Résultats de recherche pour: internet

QUEL CONSENTEMENT SUR INTERNET ?

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Le consentement de la personne concernée est défini comme toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement (Règl. UE 2016/679 du 27-4-2016, art. 4-11).

Il en résulte que la personne concernée ne doit pas se sentir forcée à consentir. Si la personne concernée n’est pas véritablement en mesure d’exercer un choix, se sent contrainte de consentir ou subit des conséquences négatives importantes si elle ne donne pas son consentement, le consentement n’est pas valable.

La personne concernée a le droit de retirer son consentement à tout moment (Règl. UE 2016/679 du 27-4-2016, art. 7-3).

En outre, la locution « nécessaire à l’exécution d’un contrat » doit être interprétée de façon restrictive. Le traitement doit être nécessaire pour exécuter le contrat conclu avec chacune des personnes concernées. Dans le contexte du travail, ce principe peut par exemple autoriser le traitement des informations liées au salaire et au compte bancaire afin de pouvoir verser les salaires. Il doit exister un lien direct et objectif entre le traitement des données et l’objectif d’exécution du contrat ‘Groupe de travail « Article 29 » : Lignes directrices sur le consentement au sens du règlement 2016/679 du 10-4-2018).

Besoin de l’aide d’un avocat pour un problème de vie privée?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Par ailleurs, le principe du consentement de la personne concernée est entouré de diverses garanties (RGPD art. 7) :

–  le responsable du traitement doit être en mesure de démontrer que le consentement a été effectivement donné ;

–  si la déclaration écrite de consentement porte également sur d’autres questions que celle du consentement et si elle est consécutive à une demande préalablement adressée à la personne concernée, cette demande doit être présentée sous une forme compréhensible et aisément accessible ; elle doit aussi être formulée en des termes clairs et simples ;

–  la personne concernée a le droit de retirer son consentement à tout moment ; ce retrait ne remet pas pour autant en cause la licéité du traitement fondé sur le consentement initial ;

–  au moment de déterminer si le consentement est donné librement, il convient, éventuellement, de s’assurer que l’exécution d’un contrat n’est pas subordonnée à un consentement non nécessaire à cette exécution (pratique du « couplage »).

Tel n’a pas été le cas dans un arrêt de la CJUE du 12 novembre 2020 qui juge qu’un contrat de fourniture de services de télécommunication qui contient une clause selon laquelle le client a consenti à la collecte et la conservation de son titre d’identité ne peut démontrer qu’il a valablement donné son consentement lorsque la case y afférente a été cochée par le responsable de traitement avant la signature du contrat. Il en est de même lorsque le consommateur est induit en erreur quant à la possibilité de conclure le contrat en cas de refus du traitement de ses données, ou lorsque le libre choix de s’opposer à cette collecte et à cette conservation est affecté par l’exigence d’un formulaire supplémentaire exprimant ce refus.

La CEDH dans une décision du 9 mai 2023 (CEDH, 9 mai 2023 n°31172/19 « Association les témoins de Jéhovah c/ Finlande) (1)  avait à se prononcer sur l’obligation imposée aux témoins de Jéhovah par la commission de protection des données personnelles, de recueillir le consentement des personnes à la collecte de leurs données personnelles dans le cadre de leurs activités de prédication. La CEDH a considéré que cette obligation n’est pas une violation de la liberté de conscience et de religion. Bien qu’il s’agisse d’une ingérence dans les droits de la communauté religieuse, cette dernière poursuivait un but légitime et était nécessaire dans une société démocratique. (7)

I. La case se référant à cette clause a été cochée par le responsable du traitement des données avant la signature de ce contrat

Selon l’article 4 § 1 du RGPD, la donnée à caractère personnel est toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »); est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

En outre, la lettre de l’article 4 § 2 dispose que le « traitement » est toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Par ailleurs, le paragraphe 11 de l’article 4 du RGPD dispose que le « consentement » de la personne concernée est toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Le consentement de la personne concernée reste essentiel pour traitement de ses données à caractère personnel par le responsable du traitement ou par ses sous-traitants. Le manquement à cette obligation est une faute imputable au responsable du traitement pour violation du consentement préalable de la personne avant toutes sortes de collectes de ses données.

La Cour de Justice de l’Union européenne par cet arrêt a voulu démontrer ou mettre en lumière l’objet même ou le but poursuivi par le RGPD en l’occurrence le renforcement des droits des personnes physiques concernées par tout traitement de leurs données à caractère personnel.

De plus, le consentement doit être éclairé. Cette qualité fait écho à l’obligation de transparence qui découle des articles 5 et 12 du RGPD et, plus particulièrement à l’obligation d’information qui s’impose au responsable de traitement en vertu des articles 13 et 14 du RGPD.

La CNIL considère que le recours à des cases précochées ou préactivées ne permet pas d’obtenir un consentement univoque. Dans le même esprit, la CJUE a jugé que le placement de cookies requiert un consentement actif des internautes de sorte qu’une case cochée par défaut est insuffisante. De plus, le recueil du consentement de l’utilisateur s’applique quand bien même les données concernées seraient à caractère personnel ou non.

Le Conseil d’État confirme cette observation de la CNIL, à travers une décision du 19 juin 2020 (CE, 10e et 9e chambre réunies, 19 juin 2020 n°430810) (2). Celui-ci précise qu’un consentement exprimé par défaut, tel que par une case pré-cochée, ne reflète pas une action active de la part de l’utilisateur et ne peut donc être considéré comme émanant d’un choix clair et délibéré permettant légitimement le recueil du consentement. La cour ajoute que le consentement obtenu dans le cadre de l’acceptation générale des conditions d’utilisation d’un service ne revêt pas un caractère spécifique conforme au RGPD.

Quand le responsable décide de fonder son traitement sur le consentement de la personne concernée, il doit être en mesure de démontrer qu’il a obtenu ce consentement.

La CJUE a précisé que le responsable du traitement doit être en mesure de démontrer le consentement de la personne concernée à la collecte et à la conservation de ses données à caractère personnel. La seule présence d’une clause contractuelle, cochée à l’avance par les agents de vente, précisant que le client a consenti, ne permet pas de prouver l’existence d’un consentement valable (CJUE, 11 nov. 2020, aff. C-61/19, Orange Romania).

La CNIL dans une délibération rendue le 24 novembre 2022 n°SAN-2022-021 (3), avait à se prononcer sur un contrat conclu entre la société EDF et un courtier en données. Celle-ci précise que le responsable de traitement reste garant de l’obtention du consentement des personnes prospectées et ne peut se décharger de sa responsabilité en cas de manquement de son contractant, à moins qu’il n’ait mis en place des mesures de contrôle adéquates. (8)

2. Les stipulations contractuelles dudit contrat sont susceptibles d’induire la personne concernée en erreur quant à la possibilité de conclure le contrat en question même si elle refuse de consentir au traitement de ses données

Conformément aux lignes directrices dégagées par le CEPD (Lignes directrices CEPD n° 05/2020, 4 mai 2020), le consentement est libre quand il n’est pas contraint, ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus. En ce sens, l’article 7 du RGPD dispose qu’« au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat ».

Cela semble revenir à l’idée que le consentement ne peut être considéré comme valable quand il est donné dans le but de profiter d’un produit ou d’un service pour la fourniture duquel un traitement de données n’est pas nécessaire. Le CEPD donne l’exemple d’un fournisseur de site web qui bloque la visibilité du contenu, sauf si l’utilisateur clique sur le bouton « Accepter les cookies ». La personne concernée ne dispose pas d’un véritable choix, son consentement n’est donc pas donné librement.

La CNIL dans une délibération rendue le 15 juin 2023 (SAN-2023-009) (4) a sanctionné une société spécialisée dans la publicité en ligne pour ne pas avoir vérifié que les personnes dont elle traite les données par l’intermédiaire de cookies avaient donné leur consentement. À cette occasion, elle détaille les conditions requises pour prouver le consentement des individus lorsque des cookies tiers sont déposés sur un site web.

Le responsable peut tout d’abord mettre en œuvre un traitement nécessaire soit à l’exécution d’un contrat auquel la personne concernée est partie, soit à l’exécution de mesures précontractuelles prises à la demande de celle-ci. Comme le consentement, la base légale contractuelle se révèle être souvent utilisée en pratique.

Le responsable peut également faire reposer la licéité de son traitement sur le respect d’une obligation légale à laquelle il est soumis, la sauvegarde des intérêts vitaux de la personne concernée ou encore l’exécution d’une mission d’intérêt public ou la mise en œuvre d’un traitement relevant de l’exercice de l’autorité publique dont il est investi.

