Protection des échanges

Protection des échanges

Vers une légitime défense des entreprises face au piratage de données ?

Depuis l’arrivée du numérique dans nos vies le monde assiste à l’émergence de nouvelles menaces. L’information, désormais surabondante, est devenue stratégique et fait l’objet de convoitises. C’est ainsi que la guerre de l’information représente un risque tant pour les États que pour les entreprises de toutes les tailles et de tous les domaines.

La préservation d’informations sensibles est un enjeu majeur pour les entreprises.  Le droit pénal appliqué à la fraude liée au numérique demeure du droit pénal. La criminalité informatique est très difficile à relever et sa découverte est souvent hasardeuse. Cette difficulté est renforcée par le caractère transfrontalier de l’activité frauduleuse. Aussi les entreprises auraient de plus en plus tendance à se protéger en amont contre cette criminalité numérique. Mais quelles sont les possibilités qui s’ouvrent à elles ?

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Aux États-Unis, la violation de la propriété intellectuelle d’entreprises américaines coûte chaque année plusieurs centaines de milliards de dollars. La Chine serait à ce titre responsable de 50% à 80% des atteintes. Mais la Russie, l’Inde et d’autres pays qui disposent d’un environnement juridique peu élaboré en ce qui concerne les droits de propriété intellectuelle et de politiques industrielles protectionnistes, constituent tout autant des acteurs importants de ce phénomène. Outre la perte énorme de revenus pour ceux qui ont créé les inventions ou acheté des licences, ces atteintes mettent à mal les incitations à innover pour les entrepreneurs.

Les recours juridiques en matière de propriété intellectuelle ne suivent pas, car la lenteur de ces recours ne répondant pas aux besoins des entreprises dont les produits ont des cycles de vie et de profit courts. Ainsi, la coopération aux plans national et international n’a cessé de croitre en matière de lutte contre la cybercriminalité. La lutte contre les cybermenaces passe en effet incontestablement par des réponses coordonnées au niveau international.

Ce caractère transnational impose aux États la mise en place d’actions concertées visant à établir des politiques de coopération européenne et internationale en matière de lutte contre la cybercriminalité. C’est dans ce cadre que la Directive 2013/40/UE relative aux attaques contre les systèmes d’information a été adoptée le 12 août 2013 par le Parlement européen et devra être transposée en droit interne avant le 4 septembre 2015 et est entrée en vigueur le 3 septembre 2019. A cette occasion, le droit européen s’était emparé de la question du vol de données . Mais face à l’évolution des nouvelles technologies et de la cybercriminalité, cette directive a par la suite été complétée en 2016 à la suite de l’adoption de la directive NIS 1.


Besoin de l’aide d’un avocat pour un problème de piratage informatique ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Plus récemment, la Directive NIS 2 a été adoptée et son nouveau cadre a permis une actualisation des notions ainsi qu’une amélioration de la coopération européenne face à l’évolution du paysage des cybermenaces. Elle conserve cependant les objectifs annoncés par sa première version et promet d’augmenter la cyber résilience des systèmes informatiques, de réduire la cybercriminalité et de renforcer la politique de l’Union européenne en matière de cybersécurité et de cyberdéfense à l’échelle internationale.

Nous observerons avant tout la situation française avec dans un premier temps une mise au point du cadre des vols de données (I) pour ensuite observer les conséquences sur l’entreprise (II).


I. Quel cadre pour le vol de données ?

La France s’est dotée d’un arsenal répressif pour lutter contre la fraude informatique en 1988, avec la loi Godfrain, qui punit les atteintes aux systèmes de traitement automatisé des données. Cette loi a été complétée à de multiples reprises afin d’adapter la prévention et la répression à l’évolution des cyberattaques.

A) Qualification légale du vol de données

La loi du 13 novembre 2014, renforçant les dispositions relatives à la lutte contre le terrorisme opère, par son article 16, un changement de rédaction de l’article 323-3 du Code pénal, permettant de réprimer le vol de données, sans toutefois recourir à la qualification de vol. Cet article vient ainsi sanctionner la copie frauduleuse de données, dans une optique de protection accrue de « l’économie de la connaissance ». Les informations sont en effet des éléments de valeurs qu’elles soient matérielles ou immatérielles. Il s’agit non seulement de garantir la protection du secret des affaires mais également d’enjeux de réputation.

Auparavant les juridictions s’appuyer sur les dispositions de l’article L311-1 du Code pénal pour sanctionner le vol de données. Or, cet article posait plusieurs limites en ce qu’il qualifie de vol « la soustraction frauduleuse de la chose d’autrui ». Deux éléments sont à dégager de cette définition. En premier lieu, le vol doit porter sur une chose et en second lieu, il faut que cette chose soit soustraite. En outre, il ressort d’une jurisprudence constante que le vol doit reposer sur un élément matériel.

Dans un arrêt de la Cour de cassation en date du 4 mars 2008, le vol de données a été caractérisé suivant une double condition : le fait non seulement du détournement du support sur lequel se trouvaient les données, mais en plus, du caractère secret des informations concernées. En outre, cet arrêt insistait longuement sur la nécessaire matérialité du vol. Néanmoins, ce raisonnement laissait d’ores et déjà entrevoir la réflexion selon laquelle le vol pourrait être caractérisé dès lors que les opérations effectuées allaient à l’encontre de la volonté du propriétaire des données. Le caractère secret des informations manifeste l’expression de la propriété physique sur des données immatérielles, répondant ainsi aux critères posés par le Code pénal.

Ainsi, la difficulté liée au vol de données informatiques d’un point de vue juridique s’expliquait d’une part par le caractère immatériel des données et d’autre part, par le fait que dans la plupart des affaires, les données étaient simplement copiées et non pas soustraites. Ce constat a d’ailleurs été pris en compte à l’occasion de la modification de l’article 323-3 du Code pénal. L’incrimination de la reproduction et de l’extraction de données par cet article permet donc de s’assurer de manière certaine de la répression de ces comportements.

La « fraude informatique » c’est-à-dire l’ensemble des agissements intéressant l’informatique qu’on peut tenir pour répréhensibles, est multiforme. Il peut ainsi s’agir de :

Manipulations informatiques : manipulation des données à saisir à l’entrée du système ; manipulation de programmes ; manipulation au niveau des commandes du terminal ; manipulation des données à la sortie ; utilisation abusive de services informatiques sur place ou à distance ; intrusion informatique .

Espionnage par ordinateur : vol de logiciel ; vol d’information ou utilisation abusive d’informations.

Sabotage de l’ordinateur : destruction ou altération des données ; actes de vandalisme.

