clause

Conditions générales d’utilisation : quel droit applicable ?

Dans une volonté de plus en plus marquée de protéger les consommateurs, la Cour de justice de l’Union Européenne a empêché Amazon d’imposer l’application de la loi luxembourgeoise dans ses conditions générales de vente.

La loi applicable aux situations internationales est un des problèmes fondamentaux du droit international privé. Cependant, l’insertion de certaines clauses dans les  conditions générales  permet de éluder le droit.

Celles-ci permettent en effet qu’en cas de litige, c’est la loi désignée par le contrat qui s’appliquera. Il arrive cependant que des dispositions d’ordre public international, ou  » lois de police « , s’appliquent malgré ces clauses.

La cour de cassation définit l’ordre public international comme la situation où  » le juge français applique directement une loi étrangère ou une loi de police française. Dans ce cas, celle-ci s’impose en dehors de tout raisonnement de droit international privé, et donc sans référence à la conception française de l’ordre public. « . L’ordre public international est généralement d’origine nationale, française donc, mais certaines dispositions de droit européen constituent aussi des lois de police.

Néanmoins, le géant américain Amazon stipule à l’article 12 de ses conditions générales d’utilisation que  » le droit luxembourgeois s’applique à l’exclusion de la Convention des Nations Unies sur les contrats de vente internationale de marchandises (CVIM). « . Ainsi, elles ne font pas mention des lois impératives s’appliquant en toutes circonstances.

L’association de consommateurs autrichienne VKI a ainsi assigné Amazon devant les juridictions autrichiennes. La cour suprême a donc adressé des questions préjudicielles à la CJUE pour savoir quel était le droit applicable à ces conditions de vente, mais aussi quel était le droit applicable au traitement de données effectuées par cette société. La cour a répondu à ces questions le 28 juillet 2016.

Après l’analyse de cette décision (I.), on verra qu’elle s’inscrit dans un mouvement de protection du consommateur (II.).

I. Analyse de l’arrêt de la CJUE

A. Quant au traitement de données

Le traitement de données  renvoie à une série de processus permettant d’extraire de l’information ou de produire du savoir à partir de données brutes.

La Cour autrichienne pose à la CJUE la question de savoir si  » le traitement de données par une entreprise de commerce électroniques commerçant avec des consommateurs d’autres Etats membres est soumis à la directive 95/46  exclusivement, ou au droit de l’Etat où l’entreprise a son établissement qui procède au traitement, ou bien si celle-ci est tenue de respecter le droit des Etats vers lesquels elle dirige son activité ? « .

Ainsi, la directive 95/46 de l’Union Européenne, dans son article 4, dispose que :
 » Chaque État membre applique les dispositions nationales qu’il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque :
a) le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de l’État membre; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable; « .

La Cour laisse à la juridiction nationale le soin d’apprécier si l’entreprise dirige son activité vers un Etat, et si elle traite les données en question dans le cadre des activités d’un établissement situé dans cet Etat. Ca sera alors le droit de ce dernier qui s’appliquera.

Ici, l’établissement doit être compris au sens de l’arrêt Weltimmo du 1er octobre 2015 , à savoir un établissement stable et un exercice d’activités réelles.
En l’espèce, tant la CJUE que l’avocat général considèrent que le droit allemand est applicable.

B. Quant à la loi applicable aux conditions d’utilisation d’Amazon

Ici, la juridiction autrichienne demande quelle est la loi applicable aux conditions générales de vente d’Amazon, mais aussi la méthode pour déterminer la loi applicable.

La CJUE répond que  » La loi applicable à l’appréciation d’une clause contractuelle donnée doit toujours être déterminée en application du règlement Rome I, que cette appréciation soit effectuée dans le cadre d’une action individuelle ou dans celui d’une action collective « .

Ainsi, cette clause  n’ayant pas fait l’objet d’une négociation individuelle sera abusive si elle induit le consommateur en erreur en lui donnant l’impression que seule la loi de cet Etat membre s’applique. Elle créera alors un déséquilibre significatif au détriment du consommateur.

Ainsi, il faut préciser que des dispositions impératives pourraient s’appliquer, au risque d’être considéré comme une clause abusive, ce qui a été le cas pour les conditions générales de vente d’Amazon.

II. La protection croissante des consommateurs

A. La protection du consommateur par le droit européen

L’Union Européenne a une tendance forte à vouloir protéger les consommateurs  contre les professionnels. Cet arrêt concernant les conditions générales d’Amazon n’en est qu’une illustration supplémentaire.

