protection

La loi Waserman et la protection des lanceurs d’alerte

L’expression « lanceur d’alerte » n’existait pas en langue française avant le mois de janvier 1996. La formule, aujourd’hui utilisée dans de multiples contextes, avec un sens précis ou de manière allusive, souvent comme traduction du terme anglo-saxon whistleblower, a été créée à l’issue de la préparation d’un séminaire sur les risques. 

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire et un avocat enverra une lettre de mise en demeure !

Engagé dans un projet de recherche intitulé « Les prophètes de malheur », l’auteur de ces lignes a proposé ce néologisme pour dépasser des notions préexistantes, trop réductrices. Face à des processus complexes, pleins de tensions et d’incertitudes, il fallait mettre à distance les jugements de valeurs et trouver une autre formule, la plus juste possible, pour désigner les personnes ou les groupes qui, rompant le silence, passent à l’action pour signaler l’imminence, ou la simple possibilité, d’un enchaînement catastrophique. Au cours des années 1990, le terme francophone correspondant à whistleblower n’était autre que… « dénonciateur ». C’est seulement en 2006, au vu du succès grandissant de la notion de « lanceur d’alerte » dans les pays francophones européens, que l’Office québécois de la langue française a choisi de modifier la traduction.

L’histoire des lanceurs d’alerte en France doit beaucoup à l’action d’André Cicolella. Chimiste et toxicologue, il se fait connaître au début des années 1990 par son travail sur la toxicité des éthers de glycol. Ses interrogations sur les effets d’une classe de produits chimiques abondamment utilisés dans l’industrie lui valent un licenciement pour faute grave. Il est en effet sanctionné pour avoir organisé en avril 1994 un symposium international contre l’avis de la direction de son établissement. L’Institut national de recherche et de sécurité (INRS), son employeur, où il était entré en 1971, le congédie le mois suivant pour « insubordination délibérée et réitérée incompatible avec le fonctionnement normal d’une entreprise », faisant valoir que son statut d’ingénieur impliquait un lien de subordination à l’égard de sa hiérarchie. Cicolella proteste en arguant de son droit d’organiser librement des événements scientifiques, puisqu’il a agi en qualité de chercheur.

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Portée en justice, l’affaire fait grand bruit lorsque la cour d’appel de Nancy, le 17 juin 1998, puis la chambre sociale de la Cour de cassation, le 11 octobre 2000, valident la position de Cicolella, constatant ainsi l’absence de cause réelle et sérieuse du licenciement. La liberté de la recherche est au cœur de conflits multiples, mais en l’espèce, le jugement s’appuie précisément sur sa qualité de toxicologue, qui lui confère le bénéfice de l’indépendance propre aux chercheurs. Le jugement fait jurisprudence et, bien que la notion de lanceur d’alerte ne soit pas directement mentionnée, il est considéré par plusieurs acteurs comme un précédent en matière de « protection des lanceurs d’alerte ».

Bien que contestés, il faut reconnaître aux lanceurs d’alertes le mérite de leurs dénonciations puisqu’elles ont permis de révéler certains méfaits qui ont vu le jour dans les domaines de la santé, de l’environnement, de la Défense, des finances ou de l’internet. Malheureusement, et trop souvent, ces mêmes dénonciations ont entraîné des conséquences néfastes tant sur le plan professionnel, que personnel et financier ; et la justice semble hésitante à de nombreux égards pour assurer une protection satisfaisante de ces derniers.

Dans un contexte sociétal qui tend à favoriser la prise de parole, tant dans la sphère privée que dans la sphère publique, et à la lumière des représailles qui pèsent sur ces derniers, le statut des lanceurs d’alerte a été réévalué.

Bien que la « loi Sapin 2 » ait apporté une première réponse, son régime a été modifié cinq ans après son adoption.

C’est à l’occasion de la transposition de la directive européenne du 23 octobre 2019 qu’a été promulguée le 21 mars 2022 (L. n° 2022 -401, 21 mars 2022 : JO 22 mars 2022), la loi dite « Waserman ». Elle a permis d’élever les standards en faveur d’une meilleure effectivité des dispositifs d’alerte au sein des entreprises françaises et ajoute des garanties substantielles non comprises dans la directive. Bien qu’elle se montre favorable à une protection accrue des lanceurs d’alerte, la loi ne néglige pas pour autant les entreprises.

I. Les précisions apportées par le nouveau régime juridique

En 2016 la France s’était dotée d’un dispositif introduit par la loi Sapin 2 qui a très largement contribué à la réflexion menée au niveau européen. D’une part cette loi obligeait les entreprises de plus de cinquante salariés à se doter d’un dispositif de recueil d’alertes, et d’autre part, elle accordait un statut et une protection aux lanceurs d’alerte. La France a ainsi été l’un des premiers pays à légiférer en la matière, faisant figure de pionnière.

La transposition de la directive européenne a permis de procéder à l’amélioration de la définition certains critères et d’étendre la protection accordée aux lanceurs d’alerte. La loi dite « Waserman » a permis de procéder à la correction de certaines de ses limites mises en évidence par le rapport d’évaluation parlementaire Gauvain-Marleix du 7 juillet 2021.

A. La clarification de la définition du lanceur d’alerte

Définition. Est à présent reconnue comme étant un lanceur d’alerte la personne physique qui signale ou divulgue, sans contrepartie financière directe et de bonne foi, des informations portant sur un crime, un délit, une menace ou un préjudice pour l’intérêt général, une violation ou une tentative de dissimulation d’une violation du droit international ou de l’Union européenne, de la loi ou du règlement.

Conditions pour bénéficier du statut de lanceur d’alerte. Pour rappel, sous l’empire de la loi Sapin 2 le statut de lanceur d’alerte était réservé aux personnes agissant de bonne foi et de manière désintéressée. L’ambiguïté du critère de désintéressement avait causé des difficultés d’interprétation devant les tribunaux. En réalité l’objectif poursuivi était de refuser le statut de lanceur d’alerte à toute personne qui recevrait une contrepartie financière pour procéder au signalement. En ce sens, l’article 1er de la loi du 21 mars 2022 a ainsi clarifié la notion de désintéressement en exigeant désormais que l’auteur du signalement agisse « sans contrepartie financière directe ». Toutefois, cela ne prive pas le lanceur d’alerte de recevoir des dons ultérieurement.

Même si cette nouvelle définition apporte une plus grande sécurité juridique, elle s’avère plus restrictive que celle de la directive qui se limite à exiger du lanceur d’alerte qu’il ait « des motifs raisonnables de croire que les informations signalées sont véridiques au moment du signalement », sans restriction liée à l’éventualité d’une contrepartie.

Selon la loi « Sapin 2 », le lanceur d’alerte devait aussi avoir « personnellement » connaissance des faits qu’il signalait. Cette condition est supprimée dans le contexte professionnel. Dans ce cadre, un lanceur d’alerte pourra ainsi signaler des faits qui lui ont été rapportés. Ainsi lorsqu’un salarié signale des faits qu’on lui aurait rapportés, il pourra tout de même bénéficier du statut de lanceur d’alerte.

Si la loi Sapin 2 permettait seulement aux membres du personnel et aux collaborateurs « extérieurs et occasionnels » d’effectuer un signalement interne, la loi du 21 mars 2022 étend cette possibilité aux anciens membres du personnel, aux candidats à un emploi, aux dirigeants, actionnaires, associés et tout titulaire de droits de vote au sein de l’assemblée générale de l’entité, aux membres de l’organe d’administration, de direction ou de surveillance de l’entité, aux cocontractants et sous-traitants ainsi qu’aux membres de leur organe d’administration, de direction ou de surveillance ou de leur personnel.

B. L’extension du champ de l’alerte

En plus d’avoir procédé à une clarification et à un élargissement de la définition du lanceur d’alerte, la loi « Waserman » s’attelle à l’extension du champ de l’alerte. Prévu par son article 1er la loi n’exige plus que la violation soit nécessairement « grave et manifeste », et que la menace ou le préjudice pour l’intérêt général soit « grave ».

A présent l’alerte peut porter sur la simple tentative de dissimulation d’une violation. Enfin, l’alerte n’aura plus l’obligation de porter sur « un crime ou un délit », mais seulement sur « des informations » portant sur un crime ou un délit.

