de mise en oeuvre des nouvelles versions des logiciels utilisés, y compris des pare-feux,

            - les règles applicables à l’utilisation des services en cloud et des accès à ces services,

            - les conditions d’accès (physique et technique) aux serveurs, etc.

Des volumes massifs de données confidentielles, secrets d’affaires mais aussi données personnelles, dérobées, copiées, voire même fuitées, se retrouvent sur internet, en accès libre ou stockées dans le “dark web” et disponibles à la revente par des malfaiteurs. La mise en oeuvre, au sein de l’entreprise, d’une politique robuste de protection des données a une double finalité : sensibiliser les collaborateurs à la valeur du savoir-faire et des données de leur entreprise, et minimiser les fuites de données. La définition et la mise en oeuvre d’une politique de protection des données est enfin un moyen pour l’entreprise, et ses dirigeants, de limiter leur responsabilité en cas de violation de données personnelles. 

                                                                        * * * * * * * * * * * *  

(1) “The world’s most valuable resource is no longer oil, but data” in The Economist, 6 mai 2017

(2) Pour rappel, une “donnée” est généralement considérée comme un élément brut, non interprété ; alors qu’une “information” est une donnée interprétée, analysée. Les textes ne font pas nécessairement la distinction entre ces deux notions et nous utilisons ici le terme donnée pour couvrir indifféremment les notions de donnée et d’information.

(3) Loi n°88-19 du 5 janvier 1988, dite Loi Godfrain, modifiée par la loi n°2012-410 du 27 mars 2012 relative à la protection de l'identité

(4) Loi n°2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure

(5) Loi n°2015-990 du 6 août 2015 pour la croissance, l’activité et l’égalité des chances économiques (Loi “Macron”)

(6) Directive (UE) 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d'affaires) contre l'obtention, l'utilisation et la divulgation illicites

(7) Directive du 8 juin 2016, art 2. Définitions

(8) La contrefaçon est définie à l’article L335-2 du code de la propriété intellectuelle

(9) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD)

(10) Voir à ce sujet “Le facteur humain est de plus en plus au coeur des cyberattaques”, in L’Usine Digitale, 9 juin 2017

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2017
 

De la science-fiction au droit : vers un cadre juridique européen de la robotique à l’aube d’une nouvelle révolution industrielle

Le 16 février 2017, le Parlement européen a adopté une résolution comprenant une série de recommandations à l’attention de la Commission européenne, relatives aux règles de droit civil en matière de robotique. (1) Par le biais de ce document, le Parlement demande à la Commission de présenter une proposition de directive sur la base de ces recommandations. Ce texte a été adopté après deux ans de discussions, cette durée ayant été nécessaire pour mener une réflexion riche et approfondie sur un sujet protéiforme, amené à révolutionner notre société civile, industrielle et économique.

La robotique recouvre non seulement les robots, l’intelligence artificielle, mais également les bots, les drones, les véhicules autonomes. Ce domaine soulève des questions éthiques et juridiques qu’il est nécessaire d’aborder dès maintenant à un niveau supra national, sachant que la robotique est déjà très présente dans les secteurs de l’industrie automobile et de l’électronique.

La résolution du Parlement souligne notamment la nécessité de définir un cadre éthique autour de la conception, la programmation et l’utilisation des robots, de définir un cadre légal autour de la robotique pour permettre son développement harmonisé et juridiquement sécurisé, et enfin de définir de nouvelles règles de responsabilité pour les actes réalisés par les robots intelligents.


1. Un cadre éthique qui s’appuie sur les lois de la robotique d’Asimov

La “bonne” science-fiction s’avère souvent prémonitoire de l’évolution technologique et sociologique. De nombreux outils technologiques de plus en plus complexes apparaissent peu à peu dans notre univers quotidien, inspirés des “gadgets” communicants de la saga Star Trek (smart phones et objets connectés), en passant par les films Minority Report et Moneyball (analyse prédictive), ou 2001 l’Odyssée de l’Espace et I, Robot (robots intelligents). (2)

Dans ce sens, Issac Asimov, célèbre auteur de science-fiction du XXé siècle, a défini les trois lois de la robotique, régissant les relations entre l’homme et le robot :
    1. un robot ne peut porter atteinte à un être humain, ni, en restant passif, permettre qu'un être humain soit exposé au danger ;
    2. un robot doit obéir aux ordres qui lui sont donnés par un être humain, sauf si de tels ordres entrent en conflit avec la première loi ;
    3. un robot doit protéger son existence tant que cette protection n'entre pas en conflit avec la première ou la deuxième loi. (3)

Ces lois ont été reprises par les membres du Parlement européen pour établir les fondements de leurs recommandations sur l’ébauche du droit civil européen de la robotique, rappelant au passage “les valeurs humanistes intrinsèquement européennes et universelles qui caractérisent la contribution de l’Europe à la société”. Ces lois doivent s’appliquer en particulier aux concepteurs, aux fabricants et aux opérateurs de robots.

Sur la base de ces fondements, le Parlement européen recommande de développer un cadre éthique clair, précis et efficace applicable à la conception, au développement, à la production, à l’utilisation et à la modification des robots.

Les robots doivent être au service de l’homme, en réalisant des tâches répétitives, difficiles ou dangereuses par exemple. Mais la robotique, par ses implications sociales, médicales et bioéthiques, pose également des risques sociétaux aux humains, notamment en matière de liberté, de sécurité, de santé, du respect de la vie privée et de la protection des données personnelles, de l’intégrité et de la dignité.

Concrètement, la résolution du Parlement comprend en annexe une charte sur la robotique, composée d’un code de conduite éthique pour les ingénieurs en robotique, d’un code de déontologie pour les comités d’éthique de la recherche, et des licences-types pour les concepteurs de robots et les utilisateurs.

Le code de conduite éthique pour les ingénieurs en robotique couvre toutes les activités de recherche et développement et rappelle l’obligation pour les chercheurs et les concepteurs de “la nécessité de respecter la dignité, la vie privée et la sécurité des personnes”. Ce cadre éthique de référence devrait se fonder sur les principes de bienfaisance (les robots agissent au mieux des intérêts de l’homme), de non-malfaisance (les robots ne doivent pas nuire à l’homme), d’autonomie (la capacité de prendre une décision en connaissance de cause et sans contrainte quant aux modalités d’interaction avec les robots), et de justice (répartition équitable des bénéfices liés à la robotique ; caractère abordable des robots utilisés dans la santé). Le code pose également les principes de droits fondamentaux, de précaution, de transparence, de sécurité, de réversibilité, de protection de la vie privée.

Le code de déontologie pour les comités d’éthique de la recherche met en avant le principe d’indépendance, afin d’éviter les conflits d’intérêts entre les chercheurs et les examinateurs du protocole d’éthique, et entre les examinateurs et les structures de gouvernance organisationnelles. Le code définit par ailleurs le rôle et la composition d’un comité d’éthique de la recherche ainsi que des règles de contrôle.


2. Les fondations d’un cadre juridique : définir la notion de robot et garantir le développement de la cyber-technologie

La résolution du Parlement comprend également plusieurs recommandations ayant pour objet de poser les bases d’un cadre juridique adapté à la robotique, harmonisé dans l’Union. Ces règles de droit doivent permettre l’utilisation transfrontalière des robots (principe de reconnaissance mutuelle), en évitant la fragmentation du marché européen.

