Le nouveau cadre juridique des noms de domaine est entré en vigueur il y a un peu plus d’un an, le 1er juillet 2011. Jusqu'à cette date, les collectivités territoriales (communes, départements, régions, etc.), bénéficiaient d'un droit exclusif pour l'enregistrement de leur nom en .fr. Désormais, la possibilité de déposer un nom de domaine sur le nom d'une collectivité ne leur est plus réservé. (1)
Cette nouvelle réglementation a conduit de nombreuses collectivités territoriales à s'interroger sur la protection de leur nom, dont l'utilisation, permettant de promouvoir leur territoire et de faciliter le lien social avec leurs administrés, suscite beaucoup de convoitise auprès des tiers, entreprises du secteur privé ou associations. (2)
Ces interrogations nous donnent l'occasion de faire le point sur : (i) les droits dont bénéficient les collectivités sur leurs noms et les moyens d'action qui s'offrent à elles pour contester l'utilisation de leur nom, à titre de marque ou de nom de domaine, par un tiers, (ii) mais également les limites aux droits des collectivités sur leur nom.
1. Les moyens d'action contre l'utilisation du nom d'une collectivité, à titre de marque ou de nom de domaine
Les collectivités territoriales ne jouissent pas d'un droit spécifique sur leur nom ; elles sont cependant en droit de protéger leur nom contre une exploitation commerciale injustifiée.
L'utilisation abusive de leur dénomination par des tiers peut notamment être sanctionnée sur le terrain du droit des noms de domaine. En effet, la nouvelle réglementation, qui certes a supprimé l'exclusivité d'enregistrement au profit des collectivités, comporte néanmoins des dispositions visant à protéger l'usage de leur nom. A ce titre, les collectivités ont, sous certaines conditions, la possibilité de s'opposer à l'enregistrement ou au renouvellement d'un nom de domaine, ou de le faire supprimer, ou encore d'en demander le transfert, lorsque ce nom de domaine est identique ou apparenté à celui d'une collectivité territoriale ou porte atteinte à ses droits (articles L.45-2 et L.45-6 Code des Postes et des Communications Electroniques - CPCE).
Par ailleurs, et nous nous attarderons plus longuement sur ce point, l'utilisation abusive de la dénomination d'une collectivité par des tiers peut être sanctionnée sur le terrain du droit des marques, que la collectivité ait ou non déposé son nom à titre de marque.
1.1 Une réglementation protectrice du nom des collectivités territoriales
Une collectivité peut engager une action judiciaire pour atteinte au nom. Cette action, envisageable que la collectivité ait ou non déposé son nom à titre de marque, est prévue par l'article L711-4 (h) CPI qui dispose : "ne peut être adopté comme marque, un signe portant atteinte à des droits antérieurs, et notamment : h) Au nom, à l'image ou à la renommée d'une collectivité territoriale." Cette action permet à une collectivité de s'opposer à l'utilisation de son nom comme marque lorsque son utilisation peut entraîner une confusion dans l'esprit du public avec une marque déposée par la commune, un site officiel de la commune (nom de domaine) ou une action mise en oeuvre par celle-ci.
A titre d'exemple, la ville de Paris a attaqué une personne physique ayant déposé la marque PARIS L’ETE au motif que ce dépôt portait atteinte aux droits que la commune détient sur son nom. En effet, la ville de Paris affirme communiquer et intervenir dans les domaines concernés par les produits et services désignés par la marque PARIS L’ETE.
Dans un arrêt du 12 décembre 2007, la Cour d’appel de Paris a fait droit à la demande de la ville de Paris, précisant qu’"une collectivité territoriale est en droit de protéger son nom contre toute exploitation commerciale injustifiée, notamment lorsqu’un tiers, en déposant une marque, sera susceptible de lui causer un préjudice soit en l’empêchant de tirer profit de la commercialisation de son nom, soit en nuisant à son identité, son prestige ou sa renommée”.
La Cour relève que la Ville de Paris organise de nombreuses manifestations, lors de la saison d’été, dans les domaines culturel, économique et touristique ; qu’elle fait connaître ces événements, qui lui permettent de développer sa renommée, par le biais de différents médias d’information ; et utilise, dans ce contexte, son nom associé au mot L’ETE. En outre, la Cour relève que les produits et services désignés par la marque PARIS L’ETE (services de diffusion de programmes de radio ou de télévision et des services de présentation au public d’œuvres plastiques, de littérature à but culturel ou éducatif) sont similaires à ceux que la ville de Paris fournit sous son nom à ses partenaires et plus largement, aux services offerts dans le cadre de ses missions de service public.
Dès lors, la Cour considère que le dépôt de la marque PARIS L’ETE, qui crée un monopole d’exploitation au profit d’un tiers, prive la ville de Paris de la possibilité d’exploiter son nom pour désigner ses propres activités et pour en contrôler l’usage. La Cour a donc prononcé l’annulation de la marque PARIS L’ETE. (3)
1.2 Une réglementation protectrice des marques des collectivités territoriales
Conflit entre deux marques - Une collectivité territoriale peut, sous réserve qu'elle ait enregistré son nom à titre de marque, s'opposer à l'enregistrement d'une marque par un tiers par le biais d'une procédure alternative de règlement des litiges. Cette procédure permet à une collectivité d'empêcher l'enregistrement d'une marque nouvelle qui porterait atteinte à ses droits, à savoir notamment une marque qui reproduirait à l'identique ou imiterait sa marque, pour des produits et services identiques ou similaires. Cette démarche doit être engagée auprès de l'INPI et peut aboutir, si l'opposition est fondée, au rejet de la marque nouvelle. (articles L.712-4 et s. et R. 712-8 et s. du Code de la propriété intellectuelle - CPI)
Conflit entre deux marques ou entre une marque et un nom de domaine - Par ailleurs, toujours sous réserve que la collectivité territoriale ait eu le réflexe de déposer son nom à titre de marque, celle-ci peut engager une action judiciaire en contrefaçon de marque contre un tiers qui voudrait déposer une nouvelle marque, sur le fondement de l'article L.713-3 CPI.
Ce texte dispose que, sauf autorisation du propriétaire, sont interdits la reproduction et l'imitation d'une marque ainsi que l'usage d'une marque reproduite ou imitée, pour des produits ou services similaires à ceux désignés dans l'enregistrement, s'il peut en résulter un risque de confusion dans l'esprit du public. Cette action peut être utilisée par une collectivité à l'encontre d'une marque ou d'un nom de domaine reprenant la marque déposée par la collectivité. La collectivité pourra obtenir du tribunal l'annulation de la marque ou du nom de domaine litigieux et/ou des dommages et intérêts.
2. Les limites à la protection du nom des collectivités territoriales posées par la jurisprudence
La protection accordée au nom des collectivités territoriales n'est cependant pas absolue et ne prohibe que les utilisations fautives. La jurisprudence a précisé les limites de cette prohibition, en affirmant que les collectivités ne disposent pas d'un droit exclusif leur permettant d'interdire a priori l'enregistrement de leur nom, à titre de marque ou de nom de domaine, par un tiers.
Les tribunaux exigent la preuve d'une faute, distincte du seul choix par un tiers d'un signe comprenant le nom d'une collectivité territoriale. Ainsi, dans l'hypothèse où une action judiciaire est engagée par une commune, il appartient à celle-ci de démontrer l’existence d’un risque de confusion avec ses propres attributions, ou un risque de nature à porter atteinte aux intérêts publics ou de nature à porter préjudice à la collectivité/ses administrés. Ce risque de confusion relève de l’appréciation souveraine des juges du fond.
Nous rappelons ci-après quelques décisions judiciaires illustrant les limites de la protection du nom des collectivités.
2.1 Conflits entre un nom de collectivité et une marque et des noms de domaine appartenant à des tiers
Affaire ville de Paris c/ Association "Paris sans fil" : Dans une affaire opposant la ville de Paris à l'association Paris-sans fil, cette dernière avait déposé et exploitait la marque PARIS SANS FIL (notamment en classe 38: télécommunication, communication par réseaux de fibres optiques, etc.) et les noms de domaine paris-sans-fil, avec les extensions ".info", ".fr" et ".org", et paris-sansfil.com. La ville de Paris a assigné l’association au motif que ces dépôts et cette exploitation portaient atteinte "aux droits de la ville sur son nom, sa renommée et son image, (...) et constitueraient en outre un usage trompeur pour le public".
Dans un jugement du 6 juillet 2007, le TGI de Paris a fait droit à ces demandes. Le tribunal prononce la nullité de la marque sur le fondement des articles L.711-4 h) et L. 714 CPI et ordonne à l'association de modifier sa dénomination sociale et de procéder à la radiation des noms de domaine en cause sur le fondement de l'article 1382 du Code civil.
Pourquoi une telle décision ? La ville de Paris avait démontré qu'elle intervenait de façon active dans le domaine des nouvelles technologies de l'information et de la communication, et notamment dans le domaine du développement du haut débit et du système Wifi et que l'emploi par l'association d'une marque déposée pour désigner des services identiques et similaires entraînait un risque de confusion avec ses propres activités. (4)
Affaire ville de Paris c/ la société Studyrama : Dans une autre affaire, la ville de Paris a été déboutée par la même juridiction dans un dossier l'opposant à la société Studyrama.
En l'espèce, la société Studyrama, titulaire de la marque JEUNES A PARIS, exploitait un magazine du même nom destiné aux étudiants et comportant des rubriques relatives aux loisirs, restaurants, voyages, etc. La marque JEUNES A PARIS avait été déposée dans les classes de produits et services 16 (papier, carton et journal), 38 (télécommunication) et 41 (éducation, formation, divertissement) . La ville de Paris a demandé au TGI de Paris de prononcer la nullité de la marque JEUNES A PARIS, sur le fondement de l'article L.711-4 h) CPI.
Dans un jugement du 24 novembre 2004, le Tribunal a rappelé qu'il appartenait à la ville de Paris de prouver que "la dénomination critiquée est de nature à tromper le public quant à l'origine des produits ou à la garantie qu'il penserait être en droit d'attendre de la collectivité". Or, le tribunal a considéré que (i) les produits et services de la marque JEUNES A PARIS ne relevaient pas exclusivement des attributions municipales, de telle sorte que le public n’était pas nécessairement amené à penser que ces services étaient proposés par la ville de Paris, et (ii) qu'"un tel raisonnement conduirait à interdire toute marque comportant le nom Paris en association avec d'autres mots". A défaut de risque de confusion entre la marque JEUNES A PARIS et la ville de Paris, la demande en nullité a été rejetée.
Par ailleurs, le tribunal a fait droit à la demande de la société Studyrama en contrefaçon de la marque JEUNES A PARIS contre le nom de domaine www.jeunes-paris.fr, enregistré par la ville de Paris. Le tribunal a considéré, en effet, que ce nom de domaine constituait une imitation de la marque litigieuse : il reprenait les mêmes termes "jeunes" et "Paris" et l'utilisation de ce nom de domaine concernait le même service que celui désigné par la marque, à savoir la communication par terminaux d'ordinateurs (classe 38). Il en résultait donc un risque de confusion pour le public. Le tribunal a ainsi condamné la ville de Paris à ne plus utiliser l'expression "jeunes à paris" en tant que nom de domaine. (5)
2.2 Conflit entre une marque et un nom de domaine appartenant à une collectivité et une marque et des noms de domaine appartenant à un tiers
Affaire ville d'Issy-les-Moulineaux c/ Association "Issy on line" : En l'espèce, la ville d'Issy-les-Moulineaux, titulaire de la marque ISSY et du nom de domaine issy.com, avait assigné l’association Issy on line. Cette association avait déposé la marque "Issy Tv" et enregistré les noms de domaine "Issy.net", "Issytv.com", "Issytv.org" et "Issy.info". La ville d'Issy-les-Moulineaux demandait la nullité de la marque, la cessation de toute utilisation par l'association du terme "Issy" et la cessation de l'utilisation des noms de domaine, sur le fondement des articles L.711-4, L.713-2 et suivants CPI et 1382 du Code civil.
Dans un arrêt du 13 septembre 2007, la Cour d'appel de Versailles a débouté la commune d'Issy-les-Moulineaux de ses demandes, relevant l'absence de contrefaçon de la marque ISSY et l'absence de faute dans l'enregistrement et l'utilisation des noms de domaines litigieux.
Pourquoi une telle décision ? La Cour a rappelé "qu'une commune peut déposer son nom de domaine en intégral ou en abrégé à titre de marque et l'enregistrer comme nom de domaine, mais elle ne peut interdire son utilisation par un tiers et doit la tolérer, dès lors que celui qui utilise dans la marque ou le nom de domaine tout ou partie du nom de la commune justifie d'un intérêt légitime à se prévaloir de ce nom, notamment pour y mentionner le lieu où il exerce effectivement son activité, et qu'il n'existe aucun risque de confusion avec la marque déposée ou le site officiel de la commune".
En outre, la Cour a rappelé que l'existence d'une contrefaçon éventuelle devait être appréciée au regard du contenu du site correspondant au nom de domaine litigieux. Or, dans le cas présent, la Cour a considéré (i) qu’il n’existait aucun risque de confusion entre la marque ISSY TV et la marque ISSY, déposée en classe 38 par la commune du même nom, “l’adjonction de l’abréviation "tv" au terme "Issy" présentant un caractère suffisamment distinctif” et (ii) que le contenu des sites en cause excluait tout risque de confusion, notamment parce que les services proposés par l'administré n'étaient ni professionnels ni officiels, et qu'il apparaissait clairement qu'il s'agissait d'un site géré par une personne privée et non par la municipalité. C'est ainsi qu’en raison de l'absence de risque de confusion, la commune d'Issy-les-Moulineaux a été déboutée de ses demandes. (6)
2.3 Conflit entre un nom de domaine appartenant à une collectivité et un nom de domaine appartenant à un tiers
Affaire Commune de Levallois-Perret c/ un élu de la commune, Loic L : La commune de Levallois-Perret, titulaire du nom de domaine ville-levallois.tv, avait attaqué en référé l'exploitant titulaire du nom de domaine "levallois.tv", au motif que le site internet portait à confusion avec le site web officiel de la commune.
Le défendeur, conseiller municipal de Levallois-Perret, contestait l'existence d'un risque de confusion, en l'absence de reprise sur son site des couleurs, de la charte graphique, du logo et du nom officiel de la ville de Levallois-Perret. Le juge des référés a alors procédé à une analyse du site contesté pour déterminer si un internaute moyen pouvait penser qu’il s’agissait du site officiel de la ville. Pour le juge, le signe Levallois TV associé à la photographie du titulaire du site et à son adresse email, ainsi qu’une présentation graphique différente du site officiel, le distinguaient parfaitement des publications de la ville, de sorte qu’il n’existait pas de risque de confusion avec le site de la commune. L'utilisation du terme "Levallois", seul point commun entre les deux sites, ne suffisait pas à caractériser un risque de confusion. Le juge des référés a donc débouté la ville de Levallois-Perret de sa demande d’interdire le site levallois.tv. (7)
Ainsi, il existe une réglementation protectrice du nom des collectivités territoriales, qui disposent de moyens d'action pour lutter contre l'utilisation abusive de leur nom par un tiers. Toutefois, cette réglementation n'a pas pour objet d'interdire aux tiers, de manière générale, de déposer en tant que marque ou nom de domaine, un signe identifiant une collectivité territoriale, mais seulement de réserver cette interdiction au cas où il résulterait de ce dépôt une atteinte aux intérêts publics.