Cependant il convient de rappeler certains domaines demeurent toutefois exclus (tels que le secret-défense, le secret médical et le secret avocat/client).

C. L’extension de la protection accordée à l’entourage du lanceur d’alerte

La législation « Sapin 2 » ne comportait aucune disposition concernant l’entourage du lanceur d’alerte. Cependant, cette directive européenne a introduit une innovation majeure en la matière. Son objectif est double, d’une part, garantir une protection plus étendue au lanceur d’alerte, et d’autre part, prévenir son isolement en mettant en place des mesures spécifiques pour l’accompagner.

Ainsi l’article 2 de la loi du 21 mars 2022 scinde l’entourage du lanceur d’alerte en trois catégories.

Pour commencer on distingue les personnes physiques ou morales de droit privé à but non lucratif qui aident un lanceur d’alerte à effectuer un signalement ou une divulgation. Elles sont à présent désignées comme des « facilitateurs ». Sur ce point, il convient de préciser que la législation française s’est octroyée certaines latitudes en élargissant la définition des « facilitateurs » aux entités morales de droit privé à but non lucratif, tandis que la directive se limite aux personnes physiques agissant dans un contexte professionnel.

Sont ensuite incluses les personnes physiques en lien avec le lanceur d’alerte et qui risquent des mesures de représailles dans le cadre de leurs activités professionnelles de la part de leur employeur, de leur client ou du destinataire de leurs services ;

Enfin sont comprises les entités juridiques contrôlées par un lanceur d’alerte, pour lesquelles il travaille ou avec lesquelles il est en lien dans un contexte professionnel.

II. Le renforcement de la protection accordée au lanceur d’alerte et à ses proches

Au-delà des apports juridiques qui permettent de cerner les conditions pour bénéficier de ce régime de protection, les conditions elles-mêmes de la protection ont été améliorées. Elles englobent ainsi la réalité des représailles qui pèsent à la fois sur le lanceur d’alerte, mais également sur ses proches.

A. L’élargissement du champ des représailles et la sanction de la menace et de la tentative

Le principe d’interdiction des sanctions et discriminations énoncé par la loi Sapin 2 se concentrait principalement sur des mesures ayant un impact sur la carrière d’un salarié, telles que le licenciement, la formation, la promotion, la rémunération, l’affectation, etc.

Sous l’influence de la directive, la loi du 21 mars 2022 a intégré une liste plus exhaustive de représailles plus subtiles ou indirectes, incluant notamment les atteintes à la réputation de la personne sur les réseaux sociaux, les intimidations, ainsi que l’orientation abusive vers un traitement psychiatrique ou médical. Toute action ou décision liée à l’une de ces mesures sera automatiquement considérée comme nulle.

L’interdiction de prononcer des mesures de représailles s’étend également aux menaces et aux tentatives de recourir à de telles mesures.

B. Une mise à niveau de la protection des proches du lanceur d’alerte

Conformément à la directive, l’article 2 de la loi du 21 mars 2022 accorde une protection équivalente à l’entourage du lanceur d’alerte. Elle consacre ainsi l’irresponsabilité civile et pénale, l’interdiction de mesures de représailles à leur encontre, la procédure de référé prud’homale, la possibilité de bénéficier de l’inversion de la charge de la preuve, d’une provision pour frais d’instance, de l’abondement du compte professionnel de formation, de la procédure d’amende civile, etc. L’article 9 de la loi consacre également leur introduction à l’article 225-1 du Code pénal, réprimant ainsi toute discrimination à leur encontre.

III ’amélioration des conditions de signalement et les cas d’irresponsabilité

La transposition de la directive européenne à travers la loi du 21 mars 2022 a permis de faciliter les signalements ainsi que la protection accordée aux lanceurs d’alerte notamment en prévoyant des aides financières et psychologiques. Elle consacre également la mise en place d’une irresponsabilité pénale et civile du lanceur d’alerte. Ceci dit, cette protection n’est pas absolue puisqu’elle est soumise à certaines conditions.

A. Une nouvelle procédure de signalement

Sous l’empire de la loi « Sapin 2 », les canaux d’alerte étaient hiérarchisés en trois temps. Tout d’abord, un signalement interne devait obligatoirement avoir lieu. Autrement dit, le lanceur d’alerte devait nécessairement passer par son entreprise ou son administration afin de signaler des faits dont il avait connaissance.
Ensuite, et seulement en l’absence de traitement, un signalement externe pouvait avoir lieu auprès d’une l’autorité administrative ou judiciaire ou d’un ordre professionnel.
Le lanceur d’alerte pouvait donc uniquement procéder à une divulgation publique en dernier recours.

Cette hiérarchisation posait de nombreuses difficultés. Des risques de pressions ainsi que de représailles ont été déplorés à la suite des signalements effectués en interne. Par ailleurs, la procédure de signalement externe était complexe et peu connue.

Désormais le lanceur d’alerte est libre d’effectuer son signalement en suivant la voie interne ou de l’effectuer auprès soit de l’autorité compétente, soit du Défenseur des droits, soit à la justice ou à un organe européen. Un décret déterminera plus précisément la liste de ces autorités. Ces autorités devront traiter les signalements dans des délais qui seront également fixés par décret, mais qui ne pourront être supérieurs à ceux fixés par la directive, à savoir un délai de 7 jours pour accuser réception et de 3 mois (6 mois dans des cas dûment justifiés) pour traiter l’alerte.

Le choix d’un signalement en interne ou externe est à présent laissé au lanceur d’alerte puisque la loi met fin à l’ordre prédéfini à suivre lors d’un signalement. Rappelons tout de même que l’article 7 de la directive encourage le signalement en interne pour commencer.

Cependant certains auteurs soulignent les risques que cette nouvelle organisation fait peser sur les entreprises « Outre le risque d’antagoniser davantage les relations entre les salariés et l’entreprise, la fin de la hiérarchisation des canaux emporte avec elle un risque majeur pour les entreprises. Ces dernières seront privées de la primeur d’être informées en premier lieu d’éventuels dysfonctionnements en leur sein, d’enquêter sur les faits allégués et d’y remédier au plus vite, voire d’informer elles-mêmes les autorités en cas de faits graves afin de bénéficier d’une clémence en cas de résolution négociée. De manière plus générale, elle les expose au risque de dénonciations publiques par des salariés malintentionnés, qui serait hautement préjudiciable en termes de réputation. En somme, la nouvelle loi oblige les entreprises à redoubler d’efforts pour mettre en place des dispositifs d’alerte internes robustes, sophistiqués et incitatifs sans aucune garantie qu’ils soient utilisés par leurs salariés. Or, le dispositif d’alerte se situe au cœur du programme de conformité de l’entreprise et en constitue la colonne vertébrale. Un dispositif d’alerte efficace est un dispositif qui permet de remonter beaucoup d’alertes et à l’entreprise ultimement d’améliorer ses procédures internes afin d’éviter que les faits ne se reproduisent. »

Cependant, force est de constater que la nouvelle loi ne prévoit aucune sanction en cas d’absence de dispositif interne.

Enfin le lanceur d’alerte pourra recourir à l’alerte publique dans trois cas prévus par la loi. Tout d’abord, il pourra effectuer une divulgation publique s’il constate l’absence du traitement de son signalement externe dans un certain délai. Cette alerte pourra également être justifiée en cas de risque de représailles ou si le signalement n’a aucune chance d’aboutir ou enfin en cas de « danger grave et imminent » ou, pour les informations obtenues dans un cadre professionnel en cas de « danger imminent ou manifeste pour l’intérêt général ».

Par ailleurs une protection supplémentaire a été accordée aux personnes qui effectueraient un signalement ou une divulgation publique anonyme, mais dont l’identité serait révélée, comme les journalistes, d’obtenir le statut de lanceur d’alerte. Cette mesure s’inscrit dans le sens de la protection des sources.

B. Un soutien financier et psychologique

La loi vise également à limiter le fardeau financier, parfois considérable, des procédures auxquelles les lanceurs d’alerte sont confrontés. Le juge pourra, et ce dès le début du procès, accorder une avance pour frais de justice au lanceur d’alerte qui conteste une mesure de représailles ou une action en justice abusive visant à l’intimider et à le réduire au silence, comme une plainte en diffamation. Le juge peut également accorder une avance au lanceur d’alerte dont la situation financière s’est gravement détériorée. Ces avances peuvent devenir définitives à tout moment, même si le lanceur d’alerte perd le procès.

