Données personnelles : la nouvelle norme simplifiée de la Cnil pour la gestion des clients et prospects

La Commission nationale de l’informatique et des libertés a, par une délibération en date du 21 juin 2012, mis à jour la norme simplifiée nº 48 concernant les traitements automatisés de données à caractère personnel relatifs à la gestion des fichiers de clients et de prospects, afin notamment de l’adapter au développement du commerce et des méthodes de prospection.

[Cnil, Délib. nº 2012-209, 21 juin 2012, Norme simplifiée nº 48, JO 13 juill. 2012]

La loi « Informatique et libertés » prévoit que la Cnil (Commission nationale de l’informatique et des libertés) établit et publie des normes destinées à simplifier l’obligation de déclaration pour les catégories les plus courantes de traitements de données à caractère personnel (1) . Elle a ainsi édicté un nombre important de normes simplifiées (2) permettant aux entreprises et organismes concernés de procéder à de simples déclarations de conformité directement sur son site internet.

Le développement du commerce électronique et des méthodes de prospection a conduit la Cnil à mettre à jour la norme simplifiée nº 48 concernant la gestion de fichiers de clients et de prospects, laquelle datait de 2005 (3) . Après avoir reçu les propositions d’organisations de professionnels et de consommateurs (4) , elle a adopté, par délibération du 21 juin 2012, une nouvelle norme simplifiée nº 48 (5) destinée, selon la Cnil, à assurer un équilibre entre les besoins des professionnels et le respect de la vie privée. Cette délibération abroge et remplace celle de 2005.

Cette norme est d’importance car elle servira de texte de référence à l’ensemble des professionnels dans la gestion des données clients et prospects. En effet, si des secteurs importants sont exclus de la norme simplifiée - banque, assurance, santé et éducation - les entreprises et organismes de ces secteurs exclus pourront néanmoins utilement se référer à cette norme dans le cadre de leurs déclarations normales de traitements de données (6) ou de l’inscription sur la liste des traitements du correspondant informatique et libertés (CIL) (7) , afin de déterminer, conformément à la loi « Informatique et libertés », notamment la ou les finalités envisagées, l’information des personnes concernées et les moyens à mettre en place pour préserver la sécurité des données.

La nouvelle norme simplifiée, qui est près de deux fois plus longue que la précédente, ajoute de nouvelles finalités et apporte des précisions sur les modalités pratiques de l’information des personnes et du recueil de leur consentement, ainsi que sur les mesures de sécurité à mettre en place pour assurer la confidentialité des données.

I. - ÉLARGISSEMENT DU CHAMP DES FINALITÉS DES TRAITEMENTS

L’article 2 de la nouvelle norme simplifiée reprend les finalités destinées à la gestion de clientèle prévues dans la précédente norme : gestion des contrats, des commandes, des livraisons, des factures et de la comptabilité et notamment des comptes clients.

S’agissant des opérations de prospection, on retrouve, dans la nouvelle norme, les finalités suivantes : gestion des opérations techniques de prospection (incluant les opérations de normalisation, d’enrichissement et la déduplication) ; sélection de personnes pour réaliser des actions de fidélisation et de prospection ; cession, location ou échange de fichiers de clients et de prospects ; élaboration de statistiques commerciales ; envoi de sollicitations.

La nouvelle norme élargit en outre le champ des finalités permises. Les traitements peuvent désormais avoir comme finalités :

le suivi de la relation client, la norme simplifiée donnant comme exemple la réalisation d’enquêtes de satisfaction et la gestion des réclamations et du service après-vente ;

l’organisation de jeux-concours, de loteries et d’opérations promotionnelles, à l’exclusion toutefois des jeux d’argent et de hasard en ligne soumis à l’agrément de l’Arjel ;

la gestion des avis des personnes sur des produits, services ou contenus ;

la gestion des demandes de droits d’accès, de rectification et d’opposition, formées en application de la loi « Informatique et libertés » ;

la gestion des impayés et du contentieux, ce qui ne permet toutefois pas les traitements ayant pour objet des infractions ou permettant l’exclusion du bénéfice d’un droit, d’une prestation ou d’un contrat. Rappelons que de tels traitements ne peuvent être mis en œuvre qu’après autorisation de la Cnil (8) .

S’agissant de la gestion des programmes de fidélité, la nouvelle norme n’exclut plus les programmes de fidélité « communs à plusieurs sociétés », et permet dorénavant plus largement de tels programmes « au sein d’une entité ou plusieurs entités juridiques ».

II. - DE NOUVELLES DONNÉES PEUVENT ÊTRE TRAITÉES

On retrouve, à l’article 3 de la nouvelle norme simplifiée, les mêmes données susceptibles d’être traitées pour la réalisation des finalités autorisées, et concernant : l’identité du client (comprenant le numéro de téléphone et l’adresse e-mail), les données relatives aux moyens de paiement et à la situation familiale, économique et financière, les données relatives à la relation commerciale et celles relatives au règlement.

Puisque de nouvelles finalités sont dorénavant permises, de nouvelles données peuvent corrélativement être traitées, et notamment : les données relatives à l’organisation et au traitement de jeux-concours, de loteries et d’opérations promotionnelles ; les données relatives aux contributions des personnes qui déposent des avis sur des produits, services ou contenus, et notamment leur pseudonyme.

En outre, s’agissant des services de communication en ligne, l’article 7 de la norme simplifiée prévoit que l’éditeur d’un site internet peut collecter les données de connexion à des fins d'analytics CNIL, à condition de fournir aux utilisateurs une information claire et complète sur le droit d’opposition et le droit d’accès aux données collectées, lesquelles ne devront pas être recoupées avec d’autres traitements tels que les fichiers clients.

III. - LES DESTINATAIRES DES DONNÉES

A. - Les destinataires : extension aux partenaires, sociétés extérieures et filiales d’un même groupe

L’article 4 de la norme simplifiée nº 48 prévoit, comme dans la version de 2005, que les personnes suivantes peuvent avoir accès, dans les limites de leurs attributions respectives, aux données personnelles : les personnes chargées des services concernés de l’entreprise ou de l’organisme (service marketing, service commercial, etc.) ; les services chargés du contrôle (par exemple le commissaire aux comptes) ; les organismes, les auxiliaires de justice et les officiers ministériels dans le cadre de leurs missions de recouvrement de créances ; les sous-traitants (dans ce cas, le responsable de traitement doit conclure avec les sous-traitants un contrat faisant mention des obligations de sécurité et de confidentialité).

L’article 4 prévoit une nouveauté intéressante : « les partenaires, les sociétés extérieures ou les filiales d’un même groupe de sociétés » peuvent désormais être destinataires des données, mais, précise le texte, « dans les conditions prévues à l’article 6 » de la norme simplifiée.

Or, il résulte de l’article 6-a que, dès lors que le consentement exprès et spécifique de la personne concernée est recueilli, il est possible de céder « à des partenaires des adresses électroniques ou des numéros de téléphone utilisés à des fins de prospection par automate d’appel, télécopie ou par envoi de SMS, MMS » (9) . L’article 6-b permet, sous réserve d’un droit d’opposition, la « cession à des partenaires » de certaines données dès lors que les organismes destinataires s’engagent à ne les exploiter que pour s’adresser directement aux intéressés et pour des finalités explicitement commerciales. Dans la mesure où il s’agit là des seules références aux « partenaires », faut-il considérer que les « partenaires » (notion englobant, dans cette hypothèse, les sociétés extérieures et filiales d’un groupe) ne pourraient être destinataires des données que dans ces deux seuls cas ?

Nous ne le pensons pas, notamment parce qu’il n’est fait mention que de « partenaires », sans mention des sociétés extérieures et filiales d’un même groupe de sociétés, mais aussi parce qu’une telle interprétation viderait cette nouvelle disposition de son intérêt. Même si l’article 4 n’est pas très clair sur cette question (se contentant de renvoyer aux conditions de l’article 6), l’interprétation combinée des articles 4 et 6 semble ainsi permettre de rendre les partenaires, les sociétés extérieures et les filiales d’un groupe de sociétés, destinataires des données personnelles, à condition d’en informer les personnes concernées et de respecter les conditions prévues à l’article 6.

B. - Le transfert des données à l’étranger

L’article 9 de la norme simplifiée permet désormais le transfert de données en dehors de l’Union européenne, dès lors que le transfert envisagé correspond à l’un des trois cas suivants.

Les transferts peuvent, en premier lieu, s’effectuer à destination d’un pays reconnu par la Commission européenne comme assurant un niveau adéquat de protection ou d’une entreprise américaine ayant adhéré au Safe Harbour (10) .

La norme couvre, en deuxième lieu, les transferts encadrés par les clauses contractuelles types de la Commission européenne ou par des règles internes (BCR) d’entreprise préalablement reconnues par la Cnil. Cela permet aux multinationales exportant des données depuis leurs filiales situées au sein de l’Union européenne vers des pays tiers n’assurant pas un niveau de protection équivalent à celui de l’Union européenne, de bénéficier de la norme simplifiée (11) .

Enfin, il est possible d’effectuer des transferts correspondant à l’une des exceptions prévues à l’article 69 de la loi « Informatique et libertés », dès lors que ces transferts sont ponctuels et exceptionnels.

IV. - LES DUR��ES DE CONSERVATION PLUS PRÉCISÉMENT DÉFINIES

L’article 6 de la précédente norme simplifiée nº 48 prévoyait que les données clients, sauf exception liée à l’établissement de la preuve d’un droit ou d’un contrat, ne pouvaient « être conservées au-delà de la durée strictement nécessaire à la gestion de la relation commerciale ». Les données prospects ne pouvaient quant à elles être conservées que pour la durée nécessaire « à la réalisation des opérations de prospection », et la Cnil recommandait la suppression des données au maximum un an après le dernier contact de la part des prospects ou en l’absence de réponse à la suite de deux sollicitations successives.

La détermination de la durée « nécessaire » posait des difficultés d’interprétation, défavorables au client et source d’insécurité juridique (12) .

L’article 5 de la nouvelle norme prévoit désormais, de manière plus précise et avec des exemples, que « les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant un délai de trois ans à compter de la fin de la relation commerciale (c’est-à-dire par exemple à compter d’un achat, de la date d’expiration d’une garantie, du terme d’un contrat de prestations de services, du dernier contact émanant du client) ».

S’agissant des prospects, il est prévu que les données « peuvent être conservées pendant un délai de trois ans à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect (demande de documentation par exemple) » et qu’au terme de ce délai, « le responsable de traitement pourra reprendre contact avec la personne concernée afin de savoir si elle souhaite continuer à recevoir des sollicitations commerciales ».

La nouvelle norme rappelle que la personne concernée par un traitement doit être informée notamment de l’identité du responsable du traitement, des finalités, du caractère obligatoire ou non des réponses, des destinataires, des conséquences éventuelles d’un défaut de réponse, et de ses droits d’accès, de rectification et d’opposition.

Les durées sont précisées pour les données suivantes, avec, le cas échéant, l’indication du fondement juridique (dispositions du Code de procédure pénale ou du Code monétaire et financier, par exemple) :

données relatives aux pièces d’identité fournies dans le cadre de l’exercice du droit d’accès ou de rectification (un an) et du droit d’opposition (trois ans) ;

données relatives aux cartes bancaires : les données doivent être supprimées après paiement. Sauf consentement exprès et préalable de la personne (laquelle doit être informée de l’objectif poursuivi, qui peut être la facilitation du paiement par des clients réguliers), en cas de paiement par carte bancaire, les données peuvent être conservées 13 mois ou, s’il s’agit d’une carte à paiement à débit différé, 15 mois. Les professionnels ne doivent pas stocker les données relatives aux cryptogrammes visuels et, lorsque la date d’expiration de la carte bancaire est atteinte, les données doivent être supprimées (13) ;

gestion des listes d’opposition à recevoir de la prospection : les données relatives aux personnes exerçant leur droit d’opposition auprès du responsable du traitement doivent être gardées au moins trois ans, sans pouvoir être utilisées à d’autres fins ;

les informations permettant la traçabilité des utilisateurs (par exemple les cookies) ne peuvent pas être conservées plus de six mois. Au-delà de cette durée, les données doivent être supprimées ou anonymisées.

V. - INFORMATION ET CONSENTEMENT DES PERSONNES : LES MODALITÉS PRATIQUES PRÉCISÉES

Afin de protéger la vie privée des consommateurs, l’article 6 de la nouvelle norme précise et rappelle les règles applicables au recueil du consentement et au droit d’opposition des personnes (A). L’article 7 apporte des précisions en matière d’utilisation d’un service de communication au public en ligne (B).

A. - Les règles générales

La nouvelle norme rappelle que la personne concernée par un traitement doit être informée notamment de l’identité du responsable du traitement, des finalités, du caractère obligatoire ou non des réponses, des destinataires, des conséquences éventuelles d’un défaut de réponse, et de ses droits d’accès, de rectification et d’opposition (14) . La norme précise que ces informations sont données au moyen de mentions à la fois claires et lisibles, par exemple directement sur les formulaires de collecte, et non dans les conditions générales d’utilisation, et avec des cases à cocher pour permettre à la personne d’exprimer son consentement préalable ou d’exercer son droit d’opposition. Si les informations sont données par oral, la personne doit pouvoir donner son consentement ou exercer son droit d’opposition avant toute collecte.

Lorsqu’une personne exerce son droit d’opposition, le responsable du traitement doit informer sans délai tous les autres responsables de traitements concernés par les mêmes données.

L’article 6 de la norme simplifiée nº 48 rappelle que le recueil du consentement exprès et spécifique de la personne concernée (opt-in) doit être obtenu dans un certain nombre de cas, et notamment : en cas de prospection par e-mail ou SMS/MNS hors produits ou services analogues, de prospection au moyen d’automates, de cession de données à des fins de prospection par automate, et en cas de cession ou collecte de données susceptibles de faire apparaître des données sensibles. Ce consentement, qui est une manifestation de volonté libre et spécifique, ne peut donc pas résulter de l’acceptation des conditions générales d’utilisation. Ainsi, dans le cadre d’un formulaire (sur papier ou sur internet), la personne devra pouvoir cocher elle-même une case pour manifester son consentement, cette case ne devant pas être cochée par défaut.

Le système de l’opt-out, plus souple pour le professionnel, est prévu notamment pour les cas suivants : prospection par voie postale ou téléphonique avec intervention humaine, le cas échéant à la suite d’une cession de données ; prospection par e-mail pour des produits ou services analogues ; prospection entre professionnels.

B. - Les règles spécifiques en cas d’utilisation d’un site internet

Nous avons vu que l’éditeur d’un site internet peut recueillir les données de connexion à des fins de mesure d’audience, en informant notamment l’utilisateur de son droit d’accès et d’opposition (15) . L’article 7 de la norme simplifiée précise que cette information pourra être donnée dans les e-mails envoyés, sur la page d’accueil du site et/ou dans les conditions générales d’utilisation.

La nouvelle norme prend également en compte les règles imposées notamment par le « Paquet télécom » (16) , s’agissant de l’utilisation des cookies, qui sont des fichiers permettant aux éditeurs de sites de stocker des données sur l’ordinateur de l’internaute et de suivre la navigation de celui-ci. L’article 7 de la norme simplifiée reprend les dispositions de l’article 32-II de la loi « Informatique et libertés » transposant les dispositions du « Paquet télécom » concernant les cookies : l’éditeur d’un site internet doit informer l’utilisateur préalablement au dépôt d’un cookie et obtenir son consentement. L’internaute devra également être informé des mécanismes lui permettant de revenir sur sa décision.

L’article 7 de la norme simplifiée rappelle en outre l’aménagement prévu à l’article 32-II de la loi « Informatique et libertés » : le consentement de l’internaute n’est pas requis lorsqu’un cookie est strictement nécessaire à la fourniture du service ou qu’il a pour finalité exclusive de permettre de faciliter la communication par voie électronique. Il s’agit notamment des cookies utilisés comme « panier d’achat » ou des cookies « session utilisateur ».

La Cnil a publié une fiche pratique sur les modalités d’application des nouvelles règles applicables aux cookies, avec des illustrations et exemples précis (17) .

VI. - LES MESURES DE SÉCURITÉ

L’article 8 de la norme simplifiée nº 48 rappelle les dispositions de l’article 34 de la loi « Informatique et liberté », aux termes duquel le responsable du traitement doit prendre toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

La norme insiste plus particulièrement sur les données liées aux moyens de paiement. Afin de lutter contre la fraude bancaire, de nombreuses précisions sont données s’agissant des mesures de sécurité devant être prises pour assurer la confidentialité dans le cadre des paiements, notamment à distance (18) :

les accès aux données relatives aux moyens de paiement doivent faire l’objet de mesures de traçabilité, afin de pouvoir détecter et analyser tout accès illégitime aux données ;

dans le cadre des paiements à distance, la sécurité et la confidentialité des données doivent notamment être assurées au moyen d’un chiffrement par l’intermédiaire d’un algorithme réputé « fort » ;

lorsque les numéros de cartes bancaires sont conservés (dans une finalité de preuve), des mesures techniques doivent empêcher toute réutilisation ou réidentification. La nouvelle norme propose notamment de stocker les numéros sous forme hachée avec utilisation d’une clé secrète ;

les pièces d’identité doivent être protégées notamment par des mesures de sécurité destinées à éviter toute réutilisation détournée, la norme simplifiée donnant en exemple l’apposition d’un marquage spécifique.

