A propos de Murielle Cahen

https://www.murielle-cahen.fr/

Avocat à la cour (Paris 5eme arrondissement) J'interviens principalement en droit de la propriété intellectuelle, droit des nouvelles technologies, droit civil & familial, droit pénal, droit de l'immobilier, droit du travail, droit de la consommation Consultation juridique en ligne - Réponse en 24/48h max. (€100 TTC) Titulaire du certificat de spécialisation en droit de l'informatique et droit de l'internet. Editrice du site web : Avocat Online depuis 1999. Droit de l'informatique, du logiciel et de l'Internet. Propriété intellectuelle, licence, presse, cession, transfert de technologie. droit d'auteur, des marques, négociation et arbitrage... Cabinet d'avocats à Paris. Droit internet et droit social, droit des affaires spécialisé dans les nouvelles technologies et lois internet...

Articles de Murielle Cahen:

AVIS INJURIEUX SUR GOOGLE : ACTION EN JUSTICE CONTRE L’INTERNAUTE

Un avis Google correspond à un commentaire que va laisser un utilisateur afin de faire part de son expérience vécue avec votre entreprise. Généralement ces avis concernent divers éléments de votre entreprise : vos locaux, vos salariés ou encore vos prestations. Il peut toutefois arriver que l’avis négatif ne soit pas consécutif à une expérience passée avec votre entreprise et ne constitue qu’une pratique déloyale. Votre avocat en nouvelles technologies de l’information et de la communication (NTIC) peut vous accompagner pour déceler de tels agissements .

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de diffamation en passant par le formulaire !

Un avis négatif s’entrevoit à travers une notation négative (par exemple sur 5 étoiles possibles, vous êtes noté avec 1 ou 2 étoiles) accompagnée d’un commentaire. Il peut également arriver que seule la notation négative soit présente. Si ces derniers peuvent être mis en ligne en un clic, leur suppression peut s’avérer plus complexe. Dans de telles situations, votre E-réputation est mise en danger. À titre d’information, l’E-réputation correspond « à l’image véhiculée et/ou subie par une entreprise ou une marque sur Internet et autres supports numériques ».

Comme nombre de professionnels référencés sur Internet, ceux du domaine de la santé, à l’instar des agences immobilières, des hôtels ou encore des restaurants, font désormais face à un retour d’expérience non pas client mais patient, par le biais d’avis Google postés dans l’espace contributif de leur fiche professionnelle.


Besoin de l’aide d’un avocat pour un problème de diffamation ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Celle-ci, composée d’informations accessibles publiquement (nom, prénom, adresse et téléphone professionnels notamment), est générée automatiquement par le moteur de recherche et affichée dans un encart au sein de la page de résultats ; l’adhésion au service Google My Business permettant au professionnel de valider sa fiche mais aussi de répondre aux avis en ligne le concernant.

Preuve de l’impact de ces avis sur la réputation des professionnels de santé, toute une série de décisions rendues en 2019 s’est penchée spécialement sur la situation de médecins, qu’il s’agisse de dentistes, psychiatres ou encore de chirurgiens-esthétiques, aux prises avec la publication d’avis négatifs sur leur fiche professionnelle Google.

Quand bien même ceux-ci n’étaient pas à l’origine de la création de ladite fiche, il a été jugé à plusieurs reprises qu’ils ne pouvaient s’opposer à son existence mais aussi devaient subir les commentaires qui y étaient déposés, ceci au nom du principe de la liberté d’expression, solution qui peut paraître excessive (I). Dans ce cas, il n’est laissé en effet au professionnel de santé d’autre choix que de gérer les avis abusifs au moyen de diverses stratégies : l’indifférence raisonnée, la recherche d’une solution apaisée, ou encore l’action judiciaire, avec les incertitudes qu’elle comporte. La qualification des propos en cause n’étant pas la moindre (II).

I. Les professionnels de santé fichés, notés, évalués, au nom de la liberté d’information et d’expression

Les faits soumis au juge sont souvent les mêmes : un médecin découvre l’existence d’une fiche professionnelle à son nom référencée par Google, composée d’une partie relative à ses coordonnées professionnelles et d’une autre portant des avis avec notations d’internautes relatifs à son activité professionnelle, avis qu’il considère dénigrants ou offensants et dont il demande la suppression en référé, en même temps parfois que celle de la fiche, sur le fondement des articles 6-I-8 de la loi n° 2004-575 du 21 juin 2004 et de l’ancien article 809 du Code de procédure civile (devenu l’article 835).

S’agissant d’une fiche non sollicitée, ou d’une fiche consentie que le professionnel ne souhaite désormais plus voir reproduite, la question de savoir si ce dernier est fondé à s’opposer au traitement de données personnelles que constituent les informations professionnelles mises en ligne s’est résolue finalement par la négative – après qu’il eut été un temps décidé du contraire (TGI Paris, réf., 6 avr. 2018, n° 17/60436) – et ce, aux termes de plusieurs décisions de référé impliquant des médecins opposés à Google (TGI Paris, réf., 12 avr. 2019 : legalis.net. – TGI Paris, réf., 11 juill. 2019, n° 19/54734. – TGI Metz, réf., 16 juill. 2019, n° 19/00167 : JurisData n° 2019-015477).

En effet, il est désormais retenu que la fiche générée par la firme américaine ne porte pas atteinte au droit des données personnelles étant donné que les informations professionnelles qu’elle comporte figurent déjà dans des annuaires spécialisés et constituent des données qui sont donc dans le domaine public (V. les décisions précitées. – V. aussi CE, ss-sect. 10, 30 déc. 2015, n° 376845, Assoc. Juricom et associés c/ CNIL , inédit ).

Le traitement opéré par Google poursuit « des finalités légitimes au sens de l’article 6, paragraphe 1, sous f, du RGPD permettant l’accès rapide des internautes à des informations pratiques sur les professionnels de santé » (TGI Paris, réf., 11 juill. 2019, n° 19/54734, préc.), autorisant ainsi à s’affranchir du consentement de la personne, alors que la finalité commerciale de la publication de la fiche entreprise n’est pas démontrée (TGI Paris, réf., 12 avr. 2019, préc.).

La question la plus sensible demeurait celle de la partie de la fiche consacrée à la publication d’avis ; or, les juges vont estimer que « l’identification de chaque professionnel concerné, comme sujet d’un forum sur lequel les internautes postent leurs avis, relève d’un intérêt légitime d’information du consommateur, étant précisé que les droits de la personnalité des professionnels en cause sont protégés par la possibilité […] de signaler les propos dépassant les limites admissibles de la liberté d’expression ».

