Commerce electronique

Commerce electronique internet

Règlementation drones civils

À l’heure où Amazon promet des livraisons de petits colis en 30 minutes chrono, d’autres rêvent de se faire livrer des pizzas, des médicaments ou bien rêvent de réaliser des films…  Pour le simple plaisir ou pour capter des images et vidéos exceptionnelles, l’utilisation de ces drones connaît un succès aujourd’hui exponentiel.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

La commission nationale de l’informatique et des libertés (CNIL) défini le drone au sens strict comme un appareil sans pilote à bord. Il est généralement piloté à distance par un opérateur humain, mais peut avoir un degré plus ou moins important d’autonomie (par exemple pour éviter des collisions ou gérer les conditions aérologiques). Un drone est avant tout une plateforme de capteurs mobiles. C’est un engin d’observation, d’acquisition et de transmission de données géolocalisées.

Défini par le dictionnaire Larousse comme un « petit avion télécommandé utilisé pour des tâches diverses (missions de reconnaissance tactiques à haute altitude, surveillance du champ de bataille et guerre électronique). Les drones sont aussi utilisés dans le secteur civil pour des missions de surveillance (manifestations, pollution maritime, incendies de forêt, etc.), des prises de vues et divers loisirs (la photo, notamment). »

Cette dernière référence aux drones civils qui va nous intéresser tout particulièrement. Si la définition appuie spécifiquement sur les possibilités offertes par les drones pour diverses missions, de plus en plus de ces engins sont proposés au grand public, et à des prix toujours plus accessibles.


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


Si jusqu’à récemment, les drones étaient en effet surtout connus pour leur usage militaire sur lequel la France accuse d’un retard criant, leur utilisation à des fins commerciales et civiles est dorénavant en expansion croissante et touche une vaste quantité de domaines : activités civiles de loisirs dans le cadre de l’aéromodélisme, surveillance de l’environnement, sécurité des sites sensibles, lutte anti-incendie, contrôle de l’intégrité d’ouvrages d’art, inspections techniques, moyens de transport, prises de vue…

Les catégories de drones sont multiples, allant d’appareils de quelques centaines de grammes ayant un rayon et une durée de vol limités à des appareils de plusieurs dizaines voire centaines de kilos pouvant parcourir de longues distances et voler à plusieurs centaines de mètres d’altitude.

Dès lors que les engins volants pèsent moins de 150 kg, ce sont les législations et autorités nationales qui sont compétentes. Du moins, c’était le cas jusqu’à ce que le règlement (UE) 2018/1139 du Parlement européen et du Conseil du 4 juillet 2018 traitant des règles communes dans l’aviation civile n’institue une Agence de l’Union européenne pour la sécurité aérienne (AESA) habilitée à apporter son expertise à la Commission européenne pour réglementer toutes formes de drones.

Ainsi, la France a été le premier pays à avoir instauré une réglementation spécifique par deux arrêtés de 2012 définissant une législation adéquate à des cas simples. Pour les autres drones, il a été nécessaire de faire des analyses et traitements au cas par cas afin d’assurer le développement progressif de cette nouvelle technologie ainsi que l’encadrement des pratiques des particuliers par un cadre adapté.

Ces textes relatifs d’une part à la conception, l’utilisation et aux capacités requises pour faire voler de tels engins, et d’autre part, à l’utilisation de l’espace aérien par ces aéronefs, visent à garantir la sécurité publique. Le législateur français avait introduit plusieurs catégories d’appareils volants (sauf ballons-sondes, fusées, cerfs-volants). Ainsi, pour un engin non doté d’une caméra et pesant moins de 25 kg les règles étaient plutôt permissives puisque pour la grande majorité des appareils vendus pour le loisir (catégorie A), l’arrêté obligeait seulement à ce que le drone reste en vue directe.

Cela signifie que l’appareil et son conducteur devaient rester en contact visuel et ne pas voler plus haut qu’une altitude de 150 mètres (désormais 120 mètres) ou à proximité d’une zone dangereuse ou interdite. En revanche, lorsque le drone est muni d’un appareil à captation d’images photo ou vidéos, la réglementation se durcit. Le développement de ces engins risque en effet de porter atteinte d’une part au respect de la vie privée lorsqu’ils disposent de tels dispositifs de captation d’images, et d’autre part à la sécurité lorsqu’ils transportent des matériaux dangereux ou illégaux.

S’il a donc été important pour le législateur français, au vu de la croissance phénoménale de l’utilisation des drones civils, de séparer les enjeux légaux liés à l’encadrement des drones disposant d’une caméra (I) de ceux qui n’en n’ont pas (II), c’est finalement l’Union européenne qui s’est emparée de la réglementation en la matière (III).

I- Les drones disposant d’une caméra

Concernant les drones qui permettent la captation d’images photo photo ou vidéos, la réglementation française se faisait plus stricte (A) car des atteintes à la vie privée peuvent être caractérisées (B).

A) La réglementation

Ces drones permettent la prise de clichés et de vidéos via des angles jusque-là impossibles à atteindre sans utiliser un hélicoptère. Il est ainsi possible de manier aisément un engin aux caractéristiques intéressantes en utilisant de simples commandes ou un smartphone. Mais concernant la réglementation applicable, elle s’est faite plus stricte.

En effet, une distinction entre usage personnel et professionnel a cessé d’être opérée par la loi qui énonçait que des autorisations préfectorales devaient être demandées en fonction de la zone survolée. À titre d’exemple, une autorisation était indispensable concernant des vols en agglomération ou à proximité de personnes ou d’animaux, en vue directe et à une distance horizontale maximale de 100 mètres du pilote.

De plus, s’il le souhaitait, un conducteur de drone pouvait effectuer un vol hors vue directe et en dehors d’une zone peuplée, mais à condition d’également obtenir une autorisation au plus tard 24 heures avant le vol et d’informer le ministère chargé de l’aviation civile. Le conducteur devait alors pendant le vol être accompagné d’une seconde personne étant en mesure de prendre de contrôle de l’appareil à tout moment.

Étant précisé également par l’arrêté qu’il n’était pas possible de faire évoluer un aéronef télépiloté si le conducteur était lui-même à bord d’un autre véhicule en déplacement, situation nécessitant également l’obtention d’une autorisation du ministre chargé de l’aviation civile.

Ainsi, pour ne pas avoir respecté la réglementation, un jeune homme de 18 ans avait été convoqué devant le tribunal pour « mise en danger délibérée de la vie d’autrui » pour avoir, en janvier 2014, survolé et filmé la ville de Nancy à l’aide d’un drone équipé d’une caméra GoPro, avant de diffuser son film sur internet. Nul n’étant censé ignorer la loi, il a dû répondre de ses actes devant le tribunal correctionnel.

B) Les atteintes à la vie privée

Ces drones équipés de dispositifs de captation photo, vidéo ou sonore peuvent être très intrusifs et menacer le respect à la vie privée. En effet, se posait et se pose toujours la question de certaines caméras ayant des performances techniques telles qu’elles pourraient identifier des personnes physiques à leur insu.

Plus généralement, les drones équipés peuvent collecter, stocker et transmettre des informations ainsi que surveiller les comportements et déplacements de personnes, ce qui pose de graves enjeux en matière de libertés individuelles.

Il est intéressant de remarquer dans un premier temps que lorsqu’un aéronef fixe l’image d’une personne physique, le droit à l’image a vocation à s’appliquer. L’article 9 du Code civil ainsi que la jurisprudence énoncent que toute personne a sur son image et sur l’utilisation qui en est faite un droit exclusif et peut donc s’opposer à sa diffusion sans son autorisation. Pour faire respecter ce droit à l’image, tout télépilote d’un drone qui viendrait à capter l’image d’une personne par le biais d’une vidéo ou d’une photo, pourrait ainsi, sous réserve d’obtention du consentement de la personne concernée, publier cette image.

En pratique, il s’avère cependant très difficile de retrouver la personne concernée et de recueillir son consentement. C’est pourquoi la jurisprudence a assoupli ce principe concernant les personnes se trouvant dans des lieux publics sous réserve de certaines conditions.

En effet, pour que la publication ne soit pas subordonnée à l’accord des personnes qui apparaissent sur les images, la photographie ne doit pas permettre d’individualiser une personne en particulier, l’image ne doit pas porter atteinte à la dignité humaine et dans le cas d’évènements d’actualité, la publication de l’image ne doit pas dépasser les limites du droit à l’information (par exemple lors de manifestations publiques). A défaut, les personnes photographiées ou filmées à leur insu pourraient poursuivre juridiquement l’utilisateur du drone pour atteinte au droit à l’image.

Par ailleurs, le droit à la preuve ne peut justifier la production d’éléments portant atteinte à la vie privée qu’à la condition que l’atteinte soit proportionnée au but poursuivi. Constitue ainsi une atteinte à la vie privée la prise de vue aérienne d’une propriété privée sans l’accord des propriétaires et ce, même si elle n’en montre pas ses occupants (Paris, 15 mai 2019, n°18/26775).