Au regard de ces éléments, il est recommandé aux collectivités territoriales de définir leurs besoins en termes de marques et de noms de domaine et de faire procéder aux enregistrements nécessaires. Une protection efficace du nom des collectivités passe par la mise en place d'une stratégie commune entre la marque et le nom de domaine.
Quant aux personnes de droit privé (entreprises ou particuliers) souhaitant utiliser la dénomination d’une commune, d’un territoire ou d’une région dans une marque ou un nom de domaine, il conviendra de s’assurer que cette marque ou ce nom de domaine, non seulement ne crée pas de confusion dans l’esprit du public, mais également qu’ils ne portent pas atteinte aux intérêts publics.
* * * * * * * * * * * *
(1) Loi n°2004-669 du 9 juillet 2004 relative aux communications électroniques et décret d'application n°2007-162 du 6 février 2007 ; Loi n°2011-302 du 22 mars 2011 portant diverses dispositions d'adaptation de la législation au droit de l'Union européenne en matière de santé, de travail et de communications électroniques.
(2) A ce sujet, voir les réponses ministérielles (ministère chargé des collectivités territoriales) du 12 avril 2012, p. 913, n°21080 et du 29 mars 2012, p. 790, n°21079.
(3) CA Paris, 4e ch., section A, 12 décembre 2007, n°06/20595, Ville de Paris c/ M.Simon.
(4) TGI Paris,3e ch., 2e section, 6 juillet 2007, n°06/01925, Ville de Paris c/ Association Paris sans Fil.
(5) TGI Paris, 3e ch., 1re sect., 24 nov. 2004, Sarl Studyrama c/ Ville de Paris.
(6) CA Versailles, 12e ch. 2e sect., 13 sept. 2007, SA SEM Média c/ El Hadri, Juris-Data n° 2007-346646.
(7) TGI Nanterre, ord. réf., 30 janv. 2007, Cne Levallois-Perret c/ Loic L.
Betty SFEZ
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Septembre 2012
mercredi 12 septembre 2012
vendredi 24 août 2012
Vente en ligne : les conditions d’opposabilité des informations contractuelles au consommateur précisées par la CJUE
De très nombreux sites de e-commerce font accepter leurs conditions contractuelles (CGU et/ou CGV) en faisant cocher une case face à un lien hypertexte renvoyant vers la page web correspondante. Cette pratique, qui était juridiquement acceptée jusqu’à maintenant, vient d’être invalidée par la Cour de Justice de l’Union européenne (CJUE) dans un arrêt du 5 juillet 2012, qui l’estime contraire à la directive 97/7 concernant la protection des consommateurs en matière de contrats à distance. (1)
En l’espèce, la société Content Services Ltd proposait des services en ligne, dont le téléchargement de logiciels gratuits et payants et des abonnements en ligne. L’acceptation des conditions contractuelles se faisait via une case à cocher, avec un lien hypertexte vers la page des CGV du site. En cochant la case, l’internaute acceptait donc les CGV, qui mentionnaient notamment leur renonciation au droit de rétractation. Un organisme autrichien de protection des consommateurs a poursuivi Content Services devant les tribunaux autrichiens, considérant que cette société ne respectait pas les règles européennes en matière de protection des consommateurs et de conclusion des contrats à distance, notamment l’article 5 par.1 de la directive 97/7. Le tribunal autrichien a décidé de porter la demande devant la CJUE afin d’obtenir une décision préjudicielle.
En résumé, il était demandé à la CJUE de trancher la question de savoir si le fait, pour le e-commerçant, de communiquer au e-consommateur un lien hypertexte renvoyant aux conditions contractuelles consultables sur son site web, était ou non conforme aux exigences d’information du consommateur, posées par l’article 5 par. 1 de la directive.
1. La communication d’un lien hypertexte renvoyant vers une page du site web du vendeur répond-elle à l’exigence de “fourniture des informations” au sens de la directive ?
La directive 97/7/CE concerne la protection des consommateurs en matière de contrats à distance. (2) L’article 5 “Confirmation écrite des informations” dispose, au paragraphe 1 que “le consommateur doit recevoir, par écrit ou sur un autre support durable à sa disposition et auquel il a accès, confirmation des informations mentionnées à l’article 4 par. 1(…), en temps utile lors de l’exécution du contrat et au plus tard au moment de la livraison (…), à moins que ces informations n’aient déjà été fournies au consommateur préalablement à la conclusion du contrat par écrit ou sur un autre support durable à sa disposition et auquel il a accès.(…)”. (3)
Les informations devant être fournies comprennent notamment les conditions et modalités d’exercice du droit de rétractation, l’adresse géographique du fournisseur où le consommateur peut présenter ses réclamations, les informations relatives au SAV et aux garanties commerciales, les conditions de résiliation du contrat lorsque celui-ci est à durée indéterminée ou d’une durée supérieure à un an.
La directive 97/7 a été transposée en droit français, l’article 5 étant transposé à l’article L.121-19 du Code de la consommation. (4)
La première partie de la question posée à la CJUE portait sur la notion de “fourniture” des informations pertinentes au consommateur ou de “réception” de celles-ci, au sens de la directive.
En d’autres termes, le fait pour l’exploitant d’un site de e-commerce, de communiquer au consommateur un lien hypertexte qui renvoie vers les pages du site relatives aux CGV est-il suffisant et conforme aux exigences d’information de la directive ?
La réponse de la CJUE est négative. Selon les juges européens, la directive a pour objet la protection du consommateur, cette protection devant être renforcée en matière d’achat à distance. La protection du e-consommateur inclut la fourniture d’une information complète par le e-commerçant. A ce titre, le e-consommateur dispose notamment du droit de se rétracter postérieurement à son achat, sans avoir à se justifier.
La directive impose, à l’article 5, la “fourniture” des informations pertinentes au e-consommateur, ou sa “réception” de celles-ci. Les juges estiment que le consommateur ne doit pas avoir à faire d’efforts pour avoir accès à ces informations, par exemple, en devant cliquer sur un lien pour rechercher et accéder aux conditions contractuelles sur le site web, a fortiori dans la mesure où la grande majorité des utilisateurs acceptent les CGU/CGV des sites marchands quasiment automatiquement avant leur achat et ne les lisent jamais. Selon la Cour, un comportement passif des consommateurs doit suffire pour prendre effectivement connaissance des informations, sans même avoir à cliquer sur un lien pour se rendre sur une page web.
La Cour en conclut donc que lorsque ces informations ne sont accessibles que via un lien communiqué au consommateur, lesdites informations ne sont ni fournies au consommateur, ni reçues par celui-ci au sens de l’article 5 par. 1 de la directive.
2. La fourniture des informations via un lien hypertexte renvoyant vers une page du site web du vendeur répond-elle à l’exigence de “support durable” ?
L’article 5 par. 1 de la directive pose une deuxième condition en matière de fourniture des informations pertinentes au e-consommateur : celles-ci doivent être fournies par écrit ou sur un “support durable”.
Après avoir répondu à la question relative à la fourniture des informations, la Cour examine la notion de support durable. Ainsi, pour être considéré comme durable, un support doit répondre aux trois critères suivants : 1) permettre au consommateur de stocker les informations qui lui ont été adressées personnellement, 2) garantir l’absence d’altération de leur contenu ainsi que leur accessibilité pendant une durée appropriée, et 3) offrir aux consommateurs la possibilité de les reproduire telles quelles. En effet, le consommateur doit pouvoir conserver durablement les conditions contractuelles applicables à son achat afin de pouvoir y faire référence en cas de litige éventuel.
Or, selon les juges, le seul fait de renvoyer vers une page web, à partir d’un lien communiqué au consommateur, ne permet pas à celui-ci de stocker les informations dans les conditions rappelées ci-dessus. En outre, le contenu des pages web peut être modifié à tout moment par le e-commerçant. (5)
La CJUE estime donc que les informations qui sont uniquement disponibles sur un site internet, en passant par un lien hypertexte présenté par le vendeur, ne peuvent être considérées comme fournies sur un support durable, au sens de l’article 5 par. 1 de la directive.
3. Les conséquences pratiques de l’arrêt de la CJUE du 5 juillet 2012 pour les sites de e-commerce européens
L’intérêt de cette décision est qu’elle s’applique à l’ensemble des sites de e-commerce de l’Union. Or, à ce jour, de très nombreux sites de vente en ligne font accepter leurs conditions contractuelles (CGU et/ou CGV) en faisant cocher une case face à un lien hypertexte renvoyant vers la page correspondante. Les conditions peuvent parfois être téléchargées en format pdf et/ou être imprimées. D’autres sites ne prennent même pas la peine de faire accepter leurs conditions contractuelles par ce moyen, les CGV indiquant uniquement que le fait de commander un bien ou un service entraîne automatiquement l’accord des conditions contractuelles du marchand par le consommateur.
La décision de la CJUE du 5 juillet 2012 a pour effet de lever toute ambigüité sur l’opposabilité des conditions contractuelles (ou “informations pertinentes”) des e-commerçants aux e-consommateurs. Cet arrêt a pour effet de pousser la protection du e-consommateur vers un nouveau pallier, quitte à le déresponsabiliser un peu plus. Il contredit la pratique communément admise de l’acceptation des conditions contractuelles par opt-in et lien hypertexte, validée notamment par les tribunaux français. (6)
En conséquence, nombre de sites de e-commerce français et européens vont devoir adapter le mode de communication de leurs conditions contractuelles à leurs clients s’ils veulent s’assurer que ces conditions sont considérées comme effectivement acceptées par les consommateurs et qu’elles leurs sont donc opposables.
Cette adaptation s’articule autour de deux éléments : la “fourniture” effective des informations au consommateur, sur un “support durable”.
Ainsi, jusqu’à présent, les e-marchands adressaient un email de confirmation de commande au client, au contenu souvent générique. La mise en conformité aux dispositions de la directive passera, par exemple, par l’intégration en toutes lettres dans l’email de confirmation de commande des informations prévues à l’article 5 par.1 de la directive (article L.121-19 du Code de la consommation). Il est recommandé par ailleurs de faire en sorte que les CGU/CGV puissent être aisément imprimables et/ou disponibles sous format électronique non modifiable (support durable) et comprennent a minima une date d’effet, un numéro de version et/ou une empreinte d’horodatage.
A défaut de prendre ces précautions, le e-commerçant, sur qui repose la charge de la preuve de la fourniture des informations pertinentes et de la bonne exécution de ses obligations, pourra se voir imposer un droit de rétractation porté de 7 jours à 3 mois, des conditions contractuelles non opposables à ses clients, ainsi qu’une amende de 1500€ (3000€ en cas de récidive) en application de l’article R.121-1-1 du Code de la consommation.
Cette décision suscite une certaine perplexité : d’une part, rien n’obligera le consommateur à lire effectivement les conditions contractuelles lors d’un achat en ligne, quel que soit le mode de communication de ces conditions, via un lien hypertexte ou in extenso dans l’email de confirmation de commande par exemple ; d’autre part, à l’ère du m-commerce, encore moins d’acheteurs auront la volonté de lire les conditions contractuelles applicables à un achat, le plus souvent d’impulsion, sur un écran de smartphone... Le consommateur doit, certes pouvoir bénéficier d’une certaine protection contractuelle, il n’en doit pas moins prendre ses responsabilités d’acheteur, en lisant le contrat.
* * * * * * * * * * * *
(1) Arrêt CJUE 3é ch. du 5 juillet 2012, Content Services Ltd c/ Bundesarbeitskammer, aff. C-49/11
(2) Directive 97/7/CE du Parlement européen et du Conseil du 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance. Cette directive doit être remplacée par la directive 2011/83 relative aux droits des consommateurs, à compter du 13 juin 2014. La directive 2011/83 reprend, à l’article 6, des dispositions relatives à l’obligation d’information concernant les contrats à distance.
(3) A noter que les dispositions de l’article 5 par. 1 ne s’appliquent pas aux services fournis en une seule fois et dont la facturation est effectuée par l’opérateur de la technique de communication.
(4) L’article L.121-19 du Code de la consommation dispose “I.-Le consommateur doit recevoir, par écrit ou sur un autre support durable à sa disposition, en temps utile et au plus tard au moment de la livraison :
1° Confirmation des informations mentionnées aux 1° à 4° de l'article L. 121-18 et de celles qui figurent en outre aux articles L. 111-1, L. 111-2 et L. 113-3 ainsi que de celles prévues pour l'application de l'article L. 214-1, à moins que le professionnel n'ait satisfait à cette obligation avant la conclusion du contrat ;
2° Une information sur les conditions et les modalités d'exercice du droit de rétractation ;
3° L'adresse de l'établissement du fournisseur où le consommateur peut présenter ses réclamations ;
4° Les informations relatives au service après vente et aux garanties commerciales ;
5° Les conditions de résiliation du contrat lorsque celui-ci est d'une durée indéterminée ou supérieure à un an.
II.-Les dispositions du présent article ne sont pas applicables aux services fournis en une seule fois au moyen d'une technique de communication à distance et facturés par l'opérateur de cette technique à l'exception du 3°.III.-Les moyens de communication permettant au consommateur de suivre l'exécution de sa commande, d'exercer son droit de rétractation ou de faire jouer la garantie ne supportent que des coûts de communication, à l'exclusion de tout coût complémentaire spécifique.”
(5) L’arrêt fait référence à un rapport du European Securities Markets Expert Group (ESME) de 2007 qui distinguait entre les “sites ordinaires” et les “sites sophistiqués”, considérant que certains sites sophistiqués pouvaient constituer un support durable. Ce point n’a pas été étudié plus avant par les juges dans la mesure où le site de la société Content Services n’entrait pas dans la catégorie des sites sophistiqués.
(6) Voir par exemple : CA Paris du 25 novembre 2010, SAS Karavel c/ epx Challet. Dans cette affaire, les utilisateurs contestaient, entre autre, l’opposabilité des CGV de l’exploitant du site. La Cour a estimé que le fait d’avoir coché une case mentionnant leur acceptation des CGV, celles-ci étant accessibles via un lien hypertexte, les engageait contractuellement. Ils ne pouvaient donc prétendre ne pas connaître les conditions contractuelles du site.
