Signature d’une Charte des acteurs du e-commerce pour une relation équilibrée entre les places de marché et les vendeurs

 

Le 26 mars 2019, une Charte des acteurs du e-commerce a été co-signée par Mounir Mahjoubi, ex-Secrétaire d’état chargé du numérique, la Fevad (Fédération du e-commerce), la CPME (Confédération des PME) et huit places de marché (ou marketplaces), membres de la Fevad, dont Cdiscount, eBay, Le Bon Coin, et Rakuten. (1)

L’objet de cette charte, dont l’adhésion est volontaire, est de poser les « conditions d’une relation équilibrée, transparente et loyale entre les opérateurs de plateformes en ligne, tels que définis à l’article L.111-7 du code de la consommation » et les entreprises utilisatrices. La charte propose ainsi des bonnes pratiques, afin d’améliorer la confiance des utilisateurs dans le e-commerce. Ces entreprises, la plupart PME, voire TPE, utilisent les services et la visibilité des plateformes pour faciliter l’accès au marché de la vente en ligne.

La charte s’articule autour des points suivants :

   - La formalisation des engagements mutuels entre les parties, plateformes et entreprises utilisatrices, par la mise à disposition des entreprises des conditions d’utilisation claires et compréhensibles, permettant notamment le recours à la médiation en cas de litige ;

   - La garantie d’un échange ouvert, fiable et individualisé entre la plateforme et l’entreprise utilisatrice par un dispositif au sein des plateformes permettant les échanges entre les parties ;

   - Des règles de déréférencement plus claires avec la possibilité pour les entreprises utilisatrices de les contester et des règles relatives au classement commercial des produits plus robustes. Concernant les entreprises utilisatrices, apprendre à respecter les règles de fonctionnement de la plateforme et mettre en ligne des offres conformes aux règlementations applicables en matière de vente à distance ;

   - L’efficacité de la lutte contre la contrefaçon par les plateformes et par les entreprises utilisatrices.

La charte doit faire l’objet d’un bilan annuel.

La charte sera complétée dans les mois qui viennent par le règlement sur les services d’intermédiation en ligne (règlement « platform to business ») et les directives « nouvelle donne pour les consommateurs ». (2)


                                                                         * * * * * * * * * *

(1) site de la Fevad

(2) Proposition de règlement promouvant l’équité et la transparence pour les entreprises utilisatrices des services d’intermédiation en ligne (règlement « platform to business ») et proposition de directives « nouvelle donne pour les consommateurs » (new deal for consumers)


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2019

Résiliation contractuelle et stricte application de la clause résolutoire

En vertu de l’article 1103 du code civil, “Les contrats légalement formés tiennent lieu de loi à ceux qui les ont faits”. (1) Cette disposition s’applique tant aux conditions d’exécution du contrat qu’aux conditions de résiliation qui ont été prévues par les parties. (2)

La Cour de cassation l’a rappelé dans deux arrêts dans lesquels les juges ont fait une stricte application de la clause résolutoire figurant dans les contrats pour apprécier la régularité de la résiliation. 


Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-resiliation-contractuelle-et-stricte-application-de-la-clause-resolutoire

L’importance de l’implication du client dans l’exécution d’un projet informatique

La jurisprudence relative aux contrats informatiques relève souvent les carences du prestataire dans l’exécution de son obligation de conseil vis-à-vis du client ou dans l’exécution de ses prestations. On rappellera toutefois que dans le cadre de l’exécution de projets informatiques, le client ne peut pas attendre la livraison du projet en restant passif. 

Deux arrêts de cour d’appel remontant à 2017 rappellent ainsi l’importance du rôle actif du client dans l’exécution de projets informatiques. Sa pleine coopération est en effet un élément clé de la bonne exécution du projet. Par ailleurs, le nouveau droit des contrats, issu de l’ordonnance du 10 février 2016 prévoit que “Les contrats doivent être négociés, formés et exécutés de bonne foi.” (1) Cette obligation, d’ordre public, s’impose aux parties non seulement pendant la période pré-contractuelle, mais également pendant toute la durée du contrat.

Dans la première affaire, la faute du client qui n’avait pas exprimé ses besoins a été retenue par les juges. La seconde affaire retient la résiliation du contrat aux torts du client qui a refusé la réception provisoire d’un site internet.


 Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-l-importance-de-l-implication-du-client-dans-l-execution-d-un-projet-informatique

 

Transferts de données personnelles et Brexit : comment se préparer à une sortie de l’UE sans accord ?

Le rejet du plan de sortie de l’Union européenne par les parlementaires britanniques à deux reprises, les 15 janvier et 12 mars derniers, laisse planer la possibilité d’un Brexit sans accord le 29 mars 2019, et ce même en cas d’un report éventuel de quelques semaines. La sortie du Royaume-Uni de l’Union européenne sans accord posera de multiples problèmes, dont celui des transferts de données personnelles entre l’UE (et l’Espace économique européen - EEE) et le Royaume-Uni. Les sociétés de services numériques, les établissements financiers et les multinationales sont particulièrement concernés.