Notons enfin que la Cnil accorde, aux organismes publics ou privés ayant effectué une déclaration simplifiée dans le cadre de l’ancienne norme simplifiée nº 48, un délai de 12 mois à compter de la publication de la délibération pour se mettre, le cas échéant, en conformité avec la nouvelle norme, soit jusqu’au 13 juillet 2013. La Commission effectuera alors sans doute quelques contrôles pour vérifier que les entreprises concernées respectent bien la nouvelle norme et prononcer, s’il y a lieu, des sanctions, lesquelles seront certainement rendues publiques...

(1)

Article l24 de la loi « relative à l’informatique, aux fichiers et aux libertés » du 6 janvier 1978, modifiée par la loi nº 2004-801 du 6 août 2004 (JO 22 oct. 2005), dite loi « Informatique et libertés ».

(2)

Les normes simplifiées sont publiées au Journal officiel et présentées sur le site de la Cnil : <www.cnil.fr>.

(3)

Délibération nº 2005-112 du 7 juin 2005 portant création d’une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion des fichiers de clients et de prospects et portant abrogation des normes simplifiées nos 11, 17 et 25.

(4)

L’article 24 de la loi « Informatique et libertés » prévoit que la Cnil reçoit « le cas échéant les propositions formulées par les représentants des organismes publics et privés représentatifs ». En l’occurrence ont participé, à cette consultation, des organisations de professionnels (le Medef, le SNCD et l’UFMD, l’AFCDP) et des représentants des consommateurs (l’association CLCV et l’Institut national de la consommation [INC]).

(5)

Délibération nº 2012-209 du 21 juin 2012 portant création d’une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects (norme simplifiée nº 48), JO 13 juill.

(6)

Article 22 de la loi « Informatique et libertés », précité.

(7)

Article l22-III de la loi « Informatique et libertés » et décret nº 2005-1309 du 20 octobre 2005.

(8)

Articles 25-I-3º et 4º de la loi « Informatique et libertés ».

(9)

C’est nous qui soulignons.

(10)

La liste des entreprises américaines ayant adhéré se trouve sur le site du Département du commerce américain.

(11)

Voir Proust O. et Bartoli E., Les « Binding Corporate Rules » : une solution globale pour les transferts internationaux, RLDI 2011/74, nº 2465.

(12)

Chafiol F. et Minet C., La Cnil adopte une nouvelle norme simplifiée nº 48 sur la gestion des fichiers clients et prospects, juill. 2012, <www.august-debouzy.com/fr/flash/00647-flash-dataprotection.html>.

(13)

La Cnil a récemment prononcé un avertissement à l’encontre de la société Fnac Direct dans une décision rendue publique, en rappelant que la conservation des données bancaires est subordonnée au consentement des clients et ne peut intervenir que pour une durée limitée : Délib. nº 012-214, 19 juill. 2012, <www.cnil.fr>.

(14)

Article 32 de la loi « Informatique et libertés ».

(15)

Voir supra, II in fine.

(16)

Le « Paquet télécom » est constitué du règlement (CE) nº 1211/2009, de la directive nº 2009/136/CE et de la directive nº 2009/140/CE du 25 novembre 2009. L’ordonnance nº 2011-1012 du 24 août 2011 « relative aux communications électroniques », JO 26 août, p. 14473, a transposé les normes édictées dans ces textes européens et a modifié notamment l’article 32 de la loi « Informatique et libertés ». Voir Guthfreund-Roland F. et Marrache É., Ordonnance nº 2011-1012 du 24 août 2011 relative aux communications électroniques et transposition du troisième « Paquet télécom », RLDI 2011/77, nº 2570.

(17)

Cnil, Ce que le « Paquet télécom » change pour les cookies, 26 avr. 2012, <www.cnil.fr>.

(18)

Pour une illustration récente de la « jurisprudence » de la Cnil en la matière, voir la décision Fnac Direct précitée (Délib. nº 2012-214, 19 juill. 2012).

Activités touristiques - E-tourisme - Bien construire le site Internet de son projet touristique

Incontournable dans la plupart des secteurs d'activité, le site Internet est devenu particulièrement important pour les professionnels du tourisme. Sa conception relève donc d'un intérêt stratégique crucial, et doit faire l'objet d'une attention à la mesure de l'enjeu.

• L'ingrédient principal de la réussite d'un site Internet : une réponse pertinente à un besoin, délivrée par une expérience de navigation fluide et agréable.

• Une mauvaise conception et une architecture technique bancale peuvent nuire à son bon fonctionnement.

Que l'on aime l'odeur du papier ou non, le temps de la prépondérance des supports imprimés est révolu. Cette époque où l'on recevait les catalogues annuels de séjours organisés, où l'on collectionnait les brochures de sites touristiques ou les cartes de visite des restaurants, est même difficile à imaginer pour ceux qui ne l'ont pas connue. Et si elle peut parfois éveiller des souvenirs nostalgiques, ce n'est pas un hasard si ses usages et ses pratiques ont été remplacés, et que les outils numériques ont été adoptés par une vaste majorité de la population.

La marche vers l'instantanéité de l'information et des transactions imprègne aujourd'hui les attentes et les habitudes de toute personne disposant d'une connexion Internet, et a donc bouleversé des pans entiers de l'économie, tout en ouvrant la voie à de nouvelles opportunités, commerciales ou professionnelles.

Parmi les secteurs d'activité qui ont connu (ou subi) l'impact le plus fort, le tourisme a été dans l'obligation de revoir son fonctionnement de fond en comble.

D'abord, dans sa façon d'informer et de se présenter. L'esthétique figée du papier glacé a laissé la place aux vidéos, aux visites virtuelles, voire à la réalité augmentée. Et si la qualité des photographies reste un élément déterminant dans la perception des consommateurs, c'est aujourd'hui une information parmi d'autres. Les acteurs du tourisme sont désormais dans l'obligation de porter une attention méticuleuse à chaque détail, car l'offre de leur concurrent est instantanément accessible et les outils de comparaison omniprésents. Chaque élément compte donc quand il s'agit de se démarquer, au moment où un touriste peut se géolocaliser et voir apparaître autour de lui des dizaines d'activités, d'hôtels, de restaurants...

L'arrivée de nouveaux acteurs a parfois imposé des choix économiques difficiles, notamment pour le monde de l'hôtellerie, perçu comme impersonnel face aux logements disponibles sur Airbnb. Par ailleurs, ses tarifs ont été nivelés par le bas en raison de la dépendance à des centrales de réservation imposant des conditions de vente et des commissions contraignantes.

Il a également subi l'avènement des avis et notations de clients, qui a affecté de nombreux autres domaines liés de près ou de loin au tourisme. Ainsi, alors que la situation géographique et le prix étaient les principaux critères de choix, il y a encore quelques années, les commentaires de clients sont venus prendre une importance majeure pour de nombreux consommateurs, qui veulent s'assurer de ne pas être déçus par leur expérience, et prennent le temps nécessaire pour peser le pour et le contre de chaque possibilité.

Toutes ces évolutions ont pour point commun le même changement de perspective : les outils numériques ont permis à l'utilisateur de devenir le point de référence. Qu'on l'appelle consommateur, client, visiteur, hôte, ce sont ses attentes, ses avis et ses commentaires qui déterminent les offres et services qu'il se verra proposer ; ses moyens qui déterminent les prix et la mise en concurrence ; ses envies qui définissent les tendances du moment, les succès et les flops.

Pour tous les professionnels du tourisme, il s'agit donc d'anticiper ces attentes pour être le plus efficace possible. Il en va de même pour la conception des sites Internet dédiés à des projets touristiques.

Le site Internet : centre névralgique de la communication touristique Le site Internet est la première vitrine d'un projet touristique. L'immense majorité des recherches liées aux vacances se fait en ligne, et une présence soignée et bien référencée permet de toucher un public massif et international. L'enjeu est donc de taille.

L'avantage, c'est qu'un site Internet est un outil multimédia versatile qui permet de rendre compte de tout le potentiel de n'importe quel projet. Il peut notamment mettre en valeur tous ses aspects visuels, rendre compte d'atmosphères et d'ambiances, et ainsi préfigurer l'expérience du voyage.

Le visuel et la navigation sont les premières composantes de la relation qu'un site peut installer avec son utilisateur. Mais cette relation peut aller beaucoup plus loin en y intégrant de l'interactivité, et une participation intuitive, voire ludique, du visiteur. Proposer une expérience unique et personnalisée a toutes les chances de laisser une impression mémorable et positive (là où un site standard ou dépassé incite à continuer sa navigation vers des plateformes concurrentes).

Un site Internet peut également établir un début de relation de confiance, en proposant des fonctionnalités participatives : avis, commentaires, espaces de discussion. Là où il y a de la proximité, un lien privilégié peut fleurir, et devenir un atout pour la visibilité et la notoriété d'un projet.

Et si ces premières impressions ne doivent pas être prises à la légère, c'est qu'elles conditionnent la suite du parcours de l'utilisateur d'un site, et donc les possibilités marchandes. Un site Internet peut ainsi devenir un point de vente et une source de revenus réguliers. Les sites marchands constituent aujourd'hui la norme dans la plupart des secteurs d'activité s'adressant aux particuliers, et peuvent être exploités pour la majorité des activités liées au tourisme (réservation, billetterie, transport, produits dérivés...).

Dans un cadre légal précis, et avec l'accord des utilisateurs, un site Internet peut également servir à récolter des données variées pouvant être utiles pour ajuster les contours de son projet, mieux cibler sa clientèle, ou en faire une utilisation commerciale avec des entreprises partenaires.

Enfin, un site Internet sert parfois d'outil de travail au quotidien, et doit, dans ces cas-là, pouvoir intégrer des logiques professionnelles et faciliter, voire automatiser, des processus plus ou moins complexes.

On aurait donc tort de sous-estimer l'importance d'une présence numérique soignée, tant les écrans sont devenus la principale interface entre les entreprises et leur clientèle, entre les projets et leurs bénéficiaires, entre l'information et les individus. Dans un contexte de surabondance de données et de concurrence accrue, l'efficacité d'un site Web est un avantage considérable pour atteindre ses objectifs. Et celle-ci dépend de la justesse du cahier des charges.

Mettre en lien des objectifs et des besoins Une présence sur Internet se construit avec méthode. On ne le répétera jamais assez, monter un site Internet qui n'a pas d'autre ambition que d'être là, sans réflexion préalable ni projet défini, est inutile, voire contre-productif, dans le monde du tourisme.

La première étape de la conception d'un site Internet réside dans la définition de la stratégie numérique du projet et de ses objectifs. Son objet principal, le coeur de son activité, n'est qu'un élément parmi d'autres : une stratégie numérique se déploie autour d'enjeux de communication et de développement, de logiques commerciales et opérationnelles, et doit nourrir des objectifs précis et tangibles, si possible chiffrés (nombre de visiteurs, chiffre d'affaires généré...).

Or, ces objectifs ne peuvent être atteints que s'ils sont connectés aux besoins des utilisateurs. C'est l'ingrédient principal de la réussite d'un site Internet : une réponse pertinente à un besoin, délivrée par une expérience de navigation fluide et agréable. Que le visiteur soit là pour s'informer ou pour acheter un produit, il doit, dès les premières secondes de navigation, être en mesure de comprendre si le site va pouvoir répondre à son besoin, et s'il sera par la suite satisfait de la réponse proposée. C'est là tout le sens du travail de conception d'un site Internet et du design d'expérience utilisateur : identifier un besoin, proposer une réponse pertinente et claire, et pouvoir mesurer la satisfaction de l'utilisateur avec des indicateurs suffisamment précis pour définir des objectifs stratégiques.

L'étape suivante réside dans la formalisation concrète du site : le web design.

Lisibilité, accessibilité et compatibilité : les fondamentaux du web design Lisibilité. Le premier rôle du web design est de mettre l'utilisateur à l'aise avant même qu'il s'intéresse au contenu du site.

Pour accomplir cette mission, quelques bases sont indispensables : une présentation claire et lisible, organisée logiquement autour d'informations hiérarchisées, avec une cohérence des couleurs et de la typographie, un équilibre dans les espaces et les textes, et une iconographie pertinente.

Un site bien conçu doit suggérer de lui-même sa propre utilisation (c'est ce qu'on appelle « l'affordance »), et dérouler ses pages dans une navigation fluide, selon tous les scénarios envisagés. En plus des considérations esthétiques, les éléments graphiques doivent également être optimisés pour réduire au maximum les temps de chargement et permettre un affichage rapide sur tous les types d'écrans. Le site est là pour générer des sensations visuelles (voire auditives) et installer une relation affective avec l'utilisateur.

Sur le Web comme ailleurs, les premières impressions sont une affaire de ressenti, un sentiment diffus qui se base sur la surface, sur l'apparence, sur une sensation de confiance (ou non), sur une appréciation subjective de qualités diverses (ou d'anticipation des défauts). Or, une première impression constitue déjà un jugement.

Compatibilité. Pour cette raison, un site doit pouvoir être lu par le plus de systèmes possibles, et s'afficher sur le plus de types d'écran possible. C'est là que certaines considérations techniques entrent en jeu, et que la science des développeurs peut s'exprimer. En effet, les utilisateurs parcourent Internet avec des outils, des navigateurs et des configurations diverses, qui interprètent les informations d'un site de manière différente.

La conception technique du site doit pouvoir délivrer toutes les informations nécessaires pour être interprétée sans contresens sur l'ensemble des écrans, et, accessoirement, pour que le site soit référencé efficacement sur les moteurs de recherche (qui répondent eux aussi à leur propre logique). C'est ce qui détermine ce que l'utilisateur voit s'afficher, et donc son ressenti.

Accessibilité. Le développement d'un site doit également respecter certains standards d'accessibilité, comme la compatibilité absolue avec les assistants vocaux, la possibilité de naviguer uniquement au clavier...

Sans avoir besoin de rentrer dans les détails, on comprend que la conception et la réalisation d'un site nécessitent l'accompagnement d'un professionnel.

Quelques clés pour bien choisir son prestataire Choisir le prestataire adapté pour concevoir et développer le site Web d'un projet touristique est un choix crucial, qui engage sur le long terme.

Le premier tri se fait, comme partout ailleurs, sur des critères de bon sens, liés aux compétences et aux spécialisations des prestataires, au regard du projet envisagé. Les recommandations d'une personne évoluant dans un secteur d'activité comparable peuvent être un bon critère, mais sont aussi à double tranchant si les fonctionnalités du site sont différentes : un même prestataire pourra réaliser un excellent site vitrine mais être moins efficace sur un site e-commerce, par exemple. C'est pourquoi un regard attentif sur les réalisations passées du prestataire constitue un bon premier indicateur.

Reste la question essentielle du budget, le nerf de la guerre, qui s'appréhende difficilement sans connaissance particulière du secteur du numérique. Voici donc quelques recommandations et mises en garde.

Avant tout, un site Web est un investissement dont la rentabilité se mesure en fonction de sa durée de vie. Même si les évolutions techniques et les modes graphiques constituent une limite incompressible à la pérennité d'un site, une mauvaise conception et une architecture technique bancale peuvent considérablement écourter la période durant laquelle le site sera utilisable dans de bonnes conditions, et entraînera une indispensable refonte à (très) court terme.

C'est la raison pour laquelle il vaut mieux investir dans un site solide, que de céder aux sirènes du low cost pour devoir effectuer une refonte totale l'année suivante. On trouve toujours des propositions à des coûts très bas, dont le premier rendu peut paraître crédible et professionnel, mais qui n'ont pas structuré les aspects de sécurité, de performance, d'affichage et surtout d'entretien du site (on parle de « dette technique »). Les opérations de maintenance et de corrections nécessitent d'être anticipées à chaque étape du développement du site. À défaut, le moindre dysfonctionnement vient menacer la totalité de la structure et requiert un remaniement complet.

Pour autant, une proposition chère n'est pas forcément pertinente. Il est aisé de jouer sur un langage technique pour intégrer aux devis des fonctionnalités coûteuses, dont le client n'a pas besoin. Un prestataire doit donc pouvoir expliquer chaque ligne de son devis de manière claire et accessible à tous, et surtout en justifiant de sa pertinence pour le projet concerné. S'il se cache derrière un jargon et laisse des questions sans réponse compréhensible, c'est mauvais signe.

Pour toutes ces raisons, il apparaît essentiel de comparer différentes offres, de se laisser plusieurs possibilités avant de se lancer dans un chantier d'une telle importance. Il est également important d'obtenir des garanties sur le suivi et la maintenance du site sur le long terme car sa mise en ligne ne constitue que le début.

Les enjeux à terme Par essence, un site Internet est modulable. C'est une entité technique vivante, dont l'utilité est maximisée lorsqu'elle s'inscrit dans une stratégie de communication plus large : attirer des visiteurs grâce à des relais efficaces (réseaux sociaux, sites partenaires...) et renouveler son audience en diffusant du contenu régulièrement. Un site actif, en plus d'être perçu comme dynamique par ses visiteurs, sera beaucoup mieux référencé sur les moteurs de recherche.

Au fil de nouveaux contenus et de nouvelles opportunités, peuvent surgir de nouvelles idées, des possibilités d'évolution ou d'ajouts de fonctionnalité. On en revient alors à l'importance d'une conception qui facilite la maintenance et laisse la porte ouverte à des mises à jour qui vont au-delà de la simple correction de bugs.

Le site Internet est le véhicule qui va porter l'image et la vie d'un projet touristique et sa conception détermine jusqu'où il pourra l'emmener.

