internet-et-droit

LA PROTECTION DES BIENS ACHETES

Dans notre vie quotidienne, nous réalisons tous des achats, que ça soit des achats dans un magasin en physique, ou bien des achats en ligne. Cela fait partie de notre mode de vie. C’est la raison pour laquelle la protection conférée aux biens achetés est indéniable. Mais cette protection est encore plus forte lorsque l’on quitte l’achat des biens mobiliers et que l’on rentre dans le cadre de ventes immobilières.

En France, au travers d’une ordonnance du 17 février 2005, sera transposée une directive européenne de 1999. Celle-ci a mis en place une action en garantie uniforme fondée sur la notion de conformité du bien au contrat qui englobe le vice caché et la délivrance conforme.

NOUVEAU : Utilisez nos services pour faire valoir vos droits en passant par le formulaire !

C’est l’article 1641 du Code civil qui nous parle du « vice caché », aussi appelé défaut caché ». Ainsi, le vendeur est tenu de la garantie à raison des défauts cachés de la chose vendue qui la rendent impropre à l’usage auquel on la destine, ou qui diminuent tellement cet usage que l’acheteur ne l’aurait pas acquise, ou n’en aurait donné qu’un moindre prix, s’il les avait connus.

A cet effet, le consommateur français dispose, désormais, d’une action en garantie uniforme fondée sur la notion nouvelle de « conformité du bien au contrat » englobant le vice caché et la délivrance conforme. Le texte ne vise que : les contrats de vente de biens meubles corporels, les ventes de biens de consommation réalisés entre un vendeur professionnel et un consommateur. Sont exclus les
biens vendus par autorité de justice ainsi que ceux vendus aux enchères publiques.

Besoin de l’aide d’un avocat pour un problème de contrat ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Il serait alors intéressant de voir les obligations du vendeur ainsi que les droits du consommateur (I), l’action spécifique dont dispose le consommateur (II) et enfin, les autres règles importantes relevant du droit de la consommation (III).

I.  Obligations du vendeur et droits du consommateur

A-Obligation de délivrance

La délivrance est l’acte d’exécution du contrat (fait juridique). C’est la mise à la disposition de la chose à l’acquéreur, au temps et au lieu convenus. Cela recouvre la remise de la main à la main ; remise de la chose à un transporteur ou à un commissionnaire pour le compte de l’acheteur, etc.

Le délai de la délivrance ne doit pas excéder une limite raisonnable, à défaut de précision sur la date de délivrance (1).  Par ailleurs, la convention de Vienne a adopté ce principe (art. 33 Convention de Vienne), déjà dégagé par la jurisprudence française

La délivrance se prouve par l’acte juridique de la réception du bien, matérialisé par un procès-verbal qui couvre en principe les défauts apparents, du moins s’ils n’ont pas fait l’objet de réserves (2) par l’acheteur et à condition que celui-ci soit suffisamment compétent pour les déceler dans ce domaine technique. Il incombe, donc, au vendeur de prouver qu’il a mis effectivement le bien vendu à la disposition de l’acheteur dans le délai convenu (3). L’obligation de délivrance comprend aussi les accessoires de la chose.

La règle classique figure dans le Code civil (4). Il s’agit d’abord des accessoires matériels, du genre du câble d’alimentation d’un appareil, son disque dur, ainsi que des notices ou manuels d’utilisation, de fonctionnement et d’entretien. Il existe aussi des accessoires incorporels, comme un code de déblocage et surtout l’ensemble des informations nécessaires à son exploitation.

B-Garantie contre les vices cachés

Pour que le vice caché puisse être invoqué, il faut l’existence d’un vice nuisible à l’usage de la chose, qui est caché et qui est invoqué dans un délai relativement court.

En premier lieu, la garantie suppose l’existence d’un vice. Ce dernier consiste objectivement dans l’absence d’une qualité normalement attendue, la chose devant être propre à l’usage auquel elle est destinée de par sa nature : ainsi d’un ordinateur de fonctionner (5). Le vice rend donc la chose impropre à l’usage auquel on la destine, ou diminue grandement cet usage. Par ailleurs, le vice s’apprécie en principe in abstracto, contrairement à la non-conformité. Le vice doit être relativement important. Sinon, il n’empêche pas l’usage de la chose. Ne sont donc pas des vices les défauts mineurs, facilement réparables (6).

En second lieu, le vice doit être caché. Cela figure à l’article 1641 du Code civil qui ne parle que des défauts cachés. Toutefois, l’article 1642 du code civil précise que « Le vendeur n’est pas tenu des vices apparents et dont l’acheteur a pu se convaincre ». L’apparence implique toutefois que l’acheteur ait connu le vice « dans sa cause et son amplitude », ou « son étendue et sa gravité ». Le vice cesse aussi d’être caché lorsque, même non apparent, le vendeur en a informé son partenaire, qui a accepté la marchandise à ses risques et périls (Versailles, 24 nov. 2000, Mme Lemarie). 

En revanche, le vice est difficilement considéré comme caché lorsque l’acheteur est un professionnel, achetant dans le domaine de sa compétence technique, car il est à même de procéder à une vérification minutieuse. N’est donc pas caché le défaut qui était décelable lors d’un examen normal par un bon professionnel (7).

Et enfin, l’action en garantie est soumise à un délai de deux ans depuis l’ordonnance n° 2005-136 du 17 février 2005. Le délai ne commence à courir que du jour de la découverte du vice (C. civ., art. 1648). Le vice pourra n’apparaître qu’après un assez long temps : pour un système informatique complexe et de grande ampleur, la mise en plein régime supposera une durée importante, de sorte que le délai peut s’enfler.

C-Garantie de conformité

L’article L. 217-4 du code de la consommation définit les obligations du vendeur au titre de la conformité : « Le vendeur livre un bien conforme au contrat et répond des défauts de conformité existant lors de la délivrance. Il répond également des défauts de conformité résultant de l’emballage, des instructions de montage ou de l’installation lorsque celle-ci a été mise à sa charge par le contrat ou a été réalisée sous sa responsabilité. »

En faveur du consommateur, il y a une présomption d’antériorité du défaut : « Les défauts de conformité qui apparaissent dans le délai de vingt-quatre mois à partir de la délivrance du bien sont présumés exister au moment de la délivrance, sauf preuve contraire » (C. consom., art. L. 217-7). Cependant, le vendeur peut combattre la présomption d’antériorité si celle-ci n’est pas compatible avec la nature du bien ou le défaut de conformité invoqué (C. consom., art. L. 217-7  al. 3).

S’agissant des sanctions du défaut de conformité, le législateur confère à l’acheteur cinq solutions (réparation, remplacement, réduction du prix, résolution du contrat, dommages-intérêts). (L. 217-9 et L. 217-10 code de consommation).

L’acheteur peut choisir librement entre la réparation et le remplacement. Cependant, cette liberté cesse lorsque le choix de l’acheteur entraîne un coût disproportionné au regard de l’autre modalité, compte tenu de la valeur du bien ou de l’importance du défaut ; le vendeur est alors tenu de procéder, sauf impossibilité, au second mode de réparation en nature (C. consom., art. L. 217-9).

Concernant, la résolution ou la réduction du prix. Si la réparation ou le remplacement sont impossibles, une autre option s’offre à l’acheteur : celle de rendre le bien et de se faire restituer le prix (action en résolution du contrat), ou de garder le bien et d’obtenir le remboursement d’une partie du prix (action en réduction du prix, la traditionnelle réfaction).

Par ailleurs, l’acheteur peut aussi obtenir des dommages-intérêts. Cela n’avait pas été prévu par la directive de 2005 et a donc été ajouté par le législateur français (C. consom., art. L. 217-11 al. 2).