En dernier lieu, la loi du 6 janvier 1978 et le RGPD prévoient la possibilité de mettre en œuvre un traitement quand ce dernier est « nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant » (L. n° 78-17, 6 janv. 1978, art. 5, 6° RGPD, art. 6, § 1, f). C’est ainsi au responsable de déterminer à quel moment ses intérêts ou ceux d’un tiers doivent prévaloir sur ceux de la personne concernée.

La CEDH dans une décision du 8 septembre 2022 (CEDH, 5e sect., 8 sept. 2022, nos 3153/16 et 27758/18, Drelon c/ France) (5) devait se prononcer sur une collecte de données effectuée par un établissement français du sang. À cette occasion, elle a rappelé que le seul fait que le responsable de traitement puisse collecter les données personnelles au regard du but poursuivi est insuffisant à rendre ce traitement illicite. Il faut en plus que les données collectées soient exactes, mises à jour, pertinentes et non excessives au regard des finalités du traitement des données. (10)

Dans tous les cas la personne concernée doit être informée de la collecte de ses données conformément au RGPD et son consentement devra être recueilli sans ambiguïté sauf exception édictée par ledit RGPD.

 3. Le libre choix de s’opposer à cette collecte et à cette conservation est affecté indûment par ce responsable, en exigeant que la personne concernée, afin de refuser de donner son consentement, remplisse un formulaire supplémentaire faisant état de ce refus

La personne concernée est libre de consentir à la collecte de ses données à caractère personnel. Certes, le RGPD prévoit encore la possibilité pour les personnes concernées de « s’opposer à tout moment » au traitement de leurs données (art. 21 (1)). Elles ne peuvent toutefois plus le faire selon les mêmes modalités.

Aux termes du règlement européen, l’exercice du droit d’opposition n’a en effet vocation à s’appliquer qu’à l’encontre des traitements nécessaires à « l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, ou en raison des intérêts légitimes du responsable du traitement » (RGPD, consid. no 69 et art. 21 (1), par renvoi à, art. 6 (1) e) ou f)).

Dans de telles circonstances, les seules possibilités de mettre fin au traitement seront donc soit de recourir au droit à l’effacement (RGPD, art. 17), soit de retirer son consentement (RGPD, art. 7 (3)) avec l’avantage de ne pas devoir justifier de « motif légitime » (voir en ce sens, Maisnier-Boché L., art. préc.).

Ce qui implique dans les deux hypothèses que de telles actions soient nécessairement exercées après que le traitement ait été mis en œuvre et non avant (RGPD, art. 99 (2)). Sans compter qu’aucune disposition ne semble par ailleurs pouvoir être invoquée pour faire valoir le droit d’opposition en cas de traitement de données personnelles nécessaire à l’exécution d’un contrat ou de mesures précontractuelles (RGPD, art. 6 (1) b) ; voir également en ce sens, Maisnier-Boché L., art. préc.) ou celui – mais l’exception est plus admissible compte tenu des risques encourus – nécessaire à la sauvegarde des intérêts vitaux (RGPD, art. 6 (1) d)).

Le Conseil d’État, dans une décision rendue le 20 décembre 2023 (CE, 20 décembre 2023 n°430810) (6), devait se prononcer sur le droit à l’effacement d’un politicien souhaitant obtenir le déréférencement d’un article de presse le concernant. Celui-ci, par une mise en balance du droit à la protection des données à caractère personnel et le droit à la liberté d’information du public, sur des questions d’intérêt public, a rejeté cette demande de déréférencement.(11)

À cette limite, importante donc, le règlement européen apporte au moins deux précisions utiles. La première est que le droit d’opposition vaut bien en cas de profilage et qu’il continue de s’appliquer en matière de prospection (RGPD, art. 21 (2)), à des fins commerciales comme non-commerciales notamment associatives ou politiques.

La deuxième concerne les conséquences de l’exercice du droit d’opposition. Aussi évidentes soient-elles, il n’en demeurait pas moins pertinent de rappeler que « lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins » (RGPD, art. 21 (3)). Ce qui, comme du reste actuellement, ne devrait toutefois pas avoir pour conséquence d’interdire la mise en place de listes d’opposition, justement dans la mesure où elles poursuivent une finalité propre, à savoir garantir l’exercice effectif de ce droit.

Selon l’article 6 § 1.b du RGPD, le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci.

Toutefois, lorsque le responsable du traitement coche au préalable la case de consentement de la collecte des données personnelles des clients, ce dernier ne met pas en évidence le caractère libre du client pour consentir ou non à la collecte de ses données personnelles. Autrement dit, il affecte même le caractère licite de la collecte des données personnelles des personnes concernées au regard de l’article 6 du RGPD.

Le Conseil d’État dans un arrêt du 19 juin 2020 (CE, 19 juin 2020, n°430810) a condamné la société Google sur ce fondement. Ce dernier souligne que le consentement donné au moyen d’une case pré-cochée ne résulte pas d’une action active de la part de l’utilisateur et ne peut donc être considéré comme provenant d’une décision claire et volontaire. (9)

SOURCES :

1)  CEDH, 9 mai 2023 n°31172/19 « Association les témoins de Jéhovah c/Finlande :https://hudoc.echr.coe.int/fre#{%22itemid%22:[%22002-14070%22]}

(2) CE, 10e et 9e chambre réunies, 19 juin 2020 n°430810 : https://www.legifrance.gouv.fr/ceta/id/CETATEXT000042040546
(3) CNIL, délibération SAN-2022-021 du 24 novembre 2022 : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046650733

(4) CNIL, Délibération SAN-2023-009 du 15 juin 2023

(5) CEDH, 5e sect., 8 sept. 2022, nos 3153/16 et 27758/18, Drelon c/ France https://hudoc.echr.coe.int/fre#%7B%22itemid%22:%5B%22001-219069%22%5D%7D

(6) CE, 19 juin 2020, n°430810 : https://www.legifrance.gouv.fr/ceta/id/CETATEXT000042040546

(7) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/lessentiel-droit-de-la-famille-et-des-personnes/DFP201o3?em=consentement%20collecte%20des%20donn%C3%A9espar%20

(8) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/lessentiel-droit-de-la-distribution-et-de-la-concurrence/DDC201h3?em=responsable%20de%20traitement%20consentement

(9) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/gazette-du-palais/GPL383j7?em=consentement%20%C3%A9clair%C3%A9%20donn%C3%A9es

(10) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/lessentiel-droit-de-la-famille-et-des-personnes/DFP201a6?em=collecte%20de%20donn%C3%A9es%20

(11) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/gazette-du-palais/GPL459j2?em=droit%20%C3%A0%20l%27effacement

Par internet-et-droit • Tags: , , , ,

PEUT-ON ANNULER UNE VENTE DE SITE INTERNET ?

Est-il possible de changer d’avis en tant que vendeur ou acheteur d’un site internet ?

La notion de « contrat hors établissement » détermine le domaine de la réglementation qui, aux termes du 2° de l’article L. 221-1 du Code de la consommation, correspond à tout contrat qui serait conclu, entre un professionnel et un consommateur, dans l’une des trois circonstances visées par le texte.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire et un avocat enverra une lettre de mise en demeure !

Il s’agit tout d’abord de celui qui serait conclu « dans un lieu qui n’est pas celui où le professionnel exerce son activité en permanence ou de manière habituelle, en la présence physique simultanée des parties » (peu important, comme auparavant, que ce soit à la suite d’une demande du consommateur).

Est ensuite visé celui qui serait conclu dans un établissement où le professionnel exerce son activité, mais à la suite d’une sollicitation du consommateur qui, elle, aurait eu lieu dans un lieu différent et alors que les parties étaient physiquement en présence l’une de l’autre.

Enfin, est aussi concerné le contrat qui serait conclu pendant une excursion organisée par le professionnel ayant pour but ou pour effet de promouvoir et de vendre des biens ou des services au consommateur.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

La vente d’un site internet est soumise aux articles 1582 et suivants du Code civil, au même titre que la vente d’un bien physique. Il est donc nécessaire de soigner la rédaction du contrat. Bien le rédiger, permets d’éviter tout risque de nullité de contrat et de se prémunir de tout litige entre les parties. L’objectif est de formaliser l’engagement de l’acheteur à payer le vendeur du site internet.

Par ailleurs, au moment de la rédaction du contrat, il ne faut pas oublier la question des droits d’auteurs. L’ensemble du contenu d’un site internet (photos, articles, etc) sont soumis aux droits d’auteurs de leur créateur, comme le prévoit le Code de la propriété intellectuelle (Articles L. 131-1 et suivants). Lors de sa cession, il est important de s’assurer que la propriété de ces éléments vous revient. Auquel cas, il faudra le spécifier dans le contrat.