    - La notion de “robot intelligent”
Le Parlement demande à la Commission de proposer des définitions communes au sein de l’Union européenne concernant les notions de systèmes cyber-physiques, de systèmes autonomes et de robots autonomes et intelligents, et leurs sous-catégories. Ainsi un “robot intelligent” comprendrait les caractéristiques suivantes :
. acquisition d’autonomie grâce à des capteurs et/ou à l’échange de données avec l’environnement (interconnectivité),
. capacité d’auto-apprentissage à travers l’expérience et les interactions,
. existence d’une enveloppe physique, même réduite,
. capacité d’adaptation de son comportement et de ses actes à son environnement, et
. non vivant au sens biologique du terme.

Un système d’immatriculation communautaire de certaines catégories de robots “avancés” pourrait être créé.

    - Les droits de propriété intellectuelle
Le Parlement attire par ailleurs l’attention sur la nécessité d’aborder la question des droits de propriété intellectuelle dans le domaine de la robotique, par une approche transversale et technologiquement neutre sur les divers secteurs dans lesquels la robotique pourra être utilisée.

    - Le droit au respect de la vie privée et la protection des données personnelles
L’application du droit au respect de la vie privée et de la protection des données personnelles dans les relations entre les humains et les robots est essentielle. En effet, les robots qui seront utilisés par les particuliers dans un environnement domestique pour un usage quotidien (véhicules autonomes, robots domestiques, robots de soins à la personne et robots médicaux) collecteront et traiteront des données personnelles. Ces robots seront généralement connectés, les données pourront donc être non seulement analysées mais également partagées.

Les règles communautaires sur le droit au respect de la vie privée ainsi que les dispositions du règlement général sur la protection des données (RGPD), notamment les règles relatives à la sécurité des systèmes, doivent s’appliquer à la robotique. Cependant, ces règles doivent pouvoir être complétées si nécessaire, pour prendre en compte les spécificités de la robotique.

    - Les questions de normalisation, sûreté et sécurité
Le développement de la robotique passe par l’élaboration de normes techniques harmonisées au niveau international pour éviter le morcellement du marché européen, garantir un niveau élevé de sécurité des produits et de protection des consommateurs. Par ailleurs, la communication entre les robots impliquera l’adoption de normes ouvertes et leur interopérabilité.

Afin d’éviter la fragmentation du marché européen, les tests, certificats et accords de mise de robots sur le marché, réalisés dans un pays, devraient être reconnus dans les autres Etats-membres.

    - L’éducation et l’emploi
La généralisation de l’utilisation des robots va entraîner une nouvelle révolution industrielle et sociétale. Même si l’impact réel sur l’emploi n’est pas encore connu, les emplois les moins qualifiés seront les plus affectés ainsi que les industries à forte densité de main-d’oeuvre. La robotisation induira notamment une plus grande flexibilité des compétences. A ce titre, le Parlement demande à la Commission de faire un suivi sur les évolutions à moyen et long terme concernant l’impact de la robotique sur l’emploi, et de supporter la formation au numérique afin d’aligner le marché de l’emploi sur la demande à venir.

Enfin, le Parlement recommande la création d’une Agence européenne pour la robotique et l’intelligence artificielle pour apporter une expertise technique, éthique et réglementaire aux niveaux communautaire et nationaux.


3. La question de la responsabilité : un robot autonome peut-il être assimilé à une personne responsable de ses actes ?

Un robot autonome (capacité d’adaptation, d’apprentissage) peut prendre des décisions et les mettre en pratique de manière indépendante. Son comportement comprend donc un certain degré d’imprévisibilité. Cette autonomie est néanmoins purement technique. En outre, plus un robot est autonome, moins il peut être considéré comme un outil contrôlé par un tiers (fabricant, opérateur, propriétaire). Ainsi, un statut spécifique - la personne électronique - pourrait être créé pour les robots autonomes.

Les règles juridiques actuelles en matière de responsabilité ne sont pas adaptées aux robots autonomes. Ceux-ci ne peuvent être reconnus responsables de leurs actes en cas de dommage causé à un tiers. En l’état actuel du droit, la responsabilité repose sur l’homme, à savoir le fabricant (responsabilité du fait des produits), l’opérateur, le propriétaire ou l’utilisateur du robot (responsabilité en cas de dommage). Le cas du robot autonome n’est donc pas couvert.

Le Parlement demande une évaluation de l’environnement de la responsabilité afin de déterminer le régime le plus approprié au domaine : responsabilité objective (rapporter la preuve du dommage, le dysfonctionnement du robot et le lien de causalité entre le dysfonctionnement et le dommage), ou régime de responsabilité basée sur la gestion du risque (capacité à gérer le risque et ses répercussions).

La responsabilité des personnes devrait être proportionnelle au niveau d’instructions données et d’autonomie du robot (plus un robot est autonome, plus la responsabilité de la personne l’ayant formé sera élevée). En parallèle, un système spécifique d’assurance des robots devra être mis en place.


    En conclusion, cette résolution du Parlement européen parvient à proposer des orientations pratiques sur un sujet éminemment complexe, dont nous ne connaissons pas encore tous les impacts sur notre société. Le mérite de ce document est de réaliser une synthèse des problématiques posées par la robotique. Cette résolution propose les grandes lignes d’un cadre juridique dont l’objet est de sécuriser le développement de la robotique et de ses multiples usages, et pose les fondements éthiques nécessaires pour éviter les dérives et tenter de circonscrire les craintes liées aux conséquences d’un développement incontrôlé de l’intelligence artificielle. La balle est désormais dans le camp de la Commission européenne pour proposer une directive dans des délais raisonnables, afin que l’Europe ne soit pas prise de court face à une évolution très rapide dans ce domaine.


                                                                       * * * * * * * * * * * *

(1) “Résolution du Parlement européen du 16 février 2017 contenant des recommandations à la Commission concernant des règles de droit civil sur la robotique” (2015/2103(INL))

(2) Ces films sont, pour la plupart, adaptés de livres : Minority Report (par Philip K. Dick, publié en 1956!) ; Moneyball (The Art of Winning an Unfair Game, par Michael Lewis, publié en 2003) ; I, Robot (par Eando Binder publié en 1939 et réécrit par Isaac Asimov en 1950)

(3) Les trois lois de la robotique d’Asimov apparaissent dans Cercle Vicieux (Runaround), publié en 1942.


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2017

Publication du décret sur la transparence de la publicité en ligne

La procédure d’achat d’espace publicitaire est régie par la loi du 29 janvier 1993, dite “Loi Sapin”. Cette loi a mis en place l’obligation pour les parties (annonceur, mandataire/régie publicitaire, vendeur d’espaces publicitaires) de conclure des contrats, le principe de la transparence des prix des espaces publicitaires (communication des factures par le vendeur d’espaces à l’annonceur), et a imposé l’obligation de rendre compte “directement à l'annonceur dans le mois qui suit la diffusion du message publicitaire des conditions dans lesquelles les prestations ont été effectuées”. (1) Alors que l’application de ces dispositions aux messages publicitaires diffusés sur les médias “traditionnels” ne posait pas de question, son application à la diffusion de publicités sur internet et aux plateformes d’ad exchange restait contestée, cette loi ayant été adoptée avant l’essor d’internet.

Jusqu’à récemment, le marché de la publicité en ligne restait limité en volume. Cependant, ce marché représente désormais 3,5 milliards d’euros par an en France, un montant supérieur à celui du marché de la publicité télévisée. (2) La croissance du marché de la publicité en ligne est par ailleurs soumise à une multiplication des intermédiaires et à un volume de fraude élevé (fraude au clic généré par des robots et venant gonfler artificiellement les sommes facturées aux annonceurs). (3)

La loi Macron du 6 août 2015 a mis fin aux doutes quant à l’application de la loi Sapin à la publicité en ligne, en modifiant l’article 23 de la loi Sapin pour l’étendre au secteur de la publicité digitale. Les modalités des obligations de compte rendu des conditions de réalisation de la prestation de diffusion devaient toutefois être précisées par décret. (4) Ce décret a finalement été signé le 9 février 2017, soit plus de 18 mois après l’adoption de la loi Macron. (5)

Les deux points principaux à retenir sont l’étendue de l’obligation de rendre compte à l’annonceur des modalités de la diffusion à la publicité en ligne, et une large obligation de transparence et de lutte contre la fraude imposée aux vendeurs d’espaces non garantis.