II. Une action spécifique

Lorsqu’il y ‘ a un défaut de conformité, le consommateur dispose d’un délai de deux ans pour intenter une action contre le vendeur, et cela à compter de la délivrance du bien. Néanmoins, cette action ne prive pas le consommateur du droit d’intenter l’action résultant des vices cachés prévus par les articles 1641 à 1649 du Code civil.

Par ailleurs, le « bref délai » d’action prévu à l’article 1648 du Code civil a également été réformé ; il est maintenant de deux ans à compter de la découverte du vice. Les dispositions de l’ordonnance du 17 février 2005 s’appliquent aux contrats conclus postérieurement à son entrée en vigueur.

III. Autres règles importantes relevant du droit de la consommation

  • L’information sur les modes alternatifs de règlement de litiges

L’article L. 211-3 du Code de la consommation prévoit que « lors de la conclusion de tout contrat écrit, le consommateur est informé par le professionnel de la possibilité de recourir, en cas de contestation, à la procédure de médiation de la consommation dans les conditions prévues au titre Ier du livre VI ». L’objectif est d’inciter les consommateurs à se tourner vers des modes de résolution amiable des litiges. Si cette information supplémentaire est déclenchée par la conclusion d’un contrat écrit, le texte ne semble pas imposer l’écrit pour l’information elle-même.

  • L’information dans les foires et les salons

Selon l’ article L.224-59 du Code de la consommation, avant la conclusion d’un contrat « à l’occasion d’une foire, d’un salon ou de toute manifestation commerciale relevant du chapitre II du titre VI du livre VII du Code de commerce », le professionnel doit informer le consommateur qu’il ne dispose pas d’un délai de rétractation. Cette information donnée sur les lieux doit se faire par affichage, de manière visible pour le consommateur :

–sur un panneau dont le format ne peut pas être inférieur au format A3 ;

–dans une taille de caractères ne pouvant être inférieure à celle du corps 90 (A. 2 déc. 2014, art. 1er).

Les offres de contrat faites dans les foires et les salons doivent impérativement mentionner l’absence de délai de rétractation en termes clairs et lisibles dans un encadré apparent situé en-tête du contrat. Toutefois si le professionnel propose sur place au consommateur de financer son achat par un crédit affecté, le contrat de vente ou de service doit comporter un encadré apparent mentionnant le droit de rétractation de 14 jours accordé à l’emprunteur et les conséquences qui y sont attachées (art. L. 224-62).

Le non-respect de ce formalisme est sanctionné par une amende administrative maximale de 3 000 euros pour une personne physique et de 15 000 euros pour une personne morale (art. L. 224-23).

Pour lire une version plus complète de cet article sur sur la protection des biens achetés, cliquez

SOURCES :

(1)Ch. Com. 12 nov. 2008, n° 07-19.676

(2)Civ. 1re, 12 juill. 2005, no 03-13.851

(3)Ch. Com. 15 sept. 2009, no 07-21.842

(4)C. civ., art. 1615

(5)Com. 24 avr. 2007, no 05-17.051

(6)Com. 24 oct. 1995, no 94-12.247

(7)Com. 4 mars 2003, no 00-18.668

Par internet-et-droit, Newsletter • Tags: , , , ,

Comment intégrer les réseaux de distribution exclusive et internet ?

L’arrivée d’internet a complètement modifié les usages en matière de commerce, et notamment concernant la distribution exclusive, alors comment appréhender la distribution exclusive face à internet ?

Les perspectives offertes par le commerce électronique incitent l’ensemble des acteurs économiques, particulièrement ceux travaillant en réseaux, à s’intéresser à un développement de leur activité sous l’angle Internet.

Le commerce électronique est- il un danger pour les réseaux de distribution ou au contraire doit-il être considéré comme une méthode de vente complémentaire?

Dans le cadre d’un réseau de distribution sélective, la société principale qui gère le réseau ne peut interdire à ses distributeurs la revente des produits via une plate-forme internet sans apporter de raison objective au regard du droit de la concurrence justifiant une telle interdiction.

La distribution sélective désigne un système par lequel les fournisseurs sélectionnent leurs distributeurs sur la base de critères définis, ces derniers s’engageant à ne pas vendre ces biens ou services à des distributeurs non agréés.

C’est un système limitant le nombre de distributeurs, sans exclusivité territoriale et qui pose la question de la distribution sélective sur internet. L’efficacité d’un réseau de distribution sélective dépend de son étanchéité juridique et commerciale.

Aucune règle spécifique ne définit les conditions dans lesquelles des produits distribués par un réseau de distribution sélective peuvent être promus et/ou vendus sur Internet et cela pose un problème pour la distribution sélective sur internet.

La distribution sélective sur internet peut permettre à son animateur de contrôler la distribution de ses produits notamment en choisissant ses revendeurs et en contrôlant la qualité des prestations associées à la vente.

Le développement de la vente sur internet a nécessairement des répercussions sur le fonctionnement traditionnel des réseaux de distribution.

Force est de constater que la vente sur internet est susceptible de perturber cet ordre établi : qui est l’acheteur (consommateur, membre du même réseau ou distributeur parallèle) ? Où réside-t-il ? Comment faire respecter l’image de la marque du réseau ? Comment dispenser des conseils personnalisés à l’occasion de la vente, par exemple, de produits de haute technicité? Comment organiser un service de livraison, voire d’installation, puis un service après-vente lorsque l’acheteur peut être domicilié n’importe où ?

Tous les fournisseurs distribuant leurs produits en réseau (franchise, concession, distribution sélective …) n’ont pas appréhendé de la même façon les problématiques posées par la distribution sélective sur internet.

Certains ont souhaité purement et simplement interdire à leurs distributeurs la vente sur internet. D’autres l’ont autorisée sous condition. Enfin, certains ont développé leurs propres sites de vente, alors même qu’ils avaient accordé des exclusivités territoriales à leurs distributeurs, ces derniers ayant pu y voir une forme de concurrence déloyale.

S’agissant de la distribution sélective sur internet, l’article L. 442-2 du Code de commerce dispose que : « Engage la responsabilité de son auteur et l’oblige à réparer le préjudice causé le fait, par toute personne exerçant des activités de production, de distribution ou de services de participer directement ou indirectement à la violation de l’interdiction de revente hors réseau faite au distributeur lié par un accord de distribution sélective ou exclusive exempté au titre des règles applicables du droit de la concurrence. » (1)

Les perspectives offertes par le commerce électronique incitent l’ensemble des acteurs économiques, particulièrement ceux travaillant en réseaux, à s’intéresser à un développement de leur activité sous l’angle Internet.

Le commerce électronique est- il un danger pour les réseaux de distribution ou au contraire doit-il être considéré comme une méthode de vente complémentaire?

Lorsque le contrat prohibe la vente à distance ou vente par correspondance, on peut considérer que le commerce électronique est exclu implicitement. Le e-business doit être assimilé à une vente à distance.

Une clause d’interdiction ne sera d’ailleurs pas restrictive de la concurrence si la nature des produits la justifie (technicité, qualité…).ou /et par l’absence de mise en valeur des produits, ou l’impossibilité de fournir un conseil personnalisé au client potentiel. (article 85 § 1 du Traité de Rome)

Dans le cas où les accords contractuels ne mentionnent rien sur la question, on prévoit généralement la distribution dans un point de vente déterminé, avec les conditions de présentation des produits.