En ce qui concerne l’exclusion, ont toujours échappé au droit commun du démarchage ici présenté, et continuent d’échapper aujourd’hui plus généralement aux règles concernant les contrats conclus à distance et hors établissement telles qu’elles sont aujourd’hui définies par les articles L. 221-1 à L. 221-29 du Code de la consommation, les contrats pour lesquels le démarchage fait l’objet d’une réglementation par un texte spécial.

Cette dernière exclusion pourrait néanmoins devoir être nuancée et limitée au cas où le stand tenu dans une telle foire puisse faire figure d’établissement commercial au sens où le consommateur moyen puisse s’attendre à ce que le professionnel y exerce son activité et le sollicite pour conclure un contrat (CJUE, 7 août 2018, n° C-485/17 : Contrat, concurrence Code de la consommation 2018).

Ensuite, sont exclus du domaine de cette même réglementation des contrats conclus à distance et hors établissement, toute une série d’opérations énumérées par l’article L. 221-2 du Code de la consommation.

 En outre, la réglementation ne s’applique pas aux contrats conclus hors établissement entre deux professionnels, ceci à moins que l’objet de ces contrats n’entre pas dans le champ de l’activité principale du professionnel sollicité (Cassation civile du 12 septembre 2018, n° 17-17.319 : architecte souscrivant un contrat de création d’un site internet) et que le nombre de salariés employés par celui-ci soit inférieur ou égal à cinq.

Pour ce qui concerne la qualité de consommateur, lorsque l’annonceur est un consommateur, les règles protectrices du Code de la consommation doivent s’appliquer et notamment celles encadrant les contrats conclus à distance ou hors établissement (Code de la consommation., article L. 221-1 et s.). Si la publicité a pour vocation de promouvoir l’activité professionnelle de l’annonceur, la qualité de consommateur lui est cependant refusée (Cour de cassation 1re civile du 26 novembre 2002, n° 00-17.610), sauf lorsque le professionnel emploie 5 salariés au plus (Cour Cassation 1re civile 12 septembre 2018, n° 17-17319).

La création d’un site internet dédié à l’activité professionnelle d’un architecte : contrat de consommation ?

Cet article consistera à analyser l’arrêt du 12 septembre 2018 relatif au contrat hors établissement, droit de rétractation, professionnel non spécialiste et site internet dans une première partie (I) ; le droit de rétractation des contrats conclus à distance et hors établissement en seconde (II).

I. L’arrêt du 12 septembre 2018

A) Les faits de l’arrêt du 12 septembre 2018

Dans un arrêt du 12 septembre 2018 (Cour de cassation, chambre civile 1 du 12 septembre 2018, no 17-17.319), la Cour de cassation se prononce sur la question de savoir si le contrat de création et de licence d’exploitation d’un site internet aux fins de promotion de l’activité d’un architecte relève des dispositions protectrices du Code de la consommation.

À l’origine de cet arrêt, la souscription hors établissement par une architecte d’un contrat de création et de licence d’exploitation d’un site internet pour son activité professionnelle et d’autres prestations annexes.  Elle dénonce par la suite ce contrat, mais la société prestataire de services, déniant à l’architecte le droit de se rétracter, l’assigne en paiement.

La Cour d’appel déboute la société de ses demandes, anéantit les effets du contrat et la condamne à rembourser à l’architecte les sommes déjà versées. Pour la Cour, en effet, le contrat en cause ne pouvait être considéré comme entrant dans le champ de l’activité principale du professionnel, au regard de l’article L. 121-16-1, III, du Code de la consommation, alors applicable (devenu Code de la consommation, article L. 221-3).

La Cour de cassation juge que la Cour d’appel, ayant estimé, par une appréciation souveraine, que « la communication commerciale et la publicité via un site internet n’entraient pas dans le champ de l’activité principale de (l’architecte) (elle) n’a pu qu’en déduire que celle-ci bénéficiait du droit de rétractation prévu par l’article L. 121-21 du Code de la consommation ». Le pourvoi de la société prestataire de services est donc rejeté.

Une architecte qui exerçait son activité en tant qu’auto-entrepreneur a souscrit, hors établissement, le 17 juillet 2014, auprès d’une société un contrat de création et de licence d’exploitation d’un site internet dédié à son activité professionnelle ; contrat qu’elle a dénoncé le 2 septembre suivant. Lui déniant le droit de se rétracter, la société l’a assignée en paiement.

Elle reproche à l’arrêt d’appel d’avoir anéanti les effets du contrat et de l’avoir condamnée à lui rembourser les sommes versées en exécution de celui-ci (Cour d’appel de Douai, 1re ch., 1re sect., 23 mars 2017, n° 16/00837, n° 194/2017).

Au soutien de son pourvoi, elle fait valoir que le droit de rétraction ne peut jouer, car la prestation commandée, qui est utile à l’activité de l’architecte et sert ses besoins professionnels, entre dans le champ de son activité principale.

Ce n’est pas la position de la Cour de cassation pour qui « il résulte de l’article L. 121-16-1, III, devenu L. 221-3 du Code de la consommation, que le professionnel employant cinq salariés au plus, qui souscrit, hors établissement, un contrat dont l’objet n’entre pas dans le champ de son activité principale, bénéficie des dispositions protectrices du consommateur édictées par ce Code ».

Aussi, « ayant souverainement estimé que la communication commerciale et la publicité via un site internet n’entraient pas dans le champ de l’activité principale de l’architecte, la Cour d’appel n’a pu qu’en déduire que celle-ci bénéficiait du droit de rétractation prévu par l’article L. 121-21 du Code de la consommation, dans sa rédaction antérieure à celle issue de l’ordonnance nº 2016-301 du 14 mars 2016 ».

B) Les règles protectrices du droit de la consommation

Les professionnels qui proposent un contrat de vente à distance doivent communiquer au consommateur, les informations en langue française, de manière lisible et compréhensible, prévue par l’article L.221-5 du Code de la consommation.

En l’espèce,l’architecte invoquait ainsi les règles protectrices du Code de la consommation qui octroient la faculté de rétractation au consommateur pendant un délai de 14 jours à compter de la conclusion du contrat (Code de la consommation article L. 221-18) prolongé de 12 mois lorsque les informations relatives à ce droit de rétractation n’ont pas été fournies (Code de la consommation article L. 221-20).

À l’identique des juges du fond, la Cour de cassation lui donne donc raison. De fait, si un système de communication visant à porter une activité à la connaissance du public, fût-elle étrangère au domaine de la communication électronique, a un rapport direct avec cette activité, puisqu’il a vocation à en faciliter l’exercice, il n’entre pas nécessairement dans le champ de cette activité.

On ne peut que saluer cet arrêt : sur le plan technique, tout d’abord, la solution est justifiée dans la mesure où il est indéniable que la communication commerciale et la publicité ne relèvent du champ de l’activité principale de l’intéressée. Il est vrai, cependant, que ce dernier critère, qui a succédé à celui du rapport direct, n’est pas plus clair et risque fort d’entraîner la même casuistique (J.-D. Pellier, op. cit., n° 133, adde not. n° 4 : « Le contentieux qui s’était développé quant à la notion de rapport direct, employée par l’ancien article L. 121-22, 4°, du Code de la consommation, risque ainsi de se reporter sur la nouvelle notion de “champ de l’activité principale du professionnel” » ; rappr. L. et J. Vogel, Droit de la consommation. Traité de droit économique, t. 3, Bruylant, 2017, n° 443, considérant que « la notion de champ de l’activité principale du professionnel apparaît tout aussi imprécise que celle de rapport direct et il est fort probable que les solutions anciennes continuent de s’appliquer moyennant quelques ajustements »).

D’ailleurs, la première chambre civile, dans un arrêt du 29 mars 2017 (Chambre civile 1re, 29 mars 2017, n° 16-11.207), avait censuré un jugement de proximité ayant décidé que le contrat d’insertion publicitaire conclu à la suite d’un démarchage téléphonique par une sophrologue relevait des dispositions protectrices du Code de la consommation en estimant, au visa des articles L. 121-16-1, III, du Code de la consommation, devenu L. 221-3 du même code, ensemble l’article L. 121-21, devenu L. 242-3 et L. 221-18 du même code, « qu’en statuant ainsi, après avoir constaté que Mme Y exerçait la profession de sophrologue et avait été démarchée dans le cadre de son activité professionnelle pour souscrire le contrat d’insertion publicitaire litigieux, la juridiction de proximité, qui n’a pas tiré les conséquences légales de ses propres constatations, a violé les textes susvisés », ensuite, la solution de l’arrêt sous commentaire est opportune en ce qu’elle permet d’assurer la protection des petits professionnels, fût-ce au détriment de la cohérence du champ d’application du droit de la consommation.