Ensuite, comme le rappelle le Conseil d’Etat la captation de l’image d’une personne physique par un drone équipé d’une caméra correspond à un enregistrement de données personnelles protégé par la loi informatique et Liberté (CE 13 novembre 2020, n°401214). En effet, cette loi encadre la collecte et le traitement des données à caractère personnel en faisant peser des obligations sur le responsable du traitement. Les drones opèrent un changement de paradigme en matière de captation de données personnelles.

Enfin, des atteintes peuvent surgir concernant la surveillance des personnes par les autorités publiques. Ainsi, le CISR du 2 octobre 2015 préconisait par exemple l’utilisation de drones dans le domaine de la sécurité routière.

Comme le relève le Conseil d’Etat dans une décision du 22 décembre 2020, en l’absence d’encadrement législatif, le dispositif de surveillance par drone transmettant, même après floutage des images à la préfecture de police de Paris pour un visionnage en temps réel, constitue un traitement illégal de données à caractère personnel.

Alertée en effet par les enjeux considérables en la matière, la CNIL engage depuis 2012 des réflexions prospectives au sujet de l’utilisation des drones et du respect à la vie privée. Un des axes majeurs consiste à s’assurer que les nouveaux usages n’entraînent pas de dérives en matière de surveillance.

Lors du confinement du printemps 2020, des drones équipés de caméras ont été utilisés par les forces de l’ordre afin de surveiller le respect des mesures de confinement. Après les décisions du Conseil d’État, des 18 mai et 22 décembre 2020, qui interdisent leur utilisation, c’est au tour de la CNIL de sanctionner le ministère de l’Intérieur. Dans sa délibération du 12 janvier 2021, la formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) a sanctionné le ministère de l’intérieur à la suite de l’usage de drones équipés de caméras.

En réponse à ces décisions, le législateur a entendu donner naissance à un cadre légal à l’utilisation par les forces de l’ordre des caméras aéroportées (précisément embarquée à bord d’un drone), en adoptant la loi n° 2021-646 du 25 mai 2021 pour une sécurité globale. Les dispositions concernées ont été censurées par le Conseil constitutionnel le 20 mai 2021, car méconnaissant le droit au respect de la vie privée (Cons. constit., 20 mai 2021, n° 12021-817 DC).

Depuis le législateur a adopté la loi n°2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure. Plusieurs articles réécrivent, à la suite de la censure par le Conseil Constitutionnel, certaines dispositions de la loi du 25 mai 2021, le cadre juridique pour l’usage des caméras et des drones par les forces de l’ordre à la fois pour des finalités de police administrative et judiciaire.

Le 20 avril 2023 le décret relatif à la mise en œuvre de traitements d’images au moyen de dispositifs de captation installés sur des aéronefs pour des missions de police administrative a été publié.

Le 20 avril 2023 le décret relatif à la mise en œuvre de traitements d’images au moyen de dispositifs de captation installés sur des aéronefs pour des missions de police administrative a été publié. Rendue dans la foulée, une nouvelle délibération de la Cnil, enjoint que lui soient transmises les doctrines d’emploi, qui ne figurent pas dans le décret et qui devront préciser les « cas d’usage, les conditions d’emploi et les conduites à tenir », en particulier s’agissant de « l’information » du public concerné. La Commission réclame aussi un chiffrement des enregistrements « directement au niveau des caméras » pour une garantie d’intégrité et de sécurité « jusqu’à leur effacement ».

 

II- Les drones ne disposant pas d’une caméra

Si le droit français est venu réguler l’utilisation classique des aéronefs non équipés de dispositif de captation d’images (A), cette réglementation semblerait pourtant inefficace face aux utilisations illicites menaçant la sécurité des personnes (B).

A) La réglementation

Avant que la réforme européenne n’intervienne, la France opérait une classification de A à G des drones civils dépendamment de facteurs tels que leur masse, leur type de propulsion ou les types d’activités concernés. De ces catégories ainsi que de l’utilisation faite du drone découlaient des obligations contraignant la vitesse, la hauteur de vol, vol en vue ou hors vue, le type de zone survolable (selon la présence d’individus ou non), et la finalité du vol (ce que le droit définit sous l’appellation de scénario).

Ainsi, à titre d’exemple, seuls les aéronefs de moins de 25 kg comportant un seul type de propulsion et ne disposant pas de caméra et ne pouvant voler qu’en vue directe, ce qui correspondait à la catégorie A, étaient dispensés de document de navigabilité et ne requéraient aucune condition particulière à propos des capacités du télépilote pour l’autoriser à voler.

En revanche, pour toutes les autres catégories d’aéronefs et toujours dépendamment de l’utilisation qui est faite du drone, une autorisation délivrée par le ministre chargé de l’aviation civile et l’installation sur l’aéronef de dispositifs spécifiques pouvait être requise. Il était exigé pour le télépilote d’avoir une certaine maîtrise en pilotage et de détenir certains documents spécifiques.

B) Les atteintes à la sécurité

Bien que l’utilisation des drones civils soit réglementée, elle reste problématique sur certains points. D’abord, en matière de sécurité, l’état actuel de la technologie des aéronefs civils ne permet pas de leur prêter une confiance totale. Un rapport du Congrès américain mettait en exergue, à ce titre, en septembre 2012, que n’étant pas technologiquement capables d’éviter d’éventuels objets volant à basse altitude, les drones civils présentent un dangereux risque de collision avec des ULM, hélicoptères ou avions en phase de décollage ou d’atterrissage par exemple. C’est d’ailleurs pour cette raison que sont en ce moment développées par les constructeurs des technologies de détection et d’évitement dites de « sense and avoid ».

De plus, ces appareils émettant entre autres des ondes WiFi présentent également un risque d’être piratés et donc de pouvoir être détournés de leur mission initiale, et ce, par de potentielles personnes mal intentionnées. À ce titre, dans le cadre de protestations contre la surveillance excessive de la société civile, le Parti pirate allemand avait en septembre 2013 fait atterrir un drone aux pieds de la chancelière allemande Angela Merkel. La farce de mauvais goût aurait alors, entre de mauvaises mains telles que celles d’États ou de groupes hostiles, pu facilement tourner au drame national si un terroriste avait fait atterrir le même drone avec une charge explosive déclenchée à l’atterrissage. Un risque d’utilisation de drones à des fins terroristes est à prendre en compte, voire à anticiper, bien que, fort heureusement, aucun accident de la sorte ne soit à ce jour à déplorer.

Par ailleurs, concernant le problème du transport de matériaux illégaux, là où le directeur d’Amazon voit dans les drones le futur de la livraison de petits colis, des délinquants pourraient également à terme faire usage de ce mode de livraison dans le cadre de trafic de stupéfiants. C’est à ce titre qu’un Australien de 28 ans a été arrêté pour avoir tenté de livrer par drone un stock de drogues dans une prison de Melbourne.

Appareils pilotables à distance, aux capacités de chargement croissantes et aux prix sans cesse plus accessibles pour tout un chacun, il est fort probable que les drones élargissent durablement le champ de la criminalité.

En 2021, les craintes d’une utilisation détournée se sont confirmées lorsqu’un drone, de type « professionnel », d’une envergure de 4,3 mètres et d’une autonomie de vol de 7 heures a été saisi par les agents de la Policia Nacional dans le cadre d’une affaire de lutte contre le trafic de stupéfiants entre l’Espagne et la France.  

Plus récemment en France, un drone a été utiliser pour voler 150.000 euros d’un distributeur de billets.

Bien que ces cas restent isolés, ils soulèvent de nombreuses questions sur l’utilisation et les potentielles atteintes qui pourraient en découler.

C’est en toute conscience de ces enjeux que la Commission européenne s’est alors saisie de la question en créant en 2013 un groupe de travail ayant eu pour mission de penser et proposer l’intégration sécurisée des drones civils dans le système d’aviation européen dès 2016.

III- La nouvelle réglementation européenne pour les UAS

Si la nouvelle réglementation européenne présente des enjeux de taille aux conséquences diverses (A), elle engendre à court terme de multiples répercussions au sein du droit national (B).

A) La réglementation

La Commission, le Parlement ainsi que le Conseil européens se sont accordés pour donner à l’Union européenne la compétence de la réglementation relative à la sécurité des drones et ce, quelle que soit leur masse. Dans cette logique elle a d’abord adopté le règlement du 4 juillet 2018 qui étend aux drones l’essentiel des dispositions applicables aux autres catégories d’aéronefs.

Dans la foulée, la Commission a procédé à l’élaboration de deux règlements visant à harmoniser en Europe le statut des drones.

D’une part, le règlement délégué (UE) 2019/945 de la Commission du 12 mars 2019 relatif aux systèmes d’aéronefs sans équipage à bord (ci-après UAS, acronyme de l’anglais « Unmanned Aerial Systems ») et aux exploitants, issus de pays tiers, d’UAS, et d’autre part, le règlement d’exécution (UE) 2019/947 de la Commission du 24 mai 2019 concernant les règles et procédures applicables à l’exploitation d’aéronefs sans équipage à bord.

Ainsi, la catégorie « ouverte » désignant les opérations à faible risque au cours desquelles l’UAS vole en vue et à faible hauteur se distingue de la catégorie « spécifique » désignant les opérations à risque modéré au cours desquelles l’aéronef vole à vue ou hors vue dans des conditions différentes de la catégorie précédente, elle-même se distinguant de la catégorie « certifiée » qui désigne les opérations hautement risquées nécessitant une importante fiabilité dans l’aéronef, et impliquant par exemple de transporter des personnes ou des marchandises dangereuses.