L’amende civile encourue en cas d’action en justice abusive contre un lanceur d’alerte est portée à 60 000 euros. Il est important de souligner que cette amende civile n’est pas incompatible avec l’octroi de dommages et intérêts au lanceur d’alerte.

Enfin, les lanceurs d’alerte pourront bénéficier de mesures de soutien psychologique et financier de la part des autorités externes, qu’elles soient saisies directement ou par l’intermédiaire du Défenseur des droits.

C. L’irresponsabilité pénale et civile du lanceur d’alerte

L’article 6 de la loi du 21 mars 2022 consacre le principe d’irresponsabilité civile du lanceur d’alerte en ce qui concerne les préjudices découlant de sa divulgation d’informations effectuée de manière de bonne foi. Ainsi, si le lanceur d’alerte avait des motifs raisonnables de croire que le signalement ou la divulgation publique des informations était nécessaire pour protéger les intérêts en question, il ne pourra pas être tenu responsable des dommages causés par ces actions.

La loi Sapin 2 prévoyait une exonération de responsabilité pénale du lanceur d’alerte en cas de divulgation d’informations portant atteinte à un secret légal. La loi « Waserman » étend cette exemption aux actes de soustraction, de détournement et de recel de documents confidentiels, à condition que le lanceur d’alerte ait obtenu légalement l’accès aux informations contenues dans ces documents. En d’autres termes, si le lanceur d’alerte signale des faits auxquels il a eu accès en effectuant des écoutes sur des membres de la direction, ou en accédant à des dossiers informatiques restreints, sa responsabilité pénale pourra toujours être engagée.

L’instauration de cette condition de licéité dans l’obtention de l’information vise à garantir un équilibre entre les droits des lanceurs d’alerte et la protection des entreprises, afin d’éviter d’encourager les employés mal intentionnés à commettre des infractions en toute impunité. L’objectif principal est de préserver un juste équilibre où la liberté d’expression et la dénonciation des abus sont protégées, tout en empêchant les actes illicites d’être commis sans conséquences.

Pour lire une version plus approfondie de cet article sur la protection des lanceurs d’alertes, cliquez

Sources :

 

Par internet-et-droit • Tags: , , , , ,

Etre en conformité avec le RGPD et l’accountability

Le Règlement général sur la protection des données (« RGPD ») est le nouveau texte phare en matière de protection des données personnelles  en Europe. Prévu pour entrer en application le 25 mai 2018, le délai de mise en conformité est court et pourtant trop peu d’entreprises sont au courant des dispositions en la matière.

NOUVEAU : Utilisez nos services pour faire retirer un contenu lié à la protection des données ou de contrefaçon en passant par le formulaire !

Le droit européen a instauré un cadre juridique qui se veut « stable » pour l’ensemble de l’Union européenne. Le texte a pour objectif, comme le rappelle la CNIL, de renforcer le droit des personnes au regard du traitement de leurs données à caractère personnel, tout en responsabilisant les traitants et sous-traitants de ces données.

Me CAHEN Murielle, Avocat, peut être choisi par une société pour être Avocat agissant en tant que délégué à la protection des données .

L’avocat  délégué à la protection des données  a un rôle de conseil et de sensibilisation sur les nouvelles obligations du règlement (notamment en matière de conseil et, le cas échéant, de vérification de l’exécution des analyses d’impact).

« Privacy by Design » signifie littéralement que la protection des données personnelles doit être prise en compte dès la conception du produit ou du service.

Besoin de l’aide d’un avocat pour un problème de rgpd ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Entré en vigueur en mai 2018, le règlement général sur la protection des données (RGPD) fêtera bientôt ses cinq ans. Qu’importe votre situation, si vous collectez des données, une démarche de mise en conformité au règlement devra être initiée.

Afin d’en saisir les contours, cette démarche peut s’appuyer sur la désignation d’un délégué à la protection des données qui se chargera de mettre en œuvre la conformité au règlement européen sur la protection des données pour votre organisme.

La promulgation de ce règlement a permis d’harmoniser le cadre juridique pour l’ensemble de l’Union européenne. Ce texte a, dans un premier temps, permis de renforcer le droit des personnes au regard du traitement de leurs données à caractère personnel.

Dans un second temps, le RGPD a été conçu pour être un rempart face aux dérives et aux risques que les traitements de données peuvent représenter. Pour se faire, il introduit de nouvelles obligations et de nouvelles notions. On pensera par exemple à la notion d’accountability et de privacy by design qui ont pour objectif de responsabiliser les organismes afin de rendre plus effective la protection des données.

Les données sont aujourd’hui des sources de valeur considérable. Elles représentent non seulement des actifs pour les entreprises, mais elles sont également un moyen d’assurer la continuité de leurs activités. Comme le souligne l’ENISA, entre 2021 et 2022, on comptabilise environ une attaque par rançongiciel toutes les onze secondes sur l’ensemble des entreprises situées sur le territoire européen.

Au regard des dangers qui pèsent aujourd’hui sur les entreprises, l’ensemble des dispositions du texte se devront d’être comprises par ces dernières (I) afin d’organiser de manière rapide et efficace leur mise en conformité (II).

I. Le cadre juridique instauré par le RGPD , le régime d’accountability et Privacy by Design

Le texte européen entré en vigueur le 25 mai 2018, prévoit de nouvelles obligations pour les entreprises et, plus largement, tous traitants ou sous-traitants de données à caractère personnel (a). Le non-respect de ces obligations entraîne désormais des sanctions plus lourdes que par le passé (b), dans une volonté non dissimulée d’atteindre un cadre harmonisé.

A) Des obligations nouvelles pour les entreprises et en particulier l’accountability et le « Privacy by Design »

L’entrée en vigueur du texte en mai 2018 renouvelle le cadre de la protection des données et des relations entre ceux qui les fournissent et ceux qui les traitent.

Selon son article 3, ce règlement a vocation à s’appliquer aux entreprises qui traitent des données à caractère personnel, que celles-ci soient établies sur le territoire de l’Union européenne (principe d’établissement) ou non, dès lors que les données traitées concernent les personnes qui se trouvent sur le territoire de l’Union européen (principe de ciblage).

Ce texte insère de nouvelles notions telles que la « Privacy by Design ». Définie à l’article 25 du RGPD, cette notion correspond à la prise en considération de la protection des données dès la conception d’un traitement. Il s’agit aussi bien de la mise en œuvre de mesures techniques et organisationnelles appropriées, telles que la pseudonymisation. Ces mesures sont destinées à mettre en œuvre les principes relatifs à la protection des données.

Elles s’accompagnent des principes énoncés par le règlement, tel que le principe de minimisation des données (notamment pour les données sensibles). Ces mesures visent à assortir le traitement des garanties nécessaires afin de répondre aux exigences fixées par le règlement et tendent à assurer une protection effective des données de la personne concernée.

D’autres points essentiels du ressortent du Règlement, à commencer par la « consécration » du droit à l’oubli. Pour commencer, le texte amène la « consécration  » du droit à l’oubli  » , déjà soutenu par la Cour de justice de l’Union européenne dans l’arrêt Google Spain qui précisait qu’un traitement de données pouvait devenir « avec le temps incompatible avec la directive lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées » .

Les données devront être conservées aussi longtemps que nécessaire et leur accès, leur modification, leur restitution jusqu’à leur effacement sur la demande des individus concernés, devront être garantis.

De même, le texte prévoit que les entreprises devront veiller à ce que seules les données nécessaires à la finalité en cause soient collectées.

Également, les entreprises devront s’assurer du consentement éclairé et informé des individus quant à la collecte et au traitement de leurs données, consentement qu’elles devront pouvoir recueillir et prouver.

Ainsi, les organismes à l’origine d’un traitement de données tel que défini à l’article 4 du règlement, se devront de respecter et d’établir, le cas échéant, les durées de conservation des données. Une liste de mesures à prendre en compte lors de l’établissement d’un traitement de données est disponible à l’article 5.