Le droit de l’Union européenne n’y est d’ailleurs pas hostile puisque la directive du 25 octobre 2011 relative aux droits des consommateurs accorde aux États membres, en son considérant 13, la possibilité de « décider d’étendre l’application des règles de la présente directive à des personnes morales ou physiques qui ne sont pas des “consommateurs” au sens de la présente directive, comme les organisations non gouvernementales, les jeunes entreprises ou les petites et moyennes entreprises ».

II) Le droit de rétractation des contrats conclus à distance et hors établissement

Il résulte de l’article L. 121-16-1, III, du Code de la consommation, devenu l’article L. 221-3 du Code de la consommation, que le professionnel employant cinq salariés au plus, qui souscrit, hors établissement, un contrat dont l’objet n’entre pas dans le champ de son activité principale, bénéficie des dispositions protectrices du consommateur édictées par ce code.

A) Conditions de la rétractation, délai, réexpédition

Le droit de rétractation permet au consommateur de changer d’avis sur un achat en ligne d’un bien ou d’un service, sans avoir à motiver sa décision. Le délai de rétractation est de quatorze jours, il court à partir du lendemain de la réception du bien pour les ventes de biens et à partir du lendemain de la conclusion du contrat, dans le cas des prestations de service.

Toutefois, la loi prévoit des exceptions au droit de rétractation (article L.221-28 du Code de la consommation) pour certains biens ou services à savoir les biens confectionnés selon les spécifications du consommateur ou nettement personnalisés, les biens périssables ou encore les prestations de services d’hébergement, de transport de biens, de locations de voitures, de restauration ou d’activités de loisirs devant être fournis à une date ou selon une périodicité déterminée.

De plus, le consommateur doit être informé, préalablement à la conclusion du contrat, de l’existence ou non d’un droit de rétractation pour ce contrat, et le cas échéant, des conditions et des modalités d’exercice de ce droit (durée du délai de rétractation, point de départ du délai, etc.) ainsi que le formulaire type de rétractation.

Les dispositions du Code de la consommation relatives aux contrats conclus à distance ou hors établissement offrent un droit de rétractation au consommateur, mais aussi au « petit professionnel », employant cinq salariés au plus, qui souscrit, hors établissement, un contrat dont l’objet n’entre pas dans le champ de son activité principale (Code de la consommation., article L. 221-3 ; pour une application, voir Cassation 1re civile 12 septembre 2018, no 17-17.319), sauf exception (Code de la consommation., article L. 221-28). Ce délai est de quatorze jours (Code de la consommation., article L. 221-18).

Le consommateur devant apporter la preuve de l’exercice de son droit, il doit envoyer ce document par lettre recommandée avec demande d’avis de réception. Il pourrait également se faire en ligne : le professionnel doit alors lui adresser un accusé de réception sur un support papier durable.

Le point de départ de ce délai est fixé, pour les ventes et contrats de prestation de services incluant la livraison du bien, au jour de la réception du bien par le consommateur ou par un tiers qu’il aura déterminé (Code de la consommation. article L. 221-18, al. 2, 2º).

Si la commande comprend plusieurs biens livrés séparément, le point de départ est le jour de la livraison du dernier bien ; en revanche si le contrat prévoit la livraison régulière de biens pendant une période définie, le délai court à compter de la réception du premier bien (Code de la consommation., article L. 221-18, al. 3 et 4). S’il s’agit de contrats de service, de fourniture d’eau, de gaz ou d’électricité, le point de départ est le jour de conclusion du contrat (Code de la consommation., article L. 221-18, al. 2, 1º). Ce délai de quatorze jours est augmenté de douze mois si le professionnel n’a pas informé le consommateur de son droit de rétractation (Code de la consommation., article L. 221-20).

Le consommateur renvoie en principe le bien à ses frais (Code de la consommation., article L. 221-23), sauf exception (Code de la consommation., article L. 221-25, L. 221-26 et L. 224-31) et sans retard excessif dans un délai de quatorze jours. Il doit être en mesure de prouver la réexpédition. Mais, le professionnel récupère les biens à ses frais s’ils ne peuvent pas être renvoyés normalement par voie postale en raison de leur nature (Code de la consommation., article L. 221-23). Pour l’articulation entre délai de carence pour le paiement et délai de rétractation, voir Raymond G., Contrats conclus à distance ou hors établissement, Contrats, concurrence consommation 2014.

B) Effets de la rétractation

Par principe en droit commun, le consentement du consommateur peut être donné hâtivement, ou imprudemment. Afin de le protéger, le consommateur se voit parfois imposer un délai de réflexion : il s’agit d’une période à l’issue de laquelle le contrat sera formé, et uniquement à ce moment-là. Aucun versement ne peut avoir lieu avant la fin du délai, sauf exception. On permet au consommateur de réfléchir avant de finaliser le contrat.Une fois le contrat formé, le consommateur possède un droit de rétractation qui lui permet de revenir sur sa décision pendant un délai variant en fonction de la nature du contrat. Il exerce son droit de manière discrétionnaire.

Une fois la rétractation effectuée, les parties n’ont plus l’obligation d’exécuter ou même de conclure le contrat si l’offre a été présentée par le consommateur (Code de la consommation., article L. 221-27, al. 1er). Tout contrat accessoire, tel qu’un crédit, prend fin en même temps (Code de la consommation., article L. 221-27, al. 2).

Le professionnel doit alors rembourser les sommes éventuellement perçues du consommateur (incluant le prix principal et les frais de livraison, sauf si le consommateur a choisi un mode non standard plus coûteux), dans un délai de quatorze jours suivants le jour où le professionnel est informé de la rétractation (Code de la consommation., article L. 221-24 ; et non plus de trente jours, antérieurement à L. no 2014-344, 17 mars 2014, JO 18 mars). Le point de départ peut être décalé au jour de récupération du bien par le professionnel ou de la preuve de son envoi par le consommateur, s’il s’agit d’un contrat de vente.

S’agissant des crédits affectés (Code de la consommation., article L. 311-1, 11º), le délai de rétractation de quatorze jours ne peut pas être réduit (Code de la consommation., article L. 222-11). Par ailleurs, si le bien ou la prestation de services à financer ne sont pas vendus à distance et que le consommateur, par une demande expresse, sollicite la livraison ou la fourniture immédiate du bien ou du service, l’exercice du droit de rétractation n’emporte résolution de plein droit du contrat de vente ou de prestation de services que s’il intervient dans un délai de trois jours à compter de la conclusion du contrat de crédit (Code de la consommation., article L. 222-12).

Pour lire une version plus complète de cet article sur le droit d’annuler un contrat de vente de site internet, cliquez sur le lien

SOURCES :

Par internet-et-droit • Tags: , , , , ,

L’anonymat sur Internet

« Si je regarde suffisamment vos messages et votre localisation, et que j’utilise une intelligence artificielle, je peux prévoir où vous allez vous rendre. Montrez-nous 14 photos de vous et nous pourrons vous identifier. Vous pensez qu’il n’y a pas quatorze photos différentes de vous sur Internet ? Il y en a plein sur Facebook ! » le PDG de Google, Eric Schmidt, a estimé, que l’anonymat sur Internet était voué à disparaître et serait remplacé par une  » transparence totale « .

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire ! 

L’anonymat sur internet fait référence à la possibilité pour les utilisateurs d’utiliser des services en ligne sans révéler leur véritable identité.

Avec le développement des activités numériques sur le web, le terme  » anonyme  » prend une nouvelle orientation. Ainsi, des millions d’internautes naviguent sur le web de façon anonyme, du moins le croient-ils, en consultant des sites d’information ou d’e-commerce. Dans le même temps, d’autres millions d’internautes ont ouvert des comptes personnels sur des réseaux sociaux en se cachant derrière un pseudonyme. Alors qu’on utilise de plus en plus Internet, qu’on y laisse toujours plus de données et qu’il est de plus en plus facile de savoir qui y fait quoi, l’inquiétude quant à l’utilisation de ces données grandit chaque jour.

En toute hypothèse, sur le web, la sensation d’anonymat est décuplée par la distance qui existe entre l’internaute et le serveur auquel il accède pour y consulter des informations ou pour y créer des données (donner une opinion, écrire un texte, uploader un document, etc.). Et la sensation d’anonymat s’accroit chez de nombreux internautes à partir du moment où ils se cachent derrière un écran et un pseudonyme.