Bénédicte DELEPORTE
Avocat
août 2012
En l’espèce, la société Content Services Ltd proposait des services en ligne, dont le téléchargement de logiciels gratuits et payants et des abonnements en ligne. L’acceptation des conditions contractuelles se faisait via une case à cocher, avec un lien hypertexte vers la page des CGV du site. En cochant la case, l’internaute acceptait donc les CGV, qui mentionnaient notamment leur renonciation au droit de rétractation. Un organisme autrichien de protection des consommateurs a poursuivi Content Services devant les tribunaux autrichiens, considérant que cette société ne respectait pas les règles européennes en matière de protection des consommateurs et de conclusion des contrats à distance, notamment l’article 5 par.1 de la directive 97/7. Le tribunal autrichien a décidé de porter la demande devant la CJUE afin d’obtenir une décision préjudicielle.
En résumé, il était demandé à la CJUE de trancher la question de savoir si le fait, pour le e-commerçant, de communiquer au e-consommateur un lien hypertexte renvoyant aux conditions contractuelles consultables sur son site web, était ou non conforme aux exigences d’information du consommateur, posées par l’article 5 par. 1 de la directive.
1. La communication d’un lien hypertexte renvoyant vers une page du site web du vendeur répond-elle à l’exigence de “fourniture des informations” au sens de la directive ?
La directive 97/7/CE concerne la protection des consommateurs en matière de contrats à distance. (2) L’article 5 “Confirmation écrite des informations” dispose, au paragraphe 1 que “le consommateur doit recevoir, par écrit ou sur un autre support durable à sa disposition et auquel il a accès, confirmation des informations mentionnées à l’article 4 par. 1(…), en temps utile lors de l’exécution du contrat et au plus tard au moment de la livraison (…), à moins que ces informations n’aient déjà été fournies au consommateur préalablement à la conclusion du contrat par écrit ou sur un autre support durable à sa disposition et auquel il a accès.(…)”. (3)
Les informations devant être fournies comprennent notamment les conditions et modalités d’exercice du droit de rétractation, l’adresse géographique du fournisseur où le consommateur peut présenter ses réclamations, les informations relatives au SAV et aux garanties commerciales, les conditions de résiliation du contrat lorsque celui-ci est à durée indéterminée ou d’une durée supérieure à un an.
La directive 97/7 a été transposée en droit français, l’article 5 étant transposé à l’article L.121-19 du Code de la consommation. (4)
La première partie de la question posée à la CJUE portait sur la notion de “fourniture” des informations pertinentes au consommateur ou de “réception” de celles-ci, au sens de la directive.
En d’autres termes, le fait pour l’exploitant d’un site de e-commerce, de communiquer au consommateur un lien hypertexte qui renvoie vers les pages du site relatives aux CGV est-il suffisant et conforme aux exigences d’information de la directive ?
La réponse de la CJUE est négative. Selon les juges européens, la directive a pour objet la protection du consommateur, cette protection devant être renforcée en matière d’achat à distance. La protection du e-consommateur inclut la fourniture d’une information complète par le e-commerçant. A ce titre, le e-consommateur dispose notamment du droit de se rétracter postérieurement à son achat, sans avoir à se justifier.
La directive impose, à l’article 5, la “fourniture” des informations pertinentes au e-consommateur, ou sa “réception” de celles-ci. Les juges estiment que le consommateur ne doit pas avoir à faire d’efforts pour avoir accès à ces informations, par exemple, en devant cliquer sur un lien pour rechercher et accéder aux conditions contractuelles sur le site web, a fortiori dans la mesure où la grande majorité des utilisateurs acceptent les CGU/CGV des sites marchands quasiment automatiquement avant leur achat et ne les lisent jamais. Selon la Cour, un comportement passif des consommateurs doit suffire pour prendre effectivement connaissance des informations, sans même avoir à cliquer sur un lien pour se rendre sur une page web.
La Cour en conclut donc que lorsque ces informations ne sont accessibles que via un lien communiqué au consommateur, lesdites informations ne sont ni fournies au consommateur, ni reçues par celui-ci au sens de l’article 5 par. 1 de la directive.
2. La fourniture des informations via un lien hypertexte renvoyant vers une page du site web du vendeur répond-elle à l’exigence de “support durable” ?
L’article 5 par. 1 de la directive pose une deuxième condition en matière de fourniture des informations pertinentes au e-consommateur : celles-ci doivent être fournies par écrit ou sur un “support durable”.
Après avoir répondu à la question relative à la fourniture des informations, la Cour examine la notion de support durable. Ainsi, pour être considéré comme durable, un support doit répondre aux trois critères suivants : 1) permettre au consommateur de stocker les informations qui lui ont été adressées personnellement, 2) garantir l’absence d’altération de leur contenu ainsi que leur accessibilité pendant une durée appropriée, et 3) offrir aux consommateurs la possibilité de les reproduire telles quelles. En effet, le consommateur doit pouvoir conserver durablement les conditions contractuelles applicables à son achat afin de pouvoir y faire référence en cas de litige éventuel.
Or, selon les juges, le seul fait de renvoyer vers une page web, à partir d’un lien communiqué au consommateur, ne permet pas à celui-ci de stocker les informations dans les conditions rappelées ci-dessus. En outre, le contenu des pages web peut être modifié à tout moment par le e-commerçant. (5)
La CJUE estime donc que les informations qui sont uniquement disponibles sur un site internet, en passant par un lien hypertexte présenté par le vendeur, ne peuvent être considérées comme fournies sur un support durable, au sens de l’article 5 par. 1 de la directive.
3. Les conséquences pratiques de l’arrêt de la CJUE du 5 juillet 2012 pour les sites de e-commerce européens
L’intérêt de cette décision est qu’elle s’applique à l’ensemble des sites de e-commerce de l’Union. Or, à ce jour, de très nombreux sites de vente en ligne font accepter leurs conditions contractuelles (CGU et/ou CGV) en faisant cocher une case face à un lien hypertexte renvoyant vers la page correspondante. Les conditions peuvent parfois être téléchargées en format pdf et/ou être imprimées. D’autres sites ne prennent même pas la peine de faire accepter leurs conditions contractuelles par ce moyen, les CGV indiquant uniquement que le fait de commander un bien ou un service entraîne automatiquement l’accord des conditions contractuelles du marchand par le consommateur.
La décision de la CJUE du 5 juillet 2012 a pour effet de lever toute ambigüité sur l’opposabilité des conditions contractuelles (ou “informations pertinentes”) des e-commerçants aux e-consommateurs. Cet arrêt a pour effet de pousser la protection du e-consommateur vers un nouveau pallier, quitte à le déresponsabiliser un peu plus. Il contredit la pratique communément admise de l’acceptation des conditions contractuelles par opt-in et lien hypertexte, validée notamment par les tribunaux français. (6)
En conséquence, nombre de sites de e-commerce français et européens vont devoir adapter le mode de communication de leurs conditions contractuelles à leurs clients s’ils veulent s’assurer que ces conditions sont considérées comme effectivement acceptées par les consommateurs et qu’elles leurs sont donc opposables.
Cette adaptation s’articule autour de deux éléments : la “fourniture” effective des informations au consommateur, sur un “support durable”.
Ainsi, jusqu’à présent, les e-marchands adressaient un email de confirmation de commande au client, au contenu souvent générique. La mise en conformité aux dispositions de la directive passera, par exemple, par l’intégration en toutes lettres dans l’email de confirmation de commande des informations prévues à l’article 5 par.1 de la directive (article L.121-19 du Code de la consommation). Il est recommandé par ailleurs de faire en sorte que les CGU/CGV puissent être aisément imprimables et/ou disponibles sous format électronique non modifiable (support durable) et comprennent a minima une date d’effet, un numéro de version et/ou une empreinte d’horodatage.
A défaut de prendre ces précautions, le e-commerçant, sur qui repose la charge de la preuve de la fourniture des informations pertinentes et de la bonne exécution de ses obligations, pourra se voir imposer un droit de rétractation porté de 7 jours à 3 mois, des conditions contractuelles non opposables à ses clients, ainsi qu’une amende de 1500€ (3000€ en cas de récidive) en application de l’article R.121-1-1 du Code de la consommation.
Cette décision suscite une certaine perplexité : d’une part, rien n’obligera le consommateur à lire effectivement les conditions contractuelles lors d’un achat en ligne, quel que soit le mode de communication de ces conditions, via un lien hypertexte ou in extenso dans l’email de confirmation de commande par exemple ; d’autre part, à l’ère du m-commerce, encore moins d’acheteurs auront la volonté de lire les conditions contractuelles applicables à un achat, le plus souvent d’impulsion, sur un écran de smartphone... Le consommateur doit, certes pouvoir bénéficier d’une certaine protection contractuelle, il n’en doit pas moins prendre ses responsabilités d’acheteur, en lisant le contrat.
* * * * * * * * * * * *
(1) Arrêt CJUE 3é ch. du 5 juillet 2012, Content Services Ltd c/ Bundesarbeitskammer, aff. C-49/11
(2) Directive 97/7/CE du Parlement européen et du Conseil du 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance. Cette directive doit être remplacée par la directive 2011/83 relative aux droits des consommateurs, à compter du 13 juin 2014. La directive 2011/83 reprend, à l’article 6, des dispositions relatives à l’obligation d’information concernant les contrats à distance.
(3) A noter que les dispositions de l’article 5 par. 1 ne s’appliquent pas aux services fournis en une seule fois et dont la facturation est effectuée par l’opérateur de la technique de communication.
(4) L’article L.121-19 du Code de la consommation dispose “I.-Le consommateur doit recevoir, par écrit ou sur un autre support durable à sa disposition, en temps utile et au plus tard au moment de la livraison :
1° Confirmation des informations mentionnées aux 1° à 4° de l'article L. 121-18 et de celles qui figurent en outre aux articles L. 111-1, L. 111-2 et L. 113-3 ainsi que de celles prévues pour l'application de l'article L. 214-1, à moins que le professionnel n'ait satisfait à cette obligation avant la conclusion du contrat ;
2° Une information sur les conditions et les modalités d'exercice du droit de rétractation ;
3° L'adresse de l'établissement du fournisseur où le consommateur peut présenter ses réclamations ;
4° Les informations relatives au service après vente et aux garanties commerciales ;
5° Les conditions de résiliation du contrat lorsque celui-ci est d'une durée indéterminée ou supérieure à un an.
II.-Les dispositions du présent article ne sont pas applicables aux services fournis en une seule fois au moyen d'une technique de communication à distance et facturés par l'opérateur de cette technique à l'exception du 3°.III.-Les moyens de communication permettant au consommateur de suivre l'exécution de sa commande, d'exercer son droit de rétractation ou de faire jouer la garantie ne supportent que des coûts de communication, à l'exclusion de tout coût complémentaire spécifique.”
(5) L’arrêt fait référence à un rapport du European Securities Markets Expert Group (ESME) de 2007 qui distinguait entre les “sites ordinaires” et les “sites sophistiqués”, considérant que certains sites sophistiqués pouvaient constituer un support durable. Ce point n’a pas été étudié plus avant par les juges dans la mesure où le site de la société Content Services n’entrait pas dans la catégorie des sites sophistiqués.
(6) Voir par exemple : CA Paris du 25 novembre 2010, SAS Karavel c/ epx Challet. Dans cette affaire, les utilisateurs contestaient, entre autre, l’opposabilité des CGV de l’exploitant du site. La Cour a estimé que le fait d’avoir coché une case mentionnant leur acceptation des CGV, celles-ci étant accessibles via un lien hypertexte, les engageait contractuellement. Ils ne pouvaient donc prétendre ne pas connaître les conditions contractuelles du site.
Bénédicte DELEPORTE
Avocat
août 2012
lundi 20 août 2012
Géolocalisation et protection de la vie privée : la réglementation applicable aux données collectées
La géolocalisation, fonctionnalité présente sur la plupart des smartphones, offre des possibilités d’action de marketing ciblé intéressantes pour les entreprises (commerces, services, rencontres) et pour les utilisateurs. Toutefois, cette technologie rendant possible la surveillance des déplacements d'un individu, dans le temps et dans l’espace, peut donner lieu à certaines dérives et nuire à la vie privée des mobinautes. L'exploitation de services de géolocalisation est de ce fait, encadrée par la loi. Il appartient donc aux sociétés éditrices d'applications mobiles de géolocalisation et aux sociétés utilisant ces applications d'être vigilantes lors de la mise à disposition de ce service au public. Dès que l’exploitation d’un service de géolocalisation implique la collecte et le traitement de données à caractère personnel, ce service est soumis à la réglementation sur la protection de la vie privée.
Le présent article a pour objet de rappeler brièvement le cadre juridique applicable à l’utilisation de services de géolocalisation et le rôle de la CNIL dans ce domaine.
1. Le cadre juridique de la géolocalisation
La géolocalisation consiste notamment à communiquer des informations sur une personne en fonction de sa position géographique. Aussi, dès lors qu’une application mobile implique la collecte et l’exploitation d’informations relatives à la géolocalisation des mobinautes, le traitement de ces informations, considérées comme des données à caractère personnel, doit être conforme aux règles de respect de la vie privée. Les sociétés françaises éditrices et fournisseurs d'applications mobiles de géolocalisation et les sociétés souhaitant utiliser la géolocalisation relèvent de la loi Informatique et Libertés du 6 janvier 1978, en qualité de responsable de traitement. (1)
Un certain nombre d’obligations légales s’imposent aux sociétés exploitant ou utilisant un service de géolocalisation :
1.1 Les obligations relatives aux traitements de données de géolocalisation
La géolocalisation a le plus souvent pour finalité la collecte de données à caractère personnel. Il s’agit donc d’un traitement de données devant être déclaré à la CNIL préalablement à la mise en exploitation du service. (2)
Concernant les traitements de données de géolocalisation, les sociétés exploitant ce type de service doivent :
- respecter la finalité du traitement, qui doit être déterminée, explicite et légitime ;
- obtenir l’autorisation préalable de l’utilisateur de l'application mobile pour : (i) la collecte de ses données de localisation, cette autorisation pouvant être recueillie par l'intermédiaire d'une case à cocher (opt-in) au moment du téléchargement de l’application, ou éventuellement à tout moment pour activer ou désactiver l’application ou l’option de géolocalisation, et (ii) la conservation des informations liées à ses déplacements (historique des déplacements). En outre, l’utilisateur doit pouvoir revenir sur son consentement par un moyen simple et gratuit et pouvoir supprimer les données de localisation qui le concernent ;
- informer l'utilisateur du type de données collectées, de la durée de leur conservation, de la finalité du traitement, le cas échéant, des personnes à qui les données seront transmises (par exemples, commerçants ou gestionnaire de base cartographique) et de ses droits relatifs à ses données (droits d'accès, de rectification, de contestation et d'opposition (suppression/désinscription) au traitement des données).