1. L’obligation de rendre compte aux annonceurs des modalités de la diffusion de leurs campagnes de publicité en ligne (art. 1 et 2)

Les nouvelles dispositions prévues par le décret du 9 février 2017 s’appliquent à la “publicité digitale”, entendue de manière très large, puisqu’elle comprend “la diffusion de messages sur tous supports connectés à internet, tels qu’ordinateurs, tablettes, téléphones mobiles, téléviseurs et panneaux numériques.” Cette définition n’est pas limitative et pourra en principe s’appliquer à tous nouveaux modes de diffusion connectée.

Désormais, le vendeur d’espaces publicitaires en ligne est tenu de communiquer un compte rendu à l’annonceur, dans le mois qui suit la diffusion du message publicitaire.

Ce compte rendu “précise la date et les emplacements de diffusion des annonces, le prix global de la campagne, ainsi que le prix unitaire des espaces publicitaires facturés.”

En revanche, “les sites ou ensemble des sites internet sur lesquels les annonces sont diffusées peuvent être regroupés en fonction de leur nature ou de leurs contenus éditoriaux.”


2. Une obligation de transparence et de lutte contre la fraude imposée aux vendeurs d’espaces non garantis (enchères)

Le décret distingue entre la vente d’espaces en ligne sur des sites internet (art. 2), et la vente de “prestations en temps réel sur des espaces non garantis, notamment pas des mécanismes d’enchères” (art. 3). Ces services d’achat d’espaces automatisés (telles que les plateformes d’achat programmatique en “real time bidding” - RTB, par exemple), bien que très utilisés par les annonceurs, leur donnent très peu de visibilité sur les espaces sur lesquels leurs annonces seront diffusées et sur l’exécution effective de la prestation. C’est donc sur ce type de prestation que l’obligation de transparence est la plus poussée, afin notamment de lutter contre la fraude (fraude au clic ou diffusion sur des site illicites).

L’obligation du vendeur d’espaces publicitaires de fournir un compte rendu à l’annonceur s’applique donc également aux ventes automatisées d’espaces. Pour ce type de prestations, les informations requises sont plus détaillées, et portent sur l’exécution effective des prestations et leurs caractéristiques, sur la qualité technique des prestations, et sur les moyens mis en oeuvre pour protéger l’image de marque de l’annonceur. 

Ce compte rendu doit comporter notamment les informations suivantes :

    - Concernant l’exécution effective des prestations et leurs caractéristiques, le compte rendu inclut les sites ou ensembles de sites de diffusion publicitaire, le contenu des messages publicitaires diffusés, les formats utilisés, et le montant global facturé pour une même campagne .

Le compte rendu doit également préciser le nombre d’affichages publicitaires réalisés (nombre d’impressions ou de pages vues), le nombre de clics ou d’actions ou “toute autre unité de mesure justifiant l’exécution des prestations”, ainsi que le montant global facturé pour la campagne publicitaire.

    - Concernant la qualité technique des prestations, le vendeur d’espaces publicitaires doit informer l’annonceur sur les outils technologiques utilisés, ainsi que sur les prestataires techniques  d’une part, et les conseils d’autre part, engagés dans la réalisation des prestations. En outre, les résultats obtenus, par rapport aux objectifs quantitatifs définis avant la campagne, devront être communiqués.

    - Concernant les moyens mis en oeuvre pour protéger l’image de marque de l’annonceur, le vendeur d’espaces publicitaires doit désormais mettre en oeuvre des mesures pour éviter la diffusion de messages publicitaires sur des supports illicites (par exemple sites de vente de biens contrefaits ou de services peer-to-peer illicites), ou signalés par l’annonceur comme préjudiciables à son image de marque et à sa réputation (par exemple restriction de diffusion sur des sites pour adultes).

L’annonceur doit pouvoir accéder aux outils de compte rendu qui seraient mis à la disposition du mandataire.

Enfin, en cas d’adhésion du vendeur d’espaces publicitaires à une charte de bonnes pratiques  applicable au secteur de la publicité digitale (par exemple, la "Charte de bonnes pratiques" de l’IAB France), les conditions de mise en oeuvre des engagements imposés par la charte devront être précisées dans ce compte rendu.


    Le décret sur les prestations de publicité digitale entre en application à compter du 1er janvier 2018.

Il convient de noter que ses dispositions ne s’appliquent pas aux vendeurs d’espaces publicitaires établis dans un Etat membre de l’Union européenne ou de l’Espace économique européen soumis à des obligations équivalentes de compte rendu, en application de leur réglementation nationale. En revanche, si une telle réglementation n’existe pas dans le pays d’établissement du vendeur d’espaces publicitaires (UE ou EEE), les dispositions de la loi Sapin modifiée, complétées par le présent décret lui seront applicables.

En conclusion, si ce décret impose aux vendeurs d’espaces publicitaires en ligne des formalités de suivi et de compte rendu plus strictes et complètes, les annonceurs pourront ainsi bénéficier de plus de transparence sur les conditions de diffusion de leurs publicités et sur leurs engagements financiers, en espérant que ces règles de transparence permettront de réduire effectivement les pratiques frauduleuses.

                                                                * * * * * * * * * * * *

(1) Loi n°93-122 du 29 janvier 1993 modifiée relative à la prévention de la corruption et à la transparence de la vie économique et des procédures publiques (dite “Loi Sapin”), articles 20 et s.

(2) “Quand la publicité sur internet se donne des gages de bonne conduite”, et “Transparence de la publicité en ligne : les annonceurs haussent le ton”, in Les Echos, 24 novembre 2016

(3) D’après le rapport de la World Federation of Advertisers (WFA) du 6 juin 2016, entre 10 et 30% des publicités en ligne étaient sujettes à des pratiques frauduleuses (fraude au clic publicitaire).

(4) Loi n°2015-990 du 6 août 2015 pour la croissance, l’activité et l’égalité des chances économiques (dite “Loi Macron”)

(5) Décret n°2017-159 du 9 février 2017 relatif aux prestations de publicité digitale

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2017

Développement ou refonte d’un site web : un projet à gérer avec rigueur pour éviter les contentieux

Un projet de développement ou de refonte d’un site web n’est jamais anodin, a fortiori s’il s’agit d’un site marchand. Cependant, nombre de projets de développement de sites web “dérapent” et font naître des frustrations entre client et prestataire, pouvant aller jusqu’au contentieux. La jurisprudence dans ce domaine est abondante. Une nouvelle affaire est venue l’enrichir avec l’arrêt rendu par la Cour d’appel d’Aix en Provence le 8 décembre 2016, opposant une société du secteur de l’événementiel à un prestataire de développement web. (1)

Insatisfaite du site livré, la société cliente a engagé une action devant le tribunal de commerce de Marseille, en résolution du contrat de création de site internet pour manquement, par le prestataire, à ses obligations contractuelles. Le tribunal de commerce, puis la cour d’appel l’ont déboutée de son action en résolution, faute de démonstration d’une inexécution de son engagement par le prestataire. Il ressort de cette affaire que la société cliente n’avait pas clairement défini ses besoins et qu’elle n’a pas apporté les éléments de preuve à l’appui de ses allégations.


