Résultats de recherche pour: contrat

12 Mar 2024

SIGNATURE ELECTRONIQUE

Avec l’augmentation des contrats concluent sur internet, il a fallu accorder une valeur probante aux écrits électroniques. C’est chose faite depuis la loi de mars 2000. Pour avoir confiance dans le système de signature électronique, des moyens de sécurisation ont dû être pensés.

La signature électronique doit regrouper des moyens d’identification et d’authentification sécurisés pour être considérés comme fiables. L’identité du signataire ainsi que l’intégrité du document sont donc sécurisées grâce à la signature électronique. Néanmoins, cet outil n’est pas exempté de certains problèmes.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

La signature électronique est la transposition dans le monde numérique de votre signature manuscrite. Également appelée signature numérique, elle permet de garantir l’intégrité d’un document électronique et authentifie de manière certaine son auteur.

Le nombre d’échanges électroniques ne faisant qu’augmenter, il a été nécessaire de créer un système fiable et sécurisé pour encadrer ces échanges. La signature dispose aujourd’hui d’un cadre juridique. Ce dernier a été grandement mis en place par le législateur européen.

Le décret d’application de la loi de mars 2000 définissait la signature électronique sécurisée comme « une signature électronique qui utilise outre un procédé fiable d’identification, qui est propre au signataire, qui est créé par des moyens que le signataire puisse garder sous son contrôle exclusif, et qui garantit avec l’acte auquel elle s’attache un lien tel que toute modification ultérieure de l’acte soit détectable ».

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Cette loi a conféré aux écrits sous forme électronique la même force probante que les écrits sur support papier, cela est prévu à l’article 1366 du Code civil (anciennement article 1316-1).

Également, l’article 1367 du Code civil dispose des conditions de validité de la signature électronique. Il est précisé que celle-ci est reconnue au même titre que la signature manuscrite dès lors qu’ « elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache » et « la fiabilité du procédé est présumée, jusqu’à preuve contraire, lorsque la signature est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, dans les conditions fixées par décret en Conseil d’État ».

La loi française ainsi que le règlement européen eIDAS prévoit donc la réunion de trois conditions pour qu’une signature électronique soit valable : Elle doit rendre possible l’identification du signataire, de garantir le lien de ce dernier avec l’acte ainsi que l’intégrité de l’acte.

L’adoption de ce règlement a permis d’identifier des choix du niveau de signature, tel que défini par l’eIDAS, en fonction de l’usage, et de l’enjeu du document à signer. Par conséquence, en cas de litige, plus votre signature aura un niveau de fiabilité fort, plus il sera difficile de contester la validité de l’acte signé et les engagements qu’il contient. Selon les cas on choisira le niveau de sécurité adapté

A l’origine, lorsque le gouvernement avait présenté ce projet, il avait reçu de nombreuses critiques. Posant d’importantes questions quant à la sécurité du procédé.

Le décret publié le 31 mars 2001 au journal officiel prévoyait que « la fiabilité d’un procédé de signature électronique est présumée jusqu’à preuve contraire lorsque ce procédé met en œuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l’utilisation d’un certificat qualifié ».

Le règlement européen eIDAS a été adopté le 23 juillet 2014. Il est venu fixer un cadre concernant l’identification électronique ainsi que les services de confiances pour améliorer les transactions électroniques dans le marché intérieur. Il s’agit du règlement n° 910/2014. L’objectif de ce texte est de sécuriser les interactions électroniques entre les entreprises, les citoyens et les pouvoirs publics. Il permet la création d’un cadre juridique commun. L’objectif étant d’augmenter la confiance dans les transactions électroniques. Ce règlement est venu remplacer la directive de 1999. Celle-ci ne prévoyait pas de cadre transfrontalier complet pour des transactions électroniques qui soit sécurisé et simple d’utilisation.

Le décret n° 2017-1416 du 28 septembre 2017 relatif à la signature électronique a permis l’application du règlement eIDAS en droit français. L’article premier de ce règlement prévoit que « La fiabilité d’un procédé de signature électronique est présumée, jusqu’à preuve du contraire, lorsque ce procédé met en œuvre une signature électronique qualifier. Est une signature électronique qualifiée une signature électronique avancée conforme à l’article 26 du règlement susvisé ».

Dès lors qu’un procédé de signature électronique est instauré, un prestataire de services de confiance qualifié et agréé doit être contacté. Le règlement eIDAS prévoit que chaque état membre doit désigner un organe en charge du contrôle de la conformité des services de confiance qualifier. En France, c’est l’ANSSI qui a été désigné. Cette dernière doit établir une liste des prestataires de confiance agréés et qualifiés.

I. Un dispositif sécurisé de création de signature électronique

Il existe qu’une seule façon de signer électroniquement un document : utiliser un logiciel de signature et un certificat électronique. Pour signer numériquement n’importe quel document, il est nécessaire de posséder deux choses : un logiciel de signature électronique et un certificat électronique ayant pour usage la signature numérique.

Pour que le dispositif de création de signature électronique (matériel ou logiciel) soit réputé sécuriser, celui-ci doit comporter différentes garanties, notamment concernant les données de création.

Les données de créations doivent être établies une seule fois. Également, la confidentialité de ces dernières doit être assurée, et elles ne doivent pas être falsifiées et elle doivent être protégées par le signataire contre toute utilisation par des tiers. De plus, le dispositif ne doit pas altérer le contenu de l’acte à signer et ne pas faire obstacle à ce que le signataire en ait une connaissance exacte avant de le signer.

Le règlement eIDAS prévoit trois niveaux de signature électronique. Selon le niveau, le degré de fiabilité sera donc différent.

Le premier niveau est la signature électronique simple. C’est le dispositif de plus fréquemment utilisé, car il est facile d’utilisation. Celle-ci permettra d’identifier le signataire ainsi d’assurer l’intégrité de l’acte en raison d’un fichier de preuve établi au moment de la signature. La valeur probante de la signature électronique simple est faible. En effet, les moyens utilisés pour assurer sa sécurité ainsi que sa fiabilité ne sont pas très importants.

Le second niveau correspond à la signature avancée. Cette dernière est une méthode sécurisée. Le contrôle réalisé sur l’identité du signataire est bien plus important que pour le premier niveau. Un certificat est obligatoire pour attester de l’identité du signataire.

Ces deux premiers niveaux sont les plus utilisés, ils seront notamment utilisés dans les contrats de travail ou encore les contrats commerciaux. Néanmoins, à l’inverse de la signature qualifiée, concernant les deux premiers niveaux, ce sera à celui qui se prévaut d’une telle signature d’en rapporter la preuve de sa fiabilité.

Enfin le niveau le plus élevé correspond à la signature électronique qualifiée. Les moyens d’identification ainsi que d’authentification seront ici très importants. Elle comporte l’utilisation d’un système de signature certifié SSCD. Elle est particulièrement sécurisée, mais sa mise en place doit respecter des obligations très strictes et contraignantes.

Il sera nécessaire d’obtenir un certificat d’identification pour les signatures avancées et qualifiées.

La signature électronique a pour principale avantage des gains temps et d’argent. En effet, c’est un outil au service de la productivité, tant pour l’expéditeur que pour le destinataire. Elle contribue à faciliter l’envoi et l’échange des documents, qui peuvent se faire, par un ordinateur ou un smartphone. Mais aussi, elle accélère la procédure de signature, effectivement, les documents peuvent être signés en quelques secondes. Ils peuvent être aussi parafés simultanément par les parties, plutôt que successivement comme c’est le cas pour le papier.

La signature électronique permet également de suivre en temps réel l’avancement des dossiers. Cela permet également de faire des économies sur l’achat de papier, d’encre et d’impression des documents à signer ainsi que sur les frais d’envoi ou, le cas échéant de déplacement.

Il convient de préciser que la seule signature étant reconnue comme équivalente à la signature manuscrite est la signature qualifiée. Par conséquent, celle-ci bénéficie d’un renversement de la charge de la preuve.

II. Un dispositif de vérification de signature électronique

La signature électronique doit contenir certains éléments. Notamment la clé publique liée à la clé privée du signataire, qui permet de vérifier la signature électronique. Le dispositif de vérification de signature électronique doit être évalué et certifié. Il devra notamment « permettre de garantir l’exactitude de la signature électronique, de déterminer avec certitude le contenu des données signées, de vérifier la durée et la validité du certificat électronique utilisé, l’identité du signataire, etc. ».

En effet, la vérification de la signature repose sur des certificats électroniques qualifiés.

Les certificats électroniques doivent contenir différentes mentions obligatoires telles que « l’identité du prestataire, le nom du signataire, la période de validité du certificat, les conditions d’utilisation du certificat, etc. » également, ces certificats doivent être délivrés par un prestataire de service de certification (PSC), lequel doit offrir un certain nombre de services (annuaire, révocation, horodatage des certificats, etc.) et s’engager sur un certain nombre de garanties (délivrance, fiabilité et prévention contre la falsification des certificats, utilisation de systèmes, produits, procédures sécurisées, conservation des données, personnel qualifié, etc.). Cela permet de garantir la fiabilité de la signature électronique.