Invoquer le droit d’opposition prévu à l’article 21 du Règlement général de l’Union européenne sur la protection des données 2016/679 du 27 avril 2016 (RGPD) ne sera d’aucun secours : il a été jugé à plusieurs reprises dans ces décisions de référé de 2019 que « la suppression pure et simple contreviendrait au principe de la liberté d’expression, alors même qu’il est loisible (au médecin) d’agir spécifiquement contre les personnes à l’origine d’avis qu’elle estimerait contraires à ses droits » (les décisions précitées), d’autant, est-il précisé, que le demandeur n’invoque aucune raison tenant à sa situation particulière, au sens de l’article 21, paragraphe 1 du RGPD, justifiant son opposition au traitement ; quant au droit d’effacement, il sera ici tout autant paralysé, au motif que le traitement est « nécessaire à l’exercice de la liberté d’expression et d’information », au sens de l’article 17, paragraphe 3 du RGPD (TGI Paris, réf., 11 juill. 2019, n° 19/54734, préc.). On le voit, au nom des principes de liberté d’expression et d’information, rien ne s’oppose à ce que les professionnels de santé soient non seulement fichés, mais aussi notés et évalués .

La solution est cependant critiquable. Indépendamment du fait que les juges d’appel, ni ceux du fond, à notre connaissance, ne se sont prononcés sur les décisions de référé commentées, il peut sembler excessif d’imposer à un professionnel relevant d’une profession réglementée, soumis à un Ordre dont la gestion de la communication des membres intéresse l’intérêt collectif, de faire l’objet d’un forum de discussion sans qu’il l’autorise, forum sur lequel des « consommateurs » (pour reprendre la terminologie de l’article L. 111-7-2 du Code de la consommation sur la diffusion des avis en ligne) partageraient leur expérience le concernant, sur une fiche professionnelle qu’il n’a pas davantage sollicitée.

L’appartenance à une profession règlementée ne serait-elle pas une raison suffisante « tenant à sa situation particulière » pour s’opposer au traitement de données à caractère personnel, au sens de l’article 21, paragraphe 1 du RGPD ? Surtout qu’à l’inverse, il n’a pas été démontré, sauf à faire échec à tout droit d’opposition en pareilles circonstances, en quoi l’existence d’un tel forum constituerait un « motif légitime et impérieux pour le traitement qui prévaut sur les intérêts et les droits et libertés de la personne concernée », au sens de ce même article 21.

II. Les recours contre les avis illicites postés sur la fiche professionnelle Google

Le principe étant celui de la liberté d’expression et du droit de libre critique, le professionnel de santé devra se garder de sur-réagir aux propos même excessifs dont il fait l’objet. Bien souvent, il est traditionnellement conseillé de se rapprocher de l’auteur de l’avis litigieux s’il est identifiable pour tenter d’obtenir une suppression amiable ou encore de répondre de manière argumentée aux mises en cause (V. en ce sens, le Guide pratique de l’Ordre des médecins « Préserver sa réputation numérique », qui estime d’ailleurs que « la majorité des avis laissés sur internet à propos des médecins n’excèdent pas les limites de la liberté d’expression » (www.conseil-national.medecin.fr/).

Saisie d’une demande de suppression de propos qu’un chirurgien-esthétique estimait faux, tels que « homme désagréable, hautain, antipathique, pas à l’écoute ni disponible pour le patient, il donne l’impression qu’il a qu’une envie c’est qu’on lui donne son argent et qu’on s’en aille […] », la cour d’appel de Paris a pu ainsi considérer que ceux-ci « relèvent plutôt de la libre critique et de l’expression subjective d’une opinion ou d’un ressenti de patients déçus […].

En cela, ils participent de l’enrichissement de la fiche professionnelle de l’intéressé et du débat qui peut s’instaurer entre les internautes et lui, notamment au moyen de réponse que le professionnel est en droit d’apporter à la suite des publications qu’il conteste » (CA Paris, pôle 1, ch. 8, 22 mars 2019, n° 18/17204 : JurisData n° 2019-004279). Cette approche libérale a été celle choisie également par le tribunal de Metz : « Il appartient au libre jeu de l’usage de systèmes de notation et d’avis sur internet de faire l’objet tant de commentaires négatifs que positifs afin d’offrir une vision objective du praticien par les avis des patients antérieurs de celui-ci », le juge y voyant même un moyen d’inciter à « une attitude exemplaire du praticien » (TGI Metz, 16 juill. 2019, n° 19/00167, préc.).

On pourra objecter que cet espace de liberté est forcément contraint et déséquilibré, compte tenu du fait que le praticien est soumis au secret médical et donc limité dans sa capacité à répliquer librement à la mise en cause, et que par ailleurs, l’impact des commentaires négatifs, sans compter leur éventuel caractère de fausseté, pourra apparaître souvent plus puissant que celui des avis positifs – pas toujours spontanés – les contrebalançant, laissant ainsi une trace indélébile si le praticien ne réagit pas. Dans l’hypothèse inverse, après le cas échéant une mise en demeure restée infructueuse, celui-ci aura le choix des armes parmi lesquelles :

  • action en référé à l’encontre de Google aux fins de suppression d’avis. Dans l’hypothèse où des avis Google seraient susceptibles d’être qualifiés d’illicites, le professionnel de santé pourra agir en référé contre la firme américaine aux fins de suppression de contenus sur le fondement de l’article 6-I-8 de la loi du 21 juin 2004, en prenant garde toutefois aux dispositions de la loi du 29 juillet 1881 s’il ressort que l’action est fondée aussi sur ce texte, au risque sinon de voir prononcer la nullité de l’assignation faute de respect des règles procédurales strictes prévues dans ses articles 53 et 65 spécialement (TGI Paris, réf., 29 juin 2018, n° 18/51423. – CA Paris, 22 mars 2019, n° 18/17204, préc.). Une solution conforme en cela à ce qui a pu déjà être retenu en matière de demande de déréférencement, dès lors qu’il est sollicité du juge qu’il se prononce sur l’existence d’un délit de presse afin d’obtenir le retrait du lien. Ceci étant, la démonstration du seul caractère manifestement illicite du propos en cause devrait être suffisante pour motiver un retrait d’avis Google, étant précisé qu’une provision sur dommages-intérêts pourra également être allouée s’il ressort que l’exploitant du moteur de recherche avait été préalablement notifié afin de supprimer le contenu conformément à l’article 6-I-5 de la loi du 21 juin 2004 et qu’il a tardé à le faire (TGI Paris, réf., 11 juill. 2019, n° 19/54734, préc.) ;
  • action en référé ou au fond à l’encontre de l’internaute aux fins de suppression d’avis et d’obtention d’une indemnité. – Le requérant dispose de la possibilité d’agir « sur le fondement de la loi du 29 juillet 1881 ou du dénigrement en application de l’article 1240 du Code civil, contre les internautes qui porteraient atteinte à son honneur ou à sa réputation ou qui publieraient une critique excessive et fautive de ses services » (TGI Paris, réf., 12 avr. 2019, préc.). Une telle action devra selon les cas nécessiter au préalable qu’un juge fasse droit à la demande de levée d’anonymat de l’auteur en requérant la communication des éléments d’identification auprès de l’exploitant du moteur de recherche sur le fondement de l’article 6-II de la loi du 21 juin 2004, une fois caractérisée l’existence du « motif légitime », au sens de l’article 145 du Code de procédure civile, que constitue la volonté d’engager une procédure pour l’indemnisation du préjudice subi (TGI Paris, réf., 11 juill. 2019, n° 19/54734, préc.). A titre d’exemple, un internaute fut condamné à payer 1800 euros à un notaire à cause d’un avis injurieux sur Google.
  • plainte avec constitution de partie civile. – Une plainte avec constitution de partie civile en matière de diffamation ou d’injure s’il y a lieu permettra de sécuriser l’action en présence d’un auteur d’avis anonyme, ceci afin de ne pas risquer le jeu de la prescription trimestrielle.

