Les cyberattaques sont régulièrement au cœur de l’actualité des TIC. En effet, bien que les problèmes de fraude informatique et sur internet ne soient pas nouveaux, les moyens utilisés ne cessent d’évoluer et les conséquences de s’aggraver. (1) Ces cyberattaques se manifestent de diverses manières, telles que spam, phishing, virus informatiques, attaques de réseaux, cyberespionnage, et à des fins non seulement financières mais également économiques et politiques.
Par exemple, dernièrement les médias ont rapporté deux types d’attaques de natures différentes, la première via une campagne de phishing, avait ciblé plusieurs milliers de clients EDF qui avaient reçu des emails frauduleux visant à extorquer leurs coordonnées bancaires, la seconde, active depuis plusieurs années, qui avait consisté en une attaque de cyberespionnage à grande échelle, dénommée "Red October", touchant des représentations diplomatiques, administrations, organismes de recherche scientifique, groupes énergétiques et nucléaires dans plusieurs pays. (2)
Face à l’accroissement du nombre d’attaques informatiques, à leur diversification, ainsi qu’à la professionnalisation toujours plus grande des pirates informatiques, l’Union européenne a finalement pris la décision de poser les contours d’un cadre commun à tous les Etats membres en matière de sécurité des réseaux numériques, de lutte contre la criminalité en ligne et de protection des consommateurs.
Aussi, après avoir créé un Centre européen de lutte contre la cybercriminalité en janvier 2013 (3), les institutions européennes ont publié, le 7 février dernier, une stratégie commune de cybersécurité ainsi qu’une proposition de directive instaurant des mesures visant à assurer un niveau élevé commun de sécurité des réseaux et de l’information (SRI). (4) Ces deux textes fixent les mesures proposées par la Commission européenne, les objectifs à atteindre par les Etats membres et les obligations qui viendront peser sur les entreprises et administrations publiques. Nous analysons ci-après les principales mesures proposées.
1. Les mesures proposées par la Commission européenne en matière de cybersécurité
La stratégie de la Commission en matière de cybersécurité est ambitieuse. Elle repose sur cinq axes : (i) parvenir à la cyber-résilience, (ii) faire reculer considérablement la cybercriminalité, (iii) développer une politique et des moyens de cyberdéfense liée à la politique de sécurité et de défense commune (PSDC), (iv) développer les ressources industrielles et technologiques en matière de cybersécurité, et enfin (v) instaurer une politique internationale de l'Union européenne cohérente en matière de protection du cyberespace.
A cette fin, la Commission a décidé de prendre les principales mesures suivantes dès 2013 :
- lancer un projet pilote consacré à la lutte contre les réseaux zombies et les logiciels malveillants, afin de fournir un cadre de coordination et de coopération entre les États membres, les organismes du secteur privé (FAI notamment) et les partenaires internationaux ;
- renforcer les moyens opérationnels des Etats membres pour combattre la cybercriminalité, en les aidant, par le biais de programmes de financement, d’une part à recenser leurs insuffisances et renforcer leurs moyens d'enquête et de lutte, d’autre part à recenser les meilleures pratiques et techniques disponibles pour lutter contre la cybercriminalité ;
- promouvoir un marché unique des produits de cybersécurité. Pour ce faire, la Commission souhaite lancer une plateforme public-privé sur les solutions de SRI, afin d'élaborer des mesures favorisant l'adoption de solutions TIC sûres en Europe ;
- développer les investissements dans la R&D et l'innovation, en instaurant notamment des mécanismes pour mieux coordonner les agendas de recherche des institutions de l'Union européenne et des États membres et inciter ces derniers, et leurs entreprises et industries, à investir davantage dans la R&D.
Enfin, la stratégie commune de l’UE prévoit de développer une politique et des moyens de cyberdéfense. La sécurité nationale de chaque pays pouvant directement être attaquée via les réseaux informatiques, le développement d’une politique de cyberdéfense coordonnée est indispensable. Elle aura notamment pour objectifs de promouvoir le dialogue entre les acteurs civils et militaires dans l’UE, en mettant l'accent sur l'échange de bonnes pratiques et le partage d'informations, et de permettre aux militaires de se former et de s'exercer à la cyberdéfense dans le contexte européen et international.
En France, la question de la cyberdéfense a fait l’objet d’un rapport publié en juillet 2012 par le sénateur Jean-Marie Bockel, et sera traitée dans le prochain Livre blanc sur la défense et la sécurité nationale.
2. Les objectifs à atteindre par les États membres
Les institutions européennes, à travers une stratégie globale et une proposition de directive, souhaitent que les États membres déploient un niveau élevé de sécurité des réseaux et des systèmes informatiques sur leur territoire. Pour ce faire, chaque État membre doit notamment remplir les objectifs suivants :
2.1 La sensibilisation des utilisateurs finaux aux risques numériques
La Commission demande aux Etats membres, d’une part, d’organiser tous les ans, à partir de 2013, un mois de la cybersécurité, avec l'aide de l'ENISA (l'Agence Européenne chargée de la sécurité des réseaux et de l'information) et la participation du secteur privé, et, d’autre part, d’intensifier les efforts consacrés à l'éducation et la formation à la SRI au niveau national, en prévoyant des formations en milieu scolaire, dans le cursus des étudiants en informatique et pour le personnel des administrations publiques.
2.2 L’adoption d’une stratégie nationale en matière de SRI
La proposition de directive imposerait aux Etats membres d’adopter une stratégie nationale comportant un plan national de coopération. La stratégie nationale devra déterminer les objectifs stratégiques et les mesures politiques et réglementaires visant à parvenir à un niveau élevé de sécurité des SRI et à le maintenir. Le texte européen donne cependant peu d’informations quant au contenu exact de cette stratégie et de ce plan.
2.3 La désignation d’une autorité nationale et d’une équipe d’intervention compétentes en matière de sécurité des SRI
Chaque Etat membre devra constituer une équipe d'intervention en cas d'urgence informatique (CERT), chargée de la gestion des incidents et des risques. Les missions exactes de cette équipe seront fixées par chaque Etat membre.
En outre, chaque Etat membre devra désigner une autorité compétente ayant pour mission de contrôler l'application de la directive au niveau national. Cette autorité recevra les notifications d'incidents des administrations publiques et des entreprises, et pourra informer le public lorsqu'elle jugera qu'il est dans l'intérêt général de divulguer des informations relatives à un incident particulier.
Cette autorité compétente pourra enquêter et donner des instructions contraignantes aux administrations et entreprises ne respectant pas leurs obligations de sécurité. En outre, cette autorité notifiera aux services répressifs les incidents susceptibles de constituer une infraction pénale grave et coopèrera avec les autorités chargées de la protection des données personnelles en cas d'incident portant atteinte à de telles données.
A noter que la France s’est déjà dotée d’une autorité compétente, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), depuis 2009.
3. Les obligations incombant aux entreprises et aux administrations publiques
La politique européenne de sécurité des SRI vise à faire en sorte que les administrations publiques et les entreprises, appartenant à des secteurs d’activité stratégiques, évaluent les risques qu'ils courent en termes de cybersécurité, assurent la fiabilité et la résilience des réseaux et systèmes informatiques par une gestion appropriée des risques et partagent les informations recensées avec les autorités nationales compétentes en matière de SRI.
3.1 Les recommandations de la Commission européenne
Dans le cadre du déploiement de sa stratégie, la Commission invite notamment les entreprises européennes à :
- investir dans un niveau élevé de cybersécurité, élaborer de “bonnes pratiques” via des chartes ou codes de conduite par exemple, et développer le partage d'informations relatives à la sécurité avec les pouvoirs publics, en vue d'assurer une protection solide et efficace des biens et des personnes, notamment par des partenariats public-privé ;
- sensibiliser salariés et clients à la cybersécurité. En particulier, les entreprises doivent réfléchir à la façon de sensibiliser leurs dirigeants à leurs responsabilités en matière de cybersécurité. La Commission ne donne pas plus de détails quant aux mesures de sensibilisation devant être menées au sein des entreprises. Ces mesures devraient logiquement être déployées par le biais de plans internes de formation à la sécurité informatique ou de mise en oeuvre de chartes informatiques adaptées aux outils mis à disposition des salariés, ou encore par l'organisation régulière de conférences participatives, de campagnes de e-learning, ou de serious games par exemple ;
- promouvoir un marché unique des outils de cybersécurité, en favorisant l'élaboration et l'adoption de normes de sécurité et de normes techniques. En outre, les entreprises devront mettre en oeuvre des procédures intégrant la sécurité et le respect de la vie privée dès la conception de nouveaux produits et services TIC. Cette disposition, applicable à la vie privée, figure par ailleurs dans le projet de règlement sur la protection de la vie privée, actuellement en cours de discussion.
3.2 Les exigences figurant à la proposition de directive
La proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, a été publiée le 7 février 2013. Cette proposition de directive fixe plusieurs types d’obligations en matière de sécurité des réseaux.
Les administrations publiques et les entreprises devront prendre des mesures techniques et organisationnelles nécessaires pour éviter les incidents et gérer les risques qui menacent la sécurité des réseaux et des systèmes informatiques qu'elles contrôlent et utilisent dans le cadre de leurs activités. Ces mesures doivent garantir non seulement un niveau de sécurité adapté au risque existant, mais également la continuité des services qui dépendent de ces réseaux et systèmes.
En outre, les administrations publiques et les entreprises devront notifier à l'autorité compétente les incidents (perte, vol, piratage de données, etc.) qui ont un impact significatif sur la sécurité des services qu'elles fournissent. L'autorité compétente pourra demander aux administrations publiques et aux entreprises d’informer le public, lorsqu'elle juge qu'il est dans l'intérêt général de divulguer les informations relatives à l'incident.
Selon la proposition de directive, les entreprises concernées par ces obligations de sécurité seront :
(i) les “prestataires de services de la société de l'information qui permettent la fourniture d'autres services de la société de l'information”, tels les plateformes de commerce électronique, les services de paiement par internet, les réseaux sociaux, les moteurs de recherche, etc. ;
(ii) les opérateurs d'importance vitale dans le domaine de l'énergie, des transports, des services bancaires, des infrastructures de marchés financiers et de la santé.
Enfin, seuls seront concernés par ces obligations, les prestataires et opérateurs dont l'effectif est supérieur à 10 personnes et dont le chiffre d'affaires annuel excède deux millions d'euros.
Cette proposition de directive devrait, selon l’avancée des débats, être définitivement adoptée d’ici 2014. Le texte définitif devra ensuite faire l’objet d’une transposition dans les droits nationaux dans les 18 mois suivant l’adoption de la directive, soit entre fin 2015 et mi-2016.
Le déploiement d’un tel plan de lutte multinationale contre la cybercriminalité est de toute évidence nécessaire. En effet, les réseaux n’ayant pas de frontières, une approche commune en matière de lutte contre la cybercriminalité - pour autant que cette approche soit cohérente et réaliste - semble la meilleure réponse aux attaques. Dans ce sens, le plan proposé par les instances de l’Union est ambitieux, a fortiori en période de difficultés économiques, alors que les budgets de l’Union européenne et des pays membres font l’objet de restrictions. On peut donc légitimement se demander où états et entreprises trouveront les fonds nécessaires pour mettre en oeuvre cette politique.
* * * * * * * * * * * *
(1) Pour mémoire, la loi Godfrain, relative à la fraude informatique date du 5 janvier 1988. Cette loi dispose notamment que : “Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende.
Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45000 euros d'amende.” (loi codifiée aux articles 323-1 et suivants du code pénal)
(2) Voir l'article "Cyberattaques : des milliers de clients d'EDF cibles de mails frauduleux.", publié sur www.latribune.fr, le 31 janvier 2013 et l'article "Kaspersky Lab identifie l'opération "Red October", une campagne évoluée de cyberespionnage ciblant les représentations diplomatiques et les administrations à travers le monde", publié sur www.kaspersky.com, rubrique "Actualités", le 14 janvier 2013.
(3) Voir le communiqué de presse de la Commission européenne du 9 janvier 2013. Le Centre européen de lutte contre la cybercriminalité (EC3) a été créé en janvier 2013. L'EC3 fournira des analyses et des informations, contribuera aux enquêtes, apportera des moyens criminalistiques de haut niveau, facilitera la coopération, créera des filières de partage des informations entre les autorités compétentes dans les États membres, le secteur privé et d'autres parties prenantes, et endossera progressivement le rôle de porte-parole des professionnels du maintien de l'ordre.
(4) Communication conjointe au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions. Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, Bruxelles, le 7.2.2013 COM(2013) 48 final 2013/0027 (COD).
Bénédicte DELEPORTE
Betty SFEZ
Avocats
Deleporte Wentz Avocat
www.dwavocat.com
Mars 2013
lundi 4 mars 2013
samedi 9 février 2013
La directive DME2 relative aux établissements de monnaie électronique enfin transposée en droit français
La France vient de transposer la Directive européenne du 16 septembre 2009 relative au statut des établissements de monnaie électronique (dite "DME2") avec la loi du 28 janvier 2013. Cette loi a créé un nouveau cadre légal relatif à l'accès et à l’exercice de l'activité d'établissement de monnaie électronique ("EME"). Un EME est une personne morale, autre qu'un établissement de crédit, émettant et gérant à titre de profession habituelle de la monnaie électronique. (1)
Jusqu'à présent, en France, les services de monnaie électronique ne pouvaient être proposés que par des banques ou des établissements de crédit. Ainsi, les entreprises françaises souhaitant proposer ces services devaient nécessairement obtenir un agrément en tant qu'établissement de crédit, nécessitant une mise en conformité avec un régime très strict. La transposition de la Directive DME2 en droit français, permettant un assouplissement de ce régime, était donc attendue par les entrepreneurs n’appartenant pas au domaine bancaire qui souhaitent se lancer dans l’activité de fourniture de service de monnaie électronique.
Les nouvelles dispositions légales, codifiées en partie dans le Code monétaire et financier, concernent d’une part, les conditions d’accès à l’activité d’EME et d’autre part, les conditions d’exercice de cette activité. (2) Le non respect de ces conditions est sévèrement sanctionné.
1. Les conditions d'accès à l'activité d’établissement de monnaie électronique
Afin de pouvoir émettre et gérer de la monnaie électronique à titre de profession habituelle, il est nécessaire de remplir les conditions suivantes :
1.1 L’agrément de l’ACP
Préalablement à l’émission et à la gestion de monnaie électronique, les EME doivent obtenir un agrément délivré par l’Autorité de contrôle prudentiel ("ACP"), après avis de la Banque de France.
Pour délivrer l’agrément, l’ACP s’assure de l’aptitude de l’entreprise requérante à garantir une gestion saine et prudente de l’établissement. Ainsi, l'ACP vérifie que l'EME dispose d'un solide dispositif de gouvernement d'entreprise, comprenant notamment une structure organisationnelle claire avec un partage des responsabilités bien défini, transparent et cohérent. En outre, l'ACP apprécie la qualité des actionnaires ou associés qui détiennent une participation qualifiée. Elle vérifie ainsi que l'EME est dirigé effectivement par deux personnes au moins possédant l'honorabilité ainsi que la compétence et l'expérience nécessaires à leur fonction et requises pour les activités d'émission et de gestion de monnaie électronique.
L'établissement doit satisfaire à tout moment aux conditions de son agrément. Toute modification de ces conditions ayant une incidence sur l'exactitude des informations fournies au moment de la demande doit faire l'objet d'une déclaration auprès de l'ACP.
Le retrait de l'agrément de l'EME peut être décidé d'office par l'ACP lorsque l'établissement (i) ne fait pas usage de l'agrément dans un délai de 12 mois ou a cessé d'exercer son activité pendant une période supérieure à 6 mois, (ii) a obtenu l'agrément au moyen de fausses déclarations ou par tout autre moyen irrégulier, ou (iii) ne remplit plus les conditions auxquelles est subordonné son agrément.
1.2 Un capital social minimum obligatoire
Pour délivrer l’agrément, l’ACP vérifie si l’établissement candidat dispose, au moment de la délivrance de l’agrément, d’un capital libéré d’un montant au moins égal à un montant qui sera fixé par voie réglementaire. La Directive DME2 prévoit un seuil minimal de 350.000€.
2. Les conditions d'exercice de l'activité d’établissement de monnaie électronique
L'exercice de l'activité d'EME est soumis aux conditions suivantes :
2.1 Des dispositions prudentielles particulières
- Le respect de normes de gestion strictes : les EME sont tenus de respecter des normes de gestion destinées à garantir leur solvabilité ainsi que l’équilibre de leur structure financière. Ils disposent également d’un dispositif approprié de contrôle interne, permettant notamment de mesurer les risques et la rentabilité de leurs activités. Enfin, les EME doivent respecter un niveau de fonds propres adéquat. Comme pour le capital initial, le montant minimum des fonds propres et les modalités de calcul y afférentes seront fixées par voie réglementaire.
- Les conditions de l’externalisation de fonctions opérationnelles : les EME qui souhaitent externaliser une partie de leurs "fonctions opérationnelles" doivent en informer l'ACP. Cette externalisation ne doit pas être faite d'une manière qui nuise à la qualité du contrôle interne de l'établissement ou qui empêche l'ACP de contrôler que cet établissement respecte les obligations qui lui incombent. Les conditions d'application précises de ces nouvelles dispositions seront fixées par voie d'arrêté.
2.2 Des règles spécifiques en matière de secret professionnel et de comptabilité
- Le secret professionnel : toute personne au sein d'un EME (membre du conseil d'administration ou de surveillance, membre de la direction ou employé) est tenu au secret professionnel.
Toutefois, ce secret peut être levé dans deux cas. Les EME peuvent communiquer des informations couvertes par le secret professionnel (i) au cas par cas, lorsque les personnes concernées ont donné leur consentement exprès, et (ii) aux personnes avec lesquelles ils négocient, concluent ou exécutent certaines opérations, dès lors que ces informations sont nécessaires à celles-ci (par exemple, en cas de prises de participation ou de contrôle dans un EME, de cessions d'actifs ou de fonds de commerce ou de cessions ou transferts de contrats).
- Les règles de tenue de la comptabilité et de contrôle légal des comptes : les EME sont soumis à plusieurs obligations d'ordre comptable concernant l'édition des inventaires, comptes et rapports de gestion, la publication des comptes annuels, la désignation ou la convocation d'un commissaires aux comptes, etc. L'ACP s'assure que les publications de comptes annuels sont régulièrement effectuées et peut ordonner à l'établissement de procéder à des publications rectificatives, en cas d'inexactitudes ou d'omissions relevées dans les documents publiés.