1. La définition des besoins, préalable indispensable à l’exécution du projet

    - Le contrat et son exécution

En octobre 2012, la société Open Up a accepté deux devis de la société Simpliciweb pour réaliser la refonte de son site web en format adaptable aux appareils mobiles (responsive design), et fournir une prestation de maintenance.

La livraison du site était prévue pour le 14 décembre 2012, sous réserve que le prestataire dispose de tous les éléments nécessaires à la réalisation du projet (maquettes, contenus) avant le 5 novembre. Dans le cas contraire, le délai de livraison du site était fixé trois mois après la réception de tous ces éléments.

Entre décembre 2012 et mars 2013, les parties ont échangé de nombreux emails concernant la fourniture des visuels par le client, les demandes de modifications et la validation des prestations réalisées.

Le 29 mars 2013, le prestataire envoyait un procès-verbal de réception du site. Celui-ci n’ayant pas été contesté par le client dans un délai de 15 jours, Simpliciweb a estimé que le site était livré.

Toutefois, considérant que Simpliciweb avait manqué à ses obligations contractuelles, la société Open Up lui a adressé un courrier de résiliation unilatérale des contrats le 30 avril 2013. Le 2 mai, Simpliciweb a mis le client en demeure de lui régler le solde des sommes dues pour la création du site. Open Up a refusé de régler et a assigné Simpliciweb devant le tribunal de commerce de Marseille en résolution du contrat de création de site web et caducité du contrat de maintenance. Par jugement du 25 avril 2014, le tribunal a débouté la société Open Up de toutes ses demandes. Cette dernière a ensuite fait appel de ce jugement.

Les arguments de la société Open Up, pour justifier sa demande en résolution du contrat, étaient les suivants : livraison tardive du site, dysfonctionnements du site, manquement aux devoirs de mise en garde et de conseil du prestataire, et défaut de livraison de la version mobile du site.

    - Une définition des besoins défaillante

Il ressort de l’analyse des faits (exécution du contrat) par les juges, que le client n’avait pas clairement défini ses besoins en amont du lancement du projet. Ce manque de préparation a conduit à des retards dans la remise au prestataire des éléments nécessaires pour la réalisation du site, à une redéfinition de la gestion du projet pour tenir compte de ces retards et de nouvelles demandes du client, et à un sentiment de frustration générale, ayant abouti au contentieux.

Ainsi, concernant la livraison tardive du site, le contrat stipulait que la date de livraison indiquée n’était valable que si le prestataire disposait de tous les éléments nécessaires à la livraison du projet avant une date butoire ; à défaut, le délai de livraison serait de trois mois après réception de ces éléments.

D’après les échanges entre les parties pendant la période d’exécution contractuelle, le client a repoussé la livraison des visuels (nécessaires à la refonte du site) à plusieurs reprises et a adressé plusieurs nouvelles demandes de fonctionnalités.

La Cour en conclut que “l’appelante (la société Open Up) ne peut sérieusement reprocher à l’intimée (la société Simpliciweb) de ne pas avoir respecté la date du 14/12/2012”, sachant a fortiori que la communication des éléments nécessaires au développement du site et les demandes de modifications et de nouvelles fonctionnalités se sont poursuivies jusqu’en mars 2013.

Pour gérer la communication tardive des éléments nécessaires au développement, et les nombreuses demandes de modifications et de nouvelles fonctionnalités, le prestataire a proposé de poursuivre le projet selon une méthode itérative (validation de l’avancement du développement du site page par page).

Les juges relèvent que “contrairement à ses assertions, ce n’est pas le choix du mode de développement “page par page” mais les innombrables demandes d’ajouts, de suppressions et de modifications formulées par la SARL Open Up qui ont retardé l’exécution par l’intimée de ses engagements.”

Enfin, les juges constatent que les éléments nécessaires au développement ayant été fournis au prestataire début janvier 2013, le délai de livraison de trois mois prévu dans le contrat a été respecté (site livré le 29 mars 2013).

Il ressort de cette analyse que les retards allégués peuvent être imputés à une défaillance du client dans la définition de ses besoins, préalablement au lancement du projet de refonte du site.


2. L’établissement de la preuve des manquements contractuels

Dans le cadre d’une action contentieuse, il ne suffit pas au demandeur de procéder par affirmations. Ses demandes doivent être étayées par des éléments de preuve. (art. 1353 al.1 nouv. c civ). L’administration de la preuve commence par la production du contrat, puis le cas échéant, par la communication d’éléments venant étayer les assertions relatives aux manquements aux obligations contractées.

    - L’absence de preuve entraîne le rejet des demandes

En l’espèce, la société Open Up soutenait que le site comportait des défauts, le rendant inutilisable pour commercialiser ses prestations. Or, les juges ont relevé que la société Open Up ne procédait que par affirmations, sans fournir la moindre preuve à l’appui de ses allégations pour démontrer l’existence de dysfonctionnements.

Par ailleurs, selon la société Open Up, Simpliciweb aurait manqué à son devoir de mise en garde et de conseil concernant les lenteurs et inconvénients du développement du site en mode “page par page”. Cependant, les juges relèvent qu’Open Up ne fait qu’affirmer l’existence d’inconvénients, sans les lister, ni les prouver. L’existence éventuelle de ces lenteurs et inconvénients aurait pu être démontrée grâce à un constat d’huissier par exemple.

Enfin, le client prétendait que le prestataire n’avait pas livré la version mobile du site. Or, là encore, la société Open Up n’a versé aucun document au dossier à l’appui de ses allégations. En revanche, la société Simpliciweb a produit des photos de téléphone mobile et tablette, montrant que le site était visible sous ces formats mobiles.

Le juge a donc rejeté les allégations de l’appelante au motif que celle-ci n’a pas démontré une inexécution de son engagement par le prestataire. Le jugement de première instance, qui avait débouté la société Open Up de son action en résolution du contrat, a donc été confirmé en appel. Celle-ci est condamnée à régler le solde de la prestation, l’indemnité de résiliation prévue au contrat et le manque à gagner concernant le contrat de maintenance, signé mais non exécuté.

    - La preuve entre commerçants est libre

Pour rappel, sauf exceptions, la preuve entre commerçants est libre (art. L.110-3 c com.). La preuve de faits et la démonstration d’argumentaires juridiques peuvent donc se faire par la production de documents, papiers ou électroniques, signés ou non (contrats, courriers, emails, factures), des rapports d’expert ou constats d’huissier, mais également par des attestations, témoignages, aveux, etc. (2) La valeur probante de ces différents éléments est laissée à l’appréciation du juge. Ainsi, en l’espèce, le juge a admis la valeur probante des photos de téléphone mobile et tablette montrant le site sous format mobile.

Néanmoins, en règle générale, les documents produits par soi-même pour établir la preuve ne sont pas admis (art. 1363 nouv. c civ.). Il est donc recommandé de produire des documents échangés entre les parties (courriers ou emails) et si nécessaire, de faire constater les éléments de preuve - résultats d’un développement web, dysfonctionnements, frais engagés, par un tiers (expert, huissier, commissaire aux comptes) pour s’assurer que ces éléments seront admis par le juge.


    En conclusion, comme constaté dans la présente affaire, une définition des besoins insuffisante entraîne des risques de dérives sur les demandes de modifications et d’ajouts, sur les délais de livraison, et par conséquent sur le coût du projet. Or, tout projet informatique, y compris un développement web, requière une réelle implication du client, préalablement à son lancement, mais également pendant son exécution. L’alternative, pour un client ne souhaitant pas fixer ses demandes avant le début du projet, peut être d’opter pour un projet “agile”, pour autant que la taille et la complexité de ce projet le justifient, et sous réserve d’une grande rigueur dans son suivi.