Mots clés : NUMÉRIQUE ET INTERNET * E-tourisme * M-tourisme COMMUNICATION, MARKETING, COMMERCE * Site internet

Produits cosmétiques. Distribution sélective. Vente des produits du fabricant par internet « l'e-commerce »

La distribution commerciale sur le réseau internet, plus communément dénommé « l'e-commerce » tend à soulever un certain nombre de difficultés juridiques et de cybersécurité, comme le souligne de manière fort intéressante un jugement du tribunal de grande instance de Pontoise qui se prononce pour la première fois à notre connaissance sur la possibilité pour un distributeur agréé de vendre les produits du fabricant par l'intermédiaire d'un site internet.

En l'espèce, M. B., pharmacien avait conclu avec la société Pierre Fabre Dermo-Cosmétiques trois contrats types rédigés de façon identique régissant leurs relations commerciales et l'autorisant à distribuer les produits Avène, Klorane ainsi que Ducray et A. Derma. Aux termes de ces contrats, il s'engageait « à tout faire pour développer les ventes ». Dans ces conditions, il a constitué un catalogue électronique qu'il a mis en ligne sur un serveur internet en vue de la distribution de ces produits. La société Pierre Fabre Dermo-Cosmétiques ayant eu connaissance de cette pratique a alors saisi le juge des référés pour voir ordonner sous astreinte à M. B. la commercialisation des produits dès lors « qu'elle contrevenait à l'existence du réseau de distribution sélective et était constitutive d'un acte de concurrence déloyale et parasitaire ». Or, le fournisseur s'est vu débouté par le juge des référés de toutes ses demandes au motif notamment que « ce moyen immatériel s'ajoute aux modalités traditionnelles mises en place par M. B dans son officine et conformes aux exigences de la société Pierre Fabre Dermo-Cosmétiques relatives à la matérialité du lieu de vente ».

Autrement dit, l'indépendance juridique du distributeur semble aller jusqu'à lui permettre de commercialiser sur un site internet les produits de son fournisseur. Toutefois, parce que le commerce électronique s'apparente à la vente à distance (A. Bensoussan, Le commerce électronique, aspects juridiques, Hermès, Paris, 1998, spéc. n° 2), des précisions méritent d'être apportées nous semble-t-il à la lumière de la jurisprudence relative à la vente par correspondance. En effet, comme on l'a souligné « le distributeur peut valablement être tenu de s'abstenir de pratiquer la vente par correspondance ou la vente en libre service lorsqu'elles sont incompatibles avec l'exécution des services qui doivent accompagner la commercialisation du produit » (D. Ferrier, Droit de la distribution, Litec, Paris, 1995, n° 506). C'est ainsi qu'il a été jugé à propos d'un réseau de distribution sélective de logiciels, que cette forme de vente par correspondance ne pouvait être exclue par nature du réseau de distribution et qu'en l'espèce une interdiction de principe n'était pas en rapport avec les exigences de la distribution de ces produits (Cons. conc. 26 nov. 1996, BOCC 11 févr. 1997, p. 60). En conséquence, le fournisseur ne saurait interdire aux membres du réseau de distribution sélective la vente de ses produits sur internet seulement dans l'hypothèse où ce mode de commercialisation porterait préjudice à ses produits. Or, s'agissant des produits de santé celui-ci pourrait notamment résulter de l'impossibilité pour le client d'être assisté et conseillé par un professionnel dans le choix d'un produit. C'est en ce sens qu'une réponse ministérielle mentionne au sujet de la vente de médicaments en libre service sur internet que « l'ensemble de la chaîne du médicament est placé sous le contrôle des pharmaciens en ce qui concerne la dispensation au malade, qui, pour certains médicaments, nécessite une prescription médicale. C'est pourquoi la vente de médicaments au public par correspondance est illégale et passible des sanctions pénales prévues à l'article L. 517 du code de la santé publique. Ces dispositions s'appliquent en droit aux ventes de médicaments via internet ... » (Rép. min. 24 juill. 1999, JO Sénat, 26 août 1999, p. 17124). Mais, s'agissant plus précisément des produits cosmétiques objets du litige, il nous apparaît difficile de considérer que leur distribution sur internet réponde aux exigences de sécurité et de santé généralement imposées aux distributeurs. En outre, cette méthode de commercialisation s'inscrit nous semble-t-il, du moins en l'état actuel de la technique en contradiction avec l'obligation généralement assignée aux distributeurs d'offrir à leurs clients des conseils de qualité et donc personnalisés émis par un pharmacien diplômé.

Enfin, le développement de réseaux de commercialisation par les distributeurs à l'insu du fournisseur est d'autant plus critiquable que la multiplicité de sites internet par des distributeurs d'un même réseau conduirait à mettre en échec un développement cohérent du réseau au risque de ruiner la collaboration voire la coopération qui est de l'essence même de ce mode de distribution. Aussi, les partenaires auront tout intérêt à collaborer afin de s'accorder pour inclure dans le périmètre de leur contrat de distribution une commercialisation des produits sur internet.

Mots clés : PHARMACIE * Cosmétique * Distribution sélective * Internet

Comment allier efficacité et sécurité informatique ?

La cybersécurité n’est pas vraiment un sujet sexy en entreprise. Elle est généralement perçue comme étant une complexité supplémentaire à l’exercice d’une activité professionnelle. L’essentiel pour une entreprise c’est le business, les autres aspects plus administratifs passent généralement à la trappe.

Pourtant, la sécurité numérique est essentielle pour faire marcher le business. De mauvaises pratiques peuvent conduire à l’arrêt d’activité et une atteinte à l’image de la société. Faire attention à la sécurité c’est aussi protéger le business.

Mais il faut reconnaître qu’une application stricte des bonnes pratiques en matière de cybersécurité est assez complexe à mettre en œuvre. Si on les applique au début, parfois on essaie rapidement de les outrepasser parce que cela peut prendre trop de temps ou empêcher la réalisation d’une tâche nécessaire.

On ne le répétera jamais assez, mais le risque principal dans une entreprise en termes de sécurité numérique sont les actions opérées par un salarié. Le vecteur humain représente 90% des cas de tentative de cyberattaques réussies. Il faut donc bien faire comprendre aux équipes le pourquoi des actions mises en œuvre afin qu’elles ne les prennent pas comme des bâtons dans les roues de leur activité. 

En cybersécurité, il y a les risques, mais également la probabilité que l'événement arrive. Il est impossible de blinder complètement son système d’information ou site internet ecommerce (sécurité prestashop ou autre). Il faut choisir les risques dont la probabilité est suffisamment importante et adopter les mesures adaptées. Tout couvrir serait trop important pour une PME et en fonction des moyens serait contreproductive.

Il est également important de réfléchir aux solutions cyber alternative. A chaque risque il existe plusieurs façons d’y répondre. Et l’une d’entre elles est plus adaptée au contexte de votre entreprise. Essayez autant que possible de choisir les solutions les plus réalisables et les moins contraignantes possible.

Vous pouvez également faire appel à une entreprise de cybersécurité qui vous accompagnera dans les choix technologiques et organisationnels à adopter.

Marché de l'art - Numérique - Art, média et e-commerce

L'entreprise Skate's vient de publier son rapport sur l'e-commerce  (et le piratage informatique) et les médias en analysant les différents modèles des acteurs du commerce de l'art en ligne et leurs stratégies digitales. Au terme de cette étude, est attribué un « Digital Score » basé sur la présence de ces acteurs au sein des médias sociaux (nombre de likes, followers et stickiness - temps passé sur une page Web) couplé à des indicateurs plus classiques tels que la croissance financière, le chiffre d'affaires et le revenu annuel par utilisateur.

Le classement révélé « ne laisse aucune place à l'ambiguïté » quant au fait que le modèle digital ayant le plus grand succès dans l'industrie artistique est celui de la distribution électronique d'images. Skate's prévoit également la forte croissance de ce qu'il nomme les « Vanity Fair Operators » - plateformes pour les artistes et les photographes qui veulent cultiver leur propre image - ainsi que des profits dès 2016 pour les entreprises d'enchères en ligne, qui connaissent aujourd'hui des pertes. Le rapport précise en outre que les cinq meilleures entreprises d'art (Shutterstock, Getty Images, artnet, Society6 et LiveAuctioneers) en termes de stratégie numérique sont celles n'ayant pas hérité d'un passé « hors-ligne » à gérer, prouvant qu'il est difficile pour les entreprises culturelles établies dans un monde déconnecté de migrer vers un avenir en ligne. Il s'agit donc d'une « question de temps » avant que l'art conventionnel ne se déplace définitivement vers l'internet.

[Skate's, « Skate's art e-commerce and media report », automne 2014]

Mots clés : NUMÉRIQUE ET INTERNET * Réseaux sociaux OEUVRE * Caractéristiques * Cession VENTE * Aux enchères volontaires

Précisions sur l'obligation de paiement du banquier tiré en cas de mainlevée de l'opposition au paiement d'un chèque

1. Le chèque est perçu, aujourd'hui, comme un instrument de paiement ancien et un peu désuet. Il a été progressivement concurrencé, surtout au cours de ces vingt dernières années, par de nouveaux instruments, et notamment la carte bancaire. C'est ainsi qu'en 2017, seuls 8 % des paiements scripturaux ont été réalisés à l'aide de chèques (contre 52 % pour la carte bancaire(1), 17 % pour le prélèvement et 16 % pour le virement)(2). Cependant, en Europe, la France reste de loin le pays qui utilise le plus cet instrument de paiement, avec 70 % du nombre des chèques émis dans l'Union européenne en 2015(3).

2. Or, malgré cette nette « perte de vitesse », le chèque continue de donner lieu à des décisions de jurisprudence notables(4). L'arrêt rendu le 21 novembre 2018 a ainsi retenu notre attention(5).

3. En l'espèce, la société civile de construction vente du Jeu de Dames (la SCCV) avait émis à l'ordre de la société HPF deux chèques, tirés sur le compte dont elle était titulaire dans les livres de la Banque Kolb. Remis à l'encaissement le 4 janvier 2014, ces chèques, bien que provisionnés, avaient été rejetés en raison de l'opposition faite à leur paiement par le gérant de la SCCV.

4. Cependant, saisi par la société HPF, le juge des référés avait, par une ordonnance du 25 juin 2014 devenue irrévocable et opposable à la banque (qui avait été attraite à l'instance), ordonné la mainlevée de l'opposition au motif qu'elle avait été faite pour un motif inexact, en l'occurrence le vol, et non pour utilisation frauduleuse.

5. La société HPF avait alors présenté les deux chèques au paiement une seconde fois, le 15 juillet 2014. Or l'un d'eux, d'un montant de 76 041,68 €, avait été de nouveau rejeté, cette fois pour insuffisance de provision. La société HPF avait en conséquence assigné la banque en paiement de cette somme, majorée des intérêts et de dommages-intérêts.

6. La cour d'appel de Nancy avait pourtant rejeté, par une décision du 7 juin 2017, la demande de la société HPF. Sa motivation se voulait précise. Elle commençait par énoncer que la banque tirée avait l'obligation de maintenir la provision au plus tard, soit jusqu'à l'expiration du délai de prescription du chèque, dans l'hypothèse où la mainlevée de l'opposition n'avait pas été ordonnée avant cette date, soit jusqu'à la signification d'une décision exécutoire ordonnant la mainlevée de l'opposition, si une telle décision était intervenue avant l'expiration du délai de prescription du chèque. Ensuite, elle retenait que le chèque litigieux avait été émis le 2 janvier 2014 et la décision ordonnant la mainlevée de l'opposition avait été rendue le 25 juin 2014 par le juge des référés. Dès lors, la banque mise en cause était fondée, pour la cour, à ne maintenir la provision sur le compte du tireur que jusqu'au 27 juin 2014, date à laquelle la décision de mainlevée lui avait été signifiée, et il ne pouvait donc lui être reproché de ne pas avoir maintenu la provision jusqu'au 15 juillet 2014, date de sa seconde présentation, nonobstant le fait qu'un appel avait été régularisé par le tireur à l'encontre de la décision de référé, celle-ci ayant, en effet, bénéficié de l'exécution provisoire.

7. Face à cette solution, la société HPF avait formé un pourvoi en cassation. Celui-ci se révèle utile. En effet, la Cour de cassation casse et annule, au visa de l'ancien article 1382 du code civil, devenu l'article 1240, la décision des juges du fond. Selon elle, dans la mesure où la banque tirée d'un chèque frappé d'opposition est tenue d'en immobiliser la provision jusqu'à décision judiciaire sur la validité de l'opposition, si elle a été mise en cause dans l'instance en référé engagée à cette fin, ou, sinon, pendant une année suivant l'expiration du délai de présentation du chèque, « elle doit, après mainlevée de l'opposition au cours de ces périodes, soit dès la décision judiciaire de mainlevée, si elle a été elle-même en cause, soit dès qu'elle lui a été notifiée ou signifiée, payer au bénéficiaire le montant, jusqu'alors bloqué, de la provision du chèque, sous la seule réserve que le titre puisse lui être remis en contrepartie ». Dès lors, en statuant comme elle l'avait fait, la cour d'appel avait violé l'ancien article 1382, devenu 1240, du code civil.

8. Voilà une décision à la fois technique et utile. Elle a pour intérêt de rappeler, en filigrane, l'état du droit applicable en cas de contestation d'une opposition au paiement d'un chèque (I), tout en précisant les obligations du banquier tiré dans une telle hypothèse (II).

I - Encadrement juridique de la contestation de l'opposition au paiement d'un chèque 9. L'irrévocabilité de l'ordre de payer connaît une dérogation avec l'opposition, laquelle est une mesure conservatoire immobilisant la provision entre les mains du banquier tiré découlant d'un ordre donné à ce tiré par le tireur (voire par le porteur(6)) de ne pas payer un chèque pourtant présenté à l'encaissement(7).

10. L'opposition doit demeurer exceptionnelle. Elle n'est ainsi admise par l'article L. 131-35 du code monétaire et financier qu'en cas « de perte, de vol ou d'utilisation frauduleuse du chèque, de sauvegarde, de redressement ou de liquidation judiciaires du porteur ». Aucun autre motif ne saurait la justifier(8). Au contraire, le tireur qui a fait opposition pour un motif illicite est assimilé à celui qui n'a pas fourni de provision(9) et encourt, à ce titre, les sanctions de l'article L. 163-2, relatif au délit de blocage illicite de la provision, c'est-à-dire un emprisonnement de cinq ans et une amende de 375 000 €.

11. Toutefois, cette procédure d'opposition n'est pas laissée à la seule disposition du tireur. Les abus risqueraient d'être trop fréquents. Une procédure de mainlevée de l'opposition est logiquement envisagée par notre droit. Si le porteur estime non fondé le motif invoqué par le tireur pour justifier son opposition, il est en droit de saisir le juge des référés afin d'obtenir mainlevée de l'opposition(10). Seul ce magistrat est compétent si le tireur ne parvient pas à établir que l'opposition est fondée sur l'un des motifs autorisés(11) ou, comme dans notre affaire, sur le motif mis effectivement en avant(12). Il bénéficie, pour ce faire, d'un pouvoir souverain d'appréciation.

12. Toutefois, une telle action en mainlevée demeure encadrée par un délai. Mais quel est-il ? La loi ne disant mot sur ce point, la jurisprudence est venue clarifier la question. Il a ainsi été précisé que le bénéficiaire d'un chèque pouvait agir en mainlevée de l'opposition jusqu'à la prescription de l'action contre le tiré, soit dans le délai d'un an prévu par l'article L. 131-59 du code monétaire et financier(13).

13. Mais quelle doit être l'attitude du banquier tiré dans un tel cas ? Le présent arrêt nous donne des précisions importantes sur ce point.

II - Obligations du banquier tiré en cas de contestation de l'opposition 14. En cas d'opposition au paiement d'un chèque, le banquier est tenu, avant toute chose, d'en immobiliser la provision(14). Mais quelle sera la durée d'une telle immobilisation ? La loi n'indique rien sur ce point-là non plus. Cet oubli a été progressivement réparé par la jurisprudence.

15. Elle est ainsi venue indiquer, par une décision de la Cour de cassation du 18 avril 2000(15), que la banque tirée d'un chèque frappé d'opposition est tenue d'en immobiliser la provision jusqu'à décision judiciaire sur la validité de l'opposition, si elle a été mise en cause dans l'instance en référé engagée à cette fin, ou, sinon, pendant une année suivant l'expiration du délai de présentation du chèque(16). Dans la présente affaire qui nous occupe, la haute juridiction confirme expressément cette solution.

16. On rappellera qu'outre cette immobilisation, le banquier se voit également imposer, au même moment, une interdiction de payer le chèque(17), une obligation d'information du tireur(18) et, enfin, une obligation de vérification du motif de l'opposition allégué(19).

17. Mais quels sont les impacts de la mainlevée de l'opposition sur ce banquier tiré ? Il est acquis que lorsque le juge des référés prononce la mainlevée de l'opposition, le banquier tiré est dans l'obligation, dès qu'il en est informé, de délivrer le montant du chèque, jusqu'alors bloqué, au porteur, sous la seule réserve que le titre puisse lui être remis en contrepartie(20).