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-transferts-de-donnees-personnelles-et-brexit-comment-se-preparer-a-une-sortie-de-l-ue-sans-accord

Transferts de données à l’international : le Japon reconnu comme offrant un niveau de protection adéquat

Le 23 janvier 2019, la Commission européenne a d’adopté une décision d’adéquation avec le Japon. (1) Le Japon a publié une décision réciproque d’adéquation pour l’Union européenne, ces deux décisions prenant effet ce même jour.

En pratique, cette décision d’adéquation avec le Japon signifie que les entreprises européennes pourront désormais transférer des données personnelles depuis l’Union européenne vers le Japon en application de l’article 45 du RGPD, sans autre formalité. 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-transferts-de-donnees-a-l-international-le-japon-reconnu-comme-offrant-un-niveau-de-protection-adequat

La CNIL prononce une sanction record de 50 millions d’euros à l’encontre de Google

Le 21 janvier 2019, la formation restreinte de la CNIL a prononcé une sanction pour un montant de 50 millions d’euros, à l’encontre de la société Google LLC.(1) Cette délibération, la première rendue en application du RGPD, est particulièrement motivée quant aux règles de compétence de l’autorité de contrôle pour engager la procédure, et quant aux manquements constatés.

Lire le suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-la-cnil-prononce-une-sanction-record-de-50-millions-d-euros-a-l-encontre-de-google

Relations UE-US – Le Privacy Shield renouvelé pour un an

Pour rappel, le Privacy Shield (ou “Bouclier de protection des données”), a remplacé le système du Safe Harbor en août 2016. Le Privacy Shield permet le transfert de données à caractère personnel entre des sociétés européennes et des sociétés américaines adhérentes au programme, dans le cadre d’une décision d’adéquation de la Commission européenne du 12 juillet 2016. (1) Les sociétés américaines adhérentes au Privacy Shield s’engagent à respecter les droits des citoyens européens dont les données à caractère personnel sont transférées vers les Etats-Unis. Le Privacy Shield est réexaminé par la Commission une fois par an pour s’assurer que ce système continue de garantir un niveau de protection adéquat des données personnelles transférées.

Selon Andrus Ansip, Vice-président de la Commission, chargé du marché unique numérique, en décembre 2018, plus de 3.850 sociétés américaines étaient certifiées comme adhérentes au Privacy Shield. (2)

Le 5 juillet 2018, le Parlement européen avait voté la suspension du Privacy Shield. Cette résolution, non contraignante, demandait à la Commission de suspendre le programme, sous réserve d’une mise en conformité par les Etats-Unis avant le 1er septembre.

Dans son rapport publié le 19 décembre 2018, la Commission européenne déclare que le niveau de protection des données personnelles transférées depuis l’Europe vers les Etats-Unis en application du Privacy Shield reste adéquat. Le Privacy Shield est donc renouvelé pour un an. (3)

Le rapport relève les mesures prises par les Etats-Unis sur la base des recommandations de la Commission, notamment :

   - le renforcement de la procédure de certification des sociétés américaines par le Ministère du commerce (DoC). Celles-ci ne peuvent désormais annoncer leur adhésion au Privacy Shield qu’après la finalisation de la procédure de certification par le Ministère ;

   - l’amélioration du suivi de la conformité des sociétés au Privacy Shield. Le Ministère du commerce a ainsi mis en place un double système de contrôle de conformité, avec des contrôles sur place auprès de sociétés adhérentes au système, sélectionnées au hasard, et des contrôles en ligne. Enfin des contrôles sont réalisés pour mettre en évidence les fausses déclarations par des sociétés qui ne sont pas certifiées. La Commission fédérale du commerce (Federal Trade Commission) réalise également des contrôles de conformité.

La Commission européenne a cependant identifié plusieurs points devant être pris en compte, dont la nomination d’un médiateur permanent (ombudsman) dans le cadre de cet accord d’ici le 28 février 2019, et l’évaluation de son rôle dans le traitement et la résolution des plaintes.

   En conclusion, ce deuxième examen annuel du Privacy Shield a permis de constater des avancées dans la mise en oeuvre du système par les autorités américaines. Par ailleurs, l’entrée en application du RGPD en Europe, et une plus grade sensibilité des particuliers au respect de leurs données personnelles, ont amené le Ministère du commerce américain à lancer une consultation sur une approche fédérale en matière de “respect de la vie privée”.