Dans la pratique, moins de 5% des internautes mettent en place des pratiques d’offuscation de leurs traces sur le web en utilisant notamment des services tels que les réseaux privés virtuels (VPN), des navigateurs anonymes et des services de messagerie anonymes

On notera le caractère ambigu de l’anonymat : d’un côté, c’est ce qui est sans nom, sans valeur, parfois menaçant ; de l’autre, c’est une stratégie de protection, de préservation, porteuse d’égalité (dans le cas par exemple, de l’anonymat du vote en France). Cette dualité se retrouve également sur internet.

 

I. L’anonymat, principe nécessaire à la protection de la vie privée sur internet

A. Anonymat et vie privée sur internet

Anonymat et vie privée sont très souvent associés, et pour cause. Le premier est un moyen de préserver la seconde. La vie privée est la raison pour laquelle on peut recourir à des techniques d’anonymisation. Internet bouleverse la manière dont nous gérons notre vie privée.

L’anonymat en ligne offre de nombreux avantages, notamment la possibilité de protéger ses données personnelles, de contourner les restrictions géographiques imposées par certains services, et de protéger son identité lors de la participation à des débats politiques ou sociaux

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

La vie privée ne peut se comprendre qu’en termes de contrôle de ce qu’on laisse sur internet. Elle consiste à conserver le contrôle d’une information personnelle et ne pas la laisser sortir d’un cadre dans lequel elle a été rendue publique.

La notion de vie privée se rapporte principalement à la capacité de contrôler les informations personnelles que l’on partage sur Internet, afin de préserver leur caractère confidentiel et de les empêcher de se propager au-delà du cadre dans lequel elles ont été rendues publiques.

Sur internet, cet ensemble d’informations personnelles aussi appelées données constitue ce que l’on nomme « l’identité numérique ». Elle se compose à la dois des traces personnelles, des traces liées à notre activité sur les plateformes et des traces commerciales.

Sur internet, l’utilisateur ne laisse pas seulement des traces volontairement et de manière visible. S’il existe bien des traces visibles et intentionnelles (commentaire sur un blog, photo sur les réseaux sociaux), les traces invisibles et non intentionnelles sont d’autant plus nombreuses (l’adresse IP quand on se connecte à un site internet, requête dans les archives d’un moteur de recherche). Il y a également les cookies placés sur le navigateur ou le tracker, qui est un petit programme présent sur les sites web qui enregistre certaines activités à des fins publicitaires, présent sur les sites de e-commerce.

Un très grand nombre d’informations peuvent être collectées sur internet : l’historique de connexions et de visites, l’adresse IP, les recherches Google, les favoris et l’historique complet, les emails etc..

Par ailleurs, avec l’arrivée des objets connectées d’autres types de données sont à présents la cible des entreprises.

B. L’encadrement juridique de la protection des données collectées sur internet

S’il est aisé d’imaginer que nous sommes tous fichés par l’Etat et les organismes qui lui sont rattachés (sécurité sociale, fisc, police à travers la carte nationale d’identité, la préfecture lors de l’établissement de la carte grise, le Pôle emploi, le médecin, etc.), par son employeur, par des associations indépendantes (club de sport, association à laquelle on fait un don, forum de discussion ou chat, etc.) ou encore par des sociétés commerciales (banque, assureurs, téléphonie, fichiers clients des commerces, etc.), on imagine moins être fichés par des sociétés que l’on ne connaît pas. Et pourtant, les données personnelles circulent facilement soit contre rémunération pour le titulaire du fichier, soit de manière involontaire en cas notamment de piratage informatique ou de détournement de la finalité d’un fichier.

C’est pour cela qu’en France, la CNIL, la Commission nationale informatique et libertés veille à ce que la loi Informatique et libertés de 1978 et les autres textes qui protègent ces données personnelles, soient respectés, afin d’éviter les abus et les atteintes aux droits fondamentaux.

En 2014, la CNIL affirme que près de 35% des recruteurs avouent avoir déjà écarté un candidat à un emploi à cause d’une e-réputation négative. négative.

En France, le texte fondateur en matière de protection des données est la Loi informatique et liberté du 6 janvier 1978 qui définit les principes à respecter lors de la collecte, du traitement et de la conservation des données personnelles. Elle renforce les droits des personnes sur leurs données, prévoit une simplification des formalités administratives déclaratives et précise les pouvoirs de contrôle et de sanction de la CNIL.

La loi « Informatique et Libertés » est applicable dès lors qu’il existe un traitement automatisé ou un fichier manuel, c’est-à-dire un fichier informatique ou un fichier  » papier  » contenant des informations personnelles relatives à des personnes physiques.

Depuis le 25 mai 2018, la réglementation européenne à la protection des données a étendu les pouvoirs de la CNIL et la protection des données sur le plan européen.

En 2018, plusieurs associations actives dans le domaine de la protection des données personnelles ainsi qu’un opérateur de télécoms ont saisi le Conseil d’État de recours contre les décrets qui prévoient la conservation des données de connexions et qui organisent leur traitement pour les besoins du renseignement et des enquêtes pénales.

À cette occasion, le Conseil d’État a saisi, en 2018, la Cour de justice de l’Union européenne (CJUE) pour l’inviter à préciser la portée des règles issues du droit européen (directive 2002/58, dite « vie privée et communications électroniques » et règlement général sur la protection des données – RGPD). Plusieurs juridictions d’autres États membres de l’Union ont, elles aussi, saisi la CJUE dans le même but. Par trois décisions rendues le 6 octobre 2020, la CJUE a détaillé les limites posées à ses yeux par le droit européen

Dans un arrêt rendu le 6 octobre 2020, la CJUE a précisé que le droit de l’UE s’oppose à ce qu’une « réglementation nationale permettant à une autorité étatique d’imposer, aux fins de la sauvegarde de la sécurité nationale, aux fournisseurs de services de communications électroniques la transmission généralisée et indifférenciée des données relatives au trafic et des données de localisation aux services de sécurité et de renseignement ».

Toutefois, elle a nuancé sa position en rajoutant que, dans des situations dans lesquelles un État membre fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, ce dernier peut déroger à l’obligation d’assurer la confidentialité des données afférentes aux communications électroniques en imposant, par des mesures législatives, une conservation généralisée et indifférenciée de ces données pour une durée temporellement limitée au strict nécessaire, mais renouvelable en cas de persistance de la menace.

Contrairement à toute attente, par rendu un arrêt rendu le 21 avril 2021, le CE avait autorisé la conservation généralisée des données de connexion, et ce, en dehors des situations exceptionnelles d’état d’urgence sécuritaire. Cette décision contraire aux exigences de la jurisprudence précédente de la CJUE (6 octobre 2020) a été possible grâce à une réinterprétation de la notion de « sécurité nationale » pour inclure des infractions au-delà de la lutte contre le terrorisme telles que l’organisation de manifestations non-déclarées ou encore le trafic de stupéfiants.

En outre, il relevait à cette occasion, la possibilité d’accéder à ces données pour la lutte contre la criminalité grave permet, à ce jour, de garantir les exigences constitutionnelles de prévention des atteintes à l’ordre public et de recherche des auteurs d’infractions pénales. En revanche, il ordonnait au Gouvernement de réévaluer régulièrement la menace qui pèse sur le territoire pour justifier la conservation généralisée des données et de subordonner l’exploitation de ces données par les services de renseignement à l’autorisation d’une autorité indépendante.

II. L’anonymat, principe menacé par les développements technologiques

A. Le Big Data au détriment de l’anonymat

Littéralement, le terme de  » Big Data  » signifie métadonnées, grosses données ou encore données massives. Ils désignent un ensemble très volumineux de données qu’aucun outil classique de gestion de base de données ou de gestion de l’information ne peut vraiment travailler. En effet, nous procréons environ 2,5 trillions d’octets de données tous les jours. Ce sont les informations provenant de partout : messages que nous nous envoyons, vidéos que nous publions, informations climatiques, signaux GPS, enregistrements transactionnels d’achats en ligne et bien d’autres encore. Ces données sont baptisées Big Data ou volumes massifs de données. Les géants du Web, au premier rang desquels Yahoo (mais aussi Facebook et Google ), ont été les tous premiers à déployer ce type de technologie.

L’analyse des données est capable d’extraire des informations très précises sur les individus en croisant des données anonymes. Par exemple, les signaux de géolocalisation des portables, la démarche d’un passant filmée par vidéosurveillance, le choix de films téléchargés forment autant d’indicateurs sur les habitudes, les intérêts et les activités des personnes.

Le cas Cambridge Analytica dévoilé en 2018, fait échos aux risques que font courir la collecte et la manipulation des données personnelles à grande échelle.