Afin de vérifier la fiabilité de la signature électronique, il faut s’assurer de la conformité du certificat. Pour avoir la certitude que l’identité présente dans le certificat est de confiance, il faudra s’assurer de la validité de l’autorité de confiance qui a émis le certificat, la racine du certificat devra être connue et enfin il faudra vérifier que l’usage fait du certificat est approprié

En France c’est donc l’ANSSI qui est en charge d’accorder le statut qualifié aux prestataires de confiance. Le règlement eIDAS est venu mettre en place un processus de qualification pour les prestataires. Un audit devra avoir été réalisé préalablement sur la conformité du prestataire. Selon le résultat de celui-ci, l’ANSSI pourra accorder le statut qualifié. Par la suite, un rapport d’audit concernant la conformité du prestataire devra être réalisé et fourni à l’ANSSI tous les deux ans.

La plupart des logiciels de messagerie modernes prennent en charge les signatures électroniques et les certificats numériques. Ils facilitent la signature des messages sortants et la validation des messages entrants signés électroniquement. Les signatures numériques servent aussi beaucoup à établir la preuve de l’authenticité, de l’intégrité des données et de la non-répudiation des communications et des transactions effectuées par Internet.

Le cadre de la signature électronique pourra être amené à évoluer très prochainement. En effet, le 3 juin 2021, une proposition de révision du règlement eIDAS a été présentée. Cette révision aura pour objet, entre autres, de renforcer la fiabilité des certificats.

Pour lire une version plus complète de cet article sur la signature électronique, cliquez

SOURCES

Par Murielle Cahen • internet-et-droit • • Tags: création, preuve, signature

11 Mar 2024

COMMENT SE DÉFENDRE CONTRE L’ESPIONNAGE INDUSTRIEL ?

Le secret industriel et commercial est une branche du secret des affaires.

Afin d’être performantes et compétitives les entreprises acquièrent un savoir-faire et dans le même temps des connaissances particulières.

Fruit de leur expérience, de leur investissement et de leurs recherches, ces connaissances font souvent l’objet de convoitises, c’est ainsi que s’est développé l’espionnage industriel.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Sur le plan économique, l’espionnage peut se définir comme étant soit l’acquisition et/ou l’interception illicite de secrets d’affaires ou de savoir-faire d’une entreprise rivale. Soit, même si cela est moins couramment répandu, la déstabilisation d’un concurrent par la divulgation publique de son avantage commercial et/ou industriel.

Ces risques se sont démultipliés avec l’arrivée du numérique. Bien qu’offrant de multiples avantages, les entreprises sont plus facilement exposées et plus vulnérables lorsqu’elles manquent de moyens.

Il apparaît alors nécessaire de mettre en place des mesures de protection afin que le savoir-faire, les connaissances spécifiques de l’entreprise restent tenus secrets et que la concurrence entre les entreprises joue librement.

En France, se défendre contre l’espionnage industriel n’est pas chose facile. En effet, plusieurs rapports indiquent que la défense contre l’espionnage industriel est mal faite ou sinon mal assurée. Cette lacune dans le cadre de la défense contre l’espionnage industriel est encore plus grave lorsque l’on compare la France à son voisin d’outre-Atlantique.

Il est facilement possible de remarquer que se défendre contre l’espionnage industriel est plus efficace et plus simple aux États-Unis. Cette nette différence est difficile à expliquer tant l’espionnage industriel est présent en France autant qu’aux États-Unis. Il ne faut oublier que la France est aussi dotée d’entreprises performantes, au même titre que les États-Unis. Conscients de ces lacunes, la doctrine, la jurisprudence ainsi que le législateur ont œuvré pour une meilleure défense contre l’espionnage industriel.

Il est possible de citer à titre d’exemple l’enquête menée par Investiga France, agence d’enquête créée en 1991 et agréée par l’Etat. Une jeune stagiaire chinoise avait été incarcérée en 2005 pour espionnage industriel chez l’équipementier français Valéo pour » abus de confiance « , et » intrusion dans un système automatisé de données » après avoir téléchargé et transmis à un concurrent un volume important de données confidentielles durant son stage.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Également, en 2007, un ingénieur travaillant au sein de l’entreprise Michelin était condamné pour avoir mis en vente des données confidentielles. De telles informations méritent alors protection en ce qu’elles sont susceptibles de permettre au concurrent d’appréhender la stratégie industrielle et commerciale de sa rivale, mais aussi de connaître ses éventuelles faiblesses structurelles.

En 2019, la société Orapi a été condamnée pour espionnage industriel au paiement d’une amende de 80 000 euros. D’autres amendes ont également été prononcées à l’encontre du président-directeur général, du directeur du site de Lisieux ainsi qu’à l’encontre de la responsable marketing. Il était reproché à cette société d’avoir accédé à une base de données sécurisée appartenant à un groupement d’intérêt économique (GIE) dont faisait partie son concurrent et d’avoir téléchargé des fiches techniques et de fiches de sécurité de produits vendus, et ce, grâce à l’appropriation des identifiants appartenant à une ancienne employée. (1)

En effet, l’objectif recherché était la déstabilisation de l’entreprise visée, afin de tirer un profit économique ou industriel de cette situation. L’espionnage industriel est caractérisé par la récupération d’informations stratégiques (du point de vue commercial) de concurrents par des moyens illégaux, allant du piratage au chantage, en passant par la surveillance ou encore la violence.

Dans une autre perspective, il en va même de la sécurité de l’emploi, puisque la compétitivité érodée d’une entreprise, victime d’usurpation ou fuite, risque de se traduire par des licenciements.

En dehors des modes de réservation des créations immatérielles, les données, constitutives du savoir-faire d’une entreprise, ne peuvent faire l’objet d’un droit privatif ; le secret étant alors leur seul moyen de sauvegarde.

Alors que venait d’éclater l’affaire d’espionnage industriel supposé chez Renault, le député UMP du Tarn Bernard Carayon avait déposé, le 12 janvier 2011, la proposition de loi n°1754 sur le secret des affaires, visant à créer un délit d’atteinte aux informations économiques protégées.

Plusieurs tentatives ont été faites depuis 2004 pour instaurer un délit de violation du secret des affaires. Si Carayon, soutenu par quelques 124 députés co-signataires, avait déjà déposé une proposition de loi en 2009, et tenté d’introduire un amendement sur l’intelligence économique dans le projet de loi Loppsi sur la sécurité, la nécessité de renforcer la protection des entreprises contre l‘espionnage industriel ne cesse de se faire sentir.

Il s’agit alors d’instaurer des peines suffisamment sévères pour être dissuasives, à l’image de celles que prévoit le Cohen Act américain, de manière à combler les lacunes du droit français, qui, faute de sanctions précises et sévères, décourage les entreprises à porter les affaires d’espionnage industriel devant les tribunaux. Par ailleurs, les entreprises victimes sont souvent préoccupées par leur réputation et des conséquences d’images qui pourraient découler de ses poursuites. Elles renoncent d’autant plus à agir que la jurisprudence semble peu favorable aux entreprises victimes dans ces affaires (cf Michelin).

La loi loi n° 2018-670 du 30 juillet 2018, dont l’ensemble des dispositions avaient été validées par le Conseil Constitutionnel le 26 juillet 2018 a été adoptée. Cette loi vise à l’instauration d’un cadre commun qui va permettre de lutter et de prévoir des réparations quant aux atteintes au secret des affaires.

La question qui se pose est de savoir si, ces derniers se trouvent correctement protégés par une mise en œuvre du droit commun de la responsabilité délictuelle et contractuelle. Si le droit commun de la responsabilité délictuelle et contractuelle, utilisé par la jurisprudence, offre un cadre adéquat à la protection des secrets de l’entreprise, l’efficacité de la répression de la violation du secret pourrait être améliorée.

I/ La protection contre l’espionnage industriel dans le droit positif

A/ L’inefficacité des articles épars appréhendant l’espionnage industriel

La directive (UE) 2016/943 du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites est intervenue afin d’harmoniser les législations nationales des États membres portant sur la protection des secrets d’affaires dans le cadre de la lutte contre leur divulgation, leur obtention et leur utilisation illicites. A cet égard, l’article 19 de cette directive imposait aux États membres de s’y conformer en adoptant les dispositions législatives, réglementaires et administratives nécessaires, et ce, au plus tard le 9 juin 2018.