Par ailleurs, les organismes devront répondre aux demandes d’exercice des droits des personnes concernées. Énoncés au chapitre III, ils devront lorsque la demande en sera faite, garantir l’accès, la modification, la restitution voire l’effacement des données de la personne concernée.

De plus, ils devront à chaque traitement s’assurer d’avoir recueilli le consentement de la personne concernée comme prévu aux articles 7 et 8 du Règlement.

Pour qu’un traitement de données soit considéré comme licite lorsque le consentement n’est pas demandé, l’organisme doit s’assurer d’être dans son bon droit en établissant l’existence d’une base légale conformément à l’article 6.

Pour commencer, le traitement peut intervenir dans le cadre d’une relation contractuelle ou d’une obligation légale.  Il peut également être considéré comme licite lorsqu’il vise l’intérêt général ou la sauvegarde des intérêts vitaux d’une personne. Enfin, il peut s’agir du recours au motif légitime, condition abstraite et très peu utilisée en pratique.

Dans le cas contraire, le traitement (la conservation, l’utilisation, la revente, l’analyse, etc.), n’est pas licite et peut par conséquent faire l’objet de sanction.

Enfin, le texte prévoit également des mesures concernant le respect du droit à la portabilité des données, la mise en place d’un cadre strict pour un tel transfert en dehors de l’Union ainsi que l’obligation pour les entreprises d’informer le propriétaire des données ainsi que la CNIL d’une violation grave des données ou d’un piratage , dans les 72 heures.

B) Des risques accrus pour les entreprises en cas de non-conformité

Depuis l’entrée en vigueur du RGPD de nombreuses formalités auprès de la CNIL ont disparu. En contrepartie, la responsabilité des organismes a été renforcée. Ils doivent en effet assurer une protection optimale des données à chaque instant.

La tâche revient également aux entreprises, en marge des obligations précitées, de veiller à ce que les données soient à tout moment et en tous lieux sécurisés contre les risques de perte, de vol, de divulgation ou contre toute autre compromission.

C’est notamment le cas lors du choix des prestataires informatiques. Les organismes ont un devoir de vigilance et d’information envers les personnes concernées (autrement dit, les personnes dont les données font l’objet d’un traitement).

« Privacy by Design » signifie littéralement que la protection des données personnelles doit être prise en compte dès la conception du produit ou du service.

Pour toute violation de ces dispositions, le texte prévoit notamment des amendes administratives, pouvant s’élever jusqu’à 20 millions d’euros « ?ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent? ».

C’est également l’entreprise qui devra indemniser toute personne lésée matériellement ou moralement par un traitement non conforme de ses données, cette fois-ci sans plafonnement.

Si tel n’est pas le cas, une mise en conformité rapide de votre organisme s’impose donc.
Le RGPD a en effet pour but d’unifier le cadre légal européen en la matière, et tend même à obliger les plus réticents à « jouer le jeu » : on sait que les grandes entreprises comme Google ou Facebook ont déjà été, à plusieurs reprises, rappelées à l’ordre par les CNIL européennes. Les dernières décisions rendues en la matière témoignent de la volonté de faire respecter ce règlement.

La CNIL est venue sanctionner de nombreuses entreprises depuis l’instauration du RGPD, en raison de leur manque de mise en conformité avec le règlement. La sanction la plus importante fut celle de Google, dans une décision du 21 janvier 2019 où la CNIL a prononcé une amende d’un montant total de 50 millions d’euros.

Cette décision fut confirmée par le Conseil d’État dans une décision du 19 juin 2020, qui considère que l’amende de 50 millions d’euros n’était pas disproportionnée.

Après avoir effectué le bilan de son action répressive, la CNIL affirme que l’année 2021 a été un record tant par le nombre de mesures adoptées que par le montant cumulé des amendes, qui atteignait 214 millions d’euros.

L’année 2022 a aussi été marquée par une importante réforme des mesures correctrices de la CNIL, ce qui lui permet d’envisager un traitement plus rapide des plaintes (toujours plus nombreuses) et donc des sanctions.

Cette réforme témoigne de la volonté de donner plus de moyens à la CNIL et de durcir la répression cinq ans après l’entrée en application du RGPD.

Cette décision fut suivie de nombreuses autres amendes pour manquement au RGPD, mais jamais avec un montant aussi élevé. Ainsi dans une décision du 28 mai 2019, l’absence de contrôle des accès aux données conservées par un site internet fut sanctionnée à hauteur de 400 000 euros d’amende.

Dans une décision du 13 juin 2019, l’amende n’a pas dépassé 20 000 euros. Encore récemment, un manquement aux articles 32 et 33 du RGPD fut sanctionné par la CNIL à une amende de 3 000 euros. L’article 32 du RGPD prévoyant l’obligation d’assurer un niveau de sécurité adapté aux risques, en ayant recours à des mesures techniques et organisationnelles appropriées.

Une mise en conformité rapide des entreprises s’impose donc. Le RGPD a en effet pour but d’unifier le cadre légal européen en la matière, et tend même à obliger les plus réticents à « jouer le jeu », dans la lignée de la décision de la CNIL espagnole du 11 septembre dernier, qui a infligé à l’entreprise Facebook une amende administrative d’un montant de 1,2 million d’euros la collecte et le traitement (notamment à des fins publicitaires) de données sensibles sans le consentement des utilisateurs.

Mais il s’avère que les entreprises n’ont pas forcément conscience de la façon dont elles traitent leurs données, ni même plus généralement de l’intégralité des donnés qu’elles traitent et qui peuvent se trouver sur leurs bases de données .

Le RGPD ne doit pas être perçu comme une « obligation » qui s’impose aux entreprises, mais bel et bien comme un élément pour se démarquer du reste des prestataires. Repousser sa mise en conformité revient à repousser un gage de qualité.

Cette transition se doit donc d’être organisée, structurée efficacement, et plusieurs étapes méthodiques apparaissent efficaces dans le suivi de cet objectif.

II. Les étapes de la mise en conformité des entreprises aux nouvelles dispositions

Depuis l’entrée en vigueur de cette réglementation, il convient pour les entreprises et, plus largement, tout responsable de traitement ou sous-traitant de données à caractère personnel, d’initier si tel n’est pas le cas, un processus de mise en conformité. À cet égard, le délégué à la protection des données (A) jouera le rôle de celui en charge d’accompagner l’entreprise dans les différentes étapes (B) de cette transition.

A) Le délégué à la protection des données, « chef d’orchestre » de cette mise en conformité par rapport à l’accountability et le « Privacy by Design »

Même si elle n’est pas obligatoire pour tous les organismes, la désignation d’un pilote paraît essentielle au regard des tâches à accomplir par les entreprises dans le cadre de leur mise en conformité avec le RGPD.

On distingue plusieurs cas dans lesquels la désignation d’un délégué à la protection des données est obligatoire (article 37 du RGPD).

Ainsi la désignation est obligatoire pour les organismes publics et pour toute entreprise responsable du traitement de données sensibles ou de traitement à grande échelle doit désigner un délégué à la protection des données. Il peut s’agir par exemple des ministères, des collectivités territoriales ou encore des établissements publics. En avril 2022, ce sont vingt-deux communes qui ont été mises en demeure par la CNIL afin qu’elles désignent un délégué à la protection des données.

En outre, la désignation s’impose aussi pour les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle. Cela peut correspondre aux compagnies d’assurance ou aux banques pour leurs fichiers clients ou les fournisseurs d’accès internet.

Enfin, les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » (données biométriques, génétiques, relatives à la santé, la vie sexuelle, l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale) ou relatives à des condamnations pénales et infractions devront également procéder à la désignation d’un délégué à la protection des données.

Publié le 13 décembre 2016 par le G29, les lignes directrices concernant le régime du délégué permettent de caractériser cette idée de « grande échelle » sur des critères tels que le nombre de personnes concernées, le volume des données traitées, la durée de conservation et de traitement des données ou encore l’étendue géographique du traitement.

La désignation d’un pilote paraît essentielle au regard de la mise en conformité des entreprises avec le RGPD. Le délégué à la protection des données ( » DPO « ), au sein de l’entreprise, sera en charge de l’organisation des différentes missions à mener dans l’accomplissement d’un tel objectif.