Délits économiques usuels, c’est-à-dire détournement de fonds en utilisant des moyens informatiques.

Il faut par ailleurs faire une opposition fondamentale selon que les « biens informatiques » sont l’objet de la fraude (sabotage de l’ordinateur par exemple) ou qu’ils sont le moyen de la fraude (l’ordinateur servant, par exemple, à réaliser une escroquerie). Mis en avant par MM. Devèze et Gassin, ce clivage a son importance.

Ainsi, dans un arrêt de la Cour de cassation du 4 mars 2008, le vol de données a été caractérisé suivant une double condition : le fait non seulement du détournement du support sur lequel se trouvaient les données, mais en plus, du caractère secret des informations concernées. En outre, cet arrêt insistait longuement sur la nécessaire matérialité du vol. Néanmoins, ce raisonnement laissait d’ores et déjà entrevoir la réflexion selon laquelle le vol pourrait être caractérisé dès lors que les opérations effectuées allaient à l’encontre de la volonté du propriétaire des données. Le caractère secret des informations manifeste l’expression de la propriété physique sur des données immatérielles, répondant ainsi aux critères posés par le Code pénal.

Cette délinquance est ainsi diversifiée, complexe et très souvent internationale. Par ailleurs, la motivation des cyber délinquants est particulièrement variée (gain financier, défi technique, défense d’une idéologie, espionnage industriel, etc.). Plus grave encore, 80% des cyberattaques sont internes aux entreprises.

B) Quelle réponse des entreprises face au vol de données ?

Entreprise sensible ou pas, chacun possède des informations stratégiques qui peuvent entraîner des conséquences plus ou moins graves en cas de divulgation, modification, ou perte de celles-ci. Elles sont donc vitales pour la structure. Une information stratégique est une information qui, quel que soit son contenu ou sa forme, pourrait avoir des conséquences graves sur la vie de l’entreprise, de ses employés, de ses clients, partenaires ou fournisseurs.

L’Article 122-5 al. 1 du Code pénal énonce que « n’est pas pénalement responsable la personne qui, devant une atteinte injustifiée envers elle-même ou autrui, accomplit, dans le même temps, un acte commandé par la nécessité de la légitime défense d’elle-même ou d’autrui, sauf s’il y a disproportion entre les moyens de défense employés et la gravité de l’atteinte ». Pourrait-on appliquer cet article à la personne morale de l’entreprise en cas d’attaque informatique ? Cette question reste en suspens, mais les autorités s’en saisissent de plus en plus en développant un cadre législatif autour de ce phénomène.

 Ainsi, un rapport de 55 propositions sur la cybercriminalité remis en juin 2014 permet de mettre en relief trois objectifs : une volonté de mieux appréhender le phénomène, de mieux prévenir les infractions et de mieux les réprimer. Ce rapport propose d’aborder une définition de la cybercriminalité en proposant que celle-ci regroupe « toutes les infractions tentées ou commises à l’encontre ou au moyen d’un système d’information et de communication, principalement internet ». Il aborde ainsi l’implication des professionnels, la mise en place d’une agence de régulation et le développement de peines spécifiques.

Par ailleurs, des services spécialisés se sont développés au niveau national. L’explosion du nombre des cyberattaques a contraint la France à adopter une véritable politique de défense afin de protéger ses systèmes d’information.

  • l’Agence nationale de sécurité des systèmes d’information (ANSSI), créée en juillet 2009 et chargée de proposer des règles en matière de protection des systèmes d’information de l’État ;
  • l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), chargé de lutter contre toutes les infractions liées aux nouvelles technologies de l’information et de la communication ;
  • la Bridage d’enquêtes sur les fraudes aux technologiques de l’information (BEFTI), qui intervient principalement sur des problématiques de propriété intellectuelle notamment en cas d’atteinte aux systèmes d’information ;
  • le Service technique de recherches judiciaires et documentation (STRJD) qui a pour fonction de centraliser et exploiter les informations judiciaires qui lui sont transmises par l’ensemble des unités de la gendarmerie nationale notamment sur les infractions relatives à la transmission de données à caractère illicite sur Internet.

L’adoption de la loi d’orientation et de programmation du ministère de l’intérieur (LOPMI) le 24 janvier 2023 prévoit une hausse du budget de l’Intérieur de 15 milliards d’euros sur les cinq prochaines années, pour investir dans le numérique, pour une plus grande proximité des services et pour mieux prévenir les menaces et les crises.  Elle promet également le déploiement de 1 500 cyberpatrouilleurs supplémentaires. Ce déploiement de moyens témoigne de la nécessité d’investir massivement dans le domaine technologique au regard des enjeux qui en ressortent.

Au cœur de l’entreprise, les bons réflexes à adopter sont, outre une préparation en amont consistant en un état des lieux des données sensibles et une information constante des équipes, la nécessité d’être réactif face à une attaque. Selon Christophe d’Arlhac, consultant et dirigeant, sont d’abord et avant tout la sensibilisation des collaborateurs, la fixation de règles pour l’utilisation du système d’information et le renforcement de la sécurité de ce système. Ainsi, en cas d’attaque, le comportement à adopter dépendra de la stratégie d’attaque. La cyberassurance s’avère être également une solution émergente. Outre le recouvrement des coûts liés à une attaque cybercriminels, disposer d’une cyberassurance permet à l’entreprise de disposer de réseaux d’experts qui permettent de réagir rapidement. Par contre, elle ne s’adapte pas à tout contexte, c’est pourquoi un certain nombre de questions doivent se poser avant de souscrire une cyberassurance : les besoins de la société, le type de cyberassurance, les conditions de déclenchement de celle-ci, etc.

Comme le relève Eric Hazane « Si les cas de cyberattaques frappant les grands groupes industriels focalisent l’attention des médias, les PME sont quotidiennement visées par des cyberattaquants appâtés par la vulnérabilité de petites structures peu ou pas protégées, faute de moyens ou de sensibilisation à la nouvelle économie numérique. »

L’entrée en vigueur du RGPD le 25 mai 2018 a permis d’harmoniser les règles européennes applicables à la protection des données à caractère personnel et pose notamment une obligation générale de sécurité aux entreprises qui doivent mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques.

Aujourd’hui nombreux sont les sites dédiés à ce sujet et édités par les autorités compétentes en la matière. Il est à ce titre possible de citer le site internet de l’ANSSI ou encore de la CNIL qui regorgent de recommandations et de guides qui permettent de sensibiliser les différents acteurs aux enjeux et réglementations en vigueur.

