Commerce electronique

Commerce electronique internet

Etre en conformité avec le RGPD et l’accountability

Le Règlement général sur la protection des données (« RGPD ») est le nouveau texte phare en matière de protection des données personnelles  en Europe. Prévu pour entrer en application le 25 mai 2018, le délai de mise en conformité est court et pourtant trop peu d’entreprises sont au courant des dispositions en la matière.

NOUVEAU : Utilisez nos services pour faire retirer un contenu lié à la protection des données ou de contrefaçon en passant par le formulaire !

Le droit européen a instauré un cadre juridique qui se veut « stable » pour l’ensemble de l’Union européenne. Le texte a pour objectif, comme le rappelle la CNIL, de renforcer le droit des personnes au regard du traitement de leurs données à caractère personnel, tout en responsabilisant les traitants et sous-traitants de ces données.

Me CAHEN Murielle, Avocat, peut être choisi par une société pour être Avocat agissant en tant que délégué à la protection des données .

L’avocat  délégué à la protection des données  a un rôle de conseil et de sensibilisation sur les nouvelles obligations du règlement (notamment en matière de conseil et, le cas échéant, de vérification de l’exécution des analyses d’impact).

« Privacy by Design » signifie littéralement que la protection des données personnelles doit être prise en compte dès la conception du produit ou du service.


Besoin de l’aide d’un avocat pour un problème de rgpd ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Entré en vigueur en mai 2018, le règlement général sur la protection des données (RGPD) fêtera bientôt ses cinq ans. Qu’importe votre situation, si vous collectez des données, une démarche de mise en conformité au règlement devra être initiée.

Afin d’en saisir les contours, cette démarche peut s’appuyer sur la désignation d’un délégué à la protection des données qui se chargera de mettre en œuvre la conformité au règlement européen sur la protection des données pour votre organisme.

La promulgation de ce règlement a permis d’harmoniser le cadre juridique pour l’ensemble de l’Union européenne. Ce texte a, dans un premier temps, permis de renforcer le droit des personnes au regard du traitement de leurs données à caractère personnel.

Dans un second temps, le RGPD a été conçu pour être un rempart face aux dérives et aux risques que les traitements de données peuvent représenter. Pour se faire, il introduit de nouvelles obligations et de nouvelles notions. On pensera par exemple à la notion d’accountability et de privacy by design qui ont pour objectif de responsabiliser les organismes afin de rendre plus effective la protection des données.

Les données sont aujourd’hui des sources de valeur considérable. Elles représentent non seulement des actifs pour les entreprises, mais elles sont également un moyen d’assurer la continuité de leurs activités. Comme le souligne l’ENISA, entre 2021 et 2022, on comptabilise environ une attaque par rançongiciel toutes les onze secondes sur l’ensemble des entreprises situées sur le territoire européen.

Au regard des dangers qui pèsent aujourd’hui sur les entreprises, l’ensemble des dispositions du texte se devront d’être comprises par ces dernières (I) afin d’organiser de manière rapide et efficace leur mise en conformité (II).

I. Le cadre juridique instauré par le RGPD , le régime d’accountability et Privacy by Design

Le texte européen entré en vigueur le 25 mai 2018, prévoit de nouvelles obligations pour les entreprises et, plus largement, tous traitants ou sous-traitants de données à caractère personnel (a). Le non-respect de ces obligations entraîne désormais des sanctions plus lourdes que par le passé (b), dans une volonté non dissimulée d’atteindre un cadre harmonisé.

A) Des obligations nouvelles pour les entreprises et en particulier l’accountability et le « Privacy by Design »

L’entrée en vigueur du texte en mai 2018 renouvelle le cadre de la protection des données et des relations entre ceux qui les fournissent et ceux qui les traitent.

Selon son article 3, ce règlement a vocation à s’appliquer aux entreprises qui traitent des données à caractère personnel, que celles-ci soient établies sur le territoire de l’Union européenne (principe d’établissement) ou non, dès lors que les données traitées concernent les personnes qui se trouvent sur le territoire de l’Union européen (principe de ciblage).

Ce texte insère de nouvelles notions telles que la « Privacy by Design ». Définie à l’article 25 du RGPD, cette notion correspond à la prise en considération de la protection des données dès la conception d’un traitement. Il s’agit aussi bien de la mise en œuvre de mesures techniques et organisationnelles appropriées, telles que la pseudonymisation. Ces mesures sont destinées à mettre en œuvre les principes relatifs à la protection des données.

Elles s’accompagnent des principes énoncés par le règlement, tel que le principe de minimisation des données (notamment pour les données sensibles). Ces mesures visent à assortir le traitement des garanties nécessaires afin de répondre aux exigences fixées par le règlement et tendent à assurer une protection effective des données de la personne concernée.

D’autres points essentiels du ressortent du Règlement, à commencer par la « consécration » du droit à l’oubli. Pour commencer, le texte amène la « consécration  » du droit à l’oubli  » , déjà soutenu par la Cour de justice de l’Union européenne dans l’arrêt Google Spain qui précisait qu’un traitement de données pouvait devenir « avec le temps incompatible avec la directive lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées » .

Les données devront être conservées aussi longtemps que nécessaire et leur accès, leur modification, leur restitution jusqu’à leur effacement sur la demande des individus concernés, devront être garantis.

De même, le texte prévoit que les entreprises devront veiller à ce que seules les données nécessaires à la finalité en cause soient collectées.

Également, les entreprises devront s’assurer du consentement éclairé et informé des individus quant à la collecte et au traitement de leurs données, consentement qu’elles devront pouvoir recueillir et prouver.

Ainsi, les organismes à l’origine d’un traitement de données tel que défini à l’article 4 du règlement, se devront de respecter et d’établir, le cas échéant, les durées de conservation des données. Une liste de mesures à prendre en compte lors de l’établissement d’un traitement de données est disponible à l’article 5.

Par ailleurs, les organismes devront répondre aux demandes d’exercice des droits des personnes concernées. Énoncés au chapitre III, ils devront lorsque la demande en sera faite, garantir l’accès, la modification, la restitution voire l’effacement des données de la personne concernée.

De plus, ils devront à chaque traitement s’assurer d’avoir recueilli le consentement de la personne concernée comme prévu aux articles 7 et 8 du Règlement.

Pour qu’un traitement de données soit considéré comme licite lorsque le consentement n’est pas demandé, l’organisme doit s’assurer d’être dans son bon droit en établissant l’existence d’une base légale conformément à l’article 6.

Pour commencer, le traitement peut intervenir dans le cadre d’une relation contractuelle ou d’une obligation légale.  Il peut également être considéré comme licite lorsqu’il vise l’intérêt général ou la sauvegarde des intérêts vitaux d’une personne. Enfin, il peut s’agir du recours au motif légitime, condition abstraite et très peu utilisée en pratique.

Dans le cas contraire, le traitement (la conservation, l’utilisation, la revente, l’analyse, etc.), n’est pas licite et peut par conséquent faire l’objet de sanction.

Enfin, le texte prévoit également des mesures concernant le respect du droit à la portabilité des données, la mise en place d’un cadre strict pour un tel transfert en dehors de l’Union ainsi que l’obligation pour les entreprises d’informer le propriétaire des données ainsi que la CNIL d’une violation grave des données ou d’un piratage , dans les 72 heures.