Il est donc question de savoir si le promoteur peut interdire d’emblée la vente en ligne : comme le souligne Maître Verbiest dans un article paru en avril 2000 sur Juriscom, le cas n’est pas théorique et s’est présenté pour Séphora, contraint de limiter l’accès à son site marchand aux résidents américain après avoir été sommé par ses partenaires fournisseurs avec lesquels la société est liée par des accords exclusifs.

La jurisprudence communautaire s’est également prononcée (affaires Saint-Laurent et Givenchy du TPICE) contre l’interdiction a priori de certaines formes de commercialisation.

En particulier, nombreux sont les contrats de distribution qui mettent à la charge du distributeur une obligation de développement des ventes.

C’est dans cette optique que l’ordonnance du tribunal de commerce de Pontoise en date du 15 avril 1999 avait été rendue dans une affaire Pierre Fabre Dermo Cosmétiques c/ M.. A. B. : les juges avaient estimé en effet qu’« Internet s’ajoute aux modalités traditionnelles… » de commercialisation des produits.

En ce sens, on peut faire un parallèle avec la décision en référé du TGI de Bordeaux du 12 mai 1999 dans une affaire Norwich Union France c/ Peytureau .

L’ouverture d’un site vitrine (donc non marchand) sous un nom de domaine utilisant la dénomination sociale de la compagnie employant l’auteur n’est à l’origine d’aucun préjudice pour Norwich Union France, car le site était totalement consacré à la promotion des produits Norwich Union.

Cela dit, depuis lors, un arrêt d’appel (certes en référé) a été rendu dans l’affaire Fabre infirmant la décision de première instance et sa conception extensive.

Le fondement de l’arrêt repose sur les conditions générales de vente, les prérogatives du promoteur du réseau et non les relations contractuelles et les obligations du distributeur incriminé.

D’ailleurs, dans un arrêt rendu le 13 septembre 2017,  la Cour de cassation a reconnu aux fournisseurs dans un réseau de distribution sélective, le droit d’imposer à leurs distributeurs, sous certaines conditions, des clauses interdisant la vente de leurs produits sur des plateformes en ligne non agrées. (2)

I. L’enseigne, la marque et le nom de domaine

Le droit commun de la concession exclusive met à la charge du concédant une obligation relative à la marque et à l’enseigne.

En effet, il doit mettre en œuvre toutes les voies de droit dont il dispose pour garantir au distributeur l’exclusivité de ses signes distinctifs dans le secteur géographique qui lui a été consenti, sous peine d’engager sa responsabilité contractuelle.

Ainsi, serait responsable celui qui n’a pas agi (en référé) pour obtenir la suppression des panneaux de sa marque encore utilisés par l’ancien distributeur (Cour de cassation, Chambre commerciale 4/2/1986).

En principe, le concédant doit recourir à l’action en concurrence déloyale pour mettre fin à ce type d’agissements et remplir son obligation de garantir une jouissance paisible à son cocontractant distributeur.

Internet pose le problème du nom de domaine : en effet, on peut considérer que le nom de domaine est en fait l’enseigne d’une boutique virtuelle.

Par conséquent, on peut se demander si le site d’un distributeur indépendant peut ou non inclure la marque du concédant.

Les juges du fond ont répondu négativement le 20 mars 2000 à cette question dans l’affaire Sony Corporation, SA Sony France / Sarl Alifax.) Cela reviendrait en effet à cannibaliser le réseau de distribution du concédant.

II. Le respect de l’exclusivité territoriale

L’obligation de ne pas empiéter sur le secteur géographique attribué au distributeur est mise en danger par l’intégration de l’Internet, y compris dans une optique de communication passive (site vitrine). Le site de commerce électronique est en effet accessible depuis n’importe quel point du globe, donc depuis le territoire concédé aux divers distributeurs.

Comment assurer dans ce cas le respect des obligations liées au territoire géographique ?

Pour chaque distributeur, le manquement à l’obligation de respecter « l’intégrité » du territoire de son confrère, peut entraîner un litige avec le concédant.

Pour ce dernier, sa responsabilité peut être engagée pour n’avoir pas su préserver l’intégrité du territoire de vente de chacun des membres de son réseau.

Il existe, certes, des clauses spécifiques telles que la clause de « clientèle réservée » qui permet au concédant de fournir ses produits sur un territoire concédé, mais à une catégorie particulière de clients, ou à ceux qui figurent sur une liste préétablie et sur laquelle il a obtenu l’accord de son cocontractant.

En outre, depuis l’entrée en vigueur, le 2 décembre 2018, du Règlement UE 2018/302 du 28 février 2018 visant à contrer le blocage géographique injustifié et d’autres formes de discrimination fondées sur la nationalité, le lieu de résidence ou le lieu d’établissement des clients dans le marché intérieur, un professionnel ne peut ni bloquer, ni limiter, par des mesures technologiques, l’accès d’un client à son interface en ligne pour des motifs liés à sa nationalité, à son lieu de résidence ou d’établissement. Ce règlement impacte les distributeurs dans la mesure où il affecte directement leurs relations avec les consommateurs et, indirectement, quant aux obligations pouvant être imposées, en amont, dans le contrat de distribution exclusive. (3)

Conclusion

Le développement d’une politique de communication ciblée « web » du distributeur suppose un audit juridique précis des critères de distribution sur la nature du réseau et sur les contrats en cours afin de concevoir un site portail dont les fonctionnalités seraient en rapport avec cet audit ou la possibilité de laisser les distributeurs avoir leur propre site.

Il conviendrait de prévoir tout simplement la possibilité pour chaque distributeur de présenter son offre en ligne par le biais d’un tel site portail et non par le biais de sites propres à chaque distributeur.

Dans cette hypothèse, il faudrait créer un avenant aux contrats de distribution qui comprendrait :

La détermination du type de site des distributeurs et du concédant (vitrine à conseiller dans un premier temps) avec échéancier pour le passage au commerce électronique (le temps de développer un logiciel propriétaire permettant à l’internaute de choisir en ligne et de modifier le produit qui l’intéresse) ;

La détermination de la prise en charge par chaque distributeur de la gestion et du traitement des transactions émanant de leur territoire contractuel

La charte graphique minimum pour chaque « sous-site » permettant de mettre les produits en valeur, de garantir l’image de marque du fabricant, permettant également une égalité de traitement entre les distributeurs (photos, logos…) ;

Une gestion précise des aspects technico-juridiques (travail avec une agence de création de sites uniques qui propose ensuite à chaque distributeur, ou une liberté de choix de l’agence) incluant les notions de :

  • Noms de domaine,
  • Méta-tags,
  • Mots clés vendus par les régies online,
  • Référencement et mention de la qualité du titulaire du site,
  • Politique de liens.

Évidemment, l’échec de la négociation avec un seul distributeur mettrait en péril l’ensemble de l’opération et poserait de réels problèmes au circuit de distribution concerné.

Pour lire une version plus complète de cet article sur comment intégrer les réseaux de distribution exclusive et internet , cliquez sur ce lien

Sources :

Par Commerce electronique, internet-et-droit • Tags: , , ,

LA PROTECTION DES DONNÉES MÉDICALES

Aujourd’hui, la quasi-totalité des objets dispose d’une connexion à l’Internet. Dans cette société du tout connecté où les flux sont incessants, une catégorie de données reste cependant sujette à une attention particulière : les données dites personnelles, regroupant en leur sein les données médicales.

NOUVEAU : Utilisez nos services pour faire protéger vos données personnelles et/ ou médicales en passant par le formulaire !

Tout d’abord, il apparaît plus aisé de définir plus précisément ce que l’on entend par une donnée médicale. Dans un premier temps, cette donnée médicale n’est pas nécessairement informatique : une donnée médicale peut en effet être archivée sous la forme d’un écrit.