De plus, l’épidemie de Covid-19 a accéléré l’usage du numérique et a marqué une nouvelle étape dans la progression des cyber menaces. Selon les observations de l’Agence de l’Union Européenne pour la cybersécurité (ENISA), entre avril 2020 et juillet 2021, les incidents liés aux principales menaces de cybersécurité touchent d’abord l’Administration publique et le Gouvernement, les fournisseurs de services numériques, mais également le grand public, le secteur de la santé et médical et enfin le domaine de la finance et bancaire.

L’ENISA comptabilise environ une attaque par rançongiciel toutes les onze secondes sur/dans l’ensemble des entreprises situées sur le territoire européen. Ces mêmes attaques ciblent les structures les plus fragiles, notamment les PME, TPE et start-up, qui manquent de moyens pour sécuriser leur système d’information.

La cyber assurance s’avère être également une solution émergente pour couvrir de tels risques. Outre le recouvrement des coûts liés à une attaque cybercriminels, disposer d’une cyber assurance permet à l’entreprise de disposer de réseaux d’experts qui permettent de réagir rapidement. En revanche, elle ne s’adapte pas à tout contexte, c’est pourquoi un certain nombre de questions doivent se poser avant de souscrire une cyber assurance : les besoins de la société, le type de cyber assurance, les conditions de déclenchement de celle-ci, etc.

Comme le précise le rapport sur le développement de l’assurance cyber risque, publié en septembre 2022, « L’assurance a un rôle clé à jouer à la fois pour protéger le tissu économique mais aussi pour sensibiliser les entreprises, en particulier les TPE/PME, à leur exposition au risque cyber. »

Par ailleurs, la loi LOPMI du 24 janvier 2023 fixe un nouveau cadre pour les clauses de remboursement des cyber-rançons par les assurances. Le remboursement sera désormais conditionné au dépôt d’une plainte de la victime dans les 72h après connaissance de l’infraction. Cette obligation est limitée aux professionnels et devrait s’appliquer 3 mois après la promulgation de la loi. Elle a pour objectif d‘améliorer l’accès à ces informations par la police et la justice.

II – Quelles conséquences pour les entreprises ?

            A) L’e-reputation à l’épreuve des piratages

 La cybercriminalité fait également peser un «risque de réputation » significatif sur les entreprises. En cas d’attaque, leurs données personnelles ainsi que celles de leurs partenaires commerciaux ou clients peuvent être dérobées et divulguées. L’impact peut ainsi s’avérer préjudiciable non seulement pour la réputation, mais encore pour la crédibilité de l’entreprise auprès de ses partenaires.

L’e-réputation est un phénomène assez récent. Il s’agit non seulement de l’image que l’entreprise donne d’elle-même sur internet, mais également du ressenti qu’ont les consommateurs à son propos. Le numérique a considérablement complexifié les rapports entre les consommateurs et l’entreprise, permettant un dialogue entre les différentes parties grâce à de nouveaux supports que l’entreprise ne peut pas forcément contrôler. Bien que le web ait permis un surplus de création de valeur ajoutée non négligeable pour les entreprises, il a fait dépendre des internautes la réputation des  entreprises.

La première des urgences pour l’entreprise reste de protéger sa réputation auprès de ses clients pour préserver ses relations commerciales. Elle doit également restaurer la confiance des actionnaires et du grand public, mais aussi maintenir son chiffre d’affaires prévisionnel et éviter des pertes financières non provisionnées. Pour ce faire, le dirigeant doit faire appel d’abord à un expert IT, pour déterminer l’origine de l’attaque, la circonscrire, identifier les données impactées, réparer la faille et upgrader le système. Il va également recourir aux services d’un spécialiste de la communication de crise, pour contrôler les conséquences de l’attaque sur la réputation de son entreprise (plan de communication media, training des porte-paroles, etc.), ainsi qu’à un avocat pour gérer les relations avec les régulateurs et les tiers (clients, employés, etc.).

B) Illustrations récentes des cas de vol de données

En février 2014, l’opérateur annonce avoir été victime d’un piratage informatique.  Cette attaque de grande ampleur a mis en cause une masse extrêmement importante de données personnelles . Même si l’opérateur a annoncé par la suite que l’intrusion a été éphémère, et que l’intégrité des codes personnels n’a pas été menacée, des menaces de phishing ont pesé sur les clients par le biais de sollicitations douteuses qu’ils pourraient recevoir par email.  C’est en tout pas moins d’1,3 million de personnes qui auraient été touchées par le vol des données.

Autre affaire très récente, les dirigeants de Sony Pictures ont reconnu que le studio de cinéma a été victime d’un vol « très important de données confidentielles » au cours d’une attaque informatique sophistiquée. Les pirates auraient dérobé « des données personnelles d’employés, de l’entreprise et de tiers » ainsi que des documents. Par ailleurs, cinq films de Sony Pictures, y compris certains qui ne sont pas encore sur les écrans ont aussi été piratés.

Cette attaque informatique est encore aujourd’hui, l’une des plus importantes jamais subies par une entreprise aux États-Unis.

Lors de cette attaque, les pirates ont dérobé des données personnelles d’employés, de l’entreprise et de tiers, ainsi que des documents. Par ailleurs, plusieurs films de Sony Pictures, dont certains qui n’étaient pas encore sortis sur les écrans ont été piratés.
Le 19 décembre 2014, le Federal Bureau of Investigation (FBI) a assuré avoir « récolté suffisamment d’informations pour conclure que le gouvernement nord-coréen est responsable de ces actions ». Cette attaque aura non seulement entraîné des répercussions sur les employés de la société Sony Pictures, mais également sur les bénéfices que la société projetait de faire.

En septembre 2022 ce sont les données personnelles de clients orange Cyberdéfense qui se sont retrouvées en ligne. Le fichier mis en ligne sur un forum cybercriminel contenait les données personnelles d’environ un millier de clients (dont le groupe Le Monde) de la solution Micro-SOC Endpoint, commercialisée par Orange Cyberdéfense.

Ce fichier représente une véritable menace pour les entreprises clientes mais également pour les employés chargés de la cybersécurité de ces entreprises. En effet, ces profils sont une mine d’or pour les cybercriminels qui souhaiteraient cibler des sociétés françaises.