B) Des risques accrus pour les entreprises en cas de non-conformité

Depuis l’entrée en vigueur du RGPD de nombreuses formalités auprès de la CNIL ont disparu. En contrepartie, la responsabilité des organismes a été renforcée. Ils doivent en effet assurer une protection optimale des données à chaque instant.

La tâche revient également aux entreprises, en marge des obligations précitées, de veiller à ce que les données soient à tout moment et en tous lieux sécurisés contre les risques de perte, de vol, de divulgation ou contre toute autre compromission.

C’est notamment le cas lors du choix des prestataires informatiques. Les organismes ont un devoir de vigilance et d’information envers les personnes concernées (autrement dit, les personnes dont les données font l’objet d’un traitement).

« Privacy by Design » signifie littéralement que la protection des données personnelles doit être prise en compte dès la conception du produit ou du service.

Pour toute violation de ces dispositions, le texte prévoit notamment des amendes administratives, pouvant s’élever jusqu’à 20 millions d’euros « ?ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent? ».

C’est également l’entreprise qui devra indemniser toute personne lésée matériellement ou moralement par un traitement non conforme de ses données, cette fois-ci sans plafonnement.

Si tel n’est pas le cas, une mise en conformité rapide de votre organisme s’impose donc.
Le RGPD a en effet pour but d’unifier le cadre légal européen en la matière, et tend même à obliger les plus réticents à « jouer le jeu » : on sait que les grandes entreprises comme Google ou Facebook ont déjà été, à plusieurs reprises, rappelées à l’ordre par les CNIL européennes. Les dernières décisions rendues en la matière témoignent de la volonté de faire respecter ce règlement.

La CNIL est venue sanctionner de nombreuses entreprises depuis l’instauration du RGPD, en raison de leur manque de mise en conformité avec le règlement. La sanction la plus importante fut celle de Google, dans une décision du 21 janvier 2019 où la CNIL a prononcé une amende d’un montant total de 50 millions d’euros.

Cette décision fut confirmée par le Conseil d’État dans une décision du 19 juin 2020, qui considère que l’amende de 50 millions d’euros n’était pas disproportionnée.

Après avoir effectué le bilan de son action répressive, la CNIL affirme que l’année 2021 a été un record tant par le nombre de mesures adoptées que par le montant cumulé des amendes, qui atteignait 214 millions d’euros.

L’année 2022 a aussi été marquée par une importante réforme des mesures correctrices de la CNIL, ce qui lui permet d’envisager un traitement plus rapide des plaintes (toujours plus nombreuses) et donc des sanctions.

Cette réforme témoigne de la volonté de donner plus de moyens à la CNIL et de durcir la répression cinq ans après l’entrée en application du RGPD.

Cette décision fut suivie de nombreuses autres amendes pour manquement au RGPD, mais jamais avec un montant aussi élevé. Ainsi dans une décision du 28 mai 2019, l’absence de contrôle des accès aux données conservées par un site internet fut sanctionnée à hauteur de 400 000 euros d’amende.

Dans une décision du 13 juin 2019, l’amende n’a pas dépassé 20 000 euros. Encore récemment, un manquement aux articles 32 et 33 du RGPD fut sanctionné par la CNIL à une amende de 3 000 euros. L’article 32 du RGPD prévoyant l’obligation d’assurer un niveau de sécurité adapté aux risques, en ayant recours à des mesures techniques et organisationnelles appropriées.

Une mise en conformité rapide des entreprises s’impose donc. Le RGPD a en effet pour but d’unifier le cadre légal européen en la matière, et tend même à obliger les plus réticents à « jouer le jeu », dans la lignée de la décision de la CNIL espagnole du 11 septembre dernier, qui a infligé à l’entreprise Facebook une amende administrative d’un montant de 1,2 million d’euros la collecte et le traitement (notamment à des fins publicitaires) de données sensibles sans le consentement des utilisateurs.

Mais il s’avère que les entreprises n’ont pas forcément conscience de la façon dont elles traitent leurs données, ni même plus généralement de l’intégralité des donnés qu’elles traitent et qui peuvent se trouver sur leurs bases de données .

Le RGPD ne doit pas être perçu comme une « obligation » qui s’impose aux entreprises, mais bel et bien comme un élément pour se démarquer du reste des prestataires. Repousser sa mise en conformité revient à repousser un gage de qualité.

Cette transition se doit donc d’être organisée, structurée efficacement, et plusieurs étapes méthodiques apparaissent efficaces dans le suivi de cet objectif.

II. Les étapes de la mise en conformité des entreprises aux nouvelles dispositions

Depuis l’entrée en vigueur de cette réglementation, il convient pour les entreprises et, plus largement, tout responsable de traitement ou sous-traitant de données à caractère personnel, d’initier si tel n’est pas le cas, un processus de mise en conformité. À cet égard, le délégué à la protection des données (A) jouera le rôle de celui en charge d’accompagner l’entreprise dans les différentes étapes (B) de cette transition.

A) Le délégué à la protection des données, « chef d’orchestre » de cette mise en conformité par rapport à l’accountability et le « Privacy by Design »

Même si elle n’est pas obligatoire pour tous les organismes, la désignation d’un pilote paraît essentielle au regard des tâches à accomplir par les entreprises dans le cadre de leur mise en conformité avec le RGPD.

On distingue plusieurs cas dans lesquels la désignation d’un délégué à la protection des données est obligatoire (article 37 du RGPD).

Ainsi la désignation est obligatoire pour les organismes publics et pour toute entreprise responsable du traitement de données sensibles ou de traitement à grande échelle doit désigner un délégué à la protection des données. Il peut s’agir par exemple des ministères, des collectivités territoriales ou encore des établissements publics. En avril 2022, ce sont vingt-deux communes qui ont été mises en demeure par la CNIL afin qu’elles désignent un délégué à la protection des données.

En outre, la désignation s’impose aussi pour les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle. Cela peut correspondre aux compagnies d’assurance ou aux banques pour leurs fichiers clients ou les fournisseurs d’accès internet.

Enfin, les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » (données biométriques, génétiques, relatives à la santé, la vie sexuelle, l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale) ou relatives à des condamnations pénales et infractions devront également procéder à la désignation d’un délégué à la protection des données.

Publié le 13 décembre 2016 par le G29, les lignes directrices concernant le régime du délégué permettent de caractériser cette idée de « grande échelle » sur des critères tels que le nombre de personnes concernées, le volume des données traitées, la durée de conservation et de traitement des données ou encore l’étendue géographique du traitement.

La désignation d’un pilote paraît essentielle au regard de la mise en conformité des entreprises avec le RGPD. Le délégué à la protection des données ( » DPO « ), au sein de l’entreprise, sera en charge de l’organisation des différentes missions à mener dans l’accomplissement d’un tel objectif.

La désignation de celui-ci est rendue obligatoire pour les organismes publics et pour toute entreprise responsable du traitement de données sensibles ou de traitement à grande échelle.

Néanmoins, la CNIL rappelle que si cette obligation n’incombe pas à certaines entreprises, il est « ?fortement recommandé? » d’effectuer une telle désignation, « le délégué (constituant) un atout majeur pour comprendre et respecter les obligations du règlement  » .

Il n’est en effet, pas toujours évident pour une personne étrangère à ce domaine de ne pas cerner les attentes ou les obligations qui découlent de la réglementation. Afin d’être désigné, le délégué doit nécessairement avoir des connaissances juridiques qui lui permettront de rendre intelligible la réglementation auprès de ses collaborateurs.