Enfin, il convient de noter en l’espèce que la société Simpliciweb a demandé à titre reconventionnel la condamnation de la société Open Up à des dommages et intérêts pour rupture abusive et brutale des relations commerciales. Or, en vertu des articles L.442-6 III al. 5 et D.442-3 du code de commerce, l’examen de cette demande en appel relève de la compétence exclusive de la cour d’appel de Paris. (3)


                                                               * * * * * * * * * * * *

(1) CA Aix en Provence, 8é ch. A, 8 décembre 2016, Open Up c. Simpliciweb

(2) Les principes généraux de la preuve ont été remaniés avec la réforme du droit des obligations entrée en vigueur le 1er octobre 2016 (Ordonnance n°2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations), voir art. 1353 nouv. et s. c civ.

(3) CA Aix en Provence, 8é ch. A, 2 mars 2017, Open Up c. Simpliciweb


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2017

La réforme du droit de la consommation et la nécessaire révision des conditions générales

Le droit applicable aux contrats conclus en ligne (CGV/CGU) a évolué de manière notable ces trois dernières années, avec la promulgation de plusieurs lois ayant notamment réformé le droit de la consommation. Il est donc très important pour les éditeurs de sites de e-commerce de revoir et mettre à jour leurs conditions générales de vente ou d’utilisation. En effet, les conditions générales ne doivent pas rester figées dans le temps, au risque de devenir obsolètes, et de ne plus être applicables en cas de litige. Compte tenu des évolutions législatives et jurisprudentielles, ce document doit être mis à jour régulièrement afin de rester conforme à la loi.

Par ailleurs, même si les CGV n’étaient jusqu’ici pas obligatoires, elles étaient en pratique déjà couramment utilisées à l’égard des consommateurs par la plupart des sites marchands. (1) La loi du 17 mars 2014 relative à la consommation a renforcé les obligations d’information pré-contractuelle et contractuelle du consommateur, rendant les CGV quasiment obligatoires. (2) En outre, les professionnels doivent désormais proposer le recours à un médiateur pour résoudre leurs litiges avec les consommateurs. Enfin, de nouvelles obligations concernant les plateformes d’intermédiation et les comparateurs en ligne ont été introduites dans le code de la consommation, avec l’entrée en vigueur de la la loi pour une République numérique du 7 octobre 2016.


1. La réforme du droit de la consommation

La loi du 17 mars 2014 (“loi Hamon”) a modifié le droit de la consommation, dont certaines règles applicables à la vente en ligne aux consommateurs (B-to-C). Cette réforme, qui transpose la directive européenne “droit des consommateurs” du 25 octobre 2011, est entrée en application par étapes, entre mars 2014 et octobre 2016. (3)

La réforme du droit de la consommation a renforcé l’obligation d’information pré-contractuelle, l’information sur les garanties, le délai de livraison et le transfert des risques. Ces informations, qui doivent être communiquées au consommateur de manière lisible et compréhensible (art. L.111-1 et s. et art. L.221-5 et s.du Code de la consommation), comprennent entre autres :
    - les coordonnées du vendeur professionnel ;
    - la description des caractéristiques essentielles du bien ou du service proposé ainsi que son prix ;
    - si le contrat n’est pas exécuté immédiatement, la date ou le délai de livraison (à défaut de fixation de délai, le professionnel doit s’exécuter au plus tard 30 jours après la conclusion du contrat) ;
    - les informations relatives à l’existence et aux modalités de mise en œuvre des garanties et autres conditions contractuelles. A noter que la garantie de conformité est passée de six mois à deux ans, sauf pour les biens d’occasion (art. L.217-7 code de la consommation) ;
     - l’indication des frais de livraison et autres frais qui viendraient s’ajouter pour le traitement de la commande ;
    - l’existence (ou non) d’un droit de rétractation (conditions et modalités d’exercice du droit de rétractation, frais de renvoi du bien, formulaire type de rétractation), le délai de rétractation étant passé à 14 jours à compter de la réception du bien par le consommateur ou de la conclusion du contrat de service. A défaut d’information relative au droit de rétractation, le délai pour retourner le bien au vendeur est étendu à douze mois (art. L.221-18 et s. Code de la consommation).

Enfin, le risque de perte ou de détérioration du bien est désormais transféré au consommateur au moment de la prise de possession du bien par celui-ci, sauf si le consommateur a choisi un transporteur autre que celui proposé par le professionnel. Dans ce cas, le risque est transféré au consommateur au moment de la remise du bien au transporteur.

En cas de litige, le vendeur professionnel devra établir la preuve de la communication de ces informations au consommateur.


2. Le règlement extra-judiciaire des litiges de consommation

L’ordonnance du 20 août 2015 relative au règlement extra-judiciaire des litiges de consommation est entrée en application début janvier 2016. Ces nouvelles dispositions, figurant dans le code de la consommation, consacrent la faculté pour les consommateurs, de recourir à un médiateur de la consommation pour régler un litige avec un professionnel. L’objectif de ce mode alternatif de règlement des litiges est d’éviter les actions judiciaires, en particulier lorsque le litige porte sur un faible montant. (4)

Ces dispositions s’appliquent non seulement au commerce traditionnel en magasin, mais également au commerce en ligne, pour la vente de produits ou de services entre professionnels et consommateurs (B-to-C). A ce titre, le vendeur professionnel en ligne a l’obligation de proposer aux consommateurs le recours effectif à un dispositif de médiation, en les informant sur la mise à disposition sur son site internet, d’un lien électronique vers une plateforme de Règlement des Litiges en Ligne (“RLL”). (5) Ce dispositif peut être mis en place par l’entreprise ou s’appliquer à l’ensemble des entreprises d’un domaine d’activité. Il est à noter que le professionnel est dans l’obligation de proposer la médiation, mais il ne peut pas l’imposer. Le consommateur reste libre de porter le litige directement devant les tribunaux.

Tout manquement à ces obligations est passible d’une amende administrative de 15.000 euros pour les personnes morales.

Certaines conditions doivent néanmoins être remplies pour pouvoir recourir à une médiation. (6) Pour que le médiateur examine la demande du consommateur :
    - ce dernier doit avoir tenté, au préalable, par une réclamation écrite, selon les modalités prévues, ou selon le contrat, de régler le conflit directement avec le vendeur professionnel ;
    - la demande du consommateur ne doit pas être manifestement abusive ou infondée ;
    - le litige ne doit pas être examiné, ou en cours d’examen, par un autre médiateur ou par un tribunal ;
    - le consommateur doit avoir envoyé sa demande dans un délai d’un an à compter de sa réclamation écrite auprès du professionnel ; enfin
    - le litige doit entrer dans le champ de compétence du médiateur.

S’il est fait appel à un médiateur, celui-ci doit faire connaître aux parties sa solution par courrier simple ou électronique. Il doit rappeler aux parties qu’elles sont libres d’accepter, ou de refuser, sa solution et qu’elles peuvent exercer un recours judiciaire. La réponse du médiateur doit intervenir dans un délai de 90 jours à compter de la notification, délai qui peut être prolongé. Sa proposition de solution doit contenir un délai d’acceptation ou de refus et doit exposer les effets en cas d’acceptation de la solution.

La médiation des litiges de consommation est soumise à la confidentialité.


