Une nouvelle norme AFNOR pour assainir le domaine des avis de consommateurs sur internet

On connaît l’importance de l’influence des avis de consommateurs sur la décision d’achat en ligne, que ce soit pour les achats de biens ou de prestations (choix d’un hôtel ou d’un restaurant) et donc sur l’e-réputation des produits et commerces référencés.
Selon une enquête réalisée par le cabinet Easypanel en mars 2013, citée par la société Testntrust, 82% des e-consommateurs consulteraient “toujours” ou “parfois” les avis pour les guider dans leur décision d’achat. (1) Par ailleurs, selon LaFourchette.com, site comparateur de restaurants, l’augmentation d’un point de la note moyenne d’un restaurant se traduirait par une augmentation de 6% du nombre de réservations mensuelles. (2) A contrario, la baisse de cette note entraîne une baisse du chiffre d’affaires du commerce en cause.
Malheureusement nombre de sites affichent de faux avis de consommateurs : personnes n’ayant jamais acheté le produit ou séjourné à l’hôtel en référence, personnes rédigeant des avis contre rémunération, ou sites achetant de faux avis à des agences “spécialisées”.

Afin d’assainir ce domaine, une nouvelle norme “Avis en ligne des consommateurs” vient d’être publiée par l’AFNOR le 4 juillet. Cette norme, qui concerne tous types de produits et services et tous types de sites (sites comparateurs ou sites de e-commerce), a pour objet de maintenir la confiance des consommateurs sur ces avis en prônant plus de transparence. (3)


1. Les trois étapes du traitement des avis de consommateurs sur internet

La norme traite les avis en trois étapes, à savoir : l’étape de la collecte de l’avis, sa modération par le site web et enfin la restitution ou publication de l’avis sur le site.

- La collecte de l’avis
La collecte de l’avis du consommateur doit être conforme aux principaux points suivants : l’auteur s’engage à avoir effectivement acheté le produit ou utilisé le service et cette expérience doit pouvoir être vérifiée ; l’auteur de l’avis doit être identifié (l’avis peut cependant être anonymisé sur le site) et pouvoir être contacté (adresse email et téléphone par exemple) ; le site a interdiction d’acheter des avis.

- La modération par le site
Les avis doivent être modérés a priori, de manière automatique ou humaine. Le modérateur doit maîtriser la langue dans laquelle l’avis a été rédigé. Les règles de modération des avis sont décrites aux conditions de vente (CGV) ou d’utilisation (CGU) du site. Le délai de modération doit être rapide et les motifs de rejet d’un avis doivent être indiqués. Une fois en ligne, l’avis ne peut être modifié, mais il peut être supprimé à la demande de son auteur.

- La restitution (publication) de l’avis
Les avis doivent être publiés par ordre chronologique (plus récent au plus ancien), d’autres types de tri étant possibles. Les méthodes de calcul des notes globales et les délais de prise en compte des notes doivent être claires. Enfin, le délai de restitution (publication) doit être rapide et affiché.


2. Les conditions de mise en conformité par les sites de e-commerce

Pour rappel, la norme n’est pas une loi mais un texte consensuel élaboré par un panel de professionnels et qui reflète l’état de l’art. Les normes sont en principe revues tous les cinq ans environ, et sont donc évolutives.

La norme sur les avis en ligne des consommateurs n’est pas d’application obligatoire. Les professionnels qui le souhaitent peuvent soit décider de l’appliquer volontairement, soit obtenir une certification.

- L’auto-déclaration
Les sites comparateurs et de e-commerce collectant des avis de consommateurs peuvent décider de se mettre en conformité avec la norme NF Z74-501 par une auto-déclaration de conformité. Cependant, l’auto-déclaration de conformité à la norme engage la responsabilité de l’exploitant du site en cas de contrôle de la DGCCRF par exemple.

L’utilisation abusive d’une norme AFNOR est sanctionnée par le code de la consommation au titre des pratiques commerciales trompeuses. (4)

- La certification
La certification a pour objet de faire contrôler et attester par un organisme certificateur tiers la conformité des pratiques à la norme en référence.


Les critères figurant dans cette norme sur les avis en ligne de consommateurs peuvent paraître soit relever du bon sens (interdiction d’acheter de faux avis) soit poser des règles trop contraignantes (règles de modération). Cependant, la norme a le mérite de créer un référentiel de confiance pour assainir le domaine des avis, qui, comme nous l’avons rappelé plus haut, est un élément clé dans la décision d’achat des consommateurs. La question sera de voir comment cette norme sera accueillie par les sites comparateurs, et si elle sera par la suite étendue à l’international.

Enfin, bien que cette norme soit générique en ce qu’elle a vocation à s’appliquer à tous types de biens et de services et à tous types de sites recueillant des avis de consommateurs, elle ne prend a priori pas en compte les avis publiés sur les réseaux sociaux (Facebook, Twitter), qui restent à prendre avec “modération”, ni les “likes” (j’aime) et autres “followers”, mais il s’agit là d’un autre sujet.

                                                        * * * * * * * * * *

(1) Communiqué de la société Testntrust du 17 avril 2013

(2) Cité dans l’article des Echos “Le e-commerce chasse les faux avis de consommateurs”, publié le 2 juillet 2013

(3) Norme AFNOR Avis en ligne des consommateurs NF Z74-501

(4) Voir art. L.121-1 et s. et art. L.213.1 et s. du code de la consommation. Les peines maximum encourues s’élèvent à 37 500€ pour l’exploitant du site personne physique et 187 500€ pour les personnes morales.


Bénédicte DELEPORTE – Avocat

Deleporte Wentz Avocat
www.dwavocat.com
Juillet 2013

E-pharmacie : les conditions de vente de médicaments sur internet enfin précisées

Les médicaments sont des produits particuliers et leur vente sur internet, bien que désormais autorisée avec l’ordonnance et le décret d’application de décembre 2012, reste très encadrée. (1)

Conformément à l’article L.5121-5 du Code de la santé publique, le gouvernement vient de publier l’arrêté relatif aux bonnes pratiques de dispensation des médicaments par voie électronique. Cet arrêté a pour objet de préciser les conditions et recommandations relatives aux sites de e-pharmacie (conception du site et exploitation) et à la vente des médicaments en ligne (présentation des produits et conditions de vente). Il doit entrer en vigueur le 12 juillet 2013. (2)

La mise en place de la réglementation relative à la vente de médicaments en ligne s’élabore cependant dans la douleur. En effet, à la suite de la publication des textes de décembre 2012, le Conseil d’Etat a rendu une ordonnance en référé le 14 février 2013 relative aux catégories de médicaments pouvant être vendus en ligne. La réglementation française se voulant plus restrictive que la directive européenne, le Conseil d’Etat a ordonné la suspension du nouvel article L.5125-4 du Code de la santé publique qui interdisait la vente en ligne non seulement aux médicaments soumis à prescription obligatoire, mais également à une partie des médicaments en vente libre. (3) Or, la vente en ligne devait être autorisée pour tous les médicaments vendus sans ordonnance. Par ailleurs, le premier projet d’arrêté, datant de février, avait fait l’objet d’un avis défavorable de la part de l’Autorité de la concurrence. En effet, ce projet comportait plusieurs mesures restrictives de concurrence, jugées non justifiées par des considérations de santé publique (notamment interdiction de vente, sur le même site, de médicaments et de produits de para-pharmacie, ou restrictions en matière de liberté des prix). (4)

L’arrêté du 20 juin 2013 a levé ces restrictions. Nous rappelons ci-après les principales dispositions de cet arrêté, à savoir les conditions spécifiques relatives à la conception et à l’exploitation d’un site de e-pharmacie, à l’exercice de l’activité de e-pharmacien et à la vente de médicaments en ligne.


1. La conception et l’exploitation du site de e-pharmacie

Afin de respecter les particularités liées à la profession de pharmacien (profession réglementée), et à la vente de médicaments (produits particuliers), le site de e-pharmacie doit respecter certaines obligations de nature technique et interdictions, en sus des règles généralement applicables à la création et à l’exploitation d’un site de commerce électronique.

- L’exploitation du site de e-pharmacie : l’ordonnance de décembre 2012 réserve l’exploitation des sites de e-pharmacie aux pharmaciens titulaires d’une officine. La création du site est soumise au dépôt d’une demande d’autorisation auprès du directeur général de l’Agence Régionale de Santé (DGARS) ainsi que l’information du Conseil de l’Ordre des pharmaciens. (5)

L’arrêté de juin 2013 fixe des règles supplémentaires devant être respectées par le pharmacien souhaitant se lancer dans le commerce de médicaments en ligne.

L’exploitation d’un site de e-pharmacie est soumise à certaines interdictions justifiées par le souci de préserver l’indépendance professionnelle du pharmacien, le secret professionnel,  la communication d’informations neutres et objectives, conformément aux règles de déontologie décrites dans le Code de la santé publique.

Il est interdit au e-pharmacien :
    - de faire financer la création et l'exploitation du site par une entreprise produisant ou commercialisant des produits de santé (laboratoire pharmaceutique),
    - de sous-traiter à un tiers l'activité de vente par internet, à l'exception de la conception et de la maintenance techniques du site,
    - de recourir à des techniques de référencement payant via des moteurs de recherche ou des comparateurs de prix.

Enfin, sont interdits les liens hypertextes vers les sites des entreprises pharmaceutiques et les forums de discussion.

- Le choix du nom de domaine : le e-pharmacien n’a pas une liberté totale de choix du nom de domaine pour sa pharmacie en ligne. L’arrêté “recommande” que l'adresse du site internet comprenne le nom du pharmacien, éventuellement accolé à celui de l'officine. Ainsi, le nom de domaine ne doit pas être fantaisiste, ni tromper le patient sur le contenu du site, ou avoir un objectif promotionnel.

En outre, le nom de domaine doit évidemment respecter la réglementation en vigueur et notamment les dispositions du Code des postes et communications électroniques.

- Les mentions légales obligatoires : le site de e-pharmacie doit comporter des informations relatives à l’identification de l’exploitant du site conformément aux règles énoncées dans la loi pour la confiance dans l’économie numérique (LCEN du 21 juin 2004), complétées par les informations spécifiques telles que le numéro Répertoire Partagé des Professionnels de Santé du pharmacien, le numéro de licence de la pharmacie. Le site doit également intégrer des liens hypertextes vers les sites internet de l'Ordre national des pharmaciens et du Ministère chargé de la santé (qui tiennent à jour une liste des sites internet de pharmacies autorisés) et celui de l'Agence nationale de sécurité du médicament et des produits de santé.