Pour lire une version plus complète de cet article sur les avis injurieux sur Google, cliquez ici

Sources :
https://www.avocats-picovschi.com/avis-google-negatif-votre-avocat-vous-assiste_article_1473.html
https://www.legavox.fr/blog/murielle-cahen/liberte-expression-avis-negatifs-internet-20575.htm
Article 6-I-8 de la loi n° 2004-575 du 21 juin 2004
TGI Paris, réf., 6 avr. 2018, n° 17/60436
TGI Paris, réf., 11 juill. 2019, n° 19/54734, préc
CA Paris, pôle 1, ch. 8, 22 mars 2019, n° 18/17204 : JurisData n° 2019-004279
TGI Paris, réf., 11 juill. 2019, n° 19/54734, préc

CONDITIONS GENERALES DE VENTE : ATTENTION AU REFUS DE COMMUNICATION

Si le fournisseur est libre de refuser de vendre ses produits ou services, il est toutefois dans l’obligation de communiquer ses conditions générales de vente à tout acheteur de produits ou tout demandeur de prestations de services qui en fait la demande pour l’exercice de son activité professionnelle, a jugé la Cour de cassation dans un arrêt du 28 septembre 2022.

NOUVEAU : Utilisez nos services pour faire rédiger vos cgv en en passant par le formulaire !

Il est préférable pour un fournisseur de refuser de vendre plutôt que de refuser de communiquer ses conditions générales de vente (CGV).

Une structure de regroupement à l’achat (SRA) dans le milieu pharmaceutique, dont l’activité consiste à négocier auprès des fournisseurs les conditions d’achat de produits pour le compte de ses adhérents, et une centrale d’achat pharmaceutique qui intervient en qualité de prestataire logistique, ont souhaité nouer une relation commerciale avec un établissement pharmaceutique spécialisé dans la fourniture aux pharmaciens de médicaments et accessoires, sur la base des CGV applicables aux officines.

Le fournisseur a toutefois considéré que la SRA n’était pas éligible à ces CGV du fait de son activité de commissionnaire, mais était assimilable aux grossistes répartiteurs. Un litige a opposé les parties sur ce point, et le 4 juillet 2019 la cour d’appel de Paris a condamné le fournisseur à communiquer ses CGV applicables aux officines indépendantes comme base de négociation commerciale, et à payer la somme de 20 000 euros en réparation de son préjudice au titre de la pratique restrictive de concurrence.


Besoin de l’aide d’un avocat pour un problème de cgv ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Le fournisseur a formé un recours contre cet arrêt, rejeté par la Cour de cassation le 28 septembre 2022.

Se fondant sur le raisonnement de la cour d’appel, la chambre commerciale a rappelé les principes sur l’élaboration et la communication des CGV :

selon l’article L. 442-6, I, 9o ancien du Code de commerce, dans sa rédaction alors applicable, le fournisseur est tenu de communiquer ses CGV dans les conditions prévues par l’article L. 441-6 ancien du Code de commerce, et ne peut refuser la communication des conditions catégorielles de vente que s’il établit, sur la base de critères objectifs, que l’acheteur n’appartient pas à cette catégorie.

Après avoir considéré que la cour d’appel avait exactement analysé les relations des parties pour aboutir à la conclusion que la SRA était fondée à solliciter la communication des CGV accordées aux officines indépendantes – « acheteurs dont elle se rapprochait le plus au regard des trois catégories établies par [le fournisseur] dans son modèle de distribution », la chambre commerciale a procédé à une lecture combinée de l’ancien article L. 441-6 et de l’article L. 442-6, I, 9o ancien du Code de commerce dans sa rédaction alors applicable afin de déterminer les obligations qui reposent sur la personne qui émet des CGV.

Selon la chambre commerciale, le fournisseur était contraint de communiquer ces CGV lorsque la SRA en a fait la demande. S’il restait ensuite libre de ne pas vendre à la SRA – sauf abus de droit – il était tenu, lorsqu’il est entré en négociation commerciale avec la SRA, de le faire sur la base de ces CGV.

Or en l’espèce, en proposant à la SRA d’entrer en négociations sur la base de CGV refusées par l’acheteur, qui n’étaient pas celles revendiquées par la SRA, et qui ne lui étaient pas applicables comme l’a relevé à bon droit la cour d’appel, les juges ont considéré que le fournisseur avait enfreint les dispositions précitées.

S’il avait refusé de vendre ses produits aux conditions revendiquées par la SRA, la responsabilité du fournisseur n’aurait pas été engagée.

I. Sur le refus d’un fournisseur à communiquer des CGV à un acheteu

A. L’acheteur ne doit pas appartenir à une catégorie concernée

La première manifestation de transparence dans les relations entre professionnels est celle de la communication par le fournisseur de ses conditions générales de vente, dont on sait qu’elles peuvent être catégorielles.

Un fournisseur ne peut refuser à un acheteur la communication des CGV applicables à une catégorie de clientèle que s’il établit, selon ces critères objectifs, que l’acheteur n’appartient pas à la catégorie concernée.

À l’origine de l’affaire soumise au contrôle de la Cour de cassation : le refus d’un établissement pharmaceutique spécialisé dans la fourniture aux pharmaciens de médicaments et d’accessoires de communiquer à deux sociétés créées par des pharmaciens d’officine (la première en tant que structure de regroupement à l’achat et la seconde en tant que centrale d’achat pharmaceutique) ses conditions générales de vente applicables aux officines.

Les juges d’appel ont considéré que ce refus de communication n’était pas illégitime dans la mesure où ces deux sociétés – qui n’étaient pas une officine – n’établissaient pas en quoi elles auraient eu vocation à bénéficier des CGV applicables aux officines.

Ils sont censurés par la Cour de cassation au visa de l’article L. 442-6, I, 9º du Code de commerce. Dans un attendu de principe, la Cour rappelle qu’« un fournisseur de produits est tenu de communiquer ses conditions générales de vente dans les conditions prévues à l’article L. 441-6 du code de commerce [et] il ne peut refuser à un acheteur la communication des conditions générales de vente applicables à une catégorie de clientèle que s’il établit selon des critères objectifs que cet acheteur n’appartient pas à la catégorie concernée ».

Or, relève la Cour, les juges d’appel n’ont pas précisé « les critères appliqués par la société Cooper pour définir ses catégories d’acheteurs, [leur] permettant de retenir que la société Pyxis, qui n’est pas une officine, ne relevait pas de la même catégorie d’acheteurs que les officines et groupement d’officines et [qu’elle] relevait ainsi nécessairement de celle des grossistes ». Ce faisant, ils ont privé leur décision de base légale.