En effet, les géants du web (les  » GAFA « ) ont une volonté prononcée de se protéger au maximum, mais souvent au détriment du consommateur. Les exemples les plus explicites sont ceux concernant leurs montages fiscaux, notamment en utilisant le droit irlandais, ou bien, comme l’illustre l’arrêt précédent, en soumettant leurs contrats d’adhésion à un droit les favorisant, ou encore à obliger les consommateurs à devoir saisir des juridictions spécifiques, souvent californiennes.

C’est pourquoi  » la politique de l’UE vise à garantir la sécurité des consommateurs (…) à préserver leurs intérêts dans de nombreux domaines comme (…) les clauses contractuelles abusives « .

Ainsi, pour les problèmes inhérents au droit international privé, l’Union Européenne a pris le parti d’adopter deux règlements. Le premier est le règlement «  Rome I  » , du 17 juin 2008, sur la loi applicable aux obligations contractuelles, et le second est le règlement  » Bruxelles I  » , complété par le règlement  » Bruxelles I bis « , relatifs à la compétence judiciaire en matière civile et commerciale.

Ces règlements considèrent en terme général que peut-être applicable la loi de l’Etat vers laquelle  » l’activité de l’entreprise est dirigée « , c’est à dire souvent la loi de l’Etat de résidence du consommateur. Aussi, la plupart du temps, le consommateur pourra saisir les juridictions de son Etat de résidence.

Le but de ces lois est évidemment non seulement d’éviter des frais de déplacement importants au consommateur, qui sont assumables plus aisément pour l’entreprise, mais aussi de faire en sorte que le consommateur ait une connaissance ainsi qu’une maitrise suffisante de la loi qu’on lui applique. En effet, le ressortissant autrichien ne connaitra que très rarement la loi luxembourgeoise en matière de contrat commercial électronique.

Enfin, l’Union Européenne tend à favoriser les actions des groupes de consommateurs, les  » class-action « , pour mutualiser les demandes et faire en sorte qu’au moins sur le terrain contentieux, les parties soient sur un pied d’égalité.

B. La protection du consommateur en droit français

Le droit français, lui aussi, a une tendance de plus en plus nette favorisant les consommateurs.

D’abord, ces mêmes règlements européens précédemment cités sont applicables en France, ainsi tous les mécanismes précédemment cités sont disponibles pour le consommateur français.

Cependant, la France a tenu à aller plus loin. Avec la réforme du droit des contrats entrée en vigueur le 1er octobre 2016 , le code civil a été modifié. Ainsi, un nouvel article 1171 dispose que  » Dans un contrat d’adhésion, toute clause qui crée un déséquilibre significatif entre les droits et obligations des parties au contrat est réputée non écrite.  » .

Or, les contrats qui nous intéressent ici (Conditions générales d’utilisation ou de vente), sont des contrats d’adhésion. Les contrats d’adhésion sont en effet les contrats dont les termes sont imposés par une partie à l’autre, c’est à dire que l’autre partie doit y consentir ou y renoncer. Aucune clause n’est négociable.

Ainsi, avant même l’entrée en vigueur de la réforme, le tribunal de la mise en l’état avait considéré que la clause attributive de compétence renvoyant aux juridictions californiennes contenues dans les conditions générales de Facebook était une clause abusive, et que l’utilisateur de Facebook, s’il crée un compte pour ses activités personnelles, était bien un consommateur.

Telle solution est transposable aux contrats d’adhésion proposés par Google ou Amazon, et double la protection du consommateur.

Articles en relation :

Sources

Page d’accueil

http://www.usine-digitale.fr/article/l-europe-dans-la-jungle-d-amazon.N438197
http://www.net-iris.fr/veille-juridique/actualite/34344/les-conditions-generales-de-facebook-sanctionnees.php
https://europa.eu/european-union/topics/consumers_fr

Pour lire l’article sur Conditions générales d’utilisation : quel droit applicable ?, de façon plus complète, cliquez

 

La sécurité et les systèmes informatique

I – La responsabilité civile contractuelle

A) Les logiciels espions

Deux hypothèses pourraient engager la responsabilité contractuelle de l’éditeur du logiciel :

– Un dysfonctionnement du logiciel :

Si le logiciel espion n’est pas fonctionnel, ou ne répond pas aux caractéristiques prévues par le contrat, alors comme pour tout logiciel, l’acquéreur pourra engager devant un tribunal civil la responsabilité contractuelle de l’éditeur.

On pourrait s’interroger sur la possibilité pour l’acquéreur d’agir en responsabilité dans l’hypothèse d’un logiciel espion dont la légalité parait douteuse . Néanmoins, les logiciels espions ne sont pas interdits par principe, leur utilisation est juste soumise à certaines conditions.