18. L'arrêt du 21 novembre 2018 reprend cette solution tout en la précisant quelque peu. En effet, la Cour de cassation nous indique que la banque tirée doit « soit dès la décision judiciaire de mainlevée, si elle a été elle-même en cause, soit dès qu'elle lui a été notifiée ou signifiée, payer au bénéficiaire le montant, jusqu'alors bloqué, de la provision du chèque » (ici encore sous la réserve que le titre puisse lui être remis en échange). En l'espèce, il pouvait donc être reproché à la banque de n'avoir pas procédé à un tel paiement.

19. Il ressort en conséquence de cette décision, qu'après la mainlevée de l'opposition, le paiement du chèque n'est pas subordonné à un nouvel ordre de paiement de la part du tireur : le paiement doit être immédiatement effectué par le banquier tiré si le titre peut lui être remis en contrepartie. La banque ne doit pas pouvoir permettre au tireur de disposer des fonds en attendant la seconde présentation du chèque à l'encaissement. À défaut, l'établissement de crédit est en faute et il est susceptible, à ce titre, de voir sa responsabilité civile engagée. Il appartiendra à la juridiction de renvoi, c'est-à-dire la cour d'appel de Metz, de se prononcer sur ce point.

20. Cette solution est convaincante. On peut y trouver un fondement dans le droit de propriété du porteur sur la provision(21). En effet, on rappellera que si les textes ne mentionnent le transfert de propriété de la provision qu'à propos de l'endossement(22), il paraît logique d'admettre que l'émission du chèque transfère également au bénéficiaire la propriété de la provision. Un courant doctrinal(23) voit dans cette solution de bon sens le « corollaire de l'irrévocabilité de la provision », dans la mesure où « la provision étant, dès l'émission du chèque, transmise au bénéficiaire, le tireur en perd immédiatement la maîtrise ». En conséquence, si, à l'occasion de l'opposition, le banquier tiré bloque de manière conservatoire cette provision, qui appartient donc déjà au porteur, une fois l'opposition levée, celui-ci a nécessairement droit de se faire remettre les fonds en question.

Mots clés : CHEQUE * Paiement * Opposition * Mainlevée * Provision * Déblocage

(1) Les chiffres de 2018 pourraient être nettement plus importants encore, S. Poullennec, Le paiement par carte bancaire atteint de nouveaux sommets, Les Échos, 17 déc. 2018, p. 31. L'usage de la carte est ainsi porté par le développement du paiement sans contact (hausse du plafond à 30 €) et par l'e-commerce test d’intrusion anssi.

(2) Observatoire de la sécurité des moyens de paiement. Rapport pour l'année 2017, juill. 2018.

(3) D. Cuny, Carte, virement, chèque ou cash : comment paie-t-on en Europe ?, La Tribune, 20 sept. 2017.

(4) V. très récemment, Com. 5 déc. 2018, n° 17-22.658, D. 2018. 2356 ; JCP 2019, note J. Lasserre Capdeville, à paraître ; Crim. 28 nov. 2018, n° 18-80.917.

(5) Com. 21 nov. 2018, n° 17-24.014, D. 2018. 2300 ; D. actu. 11 déc. 2018, obs. X. Delpech ; JCP 2018, n° 50, 1301, obs. N. Kilgus ; LEDB janv. 2019, p. 2, obs. N. Mathey.

(6) M. Cabrillac et P. Casson, Chèque, Paiement et défaut de paiement, J.-Cl. BCB, fasc. 330, 2017, n° 18.

(7) J. Lasserre Capdeville, Les éclaircissements jurisprudentiels de l'opposition en matière de chèque, Banque et Dr. 11-12/2004. 3 ; C. Youego, Domaine de l'opposition au paiement par chèque, RDBF 2005, n° 3, p. 51.

(8) Versailles, 24 févr. 1989, Gaz. Pal. 1989. 2. Somm. 311. C'est ainsi, par exemple, que l'énumération ne vise pas le cas de la dissolution du porteur lorsque celui-ci est une personne morale, Besançon, 24 juin 2009, RJDA 2010, n° 627 ; Dr. sociétés 2009. Comm. 218, obs. M.-L. C.

(9) Com. 30 mai 1995, n° 93-10.454, Bull. civ. IV, n° 158 ; D. 1996. 35, obs. M. Cabrillac.

(10) Paris, 5 juill. 1977, D. 1978. 339 ; TGI Dunkerque, 20 oct. 1977, D. 1978. 81, obs. M. Cabrillac.

(11) Douai, 29 juin 2017, n° 16/05310, LEDB oct. 2017, p. 4, obs. J. Lasserre Capdeville.

(12) Le porteur doit ainsi être particulièrement vigilant et ne pas se tromper de motif légal. Voilà qui est particulièrement strict et n'échappe pas, selon nous, à la critique.

(13) Com. 24 oct. 2000, n° 97-21.710, Bull. civ. IV, n° 162 ; D. 2000. 417, obs. A. Lienhard ; RTD com. 2001. 195, obs. M. Cabrillac ; Banque et Dr. 1-2/2001. 46, obs. N. Rontchevsky. Selon ce dernier, « le bénéficiaire d'un chèque peut agir en mainlevée de l'opposition tant que celle-ci garde effet, à savoir jusqu'à la prescription de l'action contre le tiré » ; Com. 17 déc. 2002, n° 00-17.546 ; 27 nov. 2012, n° 11-19.864, Bull. civ. IV, n° 212 ; D. 2012. 2884, obs. X. Delpech, et 2013. 214, note J. Lasserre Capdeville ; Banque et Dr. 1-2/2013. 20, obs. T. Bonneau.

(14) Req. 18 juin 1946, D. 1946. 346 ; JCP 1946. II. 3252, rapp. Lescot ; Banque 1946. 45, obs. R. Houin.

(15) Com. 18 avr. 2000, n° 96-20.499, Bull. civ. IV, n° 79 ; D. 2000. 245, obs. J. Daleau ; RTD com. 2000. 987, obs. M. Cabrillac ; RDBF 2000. Comm. 140, obs. F.-J. Crédot et Y. Gérard ; 27 févr. 2001, n° 98-22.500.

(16) Notons, cependant, que cette obligation ne peut être respectée que si la provision existe. En conséquence, lorsque tel n'est pas le cas, on ne peut reprocher à une banque de ne pas avoir opéré cette immobilisation. Nîmes, 27 sept. 2011, n° 09/03465, LEDB nov. 2011, p. 3, obs. J. Lasserre Capdeville.

(17) À défaut, il verra sa responsabilité civile engagée si le paiement en question a été préjudiciable au tireur, Com. 20 juin 1977, n° 00-12.174, Bull. civ. IV, n° 173 ; D. 1978. 398, note C. Gavalda ; RTD com. 1977. 338, obs. M. Cabrillac et J.-L. Rives-Lange ; JCP 1978. II. 18808, note J. Vezian ; Paris, 21 nov. 2013, n° 12/04431, LEDB juin 2014, p. 6, obs. J. Lasserre Capdeville. En outre, la Cour de cassation a eu l'occasion de préciser que le banquier ayant fautivement payé un chèque faisant l'objet d'une opposition ne peut pas exercer l'action de in rem verso contre le tireur de ce même chèque, Civ. 1re, 19 mars 2015, n° 14-10.075, D. 2015. 1084, note J. Lasserre Capdeville ; Gaz. Pal. 2015. 2330, obs. C. Houin-Bressand ; RLDA mai 2015, p. 30, obs. V. Mauriès.

(18) Selon l'art. L. 131-35, al. 3, il doit informer par écrit les titulaires de compte des sanctions encourues en cas d'opposition fondée sur une autre cause que « celles évoquées au présent article », c'est-à-dire le contenu du délit envisagé par l'art. L. 163-2 c. mon. fin.

(19) En présence d'un cas légal d'opposition, le tiré n'a cependant aucun pouvoir d'appréciation ; il est tenu de l'admettre sans en rechercher la réalité, Com. 8 oct. 2002, n° 00-12.174, Bull. civ. IV, n° 135 ; D. 2002. 2940, obs. V. Avena-Robardet ; RTD com. 2003. 140, obs. M. Cabrillac ; JCP E 2003. 222, note D. Cholet ; RDBF 2002. Comm. 225, obs. F.-J. Crédot et Y. Gérard ; Banque et Dr. 1-2/2003. 57, obs. T. Bonneau ; 17 févr. 2015, n° 13-22.520, Gaz. Pal. 2015. 3685, obs. C. Houin-Bressand ; Banque et Dr. juill.-août 2015, p. 21, obs. G. Helleringer ; 16 juin 2015, n° 14-13.493, D. 2015. 1364 ; RTD com. 2016. 167, obs. D. Legeais ; D. actu. 8 juill. 2015, obs. X. Delpech ; JCP 2015. 916, note J. Lasserre Capdeville ; RDBF 2015. Comm. 178, obs. F.-J. Crédot et T. Samin.

(20) En outre, la juridiction des référés a le pouvoir, dans le cadre de sa compétence générale, d'accorder une provision au créancier au cas où la position du compte ne permet pas d'honorer le chèque, Com. 26 mars 1996, n° 94-12.797, RTD com. 1996. 503, obs. M. Cabrillac.

(21) Dans le même sens, N. Kilgus, op. cit.

(22) Art. L. 131-20, al. 1er, c. mon. fin.

(23) R. Bonhomme, Instruments de crédit et de paiement, LGDJ, 12e éd., 2017, n° 317.

Vente de livres sur internet : la livraison peut être gratuite

Viole, par fausse application, les articles L. 121-35 du code de la consommation et 6 de la loi n° 81-766 du 10 août 1981 la cour d'appel qui, pour dire illicite, au regard de cet article 6 de la loi du 10 août 1981, l'opération promotionnelle ayant consisté pour la société France Télécom E-Commerce, détaillant, à faire bénéficier ses clients de la gratuité de la livraison pour toute commande de livres sur son site internet, retient que les frais de port étant normalement à la charge de l'acheteur, le seul fait pour le vendeur, dans un but de promotion et d'incitation à l'achat, d'annoncer au client auquel le lie un contrat à titre onéreux, qu'il assume lui-même le paiement de la livraison et d'en faire un service gratuit caractérise la prime au sens desdits articles, alors que la prise en charge par le vendeur du coût afférent à l'exécution de son obligation de délivrance du produit vendu ne constitue pas une prime au sens des dispositions du code de la consommation.

Texte intégral : LA COUR : - Donne acte à la société France Télécom, venant aux droits de la société Wanadoo SA de ce qu'elle se désiste de son pourvoi formé contre le syndicat de la Librairie française ;

Attendu, selon l'arrêt attaqué, que le syndicat de la Librairie française, a assigné la société Wanadoo SA, devenue France Télécom et la société Alapage.com, devenue Wanadoo E-Merchant et actuellement France Télécom E-Commerce, qui a notamment pour activité la vente de livres par l'intermédiaire de son site internet, pour concurrence déloyale, leur reprochant deux opérations promotionnelles effectuées, selon elle, en méconnaissance des dispositions de la loi du 10 août 1981 relative au prix du livre et de l'article L. 121-35 du code de la consommation ; que la cour d'appel a considéré que la société France Télécom E-Commerce (la sécurité numérique), en offrant, du 9 septembre au 6 octobre 2002, des frais de port gratuits à tout acheteur de livre sur son site internet, a contrevenu aux dispositions de l'article 6 de la loi du 10 août 1981 et que cette même société, en faisant bénéficier, durant trois mois, certains acheteurs d'un bon d'achat de 15 euros pour tout achat de livres pour un montant égal ou supérieur à la valeur du bon, a méconnu les dispositions des articles 1 et 5 de ladite loi ;

Sur le second moyen : - Attendu que la société France Télécom E-Commerce fait grief à l'arrêt de l'avoir condamnée à payer au syndicat de la Librairie française la somme de 50 000 euros en réparation du préjudice subi par ce dernier du fait de deux opérations promotionnelles dont l'une consistait à accepter pour le paiement des livres acquis en ligne sur le site « alapage.com » des bons d'achat offerts à ses abonnés par Wanadoo Interactive, fournisseur d'accès à internet, alors, selon le moyen : 1°/ que l'acceptation en paiement de chèques-cadeau émis par un tiers, Wanadoo Interactive, qui crédite de leur entière valeur le détaillant, France Télécom E-Commerce en sorte que celui-ci reçoit en recette la totalité du prix du livre fixé par l'éditeur, ne constitue pas une remise accordée par le détaillant à l'acheteur ; qu'en décidant que la délivrance de tels bons a dans tous les cas pour objet obligé et nécessaire de permettre la vente des ouvrages à des prix réduits au-delà des limites légalement autorisées par l'article 5 de la loi du 10 août 1981, sans rechercher, comme elle y était invitée par conclusions signifiées le 28 juillet 2005, si France Télécom E-Commerce n'avait pas perçu de ce tiers le complément de prix correspondant à l'intégralité de la recette égale au prix fixé par l'éditeur, la cour d'appel a entaché sa décision d'un défaut de base légale au regard des articles 1 et 5 de la loi du 10 août 1981 ; 2°/ que la loi Lang a pour finalité de garantir au détaillant qu'il perçoit l'intégralité du prix du livre fixé par l'éditeur et non d'imposer à l'acheteur d'en supporter intégralement le coût ; qu'en se fondant sur le fait que le client n'acquitte en argent que le prix diminué de la valeur du bon d'achat, la cour d'appel s'est déterminée par des motifs inopérants en violation de l'article 455 du code de procédure civile ;

Mais attendu qu'ayant, par motifs propres et adoptés, retenu que, sous couvert d'une prime accordée à ses abonnés par la société Wanadoo Interactive, fournisseur d'accès à internet, sous forme de bons d'achat à valoir sur le site internet « alapage.com », la société France Télécom E-Commerce avait offert à la vente sur ce site à certains de ses clients, abonnés de la société Wanadoo Interactive, appartenant au même groupe que la société France Télécom E-Commerce, des livres à un prix effectif inférieur de plus de 5 % à celui fixé par l'éditeur ou l'importateur, peu important, au regard des dispositions de l'article 1er de la loi du 10 août 1981, que la société France Télécom E-Commerce ait été remboursée par la société Wanadoo Interactive du montant de la réduction ainsi accordée, la cour d'appel a légalement justifié sa décision ; que le moyen n'est pas fondé ;

Mais sur le premier moyen, pris en sa deuxième branche : - Vu les articles L. 121-35 du code de la consommation et 6 de la loi du 10 août 1981 ;

Attendu que, pour dire illicite, au regard de l'article 6 de la loi du 10 août 1981, l'opération promotionnelle ayant consisté pour la société France Télécom E-Commerce, détaillant, à faire bénéficier ses clients de la gratuité de la livraison pour toute commande de livres sur son site internet, l'arrêt retient que les frais de port étant normalement à la charge de l'acheteur, le seul fait pour le vendeur, dans un but de promotion et d'incitation à l'achat, d'annoncer au client auquel le lie un contrat à titre onéreux, qu'il assume lui-même le paiement de la livraison et d'en faire un service gratuit caractérise la prime au sens des articles 6 de la loi du 10 août 1981 et L. 121-35 du code de la consommation ;

Attendu qu'en statuant ainsi, alors que la prise en charge par le vendeur du coût afférent à l'exécution de son obligation de délivrance du produit vendu ne constitue pas une prime au sens des dispositions du code de la consommation, la cour d'appel a violé, par fausse application, les textes susvisés ;

Par ces motifs [...], casse [...], renvoie devant la cour d'appel de Paris, autrement composée [...].

Demandeur : France Télécom E-Commerce (Sté) Défendeur : Syndicat de la Librairie française Décision attaquée : Cour d'appel de Paris 5e ch. A 23-05-2007 (Cassation partielle) Texte(s) appliqué(s) : Code de la consommation - art. L. 121-35 Loi n° 81-766 du 10-08-1981 - art. 6

Mots clés : PRIX * Livre * Vente avec prime * Qualification * Vente par correspondance * Frais de port * Gratuité * Obligation de délivrance

La loi ÉLAN criminalise la location de vacances et contraint les plateformes en ligne à jouer un rôle de police

Thimotée de Roux, Président de l'UNPLV depuis 2017, Directeur marketing de HomeAway France puis de HomeAway Europe de 2014 à 2017 ; Directeur du marketing et de l'e-commerce pour le groupe Thomas Cook puis directeur général délégué de la chaîne hôtelière Châteaux & Hôtels Collection de 2010 à 2014 ; Directeur du marketing d'Expedia France puis d'Expedia Europede 2007 à 2010

La location meublée a déjà fait l'objet de deux lois relatives au logement et au numérique depuis 2014, de mesures spécifiques dans quatre lois de finances. Elle est encore à l'ordre du jour du projet de loi ÉLAN, présenté en Conseil des ministres le 4 avril et actuellement en discussion à l'Assemblée nationale. L'article 51 de ce nouveau texte, qui vise les propriétaires et les intermédiaires, propose des mesures extrêmes qui doivent, selon leurs auteurs, pallier l'échec des mesures précédentes et résoudre les problèmes de logement anciens et récurrents à Paris et quelques grandes villes.

L'Union nationale pour la promotion et le développement de la location de vacances (UNPLV) considère que les grands moyens proposés par l'article 51 du projet de loi ÉLAN sont non seulement disproportionnés, mais qu'ils persistent dans la méconnaissance des principes du droit du commerce électronique.

Une mesure phare du projet de loi ÉLAN et de son article 51 est l'augmentation considérable des amendes encourues par les propriétaires de meublés de tourisme (jusqu'à 10 000 euros par annonce réputée illégale) et les plateformes (jusqu'à 50 000 euros) dans l'hypothèse où ils feraient paraître des annonces de location sans le fameux numéro d'enregistrement que la Ville de Paris a mis en place et dont seuls 15 % des propriétaires de meublés parisiens auraient jusqu'ici fait la demande.