- Le contenu du site de e-pharmacie : Le site n’est pas limité à la seule vente de médicaments. Le e-pharmacien pourra ainsi proposer à la vente en ligne toutes les autres gammes de produits vendues dans son officine, notamment les produits de para-pharmacie, de soin ou vétérinaires par exemple.

Le site devra cependant comporter un onglet spécifique à la vente de médicaments, afin de distinguer clairement les médicaments des autres produits vendus par le e-pharmacien.

Un espace privé pour chaque client-patient doit pouvoir être créé. Ce compte personnel du client récapitulera l’intégralité des commandes et des échanges avec le pharmacien.


2. L’exercice de l'activité d’e-pharmacien

L’activité de e-pharmacien s’exerce dans le prolongement de celle de pharmacien. Ainsi, comme mentionné ci-dessus, le pharmacien qui exploite un site de vente en ligne reste soumis à la réglementation prévue au Code de la santé publique, qui vient s’ajouter à celle relative au commerce électronique.

L’arrêté de juin 2013 prévoit plusieurs obligations spécifiques à la charge du e-pharmacien.

- La prolongation de l’obligation d’information et de conseil du patient, en ligne : la vente de médicaments en ligne est soumise à la possibilité d’établir un échange interactif et personnalisé entre le pharmacien et le patient avant la validation de la commande. Les réponses automatisées aux questions des patients ne permettent pas d’assurer une information pertinente et un conseil adapté aux besoins du patient.

Le e-pharmacien doit s'assurer de l'adéquation de la commande à l'état de santé du patient.  Pour ce faire, le site de e-pharmacie doit intégrer les éléments suivants : 
    - un questionnaire à remplir obligatoirement par le patient avant la validation de sa première commande en ligne. Ce questionnaire, dans lequel le patient renseigne son âge, son poids, etc. est validé par le e-pharmacien avant la validation de la commande ;
    - un dispositif technique, sécurisé et assurant la confidentialité des échanges, permettant le dialogue entre le pharmacien et le patient, par email ou tchat.

Outre le conseil et l'information au stade de la commande, le patient doit pouvoir poser des questions complémentaires au e-pharmacien, qui a l'obligation d'y répondre, via email ou tchat. Tous les échanges entre le e-pharmacien et le patient sont tracés, chiffrés et archivés.

- Le contrôle pharmaceutique : le contrôle de la quantité de médicaments à délivrer au patient est réalisé par le pharmacien. Un dispositif de blocage des commandes doit être mis en place sur le site pour éviter le dépassement de la quantité maximale autorisée. Une quantité minimale d'achat ne peut être exigée et le patient doit pouvoir ne commander qu'une seule boîte d'un médicament. Le e-pharmacien assure personnellement la délivrance et contrôle que le médicament qu'il délivre est bien celui commandé.

- La protection des données personnelles des patients : les données de santé sont des données considérées comme sensibles, faisant l'objet d'une protection renforcée. En qualité de responsable du traitement, le e-pharmacien est soumis aux dispositions de la loi Informatique et Libertés du 6 janvier 1978.


3. Les conditions de vente en ligne des médicaments

Hormis les règles généralement applicables à la vente en ligne, l’arrêté prévoit des conditions spécifiques additionnelles pour la vente de médicaments en ligne.

- Catégorie de médicaments autorisés à la vente en ligne : l’arrêté du juin 2013 confirme la catégorie de médicaments pouvant être vendus sur internet, à savoir les médicaments “de médication officinale qui peuvent être présentés en accès direct au public en officine, ayant obtenu l'autorisation de mise sur le marché (…)”. Les médicaments soumis à prescription obligatoire restent exclus de la vente sur internet.

- La présentation des produits en ligne : les conditions de présentation des médicaments sont strictement encadrées, de manière à rester neutres, claires, non trompeuses et informatives. L’arrêté précise ainsi les informations devant figurer sur les fiches produits,  telles que les dénominations de fantaisie et commune du médicament, les indications thérapeutiques de l'autorisation de mise sur le marché, etc. ainsi que la manière de classer les médicaments (par catégorie générale d'indication - douleurs, fièvre, nausées, toux… - puis de substances actives).

- Les prix : l'affichage du prix doit être visuellement identique pour chaque médicament afin d'éviter toute promotion ou mise en avant d'un médicament par rapport à un autre. Les frais de livraison sont en sus et précisés au moment de la commande.

- Les conditions de vente des médicaments : la vente de médicaments est soumise à des conditions spécifiques.

    - L’âge minimum du client : la vente de médicaments en ligne est réservée aux personnes ayant au moins 16 ans.

    - Les conditions générales de vente : la vente des médicaments en ligne est soumise à des conditions générales de vente (CGV). Les CGV doivent avoir été effectivement acceptées par le client-patient avant la conclusion de la commande, ou au plus tard avant le paiement. Ces conditions sont clairement présentées et facilement accessibles pour le patient.

Il est à préciser que le consommateur qui achète des médicaments en ligne ne bénéficie pas du droit de rétractation. L'absence du droit de rétractation doit être indiquée de manière claire dans les CGV et rappelée avant la validation de la commande.

    - La préparation de la commande et la livraison : les délais de traitement de la commande et de livraison sont précisés au patient. La préparation des commandes ne peut se faire qu'au sein de l'officine, dans un espace adapté à cet effet.

Le médicament est envoyé dans un paquet scellé par l'officine de pharmacie, sous la responsabilité du pharmacien. Le patient peut également se déplacer à l'officine pour prendre livraison de la commande.

    - Les réclamations : en cas d'erreur de délivrance (erreur de produit ou produit détérioré), le e-pharmacien doit rembourser le patient selon les modalités décrites dans les CGV.


Ainsi, les sites de e-pharmacie peuvent proposer à la vente, non seulement les médicaments non soumis à ordonnance, mais également les autres produits proposés dans l’officine. Le site internet de e-pharmacie devient ainsi le prolongement virtuel d’une officine de pharmacie.

La e-pharmacie est cependant très encadrée depuis la conception du site web jusqu’aux conditions de vente. Aussi, avant de se lancer dans la vente de médicaments en ligne, il est recommandé aux e-pharmaciens de s’assurer de la conformité du site et des modalités de vente aux règles mentionnées ci-dessus ainsi qu’aux règles propres au commerce électronique, sans oublier les règles professionnelles et déontologiques inscrites dans le Code de la santé publique.                                                       * * * * * * * * * * * * *

(1) Ordonnance n°2012-1427 du 19 décembre 2012 relative au renforcement de la sécurité de la chaîne d'approvisionnement des médicaments, à l'encadrement de la vente de médicaments sur internet et à la lutte contre la falsification de médicaments ; Décret n°2012-1562 du 31 décembre 2012 relatif au renforcement de la sécurité de la chaîne d’approvisionnement des médicaments et à l’encadrement de la vente de médicaments sur internet. Articles L.4211-1, L.5122-6-1, L.5125-33 et s., R.5125-26 et R.5125-70 et s. CSP.

(2) Arrêté n°AFSP1313848A du 20 juin 2013 relatif aux bonnes pratiques de dispensation des médicaments par voie électronique.

(3) Ordonnance du Conseil d’Etat n°365459 du 14 février 2013

(4) Avis de l’Autorité de la concurrence n°13-A-12 du 10 avril 2013 relatif à un projet d’arrêté de la ministre des affaires sociales et de la santé relatif aux bonnes pratiques de dispensation des médicaments par voie électronique

(5) Voir notre article “La nouvelle réglementation française sur la vente de médicaments sur internet”, publié sur notre Blog le 14 janvier 2013 (http://dwavocat.blogspot.fr/2013/01/la-nouvelle-reglementation-francaise.html).




Article publié sur le Journal du Net le 3/07/2013


Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat

Deleporte Wentz Avocat
www.dwavocat.com
Juillet 2013

Conflit entre les noms de domaine e-obseques.fr et i-obseques-paris.fr : absence de concurrence déloyale

Le Tribunal de commerce de Paris a rendu le 24 mai 2013 une décision intéressante en matière de noms de domaine. (1) Dans cette décision, le Tribunal a rappelé que le titulaire d’un nom de domaine descriptif de l'objet même du site web auquel il renvoit ne peut se prévaloir d’une quelconque protection juridique. En conséquence, l’exploitation par un concurrent d’un nom de domaine similaire ne constitue pas une faute.


1. Le contexte

Cette affaire opposait la société Le Passage exploitant un site web proposant des services d'obsèques dans toute la France à l’URL e-obseques.fr, à la société Services Funéraires - Ville de Paris (SFVP) exploitant un site web fournissant des services funéraires, à Paris et en proche banlieue parisienne à l’URL i-obseques-paris.fr.

Les noms de domaine e-obseques.fr et i-obseques-paris.fr avaient été respectivement enregistrés  en août 2010 et en avril 2011.

La société Le Passage a assigné les SFVP au motif que l'utilisation d'un nom de domaine, proche du sien, créait une confusion avec son propre site web et qu'en faisant ce choix de nom de domaine les SFVP agissaient de façon déloyale. La société Le Passage prétendait ainsi que l'attitude des SFVP était constitutive d'actes de concurrence déloyale.


2. Le caractère générique du nom de domaine e-obseques.fr

    2.1 Les arguments du titulaire du nom de domaine i-obseques-paris.fr
Les SFVP ont rejeté les prétentions de la société Le Passage pour les raisons suivantes :

    - d’une part, le nom de domaine e-obseques.fr est descriptif et n'est pas similaire à i-obseques-paris.fr. En outre, l'analyse comparative des sites et des services fournis permet d'affirmer que les activités des deux sociétés ne sont pas identiques. Or, selon les SFVP, il ne peut exister de risque de confusion entre les activités des deux sociétés, dans la mesure où ni les noms de domaine, ni les sites web, ni les services proposés sont identiques ou similaires ;

    - d’autre part, les SFVP affirment ne pas avoir capté la clientèle de la société Le Passage et soulignent à ce titre, que cette dernière ne rapporte pas la preuve d'une quelconque baisse du nombre de visites sur son site, ni d'une baisse de chiffre d'affaires depuis le lancement du site i-obseques-paris.fr.

En conséquence, les SFVP soutenaient n'avoir commis aucune faute et donc aucun acte de concurrence déloyale.

    2.2 Seul un nom de domaine distinctif peut être protégé
Il est de jurisprudence constante que seul doit être protégé le nom de domaine distinctif. Les tribunaux rejettent ainsi l'idée d'une protection basée sur l'antériorité du dépôt d'un nom de domaine générique.