Il en va ainsi des certificats médicaux ou des ordonnances. De plus, dans le cas où un professionnel de santé décide de recourir à l’utilisation d’un magnétophone pour enregistrer des constats sur l’état de santé d’un de ses patients, on est également en présence de données médicales. Ainsi, le terme de donnée médicale englobe tout ce qui a attrait à une méthode de conservation de l’état de santé d’un patient : la question de la protection des données médicales, avec les règles de déontologie et de respect de la vie privée s’y afférant, n’est donc pas récente.

La CNIL est revenue récemment sur la définition des données médicales, notamment au regard du grand texte européen en matière de protection des données personnelles qui s’apprête à entrer en vigueur. Elle affirme que « Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne ».

Besoin de l’aide d’un avocat pour un problème de protection de données ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

D’ailleurs, cette définition est d’autant plus intéressante qu’aucun texte juridique européen, jusqu’alors, n’encadrait précisément le contour des données médicales, travail laissé au juge lors de ses rendus.

Une telle définition apparaît des plus nécessaires puisque nos données médicales transitent effectivement par le biais des nouvelles technologies, les services de santé (comme presque tous les domaines sociaux aujourd’hui d’ailleurs) étant progressivement dématérialisés.

Or l’évolution fulgurante des technologies informatiques peut constituer un danger pour la protection des données médicales. Ainsi, ces données médicales peuvent se voir perdues, corrompues, détruites, voire même détournées. Ainsi, le récent cas de suicide du prévenu suspecté d’avoir volé le dossier médical de Michael Schumacher rappelle que les données médicales, du fait de leur caractère éminemment personnel, restent des données sensibles devant faire l’objet d’une protection particulière.

Force est de constater que la France est pionnière en la matière puisqu’elle dispose de ce fait d’un régime juridique protégeant l’ensemble des données personnelles. Ce régime date de la loi du 06 janvier 1978. L’objectif principal de cette loi est d’assurer la sécurité du traitement des données à caractère personnel. Parmi ces dernières on y trouve les données médicales qui font également l’objet de dispositions particulières. En effet, le législateur a jugé que ces données étant sensibles par nature, il était nécessaire d’y accorder une protection spécifique. Ainsi, le code de la santé publique protège les données médicales, et notamment leur traitement par les professionnels de santé.

Une donnée informatique est, par définition, immatérielle. Elle suppose donc une localisation sur un serveur. Hélas, dans le cas où un ressortissant français tombe malade dans un pays étranger et est soigné là bas, ses données médicales ne seront pas situées sur le territoire national. La loi française ne s’appliquant que sur le territoire français, le régime de protection des données médicales pourra se voir alors modifié, et certaines atteintes à la confidentialité de données médicales seront peut-être tolérées alors qu’elles constituent une infraction au droit français.

Dès lors, quelle est la réelle portée juridique de la protection des données médicales à la fois sur le plan national et international ? L’évolution récente de certaines technologies informatiques peut-elle rentrer en contradiction avec la confidentialité de données si sensibles ?

I. Une protection des données médicales encadrée au plan national

La France possède un régime juridique particulier sur la protection des données médicales particulièrement efficace. De plus, la CNIL assure une surveillance particulière des dites données et elle délivre régulièrement des informations pratiques destinées à renseigner les professionnels de la santé.

A. Un cadre juridique et réglementaire efficace

La France s’est doté la première d’un régime juridique spécifique aux données personnelles et à l’utilisation des données personnelles. En effet, la loi dite informatique et Liberté promulguée le 06 janvier 1978 a pour objet spécifique de protéger le traitement des données à caractère personnel.

Le caractère sensible de cette catégorie de données, qui permet ainsi de catégoriser les individus en fonction de leurs ethnie, sexe, état de santé, etc.…, justifie à lui seul la mise en place d’une protection. Si cette loi s’attache à traiter de la protection de l’ensemble des données dites à caractère personnel, la loi dite « Kouchner » promulguée le 4 mars 2002 a pour objet de s’intéresser particulièrement aux données médicales.

A cet effet, l’article L. 1111-7 du code de la santé publique met en place pour les patients les conditions d’accès à leurs données relatives à leur santé. Lorsqu’un individu souhaite avoir accès à n’importe quel document dont le contenu est relatif à son état de santé (par exemple une feuille de consultation ou une ordonnance médicale), ce dernier peut demander directement ou par le biais d’un médecin l’accès à ce document. Il est une fois de plus intéressant de noter que la loi rappelle le caractère à la fois informatique ou non d’une donnée dite médicale : l’interprétation de la loi ne peut ainsi pas permettre d’abus de langage allant dans le sens d’une stricte interprétation informatique du terme de « donnée ».

Toutefois, l’article L. 1111-8 du code de la santé publique s’attache plus précisément à la licéité de l’hébergement et du traitement de données de santé. Ainsi, dans le cadre d’opérations de soins ou de diagnostic, les données de santé récupérées peuvent uniquement être hébergées auprès de personnes physiques ou morales qui sont agréées à cet effet.

D’ailleurs, cet hébergement de donnée de santé ne peut être effectué qu’après consentement exprès de la personne concernée. Enfin, les dispositions du code de la santé publique rappellent que le traitement de telles données doit évidemment respecter les conditions posées par la loi informatique et Libertés. Ainsi, aux vues de tout ce qui a été énoncé, la France s’est progressivement dotée au fur et à mesure des années d’outils juridiques efficaces dans la protection et surtout dans la prévention des atteintes potentielles portées aux données médicales.

Les professionnels de la santé sont ainsi encadrés lorsqu’ils sont amenés à traiter avec des données médicales. Par exemple, un pharmacien stocke des données issues de la lecture d’une carte vitale d’un patient sur des serveurs spécialement habilités à recevoir des données à caractère personnel. De plus, le secret médical imposé par la déontologie des professions relatives au milieu de la santé interdit toute divulgation de donnée médicale à autrui sans accord de ce dernier ou au détriment des conditions posées par la loi.

A ce titre, même si la loi pose des interdictions et des conditions de traitement des données médicales qui sont claires, le rôle de la CNIL dans le traitement de telles données reste non négligeable puisqu’elle assure un suivi « pratique » dans le suivi des données.

Sur ce point du traitement des données médicales d’ailleurs, le cadre légal en vigueur s’est doté, depuis le 26 janvier 2016, de nouvelles dispositions grâce l’entrée en vigueur de la « loi de modernisation de notre système de santé ».

S’agissant de la grande nouveauté de ce texte, elle figure essentiellement au niveau l’allègement des coûts de procédures d’agrément pour l’Etat, qui délègue désormais ce rôle à des organismes certificateurs privés exerçant par voie d’audit.

De plus, on parle désormais du secteur « médico-social » concerné par ces dispositions, ouvrant plus largement la voie à un tel contrôle (incluant de fait les établissements pour personnes âgées, les foyers d’accueil, etc.).

Le 25 mai 2018 est entrée en vigueur une nouvelle réglementation qui traite notamment des données personnelles. Il s’agit du règlement général sur la protection des données, RGPD. Entre autres, Il prévoit un allègement des formalités préalables. Pour certains traitements comportant des données de santé, les formalités à effectuer auprès de la CNIL sont ainsi supprimées.

Au total 9 traitements bénéficient de cette suppression de formalités comme les traitements nécessaires à la sauvegarde de la vie humaine, les traitements pour lesquels la personne concernée a donné son consentement exprès ou encore les traitements nécessaires à la médecine préventive.