                                                                       * * * * * * * * * * *

(1) Décision d’exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis

(2) Communiqué de presse de la Commission européenne du 19 décembre 2018 : “Bouclier de protection des données UE-États-Unis: le deuxième examen a conclu à des améliorations, mais un médiateur permanent devrait être nommé d'ici le 28 février 2019”

(3) Report on the second annual review of the EU-US privacy shield (19th December 2018)

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2019

Qu’est-ce que le Cloud Act américain ?

L’adoption du “Cloud Act” aux Etats-Unis en 2018 a suscité de nombreuses critiques et fait couler beaucoup d’encre. Afin de mieux comprendre les enjeux de cette législation, nous résumons ci-après ses principales finalités.

Encapsulé dans la loi américaine sur les dépenses 2018 (“Consolidated Appropriations Act”, 2018), le Cloud Act (pour “Clarifying lawful overseas use of data act”), adopté le 23 mars 2018, donne un cadre légal à la saisie d'emails, documents et communications électroniques localisés dans les serveurs de sociétés américaines et de leurs filiales à l’étranger. (1)

Alors que les sociétés internet et technologiques américaines se félicitent de l’adoption de cette loi, les associations de défense des libertés et de la vie privée dont l'union des libertés civiles américaines (ACLU) et l'Electronic Frontier Fondation (EFF) y sont vivement opposées.

Le Cloud Act devient une alternative au processus actuel de partage d'informations d’utilisateurs entre pays, le MLAT (Mutual legal assistance treaty), et dont la mise en oeuvre est plus rapide et simple à exécuter.

Le Cloud Act contient deux grandes séries de dispositions :

    1 - La communication de données par les sociétés américaines
Toute société dont le siège est aux Etats-Unis, ainsi que les sociétés contrôlées par elle, doit communiquer aux autorités américaines, sur leur demande, les données de communication placées sous son contrôle, sans considération du lieu de stockage de ces données ;

    2 - La signature d’accords entre les administrations américaines et étrangères
Le gouvernement américain pourra signer des accords internationaux avec des gouvernements étrangers, permettant aux autorités de chaque pays de demander directement aux fournisseurs de services de communication, de traitement et de stockage électroniques de données relevant de la juridiction de l’autre pays, la divulgation des données de communication les intéressant, sans avoir à passer par les procédures plus lourdes des MLAT ou des commissions rogatoires internationales.

Ces accords internationaux prendront la forme d’executive agreements, à savoir des accords qui ne nécessitent ni l’accord du Sénat (majorité des deux tiers), ni l’adoption d’une loi par les deux chambres du Congrès. Pour entrer en vigueur, il suffira que les deux chambres ne s’y opposent pas par une résolution conjointe dans les 90 jours de leur signature. En contrepartie, de tels accords ne peuvent être signés qu’avec des pays respectueux des droits fondamentaux et des principaux standards démocratiques.

Les demandes de communication de données concernées par ces accords ne peuvent viser que les infractions les plus graves (« serious crime »). L’objectif est d’accélérer la procédure d’investigation par les forces de l’ordre.

Pour l’instant, il existe une incertitude sur le fait de savoir si un executive agreement pourrait être signé avec l’Union européenne plutôt qu’avec chaque Etat-membre, voire même si les Etats-Unis chercheront à signer avec l’Europe. L’UE serait plutôt favorable à la signature d’un accord global.

En conclusion, le Cloud Act s’applique à toute société placée sous la juridiction des Etats-Unis qui contrôle les données informatiques de ses clients (notamment les GAFAM et leurs filiales), quels que soient leur nationalité et le lieu physique où ces données ont été émises ou sont stockées. Il ne s’agit pas d’une nouvelle procédure mais d’une évolution par rapport à la réglementation précédente issue du Stored Communications Act de datant de 1986.

Le Cloud Act, comme le Stored Communications Act, encadre l’accès des autorités américaines aux données de fournisseurs de services de communication, traitement et stockage électroniques de données placés sous la juridiction des Etats-Unis (procédure judiciaire en cours et sous réserve de disposer d’un mandat (ou warrant) délivré par une juridiction, requête par les autorités gouvernementales américaines dans le cadre d’une procédure pénale sous réserve de disposer d’une réquisition judiciaire (ou court order). Le Cloud Act prévoit que le fournisseur de services auquel les données sont demandées a la possibilité de s’y opposer au motif que la demande, si elle devait être satisfaite, le conduirait à méconnaître la législation d’un pays étranger et l’exposerait à des sanctions (situation de conflits de lois).

Le Cloud Act est-il compatible avec le RGPD ?

Le RGPD (art. 44 et suivants) réglemente les conditions dans lesquelles des données personnelles peuvent être transférées vers des pays tiers. Or le Privacy shield, applicable aux transferts entre sociétés européennes et sociétés américaines adhérant au programme, ne couvre pas les entités gouvernementales.