Actuellement, la tendance est à la convergence des différentes données disponibles. Data en ligne et hors ligne, structurées ou non structurées rassemblées et consolidées, accord entre Facebook et des courtiers de données : les algorithmes n’ont pas fini de générer de plus en plus de sources lucratives sur le marché des Big Data. Plus encore : il est possible de prédire où se trouvera une personne d’ici 80 semaines sur la base de données de géolocalisation issues de son GPS. Finalement, rester non identifié devient une gageure.

B. Une pression croissante de l’État

Depuis une dizaine d’années, les initiatives de la part des gouvernements pour tenter de réguler et de contrôler internet se sont multipliées. Rappelons les révélations d’Edward Snowden en 2013, qui ont montré que les collectes massives d’informations par la NSA, concernant des citoyens du monde entier, dépassaient le cadre de la lutte nécessaire contre le terrorisme ou contre les autres risques géopolitiques.

La France n’est pas en reste, puisque son service de renseignement extérieur, la DGSE (Direction Générale de la Sécurité Extérieure), a également à sa disposition un système d’interception massif d’Internet, sans compter sa proximité avec l’opérateur Orange. Au delà des services de renseignement, ces dernières années, le législateur français a été particulièrement attentif à la régulation d’internet :  LCEN (loi pour la confiance en l’économie numérique) ; DADVSI (loi relative aux droits d’auteur et droits voisins dans la société d’information) , LOPPSI 2 (loi d’orientation et de programmation pour la performance de la sécurité intérieure), Hadopi (loi Création et Internet de la Haute autorité pour la diffusion des œuvres et la protection des droits sur internet) ou encore les lois antiterroristes qui accroissent la surveillance du réseau à la recherche de potentiels terroristes.

Cette pression croissante des gouvernements à des fins de contrôle, de régulation et de surveillance peut se faire au détriment de l’anonymat des utilisateurs d’internet.

Le 15 novembre 2001, la France a adopté la loi sur la sécurité quotidienne, dont l’article 29 oblige les fournisseurs d’accès à internet à conserver les identifiants de connexion de leurs abonnés. Ses mesures, dont l’article 29, auraient dû arriver à expiration fin décembre 2003. Cependant un amendement de la loi sur la sécurité intérieure du 21 janvier 2003, a pérennisé les mesures de conservation des identifiants et les a séparées du motif terroriste, leur raison d’être de l’adoption de la première loi. Ces mesures sont désormais présentes dans l’article 34-1 du Code des postes de communications électroniques.

À partir de la loi de 2004 et de la loi pour la confiance en l’économie numérique, la conservation des identifiants de connexion, qui devait être effectuée uniquement par les opérateurs de télécommunications, donc les fournisseurs d’accès à internet, concerne également les hébergeurs, c’est à dire, tous les sites qui mettent à disposition du public un service de  » stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature  » (sites d’informations, services de vidéo type Dailymotion ou Youtube, Wikipédia…). Le décret précisant les modalités n’est intervenu que le 1er mars 2012.

Le 30 juillet 2021, la loi n° 2021-998 relative à la prévention d’actes de terrorisme et au renseignement a été adoptée. Ce texte, par le biais de son article 17, a  modifié l’article L34-1 du Code des postes et des communications électroniques ainsi que l’article 6-II de la LCEN.

Ce texte révise la loi sur le renseignement du 24 juillet 2015 notamment pour tenir compte de l’évolution des technologies et des modes de communication utilisés par les terroristes. Les services de renseignement disposent de nouveaux moyens de contrôle, en particulier la possibilité à titre expérimental d’intercepter des communications satellitaires.

  1. Les limites dans le cadre des enquêtes pénales

Par une série de quatre arrêts rendus le 12 juillet 2022 par la chambre criminelle, la Cour de cassation tire les conséquences des décisions rendues par la Cour de justice de l’Union européenne relatives à la conservation des données de connexion et à l’accès à celles-ci dans le cadre de procédures pénales (Crim. 12 juill. 2022, FS-B+R, n° 21-83.710 ; Crim. 12 juill. 2022, FS-B, n° 21-83.820 ; Crim. 12 juill. 2022, FS-B, n° 21-84.096 ; Crim. 12 juill. 2022, FS-B, n° 20-86.652).

D’une part, la Cour de cassation énonce que les données de connexion ne peuvent être obtenues que dans le cadre d’enquêtes pénales relatives à des infractions d’une certaine gravité. A ce propos, la loi n° 2022-299 du 2 mars 2022 visant à combattre le harcèlement scolaire avait déjà limité une telle possibilité aux enquêtes relatives à une infraction punie d’au moins 3 ans d’emprisonnement en application notamment du nouvel article 60-1-2 du Code de procédure pénale.
L’appréciation du caractère grave de la criminalité par les juridictions est également effectuée au regard de la nature des agissements de la personne mise en cause, de l’importance du dommage qui en résulte, des circonstances de la commission des faits et de la durée de la peine encourue.

D’autre part, la Cour de cassation précise que la délivrance de réquisitions relatives aux données de connexion doit faire l’objet d’un contrôle préalable par une juridiction ou une autorité administrative indépendante au sens où l’entend la Cour de justice de l’Union européenne.

La Cour de cassation en conclut que les articles 60-1, 60-2, 77-1-1 et 77-1-2 du Code de procédure pénale n’étaient pas conformes au droit de l’Union européenne. Selon elle, les règles actuelles du Code de procédure pénale, qui permettent au procureur de la République ou à un enquêteur d’accéder à ces données, sont contraires au droit de l’Union car elles ne prévoient pas un contrôle préalable par une juridiction ou une entité administrative indépendante. Bien que la Cour valide la compétence du juge d’instruction en la matière, elle considère en revanche que le procureur de la République, en ce qu’il incarne une autorité de poursuite, ne peut pas ordonner de telles mesures d’investigation.

Par le passé, la Cour de justice de l’Union européenne avait en effet jugé, par un arrêt de sa Grande chambre du 2 mars 2021, H. K. et Prokuratuur, C-746/18, que « l’article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale donnant compétence au ministère public, dont la mission est de diriger la procédure d’instruction pénale et d’exercer, le cas échéant, l’action publique lors d’une procédure ultérieure, pour autoriser l’accès d’une autorité publique aux données relatives au trafic et aux données de localisation aux fins d’une instruction pénale. »

La Cour de cassation a toutefois jugé que les éléments de preuve ainsi obtenus ne peuvent être annulés que si une telle irrégularité portait concrètement atteinte aux droits de la personne poursuivie. Cette interprétation permet de limiter les cas dans lesquels la nullité des actes serait encourue et de sauvegarder la plupart des procédures pénales en cours.

Pour lire une version plus complète de cet article sur l’anonymat sur internet, cliquez sur ce lien

Sources :

Sources :

https://books.google.fr/books?id=zSsTBQAAQBAJ&pg=PR18&lpg=PR18&dq=anonymat+sur+internet+mémoire&source=bl&ots=1x_SHNL5q8&sig=YwazYsBgPmSWpV-Tqbi1hwnlvMc&hl=fr&sa=X&ved=0ahUKEwjksqHopafLAhUGVxoKHWTYAggQ6AEIOTAF#v=onepage&q=anonymat%20sur%20internet%20mémoire&f=false
http://www.journaldunet.com/ebusiness/le-net/1169618-vers-un-reglement-europeen-sur-la-protection-des-donnees-qui-vise-les-plateformes-us/
http://www.zdnet.fr/actualites/etat-d-urgence-le-gouvernement-n-interdira-pas-le-wi-fi-public-et-tor-39829552.htm
http://rue89.nouvelobs.com/blog/oh-my-code/2016/03/05/respect-de-la-vie-privee-apple-ou-surveillance-generalisee-fbi-vous-de-choisir-235245

Par internet-et-droit • Tags: , , , ,

Piratage de site internet

Avec la création d’internet, et plus particulièrement des sites internet, une nouvelle criminalité a émergé, en effet il est maintenant possible de s’introduire dans un site, d’y introduire des virus,… il a alors fallu adopter la législation face à ce nouveau type de criminalité.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

I. Quelles sont les réponses légales en matière d’infractions (intrusions, défacement, contaminations virales) de sites Internet ?

La plupart des infractions informatiques sont sanctionnées au niveau pénal. La loi Godfrain du 5 janvier 1988 relative à la fraude informatique est la première loi française qui réprime les actes de criminalité informatique et de piratage. Elle a par la suite été complétée par la loi pour la confiance dans l’économie numérique du 21 juin 2004 puis par la loi LOPPSI II du 14 mars 2011. Ces différentes lois permettent de sanctionner les atteintes aux systèmes de traitement automatisé de données (STAD) prévu aux articles 323-1 à 323-7 du Code pénal.