Les amendes encourues ne seront pas seulement beaucoup plus importantes si le texte présenté est adopté, leur nature sera aussi différente passant d'amendes administratives à civiles. La conséquence sera l'utilisation par les villes de la procédure du référé, expéditive, laissant peu de place au contradictoire et obligeant le mis en cause à payer l'amende avant de présenter sa défense sur le fond.

L'article 51 prévoit également que les villes empocheront les amendes ce qui représentera pour elles une sérieuse motivation pour assigner les propriétaires de meublés et un risque d'engorgement des tribunaux.

Force est de constater que la loi ÉLAN méconnaît le statut juridique des intermédiaires fixé dans la directive européenne de juillet 2000 relative au e-commerce intrusion informatique, transposée en France en 2004 dans la loi pour la confiance dans l'économie numérique (LCEN). En 2014, les intermédiaires étaient perçus comme de simples relais d'information de la législation applicable. En 2016, ils se voyaient demander de s'assurer que la durée maximum de location de 120 jours n'était pas dépassée et imposer une obligation de résultat avec la publication du numéro de déclaration. En 2018, la loi ÉLAN semble tourner définitivement le dos à la logique incitative en menaçant de lourdes sanctions des intermédiaires transformés en agents de collecte d'informations, de transmission aux communes et de contrôle de l'application de la législation.

L'UNPLV espère qu'à l'examen de l'article 51 du projet de loi ÉLAN la représentation nationale réalisera que ses mesures excessives conçues pour la Ville de Paris ne sont pas en proportion avec la lutte contre les spéculateurs immobiliers qui sont à l'origine des problèmes de logement associés à la location meublée et qui représentent une minorité des utilisateurs des plateformes.

L'UNPLV espère également que la nécessaire notification du texte à la Commission européenne conduira le gouvernement à renoncer de présenter des mesures aussi inapplicables que certaines des mesures qui formaient l'article 51 de la loi Lemaire sur la location meublée.

Mots clés : HÉBERGEMENT * Location * Meublée * Meublé de tourisme

Le critère français de la subordination juridique confronté au « contrôle », à « l'influence déterminante » d'un opérateur de plateforme en ligne sur l'activité de ses usagers

Le lien de subordination est caractérisé par l'exécution d'un travail sous l'autorité d'un employeur qui a le pouvoir de donner des ordres et des directives, d'en contrôler l'exécution et de sanctionner les manquements de son subordonné.

Viole l'article L. 8221-6, II, du code du travail la cour d'appel qui retient qu'un coursier ne justifie pas d'un contrat de travail le liant à une société utilisant une plateforme web et une application afin de mettre en relation des restaurateurs partenaires, des clients passant commande de repas par le truchement de la plateforme et des livreurs à vélo exerçant sous le statut de travailleur indépendant des livraisons de repas, alors qu'il résulte de ses constatations que l'application était dotée d'un système de géolocalisation permettant le suivi en temps réel par la société de la position du coursier et la comptabilisation du nombre total de kilomètres parcourus par celui-ci et que la société disposait d'un pouvoir de sanction à l'égard du coursier.

Il ne saurait être utilement contesté que M. Z Y a été contraint pour pouvoir devenir « partenaire » de la société Uber BV et de son application éponyme de s'inscrire au registre des métiers et que loin de décider librement de l'organisation de son activité, de rechercher une clientèle ou de choisir ses fournisseurs, il a ainsi intégré un service de prestation de transport créé et entièrement organisé par la société Uber BV, qui n'existe que grâce à cette plateforme, service de transport à travers l'utilisation duquel il ne constitue aucune clientèle propre, ne fixe pas librement ses tarifs ni les conditions d'exercice de sa prestation de transport, qui sont entièrement régis par la société Uber BV.

La cour en déduit qu'un faisceau suffisant d'indices se trouve réuni pour permettre à M. Z Y de caractériser le lien de subordination dans lequel il se trouvait lors de ses connexions a[#768] la plateforme Uber et d'ainsi renverser la présomption simple de non-salariat que font peser sur lui les dispositions de l'article L. 8221-6, I, du code du travail.

Par deux décisions importantes et temporellement rapprochées des 28 novembre 2018 et 10 janvier 2019, la chambre sociale de la Cour de cassation et la Cour d'appel de Paris, pôle 6, chambre 2, viennent de procéder à la requalification en contrat de travail du contrat qui liait, dans la première décision, un coursier à l'opérateur de plateforme en ligne « Take Eat easy », dans la seconde décision, un chauffeur à l'opérateur de plateforme en ligne « Uber BV ». Dans les deux hypothèses, les prestataires de services faisaient l'objet d'une inscription au registre des métiers, ce qui faisait peser sur eux une présomption simple de non-salariat au sens de l'article L. 8221-6, I, du code du travail, présomption simple que les deux juridictions ont écartée au regard du faisceau d'indices concourant à la caractérisation d'une subordination juridique.

La décision de la Cour de cassation est importante, car elle applique, pour la première fois un raisonnement classique en matière de requalification en contrat de travail (Soc. 13 nov. 1996, n° 94-13.187, Société générale c/ URSSAF de la Haute-Garonne, D. 1996. 268 ; Dr. soc. 1996. 1067, note J.-J. Dupeyroux ; RDSS 1997. 847, note J.-C. Dosdat) au secteur des prestations de services fournies via des plateformes en ligne. La décision des juges du fond est, pour sa part, emblématique, car la cour d'appel, reprenant le même raisonnement que celui tenu par la Cour de cassation à propos d'un opérateur de plateforme en ligne ayant depuis fait l'objet d'une procédure collective, la société Take Eat easy, l'applique à un opérateur de plateforme en ligne devenu un acteur incontournable du transport de personnes, l'opérateur de plateforme en ligne « Uber BV », acteur dont l'un des services, le service « Uber pop » a fait l'objet d'une première analyse juridique par deux arrêts récents de la Cour de justice de l'Union européenne (CJUE 20 déc. 2017, aff. C-434/15, Asociacion Profesional Elite Taxi c/ Uber Systems Spain, AJDA 2018. 329, chron. P. Bonneville, E. Broussy, H. Cassagnabère et C. Gänser ; D. 2018. 934, note N. Balat ; ibid. 1412, obs. H. Kenfack ; JT 2018, n° 205, p. 12, obs. X. Delpech ; RTD eur. 2018. 147, obs. L. Grard ; ibid. 273, étude V. Hatzopoulos ; CJUE 10 avr. 2018, aff. C-320/16, Uber France SAS, D. 2018. 934, note N. Balat ; ibid. 1412, obs. H. Kenfack ; JT 2018, n° 208, p. 11, obs. X. Delpech ; J. Sénéchal, Le « courtage » des opérateurs de plateforme en ligne - Analyse sous le prisme de l'arrêt Uber Systems Spain SL de la Cour de justice de l'Union européenne, AJ Contrat 2018. 8).

La Cour de cassation et la cour d'appel, rappelant que l'existence d'une relation de travail ne dépend ni de la volonté exprimée par les parties, ni de la dénomination qu'elles ont donnée à leur convention, mais des conditions de fait dans lesquelles est exercée l'activité des travailleurs, ont analysé les modalités contractuelles et algorithmiques de la relation entre l'opérateur de plateforme en ligne et le prestataire de services (de livraison, de transport), pour en déduire que ce dernier devait être qualifié de salarié de l'opérateur de plateforme en ligne au regard du contrôle algorithmique et de l'insertion dans le service organisé de la plateforme dont il était l'objet.

Pour cerner le sens et la portée de ces arrêts, convient-il de confronter ceux-ci aux récentes décisions de la Cour de justice de l'Union européenne Uber Systems Spain (aff. C-434/15, préc.) et Uber France SAS (aff. C-320/16, préc.) ayant affirmé que n'est pas un service de la société de l'information, un service d'intermédiation indissociablement lié à un service de transport tel que celui proposé par la société Uber BV, du fait du « contrôle », de « l'influence déterminante » de la plateforme sur l'activité du chauffeur.

Un constat se fait alors jour : les indices retenus par les juridictions françaises et européennes pour qualifier les relations existant entre l'opérateur de plateforme en ligne et le fournisseur effectif du service de livraison ou de transport recèlent d'importantes proximités.

Ce faisant, les juridictions françaises ne procèdent-elles pas à la mobilisation implicite, ainsi qu'à la consolidation du critère européen du « contrôle », de « l'influence déterminante » de la plateforme sur l'activité de ses usagers, sous couvert de la caractérisation d'une subordination juridique ?

Cette interrogation appelle deux observations et une réflexion.

Non seulement les indices retenus par les juridictions françaises pour caractériser la subordination juridique des usagers professionnels de la plateforme et de ceux retenus par la Cour de justice de l'Union européenne dans les arrêts Uber Systems Spain et Uber France SAS pour caractériser le contrôle de la plateforme sur l'activité de ces mêmes usagers sont d'une grande proximité (I). Mais il convient également de relever la grande complémentarité des conséquences tirées par les juridictions françaises de la subordination juridique et de celles tirées par la Cour de justice de la caractérisation du contrôle (II).

Les décisions françaises, en prolongeant les décisions européennes, contribuent, ce faisant, à la conceptualisation d'un nouveau critère distinctif, un critère non plus interne à la notion de prestataire de service de la société de l'information, mais cette fois-ci externe, permettant de distinguer entre le service d'intermédiation en ligne, élément principal d'un service de la société de l'information, et le service d'intermédiation en ligne, simple accessoire de la fourniture d'un service ou d'un produit (et, de ce fait, exclusif de la qualification de service de la société de l'information) (III).

I - Les indices de la subordination juridique et les indices du contrôle, des indices d'une grande proximité A - La troublante proximité des indices

L'analyse des décisions françaises relatives aux plateformes Take Eat easy et Uber met en lumière la troublante proximité entre le critère français de la subordination juridique et le critère européen du « contrôle », tels qu'appliqués aux prestations fournies par les opérateurs de plateforme en ligne.

Les opérateurs de plateforme en ligne se présentent traditionnellement comme des prestataires d'un service d'intermédiation en ligne mettant en relation, selon un schéma triangulaire, un fournisseur et un client et n'entendant de ce fait, ni être qualifiés d'employeur du fournisseur effectif du produit ou du service, ni être qualifiés de fournisseur du produit ou du service à l'égard du client.

Les arrêts de la Cour de justice Uber Systems Spain et Uber France SAS ont néanmoins considéré que les opérateurs de plateforme, sous certaines conditions, opéraient un tel contrôle sur la fourniture du service (de transport) au client final, que le service d'intermédiation en ligne de la plateforme devenait un accessoire de la fourniture du service de transport.

C'est ainsi que la Cour de justice de l'Union européenne a pu énoncer dans l'arrêt Uber Systems Spain (aff. C-434/15, préc) : « Il ressort des informations dont la Cour dispose que le service d'intermédiation d'Uber repose sur la sélection de chauffeurs non professionnels utilisant leur propre véhicule auxquels cette société fournit une application sans laquelle, d'une part, ces chauffeurs ne seraient pas amenés à fournir des services de transport et, d'autre part, les personnes désireuses d'effectuer un déplacement urbain n'auraient pas recours aux services desdits chauffeurs. De surcroît, Uber exerce une influence décisive sur les conditions de la prestation de tels chauffeurs. Sur ce dernier point, il apparaît notamment qu'Uber établit, au moyen de l'application éponyme, à tout le moins le prix maximum de la course, que cette société collecte ce prix auprès du client avant d'en reverser une partie au chauffeur non professionnel du véhicule, et qu'elle exerce un certain contrôle sur la qualité des véhicules et de leurs chauffeurs ainsi que sur le comportement de ces derniers, pouvant entraîner, le cas échéant, leur exclusion ». « Ce service d'intermédiation doit donc être considéré comme faisant partie intégrante d'un service global dont l'élément principal est un service de transport ».

Ces constatations sont très proches de celles retenues par les juridictions françaises, sans être totalement identiques car, alors que les décisions européennes portaient sur le service « Uber pop » qui était à destination de chauffeurs non professionnels, les décisions françaises portaient sur des services fournis par un livreur ou un chauffeur inscrits au registre des métiers. L'arrêt de la Cour d'appel de Paris, écartant, tout comme l'arrêt de la chambre sociale de la Cour de cassation, la présomption simple de non-salariat de l'article L. 8221-6, I, du code du travail, développe en particulier à propos de l'activité du chauffeur, usager de la plateforme Uber, un raisonnement très proche des solutions européennes : « Il ne saurait être utilement contesté que M. Z Y a été contraint pour pouvoir devenir " partenaire" de la société Uber BV et de son application éponyme de s'inscrire au registre des métiers et que loin de décider librement de l'organisation de son activité, de rechercher une clientèle ou de choisir ses fournisseurs, il a ainsi intégré un service de prestation de transport créé et entièrement organisé par la société Uber BV, qui n'existe que grâce à cette plateforme, service de transport à travers l'utilisation duquel il ne constitue aucune clientèle propre, ne fixe pas librement ses tarifs ni les conditions d'exercice de sa prestation de transport, qui sont entièrement régis par la société Uber BV ».

B - Le choix du critère de l'accessoire qualitatif

Les analyses opérées par les juridictions européennes et françaises, à propos du service fourni par les filiales d'Uber, tendent ainsi à démontrer que ledit service proposé, permettant de commander un transport urbain de passagers, n'est pas un simple service de mise en relation en ligne, mais un service mixte centré sur le transport des passagers, brouillant tout à la fois les frontières entre la phase de conclusion du contrat de transport et la phase d'exécution de celui-ci, mais également les frontières entre la fourniture de prestations immatérielles et prestations matérielles, dans une optique de suppléer les éventuelles défaillances des acteurs économiques interagissant via la plateforme.

Le service de classement d'informations et le service d'intermédiation risquent en effet de laisser des clients insatisfaits si les fournisseurs, les prestataires de services n'offrent pas les prestations normalement attendues d'un professionnel. Pour remédier à cette difficulté, les plateformes en ligne ont développé des activités complémentaires, parmi lesquelles des activités tant immatérielles que matérielles très éloignées de services algorithmiques centrés sur de la simple intermédiation en ligne et ont intégré les chauffeurs, personnes physiques, dans un service organisé de fourniture de services (de transport, de livraison).

Les juridictions françaises et européennes ont ainsi mobilisé la théorie de l'accessoire qualitatif (G. Goubeaux, La règle de l'accessoire en droit privé [étude de la maxime « accesorium sequitur principale »], LGDJ, 1969, n° 20) pour justifier la prépondérance du transport sur la mise en relation. Le but de l'opération globale est le transport du passager, la mise en relation en ligne n'étant qu'un accessoire au service de cette fin.

En caractérisant la subordination juridique du prestataire de services (de livraison, de transport) à l'égard de l'opérateur de plateforme selon des indices similaires à ceux présents dans les arrêts de la Cour de justice Uber Spain et Uber France pour caractériser le critère européen du contrôle, les juridictions françaises ont, en outre, prolongé de manière cohérente les conséquences juridiques qui découlaient des solutions européennes.

II - Les conséquences de la caractérisation du contrôle et de la subordination juridique, des conséquences d'une grande complémentarité A - Passage d'une relation contractuelle triangulaire à une chaîne de contrats linéaire

Du caractère accessoire du service d'intermédiation par rapport au service de transport, la Cour de justice avait déduit des conséquences extracontractuelles, à savoir l'exclusion de la qualification de service de la société de l'information et donc l'exclusion du jeu de tous les instruments fondés sur cette notion et en particulier de la directive e-commerce : « Ce service d'intermédiation doit donc être considéré comme faisant partie intégrante d'un service global dont l'élément principal est un service de transport et, partant, comme répondant à la qualification non pas de "service de la société de l'information", au sens de l'article 1er, point 2, de la directive 98/34, auquel renvoie l'article 2, sous a), de la directive 2000/31/CE, mais de "service dans le domaine des transports", au sens de l'article 2, paragraphe 2, sous d), de la directive 2006/123 » (aff. C-434/15, préc.).

Si la Cour de justice a pu énoncer du service proposé par la plateforme qu'il n'était pas un service de la société de l'information, mais bien un service dans le domaine du transport non soumis aux dispositions de la directive e-commerce, elle ne s'était pas penchée sur les conséquences contractuelles de ses déductions.

Une première conséquence contractuelle qui se déduit de la solution européenne et qui semble, pour sa part, ne pas soulever de contestation est que le caractère simplement accessoire du service d'intermédiation par rapport au service de transport va transformer la qualification du contrat entre l'opérateur de plateforme et le client : le client n'a plus, ce faisant, qu'un unique cocontractant : l'opérateur de plateforme lui-même, en qualité de fournisseur du service de transport.

On assiste, à cet égard, à l'abandon d'une relation tripartite de type triangulaire et à son remplacement par une relation de type linéaire, sous la forme d'une chaîne de contrats. L'opérateur de plateforme n'est plus un intermédiaire transparent entre le fournisseur et le client. Il devient, d'un premier côté, le fournisseur du client et est, d'un second côté, le seul contractant à être en lien contractuel avec le fournisseur.

B - Le choix opportun de la requalification en contrat de travail

Une seconde conséquence contractuelle qui est, pour sa part, en débat à l'heure actuelle, est la nature de ce lien contractuel entre l'opérateur de plateforme et le fournisseur. Ce lien contractuel s'analyse-t-il en un contrat de travail fondé sur la caractérisation d'une subordination juridique entre l'opérateur de plateforme et le fournisseur ?