Le transfert de données à caractère personnel aux autorités américaines par une société américaine ou sa filiale, en application d’une demande fondée sur le Cloud Act et non sur un accord international de type MLAT ou la mise en œuvre d’une commission rogatoire internationale, ne serait pas conforme au RGPD. Il conviendra de suivre comment le Cloud Act sera mis en œuvre dans les prochains mois.

                                                       * * * * * * * * * * *

(1) Consolidated Appropriations Act, 2018 et Clarifying lawful overseas use of data act (Cloud Act), adopté le 23 mars 2018

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2019

RGPD : pendant quelle durée conserver les données personnelles ?

 

L’un des sujets d’achoppement entre l’Union européenne et les “GAFA” concerne la durée de conservation des données personnelles collectées. Pour ces sociétés, lorsque les traitements sont soumis au droit américain (droit de l’état de Californie notamment), la question de la durée de conservation des données personnelles ne se pose pas, celles-ci pouvant généralement être conservées sans limitation. Il n’en est pas de même en Europe.

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-rgpd-pendant-quelle-duree-conserver-les-donnees-personnelles

Des experts européens contre la création d'un statut juridique de personne électronique pour les robots

 

 

Alors que les applications d’intelligence artificielle se déploient à grande échelle, la Commission européenne travaille actuellement à l'élaboration d'un nouveau droit pour les robots. Or, des centaines de membres de la société civile s'opposent à la création d'une “personnalité électronique” qui pourrait attribuer une responsabilité à la machine.

Dans ce sens, deux cents experts européens viennent de signer une lettre ouverte contre “la création d'un statut juridique de personne électronique pour les robots”. Cette lettre, adressée à la Commission européenne, s’oppose plus spécifiquement au point de la résolution du Parlement européen du 16 février 2017 concernant des règles de droit civil sur la robotique (2015/2103 (INL)) relatif à “la création, à terme, d'une personnalité juridique spécifique aux robots, pour qu'au moins les robots autonomes les plus sophistiqués puissent être considérés comme des personnes électroniques responsables, tenues de réparer tout dommage causé à un tiers (…).”

Les signataires de la lettre ouverte critiquent cette notion de « personnalité électronique », que celle-ci repose sur le modèle de la personnalité physique, de la personnalité morale, ou sur le modèle du trust. Le débat reste à suivre…

                                                                        * * * * * * * * * * * *

(1) Robotics-openletter.eu, Open letter to the European Commission – Artificial intelligence and Robotics 

Photo © ClaudeAI.uk (https://claudeai.uk/ai-blog/ )

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2018

Sécurité des réseaux : la directive NIS a été transposée en droit français

La directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (Directive « NIS » 2016/1148) a été transposée en droit français le 26 février 2018.

Lire la suite de l'article :  https://www.deleporte-wentz-avocat.com/actualite-securite-des-reseaux-la-directive-nis-a-ete-transposee-en-droit-francais

Plateformes internet - Trois nouveaux décrets “pour favoriser la transparence des plateformes numériques”

Afin d’améliorer la confiance des utilisateurs dans les services numériques, et pour faire suite à la loi pour une République numérique (1), trois décrets d’application “pour favoriser la transparence des plateformes numériques” ont été publiés le 29 septembre 2017. (2) Ces décrets concernent les moteurs de recherche, les réseaux sociaux et les sites comparateurs ainsi que les places de marchés et les sites d'économie collaborative.

1. A compter du 1er janvier 2018, les plateformes qui valorisent des contenus, des biens ou des services proposés par des tiers, à savoir les moteurs de recherche et les sites comparatifs notamment, devront préciser les critères de référencement et de déréférencement ainsi que les critères de classement de leurs résultats. Ces sites devront également indiquer dans quelle mesure le montant de leur rémunération entre en compte dans l'ordre de présentation des contenus.

Les plateformes de mise en relation doivent prévoir une rubrique accessible depuis toutes les pages du site comprenant notamment les informations relatives à la qualité des personnes pouvant proposer la vente de biens ou de services (consommateurs ou professionnels), la description de la mise en relation entre vendeurs et acheteurs, la commission due à la plateforme pour la mise en relation, etc. A noter que ces informations figurent en principe dans les conditions générales de la plateforme.

Enfin, les plateformes B-to-C doivent mettre à la disposition des vendeurs professionnels un espace permettant la communication des informations prévues aux articles L.221-5 et L.221-6 du code de la consommation (description du bien ou du service proposé, prix, délais de livraison, coordonnées du professionnel, garantie légale, existence d’un droit de rétractation, modalités de règlement des litiges, etc.).

Par ailleurs, les sites web publiant des avis de consommateurs devront préciser si ces avis ont été vérifiés et, le cas échéant, de quelle manière cette vérification a été effectuée. Lorsque les avis sont vérifiés, l’opérateur du site doit veiller à ce que les données personnelles des contributeurs soient traitées conformément aux obligations de la loi Informatique et Libertés.