Sources :

– http://blogs.lentreprise.com/l-entreprise-et-les-medias/2014/02/03/piratage-de-donnees-lincroyable-silence-dorange/
http://toiledefond.net/e-reputation-des-entreprises/
http://business.lesechos.fr/directions-numeriques/cyber-attaques-se-preparer-pour-reagir-efficacement-7388.php?id=7388#
http://www.leparisien.fr/economie/les-pme-face-a-la-cybercriminalite-15-09-2014-4136531.php
http://www.it-expertise.com/comment-faire-face-a-la-cybercriminalite/
-http://www.globalsecuritymag.fr/Lutte-contre-la-cybercriminalite,20131007,40067.htm
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000028022455
– Gazette du Palais, 18 juin 2015 n° 169, P. 8 : https://www.lextenso-etudiant.fr/articles-%C3%A0-la-une/vol-de-donn%C3%A9es-informatiques
– Affaire Sony Pictures : https://fr.wikipedia.org/wiki/Piratage_de_Sony_Pictures_Entertainment
– Article du journal « Le Monde » sur Orange Cyberdéfense : https://www.lemonde.fr/pixels/article/2022/09/06/des-donnees-personnelles-de-clients-orange-cyberdefense-diffusees-en-ligne_6140399_4408996.html

Protéger sa E.-réputation sur internet

 » Nul ne sera l’objet d’immixtion arbitraire dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteinte à son honneur et à sa réputation. « 
(Art. 12 de la DUDH)
L’E.-réputation représente l’identité d’une personne ou d’une entreprise sur Internet. Toutes les informations disponibles sur Internet vous concernant forgent cette réputation. La responsabilisation des internautes est essentielle face à l’augmentation exponentielle des données personnelles ainsi exposées sur la toile.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Dès les années 1990, l’E.-réputation est définie (digital social life) comme la vie parallèle créée grâce aux nouvelles technologies.
Très rapidement l’importance de la vie online et des ses conséquences aussi bien pour les individus que pour les entreprises ou encore partis politiques, devient une préoccupation majeure.

En effet, de nombreux problèmes peuvent apparaître lorsque des informations personnelles online sont utilisées à des fins négatives, pour porter atteinte à la réputation.

Malgré ces éventuelles dérives, il n’existe toujours pas de  » droit de l’e-réputation  » à proprement parler.
Un ensemble de règles préexistantes et générales encadrent la vie virtuelle des internautes.

Face à une multiplication des plaintes en matière d’E.-réputation, les autorités publiques souhaitent aujourd’hui pallier aux écueils existants et faire de l’univers du numérique un espace de droits et de libertés.


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien


I. L’e-réputation et le droit

Tout un panel de droit a vocation à s’appliquer pour protéger l’E.-réputation.
Mais ces transpositions du droit général à Internet ne sont pas pleinement efficaces face aux innovations permanentes des acteurs d’internet.

Le principe général est que  » toute personne a le droit d’exiger des autres le respect de sa propre dignité, de sa réputation « .

Les atteintes à l’E.-réputation sont nombreuses, les plus courantes sont l’usurpation d’identité, le dénigrement, l’injure et la diffamation.

A) E-réputation et vie privée

Certaines personnes malintentionnées attaquent la réputation des internautes en divulguant des informations concernant leur vie privée.
Il est possible de faire cesser ces atteintes sur le fondement de l’article 9 du code civil qui consacre le droit au respect de sa vie privée.
Toute publication sans consentement préalable concernant la vie sentimentale, la santé ou encore l’image d’une personne est une violation de la vie privée de la personne concernée.
La  » revenge porn  » est l’exemple type et très actuel des atteintes à la vie privée sur Internet. Si cette pratique est bien connue des États-Unis, la première affaire française n’a été jugée qu’en 2014. L’individu en question a été condamné à 12 mois de prison avec sursis.

La ” revenge porn ” est l’exemple type et très actuel des atteintes à la vie privée sur Internet. Depuis la loi du 7 octobre 2016, le revenge porn est sanctionné à l’article 226-2-1 du Code pénal « Est puni des mêmes peines le fait, en l’absence d’accord de la personne pour la diffusion, de porter à la connaissance du public ou d’un tiers tout enregistrement ou tout document portant sur des paroles ou des images présentant un caractère sexuel, obtenu, avec le consentement exprès ou présumé de la personne ou par elle-même, à l’aide de l’un des actes prévus à l’article 226-1. ».

Cette loi est venue mettre fin à la jurisprudence du 16 mars 2016 qui avait conclu que le revenge porn n’était pas un délit. Ainsi, cette pratique est aujourd’hui sanctionnée par une peine d’emprisonnement de 2 ans et une amende de 60 000 euros.Une décision du TGI de Bobigny du 20 novembre 2018 avait également retenu que le revenge porn était une atteinte à la vie privée.

Dans un arrêt du 27 janvier 2016, la Cour d’appel de Paris est venue sanctionner le dénigrement du concurrent sur internet.
Récemment, le 23 septembre 2020, le tribunal judiciaire de Marseille a condamné pour diffamation une patiente d’une dentiste qui avait laissé un avis remettant en cause les compétences de la professionnelle, clairement identifiée. Le tribunal a caractérisé une atteinte à l’honneur de par cette diffamation.

Une limite est cependant admise au respect de la vie privée, il s’agit de l’information d’actualité.
En effet, le droit à l’information du public, pendant de la liberté d’expression, prévaut communément sur la protection de la vie privée.
Pour le CEDH, la société démocratique est le critère ultime de référence que toute juridiction doit utiliser lors de conflits relatifs à la liberté d’expression.
 » La presse joue un rôle indispensable de chien de garde  »

Ainsi, dès lors qu’une image illustre un fait d’actualité de façon pertinente, aucune autorisation n’est requise pour diffuser une telle image.
Toutefois,  » la liberté consiste à pouvoir faire tout ce qui ne nuit pas à autrui  » et il est donc possible que le droit à l’information soit limité.
La triste célèbre affaire Erignac illustre les frontières à ne pas franchir au nom de la liberté. La photo de son corps décédé avait été publiée comme illustration au slogan  » La République assassinée « . Les juges avaient considéré que l’atteinte à la vie privée de la famille du préfet l’emportait sur la liberté d’expression.

Cette affaire démontre bien toute la difficulté d’une protection de la réputation virtuelle qui doit satisfaire l’équilibre entre deux droits fondamentaux le droit au respect de la vie privée et le droit à la liberté d’expression.

B) E-réputation, injures et diffamation

Toute expression outrageante, termes de mépris ou invective, qui ne renferme l’imputation d’aucuns faits (injure) ou toute allégation ou imputation d’un fait qui porte atteinte à l’honneur ou à la considération de la personne (diffamation) peut faire l’objet d’un recours.

La personne physique victime de tels faits a 3 mois à compter de la publication pour demander la cessation du trouble.

Ces actions en justice sont sanctionnées comme des abus de liberté d’expression.