La désignation de celui-ci est rendue obligatoire pour les organismes publics et pour toute entreprise responsable du traitement de données sensibles ou de traitement à grande échelle.

Néanmoins, la CNIL rappelle que si cette obligation n’incombe pas à certaines entreprises, il est « ?fortement recommandé? » d’effectuer une telle désignation, « le délégué (constituant) un atout majeur pour comprendre et respecter les obligations du règlement  » .

Il n’est en effet, pas toujours évident pour une personne étrangère à ce domaine de ne pas cerner les attentes ou les obligations qui découlent de la réglementation. Afin d’être désigné, le délégué doit nécessairement avoir des connaissances juridiques qui lui permettront de rendre intelligible la réglementation auprès de ses collaborateurs.

L’incendie du Datacenter d’OVH illustre parfaitement cette méconnaissance du droit des contrats informatiques. Outre la catastrophe s’abattant sur OVH, un grand nombre de clients avaient souscrit un contrat d’hébergement simple, laissant ces derniers sans possibilité de récupérer leurs données et causant parfois, d’importants préjudices (article avec Me Eric Barbry). La perte de données peut s’avérer fatale pour les plus petites structures, d’où l’importance d’établir un plan de reprise des activités. C’est pourquoi le délégué à la protection des données est un indispensable.

Il ne joue pas qu’un simple rôle de mise en conformité, il joue également un rôle de management des données ce qui permet à la société de comprendre les enjeux de la protection des données. Ce dernier incarne un véritable rôle de conseil, on pourrait presque parler d’un devoir d’information.

Comme le souligne l’article 38 du Règlement, le délégué à la protection des données doit être « associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel (5) ».

Précisé à l’article 39, ce « chef d’orchestre » aura la charge de l’organisation des différentes missions à mener dans l’accomplissement d’un tel objectifLe DPO n’a pas nécessairement à être membre de l’entreprise, puisqu’elle peut être liée avec lui sur la base d’un contrat de service. Il est soumis au secret professionnel ou à une obligation de confidentialité.

Le DPO devra jouer le rôle d’un coordinateur, à savoir comprendre et cerner les nouvelles obligations prévues par le texte, et guider le responsable du traitement en fonction.

Ceci étant, le délégué n’endosse pas la responsabilité d’une éventuelle non-conformité du traitant ou sous-traitant des données aux dispositions du Règlement?; il est fortement conseillé pour lui néanmoins de garder les traces de son travail par une documentation précise (notamment dans les cas où l’entreprise n’aurait pas suivi ses recommandations).

B) Les détails du processus de transition pour les entreprises

Une fois le DPO désigné, l’entreprise devra alors engager un processus de transition en trois étapes.

La première consiste à lister de manière précise et concise l’intégralité des données traitées, ainsi que les acteurs de ce traitement.

Pour ce faire, la tenue d’un registre des traitements peut être une solution : l’entreprise y consignera toutes les informations relatives aux traitements et aux traitants, à savoir la nature des données, leur provenance ou encore la manière dont elles sont traitées.

Cependant les registres de traitement sont allégés pour les entreprises de moins de 250 salariés.

Pour rappel, l’obligation de tenir un registre des traitements concerne tous les organismes, publics comme privés, et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.

Par la suite, il conviendra de prendre les mesures nécessaires pour garantir un traitement respectueux des nouvelles dispositions. Dans un premier temps, il conviendra de s’assurer que ces traitements s’appuient sur des bases légales toujours en vigueur et qu’ils respectent les droits des utilisateurs.

Dans un second temps, il s’agira de procéder à une vérification des mesures de sécurité déployées puis de s’assurer qu’ils respectent les principes liés à la transparence prévus par le texte.

À ce titre, une analyse d’impact sur la protection des données peut s’avérer pertinente : en effet ce type d’étude permet d’évaluer précisément les conséquences du traitement en vigueur dans l’entreprise sur la protection des données et le respect des droits des usagers.

Enfin, la dernière étape consistera pour l’entreprise en une consignation par écrit d’une documentation prouvant la conformité de l’entreprise à la nouvelle réglementation. Il s’agit du processus d’accountability qui se réalise au fur et à mesure de l’exécution des précédentes consignes. Ce processus permet de dresser l’état d’avancement de la mise en conformité en interne, de s’organiser plus facilement et d’assurer un respect en continu de la protection des données traitées.

L’accountability est une démarche permanente qui permet de prouver que le respect des règles fixées par le RGPD.

Pour lire une version plus complète sur la RGDP, cliquez

Sources :

(1) https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels
(2) http://www.ladn.eu/nouveaux-usages/etude-marketing/rgpd-entreprises-retard-lapplication-reglementation/
(3) Idem
(4)http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d0f130d531e9daf43fa64f7b82f3a43da182cc55.e34KaxiLc3eQc40LaxqMbN4PaNiMe0?text=&docid=152065&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=500062
(5) https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article37
(6) https://www.cnil.fr/fr/designer-un-pilote
(7) https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes
Décision CNIL 21 janvier 2019
https://www.cnil.fr/sites/default/files/atoms/files/san-2019-001_21-01-2019.pdf
Décision Conseil d’Etat, 19 juin 2020, n° 430810
https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2020-06-19/430810
Décision CNIL, 28 mai 2019, SAN-2019-005
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038552658/
Décision CNIL, 13 juin 2019, SAN-2019-006
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038629823/
Décision CNIL, 7 décembre 2020, SAN-2020-014
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042675720

Par Commerce electronique, internet-et-droit • Tags: , , , , , ,

Vente aux enchères sur internet

Un nombre important de ventes entre particuliers se réalise désormais par le biais de sites spécialisés, or tous n’organisent pas de ventes aux enchères, au sens juridique du terme. Pour que cela soit, encore faut-il que le site réalise réellement une adjudication, et n’ait pas seulement pour vocation de mettre en relation vendeurs et acheteurs.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Dans le premier cas, il s’agit réellement de ventes aux enchères, ce qui implique un agrément par le Conseil des ventes volontaires (Paris, 8 avril 2009, RG no 08/21196), alors que dans le second il s’agit plutôt d’un courtage. Une autre difficulté apparaît lorsque des biens contrefaisants sont proposés à la vente. Est-il alors possible d’assigner le site, et sur quel fondement. La jurisprudence est, sur ce point, peu aisée à saisir : le TGI de Paris avait pu lui dénier la qualité d’hébergeur de site (TGI Paris, 4 juin 2008), là où des décisions antérieure (Paris, 9 novembre 2007, RG no 07/09575) et postérieure (TGI Paris, 13 mai 2009) l’avaient admise.

Il restait à la Cour de cassation à prendre parti, au sein d’une multitude de décisions parfois contradictoires ce qu’elle fit notamment dans une décision du 3 mai 2012.

Elle rejeta la qualification d’hébergeur pour le site eBay dans la mesure où il exerçait un réel rôle actif, en particulier en fournissant à l’ensemble des vendeurs des informations pour leur permettre d’optimiser leurs ventes et en les assistant dans la définition et la description des objets mis en vente.

Pour autant, tout est une question d’espèce et la CJUE n’exclut pas cette qualification si l’absence d’un rôle actif est démontrée. De toute façon, cela ne dispense pas le professionnel de son obligation d’information (Reims, ordonnance du 5 mai 2009).

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Les ventes aux enchères en ligne dites « online », totalement dématérialisées, proposées par les maisons de vente aux enchères s’adressent potentiellement, du fait de leur diffusion sur les réseaux internet, à tous types de clients résidents français ou étrangers. Elles se développent en phase avec la croissance régulière du commerce en ligne de biens. Les opérateurs de ventes déclarés en France auprès du Conseil des ventes proposent ce type de ventes tout autant que des maisons de ventes étrangères, basées dans l’Union européenne ou hors de l’Union européenne.

Le procédé des ventes aux enchères reposant sur l’adjudication de la chose mise en vente au plus offrant et dernier enchérisseur. Le vendeur offre l’objet à vendre en indiquant le cas échéant un prix de réserve, c’est-à-dire le prix minimum qu’il désire obtenir ; l’acceptation de l’offre ne rend l’enchérisseur propriétaire que si aucun prix supérieur n’est offert. Si quelqu’un offre un prix plus élevé, l’acceptation tombe aussitôt et le nouvel enchérisseur se trouve placé dans les mêmes conditions que celui qu’il a évincé. On procède ainsi jusqu’à ce qu’aucun enchérisseur ne se présente plus ; l’objet est alors adjugé au dernier enchérisseur.