Les règlements européens précités sont d’application directe dans les États membres et doivent se substituer à la réglementation nationale dès leur entrée en vigueur le 31 décembre 2020.

Cependant, les exigences de la réglementation nationale et européenne sont parfois incohérentes. Ainsi, malgré l’application de la réglementation européenne sur les drones, la gestion de l’espace aérien relève toujours du droit français, à l’exception de certaines spécificités comme des restrictions ou conditions de pénétration dans les ex-catégories loisirs et autres activités particulières désormais régies par la nouvelle catégorisation européenne.

Par ailleurs, le droit français motive ses réglementations par des considérations de sûreté publique (telle la compétence nationale sur les dispositifs de signalement électronique), tandis que la réglementation européenne porte quant à elle sur des questions de sécurité aérienne.

Afin de permettre tout de même une transition progressive vers la nouvelle réglementation européenne, certains textes nationaux sont maintenus. C’est par exemple le cas de la nouvelle catégorie « spécifique » au moyen de laquelle il est encore possible de voler selon des scénarios standard nationaux jusqu’au 2 décembre 2023 au plus tard, après quoi il y aura obligation de voler selon l’un des scénarios standards européens (STS).

B) Les répercussions dans le droit national

Le droit français visant donc à modifier a minima la réglementation actuelle dans le but de répondre aux nouvelles exigences européennes, plusieurs arrêtés ont alors été publiés au JORF du 10 décembre 2020.

L’un, relatif aux dispositions transitoires de reconnaissance de la formation et des titres des pilotes à distance, crée des modalités de reconnaissance des compétences actuelles des télépilotes pour la catégorie « ouverte » limitée.

Cependant, les drones de cette catégorie, marqués ‘CE’ depuis la réglementation européenne et pouvant être utilisés depuis le 31 décembre 2020, présentent l’inconvénient de ne pas encore être disponibles sur le marché. C’est pourquoi des drones pourtant non conformes à la nouvelle réglementation européenne pourront voler jusqu’au 1er janvier 2023 s’ils sont utilisés selon une catégorie « ouverte » dite « limitée ». Leurs utilisateurs devront néanmoins finir par acquérir un drone avec mention de classe pour pouvoir voler sans trop de problèmes.

Un deuxième arrêté, relatif à l’exploitation d’aéromodèles au sein d’associations d’aéromodélisme, autorise ces associations à pouvoir continuer d’exercer suivant les mêmes règles qu’avant la réforme, et ce jusqu’au 1er janvier 2023, la nouvelle réglementation européenne donnant la possibilité aux États membres de définir leur propre réglementation pour les clubs et associations d’aéromodélisme.

Un troisième arrêté concerne cette fois la définition des scénarios standard nationaux et fixe les conditions applicables aux missions d’UAS exclues du champ d’application du règlement (UE) 2018/1139 du 4 juillet 2018, précité, relatif aux règles communes dans le domaine de l’aviation civile (et instituant l’AESA).

Cet arrêté reprend trois des scénarios standard nationaux (S1, S2, S3) pour qu’ils puissent continuer d’être utilisés en catégorie « spécifique » jusqu’au 2 décembre 2023. Il inclut également des exigences spécifiques applicables aux exploitants de drones qui n’entrent pas dans le champ de la nouvelle réglementation européenne, à savoir pour des missions de secours, de police ou encore de lutte contre les incendies par exemple.

Un quatrième arrêté permanent relatif aux exigences applicables aux pilotes à distance dans le cadre d’opérations relevant de la catégorie « ouverte » fixe l’âge minimal de 14 ans pour les pilotes de drones dans cette catégorie. En effet, si la réglementation européenne fixe pourtant l’âge minimal à 16 ans dans cette catégorie, elle laisse en fait également aux États membres le choix de réduire cet âge minimum.

Cinquièmement, un arrêté permanent relatif à l’utilisation de l’espace aérien par les aéronefs sans équipage à bord fait entre autres passer la hauteur de vol maximale de 150 mètres à 120 mètres afin de se conformer avec la nouvelle réglementation européenne bien que la France demeure compétente en la matière, s’agissant de la gestion de l’espace aérien.

Enfin, un sixième arrêté relatif aux exigences applicables aux opérations conduites sur certains aéronefs captifs visés à l’annexe I du même règlement (UE) 2018/1139 précité, régit la conception, production, maintenance et exploitation de certains UAS captifs énumérés à l’alinéa 2 de cette même annexe.

Pour conclure, la réglementation européenne des aéronefs sans équipage à bord entrée en application le 31 décembre 2020 vient remplacer, notamment au terme d’une période de transition, la réglementation nationale en matière de sécurité aérienne et opère une classification des drones sous un angle différent, non plus selon la finalité de l’opération, mais selon le niveau de risque qu’elle présente.

Face au développement des usages, la Commission a adopté le 29 novembre 2022 une nouvelle stratégie intitulée « Drone 2.0 ». Ce texte défini les objectifs des institutions européennes d’ici à 2030 en matière de développement, de l’exploitation commerciale des drones à grande échelle, qu’il s’agisse des services d’urgence, de la cartographie, l’imagerie, l’inspection et la surveillance dans le respect du cadre légal applicable, ainsi que la livraison urgente de petits envois, tels que des échantillons biologiques ou des médicaments ou encore les taxis aériens.

Toutefois, le droit européen n’a pas vocation à se substituer à la réglementation nationale dont certaines dispositions continueront d’être applicables. Tel est le cas pour tout ce qui concerne la sûreté, la gestion de l’espace aérien ainsi que les drones utilisés par l’État dans le cadre d’activités miliaires, de douanes, de police, de recherche et sauvetage, de lutte contre l’incendie, de contrôle aux frontières et de surveillance côtière qui relèvent d’un régime particulier.

Pour lire une version plus complète de cet article sur les drones, cliquez

Sources :
http://www.village-justice.com/articles/essor-utilisation-drones-usage-civil,16348.html
http://vision-du-ciel.com/images_vierges/tableau-synthese-aeronefs-telepilotes.pdf
http://www.numerama.com/magazine/28431-drones-civils-ce-que-dit-la-loi-en-france.html
Communiqué de la Commission européenne, 19 juin 2013 « Les drones stimulent l’innovation et créent des emplois »
Règlement (UE) 2018/1139 du Parlement européen et du Conseil du 4 juillet 2018
Règlement délégué (UE) 2019/945 de la Commission du 12 mars 2019
Règlement d’exécution (UE) 2019/947 de la Commission du 24 mai 2019
Laurent Archambault et Cassandra Rotilly, Dalloz IP/IT : 2021 (Dalloz, 22 mars 2021) N° 3 p.163
Décret n° 2023-283 du 19 avril 2023 relatif à la mise en œuvre de traitements d’images au moyen de dispositifs de captation installés sur des aéronefs pour des missions de police administrative : https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000047464659

Droit et geolocalisation

La géolocalisation permet de localiser géographiquement un objet ou une personne. Ce procédé offre des possibilités d’actions marketing ciblées très avantageuses pour les entreprises et les utilisateurs. Il permet de cerner la personnalité et les habitudes de chaque individu. Néanmoins, l’exploitation de cette fonctionnalité entraîne, fatalement, une surveillance des déplacements dans le temps et l’espace qui peut nuire à la vie privée des individus.

NOUVEAU : Utilisez nos services pour faire valoir vos droits en droit du travailen passant par le formulaire !

La géolocalisation est une technologie permettant de déterminer, plus ou moins précisément, la localisation d’un objet ou d’une personne par l’intermédiaire d’un système GPS ou d’un téléphone mobile. Ce service est accompli par un réseau de télécommunication.

Avec le développement des nouvelles technologies, la majorité des applications installées sur nos smartphones offre des fonctions de partage de localisation. La géolocalisation est un outil utile lorsqu’elle est utilisée de manière bienveillante. On la retrouve en particulier dans le transport (par exemple de suivre un chauffeur VTC, trouver une trottinette électrique), dans la livraison (suivre la progression d’une livraison en cours), pour assurer la sécurité des biens (pour retrouver sa voiture ou son smartphone par exemple) ou encore dans le sport (certaines applications sportives proposent de retracer l’itinéraire de l’utilisateur lors d’un footing ou d’une randonnée). Bien que ces technologies soient utiles, elles récupèrent des données à caractère personnel qui peuvent comprendre des risques pour notre vie privée.

Selon l’article 4 du Règlement européen sur la protection des données, une donnée est personnelle dès lors qu’elle permet d’identifier directement ou indirectement un individu personne physique.

La personne est identifiée directement lorsque son nom apparaît dans un fichier et, indirectement lorsque le fichier comporte des informations l’identifiant (adresse IP, numéro de téléphone…).

Lorsqu’elles sont utilisées et permettent la mise en place de service, il s’agit d’un traitement qui est strictement encadré par la loi.

Selon le même article,  » Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction « .

I/ Le droit et  la géolocalisation


Besoin de l’aide d’un avocat pour un problème de droit  du travail ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Le RGPD énonce en son chapitre II un certain nombre de principes qui régissent la mise en place d’un traitement de données. Certaines de ces obligations incombent aux sociétés exploitantes ou utilisant un service de géolocalisation dans la mesure où cela entraîne un traitement de données personnelles et une possible atteinte à la vie privée des utilisateurs.