2.3 Les activités autorisées
En sus de l’émission, la gestion et la mise à disposition de monnaie électronique, les EME peuvent :
- (i) fournir des services de paiement,
- (ii) fournir des services connexes à la prestation de services de paiement ou étroitement liés à l’émission et la gestion de monnaie électronique (par exemple, des services de change et de garde, l’enregistrement et le traitement des données), et
- (iii) exercer une activité commerciale autre que les activités mentionnées ci-dessus. Toutefois, ces activités commerciales ne doivent pas être incompatibles avec les exigences de la profession, notamment le maintien de la réputation de l’établissement, de la primauté des intérêts des clients et du jeu de la concurrence sur le marché considéré.
Les modalités selon lesquelles les EME exercent, à titre de profession habituelle, une activité autre que l'émission et la gestion de monnaie électronique seront fixées par voie d'arrêté.
2.4 La protection du consommateur
La loi prévoit des obligations contractuelles particulières relatives à l’information préalable du consommateur. Les conditions contractuelles doivent être communiquées dans des termes clairs et aisément compréhensibles au client détenteur de monnaie électronique, avant tout contrat ou offre liant les parties.
La monnaie électronique est remboursée par l'établissement émetteur au détenteur de monnaie électronique qui en fait la demande. Le remboursement des unités de monnaie électronique doit être effectué sans frais pour le détenteur, sauf exceptions. Dans ce cas, le contrat doit préciser les conditions, le montant, la nature et le détail de calcul de ces frais.
2.5 Un régime allégé pour les petits EME
La loi prévoit un régime allégé pour les petits EME. Ces établissements pourront être exemptés de l'essentiel du dispositif prudentiel, si leurs activités commerciales dans leur ensemble génèrent une moyenne de la monnaie électronique en circulation inférieure à un montant qui sera fixé par décret. La directive DME2 prévoit un plafond maximal de 5 millions d'euros.
3. Les sanctions applicables en cas d’infraction à la loi
La loi prévoit plusieurs sanctions en cas d’infraction à la loi par l’établissement ou ses dirigeants.
- Les sanctions applicables à l’établissement : sont notamment punis de 3 ans d'emprisonnement et 375.000€ d'amende (1.875.000€ pour les personnes morales), toute personne ou entreprise, autre que les EME (i) émettant et gérant de la monnaie électronique à titre de profession habituelle, ou (ii) utilisant une dénomination, une raison sociale, une publicité ou, d’une façon générale, des expressions faisant croire qu’elle est agréée en tant qu’établissement de monnaie électronique.
Ces peines principales peuvent être accompagnées de peines complémentaires telles que l'interdiction d'exercer l'activité professionnelle dans l'exercice ou à l'occasion de laquelle l'infraction a été commise, ou la fermeture des établissements de l’entreprise ayant servi à commettre les faits incriminés, pour une durée de 5 ans au plus.
- Les sanctions propres aux dirigeants d'EME : le dirigeant d'un établissement peut être condamné à des peines allant jusqu'à 5 ans d'emprisonnement et 75.000 € d'amende, dans les cas suivants :
- défaut de réponse, après mise en demeure, aux demandes d'informations de l'ACP ; obstacle à l'exercice par l'ACP de sa mission de contrôle ou communication de renseignements inexacts ;
- édition et publication des inventaires, comptes annuels et rapports de gestion, ne respectant pas les conditions prévues par la loi ;
- défaut de désignation ou convocation des commissaires aux comptes dans les cas prévus par la loi ; obstacle aux vérifications ou contrôles des commissaires aux comptes ou refus de communication des pièces utiles à l'exercice de leur mission.
Jusqu'à présent, en France, les services de monnaie électronique ne pouvaient être proposés que par des banques ou des établissements de crédit. Ainsi, les entreprises françaises souhaitant proposer ces services devaient nécessairement obtenir un agrément en tant qu'établissement de crédit, nécessitant une mise en conformité avec un régime très strict. La transposition de la Directive DME2 en droit français, permettant un assouplissement de ce régime, était donc attendue par les entrepreneurs n’appartenant pas au domaine bancaire qui souhaitent se lancer dans l’activité de fourniture de service de monnaie électronique.
Les nouvelles dispositions légales, codifiées en partie dans le Code monétaire et financier, concernent d’une part, les conditions d’accès à l’activité d’EME et d’autre part, les conditions d’exercice de cette activité. (2) Le non respect de ces conditions est sévèrement sanctionné.
1. Les conditions d'accès à l'activité d’établissement de monnaie électronique
Afin de pouvoir émettre et gérer de la monnaie électronique à titre de profession habituelle, il est nécessaire de remplir les conditions suivantes :
1.1 L’agrément de l’ACP
Préalablement à l’émission et à la gestion de monnaie électronique, les EME doivent obtenir un agrément délivré par l’Autorité de contrôle prudentiel ("ACP"), après avis de la Banque de France.
Pour délivrer l’agrément, l’ACP s’assure de l’aptitude de l’entreprise requérante à garantir une gestion saine et prudente de l’établissement. Ainsi, l'ACP vérifie que l'EME dispose d'un solide dispositif de gouvernement d'entreprise, comprenant notamment une structure organisationnelle claire avec un partage des responsabilités bien défini, transparent et cohérent. En outre, l'ACP apprécie la qualité des actionnaires ou associés qui détiennent une participation qualifiée. Elle vérifie ainsi que l'EME est dirigé effectivement par deux personnes au moins possédant l'honorabilité ainsi que la compétence et l'expérience nécessaires à leur fonction et requises pour les activités d'émission et de gestion de monnaie électronique.
L'établissement doit satisfaire à tout moment aux conditions de son agrément. Toute modification de ces conditions ayant une incidence sur l'exactitude des informations fournies au moment de la demande doit faire l'objet d'une déclaration auprès de l'ACP.
Le retrait de l'agrément de l'EME peut être décidé d'office par l'ACP lorsque l'établissement (i) ne fait pas usage de l'agrément dans un délai de 12 mois ou a cessé d'exercer son activité pendant une période supérieure à 6 mois, (ii) a obtenu l'agrément au moyen de fausses déclarations ou par tout autre moyen irrégulier, ou (iii) ne remplit plus les conditions auxquelles est subordonné son agrément.
1.2 Un capital social minimum obligatoire
Pour délivrer l’agrément, l’ACP vérifie si l’établissement candidat dispose, au moment de la délivrance de l’agrément, d’un capital libéré d’un montant au moins égal à un montant qui sera fixé par voie réglementaire. La Directive DME2 prévoit un seuil minimal de 350.000€.
2. Les conditions d'exercice de l'activité d’établissement de monnaie électronique
L'exercice de l'activité d'EME est soumis aux conditions suivantes :
2.1 Des dispositions prudentielles particulières
- Le respect de normes de gestion strictes : les EME sont tenus de respecter des normes de gestion destinées à garantir leur solvabilité ainsi que l’équilibre de leur structure financière. Ils disposent également d’un dispositif approprié de contrôle interne, permettant notamment de mesurer les risques et la rentabilité de leurs activités. Enfin, les EME doivent respecter un niveau de fonds propres adéquat. Comme pour le capital initial, le montant minimum des fonds propres et les modalités de calcul y afférentes seront fixées par voie réglementaire.
- Les conditions de l’externalisation de fonctions opérationnelles : les EME qui souhaitent externaliser une partie de leurs "fonctions opérationnelles" doivent en informer l'ACP. Cette externalisation ne doit pas être faite d'une manière qui nuise à la qualité du contrôle interne de l'établissement ou qui empêche l'ACP de contrôler que cet établissement respecte les obligations qui lui incombent. Les conditions d'application précises de ces nouvelles dispositions seront fixées par voie d'arrêté.
2.2 Des règles spécifiques en matière de secret professionnel et de comptabilité
- Le secret professionnel : toute personne au sein d'un EME (membre du conseil d'administration ou de surveillance, membre de la direction ou employé) est tenu au secret professionnel.
Toutefois, ce secret peut être levé dans deux cas. Les EME peuvent communiquer des informations couvertes par le secret professionnel (i) au cas par cas, lorsque les personnes concernées ont donné leur consentement exprès, et (ii) aux personnes avec lesquelles ils négocient, concluent ou exécutent certaines opérations, dès lors que ces informations sont nécessaires à celles-ci (par exemple, en cas de prises de participation ou de contrôle dans un EME, de cessions d'actifs ou de fonds de commerce ou de cessions ou transferts de contrats).
- Les règles de tenue de la comptabilité et de contrôle légal des comptes : les EME sont soumis à plusieurs obligations d'ordre comptable concernant l'édition des inventaires, comptes et rapports de gestion, la publication des comptes annuels, la désignation ou la convocation d'un commissaires aux comptes, etc. L'ACP s'assure que les publications de comptes annuels sont régulièrement effectuées et peut ordonner à l'établissement de procéder à des publications rectificatives, en cas d'inexactitudes ou d'omissions relevées dans les documents publiés.
2.3 Les activités autorisées
En sus de l’émission, la gestion et la mise à disposition de monnaie électronique, les EME peuvent :
- (i) fournir des services de paiement,
- (ii) fournir des services connexes à la prestation de services de paiement ou étroitement liés à l’émission et la gestion de monnaie électronique (par exemple, des services de change et de garde, l’enregistrement et le traitement des données), et
- (iii) exercer une activité commerciale autre que les activités mentionnées ci-dessus. Toutefois, ces activités commerciales ne doivent pas être incompatibles avec les exigences de la profession, notamment le maintien de la réputation de l’établissement, de la primauté des intérêts des clients et du jeu de la concurrence sur le marché considéré.
Les modalités selon lesquelles les EME exercent, à titre de profession habituelle, une activité autre que l'émission et la gestion de monnaie électronique seront fixées par voie d'arrêté.
2.4 La protection du consommateur
La loi prévoit des obligations contractuelles particulières relatives à l’information préalable du consommateur. Les conditions contractuelles doivent être communiquées dans des termes clairs et aisément compréhensibles au client détenteur de monnaie électronique, avant tout contrat ou offre liant les parties.
La monnaie électronique est remboursée par l'établissement émetteur au détenteur de monnaie électronique qui en fait la demande. Le remboursement des unités de monnaie électronique doit être effectué sans frais pour le détenteur, sauf exceptions. Dans ce cas, le contrat doit préciser les conditions, le montant, la nature et le détail de calcul de ces frais.
2.5 Un régime allégé pour les petits EME
La loi prévoit un régime allégé pour les petits EME. Ces établissements pourront être exemptés de l'essentiel du dispositif prudentiel, si leurs activités commerciales dans leur ensemble génèrent une moyenne de la monnaie électronique en circulation inférieure à un montant qui sera fixé par décret. La directive DME2 prévoit un plafond maximal de 5 millions d'euros.
3. Les sanctions applicables en cas d’infraction à la loi
La loi prévoit plusieurs sanctions en cas d’infraction à la loi par l’établissement ou ses dirigeants.
- Les sanctions applicables à l’établissement : sont notamment punis de 3 ans d'emprisonnement et 375.000€ d'amende (1.875.000€ pour les personnes morales), toute personne ou entreprise, autre que les EME (i) émettant et gérant de la monnaie électronique à titre de profession habituelle, ou (ii) utilisant une dénomination, une raison sociale, une publicité ou, d’une façon générale, des expressions faisant croire qu’elle est agréée en tant qu’établissement de monnaie électronique.
Ces peines principales peuvent être accompagnées de peines complémentaires telles que l'interdiction d'exercer l'activité professionnelle dans l'exercice ou à l'occasion de laquelle l'infraction a été commise, ou la fermeture des établissements de l’entreprise ayant servi à commettre les faits incriminés, pour une durée de 5 ans au plus.
- Les sanctions propres aux dirigeants d'EME : le dirigeant d'un établissement peut être condamné à des peines allant jusqu'à 5 ans d'emprisonnement et 75.000 € d'amende, dans les cas suivants :
- défaut de réponse, après mise en demeure, aux demandes d'informations de l'ACP ; obstacle à l'exercice par l'ACP de sa mission de contrôle ou communication de renseignements inexacts ;
- édition et publication des inventaires, comptes annuels et rapports de gestion, ne respectant pas les conditions prévues par la loi ;
- défaut de désignation ou convocation des commissaires aux comptes dans les cas prévus par la loi ; obstacle aux vérifications ou contrôles des commissaires aux comptes ou refus de communication des pièces utiles à l'exercice de leur mission.
Avec la transposition de la DME2, la loi du 28 janvier 2013 crée un régime juridique autonome pour les établissements de monnaie électronique. Ce régime "simplifié" doit favoriser l'arrivée de nouveaux acteurs sur le marché de la monnaie électronique.
Les dispositions de la loi de 2013 s’appliquent aux établissements qui proposaient déjà ces services avant la transposition de la directive. Les contrats en cours de ces établissements devront être modifiés afin de se mettre en conformité avec les nouvelles règles applicables. Les clauses des contrats contraires à la loi sont considérées comme caduques. Les établissements émetteurs sont tenus de mettre les contrats les liant à leurs clients détenteurs de monnaie électronique, en conformité avec la nouvelle loi dans les 6 mois à compter de sa promulgation, soit au plus tard fin juillet 2013.
Les dispositions de la loi de 2013 s’appliquent aux établissements qui proposaient déjà ces services avant la transposition de la directive. Les contrats en cours de ces établissements devront être modifiés afin de se mettre en conformité avec les nouvelles règles applicables. Les clauses des contrats contraires à la loi sont considérées comme caduques. Les établissements émetteurs sont tenus de mettre les contrats les liant à leurs clients détenteurs de monnaie électronique, en conformité avec la nouvelle loi dans les 6 mois à compter de sa promulgation, soit au plus tard fin juillet 2013.
* * * * * * * * * *
(1) Directive 2009/110/CE du Parlement européen et du Conseil du 16 septembre 2009 concernant l’accès à l’activité des établissements de monnaie électronique et son exercice ainsi que la surveillance prudentielle de ces établissements, modifiant les directives 2005/60/CE et 2006/48/CE et abrogeant la directive 2000/46/CE (DME2) ; Loi n°2013-100 du 28 janvier 2013 portant diverses dispositions d'adaptation de la législation au droit de l'Union européenne en matière économique et financière.
(2) La loi du 28 janvier 2013 est codifiée au Code monétaire et financier. Voir notamment les articles L.133-29, L.315-1 et s., L.525-1 et s., L.526-1 et s., et L.572-13 et s. du Code monétaire et financier.
Betty SFEZ - Avocat
Deleporte Wentz Avocat
www.deleporte-wentz-avocat.com
Février 2012
mardi 29 janvier 2013
La prochaine réforme de la protection des données personnelles en Europe : vers un renforcement des droits des personnes et des obligations des entreprises
La directive européenne sur la protection des données personnelles date d’octobre 1995. Or, depuis 1995, les manières de collecter, utiliser, interconnecter, diffuser - en d’autres termes “traiter” - les données à caractère personnel, ont beaucoup évolué. Pour prendre en compte ces évolutions, notamment le développement des usages d’internet et des réseaux sociaux, mais également de toutes les technologies utilisant des données personnelles, la Commission européenne a publié le 25 janvier 2012, une proposition de règlement relatif à la protection des personnes relative au traitement de leurs données à caractère personnel. (1)
Ce règlement, une fois le texte définitif adopté, sera d’application immédiate et uniforme dans l’ensemble de l’Union européenne et viendra remplacer la directive de 1995 et les différentes lois nationales de protection des données personnelles. Ce texte devrait être adopté début 2014 et entrer en vigueur début 2016. Même si cette échéance peut paraître encore éloignée, et que certains aspects du règlement sont toujours en cours de discussion, il nous semble important d’en exposer les principaux aspects afin de permettre aux entreprises d’anticiper au mieux sa mise en oeuvre.
Il ne s’agit pas ici de faire une description exhaustive de la proposition de règlement mais de se focaliser sur les principales dispositions. Ainsi, les deux grands axes à retenir sont un renforcement des droits des personnes concernées sur leurs données, notamment en matière d’information préalable, de consentement, de droit d’opposition et de droit à l’oubli, et en parallèle, un renforcement des obligations des entreprises en matière de collecte et de traitement des données personnelles, avec des sanctions alourdies en cas de non-respect de la nouvelle règlementation.
1. Le renforcement des droits des personnes concernées sur leurs données
Les sources de collecte de données personnelles se sont démultipliées ces dernières années, d’une part avec des technologies et pratiques commerciales facilitant ces collectes (développement du e-commerce, du web 2.0, des smartphones et des applications mobiles, du cloud computing, des technologies et objets dits “intelligents”, etc.), d’autre part du fait de l’évolution des modes d’utilisation de ces technologies par les internautes (grâce aux achats en ligne, à l’utilisation des réseaux sociaux, des applications mobiles, des services de géolocalisation, entre autres). L’intensification de l’utilisation de nos données personnelles et l’absence de frontières physiques ont rendu les lois sur la protection des données personnelles quelque peu obsolètes, en témoignent les incessants allers-retours entre la Commission européenne et les principales sociétés du web (Google et Facebook par exemple), en matière de rappel au respect des principes de protection des données à caractère personnel.
La proposition de règlement européen apporte des modifications substantielles concernant les droits des personnes dont les données sont traitées, en allant vers un renforcement de ces droits.
1.1 Les règles de recueil du consentement des personnes
Les modalités de recueil du consentement par la personne concernée, au traitement de ses données personnelles, ont été précisées et vont dans le sens d’une plus grande maîtrise de principe de l’accord et de son retrait par la personne concernée.
Le texte européen définit le consentement comme toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne dont les données sont traitées (la “personne concernée”) accepte, par une déclaration ou par un acte positif univoque, que des données personnelles la concernant fassent l'objet d'un traitement.
Ainsi, lorsqu’il est requis, le consentement au traitement des données personnelles ne peut être tacite ou implicite. Il doit nécessairement répondre à une information préalable claire, précise et complète. La charge de la preuve de l’obtention du consentement de l’utilisateur incombera à l’entreprise qui traite ces données.