2. A compter du 1er janvier 2019, les plateformes qui comptabilisent en moyenne plus de 5 millions de visiteurs uniques mensuels devront “appliquer des bonnes pratiques en matière de clarté, de transparence et de loyauté.” Ces règles, qui devront être consultables en ligne, correspondent aux obligations générales d’information précontractuelle définies aux articles L.111-1 et suivants du code de la consommation.


                                                                      * * * * * * * * * * * *

(1) Loi n°2016-1321 du 7 octobre 2016 pour une république numérique

(2) Décret n°2017-1434 du 29 septembre 2017 relatif aux obligations d'information des opérateurs de plateformes numériques ; Décret n°2017-1435 du 29 septembre 2017 relatif à la fixation d'un seuil de connexions à partir duquel les opérateurs de plateformes en ligne élaborent et diffusent des bonnes pratiques pour renforcer la loyauté, la clarté et la transparence des informations transmises aux consommateurs ; Décret n°2017-1436 du 29 septembre 2017 relatif aux obligations d'information relatives aux avis en ligne de consommateurs


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Février 2018

Cybermalveillance - lancement d’une plateforme d’accompagnement des victimes

La cybermalveillance recouvre les actes de cybercriminalité tels que le hameçonnage (phishing - faux emails comprenant des liens vers des sites frauduleux pour collecter mots de passe et autres données confidentielles des utilisateurs), la diffusion de virus par messagerie ou SMS (logiciel contenant du code malveillant), ou la diffusion de rançongiciels (ransomware - logiciels qui forcent l'utilisateur au versement d'une rançon pour récupérer des données bloquées), infractions punies pénalement.

Ces activités ne cessent de se développer depuis plusieurs années et ciblent tous les acteurs de la société : particuliers, entreprises de toutes tailles et de tous secteurs d’activités et administrations. Malgré les conseils régulièrement diffusés concernant les mots de passe à adopter, la nécessité des mises à jour logicielles, etc., le nombre de victimes explose.

Fin mai 2017 en France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a lancé un projet de plateforme d’aide aux victimes d'actes de cybermalveillance. Cette première phase d’expérimentation était limitée à la région Hauts de France.

La plateforme Cybermalveillance.gouv.fr a été lancée sur l’ensemble du territoire français le 17 octobre 2017.

Les objectifs de cette plateforme, à finalité à la fois pédagogique et curative, sont triples :
    1 - la mise en place de campagnes de prévention et de sensibilisation à la sécurité du numérique ;
    2 - pour les victimes d’un acte de cybermalveillance, la mise en relation des victimes via la plateforme avec des prestataires de proximité susceptibles de restaurer leurs systèmes ;
    3 - la création d’un observatoire du risque numérique permettant de l’anticiper.

La plateforme cybermalveillance.gouv.fr est conçue comme un guichet unique. Après l’établissement d’un diagnostic de la situation de la victime (particulier, entreprise (PME/TPE) ou collectivité territoriale - hors OIV), la plateforme permet sa mise en relation avec des prestataires de proximité, compétents et présents sur l’ensemble du territoire français, des administrations de I‘État (Gendarmerie, Police, représentants locaux de I’ANSSI) ou des collectivités et acteurs locaux (chambres consulaires, fédérations professionnelles, réseaux “transition numérique”, etc.).

Les victimes sont guidées, lors de leur déclaration d’acte de cybermalveillance, pour l’identification du problème : virus, blocage informatique suite à l’activation d’un rançongiciel, piratage (réseau social, compte bancaire, messagerie, etc.). À la fin de la déclaration, les victimes sont informées sur les étapes suivantes de la procédure : déposer une plainte, prévenir sa banque, faire appel à un expert informatique…

L’un des objectifs de la plateforme étant la prévention et la sensibilisation aux cyber risques, plusieurs outils et démarches de sensibilisation sont proposés : principes de base à respecter pour assurer sa cyber sécurité, guides de bonnes pratiques en matière de cyber sécurité.

Enfin, la plateforme doit permettre de collecter et centraliser l’information sur les actes de cybermalveillance : types d’atteintes cyber, nombre et profil des victimes.

Ce dispositif est incubé par l’ANSSI et copiloté avec le ministère de l’Intérieur.


                                                                             * * * * * * * * * * *

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2017

Publication d’une ordonnance sur le transfert de titres par blockchain

Après une consultation lancée entre mars et mi-mai 2017 sur la transmission de certains titres financiers via la blockchain, dont la synthèse a été publiée courant septembre, un projet d’ordonnance avait été proposé au Gouvernement par la Direction du Trésor. L’objet de cette consultation était de recueillir l’avis des parties prenantes -banques, sociétés de gestion, acteurs de la blockchain, fintechs, sociétés de conseils, sur la réglementation à mettre en place.