 » Le traitement doit avoir un objectif précis et les données récoltées doivent être en concordance avec cet objectif. Cette finalité ne doit pas être détournée, les données doivent toujours être exploitées dans le même but.

 » L’utilisateur doit donner son autorisation avant toute collecte de donnée de localisation.
La localisation peut être ponctuelle ou continue. Lorsqu’elle est ponctuelle, la collecte d’information est limitée dans le temps et l’espace (météo ou trafic routier). Ainsi, la simple demande, par l’utilisateur, d’accéder à un tel service est considérée comme une manifestation de son consentement.
Lorsque la localisation est continue, l’utilisateur doit avoir la possibilité de l’utiliser, ou non, à chaque fois qu’il le souhaite, par l’intermédiaire d’une inscription (bouton, case à cocher).

 » Une information précise de la nature du traitement des données doit être apportée aux utilisateurs (type de donnée, durée de conservation, finalité et droits relatifs à ces données).

 » Les données personnelles doivent être soumises à des mesures de sécurité adaptées aux risques amenés par le traitement. Dès lors, les responsables du traitement mettre en place une sécurité à la fois physique et logique.

 » Les données collectées doivent, nécessairement, jouir d’une date de péremption. Les responsables ont l’obligation de fixer une durée raisonnable de conservation. Le caractère raisonnable s’apprécie en fonction de l’objectif du service et à la durée nécessaire à sa fourniture. Une fois le service fourni, une conservation est possible lorsque les données sont indispensables à la facturation et au paiement des frais d’interconnexion. Si ces données donnent lieux à la conservation d’un historique, elles doivent être rendues anonymes.

En outre, la géolocalisation peut également toucher la vie privée des salariés. L’entrée en vigueur du Règlement général sur la protection des données (RGPD) a exempté l’employeur de l’obligation de déclaration à la CNIL des systèmes de géolocalisation de véhicules professionnels. Toutefois, l’employeur reste tenu d’une obligation d’information de ses salariés de l’existence du dispositif en question et des droits qui peuvent en découler. Il doit, éventuellement, informer et consulter le Comité social et économique au préalable à la mise en place de ce dispositif

L’article L1121-1 du Code du travail dispose que : « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. » (1)

Le Conseil d’État avait énoncé, dans un arrêt rendu le 15 décembre 2017, qu’« il résulte de [l’article L. 1121-1 du Code du travail] que l’utilisation par un employeur d’un système de géolocalisation pour assurer le contrôle de la durée du travail de ses salariés n’est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, fût-il moins efficace que la géolocalisation. En dehors de cette hypothèse, la collecte et le traitement de telles données à des fins de contrôle du temps de travail doivent être regardés comme excessifs au sens du 3° de l’article 6 de la loi du 6 janvier 1978 précité. » (2)

À cet effet, la Cour de cassation s’est alignée sur cette jurisprudence du Conseil d’État. En effet, dans un arrêt de la chambre sociale du 19 décembre 2018, la Cour de cassation a également illustré le contrôle mis en place en vertu de l’article L1121-1 du Code de travail.

En l’espèce, la question se posait autour de la licéité d’un dispositif de géolocalisation mis en place par une société spécialisée dans la distribution de publicités ciblées afin de localiser les salariés chargés de la distribution et de contrôler ainsi leur durée de travail.

La Cour de cassation s’est prononcée en considérant que ce système de géolocalisation est disproportionné quant au but recherché, et ce, sur le fondement de l’article L1121-1 du Code de travail. Les juges de cassation se fondent sur deux raisons principales à savoir que, ce système n’est licite « que lorsque ce contrôle ne peut pas être fait par un autre moyen fût-il moins efficace que la géolocalisation » et que l’usage de ce dernier « n’est pas justifié lorsque le salarié dispose d’une liberté dans l’organisation de son travail ». (3)

Une autre fonction rendue possible par la géolocalisation a fait l’objet d’un avis de la CNIL. Il s’agit du marketing ciblé qui transforme le terminal mobile de l’utilisateur en un support de message publicitaire.
Selon la CNIL  » le marketing ciblé basé sur de la géolocalisation n’est pas interdit « , néanmoins les usagers doivent souscrire à des services de géolocalisation et être informés de la possibilité de s’y opposer.

II/ Le rôle particulier de la CNIL et ses pouvoirs

La CNIL est une autorité indépendante créée par la loi du 06 Janvier 1978 « Informatique et libertés ». Elle à ce titre chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Elle exerce ses missions conformément à la loi no 78-17 du 6 janvier 1978 modifiée notamment en 2004 et en 2019.

Le développement généralisé de la géolocalisation amène la commission à être vigilante et à multiplier les opérations de sensibilisation à l’attention de l’ensemble des citoyens et sociétés.
Elle émets de nombreux avis sur de nouveaux dispositifs de géolocalisation, jugés trop intrusifs (Google Latitude, Facebook Lieux).

À travers ses contrôles, la CNIL peut infliger des sanctions en cas de non-respect des obligations légales.
Les contrôles ont été renforcés ces dernières années au sein des entreprises proposant des services de géolocalisation. La CNIL peut effectuer ses contrôles directement dans les locaux des entreprises et demander la communication de tout document permettant l’accès aux programmes informatiques et aux données afin de vérifier la licéité et la conformité des traitements effectués.

Lorsqu’une entrave à la loi est constatée, la CNIL peut prononcer des sanctions pécuniaires pouvant s’élever jusqu’à un montant maximum de 150 000€ et 300 000 en cas de récidive. De surcroît, des injonctions de cesser le traitement illicite peuvent être déclarées.
Les manquements à la loi  » Informatique et Libertés  » sont punis de 5 ans d’emprisonnement et de 300 000€ d’amende.

En 2011, la commission s’est attaquée à Google et à ses services Street View et Latitute. L’entreprise a été condamnée à 100 00€ d’amende. Les voitures de Street View et Latitude collectaient, en plus des photos, les réseaux Wifi ouverts et de ce fait une grande quantité de données privées.

Depuis le 25 mai 2018, la formation restreinte de la CNIL peut prononcer des sanctions à l’égard d’organismes qui ne respectent pas le règlement général sur la protection des données (RGPD) de l’Union européenne jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires mondial.

S’agissant de la mise en œuvre d’un dispositif de géolocalisation des salariés, la CNIL apporte sur des éclaircissements quant à la licéité de cette pratique. En effet, cette dernière liste les utilisations permises et les utilisations proscrites.

Ainsi, il est permis à titre d’exemple de recourir à ce dispositif afin d’assurer le suivi d’une prestation, d’assurer la sécurité ou la sûreté du salarié et/ou des marchandises, de veiller à une allocation optimale des moyens mis à disposition pour l’exécution de la prestation et de veiller au respect des règles d’utilisation du véhicule.

Toutefois, le dispositif de géolocalisation ne peut avoir pour finalité de contrôler le respect des limitations de vitesse, de contrôler l’employé en permanence, de surveiller les déplacements du salarié en dehors de son temps de travail ou encore de contrôler les déplacements des représentants du personnel. (4)

Le rôle de la CNIL s’avère de plus en plus fondamental face à la multiplication et la banalisation de ces technologies. Un simple défaut de paramétrage, où en cas de piratage d’un téléphone, une surveillance constante des utilisateurs peut s’instaurer.

III. Illustration récente

En 2020, la CNIL a pour partie axé son action de contrôle sur plusieurs thématiques prioritaires en lien avec les préoccupations quotidiennes des Français dont la géolocalisation pour les services de proximité.

Dans une délibération rendue le 16 mars 2023 par la formation restreinte de la CNIL, une sanction de 125 000 euros a été prononcée à l’encontre de la société CITYSCOOT pour avoir notamment porté une atteinte disproportionnée à la vie privée de ses clients en les géolocalisant de manière quasi permanente. Cette décision a été prise en coopération avec les autorités de protection des données espagnole et italienne dans la mesure où la société propose aussi ces services dans ces pays.

Depuis 2016, la société propose un service de location de scooters électriques en libre-service accessible à partir de son application mobile. Les scooters ne sont pas stationnés dans des espaces précis et peuvent être laissés, après utilisation, dans la zone de location identifiée dans l’application. Les véhicules sont équipés d’un dispositif de localisation embarqué qui permet à CITYSCOOT et aux utilisateurs, via leur application mobile, de connaître la position des scooters. La location d’un scooter électrique auprès de la société suppose la création d’un compte à partir de l’application mobile. Il s’agit d’un service sans engagement qui est facturé à la minute.

Un contrôle en ligne a été effectué sur le site web  » cityscoot.eu  » et l’application mobile  » CITYSCOOT « , le 13 mai 2020.  La délégation de la CNIL s’est notamment attachée à vérifier les données collectées et les finalités de la collecte. Ce contrôle avait également pour but de vérifier l’encadrement de la sous-traitance et la sécurité des données.