La notion d’enchère suppose donc la présence du public dans un même endroit au même instant. Enchérir suppose la présence d’au moins deux personnes : l’une qui formule une offre, l’autre qui enchérit sur cette offre et ainsi de suite ; on ne peut enchérir que par rapport à une offre dont on a connaissance. Et les ventes aux enchères par voie électronique répondent à cette nécessité (TGI Paris, 1re ch., 3 mai 2000, n° 00/00048 : Petites affiches, 29 sept. 2000, n° 195).

À la différence de sites comme eBay, il s’agit de véritables maisons de ventes aux enchères qui utilisent Internet comme mode de diffusion. Les ventes réalisées sur ces sites constituent de véritables ventes aux enchères publiques (Code du commerce article L 321-3), soumises à la réglementation des ventes aux enchères publiques et au contrôle du Conseil des ventes volontaires. Les biens vendus peuvent atteindre jusqu’à plusieurs dizaines de millions d’euros et la maison de vente est garante de la bonne fin de la transaction.

En plus de son service classique de vente, la maison de vente propose à ceux de ses clients qui le souhaitent d’enchérir par Internet en direct en visualisant la vente par une caméra de diffusion. Ainsi, l’acquéreur peut consulter le catalogue de la vente jusqu’à un mois avant l’enchère, demander à l’expert de la vente toutes informations utiles et enchérir sans avoir nécessairement vu l’œuvre physiquement. Acheter aux enchères sur internet assure la complète confidentialité de la transaction vis-à-vis des tiers.

Toutefois, les ventes aux enchères réalisées par voie internet posent trois problèmes majeurs : un problème de preuve, un problème d’authentification de l’émetteur de l’enchère et un problème de localisation effective de la vente et du droit applicable (TGI Paris, 1re ch., 3 mai 2000, n° 00/00048).

À cet effet, le Conseil des ventes volontaires considère et précise que :

  • Précise que les obligations des opérateurs organisant des ventes aux enchères sur internet sont identiques à celles des autres OVV (déclaration au Conseil, etc.) à l’exception des dispositions relatives aux locaux (Avis CVV, 17 janv. 2002) ;
  • Considère qu’une vente aux enchères est matériellement rattachable à un territoire national soit parce qu’elle y est organisée et donc que les actes préparatoires à la vente (de la recherche des lots à vendre jusqu’à l’organisation de la publicité et de l’exposition) y sont effectués, soit parce qu’elle y est réalisée (l’adjudication de la chose moyennant paiement du prix y est effectuée) (Rapp. CVV 2014, p. 311) ;
  • Commande aux opérateurs de ventes aux OVV établis en France de prévoir dans leurs conditions générales de vente des dispositions désignant clairement la loi française (avec attribution de compétence aux juridictions françaises) pour régir l’ensemble de leurs opérations, afin de se prémunir contre d’éventuelles réclamations de clients étrangers qui pourraient trouver leur intérêt à invoquer des dispositifs juridiques différents.

La détermination du droit applicable pour ce type de ventes aux enchères est particulièrement complexe, car elle fait intervenir des règles de droit nationales, communautaires et internationales. Dans tous les cas, certaines dispositions du droit français des ventes aux enchères considérées comme impératives et d’ordre public s’imposent à tout prestataire étranger proposant des ventes aux enchères online accessibles et destinées à des consommateurs français. Tel est notamment le cas, dans la loi du 20 juillet 2011 sur les ventes aux enchères, des dispositions assorties de sanctions disciplinaires et pénales ou de celles qui visent à la police du marché et la protection des consommateurs.

I. Protection légale des acheteurs sur internet

Selon le Conseil des ventes volontaires (CVV), l’autorité de régulation du secteur depuis une loi du 20 juillet 2011, le produit de ce type de ventes (hors ventes judiciaires et ventes librement consenties dites de gré à gré) a augmenté de 12 % en 2019, atteignant près de 3,5 milliards d’euros. L’activité de courtage aux enchères en ligne, qui est pratiquée par des plateformes telles qu’eBay.

Les modalités de vente sur Internet sont précisées pour les contrats conclus depuis le 1er octobre 2016 (Code civil article 1127-1). Le professionnel qui propose une prestation ou un bien par Internet doit mettre à disposition de l’acquéreur les stipulations contractuelles ; l’auteur de l’offre reste engagé tant qu’elle se trouve sur le web de son fait.

L’offre doit énoncer :

  •  les différentes étapes à suivre pour conclure le contrat par voie électronique ;
  • les moyens techniques permettant au destinataire de l’offre, avant la conclusion du contrat, d’identifier d’éventuelles erreurs commises dans la saisie des données et de les corriger ;
  • les langues du contrat, dont obligatoirement la langue française ;
  • les modalités d’archivage du contrat ;
  • les moyens de consulter les règles professionnelles et commerciales de l’offrant.

Le contrat n’est valablement conclu que si le destinataire de l’offre a eu la possibilité de vérifier le détail de sa commande et son prix total et de corriger d’éventuelles erreurs avant de confirmer celle-ci pour exprimer son acceptation définitive (Code civil article 1127-2).

II. Précautions à prendre avant d’acheter ou de vendre sur internet

La relation entre vendeur et acheteur étant totalement dématérialisée, il est important pour toutes les personnes intéressées par la vente sur Internet de prendre certaines précautions.

A) Vérification de l’authenticité et de la valeur des biens proposés

L’acquéreur devra être très vigilant sur la description du bien proposé par le vendeur. En effet, c’est la description de ce bien et les mentions qui lui sont associées qui détermineront les recours éventuels en cas de litige sur l’authenticité du bien.

Il est également très important de vérifier la pertinence du prix proposé par le vendeur. Des sites comme Artprice.com rendent accessibles des bases de données de résultats des ventes aux enchères au niveau mondial. Ils permettent ainsi à l’acquéreur de disposer d’une analyse exhaustive de l’ensemble des transactions réalisées dans le cadre des ventes aux enchères, artiste par artiste. Ils aident l’amateur à avoir une vision approximative de la valeur ou du prix d’une œuvre à vendre ou à acheter.

B) Vérification de l’état du bien

Sur eBay, il ne faut pas hésiter à poser de nombreuses questions au vendeur sur l’état de conservation du bien proposé et à lui demander des photographies complémentaires. Nous déconseillons d’enchérir sur des biens peu décrits, sur lesquels le vendeur fait de la rétention d’informations ou reste flou. De manière générale, il est conseillé de se déplacer pour voir physiquement le bien proposé à la vente. Cette précaution, qui peut paraître excessive pour des biens de faible valeur, nous semble indispensable à partir de quelques milliers d’euros.

Pour des ventes organisées sur des sites de ventes aux enchères tels Christie’s ou Sotheby’s Live ou Interencheres.com, il faut contacter l’expert de la vente et lui demander un « condition report » qui détaille l’état du bien à vendre et ses éventuelles restaurations. L’acheteur potentiel pourra également aller vérifier la qualité du bien qui l’intéresse sur place, lors de l’exposition préalable à la vente, qui dure trois jours.

La nouvelle définition de l’activité de courtage aux enchères en ligne est plus précise. La loi dispose désormais que : « les opérations de courtage aux enchères réalisées à distance par voie électronique, se caractérisant par l’absence d’adjudication au mieux-disant des enchérisseurs et d’intervention d’un tiers dans la description du bien et la conclusion de la vente, ne constitue pas une vente ».

Cette définition permet de faire le lien entre la qualité d’hébergeur technique de la plateforme (tel que développé ci-dessus) et la notion de courtage aux enchères, en précisant que la description du bien et la conclusion de la vente sont réalisées en l’absence d’intervention d’un tiers (en l’occurrence, la plateforme de vente, la rédaction de l’annonce étant réalisée par le vendeur), et en l’absence d’adjudication au mieux-disant des enchérisseurs (le vendeur étant libre de conclure la vente avec un autre enchérisseur de son choix,).