Dans ce sens, la loi n° 2018-670 du 30 juillet 2018 transposant la directive européenne n° 2016/943 du 8 juin 2016 a été adoptée. En outre, le décret n° 2018-1126 du 11 décembre 2018 précise les mesures d’application judiciaire de la loi n° 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires. Désormais, la protection du secret des affaires est consacrée dans le Code de commerce. (2)

L’article L. 151-1 du code de commerce introduit une définition sur la base de trois critères cumulatifs. Ainsi, est protégée l’information non généralement aisément accessible ou connue pour les personnes familières de ce type d’informations en raison de leur secteur d’activité, l’information qui revêt une valeur commerciale effective ou potentielle et qui, enfin, fait l’objet de mesures de protection raisonnables visant à en conserver le caractère secret. (3)

Premièrement, dans l’hypothèse où le secret d’affaires divulgué repose sur un mode de protection institué par la propriété intellectuelle, à l’instar d’une marque, de dessins et modèles, d’un brevet, ou d’un droit d’auteur, la loi prévoit expressément les cas spécifiques de protection et de recours pour contrefaçon des droits du titulaire (articles L 111-1, L 112-2, L 335-2 et suivants du Code de la propriété intellectuelle).

Celle-ci permet d’ailleurs de réagir de manière immédiate et efficace en faisant procéder à des mesures conservatoires, selon la procédure de saisie-contrefaçon, avec intervention d’huissiers de justice et de personnes assermentées. Une astreinte financière pourra de même être sollicitée, outre la confiscation. Toutefois, la sanction reste généralement financière, sous forme de dommages et intérêts qui sont parfois peu dissuasifs.

Cela dit, les contrats de travail peuvent contenir des clauses de confidentialité et des clauses de non-concurrence. Ces clauses permettent de sanctionner le salarié qui se livrerait à des activités d’espionnage. On peut également insérer une clause de confidentialité dans les contrats conclus avec des partenaires extérieurs, assortie d’une sanction financière. Toutefois, en l’état actuel du droit, on peut penser que la plupart des affaires se rapportant à l’espionnage industriel seraient tranchées devant le tribunal des Prud’hommes comme une violation du contrat de travail ce qui apparaît être une réponse assez peu efficace au problème.

En dehors de ces hypothèses de titres de propriété intellectuelle et clauses de contrat de travail, il est possible pour l’entreprise victime de s’appuyer sur des qualifications pénales classiques, telles que le vol du matériel supportant le savoir-faire (article 311-1 et suivants du Code pénal), voire l’abus de confiance dans le cadre de relations contractuelles (article 314-1 et suivants du Code pénal).

Des dispositions répressives pouvant permettre aux entreprises de lutter contre la fuite de leurs informations protégées existent également. Tel est le cas de l’article 226-13 du Code pénal qui réprime, d’une peine d’un an d’emprisonnement et de 15 000 euros d’amende, la violation du secret professionnel, par une personne qui en est « dépositaire soit par état ou par profession, soit en raison d’une fonction ou d’une mission temporaire ».

En outre, une seconde disposition répressive pourrait contribuer à la lutte contre la fuite d’informations protégées, en ce qu’elle vise la corruption (article 445-1 et 2 du Code pénal), constituée si la communication des informations avait pour but de faciliter l’activité des concurrents. L’incrimination de la violation du secret de fabrique figure, quant à elle, aux articles L. 621-1 du Code de la propriété intellectuelle et L. 1227-1 du Code du travail, qui la sanctionnent par une peine de deux ans d’emprisonnement et 30 000 euros d’amende.

Seul ce délit de divulgation du secret de fabrication peut encore sembler inclure spécifiquement la violation d’un secret industriel. Il ressort donc de cette énumération qu’il n’existe aucun texte pénal qui sanctionne précisément l’appropriation de biens informationnels par espionnage industriel.

B/ L’insuffisance de la jurisprudence réprimant l’espionnage industriel

Le détenteur d’un secret, à la différence du titulaire d’un droit de propriété intellectuelle, ne dispose pas de l’action en contrefaçon, mais seulement d’une action en responsabilité fondée sur la preuve de la faute de l’usurpateur, au sens des articles 1382 ancien et suivants , devenu article 1240 du Code civil. Il convient de rappeler que tout professionnel a le droit d’attirer la clientèle de ses concurrents. Le préjudice concurrentiel est donc en principe licite. Toutefois, il devient fautif dès lors qu’il a été causé par des moyens déloyaux. Ainsi la jurisprudence affirme que l’action en concurrence déloyale a précisément pour objet d’assurer la protection de celui qui ne peut se prévaloir d’un droit privatif (arrêt de la Chambre commerciale du 3 octobre 1978).

Celui qui appréhende une information confidentielle sans l’accord du détenteur du secret, peut donc voir sa responsabilité engagée sur le fondement de la protection contre la concurrence déloyale. La faute du défendeur consiste alors dans l’accès et le détournement des connaissances contre la volonté de leur détenteur, caractérisant l’espionnage industriel, aussi appelé captation du savoir-faire d’autrui (arrêt de la Cour d’appel de Paris du 9 avril 1992).

À titre d’exemple, est répréhensible de débaucher un employé en lui proposant un salaire très élevé dans le but de connaître les secrets d’un concurrent (arrêt de la Chambre sociale du 7 juillet 1960). De même, fait figure d’acte d’espionnage industriel répréhensible, le fait, pour un commerçant, de se procurer, par l’intermédiaire d’un préposé transportant les produits d’une maison concurrente, la liste des clients de cette dernière (arrêt du TGI de Lure, du 13 avril 1962).

De surcroît, doit être réparé le préjudice moral et économique résultant de la faute d’un concurrent qui a créé cet état en faisant croire à son entourage que l’entreprise assurait mal la protection de certaines de ses données secrètes (arrêt de la Cour d’appel de Versailles du 11 septembre1997).

Le cas d’usurpation répréhensible le plus évident reste celui de personnes extérieures à l’entreprise, pratiquant des actes d’espionnage industriel ou commercial (arrêt de la Cour de Paris, du 9 avril 1992).

Il apparaît cependant important de noter qu’aujourd’hui, avec le numérique il est devenu plus complexe de trouver l’auteur de tels méfaits.

Finalement, la Cour de cassation est prête à appliquer des textes généraux pour sanctionner de tels faits d’appréhension, avec les dispositions relatives à l’abus de confiance sur le détournement de « projet » (arrêt de la Chambre criminelle du 22 septembre 2004), voire même au vol d’informations (arrêt de la Chambre criminelle du 21 janvier 2003).

La jurisprudence relative à la concurrence déloyale permet donc de maintenir le droit pour chaque entreprise de s’informer des initiatives et des innovations de ses concurrents, tout en assurant une certaine prohibition de l’espionnage. Une telle protection s’avère cependant insuffisante, et c’est d’autant plus le cas que les réparations accordées ne se font jamais en nature.

Généralement, la sanction de la violation des secrets de l’entreprise prend seulement une forme indemnitaire, puisqu’une fois dévoilée, l’information confidentielle semble perdre tout intérêt. Cette remarque doit être nuancée. Certes, des informations secrètes peuvent perdre tout intérêt une fois révélées, comme c’est le cas lorsqu’un cadre porte à la connaissance du public les difficultés financières traversées par une entreprise (arrêt de la Chambre sociale du 30 juin 1982).

Ceci étant, l’usurpation d’une donnée secrète ne suppose pas nécessairement sa divulgation, laquelle peut, de toute façon, ne pas faire perdre tout intérêt à cette information.

À titre d’exemple, constitue une information essentielle la liste des composants électroniques disponibles dans le commerce qui, selon les tests menés par une entreprise, sont les seuls à pouvoir résister à certaines contraintes mécaniques. Si la simple lecture de la liste par un concurrent fait perdre à l’entreprise son avantage concurrentiel, l’intérêt de cette information ne se trouve pas épuisé pour autant.

Il convient de noter qu’à chaque expérience menée par le concurrent ayant eu accès à la liste, celui-ci va mettre en œuvre cette connaissance, et c’est donc l’utilisation de la donnée usurpée qui cause à l’entreprise victime le dommage, justifiant de fait une réparation en nature. Elle suppose le prononcé d’une interdiction faite au concurrent ayant usurpé l’information de l’utiliser et de la divulguer ; en plus de la condamnation à l’octroi de dommages-intérêts, pour usurpation de l’information secrète.

Pour le moment, cette solution opportune demeure peu pratiquée en France, puisqu’on ne trouve que très peu d’arrêts prononçant sous astreinte la prohibition de l’utilisation des informations usurpées, afin de réparer le préjudice en nature.

Il convient de citer , parmi ces rares arrêts, celui rendu par la Chambre sociale le 12 mars 1996, où il est défendu à l’usurpateur, sous peine d’astreinte, de procéder à des audits ou d’accomplir des actes de formation pour les anciens clients de la société victime et d’utiliser du matériel et des documents provenant de cette société ; ou encore celui de la Chambre commerciale du 12 déc. 1995, où il est fait interdiction à la société usurpatrice de fabriquer et diffuser le produit.