Dans notre affaire, les SFVP considéraient que le nom de domaine e-obseques.fr était dénué de caractère distinctif, pour les raisons suivantes :

    - le nom de domaine e-obseques.fr correspond à la désignation du service fourni par la société Le Passage, à savoir un service d’obsèques proposé par voie électronique. En effet, le préfixe "e" désigne habituellement un service par voie électronique ; le terme "obseques" désigne le service fourni ;
    - les termes composant ce nom de domaine s'apparentent à des mots-clés, comme ceux utilisés pour effectuer une requête sur un moteur de recherche, pour naviguer sur internet ;
    - les termes composant ce nom de domaine ne permettent pas l'identification d'une entreprise particulière.

Dès lors, les SFVP considéraient que les termes composant le nom de domaine de la société Le Passage étaient purement descriptifs de son activité et que le nom de domaine e-obseques.fr était dépourvu de toute originalité et de caractère distinctif. Les SFVP concluaient que ce caractère descriptif privait la société Le Passage d'une quelconque exclusivité quant à l'utilisation des termes composant le nom de domaine e-obseques.fr.


3. Une décision en ligne avec la jurisprudence des noms de domaine

Le Tribunal a suivi les arguments des SFVP en relevant que :

    - l’adresse internet choisie par la société Le Passage pour exercer son activité est la simple juxtaposition du mot obsèques et de la lettre “e-” ;
    - dans l’environnement internet, la lettre “e-” associée au terme “commerce” évoque le commerce électronique ;
    - l’adresse «“e-obseques.fr” signifie donc “commerce électronique d’obsèques”, ce qui est l’exacte activité du site internet exploité par la société Le Passage.

Selon le Tribunal, en choisissant des termes intégralement descriptifs, la société Le Passage s’exposait à retrouver les mêmes termes dans des sites concurrents et notamment sur les moteurs de recherches, qui prennent en compte la requête “obsèques” pour délivrer leurs réponses.

Compte tenu de ce choix de nom de domaine, qui lui a évité les investissements indispensables pour donner une notoriété propre à une adresse internet non descriptive, le Tribunal a jugé que la société Le Passage ne pouvait revendiquer une protection qui aboutirait à lui reconnaître un monopole d’utilisation d’un terme descriptif.

Enfin, le Tribunal a constaté que la société Le Passage n'était pas en mesure d’établir  l'existence d'une confusion entre le graphisme de leur site et celui du site web des SFVP. Le Tribunal a donc jugé que les SFVP n'avaient commis aucune faute et a débouté la société Le Passage de toutes ses demandes.


Cette décision est conforme à la jurisprudence actuelle en matière de noms de domaine. Ainsi, dans un arrêt récent de la Cour d’appel de Bastia, les juges ont rendu une décision similaire concernant les noms de domaines "mariagesencorse.com" et "mariageencorse". (2)

Dans cette affaire, le titulaire du nom de domaine "mariagesencorse.com" avait assigné en concurrence déloyale, le titulaire du nom de domaine "mariageencorse", enregistré postérieurement. Le demandeur réclamait que la société concurrente soit condamnée (i) à ne plus utiliser le nom de domaine litigieux, (ii) à procéder aux formalités de transfert du nom de domaine au profit du demandeur et (iii) à payer des dommages et intérêts pour préjudice commercial et moral. Le demandeur a été débouté de ses demandes au motif que le nom de domaine litigieux était générique et descriptif de l’activité de la société. Son titulaire ne pouvait donc valablement se prévaloir de la protection d'un tel nom de domaine.


                                                    * * * * * * * * * * *

(1) Tribunal de commerce de Paris, 15e ch., 24 mai 2013, C. Davril, Le Passage / SFVP. Voir décision sur Légalis : http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=3764. A noter que dans cette affaire, les SFVP étaient représentés par le Cabinet Deleporte Wentz Avocat.

(2) CA Bastia, ch. civ. B, 20 mars 2013, Angela A. c/ Iris Média et autres.

Betty SFEZ
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2013

Accès frauduleux à un STAD : de la nécessité de sécuriser le système d'information de l’entreprise

1. Le contexte

La sécurité informatique doit être l'une des préoccupations majeures des entreprises. Et pour cause : la perte ou le vol d'informations ou l'indisponibilité du système d'information peuvent avoir de lourdes conséquences, telles l’atteinte à l'e-réputation de l'entreprise, la captation frauduleuse de clientèle, la perte de marchés et de compétitivité, la divulgation de secrets d’affaires et de savoir-faire.

Face à ces menaces, le système juridique français dispose d'un arsenal répressif issu, entre autres, de la loi Godfrain du 5 janvier 1988 (modifiée par la loi du 27 mars 2012). (1) Sont ainsi sanctionnées pénalement les atteintes aux systèmes de traitement automatisé de données (STAD), aux bases de données à caractère personnel, et au secret des correspondances, sans oublier l'usurpation d'identité numérique, l'escroquerie, la contrefaçon, etc. Mais la répression judiciaire n'est pas l'unique solution en réaction à une intrusion non autorisée. Il appartient aux entreprises d’être proactives et de définir et mettre en oeuvre une politique de sécurité de leurs réseaux et systèmes d'information, faute de quoi, celles-ci pourraient être considérées comme ayant commis une grave négligence.

Une décision récente rendue par le Tribunal de grande instance de Créteil illustre parfaitement ces obligations. Dans cette affaire, une personne avait accédé et récupéré des documents internes via l'extranet de l'Agence nationale de sécurité de l'alimentation, de l'environnement et du travail (l'Anses). L'auteur des faits a cependant été relaxé au motif que l'Anses n'avait pas sécurisé son système d'information. (2)


2. Le jugement du TGI de Créteil du 23 avril 2013

Dans cette affaire, la fraude avait été découverte par un salarié de l’Anses qui, en naviguant sur internet, avait retrouvé des documents internes à l'Agence et non divulgués au public. L'Anses a porté plainte auprès des services de police pour intrusion dans son système d'information et vol de données.

L’Anses étant considérée comme un opérateur d'importance vitale (ou OIV), l'enquête a été diligentée par la Direction centrale du renseignement intérieur (DCRI). (3) Les investigations ont permis de déceler une erreur de paramétrage du serveur hébergeant l'extranet de l'Agence, de découvrir depuis quelle adresse IP les documents de l'agence avaient été téléchargés et de remonter jusqu'à l'auteur de l'intrusion.

L'auteur des faits a ensuite été cité à comparaître pour d'une part, avoir accédé et s'être maintenu frauduleusement dans le STAD de l'Anses et d'autre part, avoir soustrait des documents sur l'extranet de l'Agence, via téléchargement. Pour mémoire, ces infractions sont punies d'un maximum de 5 ans d'emprisonnement et 75.000€ d'amende. (4)

Si le prévenu a reconnu avoir récupéré les documents de l'Anses via son VPN, il a néanmoins indiqué être arrivé par erreur au coeur de l'extranet de l'Anses et avoir eu librement accès aux documents litigieux, après une recherche complexe sur le moteur de recherche Google. En outre, le prévenu a précisé ne pas avoir récupéré de documents via la page d'accueil du site de l'Agence, dont l'accès était sécurisé (identifiant et mot de passe).

Le Tribunal a relaxé le prévenu des deux chefs d'accusation, pour les motifs exposés ci-après.

    2.1 Pas d'atteinte à un STAD non sécurisé
Le Tribunal a rappelé que le délit d'accès frauduleux à un STAD était constitué dès lors qu’une personne non habilitée pénétrait dans un système de traitement automatisé de données en sachant qu’elle n’y était pas autorisée.

Or, en l’espèce, une défaillance technique existait dans le système de l'Anses. Le prévenu, qui n’était pas ingénieur informatique et n’avait pas utilisé de moyens très sophistiqués pour s’introduire dans le système de l’Anses, avait pu récupérer les documents sans aucun procédé frauduleux.

Aussi, le Tribunal a jugé que "même s’il n’est pas nécessaire pour que l’infraction existe que l’accès soit limité par un dispositif de protection, le maître du système, l’Anses, en raison de la défaillance technique, n’a pas manifesté clairement l’intention de restreindre l’accès aux données récupérées par (le prévenu) aux seules personnes autorisées".

Dès lors, le Tribunal a considéré que le prévenu avait pu légitimement penser que, si l’accès à certaines données du site de l'Agence nécessitaient un code d’accès et un mot de passe, les données qu’il avait récupérées étaient en libre accès.

    2.2. Pas de vol de données sans soustraction matérielle
Le vol consiste en la soustraction frauduleuse de la chose d’autrui (art. 311-1 du Code pénal). Or, dans le cas présent, le prévenu avait simplement téléchargé et enregistré sur des supports des fichiers informatiques de l’Anses, cette dernière n’ayant jamais été dépossédée de ces données, puisque les documents demeuraient disponibles et accessibles à tous sur le serveur.

Aussi, le Tribunal a jugé qu'en l’absence de soustraction matérielle des documents appartenant à l’Anses, et donc en l'absence d’appréhension d’une chose, le délit de vol n'était pas constitué.

Dès lors, le Tribunal a considéré que le prévenu avait pu légitimement penser que les documents litigieux étaient librement téléchargeables, puisque non protégés par un quelconque système. Il n’y a pas eu de la part du prévenu une volonté d’appropriation frauduleuse de ces fichiers informatiques et donc pas d’élément intentionnel de l’infraction.


3. En conclusion : l’obligation de sécurisation du STAD

Ce jugement est dans la droite ligne de la jurisprudence relative aux accès frauduleux aux systèmes informatiques et permet de rappeler les obligations incombant aux entreprises en matière de sécurisation de leurs systèmes. (5)

Ainsi, pour que l’infraction soit constituée, les éléments suivants doivent être démontrés : intrusion  non autorisée dans le STAD (via phishing, hacking ou toute autre méthode permettant de s’introduire frauduleusement dans le système) et vol de données par soustraction matérielle. Ceci implique donc que le STAD doit être sécurisé.

La négligence en matière de sécurité est d'ailleurs expressément sanctionnée par la loi. Le Code pénal punit de 5 ans d'emprisonnement et 300.000€ d'amende, toutes entreprises qui traiteraient des données personnelles concernant leurs clients, par exemple, sans mettre en place des mesures de sécurité permettant d'en assurer l'intégrité et la confidentialité.

En outre, la tendance vers un renforcement de cette obligation de sécurité pesant sur les entreprises ressort de plusieurs projets et études, telle que la proposition de règlement européen  du 25 janvier 2012 relatif au traitement des données personnelles et les recommandations du livre blanc sur la Défense et la Sécurité nationale, publié par le Ministère de la défense fin avril 2013. (6)

Il est donc recommandé aux entreprises de s’assurer, via des audits juridique et de sécurité, de la protection de leurs réseaux et systèmes d'information et de la conformité de leur politique de sécurité à la loi. A défaut, il conviendra de prendre toutes mesures nécessaires de mise en conformité par la mise en oeuvre de procédés de sécurisation logique et physique de leurs systèmes d’information, la sensibilisation et la formation des salariés et utilisateurs via la publication de bonnes pratiques ou de codes de conduite en matière de sécurité et des audits réguliers.
                                                            * * * * * * * * * * *

(1) Loi n°88-19 du 5 janvier 1988, dite Loi Godfrain, modifiée par la loi n° 2012-410 du 27 mars 2012 relative à la protection de l'identité.