La durée de conservation des données collectées doit être raisonnable, en fonction de l’objectif du traitement. Enfin l'entreprise devra assurer la sécurité des informations traitées en adoptant des mesures de sécurité physiques et techniques adaptées à la nature des données et aux risques présentés. (3)
1.2 Les obligations spécifiques à la réutilisation des données à des fins marketing, ou le “géo-marketing”
Les données de géolocalisation sont parfois utilisées pour envoyer de la publicité géo-ciblée sur le téléphone du mobinaute. Ainsi, grâce à cette technologie, des sociétés envoient aux mobinautes des publicités géo-ciblées, non seulement en fonction de qui ils sont (identité, goûts, habitudes), mais également en fonction de l'endroit où ils se trouvent. Le marketing ciblé basé sur de la géolocalisation n’est pas interdit par la loi. Cependant, les utilisateurs doivent être informés de la possible réutilisation de leurs données par des annonceurs tiers à des fins commerciales, et doivent avoir donné leur consentement (opt-in) pour recevoir ces messages. (4)
1.3 Les bonnes pratiques dans la mise en oeuvre d’un service de géolocalisation
Le Groupe de travail de l'article 29 a édité un Avis en mai 2011 regroupant des bonnes pratiques pour les éditeurs d'applications mobiles de géolocalisation.
Le Groupe de l’article 29 recommande ainsi aux sociétés souhaitant déployer un service de géolocalisation (i) d’informer clairement les mobinautes des raisons (finalités) pour lesquelles elles souhaitent utiliser leurs données, et d’obtenir leur consentement pour chacune de ces raisons ; (ii) d’offrir la possibilité aux mobinautes de choisir le niveau de géolocalisation (par exemple à l’échelle d’un pays, d’une ville, d’un code postal, ou d’un quartier) ; (iii) une fois que le service de localisation est activé, de mettre en place une icône, visible en permanence sur chaque écran, indiquant que les services de localisation sont activés et (iv) d’offrir la possibilité aux mobinautes de revenir sur leur consentement à tout moment, sans avoir à quitter l’application et d'être en mesure de supprimer facilement et de manière définitive toute donnée de localisation stockée sur le dispositif. (5)
2. Les pouvoirs de la CNIL et les sanctions encourues en cas de non-conformité aux obligations légales
2.1 La mission de la CNIL
La Commission est vigilante quant aux risques pouvant résulter d'un développement généralisé et banalisé de la géolocalisation. A ce titre, la CNIL a lancé plusieurs opérations de sensibilisation à l’attention de l’ensemble des citoyens et des dirigeants d’entreprises, notamment par l’intermédiaire de son site internet, afin de rappeler les règles applicables en matière de géolocalisation.
La CNIL s'est également prononcée contre de nouveaux dispositifs de géolocalisation qui lui paraissaient contrevenir aux droits des personnes car de nature trop intrusive. Par exemple, en 2009, la CNIL a demandé à la société Google de mettre son nouveau service de géolocalisation dénommé - Google Latitude - en conformité à la loi Informatique et Libertés. En 2010, la CNIL a mis en garde les membres Facebook contre le nouveau service Facebook Lieux, permettant d'indiquer sa position géographique à tout moment à un autre internaute. Le service permettait notamment de dévoiler des informations de nature privée et protégeable, pouvant être interceptées et réutilisées par des tiers malintentionnés. (6)
2.2 Les contrôles de la CNIL et les sanctions applicables en cas de non-conformité aux obligations légales
La Commission a par ailleurs renforcé les contrôles dans les entreprises proposant des services basés sur cette technologie, afin de s’assurer du respect de la vie privée des mobinautes. En effet, la CNIL dispose de la possibilité d'effectuer des contrôles sur place (dans les locaux de l’entreprise), au cours desquels les agents de la CNIL peuvent demander communication de tout document, recueillir tout renseignement utile et accéder aux serveurs, aux programmes informatiques et aux données afin de vérifier la conformité des traitements mis en oeuvre à la loi Informatique et Libertés.
La mise en place d'un dispositif de géolocalisation en violation des règles précitées peut conduire la CNIL à prononcer, à l’égard du chef d’entreprise qui méconnaît ses obligations, un avertissement, une mise en demeure, une sanction pécuniaire d’un montant maximum de 150.000€ (300.000€ en cas de récidive) et une injonction de cesser le traitement. La CNIL peut également décider de dénoncer les infractions à la loi au procureur de la République. Les manquements à la loi Informatique et Libertés sont punis jusqu'à 5 ans d’emprisonnement et 300.000€ d’amende.
La géolocalisation offre ainsi de nouvelles opportunités pour les professionnels souhaitant développer leurs actions de marketing. Toutefois, dès que des données personnelles sont collectées, cette technologie présente des risques liés à la protection de la vie privée en raison de son caractère particulièrement intrusif. En effet, ce type de technologie peut conduire, à défaut de paramétrage du téléphone ou en cas de piratage, à la surveillance constante des mobinautes, ignorant qu’ils transmettent leur position géographique et à qui ils la transmettent. C'est à ce titre que la loi impose des obligations aux sociétés exploitant un service de géolocalisation.
En conséquence, il est recommandé aux sociétés exploitant ce type de service de s’assurer de la conformité de leurs traitements au droit de la protection des données à caractère personnel et à défaut, de prendre toutes mesures nécessaires de mise en conformité.
* * * * * * * * * *
(1) Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée, dite Loi Informatique et Libertés.
(2) Toutefois, cette déclaration n’est pas nécessaire en cas de désignation, par l’entreprise mettant en oeuvre ce traitement, d’un Correspondant Informatique et Libertés (CIL). Le CIL veille à la conformité à la loi des traitements mis en oeuvre par l'organisme qui l'a désigné. Voir à ce sujet notre article Le Correspondant Informatique et Libertés, garant de la conformité des traitements de données personnelles à la loi, publié en décembre 2011 (http://dwavocat.blogspot.fr/2011/12/le-correspondant-informatique-et.html)
(3) Voir notamment article L.34-1-V du Code des postes et des communications électroniques.
(4) Voir notamment article L.34-5 du Code des postes et des communications électroniques.
(5) Le groupe de travail, établi en vertu de l’article 29 de la directive 95/46/CE regroupe des représentant des commissions sur le respect de la vie privée de chaque Etat-membre. Concernant la géolocalisation, voir l’Avis 13/2011 sur les services de géolocalisation des dispositifs mobiles intelligents, adopté le 16 mai 2011.
(6) Communiqué CNIL, "Contrôler Latitude", du 11 juin 2009 et Avis CNIL, "Facebook Place en questions", du 15 octobre 2010, accessibles sur le site www.cnil.fr
Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Août 2012
Le présent article a pour objet de rappeler brièvement le cadre juridique applicable à l’utilisation de services de géolocalisation et le rôle de la CNIL dans ce domaine.
1. Le cadre juridique de la géolocalisation
La géolocalisation consiste notamment à communiquer des informations sur une personne en fonction de sa position géographique. Aussi, dès lors qu’une application mobile implique la collecte et l’exploitation d’informations relatives à la géolocalisation des mobinautes, le traitement de ces informations, considérées comme des données à caractère personnel, doit être conforme aux règles de respect de la vie privée. Les sociétés françaises éditrices et fournisseurs d'applications mobiles de géolocalisation et les sociétés souhaitant utiliser la géolocalisation relèvent de la loi Informatique et Libertés du 6 janvier 1978, en qualité de responsable de traitement. (1)
Un certain nombre d’obligations légales s’imposent aux sociétés exploitant ou utilisant un service de géolocalisation :
1.1 Les obligations relatives aux traitements de données de géolocalisation
La géolocalisation a le plus souvent pour finalité la collecte de données à caractère personnel. Il s’agit donc d’un traitement de données devant être déclaré à la CNIL préalablement à la mise en exploitation du service. (2)
Concernant les traitements de données de géolocalisation, les sociétés exploitant ce type de service doivent :
- respecter la finalité du traitement, qui doit être déterminée, explicite et légitime ;
- obtenir l’autorisation préalable de l’utilisateur de l'application mobile pour : (i) la collecte de ses données de localisation, cette autorisation pouvant être recueillie par l'intermédiaire d'une case à cocher (opt-in) au moment du téléchargement de l’application, ou éventuellement à tout moment pour activer ou désactiver l’application ou l’option de géolocalisation, et (ii) la conservation des informations liées à ses déplacements (historique des déplacements). En outre, l’utilisateur doit pouvoir revenir sur son consentement par un moyen simple et gratuit et pouvoir supprimer les données de localisation qui le concernent ;
- informer l'utilisateur du type de données collectées, de la durée de leur conservation, de la finalité du traitement, le cas échéant, des personnes à qui les données seront transmises (par exemples, commerçants ou gestionnaire de base cartographique) et de ses droits relatifs à ses données (droits d'accès, de rectification, de contestation et d'opposition (suppression/désinscription) au traitement des données).
La durée de conservation des données collectées doit être raisonnable, en fonction de l’objectif du traitement. Enfin l'entreprise devra assurer la sécurité des informations traitées en adoptant des mesures de sécurité physiques et techniques adaptées à la nature des données et aux risques présentés. (3)
1.2 Les obligations spécifiques à la réutilisation des données à des fins marketing, ou le “géo-marketing”
Les données de géolocalisation sont parfois utilisées pour envoyer de la publicité géo-ciblée sur le téléphone du mobinaute. Ainsi, grâce à cette technologie, des sociétés envoient aux mobinautes des publicités géo-ciblées, non seulement en fonction de qui ils sont (identité, goûts, habitudes), mais également en fonction de l'endroit où ils se trouvent. Le marketing ciblé basé sur de la géolocalisation n’est pas interdit par la loi. Cependant, les utilisateurs doivent être informés de la possible réutilisation de leurs données par des annonceurs tiers à des fins commerciales, et doivent avoir donné leur consentement (opt-in) pour recevoir ces messages. (4)
1.3 Les bonnes pratiques dans la mise en oeuvre d’un service de géolocalisation
Le Groupe de travail de l'article 29 a édité un Avis en mai 2011 regroupant des bonnes pratiques pour les éditeurs d'applications mobiles de géolocalisation.
Le Groupe de l’article 29 recommande ainsi aux sociétés souhaitant déployer un service de géolocalisation (i) d’informer clairement les mobinautes des raisons (finalités) pour lesquelles elles souhaitent utiliser leurs données, et d’obtenir leur consentement pour chacune de ces raisons ; (ii) d’offrir la possibilité aux mobinautes de choisir le niveau de géolocalisation (par exemple à l’échelle d’un pays, d’une ville, d’un code postal, ou d’un quartier) ; (iii) une fois que le service de localisation est activé, de mettre en place une icône, visible en permanence sur chaque écran, indiquant que les services de localisation sont activés et (iv) d’offrir la possibilité aux mobinautes de revenir sur leur consentement à tout moment, sans avoir à quitter l’application et d'être en mesure de supprimer facilement et de manière définitive toute donnée de localisation stockée sur le dispositif. (5)
2. Les pouvoirs de la CNIL et les sanctions encourues en cas de non-conformité aux obligations légales
2.1 La mission de la CNIL
La Commission est vigilante quant aux risques pouvant résulter d'un développement généralisé et banalisé de la géolocalisation. A ce titre, la CNIL a lancé plusieurs opérations de sensibilisation à l’attention de l’ensemble des citoyens et des dirigeants d’entreprises, notamment par l’intermédiaire de son site internet, afin de rappeler les règles applicables en matière de géolocalisation.
La CNIL s'est également prononcée contre de nouveaux dispositifs de géolocalisation qui lui paraissaient contrevenir aux droits des personnes car de nature trop intrusive. Par exemple, en 2009, la CNIL a demandé à la société Google de mettre son nouveau service de géolocalisation dénommé - Google Latitude - en conformité à la loi Informatique et Libertés. En 2010, la CNIL a mis en garde les membres Facebook contre le nouveau service Facebook Lieux, permettant d'indiquer sa position géographique à tout moment à un autre internaute. Le service permettait notamment de dévoiler des informations de nature privée et protégeable, pouvant être interceptées et réutilisées par des tiers malintentionnés. (6)
2.2 Les contrôles de la CNIL et les sanctions applicables en cas de non-conformité aux obligations légales
La Commission a par ailleurs renforcé les contrôles dans les entreprises proposant des services basés sur cette technologie, afin de s’assurer du respect de la vie privée des mobinautes. En effet, la CNIL dispose de la possibilité d'effectuer des contrôles sur place (dans les locaux de l’entreprise), au cours desquels les agents de la CNIL peuvent demander communication de tout document, recueillir tout renseignement utile et accéder aux serveurs, aux programmes informatiques et aux données afin de vérifier la conformité des traitements mis en oeuvre à la loi Informatique et Libertés.
La mise en place d'un dispositif de géolocalisation en violation des règles précitées peut conduire la CNIL à prononcer, à l’égard du chef d’entreprise qui méconnaît ses obligations, un avertissement, une mise en demeure, une sanction pécuniaire d’un montant maximum de 150.000€ (300.000€ en cas de récidive) et une injonction de cesser le traitement. La CNIL peut également décider de dénoncer les infractions à la loi au procureur de la République. Les manquements à la loi Informatique et Libertés sont punis jusqu'à 5 ans d’emprisonnement et 300.000€ d’amende.
La géolocalisation offre ainsi de nouvelles opportunités pour les professionnels souhaitant développer leurs actions de marketing. Toutefois, dès que des données personnelles sont collectées, cette technologie présente des risques liés à la protection de la vie privée en raison de son caractère particulièrement intrusif. En effet, ce type de technologie peut conduire, à défaut de paramétrage du téléphone ou en cas de piratage, à la surveillance constante des mobinautes, ignorant qu’ils transmettent leur position géographique et à qui ils la transmettent. C'est à ce titre que la loi impose des obligations aux sociétés exploitant un service de géolocalisation.
En conséquence, il est recommandé aux sociétés exploitant ce type de service de s’assurer de la conformité de leurs traitements au droit de la protection des données à caractère personnel et à défaut, de prendre toutes mesures nécessaires de mise en conformité.
* * * * * * * * * *
(1) Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée, dite Loi Informatique et Libertés.
(2) Toutefois, cette déclaration n’est pas nécessaire en cas de désignation, par l’entreprise mettant en oeuvre ce traitement, d’un Correspondant Informatique et Libertés (CIL). Le CIL veille à la conformité à la loi des traitements mis en oeuvre par l'organisme qui l'a désigné. Voir à ce sujet notre article Le Correspondant Informatique et Libertés, garant de la conformité des traitements de données personnelles à la loi, publié en décembre 2011 (http://dwavocat.blogspot.fr/2011/12/le-correspondant-informatique-et.html)
(3) Voir notamment article L.34-1-V du Code des postes et des communications électroniques.
(4) Voir notamment article L.34-5 du Code des postes et des communications électroniques.
(5) Le groupe de travail, établi en vertu de l’article 29 de la directive 95/46/CE regroupe des représentant des commissions sur le respect de la vie privée de chaque Etat-membre. Concernant la géolocalisation, voir l’Avis 13/2011 sur les services de géolocalisation des dispositifs mobiles intelligents, adopté le 16 mai 2011.