En revanche, la réparation en nature est très présente dans certains pays étrangers, et en particulier aux États-Unis où les juges n’hésitent pas à interdire la divulgation et l’utilisation de secrets commerciaux, tels des fichiers clients, des méthodes logistiques, des formules chimiques ou même une liste de donneurs de sang. La voie indemnitaire est ainsi loin d’être la seule concevable pour dédommager l’entreprise.

De surcroit, non seulement l’allocation de dommages-intérêts ne permet pas toujours une réparation adéquate, mais surtout l’éventuelle expertise menée pour chiffrer le préjudice peut entraîner un nouveau risque de divulgation.

À l’heure où l’espionnage industriel prend une envergure sans précédent, la sécurité de l’entreprise dans un marché concurrentiel passe par une protection efficace de ses secrets, ce qui suppose, en plus d’un cadre juridique accueillant (comme soulevé dans le I-A), l’assurance d’une sanction efficace de nature à dissuader toute violation des secrets de l’entreprise.

II/ La nécessité d’une défense plus effective contre l’espionnage industriel

A/ L’affaire Michelin, témoin des limites de la protection

Le 21 juin 2010, le Tribunal correctionnel de Clermont-Ferrand par jugement a condamné un ancien salarié de la société Michelin qui avait tenté de vendre des informations obtenues au cours de son contrat de travail à la société Bridgestone, fabricant concurrent de pneumatiques.

Alors qu’il venait de démissionner, l’ex-ingénieur Michelin avait proposé à Bridgestone, en juillet 2007, des données confidentielles en échange de 100 000 livres. Elles portaient notamment sur une nouvelle génération de pneus poids lourds. Bridgestone avait alors prévenu Michelin, conduisant à l’arrestation de « l’espion ».

Plusieurs chefs de poursuite sont retenus et permettent de dresser un panorama des fondements juridiques de protection de l’information et du secret des affaires. Pourtant, compte tenu de la manière dont la société Michelin avait piégé son salarié, ce dernier, invoquant les dispositions de la Convention européenne des droits de l’Homme, a soutenu que le procès était inéquitable en raison de la déloyauté dans la collecte de la preuve.

Michelin était informé par Bridgestone des intentions de son salarié, a créé une adresse e-mail se terminant par « fukuda », pseudonyme qui aurait permis de piéger le salarié.

D’abord, il est reproché au salarié le délit précité d’abus de confiance, dont dispose l’article 314-1 du Code pénal, qui condamne à une peine de cinq ans d’emprisonnement et 375 000 euros d’amende, toute personne ayant détourné au préjudice d’autrui, des fonds, des valeurs ou biens quelconques qui lui ont été remis et qu’elle avait acceptés à charge de les rendre.

Ainsi, le tribunal confirme ainsi la jurisprudence selon laquelle lorsqu’une information remise dans un but déterminé est utilisée à d’autres fins, il y a abus de confiance, et ce peu importe que le bien en cause soit immatériel (arrêt rendu par la Chambre criminelle le 14 novembre 2000 s’agissant d’un numéro de carte bancaire mémorisé pour être réutilisé).

La jurisprudence qui applique, aux affaires d’espionnage industriel, les dispositions précitées réprimant la révélation des secrets de fabrique, notamment l’article L. 1227-1 du Code de travail, prévoyant une peine d’emprisonnement de 2 ans et 30 000 euros d’amende, pour tout directeur ou salarié d’une entreprise qui révélerait ou de tenterait de révéler un secret de fabrication est de même confimée.

Il faut regretter l’étroitesse de la rédaction qui ne couvrirait pas des tiers à l’entreprise comme les stagiaires. De plus, la difficulté juridique tient à la définition du secret de fabrication.

Finalement, le tribunal n’a pas admis l’existence d’un secret de fabrique et sa protection corollaire et a motivé sa position de la manière suivante : « Procédé de fabrication offrant un intérêt pratique ou commercial, tenu secret qu’aucune précision n’a été apportée par la Manufacture Michelin concernant l’éventuel dépôt de brevet pour ce procédé qui était déjà en phase de développement ». Il est exigé comme condition de la protection du secret de fabrique un dépôt de brevet éventuel, alors que ce lien avec la brevetabilité d’un produit peut paraître étonnant en ce qu’il ajoute une condition au texte, ainsi partiellement vidé de sa substance.

Le texte sur le secret de fabrique n’a pas vocation à protéger uniquement l’avant-brevet, mais également des savoir-faire ou techniques qui ne peuvent être brevetés, à la condition qu’ils soient originaux…

Finalement, l’atteinte aux droits fondamentaux de la nation du fait de la « livraison à une entreprise étrangère de renseignements dont l’exploitation et la divulgation sont de nature à porter atteinte aux intérêts fondamentaux de la nation », réprimée par l’article 411-6 du Code pénal, d’une peine de 15 ans de détention criminelle et de 225 000 euros d’amende a pu être évoquée dans l’affaire.

Ce délit consiste à recueillir en vue de livrer à une puissance, entreprise ou organisation étrangère, voire à leurs agents, des procédés ou données informatisées, dont l’exploitation ou la réunion est de nature à porter atteinte aux intérêts fondamentaux de la nation.

Le problème réside dans la difficulté de la réunion des conditions d’application de l’article, d’autant plus que cette disposition ne peut s’appliquer pour sanctionner l’espionnage industriel que dans la seule hypothèse où l’État est mis en danger.

Alors même que cette récente affaire Michelin témoigne de l’existence de divers moyens de protection contre l’espionnage industriel, qu’applique la jurisprudence française, elle fait également apparaître les limites à la protection française constituée autour de dispositions éparses, se révélant, qui plus est, peu efficace au moment de leur mise en œuvre.

B/ La loi relative à la protection des informations économiques comme remède ?

Cette directive intervient sur de nombreux points. Pour commencer, elle définit le secret d’affaires comme des informations non divulguées qui sont secrètes, ont une valeur commerciale et font l’objet de mesures raisonnables de protection pour en assurer la confidentialité.

Les détenteurs de secrets d’affaires sont tenus de prendre des mesures raisonnables pour protéger leur confidentialité, par exemple, en utilisant des accords de confidentialité, des restrictions d’accès, des mesures de sécurité, etc.

Par ailleurs elle interdit l’obtention illicite de secrets d’affaires, y compris le vol, l’espionnage, la corruption ou toute autre pratique déloyale. Elle interdit également leur utilisation et leur divulgation illicites. Des exceptions sont prévues afin de protéger l’intérêt public, notamment en permettant la divulgation des secrets d’affaires dans le cadre de dénonciations d’activités illégales, de la protection des intérêts légitimes des travailleurs ou de l’exercice de la liberté d’expression et d’information.

Enfin la directive établit des mécanismes pour obtenir des mesures provisoires et des réparations en cas de violation des secrets d’affaires, y compris des injonctions pour empêcher l’utilisation ou la divulgation illicite, ainsi que des réparations pour les dommages subis.

En France, la loi n° 2018-670 du 30 juillet 2018 a permis de procéder à la transposition de la directive européenne. En outre, le décret n° 2018-1126 du 11 décembre 2018 précise les mesures d’application judiciaire de la loi n° 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires. Désormais, la protection du secret des affaires est consacrée dans le Code de commerce. (2) Les secrets d’affaires peuvent inclure des informations telles que des formules, des procédés de fabrication, des techniques, des méthodes commerciales, des bases de données, des plans, des études, etc.

Ayant reçu la validation du Conseil constitutionnel, la loi complète le Code de commerce en apportant des précisions quant à l’objet et aux modalités de protection. Par ailleurs elle définit le régime des actions préventives, correctives et compensatoires en cas de violation du secret des affaires et établit des mesures générales de protection applicables devant les juridictions civiles ou commerciales.

L’article L. 151-1 du code de commerce introduit une définition sur la base de trois critères cumulatifs. L’information protégée doit ainsi ne pas être connue ou aisément accessible pour les personnes familières de ce type d’informations en raison de leur secteur d’activité, elle doit revêtir une valeur commerciale effective ou potentielle qui résulte de son caractère secret, et doit faire l’objet de mesures de protection raisonnables pour demeurer secrète, compte tenu des circonstances. (3)

Le dispositif mis en place au travers de cette loi est plus efficace, dotant la justice de moyens répressifs plus importants.

Cette loi prévoit en son article 1er de punir « l’atteinte au secret d’une information à caractère économique protégée » par une peine de trois ans d’emprisonnement et 375 000 euros d’amende ; le double si le responsable de la fuite a agi dans « l’intention de nuire » à l’entreprise ou en a tiré un « profit personnel ».

Une définition plus précise quant à l’objet de la révélation incriminée est expressément fournie. En effet, sont expressément qualifiées d’informations à caractère économique protégées, les informations ne constituant pas des connaissances générales librement accessibles par le public, ayant, directement ou indirectement, une valeur économique pour l’entreprise, et pour la protection desquelles leur détenteur légitime a mis en œuvre des mesures substantielles conformes aux lois et usages, en vue de les tenir secrètes.