L’incendie du Datacenter d’OVH illustre parfaitement cette méconnaissance du droit des contrats informatiques. Outre la catastrophe s’abattant sur OVH, un grand nombre de clients avaient souscrit un contrat d’hébergement simple, laissant ces derniers sans possibilité de récupérer leurs données et causant parfois, d’importants préjudices (article avec Me Eric Barbry). La perte de données peut s’avérer fatale pour les plus petites structures, d’où l’importance d’établir un plan de reprise des activités. C’est pourquoi le délégué à la protection des données est un indispensable.

Il ne joue pas qu’un simple rôle de mise en conformité, il joue également un rôle de management des données ce qui permet à la société de comprendre les enjeux de la protection des données. Ce dernier incarne un véritable rôle de conseil, on pourrait presque parler d’un devoir d’information.

Comme le souligne l’article 38 du Règlement, le délégué à la protection des données doit être « associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel (5) ».

Précisé à l’article 39, ce « chef d’orchestre » aura la charge de l’organisation des différentes missions à mener dans l’accomplissement d’un tel objectifLe DPO n’a pas nécessairement à être membre de l’entreprise, puisqu’elle peut être liée avec lui sur la base d’un contrat de service. Il est soumis au secret professionnel ou à une obligation de confidentialité.

Le DPO devra jouer le rôle d’un coordinateur, à savoir comprendre et cerner les nouvelles obligations prévues par le texte, et guider le responsable du traitement en fonction.

Ceci étant, le délégué n’endosse pas la responsabilité d’une éventuelle non-conformité du traitant ou sous-traitant des données aux dispositions du Règlement?; il est fortement conseillé pour lui néanmoins de garder les traces de son travail par une documentation précise (notamment dans les cas où l’entreprise n’aurait pas suivi ses recommandations).

B) Les détails du processus de transition pour les entreprises

Une fois le DPO désigné, l’entreprise devra alors engager un processus de transition en trois étapes.

La première consiste à lister de manière précise et concise l’intégralité des données traitées, ainsi que les acteurs de ce traitement.

Pour ce faire, la tenue d’un registre des traitements peut être une solution : l’entreprise y consignera toutes les informations relatives aux traitements et aux traitants, à savoir la nature des données, leur provenance ou encore la manière dont elles sont traitées.

Cependant les registres de traitement sont allégés pour les entreprises de moins de 250 salariés.

Pour rappel, l’obligation de tenir un registre des traitements concerne tous les organismes, publics comme privés, et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.

Par la suite, il conviendra de prendre les mesures nécessaires pour garantir un traitement respectueux des nouvelles dispositions. Dans un premier temps, il conviendra de s’assurer que ces traitements s’appuient sur des bases légales toujours en vigueur et qu’ils respectent les droits des utilisateurs.

Dans un second temps, il s’agira de procéder à une vérification des mesures de sécurité déployées puis de s’assurer qu’ils respectent les principes liés à la transparence prévus par le texte.

À ce titre, une analyse d’impact sur la protection des données peut s’avérer pertinente : en effet ce type d’étude permet d’évaluer précisément les conséquences du traitement en vigueur dans l’entreprise sur la protection des données et le respect des droits des usagers.

Enfin, la dernière étape consistera pour l’entreprise en une consignation par écrit d’une documentation prouvant la conformité de l’entreprise à la nouvelle réglementation. Il s’agit du processus d’accountability qui se réalise au fur et à mesure de l’exécution des précédentes consignes. Ce processus permet de dresser l’état d’avancement de la mise en conformité en interne, de s’organiser plus facilement et d’assurer un respect en continu de la protection des données traitées.

L’accountability est une démarche permanente qui permet de prouver que le respect des règles fixées par le RGPD.

Pour lire une version plus complète sur la RGDP, cliquez

Sources :

(1) https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels
(2) http://www.ladn.eu/nouveaux-usages/etude-marketing/rgpd-entreprises-retard-lapplication-reglementation/
(3) Idem
(4)http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d0f130d531e9daf43fa64f7b82f3a43da182cc55.e34KaxiLc3eQc40LaxqMbN4PaNiMe0?text=&docid=152065&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=500062
(5) https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article37
(6) https://www.cnil.fr/fr/designer-un-pilote
(7) https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes
Décision CNIL 21 janvier 2019
https://www.cnil.fr/sites/default/files/atoms/files/san-2019-001_21-01-2019.pdf
Décision Conseil d’Etat, 19 juin 2020, n° 430810
https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2020-06-19/430810
Décision CNIL, 28 mai 2019, SAN-2019-005
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038552658/
Décision CNIL, 13 juin 2019, SAN-2019-006
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038629823/
Décision CNIL, 7 décembre 2020, SAN-2020-014
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042675720

Y-a-t-il des clauses abusives dans les conditions générales de l’Apple store et de Google store?

Les conditions générales de vente (CGV) entre professionnels constituent le socle de la négociation commerciale et peuvent être différenciées selon les catégories d’acheteurs. Elles doivent être communiquées à tout acheteur professionnel qui en fait la demande. L’Apple store et Google store régulent leurs relations avec les développeurs d’applications à l’aide de ces CGV. Ces géants des applications pour smartphones doivent réguler leurs CGV de manière à ne pas comporter de clauses abusives à l’encontre des développeurs.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Selon l’article L.212-1 du Code de la consommation, les clauses abusives sont des clauses qui ont pour objet ou pour effet de créer un déséquilibre significatif entre les droits et les obligations des parties au contrat. Définie par la loi LME, la notion déséquilibre significatif est un « un système de sanction dissuasive visant à empêcher les abus de puissance d’achat ou de vente ». C’est l’article L.442-1-I-2 ° du Code de commerce qui sanctionne le fait pour un partenaire commercial « De soumettre ou de tenter de soumettre l’autre partie à des obligations créant un déséquilibre significatif dans les droits et obligations des parties. ». Par conséquent, ces clauses abusives sont réputées non écrites.

Le déséquilibre significatif est apprécié par la jurisprudence comme pouvant être une absence de réciprocité dans le contrat, une absence de contrepartie ou une absence de négociation. Le déséquilibre se déduit d’une relation contractuelle qui ne bénéficie qu’à une seule partie, unilatéralement. Le Code civil précise à l’article 1171 que « l’appréciation du déséquilibre significatif ne porte ni sur l’objet principal du contrat ni sur l’adéquation du prix à la prestation ». Ainsi pour déterminer qu’il y a un déséquilibre significatif, il faut analyser l’équilibre économique du contrat.


Besoin de l’aide d’un avocat pour un problème de cgv?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien


Il s’agit de savoir si les CGV de l’Apple Store ou de Google play store, distributeurs d’applications pour smartphones, comportent des clauses abusives au regard du droit français et du droit européen.