En outre, le consentement de la personne concernée, au traitement de ses données, n'est valable que si cette personne est effectivement en mesure de retirer son consentement à tout moment, et donc de s'opposer ultérieurement à la poursuite du traitement de ses données.
Les entreprises devront systématiquement s’assurer que les acheteurs de leurs produits ou les utilisateurs de leurs services ont accepté de façon effective la collecte et le traitement de leurs données.
Enfin, le règlement prévoit que “le consentement ne constitue pas un fondement juridique valable pour le traitement lorsqu'il existe un déséquilibre significatif entre la personne concernée et le responsable du traitement”. Il en irait ainsi lorsque la personne concernée se trouverait dans une situation de dépendance par rapport à l’entreprise et qu’elle ne serait pas en mesure de négocier ou de faire modifier les conditions contractuelles ; par exemple, les données personnelles concernant un salarié et traitées par son employeur dans le cadre de l’exécution du contrat de travail, ou les contrats d'adhésion entre des particuliers et des entreprises. Il sera intéressant de voir comment cette disposition sera interprétée, dans la mesure où la plupart des contrats conclus entre les consommateurs et les sociétés de services (téléphonie, assurances, banque, etc.) et tous les contrats conclus en ligne peuvent être qualifiés de contrats d’adhésion dans lesquels existe un “déséquilibre significatif” entre les parties.
1.2 Les droits des personnes concernées
Outre le renforcement des règles relatives au recueil du consentement des personnes, leurs droits sur la manière dont leurs données seront traitées ont été précisés.
- Le droit à l’oubli numérique : ce droit permet à toute personne de demander la suppression totale des données collectées par une entreprise, notamment lorsque ces collectes ont été réalisées alors que la personne concernée était mineure, ou lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées, ou encore lorsque le délai de conservation autorisé a expiré.
Dès lors, toute entreprise ayant collecté des données à caractère personnel devra les effacer, à la demande de la personne concernée, et en cesser toute diffusion. Par exemple, un internaute qui voudrait résilier son compte sur un réseau social devrait pouvoir obtenir de l’exploitant du site qu'il détruise toutes les données personnelles le concernant, sous réserve du droit applicable (droit du pays d’établissement de l’exploitant du site ou droit du pays de résidence de l’internaute - en l’occurrence, droit de l’UE).
La proposition de règlement prévoit également que l’entreprise doit d’une part, procéder à l'effacement des données sans délai, sauf motif légitime pour les conserver (pour respecter une obligation légale de conservation des données ou à des fins de recherche statistique et scientifique par exemple) et d’autre part, prendre toutes mesures utiles afin d'informer l'ensemble des tiers à qui elle a communiqué les données de la demande de la personne concernée.
- Le droit à la portabilité des données : ce droit offre la possibilité aux personnes concernées de se voir restituer leurs données personnelles dans un format électronique communément utilisé, permettant de les transférer à un autre fournisseur de service. Comme pour les numéros de téléphone, le principe de portabilité des données permet de faciliter le transfert des données personnelles vers de nouveaux prestataires, et de ne pas être tenu de rester indéfiniment chez le même prestataire quand bien même le niveau et/ou le prix des services serait devenu insatisfaisant.
- Le droit d’opposition au profilage : la proposition de règlement impose le principe du consentement préalable et le respect du droit d’opposition des personnes concernées aux actions de marketing direct et de profilage. Le “profilage” peut se définir comme toute forme de traitement de données personnelles destiné à évaluer certains aspects personnels propres à une personne physique ou à analyser ou prévoir ses habitudes de navigation sur le web, ses habitudes d’achat de biens et de services, voire sa productivité professionnelle, ou sa catégorie socio-professionnelle. Le texte européen exige que ces personnes soient dûment informées du traitement de leurs données à des fins de profilage et des effets escomptés de ce traitement.
2. Le renforcement des obligations applicables aux entreprises collectant des données personnelles
Face au renforcement des droits des personnes concernées, les obligations des sociétés collectant des données à caractère personnel ont également été renforcées par rapport à la situation actuelle, avec un alourdissement des sanctions pécuniaires en cas de violation des dispositions réglementaires.
2.1 L’obligation de déployer de nouvelles procédures internes de gouvernance
Les formalités déclaratives auprès de la CNIL seront simplifiées, et pour certaines catégories de traitements, supprimées.
En contrepartie, les entreprises devront déployer des procédures internes pour assurer le respect des principes de protection des données personnelles. Ces procédures, créant une véritable politique de gouvernance en matière de protection des données personnelles, comprendront : audits, registres, études d’impact, prise en compte de la protection des données dès la conception des nouveaux produits et services (mise en oeuvre des principes de “Privacy by design” ou de “Privacy by default”), codes de conduite, etc. (2)
Les entreprises devront adopter des règles internes contraignantes, tenir une documentation permettant de conserver la trace des traitements mis en oeuvre et de leurs caractéristiques, pouvoir rapporter la preuve de la mise en oeuvre de mesures de sécurité des données appropriées, mettre en œuvre des mécanismes pour vérifier l’efficacité de ces mesures, etc. Ces mesures et procédures techniques et organisationnelles devront être appliquées depuis la définition des moyens de traitement jusqu’à leur mise en oeuvre effective.
Par ailleurs, en cas de traitements sensibles de données personnelles, les entreprises devront réaliser une analyse d'impact et définir des mesures appropriées pour garantir la protection des données en cause. Par “traitement sensible”, il faut comprendre tout traitement présentant des risques particuliers au regard des droits et libertés des personnes concernées, du fait de leur nature ou de leur finalité (tels que les traitements de données relatifs à la santé, aux orientations sexuelles, aux origines raciales ou ethniques, ou encore les traitements relatifs à la surveillance de zones accessibles au public impliquant l’usage de dispositifs de vidéosurveillance).
Enfin, en cas d’existence de plusieurs filiales dans l’Union européenne, l’autorité en charge de la protection des données compétente sera celle de l’Etat membre dans lequel le responsable du traitement a son établissement principal. Ce concept de “guichet unique” sera certainement amené à être précisé dans la version finale du règlement.
2.2 La désignation d’un délégué à la protection des données
Le délégué à la protection des données (ou “DPD”) est l’équivalent en France, du Correspondant Informatique et Libertés, communément appelé “CIL”. Dans le dispositif actuel, le CIL, dont la nomination n’est pas obligatoire, a pour mission de veiller à l'application de la loi Informatique et Libertés au sein de l’entreprise qui l’a désigné. La désignation d’un CIL présente de nombreux avantages, tel que l’allégement des formalités obligatoires auprès de la CNIL et l’amélioration de la maîtrise des risques juridiques et techniques liés aux traitements des données personnelles. (3)
Avec l’entrée en vigueur du règlement européen, les entreprises auront l’obligation de désigner un délégué à la protection des données dans deux cas : si l’entreprise compte au moins 250 salariés ou si cette société traite des données sensibles, à savoir des données dont la nature, la portée et/ou la finalité exigent un suivi régulier et systématique des personnes concernées. Le DPD pourra être interne à l’entreprise ou externe à celle-ci (avocat ou consultant en informatique par exemple).
2.3 L’obligation de notifier les violations de données à la CNIL
Une violation de données personnelles consiste en une atteinte à la sécurité des traitements, entraînant de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation ou la consultation non autorisée de données personnelles transmises, conservées ou traitées d’une autre manière. Par exemple, une faille dans la boutique d’un e-commerçant qui permettrait de récupérer des noms, adresses, et/ou numéros de cartes bancaires des utilisateurs inscrits ou un email confidentiel destiné à un client, et diffusé par erreur à d’autres personnes constitueraient des cas de violation de données personnelles.
Les entreprises françaises ont l’obligation de notifier toute violation grave des données à la CNIL dans les meilleurs délais, et si possible dans un délai de 24 heures après en avoir eu connaissance. La notification doit au minimum décrire (i) la nature de la violation ainsi que les catégories et le nombre de personnes et de données affectées, (ii) les conséquences de la violation des données, et (iii) les mesures proposées ou prises pour y remédier. L’entreprise doit conserver une trace documentaire de toute violation de données à caractère personnel.
Sauf à démontrer à la CNIL qu’elle a pris des mesures de sécurité appropriées, l’entreprise a l’obligation d’informer toutes personnes concernées de la violation de leurs données, lorsque cette violation est susceptible de porter atteinte à la protection de leurs données personnelles ou à la vie privée.
Cette obligation existe déjà à l’article 34 bis de la Loi Informatique et Libertés. Si la loi française impose uniquement cette notification aux fournisseurs de services de communication électronique, le texte européen ne semble pas faire de distinction suivant l’activité de l’entreprise. Cette obligation serait donc à la charge de toute entreprise traitant des données personnelles.
2.4 De lourdes sanctions en cas de non respect de la réglementation
Ces règles, qui s’appliqueront directement dans chacun des Etats membres de l’Union européenne, prévoient des sanctions financières particulièrement lourdes en cas de non respect de la réglementation.
Les entreprises qui enfreindraient les règles posées par le règlement seront passibles de sanctions financières pouvant atteindre des montants élevés. Si en France la CNIL peut déjà aujourd’hui prononcer des amendes d’un montant maximum de 300.000€, le texte européen permettra d’imposer des amendes pouvant s'élever à 2% du chiffre d’affaires annuel mondial de l’entreprise fautive.
Le montant de l'amende sera fixé en tenant compte de plusieurs paramètres tels la nature, la gravité et la durée de la violation, le fait que l'infraction a été commise de façon délibérée ou par négligence, le degré de responsabilité de la personne en cause, l’existence de cas de violations commises antérieurement par la société, ou le degré de coopération avec la CNIL en vue de remédier à la violation ou à la non-conformité.
Il convient cependant de noter que sans moyens humains supplémentaires, il sera difficile pour la CNIL, comme pour les autres autorités en charge de la protection des données personnelles, de jouer pleinement leur rôle.
Le risque, pour tout texte réglementaire technique, est d’être trop attaché à l'état des technologies à la date de son adoption. Or, la vitesse de l’évolution des usages, des pratiques et des outils et services disponibles tendent à rendre ces textes règlementaires très rapidement obsolètes. Même si la proposition de règlement relatif à la protection des données personnelles n’est pas encore définitif, il est à craindre qu’un texte qui ne serait pas assez générique dans son approche, prenant en compte les technologies plutôt que les usages, devienne rapidement caduque et difficilement applicable.
La proposition de règlement fait ainsi l’objet de nombreuses réserves et critiques depuis sa première publication, en janvier 2012. Ce texte suscite une multiplication de résolutions, amendements ou avis mettant en relief ses points faibles ou manquements. Par exemple, l’Assemblée nationale, dans sa proposition de résolution de février 2012, recommandait de compléter le texte européen en ajoutant des dispositions spécifiques au Cloud computing, ces services n’étant pas expressément visés par la proposition de règlement.
Le texte est actuellement en cours d’examen par le Parlement européen au sein de la Commission chargée des questions relatives aux affaires civiles, justice et affaires intérieures (Commission LIBE). Jan Philipp Albrecht, député européen et rapporteur du groupe, vient de publier son projet de rapport le 8 janvier 2013. Ce texte prévoit notamment d’allonger le délai de notification des violations de données de 24 à 72h ; l’exercice gratuit du droit d’opposition et le recours à la “pseudonymisation” et à l’anonymisation des données pour ne pas identifier directement une personne physique, notamment sur les réseaux sociaux. Ce projet de rapport précise par ailleurs que l’utilisation d’options par défaut, que la personne concernée doit modifier pour marquer son opposition au traitement, comme les cases pré-cochées (opt-out), n’est pas l’expression d’un libre consentement. Enfin, le texte encourage la mise en place d’un système normalisé d’icônes et de logos afin de faciliter la compréhension des conditions de collecte et de traitement des données par les personnes concernées. (4)
Les négociations entre le Parlement, la Commission et le Conseil européen débuteront à partir de mai 2013 en vue d’obtenir un compromis et un texte final d’ici le début de l’année prochaine.
* * * * * * * * * * * *
(1) Voir les textes en référence : proposition de règlement du parlement européen et du conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du 25 janvier 2012, (2012/0011 (COD) ; directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ; et loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.
(2) Le “Privacy By Design” ou principe de protection des données dès la conception d’un produit ou d’un service, requiert l’intégration de la prise en compte de la protection dans le cycle de vie d’une technologie, dès la première étape de sa conception jusqu’à son déploiement, son utilisation et son élimination. Le “Privacy by Default” ou principe de la protection des données par défaut, requiert que les paramètres de respect de la vie privée dans les services et produits soient par défaut conformes aux principes généraux de la protection des données, tels que la réduction au minimum des volumes de données collectées et la limitation de la finalité des traitements.
(3) Voir à ce sujet notre article “Le Correspondant Informatique et Libertés, garant de la conformité des traitements de données personnelles à la loi”, sur notre blog à http://dwavocat.blogspot.fr/2011/12/le-correspondant-informatique-et.html
(4) Projet de rapport sur la proposition de règlement européen relative aux données du 25 janvier 2012, Commission des libertés civiles, de la justice et des affaires intérieures, publié par le rapporteur Jan Philipp Albrecht le 8 janvier 2013.
Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Janvier 2013
Ce règlement, une fois le texte définitif adopté, sera d’application immédiate et uniforme dans l’ensemble de l’Union européenne et viendra remplacer la directive de 1995 et les différentes lois nationales de protection des données personnelles. Ce texte devrait être adopté début 2014 et entrer en vigueur début 2016. Même si cette échéance peut paraître encore éloignée, et que certains aspects du règlement sont toujours en cours de discussion, il nous semble important d’en exposer les principaux aspects afin de permettre aux entreprises d’anticiper au mieux sa mise en oeuvre.
Il ne s’agit pas ici de faire une description exhaustive de la proposition de règlement mais de se focaliser sur les principales dispositions. Ainsi, les deux grands axes à retenir sont un renforcement des droits des personnes concernées sur leurs données, notamment en matière d’information préalable, de consentement, de droit d’opposition et de droit à l’oubli, et en parallèle, un renforcement des obligations des entreprises en matière de collecte et de traitement des données personnelles, avec des sanctions alourdies en cas de non-respect de la nouvelle règlementation.
1. Le renforcement des droits des personnes concernées sur leurs données
Les sources de collecte de données personnelles se sont démultipliées ces dernières années, d’une part avec des technologies et pratiques commerciales facilitant ces collectes (développement du e-commerce, du web 2.0, des smartphones et des applications mobiles, du cloud computing, des technologies et objets dits “intelligents”, etc.), d’autre part du fait de l’évolution des modes d’utilisation de ces technologies par les internautes (grâce aux achats en ligne, à l’utilisation des réseaux sociaux, des applications mobiles, des services de géolocalisation, entre autres). L’intensification de l’utilisation de nos données personnelles et l’absence de frontières physiques ont rendu les lois sur la protection des données personnelles quelque peu obsolètes, en témoignent les incessants allers-retours entre la Commission européenne et les principales sociétés du web (Google et Facebook par exemple), en matière de rappel au respect des principes de protection des données à caractère personnel.
La proposition de règlement européen apporte des modifications substantielles concernant les droits des personnes dont les données sont traitées, en allant vers un renforcement de ces droits.
1.1 Les règles de recueil du consentement des personnes
Les modalités de recueil du consentement par la personne concernée, au traitement de ses données personnelles, ont été précisées et vont dans le sens d’une plus grande maîtrise de principe de l’accord et de son retrait par la personne concernée.
Le texte européen définit le consentement comme toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne dont les données sont traitées (la “personne concernée”) accepte, par une déclaration ou par un acte positif univoque, que des données personnelles la concernant fassent l'objet d'un traitement.
Ainsi, lorsqu’il est requis, le consentement au traitement des données personnelles ne peut être tacite ou implicite. Il doit nécessairement répondre à une information préalable claire, précise et complète. La charge de la preuve de l’obtention du consentement de l’utilisateur incombera à l’entreprise qui traite ces données.
En outre, le consentement de la personne concernée, au traitement de ses données, n'est valable que si cette personne est effectivement en mesure de retirer son consentement à tout moment, et donc de s'opposer ultérieurement à la poursuite du traitement de ses données.
Les entreprises devront systématiquement s’assurer que les acheteurs de leurs produits ou les utilisateurs de leurs services ont accepté de façon effective la collecte et le traitement de leurs données.
Enfin, le règlement prévoit que “le consentement ne constitue pas un fondement juridique valable pour le traitement lorsqu'il existe un déséquilibre significatif entre la personne concernée et le responsable du traitement”. Il en irait ainsi lorsque la personne concernée se trouverait dans une situation de dépendance par rapport à l’entreprise et qu’elle ne serait pas en mesure de négocier ou de faire modifier les conditions contractuelles ; par exemple, les données personnelles concernant un salarié et traitées par son employeur dans le cadre de l’exécution du contrat de travail, ou les contrats d'adhésion entre des particuliers et des entreprises. Il sera intéressant de voir comment cette disposition sera interprétée, dans la mesure où la plupart des contrats conclus entre les consommateurs et les sociétés de services (téléphonie, assurances, banque, etc.) et tous les contrats conclus en ligne peuvent être qualifiés de contrats d’adhésion dans lesquels existe un “déséquilibre significatif” entre les parties.
1.2 Les droits des personnes concernées
Outre le renforcement des règles relatives au recueil du consentement des personnes, leurs droits sur la manière dont leurs données seront traitées ont été précisés.
- Le droit à l’oubli numérique : ce droit permet à toute personne de demander la suppression totale des données collectées par une entreprise, notamment lorsque ces collectes ont été réalisées alors que la personne concernée était mineure, ou lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées, ou encore lorsque le délai de conservation autorisé a expiré.
Dès lors, toute entreprise ayant collecté des données à caractère personnel devra les effacer, à la demande de la personne concernée, et en cesser toute diffusion. Par exemple, un internaute qui voudrait résilier son compte sur un réseau social devrait pouvoir obtenir de l’exploitant du site qu'il détruise toutes les données personnelles le concernant, sous réserve du droit applicable (droit du pays d’établissement de l’exploitant du site ou droit du pays de résidence de l’internaute - en l’occurrence, droit de l’UE).
La proposition de règlement prévoit également que l’entreprise doit d’une part, procéder à l'effacement des données sans délai, sauf motif légitime pour les conserver (pour respecter une obligation légale de conservation des données ou à des fins de recherche statistique et scientifique par exemple) et d’autre part, prendre toutes mesures utiles afin d'informer l'ensemble des tiers à qui elle a communiqué les données de la demande de la personne concernée.