Cette loi avait été directement inspirée de l’Economic Espionnage Act américain de 1996 (également appelé Cohen Act), selon lequel « Toute personne qui a accès ou s’approprie sans autorisation des informations représentant une valeur économique, qui ne sont pas dans le domaine public et pour lesquelles une entreprise a pris des mesures de protection substantielles est passible de sanctions pénales et civiles ».

La loi Loppsi 2 , s’ajoutant à ce dispositif, peut faire figure de moyen supplémentaire de lutte contre l’espionnage industriel.

Par ailleurs, il convient de souligner les apports du RGPD et la NIS 2 dans ces domaines. Les nouvelles exigences de sécurité qu’ont imposé ces réglementations entendent protéger les données des entreprises et des personnes physiques afin de garantir leur compétitivité mais également la confidentialité de ces dernières.

Elles s’attèlent à réglementer l’ensemble de la chaîne qui entretient un lien direct ou indirect avec l’entreprise et peut potentiellement provoquer des failles de sécurité.

Protéger la myriade de sous-traitants est une mission très complexe.

Sur le plan pratique, il est institué un « confidentiel entreprise », comme il existe un « confidentiel défense ». Certains documents scientifiques, techniques, commerciaux ou financiers seraient frappés de cette mention, leur divulgation constituant une infraction pénale. Les données protégées sont celles dont la divulgation porterait une atteinte grave aux positions stratégiques, au potentiel ou aux intérêts de l’entreprise, méritant donc au même titre que les brevets industriels de voir leur confidentialité protégée.

Pour lire une version plus complète de cet article sur l’espionnage industriel, cliquez ici

Sources :

: https://actu.fr/normandie/lisieux_14366/lisieux-condamnee-espionnage-industriel-societe-orapi-fait-appel-la-decision_21784189.html
: LOI n° 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires
: https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000037266553/

Par Murielle Cahen • Société et droits • • Tags: contrats, espionnage, industrie, secret

8 Mar 2024

RGPD : la question du consentement

Comme chacun sait, le 25 mai 2018, est une date butoir non seulement pour tous les acteurs du numérique, mais aussi et plus largement pour toutes les entreprises, leur mise en conformité au nouveau grand texte européen en matière de données personnelles devant être assurée d’ici là.

Le règlement général sur la protection des données (« RGPD », ou « GDPR » en anglais), à cette échéance, sera applicable dans tous les États membres de l’Union européenne. Et s’il est des notions essentielles au sein du texte, c’est bien celle du consentement.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de vie privée en passant par le formulaire !

Le droit européen des données personnelles a été longtemps régi par la directive 95/46/CE.

Adoptée en 2016, l’entrée en vigueur de la nouvelle réglementation européenne le 25 mai 2018 a permis d’adapter le droit de l’union aux changements induits par l’explosion de l’informatique et d’Internet.

Afin de garantir l’effectivité des dispositions prévues par ce règlement, toutes les entreprises qui collectent des données personnelles de personnes résidant dans l’Union européenne, sont soumises à la réglementation indépendamment de leur localisation.

Les entreprises se doivent de respecter un certain nombre de principes fondamentaux pour la protection des données, tels que la transparence, la limitation de la finalité, la minimisation des données, l’exactitude et l’intégrité des données, ainsi que la sécurité des données. L’un de ces principes est le consentement, qui est défini comme une indication claire et positive de la volonté de la personne concernée de donner son accord pour le traitement de ses données personnelles.

Le consentement demeure l’une des six bases juridiques permettant de traiter des données à caractère personnel, telles qu’énumérées à l’article 6 du RGPD. Lorsque le responsable de traitement sollicite le consentement, il a l’obligation d’évaluer si celui-ci satisfera à toutes les conditions d’obtention d’un consentement valable. S’il a été obtenu dans le plein respect du RGPD, le consentement est un outil qui confère aux personnes concernées un contrôle sur le traitement éventuel de leurs données à caractère personnel. Dans le cas contraire, le contrôle de la personne concernée devient illusoire et le consentement ne constituera pas une base valable pour le traitement des données, rendant de ce fait l’activité de traitement illicite.

Afin d’aider les responsables de traitement dans le recueil du consentement, le comité européen à la protection des données a élaboré un guide composé de lignes directrices qui permet de saisir les réflexes à adopter lors du recours au consentement comme base légale.

Par conséquent, toute entreprise qui traite des données personnelles de résidents de l’Union européenne devra donc prendre pleinement conscience de la portée des dispositions afférentes au consentement. Il conviendra dans un premier temps d’aborder les obligations liées à la nature même du consentement requis (I) et les obligations relatives à sa valeur (II). Enfin, seront traités les cas particuliers tels que le consentement du mineur (III).

I. Les conditions relatives à la nature du consentement requis

Lorsque la base légale du traitement retenue est le consentement, le RGPD impose que ce dernier soit libre, spécifique, éclairé et univoque.

A) L’obligation d’un consentement libre et éclairé

Auparavant inscrite dans la loi Informatique et Libertés, la notion de consentement a été renforcée par les dispositions du RGPD afin de permettre aux personnes concernées d’exercer un contrôle réel et effectif sur le traitement de leurs données.

Définit par l’article 4 du règlement, le consentement s’apparente à « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

L’article 7 du RGPD précise les conditions applicables au consentement.

Pour être valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente. Au-delà des obligations de transparence prévues aux articles 12, le responsable du traitement se doit fournir la liste d’informations mentionnée à l’article 13 afin de recueillir le consentement éclairé des personnes concernées. Il s’agit de l’identité du responsable du traitement, des finalités poursuivies, des catégories de données collectées, de l’existence d’un droit de retrait du consentement.

Le consentement est considéré comme « libre » lorsque l’utilisateur l’a donné sans pression ni influence extérieure. En outre, le caractère libre du consentement se matérialise par la possibilité de refuser et de le retirer à tout moment. Ce droit de retrait doit pouvoir être exercé dès que la personne concernée le souhaite et aussi simplement que lorsqu’elle a consenti. Le responsable du traitement doit donc mettre en place un moyen simple et efficace pour que l’utilisateur puisse retirer son consentement

Le règlement général sur la protection des données parle du consentement, comme d’une « manifestation de volonté libre […] ». Tout en reprenant le terme, déjà soutenu au sein des textes antérieurs, le législateur a cependant fait le choix d’un encadrement concis, au regard de ce principe.

Ainsi, le texte prévoit que la personne concernée dispose du droit de retirer son consentement quand elle le souhaite, aussi simplement qu’elle l’a accordé, et doit être informée de cette possibilité. Ce retrait ne remet pas en cause, pour autant, la licéité du traitement fondé sur le consentement précédemment donné, pour la période allant jusqu’au dit retrait.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Par ailleurs, cette liberté signifie également que la personne ne doit pas être contrainte « d’abandonner » son consentement, notamment sous le joug du préjudice éventuel qui pourrait découler de son refus : « le consentement est présumé ne pas avoir été donné librement en cas de déséquilibre […] si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice » .

Le texte précise également que « le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel ».

Autrement dit, le retrait du consentement ne doit pas engendrer de frais pour la personne concernée ou encore avoir pour conséquence d’amoindrir le service fourni. Un déséquilibre des rapports de force peut également avoir lieu dans le cadre des relations de travail. Il est en effet peu probable que la personne concernée soit en mesure de refuser de donner son consentement à son employeur concernant le traitement de ses données sans craindre ou encourir des conséquences négatives suite à ce refus.

Par ailleurs, le considérant 43 du RGPD précise qu’un consentement distinct doit être obtenu pour chacune des finalités envisagées « le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel ». Dès lors qu’un traitement comporte plusieurs finalités, les personnes doivent pouvoir consentir indépendamment pour l’une ou l’autre de ces finalités. Elles doivent pouvoir choisir librement les finalités pour lesquelles elles consentent au traitement de leurs données.

Pour rappel, dans une décision du 21 janvier 2019, la Commission nationale de l’informatique et des libertés (CNIL) a prononcé une amende de 50 millions d’euros à l’encontre de Google, pour violation des dispositions du Règlement général sur la protection des données (RGPD).

Dans un premier temps, la formation restreinte de la CNIL a estimé qu’il y avait une violation continue des obligations de transparence et d’information (article 12 du RGPD) lors de la collecte des données personnelles (article 13 et 14 du RGPD) et que les droits des personnes n’était pas assez clair (article 15 à 22 du RGPD).

Elle relève également que des informations essentielles (finalité, durée de conservation ou catégories de données) étaient anormalement disséminées dans de multiples espaces où il était nécessaire d’activer des boutons ou onglets pour prendre connaissance des informations complémentaires.

De plus, la CNIL a remarqué que les informations fournies n’étaient pas suffisamment claires ou compréhensibles par rapport aux aspects massifs et intrusifs des différents traitements réalisés par l’entreprise et que les finalités étaient trop génériques et vagues.