I. Les conditions générales de ventes face aux clauses abusive

A) Règles générales des CGV

L’article L 441-1 du Code de commerce indique que « Toute personne exerçant des activités de production, de distribution ou de services qui établit des conditions générales de vente est tenue de les communiquer à tout acheteur qui en fait la demande pour une activité professionnelle. Cette communication s’effectue par tout moyen constituant un support durable […] Dès lors que les conditions générales de vente sont établies, elles constituent le socle unique de la négociation commerciale ». On a donc une obligation de communication des CGV qui s’adresse au vendeur, l’idée étant de permettre à tout acheteur de pouvoir comparer avant de contracter. Il y a donc une obligation de communication qui est prévue par ce texte, mais cette obligation est conditionnée par une démarche préalable et active de l’acheteur. Le fait pour l’acheteur de demander la communication des CGV créé une obligation pour le vendeur. Cette obligation préexistait à l’ordonnance de 2019, puisque dans un arrêt du 29 mars 2017 la Cour de cassation avait retenu le caractère fautif du refus de communication des CGV.

Ce texte nous dit par ailleurs que les CGV constituent le socle de la négociation commerciale. Cela signifie que les négociations vont être rythmées, et on va imposer qu’elles commencent d’un point de vue chronologique par les conditions générales de vente du vendeur. C’est une façon de protéger l’acheteur, car on va empêcher que les négociations ne commencent par les conditions générales d’achats du vendeur qui sont plus puissantes.

Ainsi, chaque fois qu’on va renverser une CGV, on va aboutir à des conditions particulières de ventes, spécialement conçues entre ce vendeur et cet acheteur, à un moment précis. Ces conditions particulières de vente prévues à l’alinéa 5 de l’article ne sont pas soumises à des obligations de communication, elles sont opaques, elles sont un véritable secret dans les affaires, contrairement aux CGV.

Par ailleurs, le professionnel qui dérogerait à l’obligation de communication de ses conditions générales de ventes s’expose à l’amende administrative de l’article L. 441-1-IV du Code de commerce dont le montant maximal est de 15 000 euros pour une personne physique et de 75 000 euros pour une personne morale.

En outre, encours une amende pénale de 75 000 euros pour une personne physique et de 375 000 euros pour une personne morale, le professionnel qui n’indiquerait pas dans les conditions de règlement les mentions légales ou qui fixerait un taux ou des conditions d’exigibilité non conformes aux prescriptions également précisées ci-dessus. Cette amende peut être portée à 150 000 euros pour une personne physique et de 750 000 euros pour une personne morale, en cas de réitération du manquement dans un délai de 2 ans.

Une autre amende administrative est prévue à l’article L.441-16 du code de commerce, d’un montant ne pouvant excéder 75 000 euros pour une personne physique et deux millions d’euros pour une personne morale. Cette amende pourra être prononcée si le professionnel n’indique pas dans les conditions de règlement les mentions légales ou si ce dernier fixerait un taux ou des conditions d’exigibilité de retard non conformes aux prescriptions également précisées ci-dessus.

En cas de clauses abusives dans les CGV, celles-ci devront être supprimées des supports comme l’a rappelé un arrêt de la Cour d’appel de Paris du 29 octobre 2020. Bien que non retenue en l’espèce, la Cour rappelle que l’accessibilité réduite des CGV est une pratique condamnable.

B) Réglementation sur les clauses abusives

L’article  L. 212-1 du Code de la consommation indique que « Dans les contrats conclus entre professionnels et consommateurs, sont abusives les clauses qui ont pour objet ou pour effet de créer, au détriment du consommateur, un déséquilibre significatif entre les droits et obligations des parties au contrat. ».

Un décret en Conseil d’État, pris après avis de la commission instituée à l’article L. 822-4, détermine une liste de clauses présumées abusives ; en cas de litige concernant un contrat comportant une telle clause, le professionnel doit apporter la preuve du caractère non abusif de la clause litigieuse.

Un décret pris dans les mêmes conditions détermine des types de clauses qui, eu égard à la gravité des atteintes qu’elles portent à l’équilibre du contrat, doivent être regardées, de manière irréfragable, comme abusives au sens du premier alinéa.

Ces dispositions sont applicables, quels que soient la forme ou le support du contrat ( bons de commande, factures, bons de garantie, bordereaux ou bons de livraison, billets ou tickets, contenant des stipulations négociées librement ou non ou des références à des conditions générales préétablies).

Le caractère abusif d’une clause s’apprécie en se référant, au moment de la conclusion du contrat, à toutes les circonstances qui entourent sa conclusion, de même qu’à toutes les autres clauses du contrat. Il s’apprécie également au regard de celles contenues dans un autre contrat lorsque la conclusion ou l’exécution de ces deux contrats dépendent juridiquement l’une de l’autre.

Les articles R.212-1 et R.212-2 du Code de la consommation distinguent deux types de clauses abusives : les clauses grises et les clauses noires. Les clauses noires sont présumées être abusives de manière irréfragable, c’est-à-dire que l’on ne peut pas y apporter la preuve contraire.  Les clauses grises quant à elles, sont présumées abusives. C’est-à-dire qu’en cas de litige c’est le professionnel qui doit apporter la preuve du caractère non abusif de la clause.

II) Les clauses abusives des conditions générales de l’Apple Store et du Google Store

A) Les CGV de google play store

Diverses obligations rentrent en ligne de compte vis-à-vis des développeurs d’applications au sein de google play store. L’installation en premier lieu est à la charge du développeur et Google refuse toute application qui ne serait pas installée convenablement sur la boutique en ligne. Un contrôle sur la qualité du produit mis en ligne est donc exercé dès l’installation.

Le contenu de l’application en second lieu doit être fidèle à la présentation qui en est faite. Elle ne doit pas présenter de contenu à caractère pornographique ou violent.

Les CGV de Google play store prévoient une responsabilité du développeur du fait de son application. En effet, il est seul responsable de l’assistance des produits mis en ligne donc des préjudices nés du téléchargement de son application. De fait, Google se décharge complètement d’une quelconque responsabilité à l’égard du développeur, mais aussi de l’utilisateur. Cette limitation de responsabilité est très large. Sur ce point, un arrêté du 18 décembre 2014 est intervenu,  relatif aux informations contenues dans les conditions générales de vente en matière de garantie légale.

Pris sur le fondement de l’article 14 de la loi n° 2014-344 du 17 mars 2014 relatif à la consommation, l’arrêté précise, qu’en application de l’article L. 211-2 du Code de la consommation, les conditions générales de vente des contrats de consommation doivent comporter les noms et adresses du vendeur garant de la conformité des biens au contrat, permettant au consommateur de formuler une demande au titre de la garantie légale de conformité prévue aux articles L. 217-4 et suivants du Code de la consommation ou de la garantie des défauts de la chose vendue au sens des articles 1641 et suivants du Code civil. À ce titre, non seulement le développeur, mais également la société Google, vendeur en l’espèce lorsqu’elle propose des applications sur sa plateforme, devraient être susceptibles d’engager leur responsabilité.

Le tribunal de commerce de Paris le 28 mars 2022 a condamné Google au paiement d’une amende de 2 millions d’euros pour avoir imposé sept clauses abusives dans ses contrats de distribution aux développeurs d’applications sur son Play store. Les clauses litigieuses sont en date de 2015 et 2016. Une de ces clauses imposait, sans négociation possible, un prélèvement de 30 % à destination de Google sur le prix de chaque application mobile.