- Le droit à la portabilité des données : ce droit offre la possibilité aux personnes concernées de se voir restituer leurs données personnelles dans un format électronique communément utilisé, permettant de les transférer à un autre fournisseur de service. Comme pour les numéros de téléphone, le principe de portabilité des données permet de faciliter le transfert des données personnelles vers de nouveaux prestataires, et de ne pas être tenu de rester indéfiniment chez le même prestataire quand bien même le niveau et/ou le prix des services serait devenu insatisfaisant.
- Le droit d’opposition au profilage : la proposition de règlement impose le principe du consentement préalable et le respect du droit d’opposition des personnes concernées aux actions de marketing direct et de profilage. Le “profilage” peut se définir comme toute forme de traitement de données personnelles destiné à évaluer certains aspects personnels propres à une personne physique ou à analyser ou prévoir ses habitudes de navigation sur le web, ses habitudes d’achat de biens et de services, voire sa productivité professionnelle, ou sa catégorie socio-professionnelle. Le texte européen exige que ces personnes soient dûment informées du traitement de leurs données à des fins de profilage et des effets escomptés de ce traitement.
2. Le renforcement des obligations applicables aux entreprises collectant des données personnelles
Face au renforcement des droits des personnes concernées, les obligations des sociétés collectant des données à caractère personnel ont également été renforcées par rapport à la situation actuelle, avec un alourdissement des sanctions pécuniaires en cas de violation des dispositions réglementaires.
2.1 L’obligation de déployer de nouvelles procédures internes de gouvernance
Les formalités déclaratives auprès de la CNIL seront simplifiées, et pour certaines catégories de traitements, supprimées.
En contrepartie, les entreprises devront déployer des procédures internes pour assurer le respect des principes de protection des données personnelles. Ces procédures, créant une véritable politique de gouvernance en matière de protection des données personnelles, comprendront : audits, registres, études d’impact, prise en compte de la protection des données dès la conception des nouveaux produits et services (mise en oeuvre des principes de “Privacy by design” ou de “Privacy by default”), codes de conduite, etc. (2)
Les entreprises devront adopter des règles internes contraignantes, tenir une documentation permettant de conserver la trace des traitements mis en oeuvre et de leurs caractéristiques, pouvoir rapporter la preuve de la mise en oeuvre de mesures de sécurité des données appropriées, mettre en œuvre des mécanismes pour vérifier l’efficacité de ces mesures, etc. Ces mesures et procédures techniques et organisationnelles devront être appliquées depuis la définition des moyens de traitement jusqu’à leur mise en oeuvre effective.
Par ailleurs, en cas de traitements sensibles de données personnelles, les entreprises devront réaliser une analyse d'impact et définir des mesures appropriées pour garantir la protection des données en cause. Par “traitement sensible”, il faut comprendre tout traitement présentant des risques particuliers au regard des droits et libertés des personnes concernées, du fait de leur nature ou de leur finalité (tels que les traitements de données relatifs à la santé, aux orientations sexuelles, aux origines raciales ou ethniques, ou encore les traitements relatifs à la surveillance de zones accessibles au public impliquant l’usage de dispositifs de vidéosurveillance).
Enfin, en cas d’existence de plusieurs filiales dans l’Union européenne, l’autorité en charge de la protection des données compétente sera celle de l’Etat membre dans lequel le responsable du traitement a son établissement principal. Ce concept de “guichet unique” sera certainement amené à être précisé dans la version finale du règlement.
2.2 La désignation d’un délégué à la protection des données
Le délégué à la protection des données (ou “DPD”) est l’équivalent en France, du Correspondant Informatique et Libertés, communément appelé “CIL”. Dans le dispositif actuel, le CIL, dont la nomination n’est pas obligatoire, a pour mission de veiller à l'application de la loi Informatique et Libertés au sein de l’entreprise qui l’a désigné. La désignation d’un CIL présente de nombreux avantages, tel que l’allégement des formalités obligatoires auprès de la CNIL et l’amélioration de la maîtrise des risques juridiques et techniques liés aux traitements des données personnelles. (3)
Avec l’entrée en vigueur du règlement européen, les entreprises auront l’obligation de désigner un délégué à la protection des données dans deux cas : si l’entreprise compte au moins 250 salariés ou si cette société traite des données sensibles, à savoir des données dont la nature, la portée et/ou la finalité exigent un suivi régulier et systématique des personnes concernées. Le DPD pourra être interne à l’entreprise ou externe à celle-ci (avocat ou consultant en informatique par exemple).
2.3 L’obligation de notifier les violations de données à la CNIL
Une violation de données personnelles consiste en une atteinte à la sécurité des traitements, entraînant de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation ou la consultation non autorisée de données personnelles transmises, conservées ou traitées d’une autre manière. Par exemple, une faille dans la boutique d’un e-commerçant qui permettrait de récupérer des noms, adresses, et/ou numéros de cartes bancaires des utilisateurs inscrits ou un email confidentiel destiné à un client, et diffusé par erreur à d’autres personnes constitueraient des cas de violation de données personnelles.
Les entreprises françaises ont l’obligation de notifier toute violation grave des données à la CNIL dans les meilleurs délais, et si possible dans un délai de 24 heures après en avoir eu connaissance. La notification doit au minimum décrire (i) la nature de la violation ainsi que les catégories et le nombre de personnes et de données affectées, (ii) les conséquences de la violation des données, et (iii) les mesures proposées ou prises pour y remédier. L’entreprise doit conserver une trace documentaire de toute violation de données à caractère personnel.
Sauf à démontrer à la CNIL qu’elle a pris des mesures de sécurité appropriées, l’entreprise a l’obligation d’informer toutes personnes concernées de la violation de leurs données, lorsque cette violation est susceptible de porter atteinte à la protection de leurs données personnelles ou à la vie privée.
Cette obligation existe déjà à l’article 34 bis de la Loi Informatique et Libertés. Si la loi française impose uniquement cette notification aux fournisseurs de services de communication électronique, le texte européen ne semble pas faire de distinction suivant l’activité de l’entreprise. Cette obligation serait donc à la charge de toute entreprise traitant des données personnelles.
2.4 De lourdes sanctions en cas de non respect de la réglementation
Ces règles, qui s’appliqueront directement dans chacun des Etats membres de l’Union européenne, prévoient des sanctions financières particulièrement lourdes en cas de non respect de la réglementation.
Les entreprises qui enfreindraient les règles posées par le règlement seront passibles de sanctions financières pouvant atteindre des montants élevés. Si en France la CNIL peut déjà aujourd’hui prononcer des amendes d’un montant maximum de 300.000€, le texte européen permettra d’imposer des amendes pouvant s'élever à 2% du chiffre d’affaires annuel mondial de l’entreprise fautive.
Le montant de l'amende sera fixé en tenant compte de plusieurs paramètres tels la nature, la gravité et la durée de la violation, le fait que l'infraction a été commise de façon délibérée ou par négligence, le degré de responsabilité de la personne en cause, l’existence de cas de violations commises antérieurement par la société, ou le degré de coopération avec la CNIL en vue de remédier à la violation ou à la non-conformité.
Il convient cependant de noter que sans moyens humains supplémentaires, il sera difficile pour la CNIL, comme pour les autres autorités en charge de la protection des données personnelles, de jouer pleinement leur rôle.
Le risque, pour tout texte réglementaire technique, est d’être trop attaché à l'état des technologies à la date de son adoption. Or, la vitesse de l’évolution des usages, des pratiques et des outils et services disponibles tendent à rendre ces textes règlementaires très rapidement obsolètes. Même si la proposition de règlement relatif à la protection des données personnelles n’est pas encore définitif, il est à craindre qu’un texte qui ne serait pas assez générique dans son approche, prenant en compte les technologies plutôt que les usages, devienne rapidement caduque et difficilement applicable.
La proposition de règlement fait ainsi l’objet de nombreuses réserves et critiques depuis sa première publication, en janvier 2012. Ce texte suscite une multiplication de résolutions, amendements ou avis mettant en relief ses points faibles ou manquements. Par exemple, l’Assemblée nationale, dans sa proposition de résolution de février 2012, recommandait de compléter le texte européen en ajoutant des dispositions spécifiques au Cloud computing, ces services n’étant pas expressément visés par la proposition de règlement.
Le texte est actuellement en cours d’examen par le Parlement européen au sein de la Commission chargée des questions relatives aux affaires civiles, justice et affaires intérieures (Commission LIBE). Jan Philipp Albrecht, député européen et rapporteur du groupe, vient de publier son projet de rapport le 8 janvier 2013. Ce texte prévoit notamment d’allonger le délai de notification des violations de données de 24 à 72h ; l’exercice gratuit du droit d’opposition et le recours à la “pseudonymisation” et à l’anonymisation des données pour ne pas identifier directement une personne physique, notamment sur les réseaux sociaux. Ce projet de rapport précise par ailleurs que l’utilisation d’options par défaut, que la personne concernée doit modifier pour marquer son opposition au traitement, comme les cases pré-cochées (opt-out), n’est pas l’expression d’un libre consentement. Enfin, le texte encourage la mise en place d’un système normalisé d’icônes et de logos afin de faciliter la compréhension des conditions de collecte et de traitement des données par les personnes concernées. (4)
Les négociations entre le Parlement, la Commission et le Conseil européen débuteront à partir de mai 2013 en vue d’obtenir un compromis et un texte final d’ici le début de l’année prochaine.
* * * * * * * * * * * *
(1) Voir les textes en référence : proposition de règlement du parlement européen et du conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du 25 janvier 2012, (2012/0011 (COD) ; directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ; et loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.
(2) Le “Privacy By Design” ou principe de protection des données dès la conception d’un produit ou d’un service, requiert l’intégration de la prise en compte de la protection dans le cycle de vie d’une technologie, dès la première étape de sa conception jusqu’à son déploiement, son utilisation et son élimination. Le “Privacy by Default” ou principe de la protection des données par défaut, requiert que les paramètres de respect de la vie privée dans les services et produits soient par défaut conformes aux principes généraux de la protection des données, tels que la réduction au minimum des volumes de données collectées et la limitation de la finalité des traitements.
(3) Voir à ce sujet notre article “Le Correspondant Informatique et Libertés, garant de la conformité des traitements de données personnelles à la loi”, sur notre blog à http://dwavocat.blogspot.fr/2011/12/le-correspondant-informatique-et.html
(4) Projet de rapport sur la proposition de règlement européen relative aux données du 25 janvier 2012, Commission des libertés civiles, de la justice et des affaires intérieures, publié par le rapporteur Jan Philipp Albrecht le 8 janvier 2013.
Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Janvier 2013
lundi 14 janvier 2013
La nouvelle réglementation française sur la vente de médicaments sur internet
Bien que jusqu'à présent le Code de la santé publique (CSP) n’interdisait pas expressément la vente de médicaments en ligne, ce mode de distribution n’était pas pour autant autorisé dans la mesure où les dispositions légales ne permettaient pas en pratique d’utiliser ce canal de vente en France.
Suite à l'adoption de la directive européenne du 8 juin 2011 autorisant la vente de médicaments sur internet, la plupart des pays voisins de la France avaient adopté une législation en la matière, autorisant la vente de médicaments sans et/ou avec prescription, et s'appuyant ou non sur une officine physique.
La vente de médicaments sur internet est désormais prévue par la loi depuis fin décembre 2012, avec la publication de l’ordonnance du 19 décembre 2012 et du décret du 31 décembre.
1. Le cheminement vers l'adoption d'un cadre légal, sous la pression de l'Union européenne
L’encadrement de la vente de médicaments par internet est l’aboutissement d’un long processus, démarré avec l’arrêt DocMorris de la CJCE en 2003 pour arriver à la Directive du 8 juin 2011.
1.1 La reconnaissance de la validité de la vente des médicaments sur internet : l’arrêt DocMorris
Le 11 décembre 2003, la Cour de Justice des Communautés européennes (CJCE) a rendu une décision reconnaissant le droit de vendre des médicaments sur internet. (1) Cette affaire opposait une association allemande (DAV) ayant pour but la défense des intérêts de la profession de pharmacien, à la société néerlandaise DocMorris qui pratiquait la vente de médicaments en officine traditionnelle aux Pays-Bas mais également sur internet. Le site internet était traduit en allemand et offrait la possibilité d'être livré en médicaments, soumis ou non à prescription médicale, en Allemagne. Or, la législation allemande interdisait la vente à distance de médicaments, dont la délivrance était réservée exclusivement aux pharmaciens, et qualifiait d'illégale toute publicité pour la vente de médicaments par correspondance.
Interrogée sur la validité de la réglementation allemande, la CJCE a jugé qu'une telle interdiction constituait une restriction à la libre circulation des marchandises. Cependant, la Cour a distingué entre médicaments soumis à prescription médicale, considérant qu'une telle restriction de vente était justifiée par la nécessité de protéger la santé et la vie des personnes, et les médicaments non soumis à prescription médicale.
Concernant les médicaments non soumis à prescription médicale, la CJCE estime que l’interdiction de vente à distance n'est pas justifiée, dans la mesure où rien ne permet de considérer que les pharmacies virtuelles ne permettent pas de satisfaire aux obligations d'information et de conseil lors de l'achat de ces médicaments.
1.2 La résolution du Conseil de l’Europe sur les bonnes pratiques à adopter en en matière de distribution de médicaments par correspondance
Partant du constat que de plus en plus d’États membres de l’Union européenne autorisaient la vente de médicaments à distance, et que les patients, désireux d’obtenir facilement et rapidement les médicaments dont ils ont besoin, devaient pouvoir le faire en toute confiance, le Conseil de l’Europe a adopté en 2007 une résolution recommandant aux Etats membres d'adopter des normes garantissant la sûreté de la vente de médicaments à distance, la sécurité du patient et la qualité des médicaments délivrés. (2)
1.3 Dernière étape : la directive du 8 juin 2011 autorisant la vente de médicament sur Internet
La Directive du 8 juin 2011 impose aux Etats membres de permettre la vente à distance au public de médicaments, tout en leur laissant la possibilité d’interdire la vente à distance pour les médicaments soumis à prescription. (3) La Directive prévoit notamment que la vente de médicaments sur internet est réservée (i) aux personnes autorisées ou habilitées, en conformité avec la législation de l’Etat membre dans lequel elles sont établies, et (ii) aux médicaments respectant la législation nationale de l'Etat membre de destination.
En outre, pour aider le grand public à identifier les sites internet mettant légalement en vente des médicaments, la directive prévoit la création d’un logo commun à l’ensemble de l’Union européenne renseignant, en outre, sur l’Etat membre dans lequel est établi le pharmacien.
Enfin, les Etats membres doivent mettre en place un site internet comportant notamment la liste des pharmaciens et des sites web proposant des médicaments en ligne, et des informations générales sur les risques liés aux médicaments fournis illégalement au public.
La directive devait être transposée dans les droits des Etats membres avant le 2 janvier 2013. La France s’est mise en conformité en décembre 2012.
2. Le nouveau cadre juridique de la vente de médicaments par internet
Par ordonnance et décret publiés fin décembre 2012, modifiant le Code de la santé publique, le gouvernement vient d'encadrer la vente de médicaments en ligne. (4)
La vente de médicaments en ligne est ainsi soumise à des conditions spécifiques, édictées par la nouvelle réglementation applicable. S’agissant de vente à distance, les règles relatives au commerce électronique s’appliquent également à la vente de médicament sur internet.
2.1 Les principales conditions de la vente en ligne de médicaments
La vente en ligne de médicaments est soumise aux conditions suivantes :
- La création d'un site web destiné à la vente de médicaments est réservée aux pharmaciens titulaires d'une officine (et aux pharmaciens gérants de pharmacies mutualistes ou de secours minière). Les pharmaciens adjoints, ayant reçu délégation du pharmacien d'officine, peuvent participer à l'exploitation du site internet de l'officine de pharmacie. Enfin, les pharmaciens remplaçants de titulaires d'officine, ou gérants d'officine après décès du titulaire, peuvent poursuivre l’exploitation du site de l'officine, créé antérieurement.
- Seuls les médicaments pouvant être présentés "en accès direct" au public en officine (médicaments “OTC” ou “over the counter”) ayant obtenu une autorisation de mise sur le marché peuvent être proposés à la vente en ligne. A contrario, l’interdiction de vente en ligne est maintenue pour les médicaments délivrés sur ordonnance.
- La création d'un site internet est soumise au dépôt d’une demande d'autorisation auprès du directeur général de l'Agence Régionale de Santé (DGARS) dans le ressort duquel est située l'officine.
- Dans les 15 jours suivant la date d'autorisation du DGARS, le pharmacien doit informer le Conseil de l'Ordre dont il relève, de la création du site internet. L'Ordre national des pharmaciens tiendra à jour une liste des sites internet autorisés et la mettra à la disposition du public sur son site web.
- Dans un souci de sécurité et d’information du public, la nouvelle réglementation prévoit que le site internet doit intégrer les coordonnées de l'Agence nationale de sécurité du médicament et des produits de santé (ANSM, successeur de l’Afssaps), un lien hypertexte vers le site de l'Ordre national des pharmaciens et du Ministère chargé de la santé, ainsi que le logo communautaire, qui devra être affiché sur chaque page du site internet.
- Enfin, la nouvelle réglementation prévoit que toute commande livrée en dehors de l'officine ne peut être remise qu'en paquet opaque et scellé portant le nom et l'adresse de l'acheteur, de telle sorte que le destinataire puisse s'assurer qu'il n'a pu être ouvert par un tiers. En outre, il incombe au pharmacien de veiller à ce que les conditions de transport soient compatibles avec la bonne conservation des médicaments et que toutes explications et recommandations soient mises à la disposition du patient.
2.2 Le nécessaire respect des règles de la vente à distance
A ces règles spécifiques s’ajoutent les règles du commerce électronique, telles que prévues notamment par la Loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004, les règles en matière de protection du consommateur et de la santé publique, ainsi que les règles relatives à la protection des données personnelles ou à la publicité.