– L’introduction d’un logiciel espion au sein d’un logiciel :

Il s’agit ici de l’hypothèse où un utilisateur utilise un logiciel, dans lequel l’éditeur, a à son insu, intégré un logiciel espion.

Les deux parties étant liées par un contrat, on peut envisager une action en responsabilité contractuelle. Le contrat qui lie l’acquéreur et l’éditeur ne comporte sûrement pas de clause précisant que le logiciel ne comporte pas de logiciel espion.

L’article 1134 du code civil dispose que les conventions  » doivent être exécutées de bonne foi « . L’introduction d’un logiciel espion semble peu compatible avec la bonne foi contractuelle.

Il est envisageable d’agir en responsabilité contractuelle contre l’éditeur qui introduit un logiciel espion au sein d’un logiciel commercial à l’insu de l’utilisateur.

B)  Les antivirus

L’éditeur d’antivirus fournit un logiciel dont le but est d’éradiquer les virus de l’ordinateur de l’utilisateur. Si ce logiciel n’éradique pas les virus, peut-on engager la responsabilité contractuelle de l’éditeur ?

Il faut déterminer si l’éditeur est tenu d’une obligation de moyens ou de résultat. La jurisprudence ne s’est pas prononcée sur ce point. Mais vu l’étendue du travail de l’éditeur et la multiplicité des virus nouveaux, la jurisprudence retiendra probablement l’obligation de moyens.

S’il s’agit d’une obligation de moyens, l’éditeur sera tenu de mettre en oeuvre tous les moyens nécessaires pour assurer la mission de son logiciel. Il est donc tenu de mettre à jour régulièrement son antivirus par exemple. On pourra prouver l’inexécution de cette obligation en montrant, par exemple que les autres antivirus auraient protégé le système.

Dans cette hypothèse, l’utilisateur pourrait engager la responsabilité de l’éditeur d’antivirus.

 

II – La responsabilité civile délictuelle.

A)  Les logiciels espions

Les logiciels espions sont parfois introduits à l’insu des utilisateurs sur leur système, parfois même certains virus sont aussi des logiciels espions.

Dans cette hypothèse, le créateur du logiciel espion et l’utilisateur ne sont pas liés par un contrat, par conséquent on ne peut pas engager la responsabilité contractuelle du créateur.

La responsabilité délictuelle nécessite une faute, un dommage et un lien entre les deux. La faute consiste ici en une intrusion dans un système informatique à l’insu de son utilisateur, le dommage consiste en la perte et /ou la communication de données personnelles et le lien de causalité doit être clairement établi entre cette faute et le dommage subi.

En cas d’introduction d’un logiciel espion dans un ordinateur, celui qui l’a introduit pourra voir sa responsabilité délictuelle engagée et demander des dommages et intérêts.

B)  Les logiciels antivirus

Des tiers au contrat victimes d’une défaillance de l’antivirus, peuvent-ils agir contre l’éditeur ?

Dans l’hypothèse où sur un réseau, par exemple, un utilisateur est victime d’un virus qui aurait du être arrêté par le serveur, l’utilisateur est éventuellement lié contractuellement à l’exploitant du serveur mais pas avec l’éditeur d’antivirus.

Cependant les conditions de la responsabilité délictuelle peuvent être remplies : la faute de l’éditeur de l’antivirus, le dommage et le lien entre les deux.

Il est possible pour un tiers d’engager la responsabilité délictuelle de l’éditeur du logiciel antivirus.

 

III – La responsabilité pénale

A) Les atteintes aux données personnelles

La loi  » informatique et libertés  » réglemente la collecte et l’utilisation des données nominatives.

Toute collecte doit s’accompagner d’une information de la personne dont les données sont connectées. Celle-ci doit être informée à la fois de la collecte mais aussi de l’utilisation qui sera faite de ces données.

Le non-respect de ces dispositions constitue un délit prévu par l’article 226-16 du code pénal qui dispose :  » Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements automatisés d’informations nominatives sans qu’aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de trois ans d’emprisonnement et de 45.000 € d’amende.  »

Les atteintes aux données personnelles sont constitutives d’un délit et engagent la responsabilité pénale de leur auteur.

B)  Les atteintes aux systèmes d’information

Le code pénal sanctionne différentes atteintes à la Sécurité des systèmes d’information :

– L’intrusion : l’article 323-1 dispose  » Le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données est puni d’un an d’emprisonnement et de 15.000 € d’amende « .

– Le sabotage et les altérations : l’article 323-1 alinéa 2 dispose  » Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d’emprisonnement et de 30.000 € d’amende.  »
Il y a donc de multiples réponses juridique à une atteinte aux systèmes d’informations.

ARTICLES EN RELATION