S’agissant de l’obligation de respect de la vie privée des utilisateurs, Google se conforme dans ses conditions d’utilisation de la boutique en ligne au Règlement général sur la protection des données (RGPD) de l’Union européenne relatives au traitement des données à caractère personnel des utilisateurs. Ainsi, une clause prévoit que le développeur doit « faire preuve de transparence concernant la façon dont il gère les données utilisateur, telles que les informations fournies par l’utilisateur ou obtenues à son sujet, y compris les informations provenant des appareils. Autrement dit, les développeurs doivent informer l’utilisateur en cas de collecte, d’utilisation et de partage desdites informations, et les utiliser exclusivement aux fins indiquées. » Ainsi, tout traitement de données à caractère personnel des utilisateurs doit faire l’objet d’une autorisation préalable. Ce principe a encore été rappelé récemment par un arrêt de la Cour d’appel de Toulouse le 18 mai 2020.

B) Les CGV de l’Apple Store

Qualifié par certains « d’intermédiaire technique » entre le développeur et le consommateur final, se revendiquant ainsi du statut protecteur d’hébergeur prévu par la LCEN dans son article 6, Apple impose néanmoins les règles du jeu à travers ses CGV dans ses relations avec le développeur de l’application.

Apple a affirmé que l’App Store d’Apple avait généré 519 milliards de dollars en facturation et en ventes à l’échelle mondiale pour la seule année 2019. Apple prévoyant une répartition des revenus, l’éditeur d’une application perçoit 70 % des revenus tandis que Apple perçoit 30 % des revenus.

C’est notamment sur ce sujet des 30 %, que tout comme Google, qu’Apple fait l’objet d’une assignation par la DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes). En effet, Appel perçoit 30 % sur tous les achats effectués depuis son application, le pourcentage est le même sur les abonnements. Cette clause litigieuse est également pointée du doigt par d’autres pays européens, c’est notamment le cas de l’Autorité de la concurrence néerlandaise.

Pour empêcher ses pratiques, le projet de règlement « Digital Markets Act » (DMA) prévoit que les géants d’internet devront autoriser l’installation d’application à partir de sources extérieures à leurs stores. Ainsi, ce pourcentage de 30 % ne serait plus applicable, car l’achat ne passerait plus par leurs boutiques.

Apple est donc un géant dans le domaine, si ce n’est LE géant. Ainsi, la société propose au sein de ses CGV des conditions classiques liés au développement des applications, telles que des conditions d’adhésion pour les développeurs et des conditions de rémunération s’élevant à 70 % des sommes générées par le développement des applications. Les CGV ne semblent donc pas contenir de clauses abusives.

Toutefois, et comme le parallèle fait avec Google play store, ce sont peut-être les conditions de garanties qui se détachent. En effet, Apple ne prévoit de garantir ni le développeur ni l’internaute contre les dommages causés aux appareils mobiles qui résulteraient des applications téléchargées. Ensuite, les conditions de distribution stipulées par Apple prévoient que le développeur doit respecter les dispositions du Règlement général sur la protection des données (RGPD) du 23 mai 2018 relative à la protection des données personnelles des internautes. Par ailleurs, Apple s’autorise à retirer d’office de la plateforme, sans en avertir le développeur, toute application dont le contenu serait jugé contraire aux conditions d’utilisation stipulées.
Malgré tout, Apple n’est pas sans reproche, vu que dans une décision du 9 juin 2020, la société a été condamnée pour non-respect du RGPD. Dans ce même jugement, le tribunal judiciaire de Paris a déclaré que plusieurs clauses des conditions générales d’ITunes et d’Apple Music étaient illicites ou abusives.

Pour lire une version plus complète de cet article sur les clauses abusives du Google store, cliquez

Sources :

http://www.cgv-expert.fr/article/conditions-adhesion-android-market-editeurs_45.htm
http://store.apple.com/fr
http://blog.goodbarber.com/fr/Comment-creer-son-compte-developpeur-chez-Apple_a275.html
http://economie.lefigaro.fr/app-store-apple.html
https://support.google.com/googleplay/android-developer/answer/10355942?hl=fr
https://www.apple.com/fr/newsroom/2020/06/apples-app-store-ecosystem-facilitated-over-half-a-trillion-dollars-in-commerce-in-2019/
Le règlement général sur la protection des données – RGPD
https://www.cnil.fr/fr/reglement-europeen-protection-donnees
Com. 3 mars 2015, 13-27.525
https://www.legifrance.gouv.fr/juri/id/JURITEXT000030324689/
Cons. const. 13 janv. 2011, n° 2010-85 QPC
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000023418391
Com. 29 mars 2017, 15-27.811
https://www.legifrance.gouv.fr/juri/id/JURITEXT000034340247
CA Paris 29 octobre 2020
CA Toulouse 18 mai 2020
Tribunal judiciaire de Paris, jugement rendu le 9 juin 2020
https://www.legalis.net/jurisprudences/tribunal-judiciaire-de-paris-jugement-rendu-le-9-juin-2020/
Article 1171 du Code civil
https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000036829836/#:~:text=Dans%20un%20contrat%20d’adh%C3%A9sion,contrat%20est%20r%C3%A9put%C3%A9e%20non%20%C3%A9crite.
Article L.212-1 du Code de la consommation
https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000032890812/
Articles L. 217-4 et suivants du Code de la consommation
https://www.legifrance.gouv.fr/codes/section_lc/LEGITEXT000006069565/LEGISCTA000032221261/#LEGISCTA000032226953
Article L. 822-4 du Code de la consommation
https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000032224234
Articles R.212-1 du Code de la consommation
https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000032807196/
Articles R.212-2 du Code de la consommation
https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000032807198/
Article L 441-1 du Code de commerce
https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000038414469/#:~:text=II.,moyen%20constituant%20un%20support%20durable.
Article L.442-1-I-2 ° du Code de commerce
https://www.legifrance.gouv.fr/codes/id/LEGIARTI000038414237/2019-04-26/

Comment intégrer les réseaux de distribution exclusive et internet ?

L’arrivée d’internet a complètement modifié les usages en matière de commerce, et notamment concernant la distribution exclusive, alors comment appréhender la distribution exclusive face à internet ?

Les perspectives offertes par le commerce électronique incitent l’ensemble des acteurs économiques, particulièrement ceux travaillant en réseaux, à s’intéresser à un développement de leur activité sous l’angle Internet.

Le commerce électronique est- il un danger pour les réseaux de distribution ou au contraire doit-il être considéré comme une méthode de vente complémentaire?

Dans le cadre d’un réseau de distribution sélective, la société principale qui gère le réseau ne peut interdire à ses distributeurs la revente des produits via une plate-forme internet sans apporter de raison objective au regard du droit de la concurrence justifiant une telle interdiction.

La distribution sélective désigne un système par lequel les fournisseurs sélectionnent leurs distributeurs sur la base de critères définis, ces derniers s’engageant à ne pas vendre ces biens ou services à des distributeurs non agréés.

C’est un système limitant le nombre de distributeurs, sans exclusivité territoriale et qui pose la question de la distribution sélective sur internet. L’efficacité d’un réseau de distribution sélective dépend de son étanchéité juridique et commerciale.

Aucune règle spécifique ne définit les conditions dans lesquelles des produits distribués par un réseau de distribution sélective peuvent être promus et/ou vendus sur Internet et cela pose un problème pour la distribution sélective sur internet.

La distribution sélective sur internet peut permettre à son animateur de contrôler la distribution de ses produits notamment en choisissant ses revendeurs et en contrôlant la qualité des prestations associées à la vente.

Le développement de la vente sur internet a nécessairement des répercussions sur le fonctionnement traditionnel des réseaux de distribution.