A l’occasion de ce contrôle, la CNIL s’est aperçue qu’au cours de la location d’un scooter par un particulier, la société collectait des données relatives à la géolocalisation du véhicule toutes les 30 secondes lorsque le CITYSCOOT est actif et que son tableau de bord est allumé, qu’il soit en déplacement ou prêt à rouler. Lorsque le CITYSCOOT est inactif, le boîtier collecte des données de position toutes les 15 minutes. En outre, la société conservait l’historique de ces trajets durant douze mois en base active, puis douze mois en archivage intermédiaire avant d’être anonymisées.

La société justifie la collecte des données de position des scooters au regard de diverses finalités telles que le traitement des infractions au code de la route, le traitement des réclamations clients, le support aux utilisateurs (afin d’appeler les secours en cas de chute d’un utilisateur), ou encore la gestion des sinistres et des vols. Or selon la CNIL, aucune des finalités avancées par la société ne justifie une collecte quasi permanente des données de géolocalisation au cours de la location d’un scooter.
Elle relève un premier manquement à l’article 5 du RGPD qui instaure l’obligation de veiller à la minimisation des données.

Elle a également pu constater que la société fait appel à quinze sous-traitants ayant un accès ou hébergeant des données à caractère personnel. Sur ces quinze contrats, elle considère que les contrats avec les sociétés ne contiennent pas toutes les mentions prévues par le RGPD. D’une part, certains d’entre eux ne mentionnent pas les dispositions relatives aux procédures de suppression ou de renvoi des données à caractère personnel du sous-traitant au responsable de traitement à échéance du contrat. D’autre part, certains ne mentionnent ni l’objet du traitement, ni sa durée.

Elle constate donc un second manquement à l’obligation d’encadrer les traitements faits par un sous-traitant par contrat (article 28 du RGPD).

Pour finir, elle souligne également un manquement à l’obligation d’informer l’utilisateur et d’obtenir son consentement avant d’inscrire et de lire des informations sur son équipement personnel (article 82 de la LIL).

Comme le rappelle la CNIL « Le montant de la sanction tient compte du chiffre d’affaires de la société, de la gravité des manquements constatés mais également des mesures prises par la société pour y remédier lors de la procédure. »

Pour lire une version plus complète de cet article sur la géolocalisation, cliquez

Sources :

Etre en conformité avec le RGPD et l’accountability

Le Règlement général sur la protection des données (« RGPD ») est le nouveau texte phare en matière de protection des données personnelles  en Europe. Prévu pour entrer en application le 25 mai 2018, le délai de mise en conformité est court et pourtant trop peu d’entreprises sont au courant des dispositions en la matière.

NOUVEAU : Utilisez nos services pour faire retirer un contenu lié à la protection des données ou de contrefaçon en passant par le formulaire !

Le droit européen a instauré un cadre juridique qui se veut « stable » pour l’ensemble de l’Union européenne. Le texte a pour objectif, comme le rappelle la CNIL, de renforcer le droit des personnes au regard du traitement de leurs données à caractère personnel, tout en responsabilisant les traitants et sous-traitants de ces données.

Me CAHEN Murielle, Avocat, peut être choisi par une société pour être Avocat agissant en tant que délégué à la protection des données .

L’avocat  délégué à la protection des données  a un rôle de conseil et de sensibilisation sur les nouvelles obligations du règlement (notamment en matière de conseil et, le cas échéant, de vérification de l’exécution des analyses d’impact).

« Privacy by Design » signifie littéralement que la protection des données personnelles doit être prise en compte dès la conception du produit ou du service.


Besoin de l’aide d’un avocat pour un problème de rgpd ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Entré en vigueur en mai 2018, le règlement général sur la protection des données (RGPD) fêtera bientôt ses cinq ans. Qu’importe votre situation, si vous collectez des données, une démarche de mise en conformité au règlement devra être initiée.

Afin d’en saisir les contours, cette démarche peut s’appuyer sur la désignation d’un délégué à la protection des données qui se chargera de mettre en œuvre la conformité au règlement européen sur la protection des données pour votre organisme.

La promulgation de ce règlement a permis d’harmoniser le cadre juridique pour l’ensemble de l’Union européenne. Ce texte a, dans un premier temps, permis de renforcer le droit des personnes au regard du traitement de leurs données à caractère personnel.

Dans un second temps, le RGPD a été conçu pour être un rempart face aux dérives et aux risques que les traitements de données peuvent représenter. Pour se faire, il introduit de nouvelles obligations et de nouvelles notions. On pensera par exemple à la notion d’accountability et de privacy by design qui ont pour objectif de responsabiliser les organismes afin de rendre plus effective la protection des données.

Les données sont aujourd’hui des sources de valeur considérable. Elles représentent non seulement des actifs pour les entreprises, mais elles sont également un moyen d’assurer la continuité de leurs activités. Comme le souligne l’ENISA, entre 2021 et 2022, on comptabilise environ une attaque par rançongiciel toutes les onze secondes sur l’ensemble des entreprises situées sur le territoire européen.

Au regard des dangers qui pèsent aujourd’hui sur les entreprises, l’ensemble des dispositions du texte se devront d’être comprises par ces dernières (I) afin d’organiser de manière rapide et efficace leur mise en conformité (II).

I. Le cadre juridique instauré par le RGPD , le régime d’accountability et Privacy by Design

Le texte européen entré en vigueur le 25 mai 2018, prévoit de nouvelles obligations pour les entreprises et, plus largement, tous traitants ou sous-traitants de données à caractère personnel (a). Le non-respect de ces obligations entraîne désormais des sanctions plus lourdes que par le passé (b), dans une volonté non dissimulée d’atteindre un cadre harmonisé.

A) Des obligations nouvelles pour les entreprises et en particulier l’accountability et le « Privacy by Design »

L’entrée en vigueur du texte en mai 2018 renouvelle le cadre de la protection des données et des relations entre ceux qui les fournissent et ceux qui les traitent.

Selon son article 3, ce règlement a vocation à s’appliquer aux entreprises qui traitent des données à caractère personnel, que celles-ci soient établies sur le territoire de l’Union européenne (principe d’établissement) ou non, dès lors que les données traitées concernent les personnes qui se trouvent sur le territoire de l’Union européen (principe de ciblage).

Ce texte insère de nouvelles notions telles que la « Privacy by Design ». Définie à l’article 25 du RGPD, cette notion correspond à la prise en considération de la protection des données dès la conception d’un traitement. Il s’agit aussi bien de la mise en œuvre de mesures techniques et organisationnelles appropriées, telles que la pseudonymisation. Ces mesures sont destinées à mettre en œuvre les principes relatifs à la protection des données.

Elles s’accompagnent des principes énoncés par le règlement, tel que le principe de minimisation des données (notamment pour les données sensibles). Ces mesures visent à assortir le traitement des garanties nécessaires afin de répondre aux exigences fixées par le règlement et tendent à assurer une protection effective des données de la personne concernée.

D’autres points essentiels du ressortent du Règlement, à commencer par la « consécration » du droit à l’oubli. Pour commencer, le texte amène la « consécration  » du droit à l’oubli  » , déjà soutenu par la Cour de justice de l’Union européenne dans l’arrêt Google Spain qui précisait qu’un traitement de données pouvait devenir « avec le temps incompatible avec la directive lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées » .

Les données devront être conservées aussi longtemps que nécessaire et leur accès, leur modification, leur restitution jusqu’à leur effacement sur la demande des individus concernés, devront être garantis.

De même, le texte prévoit que les entreprises devront veiller à ce que seules les données nécessaires à la finalité en cause soient collectées.

Également, les entreprises devront s’assurer du consentement éclairé et informé des individus quant à la collecte et au traitement de leurs données, consentement qu’elles devront pouvoir recueillir et prouver.

Ainsi, les organismes à l’origine d’un traitement de données tel que défini à l’article 4 du règlement, se devront de respecter et d’établir, le cas échéant, les durées de conservation des données. Une liste de mesures à prendre en compte lors de l’établissement d’un traitement de données est disponible à l’article 5.

Par ailleurs, les organismes devront répondre aux demandes d’exercice des droits des personnes concernées. Énoncés au chapitre III, ils devront lorsque la demande en sera faite, garantir l’accès, la modification, la restitution voire l’effacement des données de la personne concernée.

De plus, ils devront à chaque traitement s’assurer d’avoir recueilli le consentement de la personne concernée comme prévu aux articles 7 et 8 du Règlement.

Pour qu’un traitement de données soit considéré comme licite lorsque le consentement n’est pas demandé, l’organisme doit s’assurer d’être dans son bon droit en établissant l’existence d’une base légale conformément à l’article 6.

Pour commencer, le traitement peut intervenir dans le cadre d’une relation contractuelle ou d’une obligation légale.  Il peut également être considéré comme licite lorsqu’il vise l’intérêt général ou la sauvegarde des intérêts vitaux d’une personne. Enfin, il peut s’agir du recours au motif légitime, condition abstraite et très peu utilisée en pratique.

Dans le cas contraire, le traitement (la conservation, l’utilisation, la revente, l’analyse, etc.), n’est pas licite et peut par conséquent faire l’objet de sanction.

Enfin, le texte prévoit également des mesures concernant le respect du droit à la portabilité des données, la mise en place d’un cadre strict pour un tel transfert en dehors de l’Union ainsi que l’obligation pour les entreprises d’informer le propriétaire des données ainsi que la CNIL d’une violation grave des données ou d’un piratage , dans les 72 heures.