De plus, la loi du 6 janvier 1978, loi Informatique et libertés, permet à toute personne dont les données personnelles font l’objet d’un traitement d’exiger du responsable qu’elles soient mises à jour ou effacées lorsque ces dernières sont  » périmées « .
Dès lors, cette notion d’obsolescence des données peut permettre de justifier un droit à l’oubli et au déréférencement.
Certaines personnes, habilitées par la loi de 1978, échappent à cette obligation. Il s’agit des personnes traitant des données relatives aux infractions, condamnations et mesures de sûretés.
La CNIL a néanmoins limité ce droit pour les décisions juridiques puisque les personnes les publiant doivent anonymiser les personnes physiques citées dans les décisions.

C) E-réputation, droit à l’oubli et émergence d’une personnalité numérique

Les atteintes à la réputation et à l’image des personnes sur Internet se multiplient de manière considérable sans qu’aucune amélioration ne soit faite quant à leur traitement juridique, pourtant très contesté aujourd’hui.

L’association du droit de l’informatique et de la télécommunication revendique depuis quelques années une amélioration de la protection de la personne sur Internet.
De nombreux spécialistes (universitaires, avocats, membres de la CNIL) partagent leurs points de vue sur les problématiques liées à l’e-réputation.
Tous s’accordent sur le fait que l’état du droit actuel est inadapté aux nouveaux enjeux d’Internet.
Certains évoquent la nécessité de créer une réelle personnalité numérique avec une protection et des recours particuliers.

Pour l’heure, depuis l’arrêt Costeja du 13 mai 2014 les données personnelles au regard des traitements opérés par les moteurs de recherche en Europe font l’objet d’un droit de déréférencement. Le droit au déréférencement, soumis à des conditions, est enfin consacré.

Accompagné aujourd’hui par le RGPD qui consacre en son article 17 une obligation de traitement d’effacer certaines données à caractère personnel, fixant les limites du droit à l’oubli.
Cette jurisprudence a obligé les moteurs de recherche français à gérer les questions d’atteinte à la réputation et à faire primer le respect de la vie privée sur le libre référencement et la liberté d’expression.
Un formulaire de déréférencement doit être mis en ligne pour permettre les réclamations.

Un droit à l’oubli est également envisageable lorsque les résultats concernant des particuliers sont ” obsolètes, inexacts ou excessifs “.
Cette appréciation est laissée aux moteurs de recherche.
Ce pouvoir d’arbitrage laissé aux entreprises privées, comme Google, pose un problème de sécurité juridique même si des recours sont prévus en cas de refus.
En effet, ces entreprises auront le rôle de juger et de trancher entre les droits privés d’une personne et la liberté d’expression.

Or, la réponse de Google à la CNIL, après avoir été mis en demeure d’appliquer le droit à l’oubli à l’ensemble des versions de son moteur de recherche, révèle une volonté très forte de faire primer la liberté de référencement sur la vie privée.

” Il existe d’innombrables cas dans lesquels ce qui est illégal dans un pays ne l’est pas dans un autre. Cette approche représente un nivellement par le bas : au final, Internet serait seulement aussi libre que l’endroit le moins libre du monde. ” (réponse Google du 30 juillet 2015). Toutefois lors de la délibération du 10 mars 2016, la CNIL a sanctionné Google à une amende de 100 000 euros.

De plus, dans 13 décisions du 6 décembre 2019, le Conseil d’État est venu fixer les conditions du déréférencement sur internet, que Google se devait de respecter, afin d’être conforme à l’obligation du RGPD.

II. La gestion individuelle de l’e-réputation

Malgré de récentes avancées en matière de protection sur Internet, il est primordial que les internautes ne se déresponsabilisent pas.
Le déréférencement permet bien de supprimer certaines pages indexées, mais les images ou les textes restent sur Internet. L’effacement pur et simple est illusoire.

Dès lors, chaque individu doit rester vigilant et responsable de ce qu’il choisit de publier sur Internet.

Savoir gérer sa E.-réputation en amont permettrait d’éviter des procédures juridiques longues et coûteuses.
Il est irréaliste de penser possible le contrôle absolu de sa réputation virtuelle, néanmoins certains outils permettent de limiter une exposition trop importante de sa vie privée.

La première chose à faire est de réfléchir à tout ce que l’on publie sur le net (commentaires, photos, vidéos).
Ensuite, penser à utiliser un pseudonyme peut être intéressant étant donné que rien n’est réellement secret et privé sur Internet.
Enfin, vérifier régulièrement les résultats liés à votre nom sur les moteurs de recherche.

Certaines assurances se lancent dans la protection de l’E.-réputation et proposent d’accompagner les particuliers dans la gestion de leur vie virtuelle.
SwissLife e-réputation a été le premier contrat d’assurance e-réputation et propose la défense des droits des internautes en cas d’atteinte à votre vie privée, mais, met également à disposition des spécialistes du nettoyage d’information sur le WEB.

Aujourd’hui de nombreux contrats d’assurance e-réputation existent.

SOURCES
http://ereputation.paris.fr/
http://www.cnil.fr/fileadmin/documents/Vos_libertes/Droit_au_dereferencement-Interpretation-Arret.pdf
http://www.lefigaro.fr/secteur/high-tech/2014/09/25/32001-20140925ARTFIG00004-j-ai-teste-mon-droit-a-l-oubli-sur-google.php
https://www.cnil.fr/fr/reglement-europeen-protection-donnees
LOI n° 2016-1321 du 7 octobre 2016 pour une République numérique
https://www.legifrance.gouv.fr/loda/id/JORFTEXT000033202746/
Article 226-2-1 du code pénal
https://www.legifrance.gouv.fr/codes/id/LEGIARTI000042193566/2020-08-01#:~:text=Article%20226%2D2%2D1,-Cr%C3%A9ation%20LOI%20n&text=Lorsque%20les%20d%C3%A9lits%20pr%C3%A9vus%20aux,60%20000%20%E2%82%AC%20d’amende.
Crim. 16 mars 2016, 15-82.676
https://www.legifrance.gouv.fr/juri/id/JURITEXT000032263441/
TGI de Bobigny, ch.5/sec.3, jugement contentieux du 20 novembre 2018
https://www.legalis.net/jurisprudences/tgi-de-bobigny-ch-5sec-3-jugement-contentieux-du-20-novembre-2018/
Cour d’appel de Paris, Pôle 5, 27 janvier 2016, n° 2013/10 846
Tribunal judiciaire de Marseille, ordonnance de référé du 23 septembre 2020
https://www.legalis.net/jurisprudences/tribunal-judiciaire-de-marseille-ordonnance-de-refere-du-23-septembre-2020/
Délibération CNIL 2016-054 du 10 mars 2016
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000032291946/
Les 13 décisions du 9 décembre 2019
https://www.conseil-etat.fr/actualites/actualites/droit-a-l-oubli-le-conseil-d-etat-donne-le-mode-d-emploi

E-réputation commerciale

La Convention européenne des droits de l’homme dispose que  » toute personne a droit à la liberté d’expression « . Cette liberté permet à chacun d’exprimer librement ses pensées et opinions. Seuls le maintien de l’ordre public, la lutte contre l’incitation à la haine raciale et l’ensemble des délits et crimes commis par voie presse sont de nature à la limiter.
Dès lors, qu’en est-il des avis négatifs émis sur internet en matière commerciale ?