Parmi elles on retrouve l’accès frauduleux dans tout ou partie d’un système de traitement automatisé de données, puni de deux ans de prison et de 60 000 € d’amende. Dans le cas où il en résulte une altération, soit des données contenues (suppression ou modification), soit du fonctionnement même du système, les peines prévues sont de trois ans de prison et de 100 000 € (article 323-1 du Code pénal).

Besoin de l’aide d’un avocat pour un problème de cybercriminalité?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Il est également possible de citer le maintien frauduleux dans un système informatique. Les causes d’aggravation retenues (altération des données) sont identiques à celles prévues pour l’accès frauduleux. En effet, bien que le maintien dans un système suppose un préalable accès, celui-ci peut-être autorisé tandis que le maintien, ne l’est pas selon un arrêt de la Cour d’appel de Paris 11° chambre, section. A du 14 janv. 1997.

Par ailleurs, les juges prennent en compte le degré de négligence dans la sécurisation du système. En effet, afin de caractériser un accès ou un maintien frauduleux il semble nécessaire d’établir l’existence d’une faute. L’intrusion consiste en l’utilisation sans droit et contre la volonté du propriétaire du système informatique. Pour ce faire, « le propriétaire doit avoir manifesté son intention de restreindre l’accès aux données aux seules personnes autorisées ». (CA de Paris, 1994)

Est également sanctionnée toute atteinte volontaire au fonctionnement d’un système de traitement automatisé de données, autrement dit le fait de le fausser ou l’entraver est puni de cinq ans de prison et de 150 000 € d’amende (Article 323-2 du Code pénal).

Ainsi une attaque par déni de service peut constituer une entrave au fonctionnement d’un STAD (T. Correctionnel de Nancy, 23 novembre 2015). Il s’agit d’une atteinte au système par saturation. Les entraves au système sont également retenues lorsqu’est déposé un virus ou une bombe logique.

Dans une autre affaire du 15 décembre 2015, les juges ont qualifié d’entrave au fonctionnement d’un STAD, le fait pour un associé de faire cesser le développement du site internet de la société. Pour ce faire, les juges relèvent que « B, qui était le responsable du bureau mauricien où était développé le contenu du site Uptoten.com, licenciait l’ensemble du personnel de ce bureau, faisant de facto cesser le développement du site, et remisait le matériel de la société Uptoten. » (TGI de Paris, 13e chambre correctionnelle, 15 décembre 2015, Uptoten et autres c.J.B).

Est aussi incriminé par l’article 323-3 du Code pénal, le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 150 000 € d’amende (T. Correctionnel de Paris, 25 février 2000).

De plus le droit civil s’applique, ce qui permettra de rechercher la responsabilité de l’individu à l’origine de l’infraction pour qu’il puisse être condamné à des dommages et intérêts pour le préjudice subi par la victime (perte de clients, de commandes, de notoriété, etc.)

II. Sont-elles suffisantes ?

Le système est assez complet, il serait éventuellement possible d’ajouter des infractions pénales plus spécifiques. De plus les cybercriminels innovent constamment ce qui demande un effort constant de la part du législateur.  Mais les différentes actions contre les sites Internet peuvent être sanctionnées par les articles du Code pénal cités.

Les peines semblent assez dissuasives. En effet, les peines vont de 1 an à 5 ans d’emprisonnement et entre 60 000 € et 150 000 € d’amende. Cependant, elles sont aggravées lorsque les infractions visent un STAD mis en œuvre par l’Etat et peuvent aller de 5 ans à 7 ans d’emprisonnement. Elles le sont également lorsqu’elles sont commises en bande organisée.

En outre, comme le précise l’article 323-7 du Code pénal, la tentative des délits prévus par les articles 323-1 à 323-3-1 est punie des mêmes peines.

De plus, des peines complémentaires accompagnent régulièrement ces condamnations. Il peut s’agir d’une confiscation de matériel, ou d’une privation de droits civique et familiaux pour une durée de 5 ans ou plus, etc. (Article 323-5 du Code pénal).

Enfin, la récente adoption de la loi LOPMI prévoit d’aggraver les peines encourues en cas de cyberattaques contre un réseau informatique ou bancaire, les hôpitaux et les services de numéros d’urgence.

Cela dit, il semble que les entreprises hésitent à engager des poursuites pénales contre les pirates.

III. Les moyens mis en œuvre pour poursuivre et découvrir les auteurs de ces infractions sont-ils aujourd’hui pertinents ? Je fais notamment référence à l’OCLCTIC.

Des organismes chargés de la recherche et la sanction des infractions informatiques existent : OCLCTIV, BEFTI, SEFTI, BCRCI notamment, mais ce ne sont pas les seuls, on peut aussi noter que la DST (service de renseignement national) s’occupe des affaires de piratages importantes.

Ils sont compétents techniquement pour effectuer la recherche des infractions et des responsables des différents délits informatiques.

On peut éventuellement noter un manque de moyens matériels et financiers pour contrer des pirates qui ont souvent des moyens puissants. Mais aussi un problème de temps, lorsqu’un groupe de pirates peut passer 24h sur 24 à agir, les différents organismes chargés de la répression sont limités par leur nombre et leurs horaires.

C’est pourquoi les stratégies en la matière tentent de s’axer sur la prévention et la sensibilisation des utilisateurs et des entreprises. Aujourd’hui nombreux sont les sites dédiés à ce sujet et édités par les autorités compétentes en la matière. Il est à ce titre possible de citer le site internet de l’ANSSI ou encore de la CNIL qui regorgent de recommandations et de guides.

Depuis mars 2017, le gouvernement a également mis en place la plateforme « cybermalveillance.gouv.fr ». Cette plateforme est un dispositif national de sensibilisation, prévention et d’assistance aux victimes d’actes de cybermalveillance pour les particuliers, entreprises et collectivités territoriales.

Des points de contact et la création de certifications (SecNUM Cloud) permettent d’identifier les prestataires qualifiés afin de répondre aux besoins des entreprises. Il est possible de trouver la liste des prestataires qualifiés de réponses aux incidents de sécurité aussi appelés PRIS.

IV. Lorsqu¹une entreprise est victime de ce type de délit doit-elle déposer une plainte ? Si oui auprès de qui ?Est-ce que cette démarche ne l’expose pas plus encore ?

La plainte doit être déposée soit auprès d’un organisme de la police nationale ou de la gendarmerie nationale soit spécialisé, soit auprès du commissariat ou de la gendarmerie ou directement auprès du procureur de la république par le biais d’un avocat.

Je conseillerais dans un premier temps de saisir directement les services de police compétents.

C’est une démarche qui ne devrait pas exposer plus l’entreprise, sauf bien sur si le pirate retrouvé fait partie d’un groupe et donne des consignes d’attaques postérieures…..

Il est assez curieux de constater que paradoxalement il y a beaucoup plus de plaintes pour escroquerie à la carte bancaire que pour défacement de site Internet. Bien sûr dans ces cas de figure, ce sont le plus souvent les banques qui portent plainte. En général si le pirate est en France, il est souvent retrouvé par les services de police compétent en une semaine….

V. Quels autres dispositifs ou mesures sont à la disposition des entreprises victimes de cyberattaques ?

En outre, l’outil « cybermalveillance.gouv.fr » a pour missions d’assister les particuliers, les entreprises, les associations, les collectivités et les administrations victimes de malveillance en ligne. Elle pourra les orienter sur la marche à suivre en cas d’attaque et les informer sur le dépôt de plainte.

La récente loi LOPMI du 24 janvier 2023 a donné naissance à un numéro d’urgence, le « 17 cyber », qui sera destiné aux particuliers, aux entreprises, mais aussi aux administrations victimes de cyberattaques.

De plus, au regard des obligations imposées par les articles 33 et 34 du RGPD, dès lors que les violations de données représentent un risque pour les personnes concernées, celles-ci faire l’objet d’une notification auprès l’autorité de contrôle compétente (en l’occurrence la CNIL) dans un délai de 72 heures. Lorsque cette violation présente un risque élevé pour les personnes concernées, il sera nécessaire d’alerter les personnes concernées par cette dernière.
Enfin, il vous sera également demandé d’indiquer cette violation dans votre registre de violation des données.

VI. Lorsqu’elle est victime d’une infraction depuis un pays étranger, quelle loi s’applique-t-elle. Existe-t-il d¹ailleurs un dispositif légal au niveau international ?

Les tribunaux répressifs français sont compétents pour connaître de toute infraction commise sur le territoire français, quelle que soit la nationalité de son auteur ou de sa victime. Cette compétence territoriale se justifie aisément : juridiquement, elle découle du pouvoir souverain de la France de protéger l’ordre public sur son territoire contre les infractions qui y sont commises.