B) Des risques accrus pour les entreprises en cas de non-conformité

Depuis l’entrée en vigueur du RGPD de nombreuses formalités auprès de la CNIL ont disparu. En contrepartie, la responsabilité des organismes a été renforcée. Ils doivent en effet assurer une protection optimale des données à chaque instant.

La tâche revient également aux entreprises, en marge des obligations précitées, de veiller à ce que les données soient à tout moment et en tous lieux sécurisés contre les risques de perte, de vol, de divulgation ou contre toute autre compromission.

C’est notamment le cas lors du choix des prestataires informatiques. Les organismes ont un devoir de vigilance et d’information envers les personnes concernées (autrement dit, les personnes dont les données font l’objet d’un traitement).

« Privacy by Design » signifie littéralement que la protection des données personnelles doit être prise en compte dès la conception du produit ou du service.

Pour toute violation de ces dispositions, le texte prévoit notamment des amendes administratives, pouvant s’élever jusqu’à 20 millions d’euros « ?ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent? ».

C’est également l’entreprise qui devra indemniser toute personne lésée matériellement ou moralement par un traitement non conforme de ses données, cette fois-ci sans plafonnement.

Si tel n’est pas le cas, une mise en conformité rapide de votre organisme s’impose donc.
Le RGPD a en effet pour but d’unifier le cadre légal européen en la matière, et tend même à obliger les plus réticents à « jouer le jeu » : on sait que les grandes entreprises comme Google ou Facebook ont déjà été, à plusieurs reprises, rappelées à l’ordre par les CNIL européennes. Les dernières décisions rendues en la matière témoignent de la volonté de faire respecter ce règlement.

La CNIL est venue sanctionner de nombreuses entreprises depuis l’instauration du RGPD, en raison de leur manque de mise en conformité avec le règlement. La sanction la plus importante fut celle de Google, dans une décision du 21 janvier 2019 où la CNIL a prononcé une amende d’un montant total de 50 millions d’euros.

Cette décision fut confirmée par le Conseil d’État dans une décision du 19 juin 2020, qui considère que l’amende de 50 millions d’euros n’était pas disproportionnée.

Après avoir effectué le bilan de son action répressive, la CNIL affirme que l’année 2021 a été un record tant par le nombre de mesures adoptées que par le montant cumulé des amendes, qui atteignait 214 millions d’euros.

L’année 2022 a aussi été marquée par une importante réforme des mesures correctrices de la CNIL, ce qui lui permet d’envisager un traitement plus rapide des plaintes (toujours plus nombreuses) et donc des sanctions.

Cette réforme témoigne de la volonté de donner plus de moyens à la CNIL et de durcir la répression cinq ans après l’entrée en application du RGPD.

Cette décision fut suivie de nombreuses autres amendes pour manquement au RGPD, mais jamais avec un montant aussi élevé. Ainsi dans une décision du 28 mai 2019, l’absence de contrôle des accès aux données conservées par un site internet fut sanctionnée à hauteur de 400 000 euros d’amende.

Dans une décision du 13 juin 2019, l’amende n’a pas dépassé 20 000 euros. Encore récemment, un manquement aux articles 32 et 33 du RGPD fut sanctionné par la CNIL à une amende de 3 000 euros. L’article 32 du RGPD prévoyant l’obligation d’assurer un niveau de sécurité adapté aux risques, en ayant recours à des mesures techniques et organisationnelles appropriées.

Une mise en conformité rapide des entreprises s’impose donc. Le RGPD a en effet pour but d’unifier le cadre légal européen en la matière, et tend même à obliger les plus réticents à « jouer le jeu », dans la lignée de la décision de la CNIL espagnole du 11 septembre dernier, qui a infligé à l’entreprise Facebook une amende administrative d’un montant de 1,2 million d’euros la collecte et le traitement (notamment à des fins publicitaires) de données sensibles sans le consentement des utilisateurs.

Mais il s’avère que les entreprises n’ont pas forcément conscience de la façon dont elles traitent leurs données, ni même plus généralement de l’intégralité des donnés qu’elles traitent et qui peuvent se trouver sur leurs bases de données .

Le RGPD ne doit pas être perçu comme une « obligation » qui s’impose aux entreprises, mais bel et bien comme un élément pour se démarquer du reste des prestataires. Repousser sa mise en conformité revient à repousser un gage de qualité.

Cette transition se doit donc d’être organisée, structurée efficacement, et plusieurs étapes méthodiques apparaissent efficaces dans le suivi de cet objectif.

II. Les étapes de la mise en conformité des entreprises aux nouvelles dispositions

Depuis l’entrée en vigueur de cette réglementation, il convient pour les entreprises et, plus largement, tout responsable de traitement ou sous-traitant de données à caractère personnel, d’initier si tel n’est pas le cas, un processus de mise en conformité. À cet égard, le délégué à la protection des données (A) jouera le rôle de celui en charge d’accompagner l’entreprise dans les différentes étapes (B) de cette transition.

A) Le délégué à la protection des données, « chef d’orchestre » de cette mise en conformité par rapport à l’accountability et le « Privacy by Design »

Même si elle n’est pas obligatoire pour tous les organismes, la désignation d’un pilote paraît essentielle au regard des tâches à accomplir par les entreprises dans le cadre de leur mise en conformité avec le RGPD.

On distingue plusieurs cas dans lesquels la désignation d’un délégué à la protection des données est obligatoire (article 37 du RGPD).

Ainsi la désignation est obligatoire pour les organismes publics et pour toute entreprise responsable du traitement de données sensibles ou de traitement à grande échelle doit désigner un délégué à la protection des données. Il peut s’agir par exemple des ministères, des collectivités territoriales ou encore des établissements publics. En avril 2022, ce sont vingt-deux communes qui ont été mises en demeure par la CNIL afin qu’elles désignent un délégué à la protection des données.

En outre, la désignation s’impose aussi pour les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle. Cela peut correspondre aux compagnies d’assurance ou aux banques pour leurs fichiers clients ou les fournisseurs d’accès internet.

Enfin, les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » (données biométriques, génétiques, relatives à la santé, la vie sexuelle, l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale) ou relatives à des condamnations pénales et infractions devront également procéder à la désignation d’un délégué à la protection des données.

Publié le 13 décembre 2016 par le G29, les lignes directrices concernant le régime du délégué permettent de caractériser cette idée de « grande échelle » sur des critères tels que le nombre de personnes concernées, le volume des données traitées, la durée de conservation et de traitement des données ou encore l’étendue géographique du traitement.

La désignation d’un pilote paraît essentielle au regard de la mise en conformité des entreprises avec le RGPD. Le délégué à la protection des données ( » DPO « ), au sein de l’entreprise, sera en charge de l’organisation des différentes missions à mener dans l’accomplissement d’un tel objectif.

La désignation de celui-ci est rendue obligatoire pour les organismes publics et pour toute entreprise responsable du traitement de données sensibles ou de traitement à grande échelle.

Néanmoins, la CNIL rappelle que si cette obligation n’incombe pas à certaines entreprises, il est « ?fortement recommandé? » d’effectuer une telle désignation, « le délégué (constituant) un atout majeur pour comprendre et respecter les obligations du règlement  » .

Il n’est en effet, pas toujours évident pour une personne étrangère à ce domaine de ne pas cerner les attentes ou les obligations qui découlent de la réglementation. Afin d’être désigné, le délégué doit nécessairement avoir des connaissances juridiques qui lui permettront de rendre intelligible la réglementation auprès de ses collaborateurs.

L’incendie du Datacenter d’OVH illustre parfaitement cette méconnaissance du droit des contrats informatiques. Outre la catastrophe s’abattant sur OVH, un grand nombre de clients avaient souscrit un contrat d’hébergement simple, laissant ces derniers sans possibilité de récupérer leurs données et causant parfois, d’importants préjudices (article avec Me Eric Barbry). La perte de données peut s’avérer fatale pour les plus petites structures, d’où l’importance d’établir un plan de reprise des activités. C’est pourquoi le délégué à la protection des données est un indispensable.

Il ne joue pas qu’un simple rôle de mise en conformité, il joue également un rôle de management des données ce qui permet à la société de comprendre les enjeux de la protection des données. Ce dernier incarne un véritable rôle de conseil, on pourrait presque parler d’un devoir d’information.

Comme le souligne l’article 38 du Règlement, le délégué à la protection des données doit être « associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel (5) ».

Précisé à l’article 39, ce « chef d’orchestre » aura la charge de l’organisation des différentes missions à mener dans l’accomplissement d’un tel objectifLe DPO n’a pas nécessairement à être membre de l’entreprise, puisqu’elle peut être liée avec lui sur la base d’un contrat de service. Il est soumis au secret professionnel ou à une obligation de confidentialité.

Le DPO devra jouer le rôle d’un coordinateur, à savoir comprendre et cerner les nouvelles obligations prévues par le texte, et guider le responsable du traitement en fonction.

Ceci étant, le délégué n’endosse pas la responsabilité d’une éventuelle non-conformité du traitant ou sous-traitant des données aux dispositions du Règlement?; il est fortement conseillé pour lui néanmoins de garder les traces de son travail par une documentation précise (notamment dans les cas où l’entreprise n’aurait pas suivi ses recommandations).