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Dans un arrêt du 31 décembre 2014, le Tribunal de Grande Instance de Clermont-Ferrand réaffirme la légitimité du principe de liberté d’expression en matière d’E.-réputation commerciale.

Le TGI de Clermont-Ferrand, le 31.12.2014, a pu se prononcer sur la détermination du caractère diffamatoire lorsque des avis négatifs sur internet sont émis en matière commerciale.

En l’espèce, une société assigne le gérant d’un site internet d’avis au sein duquel elle avait reçu différents avis négatifs de la part d’internautes.
La société argue, alors, que ces différents commentaires lui causaient un préjudice certain du fait de leur caractère mensonger et demande donc la condamnation de l’hébergeur du site qui ne les avait pas retirés.

Les juges se sont donc interrogés sur le cadre juridique des avis négatifs en matière d’E.-réputation commerciale et l avaleur juridique de l’E-réputation commerciale.

I. Les avis négatifs, manifestation de la liberté d’expression

Les sites d’avis commerciaux, ou d’appréciation d’entreprise permettent aux consommateurs de juger la qualité des produits ou services offerts par une entreprise.


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien


Dans l’affaire du 31.12.2014, la société demanderesse, qui apparaissait sur un site d’appréciation d’entreprise, faisait état de propos peu amènes et d’accusations de non-professionnalisme constituant, selon elle, des propos diffamatoires.

Selon la loi du 29 juillet 1881, est considérée comme diffamation  » toute allégation ou imputation d’un fait qui porte atteinte à l’honneur ou à la considération de la personne ou du corps auquel le fait est imputé « , et ce qu’elle soit effectuée en ligne ou par voie de presse traditionnelle.

Or, pour le TGI, les propos peu amènes ne peuvent constituer une diffamation, trop faibles pour être de nature à porter atteinte à l’honneur d’une entreprise. De plus, ces propos avaient disparu depuis de nombreux mois et ne pouvaient donc pas constituer un trouble au sens de la loi.
Pour ce qui est des avis sur le professionnalisme de la société, le tribunal indique  » ils ne sont pas répréhensibles eu égard à la liberté d’expression admise dans le cadre de relations commerciales « .

De même, le 1er septembre 2020, la Cour de cassation s’est également prononcée sur une affaire de propos diffamatoire contre une société, sur internet, portant ainsi atteinte à son e-réputation. La Cour de cassation ne retiendra pas en l’espèce la diffamation au motif qu’il est nécessaire que les propos diffamatoires portent sur une personne déterminée, qui peut être identifiée.

Le simple fait d’émettre un avis négatif n’est pas répréhensible, mais relève du droit à la libre critique.

 

II. Cadre juridique des avis négatifs, réaffirmation des limites à la liberté d’expression sur les sites d’avis

Le TGI de Clermont-Ferrand précise que les avis négatifs de l’espèce ne sont pas répréhensibles  » sauf à établir des propos diffamatoires ».
Par conséquent, les avis négatifs peuvent constituer des propos diffamatoires dans d’autres circonstances.

La décision du TGI vise de manière expresse le caractère diffamatoire de la publication, mais il est possible d’en déduire que les actions en dénigrement ou pour injure sont également admises.

Certains arrêts ont fixé des limites à ne pas franchir par les consommateurs au nom de la liberté d’expression.

La cour d’appel de Montpellier retient, en 2001, le caractère diffamatoire et dénigrant d’avis diffusés sur un blog à cause de leur formulation, en effet les dénonciations faites par l’internaute ne sont pas en soi condamnables puisque véridiques.
L’action en diffamation, fondée sur la loi sur la presse de 1881, suit un régime probatoire très strict, où l’exceptio veritatis est invocable, et une prescription très courte de 3 mois. Ainsi, il est très difficile pour une entreprise d’obtenir réparation sur ce fondement.

L’action en dénigrement, fondée sur le droit commun de la responsabilité civil (Art 1382), permet de faire sanctionner et indemniser les atteintes à la réputation d’une société sur internet, plus aisément que ne le permet l’action en diffamation.

Le dénigrement consiste à jeter publiquement le discrédit sur une personne ou une entreprise, par la critique de ses produits ou son travail, dans le but de lui nuire.

La jurisprudence admet en 1999 (CA Versailles, 09.09.1999) que le dénigrement peut être caractérisé dans les relations consommateurs/professionnels et pas seulement dans celles entre commerçants. En effet, initialement cette notion renvoyait à un acte de concurrence déloyale émanant uniquement d’une société concurrente.

Dès lors, un avis revêtira la qualification de dénigrement lorsque les termes employés sont injurieux. Le tribunal de commerce de paris, le 22.02.2013, retient cette qualification pour les termes  » arnaque  » et  » escroquerie « .
En outre, l’exceptio veritatis ou la bonne foi ne peuvent justifier un acte de dénigrement (Cass com 12.10.1966).

La cour d’appel de paris pose alors les principes (CA Paris 21.11.2013 Affaire Aigle Azur) pour déterminer un propos dénigrant ;
1. la dénonciation faite d’une action n’ayant pas donné lieu à une décision de justice est fautive
2. Les propos deviennent abusifs lorsqu’ils ne sont ni mesurés ni objectifs et témoignent d’une animosité personnelle de leurs acteurs.
Toutefois, ces arrêts restent des cas isolés. Les juges ont encore beaucoup de mal à trouver le juste équilibre entre liberté d’expression et abus lorsqu’il s’agit des avis négatifs des consommateurs.

Cette solution a été retenue dans un arrêt rendu par la Cour d’appel de Dijon le 20 mars 2018 qui dispose qu’« Attendu que si le commentaire critique de services ou de prestations publié sur un site internet n’est pas en soi constitutif d’une faute ». Dans cet arrêt la Cour d’appel retient tout de même le caractère diffamatoire des propos, au motif que l’auteur des propos n’a pas bénéficié des services critiqués et qu’il y avait une intention de nuire, écartant la simple liberté d’expression. Le caractère fautif de l’avis négatif a été retenu. Toutefois, ce caractère fautif reste difficilement prouvable.