- L’information du consommateur : ainsi, bien que non rappelé par la nouvelle réglementation, les sites de vente de médicaments devront contenir, outre les informations relatives aux mises en garde en matière de consommation de médicaments, les informations légales en matière de vente à distance aux consommateurs. Ces règles imposent notamment que l'exploitant d'un site internet s'identifie clairement auprès des internautes et que les caractéristiques essentielles des produits mis en vente, leur prix, leurs conditions de vente et de livraison soient précisés.
- La conclusion du contrat de vente en ligne : la loi ne prévoit pas de conditions spécifiques à la commande de médicaments sur internet. Il appartiendra cependant au pharmacien de respecter les règles relatives à la vente à distance prévues par le Code civil et le Code de la consommation. Ces règles prévoient notamment que pour passer commande, l'internaute doit avoir pris connaissance et effectivement accepté les conditions générales de vente.
- Les règles relatives à la publicité : en matière de vente de médicaments en ligne, il appartiendra aux pharmaciens d'être vigilants en matière de prospection commerciale et d'e-mailing. En effet, conformément aux articles L.5125-25 et R.5125-28 CSP, il leur est interdit de solliciter des commandes auprès du public et d'avoir recours à des moyens de fidélisation de la clientèle.
- Le régime de responsabilité applicable au pharmacien en ligne : le pharmacien est responsable du contenu du site internet qu'il édite et des conditions dans lesquelles est exercée l'activité de commerce électronique de médicaments. En cas de manquement aux règles précitées et aux "bonnes pratiques de dispensation" définies par l'ANSM, le DGARS territorialement compétent peut mettre le pharmacien fautif en demeure de se conformer à ses prescriptions. A défaut de mise en conformité, le DGARS peut prononcer (i) la fermeture temporaire du site internet, pour une durée maximale de 5 mois et/ou (ii) une amende dont le montant ne peut être supérieur à 30% du chiffre d'affaires réalisé par la pharmacie dans le cadre de l'activité de commerce électronique, dans la limite d'un million d'euros.
La transposition des dispositions de la directive européenne en droit français fournit désormais un cadre légal à la vente de médicaments OTC en ligne. Cette nouvelle réglementation est cependant vivement critiquée par l'Ordre des pharmaciens qui s’est prononcé via un communiqué, dès le 20 décembre 2012.
Mettant en avant la priorité d’assurer la sécurité du patient, l’Ordre des pharmaciens rappelle notamment que le médicament n’est pas un bien de consommation ordinaire, rien ne pouvant remplacer les conseils dispensés en officine.
Cependant, d’une part, seuls les médicaments OTC peuvent être vendus en ligne. D’autre part, rien n’empêche le site d’intégrer un service de prise de contact avec un pharmacien pour se faire dispenser les conseils nécessaires.
* * * * * * * * * * * *
(1) CJCE, 11 décembre 2003, Aff. C-322/01, Deutscher Apothekerverband EV / 0800 DocMorris NV et Jacques Waterval.
(2) Résolution ResAP(2007)2 sur les bonnes pratiques en matière de distribution de médicaments par correspondance, visant à protéger la sécurité des patients et la qualité des médicaments délivrés.
(3) Directive n°2011/62/UE du Parlement européen et du Conseil du 8 juin 2011 modifiant la directive n°2001/83/CE instituant un code communautaire relatif aux médicaments à usage humain, en ce qui concerne la prévention de l’introduction dans la chaîne d’approvisionnement légale de médicaments falsifiés
(4) Ordonnance n°2012-1427 du 19 décembre 2012 relative au renforcement de la sécurité de la chaîne d'approvisionnement des médicaments, à l'encadrement de la vente de médicaments sur internet et à la lutte contre la falsification de médicaments. Décret n°2012-1562 du 31 décembre 2012 relatif au renforcement de la sécurité de la chaîne d’approvisionnement des médicaments et à l’encadrement de la vente de médicaments sur internet. Articles L.4211-1, L.5122-6-1, L.5125-33 et s., R.5125-26 et R.5125-70 et s. CSP.
Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Janvier 2013
Suite à l'adoption de la directive européenne du 8 juin 2011 autorisant la vente de médicaments sur internet, la plupart des pays voisins de la France avaient adopté une législation en la matière, autorisant la vente de médicaments sans et/ou avec prescription, et s'appuyant ou non sur une officine physique.
La vente de médicaments sur internet est désormais prévue par la loi depuis fin décembre 2012, avec la publication de l’ordonnance du 19 décembre 2012 et du décret du 31 décembre.
1. Le cheminement vers l'adoption d'un cadre légal, sous la pression de l'Union européenne
L’encadrement de la vente de médicaments par internet est l’aboutissement d’un long processus, démarré avec l’arrêt DocMorris de la CJCE en 2003 pour arriver à la Directive du 8 juin 2011.
1.1 La reconnaissance de la validité de la vente des médicaments sur internet : l’arrêt DocMorris
Le 11 décembre 2003, la Cour de Justice des Communautés européennes (CJCE) a rendu une décision reconnaissant le droit de vendre des médicaments sur internet. (1) Cette affaire opposait une association allemande (DAV) ayant pour but la défense des intérêts de la profession de pharmacien, à la société néerlandaise DocMorris qui pratiquait la vente de médicaments en officine traditionnelle aux Pays-Bas mais également sur internet. Le site internet était traduit en allemand et offrait la possibilité d'être livré en médicaments, soumis ou non à prescription médicale, en Allemagne. Or, la législation allemande interdisait la vente à distance de médicaments, dont la délivrance était réservée exclusivement aux pharmaciens, et qualifiait d'illégale toute publicité pour la vente de médicaments par correspondance.
Interrogée sur la validité de la réglementation allemande, la CJCE a jugé qu'une telle interdiction constituait une restriction à la libre circulation des marchandises. Cependant, la Cour a distingué entre médicaments soumis à prescription médicale, considérant qu'une telle restriction de vente était justifiée par la nécessité de protéger la santé et la vie des personnes, et les médicaments non soumis à prescription médicale.
Concernant les médicaments non soumis à prescription médicale, la CJCE estime que l’interdiction de vente à distance n'est pas justifiée, dans la mesure où rien ne permet de considérer que les pharmacies virtuelles ne permettent pas de satisfaire aux obligations d'information et de conseil lors de l'achat de ces médicaments.
1.2 La résolution du Conseil de l’Europe sur les bonnes pratiques à adopter en en matière de distribution de médicaments par correspondance
Partant du constat que de plus en plus d’États membres de l’Union européenne autorisaient la vente de médicaments à distance, et que les patients, désireux d’obtenir facilement et rapidement les médicaments dont ils ont besoin, devaient pouvoir le faire en toute confiance, le Conseil de l’Europe a adopté en 2007 une résolution recommandant aux Etats membres d'adopter des normes garantissant la sûreté de la vente de médicaments à distance, la sécurité du patient et la qualité des médicaments délivrés. (2)
1.3 Dernière étape : la directive du 8 juin 2011 autorisant la vente de médicament sur Internet
La Directive du 8 juin 2011 impose aux Etats membres de permettre la vente à distance au public de médicaments, tout en leur laissant la possibilité d’interdire la vente à distance pour les médicaments soumis à prescription. (3) La Directive prévoit notamment que la vente de médicaments sur internet est réservée (i) aux personnes autorisées ou habilitées, en conformité avec la législation de l’Etat membre dans lequel elles sont établies, et (ii) aux médicaments respectant la législation nationale de l'Etat membre de destination.
En outre, pour aider le grand public à identifier les sites internet mettant légalement en vente des médicaments, la directive prévoit la création d’un logo commun à l’ensemble de l’Union européenne renseignant, en outre, sur l’Etat membre dans lequel est établi le pharmacien.
Enfin, les Etats membres doivent mettre en place un site internet comportant notamment la liste des pharmaciens et des sites web proposant des médicaments en ligne, et des informations générales sur les risques liés aux médicaments fournis illégalement au public.
La directive devait être transposée dans les droits des Etats membres avant le 2 janvier 2013. La France s’est mise en conformité en décembre 2012.
2. Le nouveau cadre juridique de la vente de médicaments par internet
Par ordonnance et décret publiés fin décembre 2012, modifiant le Code de la santé publique, le gouvernement vient d'encadrer la vente de médicaments en ligne. (4)
La vente de médicaments en ligne est ainsi soumise à des conditions spécifiques, édictées par la nouvelle réglementation applicable. S’agissant de vente à distance, les règles relatives au commerce électronique s’appliquent également à la vente de médicament sur internet.
2.1 Les principales conditions de la vente en ligne de médicaments
La vente en ligne de médicaments est soumise aux conditions suivantes :
- La création d'un site web destiné à la vente de médicaments est réservée aux pharmaciens titulaires d'une officine (et aux pharmaciens gérants de pharmacies mutualistes ou de secours minière). Les pharmaciens adjoints, ayant reçu délégation du pharmacien d'officine, peuvent participer à l'exploitation du site internet de l'officine de pharmacie. Enfin, les pharmaciens remplaçants de titulaires d'officine, ou gérants d'officine après décès du titulaire, peuvent poursuivre l’exploitation du site de l'officine, créé antérieurement.
- Seuls les médicaments pouvant être présentés "en accès direct" au public en officine (médicaments “OTC” ou “over the counter”) ayant obtenu une autorisation de mise sur le marché peuvent être proposés à la vente en ligne. A contrario, l’interdiction de vente en ligne est maintenue pour les médicaments délivrés sur ordonnance.
- La création d'un site internet est soumise au dépôt d’une demande d'autorisation auprès du directeur général de l'Agence Régionale de Santé (DGARS) dans le ressort duquel est située l'officine.
- Dans les 15 jours suivant la date d'autorisation du DGARS, le pharmacien doit informer le Conseil de l'Ordre dont il relève, de la création du site internet. L'Ordre national des pharmaciens tiendra à jour une liste des sites internet autorisés et la mettra à la disposition du public sur son site web.
- Dans un souci de sécurité et d’information du public, la nouvelle réglementation prévoit que le site internet doit intégrer les coordonnées de l'Agence nationale de sécurité du médicament et des produits de santé (ANSM, successeur de l’Afssaps), un lien hypertexte vers le site de l'Ordre national des pharmaciens et du Ministère chargé de la santé, ainsi que le logo communautaire, qui devra être affiché sur chaque page du site internet.
- Enfin, la nouvelle réglementation prévoit que toute commande livrée en dehors de l'officine ne peut être remise qu'en paquet opaque et scellé portant le nom et l'adresse de l'acheteur, de telle sorte que le destinataire puisse s'assurer qu'il n'a pu être ouvert par un tiers. En outre, il incombe au pharmacien de veiller à ce que les conditions de transport soient compatibles avec la bonne conservation des médicaments et que toutes explications et recommandations soient mises à la disposition du patient.
2.2 Le nécessaire respect des règles de la vente à distance
A ces règles spécifiques s’ajoutent les règles du commerce électronique, telles que prévues notamment par la Loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004, les règles en matière de protection du consommateur et de la santé publique, ainsi que les règles relatives à la protection des données personnelles ou à la publicité.
- L’information du consommateur : ainsi, bien que non rappelé par la nouvelle réglementation, les sites de vente de médicaments devront contenir, outre les informations relatives aux mises en garde en matière de consommation de médicaments, les informations légales en matière de vente à distance aux consommateurs. Ces règles imposent notamment que l'exploitant d'un site internet s'identifie clairement auprès des internautes et que les caractéristiques essentielles des produits mis en vente, leur prix, leurs conditions de vente et de livraison soient précisés.
- La conclusion du contrat de vente en ligne : la loi ne prévoit pas de conditions spécifiques à la commande de médicaments sur internet. Il appartiendra cependant au pharmacien de respecter les règles relatives à la vente à distance prévues par le Code civil et le Code de la consommation. Ces règles prévoient notamment que pour passer commande, l'internaute doit avoir pris connaissance et effectivement accepté les conditions générales de vente.
- Les règles relatives à la publicité : en matière de vente de médicaments en ligne, il appartiendra aux pharmaciens d'être vigilants en matière de prospection commerciale et d'e-mailing. En effet, conformément aux articles L.5125-25 et R.5125-28 CSP, il leur est interdit de solliciter des commandes auprès du public et d'avoir recours à des moyens de fidélisation de la clientèle.
- Le régime de responsabilité applicable au pharmacien en ligne : le pharmacien est responsable du contenu du site internet qu'il édite et des conditions dans lesquelles est exercée l'activité de commerce électronique de médicaments. En cas de manquement aux règles précitées et aux "bonnes pratiques de dispensation" définies par l'ANSM, le DGARS territorialement compétent peut mettre le pharmacien fautif en demeure de se conformer à ses prescriptions. A défaut de mise en conformité, le DGARS peut prononcer (i) la fermeture temporaire du site internet, pour une durée maximale de 5 mois et/ou (ii) une amende dont le montant ne peut être supérieur à 30% du chiffre d'affaires réalisé par la pharmacie dans le cadre de l'activité de commerce électronique, dans la limite d'un million d'euros.
La transposition des dispositions de la directive européenne en droit français fournit désormais un cadre légal à la vente de médicaments OTC en ligne. Cette nouvelle réglementation est cependant vivement critiquée par l'Ordre des pharmaciens qui s’est prononcé via un communiqué, dès le 20 décembre 2012.
Mettant en avant la priorité d’assurer la sécurité du patient, l’Ordre des pharmaciens rappelle notamment que le médicament n’est pas un bien de consommation ordinaire, rien ne pouvant remplacer les conseils dispensés en officine.
Cependant, d’une part, seuls les médicaments OTC peuvent être vendus en ligne. D’autre part, rien n’empêche le site d’intégrer un service de prise de contact avec un pharmacien pour se faire dispenser les conseils nécessaires.
* * * * * * * * * * * *
(1) CJCE, 11 décembre 2003, Aff. C-322/01, Deutscher Apothekerverband EV / 0800 DocMorris NV et Jacques Waterval.
(2) Résolution ResAP(2007)2 sur les bonnes pratiques en matière de distribution de médicaments par correspondance, visant à protéger la sécurité des patients et la qualité des médicaments délivrés.
(3) Directive n°2011/62/UE du Parlement européen et du Conseil du 8 juin 2011 modifiant la directive n°2001/83/CE instituant un code communautaire relatif aux médicaments à usage humain, en ce qui concerne la prévention de l’introduction dans la chaîne d’approvisionnement légale de médicaments falsifiés
(4) Ordonnance n°2012-1427 du 19 décembre 2012 relative au renforcement de la sécurité de la chaîne d'approvisionnement des médicaments, à l'encadrement de la vente de médicaments sur internet et à la lutte contre la falsification de médicaments. Décret n°2012-1562 du 31 décembre 2012 relatif au renforcement de la sécurité de la chaîne d’approvisionnement des médicaments et à l’encadrement de la vente de médicaments sur internet. Articles L.4211-1, L.5122-6-1, L.5125-33 et s., R.5125-26 et R.5125-70 et s. CSP.
Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Janvier 2013
mardi 8 janvier 2013
Marques de vins et alcools : ne pas négliger les règles relatives à la publicité
Le choix, par un producteur, négociant ou commerçant, d'une marque désignant une boisson alcoolique, est soumis à plusieurs conditions relatives au droit des marques et aux règles applicables aux appellations d'origine, notamment prévues par le Code de la propriété intellectuelle. Ainsi, pour être valable, la marque choisie pour identifier un vin ou un alcool doit être distinctive, non trompeuse, disponible et ne pas porter atteinte aux appellations d'origine. (1)
En sus de ces conditions, les marques désignant des vins et alcools doivent respecter des règles particulières en matière de publicité, définies au Code de la santé publique. Ces règles, qui viennent d'être rappelées par la Cour de cassation, doivent être prises en compte avant d’entreprendre la procédure de dépôt d'une marque désignant des vins et alcools.
1. Rappel des règles en matière de publicité désignant des vins et alcools
Le droit des marques est régi par le principe de spécialité, en vertu duquel une marque n'est protégée que pour les produits ou services désignés. Deux marques identiques peuvent donc coexister à condition qu'elles désignent des produits ou services différents et qu’elles ne créent pas de confusion dans l’esprit du public.
Ce principe de spécialité connaît une exception en matière de marque de vins et d'alcools. Ainsi, le dépôt d’une marque désignant un vin ou alcool, postérieurement à une marque identique désignant un autre produit, est considéré comme portant atteinte au droit d’exploitation du titulaire antérieur, dans la mesure où les règles applicables à la marque pour la boisson alcoolique vont limiter le champ d’exploitation de la marque antérieure.
En effet, la publicité directe ou indirecte en faveur des boissons alcooliques fait l'objet d'une réglementation très stricte. Ce type de publicité est généralement prohibé, sauf dans les cas expressément autorisés par l'article L.3323-2 du Code de la santé publique (CSP). (2)
Lorsque la publicité est autorisée (selon le type de média, les créneaux horaires, etc.), les éléments composant cette publicité sont limitativement définis à l’article L.3323-4 du CSP et comprennent l’indication du degré volumique d'alcool, de l'origine, de la composition du produit, du nom du fabricant, du mode d'élaboration, des modalités de vente et du mode de consommation du produit, des références relatives aux terroirs de production, d'un message sanitaire précisant que “l'abus d'alcool est dangereux pour la santé”, etc.
Aux termes de l’article L.3323-3 al.1 du CSP, la publicité indirecte consiste notamment en toute publicité en faveur d'un produit ou d'un article autre qu'une boisson alcoolique qui, par l'utilisation d'une marque, d'un emblème publicitaire ou d'un autre signe distinctif, rappelle une boisson alcoolique. (3)
Ces dispositions interdisent donc ou restreignent automatiquement toute publicité pour des produits couverts par le même signe qu'une marque d'alcool. Elles limitent ainsi les possibilités d'exploitation d'une marque antérieure désignant des produits autres que des alcools, dès lors qu'un signe identique est déposé ultérieurement pour désigner des boissons alcooliques.
C'est sur ce fondement que la Cour de cassation vient de confirmer l’annulation d'une marque désignant des boissons alcooliques.
2. La récente confirmation de l’annulation de la marque DIPTYQUE déposée par la société Hennessy
La société Diptyque, ayant pour activité la fabrication et la commercialisation de bougies parfumées et d'eaux de toilette, avait déposé la marque DIPTYQUE pour désigner des produits et services en lien avec son activité commerciale. Postérieurement à ce dépôt, la société Hennessy a déposé une marque identique pour désigner un cognac. La société Hennessy, refusant de procéder au retrait de sa marque et de retirer du marché les cognacs qu'elle commercialisait sous cette dénomination, a été assignée par la société Diptyque sur le fondement du droit des marques et des règles relatives à la publicité.