B) Les détails du processus de transition pour les entreprises

Une fois le DPO désigné, l’entreprise devra alors engager un processus de transition en trois étapes.

La première consiste à lister de manière précise et concise l’intégralité des données traitées, ainsi que les acteurs de ce traitement.

Pour ce faire, la tenue d’un registre des traitements peut être une solution : l’entreprise y consignera toutes les informations relatives aux traitements et aux traitants, à savoir la nature des données, leur provenance ou encore la manière dont elles sont traitées.

Cependant les registres de traitement sont allégés pour les entreprises de moins de 250 salariés.

Pour rappel, l’obligation de tenir un registre des traitements concerne tous les organismes, publics comme privés, et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.

Par la suite, il conviendra de prendre les mesures nécessaires pour garantir un traitement respectueux des nouvelles dispositions. Dans un premier temps, il conviendra de s’assurer que ces traitements s’appuient sur des bases légales toujours en vigueur et qu’ils respectent les droits des utilisateurs.

Dans un second temps, il s’agira de procéder à une vérification des mesures de sécurité déployées puis de s’assurer qu’ils respectent les principes liés à la transparence prévus par le texte.

À ce titre, une analyse d’impact sur la protection des données peut s’avérer pertinente : en effet ce type d’étude permet d’évaluer précisément les conséquences du traitement en vigueur dans l’entreprise sur la protection des données et le respect des droits des usagers.

Enfin, la dernière étape consistera pour l’entreprise en une consignation par écrit d’une documentation prouvant la conformité de l’entreprise à la nouvelle réglementation. Il s’agit du processus d’accountability qui se réalise au fur et à mesure de l’exécution des précédentes consignes. Ce processus permet de dresser l’état d’avancement de la mise en conformité en interne, de s’organiser plus facilement et d’assurer un respect en continu de la protection des données traitées.

L’accountability est une démarche permanente qui permet de prouver que le respect des règles fixées par le RGPD.

Pour lire une version plus complète sur la RGDP, cliquez

Sources :

(1) https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels
(2) http://www.ladn.eu/nouveaux-usages/etude-marketing/rgpd-entreprises-retard-lapplication-reglementation/
(3) Idem
(4)http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d0f130d531e9daf43fa64f7b82f3a43da182cc55.e34KaxiLc3eQc40LaxqMbN4PaNiMe0?text=&docid=152065&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=500062
(5) https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article37
(6) https://www.cnil.fr/fr/designer-un-pilote
(7) https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes
Décision CNIL 21 janvier 2019
https://www.cnil.fr/sites/default/files/atoms/files/san-2019-001_21-01-2019.pdf
Décision Conseil d’Etat, 19 juin 2020, n° 430810
https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2020-06-19/430810
Décision CNIL, 28 mai 2019, SAN-2019-005
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038552658/
Décision CNIL, 13 juin 2019, SAN-2019-006
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038629823/
Décision CNIL, 7 décembre 2020, SAN-2020-014
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042675720

Y-a-t-il des clauses abusives dans les conditions générales de l’Apple store et de Google store?

Les conditions générales de vente (CGV) entre professionnels constituent le socle de la négociation commerciale et peuvent être différenciées selon les catégories d’acheteurs. Elles doivent être communiquées à tout acheteur professionnel qui en fait la demande. L’Apple store et Google store régulent leurs relations avec les développeurs d’applications à l’aide de ces CGV. Ces géants des applications pour smartphones doivent réguler leurs CGV de manière à ne pas comporter de clauses abusives à l’encontre des développeurs.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Selon l’article L.212-1 du Code de la consommation, les clauses abusives sont des clauses qui ont pour objet ou pour effet de créer un déséquilibre significatif entre les droits et les obligations des parties au contrat. Définie par la loi LME, la notion déséquilibre significatif est un « un système de sanction dissuasive visant à empêcher les abus de puissance d’achat ou de vente ». C’est l’article L.442-1-I-2 ° du Code de commerce qui sanctionne le fait pour un partenaire commercial « De soumettre ou de tenter de soumettre l’autre partie à des obligations créant un déséquilibre significatif dans les droits et obligations des parties. ». Par conséquent, ces clauses abusives sont réputées non écrites.

Le déséquilibre significatif est apprécié par la jurisprudence comme pouvant être une absence de réciprocité dans le contrat, une absence de contrepartie ou une absence de négociation. Le déséquilibre se déduit d’une relation contractuelle qui ne bénéficie qu’à une seule partie, unilatéralement. Le Code civil précise à l’article 1171 que « l’appréciation du déséquilibre significatif ne porte ni sur l’objet principal du contrat ni sur l’adéquation du prix à la prestation ». Ainsi pour déterminer qu’il y a un déséquilibre significatif, il faut analyser l’équilibre économique du contrat.


Besoin de l’aide d’un avocat pour un problème de cgv?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien


Il s’agit de savoir si les CGV de l’Apple Store ou de Google play store, distributeurs d’applications pour smartphones, comportent des clauses abusives au regard du droit français et du droit européen.

I. Les conditions générales de ventes face aux clauses abusive

A) Règles générales des CGV

L’article L 441-1 du Code de commerce indique que « Toute personne exerçant des activités de production, de distribution ou de services qui établit des conditions générales de vente est tenue de les communiquer à tout acheteur qui en fait la demande pour une activité professionnelle. Cette communication s’effectue par tout moyen constituant un support durable […] Dès lors que les conditions générales de vente sont établies, elles constituent le socle unique de la négociation commerciale ». On a donc une obligation de communication des CGV qui s’adresse au vendeur, l’idée étant de permettre à tout acheteur de pouvoir comparer avant de contracter. Il y a donc une obligation de communication qui est prévue par ce texte, mais cette obligation est conditionnée par une démarche préalable et active de l’acheteur. Le fait pour l’acheteur de demander la communication des CGV créé une obligation pour le vendeur. Cette obligation préexistait à l’ordonnance de 2019, puisque dans un arrêt du 29 mars 2017 la Cour de cassation avait retenu le caractère fautif du refus de communication des CGV.

Ce texte nous dit par ailleurs que les CGV constituent le socle de la négociation commerciale. Cela signifie que les négociations vont être rythmées, et on va imposer qu’elles commencent d’un point de vue chronologique par les conditions générales de vente du vendeur. C’est une façon de protéger l’acheteur, car on va empêcher que les négociations ne commencent par les conditions générales d’achats du vendeur qui sont plus puissantes.

Ainsi, chaque fois qu’on va renverser une CGV, on va aboutir à des conditions particulières de ventes, spécialement conçues entre ce vendeur et cet acheteur, à un moment précis. Ces conditions particulières de vente prévues à l’alinéa 5 de l’article ne sont pas soumises à des obligations de communication, elles sont opaques, elles sont un véritable secret dans les affaires, contrairement aux CGV.

Par ailleurs, le professionnel qui dérogerait à l’obligation de communication de ses conditions générales de ventes s’expose à l’amende administrative de l’article L. 441-1-IV du Code de commerce dont le montant maximal est de 15 000 euros pour une personne physique et de 75 000 euros pour une personne morale.

En outre, encours une amende pénale de 75 000 euros pour une personne physique et de 375 000 euros pour une personne morale, le professionnel qui n’indiquerait pas dans les conditions de règlement les mentions légales ou qui fixerait un taux ou des conditions d’exigibilité non conformes aux prescriptions également précisées ci-dessus. Cette amende peut être portée à 150 000 euros pour une personne physique et de 750 000 euros pour une personne morale, en cas de réitération du manquement dans un délai de 2 ans.

Une autre amende administrative est prévue à l’article L.441-16 du code de commerce, d’un montant ne pouvant excéder 75 000 euros pour une personne physique et deux millions d’euros pour une personne morale. Cette amende pourra être prononcée si le professionnel n’indique pas dans les conditions de règlement les mentions légales ou si ce dernier fixerait un taux ou des conditions d’exigibilité de retard non conformes aux prescriptions également précisées ci-dessus.

En cas de clauses abusives dans les CGV, celles-ci devront être supprimées des supports comme l’a rappelé un arrêt de la Cour d’appel de Paris du 29 octobre 2020. Bien que non retenue en l’espèce, la Cour rappelle que l’accessibilité réduite des CGV est une pratique condamnable.

B) Réglementation sur les clauses abusives

L’article  L. 212-1 du Code de la consommation indique que « Dans les contrats conclus entre professionnels et consommateurs, sont abusives les clauses qui ont pour objet ou pour effet de créer, au détriment du consommateur, un déséquilibre significatif entre les droits et obligations des parties au contrat. ».

Un décret en Conseil d’État, pris après avis de la commission instituée à l’article L. 822-4, détermine une liste de clauses présumées abusives ; en cas de litige concernant un contrat comportant une telle clause, le professionnel doit apporter la preuve du caractère non abusif de la clause litigieuse.

Un décret pris dans les mêmes conditions détermine des types de clauses qui, eu égard à la gravité des atteintes qu’elles portent à l’équilibre du contrat, doivent être regardées, de manière irréfragable, comme abusives au sens du premier alinéa.