Ces interventions médicales pourront donc être effectuées sans aucune formalité auprès de la CNIL (Commission nationale de l’informatique et des libertés). En revanche le responsable doit pouvoir démontrer à tout moment la conformité de ces actes avec le RGPD en retraçant toutes les démarches entreprises. Un certain nombre d’obligations lui incombera de ce fait. Un registre des traitements récapitulant l’ensemble des traitements doit être mis en place. Pour les traitements présentant un risque élevé une analyse d’impact doit être menée. L’information des personnes doit être encadrée et l’effectivité de leurs droits doit être assurée.

B. Des recommandations pratiques délivrées par la CNIL

La CNIL a pour objet spécifique de protéger les données personnelles ainsi que de préserver les libertés individuelles de chaque individu. À ce titre, la CNIL accorde une attention particulière à la manière dont sont effectués des traitements de données à caractère personnel.

Ainsi, la CNIL utilise souvent des recommandations faites aux entreprises ou aux professionnels concernés afin de rappeler les pratiques idéales à effectuer suivant la situation. Dans le cas de la protection des données médicales, la CNIL s’est prononcée sur les modalités optimales à adopter dans le cas où un professionnel de santé héberge ou traite des données médicales.

La CNIL commence par rappeler la nécessité première de maintenir le degré de confidentialité des données de santé au même rang que celui du secret médical. Pour se faire, la CNIL donne des indications d’ordre technique qui, si elles peuvent paraître acquises pour de plus en plus de gens aujourd’hui au regard de l’ouverture du milieu informatique au grand public, reste nécessaire, voire indispensables dans certains cas, pour s’assurer d’un minimum de sécurité sur les données hébergées.

Dans un premier temps, la CNIL donne des recommandations relatives à la sécurité informatique minimale à adopter : un mot de passe doit être mis en place sur l’ordinateur et ce dernier doit faire l’objet d’un arrêt complet à chaque absence du professionnel de santé.

Il est recommandé par la CNIL de ne jamais faire de copie de son mot de passe pouvant être lu ou intercepté par un tiers non autorisé à accéder au système informatique. A ce titre, rappelons simplement que la simple intrusion dans un système informatique sans autorisation constitue à lui seul un délit pénal. De plus, la CNIL recommande pour le professionnel médical de disposer de supports de sauvegardes externes permettant d’éviter la perte de données.

Si un client venait à vouloir consulter ses données médicales et que le professionnel est dans l’incapacité de lui fournir, il se rendrait coupable d’un acte illicite, et ce même si la perte de données est liée à un problème technique ou ne dépendant pas de sa volonté.

Si la CNIL prend la peine de rappeler des points qu’elle considère elle-même comme étant des dispositions de sécurité élémentaires, elle s’attarde également sur le cas où un traitement de données médicales fait l’objet d’une mise en réseau.

Dans un tel cas de figure, la CNIL recommande alors une gestion plus poussée des mots de passe : ces derniers doivent être distincts suivant l’utilisateur qui utilise l’ordinateur (par exemple chaque pharmacien devrait, pour un unique poste informatique dans un office, avoir son propre identifiant et son propre mot de passe) et trois erreurs consécutives doivent, à l’instar des erreurs lors de l’entrée d’un code PIN erroné, bloquer le système.

De plus, la CNIL ne recommande pas à ce qu’un compte d’un utilisateur puisse être ouvert sur plusieurs postes différents : cela signifie ainsi que le professionnel médical n’est pas présent devant l’un de ses postes, ce qui rend accessible les données à un tiers. De plus, les données médicales doivent faire l’objet d’un cryptage : c’est obligatoire pour les données personnelles. Ainsi, outre une intégrité des données qui doit constamment être vérifiée au plan informatique, la confidentialité de ces dernières doit être assurée par un chiffrement total ou partiel des données nominatives en fonction des cas. Enfin, dans le cas où l’accès au réseau se fait via Internet, un système de pare-feu est hautement recommandé pour prévenir de toute tentative d’interception des données médicales lorsque ces dernières font l’objet d’un flux.

La CNIL délivre également des recommandations à l’égard de ceux qui traitent ces données de santé notamment en ce qui concerne l’information due aux personnes dont les données sont collectées. Cette information est obligatoire afin que ces personnes conservent la maîtrise de leurs données. Cette obligation est prévue par le RGPD.

Ainsi c’est au responsable de traitement d’informer les personnes sur le traitement de leurs données. Il est nécessaire que cette information soit divulguée de façon concise, transparente, compréhensible et aisément accessible. Le but étant qu’elle soit le plus intelligible possible notamment pour le grand public. Pour satisfaire cette condition, il faudra aller à l’essentiel tout en faisant en sorte que toutes les mentions obligatoires soient dans le document servant à la délivrance de l’information.

Le responsable de traitement est libre quant au support choisi pour délivrer l’information. Toutefois certains supports sont également plus favorables à la compréhension de l’information par le public. Certaines techniques peuvent aussi être utilisées pour atteindre cet objectif comme l’utilisation de pictogrammes, le surlignage des informations importantes ou le recours à la vidéo.

L’information doit aussi être adaptée à la pathologie de la personne, à son âge et aux circonstances dans lesquelles les données ont été recueillies. Les mineurs doivent ainsi bénéficier d’une information spécifique tout comme les personnes vulnérables.

Il convient de rappeler qu’en mars 2021, un fichier contenant les données médicales de près de 500 000 personnes a été publié en ligne à leur insu. À la suite de cela, le tribunal judiciaire de Paris, le 04 mars 2021, avait ordonné le blocage sans délai de l’accès au site hébergeant le fichier en question aux principaux fournisseurs français d’accès à internet.

En septembre 2021, la CNIL a été informée de la fuite de données de l’Assistance Publique-Hôpitaux de Paris (AP-HP) qui concernent 1,4 million de personnes testées contre la COVID-19 en 2020. En outre, le secrétaire d’État au Numérique Cédric O avait expliqué le 17 février 2021, devant l’Assemblée nationale que, désormais, une cyberattaque visant un hôpital a lieu chaque semaine.

Récemment, lors du dernier Forum international de la cybersécurité (FIC) à Lille, les experts ont réaffirmé qu’en matière de santé, les règles de sécurité informatique sont insuffisamment appliquées. A cet égard, plusieurs failles ont été mises en exergue telles que les compétences insuffisantes en matière de cybersécurité chez les sous-traitants des établissements médicaux, les logiciels de santé dépassés en matière de cybersécurité et les systèmes d’information qui ne sont pas actualisés depuis des années.

Bien que la France dispose d’un arsenal protecteur conséquent pour assurer la confidentialité et l’intégrité des données médicales, l’internet n’a pas de frontières, et certaines données peuvent être amenées à transiter dans des états étrangers. La protection des données médicales devient alors beaucoup plus incertaine.

II. Une protection des données médicales incertaine au plan international

La loi française n’est applicable en France : il s’agit du principe de territorialité des lois qui reste immuable quel que soit le cas de figure, sauf exception prévue dans des conditions strictes. À ce titre, certaines législations internationales semblent ne pas accorder autant d’importance à la protection des données personnelles. De plus, l’ouverture des réseaux au monde entier amène à un risque : le législateur n’a pas le temps d’adapter la loi à la technique informatique.

A. Une absence de concertation internationale préjudiciable

Il est à noter que la majorité des autres états étrangers n’adopte pas de position hostile par rapport à la protection des données personnelles, bien au contraire. Ainsi, concernant les états européens, la plupart de ces derniers ont adopté une CNIL (ou un équivalent) permettant ainsi une certaine uniformisation de la protection des données personnelles, et donc par ce biais des données médicales.