(6) Communiqué CNIL, "Contrôler Latitude", du 11 juin 2009 et Avis CNIL, "Facebook Place en questions", du 15 octobre 2010, accessibles sur le site www.cnil.fr
Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Août 2012
dimanche 29 juillet 2012
La recommandation de la CNIL sur le Cloud computing : vers une évolution des rôles et responsabilités entre clients et prestataires
Les services de Cloud computing sont en fort développement, tirés par des aspects économiques et de flexibilité de service, possibles grâce à la mutualisation des ressources entre les clients. Le recours au Cloud computing pose cependant plusieurs questions et problèmes liés notamment à la localisation des données, à leur sécurité, à leur accessibilité, au droit applicable, à la réversibilité. (1)
La CNIL avait publié une consultation publique fin 2011, demandant aux entreprises qui le souhaitaient de fournir leurs réflexions, dans le cadre des questions posées, avec pour finalité la publication d’un rapport pour améliorer l’encadrement juridique du Cloud computing. Pour rappel, la consultation portait sur cinq séries de questions : 1) qu'est-ce qui caractérise un service de Cloud computing ? 2) Le statut et les responsabilités du sous-traitant des données, applicables au prestataire Cloud, doivent-ils évoluer ? 3) Quels critères utiliser pour déterminer la loi applicable aux services Cloud ? 4) Quels outils juridiques permettraient de mieux encadrer les transferts de données vers des pays ne disposant pas d'un niveau de protection adéquat ? 5) Quelles mesures de sécurité devraient être adoptées (mesures techniques et gestion des accès aux données) pour garantir la confidentialité des données ?
Après analyse des contributions, la CNIL a publié ses recommandations le 25 juin dernier. (2)
Nous faisons ci-après une synthèse des principaux points couverts par la CNIL, sur la base des deux axes suivants : l’évolution de la notion de responsable du traitement et la nécessité de bâtir la confiance entre prestataires et clients, via des engagements forts en matière de sécurité et de transparence dans les procédures déployées.
1. L’évolution de la notion de responsable de traitement induite par le développement des services de Cloud computing
En matière de traitements de données à caractère personnel, le responsable de traitement est en principe le client. En effet, le client, en qualité de collecteur des données à caractère personnel, en détermine les finalités et les moyens de traitement. (3) Cependant, hors Cloud privé, le client ayant recours à un service de Cloud computing n’a plus la maîtrise effective du traitement. Il est donc nécessaire de réfléchir à l’évolution de la notion de responsable de traitement au regard des rôles effectifs joués respectivement par le client et par le prestataire.
1.1 Service Cloud et maîtrise des traitements de données à caractère personnel
Dans le cadre des Cloud publics, le fonctionnement et les objectifs du service sont définis par le prestataire, autour d’une prestation standardisée. Le rôle du prestataire ne se limite plus à celui d’un simple sous-traitant qui ne ferait que traiter les données personnelles pour le compte du client et selon ses instructions.
Les conditions posées par l’article 3 de la loi Informatique et Libertés, qui définit la notion de responsable de traitement, ne sont donc plus nécessairement réunies. Afin de déterminer les rôles respectifs du client et du prestataire, la CNIL préconise d’appliquer un faisceau d’indices. Selon les résultats de ce test, les rôles de responsable de traitement et de sous-traitant peuvent être amenés à évoluer et être revus.
Ce faisceau d’indices comprend les quatre critères suivants :
- l’évaluation du niveau d’instruction donné par le client au prestataire. Plus le degré d’autonomie du prestataire dans la réalisation de la prestation sera élevé, plus la tendance sera de le considérer également comme responsable de traitement ;
- le degré de contrôle de l’exécution de la prestation du prestataire par le client ;
- la valeur ajoutée fournie par le prestataire sur le traitement des données du client, et donc, le niveau de maîtrise du traitement de données par le prestataire ;
- le degré de transparence du client sur le recours à un prestataire Cloud.
Ainsi, plus le client sera passif, et en contrepartie, plus le prestataire s’impliquera dans le traitement, plus la tendance sera de considérer ce dernier également comme responsable de traitement. L’application des critères définis ci-dessus aux offres de service Cloud standardisées, soumises à la maîtrise du service par le prestataire et entraînant une moindre implication du client, devrait permettre de retenir la qualification de responsable de traitement pour le prestataire dans la mesure où celui-ci participe de manière effective à la détermination des finalités et des moyens des traitements de données personnelles.
1.2 Responsable ou co-responsables du traitement
Cependant, même si le prestataire peut être considéré comme responsable de traitement et non plus comme simple sous-traitant du client, cela ne signifie pas pour autant que le client sera dégagé de toute responsabilité concernant les traitements mis en oeuvre.
Le client reste en effet celui qui collecte les données à caractère personnel et qui les utilisera (par exemple dans le cadre de ses activités de gestion de la relation clients, ou de ses campagnes de marketing, ou encore de gestion des RH). En revanche, le client n’aura plus la maîtrise des moyens mis en oeuvre, de l’accès aux données, ou des mesures de sécurité appliquées auxdits traitements.
En d’autres termes, le fait de déclarer que le prestataire peut également être considéré comme responsable de traitement ne signifie pas que le client perdra ce rôle en contrepartie. Doit-on alors envisager la notion de co-responsables de traitement ?
Comme le relève justement la CNIL, la co-responsabilité est source d’insécurité juridique et de dilution des responsabilités. Ainsi, plutôt que d’être globalement co-responsables de traitement et de diluer les responsabilités, la CNIL recommande aux parties d’identifier les pôles de responsabilité respectifs dans le cadre du contrat de prestation. La CNIL propose un tableau afin d’aider clients et prestataires à identifier, pour chaque étape (formalités déclaratives, information des personnes, obligation de confidentialité et de sécurité, exercice des droits des personnes concernées - droit d’accès et de rectification), qui du client ou du prestataire, sera effectivement responsable. La définition effective des étapes et des partages de responsabilités devra se faire dans le cadre du contrat de prestation de Cloud computing.
Le rôle du sous-traitant, dans le cadre des traitements de données personnelles, n’est pas pour l’instant défini de manière spécifique. Le projet de règlement européen relatif à la protection des données personnelles du 25 janvier 2012 prévoit la création d’un régime légal du sous-traitant, soumis à une liste d’obligations communes avec le responsable de traitement. (4)
2. L’avenir des services en Cloud computing passe par la confiance
Une meilleure redéfinition des rôles et des responsabilités des clients et prestataires est illusoire si, en parallèle, la question de la confiance des clients dans les prestataires et les services fournis reste en deçà des attentes. Les deux piliers de la confiance sont, d’une part les engagements relatifs à la sécurité du service, d’autre part une plus grande transparence des prestataires relative aux procédures en place.
2.1 La question sensible de la sécurité du service
Bien que l’utilisation du Cloud computing se développe, l’un des freins au passage au Cloud reste la sécurité. En effet, de nombreuses entreprises sont encore réticentes à l’idée d’externaliser leurs données, que celles-ci soient de nature commerciale, protégées par le droit d’auteur, à caractère personnel ou autre.
La sécurité recouvre plusieurs questions : celle de l’accès aux données et de la disponibilité du service (les derniers incidents d’interruption de service subis récemment par des prestataires majeurs du Cloud ont encore exacerbé les craintes des utilisateurs), celle de la réversibilité en fin de contrat (question du transfert à un nouveau prestataire et de l’interopérabilité des systèmes), et surtout, celle de la sécurité du système du prestataire (imperméabilité du système aux intrusions de tiers).
Ces différentes questions passent par des contrats intégrant de réels engagements de la part des prestataires, avec SLA (Service level agreement ou engagement de service) et PLA (Privacy level agreement ou engagement de protection des données - ce concept de PLA étant en cours de développement).
La CNIL, dans sa recommandation, inclut une liste d’engagements à prendre en compte dans le contrat (tel que la responsabilité en cas de perte de données).
2.2 Une plus grande transparence dans les procédures mises en place
L’un des avantages, et des problèmes, du Cloud computing est la possibilité pour les prestataires d’utiliser des centres serveurs délocalisés, avec une multiplication des lieux de traitement et de stockage des données. Les procédés actuellement déployés par les prestataires sont rarement décrits de manière claire et précise dans les contrats.
A ce sujet, la CNIL recommande aux prestataires d’intégrer des clauses-types dans leurs contrats de prestation et de mettre en place des règles du type BCR (Binding corporate rules, ou règles d’entreprise contraignantes).
Les clauses contractuelles types proposées par la CNIL, dont l’objet est de mieux encadrer les transferts de données hors Union européenne, diffèrent suivant que : (i) le prestataire Cloud est localisé hors UE et agit en qualité de sous-traitant, (ii) le prestataire Cloud est localisé hors UE et agit en qualité de responsable de traitement, ou (iii) le prestataire Cloud est localisé dans l’UE, agit en qualité de sous-traitant et transfère les données à un sous-traitant (de 2é niveau) situé hors UE.
Par ailleurs, les “BCR sous-traitants” sont un nouvel outil, de nature contractuelle, qui permettrait d’améliorer la transparence et la confiance dans les services proposés.
Les BCR sont des accords intra-groupes (ou codes de conduite), développés et déployés par certaines entreprises multinationales afin de faciliter les transferts de données personnelles entre les sociétés d’un même groupe, en contrepartie d’engagements forts de la part du groupe en matière de respect de la réglementation européenne sur la protection des données personnelles. Pour être appliqués, les BCR doivent avoir été validés par l’une des commissions européennes pour la protection des données. Ce concept, qui a fait ses preuves au niveau des multinationales l’ayant adopté, pourrait effectivement être reproduit pour les prestataires Cloud. Ceux-ci pourraient adopter des BCR sous-traitants applicables aux sociétés de leurs groupes afin de garantir un niveau de protection adéquat aux données personnelles des clients, transférées au sein du groupe du prestataire.
Il n’est pas encore possible de mettre en oeuvre des “BCR sous-traitants”. Cependant, cette notion de BCR sous-traitant est prévue dans le projet de règlement européen du 25 janvier 2012. Ils intégreraient notamment une liste d’engagements techniques de la part des prestataires Cloud (tels que par exemple le recours à des metadonnées, ou le recours au chiffrement).
Les BCR sous-traitant semblent donc être un outil qui permettrait d’apporter les éléments nécessaires à l’amélioration de la confiance dans la prestation de Cloud computing.
Bien que la recommandation de la CNIL se focalise en premier lieu sur les données à caractère personnel, la réflexion vaut autant pour les données personnelles que pour les autres catégories de données transférées par les entreprises sur le Cloud. Le document comprend en fait 5 séries de recommandations, dont l’objet est d’aider les entreprises dans leur prise de décision de passage au Cloud computing : 1) identifier clairement les données et les traitements qui passeront dans le Cloud, 2) définir ses propres exigences de sécurité technique et juridique, 3) conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise, 4) identifier le type de Cloud pertinent pour le traitement envisagé et 5) choisir un prestataire présentant des garanties suffisantes. Les aspects juridiques à prendre en compte sont complétés par des clauses contractuelles types.
Le recours à une prestation de Cloud computing nécessite donc, pour le client, de procéder au choix du prestataire et de service adaptés après avoir établi une analyse des besoins et des risques, et identifié les mesures de sécurité nécessaires compte tenu du type de service contracté.
* * * * * * * * * * *
(1) La définition de Cloud computing retenue dans la recommandation de la CNIL comprend le panel des offres de services informatiques fournis en ligne par des prestataires spécialisés : SaaS (Software as a Service, ou accès à des logiciels en ligne), PaaS (Platform as a Service, ou accès à une plateforme de développement d’applications en ligne) et IaaS (Infrastructure as a Service, ou fourniture d’une infrastructure informatique - serveurs, stockage, etc. - en ligne)
(2) La recommandation de la CNIL est consultable à l’URL: http://www.cnil.fr/la-cnil/actualite/article/article/cloud-computing-les-conseils-de-la-cnil-pour-les-entreprises-qui-utilisent-ces-nouveaux-services/ ; A noter également que le Groupe de l’Article 29 (groupe de travail des commissions européennes de protection des données personnelles) a publié ses propres recommandations relatives au Cloud computing le 1er juillet 2012, dans lesquelles on retrouve les grandes thématiques et recommandations émises par la CNIL.
(3) La notion de responsable de traitement est définie à l’article 3 I de la loi du 6 janvier 1978 modifiée, dite loi Informatique et Libertés, comme suit : “Le responsable d'un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités et ses moyens.”
(4) Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) du 25 janvier 2012
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
juillet 2012
La CNIL avait publié une consultation publique fin 2011, demandant aux entreprises qui le souhaitaient de fournir leurs réflexions, dans le cadre des questions posées, avec pour finalité la publication d’un rapport pour améliorer l’encadrement juridique du Cloud computing. Pour rappel, la consultation portait sur cinq séries de questions : 1) qu'est-ce qui caractérise un service de Cloud computing ? 2) Le statut et les responsabilités du sous-traitant des données, applicables au prestataire Cloud, doivent-ils évoluer ? 3) Quels critères utiliser pour déterminer la loi applicable aux services Cloud ? 4) Quels outils juridiques permettraient de mieux encadrer les transferts de données vers des pays ne disposant pas d'un niveau de protection adéquat ? 5) Quelles mesures de sécurité devraient être adoptées (mesures techniques et gestion des accès aux données) pour garantir la confidentialité des données ?
Après analyse des contributions, la CNIL a publié ses recommandations le 25 juin dernier. (2)
Nous faisons ci-après une synthèse des principaux points couverts par la CNIL, sur la base des deux axes suivants : l’évolution de la notion de responsable du traitement et la nécessité de bâtir la confiance entre prestataires et clients, via des engagements forts en matière de sécurité et de transparence dans les procédures déployées.
1. L’évolution de la notion de responsable de traitement induite par le développement des services de Cloud computing
En matière de traitements de données à caractère personnel, le responsable de traitement est en principe le client. En effet, le client, en qualité de collecteur des données à caractère personnel, en détermine les finalités et les moyens de traitement. (3) Cependant, hors Cloud privé, le client ayant recours à un service de Cloud computing n’a plus la maîtrise effective du traitement. Il est donc nécessaire de réfléchir à l’évolution de la notion de responsable de traitement au regard des rôles effectifs joués respectivement par le client et par le prestataire.
1.1 Service Cloud et maîtrise des traitements de données à caractère personnel
Dans le cadre des Cloud publics, le fonctionnement et les objectifs du service sont définis par le prestataire, autour d’une prestation standardisée. Le rôle du prestataire ne se limite plus à celui d’un simple sous-traitant qui ne ferait que traiter les données personnelles pour le compte du client et selon ses instructions.
Les conditions posées par l’article 3 de la loi Informatique et Libertés, qui définit la notion de responsable de traitement, ne sont donc plus nécessairement réunies. Afin de déterminer les rôles respectifs du client et du prestataire, la CNIL préconise d’appliquer un faisceau d’indices. Selon les résultats de ce test, les rôles de responsable de traitement et de sous-traitant peuvent être amenés à évoluer et être revus.