Ce lien s'analyse-t-il, au contraire, en un contrat de sous-traitance entre un opérateur de plateforme, entrepreneur principal, et un chauffeur, sous-traitant, fondé sur l'indépendance de ce dernier ?

Confrontées à cette alternative, les juridictions françaises ont répondu en mobilisant des indices très similaires à ceux retenus par la Cour de justice de l'Union européenne afin de caractériser une subordination juridique et de retenir la qualification de contrat de travail entre l'opérateur de plateforme et le fournisseur de services (chauffeur, livreur).

Ce choix des juridictions françaises met en lumière la grande interdépendance et la grande complémentarité entre les décisions françaises et européennes. Tout d'abord, sous l'angle de l'interdépendance, la caractérisation d'un contrat de travail dans les rapports entre l'opérateur de plateforme et le fournisseur effectif du service de livraison ou de transport ne peut se concevoir que si, au préalable, la caractérisation du contrôle opéré par l'opérateur de plateforme en ligne tend à transformer le service d'intermédiation en ligne fourni par la plateforme en un accessoire de la fourniture d'un service (de transport, de livraison) au client final et à exclure, ce faisant, la qualification de prestation de service de la société de l'information et, dans son sillage, le jeu des règles de limitation de la responsabilité, sous conditions, présentes dans la directive e-commerce.

Ensuite, sous l'angle de la complémentarité, il convient de souligner que la qualification de contrat de travail retenue par les juridictions françaises est préférable à celle de sous-traitance, au regard des nouveaux textes européens qui se profilent en matière de réglementation des plateformes. Précisément, le choix d'une relation de sous-traitance entre l'opérateur de plateforme et le fournisseur de services, considéré comme entrepreneur indépendant, aurait vocation à poser des difficultés d'articulation avec le futur règlement européen promouvant l'équité et la transparence pour les entreprises utilisatrices des services d'intermédiation en ligne (Proposition de règlement du 26 avr. 2018, COM/2018/238 final - 2018/0112 (COD).

En effet, ce futur règlement a pour objet à réglementer (dans le dernier état de sa négociation) la fourniture de services d'intermédiation en ligne dans les rapports contractuels et commerciaux qui se nouent entre l'entreprise utilisatrice du service et l'opérateur de plateforme, fournisseur de ce service. Or ce service, pour déclencher le jeu du règlement, doit être « un service de la société de l'information au sens de l'article 1er, § 1, point b), de la directive (UE) 2015/1535 du 9 septembre 2015 prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information » (Dir. [UE] 2015/1535 qui est venue abroger la dir. 98/34, à laquelle renvoie l'art. 2, sous a), de la dir. 2000/31/CE). Or, dans l'hypothèse de la caractérisation d'un « contrôle », d'une « influence déterminante » de la plateforme sur l'activité de ses usagers, au sens des arrêts de la Cour, la qualification de service de la société de l'information est justement exclue et a donc vocation à écarter l'application du futur règlement.

Il semble donc cohérent dans ce cas de préférer la qualification de contrat de travail au profit de l'usager de la plateforme que celle de contrat de sous-traitance. En fait, la première qualification permet à l'usager de bénéficier de la protection du droit du travail, alors que l'application du futur règlement sera exclue. À l'inverse, la seconde qualification aurait la conséquence inopportune de n'offrir au fournisseur, usager de la plateforme, ni la protection du droit du travail, ni celle du futur règlement européen promouvant l'équité et la transparence pour les entreprises utilisatrices des services d'intermédiation en ligne.

Ce constat appelle une réflexion sur le nouveau critère du contrôle en train de se construire tant au plan européen qu'au plan national.

III - Réflexions relatives à la consécration d'un critère externe distinguant le service d'intermédiation en ligne, élément principal d'un service de la société de l'information, du service d'intermédiation en ligne, simple accessoire de la fourniture d'un service ou d'un produit A - Vers la consécration d'un critère externe, en complément du critère interne, attaché à la notion de prestation d'un service de la société de l'information

Il est important de distinguer le critère du « contrôle » qui est en train d'émerger dans les décisions françaises et européennes, du critère « du rôle actif » qui a été conceptualisé par la jurisprudence européenne à propos de la question de la régulation des contenus illicites (CJUE 12 juill. 2011, aff. C-324/09, Sté L'Oréal c/ Sté eBay International, D. 2011. 1965, obs. C. Manara ; ibid. 2054, point de vue P.-Y. Gautier ; ibid. 2363, obs. J. Larrieu, C. Le Stanc et P. Tréfigny-Goy ; ibid. 2012. 1228, obs. H. Gaudemet-Tallon et F. Jault-Seseke ; ibid. 2836, obs. P. Sirinelli ; RTD eur. 2011. 847, obs. E. Treppoz).

Il convient de souligner que ce critère du rôle actif est un critère interne à la notion de prestataire de services de la société de l'information qui vise à responsabiliser certains types de prestataires à l'égard des contenus illicites qui peuvent se trouver sur les plateformes, en créant une partition entre les prestataires de services de la société de l'information qui jouent un rôle actif « qui leur permet d'avoir une connaissance ou un contrôle des données stockées » (aff. C-324/09, préc.) et ceux qui n'ont qu'un rôle passif dans le stockage de ces données. Ce critère du rôle actif doit encore être consolidé et appellera à terme une clarification du régime juridique européen de responsabilité des hébergeurs. Pour l'heure, se dessinent des règles sectorielles en fonction des différentes catégories de contenus illicites (le débat actuel sur le contenu de l'article 13 de la proposition de directive sur le droit d'auteur dans le marché unique numérique du 14 septembre 2016 [COM/2016/0593 final - 2016/0280 (COD)] met en lumière la difficulté de bâtir une règle sectorielle dérogatoire aux solutions de l'art. 14 de la directive e-commerce). A[#768] plus long terme, ce critère interne du rôle actif pourrait être le socle sur lequel serait créé un statut intermédiaire entre l'hébergeur et l'éditeur, applicable à l'ensemble des contenus illicites, à l'occasion d'une future révision de la directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information.

À côté de la caractérisation du critère du rôle actif qui est un critère interne, il pourrait également être souhaitable de consolider un critère externe à la notion de prestation de services de la société de l'information, le critère du « contrôle », de « l'influence déterminante » sur l'activité des usagers et d'en déduire un certain nombre de conséquences juridiques, qui pourrait s'inspirer des décisions de la Cour de justice de l'Union européenne dans les cas Uber Spain et Uber France, ainsi que des décisions françaises dans les cas Take Eat easy et Uber.

Ce critère aurait précisément vocation à cerner les plateformes qui ne sont pas « allégées », i.e. qui ne se contentent pas de procéder à de l'infomédiation relative à des contenus numériques ou à de la simple intermédiation en ligne, de la simple mise en relation algorithmique au sens de l'article L. 111-7 du code français de la consommation, mais qui fournissent de la prestation d'intermédiation immatérielle, indissociablement liée à de la fourniture de produits ou services matériels (transport, livraison, conciergerie...), et exclusive, de ce fait, de la qualification de prestation de service de la société de l'information.

Ce critère aurait pour objectif d'élaborer les conséquences juridiques de cette situation hybride.

Lesdites conséquences pourraient à cet égard être d'une double nature.

B - La double nature des conséquences attachées à la consécration du critère externe du « contrôle »

Les conséquences juridiques pourraient, en premier lieu, être d'ordre contractuel et traiter en particulier des obligations d'information, des questions de responsabilité, de questions de règlement des conflits en cas de rupture des relations contractuelles. Sur le plan contractuel, il conviendrait de nettement dissocier, d'un premier côté, le contrat entre l'opérateur de plateforme et le client, auquel s'appliquerait toutes les dispositions actuelles ou futures en matière de responsabilité ou de garantie de conformité relatives à la fourniture de produits ou de services, d'un second côté, du contrat entre l'opérateur de plateforme et le fournisseur effectif du produit ou du service. Concernant ce second contrat, et dans l'hypothèse où la qualification de contrat de travail aurait vocation à se consolider, une question se pose : convient-il de maintenir ou d'adapter les règles du code du travail à cette nouvelle forme de « subordination hiérarchique qui n'est pas de facture classique », mais qui, « par le contrôle indirect » exercé par la plateforme, « basé sur des incitations financières et une évaluation décentralisée par les passagers, avec l'effet d'échelle, permet une gestion tout aussi efficace, sinon plus, que celui basé sur des ordres formels donnés par un employeur à ses employés et le contrôle direct de leur exécution » (aff. C-434/15 préc., concl. av. gén. Szpunar, pt 52) ?

En second lieu, lorsque l'opérateur de plateforme en ligne devient un acteur systémique au regard du nombre d'usagers qu'il agrège à la plateforme (il conviendrait de déterminer un seuil au-delà duquel cet opérateur devient un acteur systémique), il pourrait être souhaitable de réfléchir aux devoirs qui pourraient être mis à sa charge en raison de son rôle de régulateur de l'économie, découlant du nombre massif d'usagers de la plateforme à propos desquels il procède à un contrôle de l'activité. Dans cette hypothèse, l'un des axes de réflexion pourrait être la question du renforcement de la responsabilité sociale des plateformes qui a été consacrée aux articles L. 7341-1 du code du travail. En effet, pour l'heure, ces articles ne créent que des devoirs et des droits en nombre restreint pour la plateforme et ses usagers, alors que plusieurs enjeux se font actuellement jour. Le renforcement de la responsabilité sociale des plateformes pourrait en particulier permettre d'appréhender la question de la parcellisation et de la taylorisation du travail qui se développent grâce aux plateformes en ligne qui se positionnent sur la fourniture au client de services matériels à faible valeur ajoutée.

Se pose également la question de l'appréhension des travailleurs du clic (le digital labor), qui ont pour métier de contribuer à la saisie, à la création, à la modération, au filtrage, à la diffusion de contenus numériques via la plateforme, i.e. de fournir un service immatériel complétant le travail algorithmique réalisé par la plateforme et qui ont la spécificité de ne pas être en contact direct avec le client de l'opérateur de plateforme. Comment appréhender ces acteurs, ce faisant moins visibles, mais qui subissent également une forme de taylorisation, à l'instar des travailleurs (chauffeurs, livreurs, concierges...) ayant un contact direct avec le client de l'opérateur de plateforme (A. Casilli, En attendant les robots, Enquête sur le travail du clic, postface D. Méda, Seuil, La couleur des idées, 2019) ?

Ce qu'il faut retenir Par un arrêt rendu le 28 novembre 2018, la chambre sociale de la Cour de cassation et par un arrêt rendu le 10 janvier 2019, la Cour d'appel de Paris, procèdent l'une et l'autre à la requalification d'un contrat de partenariat conclu entre un prestataire de services (livreur, chauffeur) et un opérateur de plateforme en un contrat de travail, en caractérisant une subordination juridique du premier à l'égard du second.

Mots clés : UBERISATION * Plateforme * Contrat de travail * Contrôle * Subordination juridique * Requalification entre un opérateur de plateforme en ligne et un prestataire de services (coursier, chauffeur) * Renversement de la présomption simple de non-salariat

Réduction de prix sur internet : une enquête spécifique est menée

Le secrétaire d'État chargé du commerce, Frédéric Lefebvre, a été interrogé sur les mesures que le gouvernement pense prendre afin de mieux encadrer le e-commerce pour que celui-ci ne déséquilibre pas le commerce physique par des pratiques douteuses, surtout en matière de soldes.

Le secrétaire d'État indique, dans une réponse ministérielle, que « les pratiques commerciales avec annonce de réduction de prix sont plus nombreuses sur les sites de vente à distance que dans les commerces physiques. Le taux d'anomalie constaté est également plus important ». Selon lui, la création constante de nouveaux sites marchands n'ayant pas une connaissance approfondie de la règlementation en vigueur peut expliquer en partie ce nombre plus important de manquements.

Des contrôles sur internet sont réalisés à tout moment par soixante-dix enquêteurs de la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF). Ainsi, en 2010, ces agents ont vérifié 8 400 sites (soit plus de 10 % de l'ensemble des sites marchands répertoriés en France) et ont réalisé près de 11 000 contrôles. « Pour l'année 2011, la vérification des réductions de prix sur internet fait l'objet d'une enquête spécifique menée par la DGCCRF dans le cadre de sa directive nationale d'orientation des contrôles », précise-t-il.

Proposition de loi tendant à encadrer les conditions de la vente à distance des livres

Afin de maintenir la diversité éditoriale et le maintien d'un réseau dense de librairies indépendantes, la « loi Lang » n° 81-766 du 10 août 1981 sur le prix unique du livre interdit aux détaillants de fixer eux-mêmes le prix de vente au public des ouvrages neufs, les obligeant à se conformer au prix fixé par l'éditeur ou l'importateur. Le détaillant conserve toutefois la liberté de pratique des remises, mais celles-ci sont limitées à 5 % de ce prix. Or, le développement de la vente d'ouvrages en ligne, activité dont Amazon est le leader incontesté en France, a suscité des stratégies de contournement de ce « monument législatif » qu'est la « loi Lang ». En effet, grâce à leurs marges élevées (liées, entre autres, à des pratiques d'optimisation fiscale), certains sites de commerce en ligne sont en mesure d'offrir à la clientèle la gratuité des frais de port en supplément du rabais de 5 %, pratique qui a été validée par la Cour de cassation dans un arrêt remarqué. Celle-ci a, en effet, jugé que la prise en charge par le site des frais de port des livres commandés en ligne ne constituait pas une prime prohibée par la loi Lang et par le code de la consommation (Com. 6 mai 2008, n° 07-16.381, Bull. civ. IV, n° 97 ; D. 2008. 1474 , obs. C. Rondey ; ibid. 2186, chron. J.-P. Feldman ; RTD com. 2009. 200, obs. B. Bouloc ). Dès lors, ces deux avantages – remise de 5 % et gratuité des frais de port – peuvent valablement se cumuler.

C'est cette jurisprudence qu'entend briser une proposition de loi « tendant à ne pas intégrer la prestation de la livraison à domicile dans le prix unique du livre ». Cette proposition de loi est on ne peut plus consensuelle, puisqu'elle a été adoptée en première lecture alors même que ses initiateurs étaient des députés de l'opposition (même si son contenu a été largement réécrit par un amendement gouvernemental). Concrètement, elle se contente de compléter le quatrième alinéa de l'article 1er de la « loi Lang » par la formule suivante : « Lorsque le livre est expédié à l'acheteur et n'est pas retiré dans un commerce de vente au détail de livres, le prix de vente est celui fixé par l'éditeur ou l'importateur. Le détaillant peut pratiquer une décote à hauteur de 5 % de ce prix sur le tarif du service de livraison qu'il établit. » Selon les promoteurs de la proposition de loi, « cette précision permet de revenir à l'origine de la loi : protéger l'ensemble de la filière du livre dans sa diversité avec les mêmes règles pour tous » (Doc. AN, n° 1189, 26 juin 2013). Enfin, un autre amendement est venu changer le titre de la proposition de loi, celui d'origine étant jugé quelque peu stigmatisant pour les adeptes du e-commerce : il s'agit désormais de la « proposition de loi tendant à encadrer les conditions de la vente à distance des livres ».

Mots clés :

AFFAIRES * Concurrence - Distribution

Mieux sécuriser le commerce numérique dans l'intérêt des entreprises européennes

Grâce à l'augmentation du nombre d'internautes, au développement du haut débit et à une plus grande confiance dans l'économie numérique, le commerce électronique connaît un développement favorable en Europe. Néanmoins, les risques liés à ce commerce ne sont pas tous maîtrisés ou couverts par des mécanismes de sécurisation ; en outre, certaines questions juridiques ne sont pas encore résolues. Certes, l'on constate de réelles avancées pour promouvoir les contrats électroniques, pour lutter contre la criminalité, pour clarifier la loi applicable, etc. Mais il est opportun d'aller plus loin en complétant les cadres juridiques nationaux par des initiatives auto-régulatrices, en définissant davantage le droit applicable aux transactions électronique, en encadrant les contrats électroniques par des instruments adéquats et en encourageant les partenariats internationaux pour la société de l'information.

Selon la Commission européenne, « le développement spectaculaire de l'Internet et la mise en réseau progressive des entreprises et de la société sont révélateurs d'un seul et même phénomène : l'avènement de la société de l'information ». Mais si la réussite de la société de l'information est un élément essentiel pour atteindre l'objectif de Lisbonne, il en est tout autant du commerce électronique, en particulier pour les entreprises européennes, à l'heure où celui-ci connaît une évolution très favorable. Les avancées européennes dans ce domaine sont relativement importantes ; celles, au niveau international, sont plutôt inégales mais se précipitent dans la perspective du second volet du Sommet Mondial de la Société de l'Information (SMSI) qui s'est tenu en novembre 2004 à Tunis(1).

Dans cette perspective, la Commission européenne a publié, en juillet 2004, une communication avançant des propositions concrètes pour cette seconde phase, contenant des propositions pour le Plan d'Action (PdA) pour le suivi des groupes de travail sur le financement de la lutte contre la fracture numérique et la gouvernance d'Internet ainsi que pour la contribution au processus préparatoire(2). On notera également qu'un symposium sur les technologies de l'information s'est tenu à l'OMC, en octobre 2004.