Dans un arrêt du 26 octobre 2011, la Cour d'appel de Paris avait prononcé la nullité de la marque DIPTYQUE désignant des boissons alcooliques, au motif que le titulaire de la marque antérieure DIPTYQUE, désignant des produits cosmétiques et luminaires, ne pouvait plus promouvoir librement ses propres produits et exercer pleinement son droit de propriété sur sa marque. Selon la Cour d’appel, cette situation portait atteinte aux droits dont jouissait la société Diptyque avant le dépôt de la marque litigieuse, justifiant l'annulation de cette dernière.
La société Hennessy s’est alors pourvue en cassation afin de faire casser l’arrêt déclarant la nullité de sa marque DIPTYQUE et l’interdiction de commercialiser des boissons alcooliques sous cette dénomination.
La société Hennessy reprochait à la Cour d’appel d'avoir appliqué un raisonnement trop théorique et de ne pas avoir analysé les faits de l'espèce, à savoir les marchés visés par ces produits et l’absence de confusion.
Plusieurs raisons étaient avancées par Hennessy :
- La publicité faite par la société Diptyque pour ses produits ne s'apparente pas à de la publicité indirecte en faveur de boissons alcoolisées au sens de l'article L.3323-3 CSP. Selon la société Hennessy, la nature des produits en cause, les clientèles et les réseaux de distribution des produits sont si distincts que la publicité faite pas la société Diptyque ne saurait "rappeler les boissons alcooliques" de la société Hennessy. Il ne peut y avoir de confusion entre les bougies et eaux de toilette dont la promotion est assurée essentiellement dans des magazines de mode et décoration et le cognac commercialisé sous la marque DIPTYQUE ;
- Quand bien même cette publicité serait qualifiée de publicité indirecte en faveur des boissons alcoolisées, au sens de l'article L.3323-3 CSP, cette forme de publicité est autorisée dans la presse écrite (sauf publications destinées à la jeunesse) par l'article L.3323-2 du même code. Or, en l'espèce, la société Diptyque fait de la publicité pour ses produits dans des magazines de mode et décoration. Aussi, la société Hennessy estime que le dépôt de la marque DIPTYQUE pour désigner des boissons alcoolisées et l'usage de cette marque ne peut entraîner une quelconque entrave à la publicité des produits de la société Diptyque dans la presse écrite correspondant aux consommateurs de ces produits (magazines de mode ou de décoration).
Dans un arrêt du 20 novembre 2012, la Cour de cassation rejette ces arguments, en faveur d'une interprétation stricte des règles en matière de publicité. (4)
La Cour considère que la publicité faite par la société Diptyque pour ses produits constitue une publicité indirecte en faveur de boissons alcooliques et rappelle à ce titre qu'en vertu de l'article L3323-3 CSP, est "considérée comme publicité indirecte en faveur d'une boisson alcoolique et comme telle, soumise aux restrictions prévues à l'article L.3323-2 (CSP), la publicité en faveur d'un produit autre qu'une boisson alcoolique qui par l'utilisation d'une marque, rappelle une telle boisson".
La Cour constate que la société Diptyque avait, depuis le 1er janvier 1990, mis sur le marché sous sa marque DIPTYQUE divers produits autres que des boissons alcooliques, et que la société Hennessy faisait usage d'une marque identique pour commercialiser des boissons alcooliques. Elle conclut alors que la "Cour d'appel, en a exactement déduit, sans avoir à faire d'autres recherches, que le dépôt de la marque DIPTYQUE par la société Hennessy et la commercialisation de produits sous celle-ci créaient une entrave à la libre utilisation de la marque première". La Cour a donc rejeté le pourvoi formé par la société Hennessy et confirmé la décision de la Cour d’appel de Paris, à savoir, l’annulation de la marque DIPTYQUE déposée par la société Hennessy.
En conséquence, compte tenu de la réglementation et de son application jurisprudentielle, il est vivement recommandé aux producteurs, négociants ou distributeurs souhaitant déposer une marque pour promouvoir des boissons alcooliques, de sélectionner la marque avec une attention toute particulière. Il conviendra ainsi de s'assurer au préalable qu’une marque identique ou similaire n’est pas déjà enregistrée, non seulement dans les classes considérées pour les boissons alcooliques, mais dans toutes autres classes de produits et services. Comme rappelé plus haut, la validité de la marque pour une boisson alcoolique sera analysée non seulement au regard des critères habituels (caractère distinctif, non trompeur, disponible) mais également au regard des règles relatives à la publicité des alcools, telles que définies au Code de la santé publique.
* * * * * * * * * * *
(1) Voir notre précédent article sur ce thème, publié sur ce blog intitulé "Les règles spécifiques applicables aux marques de vins et alcools" http://dwavocat.blogspot.fr/2012/02/les-marques-de-vins-et-alcools-des.html
(2) Article L.3323-2 CSP : La publicité, directe ou indirecte, en faveur des boissons alcooliques est autorisée exclusivement "1°) Dans la presse écrite à l'exclusion des publications destinées à la jeunesse ; 2°) Par voie de radiodiffusion sonore pour les catégories de radios et dans les tranches horaires déterminées par décret en Conseil d'Etat ; 3°) Sous forme d'affiches et d'enseignes ; d'affichettes et d'objets à l'intérieur des lieux de vente à caractère spécialisé, dans des conditions définies par décret en Conseil d'Etat ; 4°) Sous forme d'envoi par les producteurs, les fabricants, les importateurs, les négociants, les concessionnaires ou les entrepositaires, de messages, de circulaires commerciales, de catalogues et de brochures ; 5°) Par inscription sur les véhicules utilisés pour les opérations normales de livraison des boissons, dès lors que cette inscription ne comporte que la désignation des produits ainsi que le nom et l'adresse du fabricant, des agents ou dépositaires, à l'exclusion de toute autre indication ; 6°) En faveur des fêtes et foires traditionnelles consacrées à des boissons alcooliques locales et à l'intérieur de celles-ci, dans des conditions définies par décret ; 7°) En faveur des musées, universités, confréries ou stages d'initiation oenologique à caractère traditionnel ainsi qu'en faveur de présentations et de dégustations, dans des conditions définies par décret ; 8°) Sous forme d'offre, à titre gratuit ou onéreux, d'objets strictement réservés à la consommation de boissons contenant de l'alcool, marqués à leurs noms, par les producteurs et les fabricants de ces boissons, à l'occasion de la vente directe de leurs produits aux consommateurs et aux distributeurs ou à l'occasion de la visite touristique des lieux de fabrication ; 9°) Sur les services de communications en ligne à l'exclusion de ceux qui, par leur caractère, leur présentation ou leur objet, apparaissent comme principalement destinés à la jeunesse, ainsi que ceux édités par des associations, sociétés et fédérations sportives ou des ligues professionnelles au sens du code du sport, sous réserve que la propagande ou la publicité ne soit ni intrusive ni interstitielle ".
(3) On se souviendra, par exemple, de l’annulation en France de la marque CHAMPAGNE, déposée par la société Yves Saint Laurent en 1993 pour désigner un parfum, par la Cour d’appel de Paris (arrêt du 15 décembre 1993) suite à l’action intentée par le CIVC (Comité interprofessionnel du vin de Champagne). Cette décision était cependant fondée sur la notion de concurrence parasitaire par rapport à la notoriété du vin de Champagne. L’application des règles énoncées au Code de la santé publique, aux articles L.721-1 du Code de la propriété intellectuelle et L.115-1 du Code de la consommation à cette affaire aurait très certainement abouti à la même décision.
(4) Cass. com., 20 novembre 2012, n°12-11753, société Diptyque c/ société JAS Hennessy
Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Janvier 2013
En sus de ces conditions, les marques désignant des vins et alcools doivent respecter des règles particulières en matière de publicité, définies au Code de la santé publique. Ces règles, qui viennent d'être rappelées par la Cour de cassation, doivent être prises en compte avant d’entreprendre la procédure de dépôt d'une marque désignant des vins et alcools.
1. Rappel des règles en matière de publicité désignant des vins et alcools
Le droit des marques est régi par le principe de spécialité, en vertu duquel une marque n'est protégée que pour les produits ou services désignés. Deux marques identiques peuvent donc coexister à condition qu'elles désignent des produits ou services différents et qu’elles ne créent pas de confusion dans l’esprit du public.
Ce principe de spécialité connaît une exception en matière de marque de vins et d'alcools. Ainsi, le dépôt d’une marque désignant un vin ou alcool, postérieurement à une marque identique désignant un autre produit, est considéré comme portant atteinte au droit d’exploitation du titulaire antérieur, dans la mesure où les règles applicables à la marque pour la boisson alcoolique vont limiter le champ d’exploitation de la marque antérieure.
En effet, la publicité directe ou indirecte en faveur des boissons alcooliques fait l'objet d'une réglementation très stricte. Ce type de publicité est généralement prohibé, sauf dans les cas expressément autorisés par l'article L.3323-2 du Code de la santé publique (CSP). (2)
Lorsque la publicité est autorisée (selon le type de média, les créneaux horaires, etc.), les éléments composant cette publicité sont limitativement définis à l’article L.3323-4 du CSP et comprennent l’indication du degré volumique d'alcool, de l'origine, de la composition du produit, du nom du fabricant, du mode d'élaboration, des modalités de vente et du mode de consommation du produit, des références relatives aux terroirs de production, d'un message sanitaire précisant que “l'abus d'alcool est dangereux pour la santé”, etc.
Aux termes de l’article L.3323-3 al.1 du CSP, la publicité indirecte consiste notamment en toute publicité en faveur d'un produit ou d'un article autre qu'une boisson alcoolique qui, par l'utilisation d'une marque, d'un emblème publicitaire ou d'un autre signe distinctif, rappelle une boisson alcoolique. (3)
Ces dispositions interdisent donc ou restreignent automatiquement toute publicité pour des produits couverts par le même signe qu'une marque d'alcool. Elles limitent ainsi les possibilités d'exploitation d'une marque antérieure désignant des produits autres que des alcools, dès lors qu'un signe identique est déposé ultérieurement pour désigner des boissons alcooliques.
C'est sur ce fondement que la Cour de cassation vient de confirmer l’annulation d'une marque désignant des boissons alcooliques.
2. La récente confirmation de l’annulation de la marque DIPTYQUE déposée par la société Hennessy
La société Diptyque, ayant pour activité la fabrication et la commercialisation de bougies parfumées et d'eaux de toilette, avait déposé la marque DIPTYQUE pour désigner des produits et services en lien avec son activité commerciale. Postérieurement à ce dépôt, la société Hennessy a déposé une marque identique pour désigner un cognac. La société Hennessy, refusant de procéder au retrait de sa marque et de retirer du marché les cognacs qu'elle commercialisait sous cette dénomination, a été assignée par la société Diptyque sur le fondement du droit des marques et des règles relatives à la publicité.
Dans un arrêt du 26 octobre 2011, la Cour d'appel de Paris avait prononcé la nullité de la marque DIPTYQUE désignant des boissons alcooliques, au motif que le titulaire de la marque antérieure DIPTYQUE, désignant des produits cosmétiques et luminaires, ne pouvait plus promouvoir librement ses propres produits et exercer pleinement son droit de propriété sur sa marque. Selon la Cour d’appel, cette situation portait atteinte aux droits dont jouissait la société Diptyque avant le dépôt de la marque litigieuse, justifiant l'annulation de cette dernière.
La société Hennessy s’est alors pourvue en cassation afin de faire casser l’arrêt déclarant la nullité de sa marque DIPTYQUE et l’interdiction de commercialiser des boissons alcooliques sous cette dénomination.
La société Hennessy reprochait à la Cour d’appel d'avoir appliqué un raisonnement trop théorique et de ne pas avoir analysé les faits de l'espèce, à savoir les marchés visés par ces produits et l’absence de confusion.
Plusieurs raisons étaient avancées par Hennessy :
- La publicité faite par la société Diptyque pour ses produits ne s'apparente pas à de la publicité indirecte en faveur de boissons alcoolisées au sens de l'article L.3323-3 CSP. Selon la société Hennessy, la nature des produits en cause, les clientèles et les réseaux de distribution des produits sont si distincts que la publicité faite pas la société Diptyque ne saurait "rappeler les boissons alcooliques" de la société Hennessy. Il ne peut y avoir de confusion entre les bougies et eaux de toilette dont la promotion est assurée essentiellement dans des magazines de mode et décoration et le cognac commercialisé sous la marque DIPTYQUE ;
- Quand bien même cette publicité serait qualifiée de publicité indirecte en faveur des boissons alcoolisées, au sens de l'article L.3323-3 CSP, cette forme de publicité est autorisée dans la presse écrite (sauf publications destinées à la jeunesse) par l'article L.3323-2 du même code. Or, en l'espèce, la société Diptyque fait de la publicité pour ses produits dans des magazines de mode et décoration. Aussi, la société Hennessy estime que le dépôt de la marque DIPTYQUE pour désigner des boissons alcoolisées et l'usage de cette marque ne peut entraîner une quelconque entrave à la publicité des produits de la société Diptyque dans la presse écrite correspondant aux consommateurs de ces produits (magazines de mode ou de décoration).
Dans un arrêt du 20 novembre 2012, la Cour de cassation rejette ces arguments, en faveur d'une interprétation stricte des règles en matière de publicité. (4)
La Cour considère que la publicité faite par la société Diptyque pour ses produits constitue une publicité indirecte en faveur de boissons alcooliques et rappelle à ce titre qu'en vertu de l'article L3323-3 CSP, est "considérée comme publicité indirecte en faveur d'une boisson alcoolique et comme telle, soumise aux restrictions prévues à l'article L.3323-2 (CSP), la publicité en faveur d'un produit autre qu'une boisson alcoolique qui par l'utilisation d'une marque, rappelle une telle boisson".
La Cour constate que la société Diptyque avait, depuis le 1er janvier 1990, mis sur le marché sous sa marque DIPTYQUE divers produits autres que des boissons alcooliques, et que la société Hennessy faisait usage d'une marque identique pour commercialiser des boissons alcooliques. Elle conclut alors que la "Cour d'appel, en a exactement déduit, sans avoir à faire d'autres recherches, que le dépôt de la marque DIPTYQUE par la société Hennessy et la commercialisation de produits sous celle-ci créaient une entrave à la libre utilisation de la marque première". La Cour a donc rejeté le pourvoi formé par la société Hennessy et confirmé la décision de la Cour d’appel de Paris, à savoir, l’annulation de la marque DIPTYQUE déposée par la société Hennessy.
En conséquence, compte tenu de la réglementation et de son application jurisprudentielle, il est vivement recommandé aux producteurs, négociants ou distributeurs souhaitant déposer une marque pour promouvoir des boissons alcooliques, de sélectionner la marque avec une attention toute particulière. Il conviendra ainsi de s'assurer au préalable qu’une marque identique ou similaire n’est pas déjà enregistrée, non seulement dans les classes considérées pour les boissons alcooliques, mais dans toutes autres classes de produits et services. Comme rappelé plus haut, la validité de la marque pour une boisson alcoolique sera analysée non seulement au regard des critères habituels (caractère distinctif, non trompeur, disponible) mais également au regard des règles relatives à la publicité des alcools, telles que définies au Code de la santé publique.
* * * * * * * * * * *
(1) Voir notre précédent article sur ce thème, publié sur ce blog intitulé "Les règles spécifiques applicables aux marques de vins et alcools" http://dwavocat.blogspot.fr/2012/02/les-marques-de-vins-et-alcools-des.html
(2) Article L.3323-2 CSP : La publicité, directe ou indirecte, en faveur des boissons alcooliques est autorisée exclusivement "1°) Dans la presse écrite à l'exclusion des publications destinées à la jeunesse ; 2°) Par voie de radiodiffusion sonore pour les catégories de radios et dans les tranches horaires déterminées par décret en Conseil d'Etat ; 3°) Sous forme d'affiches et d'enseignes ; d'affichettes et d'objets à l'intérieur des lieux de vente à caractère spécialisé, dans des conditions définies par décret en Conseil d'Etat ; 4°) Sous forme d'envoi par les producteurs, les fabricants, les importateurs, les négociants, les concessionnaires ou les entrepositaires, de messages, de circulaires commerciales, de catalogues et de brochures ; 5°) Par inscription sur les véhicules utilisés pour les opérations normales de livraison des boissons, dès lors que cette inscription ne comporte que la désignation des produits ainsi que le nom et l'adresse du fabricant, des agents ou dépositaires, à l'exclusion de toute autre indication ; 6°) En faveur des fêtes et foires traditionnelles consacrées à des boissons alcooliques locales et à l'intérieur de celles-ci, dans des conditions définies par décret ; 7°) En faveur des musées, universités, confréries ou stages d'initiation oenologique à caractère traditionnel ainsi qu'en faveur de présentations et de dégustations, dans des conditions définies par décret ; 8°) Sous forme d'offre, à titre gratuit ou onéreux, d'objets strictement réservés à la consommation de boissons contenant de l'alcool, marqués à leurs noms, par les producteurs et les fabricants de ces boissons, à l'occasion de la vente directe de leurs produits aux consommateurs et aux distributeurs ou à l'occasion de la visite touristique des lieux de fabrication ; 9°) Sur les services de communications en ligne à l'exclusion de ceux qui, par leur caractère, leur présentation ou leur objet, apparaissent comme principalement destinés à la jeunesse, ainsi que ceux édités par des associations, sociétés et fédérations sportives ou des ligues professionnelles au sens du code du sport, sous réserve que la propagande ou la publicité ne soit ni intrusive ni interstitielle ".
(3) On se souviendra, par exemple, de l’annulation en France de la marque CHAMPAGNE, déposée par la société Yves Saint Laurent en 1993 pour désigner un parfum, par la Cour d’appel de Paris (arrêt du 15 décembre 1993) suite à l’action intentée par le CIVC (Comité interprofessionnel du vin de Champagne). Cette décision était cependant fondée sur la notion de concurrence parasitaire par rapport à la notoriété du vin de Champagne. L’application des règles énoncées au Code de la santé publique, aux articles L.721-1 du Code de la propriété intellectuelle et L.115-1 du Code de la consommation à cette affaire aurait très certainement abouti à la même décision.