3. Les nouvelles obligations d’information des plateformes d’intermédiation et des comparateurs en ligne

La loi pour une République numérique du 7 octobre 2016 a également apporté des modifications pour certaines catégories d’activités en ligne entre professionnels et consommateurs. (7) Ces obligations de loyauté et de transparence concernent les opérateurs de plateformes en ligne, à savoir les plateformes de mise en relation en vue de la vente d’un bien ou de partage d’un service et les comparateurs en ligne (art. L.111-7 et s. Code de la consommation).

Ainsi, le code de la consommation définit désormais les “opérateurs de plateformes en ligne” comme les personnes physiques ou morales proposant, à titre professionnel, de manière rémunérée ou non :
    i) un service de classement ou de référencement, au moyen d'algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers (sites comparateurs par exemple) ; ou
    ii) un service de mise en relation de plusieurs parties en vue de la vente d'un bien, de la fourniture d'un service ou de l'échange ou du partage d'un contenu, d'un bien ou d'un service (plateforme de vente de biens, ou de partage de services par exemple).

Les éditeurs de plateformes d’intermédiation en ligne doivent délivrer à leurs utilisateurs une information “loyale, claire et transparente”, comportant les conditions générales d'utilisation du service d'intermédiation qu'il propose, la qualité de l'annonceur et les droits et obligations des parties en matière civile et fiscale, lorsque des consommateurs sont mis en relation avec des professionnels ou des non-professionnels. A ce titre, les plateformes d’intermédiation doivent mettre à la disposition des vendeurs professionnels un espace leur permettant de communiquer aux consommateurs les informations précontractuelles prévues à l’article L.221-5 du code de la consommation (coordonnées du vendeur, caractéristiques des biens et services proposés, etc.).

Les éditeurs de sites de comparaison en ligne (comparaison des prix et des caractéristiques de biens et de services proposés par des professionnels) doivent communiquer aux consommateurs les informations portant sur les éléments de la comparaison et identifier le contenu publicitaire. Le site de comparaison doit comprendre une rubrique sur le fonctionnement du service, accessible sur toutes les pages du site, et comportant un certain nombre d’informations, telles que : les modalités de référencement, de classement et de déréférencement des contenus (biens ou services) mis en ligne, l’existence d’un lien contractuel, capitalistique ou d’une rémunération susceptible(s) d’influencer le classement ou la présentation des contenus référencés.

Enfin, l’un des objectifs de la loi pour une République numérique est la lutte contre les faux avis d’utilisateurs. A cette fin, de nouvelles dispositions sont désormais prévues dans le code de la consommation imposant aux sites fournissant, à titre principal ou accessoire, un service de publication d’avis en ligne de consommateurs (comprenant la collecte, la modération, ou la diffusion des avis) de délivrer une information loyale, claire et transparente sur les modalités de publication et de traitement de ces avis (art. L.111-7-2 du Code de la consommation). Le site doit informer les utilisateurs si les avis font l’objet d’un contrôle ou d’une modération avant leur publication, ainsi que la date des avis.


    Comme on peut le constater, ces nouveaux textes renforcent les obligations d’information du consommateur, celle-ci devant être loyale, claire et transparente. Ainsi, les sites de e-commerce en activité, sites de vente de biens ou de services, mais également les sites d’intermédiation en ligne et de comparaison doivent mettre à jour leurs conditions d’utilisation ainsi que leur site afin de rester en conformité avec le droit en vigueur.

Il convient de mentionner, par ailleurs, la réforme du droit des contrats, entrée en vigueur le 1er octobre 2016. Le nouveau droit des contrats met notamment l’accent sur la bonne foi pendant la période précontractuelle, mais également pendant l’exécution du contrat. Cette obligation se retrouve dans les notions de loyauté et de clarté mentionnées plus haut. En matière de commerce en ligne, outre la conformité des conditions d’utilisation au droit, il conviendra de s’assurer que celles-ci sont rédigées en termes clairs et compréhensibles pour le consommateur.

Le non-respect de ces obligations de fond (conformité légale) et/ou de forme (CGV claires et compréhensibles) pourrait être considéré par les tribunaux comme une pratique commerciale déloyale ou trompeuse et exposer les contrevenants à des sanctions pénales (amendes) importantes.


                                                               * * * * * * * * * * * *

(1) Dans la suite de cet article, nous n’emploierons que le terme “CGV” pour désigner les contrats conclus en ligne, qu’il s’agisse des conditions générales de vente pour les sites de vente de biens  (CGV) ou conditions générales d’utilisation pour les sites proposant des services (CGU).

(2) Loi n°2014-344 du 17 mars 2014 relative à la consommation (“loi Hamon”) ; Ordonnance n°2016-301 du 14 mars 2016 relative à la partie législative du code de la consommation et Décret n° 2016-884 du 29 juin 2016 relatif à la partie réglementaire du code de la consommation

(3) Directive 2011/83/UE du Parlement européen et du Conseil du 25 octobre 2011 relative aux droits des consommateurs

(4) Ordonnance n°2015-1033 du 20 août 2015 relative au règlement extra-judiciaires des litiges de consommation, codifiée aux articles L.611-1 et suivants du Code de la consommation

(5) Voir article 14 du règlement (UE) n°524/2013 du Parlement européen et du Conseil du 21 mai 2013 relatif au règlement en ligne des litiges de consommation

(6) Article L.612-2 du Code de la consommation

(7) Loi n°2016-1321 du 7 octobre 2016 pour un République numérique et article L.111-7 du Code de la consommation


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2017

La simple commande d’un site web n’emporte pas la cession des codes sources au client

De très nombreuses prestations de développement de sites internet sont réalisées sur la base de devis ou bons de commande, non accompagnés d’un contrat de prestation ou ne comprenant pas de stipulation relative à la propriété intellectuelle du site. Or, en l’absence de stipulation claire en matière de cession de droits de propriété intellectuelle, le client est dépendant du prestataire. Il ne disposera que du droit d’utilisation de “son” site et ne pourra le faire évoluer sans l’accord du prestataire. D’autres contrats de prestation de développement stipulent que le prestataire conserve les droits de propriété intellectuelle, notamment sur les codes sources. Se posera alors la question de la pérennité du site au regard de son hébergement technique (possibilité de faire migrer le site vers un nouveau prestataire d’hébergement ou d’internaliser cette prestation) et surtout de son évolution fonctionnelle.

Un jugement du tribunal de commerce de Besançon de mars 2016 a rappelé ces principes, aux dépends du client. (1)


1. Les faits

Courant 2011, la société LDG Constructions avait commandé à la société Mediacom Studio le développement de sites internet pour les sociétés de son groupe, ainsi que la réservation des noms de domaine et l’hébergement des sites. Le contrat d’hébergement était renouvelable annuellement par tacite reconduction. A la fin de la première année, le contrat a été reconduit pour une nouvelle durée d’un an.

Dans un courrier du 8 mars 2013, la société LDG Constructions informait le prestataire de son souhait de reprendre l’hébergement de ses sites web en interne et lui demandait des précisions sur les modalités de transfert de l’hébergement des sites des sociétés du groupe afin de garantir leur bon fonctionnement et d’éviter toute coupure.

La société Mediacom Studio a considéré que LDG Constructions avait pris la décision de résilier son contrat d’hébergement à la date d’échéance annuelle, ce que LDG Constructions contestait. Mediacom Studio a informé la société LDG Constructions que la résiliation du contrat d’hébergement des sites mettrait un terme au droit d’utilisation des sites. Les sites web des sociétés du groupe ont donc été coupés le 12 mai 2013, à l’échéance du contrat d’hébergement.

La société LDG Constructions a assigné la société Mediacom Studio pour résiliation fautive du contrat d’hébergement.