La segmentation des CGV d’un industriel pourrait être effectuée selon les catégories suivantes : grossistes ou négociants « B to B » ; grandes surfaces alimentaires ; grandes surfaces de bricolage ; autres grandes surfaces spécialisées (par exemple, dans les produits culturels et électroniques ou les jouets) ; hard discount / soft discount ; cash and carry ; entreprises de vente à distance ; autres types de réseaux de vente spécialisés.

B. Contrôles relatifs à l’obligation de communication des CGV et sanctions

  • Répression des pratiques illicites

Les agents de la CCRF peuvent, après une procédure contradictoire, enjoindre au professionnel, en lui impartissant un délai raisonnable, de se conformer à ses obligations et de cesser tout agissement illicite ; lorsque le professionnel concerné n’a pas déféré dans le délai imparti à cette injonction, l’autorité administrative chargée de la concurrence, de la consommation et de la répression des fraudes peut prononcer à son encontre une amende administrative d’un montant maximal de 3 000 € pour une personne physique et 15 000 € pour une personne morale, selon les modalités indiquées. (C. com. art. L 465-1, I).

  • Sanctions

Tout manquement à l’obligation de communication des CGV à la demande sur un support durable est passible d’une amende administrative d’un montant maximal de 15 000 € pour une personne physique et 75 000 € pour une personne morale (C. com. art. L 441-1, IV). L’amende est prononcée selon les modalités indiquées.

Est passible d’une amende administrative d’un montant maximal de 75 000 € pour une personne physique et 375 000 € pour une personne morale :

–  tout manquement à l’obligation de communication spontanée des CGV dans les délais fixés par la loi (C. com. art. L 441-6) ;

–  le fait de ne pas indiquer dans les conditions de règlement les conditions d’application et le taux d’intérêt des pénalités de retard de paiement, ainsi que le montant de l’indemnité forfaitaire pour frais de recouvrement (C. com. art. L 441-16, b).

Ces montants sont doublés en cas de réitération du manquement dans un délai de deux ans à compter de la date à laquelle la première décision de sanction est devenue définitive.

II. Sur le refus de communiquer les Conditions Générales de Vent

A. Personnes concernées par l’obligation de communication des CGV

Les conditions générales de ventes (CGV) présentent les droits et obligations des deux parties à un contrat de vente (le vendeur et l’acheteur). En tant que professionnel vendeur, vous êtes donc tenu de rédiger des conditions générales de vente dans lesquelles vous allez détailler les conditions de paiement, les éléments de détermination du prix, les modalités de livraison, etc. La présence de ce document permet de sécuriser la relation commerciale entre vos clients et vous-même, en évitant d’éventuels litiges sur le prix de vente, sur les délais de paiement, etc.

Pour être applicables, vos conditions générales de vente doivent être communiquées à vos clients, qu’ils soient consommateurs ou professionnels. De plus, vos CGV doivent être explicitement acceptées par vos clients, par le biais d’une signature par exemple. Selon le profil du client (consommateur ou professionnel), les modalités de communication des conditions générales de vente peuvent varier.

Toute personne exerçant des activités de production, de distribution ou de services qui établit des conditions générales de vente (CGV) est tenue de les communiquer à tout acheteur de produits ou tout demandeur de prestations de services qui en fait la demande pour une activité professionnelle (C. com. art. L 441-1, II-al. 1).

Cette communication s’effectue par tout moyen constituant un support durable (art. précité).

Toute personne exerçant des activités de production, de distribution ou de services doit respecter l’obligation de communication de ses CGV (C. com. art. L 441-1, II-al. 2).

Tout acheteur de produits ou demandeur de prestations de services pour une activité professionnelle peut demander la communication des CGV. L’acheteur peut être grossiste ou détaillant, déjà client ou non du fournisseur.

En revanche, un fournisseur n’est pas tenu de communiquer ses CGV à un concurrent qui en fait la demande, à moins que ce concurrent ne démontre que celle-ci a pour objet de lui passer éventuellement des commandes de produits ou services (Cass. com. 1-6-1999 : RJDA 8-9/99 n° 1019). Il peut également refuser la communication de ses CGV à des revendeurs hors réseau, ceux-ci ne pouvant pas prétendre devenir acheteurs des produits contractuels (CA Paris 19-10-2016 n° 14/07956 : AJ Contrat 2016 p. 548 obs. L. Constantin).

B. Étendue de l’obligation de communication des CGV

  • Communication des CGV à la demande

L’article L 441-1 du Code de commerce n’impose la communication des CGV à la demande d’un acheteur que si des CGV ont été établies (C. com. art. L 441-1, II-al. 2). L’absence de CGV préétablies peut donc légitimer un refus de communication lorsqu’elles ont été demandées. Cette règle est favorable aux entreprises dont l’activité est incompatible avec le préétablissement de CGV.

En revanche, lorsque le résultat des négociations commerciales doit être formalisé dans une convention écrite, dite « unique », les CGV doivent être spontanément communiquées soit avant le 1er décembre, soit dans un délai raisonnable avant le 1er mars.

  • Communication spontanée des CGV

Dans le cas où une convention unique doit être établie pour formaliser le résultat des négociations commerciales entre fournisseurs et distributeurs ou prestataires de services, les CGV doivent être communiquées par le fournisseur :

–  pour une convention du régime général, dans un délai raisonnable avant le 1er mars ou, pour les produits soumis à un cycle de commercialisation particulier, avant le point de départ de la période de commercialisation (C. com. art. L 441-3, V) ;

–  pour une convention « produits de grande consommation » (PGC), au plus tard trois mois avant la date butoir du 1er mars, c’est-à-dire avant le 1er décembre de l’année n-1, ou, pour les produits soumis à un cycle de commercialisation particulier, deux mois avant le point de départ de la période de commercialisation (C. com. art. L 441-4, VI).

Dans ce second cas, le distributeur de produits PGC disposera d’un délai raisonnable à compter de la réception des CGV pour notifier par écrit les motifs de refus de ces dernières ou son acceptation ou, le cas échéant, les dispositions des CGV qu’il souhaite soumettre à la négociation (art. précité). Le « délai raisonnable » n’est pas défini, mais il est nécessairement compris entre le 1er décembre et le 1er mars. Il est évident que plus la notification d’un refus sera proche de la date du 1er mars, moins elle sera considérée comme ayant été faite dans un délai raisonnable.

  1. L’obligation de communication spontanée des CGV est destinée à éviter les abus de certains fournisseurs qui pourraient attendre le dernier moment – courant février – pour transmettre leur CGV afin d’acquérir une position de force lors des négociations.
  2. En cas de communication préalable des CGV à une convention PGC, l’obligation pour le distributeur ou le prestataire de services de notifier par écrit les dispositions qu’il souhaite négocier renforce le principe de primauté des CGV en tant que socle unique de la négociation commerciale.