(4) Cass. com., 20 novembre 2012, n°12-11753, société Diptyque c/ société JAS Hennessy
Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Janvier 2013
mercredi 26 décembre 2012
Les critères de l’originalité comme condition de la protection du logiciel par le droit d’auteur, rappelés par la Cour de cassation
Le logiciel est protégé par le droit d’auteur, ainsi qu’en dispose l’article L.112-2 (13°) du Code de la propriété intellectuelle (CPI).
Cependant, comme pour toute oeuvre de l’esprit, la protection n’est pas automatique. L’oeuvre doit en effet être originale, au sens du droit de la propriété intellectuelle. Dans la lignée de l’arrêt Babolat c/ Pachot de 1986, les juges de la cour de cassation viennent de rappeler les critères à retenir pour évaluer l’originalité du logiciel. (1)
1. La protection du logiciel par le droit d’auteur n’est pas automatique
Dans un arrêt du 17 octobre 2012, la Cour de cassation rappelle que la notion d’originalité doit être appréciée selon des critères bien précis. (2)
En résumé, la société Compagnie de distribution informatique expert (Codix) avait accordé une licence d’utilisation de logiciel à la société Alix services et développement. Cette dernière avait continué à utiliser le logiciel après l’expiration de la licence d’utilisation. La société Codix a donc assigné la société Alix en contrefaçon de ses droits, aux côtés d’une société d’huissiers de justice, liée par un contrat de prestations informatiques à la société Alix. En effet, toute utilisation d’un logiciel en violation des droits de l’auteur, tels que définis à l’article L.122-6 du CPI est considérée comme un délit de contrefaçon, tel que rappelé à l’article L.335-3 du même code.
Or, en cas d'action en contrefaçon, le caractère original de l’oeuvre doit pouvoir être démontré par son titulaire. Ce critère est soumis à l’appréciation des juges, qui doivent confirmer le caractère original du logiciel litigieux, avant de faire droit à la demande en contrefaçon. (3) Ainsi, une fois le caractère original reconnu, le titulaire des droits sur le logiciel protégé pourra poursuivre la démonstration de l’atteinte à ses droits et demander réparation pour l’utilisation contrefaisante.
En l’espèce, la Cour d’appel d’Aix-en-Provence avait considéré que le logiciel était original car “apportant une solution particulière à la gestion des études d’huissiers de justice.”
En outre, l’éditeur du logiciel avait conclu une licence d’utilisation de ce logiciel, définissant l’étendue et la durée des droits d’utilisation concédés. Enfin, une copie du logiciel avait été déposée sous séquestre auprès de l’Agence pour la protection des programmes.
Cependant, la conclusion d’un contrat de licence et le dépôt des logiciels ne sont pas des éléments suffisants pour justifier de la protection de l’oeuvre par le droit d’auteur.
2. Rappel des critères à retenir pour qualifier la notion d’originalité
Dans l’arrêt du 17 octobre 2012, la Cour de cassation a considéré que le critère retenu par la Cour d’appel pour qualifier l’originalité et pour justifier sa décision, à savoir, que le logiciel apportait une solution particulière à la gestion des études d’huissiers de justice, manquait de base légale.
Les magistrats rappellent ainsi que seuls les critères d’un apport intellectuel propre et d’un effort personnalisé de celui qui a élaboré le logiciel litigieux sont de nature à lui conférer le caractère d’une oeuvre originale protégée par le droit d’auteur.
En conclusion, faute de démontrer en quoi les choix opérés par l’auteur résulteraient d’un effort créatif, portant l’empreinte de sa personnalité ou la marque d’un apport intellectuel propre de l’auteur, l’originalité ne pourra être démontrée et le logiciel ne pourra alors bénéficier de la protection par le droit de la propriété intellectuelle.
* * * * * * * * * * * *
(1) Cass. Ass.plén., 7 mars 1986, Babolat c/ Pachot , n°83-10477
(2) Cass. civ., 17 octobre 2012, Codix c/ Alix
(3) Cass. crim., 27 mai 2008, n°07-87253
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Décembre 2012
Cependant, comme pour toute oeuvre de l’esprit, la protection n’est pas automatique. L’oeuvre doit en effet être originale, au sens du droit de la propriété intellectuelle. Dans la lignée de l’arrêt Babolat c/ Pachot de 1986, les juges de la cour de cassation viennent de rappeler les critères à retenir pour évaluer l’originalité du logiciel. (1)
1. La protection du logiciel par le droit d’auteur n’est pas automatique
Dans un arrêt du 17 octobre 2012, la Cour de cassation rappelle que la notion d’originalité doit être appréciée selon des critères bien précis. (2)
En résumé, la société Compagnie de distribution informatique expert (Codix) avait accordé une licence d’utilisation de logiciel à la société Alix services et développement. Cette dernière avait continué à utiliser le logiciel après l’expiration de la licence d’utilisation. La société Codix a donc assigné la société Alix en contrefaçon de ses droits, aux côtés d’une société d’huissiers de justice, liée par un contrat de prestations informatiques à la société Alix. En effet, toute utilisation d’un logiciel en violation des droits de l’auteur, tels que définis à l’article L.122-6 du CPI est considérée comme un délit de contrefaçon, tel que rappelé à l’article L.335-3 du même code.
Or, en cas d'action en contrefaçon, le caractère original de l’oeuvre doit pouvoir être démontré par son titulaire. Ce critère est soumis à l’appréciation des juges, qui doivent confirmer le caractère original du logiciel litigieux, avant de faire droit à la demande en contrefaçon. (3) Ainsi, une fois le caractère original reconnu, le titulaire des droits sur le logiciel protégé pourra poursuivre la démonstration de l’atteinte à ses droits et demander réparation pour l’utilisation contrefaisante.
En l’espèce, la Cour d’appel d’Aix-en-Provence avait considéré que le logiciel était original car “apportant une solution particulière à la gestion des études d’huissiers de justice.”
En outre, l’éditeur du logiciel avait conclu une licence d’utilisation de ce logiciel, définissant l’étendue et la durée des droits d’utilisation concédés. Enfin, une copie du logiciel avait été déposée sous séquestre auprès de l’Agence pour la protection des programmes.
Cependant, la conclusion d’un contrat de licence et le dépôt des logiciels ne sont pas des éléments suffisants pour justifier de la protection de l’oeuvre par le droit d’auteur.
2. Rappel des critères à retenir pour qualifier la notion d’originalité
Dans l’arrêt du 17 octobre 2012, la Cour de cassation a considéré que le critère retenu par la Cour d’appel pour qualifier l’originalité et pour justifier sa décision, à savoir, que le logiciel apportait une solution particulière à la gestion des études d’huissiers de justice, manquait de base légale.
Les magistrats rappellent ainsi que seuls les critères d’un apport intellectuel propre et d’un effort personnalisé de celui qui a élaboré le logiciel litigieux sont de nature à lui conférer le caractère d’une oeuvre originale protégée par le droit d’auteur.
En conclusion, faute de démontrer en quoi les choix opérés par l’auteur résulteraient d’un effort créatif, portant l’empreinte de sa personnalité ou la marque d’un apport intellectuel propre de l’auteur, l’originalité ne pourra être démontrée et le logiciel ne pourra alors bénéficier de la protection par le droit de la propriété intellectuelle.
* * * * * * * * * * * *
(1) Cass. Ass.plén., 7 mars 1986, Babolat c/ Pachot , n°83-10477
(2) Cass. civ., 17 octobre 2012, Codix c/ Alix
(3) Cass. crim., 27 mai 2008, n°07-87253
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Décembre 2012
dimanche 23 décembre 2012
Retard de paiement et procédures d’acceptation : les modifications de l’article L.441-6 du code de commerce applicables au 1er janvier 2013
La loi du 22 mars 2012 relative à la simplification du droit, qui transpose en droit français la directive du 16 février 2011 concernant la lutte contre le retard de paiement, modifie entre autres, certaines dispositions du code du commerce qui devront obligatoirement figurer dans les conditions générales de vente entre professionnels. (1) Ces modifications entrent en vigueur le 1er janvier 2013. Il convient donc, pour les professionnels, de modifier leurs CGV afin de se mettre en conformité avec ces nouvelles obligations.
L’article L.441-6 du code de commerce donne obligation aux vendeurs professionnels de communiquer à leurs clients professionnels leurs conditions générales de vente, constitutives du “socle de la négociation commerciale”. Les CGV comprennent a minima les conditions de vente, le barème des prix, les éventuelles réductions de prix, les conditions de règlement. Cet article fixe également les délais de paiement.
Cet article L.441-6 a été considérablement modifié pour intégrer notamment deux dispositions que nous analysons dans cet article : celle relative à la lutte contre le retard de paiement, et un nouveau paragraphe relatif aux délais d’acceptation des marchandises et prestations.
1. Les nouvelles dispositions relatives aux intérêts de retard et aux frais de recouvrement
Afin de lutter contre les délais de paiement excessifs imposés par certains clients à leurs fournisseurs, l’article L.441-6 I al.9 du code de commerce dispose que les délais de paiement ne peuvent dépasser 45 jours fin de mois ou 60 jours à compter de la date d’émission de la facture.
L'article L.441-6 al.12 du code de commerce disposait jusqu’ici que les conditions de règlement des vendeurs professionnels devaient obligatoirement préciser “les conditions d’application et le taux d’intérêt des pénalités de retard exigibles le jour suivant la date de règlement figurant sur la facture dans le cas où les sommes dues sont réglées après cette date.”
Le taux pour calculer les pénalités de retard pouvant être fixé par les parties est défini à cet article comme pouvant s’élever au minimum à trois fois le taux d’intérêt légal ou le taux d’intérêt appliqué par la Banque centrale européenne à son opération de refinancement la plus récente majoré de 10 points de pourcentage.
La directive du 16 février 2011 a pour ambition de protéger les PME en durcissant les conditions applicables aux retards de paiement. Ces règles ont été transposées par la loi du 22 mars 2012, modifiant l’article L.441-6 du code de commerce. La nouvelle version de cet article entre en vigueur le 1er janvier 2013.
Désormais, les CGV des vendeurs professionnels devront préciser, outre les conditions d’application et le taux d’intérêt de retard, le montant de l’indemnité forfaitaire pour frais de recouvrement due par l’acheteur qui ne règle pas dans les délais.
Cette indemnité forfaitaire de recouvrement, qui est distincte des pénalités de retard, est due de plein droit par le débiteur. Le montant de cette indemnité a été fixé par décret à 40€. (2) Le créancier peut cependant demander une indemnisation complémentaire, sur justification, lorsque les frais de recouvrement sont supérieurs à ce montant.
Par ailleurs, le taux d’intérêt de la BCE à retenir a été précisé. Il s’agira du taux en vigueur au 1er janvier de l’année pour le taux applicable pendant le premier semestre, et le taux en vigueur au 1er juillet pour le taux applicable pendant le second semestre.
Les mentions relatives aux délais de paiement, aux taux d’intérêt de retard et à l’indemnité forfaitaire de recouvrement doivent obligatoirement figurer aux CGV et aux factures des vendeurs professionnels. Toute non conformité aux dispositions du nouvel alinéa 12 est passible d’une amende de 15.000 euros.
Il est donc impératif de mettre ses CGV à jour.
2. Les conditions relatives aux délais d’acceptation des marchandises et prestations de services
Les délais d'acceptation ou de vérification de conformité des marchandises ou des prestations de services (ou procédures de réception) relevaient, jusqu’à présent, de la liberté contractuelle entre les parties, celles-ci étant éventuellement sanctionnées par les juges en cas de pratique abusive, notamment pour rétablir l’équilibre entre les parties au contrat.
L’article L.441-6 comprend un nouveau paragraphe IV qui dispose : “Sous réserve de dispositions spécifiques plus favorables au créancier, lorsqu'une procédure d'acceptation ou de vérification permettant de certifier la conformité des marchandises ou des services au contrat est prévue, la durée de cette procédure est fixée conformément aux bonnes pratiques et usages commerciaux et, en tout état de cause, n'excède pas trente jours à compter de la date de réception des marchandises ou de réalisation de la prestation des services, à moins qu'il n'en soit expressément stipulé autrement par contrat et pourvu que cela ne constitue pas une clause ou pratique abusive au sens de l’article L.442-6.”
Cette rédaction peut surprendre. En effet, d’une part, le délai pour accepter ou recetter, et donc pour valider la conformité des biens ou des prestations à la commande ou au cahier des charges, ne peut dépasser 30 jours à compter de la date de réception de la marchandise ou de l’achèvement des prestations. D’autre part, ce paragraphe poursuit en indiquant que les parties peuvent en disposer autrement par contrat. Il est donc possible de convenir des délais de recette plus longs. Cette stipulation ne doit cependant pas constituer une clause ou pratique abusive, par un délai de recette excessivement long par exemple, rallongeant d’autant le délai de paiement au vendeur ou prestataire.
En tout état de cause, il est recommandé d’intégrer aux contrats une clause d’acceptation ou de recette des biens ou des prestations, détaillant la procédure et les délais, dans le cadre des nouvelles dispositions de l’article L.441-6 IV.
Bénédicte DELEPORTE
Avocat
décembre 2012
* * * * * * * * * * * *
(1) Loi No2012-387 du 22 mars 2012 relative à la simplification du droit et à l’allègement des démarches administratives et Directive 2011/7/UE du 16 février 2011 concernant la lutte contre le retard de paiement dans les transactions commerciales.
(2) Décret No2012-1115 du 2 octobre 2012 fixant le montant de l’indemnité forfaitaire pour frais de recouvrement dans les transactions commerciales prévues à l’article L.441-6 du code de commerce ; et voir l’article D.441-5 du code de commerce
L’article L.441-6 du code de commerce donne obligation aux vendeurs professionnels de communiquer à leurs clients professionnels leurs conditions générales de vente, constitutives du “socle de la négociation commerciale”. Les CGV comprennent a minima les conditions de vente, le barème des prix, les éventuelles réductions de prix, les conditions de règlement. Cet article fixe également les délais de paiement.
Cet article L.441-6 a été considérablement modifié pour intégrer notamment deux dispositions que nous analysons dans cet article : celle relative à la lutte contre le retard de paiement, et un nouveau paragraphe relatif aux délais d’acceptation des marchandises et prestations.
1. Les nouvelles dispositions relatives aux intérêts de retard et aux frais de recouvrement
Afin de lutter contre les délais de paiement excessifs imposés par certains clients à leurs fournisseurs, l’article L.441-6 I al.9 du code de commerce dispose que les délais de paiement ne peuvent dépasser 45 jours fin de mois ou 60 jours à compter de la date d’émission de la facture.
L'article L.441-6 al.12 du code de commerce disposait jusqu’ici que les conditions de règlement des vendeurs professionnels devaient obligatoirement préciser “les conditions d’application et le taux d’intérêt des pénalités de retard exigibles le jour suivant la date de règlement figurant sur la facture dans le cas où les sommes dues sont réglées après cette date.”
Le taux pour calculer les pénalités de retard pouvant être fixé par les parties est défini à cet article comme pouvant s’élever au minimum à trois fois le taux d’intérêt légal ou le taux d’intérêt appliqué par la Banque centrale européenne à son opération de refinancement la plus récente majoré de 10 points de pourcentage.
La directive du 16 février 2011 a pour ambition de protéger les PME en durcissant les conditions applicables aux retards de paiement. Ces règles ont été transposées par la loi du 22 mars 2012, modifiant l’article L.441-6 du code de commerce. La nouvelle version de cet article entre en vigueur le 1er janvier 2013.
Désormais, les CGV des vendeurs professionnels devront préciser, outre les conditions d’application et le taux d’intérêt de retard, le montant de l’indemnité forfaitaire pour frais de recouvrement due par l’acheteur qui ne règle pas dans les délais.
Cette indemnité forfaitaire de recouvrement, qui est distincte des pénalités de retard, est due de plein droit par le débiteur. Le montant de cette indemnité a été fixé par décret à 40€. (2) Le créancier peut cependant demander une indemnisation complémentaire, sur justification, lorsque les frais de recouvrement sont supérieurs à ce montant.
Par ailleurs, le taux d’intérêt de la BCE à retenir a été précisé. Il s’agira du taux en vigueur au 1er janvier de l’année pour le taux applicable pendant le premier semestre, et le taux en vigueur au 1er juillet pour le taux applicable pendant le second semestre.
Les mentions relatives aux délais de paiement, aux taux d’intérêt de retard et à l’indemnité forfaitaire de recouvrement doivent obligatoirement figurer aux CGV et aux factures des vendeurs professionnels. Toute non conformité aux dispositions du nouvel alinéa 12 est passible d’une amende de 15.000 euros.
Il est donc impératif de mettre ses CGV à jour.
2. Les conditions relatives aux délais d’acceptation des marchandises et prestations de services
Les délais d'acceptation ou de vérification de conformité des marchandises ou des prestations de services (ou procédures de réception) relevaient, jusqu’à présent, de la liberté contractuelle entre les parties, celles-ci étant éventuellement sanctionnées par les juges en cas de pratique abusive, notamment pour rétablir l’équilibre entre les parties au contrat.
L’article L.441-6 comprend un nouveau paragraphe IV qui dispose : “Sous réserve de dispositions spécifiques plus favorables au créancier, lorsqu'une procédure d'acceptation ou de vérification permettant de certifier la conformité des marchandises ou des services au contrat est prévue, la durée de cette procédure est fixée conformément aux bonnes pratiques et usages commerciaux et, en tout état de cause, n'excède pas trente jours à compter de la date de réception des marchandises ou de réalisation de la prestation des services, à moins qu'il n'en soit expressément stipulé autrement par contrat et pourvu que cela ne constitue pas une clause ou pratique abusive au sens de l’article L.442-6.”
Cette rédaction peut surprendre. En effet, d’une part, le délai pour accepter ou recetter, et donc pour valider la conformité des biens ou des prestations à la commande ou au cahier des charges, ne peut dépasser 30 jours à compter de la date de réception de la marchandise ou de l’achèvement des prestations. D’autre part, ce paragraphe poursuit en indiquant que les parties peuvent en disposer autrement par contrat. Il est donc possible de convenir des délais de recette plus longs. Cette stipulation ne doit cependant pas constituer une clause ou pratique abusive, par un délai de recette excessivement long par exemple, rallongeant d’autant le délai de paiement au vendeur ou prestataire.