Lorsqu’un traitement de données personnelles d’un citoyen français doit être effectué dans un pays étranger, un accord de la CNIL est obligatoire. Il reste assez rare que des données médicales soient transférées sans raison précise dans des serveurs étrangers. Cependant, il existe des cas de figure où des données médicales d’un ressortissant français peuvent être amenées à être traitées dans un pays étranger à l’Union européenne.

L’exemple des États-Unis constitue peut-être le meilleur exemple de risque d’atteinte à la protection des données médicales d’un citoyen français. Prenons le cas où lors du séjour d’un français aux États-Unis, ce dernier doit subir une hospitalisation imprévue dans un établissement de santé américain. Des feuilles de soin sont alors créées et l’état de santé du patient français se voit consigné (par écrit ou par ordinateur : encore une fois cela reste des données). Théoriquement, et dans la grande majorité des cas, les données médicales des patients français n’ont aucune raison d’être détournées de leur utilisation.

Or, il existe un principe en droit américain nommé le « Patriot Act ». Ce dernier permet au gouvernement américain de disposer librement des données personnelles d’un individu sur le fondement d’une seule suspicion de terrorisme ou d’espionnage. Si l’existence d’un tel principe est hautement compréhensible au regard de l’importance accordée par le gouvernement américain à tout ce qui concerne la sécurité nationale, le fondement d’une seule suspicion sans autre preuve apparaît bien léger pour assurer une protection des données médicales.

En outre, la cybercriminalité est un rempart à une bonne protection des données médicales lorsque des pare-feu ne sont pas suffisamment élaborés pour prévenir de telles attaques. Ainsi, entre les mois d’avril et juin 2014, Community Health Systems, un spécialiste de la gestion d’hôpitaux américains, a subi des cyberattaques qui ont subtilisé plusieurs millions de données personnelles. S’il n’est fait état d’aucune subtilisation de données médicales au sein des données volées, cette possibilité relance la nécessité d’une protection informatique nécessaire pour se prémunir de ce genre de piratage.

Le gouvernement fédéral américain, en 2021, avait annoncé que les données médicales de plus de 40 millions patients ont été compromises. Il s’agissait de violations de données concernant les informations de santé personnelles et protégées de millions de personnes. Toutes ces violations de données étaient dues à des incidents de piratage au cours desquels des personnes non autorisées ont eu accès à des réseaux de santé où des données de santé électroniques étaient stockées.

Que ce soit en matière de piratage, de législation étrangère moins regardante sur la protection des données personnelles ou encore sur l’absence de contrôle d’un patient français sur des données de santé qui seraient restées à l’étranger, la protection des données médicales à l’échelle internationale apparaît encore incertaine. De plus, la technique informatique est de plus en plus avancée et complexe, ce qui ralentit encore davantage une sécurité juridique constante et uniforme.

B. Un état technique avancé, ou le risque d’un retard juridique

Il apparaît pratiquement impossible de faire disparaître la carte vitale du système médical français : la gestion des données de santé apparaît bien trop longue au regard du nombre de patients à gérer. À ce titre, l’évolution informatique mêlée à des impératifs de gestion médicale ne pose pas de problème juridique en soi.

Néanmoins, des technologies nouvelles ne sont pas encore appréhendées par la loi. Il en va par exemple du Cloud computing. Le Cloud, ou l’informatique en nuage sont un système permettant de stocker des données sur des serveurs distants. Ainsi, aucun stockage physique n’est effectué sur le disque dur de l’ordinateur et tout se retrouve localisé dans des datacenters qui peuvent être localisés dans des pays étrangers. Certaines entreprises louent d’ailleurs des services de Cloud à des professionnels. Or dans le cas où un professionnel médical stockerait des données de santé de cette manière, outre un accord de la CNIL nécessaire, que se passe-t-il dans le cas où un patient souhaite avoir accès à ses données de santé?

Se pose alors la question de savoir si le médecin intermédiaire à qui la demande est effectuée doit traiter avec le fournisseur de service Cloud pour les obtenir, ou appartient-il au fournisseur d’avoir une telle responsabilité? De plus, lorsque des données, notamment personnelles, se retrouvent massivement stockées en un point physique fixe, les risques de cyberattaques se retrouvent augmentés.

En 2009, le gouvernement français avait élaboré le projet « Andromède » qui prévoit de stocker sous la forme d’un « Cloud souverain » les données nationales du gouvernement, de son administration et d’autres entreprises. Ce projet permettrait ainsi d’alléger considérablement les risques associés à une « volatilité » des données que l’on peut constater aujourd’hui.

En effet, puisque ces dernières sont toutes sous l’égide de la loi française, aucun problème de localisation des serveurs ne peut être relevé et le travail de surveillance de la CNIL serait considérablement allégé. D’ailleurs, bien que les données médicales ne semblent pas faire l’objet d’un stockage massif dans des serveurs Cloud étrangers, la question mérite néanmoins réflexion en ce que les dispositions relatives au bon traitement des données médicales par le droit français se voient d’un coup quasiment réduit à néant. Enfin, une législation numérique européenne serait la bienvenue puisque les données médicales se verraient enfin asservies à un régime juridique dans l’ensemble de l’Europe.

Pour lire une version plus complète de cet article sur la protection des données médicales, cliquer

Sources :

Par internet-et-droit • Tags: , , ,

L’USAGE D’INTERNET AU TRAVAIL

Aujourd’hui, internet demeure un outil important mis à la disposition de l’employé par l’employeur. Internet sert, dans une certaine mesure, à la réalisation du travail par un salarié. C’est la raison fondamentale derrière l’admission de l’usage d’internet au travail. Cependant, l’usage d’internet au travail peut poser problème. 

NOUVEAU : Utilisez nos services pour vous faire aider en cas de problèmes liés au télétravail en passant par le formulaire !

C’est le cas lorsque le salarié va utiliser sa connexion internet pour autre chose que le travail. La jurisprudence en droit du travail est d’ailleurs fournie concernant l’usage d’internet au travail. Un usage abusif d’internet au travail posera forcément problème à l’employeur. Des licenciements ont même déjà été prononcés sur la base de l’usage d’internet au travail. Le débat concernant la validité de tels licenciements reste néanmoins ouvert.

L’usage d’internet au travail impose à l’employeur d’adapter son règlement intérieur à la charte informatique notamment. Quant aux employés, certaines règles d’ordre plus général s’imposent également et sont issues notamment de la jurisprudence toujours plus abondante à sujet.

En outre, des dispositions contenues dans le Code du travail et dans le Code pénal viennent encadrer l’usage d’Internet, afin de créer un équilibre dans les relations de travail que pourrait déstabiliser Internet. L’usage d’internet au travail représente une question sérieuse qui doit être élucidée. Il faudra aboutir à une conjugaison parfaite de l’utilisation d’internet faite par le salarié au travail avec les obligations concernant l’usage d’internet qui auront été posées par l’employeur.

Cela étant, la possibilité d’utiliser Internet au travail n’est pas systématique. L’employeur n’est pas soumis à une obligation de fournir un poste de travail avec Internet. Pour autant, l’article L4121-2 du Code du travail impose à l’employeur, dans le cadre de ses obligations prévention de la sécurité et de la santé au travail, de « tenir compte de l’état d’évolution de la technique ».

Besoin de l’aide d’un avocat pour un problème de droit du travail ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

L’employeur a l’obligation de fournir au salarié le matériel nécessaire pour effectuer ses missions, ce qui peut tout à fait inclure un accès à Internet. Quoi qu’il en soit, la mise à disposition d’une connexion est devenue très courante.

L’article L1222-1 du Code du travail dispose que « le contrat de travail est exécuté de bonne foi ». De cette obligation générale, qui s’impose d’ailleurs à l’employeur comme à l’employé, découlent certaines obligations générales de loyauté.