La Cour de cassation dans un arrêt du 9 janvier 2019, précise qu’il n’y a pas de dénigrement si les propos reposent sur une base factuelle suffisante.

Dans une décision du 21 novembre 2019, le tribunal judiciaire de Nanterre, précise qu’il faut distinguer les propos visant la qualité des services proposée par l’entreprise pour inviter sa clientèle à s’en détourner et les propos qui portent atteinte à l’honneur ou la considération de la personne physique ou morale. Les premiers sont susceptibles d’une action en dénigration alors que les seconds font l’objet d’une action en diffamation. Cette décision sera suivie dans son raisonnement par la Cour d’appel, dans un arrêt du 26 février 2020 qui dispose que « le jugement doit être réformé en ce qu’il a retenu leur caractère diffamatoire, alors qu’ils imputent uniquement aux défenderesses de ne pas avoir respecté leurs obligations contractuelles, manquements qui, à eux seuls, ne peuvent être considérés comme portant atteinte à leur honneur et à leur considération, faute de justifier du caractère délibéré de ces manquements. » Ainsi les propos qui ne portent pas atteinte à l’honneur ou à la considération de l’entreprise ne peuvent pas être qualifiés de propos diffamatoires, mais uniquement de propos dénigrants.

Pour la cour, les propos dénigrants des consommateurs sur un site d’appréciation d’entreprise relèvent généralement de l’intérêt général et donc échappent à l’usage abusif de la liberté d’expression.
Pour lire une version plus complète de cet article, cliquez sur ce lien

SOURCES
http://www.avocats-picovschi.com/diffamation-sur-internet-attention-c-est-du-penal_article_390.html
https://www.service-public.fr/particuliers/vosdroits/F32079
http://www.le-droit-des-affaires.com/denigrement-definition-et-sanctions-article233.html
Crim., du 1er septembre 2020,
https://www.legalis.net/jurisprudences/cour-de-cassation-ch-criminelle-arret-du-1er-septembre-2020/
Cour d’appel, Dijon, 1re chambre civile, 20 Mars 2018 n° 15/02004
https://web.lexisnexis.fr/LexisActu/CADijon_20mars_2018.pdf
Com., 9 janvier 2019, n° 17-18.350
https://www.courdecassation.fr/jurisprudence_2/arrets_publies_2986/chambre_commerciale_financiere_economique_3172/2019_9124/janvier_9125/64_9_41105.html
TGI Nanterre, 21 nov. 2019, Sté Auto-école Newton Levallois c/ X
Cour d’appel Paris, 26 février 2020, n° 18/24207

Email marketing et vie privée

La prospection est une étape stratégique essentielle dans le processus de développement d’une entreprise. La société va alors constituer ou acquérir une base de données d’informations clients/prospects permettant de mettre en place un plan de prospection. Néanmoins, la collecte d’informations personnelles n’est pas libre et les entreprises doivent respecter un certain nombre de règles pour garantir le respect de la vie privée des prospects.

L’essor des outils de communication a permis le développement de cette nouvelle forme de publicité directe.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Quatre outils principaux sont à la disposition des entreprises à l’heure actuelle, le mailing, le faxing, le phoning ou le meeting.

Le choix des techniques de prospection diffère selon les objectifs de la société. Une société voulant accroître son nombre de clients n’aura pas la même approche que celle voulant optimiser sa clientèle existante.
Face à une réelle prise de conscience du risque d’intrusion dans la vie privée liée à l’utilisation des données personnelles, les consommateurs sont de plus en plus demandeurs de protection contre l’abus de la prospection.


Besoin de l’aide d’un avocat pour un problème de vie privée?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien


Dès lors, les législateurs français et européens entreprennent depuis de nombreuses années la mise en place d’un encadrement efficace de ces nouvelles méthodes, afin de garantir les libertés individuelles et la confidentialité des données personnelles.

I. Les sources de la protection de la vie privée et la prospection

L’avènement de l’informatique change considérablement la nature des problèmes posés par la notion de vie privée. L’informatisation des données entraîne inévitablement le risque de pouvoir y avoir accès de manière non contrôlée.

Dans un premier temps, la prospection est encadrée par des principes généraux du droit commun.

En effet, toute atteinte à l’intimité de la vie privée peut être sanctionnée sur le fondement de l’article 9 du Code civil. Au niveau européen, la CEDH a dans sa décision du 13 septembre 2018 Big Brother Watch c/ Royaume-Uni, a condamné le système britannique de surveillance électronique de masse, pour atteinte au respect à la vie privée, protégée par l’article 8 de la Convention européenne des droits de l’Homme.

De telles atteintes peuvent, également, faire l’objet de mesures pénales. L’article 226-16 condamne, par exemple, les atteintes aux droits des personnes résultant des traitements informatiques.

Dans un second temps, le législateur crée des outils juridiques propres à l’utilisation informatique des données personnelles.

« L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

La CNIL veille au respect des lois et autres textes protégeant spécifiquement ces données.

La loi n° 78-17 du 6 janvier 1978, plus connue sous le nom de loi informatique et Liberté, réglemente la pratique du fichage et l’utilisation des données personnelles. Le RGPD du 25 mai 2018, réglemente la conservation et le traitement des données personnelles.

La loi 6 août 2004 n° 2004-801, transposition de la directive 95/46/CE, met en place une harmonisation des règles de déclaration des fichiers entre secteur privé et public, prévoit certaines exemptions ou simplifications de déclaration et étend l’obligation de demande d’autorisation appliquée aux entreprises privées à de nouvelles catégories de données.

La loi du 17 mars 2014 relative à la consommation réglemente spécifiquement les conditions de démarchage téléphonique. Elle fut complétée par la loi du 24 juillet 2020.

II. L’utilisation des données personnelles à des fins de prospection

Cet arsenal législatif se traduit, pour les entreprises exploitant des données personnelles, par un certain nombre d’obligations.

La création de fichiers clients/prospects s’inscrivait dans le respect de la loi informatique et libertés. Dès lors, la mise en œuvre de tels fichiers faisait, jusqu’en 2018 , l’objet de formalités préalables auprès de l’autorité administrative compétente, la CNIL. Depuis le 25 mai 2018, date d’entrée en vigueur du RGPD, les fichiers relatifs à la gestion des clients et des prospects n’ont plus à être déclarés auprès de la CNIL.

En premier lieu, la société doit s’assurer de la licéité de la constitution de ses fichiers.

Le principe général est celui du consentement préalable des personnes visées. Principe général lié au RGPD, en effet, la décision du Conseil d’État du 19 juin 2020, vient rappeler l’importance du consentement de l’utilisateur. Le consentement éclairé étant nécessaire à l’autorisation du traitement et la conservation des données personnelles.