(2) TGI de Créteil, 11e ch. correctionnelle, 23 avril 2013, Ministère public / Olivier L. A noter que le Ministère public a interjeté appel de ce jugement

(3) Les opérateurs d'importance vitale - OIV - sont des organismes publics ou privés de production et de distribution de biens et de services indispensables à la satisfaction des besoins essentiels de la population, à l’exercice de l’autorité de l’État, au fonctionnement de l’économie, au maintien du potentiel de défense et à la sécurité de la nation. Un organisme est considéré comme OIV si l’arrêt ou la destruction de son activité peut avoir de graves incidences sur la santé, la sécurité, le bien-être économique des citoyens ou le fonctionnement de l’Etat. On trouve des OIV dans de nombreux secteurs de l'économie : banque et finance, transports et distribution, énergie, services de base, santé, approvisionnement alimentaire et communications, ainsi que certains services administratifs de base. Voir précisions aux articles R.1332-1 et suivants du Code de la défense

(4) Les atteintes aux systèmes de traitement automatisé de données (STAD) sont sanctionnées par les articles 323-1 et s. du Code pénal. Ces articles, issus de la loi Godfrain, ont été modifiés par la loi du 27 mars 2012 relative à la protection de l'identité. Cette loi a ajouté des pénalités majorées en cas d’atteinte à un STAD de l’Etat ; le vol est défini et sanctionné par les articles 311-1 et s. du Code pénal.

(5) Voir par exemple : CA Paris, 12é ch., 30 oct. 2002 Antoine C. / Ministère public et société Tati ; TGI Paris, 12é ch., 17 déc. 2010, Blogmusik / Anthony C.

(6) Voir : proposition de règlement du parlement européen et du conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du 25 janvier 2012, (2012/0011 (COD) ; Livre blanc sur la Défense et la Sécurité nationale, publié par le Ministère de la défense fin avril 2013

Article publié sur le Journal du Net le 11/06/2013

Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2013

Protection des données personnelles : qui est responsable en cas de manquement à la loi ?

Toute entreprise, quels que soient son domaine d’activité et sa taille, collecte et traite des données à caractère personnel concernant notamment ses employés et clients, pour des traitements divers (gestion du personnel, gestion clients, contrôles d’accès, etc.).

Les règles de collecte et de traitement de ces données doivent respecter les dispositions de la loi Informatique et Libertés. Cette loi impose au "responsable de traitement" le respect de nombreuses obligations, sous peine de sanctions administratives et pénales.(1)

En pratique, il n'est pas toujours facile de déterminer la personne ou l'entité sur laquelle pèsent ces obligations. Par ailleurs, les problèmes soulevés par le déploiement de nouveaux types de traitements ou de nouveaux services peuvent poser des questions complexes relatives à la conformité à la loi.

Nous rappelons ci-après la notion de responsable de traitement et les responsabilités et sanctions applicables en cas de manquement à la loi Informatique et libertés.


1. Le responsable de traitement de données personnelles

Un traitement de données à caractère personnel comprend tous types d'opérations, quel que soit le procédé utilisé, qui permettent d'identifier une personne physique, directement ou indirectement, et notamment, le fait de collecter, enregistrer, conserver, modifier, diffuser ou détruire des données personnelles.

La loi Informatique et Libertés définit le responsable de traitement de données personnelles comme la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens dudit traitement (art.3).

Dès lors, pour qu'une personne ou un organisme soit qualifié de responsable de traitement, les deux critères suivants doivent être réunis :

- Décider de la finalité du traitement : le responsable de traitement est la personne qui détermine les raisons du traitement, ainsi que les catégories de données collectées. La finalité correspond à des besoins propres à chaque organisme, tels que la nécessité de constituer un fichier clients/prospects pour les activités commerciales. 

- Décider des moyens du traitement : le responsable de traitement est la personne qui détermine les modalités de mise en oeuvre de ce traitement. Le responsable déterminera ainsi quels types de données seront collectées, pendant combien de temps elles seront conservées, qui sera le (ou les) destinataire(s) des données, comment les personnes dont les données sont collectées pourront exercer leurs droits (opposition, rectification), etc.

En conséquence, le responsable de traitement est la personne qui détermine et décide de la politique de gestion des données personnelles dans l’entreprise. Le responsable de traitement doit être distingué des personnes (salariés, responsables opérationnels, ou sous-traitants) qui mettent en oeuvre ces traitements, et ce quelque soit leur degré d'autonomie.

Le responsable de traitement est, en règle générale, le dirigeant de l'entreprise. Celui-ci peut cependant décider de mettre en place une délégation de pouvoirs à l’un de ses directeurs (DSI, directeur juridique, etc.) afin d’aménager sa responsabilité, et sous réserve de la validité de cette délégation de pouvoirs. (2)


2. La responsabilité et les sanctions encourues en cas d'infraction à la loi Informatique et Libertés

La collecte et le traitement des données personnelles doivent respecter les principes définis par la loi Informatique et Libertés. 

De nombreuses obligations pèsent sur le responsable de traitement, notamment : (i) déclarer à la CNIL tout traitement ou fichier automatisé de données (déclarations ou demandes d'autorisation et d'avis selon les données concernées et les traitements envisagés), préalablement à sa mise en oeuvre, (ii) faire une collecte loyale et licite des données, (iii) respecter la finalité du traitement, (iv) conserver les données pendant une durée raisonnable, (v) assurer l’intégrité des données en adoptant des mesures de sécurité et (vi) permettre aux personnes concernées par le traitement de leurs données, d’exercer leurs droits (droits d'accès, de contestation, de rectification et d’opposition).

En cas de manquement à ces obligations, le responsable de traitement encourt deux types de sanctions : des sanctions administratives, et des sanctions pénales.

    2.1 Qui encourt les sanctions administratives ?
La Commission Nationale de l'Informatique et des Libertés (CNIL) dispose de pouvoirs de contrôle et de sanction à l'encontre des responsables de traitements.

Les sanctions prononcées par la CNIL  - Des contrôles sur place (dans les locaux de l’entreprise) peuvent être réalisés, au cours desquels les agents de la CNIL peuvent demander la communication de tout document, recueillir tout renseignement utile et accéder aux programmes informatiques et aux données afin de vérifier la conformité à la loi. Ces contrôles peuvent être réalisés de façon inopinée pour répondre à des besoins ponctuels, dans le cadre de l'instruction de plaintes, à l’encontre d’un site web par exemple.

Lorsque des manquements à la loi sont relevés, la CNIL peut prononcer un avertissement ou mettre le responsable du traitement en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe. Si le responsable du traitement ne se conforme pas à la mise en demeure, la CNIL peut prononcer une injonction de cesser le traitement, un retrait de l’autorisation éventuellement accordée ou une sanction pécuniaire d'un montant maximum de 300.000€ (ou 5% du chiffre d'affaires hors taxes du dernier exercice clos de l’entreprise, dans la limite de 300.000€). Le montant de la sanction est proportionné à la gravité des manquements commis et des avantages tirés de ces manquements.

Les personnes ou entités responsables  -  En pratique, les mises en demeure et autres sanctions délivrées par la CNIL concernent la société, personne morale, mais sont notifiées au chef d'entreprise, en sa qualité de représentant légal. Les traitements de données personnelles étant réalisés pour le compte de la personne morale, c'est généralement cette dernière qui va être sanctionnée par la CNIL. Même si le chef d'entreprise aura décidé des finalités et des moyens du traitement, ce dernier sera rarement sanctionné personnellement. Ce n'est donc pas lui qui va, le cas échéant, payer l'amende.

En principe, il en va de même dans l'hypothèse où le chef d'entreprise aurait délégué la gestion du traitement des données personnelles à un collaborateur. La délégation de pouvoirs ne vise qu'à exonérer le chef d'entreprise de sa responsabilité pénale. Or, dans l'hypothèse où la CNIL serait saisie d'un dossier, le chef d'entreprise n'engagerait pas sa responsabilité pénale en tant que telle, les sanctions prononcées par la CNIL étant d'ordre administratif.

    2.2 Qui encourt les sanctions pénales ?
Les infractions à la loi informatique et Libertés sont également sanctionnées pénalement.

Les sanctions pénales  -  La CNIL peut décider de dénoncer les infractions à la loi au procureur de la République. Par ailleurs, le procureur de la République pourra aviser le Président de la CNIL de toutes poursuites relatives aux infractions Informatiques et Libertés et le cas échéant, des suites qui leur sont données.

Le Code pénal prévoit, aux articles 226-16 et suivants, des sanctions spécifiques aux "atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques". Ainsi, le fait de procéder, y compris par négligence, à des traitements de données personnelles non conformes à la loi Informatique et Libertés est sanctionné jusqu'à 5 ans d’emprisonnement et 300.000€ d’amende.

Ces sanctions concernent les personnes physiques, mais le Code pénal prévoit également des sanctions pour les personnes morales. En effet, les entreprises déclarées responsables pénalement des infractions à la loi Informatique et Libertés encourent jusqu'à 1.500.000€ d'amende et des peines complémentaires, telles que (i) l'interdiction, à titre définitif ou provisoire, d'exercer l'activité dans l'exercice ou à l'occasion de l'exercice de laquelle l'infraction a été commise et (ii) la diffusion de la décision de justice par tout moyen de communication au public.

Les personnes ou entités responsables  - Deux catégories de personnes peuvent encourir des sanctions pénales en cas de manquement à la loi Informatique et Libertés : le responsable de traitement, personne morale et le responsable de traitement, personne physique.

- La responsabilité de l'entreprise : l'entreprise, personne morale, peut sous certaines conditions, engager sa responsabilité pénale, soit à la place de la personne physique auteur de l'infraction, soit conjointement avec l’auteur de l’infraction. L'entreprise peut être déclarée responsable pénalement d'infractions, sous réserve qu'elles aient été commises, d'une part, pour "son compte" et d'autre part, par ses organes ou représentants (article 121-2 Code pénal). Le traitement de données personnelles mis en oeuvre au sein d'une entreprise par son dirigeant, pour les besoins de l’entreprise, remplit ces deux conditions.

Dès lors, une entreprise peut être condamnée à payer une amende pour manquement à la loi relative à la protection des données personnelles. Toutefois, sa responsabilité pénale n'exclut pas celle des personnes physiques, auteurs ou complices des mêmes faits.