Le litige portait notamment sur la question de déterminer si le courrier du client du 8 mars 2013 pouvait être analysé comme la résiliation du contrat d’hébergement à son échéance annuelle et la cessation du droit d’utilisation des sites web développés par Mediacom Studio.

En effet, les droits de propriété intellectuelle sur les sites n’avaient pas été cédés à la société LDG Constructions. La résiliation du contrat d’hébergement des sites a donc entraîné leur suspension.


2. La décision

Dans un jugement du 23 mars 2016, le tribunal de commerce de Besançon a suivi les arguments de la société prestataire en constatant que par son courrier du 8 mars 2013, la société LDG Constructions avait effectivement dénoncé le contrat d’hébergement.

Les juges rappellent par ailleurs le principe de protection des logiciels. Conformément à l’article L.112-2 13° du code de la propriété intellectuelle, les logiciels sont considérés comme oeuvre de l’esprit et à ce titre, protégés par le droit de la propriété intellectuelle.

En l’espèce, conformément au contrat conclu entre les parties, les droits de propriété intellectuelle sur les codes sources n’avaient pas été cédés au client. Le prestataire était donc fondé à refuser de communiquer le code source des sites internet à la société LDG Constructions. La cessation du contrat d’hébergement avec le prestataire entraînait ainsi automatiquement la coupure des sites internet.


    En conclusion, le développement d’un site web, a fortiori si celui-ci est utilisé à des fins commerciales, doit faire l’objet d’une analyse préalable concernant la propriété intellectuelle. Le site peut être développé sur une plateforme open source ou en mode propriétaire. Dans ce dernier cas, sous réserve du critère d’originalité, le site sera protégé par le droit d’auteur. Les développements appartiendront à leur auteur, à savoir en principe, au prestataire. Si la question de la propriété intellectuelle n’est pas visée dans les documents de commande ou dans le contrat, ou si les droits ne sont pas expressément cédés au client, celui-ci ne disposera que du droit d’utilisation du site, limité dans le temps.


                                                                      * * * * * * * * * * * *

(1) T com. Besançon, jugement du 23 mars 2016, LDG Constructions c. Mediacom Studio


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2016

Audit de licences de logiciels - Oracle condamné en appel pour mauvaise foi et déloyauté

 

La cour d’appel de Paris, statuant sur l’appel du jugement du Tribunal de grande instance de Paris du 6 novembre 2014, a confirmé la condamnation de la société Oracle pour ses pratiques agressives en matière d’audit de licences de logiciels. (1)


1. Les faits : incertitude et désaccord sur le périmètre de la licence des logiciels

L’Association nationale pour la formation professionnelle des adultes (AFPA) a attribué en 2002 un marché de fourniture de services informatiques à l’intégrateur Sopra Group (devenu Sopra Steria), prestataire agréé de la société Oracle. Cette société avait remporté l’appel d’offres avec la solution Oracle E-Business Suite. Le marché a pris fin en 2005. Lors de la reprise des contrats par la société Oracle, celle-ci a décidé d’organiser deux audits de licences. Le second audit a été suspendu alors que l’AFPA lançait un nouvel appel d’offres, auquel la société Oracle a décidé de répondre. Le nouveau contrat ne lui ayant pas été attribué, la société Oracle a repris l’audit qu’elle avait suspendu. A l’issue de cet audit, Oracle a conclu que l’AFPA utilisait 885 licences du logiciel Purchasing sans en avoir acquis les droits car selon Oracle, ce logiciel faisait partie d’une autre suite logicielle.

Après deux ans de négociations infructueuses, les sociétés Oracle Corporation, Oracle International Corporation et Oracle France ont assigné l’AFPA pour contrefaçon du logiciel Purchasing pour lequel l’AFPA n’aurait pas acquis les droits d’exploitation. L’AFPA a alors appelé en garantie la société Sopra Group.


2. Le jugement du TGI : le litige n’est pas un litige de contrefaçon mais porte sur le périmètre du contrat et sur sa bonne ou sa mauvaise exécution

Devant le TGI, l’AFPA soutenait que les sociétés Oracle usaient de l’audit contractuel de manière abusive, “en les détournant de leur objectif, afin de faire pression sur l’AFPA pour la dissuader de faire appel à un concurrent au moment des périodes de renouvellement contractuel, ce afin de restreindre la concurrence sur le marché des solutions SGF et sur le marché connexe des SGBDR, ces pratiques ayant pour objet ou pour effet de restreindre la concurrence au sens des dispositions des articles L.420-2 du Code de commerce (…)”.

Par ailleurs, l’AFPA explique que le logiciel Purchasing était intégré dans la suite logicielle Financials, objet du premier marché de fourniture accordé à Sopra Group. L’AFPA indiquait en outre que si le tribunal devait en juger autrement, le contrat a toutefois été exécuté de bonne foi car le logiciel Purchasing avait été installé sur son système informatique par Sopra, prestataire agréé d’Oracle.

Les juges ont estimé que les sociétés Oracle “entretiennent un doute et une confusion sur ce qu’est réellement ce logiciel” : soit le logiciel n’entre pas dans le périmètre contractuel de l’AFPA et il n’aurait pas dû être livré, soit il est compris dans le contrat, puisqu’il a été fourni en exécution du bon de commande. Les juges concluent donc que “l’AFPA exploite le logiciel Purchasing sans aucune faute puisqu’il a été inclus dans les CD préparés par les sociétés Oracle elles-mêmes qui ont donc toujours compris et admis que le contrat incluait l’exploitation de ce logiciel.”

Ainsi, selon les juges du fond, la question posée ne relevait pas du droit d'auteur, mais du droit des contrats. En effet, le tribunal a jugé qu’il "n’est à aucun moment soutenu que l’AFPA aurait utilisé un logiciel cracké ou implanté seule un logiciel non fourni par la société Sopra Group, ni même que le nombre de licences ne correspondait pas au nombre d’utilisateurs. En conséquence, le litige soumis au tribunal n’est pas un litige de contrefaçon mais bien un litige portant sur le périmètre du contrat et sur sa bonne ou sa mauvaise exécution."


3. La décision de la cour d’appel : la demande en contrefaçon est recevable, mais mal fondée ; Oracle a fait preuve de mauvaise foi et déloyauté
 

Dans un arrêt du 10 mai 2016, la cour d’appel de Paris va cependant infirmer le jugement sur le fondement de la demande, mais néanmoins retenir la responsabilité des société Oracle pour mauvaise foi et déloyauté.

Contrairement au TGI, la cour considère la demande en contrefaçon recevable, mais mal fondée et examine si l’AFPA et Sopra avaient manqué à leurs obligations contractuelles en installant et en utilisant le logiciel Purchasing. La cour a estimé "qu’en installant et en utilisant le module PO, se rattachant pour le moins au logiciel Purchasing et inclus dans le périmètre du marché Mosaïc, lequel a été dûment payé, la société Sopra Group et l’AFPA n’ont manqué à aucune de leurs obligations contractuelles ; qu’aucun acte de contrefaçon ne peut donc leur être reproché par la société Oracle International Corporation”.

La cour a en revanche retenu les demandes reconventionnelles en dommages-intérêts de l’AFPA et de Sopra pour avoir agi avec mauvaise foi et déloyauté envers ces deux organisations. Elle a estimé qu’Oracle avait profité à deux reprises de son droit contractuel de procéder à des audits, de manière à faire pression et obtenir la souscription de nouvelles licences incluses dans l’offre de 2001.

Les sociétés Oracle Corporation, Oracle International Corporation et Oracle France sont condamnées à verser 100.000 € à l’AFPA et la même somme à Sopra au titre des dommages-intérêts et 100.000 € à chacune au titre de l’article 700 (frais de procédure). L’arrêt fait l’objet d’un pourvoi en cassation.