Les actions de sensibilisation engagées en Europe et en France pour promouvoir les technologies de l'information, l'administration en ligne ou encore les échanges électroniques sont considérables ; de même, les législations européennes et nationales vont dans le sens d'un meilleur encadrement des transactions en ligne mais d'autres efforts sont requis pour parvenir à une utilisation optimale. Le développement de l'Internet haut débit ainsi que l'utilisation croissante de celui-ci par les consommateurs et les entreprises impliquent une amélioration des conditions de sécurité concernant les échanges électroniques.

I. - Les dernières avancées

Le commerce électronique connaît, désormais, une évolution favorable. À titre d'exemple, le chiffre d'affaires du e-commerce était estimé, en 2003, à 3,6 milliards d'euros en France. Certes, cette augmentation des achats en ligne résulte, en partie, de l'accroissement du nombre d'internautes. Mais ce dernier n'est pas le seul élément d'explication puisque le nombre d'acheteurs en ligne s'est accru. Si une grande part de ces échanges électroniques sont des échanges d'entreprises à consommateurs (B2C ou Business to Consumers), cette évolution n'est pas neutre pour les échanges intra-entreprises (B2B ou Business to Business) qui observent aussi une montée en puissance.

La plus grande confiance dans l'économie numérique a également été favorable à cette croissance du e-commerce audit sécurité. Le paiement par carte bancaire se pratique plus aisément. Néanmoins, plusieurs facteurs gênent encore le développement de l'e-commerce audit sécurité informatique en Europe et dans le monde. Si la fraude à la carte bancaire sur Internet a connu, ces derniers mois, un recul important, elle demeure un obstacle important. Il en est de même du spamming (encombrement délibéré d'une messagerie ou d'un forum par l'envoi de messages non sollicités) dont la prolifération affecte la confiance des usagers d'Internet.

Au plan juridique, plusieurs évolutions sont à recenser en faveur d'un meilleur encadrement de la société de l'information et d'une meilleure sécurité du commerce électronique ; elles prennent leur source dans les enceintes européennes et internationales mais les initiatives françaises ne sont pas sans intérêt au regard de l'évolution du droit de l'Internet(3).

Plusieurs initiatives prises pour promouvoir les contrats électroniques

La Chambre de commerce internationale a élaboré et a rendu public, en septembre 2003, un instrument juridique d'autorégulation (e-terms) fondé sur une évaluation des pratiques et des besoins des entreprises en matière de passation de contrats par voie électronique. Ces e-terms 2004 - qui comprennent des clauses-type de commerce électronique inter-entreprises - se veulent ciblés et pragmatiques, présentent des problèmes et des solutions pratiques et tiennent compte des différents besoins des petites et grandes entreprises.

Par ailleurs, dans le cadre des travaux de la Commission des Nations Unies pour le commerce international (CNUDCI) concernant un nouvel instrument international sur les contrats électroniques, le groupe de travail sur le commerce électronique a présenté une version révis��e d'un projet de convention (lignes directrices sur les questions de protection des données, les droits de propriété intellectuelle et les questions de fraude électronique pour aider les États à mettre en place un cadre juridique global afin de faciliter l'utilisation du commerce électronique) ; il devrait soumettre, à la 38ème session de la CNUDCI (Vienne, 2ème trimestre 2005), le document(4).

La lutte contre la cybercriminalité, point de focalisation des débats

Illustrant cette préoccupation, la Commission européenne a promulgué, en janvier 2004, une communication sur les communications commerciales non sollicitées ou spam ; on estime, en effet, que plus de 50 % du courrier électronique échangé au niveau mondial sont constitués de spam (contre 7 % environ en 2001).

Par ailleurs, le règlement européen CE n° 460/2004 a institué, en mars 2004, l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) : l'Agence doit collecter les informations appropriées afin d'étudier les risques actuels et émergents susceptibles d'avoir une incidence sur la résistance aux pannes des réseaux de communications électroniques et assister les États et la Commission dans le dialogue avec les entreprises pour gérer les problèmes de sécurité.

Cette préoccupation se retrouve au niveau international avec la création récente (septembre 2004), à l'OCDE, d'un groupe de réflexion pour lutter contre les courriers électroniques non sollicités ; ce groupe doit permettre de fédérer les efforts des pouvoirs publics, des entreprises et de la société civile contre ce phénomène. Cette initiative va dans le sens de ce que souhaite la Commission européenne en termes de coopération internationale - en particulier avec les États-Unis - pour lutter contre le spam. En l'état, un certain nombre de pays disposent de plusieurs autorités compétentes pour agir contre le phénomène. Mais le groupe de l'OCDE devrait inciter à l'adoption de pratiques optimales par les entreprises industrielles et commerciales, à la promotion de meilleures mesures techniques pour combattre le spam, à l'amélioration de l'application transfrontalière des lois, etc.(5).

Enfin, s'est tenue, en septembre 2004, la conférence internationale sur la cybercriminalité sous l'égide du Conseil de l'Europe ; celle-ci visait notamment à promouvoir la Convention du Conseil de l'Europe sur la cybercriminalité, premier traité international sur les infractions pénales commises via Internet et d'autres réseaux informatiques et qui aborde plus particulièrement les infractions portant atteinte aux droits d'auteur, de la fraude liée à l'informatique, de la pornographie enfantine ainsi que des infractions liées à la sécurité des réseaux.

Un autre champ d'avancée : les noms de domaine attachés à la création de sites

C'est ainsi qu'en 2004, le règlement européen (CE n° 874/2004) établissant les règles de politique d'intérêt général relatives au domaine de premier niveau « .eu » (TLD.eu) a été adopté ; ces règles consacrent le principe du premier arrivé, premier servi, définissent les conditions d'enregistrement et précisent certains éléments relatifs aux langues et les concepts géographiques. Le « .eu » est complémentaire aux noms de domaine nationaux, géographiques et génériques et vise à apporter un ensemble supplémentaire de serveurs de noms dans l'Union européenne compte tenu de la saturation observée sur ce plan ainsi que du nombre croissant de litiges(6).

Peut bénéficier du « .eu », « toute personne résidant dans la Communauté européenne, toute entreprise ayant son siège statutaire, son administration centrale ou son lieu d'établissement principal dans la Communauté, toute organisation et toute personne physique établie dans la Communauté ». Ce nom de domaine - opérationnel vers avril 2005 environ - est géré par l'Eurid (European Registry for Internet Domaines), établi à Bruxelles.

Enfin, au plan international, l'ICANN a annoncé, en juillet 2004, le lancement d'une nouvelle procédure de facilitation et de simplification en matière de transfert de noms de domaine dite Inter-Registrar Transfer Policy et qui a pris effet en novembre 2004. Cette nouvelle procédure doit également permettre d'encourager la concurrence entre les détenteurs de noms de domaine.

Les travaux en faveur de la clarification de la loi applicable

En Europe, plusieurs pays s'emploient à transposer les textes communautaires dans le cadre nationale. À titre d'exemple, la France a adopté, en mai 2004, la loi relative à la confiance dans l'économie numérique (LCEN) qui s'applique à tous les services accessibles en ligne et vise à réglementer les transactions sur Internet et à définir le régime des prestations techniques (fournisseurs d'accès, hébergeurs de sites web) ; la loi libéralise également l'utilisation des produits cryptographiques, en particulier ceux destinés à sécuriser les paiements sur Internet en contrepartie d'une simple déclaration du fournisseur ; la LCEN stipule que la loi applicable pour un commerçant en ligne est celle du pays où il est installé. Enfin, elle dispose que les hébergeurs doivent retirer les contenus illicites qui leur ont été signalés, mais seul le juge peut dire ce qui est ou non illicite(7). De même, en juillet 2004, a été adoptée la loi relative aux communications électroniques et aux services de communication audiovisuelle qui constitue la transposition française (« paquet télécoms ») des directives européennes dans ce domaine.

De son côté, la Commission européenne a rendu publique, en juillet dernier, une communication sur la nécessité de renforcer la confiance dans les marchés électroniques interentreprises. Par ce texte, il s'agit de réduire les risques économiques que présentent les pratiques déloyales ou illégales. La Commission prévoit de :

- analyser les législations nationales existantes qui s'appliquent aux pratiques commerciales déloyales sur les cybermarchés interentreprises,

- inciter les parties intéressées à adopter ou revoir les codes de conduite en vue de promouvoir davantage les principes du commerce équitable,

- lancer une étude relative à l'impact économique des marchés électroniques interentreprises sur la compétitivité et la productivité des entreprises de l'UE,

- fournir une information cohérente sur l'application des règles de concurrence existantes sur les marchés électroniques interentreprises.

La Commission estime, en effet, que « les obstacles potentiels à la participation à de telles formes de commerce électronique devraient être éliminés, donnant un impact positif à l'efficacité des processus commerciaux et à la compétitivité des entreprises européennes ». Elle rendra régulièrement compte des progrès réalisés par le canal du portail des marchés électroniques en Europe. Par ailleurs, elle a lancé, en septembre 2004, une consultation en ligne visant à identifier les opportunités et les défis liés à la passation des marchés publics par voie électronique ; les nouvelles dispositions sur la passation électronique des marchés figurent, en effet, dans le paquet législatif de directives sur les marchés publics adopté en février 2004.

Le domaine de la taxation et de la fiscalité des échanges électroniques

Les avancées sont peut-être les moins notables car les divergences de fond, entre l'Union européenne et les États-Unis par exemple, demeurent. En avril 2004, le Sénat américain a adopté un texte visant à prolonger, jusqu'à 2007, le moratoire sur la non-taxation des activités Internet (Internet Tax Non-discrimination Act). Selon ce texte, l'accès à Internet, quel que soit le mode de diffusion, ne pourra plus être taxé. Si le Sénat et la Chambre des Représentants sont favorables à la prolongation de l'interdiction d'instaurer de nouvelles taxes sur l'accès Internet, elles s'opposent, en revanche, sur les exceptions de taxation. Le Sénat ne souhaite pas remettre en cause certains modes de taxation actuels comme l'accès Internet haut débit (ADSL) au motif que les opérateurs de télécommunications pourraient alors déguiser leurs services en accès Internet pour échapper à la taxation en vigueur. Le texte ne sera définitivement adopté qu'après accord des deux assemblées.

Par ailleurs, les Communautés européennes ont fait une déclaration, en juin 2004, sur l'application aux nouveaux membres de l'UE de leur engagement concernant les droits de douane nuls pour les produits des technologies de l'information dans le cadre de l'accord de l'OMC sur les Technologies de l'Information (ATI). Le nombre de pays adhérents à ce dernier accord est, désormais, de 63 et permet ainsi de couvrir 97 % environ des échanges électroniques mondiaux.

II. - Les risques liés aux contrats électroniques

Au delà de ces avancées, d'autres questions, liées au consentement des parties, à la preuve et à l'archivage des contrats, à la loi applicable aux contrats électroniques, voire à la médiation, etc. restent des questions non résolues au plan international. La principale source d'inquiétude des entreprises en matière de commerce électronique est de savoir quand une communication électronique est légalement obligatoire. La plus grande légèreté qui entoure la communication électronique par rapport aux échanges « papier » augmente la probabilité que des échanges puissent être interprétés comme liant les parties avant que ces dernières ne l'aient voulu. Le manque de formalité signifie également que des personnes peuvent « cliquer » elles-mêmes un contrat accidentellement. Les employés d'une entreprise peuvent engager leur compagnie dans des contrats sans autorisation. Les dispositions sur les offres et les acceptations en ligne peuvent être confuses (lieu de la transmission et du reçu, effet légal de l'accusé de réception, etc.).

On notera, cependant, que les entreprises qui pratiquent l'e-commerce consultant cybersécurité ne dématérialisent généralement pas toutes les opérations du contrat commercial ; elles optent pour certaines des opérations qui vont de l'offre de service au paiement en ligne(8). De ce fait, elles ne sont pas concernées toutes de la même façon par les risques ci-dessous recensés. Selon la région, la taille et le secteur, les compagnies ont, toutefois, des expériences et des besoins différents quant à la communication électronique d'affaires.

Posent également problème aux entreprises qui contractent par voie électronique, l'authenticité de l'origine, l'exactitude du contenu et l'abus frauduleux, et la sécurité des paiements. Là encore, il convient de distinguer entre le commerce B2C qui connaît un développement réel des paiements en ligne et le commerce B2B qui peine à passer à cette étape. Il est probable que l'étape du paiement - dans la chaîne contractuelle - sera la dernière à tomber largement dans le champ électronique. Les plates-formes de paiement dépendent, en fait, très largement de la taille de l'entreprise et de la structure de l'industrie à laquelle elle appartient(9).

Problèmes juridiques dans le domaine de l'e-business : Problèmes juridiques dans le domaine de l&apos; e-business Manque de clarté de la législation 113 Différentes règles applicables dans différents pays 56 Manque de connaissance de la législation en vigueur 55 Absence de réglementation juridique pour le cas d&apos;espèce 54 Autres : 33 dont violation de la réglementation existante par l&apos;autre partie ou par un pays (y compris la législation contre la concurrence déloyale) 23 Source : résultats de la consultation européenne, "Problèmes juridiques dans le e-business", 18 décembre 2003, http://europa.eu.int/yourvoice/results/259/index_fr.htm

En matière de B2B, la question de la sécurité et de la preuve du paiement en ligne peut, parfois, trouver un début de solution avec la signature de conventions de preuve qui définissent les modalités d'échanges électroniques.

Reste, en outre, le problème de la certification qui n'est pas encore au point dans tous les pays. La certification électronique doit permettre à l'utilisateur final d'avoir une confiance suffisante dans chacun des éléments constitutifs de la signature électronique (clefs de chiffrement, certificat émis par un organisme, mécanisme de signature et services d'annuaire) et un système suffisamment fiable et sécurisé pour garantir à la signature électronique sa valeur légale(10). Or, à l'heure actuelle, tous les pays - européens, à tout le moins - n'en sont pas au même point en matière de certification de signature électronique.

Synthèse des risques inhérents aux fonctions électroniques : Synthèse des risques inhérents aux fonctions électroniques Catégories de risques Exemples de cyber-risques Risques techniques liés aux systèmes informatiques Fraude informatique, vol de données et d&apos;actifs électroniques, vol de ressources du système informatique, menaces et extorsions, actes malveillants, divulgation d&apos;informations et d&apos;actifs électroniques, endommagements des informations électroniques et des programmes suite à erreur humaine, panne mécanique, perte physique, code nuisible, déni de service, perte de service, interruption du service hors site, erreurs et omissions engageant la responsabilité. Risques en matière de propriété intellectuelle Contrefaçon de propriété intellectuelle (contrefaçon de brevets, atteinte aux droits d&apos;auteur, contrefaçon de marque, détournement de secrets commerciaux, etc.). Risques d&apos;infraction liée au contenu et à la publicité ou de divulgation — Infractions liées au contenu et à la publicité (diffamation, y compris commerciale, dénigrement des produits, détournement des droits publicitaires, concurrence déloyale, erreurs et omissions d&apos;articles). — Confidentialité (politique inadéquate quant à la confidentialité sur les sites web, divulgation non autorisée d&apos;informations confidentielles, etc.). Autres risques liés au e-commerce Problèmes d&apos;authentification, non-répudiation (lorsque un expéditeur est, par le système cryptographique, empêché de nier être l&apos;auteur d&apos;un message ou de nier ultérieurement une transaction), représentation trompeuse et utilisation inadéquate des biens, violation des réglementations, caractère exécutoire de contrats d&apos;adhésion, etc.) Risques liés à la messagerie électronique de l&apos;entreprise Interception du type et du contenu des informations électroniques par des personnes non autorisées (par des tiers ou salariés en litige avec l&apos;entreprise ou par défaillance de la sécurité), accès non autorisé aux e-mails, harcèlement, pornographie et menaces à l&apos;encontre de personnes innocentes. Source : Marsh Conseil France, "Analyse des risques juridiques, techniques et assuranciels d&apos;un système de certification de signature électronique", document d&apos;étude interne, 2000.

D'un point de vue assuranciel, se pose, enfin, le problème de la couverture des cyber-risques ; d'une façon générale, le monde de l'assurance considère la plupart des risques relativement assurables mais les technologies Internet sont encore incertaines et évoluent constamment, sans compter l'inconnue que représentent les exigences des utilisateurs des points de vue technique et fonctionnel(11).

III. - Quelques éléments de position

À l'aune des derniers développements pour mieux sécuriser le commerce numérique et dans l'intérêt notamment des entreprises européennes, il apparaît, cependant, important d'aller plus loin encore de manière à encourager les initiatives auto-régulatrices, expliciter la loi applicable aux transactions électroniques, mieux encadrer les contrats électroniques, etc.

1. Compléter les cadres juridiques nationaux par des initiatives d'autorégulation

L'approche intégrée du commerce électronique se fonde, in fine, au niveau européen, sur une combinaison de réglementation administrative et d'autorégulation qui permet le développement technologique, selon Frits Bolkestein, ex-commissaire européen. Les approches nationales ne sauraient différer de cette conception également opérante pour les transactions électroniques réalisées par les entreprises.

Au delà des diverses lois nationales qui créent un véritable cadre juridique pour les transactions électroniques, il se révèle opportun de susciter des initiatives de nature auto-régulatrice pour favoriser une large sécurité des réseaux dans l'intérêt des consommateurs et des entreprises. Des codes de conduite peuvent se révéler utiles afin d'enrayer le mouvement de défiance vis-à-vis d'Internet qui commence à saisir les PME et les particuliers qui n'ont pas véritablement les moyens d'assurer leur sécurité sur le réseau (12).