Pour lire une version plus complète de cet article sur la communication des cgv, cliquez

Sources :

https://www.legifrance.gouv.fr/juri/id/JURITEXT000046357082?init=true&page=1&query=19-19.768&searchField=ALL&tab_selection=all
https://www.doctrine.fr/d/CA/Paris/2019/C12E7ED7AC1336F59A1B4
Art. L. 442-6, I, 9o ancien du Code de commerce
Art. L. 441-6 ancien du Code de commerce
https://www.legifrance.gouv.fr/juri/id/JURITEXT000034340247?init=true&page=1&query=15-27.811+&searchField=ALL&tab_selection=all

UTILISATION DES DONNÉES PERSONNELLES

Aujourd’hui les données à caractère personnel sont particulièrement présentes sur internet. La donnée à désormais une valeur importante pour les entreprises. Ces dernières les récoltent pour pouvoir connaître davantage leur client. Les services proposés sur internet sont majoritairement gratuits. Cela n’est pas réellement gratuit, en échange, les clients ou les internautes fournissent leurs données personnelles. Il est nécessaire de protéger ces dernières.

NOUVEAU : Utilisez nos services pour faire retirer un contenu concernant votre vie privée en passant par le formulaire !

L’importance des données personnelles ne fait qu’augmenter avec l’évolution des nouvelles technologies. L’enjeu de leur protection est crucial pour garantir la vie privée des personnes concernées.

Le législateur a donc dû intervenir. Le texte fondamental sur la protection des données en France est la loi dite « Informatique et Libertés » adoptée en 1978. Cette loi est intervenue suite à un projet du ministère de l’Intérieur. Le projet SAFARI menaçait de créer un fichier contenant toutes les données des citoyens français. Ce projet n’a donc pas vu le jour en raison de la loi informatique et liberté.


Besoin de l’aide d’un avocat pour un problème de vie privée?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Depuis, cette loi a subi de nombreuses modifications. la loi s’attache désormais à protéger chaque donnée, contenue ou non dans un fichier. En effet, des acteurs privés ont désormais la possibilité de collecter des données de manière massive et sophistiquée.

En 2016, le règlement européen sur la protection des données a été adopté.  Le règlement général sur la protection des données personnelles (RGPD) est entré en application le 25 mai 2018. Ce règlement est venu modifier la loi « informatique et libertés » en 2019.

La CNIL définit la donnée personnelle comme « Toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement, peu importe que ces informations soient confidentielles ou publiques ». De plus, l’article 6 de la loi informatique et liberté prévoit une liste des données dites sensibles. Le traitement de ces dernières est par principe interdit, en effet « Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. »

Aujourd’hui le modèle économique de plusieurs entreprises repose sur la connaissance du client par rapport à ses données personnelles. Le ciblage du consommateur est essentiel pour des services tels que les réseaux sociaux, les sites de vente en ligne ou encore les moteurs de recherche.

L’avènement des GAFAM est fondé sur ce modèle. À titre d’exemple, Facebook mise sur l’économie du « like », Amazon va de fait appuyer ses ventes sur ce que « veut » le consommateur, et notamment grâce aux algorithmes prédictifs et aux trackers. Google base également son système sur les recherches et « mots-clefs » les plus importants ayant été tapés.

Les données, une fois récoltées par ces entreprises, leur permettent de disposer d’informations importantes sur les consommateurs et leurs comportements. Cela améliore leur rentabilité.

Néanmoins, ces pratiques posent d’importantes questions au regard, notamment, du droit à la vie privée et à la confidentialité des internautes.

Au regard du caractère personnel de ces données, la loi fixe un cadre strict et des limites à l’exploitation qui peut en être faite : des sanctions administratives et pénales sont prévues en cas d’infraction. Ainsi, l’utilisation des données personnelles est contrôlée au regard des textes applicables (II) et doit respecter un certain nombre d’obligations (I).


I- Une utilisation des données à caractère personnel encadré

Un traitement est licite si la collecte des données est loyale et adéquate au regard des finalités du traitement de données qui doivent être exactes, complètes et conservées sous une forme permettant l’identification des personnes concernées. Ainsi, de nombreux principes sont posés quant à l’utilisation des données personnelles (B) ces dernières se retrouvent dans les principaux textes existant en la matière (A).

A)  Les principaux textes en la matièr

Différents textes ont le jour avant l’arrivée du règlement général sur la protection des données. Il convient de revenir sur l’évolution de la prise en compte de l’importance de cette protection.

Tout d’abord une directive a été adoptée en 1995. Il s’agit de la directive 95/46/CE. Cette dernière porte sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données.

Par la suite, cette directive s’est vue complétée en 1997, avec l’adoption d’une directive sur le secteur des télécommunications (directive 97/66/CE), ces deux directives ont modifié la loi du 6 janvier 1978 avec la loi de transposition du 6 août 2004.

De plus, la directive 2002/58/CE du 12 juillet 2002 modifiée en 2006 concernant le traitement des données personnelles dans le secteur des communications électroniques accessibles au public a été transposée dans la loi pour la confiance dans l’économie numérique et dans l’article L 34-1 du Code des postes et des communications électroniques.

La directive nommée « paquet Télécom » transposée en 2011 en droit français a également permis une meilleure prise en compte de la donnée.

La loi pour une république numérique est entrée en vigueur en 2016, avec pour objectif l’amélioration de la protection des données.

Finalement, le RGPD est entré en vigueur en 2018 après avoir été adopté en 2016. Il viendra modifier la loi informatique et liberté en 2019. Celui-ci a permis une harmonisation des règles au sein de l’Union européenne.

B)  Les principes à respecter

La loi Informatique et Liberté prévoit différents principes à respecter lorsque l’on traite de données à caractère personnel. Les données doivent être traitées de manière licite et loyale.

Les différents principes sont les suivants :

  • Le principe de licéité. La loi prévoit 6 bases de licéité de traitement en son article 5. Il s’agit du soit du : Consentement de la personne concernée ; Traitement nécessaire à l’exécution d’un contrat ; Traitement nécessaire au respect d’une obligation légale ; Traitement nécessaire à la sauvegarde des intérêts vitaux ; Traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique
  • La collecte de données doit être faite en raison d’une finalité (article 4 de la loi). Celle-ci doit être déterminée à l’avance, explicite et légitime. Ainsi, le but poursuivi du traitement doit être clair.
  • Le principe de minimisation des données. L’article 4 alinéa 3 de la loi informatique et liberté précise que les données doivent être « Adéquates, pertinentes et, au regard des finalités pour lesquelles elles sont traitées, limitées à ce qui est nécessaire » (article 4-3 LIL). La collecte doit strictement être nécessaire à la finalité poursuivie.
  • Le principe de l’exactitude des données. L’article 4 alinéa 4 de la loi énonce que les données doivent être « Exactes et, si nécessaire, tenues à jour. Toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ».
  • Le principe de la limitation de la conservation des données. L’article 4 alinéa 5 de la loi prévoit la limitation de la conservation des données, en effet, la conservation doit être limitée au regard de la finalité. Les données pourront tout de même être conservées dans certains cas. Il est possible de les conserver à des fins d’archivage dans l’intérêt public ou à des fins statistiques, historiques ou encore scientifiques. Elles devront faire l’objet d’une anonymisation. En dehors de ces cas, les données devront être effacées.
  • Les droits des personnes concernées. Il existait déjà de nombreux droits avant l’arrivée du RGPD. Il s’agit : du droit d’accès ( permettant de savoir quelles sont les données traitées et d’en contrôler l’exactitude) ; Le droit de rectification (si les données sont inexactes ou incomplètes, il sera possible de les corriger) ; Le droit à l’oubli (lorsque les données ne sont plus nécessaires au regard de la finalité poursuivie ou que la personne retire son consentement lorsqu’il s’agissait de la base de licéité) ; Le droit d’opposition ( il ne s’agit pas d’un droit automatique, il n’est possible que dans certains cas et quand des raisons le justifient, néanmoins il sera toujours possible en cas de prospection commerciale sans nécessité de motif particulier). Le règlement a également apporté de nouveaux droits : le droit à la portabilité des données (permettant de transférer les données auprès d’un responsable de traitement pour les transférer à un autre, ce droit s’appliquera si la base de licéité du traitement est basée sur le consentement ou un contrat) enfin il y a le droit de ne pas faire l’objet de décision fondée sur un traitement automatisé.