Ce faisceau d’indices comprend les quatre critères suivants :
- l’évaluation du niveau d’instruction donné par le client au prestataire. Plus le degré d’autonomie du prestataire dans la réalisation de la prestation sera élevé, plus la tendance sera de le considérer également comme responsable de traitement ;
- le degré de contrôle de l’exécution de la prestation du prestataire par le client ;
- la valeur ajoutée fournie par le prestataire sur le traitement des données du client, et donc, le niveau de maîtrise du traitement de données par le prestataire ;
- le degré de transparence du client sur le recours à un prestataire Cloud.
Ainsi, plus le client sera passif, et en contrepartie, plus le prestataire s’impliquera dans le traitement, plus la tendance sera de considérer ce dernier également comme responsable de traitement. L’application des critères définis ci-dessus aux offres de service Cloud standardisées, soumises à la maîtrise du service par le prestataire et entraînant une moindre implication du client, devrait permettre de retenir la qualification de responsable de traitement pour le prestataire dans la mesure où celui-ci participe de manière effective à la détermination des finalités et des moyens des traitements de données personnelles.
1.2 Responsable ou co-responsables du traitement
Cependant, même si le prestataire peut être considéré comme responsable de traitement et non plus comme simple sous-traitant du client, cela ne signifie pas pour autant que le client sera dégagé de toute responsabilité concernant les traitements mis en oeuvre.
Le client reste en effet celui qui collecte les données à caractère personnel et qui les utilisera (par exemple dans le cadre de ses activités de gestion de la relation clients, ou de ses campagnes de marketing, ou encore de gestion des RH). En revanche, le client n’aura plus la maîtrise des moyens mis en oeuvre, de l’accès aux données, ou des mesures de sécurité appliquées auxdits traitements.
En d’autres termes, le fait de déclarer que le prestataire peut également être considéré comme responsable de traitement ne signifie pas que le client perdra ce rôle en contrepartie. Doit-on alors envisager la notion de co-responsables de traitement ?
Comme le relève justement la CNIL, la co-responsabilité est source d’insécurité juridique et de dilution des responsabilités. Ainsi, plutôt que d’être globalement co-responsables de traitement et de diluer les responsabilités, la CNIL recommande aux parties d’identifier les pôles de responsabilité respectifs dans le cadre du contrat de prestation. La CNIL propose un tableau afin d’aider clients et prestataires à identifier, pour chaque étape (formalités déclaratives, information des personnes, obligation de confidentialité et de sécurité, exercice des droits des personnes concernées - droit d’accès et de rectification), qui du client ou du prestataire, sera effectivement responsable. La définition effective des étapes et des partages de responsabilités devra se faire dans le cadre du contrat de prestation de Cloud computing.
Le rôle du sous-traitant, dans le cadre des traitements de données personnelles, n’est pas pour l’instant défini de manière spécifique. Le projet de règlement européen relatif à la protection des données personnelles du 25 janvier 2012 prévoit la création d’un régime légal du sous-traitant, soumis à une liste d’obligations communes avec le responsable de traitement. (4)
2. L’avenir des services en Cloud computing passe par la confiance
Une meilleure redéfinition des rôles et des responsabilités des clients et prestataires est illusoire si, en parallèle, la question de la confiance des clients dans les prestataires et les services fournis reste en deçà des attentes. Les deux piliers de la confiance sont, d’une part les engagements relatifs à la sécurité du service, d’autre part une plus grande transparence des prestataires relative aux procédures en place.
2.1 La question sensible de la sécurité du service
Bien que l’utilisation du Cloud computing se développe, l’un des freins au passage au Cloud reste la sécurité. En effet, de nombreuses entreprises sont encore réticentes à l’idée d’externaliser leurs données, que celles-ci soient de nature commerciale, protégées par le droit d’auteur, à caractère personnel ou autre.
La sécurité recouvre plusieurs questions : celle de l’accès aux données et de la disponibilité du service (les derniers incidents d’interruption de service subis récemment par des prestataires majeurs du Cloud ont encore exacerbé les craintes des utilisateurs), celle de la réversibilité en fin de contrat (question du transfert à un nouveau prestataire et de l’interopérabilité des systèmes), et surtout, celle de la sécurité du système du prestataire (imperméabilité du système aux intrusions de tiers).
Ces différentes questions passent par des contrats intégrant de réels engagements de la part des prestataires, avec SLA (Service level agreement ou engagement de service) et PLA (Privacy level agreement ou engagement de protection des données - ce concept de PLA étant en cours de développement).
La CNIL, dans sa recommandation, inclut une liste d’engagements à prendre en compte dans le contrat (tel que la responsabilité en cas de perte de données).
2.2 Une plus grande transparence dans les procédures mises en place
L’un des avantages, et des problèmes, du Cloud computing est la possibilité pour les prestataires d’utiliser des centres serveurs délocalisés, avec une multiplication des lieux de traitement et de stockage des données. Les procédés actuellement déployés par les prestataires sont rarement décrits de manière claire et précise dans les contrats.
A ce sujet, la CNIL recommande aux prestataires d’intégrer des clauses-types dans leurs contrats de prestation et de mettre en place des règles du type BCR (Binding corporate rules, ou règles d’entreprise contraignantes).
Les clauses contractuelles types proposées par la CNIL, dont l’objet est de mieux encadrer les transferts de données hors Union européenne, diffèrent suivant que : (i) le prestataire Cloud est localisé hors UE et agit en qualité de sous-traitant, (ii) le prestataire Cloud est localisé hors UE et agit en qualité de responsable de traitement, ou (iii) le prestataire Cloud est localisé dans l’UE, agit en qualité de sous-traitant et transfère les données à un sous-traitant (de 2é niveau) situé hors UE.
Par ailleurs, les “BCR sous-traitants” sont un nouvel outil, de nature contractuelle, qui permettrait d’améliorer la transparence et la confiance dans les services proposés.
Les BCR sont des accords intra-groupes (ou codes de conduite), développés et déployés par certaines entreprises multinationales afin de faciliter les transferts de données personnelles entre les sociétés d’un même groupe, en contrepartie d’engagements forts de la part du groupe en matière de respect de la réglementation européenne sur la protection des données personnelles. Pour être appliqués, les BCR doivent avoir été validés par l’une des commissions européennes pour la protection des données. Ce concept, qui a fait ses preuves au niveau des multinationales l’ayant adopté, pourrait effectivement être reproduit pour les prestataires Cloud. Ceux-ci pourraient adopter des BCR sous-traitants applicables aux sociétés de leurs groupes afin de garantir un niveau de protection adéquat aux données personnelles des clients, transférées au sein du groupe du prestataire.
Il n’est pas encore possible de mettre en oeuvre des “BCR sous-traitants”. Cependant, cette notion de BCR sous-traitant est prévue dans le projet de règlement européen du 25 janvier 2012. Ils intégreraient notamment une liste d’engagements techniques de la part des prestataires Cloud (tels que par exemple le recours à des metadonnées, ou le recours au chiffrement).
Les BCR sous-traitant semblent donc être un outil qui permettrait d’apporter les éléments nécessaires à l’amélioration de la confiance dans la prestation de Cloud computing.
Bien que la recommandation de la CNIL se focalise en premier lieu sur les données à caractère personnel, la réflexion vaut autant pour les données personnelles que pour les autres catégories de données transférées par les entreprises sur le Cloud. Le document comprend en fait 5 séries de recommandations, dont l’objet est d’aider les entreprises dans leur prise de décision de passage au Cloud computing : 1) identifier clairement les données et les traitements qui passeront dans le Cloud, 2) définir ses propres exigences de sécurité technique et juridique, 3) conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise, 4) identifier le type de Cloud pertinent pour le traitement envisagé et 5) choisir un prestataire présentant des garanties suffisantes. Les aspects juridiques à prendre en compte sont complétés par des clauses contractuelles types.
Le recours à une prestation de Cloud computing nécessite donc, pour le client, de procéder au choix du prestataire et de service adaptés après avoir établi une analyse des besoins et des risques, et identifié les mesures de sécurité nécessaires compte tenu du type de service contracté.
* * * * * * * * * * *
(1) La définition de Cloud computing retenue dans la recommandation de la CNIL comprend le panel des offres de services informatiques fournis en ligne par des prestataires spécialisés : SaaS (Software as a Service, ou accès à des logiciels en ligne), PaaS (Platform as a Service, ou accès à une plateforme de développement d’applications en ligne) et IaaS (Infrastructure as a Service, ou fourniture d’une infrastructure informatique - serveurs, stockage, etc. - en ligne)
(2) La recommandation de la CNIL est consultable à l’URL: http://www.cnil.fr/la-cnil/actualite/article/article/cloud-computing-les-conseils-de-la-cnil-pour-les-entreprises-qui-utilisent-ces-nouveaux-services/ ; A noter également que le Groupe de l’Article 29 (groupe de travail des commissions européennes de protection des données personnelles) a publié ses propres recommandations relatives au Cloud computing le 1er juillet 2012, dans lesquelles on retrouve les grandes thématiques et recommandations émises par la CNIL.
(3) La notion de responsable de traitement est définie à l’article 3 I de la loi du 6 janvier 1978 modifiée, dite loi Informatique et Libertés, comme suit : “Le responsable d'un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités et ses moyens.”
(4) Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) du 25 janvier 2012
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
juillet 2012
vendredi 13 juillet 2012
Les règles juridiques applicables à la constitution de fichiers de clients indésirables et listes noires
De nombreux organismes privés (entreprises, associations, syndicats professionnels) ou publics, quels que soient leurs domaines d’activité, constituent des fichiers recensant les mauvais payeurs, fraudeurs, ou personnes à risques. Ces listes d'exclusions, ou listes négatives, sont communément appelées "listes noires".
La position de la CNIL concernant ces types de fichiers a évolué avec le temps. Alors que la constitution de ces fichiers était quasiment interdite, car interdisant des catégories de personnes d’avoir accès à des produits ou services, la position de la Commission s’est assouplie, de manière assez pragmatique, afin de prendre en compte le développement de la fraude au paiement sur internet par exemple. C'est ainsi que, dans un rapport de 2003, la CNIL a publié plusieurs propositions et principes (information des personnes, proportionnalité, pertinence des informations collectées, durée de conservation raisonnable et sécurité des données) visant à encadrer de façon "plus réaliste" une pratique qui se généralisait dans tous les secteurs d'activité. (1)
Cependant, ces listes ont un impact direct sur la vie privée des personnes concernées, étant susceptibles de les exclure socialement (refus de vente ou de fourniture d’un service). La constitution de ce type de fichiers reste donc très encadrée par la loi.
Une récente délibération de la CNIL, concernant le Syndicat national des maisons de ventes volontaires (SYMEV) qui avait créé une liste noire d'acheteurs défaillants, sans respecter les conditions posées par la loi, nous donne l'occasion de rappeler les obligations légales pesant sur les organismes souhaitant constituer ces types de fichiers et les sanctions applicables en cas de non respect de ces obligations.
1. Quels types de fichiers sont constitutifs de "listes noires" ?
Une liste noire est un fichier rassemblant des données à caractère personnel (nom, adresse, numéro de carte bancaire, etc.) sur des personnes mises sous surveillance par un organisme, ou avec lesquelles l’organisme ne souhaite plus traiter en raison de la survenance antérieure d'incidents (par exemple, fraude ou incident de paiement). Une liste noire peut être interne à un organisme ou mutualisée entre plusieurs entités juridiques.
1.1 Les fichiers concernés
Il existe une grande diversité de finalités et de contenus des listes mises en oeuvre. On retiendra notamment, parmi ces listes de personnes à risques ou indésirables :
- les fichiers de clients douteux ou fichiers d'anomalies : par exemple lorsqu’un même client passe plusieurs commandes sur un site de e-commerce mais saisit plusieurs numéros de cartes bancaires et de téléphone et plusieurs adresses de domicile ;
- les fichiers de fraudeurs : ces fichiers concernent des personnes ayant fourni de fausses informations (telles que fausse adresse ou numéro de carte bancaire, ou faux bulletins de paye), ou les fichiers de lutte contre la fraude au crédit ou à l'assurance ;
- les fichiers d'auteurs de comportements répréhensibles : par exemple, les fichiers de conducteurs de véhicules de location ayant commis des infractions ;
- les fichiers de mauvais payeurs : par exemple, les fichiers d'incidents de paiement ou de locataires mauvais payeurs. Ces fichiers sont courants en matière de vente en ligne ; dans ce cas l'acheteur ayant connu un incident de paiement se voit refuser la possibilité d'acheter ultérieurement sur le site web créditeur.
On peut citer également le fichier Preventel mis en oeuvre par le GIE Prévention Télécommunications. Ce fichier recense notamment les impayés dans le secteur de la téléphonie mobile. Les opérateurs de téléphonie mobile (tels Orange France, SFR, Bouygues Telecom, Auchan Telecom, etc.), membres du GIE, consultent le fichier Preventel chaque fois qu'une personne souhaite s'abonner à leurs services. Si la personne est fichée, l'abonnement peut lui être refusé ou un dépôt de garantie peut lui être demandé. (2)
1.2 Les fichiers ne constituant pas des "listes noires"
Toutes ces listes ne sont cependant pas considérées comme des listes d'exclusion au sens de la loi.
Par exemple, les fichiers internes à une société, mis en oeuvre pour assurer le respect des obligations comptables, le traitement d'impayés, et le recouvrement des créances, peuvent être constitués sans autorisation de la CNIL. De même, un établissement ouvert au public (tel un établissement scolaire) peut constituer une liste de sites web bloqués à la consultation (réseaux sociaux, messageries, sites pour adultes, etc.).
Ces types de fichiers, ne comprenant pas de données à caractère personnel et ne visant pas à empêcher quelqu'un de bénéficier d'un droit, d'une prestation ou d'un contrat, ne sont pas considérés comme des listes noires.
2. Les obligations légales relatives à la constitution de "listes noires"
La constitution de listes de clients indésirables n’est pas illicite, à condition de respecter les dispositions légales que nous rappelons ci-après.
Un organisme privé ou public qui crée un fichier de clients indésirables met en oeuvre un traitement de données à caractère personnel (nom, prénom, adresse, numéro de téléphone, adresse e-mail, etc.). Un traitement de données personnelles consiste dans le fait de collecter, enregistrer, conserver, modifier, diffuser ou détruire des données personnelles.
Si l'organisme en charge du fichier est situé en France, celui-ci est tenu de respecter les obligations relatives aux traitements de données personnelles définies par la loi Informatique et Libertés, en sa qualité de responsable de traitement. (3)
2.1 Les formalités préalables à la constitution d’un fichier de clients indésirables
La mise en oeuvre d’un fichier de clients indésirables (ou à risques) est soumise à l'autorisation préalable de la CNIL (et non à une simple déclaration). Le traitement ne pourra être mis en oeuvre avant d’avoir reçu cette autorisation, sachant que la CNIL peut demander des informations ou des engagements complémentaires à l’organisme demandeur si elle estime que la demande d’autorisation est incomplète ou qu’elle manque de précisions. (4)
Ainsi, l’exploitant d’un site de vente en ligne qui souhaiterait constituer un fichier automatisé de lutte contre la fraude au paiement ou un fichier de mauvais payeurs devra faire une demande d’autorisation préalable à la constitution d’un tel fichier à la CNIL.