L’ordonnance permettant légalement le transfert de propriété de titres financiers par blockchain vient d’être publiée le 8 décembre. (1) Ce texte a été pris en application de l’article 120 de la loi Sapin II du 9 décembre 2016, dont les dispositions permettent notamment d’adapter le droit applicable à certains titres financiers au moyen d’un dispositif d’enregistrement électronique partagé, ou “technologie de registre distribué” (distributed ledger technology ou DLT). (2)

Bien qu’il soit déjà possible d’utiliser une technologie de registre distribué pour la transmission de titres, de nombreuses zones d’insécurité juridique persistent, y compris concernant le droit applicable en matière de propriété du titre et les modalités de règlement.

La majorité des parties prenantes ayant répondu à la consultation estimait néanmoins qu’il était souhaitable de ne pas remettre en cause le cadre juridique actuel de la transmission de titres, même en cas de transfert de propriété via la blockchain. Elles estimaient par ailleurs nécessaire de prévoir un cadre juridique où “l’intervention du législateur se limiterait à assurer la neutralité technologique des exigences de fond pesant sur les acteurs existants”. Ainsi, la blockchain a besoin d’un cadre juridique, mais a minima.

Ce texte, devant entrer en vigueur au plus tard le 1er juillet 2018, viendra modifier le code de commerce et le code monétaire et financier. Cette réforme s'appliquera aux titres financiers pour lesquels le droit européen n’impose pas de passer par un dépositaire central de titres (parts de fonds, titres de créance négociables, actions et obligations non cotées). Un décret en Conseil d'Etat doit fixer les conditions dans lesquelles les titres financiers peuvent être inscrits dans un dispositif d'enregistrement électronique partagé présentant des garanties, notamment en matière d'authentification, au moins équivalentes à celles présentées par une inscription en compte-titres.


                                                                        * * * * * * * * * * *

(1) Ordonnance n°2017-1674 du 8 décembre 2017 relative à l'utilisation d'un dispositif d'enregistrement électronique partagé pour la représentation et la transmission de titres financiers

(2) art. 120 de la loi n°2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (loi “Sapin II”)


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2017

Pourquoi être concerné par le RGPD si votre entreprise n'est pas localisée dans l’UE ?

La directive du 24 octobre 1995 sur la protection des données s’appliquait aux traitements de données réalisés par des organismes, responsables de traitement, situés dans l’Union européenne. Les traitements de données réalisés par des responsables de traitement situés en dehors de l’UE n’étaient en principe pas soumis aux règles de la directive européenne, telles que transposées dans les lois nationales des Etats-membres. (1) Or, avec le développement des technologies et des services en ligne autour de la donnée, de nombreuses sociétés situées hors Union européenne, telles que Google, Amazon, Facebook ou Apple (les “GAFA”) notamment, collectent et traitent des données d’Européens et “échappent” à la réglementation européenne, même si les transferts de données vers ces sociétés américaines sont notamment soumis aux principes du Privacy Shield.

Désormais la donnée, et plus particulièrement la donnée personnelle, est au coeur de l’économie numérique. Il était donc nécessaire de mettre à jour la règlementation des données personnelles pour prendre en compte les évolutions technologiques intervenues depuis la directive de 1995 et assurer un niveau de protection élevé et homogène des données personnelles. C’est chose faite avec le règlement général sur la protection des données (RGPD). Ce texte, adopté le 27 avril 2016 après plus de quatre ans d’intenses discussions, doit entrer en application le 25 mai 2018. (2)

L’un des objectifs du RGPD est de prendre en compte, d’une part les cas dans lesquels plusieurs responsables de traitements et/ou sous-traitants, situés dans différentes régions du monde, sont impliqués dans un traitement de données, d’autre part les services de cloud computing et de big data (serveurs déployés et données collectées dans plusieurs régions), et enfin les activités des GAFA, ceci afin que les données personnelles des résidents européens restent protégées quel que soit le pays dans le monde où se trouve le responsable de traitement.

Le champ d’application du règlement couvre donc non seulement le territoire de l’Union européenne, mais aussi les entreprises situées hors Union européenne qui visent le marché européen. Ces entreprises sont donc concernées par le RGPD et doivent se mettre en conformité avec ces nouvelles règles.


1. Le RGPD, un texte applicable en Europe et au-delà

La directive de 1995 devait être transposée dans les lois nationales des Etats membres. Ces lois nationales sur la protection des données personnelles comportaient cependant des différences entre les Etats membres, certains états ayant choisi une application stricte de la directive, alors que d’autres ont opté pour une application plus souple.