En revanche, beaucoup de cyberattaquants se jouent des frontières et des accords d’extradition conclus entre les différents pays, ce qui peut rendre leur arrestation complexe. On dit qu’ils se domicilient dans des « cyber paradis ». Le principe de la territorialité de la loi pénale fait parfois obstacle aux poursuites en cas d’enquêtes transnationales. Il est à ce titre possible de citer l’exemple de Gregory Chelli aussi connu sous le pseudonyme « Ulcan ».

Malgré tout, on trouve des dispositifs de coopération policière comme INTERPOL (qui délivre des notices rouges) ou des conventions telles que la Convention internationale de cybercriminalité Budapest. Ces dispositifs permettent d’harmoniser la lutte contre la cybercriminalité à une échelle internationale et d’émettre des définitions juridiques communes.

Au niveau européen on retrouve les agences EUROPOL et EUROJUST qui facilitent la coopération entre les services répressifs et judiciaires nationaux. On peut également évoquer l’ENISA, qui vise à garantir un niveau commun en cybersécurité dans toute l’Europe.

Cette coopération a encore été étendue à l’échelle européenne. En effet, la révision de la directive « sécurité des réseaux et des systèmes d’information » initiée en juillet 2020, a permis d’actualiser les notions et les objectifs face à l’évolution du paysage des cybermenaces qui pèsent sur les états, les entreprises ou encore les particuliers. Puisque la cybercriminalité se joue des frontières nationales, le déploiement d’une stratégie de coopération entre les États membres a également été prévu à travers la désignation de différentes autorités compétentes en la matière.

En France, l’adoption de la loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) le 24 janvier 2023 promet également le déploiement de 1 500 cyberpatrouilleurs.

VII. En cas de piratage d’un site, le tiers par exemple le client ayant subi un préjudice quelconque doit-il se retourner contre la société elle-même victime de l¹infraction ?

Le tiers peut se retourner contre la société à l’unique condition qu’elle soit responsable du préjudice par une faute de sa part par exemple, sinon il devra agir contre l’auteur de l’infraction

Il pourra se constituer partie civile par exemple dans un procès contre le pirate même s’ il n’est pas à l’origine de ce procès, par exemple dans un procès engagé par d’autres victimes ou par l’entreprise victime.

VIII. Si le prix d’un produit a été modifié sur le site à l¹insu de l’entreprise, le client peut-il exiger de régler le prix affiché ? Comment l¹entreprise peut-elle prouver sa bonne foi ?

La jurisprudence considère que le client peut exiger de régler le prix affiché, l’erreur d’étiquetage n’entraînant pas la nullité de la vente.

Cependant, il existe une exception à cette règle lorsque le prix présenté est erroné et dérisoire (article 1169 du Code civil). Autrement dit, lorsque le prix est sous-estimé, on considère que le consommateur normalement avisé ne peut pas avoir interprété le prix affiché comme étant la valeur réelle de l’article. Dans cette hypothèse, le client ne peut réclamer le prix affiché et la vente peut être annulée pour erreur. Si l’entreprise ne peut pas prouver sa bonne foi, elle peut éventuellement prouver la mauvaise foi du client pour obtenir la nullité de la vente ou le paiement des sommes non perçues.

Ce cas d’erreur de prix sur Internet s’est produit il y a quelques années. Des internautes ont profité d’un bug du prix sur le site Micromania pour acheter des consoles à 40 euros alors que le prix réel des consoles était compris entre 300 et 400 euros. Micromania a donc été en droit d’annuler la vente ou bien de réclamer la différence de prix entre le prix affiché et le prix payé.

IX. En matière d’infraction, l’employeur peut-il rechercher une responsabilité auprès d¹un salarié (par exemple, son directeur informatique), de son hébergeur (lorsque son système est externalisé) ou de l¹intégrateur pour manquement professionnel (par exemple, défaut de précaution quant à la protection du site ou manque d’information sur sa vulnérabilité ) ?

La société pourra agir en responsabilité civile contre tous ces tiers si elle peut prouver une faute ayant entraîné pour elle un préjudice. Ainsi, l’entreprise pourra intenter un procès contre un hébergeur qui devait assurer la sécurité du site si celle-ci n’était pas assurée dans la réalité. En revanche, l’entreprise devra s’être assurée que ce dernier présentait des garanties suffisantes (article 34 de la loi informatique et liberté).

Elle pourra également intenter un procès contre toute personne qui en dehors d’un contrat a commis une faute, par exemple, un membre de la société ou un tiers qui aurait fourni des informations confidentielles permettant d’accéder au système.

Le comportement fautif du salarié entraîne également des répercussions sur son contrat de travail. C’est ce que rappelle la Cour de cassation dans un arrêt en date du 26 décembre 2006. Ainsi le fait pour un salarié d’essayer de se connecter, sans motif légitime et par emprunt du mot de passe d’un autre salarié, sur le poste informatique du directeur de la société était un comportement qui violait la charte informatique de l’entreprise, rendait impossible son maintien dans l’entreprise pendant la durée du préavis et justifiait son licenciement pour faute grave.

Dans une affaire en date de 2015, le Tribunal correctionnel de Nancy a condamné un administrateur réseau pour maintien frauduleux dans un STAD et pour atteinte aux secrets des correspondances. Ce dernier avait copié, à partir des serveurs informatiques de la société dont il était salarié, des mails et des documents qui laissaient entendre que la société exerçait des pressions sur une inspectrice du travail et les avait adressés à cette dernière. (T. Correctionnel de Nancy, 4 décembre 2015).

Pour ce faire elle retient qu’« il a consulté les serveurs fichiers sans lien avec sa fonction et s’y est maintenu dans une autre intention que celle d’exécuter son travail habituel de développement du wifi. »

X. Préconisez-vous une assurance couvrant spécifiquement les risques liés à une présence sur le réseau (sous quelle forme et dans quelles conditions). À terme, pensez-vous qu’une protection de ce genre sera rendue obligatoire, et est-ce souhaitable ?

En matière de cyber attaque, l’entreprise victime peut traditionnellement invoquer plusieurs chefs de préjudice. Il peut s’agir d’un préjudice financier, d’un préjudice moral ou encore d’un préjudice matériel. En principe l’entreprise obtiendra l’indemnisation totale du ou des préjudices subis. Cependant, elle devra être en capacité d’apporter des éléments de preuve qui corroborent l’existence d’un préjudice du fait de cette attaque.

Quel type de dédommagement peut-il espérer une entreprise lorsque qu’elle est victime d¹un sinistre de cette nature ?

En principe l’entreprise obtiendra l’indemnisation totale du ou des préjudices subis.

Cependant, l’indemnisation est limitée par la solvabilité du responsable, or un bon nombre des pirates sont des particuliers.

Les préjudices pour une société commerciale d’une telle action peuvent être très importants et risquent par conséquent de ne pas être indemnisés totalement.

Il est dans ce cas intéressant pour l’entreprise de souscrire une assurance à cet effet. Le niveau des dédommagements est fonction du type d’assurance souscrite.

A ce propos, la loi LOPMI du 24 janvier 2023 fixe un nouveau cadre pour les clauses de remboursement des cyber-rançons par les assurances. Le remboursement sera désormais conditionné au dépôt d’une plainte de la victime dans les 72h après connaissance de l’infraction. Cette obligation est limitée aux professionnels et devrait s’appliquer 3 mois après la promulgation de la loi.

Pour lire une version plus complète de cet article sur le défacement et le piratage de site internet, cliquez

SOURCES :

https://www.ihemi.fr/articles/organisation-france-europe-cybersecurite-cyberdefense-V2
https://www.ihemi.fr/sites/default/files/inline-files/Gestion%20de%20crise%20et%20cha%C3%AEnes%20cyber%20-%20INHESJ%20-%20juillet%202020%20-%20Martial%20Le%20Gu%C3%A9dard%20-%20MAJ15juil%281%29.pdf
http://www.senat.fr/rap/r19-613/r19-6131.pdf
Le développement de l’assurance cyber risque : https://www.vie-publique.fr/rapport/286216-developpement-de-l-assurance-du-risque-cyber
Rapport sur le développement de l’assurance cyber risque : https://medias.vie-publique.fr/data_storage_s3/rapport/pdf/286216.pdf
https://www.un.org/fr/chronicle/article/combattre-lindustrialisation-de-la-cybercriminalite

Par internet-et-droit • Tags: , , , ,

1 2 3 4 5 >»

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

© Murielle Cahen Cabinet d’avocats Paris 2024
Powered by WordPressThemify WordPress Themes