Par ailleurs, des entités juridiques distinctes ont la possibilité de faire une demande d’autorisation de constitution de listes mutualisées. Ces organismes pourront ensuite communiquer entre eux des informations ou fichiers. Toutefois, afin d'éviter le risque d'exclusion résultant d'une centralisation d'impayés provenant de plusieurs secteurs d'activités confondus et de garantir la proportionnalité du traitement, la CNIL préconise que l'accès à ces listes soit limité aux professionnels d'un secteur déterminé.
Par exemple, les professionnels de la vente en ligne, tous secteurs confondus ne pourraient pas en principe constituer de telles listes. De même, si les professionnels de l'immobilier peuvent alimenter et consulter une liste commune de locataires mauvais payeurs, les particuliers propriétaires de biens immobiliers (non professionnels) ne peuvent y avoir accès.
2.2 Les conditions de constitution du fichier
Pour qu’un fichier d’indésirables, ou liste noire puisse être accepté par la CNIL, celui-ci devra être régulièrement constitué et respecter les conditions posées par la réglementation.
Le caractère déterminé, explicite et légitime de la finalité du fichier - Tout fichier (ou traitement) doit avoir une finalité définie et précise (ex: lutte contre la fraude à l'assurance). Ainsi, un fichier ne peut porter que sur des données collectées pour des finalités déterminées, explicites et légitimes. Ces données doivent être adéquates, pertinentes et non excessives au regard de la finalité pour laquelle elles sont collectées.
A ce titre, la mise en oeuvre d'une liste noire doit être proportionnée et l'inscription sur une telle liste ne peut se justifier que pour un motif particulièrement grave, motivé et objectif. Ainsi, lorsque le fichier vise à recenser des informations sur des impayés non régularisés, la créance doit être certaine, liquide et exigible. Un seuil d'inscription peut être défini, notamment en cas de liste noire mutualisée à plusieurs organismes. Par exemple, les abonnés aux services de téléphonie mobile, débiteurs, ne peuvent être inscrits sur le fichier Preventel qu’à partir d’un montant impayé de 30€.
La conservation des données pour une durée "raisonnable" - Les données personnelles ne peuvent être conservées que pour une durée raisonnable. Au-delà de cette durée, les données doivent être soit effacées, soit anonymisées. Par durée raisonnable, on entend la durée nécessaire au traitement. Par exemple, en matière d'incidents de paiements, les données doivent être supprimées dès que les sommes dues ont été réglées. A défaut de régularisation, la CNIL préconise une durée de conservation comprise entre 2 et 5 ans (en fonction de la finalité du traitement, de l'identité du responsable de traitement, du caractère mutualisé ou non des informations, etc.).
L’obligation de sécurité des données - Compte tenu de la sensibilité de ce type de fichier, l'organisme qui met en oeuvre le traitement est soumis à une obligation de sécurité très forte pour empêcher que les données traitées soient erronées, modifiées, effacées par erreur, ou que des tiers non autorisés aient accès au traitement. L’organisme est tenu de mettre en oeuvre des mesures de sécurité physique (accès contrôlé aux locaux hébergeant les serveurs) et techniques (serveurs protégés par des firewalls, accès par mot de passe, éventuellement cryptage des données, etc.).
L'information et les droits des personnes concernées - Même en matière de fichiers de clients indésirables ou de fraude, la collecte de données personnelles ne peut être réalisée à l’insu de la personne concernée. Celle-ci doit notamment connaître l'identité du responsable de traitement, la finalité du traitement, l'identité des destinataires des données et des éventuels transferts de données hors Union européenne.
En matière de liste noire, l'information doit en principe se faire à plusieurs moments : (i) lors de la collecte des données (ex: au jour de l'inscription de l'internaute sur le site web ou de la conclusion du bail par l'insertion d'une clause au contrat), (ii) lors de la réalisation de l'incident susceptible de donner lieu à une inscription (information individuelle par courrier) et (iii) lors de l'inscription effective (un délai raisonnable doit être prévu afin de permettre à la personne concernée de faire valoir ses observations).
Enfin, les personnes concernées bénéficient d’un droit d'accès (pour consultation), de rectification (en cas d'homonymie ou de régularisation de créance non prise en compte), de contestation et d'opposition (demande de suppression ou de désinscription en cas d'usurpation d'identité) au traitement de leurs données.
3. Quelles sanctions en cas de non-respect de la réglementation sur les données personnelles ?
Le non-respect par un organisme des règles applicables à la constitution et à la mise en oeuvre d’un traitement de données à caractère personnel est passible de sanctions qui peuvent être prononcées directement par la CNIL, ou par les juridictions pénales après transmission du dossier au procureur de la République.
3.1 Les pouvoirs de contrôle de la CNIL
La CNIL dispose de pouvoirs de contrôle et de sanction à l'encontre des responsables de traitement en cas de non-respect des dispositions légales en matière de traitement de données personnelles.
Des contrôles sur place (dans les locaux de l’entreprise), peuvent être réalisés de façon inopinée ou à la suite de plaintes. Lors de ces contrôle, les agents de la CNIL (pouvant être accompagnés d’agents de la DGCCRF) peuvent demander communication de tout document, recueillir tout renseignement utile et accéder aux serveurs, aux programmes informatiques et aux données afin de vérifier la conformité des traitements à la loi Informatique et Libertés.
3.2 Les sanctions applicables
Les manquements à la loi Informatique et Libertés sont passibles de sanctions pénales. Ainsi, le fait de procéder à un traitement de données personnelles (i) sans respecter les formalités préalables, y compris par négligence ou (ii) malgré l'opposition de la personne concernée, est puni de 5 ans d’emprisonnement et 300.000€ d’amende.
Les sanctions prononcées par la CNIL - Lorsque des manquements à la loi sont relevés, la CNIL peut prononcer un avertissement ou mettre l'organisme en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe. Si l'organisme ne se conforme pas à la mise en demeure, la CNIL peut prononcer une sanction pécuniaire d'un montant maximum de 300.000€, une injonction de cesser le traitement ou un retrait de l’autorisation accordée.
Par exemple, en juin 2006, la CNIL a prononcé une sanction de 45.000€ à l’encontre du Crédit Lyonnais pour entrave à son action et inscription abusive de clients sur le fichier des "retraits de cartes bancaires (CB)", tenu par la Banque de France. En l’espèce, le Crédit Lyonnais avait inscrit des clients dans ce fichier relatif aux seuls incidents liés à l'usage de la carte bancaire, alors que les incidents concernaient l'utilisation de chèques sans provision et le défaut de règlement d'échéances de paiement de crédit. Ces incidents auraient pu justifier l'inscription des clients au fichier central des chèques (FCC) ainsi qu'au fichier des incidents de remboursement des crédits aux particuliers (FICP) mais en aucun cas au fichier des retraits "CB". (5)
Récemment, le 24 mai 2012, la CNIL a prononcé un avertissement rendu public à l'encontre du Syndicat national des Maisons de Ventes Volontaires (SYMEV). Le syndicat avait constitué une "liste noire" mutualisée informant les maisons de ventes volontaires aux enchères publiques de l'identité d'acheteurs (ou adjudicataires) défaillants. Dans cette affaire, la CNIL rappelle que si la constitution de listes noires n'est pas en soi interdite, sa mise en oeuvre doit respecter les principes posés par la loi, dès lors qu'elle est susceptible d'exclure des personnes de la faculté de participer à des ventes aux enchères. Or, la CNIL a constaté que la liste litigieuse avait été constituée sans son autorisation et à l'insu des personnes fichées. (6)
Les sanctions pénales - La Cour d'appel de Bourges a rendu une décision en janvier 2007 à la suite de la transmission du dossier par la CNIL au procureur de la République. Dans cette affaire, la Ligue européenne de défense des victimes de notaires avait publié sur un site internet une liste nominative de 2500 notaires, la page d'accueil du site indiquant que : la profession de notaires faisait courir “les plus grands risques aux clients” et que “le fait d’être inscrit sur la liste de la Ligue européenne de défense des victimes de notaires n’impliqu(ait) aucun préjugé ni pré-jugement ; cela implique que notre association a un dossier concernant un client ou plusieurs clients de l’étude de notaire”.
Or, le traitement de la liste nominative de ces notaires n’avait fait l’objet d’aucune demande d’autorisation préalable auprès de la CNIL. Plusieurs notaires s'étaient opposés, sans succès, à leur mention sur le site web. La Cour en a conclu que “le procédé informatique utilisé aboutissant de fait à la création d’une liste noire des notaires et s’apparentant comme tel à de la délation, est à l’origine d’un préjudice certain pour (les notaires fichés) qui, outre l’opprobre et la suspicion jetée publiquement, ont pu voir des particuliers se détourner (d'eux pour avoir été) injustement mis en cause". La Ligue et sa gérante ont été condamnées respectivement à 3.000€ et 1.500€ d'amende ainsi qu'au versement de 9.700€ aux parties civiles (100€ à chacun des 97 notaires plaignants). (7)
Ainsi, la constitution de fichiers de clients indésirables, à risques, de fraudeurs, etc. n’est pas interdite si la finalité du traitement est déterminée, explicite et légitime (telle la lutte contre la fraude). Il est cependant nécessaire de se conformer aux obligations légales de demande d’autorisation préalable à la CNIL et de constitution et mise en oeuvre dans le respect des dispositions de la loi Informatique et Libertés, sous peine d’être passible de sanctions pénales en cas de non respect de ces dispositions.
Outre les listes noires, les organismes peuvent avoir recours à la technique dite du "profilage" consistant à appliquer un profil à une personne physique et la placer ainsi dans des catégories de groupes prédéfinies, notamment à des fins d'analyse ou de prédiction de ses préférences, comportements et attitudes personnels. Cette pratique, toute aussi sensible dans la mesure où elle peut avoir pour conséquence d'exposer les personnes concernées à des risques de discrimination et d'atteinte à leur dignité, n'est pas soumise aux mêmes règles que celles des listes noires. (8)
* * * * * * * * * * *
(1) Les fichiers de type liste noire étaient admis dans les secteurs de la banque et du crédit (fichier des interdits bancaires par exemple), mais soumis à des conditions de suivi (inscription et radiation) strictes. Voir rapport de la CNIL de novembre 2003 : "Les listes noires : le fichage des "mauvais payeurs" et des "fraudeurs" au regard de la protection des données personnelles" (http://www.ladocumentationfrancaise.fr/var/storage/rapports-publics/034000689/0000.pdf)
(2) Voir site internet du GIE Prévention Télécommunications : http://www.preventel.fr/.
(3) Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée, dite Loi Informatique et Libertés.
(4) En application de l’article 25 I (4e) de la loi Informatique et Libertés : “Tous traitements susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire" est soumis à une demande d’autorisation préalable à la CNIL.
(5) Délibération n°2006-174 du 28 juin 2006 prononçant une sanction pécuniaire à l'encontre du Crédit Lyonnais.
(6) Délibération de la formation restreinte n°2012-079 du 24 mai 2012 portant avertissement public à l'encontre du Syndicat National des Maisons de Ventes Volontaires (SYMEV).
(7) CA Bourges 2e ch., 11 janvier 2007, Gisèle L. et autres c/ Ministère Public.
(8) Exemples de profilage : dans un communiqué du 25/10/2011, la CNIL a dénoncé les techniques dites de " profilage communautaire" consistant à créer des fichiers faisant apparaître, directement ou indirectement, l'appartenance religieuse ou l'origine raciale vraie ou supposée des personnes. A ce titre, l'application pour iPhone dénommée "Juif ou pas juif", retirée de la vente en septembre 2011 est un exemple de ciblage communautaire. Dans un autre registre, la CNIL a souhaité encadrer de façon stricte la technique du "score" (ou instrument d'aide à la décision d'octroi ou de refus de crédit (analyse des risques) utilisé par les établissements de crédit) et a publié plusieurs délibérations à ce sujet (délibérations n°2006-019 du 2/02/2006 et délibération n°2008-198 du 9/07/2008).
Bénédicte DELEPORTE - Avocat
Betty SFEZ - Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Juillet 2012
La position de la CNIL concernant ces types de fichiers a évolué avec le temps. Alors que la constitution de ces fichiers était quasiment interdite, car interdisant des catégories de personnes d’avoir accès à des produits ou services, la position de la Commission s’est assouplie, de manière assez pragmatique, afin de prendre en compte le développement de la fraude au paiement sur internet par exemple. C'est ainsi que, dans un rapport de 2003, la CNIL a publié plusieurs propositions et principes (information des personnes, proportionnalité, pertinence des informations collectées, durée de conservation raisonnable et sécurité des données) visant à encadrer de façon "plus réaliste" une pratique qui se généralisait dans tous les secteurs d'activité. (1)
Cependant, ces listes ont un impact direct sur la vie privée des personnes concernées, étant susceptibles de les exclure socialement (refus de vente ou de fourniture d’un service). La constitution de ce type de fichiers reste donc très encadrée par la loi.
Une récente délibération de la CNIL, concernant le Syndicat national des maisons de ventes volontaires (SYMEV) qui avait créé une liste noire d'acheteurs défaillants, sans respecter les conditions posées par la loi, nous donne l'occasion de rappeler les obligations légales pesant sur les organismes souhaitant constituer ces types de fichiers et les sanctions applicables en cas de non respect de ces obligations.
1. Quels types de fichiers sont constitutifs de "listes noires" ?
Une liste noire est un fichier rassemblant des données à caractère personnel (nom, adresse, numéro de carte bancaire, etc.) sur des personnes mises sous surveillance par un organisme, ou avec lesquelles l’organisme ne souhaite plus traiter en raison de la survenance antérieure d'incidents (par exemple, fraude ou incident de paiement). Une liste noire peut être interne à un organisme ou mutualisée entre plusieurs entités juridiques.
1.1 Les fichiers concernés
Il existe une grande diversité de finalités et de contenus des listes mises en oeuvre. On retiendra notamment, parmi ces listes de personnes à risques ou indésirables :
- les fichiers de clients douteux ou fichiers d'anomalies : par exemple lorsqu’un même client passe plusieurs commandes sur un site de e-commerce mais saisit plusieurs numéros de cartes bancaires et de téléphone et plusieurs adresses de domicile ;
- les fichiers de fraudeurs : ces fichiers concernent des personnes ayant fourni de fausses informations (telles que fausse adresse ou numéro de carte bancaire, ou faux bulletins de paye), ou les fichiers de lutte contre la fraude au crédit ou à l'assurance ;
- les fichiers d'auteurs de comportements répréhensibles : par exemple, les fichiers de conducteurs de véhicules de location ayant commis des infractions ;
- les fichiers de mauvais payeurs : par exemple, les fichiers d'incidents de paiement ou de locataires mauvais payeurs. Ces fichiers sont courants en matière de vente en ligne ; dans ce cas l'acheteur ayant connu un incident de paiement se voit refuser la possibilité d'acheter ultérieurement sur le site web créditeur.