- La responsabilité du chef d'entreprise ou du titulaire d'une délégation de pouvoirs : le chef d'entreprise est généralement considéré comme le responsable du traitement des données personnelles mis en oeuvre au sein de sa société, car c'est lui qui détermine la politique de gestion des traitements.

La responsabilité pénale de l'employeur sera donc engagée en cas d'infraction à la loi Informatique et Libertés commise par l'un de ses salariés, dans l'hypothèse, par exemple, où il n'aurait pas pris les mesures de sécurité suffisantes pour éviter la perte de données personnelles. Dans ce cas, il sera reproché au chef d'entreprise une négligence fautive dans son devoir de contrôle de l'application de la réglementation par ses employés.

L'employeur poursuivi pour une infraction à la législation Informatique et Libertés peut-il cependant s’exonérer de sa responsabilité s'il justifie d'une délégation de pouvoirs ? En cas de délégation de pouvoirs, le délégataire pourrait être tenu responsable des infractions à la loi, sous réserve que la délégation recouvre le même domaine que celui de l'infraction poursuivie et remplisse les conditions de validité y afférentes.

La charge de la preuve de l’existence d’une délégation de pouvoirs valide incombera au chef d'entreprise ; cette preuve peut être rapportée par tous moyens. Aussi celui-ci devra démontrer que :
    (i) la délégation portait sur la gestion des traitements de données personnelles. En présence d'une délégation de pouvoirs écrite, cette dernière devra contenir une mention précise à cet effet, à savoir une clause spécifique Informatique et Libertés ;
    (ii) le délégataire est pourvu de l'autorité, de la compétence et des moyens nécessaires pour remplir sa mission. Déléguer cette mission à un simple exécutant, sans pouvoir décisionnaire, n'est pas valable.


Les questions relatives à la responsabilité des manquements à la protection des données personnelles feront encore l'objet de nombreux débats dans les mois à venir. En effet, la proposition de règlement européen portant sur la protection des données personnelles, censé être adopté d'ici 2015, prévoit deux nouveautés, dans sa première version (3) :
  - une augmentation sensible des sanctions financières en cas d'infractions : le projet de texte européen prévoit d’imposer des amendes pouvant s'élever à 2% du chiffre d’affaires annuel mondial de l’entreprise fautive ;
  - une définition étendue de la notion de responsable de traitement : le projet de texte européen prévoit que le responsable du traitement est "la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités, les conditions et les moyens du traitement de données à caractère personnel”.

Cette nouvelle définition permettra la mise en oeuvre d’un système de co-responsabilité entre tous les acteurs ayant décidé, de manière autonome et concertée, de la création d’un traitement de données à caractère personnel, qu'ils soient salariés, responsables opérationnels ou sous-traitants. L’objet de cette nouvelle définition est notamment de prendre en compte la réalité imposée par les traitements gérés en mode Cloud, pour lesquels les conditions et les moyens de traitements sont généralement déterminés par le prestataire Cloud et non par l’entreprise. Cependant, cette co-responsabilité pourrait être source d’insécurité juridique dans sa mise en oeuvre.

                                               * * * * * * * * * * *

(1) Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

(2) La délégation de pouvoir est soumise à des conditions de validité - conditions de fond et conditions de forme -pour pouvoir être considérée comme effective vis-à-vis du déléguant.

(3) Proposition de règlement du parlement européen et du conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du 25 janvier 2012, (2012/0011 (COD)

Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2013

Cyberdéfense : la stratégie nationale dévoilée dans le dernier Livre blanc sur la Défense et la Sécurité nationale

Les cyberattaques contre les Etats, leurs institutions, leurs moyens de communications, les banques et les entreprises nationales sont régulièrement au cœur de l’actualité des TIC. Par exemple, dernièrement les médias ont rapporté deux types d’attaques : la première, en février 2013, avait ciblé la presse américaine en piratant les systèmes informatiques du New York Times, du Wall Street Journal et de la chaîne d'informations CNN ; la seconde, en mars 2013, avait ciblé les réseaux informatiques des chaînes de télévision et des banques de la Corée du Sud. Les Etats victimes ont publiquement désigné des gouvernements étrangers comme étant les commanditaires de ces attaques, si bien que l'on serait tenté de qualifier ces conflits de "cyberguerre".(1)

Face à la prolifération de ce type d’attaques, les institutions européennes (2) et les pays, dont la France, développent des politiques de sécurité des réseaux et des systèmes d’information. C'est dans ce contexte que le nouveau Livre blanc sur la Défense et la Sécurité nationale, publié par le Ministère de la défense fin avril 2013, fait de la lutte contre la cybermenace une priorité nationale.(3) Ce livre établit une stratégie nationale de cyberdéfense visant à prévenir et riposter aux cyberattaques.


1. L'existence d'une cybermenace pesant sur le territoire national

Des attaques croissantes dans le cyberespace  -  Le livre blanc fait état de l’accroissement du nombre d’attaques informatiques contre les systèmes d'information des entreprises nationales et de l'Etat, de leur diversification et de leur sophistication.

Ce texte qualifie la cybermenace de "menace majeure" pour la sécurité de la Nation. Ainsi, parmi les six menaces identifiées dans ce livre comme affectant gravement la sécurité nationale, les cyberattaques viennent en 3e position après les agressions par un autre Etat contre le territoire national et les attaques terroristes.

En outre, le livre blanc précise qu'une attaque informatique de grande envergure pourrait constituer un véritable "acte de guerre", si les intérêts stratégiques nationaux étaient menacés.

Enfin, le livre blanc qualifie le cyberespace de "milieu opérationnel". Le cyberespace constitue ainsi le 5e milieu opérationnel après la terre, la mer, l'air et l'espace. Ce texte précise également que le cyberespace constitue désormais "un champ de confrontation à part entière", et donc une zone de conflit potentiel sur laquelle doivent pouvoir être déployées des forces d'intervention.

Des risques à ne pas négliger  -  Bien que les cyberattaques n'aient jusqu'à présent causé la mort d'aucun homme, elles font courir des risques considérables pour les entreprises nationales et l'Etat.

En effet, le vol d'informations stratégiques et sensibles (informations industrielles, économiques, financières ou militaires) - ou la captation de savoir-faire par le biais d'intrusions informatiques, peut avoir un impact direct sur la compétitivité économique de la France.

En outre, les attaques visant la destruction ou la prise de contrôle à distance de services essentiels au fonctionnement du pays ou à sa défense, à savoir des actions malveillantes sur les systèmes d'informations et de communication d'opérateurs d'importance vitale (OIV) (4) ou sur les infrastructures et équipements militaires, pourraient engendrer la paralysie de pans entiers de l'activité du pays.

L'Estonie a ainsi été victime d'une vague d'attaques informatiques en avril 2007. Ces attaques, visant les sites web gouvernementaux et publics, ceux des opérateurs de téléphonie mobile, des banques commerciales et des organes d'information, ont perturbé durant plus d'un mois la vie courante du pays, en privant les Estoniens de l'accès à certains services en ligne essentiels.(5)

L'importance de la cybermenace est accentuée par la difficulté à établir l'origine géographique de l'attaque et donc à identifier les pirates. Or, la France doit être en mesure de se protéger contre de telles attaques. C'est pour cette raison que le gouvernement français a décidé d'inscrire la cyberdéfense parmi les priorités stratégiques nationales.


2. L'élaboration d'une stratégie de cyberdéfense nationale

Afin d'assurer la "continuité des fonctions essentielles de la Nation", le livre blanc préconise de renforcer le niveau de sécurité des systèmes d'information (SSI) des OIV et de l'Etat. Ce renforcement de la SSI passera par deux types d'actions : d'une part, l'élaboration et la mise en oeuvre de mesures législatives et réglementaires en matière de sécurité et d'autre part, le déploiement de forces armées destinées à la cyberdéfense.

L'adoption nécessaire de dispositions légales et de bonnes pratiques  -  Le livre blanc prévoit l'adoption prochaine de mesures législatives et réglementaires visant à permettre aux OIV et à l'Etat, de détecter et traiter les incidents informatiques touchant leurs systèmes d'information.

Aussi, seront imposés le respect de standards et référentiels de sécurité ainsi que l'obligation de déclarer les incidents. Cette dernière mesure, déjà prévue dans le rapport Bockel sur la cyberdéfense de juillet 2012, et le projet de directive européenne sur la sécurité de réseaux et de l'information, de février 2013, impose aux entreprises françaises de notifier à l'ANSSI tous incidents (perte, vol, piratage de données, etc.) qui ont un impact significatif sur la sécurité des services qu'elles fournissent.

Le livre blanc prévoit par ailleurs que des audits de sécurité des systèmes d'information seront réalisés par l'Etat, qui, le cas échéant, pourra imposer des mesures de mise en conformité. Le texte préconise également d'inclure dans "les marchés publics comprenant des éléments numériques des clauses drastiques concernant la sécurité".

Enfin, le livre blanc précise que des budgets annuels seront alloués à des entreprises françaises pour la conception et le développement de produits de sécurité. Ce texte souligne en effet l'importance pour la France de produire "en toute autonomie" des dispositifs de sécurité et de maintenir une "industrie nationale performante".

Le renforcement des capacités militaires de cyberdéfense  -  Ce renforcement des moyens humains militaires passe par la consolidation des activités de renseignement, la création de forces nouvelles et une formation accrue à la sécurité numérique.

- Développement des capacités de renseignement : le livre blanc affirme la nécessité de développer l'activité de renseignement et les capacités techniques y afférentes, "afin d'identifier l'origine des attaques, évaluer les capacités offensives des adversaires potentiels et de pouvoir ainsi riposter de manière adéquate".

- Mise en place d'un vivier de réservistes : le livre blanc précise que deux catégories de réserves seront créées : d'une part, une réserve opérationnelle, rattachée aux services de renseignement et mobilisable en cas d'attaque majeure, et d'autre part, une réserve citoyenne cyberdéfense, mobilisant notamment des jeunes techniciens et informaticiens intéressés par les enjeux de sécurité numérique.

- Formation du personnel : enfin, le livre blanc insiste sur la nécessité de sensibiliser les administrations et salariés d'OIV aux règles élémentaires de sécurité ou "d'hygiène cybernétique", d’accroître le nombre d’experts français en sécurité informatique et de veiller à ce que ce domaine soit intégré aux enseignements supérieurs en informatique.


La cybersécurité est devenue un défi majeur tant pour les entreprises que pour les Etats. Le livre blanc insiste sur la nécessité de développer les capacités de la France à détecter les attaques, à en déterminer l'origine et, lorsque les intérêts nationaux sont menacés, à riposter.