    Comme rappelé dans notre précédent article sur cette affaire,(2) la complexité de certaines licences de logiciel, voire même de certains contrats SaaS, peut rendre la procédure d’audit de licence de logiciel très conflictuelle, entre un client-utilisateur de bonne foi et l’éditeur de logiciel, en désaccord sur le périmètre de la licence. Les utilisateurs font de plus en plus de résistance face aux audits ,qu’ils ressentent parfois comme abusifs, et n’hésitent plus à contester cette pratique, compte tenu des sommes en jeu. Les audits de licence sont néanmoins une pratique légitime des éditeurs et l’abus ou la mauvaise foi de l’éditeur devra pouvoir être prouvée en cas de poursuites judiciaires.


(1) CA Paris, pôle 5, ch. 1, arrêt du 10 Mai 2016, Oracle France, Oracle Corporation, Oracle International Corporation / AFPA, Sopra Steria Group

(2) Voir notre précédent article sur le sujet “La conduite et les conclusions des audits de licences de logiciel contestées en justice”

Les apports de la loi pour une République numérique dans le domaine de la protection des données personnelles

Le droit de la protection des données évolue. Après la publication du règlement européen sur la protection des données (RGPD) le 27 avril dernier, (1) la loi pour une République numérique, adoptée le 7 octobre 2016 comporte plusieurs dispositions qui viennent modifier la loi Informatique et Libertés.(2) Certaines dispositions anticipent d’ailleurs l’entrée en vigueur du RGPD.

Nous faisons une synthèse ci-après des principales dispositions relatives aux données personnelles. Ces dispositions s’articulent sur deux axes : un renforcement des droits des personnes sur leurs données et un élargissement des pouvoirs et des compétences de la Commission nationale de l’informatique et des libertés (CNIL).


1. Les droits des personnes sur leurs données

    - Le principe de la maîtrise de ses données
La loi affirme le principe de la maîtrise par chaque individu de ses données. L’article 1er de la loi Informatique et Libertés comporte un nouvel alinéa qui dispose que “Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi.” Ce droit se retrouve dans plusieurs dispositions de la loi Informatique et Libertés qui évoluent dans ce sens.

    - Un droit à l’oubli pour les mineurs est désormais prévu, à l’article 40 II de la loi Informatique et libertés.
Ce droit est soumis à une procédure accélérée. Ainsi, lorsque la personne concernée était mineure au moment de la collecte des données, elle peut obtenir auprès des plateformes l’effacement de ses données dans les meilleurs délais, ou un délai maximum d’un mois. En l’absence de réponse de la plateforme, ou de réponse négative, dans un délai d’un mois, la personne peut saisir la CNIL qui dispose alors d’un délai de 3 semaines pour répondre.

    - Le sort des données personnelles après la mort de la personne concernée figure à l’article 40-1 de la loi Informatique et libertés.

Dans une décision du 8 juin 2016, le Conseil d’Etat a confirmé la position de la CNIL refusant de donner accès aux données à caractère personnel d’une employée décédée, à ses ayants droit. En l’espèce, les ayants droit d’une personne décédée en 2012 avaient demandé à son employeur de leur communiquer le relevé des appels téléphoniques passés par la défunte pendant le mois de juillet 2012, depuis sa ligne professionnelle, afin de connaître le nombre et la durée des échanges qu’elle avait eus avec le corps médical avant son décès. Suite au refus de l’employeur, ils avaient porté plainte auprès de la CNIL qui avait refusé de donner suite à leur demande. Selon l’article 2 de la loi Informatique et Libertés, la personne concernée par un traitement est celle à laquelle se rapportent les données. L’ayant droit d’une personne décédée ne peut donc pas être considéré comme la personne concernée, au sens de la loi Informatique et Libertés. (3)

La loi Informatique et Libertés a été modifiée afin que désormais chaque personne puisse donner des directives relatives à la conservation, à l'effacement et à la communication de ses données après son décès. Une personne peut être désignée pour exécuter ces directives. Celle-ci aura alors qualité, lorsque la personne concernée est décédée, pour prendre connaissance des directives et demander leur mise en œuvre aux responsables de traitement concernés.
Ces directives peuvent être générales, lorsqu’elles portent sur l’ensemble des données concernant une personne et peuvent être confiées à un tiers de confiance certifié par la CNIL.
Les directives peuvent être particulières, lorsqu’elles ne concernent que certains traitements de données. Elles peuvent alors être confiées aux responsables de traitement (réseaux sociaux, services ou site de commerce en ligne) qui les mettront en oeuvre lors du décès. La seule acceptation des conditions d’utilisation du site est insuffisante. Les modalités de mise en oeuvre sont soumises au consentement spécifique de la personne concernée.
En l'absence de directives données de son vivant par la personne concernée, ses héritiers pourront exercer certains droits, en particulier le droit d'accès, s'il est nécessaire pour le règlement de la succession du défunt et le droit d'opposition pour procéder à la clôture des comptes utilisateurs du défunt et s'opposer au traitement des données.

    - La possibilité d'exercer ses droits par voie électronique est prévue à l’article 43 bis de la loi Informatique et Libertés qui impose, "lorsque cela est possible", de permettre à toute personne l’exercice des droits d'accès, de rectification ou d'opposition par voie électronique, si le responsable du traitement des données les a collectées par ce vecteur.

    - Enfin, l’information des personnes sur la durée de conservation de leurs données est prévue par l’article 32 de la loi Informatique et Libertés.
Les responsables de traitements doivent désormais informer les personnes de la durée de conservation des données traitées ou, en cas d'impossibilité, des critères utilisés permettant de déterminer cette durée.


2. L’élargissement des pouvoirs et des compétences de la CNIL

    - Le renforcement des pouvoirs de sanction de la CNIL
Le montant maximal des sanctions pouvant être imposées par la CNIL est revu à la hausse et passe de 150.000 € à 3 millions €. Ce nouveau plafond reste cependant en deçà des dispositions du RGPD qui prévoit un plafond pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires mondial.

La formation restreinte de la CNIL pourra désormais ordonner que les organismes sanctionnés informent individuellement chacune des personnes concernées de la sanction, à leur frais.

La CNIL pourra également prononcer des sanctions financières sans mise en demeure préalable des organismes lorsque le manquement constaté ne peut faire l'objet d'une mise en conformité.

    - Un rôle consultatif plus systématique
La CNIL sera saisie pour avis sur tout projet de loi ou de décret relatifs à la protection ou au traitement des données à caractère personnel. L’objectif de cette disposition est de permettre à la CNIL d’apporter son expertise aux pouvoirs publics de manière plus systématique.

Les avis de la CNIL sur les projets de loi seront automatiquement publiés, dans un but de transparence.

    - Des compétences étendues pour la CNIL
Elle hérite ainsi de nouvelles missions, à savoir :
- la promotion de l’utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données ;
- la certification de la conformité des processus d’anonymisation des données personnelles dans la perspective de leur mise en ligne et de leur réutilisation (ouverture des données publiques - open data). L’anonymisation des bases de données est en effet une condition essentielle à leur ouverture ou à leur partage ;
- la conduite d’une réflexion sur les problèmes éthiques et les questions de société soulevés par l’évolution des technologies numériques.


                                                  * * * * * * * * * * * *

(1) Pour rappel, le RGPD deviendra applicable dans l’Union européenne à partir du 25 mai 2018

(2) Loi n°2016-1321 du 7 octobre 2016 pour une République numérique

(3) CE, 9é et 10é ch. réunies, décision du 8 juin 2016, M.-Mme D c/ Banque de France

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2016