L’employeur doit ainsi fournir à son salarié des missions telles qu’elles sont définies dans le contrat de travail et les moyens pour les mener à bien. Parmi ces moyens à mettre à disposition, le poste de travail est un des éléments clés et doit lui-même être adapté. La mise à disposition gratuite d’un ordinateur et d’une connexion à Internet peut donc faire parties des éléments indispensables. Quoi qu’il en soit, l’employeur reste en droit de contrôler ce qui se passe dans ses locaux durant les heures de travail, mais certaines obligations sont à observer par lui.

Le salarié dispose, entre autres droits, d’un droit au respect de sa vie privée. La chambre sociale de la Cour de cassation en a ainsi jugé dans l’arrêt Nikon du 2 octobre 2001. Elle a précisé à cette occasion que ce droit garanti à l’employé l’était également pendant son temps et sur son lieu de travail. Cette jurisprudence est d’application large et s’impose en tant que telle au contrôle que peut effectuer un employeur sur l’usage qui est fait d’Internet.

De même, il est soumis à une obligation d’information des employés des techniques mises en place pour contrôler l’accès à Internet. Les mesures mises en place doivent être proportionnées au but recherché. Enfin, les données ainsi récoltées doivent faire l’objet d’une déclaration auprès de la CNIL (la Commission nationale de l’informatique et des libertés).

En pratique apparaît-il que les juges font une analyse au cas par cas de litiges naissant de l’usage d’Internet au travail. À partir du cadre légal bien ancré aujourd’hui, des adaptations se sont avérées nécessaires afin de ne pas entraver de façon trop importante l’exécution du travail et d’altérer les relations de travail. Pour autant, les limites imposées par le droit et la jurisprudence trouvent toujours à s’appliquer.

Il convient alors de déterminer dans quelle mesure le cadre juridique s’appliquant dans les relations de travail s’adapte à la question particulière de l’usage d’Internet au travail, alors qu’il s’agit d’une sphère pouvant toucher aussi bien au privé qu’au professionnel, les deux pouvant même être liés finalement.

Les règles traditionnelles s’appliquant aux relations de travail posent de nouvelles problématiques une fois appliquées à l’usage d’Internet au travail (I) auxquelles les entreprises ont répondu de différentes façons dans la pratique et que le droit du travail semble vouloir appréhender (II).

I – Les nouvelles problématiques imposées par l’usage d’Internet au travail

Il est possible de déduire deux risques majeurs dans l’usage d’Internet au travail. D’une part, Internet peut être aussi bien un espace privé qu’un espace public et d’autre part son utilisation peut être quantitativement importante ou non. Comme les débats qui ont eu lieu sur l’usage de la ligne téléphonique professionnelle dans un but privé, la question est remise sur le tapis avec Internet. Cette fois, la distinction entre la vie privée et professionnelle est plus délicate (A) tout comme la définition de ce qu’est un usage excessif d’Internet (B)

A – La distinction entre la vie privée et professionnelle rendue difficile

Cette question a été introduite au départ par l’usage des mails. S’il a rapidement été reconnu la possibilité d’avoir recours à sa messagerie électronique professionnelle pour un usage privé, il est toutefois nécessaire d’identifier ces messages comme personnels. Dans le cas contraire, l’employeur peut en contrôler le contenu et en tirer des preuves à l’encontre de l’employé. De même, cet usage à des fins privées doit se faire de façon loyale et ne doit pas non plus être excessif. Les Prud’hommes contrôlent toujours la quantité de courriers électroniques privés.

Néanmoins, la jurisprudence Nikon trouve toujours à s’appliquer et le respect de la vie privée de l’employé passe également par le secret de sa correspondance. Cette dernière s’applique également aux courriers électroniques.

La même logique s’applique d’ailleurs aux fichiers contenus dans l’ordinateur du salarié. Tous peuvent être contrôlés par l’employeur à moins qu’ils ne soient clairement identifiés comme étant privés. Cependant, dans un arrêt du 4 juillet 2012, la chambre sociale de la Cour de cassation a estimé que la dénomination « données personnelles » d’un disque dur ne conférait pas à tout son contenu le caractère de données personnelles. Dans cette même affaire, l’employé avait eu un usage abusif de sa connexion Internet ayant téléchargé de nombreux fichiers à caractère pornographique .

Quant à la distinction entre vie privée et vie professionnelle, il faut souligner que l’employé a acquis un nouveau droit par la loi n° 2016-1088 du 8 aout 2016 relative au travail, à la modernisation du dialogue social et à la sécurisation des parcours professionnels.

C’est le droit à la déconnexion qui l’autorise à ne pas utiliser les outils numériques lorsqu’il n’est plus sur son lieu de travail. Cette loi relève en effet que la frontière entre vie professionnelle et privée est de moins en moins limpide à cause de ces dispositifs connectés. Le temps de travail des salariés se prolonge ainsi avec ces nouvelles technologies. D’autant que ces dernières années leur utilisation s’est grandement développée.

Ainsi, cette mesure permet d’assurer un équilibre entre la vie professionnelle et la vie personnelle et familiale. Cet équilibre est essentiel à la protection de la santé du salarié. Ce droit à la déconnexion s’applique à tous les salariés. Ce sont les entreprises qui doivent mettre en place des instruments servant à réguler l’utilisation de ces technologies.

La mise en œuvre de ce droit se fera par une négociation avec les partenaires sociaux. Les entreprises qui disposent d’un délégué syndical devront mener une négociation afin d’envisager les moyens permettant au salarié d’exercer son droit à la déconnexion. Même si aucun accord n’est trouvé ce droit devra quand même être appliqué dans l’entreprise par l’employeur.

Pour cela, il faut rédiger une charte qui devra prévoir des actions de formation et de sensibilisation à l’usage des outils numériques. Cette mesure sera destinée aux salariés et au personnel d’encadrement et de direction. Elle est entrée en vigueur le 1er janvier 2017.

Désormais, afin d’illustrer l’application de ce droit il est possible pour un salarié de ne pas répondre aux mails après ses heures de travail. Ce droit est consacré par les articles L3121-64, L3121-65 et L2242-17 du Code du travail.

Le contrôle de l’usage d’Internet fait par un employé doit permettre d’apporter une preuve fiable à l’appui de la sanction. Un contrôle du disque dur externe ne permet pas en lui-même une telle preuve. De plus, il convient de rappeler que l’employeur doit avertir ses employés des moyens mis en place pour contrôler leur activité.

Malgré cette précaution, force est de constater que le contrôle de l’usage d’Internet n’est pas aisé. Il ne l’est pas plus lorsqu’il s’agit d’évaluer ce qui peut constituer un usage excessif, les solutions étant là encore construites au cas par cas.

B – La difficulté à déterminer l’usage excessif d’Internet au travail

L’usage inapproprié d’Internet pendant son temps de travail peut porter aussi bien sur des considérations quantitatives que qualitatives. Il n’est pas évident dans ce contexte de délimiter efficacement l’usage d’Internet au travail. Des missions confiées à un salarié dans le cadre de son contrat de travail peuvent tout à fait aujourd’hui imposer qu’il ait fréquemment, voire essentiellement, recours à l’outil informatique et à Internet.

Les juges ont tendance malgré tout à sanctionner un usage quantitativement excessif et sans rapport avec les missions confiées à l’employé. Ainsi, par un arrêt du 18 mars 2009, la chambre sociale de la Cour de cassation a considéré qu’un nombre important de connexions à Internet sans rapport avec son travail constitue une faute grave. L’employé avait cumulé 41 heures de connexion en un mois. Dans le même sens, la même chambre a jugé dans un arrêt du 26 février 2013 qu’était abusif un usage d’Internet pendant son temps de travail à des fins personnelles représentant 10 000 connexions en à peine plus de deux semaines.