Le règlement général sera d’application directe dans les Etats membres. Ses règles s’appliqueront de manière quasiment uniforme dans tous les Etats membres, hormis quelques dispositions qui pourront différer d’un pays à l’autre. (3)

Mais alors que la directive n’avait que peu d’impact en dehors de l’Union européenne, le règlement sera d’application territoriale dans l’UE, mais également extra-territoriale, au-delà de l’UE. (4)

    1.1 Application dans l’Union européenne

Le règlement s’appliquera, d’une part aux traitements de données à caractère personnel réalisés dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l’Union européenne, que le traitement lui-même ait lieu ou non dans l’UE.

L’établissement situé dans l’UE nécessite un effectif et une activité stables. En revanche, l’établissement n’est pas soumis à une forme juridique particulière. Il peut s’agir du siège, d’une filiale, voire de la succursale d’une entreprise, elle-même située en dehors de l’Union.

Le traitement peut être réalisé, ou non dans l’UE. Cette disposition permet par exemple de soumettre au règlement les bases de données hébergées en cloud, quels que soient les pays d’installation des serveurs.

    1.2 Application extra-territoriale

Le règlement s’appliquera d’autre part aux traitements de données à caractère personnel relatifs à des personnes qui se trouvent dans l’UE, réalisés par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l’UE, lorsque les activités de traitement sont liées à l'offre de biens (site de e-commerce) ou de services (applications mobiles, hébergement de données en cloud) à ces personnes, à titre gratuit ou payant.

Pour déterminer si l’entreprise, responsable du traitement ou sous-traitant, vise le marché européen en proposant des biens ou des services à des personnes situées dans l’UE, il conviendra de relever les indices qui permettront d’établir que le responsable du traitement ou le sous-traitant visent bien le marché européen. Par exemple, la simple accessibilité du site internet de l’entreprise en cause, une adresse email ou l'utilisation d'une langue généralement utilisée dans le pays tiers où cette entreprise est établie ne suffira pas pour déterminer que le responsable du traitement ou le sous-traitant visent effectivement le marché européen. En revanche, des éléments tels que l'utilisation d'une langue européenne ou d'une monnaie telle que l’euro pourront permettre de démontrer que le marché européen est effectivement visé.

Par ailleurs, les traitements de données de personnes situées dans l'Union européenne par une entreprise, responsable du traitement ou sous-traitant, qui n'est pas établie dans l'Union seront également soumis au règlement lorsque ces traitements ont pour objet le suivi du comportement de ces personnes, sous réserve qu’il s’agisse de leur comportement dans l’UE. Cette disposition concerne particulièrement les activités de profilage en ligne, “afin notamment de prendre des décisions concernant” la personne, “ou d'analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit.” (5)

On retiendra également que ces dispositions s’appliquent tant aux responsables de traitement qu’aux sous-traitants. Ces derniers sont donc concernés par les dispositions du RGPD, au même titre que les responsables de traitement, donneurs d’ordre, ou peuvent même être considérés comme co-responsables de traitement.

Ainsi, le règlement ne limite pas son applicabilité aux responsables de traitements et aux sous-traitants établis dans l’Union européenne, mais étend son périmètre géographique au-delà des frontières de l’Union européenne, dès lors que des données personnelles de résidents européens sont concernées.


2. Quelles conséquences pour les entreprises non-européennes ?

Les entreprises n’ayant aucun établissement sur le territoire de l’UE, mais qui visent l’Europe pour leurs activités commerciales (voir critères ci-dessus), et à ce titre, qui collectent et traitent des données personnelles d’Européens devront donc se conformer au RGPD, la date butoir étant fixée au 25 mai 2018.

    2.1 L’obligation de désigner un représentant dans l’Union

Au-delà des travaux de mise en conformité au règlement, les entreprises, responsables de traitements et sous-traitants, n’ayant pas d’établissement sur le territoire de l’UE devront désigner “par écrit” un représentant dans l’Union. (6)

Ce représentant devra être établi dans un des États membres dans lesquels se trouvent les personnes physiques dont les données font l'objet d'un traitement. Le représentant, mandaté par le responsable du traitement ou le sous-traitant, servira de contact pour les autorités de contrôle et les personnes concernées pour les questions relatives au traitement. Le responsable du traitement ou le sous-traitant resteront néanmoins responsables juridiquement de la conformité et du respect au RGPD.
La désignation d’un représentant ne s’appliquera cependant pas à toutes les entreprises non-européennes concernées.

Seront exemptés de cette obligation les responsables du traitement ou sous-traitants :
. qui mettront en oeuvre des traitements à titre occasionnel,
. qui n'impliquent pas un traitement à grande échelle des catégories particulières de données sensibles visées à l'article 9 par.1, ou un traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10,
. et qui mettront en oeuvre des traitements ne nécessitant pas d’analyse d’impact en vertu de l’article 35 du règlement.