 

II- Une utilisation des données à caractère personnel contrôlée

Pour assurer la mise en œuvre des droits et des obligations instaurés par la loi de 1978, cette dernière a instauré un organisme spécialisé : la Commission nationale de l’informatique et des libertés (A). Mais, le non-respect des dispositions de la loi peut également être sanctionné par les tribunaux (B).

A)   Le contrôle exercé par la CNIL

Concernant la protection des données personnelles, la CNIL est l’autorité nationale compétente, elle dispose ainsi d’un pouvoir de sanction ainsi que de contrôle. Elle prononce des sanctions qui doivent être proportionnées et dissuasives. L’importance étant de pousser les entreprises vers la conformité.

Les sanctions qui peuvent être prononcées par la CNIL sont variées. Il y a par exemple :

  • L’injonction de se mettre en conformité
  • Un simple rappel à l’ordre
  • La limitation temporaire ou définitive du traitement
  • Le retrait d’une certification
  • Les amendes administratives

Concernant les amendes administratives, le montant évolue selon la gravité des manquements. L’amende peut s’élever à un maximum de 20 millions d’euros ou de 4 % du chiffre d’affaires mondial de l’entreprise, selon lequel est le plus important.

Les contrôles peuvent être exercés à tout moment par les agents de la CNIL. Ils pourront avoir lieu sur les lieux de l’entreprise, à distance ou en échangeant certains documents. Au cours du contrôle ils pourront interroger toutes les personnes de l’entreprise, demander une copie de tout document jugé utile. L’objectif étant de s’assurer de la conformité de l’entreprise. Ces contrôles concernent autant les grandes entreprises que les plus petites, peu importe qu’elles soient publiques ou privées. Un contrôle peut éventuellement être refusé, sauf si celui-ci a été autorisé par le juge des libertés et de la détention. Néanmoins, il est grandement conseillé de coopérer, le contrôle aura lieu dans tous les cas.

La CNIL peut s’autosaisir pour réaliser un contrôle, elle peut également intervenir après un signalement. Par la suite, la CNIL rendra sa décision, celle-ci fera soit l’état de la conformité soit elle constatera les manquements ce qui entraînera des sanctions.

B)  Le rôle des tribunaux

Le juge dispose également d’un rôle important. Il est arrivé qu’il est un point de vue différent de celui de l’autorité administrative. La CNIL a notamment refusé que la Société des auteurs, compositeurs et éditeurs de musique (SACEM) ainsi que la société pour l’administration du droit de reproduction mécanique (SRDM) mettent en œuvre un système de surveillance des réseaux d’échanges de fichiers destinés à lutter contre la contrefaçon. Le Conseil d’État lui a estimé que ce système traitant des données était proportionné au vu du volume des échanges sur les réseaux.

Le nombre d’infractions liées au traitement des données personnelles a augmenté ces dernières années en raison de l’importance actuelle des données personnelles. Ainsi, en cas de non-respect des obligations prévues par la loi, le Code pénal prévoit différentes infractions (notamment aux articles L. 226-16 à L. 226-31 pour les délits et R. 625-10 à R. 625-13 pour les contraventions).

La personne encourant des sanctions pénales est le responsable de traitement, celui-ci peut être une personne physique ou morale (article 226-24 Code pénal). La loi impose des obligations concernant les devoirs du responsable de traitement, telless que la sécurisation des traitements ou encore la conservation des données. La loi prévoit d’autre part une protection contre l’utilisation abusive des données, comme la collecte frauduleuse, déloyale ou illicite ou encore le détournement de la finalité de traitement. Ce dernier fait encourir au responsable de traitement une amende de 300 000 euros ainsi que 5 ans d’emprisonnement.

Pour lire une version plus complète de cet article sur la vie privée, cliquez

Sources :

https://www.cnil.fr/fr/la-loi-informatique-et-libertes
https://www.cnil.fr/fr/respecter-les-droits-des-personnes
https://www.cnil.fr/fr/definition/donnee-personnelle
https://www.cnil.fr/fr/assurer-votre-conformite-en-4-etapes
https://www.cnil.fr/fr/le-controle-de-la-cnil

SMARTPHONES ET LA VIE PRIVÉE

Aujourd’hui une grande majorité de la population possède un smartphone. Ce téléphone intelligent propose de nombreux services et offre la possibilité de télécharger des applications. Néanmoins, ces smartphones sont ultras connectés, ils offrent un accès important aux données personnelles des utilisateurs et présentent ainsi un risque important sur le droit des personnes à la vie privée.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Le smartphone est dorénavant la norme en termes de téléphone. Il contient les capacités normales d’un téléphone tout en étant particulièrement connecté à internet. Il offre la possibilité de télécharger de nombreuses applications et dispose d’un assistant numérique personnel. Parmi les fonctionnalités qu’il propose, on retrouve classiquement : messagerie instantanée, GPS, navigation Web, etc.

A l’origine, le débit téléphonique était moins important avec notamment le Edge en 2000, par la suite les évolutions ont rendu possible le développement des smartphones avec la 3G en 2006, la 4G en 2013 et la 5G qui a fait son entrée en 2020.

Des millions de smartphones sont achetés par les utilisateurs chaque année, en tête des ventes en 2021 on retrouve la marque Samsung avec une part de marché de 18 %, suivis de la marque Xiaomi avec 17 % et en troisième place les iPhone d’Apple avec 14 %. (1)


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


D’après une étude réalisée par l’INSEE, 77 % des Français âgés de plus de 15 ans possèdent un smartphone (2) ce chiffre ne cesse d’augmenter.

Cependant, il convient de se méfier des applications et services proposés par les smartphones, ces derniers comportent des risques pour la vie privée des personnes et notamment sur les données à caractère personnel.