En tout état de cause, il est recommandé d’intégrer aux contrats une clause d’acceptation ou de recette des biens ou des prestations, détaillant la procédure et les délais, dans le cadre des nouvelles dispositions de l’article L.441-6 IV.
Bénédicte DELEPORTE
Avocat
décembre 2012
* * * * * * * * * * * *
(1) Loi No2012-387 du 22 mars 2012 relative à la simplification du droit et à l’allègement des démarches administratives et Directive 2011/7/UE du 16 février 2011 concernant la lutte contre le retard de paiement dans les transactions commerciales.
(2) Décret No2012-1115 du 2 octobre 2012 fixant le montant de l’indemnité forfaitaire pour frais de recouvrement dans les transactions commerciales prévues à l’article L.441-6 du code de commerce ; et voir l’article D.441-5 du code de commerce
dimanche 2 décembre 2012
Les nouvelles règles de la DME2 relatives aux établissements de monnaie électronique bientôt transposées en droit français
La monnaie électronique, équivalent numérique de l'argent liquide, se définit comme une valeur monétaire stockée sous forme électronique, y compris magnétique, tel le porte-monnaie électronique de type Monéo.
Le statut d'établissement de monnaie électronique ("EME") a été clarifié par la Directive du Parlement européen et du Conseil du 16 septembre 2009 (dite "DME2"). Cette directive abroge la directive du 18 septembre 2000 ("DME1"), qui aurait freiné le développement du marché de la monnaie électronique en posant des exigences en capital minimum particulièrement élevées, en interdisant aux EME d’exercer d'autres activités commerciales et en imposant des règles prudentielles relativement lourdes. (1)
Bien qu'elle ait instauré un régime juridique plus attractif pour les EME, la directive de 2009 n'a toujours pas été transposée par la France. Aussi, sous la pression de la Commission européenne, la France a entamé les travaux de transposition. Un projet de loi est actuellement en cours de discussion devant le Parlement. Ce projet fixe de nouvelles règles juridiques concernant l'accès à l'activité des établissements de monnaie électronique et son exercice.
Nous étudions ci-après les principales dispositions de la Directive DME2 puis celles du projet de loi français.
1. Un nouveau régime juridique européen pour les EME qui tarde à être transposé en droit français
La directive DME2 a pour objectifs de promouvoir la mise en place d'un véritable marché unique des services de monnaie électronique en Europe, de permettre à des services de monnaie électronique innovants de voir le jour et à de nouvelles sociétés d'accéder au marché et enfin de favoriser une concurrence effective entre tous les acteurs de ce marché. (2) En dépit des assouplissements apportés au régime juridique des EME par cette Directive, la France tarde à transposer ce texte en droit interne.
1.1 Les principales dispositions de la directive DME2 du 16 septembre 2009
Le changement majeur instauré par la directive DME2 est la création d'un régime juridique spécifique pour les établissements de monnaie électronique. Le régime prudentiel des EME sera désormais plus proche de celui des établissements de paiement que des établissements de crédit. Les principales dispositions de la directive à retenir portent sur les points suivants :
- La nécessité d'un agrément : l'établissement de monnaie électronique est une personne morale dont l’activité est soumise à l’obtention d’un agrément de l’autorité compétente de l’Etat membre l'autorisant à émettre de la monnaie électronique.
- La réduction du capital initial minimal : l'exigence d'un capital initial d'un million d'euros pour les EME, sous le régime de la Directive DME1, a été abandonnée. Désormais, les établissements de monnaie électronique doivent détenir, au moment de l’agrément, un capital initial minimal de 350.000€.
- Les fonds propres à détenir : les EME ont l'obligation de satisfaire à tout moment à une exigence minimale de fonds propres prudentiels. Ces fonds ne peuvent être inférieurs au plus élevé des montants suivants : le montant du capital initial minimal, soit 350.000€, ou le montant imposé par la directive 2007/64/CE sur les services de paiements (déterminé selon un calcul complexe) (3). En outre, l’EME doit disposer à tout moment de fonds propres prudentiels d’un montant au moins égal à 2% de la moyenne de la monnaie électronique en circulation.
- La diversité des activités autorisées : outre l’émission de monnaie électronique, les EME sont désormais habilités à fournir des services additionnels, tels que des services de paiement, des services connexes à l’émission de monnaie électronique ou aux services de paiement, des services de gestion de systèmes de paiement, mais également des activités commerciales autres que l’émission de monnaie électronique.
Le statut d'établissement de monnaie électronique ("EME") a été clarifié par la Directive du Parlement européen et du Conseil du 16 septembre 2009 (dite "DME2"). Cette directive abroge la directive du 18 septembre 2000 ("DME1"), qui aurait freiné le développement du marché de la monnaie électronique en posant des exigences en capital minimum particulièrement élevées, en interdisant aux EME d’exercer d'autres activités commerciales et en imposant des règles prudentielles relativement lourdes. (1)
Bien qu'elle ait instauré un régime juridique plus attractif pour les EME, la directive de 2009 n'a toujours pas été transposée par la France. Aussi, sous la pression de la Commission européenne, la France a entamé les travaux de transposition. Un projet de loi est actuellement en cours de discussion devant le Parlement. Ce projet fixe de nouvelles règles juridiques concernant l'accès à l'activité des établissements de monnaie électronique et son exercice.
Nous étudions ci-après les principales dispositions de la Directive DME2 puis celles du projet de loi français.
1. Un nouveau régime juridique européen pour les EME qui tarde à être transposé en droit français
La directive DME2 a pour objectifs de promouvoir la mise en place d'un véritable marché unique des services de monnaie électronique en Europe, de permettre à des services de monnaie électronique innovants de voir le jour et à de nouvelles sociétés d'accéder au marché et enfin de favoriser une concurrence effective entre tous les acteurs de ce marché. (2) En dépit des assouplissements apportés au régime juridique des EME par cette Directive, la France tarde à transposer ce texte en droit interne.
1.1 Les principales dispositions de la directive DME2 du 16 septembre 2009
Le changement majeur instauré par la directive DME2 est la création d'un régime juridique spécifique pour les établissements de monnaie électronique. Le régime prudentiel des EME sera désormais plus proche de celui des établissements de paiement que des établissements de crédit. Les principales dispositions de la directive à retenir portent sur les points suivants :
- La nécessité d'un agrément : l'établissement de monnaie électronique est une personne morale dont l’activité est soumise à l’obtention d’un agrément de l’autorité compétente de l’Etat membre l'autorisant à émettre de la monnaie électronique.
- La réduction du capital initial minimal : l'exigence d'un capital initial d'un million d'euros pour les EME, sous le régime de la Directive DME1, a été abandonnée. Désormais, les établissements de monnaie électronique doivent détenir, au moment de l’agrément, un capital initial minimal de 350.000€.
- Les fonds propres à détenir : les EME ont l'obligation de satisfaire à tout moment à une exigence minimale de fonds propres prudentiels. Ces fonds ne peuvent être inférieurs au plus élevé des montants suivants : le montant du capital initial minimal, soit 350.000€, ou le montant imposé par la directive 2007/64/CE sur les services de paiements (déterminé selon un calcul complexe) (3). En outre, l’EME doit disposer à tout moment de fonds propres prudentiels d’un montant au moins égal à 2% de la moyenne de la monnaie électronique en circulation.
- La diversité des activités autorisées : outre l’émission de monnaie électronique, les EME sont désormais habilités à fournir des services additionnels, tels que des services de paiement, des services connexes à l’émission de monnaie électronique ou aux services de paiement, des services de gestion de systèmes de paiement, mais également des activités commerciales autres que l’émission de monnaie électronique.
- Les conditions de remboursement de la monnaie électronique : désormais, les émetteurs de monnaie électronique doivent rembourser la valeur monétaire de la monnaie électronique détenue, à la demande du détenteur de monnaie électronique, à tout moment et à sa valeur nominale. Le contrat conclu entre l’émetteur de monnaie électronique et le détenteur de monnaie électronique établit clairement et de façon visible les conditions de remboursement, y compris les frais éventuels y afférents. Le détenteur de monnaie électronique est informé de ces conditions préalablement à la conclusion du contrat.
- Le régime dérogatoire pour les petits EME (ou "PEME") : ces établissements peuvent être exemptés d'une partie des dispositions de la directive relatives aux règles prudentielles, au capital initial et aux fonds propres. Ils sont autorisés à être inscrits dans le registre des EME, sous réserve que :
a) leurs activités commerciales dans leur ensemble génèrent un montant moyen de monnaie électronique en circulation qui ne dépasse pas un plafond fixé par l’État membre mais qui, en tout état de cause, n’est pas supérieur à 5 millions d'euros; et
b) aucune des personnes physiques responsables de la gestion ou de l’exercice de l’activité n’a été condamnée pour des infractions liées au blanchiment de capitaux, au financement du terrorisme ou à d’autres délits financiers.
La directive DME2 étant d’harmonisation maximale (et non minimale comme la DME1), les Etats membres bénéficient d'une faible marge de manoeuvre dans sa transposition en droit interne. La France a donc l'obligation de reprendre en droit national les dispositions instaurées au niveau européen.
1.2 Une transposition tardive en droit français et ses conséquences
Les Etats membres avaient jusqu'au 30 avril 2011 pour transposer la Directive DME2 dans leur droit interne. Le gouvernement français a tenté, à trois reprises et en vain, de transposer la Directive par la voie d'ordonnance. Cette transposition en droit français a échoué pour diverses raisons : dépassement des délais, abandon d'habilitation en cours de débat puis censure du Conseil constitutionnel.
Ayant largement dépassé le délai maximal de transposition, la Commission européenne a ouvert, le 26 avril 2012, une procédure d'infraction à l'encontre de la France et des autres pays retardataires (la Belgique, Chypre, l'Espagne, la Pologne et le Portugal). Par un avis motivé, la Commission a "invité" la France à l'informer, dans un délai de deux mois, des mesures prises pour mettre sa législation nationale en conformité avec la Directive DME2. Passé ce délai, la Commission avait la possibilité de saisir la Cour de Justice de l'Union européenne et demander d'imposer des sanctions financières aux Etats membres. (4)
Suite aux pressions exercées par la Commission, c'est finalement par voie de projet de loi, déposé au Sénat le 1er août 2012, que la France a pris l'initiative de transposer la Directive. Ce projet est actuellement en cours de discussion au Parlement. La loi de transposition n’est toujours pas votée au 1er décembre 2012.
2. L'adoption du nouveau régime juridique pour les EME en débat au Parlement français
Actuellement, en France, les services de monnaie électronique ne peuvent être proposés que par des banques ou des établissements de crédit. Ainsi, les entreprises françaises souhaitant offrir ces services doivent aujourd'hui nécessairement obtenir un agrément en tant qu'établissement de crédit, nécessitant une mise en conformité avec un régime très strict. La transposition de la Directive DME2 en droit français, permettant un assouplissement du régime actuel, est donc attendue par des entrepreneurs n’appartenant pas au domaine bancaire, souhaitant se lancer dans l’activité de fourniture de service de monnaie électronique.
Le projet de loi a été adopté par le Sénat et présenté en première lecture à l'Assemblée Nationale, le 27 septembre 2012. (5) Ce projet comprend une trentaine d'articles relatifs à la monnaie électronique (Titre I du projet de loi) qui viendront compléter ou modifier les dispositions du Code monétaire et financier ("CMF").
Les dispositions essentielles du projet de loi concernent d’une part les conditions d’accès à l’activité d’EME, d’autre part les conditions d’exercice de cette activité.
2.1 Les conditions d'accès à l'activité d’EME
Le projet de loi prévoit que les établissements de monnaie électronique sont des personnes morales, autres que les établissements de crédit, qui émettent et gèrent à titre de profession habituelle de la monnaie électronique (nouvel article L. 526-1 et s. CMF).
- La nécessité d'un agrément : préalablement à l’émission et à la gestion de monnaie électronique, les EME doivent obtenir un agrément délivré par l’Autorité de contrôle prudentiel, ("ACP") après avis de la Banque de France. Pour délivrer l’agrément, l’ACP s’assure de l’aptitude de l’entreprise requérante à garantir une gestion saine et prudente de l’établissement de monnaie électronique et apprécie la qualité des actionnaires ou associés qui détiennent une participation qualifiée.
- Un capital minimum obligatoire : pour délivrer l’agrément à un établissement de monnaie électronique, l’ACP vérifie si celui-ci dispose, au moment de la délivrance de l’agrément, d’un capital libéré d’un montant au moins égal à une somme qui sera fixée par voie réglementaire, étant précisé que le montant de 350.000€ fixé par la Directive DME2 est un seuil minimal.
2.2 Les conditions d'exercice de l'activité d’EME
- Des dispositions prudentielles particulières : les EME sont tenus de respecter des normes de gestion destinées à garantir leur solvabilité ainsi que l’équilibre de leur structure financière. Ils disposent également d’un dispositif approprié de contrôle interne leur permettant notamment de mesurer les risques et la rentabilité de leurs activités. Ils respectent un niveau de fonds propres adéquat. Comme pour le capital initial, le montant minimum des fonds propres et les modalités de calcul y afférentes seront fixées par voie réglementaire.
- Un éventail d'activités autorisées : en sus de l’émission, la gestion et la mise à disposition de monnaie électronique, les EME peuvent : (i) fournir des services de paiement, (ii) fournir des services connexes à la prestation de services de paiement ou étroitement liés à l’émission et la gestion de monnaie électronique (ex: des services de change et de garde et l’enregistrement et le traitement des données), et (iii) exercer une activité commerciale autre que les activités mentionnées ci-dessus. Toutefois, ces activités commerciales ne doivent pas être incompatibles avec les exigences de la profession, notamment le maintien de la réputation de l’établissement de monnaie électronique, la primauté des intérêts des clients et le jeu de la concurrence sur le marché considéré.
- La protection du consommateur : le projet de loi prévoit des obligations contractuelles particulières relatives à l’information préalable du consommateur. Les conditions contractuelles doivent être communiquées dans des termes clairs et aisément compréhensibles au détenteur de monnaie électronique avant tout contrat ou offre liant les parties. Le remboursement des unités de monnaie électronique doit, sauf exceptions, être effectué sans frais pour le détenteur. Le contrat doit établir clairement les conditions et le délai de remboursement des unités de monnaie électronique. Le remboursement devra être effectué, au choix du détenteur de monnaie électronique, en pièces, en billets de banque ou par virement (nouveaux articles L.133-29. et s. L.315-5 et s. CMF).
- Un régime allégé pour les petits EME : Le projet de loi prévoit un régime allégé pour les petits EME. Ces établissements pourront être exemptés de l'essentiel du dispositif prudentiel, si leurs activités commerciales dans leur ensemble génèrent une moyenne de la monnaie électronique en circulation inférieure à un montant qui sera fixé par décret (nouvel article L.526-19 du CMF). Le montant de 5 millions d'euros prévu par la Directive est un seuil maximal.
2.3 Des sanctions lourdes en cas d’infraction à la loi
Le projet de loi prévoit plusieurs sanctions qui varient en fonction de la gravité de l'infraction. Ainsi, sont notamment punis de 3 ans d'emprisonnement et 375.000€ d'amende (1.875.000€ pour les personnes morales), toute personne ou entreprise, autre que les EME : (i) émettant et gérant de la monnaie électronique à titre de profession habituelle, ou (ii) utilisant une dénomination, une raison sociale, une publicité ou, d’une façon générale, des expressions faisant croire qu’elle est agréée en tant qu’établissement de monnaie électronique (nouvel article 572-13 et s. CMF).
Ces peines principales peuvent être accompagnées de peines complémentaires telles que : l'interdiction d'exercer l'activité professionnelle dans l'exercice ou à l'occasion de laquelle l'infraction a été commise, ou la fermeture des établissements de l’entreprise ayant servi à commettre les faits incriminés, pour une durée de 5 ans au plus.
La directive et la future loi française créent ainsi un véritable régime juridique autonome pour les établissements de monnaie électronique. Avec ce nouveau régime, le paysage de la réglementation financière devient plus complexe : il faudra distinguer entre les banques, les établissements financiers, les établissements de monnaie électronique et les prestataires de services de paiement.
Il conviendra de suivre avec attention les prochains débats parlementaires, certaines dispositions du projet de loi étant susceptibles d'évoluer d'ici l'adoption de la loi. En effet, bien que la DME2 impose une harmonisation maximale, certaines de ses dispositions fixent un seuil ou un montant minimum ou maximum, laissant une certaine marge à chaque Etat membre pour sa transposition.
En toute hypothèse, il appartient à la France de ne plus tarder à transposer cette directive si elle ne veut pas être soumise à des contraintes financières. La Commission européenne a ainsi demandé le 21 novembre dernier à la Cour de justice de l’Union européenne d’imposer une astreinte journalière d'environ 60.000€ à la Belgique, faute de transposition. Cette décision de la Commission est intervenue alors que le projet de loi de transposition est actuellement en cours de débat au Parlement belge.
* * * * * * * * * *
(1) Directive 2000/46/CE du Parlement européen et du Conseil 18 septembre 2000 concernant l'accès à l'activité des établissements de monnaie électronique et son exercice ainsi que la surveillance prudentielle de ces établissements (DME1).
(2) Directive 2009/110/CE du Parlement européen et du Conseil du 16 septembre 2009 concernant l’accès à l’activité des établissements de monnaie électronique et son exercice ainsi que la surveillance prudentielle de ces établissements, modifiant les directives 2005/60/CE et 2006/48/CE et abrogeant la directive 2000/46/CE (DME2)
(3) Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, modifiant les directives 97/7/CE, 2002/65/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la directive 97/5/CE. Voir notamment l'article 8 décrivant les méthodes de calcul des fonds propres.
(4) Communiqué de presse de la Commission européenne du 26 avril 2012 "Marché intérieur: la Commission prend des mesures pour faire appliquer les règles européennes en matière de monnaie électronique", Référence: IP/12/418, accessible sur le site : http://europa.eu/.
(5) Projet de loi n°737 portant diverses dispositions d'adaptation de la législation au droit de l'Union européenne en matière économique et financière, déposé le 1er août 2012 et Projet de loi n°232, adopté par le Sénat, portant diverses dispositions d'adaptation de la législation au droit de l'Union européenne en matière économique et financière, déposé le 27 septembre 2012.
Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Décembre 2012
Inscription à :
Articles (Atom)