On peut citer également le fichier Preventel mis en oeuvre par le GIE Prévention Télécommunications. Ce fichier recense notamment les impayés dans le secteur de la téléphonie mobile. Les opérateurs de téléphonie mobile (tels Orange France, SFR, Bouygues Telecom, Auchan Telecom, etc.), membres du GIE, consultent le fichier Preventel chaque fois qu'une personne souhaite s'abonner à leurs services. Si la personne est fichée, l'abonnement peut lui être refusé ou un dépôt de garantie peut lui être demandé. (2)
1.2 Les fichiers ne constituant pas des "listes noires"
Toutes ces listes ne sont cependant pas considérées comme des listes d'exclusion au sens de la loi.
Par exemple, les fichiers internes à une société, mis en oeuvre pour assurer le respect des obligations comptables, le traitement d'impayés, et le recouvrement des créances, peuvent être constitués sans autorisation de la CNIL. De même, un établissement ouvert au public (tel un établissement scolaire) peut constituer une liste de sites web bloqués à la consultation (réseaux sociaux, messageries, sites pour adultes, etc.).
Ces types de fichiers, ne comprenant pas de données à caractère personnel et ne visant pas à empêcher quelqu'un de bénéficier d'un droit, d'une prestation ou d'un contrat, ne sont pas considérés comme des listes noires.
2. Les obligations légales relatives à la constitution de "listes noires"
La constitution de listes de clients indésirables n’est pas illicite, à condition de respecter les dispositions légales que nous rappelons ci-après.
Un organisme privé ou public qui crée un fichier de clients indésirables met en oeuvre un traitement de données à caractère personnel (nom, prénom, adresse, numéro de téléphone, adresse e-mail, etc.). Un traitement de données personnelles consiste dans le fait de collecter, enregistrer, conserver, modifier, diffuser ou détruire des données personnelles.
Si l'organisme en charge du fichier est situé en France, celui-ci est tenu de respecter les obligations relatives aux traitements de données personnelles définies par la loi Informatique et Libertés, en sa qualité de responsable de traitement. (3)
2.1 Les formalités préalables à la constitution d’un fichier de clients indésirables
La mise en oeuvre d’un fichier de clients indésirables (ou à risques) est soumise à l'autorisation préalable de la CNIL (et non à une simple déclaration). Le traitement ne pourra être mis en oeuvre avant d’avoir reçu cette autorisation, sachant que la CNIL peut demander des informations ou des engagements complémentaires à l’organisme demandeur si elle estime que la demande d’autorisation est incomplète ou qu’elle manque de précisions. (4)
Ainsi, l’exploitant d’un site de vente en ligne qui souhaiterait constituer un fichier automatisé de lutte contre la fraude au paiement ou un fichier de mauvais payeurs devra faire une demande d’autorisation préalable à la constitution d’un tel fichier à la CNIL.
Par ailleurs, des entités juridiques distinctes ont la possibilité de faire une demande d’autorisation de constitution de listes mutualisées. Ces organismes pourront ensuite communiquer entre eux des informations ou fichiers. Toutefois, afin d'éviter le risque d'exclusion résultant d'une centralisation d'impayés provenant de plusieurs secteurs d'activités confondus et de garantir la proportionnalité du traitement, la CNIL préconise que l'accès à ces listes soit limité aux professionnels d'un secteur déterminé.
Par exemple, les professionnels de la vente en ligne, tous secteurs confondus ne pourraient pas en principe constituer de telles listes. De même, si les professionnels de l'immobilier peuvent alimenter et consulter une liste commune de locataires mauvais payeurs, les particuliers propriétaires de biens immobiliers (non professionnels) ne peuvent y avoir accès.
2.2 Les conditions de constitution du fichier
Pour qu’un fichier d’indésirables, ou liste noire puisse être accepté par la CNIL, celui-ci devra être régulièrement constitué et respecter les conditions posées par la réglementation.
Le caractère déterminé, explicite et légitime de la finalité du fichier - Tout fichier (ou traitement) doit avoir une finalité définie et précise (ex: lutte contre la fraude à l'assurance). Ainsi, un fichier ne peut porter que sur des données collectées pour des finalités déterminées, explicites et légitimes. Ces données doivent être adéquates, pertinentes et non excessives au regard de la finalité pour laquelle elles sont collectées.
A ce titre, la mise en oeuvre d'une liste noire doit être proportionnée et l'inscription sur une telle liste ne peut se justifier que pour un motif particulièrement grave, motivé et objectif. Ainsi, lorsque le fichier vise à recenser des informations sur des impayés non régularisés, la créance doit être certaine, liquide et exigible. Un seuil d'inscription peut être défini, notamment en cas de liste noire mutualisée à plusieurs organismes. Par exemple, les abonnés aux services de téléphonie mobile, débiteurs, ne peuvent être inscrits sur le fichier Preventel qu’à partir d’un montant impayé de 30€.
La conservation des données pour une durée "raisonnable" - Les données personnelles ne peuvent être conservées que pour une durée raisonnable. Au-delà de cette durée, les données doivent être soit effacées, soit anonymisées. Par durée raisonnable, on entend la durée nécessaire au traitement. Par exemple, en matière d'incidents de paiements, les données doivent être supprimées dès que les sommes dues ont été réglées. A défaut de régularisation, la CNIL préconise une durée de conservation comprise entre 2 et 5 ans (en fonction de la finalité du traitement, de l'identité du responsable de traitement, du caractère mutualisé ou non des informations, etc.).
L’obligation de sécurité des données - Compte tenu de la sensibilité de ce type de fichier, l'organisme qui met en oeuvre le traitement est soumis à une obligation de sécurité très forte pour empêcher que les données traitées soient erronées, modifiées, effacées par erreur, ou que des tiers non autorisés aient accès au traitement. L’organisme est tenu de mettre en oeuvre des mesures de sécurité physique (accès contrôlé aux locaux hébergeant les serveurs) et techniques (serveurs protégés par des firewalls, accès par mot de passe, éventuellement cryptage des données, etc.).
L'information et les droits des personnes concernées - Même en matière de fichiers de clients indésirables ou de fraude, la collecte de données personnelles ne peut être réalisée à l’insu de la personne concernée. Celle-ci doit notamment connaître l'identité du responsable de traitement, la finalité du traitement, l'identité des destinataires des données et des éventuels transferts de données hors Union européenne.
En matière de liste noire, l'information doit en principe se faire à plusieurs moments : (i) lors de la collecte des données (ex: au jour de l'inscription de l'internaute sur le site web ou de la conclusion du bail par l'insertion d'une clause au contrat), (ii) lors de la réalisation de l'incident susceptible de donner lieu à une inscription (information individuelle par courrier) et (iii) lors de l'inscription effective (un délai raisonnable doit être prévu afin de permettre à la personne concernée de faire valoir ses observations).
Enfin, les personnes concernées bénéficient d’un droit d'accès (pour consultation), de rectification (en cas d'homonymie ou de régularisation de créance non prise en compte), de contestation et d'opposition (demande de suppression ou de désinscription en cas d'usurpation d'identité) au traitement de leurs données.
3. Quelles sanctions en cas de non-respect de la réglementation sur les données personnelles ?
Le non-respect par un organisme des règles applicables à la constitution et à la mise en oeuvre d’un traitement de données à caractère personnel est passible de sanctions qui peuvent être prononcées directement par la CNIL, ou par les juridictions pénales après transmission du dossier au procureur de la République.
3.1 Les pouvoirs de contrôle de la CNIL
La CNIL dispose de pouvoirs de contrôle et de sanction à l'encontre des responsables de traitement en cas de non-respect des dispositions légales en matière de traitement de données personnelles.
Des contrôles sur place (dans les locaux de l’entreprise), peuvent être réalisés de façon inopinée ou à la suite de plaintes. Lors de ces contrôle, les agents de la CNIL (pouvant être accompagnés d’agents de la DGCCRF) peuvent demander communication de tout document, recueillir tout renseignement utile et accéder aux serveurs, aux programmes informatiques et aux données afin de vérifier la conformité des traitements à la loi Informatique et Libertés.
3.2 Les sanctions applicables
Les manquements à la loi Informatique et Libertés sont passibles de sanctions pénales. Ainsi, le fait de procéder à un traitement de données personnelles (i) sans respecter les formalités préalables, y compris par négligence ou (ii) malgré l'opposition de la personne concernée, est puni de 5 ans d’emprisonnement et 300.000€ d’amende.
Les sanctions prononcées par la CNIL - Lorsque des manquements à la loi sont relevés, la CNIL peut prononcer un avertissement ou mettre l'organisme en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe. Si l'organisme ne se conforme pas à la mise en demeure, la CNIL peut prononcer une sanction pécuniaire d'un montant maximum de 300.000€, une injonction de cesser le traitement ou un retrait de l’autorisation accordée.
Par exemple, en juin 2006, la CNIL a prononcé une sanction de 45.000€ à l’encontre du Crédit Lyonnais pour entrave à son action et inscription abusive de clients sur le fichier des "retraits de cartes bancaires (CB)", tenu par la Banque de France. En l’espèce, le Crédit Lyonnais avait inscrit des clients dans ce fichier relatif aux seuls incidents liés à l'usage de la carte bancaire, alors que les incidents concernaient l'utilisation de chèques sans provision et le défaut de règlement d'échéances de paiement de crédit. Ces incidents auraient pu justifier l'inscription des clients au fichier central des chèques (FCC) ainsi qu'au fichier des incidents de remboursement des crédits aux particuliers (FICP) mais en aucun cas au fichier des retraits "CB". (5)
Récemment, le 24 mai 2012, la CNIL a prononcé un avertissement rendu public à l'encontre du Syndicat national des Maisons de Ventes Volontaires (SYMEV). Le syndicat avait constitué une "liste noire" mutualisée informant les maisons de ventes volontaires aux enchères publiques de l'identité d'acheteurs (ou adjudicataires) défaillants. Dans cette affaire, la CNIL rappelle que si la constitution de listes noires n'est pas en soi interdite, sa mise en oeuvre doit respecter les principes posés par la loi, dès lors qu'elle est susceptible d'exclure des personnes de la faculté de participer à des ventes aux enchères. Or, la CNIL a constaté que la liste litigieuse avait été constituée sans son autorisation et à l'insu des personnes fichées. (6)
Les sanctions pénales - La Cour d'appel de Bourges a rendu une décision en janvier 2007 à la suite de la transmission du dossier par la CNIL au procureur de la République. Dans cette affaire, la Ligue européenne de défense des victimes de notaires avait publié sur un site internet une liste nominative de 2500 notaires, la page d'accueil du site indiquant que : la profession de notaires faisait courir “les plus grands risques aux clients” et que “le fait d’être inscrit sur la liste de la Ligue européenne de défense des victimes de notaires n’impliqu(ait) aucun préjugé ni pré-jugement ; cela implique que notre association a un dossier concernant un client ou plusieurs clients de l’étude de notaire”.
Or, le traitement de la liste nominative de ces notaires n’avait fait l’objet d’aucune demande d’autorisation préalable auprès de la CNIL. Plusieurs notaires s'étaient opposés, sans succès, à leur mention sur le site web. La Cour en a conclu que “le procédé informatique utilisé aboutissant de fait à la création d’une liste noire des notaires et s’apparentant comme tel à de la délation, est à l’origine d’un préjudice certain pour (les notaires fichés) qui, outre l’opprobre et la suspicion jetée publiquement, ont pu voir des particuliers se détourner (d'eux pour avoir été) injustement mis en cause". La Ligue et sa gérante ont été condamnées respectivement à 3.000€ et 1.500€ d'amende ainsi qu'au versement de 9.700€ aux parties civiles (100€ à chacun des 97 notaires plaignants). (7)
Ainsi, la constitution de fichiers de clients indésirables, à risques, de fraudeurs, etc. n’est pas interdite si la finalité du traitement est déterminée, explicite et légitime (telle la lutte contre la fraude). Il est cependant nécessaire de se conformer aux obligations légales de demande d’autorisation préalable à la CNIL et de constitution et mise en oeuvre dans le respect des dispositions de la loi Informatique et Libertés, sous peine d’être passible de sanctions pénales en cas de non respect de ces dispositions.
Outre les listes noires, les organismes peuvent avoir recours à la technique dite du "profilage" consistant à appliquer un profil à une personne physique et la placer ainsi dans des catégories de groupes prédéfinies, notamment à des fins d'analyse ou de prédiction de ses préférences, comportements et attitudes personnels. Cette pratique, toute aussi sensible dans la mesure où elle peut avoir pour conséquence d'exposer les personnes concernées à des risques de discrimination et d'atteinte à leur dignité, n'est pas soumise aux mêmes règles que celles des listes noires. (8)
* * * * * * * * * * *
(1) Les fichiers de type liste noire étaient admis dans les secteurs de la banque et du crédit (fichier des interdits bancaires par exemple), mais soumis à des conditions de suivi (inscription et radiation) strictes. Voir rapport de la CNIL de novembre 2003 : "Les listes noires : le fichage des "mauvais payeurs" et des "fraudeurs" au regard de la protection des données personnelles" (http://www.ladocumentationfrancaise.fr/var/storage/rapports-publics/034000689/0000.pdf)
(2) Voir site internet du GIE Prévention Télécommunications : http://www.preventel.fr/.
(3) Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée, dite Loi Informatique et Libertés.
(4) En application de l’article 25 I (4e) de la loi Informatique et Libertés : “Tous traitements susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire" est soumis à une demande d’autorisation préalable à la CNIL.
(5) Délibération n°2006-174 du 28 juin 2006 prononçant une sanction pécuniaire à l'encontre du Crédit Lyonnais.
(6) Délibération de la formation restreinte n°2012-079 du 24 mai 2012 portant avertissement public à l'encontre du Syndicat National des Maisons de Ventes Volontaires (SYMEV).
(7) CA Bourges 2e ch., 11 janvier 2007, Gisèle L. et autres c/ Ministère Public.
(8) Exemples de profilage : dans un communiqué du 25/10/2011, la CNIL a dénoncé les techniques dites de " profilage communautaire" consistant à créer des fichiers faisant apparaître, directement ou indirectement, l'appartenance religieuse ou l'origine raciale vraie ou supposée des personnes. A ce titre, l'application pour iPhone dénommée "Juif ou pas juif", retirée de la vente en septembre 2011 est un exemple de ciblage communautaire. Dans un autre registre, la CNIL a souhaité encadrer de façon stricte la technique du "score" (ou instrument d'aide à la décision d'octroi ou de refus de crédit (analyse des risques) utilisé par les établissements de crédit) et a publié plusieurs délibérations à ce sujet (délibérations n°2006-019 du 2/02/2006 et délibération n°2008-198 du 9/07/2008).
Bénédicte DELEPORTE - Avocat
Betty SFEZ - Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Juillet 2012
Inscription à :
Articles (Atom)