Force est de constater que la vente sur internet est susceptible de perturber cet ordre établi : qui est l’acheteur (consommateur, membre du même réseau ou distributeur parallèle) ? Où réside-t-il ? Comment faire respecter l’image de la marque du réseau ? Comment dispenser des conseils personnalisés à l’occasion de la vente, par exemple, de produits de haute technicité? Comment organiser un service de livraison, voire d’installation, puis un service après-vente lorsque l’acheteur peut être domicilié n’importe où ?

Tous les fournisseurs distribuant leurs produits en réseau (franchise, concession, distribution sélective …) n’ont pas appréhendé de la même façon les problématiques posées par la distribution sélective sur internet.

Certains ont souhaité purement et simplement interdire à leurs distributeurs la vente sur internet. D’autres l’ont autorisée sous condition. Enfin, certains ont développé leurs propres sites de vente, alors même qu’ils avaient accordé des exclusivités territoriales à leurs distributeurs, ces derniers ayant pu y voir une forme de concurrence déloyale.

S’agissant de la distribution sélective sur internet, l’article L. 442-2 du Code de commerce dispose que : « Engage la responsabilité de son auteur et l’oblige à réparer le préjudice causé le fait, par toute personne exerçant des activités de production, de distribution ou de services de participer directement ou indirectement à la violation de l’interdiction de revente hors réseau faite au distributeur lié par un accord de distribution sélective ou exclusive exempté au titre des règles applicables du droit de la concurrence. » (1)

Les perspectives offertes par le commerce électronique incitent l’ensemble des acteurs économiques, particulièrement ceux travaillant en réseaux, à s’intéresser à un développement de leur activité sous l’angle Internet.

Le commerce électronique est- il un danger pour les réseaux de distribution ou au contraire doit-il être considéré comme une méthode de vente complémentaire?

Lorsque le contrat prohibe la vente à distance ou vente par correspondance, on peut considérer que le commerce électronique est exclu implicitement. Le e-business doit être assimilé à une vente à distance.

Une clause d’interdiction ne sera d’ailleurs pas restrictive de la concurrence si la nature des produits la justifie (technicité, qualité…).ou /et par l’absence de mise en valeur des produits, ou l’impossibilité de fournir un conseil personnalisé au client potentiel. (article 85 § 1 du Traité de Rome)

Dans le cas où les accords contractuels ne mentionnent rien sur la question, on prévoit généralement la distribution dans un point de vente déterminé, avec les conditions de présentation des produits.

Il est donc question de savoir si le promoteur peut interdire d’emblée la vente en ligne : comme le souligne Maître Verbiest dans un article paru en avril 2000 sur Juriscom, le cas n’est pas théorique et s’est présenté pour Séphora, contraint de limiter l’accès à son site marchand aux résidents américain après avoir été sommé par ses partenaires fournisseurs avec lesquels la société est liée par des accords exclusifs.

La jurisprudence communautaire s’est également prononcée (affaires Saint-Laurent et Givenchy du TPICE) contre l’interdiction a priori de certaines formes de commercialisation.

En particulier, nombreux sont les contrats de distribution qui mettent à la charge du distributeur une obligation de développement des ventes.

C’est dans cette optique que l’ordonnance du tribunal de commerce de Pontoise en date du 15 avril 1999 avait été rendue dans une affaire Pierre Fabre Dermo Cosmétiques c/ M.. A. B. : les juges avaient estimé en effet qu’« Internet s’ajoute aux modalités traditionnelles… » de commercialisation des produits.

En ce sens, on peut faire un parallèle avec la décision en référé du TGI de Bordeaux du 12 mai 1999 dans une affaire Norwich Union France c/ Peytureau .

L’ouverture d’un site vitrine (donc non marchand) sous un nom de domaine utilisant la dénomination sociale de la compagnie employant l’auteur n’est à l’origine d’aucun préjudice pour Norwich Union France, car le site était totalement consacré à la promotion des produits Norwich Union.

Cela dit, depuis lors, un arrêt d’appel (certes en référé) a été rendu dans l’affaire Fabre infirmant la décision de première instance et sa conception extensive.

Le fondement de l’arrêt repose sur les conditions générales de vente, les prérogatives du promoteur du réseau et non les relations contractuelles et les obligations du distributeur incriminé.

D’ailleurs, dans un arrêt rendu le 13 septembre 2017,  la Cour de cassation a reconnu aux fournisseurs dans un réseau de distribution sélective, le droit d’imposer à leurs distributeurs, sous certaines conditions, des clauses interdisant la vente de leurs produits sur des plateformes en ligne non agrées. (2)

I. L’enseigne, la marque et le nom de domaine

Le droit commun de la concession exclusive met à la charge du concédant une obligation relative à la marque et à l’enseigne.

En effet, il doit mettre en œuvre toutes les voies de droit dont il dispose pour garantir au distributeur l’exclusivité de ses signes distinctifs dans le secteur géographique qui lui a été consenti, sous peine d’engager sa responsabilité contractuelle.

Ainsi, serait responsable celui qui n’a pas agi (en référé) pour obtenir la suppression des panneaux de sa marque encore utilisés par l’ancien distributeur (Cour de cassation, Chambre commerciale 4/2/1986).

En principe, le concédant doit recourir à l’action en concurrence déloyale pour mettre fin à ce type d’agissements et remplir son obligation de garantir une jouissance paisible à son cocontractant distributeur.

Internet pose le problème du nom de domaine : en effet, on peut considérer que le nom de domaine est en fait l’enseigne d’une boutique virtuelle.

Par conséquent, on peut se demander si le site d’un distributeur indépendant peut ou non inclure la marque du concédant.

Les juges du fond ont répondu négativement le 20 mars 2000 à cette question dans l’affaire Sony Corporation, SA Sony France / Sarl Alifax.) Cela reviendrait en effet à cannibaliser le réseau de distribution du concédant.

II. Le respect de l’exclusivité territoriale

L’obligation de ne pas empiéter sur le secteur géographique attribué au distributeur est mise en danger par l’intégration de l’Internet, y compris dans une optique de communication passive (site vitrine). Le site de commerce électronique est en effet accessible depuis n’importe quel point du globe, donc depuis le territoire concédé aux divers distributeurs.

Comment assurer dans ce cas le respect des obligations liées au territoire géographique ?

Pour chaque distributeur, le manquement à l’obligation de respecter « l’intégrité » du territoire de son confrère, peut entraîner un litige avec le concédant.

Pour ce dernier, sa responsabilité peut être engagée pour n’avoir pas su préserver l’intégrité du territoire de vente de chacun des membres de son réseau.

Il existe, certes, des clauses spécifiques telles que la clause de « clientèle réservée » qui permet au concédant de fournir ses produits sur un territoire concédé, mais à une catégorie particulière de clients, ou à ceux qui figurent sur une liste préétablie et sur laquelle il a obtenu l’accord de son cocontractant.