Dans un second temps, la CNIL est venue sanctionner l’absence de base légale pour les traitements de personnalisation de la publicité. La société américaine indiquait se fonder sur le contentement des utilisateurs, or les agents de la Commission ont estimé que celui-ci n’était pas éclairé, spécifié et univoque. En effet, dans le prolongement de ce qui a été exposé précédemment, les informations permettant de justifier du consentement ont été réparties sur plusieurs espaces et documents en plus de présenter des cases précochées au moment de la collecte.

B) L’obligation d’un consentement explicite

Le terme explicite se rapporte à la façon dont le consentement est exprimé par la personne concernée. Il implique que la personne concernée doit formuler une déclaration de consentement exprès.

Le consentement peut se matérialiser de diverses façons. Le considérant 32 du RGPD nous apporte quelques précisions, ainsi « Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale […] Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité ».

Le consentement peut être recueilli au moyen d’une déclaration écrite ou orale (enregistrée), y compris par voie électronique. Ainsi, un consentement tacite n’est pas valable, et le recueil du consentement nécessite une formalisation. Le consentement ne peut donc pas être obtenu par défaut ou par inaction de l’utilisateur. A ce titre, il convient de bien différencier la case cochée par défaut, de la case à cocher, qui constitue en soi l’expression d’un consentement exprès au sens du texte susvisé. Le RGPD n’autorise pas non plus le recours à des options de refus nécessitant une action de la personne concernée pour signaler son refus (par exemple des « cases de refus »).

L’article 4 du Règlement, déjà cité, fait allusion au caractère « express » du consentement, en ce que celui-ci doit découler d’une décision « par laquelle une personne concernée accepte, par une déclaration ou par un acte positif clair » le traitement de ses données.

Cette formulation constitue une différence clef entre les « anciens textes » et celui à paraître, puisque la directive 95/46 omet toute mention en ce sens. A contrario, le RGPD souligne expressément « qu’il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité.

Attention, il convient de bien différencier la case cochée par défaut, de la case à cocher, qui constitue en soi l’expression d’un consentement express au sens du texte susvisé.

De même, l’acceptation d’un contrat ou de conditions générales ne rend pas compte d’un tel consentement éclairé, tandis qu’un accord donné par voie écrite, orale ou électronique vaudra acceptation, tant que le sens d’une telle action n’est pas ambiguë.

Si la pratique du « double opt-in » est avancée par le G29 dans ses conclusions, elle demeure non seulement facultative, mais paraît également inefficace à certains égards : « ce double opt-in […] est lourd à mettre en place. Il est bien évidemment redouté notamment par les professionnels du marketing qui savent que la collecte d’un consentement impliquant deux actions positives d’un prospect ou d’un client est très illusoire », la plupart des utilisateurs étant peu enclins à communiquer deux fois leur consentement.

A l’occasion d’un arrêt du 1^er octobre 2021, la CJUE statue sur la notion de consentement explicite, et rappelle que le recueil du consentement doit être explicite avant tout traitement des données personnelles, ainsi le consentement doit être donné activement et expressément au site web par les utilisateurs. En l’espèce, la CJUE considère que le consentement recueilli n’est pas explicite, car la case était cochée par défaut, et l’utilisateur devait décocher cette case pour refuser de donner son consentement. Par ailleurs, la CJUE dispose dans cet arrêt que le consentement doit être spécifique ce qui n’est pas le cas en l’espèce, car le bouton de participation au jeu promotionnel « ne suffit pas pour considérer que l’utilisateur a valablement donné son consentement au placement de cookies. »

Enfin, il convient de rappeler que le consentement de la personne est systématiquement requis pour certains traitements, encadrés par des dispositions légales spécifiques. L’article 5 de la directive ePrivacy impose ainsi le recours au consentement avant le dépôt de cookies sur le terminal de l’utilisateur. Il en va de même dans le cadre de la prospection électronique (L34-5 du code des postes et télécommunications).

II. Les conditions relatives à la valeur du consentement requis

La valeur du consentement récolté dépendra principalement de deux facteurs : son fondement (A), qui caractérise sa nécessité, et sa matérialisation, nécessaire au responsable de traitement en matière de preuve (B).

A) L’importance du fondement du traitement

Il paraît évident que tous les développements précédents, relatifs au consentement des personnes, s’appliquent avant-même la récolte des données personnelles en question.

Pour autant, il convient de distinguer les différentes situations sur la base desquelles le consentement est requis.

En effet, si l’article 6 du RGPD prévoit le régime général des dispositions relatives au consentement, l’article 7, en son paragraphe 4, dénote d’un régime particulier en ce que « au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat » .

Ainsi, et comme le rappelle assez justement le G29, « si le traitement n’est pas nécessaire à l’exécution du contrat, cette exécution ne peut être conditionnée par le consentement au traitement ».

Selon le G29, les deux bases juridiques que sont le consentement et l’exécution d’un contrat ne doivent pas être amalgamées et fusionnées : la conclusion d’un contrat ne doit pas être conditionné à l’acceptation d’un traitement de données « non nécessaires » à l’exécution d’un contrat.

À l’évidence, un traitement rendu obligatoire pour la bonne exécution d’un contrat n’implique donc pas le recueil du consentement quant à un tel traitement.

Il est essentiel de garder à l’esprit, par ailleurs, que le fondement de la licéité du traitement ne peut être modifié après que les données ont été recueillies et traitées. De fait, si un problème se pose quant à la conformité du traitement, il est impossible, pour le responsable de traitement , de basculer sur un autre régime pour justifier le traitement en question.

B) La charge de la preuve

La preuve, au regard de telles exigences, est primordiale. C’est le premier paragraphe de l’article 7 du RGPD qui en précise l’aménagement, en rappelant que « dans le cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant ».

L’article 7 du RGPD requiert que le consentement soit démontrable, ce qui implique deux conditions.
Tout d’abord, il est nécessaire d’identifier de manière certaine la personne qui donne son consentement. Ensuite, il est important de conserver ce consentement sous une forme qui puisse prouver son existence. Si une personne donne son consentement en se connectant à un compte en ligne avec un code d’accès qui lui est propre, comme c’est le cas sur un espace de banque en ligne par exemple, la première condition peut être considérée comme remplie. Cependant, cette situation est relativement rare, car de nombreux consentements sont demandés sans que l’identité de la personne ne soit vérifiée

Suivant ces dispositions, la charge de la preuve incombe donc au responsable de traitement, qui devra démontrer par des arguments convaincants le respect du consentement des personnes concernées par le traitement.

Cette dernière précision fait notamment écho aux traitements obligatoires pour la bonne exécution des contrats, où la preuve devra être jugée comme « suffisante ».

Pour autant, le texte ne donne pas plus d’indications concernant la forme de la preuve. Des avis sont cependant fournis par des institutions nationales, à l’image de l’autorité de protection des données du Royaume-Uni, l’« ICO » (« Information Commissionner’s Office ») , qui conseille de conserver toute trace relative aux personnes concernées, à la date et aux méthodes de consentement, etc.

D’un côté, cette souplesse pourrait inquiéter au sujet des éventuelles dérives relatives à la collecte et la réutilisation de ces données ; pour autant, est-il pertinent de cloisonner ce type de preuve, au risque d’une rigidité certaine du texte ?

Quoi qu’il en soit, ces dispositions sont encore à l’étude, et il conviendra d’en observer la pratique pour en comprendre réellement l’étendue.

La CNIL préconise que le responsable de traitement tienne un registre des consentements. Elle rappelle également qu’une fois le traitement terminé, la preuve du consentement ne doit pas être conservée plus longtemps que le temps nécessaire à l’exercice ou à la défense de ses droits en justice par le responsable de traitement. Enfin, il convient de noter que le RGPD ne fixe pas de durée de validité du consentement. Cette durée dépendra du contexte, de la portée du consentement initial.

III. Les cas particuliers

A. Les conditions applicables au consentement des enfants

En vertu de l’article 8 du RGPD, dans le cas où le consentement est donné par un mineur, il doit être donné avec l’autorisation des détenteurs de l’autorité parentale, sauf si le droit national prévoit que l’enfant est en mesure de donner un consentement valable sans autorisation parentale.

En France, l’âge de la majorité numérique est fixé à 15 ans. Conformément à l’article 45 de la loi informatique et libertés, les enfants de 15 ans ou plus peuvent donc consentir eux-mêmes au traitement de leurs données fondé sur le consentement dans le cadre des services de la société d’information. En-dessous de 15 ans, la loi « Informatique et Libertés » impose le recueil du consentement conjoint de l’enfant et du titulaire de l’autorité parentale.