En dehors de ces cas qui semblent relativement extrêmes, les juges ont exclu la faute grave pour un usage modéré d’Internet. Dans un arrêt du 15 janvier 2013, la cour d’appel de Bordeaux a ainsi estimé que n’était pas un usage abusif une heure de connexion pour un usage privé par semaine. Le juge de l’appel a tout même pris le soin de préciser que cet usage n’était pas négligeable.

L’employeur, afin de consolider son pouvoir de contrôle et de sanction, a l’obligation de conserver les historiques de navigation. Là encore, ce qui importe pour lui est que le mode de preuve doit être loyal et proportionné.

A cet égard, il est rapidement apparu aux entreprises qu’il fallait prévoir en amont les modalités de contrôle de l’usage d’Internet au travail, notamment par la charte informatique. Plusieurs autres solutions empiriques ont vu le jour avant que le droit n’intervienne dans le domaine.

II – L’appréhension par le droit du travail de la pratique des entreprises

En raison de l’importance de l’usage d’Internet au travail, les entreprises ont dû trouver des solutions pour éviter les excès. Il est, toutefois, possible de trouver aujourd’hui dans le droit des solutions alternatives pour limiter le risque d’un usage indésirable d’Internet pendant son temps de travail. Avant l’apparition de ces dispositions, les entreprises ont tenté de répondre à ce vide juridique (A) et le droit en a tiré des enseignements s’adaptant à la pratique (B).

A – Tentative de réponse à un vide juridique

La CNIL a rappelé, en 2015, que les employeurs pouvaient réguler l’utilisation d’internet par leurs employés. Elle a estimé que « des exigences de sécurité, de prévention ou de contrôle de l’encombrement du réseau peuvent conduire les entreprises ou les administrateurs à mettre en place des outils de contrôle de la messagerie ».

D’ailleurs, en 2018, la CNIL a précisé que l’employeur peut contrôler et limiter l’utilisation d’internet. Elle rajoute que ce contrôle a pour objectif : «

1- D’assurer la sécurité des réseaux qui pourraient subir des attaques (virus, cheval de troie…).

2- De limiter les risques d’abus d’une utilisation trop personnelle d’internet ou de la messagerie (consultation de sa messagerie personnelle, achats de produits, de voyages, discussions sur les réseaux sociaux…). » (1)

Force est de constater que plusieurs solutions ont été mises en place par les entreprises afin de se prémunir des usages excessifs d’Internet par les employés durant leur temps et sur leur lieu de travail. L’une des plus connues et des plus courantes est évidemment de brider la connexion des employés.

Cela étant, cette limitation matérielle ne doit pas conduire à entraver l’employé dans l’exécution de ses missions, puisque l’employeur doit lui fournir les moyens nécessaires pour cela. Autrement dit, une telle solution ne doit pas aboutir à une perte en efficacité des employés.

L’employeur peut également mettre en place un filtrage informatique. Il existe pour cela des logiciels informatiques permettant d’autoriser ou de refuser l’accès à certains sites internet. Toutefois les sites comportant un contenu pédopornographique ou raciste sont beaucoup plus faciles à filtrer que d’autres.

Le contrôle de l’usage d’Internet des salariés obéit à des règles rigoureuses. Les modalités selon lesquelles se fait ce contrôle doivent être inscrites dans le règlement intérieur ou dans la charte informatique, qui est une annexe à ce dernier. Elle est d’ailleurs adoptée selon les mêmes conditions que le règlement intérieur.

Cette charte peut interdire par exemple l’accès à certains types de sites. Pour autant, là encore les juges font une appréciation in-concreto de l’interdiction et de l’application qui en est faite par l’employeur.

En outre, il n’existe pas d’interdiction générale, les employés pouvant se connecter à n’importe quel site, du moment que son contenu est légal. Ainsi, dans deux arrêts du 10 mai 2012, la chambre sociale de la Cour de cassation a jugé que la consultation de sites à caractère pornographique par un employé depuis son ordinateur professionnel et pendant ses heures de travail pouvait être constitutive ou non d’une faute grave. Les juges ont effectivement opéré une analyse in- concreto. Le règlement intérieur, mais également les habitudes au sein de l’entreprise avaient été pris en compte dans les deux cas.

Néanmoins, il faut que l’employeur puisse prouver la faute de son salarié concerné. Dans un arrêt, rendu le 3 octobre 2018, la Cour de cassation avait jugé dans une affaire de licenciement lié à la consultation de sites pornographiques par le salarié que l’imputabilité des faits n’avait pas été établie et que, par conséquent, le licenciement est sans cause réelle et sérieuse.

En l’espèce, la Cour avait estimé que « les codes d’accès de chacun des ordinateurs de la société consistaient dans les simples initiales de leurs utilisateurs habituels respectifs et les doubles des clés de l’ensemble des bureaux étaient également accessibles, de sorte qu’il était possible à n’importe lequel des salariés d’avoir accès au poste informatique du salarié ». (2)

Reste également la possibilité d’une interdiction pure et simple d’Internet, ce qui est devenu difficilement viable aujourd’hui, l’autorisation sans limites n’étant pas non plus envisageable, l’employeur ayant la charge d’assurer la pérennité du réseau de l’entreprise. Des solutions alternatives ont également vu le jour dans le Code du travail et dans la jurisprudence.

B – L’adaptation du droit issu de la pratique

L’une des principales limitations apportées par le droit est la possibilité pour la CNIL de contrôler les entreprises. Elle peut à cette occasion vérifier que les mesures mises en place respectent les prescriptions du Code du travail, mais également les libertés des employés. Elle peut également contrôler que toutes les modalités mises en place sont bien connues des employés. Dans le cas contraire, il s’agit d’une utilisation des données personnelles des employés qui n’est pas autorisée et la CNIL peut mettre en demeure l’entreprise de cesser ses agissements.

De façon plus originale, le Code du travail prévoit depuis 2012 la possibilité de recourir au télétravail. Dans un tel cas, l’employé ne travaille plus dans les locaux de l’entreprise et il peut même utiliser son propre matériel. Là plus encore se pose la question du contrôle du travail du salarié.

Cela étant, il n’est en revanche plus possible pour l’employeur de contrôle l’usage que fait son employé d’Internet, d’autant plus que ce dernier peut tout à fait utiliser son propre matériel. La surveillance que peut effectuer l’employeur doit de toute façon être connue dans ses modalités par le salarié.

L’usage par l’employé de son propre matériel n’est, d’ailleurs, pas réservé aux seuls télétravailleurs. Il est envisageable pour tous les employés, sous certaines conditions, d’avoir recours à leur propre matériel pour réaliser leurs missions.

Il s’avère, à cet égard, que la question du contrôle de l’usage d’Internet est rendue difficile et que le droit n’a pas encore pris en compte cet état de fait. Force est de constater que la jurisprudence de l’arrêt Nikon est toujours applicable, comme dans l’arrêt de la chambre sociale de la Cour de cassation du 12 février 2013, où une clé USB personnelle a pu être contrôlée par l’employeur sans la présence de l’employé, parce qu’elle était connectée à son ordinateur professionnel.

Pour lire une version plus complète de cet article sur internet et les salariés, cliquez

Sources :

Par internet-et-droit

«< 42 43 44 45 46 >»

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

# Newsletter mensuelle

© Murielle Cahen Cabinet d’avocats Paris 2025
Powered by WordPressThemify WordPress Themes