En outre, depuis l’entrée en vigueur, le 2 décembre 2018, du Règlement UE 2018/302 du 28 février 2018 visant à contrer le blocage géographique injustifié et d’autres formes de discrimination fondées sur la nationalité, le lieu de résidence ou le lieu d’établissement des clients dans le marché intérieur, un professionnel ne peut ni bloquer, ni limiter, par des mesures technologiques, l’accès d’un client à son interface en ligne pour des motifs liés à sa nationalité, à son lieu de résidence ou d’établissement. Ce règlement impacte les distributeurs dans la mesure où il affecte directement leurs relations avec les consommateurs et, indirectement, quant aux obligations pouvant être imposées, en amont, dans le contrat de distribution exclusive. (3)

Conclusion

Le développement d’une politique de communication ciblée « web » du distributeur suppose un audit juridique précis des critères de distribution sur la nature du réseau et sur les contrats en cours afin de concevoir un site portail dont les fonctionnalités seraient en rapport avec cet audit ou la possibilité de laisser les distributeurs avoir leur propre site.

Il conviendrait de prévoir tout simplement la possibilité pour chaque distributeur de présenter son offre en ligne par le biais d’un tel site portail et non par le biais de sites propres à chaque distributeur.

Dans cette hypothèse, il faudrait créer un avenant aux contrats de distribution qui comprendrait :

La détermination du type de site des distributeurs et du concédant (vitrine à conseiller dans un premier temps) avec échéancier pour le passage au commerce électronique (le temps de développer un logiciel propriétaire permettant à l’internaute de choisir en ligne et de modifier le produit qui l’intéresse) ;

La détermination de la prise en charge par chaque distributeur de la gestion et du traitement des transactions émanant de leur territoire contractuel

La charte graphique minimum pour chaque « sous-site » permettant de mettre les produits en valeur, de garantir l’image de marque du fabricant, permettant également une égalité de traitement entre les distributeurs (photos, logos…) ;

Une gestion précise des aspects technico-juridiques (travail avec une agence de création de sites uniques qui propose ensuite à chaque distributeur, ou une liberté de choix de l’agence) incluant les notions de :

  • Noms de domaine,
  • Méta-tags,
  • Mots clés vendus par les régies online,
  • Référencement et mention de la qualité du titulaire du site,
  • Politique de liens.

Évidemment, l’échec de la négociation avec un seul distributeur mettrait en péril l’ensemble de l’opération et poserait de réels problèmes au circuit de distribution concerné.

Pour lire une version plus complète de cet article sur comment intégrer les réseaux de distribution exclusive et internet , cliquez sur ce lien

Sources :

L’anonymat sur Internet

« Si je regarde suffisamment vos messages et votre localisation, et que j’utilise une intelligence artificielle, je peux prévoir où vous allez vous rendre. Montrez-nous 14 photos de vous et nous pourrons vous identifier. Vous pensez qu’il n’y a pas quatorze photos différentes de vous sur Internet ? Il y en a plein sur Facebook ! » le PDG de Google, Eric Schmidt, a estimé, lors de la conférence Theconomy du 4 août 2010, que l’anonymat sur Internet était voué à disparaître et serait remplacé par une  » transparence totale « .

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire ! 

Avec le développement des activités numériques sur le web, le terme  » anonyme  » prend une nouvelle orientation. Ainsi, des millions d’internautes naviguent sur le web de façon anonyme, du moins le croient-ils, en consultant des sites d’information ou d’e-commerce. Dans le même temps, d’autres millions d’internautes ont ouvert des comptes personnels sur des réseaux sociaux en se cachant derrière un pseudonyme. Alors qu’on utilise de plus en plus Internet, qu’on y laisse toujours plus de données et qu’il est de plus en plus facile de savoir qui y fait quoi, l’inquiétude quant à l’utilisation de ces données grandit chaque jour.

En toute hypothèse, sur le web, la sensation d’anonymat est décuplée par la distance qui existe entre l’internaute et le serveur auquel il accède pour y consulter des informations ou pour y créer des données (donner une opinion, écrire un texte, uploader un document, etc.). Et la sensation d’anonymat s’accroit chez de nombreux internautes à partir du moment où ils se cachent derrière un écran et un pseudonyme.

Dans la pratique, moins de 5% des internautes mettent en place des pratiques d’offuscation de leurs traces sur le web. A contrario, cela signifie que plus de 95% des internautes vivent avec une sensation d’anonymat alors même qu’ils ne sont pas anonymes sur Internet.

On notera le caractère ambigu de l’anonymat : d’un côté, c’est ce qui est sans nom, sans valeur, parfois menaçant ; de l’autre, c’est une stratégie de protection, de préservation, porteuse d’égalité (dans le cas par exemple, de l’anonymat du vote en France). Cette dualité se retrouve également sur internet.

 

I. L’anonymat, principe nécessaire à la protection de la vie privée sur internet

A. Anonymat et vie privée sur internet

Anonymat et vie privée sont très souvent associés, et pour cause. Le premier est un moyen de préserver la seconde. La vie privée est la raison pour laquelle on peut recourir à des techniques d’anonymisation. Internet bouleverse la manière dont nous gérons notre vie privée.


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


La vie privée ne peut se comprendre qu’en termes de contrôle de ce qu’on laisse sur internet. Elle consiste à conserver le contrôle d’une information personnelle et ne pas la laisser sortir d’un cadre dans lequel elle a été rendue publique.

Sur internet, l’utilisateur ne laisse pas seulement des traces volontairement et de manière visible. S’il existe bien des traces visibles et intentionnelles (commentaire sur un blog, photo sur les réseaux sociaux), les traces invisibles et non intentionnelles sont d’autant plus nombreuses (l’adresse IP quand on se connecte à un site internet, requête dans les archives d’un moteur de recherche). Il y a également les cookies placés sur le navigateur ou le tracker, qui est un petit programme présent sur les sites web qui enregistre certaines activités à des fins publicitaires, présent sur les sites de e-commerce.

Un très grand nombre d’informations peuvent être collectées sur internet : l’historique de connexions et de visites, l’adresse IP, les recherches Google, les favoris et l’historique complet, les emails etc..

B. L’encadrement juridique de la protection des données collectées sur internet

S’il est aisé d’imaginer que nous sommes tous fichés par l’Etat et les organismes qui lui sont rattachés (sécurité sociale, fisc, police à travers la carte nationale d’identité, la préfecture lors de l’établissement de la carte grise, le Pôle emploi, le médecin, etc.), par son employeur, par des associations indépendantes (club de sport, association à laquelle on fait un don, forum de discussion ou chat, etc.) ou encore par des sociétés commerciales (banque, assureurs, téléphonie, fichiers clients des commerces, etc.), on imagine moins être fichés par des sociétés que l’on ne connaît pas. Et pourtant, les données personnelles circulent facilement soit contre rémunération pour le titulaire du fichier, soit de manière involontaire en cas notamment de piratage informatique ou de détournement de la finalité d’un fichier.

C’est pour cela qu’en France, la CNIL, la Commission nationale informatique et libertés veille à ce que la loi Informatique et libertés de 1978 et les autres textes qui protègent ces données personnelles, soient respectés, afin d’éviter les abus et les atteintes aux droits fondamentaux.

En 2014, la CNIL affirme que près de 35% des recruteurs avouent avoir déjà écarté un candidat à un emploi à cause d’une e-réputation négative. négative.

En France, le texte fondateur en matière de protection des données est la Loi informatique et liberté du 6 janvier 1978 qui définit les principes à respecter lors de la collecte, du traitement et de la conservation des données personnelles. Elle renforce les droits des personnes sur leurs données, prévoit une simplification des formalités administratives déclaratives et précise les pouvoirs de contrôle et de sanction de la CNIL.