En effet, chaque personne concernée doit ainsi donner son accord préalablement à toute utilisation commerciale de ses données.

Or cela nécessite que la personne soit être informée de la finalité de la collecte, de la durée de conservation, des conséquences d’une absence de réponse et des modalités d’exercice du droit d’accès et de rectification.

Dans le cas contraire, le Code pénal prévoit une peine de 5 ans d’emprisonnement et 300 000 euros d’amende. Art. 226-18-1 du Code pénal.

En pratique, les entreprises remplissent cette obligation en prévoyant une case à cocher, qui doit être décochée par défaut. Cette méthode permet de donner son accord à la réception de messages publicitaires.

Du côté de l’entreprise effectuant la collecte, cette dernière doit s’assurer que les informations traitées soient uniquement limitées aux informations nécessaires à la relation commerciale, il s’agit du principe de minimisation. L’entreprise doit également s’assurer de la mise en place de mesures de sécurité adaptées aux risques. De plus, l’entreprise doit s’assurer que la conservation des données soit limitée dans le temps, cette obligation peut être légale. Enfin, il est nécessaire que la société inscrive les fichiers relatifs à la gestion des clients et des prospects dans le Registre des activités de traitements.

Les entreprises doivent être en mesure de justifier, à tout moment, le consentement de toutes personnes destinataires de messages commerciaux.

Deux exceptions sont prévues au principe de consentement préalable.

La première vise la prospection de « produits ou services analogues » à ceux déjà fournis par la société. Le consentement préalable n’est pas requis lorsque la personne a été informée de cette éventualité lors de la collecte.

La deuxième concerne l’envoi de courrier électronique aux adresses professionnelles des particuliers. Lorsque ces courriers sont en rapport avec la fonction professionnelle occupée par la personne, le consentement préalable n’est pas nécessaire.

En sus de ces obligations générales, des règles spéciales sont attachées aux différents supports de prospection.

Le phoning, démarchage téléphonique

La loi du 24 juillet 2020, prévoit que les opérateurs de téléphonie sont dans l’obligation d’offrir à leurs abonnés la possibilité de s’inscrire gratuitement sur une liste d’opposition au démarchage.

La liste rouge permet de ne pas mentionner les coordonnées de la personne inscrites sur les listes d’abonnés ou d’utilisateurs.

La liste orange, quant à elle, permet de ne plus communiquer les coordonnées à des entreprises commerciales en vue d’une utilisation à des fins de prospection directe. Les coordonnées peuvent donc subsister dans l’annuaire.

Néanmoins, l’annuaire n’est pas le seul support qu’utilisent les entreprises. En effet, les fichiers clients/prospects sont couramment utilisés et font l’objet d’une circulation entre les sociétés.

Dès lors, le gouvernement a souhaité créer une liste spéciale afin de lutter contre la prolifération du démarchage non désiré.

Depuis la loi du 24 juillet 2020, une liste d’opposition applicable à tous les professionnels interdit le démarchage téléphonique des consommateurs y figurant. Tout manquement à cette obligation est passible d’une amende administrative de 75 000 euros pour les personnes physiques, et 375 000 euros pour les personnes morales.

Le consommateur qui souhaite s’y inscrire peut le faire par voie électronique. Son inscription sera valable 3 ans (renouvelable).

Les professionnels ont l’obligation de contacter régulièrement (au moins mensuellement) l’organisme de gestion de la liste afin d’actualiser leurs fichiers de prospection.

L’e-mailing, démarchage par internet

L’e-mailing est l’outil phare de publicité sur internet. Les cybermarchands en sont friands eu égard de son faible coût et de sa rapidité.

Néanmoins, la loi pour la confiance en l’économie numérique de 2004 a posé un principe clair que ses utilisateurs doivent respecter. Avant toute prospection par mail, le cybermarchand doit avoir recueilli le consentement de la personne visée. Il s’agit d’un système d’opt-in, il faut obtenir l’accord de la personne concernée en préalable de la communication. Cette pratique s’oppose à l’opt-out, où l’émetteur à légalement la possibilité d’envoyer des messages publicitaires et c’est au destinataire de faire connaître sa volonté contraire. Il s’agit d’un système moins protecteur pour le destinataire, qui n’a donc pas été retenu par le législateur.
Par ailleurs, toute personne ayant donné son accord à un programme d’e-mailing doit avoir la possibilité de se désabonner dès qu’il le souhaite.

Les mêmes règles s’appliquent à l’envoi de SMS dans le but de prospection.

Les sollicitations commerciales deviennent de plus en plus souvent une source de désagréments pour les destinataires, c’est pour ça qu’il est aujourd’hui possible de les limiter ou même de les faire cesser.

Cependant le spamming, envoi massif et répété de courriers non sollicités, reste un outil de publicité illégal face auquel les particuliers ne sont pas encore protégés de manière efficace.

Récemment, le 31 décembre 2020, la CNIL a condamné de manière sévère PERFORMECLIC, société qui utilisait les Spams par courriels, à une amende de 7 300 euros, amende proportionnelle à la taille et la situation financière de la société, afin de prononcer une amende dissuasive et proportionnée. Par le passé les amendes de la CNIL, en matière de spamming avaient atteint une somme de 20 000 euros, après un recours devant le Conseil d’État, la sanction a été confirmée et jugée proportionnée.

Pour lire une version plus courte de cet article sur l’email marketing, cliquez sur ce lien

SOURCES
http://www.ys-avocats.com/pj/Article_NS_48_CNIL.pdf
https://www.service-public.fr/particuliers/actualites/007971
http://sosconso.blog.lemonde.fr/2015/05/07/spams-par-sms-sanction-confirmee-pour-une-societe-immobiliere/
http://www.fftelecoms.org/articles/pour-lutter-contre-le-spam-sms-et-le-spam-vocal-un-reflexe-le-33700
CEDH 13 septembre 2018 Big Brother Watch c/ Royaume-Uni
Règlement général sur la protection des données
https://www.cnil.fr/fr/reglement-europeen-protection-donnees
LOI n° 2020-901 du 24 juillet 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000042148119/
Conseil d’Etat, 19 juin 2020, N° 430810
https://www.conseil-etat.fr/ressources/decisions-contentieuses/dernieres-decisions-importantes/conseil-d-etat-19-juin-2020-sanction-infligee-a-google-par-la-cnil
Décision CNIL 31 décembre 2020
https://www.cnil.fr/fr/prospection-commerciale-sanction-publique-lencontre-de-la-societe-performeclic