Auteur du rapport de juillet 2012 sur la cyberdéfense, le sénateur Bockel a déclaré être satisfait du fait que les préconisations suivantes du rapport aient été reprises dans le livre blanc : faire de la cyberdéfense et de la protection des systèmes d'information une priorité nationale (priorité n°1) ; renforcer les effectifs et les moyens dédiés au sein des armées (priorité n°2) ; rendre obligatoire pour les entreprises et les OIV une déclaration d'incident à l'ANSSI en cas d'attaque importante contre les systèmes d'information (priorité n°5) ; et soutenir notamment des PME spécialisées dans la conception de certains produits ou services importants pour la sécurité informatique (priorité n°7).

L’élément positif à retenir est la détermination d’une politique de cybersécurité à l’échelon national. Cette politique devra cependant s’inscrire en amont, dans un plan pan-européen de cybersécurité. En aval, il est désormais capital de sensibiliser les entreprises et administrations, notamment mais pas uniquement les OIV, à la protection physique et logique de leurs infrastructures technologiques. Ceci passera par une approche pédagogique auprès des personnels des entreprises et des administrations et par le déploiement et la mise en oeuvre d’outils et de pratiques de cybersécurité.

                                                   * * * * * * * * * * *

(1) Voir les articles : "Cyber-attaques en série contre la presse américaine", publié le 1er février 2013 sur http://www.latribune.fr/ et "La cyberattaque, nouvelle arme de guerre des Etats ?", publié le 22 mars 2013 sur http://www.franceinfo.fr/.

(2) Communication conjointe au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions. Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, Bruxelles, le 7.2.2013 COM(2013) 48 final 2013/0027 (COD).

(3) Le livre blanc est disponible en ligne, sur le site du Ministère de la défense à l’URL: http://www.defense.gouv.fr/actualites/articles/livre-blanc-2013

(4) Le livre blanc définit les secteurs d'activité d'importance vitale comme suit (p.105) : activités civiles de l'Etat, activités judiciaires, activités militaires de l'Etat, alimentation, communications électroniques, audiovisuel et information, énergie, espace et recherche, finances, gestion de l'eau, industrie, santé et transports.

(5) voir le rapport de J-M Bockel publié le 18 juillet 2012, "La cyberdéfense : un enjeu mondial, une priorité nationale".


Betty SFEZ
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2013

Les soldes : des méthodes de vente encadrées, même sur internet

Les soldes d’été 2013 débutent le mercredi 26 juin à 8 heures. Les soldes sur internet étant soumis aux mêmes règles que pour la vente en magasin, les e-commerçants français doivent s’assurer que leurs soldes sont conformes à la réglementation. En effet, les périodes de soldes révèlent de nombreuses pratiques trompeuses et illicites de la part de certains commerçants, qu’il s’agisse de publicités induisant les consommateurs en erreur ou des manipulations de prix frauduleuses par exemple.

Les soldes sont réglementés aux articles L.310-3 et suivants et R. 310-15 et suivants du Code de commerce.

Les soldes sont définis comme des ventes qui :
    - d’une part sont accompagnées ou précédées de publicité et annoncées comme tendant, par une réduction de prix, à l'écoulement accéléré de marchandises en stock, et
    - d’autre part, ont lieu durant des périodes de l’année définies par décret.

Nous faisons ci-après un bref rappel des conditions relatives à la vente en solde et des sanctions  applicables en cas d’infraction à la loi.


1. Les conditions de la vente en solde

        1.1 Des périodes de soldes réglementées
Il existe deux types de soldes :

- Les soldes saisonniers, organisés sur deux périodes de cinq semaines par an, en hiver et en été.

Les soldes d’hiver débutent le deuxième mercredi du mois de janvier à 8h ; les soldes d’été débutent le dernier mercredi de juin à 8h. Ces dates s’appliquent à tout le territoire français, à l’exception de douze départements (principalement frontaliers et DOM) dont la liste figure à l’article D.310-15-3 du Code de commerce.

- Les soldes complémentaires ou soldes flottants, d’une durée de deux semaines par an,  consécutives ou non.

Les soldes flottants sont organisés aux dates choisies par le commerçant, sous réserve d’une déclaration préalable en préfecture du département du siège de l’entreprise, au moins un mois avant le début des soldes. Les soldes flottants doivent prendre fin au plus tard un mois avant le début des soldes saisonniers.

        1.2 Les produits et services pouvant être vendus en solde
Concernant les produits, l’objectif des soldes est le destockage. Seuls peuvent être vendus en solde des produits neufs, déjà proposés à la vente et achetés et payés par le commerçant au moins un mois avant le début des soldes. En effet, il n’est pas possible d’acheter des produits aux seules fins de les revendre directement en solde, ni de se réapprovisionner en produits soldés pendant cette période.

Certains types de services peuvent également être vendus en solde. Seules certaines catégories de prestations de services revendues par un commerçant, sous réserve d’en avoir acquis une quantité déterminée et non renouvelable auprès d'un autre opérateur, sont concernées par les soldes. Il s’agit par exemple de la vente de voyages ou de séjours à forfait.

A l’issue de la période des soldes, les invendus peuvent continuer à être proposés à la vente au prix soldé. Le commerçant ne pourra cependant plus communiquer sur les soldes et ne pourra afficher qu’un seul prix.

        1.3 Les conditions de vente en solde
- La publicité - Les soldes doivent faire l’objet d’une publicité. Celle-ci doit contenir les mentions obligatoires suivantes : la date de début des soldes et la nature des produits soldés, lorsque les soldes ne portent pas sur la totalité du catalogue. (art. R.310-17 c.com)

A noter également que l’usage du terme “soldes” est réglementé. Le mot “soldes” ne peut être utilisé que pour les opérations répondant aux conditions des soldes telles que définies par la loi (période, produits ou services concernés, conditions de prix, etc.). (art. L.310-3-II c.com) Ainsi, le mot soldes ne peut être utilisé pour des opérations promotionnelles, des ventes privées, ou des liquidations commerciales.

- Les prix - Pendant les périodes de soldes, les réductions de prix doivent être effectives et être affichées de manière claire.

Le site de e-commerce devra faire figurer sur ses pages produit : l’ancien prix barré, le prix soldé, et le pourcentage de réduction effective.

La revente à perte est exceptionnellement autorisée en période de soldes. (art. L.442-2 et s. c.com)

- Les garanties - Le e-commerçant est tenu de fournir les mêmes garanties sur ses produits et services soldés que sur les produits et services non soldés.

Les garanties légales - vices cachés et conformité - s’appliqueront aux produits soldés, tout comme les garanties contractuelles éventuelles.

Le droit de rétractation reste également applicable en période de soldes pour les achats réalisés sur internet (sauf exceptions prévues par la loi).


2. Les sanctions en cas de non-conformité à la réglementation

Les services de la Direction générale de la concurrence, de la consommation, et de la répression des fraudes (DGCCRF) et ses antennes locales (Directions départementales de la protection des populations - DDPP) ont notamment pour mission de contrôler le respect de la réglementation en matière de prix et de soldes. (art. L.450-1 et s. c.com)

Ainsi, les e-commerçants qui organiseraient des soldes en contravention avec ces règles sont passibles de peines d’amendes, dont les montants varient selon l’infraction commise :

        - en cas de soldes sur des produits détenus depuis moins d’un mois à la date de début de l’opération, ou d’utilisation du terme “soldes” de manière inappropriée : amende de 15.000€ (75.000€ pour les personnes morales) (art. L.310-5 c.com) ;
        - en cas de publicité incomplète, qui ne reprendrait pas les mentions obligatoires susvisées : contravention de 5é classe, soit 1.500€ (7.500€ pour les personnes morales) (art. R.310-19-3° c.com) ;
        - en cas d’utilisation du terme “solde” dans une publicité, en dehors des périodes de soldes, si l’opération est susceptible d’induire les consommateurs en erreur : amende de 37.000€ ou jusqu’à 50% du montant de la campagne publicitaire trompeuse (art. L.121-15 c.consommation).

                                                       * * * * * * * * * * * * *

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2013

Cybersécurité : le développement d’une politique européenne de la sécurité des réseaux et des systèmes d’information

Les cyberattaques sont régulièrement au cœur de l’actualité des TIC. En effet, bien que les problèmes de fraude informatique et sur internet ne soient pas nouveaux, les moyens utilisés ne cessent d’évoluer et les conséquences de s’aggraver. (1) Ces cyberattaques se manifestent de diverses manières, telles que spam, phishing, virus informatiques, attaques de réseaux, cyberespionnage, et à des fins non seulement financières mais également économiques et politiques.

Par exemple, dernièrement les médias ont rapporté deux types d’attaques de natures  différentes, la première via une campagne de phishing, avait ciblé plusieurs milliers de clients EDF qui avaient reçu des emails frauduleux visant à extorquer leurs coordonnées bancaires, la seconde, active depuis plusieurs années, qui avait consisté en une attaque de cyberespionnage à grande échelle, dénommée "Red October", touchant des représentations diplomatiques, administrations, organismes de recherche scientifique, groupes énergétiques et nucléaires dans plusieurs pays. (2)

Face à l’accroissement du nombre d’attaques informatiques, à leur diversification, ainsi qu’à la professionnalisation toujours plus grande des pirates informatiques, l’Union européenne a finalement pris la décision de poser les contours d’un cadre commun à tous les Etats membres en matière de sécurité des réseaux numériques, de lutte contre la criminalité en ligne et de protection des consommateurs.

Aussi, après avoir créé un Centre européen de lutte contre la cybercriminalité en janvier 2013 (3), les institutions européennes ont publié, le 7 février dernier, une stratégie commune de cybersécurité ainsi qu’une proposition de directive instaurant des mesures visant à assurer un niveau élevé commun de sécurité des réseaux et de l’information (SRI). (4) Ces deux textes fixent les mesures proposées par la Commission européenne, les objectifs à atteindre par les Etats membres et les obligations qui viendront peser sur les entreprises et administrations publiques. Nous analysons ci-après les principales mesures proposées.


1. Les mesures proposées par la Commission européenne en matière de cybersécurité

La stratégie de la Commission en matière de cybersécurité est ambitieuse. Elle repose sur cinq axes : (i) parvenir à la cyber-résilience, (ii) faire reculer considérablement la cybercriminalité, (iii) développer une politique et des moyens de cyberdéfense liée à la politique de sécurité et de défense commune (PSDC), (iv) développer les ressources industrielles et technologiques en matière de cybersécurité, et enfin (v) instaurer une politique internationale de l'Union européenne cohérente en matière de protection du cyberespace.