Ces dispositions sont applicables, quels que soient la forme ou le support du contrat ( bons de commande, factures, bons de garantie, bordereaux ou bons de livraison, billets ou tickets, contenant des stipulations négociées librement ou non ou des références à des conditions générales préétablies).

Le caractère abusif d’une clause s’apprécie en se référant, au moment de la conclusion du contrat, à toutes les circonstances qui entourent sa conclusion, de même qu’à toutes les autres clauses du contrat. Il s’apprécie également au regard de celles contenues dans un autre contrat lorsque la conclusion ou l’exécution de ces deux contrats dépendent juridiquement l’une de l’autre.

Les articles R.212-1 et R.212-2 du Code de la consommation distinguent deux types de clauses abusives : les clauses grises et les clauses noires. Les clauses noires sont présumées être abusives de manière irréfragable, c’est-à-dire que l’on ne peut pas y apporter la preuve contraire.  Les clauses grises quant à elles, sont présumées abusives. C’est-à-dire qu’en cas de litige c’est le professionnel qui doit apporter la preuve du caractère non abusif de la clause.

II) Les clauses abusives des conditions générales de l’Apple Store et du Google Store

A) Les CGV de google play store

Diverses obligations rentrent en ligne de compte vis-à-vis des développeurs d’applications au sein de google play store. L’installation en premier lieu est à la charge du développeur et Google refuse toute application qui ne serait pas installée convenablement sur la boutique en ligne. Un contrôle sur la qualité du produit mis en ligne est donc exercé dès l’installation.

Le contenu de l’application en second lieu doit être fidèle à la présentation qui en est faite. Elle ne doit pas présenter de contenu à caractère pornographique ou violent.

Les CGV de Google play store prévoient une responsabilité du développeur du fait de son application. En effet, il est seul responsable de l’assistance des produits mis en ligne donc des préjudices nés du téléchargement de son application. De fait, Google se décharge complètement d’une quelconque responsabilité à l’égard du développeur, mais aussi de l’utilisateur. Cette limitation de responsabilité est très large. Sur ce point, un arrêté du 18 décembre 2014 est intervenu,  relatif aux informations contenues dans les conditions générales de vente en matière de garantie légale.

Pris sur le fondement de l’article 14 de la loi n° 2014-344 du 17 mars 2014 relatif à la consommation, l’arrêté précise, qu’en application de l’article L. 211-2 du Code de la consommation, les conditions générales de vente des contrats de consommation doivent comporter les noms et adresses du vendeur garant de la conformité des biens au contrat, permettant au consommateur de formuler une demande au titre de la garantie légale de conformité prévue aux articles L. 217-4 et suivants du Code de la consommation ou de la garantie des défauts de la chose vendue au sens des articles 1641 et suivants du Code civil. À ce titre, non seulement le développeur, mais également la société Google, vendeur en l’espèce lorsqu’elle propose des applications sur sa plateforme, devraient être susceptibles d’engager leur responsabilité.

Le tribunal de commerce de Paris le 28 mars 2022 a condamné Google au paiement d’une amende de 2 millions d’euros pour avoir imposé sept clauses abusives dans ses contrats de distribution aux développeurs d’applications sur son Play store. Les clauses litigieuses sont en date de 2015 et 2016. Une de ces clauses imposait, sans négociation possible, un prélèvement de 30 % à destination de Google sur le prix de chaque application mobile.

S’agissant de l’obligation de respect de la vie privée des utilisateurs, Google se conforme dans ses conditions d’utilisation de la boutique en ligne au Règlement général sur la protection des données (RGPD) de l’Union européenne relatives au traitement des données à caractère personnel des utilisateurs. Ainsi, une clause prévoit que le développeur doit « faire preuve de transparence concernant la façon dont il gère les données utilisateur, telles que les informations fournies par l’utilisateur ou obtenues à son sujet, y compris les informations provenant des appareils. Autrement dit, les développeurs doivent informer l’utilisateur en cas de collecte, d’utilisation et de partage desdites informations, et les utiliser exclusivement aux fins indiquées. » Ainsi, tout traitement de données à caractère personnel des utilisateurs doit faire l’objet d’une autorisation préalable. Ce principe a encore été rappelé récemment par un arrêt de la Cour d’appel de Toulouse le 18 mai 2020.

B) Les CGV de l’Apple Store

Qualifié par certains « d’intermédiaire technique » entre le développeur et le consommateur final, se revendiquant ainsi du statut protecteur d’hébergeur prévu par la LCEN dans son article 6, Apple impose néanmoins les règles du jeu à travers ses CGV dans ses relations avec le développeur de l’application.

Apple a affirmé que l’App Store d’Apple avait généré 519 milliards de dollars en facturation et en ventes à l’échelle mondiale pour la seule année 2019. Apple prévoyant une répartition des revenus, l’éditeur d’une application perçoit 70 % des revenus tandis que Apple perçoit 30 % des revenus.

C’est notamment sur ce sujet des 30 %, que tout comme Google, qu’Apple fait l’objet d’une assignation par la DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes). En effet, Appel perçoit 30 % sur tous les achats effectués depuis son application, le pourcentage est le même sur les abonnements. Cette clause litigieuse est également pointée du doigt par d’autres pays européens, c’est notamment le cas de l’Autorité de la concurrence néerlandaise.

Pour empêcher ses pratiques, le projet de règlement « Digital Markets Act » (DMA) prévoit que les géants d’internet devront autoriser l’installation d’application à partir de sources extérieures à leurs stores. Ainsi, ce pourcentage de 30 % ne serait plus applicable, car l’achat ne passerait plus par leurs boutiques.

Apple est donc un géant dans le domaine, si ce n’est LE géant. Ainsi, la société propose au sein de ses CGV des conditions classiques liés au développement des applications, telles que des conditions d’adhésion pour les développeurs et des conditions de rémunération s’élevant à 70 % des sommes générées par le développement des applications. Les CGV ne semblent donc pas contenir de clauses abusives.

Toutefois, et comme le parallèle fait avec Google play store, ce sont peut-être les conditions de garanties qui se détachent. En effet, Apple ne prévoit de garantir ni le développeur ni l’internaute contre les dommages causés aux appareils mobiles qui résulteraient des applications téléchargées. Ensuite, les conditions de distribution stipulées par Apple prévoient que le développeur doit respecter les dispositions du Règlement général sur la protection des données (RGPD) du 23 mai 2018 relative à la protection des données personnelles des internautes. Par ailleurs, Apple s’autorise à retirer d’office de la plateforme, sans en avertir le développeur, toute application dont le contenu serait jugé contraire aux conditions d’utilisation stipulées.
Malgré tout, Apple n’est pas sans reproche, vu que dans une décision du 9 juin 2020, la société a été condamnée pour non-respect du RGPD. Dans ce même jugement, le tribunal judiciaire de Paris a déclaré que plusieurs clauses des conditions générales d’ITunes et d’Apple Music étaient illicites ou abusives.

Pour lire une version plus complète de cet article sur les clauses abusives du Google store, cliquez

Sources :

http://www.cgv-expert.fr/article/conditions-adhesion-android-market-editeurs_45.htm
http://store.apple.com/fr
http://blog.goodbarber.com/fr/Comment-creer-son-compte-developpeur-chez-Apple_a275.html
http://economie.lefigaro.fr/app-store-apple.html
https://support.google.com/googleplay/android-developer/answer/10355942?hl=fr
https://www.apple.com/fr/newsroom/2020/06/apples-app-store-ecosystem-facilitated-over-half-a-trillion-dollars-in-commerce-in-2019/
Le règlement général sur la protection des données – RGPD
https://www.cnil.fr/fr/reglement-europeen-protection-donnees
Com. 3 mars 2015, 13-27.525
https://www.legifrance.gouv.fr/juri/id/JURITEXT000030324689/
Cons. const. 13 janv. 2011, n° 2010-85 QPC
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000023418391
Com. 29 mars 2017, 15-27.811
https://www.legifrance.gouv.fr/juri/id/JURITEXT000034340247
CA Paris 29 octobre 2020
CA Toulouse 18 mai 2020
Tribunal judiciaire de Paris, jugement rendu le 9 juin 2020
https://www.legalis.net/jurisprudences/tribunal-judiciaire-de-paris-jugement-rendu-le-9-juin-2020/
Article 1171 du Code civil
https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000036829836/#:~:text=Dans%20un%20contrat%20d’adh%C3%A9sion,contrat%20est%20r%C3%A9put%C3%A9e%20non%20%C3%A9crite.
Article L.212-1 du Code de la consommation
https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000032890812/
Articles L. 217-4 et suivants du Code de la consommation
https://www.legifrance.gouv.fr/codes/section_lc/LEGITEXT000006069565/LEGISCTA000032221261/#LEGISCTA000032226953
Article L. 822-4 du Code de la consommation
https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000032224234
Articles R.212-1 du Code de la consommation
https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000032807196/
Articles R.212-2 du Code de la consommation
https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000032807198/
Article L 441-1 du Code de commerce
https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000038414469/#:~:text=II.,moyen%20constituant%20un%20support%20durable.
Article L.442-1-I-2 ° du Code de commerce
https://www.legifrance.gouv.fr/codes/id/LEGIARTI000038414237/2019-04-26/