De même, les autorités et organismes publics non européens ne sont pas concernés par cette obligation de désignation d’un représentant.

    2.2 Le cas du Royaume-Uni après le Brexit

Une fois que le Royaume-Uni sera sorti de l’Union européenne, il ne sera plus soumis au RGPD. Cependant, le gouvernement britannique vient de se prononcer pour l’adoption d’une loi, réformant la Data Protection Act 1998 actuelle et intégrant dans le droit anglais les règles du RGPD.

L’objet de ce projet de loi est de rassurer le monde des affaires suite au Brexit, sur la possibilité de poursuivre les transferts de données entre le Royaume-Uni et l’Union européenne. Par ce biais, le Royaume-Uni souhaite s’assurer que sa loi sur la protection des données personnelles sera considérée par la Commission de Bruxelles comme offrant un niveau de protection adéquat, permettant de continuer à transférer librement des données personnelles entre le Royaume-Uni et l’UE. (7)

    2.3 La mise en conformité au RGPD

Le règlement européen comprend de nombreux principes nouveaux ou renforcés par rapport à la réglementation actuelle qu’il convient de prendre en compte. Ces principes devront être intégrés  par les entreprises dans leurs procédures de développement de nouveaux produits et services à destination du marché européen, pour être en conformité au règlement. Parmi ces principes, il convient de rappeler : (8)

a) Concernant les droits des personnes :
    - Le renforcement des conditions de l’obtention du consentement des personnes (art. 7) : les termes relatifs au consentement doivent être rédigés de manière claire et explicite. ;
    - L’information des personnes concernées doit être transparente, et rédigée en termes clairs et simples ;
    - Le droit à la portabilité des données (art. 20) permet aux personnes concernées de demander au responsable de traitement de récupérer ou transmettre leurs données personnelles collectées pour les transférer à un nouveau responsable de traitement ;
    - La protection spécifique des données personnelles des mineurs de moins de 16 ans (art. 8). Lorsque des services en ligne sont destinés aux enfants, les traitements de données de mineurs de moins de 16 ans (ou 13 ans dans les Etats membres qui ont fixé cette limite d’âge) seront soumis à l’accord ou l’autorisation de la personne exerçant l’autorité parentale.

b) Concernant les responsables de traitements et sous-traitants
    - Les traitements automatisés et les techniques de profilage sont encadrés (art. 22). Ces traitements seront autorisés sous certaines conditions et si la personne a donné son consentement ;
    - Le responsable de traitement devra déployer des règles internes claires et facilement accessibles afin de garantir et démontrer le respect de la réglementation (notion d’“accountability”) (art. 5 et 24) ;
    - Lors du développement de nouveaux produits ou services, les responsables de traitement devront intégrer par défaut la protection des données personnelles dans la définition des moyens de traitement et dans le traitement lui-même (principe de “protection de la vie privée dès la conception” ou “privacy by design”) (art. 5 et 25) ;
    - Le règlement prévoit des règles de sécurité accrues et une obligation de notification des failles de sécurité à tous les responsables de traitement (art. 5, et 32 à 34) ;
    - Un délégué à la protection des données devra être désigné dans les entreprises ayant pour “activité de base” la gestion de données personnelles “à grande échelle” ou le contrôle et suivi du comportement des personnes (art. 37, 38 et 39).

Enfin, le règlement prévoit un pouvoir de sanction par les autorités de contrôle plus large et dissuasif (art. 83). Selon le type de violation retenu, les autorités de contrôle pourront prononcer des amendes administratives pouvant s’élever soit à 10 millions d’euros ou 2% du chiffre d’affaires total mondial de l’entreprise pour l’exercice précédent, le montant le plus élevé étant retenu, soit à 20 millions d’euros ou 4% du chiffre d’affaires total mondial de l’entreprise pour l’exercice précédent.

                                                                   * * * * * * * * * * * *


(1) Voir l’article 4 “Droit national applicable” de la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD)

(3) Par exemple, l’âge minimum pour un jeune pour donner son consentement pourra être compris entre 13 et 16 ans, le choix étant laissé à chaque Etat membre.

(4) Voir RGPD, considérants 22 à 24 et article 3 “Champ d’application territoriale”

(5) Considérant 24

(6) RGPD, article 27

(7) “UK Government announces proposals for a new Data Protection Bill”, in Technology Law Dispatch, 16 août 2017

(8) Pour une analyse plus détaillée des obligations relatives à la mise en conformité au RGPD, voir nos articles à ce sujet : “Adoption du Règlement européen sur la protection des données personnelles : le compte à rebours de la mise en conformité a commencé”, “Entrée en application du RGPD en mai 2018 : comment organiser votre mise en conformité au règlement européen ?”, “Sécurité des données personnelles : vers la généralisation de la procédure de notification des incidents de sécurité"


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2017