A cette fin, la Commission a décidé de prendre les principales mesures suivantes dès 2013 :
    - lancer un projet pilote consacré à la lutte contre les réseaux zombies et les logiciels malveillants, afin de fournir un cadre de coordination et de coopération entre les États membres, les organismes du secteur privé (FAI notamment) et les partenaires internationaux ;
    - renforcer les moyens opérationnels des Etats membres pour combattre la cybercriminalité, en les aidant, par le biais de programmes de financement, d’une part à recenser leurs insuffisances et renforcer leurs moyens d'enquête et de lutte, d’autre part à recenser les meilleures pratiques et techniques disponibles pour lutter contre la cybercriminalité ;
    - promouvoir un marché unique des produits de cybersécurité. Pour ce faire, la Commission souhaite lancer une plateforme public-privé sur les solutions de SRI, afin d'élaborer des mesures favorisant l'adoption de solutions TIC sûres en Europe ;
    - développer les investissements dans la R&D et l'innovation, en instaurant notamment des mécanismes pour mieux coordonner les agendas de recherche des institutions de l'Union européenne et des États membres et inciter ces derniers, et leurs entreprises et industries, à investir davantage dans la R&D.

Enfin, la stratégie commune de l’UE prévoit de développer une politique et des moyens de cyberdéfense. La sécurité nationale de chaque pays pouvant directement être attaquée via les réseaux informatiques, le développement d’une politique de cyberdéfense coordonnée est indispensable. Elle aura notamment pour objectifs de promouvoir le dialogue entre les acteurs civils et militaires dans l’UE, en mettant l'accent sur l'échange de bonnes pratiques et le partage d'informations, et de permettre aux militaires de se former et de s'exercer à la cyberdéfense dans le contexte européen et international.

En France, la question de la cyberdéfense a fait l’objet d’un rapport publié en juillet 2012 par le sénateur Jean-Marie Bockel, et sera traitée dans le prochain Livre blanc sur la défense et la sécurité nationale.


2. Les objectifs à atteindre par les États membres

Les institutions européennes, à travers une stratégie globale et une proposition de directive, souhaitent que les États membres déploient un niveau élevé de sécurité des réseaux et des systèmes informatiques sur leur territoire. Pour ce faire, chaque État membre doit notamment remplir les objectifs suivants :

    2.1  La sensibilisation des utilisateurs finaux aux risques numériques
La Commission demande aux Etats membres, d’une part, d’organiser tous les ans, à partir de 2013, un mois de la cybersécurité, avec l'aide de l'ENISA (l'Agence Européenne chargée de la sécurité des réseaux et de l'information) et la participation du secteur privé, et, d’autre part, d’intensifier les efforts consacrés à l'éducation et la formation à la SRI au niveau national, en prévoyant des formations en milieu scolaire, dans le cursus des étudiants en informatique et pour le personnel des administrations publiques.

    2.2  L’adoption d’une stratégie nationale en matière de SRI
La proposition de directive imposerait aux Etats membres d’adopter une stratégie nationale comportant un plan national de coopération. La stratégie nationale devra déterminer les objectifs stratégiques et les mesures politiques et réglementaires visant à parvenir à un niveau élevé de sécurité des SRI et à le maintenir. Le texte européen donne cependant peu d’informations quant au contenu exact de cette stratégie et de ce plan.

    2.3 La désignation d’une autorité nationale et d’une équipe d’intervention compétentes en matière de sécurité des SRI
Chaque Etat membre devra constituer une équipe d'intervention en cas d'urgence informatique (CERT), chargée de la gestion des incidents et des risques. Les missions exactes de cette équipe seront fixées par chaque Etat membre.

En outre, chaque Etat membre devra désigner une autorité compétente ayant pour mission de contrôler l'application de la directive au niveau national. Cette autorité recevra les notifications d'incidents des administrations publiques et des entreprises, et pourra informer le public lorsqu'elle jugera qu'il est dans l'intérêt général de divulguer des informations relatives à un incident particulier.

Cette autorité compétente pourra enquêter et donner des instructions contraignantes aux administrations et entreprises ne respectant pas leurs obligations de sécurité. En outre, cette autorité notifiera aux services répressifs les incidents susceptibles de constituer une infraction pénale grave et coopèrera avec les autorités chargées de la protection des données personnelles en cas d'incident portant atteinte à de telles données. 

A noter que la France s’est déjà dotée d’une autorité compétente, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), depuis 2009.


3. Les obligations incombant aux entreprises et aux administrations publiques

La politique européenne de sécurité des SRI vise à faire en sorte que les administrations publiques et les entreprises, appartenant à des secteurs d’activité stratégiques, évaluent les risques qu'ils courent en termes de cybersécurité, assurent la fiabilité et la résilience des réseaux et systèmes informatiques par une gestion appropriée des risques et partagent les informations recensées avec les autorités nationales compétentes en matière de SRI.

    3.1  Les recommandations de la Commission européenne
Dans le cadre du déploiement de sa stratégie, la Commission invite notamment les entreprises européennes à :

    - investir dans un niveau élevé de cybersécurité, élaborer de “bonnes pratiques” via des chartes ou codes de conduite par exemple, et développer le partage d'informations relatives à la sécurité avec les pouvoirs publics, en vue d'assurer une protection solide et efficace des biens et des personnes, notamment par des partenariats public-privé ;

    - sensibiliser salariés et clients à la cybersécurité. En particulier, les entreprises doivent réfléchir à la façon de sensibiliser leurs dirigeants à leurs responsabilités en matière de cybersécurité. La Commission ne donne pas plus de détails quant aux mesures de sensibilisation devant être menées au sein des entreprises. Ces mesures devraient logiquement être déployées par le biais de plans internes de formation à la sécurité informatique ou de mise en oeuvre de chartes informatiques adaptées aux outils mis à disposition des salariés, ou encore par l'organisation régulière de conférences participatives, de campagnes de e-learning, ou de serious games par exemple ;

    - promouvoir un marché unique des outils de cybersécurité, en favorisant l'élaboration et l'adoption de normes de sécurité et de normes techniques. En outre, les entreprises devront mettre en oeuvre des procédures intégrant la sécurité et le respect de la vie privée dès la conception de nouveaux produits et services TIC. Cette disposition, applicable à la vie privée, figure par ailleurs dans le projet de règlement sur la protection de la vie privée, actuellement en cours de discussion.

    3.2  Les exigences figurant à la proposition de directive
La proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, a été publiée le 7 février 2013. Cette proposition de directive fixe plusieurs types d’obligations en matière de sécurité des réseaux.

Les administrations publiques et les entreprises devront prendre des mesures techniques et organisationnelles nécessaires pour éviter les incidents et gérer les risques qui menacent la sécurité des réseaux et des systèmes informatiques qu'elles contrôlent et utilisent dans le cadre de leurs activités. Ces mesures doivent garantir non seulement un niveau de sécurité adapté au risque existant, mais également la continuité des services qui dépendent de ces réseaux et systèmes.

En outre, les administrations publiques et les entreprises devront notifier à l'autorité compétente les incidents (perte, vol, piratage de données, etc.) qui ont un impact significatif sur la sécurité des services qu'elles fournissent. L'autorité compétente pourra demander aux administrations publiques et aux entreprises d’informer le public, lorsqu'elle juge qu'il est dans l'intérêt général de divulguer les informations relatives à l'incident.

Selon la proposition de directive, les entreprises concernées par ces obligations de sécurité seront :
(i) les “prestataires de services de la société de l'information qui permettent la fourniture d'autres services de la société de l'information”, tels les plateformes de commerce électronique, les services de paiement par internet, les réseaux sociaux, les moteurs de recherche, etc. ;
(ii) les opérateurs d'importance vitale dans le domaine de l'énergie, des transports, des services bancaires, des infrastructures de marchés financiers et de la santé.

Enfin, seuls seront concernés par ces obligations, les prestataires et opérateurs dont l'effectif est supérieur à 10 personnes et dont le chiffre d'affaires annuel excède deux millions d'euros.

Cette proposition de directive devrait, selon l’avancée des débats, être définitivement adoptée d’ici 2014. Le texte définitif devra ensuite faire l’objet d’une transposition dans les droits nationaux dans les 18 mois suivant l’adoption de la directive, soit entre fin 2015 et mi-2016.


Le déploiement d’un tel plan de lutte multinationale contre la cybercriminalité est de toute évidence nécessaire. En effet, les réseaux n’ayant pas de frontières, une approche commune en matière de lutte contre la cybercriminalité - pour autant que cette approche soit cohérente et réaliste - semble la meilleure réponse aux attaques. Dans ce sens, le plan proposé par les instances de l’Union est ambitieux, a fortiori en période de difficultés économiques, alors que les budgets de l’Union européenne et des pays membres font l’objet de restrictions. On peut donc légitimement se demander où états et entreprises trouveront les fonds nécessaires pour mettre en oeuvre cette politique. 

                                               * * * * * * * * * * * *

(1) Pour mémoire, la loi Godfrain, relative à la fraude informatique date du 5 janvier 1988. Cette loi dispose notamment que : “Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende.
Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 45000 euros d'amende.” (loi codifiée aux articles 323-1 et suivants du code pénal)

(2) Voir l'article "Cyberattaques : des milliers de clients d'EDF cibles de mails frauduleux.", publié sur www.latribune.fr, le 31 janvier 2013 et l'article "Kaspersky Lab identifie l'opération "Red October", une campagne évoluée de cyberespionnage ciblant les représentations diplomatiques et les administrations à travers le monde", publié sur www.kaspersky.com, rubrique "Actualités", le 14 janvier 2013.

(3) Voir le communiqué de presse de la Commission européenne du 9 janvier 2013. Le Centre européen de lutte contre la cybercriminalité (EC3) a été créé en janvier 2013. L'EC3 fournira des analyses et des informations, contribuera aux enquêtes, apportera des moyens criminalistiques de haut niveau, facilitera la coopération, créera des filières de partage des informations entre les autorités compétentes dans les États membres, le secteur privé et d'autres parties prenantes, et endossera progressivement le rôle de porte-parole des professionnels du maintien de l'ordre.

(4) Communication conjointe au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions. Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, Bruxelles, le 7.2.2013 COM(2013) 48 final 2013/0027 (COD).


Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2013

La directive DME2 relative aux établissements de monnaie électronique enfin transposée en droit français

La France vient de transposer la Directive européenne du 16 septembre 2009 relative au statut des établissements de monnaie électronique (dite "DME2") avec la loi du 28 janvier 2013. Cette loi a créé un nouveau cadre légal relatif à l'accès et à l’exercice de l'activité d'établissement de monnaie électronique ("EME"). Un EME est une personne morale, autre qu'un établissement de crédit, émettant et gérant à titre de profession habituelle de la monnaie électronique. (1)

Jusqu'à présent, en France, les services de monnaie électronique ne pouvaient être proposés que par des banques ou des établissements de crédit. Ainsi, les entreprises françaises souhaitant proposer ces services devaient nécessairement obtenir un agrément en tant qu'établissement de crédit, nécessitant une mise en conformité avec un régime très strict. La transposition de la Directive DME2 en droit français, permettant un assouplissement de ce régime, était donc attendue par les entrepreneurs n’appartenant pas au domaine bancaire qui souhaitent se lancer dans l’activité de fourniture de service de monnaie électronique.

Les nouvelles dispositions légales, codifiées en partie dans le Code monétaire et financier, concernent d’une part, les conditions d’accès à l’activité d’EME et d’autre part, les conditions d’exercice de cette activité. (2) Le non respect de ces conditions est sévèrement sanctionné.

1. Les conditions d'accès à l'activité d’établissement de monnaie électronique
Afin de pouvoir émettre et gérer de la monnaie électronique à titre de profession habituelle, il est nécessaire de remplir les conditions suivantes :

    1.1  L’agrément de l’ACP
Préalablement à l’émission et à la gestion de monnaie électronique, les EME doivent obtenir un agrément délivré par l’Autorité de contrôle prudentiel ("ACP"), après avis de la Banque de France.

Pour délivrer l’agrément, l’ACP s’assure de l’aptitude de l’entreprise requérante à garantir une gestion saine et prudente de l’établissement. Ainsi, l'ACP vérifie que l'EME dispose d'un solide dispositif de gouvernement d'entreprise, comprenant notamment une structure organisationnelle claire avec un partage des responsabilités bien défini, transparent et cohérent. En outre, l'ACP apprécie la qualité des actionnaires ou associés qui détiennent une participation qualifiée. Elle vérifie ainsi que l'EME est dirigé effectivement par deux personnes au moins possédant l'honorabilité ainsi que la compétence et l'expérience nécessaires à leur fonction et requises pour les activités d'émission et de gestion de monnaie électronique.

L'établissement doit satisfaire à tout moment aux conditions de son agrément. Toute modification de ces conditions ayant une incidence sur l'exactitude des informations fournies au moment de la demande doit faire l'objet d'une déclaration auprès de l'ACP.

Le retrait de l'agrément de l'EME peut être décidé d'office par l'ACP lorsque l'établissement (i) ne fait pas usage de l'agrément dans un délai de 12 mois ou a cessé d'exercer son activité pendant une période supérieure à 6 mois, (ii) a obtenu l'agrément au moyen de fausses déclarations ou par tout autre moyen irrégulier, ou (iii) ne remplit plus les conditions auxquelles est subordonné son agrément.

    1.2  Un capital social minimum obligatoire
Pour délivrer l’agrément, l’ACP vérifie si l’établissement candidat dispose, au moment de la délivrance de l’agrément, d’un capital libéré d’un montant au moins égal à un montant qui sera fixé par voie réglementaire. La Directive DME2 prévoit un seuil minimal de 350.000€.

2. Les conditions d'exercice de l'activité d’établissement de monnaie électronique
L'exercice de l'activité d'EME est soumis aux conditions suivantes :

    2.1  Des dispositions prudentielles particulières
- Le respect de normes de gestion strictes : les EME sont tenus de respecter des normes de gestion destinées à garantir leur solvabilité ainsi que l’équilibre de leur structure financière. Ils disposent également d’un dispositif approprié de contrôle interne, permettant notamment de mesurer les risques et la rentabilité de leurs activités. Enfin, les EME doivent respecter un niveau de fonds propres adéquat. Comme pour le capital initial, le montant minimum des fonds propres et les modalités de calcul y afférentes seront fixées par voie réglementaire.

- Les conditions de l’externalisation de fonctions opérationnelles : les EME qui souhaitent externaliser une partie de leurs "fonctions opérationnelles" doivent en informer l'ACP. Cette externalisation ne doit pas être faite d'une manière qui nuise à la qualité du contrôle interne de l'établissement ou qui empêche l'ACP de contrôler que cet établissement respecte les obligations qui lui incombent. Les conditions d'application précises de ces nouvelles dispositions seront fixées par voie d'arrêté.

    2.2  Des règles spécifiques en matière de secret professionnel et de comptabilité
- Le secret professionnel : toute personne au sein d'un EME (membre du conseil d'administration ou de surveillance, membre de la direction ou employé) est tenu au secret professionnel.

Toutefois, ce secret peut être levé dans deux cas. Les EME peuvent communiquer des informations couvertes par le secret professionnel (i) au cas par cas, lorsque les personnes concernées ont donné leur consentement exprès, et (ii) aux personnes avec lesquelles ils négocient, concluent ou exécutent certaines opérations, dès lors que ces informations sont nécessaires à celles-ci (par exemple, en cas de prises de participation ou de contrôle dans un EME, de cessions d'actifs ou de fonds de commerce ou de cessions ou transferts de contrats).

- Les règles de tenue de la comptabilité et de contrôle légal des comptes : les EME sont soumis à plusieurs obligations d'ordre comptable concernant l'édition des inventaires, comptes et rapports de gestion, la publication des comptes annuels, la désignation ou la convocation d'un commissaires aux comptes, etc. L'ACP s'assure que les publications de comptes annuels sont régulièrement effectuées et peut ordonner à l'établissement de procéder à des publications rectificatives, en cas d'inexactitudes ou d'omissions relevées dans les documents publiés.

    2.3  Les activités autorisées
En sus de l’émission, la gestion et la mise à disposition de monnaie électronique, les EME peuvent :
    - (i) fournir des services de paiement,
    - (ii) fournir des services connexes à la prestation de services de paiement ou étroitement liés à l’émission et la gestion de monnaie électronique (par exemple, des services de change et de garde, l’enregistrement et le traitement des données), et
    - (iii) exercer une activité commerciale autre que les activités mentionnées ci-dessus. Toutefois, ces activités commerciales ne doivent pas être incompatibles avec les exigences de la profession, notamment le maintien de la réputation de l’établissement, de la primauté des intérêts des clients et du jeu de la concurrence sur le marché considéré.

Les modalités selon lesquelles les EME exercent, à titre de profession habituelle, une activité autre que l'émission et la gestion de monnaie électronique seront fixées par voie d'arrêté.

    2.4  La protection du consommateur
La loi prévoit des obligations contractuelles particulières relatives à l’information préalable du consommateur. Les conditions contractuelles doivent être communiquées dans des termes clairs et aisément compréhensibles au client détenteur de monnaie électronique, avant tout contrat ou offre liant les parties.

La monnaie électronique est remboursée par l'établissement émetteur au détenteur de monnaie électronique qui en fait la demande. Le remboursement des unités de monnaie électronique doit être effectué sans frais pour le détenteur, sauf exceptions. Dans ce cas, le contrat doit préciser les conditions, le montant, la nature et le détail de calcul de ces frais.

    2.5  Un régime allégé pour les petits EME
La loi prévoit un régime allégé pour les petits EME. Ces établissements pourront être exemptés de l'essentiel du dispositif prudentiel, si leurs activités commerciales dans leur ensemble génèrent une moyenne de la monnaie électronique en circulation inférieure à un montant qui sera fixé par décret. La directive DME2 prévoit un plafond maximal de 5 millions d'euros.

3. Les sanctions applicables en cas d’infraction à la loi
La loi prévoit plusieurs sanctions en cas d’infraction à la loi par l’établissement ou ses dirigeants.

- Les sanctions applicables à l’établissement : sont notamment punis de 3 ans d'emprisonnement et 375.000€ d'amende (1.875.000€ pour les personnes morales), toute personne ou entreprise, autre que les EME (i) émettant et gérant de la monnaie électronique à titre de profession habituelle, ou (ii) utilisant une dénomination, une raison sociale, une publicité ou, d’une façon générale, des expressions faisant croire qu’elle est agréée en tant qu’établissement de monnaie électronique.

Ces peines principales peuvent être accompagnées de peines complémentaires telles que l'interdiction d'exercer l'activité professionnelle dans l'exercice ou à l'occasion de laquelle l'infraction a été commise, ou la fermeture des établissements de l’entreprise ayant servi à commettre les faits incriminés, pour une durée de 5 ans au plus.

- Les sanctions propres aux dirigeants d'EME : le dirigeant d'un établissement peut être condamné à des peines allant jusqu'à 5 ans d'emprisonnement et 75.000 € d'amende, dans les cas suivants :
    - défaut de réponse, après mise en demeure, aux demandes d'informations de l'ACP ; obstacle à l'exercice par l'ACP de sa mission de contrôle ou communication de renseignements inexacts ;
-     édition et publication des inventaires, comptes annuels et rapports de gestion, ne respectant pas les conditions prévues par la loi ;
    - défaut de désignation ou convocation des commissaires aux comptes dans les cas prévus par la loi ; obstacle aux vérifications ou contrôles des commissaires aux comptes ou refus de communication des pièces utiles à l'exercice de leur mission.

      Avec la transposition de la DME2, la loi du 28 janvier 2013 crée un régime juridique autonome pour les établissements de monnaie électronique. Ce régime "simplifié" doit favoriser l'arrivée de nouveaux acteurs sur le marché de la monnaie électronique.

Les dispositions de la loi de 2013 s’appliquent aux établissements qui proposaient déjà ces services avant la transposition de la directive. Les contrats en cours de ces établissements  devront être modifiés afin de se mettre en conformité avec les nouvelles règles applicables. Les clauses des contrats contraires à la loi sont considérées comme caduques. Les établissements émetteurs sont tenus de mettre les contrats les liant à leurs clients détenteurs de monnaie électronique, en conformité avec la nouvelle loi dans les 6 mois à compter de sa promulgation, soit au plus tard fin juillet 2013.

* * * * * * * * * *

(1) Directive 2009/110/CE du Parlement européen et du Conseil du 16 septembre 2009 concernant l’accès à l’activité des établissements de monnaie électronique et son exercice ainsi que la surveillance prudentielle de ces établissements, modifiant les directives 2005/60/CE et 2006/48/CE et abrogeant la directive 2000/46/CE (DME2) ; Loi n°2013-100 du 28 janvier 2013 portant diverses dispositions d'adaptation de la législation au droit de l'Union européenne en matière économique et financière.

(2) La loi du 28 janvier 2013 est codifiée au Code monétaire et financier. Voir notamment les articles L.133-29, L.315-1 et s., L.525-1 et s., L.526-1 et s., et L.572-13 et s. du Code monétaire et financier.

Betty SFEZ - Avocat

Deleporte Wentz Avocat
www.deleporte-wentz-avocat.com

Février 2012