Les raisons de cette protection sont précisées au considérant 38 du RGPD « Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel […] »

Il est cependant regrettable de constater qu’aucune mesure de contrôle de l’âge n’est actuellement déployée par les plateformes. Il est néanmoins possible de noter qu’une proposition de loi visant à instaurer une majorité numérique et à lutter contre la haine en ligne a été déposée le 17 janvier 2023 à l’Assemblée nationale. Elle tend à compléter la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) afin contraindre les réseaux sociaux de refuser l’inscription à leurs services des enfants de moins de 15 ans, sauf si les parents ont donné leur accord. Pour se faire, ces plateformes devront mettre en place une solution technique permettant de vérifier l’âge de leurs utilisateurs et l’autorisation des parents.

Il est important de noter que les âges de majorité numérique peuvent varier d’un pays à l’autre en Europe, et que certains pays peuvent également avoir des règles spécifiques pour certaines activités en ligne (par exemple, les réseaux sociaux ou les jeux en ligne) qui peuvent avoir leur propre âge minimum pour le consentement. En Allemagne cette majorité est fixée à l’âge de 16 ans tandis qu’en Belgique ou au Portugal elle est atteinte dès l’âge de 13 ans.

Enfin, les enfants ont le droit de retirer leur consentement à tout moment. Les responsables du traitement doivent donc veiller à ce que les enfants soient informés de leur droit de retirer leur consentement et à ce qu’il soit facilement d’exerçable.

B. Le consentement au traitement de données sensibles

Le RGPD catégorise certaines données personnelles comme étant sensibles. Définit à l’article 9 du règlement, ces données sont celles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données de santé ou encore les données biométriques. En raison de leur caractère « sensible » et des risques que leur traitement entraîne pour la vie privée ou pour les droits des personnes, ces données ne peuvent être traitées qu’avec des garanties supplémentaires.

Le consentement donné en matière de données sensibles doit être encore plus explicite que celui donné pour les données à caractère personnel. Le consentement explicite est requis dans certaines situations où un risque sérieux lié à la protection des données survient, et où un niveau élevé de contrôle sur les données à caractère personnel par la personne concernée est de ce fait jugé approprié.

Une manière évidente de s’assurer que le consentement est explicite serait de confirmer expressément le consentement dans une déclaration écrite. Le cas échéant, le responsable du traitement pourrait s’assurer que la déclaration écrite est signée par la personne concernée afin de prévenir tout doute potentiel et toute absence potentielle de preuve à l’avenir. Il est également possible d’obtenir un consentement explicite moyennant une conversation téléphonique, à condition que les informations relatives au choix soient loyales, compréhensibles et claires et qu’elle demande une confirmation spécifique de la part de la personne concernée.

Il est important de noter que le consentement n’est pas toujours la base légale utilisée pour le traitement des données sensibles.

Le traitement des données sensibles sans recourir au consentement peut être autorisé pour des raisons de santé publique. Il peut, par exemple, s’avérer nécessaire de collecter et de traiter des données sensibles pour lutter contre la propagation d’une maladie contagieuse (circonstances que nous avons rencontré lors de la crise du Coronavirus). Dans ce cas, la collecte et le traitement de ces données peuvent être autorisés par des lois ou des réglementations nationales ou européennes, même si l’utilisateur n’a pas donné son consentement explicite.

De même, dans le cadre de la lutte contre le terrorisme ou la criminalité, il peut être nécessaire de collecter et de traiter des données sensibles pour prévenir ou détecter des infractions graves. Dans ce cas également, la législation peut autoriser le traitement de ces données sensibles, même en l’absence de consentement explicite de l’utilisateur.

Pour une version plus détaillée sur le RGDP et le consentement, cliquez sur les mots RGDP et consentement

SOURCES :
http://www.avistem.com/fr/le-rgpd-en-focus-focus-2-le-recueil-du-consentement
http://www.privacy-regulation.eu/fr/r43.htm
https://cnpd.public.lu/content/dam/cnpd/fr/actualites/national/2017/10/séances-information–gdpr/gdpr-info-sessions-fr-11h05-consentement.pdf
https://www.cnil.fr/fr/reglement-europeen/lignes-directrices
http://www.privacy-regulation.eu/fr/r32.htm
https://fr.mailjet.com/rgpd/consentement/
http://www.privacy-regulation.eu/fr/7.htm
https://ico.org.uk/media/about-the-ico/consultations/2013551/draft-gdpr-consent-guidance-for-consultation-201703.pdf
Délibération, 21 janvier 2019, SAN-2019-001
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038032552/
CJUE, 1er octobre 2019, C-673/17
https://curia.europa.eu/juris/document/document.jsf;jsessionid=CA644C7436D43DA19729CD95998C7383?text=&docid=218462&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=6352664
https://asso-generationnumerique.fr/enquetes/
F. Mattatia « RGPD et droit des données personnelles », 5° édition – Edition EYROLLES – 2021
Comité Européen à la protection des données – Guide lignes directrices – 2020 : https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_fr
CNIL – Capacité des mineurs en ligne : https://www.cnil.fr/fr/recommandation-1-encadrer-la-capacite-dagir-des-mineurs-en-ligne

Par Murielle Cahen • internet-et-droit • • Tags: base de données, consentement, préjudice, rgpd

8 Mar 2024

RGPD et SOUS-TRAITANTS

La prise en compte du statut de sous-traitant, tant au regard de sa définition que des responsabilités en découlant, est une des mesures phares du Règlement général sur la protection des données ( » RGPD « ).

Le texte européen, qui est entré en application le 25 mai 2018, pousse non seulement les entreprises, mais aussi les acteurs publics concernés à vérifier et assurer leur mise en conformité d’ici là.

NOUVEAU ! Pour faire un audit concernant les données personnelles et le RGPD, vous pouvez utiliser le service d’audit des données personnelles mis en place par le cabinet Murielle-Isabelle CAHEN.

Si certaines dispositions demeurent presque inchangées par rapport aux anciens textes actuellement en vigueur (on pense à la Loi Informatique et Libertés de 1978, comme à la directive 95/46), d’autres naissent pratiquement avec le Règlement.

Ce règlement européen est entré en vigueur le 25 mai 2018 et vise non seulement les entreprises, mais également les acteurs publics afin de garantir leur mise en conformité au texte.

Le 7 juillet 2021, le Comité européen de la protection des données (CEPD) a adopté, des lignes directrices finales qui précisent les critères permettant l’identification des différents acteurs des traitements de données à caractère personnel.

Est considérée comme sous-traitant toute entité qui remplit deux critères : elle doit être distincte du responsable du traitement et doit agir pour le compte de ce dernier. Elle doit agir sur délégation et suivre les instructions du responsable du traitement selon les dispositions de l’article 29 du RGPD.

Besoin de l’aide d’un avocat pour un audit des données personnelles et du RGPD ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Néanmoins, le sous-traitant dispose d’une marge de manœuvre lui permettant de déterminer la manière la plus efficace afin de servir au mieux les intérêts du responsable du traitement. Il peut choisir les moyens techniques et organisationnels adéquats.

Cela dit, lorsque le sous-traitant traite des données pour ses propres finalités et sans instructions du responsable de traitement, il sera lui-même considéré comme étant un responsable du traitement mis en œuvre sur la base de ces données et, par conséquent, sa responsabilité pourrait être engagée à ce titre.

De surcroît, en vertu du RGPD, le responsable de traitement doit s’assurer à ce que le sous-traitant présente certaines garanties suffisantes. À ce titre, le Comité européen de la protection des données précise dans sa ligne directrice les éléments qui doivent être pris en compte dans l’évaluation de ces garanties. Ces éléments se résument à la fiabilité, l’expertise, les ressources ainsi que la réputation sur le marché du sous-traitant. (1)

Le régime de responsabilité pleine et entière des sous-traitants, s’il en existe des prémisses au sein de la loi, fait pourtant bien partie de cette seconde catégorie : « Avant le RGPD, il y avait une distinction relativement claire entre le responsable de traitement et le sous-traitant. Ce n’est plus le cas avec les nouvelles dispositions imposées par le RGPD » . Il convient donc de bien distinguer, désormais, un sous-traitant de son client (responsable de traitement).

De fait, c’est non seulement l’encadrement du statut-même de sous-traitant qui semble être revu par le texte européen (I), mais également leur rôle quant au traitement des données qui leur incombe (II).

I) L’encadrement du statut de sous-traitant au sein du RGPD

Si la définition du sous-traitant est précisée par le RGPD (A), c’est non seulement pour mettre en lumière leur rôle, mais également et parallèlement les sanctions applicables en cas de manquement de leur part (B).

A) La définition du sous-traitant

La CNIL a pu rappeler que le sous-traitant est celui qui traite de données personnelles « pour le compte, sur instruction et sous l’autorité d’un responsable de traitement », lui-même défini au sein de l’article 4§8 du RGPD comme celui « qui détermine les finalités et les moyens d’un traitement ».

Dès lors, tout prestataire ayant accès à des données personnelles et les traitant dans de telles conditions relève d’un tel régime. Notez cependant que dans le cas où cette personne « détermine la finalité et les moyens » du traitement, elle sera qualifiée non pas de sous-traitant, mais bien évidemment de responsable de traitement .