Par ailleurs, il faut noter que toutes les ventes aux enchères ne constituent pas du courtage en conséquence de la loi de juillet 2011.

La loi de juillet 2011 vient compléter le premier alinéa de l’article L321-3 nouveau du Code de commerce, confirmant ainsi sans ambiguïté la décision rendue par la Cour d’appel de Paris le 8 avril 2009 contre la société EncherExpert.

III. Vérification de la réputation et de la probité du vendeur ou de l’acheteur

Cette vérification est nécessaire sur Internet. eBay prévoit un système de notation qui permet de vérifier la réputation d’un vendeur ou d’un acquéreur. Il est fondamental de se référer aux notations mises en avant par le site, même si ces notations, réalisées par les acheteurs et vendeurs eux-mêmes, ne sont pas toujours fiables !

Les opérateurs de ventes aux enchères qui vendent sur Internet procèdent eux-mêmes au contrôle de leurs vendeurs et acquéreurs. Ajoutons que l’enchérisseur qui ne paierait pas le bien qu’il a acquis dans les délais impartis fera l’objet d’une procédure de « folle enchère » qui pourra s’avérer coûteuse pour lui. Les maisons de vente sont très attentives à leurs mauvais payeurs, et ont d’ailleurs créé un fichier national des mauvais payeurs avec l’accord de la Cnil. En cas de doute, il peut être intéressant de se référer aux décisions du Conseil des ventes volontaires de meubles aux enchères publiques relatives aux mesures disciplinaires envisagées à l’égard de structures « indélicates ».

Pour lire une version plus complète de l’article sur les ventes aux enchères sur internet, cliquez

SOURCES :

Par internet-et-droit • Tags: , , , ,

LE DROIT À L’IMAGE : QUELS SONT VOS DROITS ET OBLIGATIONS ?

Le droit à l’image est un droit jurisprudentiel qui découle du droit au respect de la vie privée prévu à l’article 9 du Code civil. Ainsi, comme l’indique la Cour de cassation « toute personne dispose sur son image, partie intégrante de sa personnalité, d’un droit exclusif qui lui permet de s’opposer à sa reproduction » (Cass. Civ. 1re, 27 février 2007, n° 06-10393)

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Suite à différentes affaires à propos de photographies d’immeubles, un droit à l’image des biens est peu à peu apparu. La jurisprudence s’est construite à partir de l’article 544 du Code civil, mais c’est une notion relativement récente.

Enfin, ce n’est pas parce qu’une image, une vidéo ou un GIF existe sur le web qu’il est possible de l’utiliser librement dans le cadre de sa communication. Sur internet comme ailleurs les règles du droit d’auteur et du droit à l’image s’appliquent.

I. Le droit à l’image sur la personne

A) Le principe du droit à l’image

Conformément à l’article 9 alinéa 1 du Code civil « Chacun a droit au respect de sa vie privée ».

Besoin de l’aide d’un avocat pour un problème de droit à l’image ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

En vertu du droit au respect de la vie privée, la jurisprudence a créé le droit à l’image afin de permettre à une personne, célèbre ou non, de s’opposer à la captation, la fixation ou à la diffusion de son image, sans son autorisation expresse et préalable.

Le droit à l’image s’applique de manière identique pour tout le monde que la personne concernée soit célèbre ou pas et concernant tous les supports de diffusion

Ainsi, la nature du support sur lequel l’image d’une personne est diffusée est sans aucun effet sur le respect dû au droit à l’image de cette personne.

Le droit à l’image a donc vocation à s’appliquer de la même façon qu’il s’agisse d’un livre, d’un journal, d’une publicité, d’une affiche, d’un tract, d’un site internet.

Il important de relever que le consentement de la personne à être photographiée est différent de son autorisation à diffuser son image.

La diffusion de l’image d’une personne au sein d’un groupe ou dans un lieu public est permise à moins que celle-ci ait été individualisée.

Même en présence d’une autorisation de diffusion de l’image d’une personne, cela ne vaut pas titularité de son droit à l’image. Une autorisation est a priori nécessaire, quel que soit le lieu, public ou privé, dans lequel la personne a été prise en photographie ou filmée.

L’autorisation donnée doit être écrite et être suffisamment précise pour permettre de savoir si l’intéresser a bien été informé de l’utilisation qui allait en être faite.

En pratique, l’autorisation d’exploitation d’une image d’une personne doit mentionner, avec soin, l’objet de l’autorisation ainsi que l’étendue de l’autorisation, à savoir : les photographies concernées, le contexte et les supports autorisés, une éventuelle durée ainsi que le lieu de diffusion autorisé.

Toute utilisation non conforme aux termes de l’autorisation donnée au sein d’un contrat de cession ou d’une clause de cession insérée dans un contrat de travail est interdite et sanctionnée.

Dans tous les cas, il appartient à l’auteur de la publication de prouver qu’il disposait d’une autorisation en bonne et due forme de l’intéressé afin de justifier de son bon droit.

À défaut d’autorisation exprès et préalable, la victime peut légitimement obtenir judiciairement la condamnation de l’auteur de la diffusion litigieuse.

B) Les exceptions au droit à l’image

  • Le droit à l’information

Lorsque la photographie illustre un sujet d’actualité, un sujet ou un débat démocratique général, un sujet historique, un débat général sur un phénomène de société ou encore les fonctions d’une personnalité publique.

Prudence, si l’image est détournée de son objet, ou qu’il y’a une atteinte au respect de la vie privée ou encore que l’image soit utilisée à des fins commerciales ou publicitaires, alors le droit à l’information ne peut rester l’exception.

  • L’image non cadrée d’une personne prise dans un public

  • 3) Les sanctions en cas de violation du droit à l’image

Les sanctions auxquelles s’expose la personne qui aura utilisé l’image d’une autre personne sans son autorisation sont diverses, c’est à dire en cas de violation de droit à l’image.

  1. Sanctions de la CNIL

Si l’image est diffusée sur internet, la victime peut également saisir la CNIL pour pourra prononcer des sanctions à l’encontre de l’auteur de la violation du droit à l’image.

  1. Sanctions civiles

La victime dont le droit à l’image a été violé peut agir en référé ou au fonds pour obtenir le retrait des photos, vidéos ou montages litigieux et obtenir des dommages-intérêts indemnisant le préjudice qu’elle a subi.

  1. Sanction pénale

La victime peut porter plainte et faire condamner l’auteur de la diffusion de son image. Les peines encourues diffèrent selon l’infraction (article 226-1 du Code pénal) :

  • Prendre en photo ou filmer une personne dans un lieu privé sans son consentement est punie d’un an d’emprisonnement et de 45 000 € d’amende.
  • Conserver ou porter ou laisser porter à la connaissance du public, l’image d’une personne prise dans un lieu privé sans son consentement est punie d’un an d’emprisonnement et 45 000 € d’amende.
  • Publier l’image ou tout montage réalisé avec l’image d’une personne sans son consentement est puni d’un an emprisonnement et de 15 000 € d’amende.

Le délai de la victime pour agir est de 3 ans à partir de la diffusion de l’image.

 

II. Le droit à l’image sur les biens

  • Le propriétaire du bien ne dispose plus d’un droit exclusif sur l’image de celui-ci

La jurisprudence portant sur la problématique de l’utilisation de l’image d’un bien immobilier par un tiers sans l’autorisation de son propriétaire est désormais bien établie.

Depuis un revirement jurisprudentiel en 2004, dans l’arrêt dit « Hôtel de Girancourt » la Cour de cassation a posé un principe selon lequel « le propriétaire d’une chose ne dispose pas d’un droit exclusif sur l’image de celle-ci ». (Cass. 7 mai 2004 n°02-10450)

Ainsi, si le propriétaire souhaite s’opposer à l’exploitation de l’image de son bien sans son autorisation, par un tiers, il doit prouver que l’utilisation de l’image de son bien par un tiers lui cause un trouble anormal.

Par conséquent, en l’absence de trouble anormal au droit de jouissance du propriétaire ou à son droit au respect de la vie privée, l’utilisation de l’image de son bien par un tiers sans son autorisation est possible.

  • Les œuvres architecturales

Tout d’abord, il convient de rappeler les dispositions des articles L112-3 et L122-3 du Code de la propriété intellectuelle qui accordent aux œuvres architecturales la protection de droit d’auteur dès lors qu’elles sont originales.