Ce phénomène inquiète notamment la CNIL qui prévient de manière régulière les utilisateurs. Certains problèmes inquiètent particulièrement, notamment ceux liés aux données de géolocalisation des utilisateurs.

A l’origine de ces problèmes, une collecte abusive des données par les entreprises.

La question mérite donc d’être posée, peut-on être pisté lorsqu’on utilise un smartphone ou certaines de ses applications ? Et comment protéger les consommateurs ?

A cet égard, il conviendra d’abord d’exposer les risques liés à l’utilisation d’un smartphone (1), pour ensuite en déduire des moyens de protection (2).

I. Géolocalisation et smartphone : l’obligation de vigilance de l’utilisateur

Parmi les nombreuses fonctionnalités disponibles sur les smartphones, on retrouve la géolocalisation. Avec cet outil, il est possible de tracer les faits et gestes d’un utilisateur. Lorsque l’on télécharge une application, il peut arriver que celle-ci nécessite pour fonctionner l’activation de la géolocalisation. Il convient d’être vigilant. La CNIL préconise de « faire attention aux applications que l’on installe sur son téléphone ; il faut aussi lire en détail les conditions d’utilisation des applications qui doivent préciser les données collectées et leur traitement. »

Quels sont donc les risques vis-à-vis de la vie privée du possesseur d’un smartphone (A) ? Et dans quelle mesure la vie privée peut-elle être limitée (B) ?

A. Les risques relatifs à la vie privée de l’utilisateur

Aujourd’hui, les smartphones sont tous équipés d’une puce GPS, ainsi, pister un téléphone est donc possible. Certaines applications permettent de localiser précisément l’endroit où se trouve le smartphone. Cela peut s’avérer très utile en cas de perte, les données indiquant les coordonnées peuvent être envoyées par mail à l’utilisateur. Cependant, il convient de rappeler que ces applications doivent d’abord avoir été téléchargées par l’utilisateur lui-même, cela réduit le risque d’une utilisation malveillante.

Néanmoins, le risque de vol de données personnelles est important (mails, contact, coordonnées bancaires, localisation, photos, etc). L’utilisateur doit être vigilant lors du téléchargement, certaines applications malveillantes pourraient ainsi accéder à ces informations. En 2009, une entreprise suisse avait fait entrer son application sur l’App Store d’Apple, l’application en question transmettait les coordonnées téléphoniques des acheteurs de l’application qui étaient ensuite démarchés par téléphone.

De plus, un risque « marketing » important existe. Nombreuses sont les entreprises qui tentent de cibler le consommateur, pour ce faire, des informations liées par exemple à la géolocalisation de l’utilisateur valent de l’or. La CNIL reste donc pour l’instant très vigilante concernant la réutilisation des données à des fins marketings, et l’on pourra estimer que la démarche commerciale derrière de nouveaux types de jeux ou de services est parfois insidieuse. Même si ce marketing ciblé est toléré, les utilisateurs doivent en avoir conscience, il est nécessaire de les prévenir que leurs données puissent être réutilisées à des fins commerciales et qu’ils puissent s’y opposer.

Également, les « trackers » (applications utilisant la géolocalisation pour « pister » un utilisateur via son numéro de mobile) sont source d’autres conflits pour la vie privée des possesseurs de smartphones. D’abord du point de vue familial, mais également vis-à-vis de son employeur. Ainsi, il existe un risque potentiel qu’une personne puisse « suivre » son conjoint grâce au « tracker » placé dans son téléphone mobile à son insu. Dès lors il suffira de lancer l’application sur son propre téléphone, d’y inscrire le numéro de son conjoint, et de savoir, dans un rayon d’une centaine de mètres, où se trouve la personne concernée. Une bonne chose diront certains pour la vie de famille, mais une atteinte à la vie privée pour d’autres.

La CNIL a publié un guide portant sur les bonnes pratiques à adopter le 1er avril 2019. Elle donne des conseils pour limiter la transmission de données personnelles sur les smartphones. (3)

Sur la géolocalisation, elle rappelle notamment qu’environ 30 % des applications utilisent la géolocalisation. Il convient d’être vigilant, car les données récoltées apportent des informations personnelles telles que le lieux de vie de l’utilisateur, les établissements qu’il fréquente, lieu de travail, etc. L’utilisateur a la possibilité de désactiver la géolocalisation, il suffit de se rendre dans les paramètres du smartphone.

Pour les utilisateurs d’IOS 11, la géolocalisation peut être gérée en fonction de l’application. Il faut pour cela se rendre dans les paramètres, cliquez sur l’application puis allez dans « service de géolocalisation », l’utilisateur aura alors le choix de cliquer sur : « toujours avoir accès à la localisation » ou « seulement si l’app est en marche » ou encore « jamais ».

Enfin, il existe également un risque lié à l’employeur. En transposant la situation familiale, au monde de l’entreprise, il est parfaitement envisageable qu’un employeur utilise la géolocalisation du smartphone de l’un de ses collaborateurs pour savoir sa situation exacte, ce qu’il fait durant son temps de travail, s’il est bien à son poste ou non, ce qu’il peut faire en déplacement professionnel, etc. Et si certaines sociétés utilisent déjà cette pratique pour des raisons de sécurité, et qu’il en découle une vie privée « limitée » du collaborateur salarié, il apparaît malgré tout que cette pratique doit être encadrée.

B. La tolérance à l’égard des risques : la vie privée limitée au profit de la sécurité

Avoir recours à un système de géolocalisation ne doit pas avoir pour objectif de réaliser une véritable filature électronique.

Les « trackers » permettent de tracer les déplacements notamment des conducteurs de véhicules professionnels. Les entreprises peuvent y avoir recours pour surveiller des salariés, c’est le cas par exemple des commerciaux qui sont amenés à réaliser de nombreux trajets. Cependant, tous les faits et gestes du salarié n’ont pas à être tracés.

La Cour de cassation dans un arrêt rendu le 26 novembre 2002 a énoncé qu’une surveillance systématique des déplacements du salarié via la mise en œuvre d’un dispositif de GPS/GSM peut être assimilée à une filature électronique disproportionnée par rapport aux intérêts légitimes de l’employeur. La cour a notamment fait l’application de l’article L.120-2 du Code du travail. Elle a jugé que la filature organisée par l’employeur pour contrôler et surveiller l’activité du salarié constituait un moyen de preuve illicite. La cour n’a pas opéré de distinction selon que le salarié ait été averti ou non de l’existence de ce dispositif.

Ces outils peuvent porter une atteinte importante à la vie privée des salariés. Dès lors que l’employeur a recours à ce type de dispositifs pour surveiller les salariés, cela doit respecter un cadre strict et de nombreuses règles. Également, l’employeur peut y avoir recours pour remplir son obligation de sécurité et de résultat. Il doit donc parfois mettre en place des outils qui soient particulièrement efficaces.