Il peut s’agir de prestataires informatiques d’hébergement et de maintenance, de prestataire de paye, etc.

Notez cependant que dans le cas où cette personne « détermine la finalité et les moyens » du traitement, elle sera qualifiée non pas de sous-traitant, mais bien évidemment de responsable de traitement.

Il sera de même, d’ailleurs, au regard des données traitées par le prestataire pour son propre compte.

Ceci étant, les entreprises comme les personnes publiques amenées à traiter de telles données n’ont parfois pas conscience de l’exactitude de leur statut : à cet égard, le G29 s’est attaché à faciliter cette définition en dégageant plusieurs critères pouvant constituer un faisceau d’indices, comme « ?le niveau d’instruction donnée par le client au prestataire? », le degré de contrôle du client sur ce dernier, etc.

Néanmoins, l’avis du groupe de travail institué en vertu de l’article 29 de la directive 95/46/CE (G29) a été remplacé par les premières lignes directrices adoptées par Comité européen de la protection des données, le 2 septembre 2020, sur les notions de responsable du traitement et de sous-traitant.

Le CEPD fait la distinction entre les moyens « essentiels du traitement » qui sont déterminés par le responsable du traitement et les moyens « non-essentiels » qui sont déterminés par le sous-traitant. En principe, le sous-traitant est chargé de la réalisation du traitement pour le compte de l’autre partie, à savoir, le responsable du traitement, conformément aux instructions de ce dernier.

Toutefois, le CEPD précise que le sous-traitant est en mesure de prendre des décisions s’agissant de certains moyens « non-essentiels ». (2)

Enfin, une énième distinction est faite au regard du principe de territorialité : ainsi, le RGPD prévoit que le statut de sous-traitant concerne aussi bien les prestataires établis au sein du territoire de l’Union européenne, que ceux basés à l’étranger, mais dont les « activités de traitement sont liées à l’offre de biens ou de services à des personnes concernées dans l’UE [ou] au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’UE » .

B) Les sanctions en cas de manquement

La Loi Informatique et Libertés de 1978 ne prévoyait aucunement de pénaliser les manquements de ce type de prestataire. C’est désormais chose faite, à travers le RGPD, qui instaure un principe de « responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles ».

A cette fin, l’assise de la responsabilité se base sur un régime de sanction pour les sous-traitants n’ayant pas respecté de telles obligations. Les sous-traitants peuvent également être contrôlés par la CNIL et faire l’objet des sanctions administratives prévues par le RGPD.

Ainsi, et comme le prévoit l’article 82 du RGPD : « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement européen peut obtenir la réparation intégrale de son préjudice de la part du responsable de traitement ou du sous-traitant ».

Ces sanctions peuvent s’élever à un montant de plus de 20 millions d’euros ou, pour les entreprises, jusqu’à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent.

Ces amendes se veulent incitatives pour les entreprises, et particulièrement envers celles dont le modèle économique se fonde exclusivement sur le traitement des données. La question demeure de savoir qu’elles sont les obligations des sous-traitants en la matière.

La formation restreinte de la CNIL, par une décision rendue le 27 janvier 2021, a sanctionné un responsable de traitement et son sous-traitant sur le fondement de l’article 32 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, au paiement des sommes de 150 000 euros et 75 000 euros.

L’article 32 du RGPD dispose que : « le responsable de traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

En l’espèce, la formation restreinte de la CNIL avait estimé que le responsable de traitement et son sous-traitant avaient manqué à leurs obligations en matière de sécurité de traitement. Ces derniers, après avoir fait l’objet d’attaques répétées de credential stuffing sur le site internet, avaient opté pour le développement d’un outil permettant la détection et le blocage de ces attaques. Toutefois, le développement de cet outil n’a été finalisé qu’après un an et durant toute cette période les données des utilisateurs étaient exposées à des violations potentielles. La CNIL relève que durant cet intervalle, plusieurs autres mesures produisant des effets plus rapides auraient pu être envisagées afin d’empêcher de nouvelles attaques ou d’en atténuer les conséquences négatives pour les personnes.

Certes, de nouvelles obligations incombent aux sous-traitants (A) : encore faut-il prévoir leur mise en application pratique (B).

A) Les obligations du sous-traitant

L’article 28 précédemment cité souligne expressément que le sous-traitant devra « offrir à son client des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».

De ce régime général découlent plusieurs obligations pour le responsable de traitement, qui peuvent être regroupées en différentes catégories :

Une obligation de transparence, qui permettra d’informer précisément le client des formalités effectuées relatives aux traitements;
Une obligation de protection des données, mise en œuvre par tout moyen nécessaire et dès la conception du produit ou service en question ;
Une obligation de sécurisation des données, assurée par la confidentialité de ces données, la notification de toute violation de celle-ci au client, ou encore la suppression des données au terme de la prestation ;
Une obligation de sécurisation des données, assurée par la confidentialité de ces données, la notification de toute violation de celle-ci au client, ou encore la suppression des données au terme de la prestation;
Une obligation d’assistance, relative à la bonne exécution du traitement, impliquant une aide au client quant au respect des droits des personnes, à la sécurité des données, ou encore quand une directive du client vous semble contraire aux textes en vigueur.

B) La mise en œuvre de ces obligations

Tout d’abord, il est important de garder à l’esprit qu’au regard de tous ces changements, vous devrez certainement revoir l’ensemble des contrats avec vos clients.

En effet, ces nouvelles dispositions rendent fort probable le manque de conformité des contrats en vigueur. L’intégration de clauses en permettant leur mise en conformité apparaît ici essentielle.

D’autre part, gardez à l’esprit que si vous êtes libre de déléguer certains traitements à un sous-traitant (après autorisation écrite de votre client), celui-ci sera soumis à ces mêmes obligations, mais vous devrez répondre de ses manquements à votre client.

Sachez, par ailleurs, que si vous êtes une autorité ou un organisme public sous-traitant, ou que vous êtes amené à traiter, pour le compte de vos clients, de données sensibles ou à grande échelle, vous avez l’obligation de désigner un délégué à la protection des données , chargé de vous accompagner dans ces tâches et de s’assurer de la conformité de ces traitements.

Enfin, et puisque le RGPD poursuit cette volonté d’unifier les règles en vigueur au sein de l’UE, il paraît logique que dans le cas où vous êtes établi au sein de plusieurs pays de l’Union, vous bénéficiez effectivement du mécanisme de guichet unique, qui vous permet de dialoguer avec une seule autorité nationale de contrôle (en l’occurrence, celle de votre établissement principal).

Assurez-vous , en tant que sous-traitant, de prendre pleinement conscience des obligations qui vous incombent d’ici là, et de les mettre en œuvre le plus rapidement possible.

Pour lire une version plus complète de l’article sur le RGPD et les sous-traitants, cliquez

SOURCES :
(1) https://www.dpms.eu/rgpd/guide-rgpd-accompagner-sous-traitant/
(2) https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf
(3) http://www.privacy-regulation.eu/fr/4.htm
(4) https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article28
(5) https://cnpd.public.lu/content/dam/cnpd/fr/publications/groupe-art29/wp169_fr.pdf(6) https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1 # Article

Par Murielle Cahen • internet-et-droit • • Tags: base de données, données personnelles, rgpd, vie privée

«< 5 6 7 8 9 >»

Murielle Cahen Cabinet d’avocats Paris

Résultats de recherche pour: contrat

SIGNATURE ELECTRONIQUE

I. Un dispositif sécurisé de création de signature électronique

II. Un dispositif de vérification de signature électronique

COMMENT SE DÉFENDRE CONTRE L’ESPIONNAGE INDUSTRIEL ?

I/ La protection contre l’espionnage industriel dans le droit positif

A/ L’inefficacité des articles épars appréhendant l’espionnage industriel

B/ L’insuffisance de la jurisprudence réprimant l’espionnage industriel

II/ La nécessité d’une défense plus effective contre l’espionnage industriel

A/ L’affaire Michelin, témoin des limites de la protection

B/ La loi relative à la protection des informations économiques comme remède ?

RGPD : la question du consentement

I. Les conditions relatives à la nature du consentement requis

A) L’obligation d’un consentement libre et éclairé

B) L’obligation d’un consentement explicite

II. Les conditions relatives à la valeur du consentement requis

A) L’importance du fondement du traitement

B) La charge de la preuve

III. Les cas particuliers

A. Les conditions applicables au consentement des enfants

B. Le consentement au traitement de données sensibles

RGPD et SOUS-TRAITANTS

I) L’encadrement du statut de sous-traitant au sein du RGPD

A) La définition du sous-traitant

B) Les sanctions en cas de manquement

A) Les obligations du sous-traitant

B) La mise en œuvre de ces obligations

Internet et droit

Sécurité des paiements

# Coordonnées du cabinet

# Publications Murielle Cahen

Contactez-nous