Conformément à l’article L111-3 du Code de la propriété intellectuelle, la propriété du support matériel est indépendante de celle des droits de propriété intellectuelle.

Ainsi, l’image d’un bâtiment ne peut être reproduite sans l’autorisation de l’architecte titulaire de droit d’auteur ou de ses ayants droit. À défaut de quoi, la reproduction d’une œuvre protégée sans l’autorisation de son auteur constitue, conformément aux dispositions de l’article L122-4 du Code de la propriété intellectuelle un acte de contrefaçon.

En revanche, il existe une exception importante qui réside dans la théorie de l’accessoire développé par la jurisprudence.

La Cour de cassation a admis dans l’arrêt dit «« Place des Terreaux » que l’exploitation de l’image d’un bien immobilier par un tiers sans l’autorisation des auteurs. ( Cass. 15 mars 2005 n°03-14820.)

Concernant les biens immeubles publics, si la reproduction de leur image est en principe libre, l’article L621-42 du Code du patrimoine dispose que :« L’utilisation à des fins commerciales de l’image des immeubles qui constituent les domaines nationaux, sur tout support, est soumise à l’autorisation préalable du gestionnaire de la partie concernée du domaine national ».

Contrairement aux autres États membres de l’Union européenne, il n’existe pas, en France, d’exception sur les œuvres situées dans l’espace public, appelée liberté de panorama, qui « est une exception au droit d’auteur par laquelle il est permis de reproduire une œuvre protégée se trouvant dans l’espace public. Selon les pays, cette exception peut concerner les œuvres d’art ou les œuvres d’architecture ».

Ainsi, la jurisprudence condamne comme contrefaçon une carte postale représentant la Géode de la Cité des sciences et de l’industrie, œuvre d’Adrien Fainsilber, qui « a pour objet essentiel la représentation de ce monument ». (CA Paris du 23 octobre 1990)

Inversement, la jurisprudence admet traditionnellement deux exceptions au droit d’exploitation de l’architecte :

  • L’exception pour copie privée, issue de l’article L122-5 du Code de la propriété intellectuelle : Le touriste qui réalise le cliché d’un édifice à des fins personnelles ou familiales n’a pas à solliciter l’autorisation de l’architecte.
  • La théorie de « l’arrière-plan » et de « l’accessoire », développée par la jurisprudence : « La représentation d’une œuvre située dans un lieu public n’est licite que lorsqu’elle est accessoire par rapport au sujet principal représenté ». « Le droit à protection cesse lorsque l’œuvre (…) est reproduite non pas en tant qu’œuvre d’art, mais par nécessité, au cours d’une prise de vue dans un lieu public ».

Ainsi, il n’est pas nécessaire de rechercher l’autorisation de l’auteur quand l’œuvre figure en arrière-plan dans la scène d’un film. La reproduction est également libre quand l’œuvre considérée occupe une place très secondaire sur une photographie.

Il est permis pour les seuls particuliers et dans un usage dénué de tout caractère commercial de diffuser en ligne la photographie d’une œuvre architecturale sans obtenir l’accord préalable de son auteur ou de ses ayants droit. En revanche, la diffusion sans autorisation de la photographie d’une œuvre architecturale protégée sur des portails commerciaux ou hébergeant de la publicité, notamment les réseaux sociaux, reste à l’inverse interdite.

En effet, l’article 39 de la loi pour une République numérique a complété l’article L122-5 du Code de la propriété intellectuelle, et dispose que l’auteur d’œuvres architecturales ne peut en interdire les reproductions et représentations, uniquement si elles sont réalisées par des personnes physiques à l’exclusion de tout usage à caractère commercial.

III. Attention à l’utilisation d’image trouvée sur internet

Prudence, la première règle à respecter est de sourcer l’image. Ce n’est pas parce que cela vient d’Internet que c’est libre et gratuit. Derrière toute image, il y a un auteur qui mérite d’être rémunéré. Il est essentiel de remonter à la source, trouver l’auteur, l’agence ou la société qui propose l’image si vous souhaitez l’utiliser.

  • L’Image est-elle créative ou éditoriale ?

Les images créatives sont des images réalisées de toute pièce, qui n’existent pas dans la réalité puisqu’il s’agit d’instants de la vie reconstitués, images pour illustrer un sport, images business notamment.

À l’inverse, une image éditoriale est une image prise sur le vif, “c’est une réalité photographiée”. Les images éditoriales sont souvent associées aux images de presse.

Dans le cadre d’une image créative, les autorisations préalables du photographe, du modèle et des éventuelles marques et lieux reconnaissables sont requis.

Dans le cadre d’une image éditoriale, seule l’autorisation du photographe est nécessaire.

  • Quelle utilisation de l’image ?

Avant d’utiliser une image, il faut déterminer l’usage que vous allez en faire. Il existe 2 catégories de contenus : contenus éditorial et commercial.

Les images qui se trouvent dans un contenu éditorial ont généralement pour but d’illustrer les propos de l’auteur. Les images éditoriales sont, d’une manière générale, utilisées dans certains livres, articles, manuels, présentations, elles servent à donner de la crédibilité aux propos et non à vendre un produit ou un service, contrairement à l’usage commercial.

  • L’image est-elle sous licence ?

Il faut distinguer deux types de licence.

  • La licence libre de droits :

Un titulaire de droits peut transmettre une licence libre de droit.  Cela signifie qu’il ne faudra payer qu’une seule fois. Ensuite, vous pouvez utiliser cette image comme vous le souhaitez, aussi longtemps que vous le souhaitez, en France ou à l’étranger, sur tout type de support.

Prudence, il existe une confusion entre “images libres de droits” et “images gratuites” sur Internet. Pourtant, une banque d’images libres de droits ne signifie pas que les images proposées sont gratuites. Payer une fois permet une utilisation illimitée et paisible de l’image choisie. Et bien que les banques d’images gratuites soient aujourd’hui nombreuses, il est utile de rappeler les risques associés à l’usage des photographies référencées.

Sur les banques d’images gratuites, il est généralement indiqué que le photographe accorde gratuitement sa licence. Mais est-ce que la personne photographiée a donné son autorisation ? Est-ce que les objets de marques sont reconnaissables ? Est-ce que des lieux sont visibles ? Si oui, dans le cadre d’un usage commercial, vous vous exposez à des poursuites.

  • La licence de droits gérés :

Cela s’oppose au système de droits gérés, où il faut payer des droits à chaque usage d’une image.

  • Où trouver des images libres de droits d’auteur ?

Il existe plusieurs solutions pour trouver des images libres de droits :

  • Par les moteurs de recherche : Google Image, Yahoo Image et autres
    Vous pouvez réduire votre recherche aux images libres de droits d’utilisation, de distribution ou de modification » en activant le filtre « safe search » ;
  • Via des sites d’images ;
  • En contactant l’auteur de l’image : il peut être facile à joindre et selon le cadre d’utilisation, peut tout à fait vous accorder les droits.

Pour lire cet article sur la protection du droit à l’image en version plus complète

SOURCES :

https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006419288&cidTexte=LEGITEXT000006070721&dateTexte=19940730

https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006417929&cidTexte=LEGITEXT000006070719&dateTexte=20020101

https://www.legifrance.gouv.fr/affichJuriJudi.do?&idTexte=JURITEXT000007050437

https://www.legifrance.gouv.fr/affichJuriJudi.do?idTexte=JURITEXT000007048576

https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006278879&cidTexte=LEGITEXT000006069414&dateTexte=19980702

https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006069414&idArticle=LEGIARTI000006278917

https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006278911&cidTexte=LEGITEXT000006069414&dateTexte=19920703

  • Civ. Art., 1162 nouveau
  • Civ. Art., 1163

(10) (Paris, 11e ch. A, 6 juin 2007, RG no 05/22563, selon lequel l’autorisation : « doit être suffisamment précise et limitée dans le temps, éventuellement l’espace, et les modalités de diffusion »; – adde : Basse Terre, 1er déc. 2008, JurisData 376641.)

Par internet-et-droit • Tags: , , , , ,

1 2 3

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

© Murielle Cahen Cabinet d’avocats Paris 2024
Powered by WordPressThemify WordPress Themes