Cependant, ces dispositifs ont un impact important sur la vie privée des salariés. La jurisprudence est claire sur le sujet : le salarié a le droit au respect de sa vie privée au temps et au lieu de travail. Néanmoins, pour assurer la sécurité du salarié, l’employeur peut avoir recours à des mesures restreignant la vie privée du salarié. A ce titre une décision rendue le 31 mai 2007 par la cour d’appel de Rennes a considéré qu’était légal le licenciement d’un salarié, envoyé en mission en Arabie Saoudite, qui refusait de respecter les consignes de sécurité imposée par son employeur restreignant les conditions de séjour et de déplacement de ses salariés.

Pour le salarié, ces restrictions portaient atteintes de manière significative à sa vie privée. La cour a quant à elle estimé qu’en raison des menaces importantes pesant sur la sécurité des personnes et de l’obligation de résultat de sécurité de l’employeur, il était dans son pouvoir d’imposer au salarié dans son contrat, des limites sévères à sa vie privée et à sa liberté de circulation, dans la mesure où celles-ci étaient « appropriées à la situation et proportionnées au but à atteindre face aux risques d’attentats ».

Ainsi, il peut arriver que l’obligation de sécurité prenne le dessus sur la vie privée du salarié.

Il convient tout de même de rappeler que lorsque l’employeur met en place : un système de vidéosurveillance, un outil de géolocalisation, GPS, tout dispositif de sécurité, certaines règles sont à respecter pour que cela soit valide. Le pouvoir de contrôle de l’employeur est strictement encadré.

Il faudra alors prévenir individuellement chaque salarié concerné par la mise en place d’un tel dispositif. De plus, ce dernier ne devra pas être disproportionné par rapport à la surveillance à adopter. De plus, l’utilisation du dispositif devra être conforme à la finalité prévue. En outre, il sera nécessaire de consulter préalablement les représentants du personnel ainsi que de les informer.

Il est nécessaire que la mise en place d’un système de géolocalisation doit être justifiée par la nature de la tâche à accomplir et proportionnée au but recherché.

Enfin, la géolocalisation va générer de nombreuses données personnelles sur les salariés. L’employeur devra donc respecter les dispositions du règlement général sur la protection des données (RGPD) applicable depuis 2018 (4)

Les impératifs de sécurité peuvent donc permettre d’écarter la vie privée d’un salarié détenteur de smartphone. Aujourd’hui, les entreprises qui en fournissent à leurs collaborateurs sont légion. Il faudra donc veiller à ce que ce soit bien la sécurité qui mène à la surveillance des salariés, et non un but illégitime de contrôle de leurs activités et déplacements

II. La nécessité de protéger le consommateur

En 2019, la CNIL a eu l’occasion de rappeler que les consommateurs détenteurs de smartphones devaient se prémunir contre les risques précédemment évoqués (A), également elle a fourni quelques conseils de protection (B).

A. La protection des utilisateurs de smartphones

Une recommandation sur la mise en œuvre de dispositifs de géolocalisation avait été adoptée en 2006. Cette recommandation portait sur les dispositifs visant à géolocaliser les véhicules utilisés par les employés des administrations et des entreprises. Depuis, la CNIL continue de s’interroger et de répondre aux problématiques liées à la géolocalisation notamment en lien avec les smartphones.

Certains réflexes doivent être appliqués, premièrement il est nécessaire de faire attention aux applications que l’on installe sur notre téléphone portable. De plus, il faut aussi lire en détail les conditions d’utilisation des applications qui doivent préciser les données collectées et leur utilisation. En cas d’utilisation dans un contexte professionnel, les administrateurs ont la possibilité de limiter l’installation des applications à celles autorisées par l’entreprise. Et surtout, tous les utilisateurs doivent garder à l’esprit qu’un téléphone portable peut facilement se perdre, et qu’il doit donc impérativement être protégé par un code de verrouillage, après une courte période d’inactivité. Le code PIN de la carte SIM ne suffit pas.

En outre, aujourd’hui les fabricants s’engagent à faire attention aux applications disponibles sur leurs stores. Cependant, bien qu’il y ait des contrats liant les développeurs d’application et le store, bien souvent, les stores ne sont pas responsables en cas de problème avec l’application. Néanmoins, ils s’engagent à faire preuve de vigilance, à titre d’exemple, Appel analyse les applications avant de les rendre disponibles sur l’Appstore. Apple peut effacer une application sans condition particulière si elle estime qu’elle comporte un risque pour l’utilisateur.

Le droit prévoit différentes protections, notamment en raison du RGPD. L’article 17 du règlement prévoit le droit à l’oubli. Celui-ci permet à l’utilisateur de demander l’effacement de certaines données ( si elles ne sont plus nécessaires au regard de la finalité du traitement, si la personne retire son consentement (et que la base traitement reposait sur le consentement), si le traitement est illicite ou encore que les données avaient été collectées auprès de mineurs. )

De plus, il existe un principe de limitation de conservation de la donnée. Si ces dernières sont conservées de façon légitime par l’employeur doivent être précises et actualisées, de plus elles L’article 226-20 du Code pénal sanctionne par trois ans d’emprisonnement et 45 000 € d’amende le fait de conserver les données au-delà de la durée prévue.

Dans un guide pratique publié en juillet 2020 (5) la CNIL préconise certaines durées de conservation qui varient en fonction du type de donnée. C’est au responsable de traitement qu’il incombe de déterminer les durées de conservation en fonction de l’objectif ayant conduit à la collecte de données. Certaines durées sont simplement conseillées par la CNIL d’autres seront obligatoires, car imposées par un texte législatif ou réglementaire.

Ainsi, la Cnil, consciente du « danger » entourant les smartphones, a agi avec pragmatisme en encadrant directement leur faculté à permettre la surveillance, le contrôle, voire même la filature de leurs utilisateurs.

B. La CNIL : Conseils pour sécuriser son smartphone

Le smartphone contient de nombreuses informations sur notre vie privée. La CNIL a rappelé sur son site internet quelques conseils utiles afin de protéger votre vie privée. (6)

  • Il est important de ne pas laisser des informations confidentielles dans son smartphone(coordonnées bancaires, divers mots de passe, code d’accès, etc)
  • Ne pas avoir un Code PIN trop facile (0000, 1234, etc) changer celui proposé par défaut.
  • Mettre en place un code d’accès pour verrouiller le téléphone, ne pas se contenter du code PIN
  • Vous pouvez également activer le chiffrement des informations sauvegardées sur votre téléphone, ainsi même si l’appareil est allumé, l’accès à vos données nécessitera la saisie d’un mot de passe.
  • Pensez à installer un antivirus
  • Notez le numéro « IMEI » du téléphone pour le bloquer en cas de perte ou de vol
  • Ne pas télécharger des applications dont les sources sont inconnus
  • Vérifier et changer toujours les accès autorisés aux applications que vous avez téléchargés dans les paramètres
  • Lire les conditions d’utilisation des services ou applications avant de les installer, il peut également s’avérer très utile de lire les avis laissés par les autres utilisateurs.
  • Réglez les paramètres de géolocalisation de votre smartphone pour toujours savoir quand et par qui vous êtes géolocalisés.

Pour lire une version plus complète de cet article sur la protection de la vie privée sur les smartphones, cliquez

Source :