La loi « Informatique et Libertés » est applicable dès lors qu’il existe un traitement automatisé ou un fichier manuel, c’est-à-dire un fichier informatique ou un fichier  » papier  » contenant des informations personnelles relatives à des personnes physiques.

Dans un arrêt rendu le 6 octobre 2020, la CJUE a précisé que le droit de l’UE s’oppose à ce qu’une « réglementation nationale permettant à une autorité étatique d’imposer, aux fins de la sauvegarde de la sécurité nationale, aux fournisseurs de services de communications électroniques la transmission généralisée et indifférenciée des données relatives au trafic et des données de localisation aux services de sécurité et de renseignement ».

Toutefois, a nuancé sa position en rajoutant que, dans des situations dans lesquelles un État membre fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, ce dernier peut déroger à l’obligation d’assurer la confidentialité des données afférentes aux communications électroniques en imposant, par des mesures législatives, une conservation généralisée et indifférenciée de ces données pour une durée temporellement limitée au strict nécessaire, mais renouvelable en cas de persistance de la menace.

Contrairement à toute attente, par rendu un arrêt rendu le 21 avril 2021, le CE avait autorisé la conservation généralisée des données de connexion, et ce, en dehors des situations exceptionnelles d’état d’urgence sécuritaire. Cette décision contraire aux exigences de la jurisprudence précédente de la CJUE (6 octobre 2020) a été possible grâce à une réinterprétation de la notion de « sécurité nationale » pour inclure des infractions au-delà de la lutte contre le terrorisme telles que l’organisation de manifestations non-déclarées ou encore le trafic de stupéfiants.

II. L’anonymat, principe menacé par les développements technologiques

A. Le Big Data au détriment de l’anonymat

Littéralement, le terme de  » Big Data  » signifie métadonnées, grosses données ou encore données massives. Ils désignent un ensemble très volumineux de données qu’aucun outil classique de gestion de base de données ou de gestion de l’information ne peut vraiment travailler. En effet, nous procréons environ 2,5 trillions d’octets de données tous les jours. Ce sont les informations provenant de partout : messages que nous nous envoyons, vidéos que nous publions, informations climatiques, signaux GPS, enregistrements transactionnels d’achats en ligne et bien d’autres encore. Ces données sont baptisées Big Data ou volumes massifs de données. Les géants du Web, au premier rang desquels Yahoo (mais aussi Facebook et Google), ont été les tous premiers à déployer ce type de technologie.

L’analyse des données est capable d’extraire des informations très précises sur les individus en croisant des données anonymes. Par exemple, les signaux de géolocalisation des portables, la démarche d’un passant filmée par vidéosurveillance, le choix de films téléchargés forment autant d’indicateurs sur les habitudes, les intérêts et les activités des personnes.

Actuellement, la tendance est à la convergence des différentes données disponibles. Data en ligne et hors ligne, structurées ou non structurées rassemblées et consolidées, accord entre Facebook et des courtiers de données : les algorithmes n’ont pas fini de générer de plus en plus de sources lucratives sur le marché des Big Data. Plus encore : il est possible de prédire où se trouvera une personne d’ici 80 semaines sur la base de données de géolocalisation issues de son GPS. Finalement, rester non identifié devient une gageure.

B. Une pression croissante de l’État

Depuis une dizaine d’années, les initiatives de la part des gouvernements pour tenter de réguler et de contrôler internet se sont multipliées. Rappelons les révélations d’Edward Snowden en 2013, qui ont montré que les collectes massives d’informations par la NSA, concernant des citoyens du monde entier, dépassaient le cadre de la lutte nécessaire contre le terrorisme ou contre les autres risques géopolitiques.

La France n’est pas en reste, puisque son service de renseignement extérieur, la DGSE (Direction Générale de la Sécurité Extérieure), a également à sa disposition un système d’interception massif d’Internet, sans compter sa proximité avec l’opérateur Orange. Au delà des services de renseignement, ces dernières années, le législateur français a été particulièrement attentif à la régulation d’internet :  LCEN (loi pour la confiance en l’économie numérique) ; DADVSI (loi relative aux droits d’auteur et droits voisins dans la société d’information) , LOPPSI 2 (loi d’orientation et de programmation pour la performance de la sécurité intérieure), Hadopi (loi Création et Internet de la Haute autorité pour la diffusion des œuvres et la protection des droits sur internet) ou encore les lois antiterroristes qui accroissent la surveillance du réseau à la recherche de potentiels terroristes.

Cette pression croissante des gouvernements à des fins de contrôle, de régulation et de surveillance peut se faire au détriment de l’anonymat des utilisateurs d’internet.

Le 15 novembre 2001, la France a adopté la loi sur la sécurité quotidienne, dont l’article 29 oblige les fournisseurs d’accès à internet à conserver les identifiants de connexion de leurs abonnés. Ses mesures, dont l’article 29, auraient dû arriver à expiration fin décembre 2003. Cependant un amendement de la loi sur la sécurité intérieure du 21 janvier 2003, a pérennisé les mesures de conservation des identifiants et les a séparées du motif terroriste, leur raison d’être de l’adoption de la première loi. Ces mesures sont désormais présentes dans l’article 34-1 du Code des postes de communications électroniques.

À partir de la loi de 2004 et de la loi pour la confiance en l’économie numérique, la conservation des identifiants de connexion, qui devait être effectuée uniquement par les opérateurs de télécommunications, donc les fournisseurs d’accès à internet, concerne également les hébergeurs, c’est à dire, tous les sites qui mettent à disposition du public un service de  » stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature  » (sites d’informations, services de vidéo type Dailymotion ou Youtube, Wikipédia…). Le décret précisant les modalités n’est intervenu que le 1er mars 2012.

Le 30 juillet 2021, la loi n° 2021-998 relative à la prévention d’actes de terrorisme et au renseignement a été adoptée. Ce texte, par le biais de son article 17, a  modifié l’article L34-1 du Code des postes et des communications électroniques ainsi que l’article 6-II de la LCEN.

Pour lire une version plus complète de cet article, cliquez sur ce lien

Sources :

Sources :

http://www.net-iris.fr/veille-juridique/dossier/20679/les-donnees-personnelles-et-la-protection-de-la-vie-privee-a-heure-des-nouvelles-technologies.php
http://www.cil.cnrs.fr/CIL/spip.php?rubrique281
https://books.google.fr/books?id=zSsTBQAAQBAJ&pg=PR18&lpg=PR18&dq=anonymat+sur+internet+mémoire&source=bl&ots=1x_SHNL5q8&sig=YwazYsBgPmSWpV-Tqbi1hwnlvMc&hl=fr&sa=X&ved=0ahUKEwjksqHopafLAhUGVxoKHWTYAggQ6AEIOTAF#v=onepage&q=anonymat%20sur%20internet%20mémoire&f=false
http://www.journaldunet.com/ebusiness/le-net/1169618-vers-un-reglement-europeen-sur-la-protection-des-donnees-qui-vise-les-plateformes-us/
http://www.zdnet.fr/actualites/etat-d-urgence-le-gouvernement-n-interdira-pas-le-wi-fi-public-et-tor-39829552.htm
http://rue89.nouvelobs.com/blog/oh-my-code/2016/03/05/respect-de-la-vie-privee-apple-ou-surveillance-generalisee-fbi-vous-de-choisir-235245