En France, l'AFA (Association des fournisseurs d'accès et de services Internet)(13) qui regroupe les prestataires de services a ainsi rédigé une charte de bonne conduite(14) et négocie avec le gouvernement français car la loi sur la confiance dans l'économie numérique (LCEN) adoptée en juin dernier ne comprend pas l'obligation pour les fournisseurs d'accès à Internet et les hébergeurs de sites de filtrer leurs sites mais oblige au respect d'un Code de conduite en ce sens. À l'échelle européenne, il existe également un réseau européen de co-régulation (European Internet Coregulation Network).

La concertation doit pouvoir être privilégiée par la création, dans chaque pays, d'un organisme paritaire indépendant réunissant les acteurs publics et privés de l'Internet et qui, sans être doté de prérogatives de puissance publique, serait habilité à homologuer des codes de bonne conduite, des contrats types ou des labels.

Par ailleurs, il peut être utile, pour les besoins d'un commerce électronique, par définition transfrontières, d'inciter :

- les sites de commerce électronique à intégrer un certain nombre d'informations réglementaires, fiscales, douanières, etc. de manière à indiquer à l'utilisateur la nécessité de remplir les obligations générales ou sectorielles inhérentes à la législation du pays ou de la région à laquelle il appartient, voire à la législation internationale quand elle s'applique(15) ;

- les services douaniers à produire une information plus conséquente et plus accessible compte tenu de la multiplication des envois express et de la diversité des formes de commerce électronique.

2. Mieux définir le droit applicable aux transactions électroniques

Même si la contractualisation par voie électronique ne saurait différer de la contractualisation par voie écrite, il importe d'adapter certains instruments juridiques existants pour qu'ils puissent être extrapolés aux transactions électroniques plus particulièrement inter-entreprises. Certes, la commission des Nations unies sur le droit du commerce international (CNUDCI) a commencé, depuis quelques années, des travaux pour une convention sur la contractualisation électronique. Considérant comme insuffisants les cadres nationaux et européens existants, la Chambre de commerce et d'industrie de Paris (CCIP) avait, en 2001, exprimé des réserves quant à un cadre juridique international contraignant en matière de commerce électronique(16).

La Chambre de Commerce Internationale (CCI) a estimé, de son côté, que les pratiques d'affaires en matière de commerce électronique évoluent trop rapidement pour faire, d'ores et déjà, l'objet d'une codification et estime plus opportun d'apporter des solutions pratiques à des problèmes spécifiques que de rédiger un code complet pour le commerce international de nature électronique. À cet égard, la CCI considère que le projet de convention de la CNUDCI ne répond pas à l'ampleur et la nature des problèmes soulevés par le commerce électronique. Enfin, la rédaction d'une convention, comme sa ratification et exécution en vertu de lois nationales, peuvent prendre plusieurs années alors que de nouveaux problèmes auront émergé entre-temps(17).

Dans ce contexte, il y a lieu de réitérer l'intérêt des principes directeurs mais aussi d'adapter les textes juridiques existants. Parmi les pistes de travail possibles, l'on peut suggérer de :

- consacrer, en droit international, le principe du double clic,

- adapter au mode électronique, le principe de la volonté contractuelle des parties, principe propre à la convention de Vienne ; selon la CCI, l'autonomie contractuelle des parties devrait être la seconde priorité d'un instrument juridique international,

- faire en sorte que les termes « écrit », « signature » et « document » existants dans les conventions et accords internationaux en matière de commerce international puissent être entendus comme autorisant les équivalents électroniques,

- pouvoir distinguer entre la loi applicable aux relations inter-entreprises et celle applicable aux relations avec les consommateurs.

3. Mieux encadrer les contrats électroniques par des instruments autorégulateurs

Il est certain que les entreprises ont des attentes en termes de clauses type, modèles, conseils, labels, checklists, etc. et qu'un cadre doit, par conséquent, se concentrer sur des problèmes réels et pratiques spécifiques au milieu électronique. Cette analyse s'applique plus particulièrement aux échanges B2B car les questions sont beaucoup plus complexes en ce qui concerne le commerce B2C.

Là encore, selon la CCI, « les instruments autorégulateurs auraient l'avantage d'un déploiement plus rapide pour l'usage des affaires. Ils pourraient également être appliqués avec plus de flexibilité ; par exemple, une entreprise pourrait décider d'utiliser un tel instrument dans tous ses contrats électroniques, dans certains seulement de ces contrats ou pas du tout. En conclusion, ces instruments pourraient être modifiés rapidement si les problèmes surgissent a propos de dispositions spécifiques » (18).

C'est ainsi que la CCI a promulgué, en 2004, des e-terms qui posent des questions spécifiques concernant les échanges électroniques inter-entreprises : « Qui contracte ? », « Quand un contrat est-il établit ? », « Où le contrat est-il établit ? », « Comment le contrat est-il établit ? » (19). Les entreprises se sont habituées à résoudre beaucoup de problèmes par des clauses contractuelles soigneusement rédigées à l'instar des RUU (Règles et Usances Uniformes) pour les crédits documentaires ou encore des Incoterms 2000 qui définissent des standards de commerce international. L'approche autorégulatrice proposée doit pouvoir fournir aux entreprises des clauses modèles faciles à utiliser qui créeront non seulement un cadre juridique digne de confiance pour contracter de manière électronique, mais sauvera également des ressources pour des compagnies et leurs conseillers en facilitant des négociations.

Pour faciliter le développement des transactions électroniques internationales, outre la promotion du cyberarbitrage, il pourrait être également opportun de :

- favoriser l'utilisation, par les entreprises, des clauses modèles pour la contractualisation électronique B2B et notamment les e-terms de la chambre de commerce internationale,

- ainsi que le propose également la CCI, adapter les pratiques contractuelles électroniques aux besoins particuliers des pays en développement,

- concevoir un contrat-type européen de B2C ; à l'image du contrat type réalisé par la CCIP et l'AFCEE en 1998 pour les contrats de commerce électronique entre entreprises et consommateurs, il pourrait être judicieux d'envisager un instrument réactualisé et à l'échelle communautaire,

- par ailleurs, créer des e-greffes nationaux - sur l'exemple des « registars », mis en place pour les noms de domaine - afin de répertorier les entreprises par voie d'adhésions volontaires ; « cette immatriculation en ligne pourrait être contrôlée par des organisations internationales (...) ou les autorités nationales » (20),

- enfin, veiller à ce que les pays européens développent des approches convergentes en matière de reconnaissance des signatures électroniques « étrangères ».

Bien que les États membres de l'OCDE aient indiqué, dans le cadre d'une enquête OCDE, rendue publique en août 2004(21), sur l'environnement législatif et le cadre des politiques concernant les services d'authentification électronique et les signatures électroniques dans les pays membres de l'OCDE, que, « pour l'essentiel il n'existait pas dans leur pays d'obstacles juridiques ou réglementaires à la reconnaissance non discriminatoire des signatures électroniques "étrangères" ; », il importe probablement, au niveau européen, de veiller à ne pas développer d'approches divergentes dans ce domaine(22).

4. Vers un partenariat global pour la société de l'information

Si le Sommet mondial de la société de l'information (SMSI) met l'accent sur la fracture Nord-Sud ou encore sur la cybercriminalité, il n'en aborde pas moins des problématiques commerciales et des politiques numériques. Un réseau global de ressources en matière de politique numérique (ePol-Net) a été mis en place lors de la première phase du Sommet pour aider les responsables politiques des TIC dans les pays en développement. La Commission européenne examine les conditions de sa participation à ce réseau ; les suggestions d'organismes comme Eurochambres, au niveau européen, dans le cadre du Global Chamber Platform seraient les bienvenues, notamment pour exporter, dans les pays en développement, l'expérience des représentations professionnelles en matière d'information et de formation des entreprises aux enjeux de l'économie et du commerce numérique ; cela pourrait se faire dans le cadre de divers partenariats.

Par ailleurs, s'agissant du commerce en ligne, la Commission européenne a mis en place un groupe politique de commerce électronique au motif que le commerce électronique se heurte aux mêmes problèmes que les services publics en ligne : échecs d'interopérabilité, manque de normes communes, besoin d'échanges d'expériences plus efficaces... Des synergies sont prévues entre ce groupe politique et le réseau ePol-Net.

(1) La première phase a eu lieu à Genève en décembre 2003 ; celle-ci a reconnu que les technologies de l'information et de la communication (TIC) figurent parmi les facteurs les plus importants de la croissance et du développement durable dans les économies actuelles et a jeté les bases d'une approche globale de la société mondiale de l'information largement inspirées de la stratégie européenne de Lisbonne ; cependant, elle n'a pas permis d'avancées réelles en faveur des pays les plus pauvres.

(2) COM (2004) 480 final, « Vers un partenariat global dans la société de l'information : traduire les principes de Genève en actions - Propositions de la Commission pour la deuxième phase du Sommet Mondial sur la Société de l'Information (SMSI) ».

(3) U. Draetta, « Internet et le commerce électronique en droit international des affaires », FEDUCI, Bruylant, 2003 (Éd. française). Voir aussi « Définition du commerce électronique et loi applicable », communication, Commerce électronique, septembre 2004, pp. 53-56.

(4) Le secrétaire général de la CNUDCI a engagé un dialogue avec les membres de la CCI concernant l'articulation entre le projet de convention internationale en matière électronique et les e-terms 2004 promulgués par la CCI.

(5) Bulletin Europe, n° 8 780, 8 septembre 2004

(6) En France, la procédure d'enregistrement des noms de domaines a également été assouplie puisque depuis mai 2004, un droit sur le nom n'est plus nécessaire lors de l'enregistrement ; cette réforme vise à encourager les sociétés enregistrées à passer du « .com » au « .fr » ; l'Afnic a autorisé les éditeurs de sites internet français à utiliser des noms de domaine aux extensions nationales sans avoir à apporter des justifications ; la déréglementation du « .fr » a ainsi entraîné une augmentation des enregistrements des noms de domaine par l'Afnic (Association française pour le nommage internet en coopération) ; la nouvelle procédure d'enregistrement ne s'applique pas, toutefois, aux autres sous-domaines tels que « asso.fr », « nom.fr », « prd.fr », « presse.fr » et « tm.fr » ; enfin, il est décidé que les procédures alternatives de résolution des litiges (Parl) par « recommandation en ligne » (par opposition à la décision technique) sont désormais administrées par le CMAP (Centre de Médiation et d'Arbitrage de Paris) de la Chambre de commerce et d'industrie de Paris.

(7) Entretien avec S. Marcovitch, « Des "pratiques et usages" pour compléter la loi », La Lettre de la DIGITIP, n° 27, juin 2004.

(8) Entretien avec Ch. Feral-Schuhl, « Toutes les entreprises utilisent déjà plus ou moins le e-commerce », Échanges internationaux, 2ème trimestre 2004, p. 10.

(9) S. Chakravorti et E. Davis, « An electronic supply chain : will payments follow ? », Chicago Fed Letter, n° 206a, September 2004.

(10) Source : Marsh Conseil France, « Analyse des risques juridiques, techniques et assuranciels d'un système de certification de signature électronique », document d'étude interne, 2000.

(11) Source : Marsh Conseil France, op. cit.

(12) (« À quand le code de conduite sur Internet ? », Journal du Net, 4 mai 2004.

(13) http://www.afa-france.com

(14) Une charte des prestataires de services d'hébergement en ligne et d'accès internet a été signée, en juin 2004, entre l'AFA et le Gouvernement : a) la charte contraint les prestataires à mettre à la disposition des internautes des contacts (www.internet-mineurs.gouv.fr ou www.pointdecontact.net) afin de signaler les sites internet illicites et b) la charte oblige également les hébergeurs à « relayer les informations déposées par les internautes auprès des autorités publiques compétentes et de coopérer avec les autorités judiciaires » (S. Cassini, « Les fournisseurs d'accès Internet ont conclu une charte pour réguler la Toile », La Tribune, 9 avril 2004).

(15) Propositions déjà suggérées dans le rapport de M. Buat, « Au-delà des textes français et communautaires : quel cadre international pour le commerce électronique ? », décembre 2001, CCIP. http://www.ccip.fr/etudes

(16) Selon le rapport de M. Buat, op. cit., décembre 2001, « L'édiction de règles précises et détaillées, telles les législations nationales ou les textes européens, à l'échelle du monde ou, à tout le moins, des pays membres de l'OMC, se révèle difficile pour des raisons politiques, économiques, juridiques et surtout culturelles. Plus probable pourrait être l'édiction de principes utiles à l'image des principes directeurs de l'OCDE à l'intention des entreprises multinationales. Cela s'accompagnerait de l'adaptation des textes juridiques internationaux existants aux besoins du commerce électronique ».

(17) Jonas Astrup, « "Clearing Up E-Contracting Issues" - Self-regulation is a better approach, says ICC, than the convention being drafted by UNCITRAL », 21 juillet 2003, USCIB, Policy Advocacy et « Industry Group Urges Self Regulation of E-Contrats », 25 août 2004, Warren's Washington Internet Daily, Vol. 4, Issue 164.

(18) Jonas Astrup, op. cit.

(19) Les points qui ne sont pas abordés sont, en revanche, l'objet du contrat et les raisons pour lesquelles telle compagnie signe avec telle autre.

(20) Entretien avec Ch. Feral-Schuhl, op. cit. p. 11.

(21) Synthèse des réponses à l'enquête sur l'environnement législatif et le cadre des politiques concernant les services d'authentification électronique et les signatures électroniques dans les pays membres de l'OCDE, OCDE, août 2003, http://www.olis.oecd.org/olis/2003doc.nsf/LinkTo/dsti-iccp-reg(2003)9-final.

(22) La CCIP s'est déjà exprimée dans ce sens en 2001 en suggérant d'organiser, au niveau international, de façon plus ordonnée, les initiatives en matière de marque de confiance, d'intégrer une série de critères pour les labels, favoriser un certain mouvement de standardisation en matière de certification de signature et prôner le dialogue entre États et industriels pour harmoniser les approches nationales de l'authentification.

Le nouveau régime applicable aux fournisseurs de services de partage de contenus en ligne

L'article 17 de la nouvelle directive a pour objectif de trouver une solution équilibrée à la délicate question du partage de la valeur dans le champ du web 2.0, infrastructure qui permet la mise à disposition d'oeuvres de l'esprit par le biais de plateformes contributives ou par l'intermédiaire des réseaux sociaux (sur cette question, voir le dossier spécial de cette revue : Oeuvres de l'esprit et Web 2.0, Dalloz IP/IT 2016. 166). Jusqu'à l'adoption de ce texte la situation était la suivante. Une plateforme communautaire ou contributive (la plus connue est YouTube) offrait ses capacités de stockage et d'accès à divers internautes afin que ceux-ci puissent y installer des contenus (« post » ou « upload ») que d'autres pourront consulter (« download ») en streaming ou pour un téléchargement sur leur disque dur. Ces sites contributifs connaissaient un très fort succès en raison de la diversité et de la richesse des contenus ainsi proposés. Leur fréquentation très importante était particulièrement attractive pour des annonceurs et agences de publicité et cela d'autant plus que l'exposition des messages publicitaires y est souvent moins onéreuse ou plus rentable que sur les supports plus traditionnels. Cette source importante de revenus permettait aux plateformes ou réseaux sociaux de ne pas faire payer leurs services aux internautes et consommateurs, concourant ainsi au mythe de la gratuité sur internet.

Cette gratuité n'est toutefois pas un phénomène inconnu dans le secteur des industries culturelles. La plus grande chaîne de télévision en Europe, TF1, repose sur ce modèle économique en se finançant essentiellement par des revenus publicitaires. Mais pour ces opérateurs classiques la gratuité pour le public ne signifie pas pour autant l'absence de rémunération des auteurs. Des accords sont passés avec les créateurs comme avec les producteurs. Mieux, ces opérateurs classiques sont intégrés dans un système d'aide obligatoire de financement du secteur culturel par le devoir de consacrer une part importante de leur chiffre d'affaires à la production de nouvelles oeuvres.

Telle n'est pas la situation des plateformes du Web 2.0. Pourquoi ?

Parce qu'il n'y est question que de vidéos personnelles représentant des jeux de chatons ou les premiers pas de bébé ? Non, puisque les oeuvres appartenant à autrui y sont également très nombreuses. Parce qu'elles n'accomplissent aucun acte mettant en oeuvre le droit d'auteur ? Non, puisque tout démontre que le stockage est un acte juridique de reproduction tandis que le fait de rendre ainsi l'oeuvre accessible au public est un acte de communication au public. L'explication tient à ce que les plateformes invoquent le bénéfice de dispositions posées par la directive 2000/31/CE relative au commerce électronique(1). La première, l'article 14 crée un « safe harbour » au profit des hébergeurs en posant un régime d'irresponsabilité conditionnée. La deuxième, l'article 15, interdit d'imposer à ces mêmes opérateurs une obligation générale de vigilance.

Au prétexte d'un prétendu « rôle passif » (critère de qualification de l'activité), les plateformes revendiquent le bénéfice de ces dispositions dont l'application les dispense de toute recherche d'accord avec les ayants droit et les soustrait de tout grief de contrefaçon dès lors qu'elles se seront montrées promptement réactives après que la présence d'un contenu illicite leur aura été signalée (le plus souvent via une notification). Les plateformes ne sont pas tenues de surveiller les contenus stockés. Ni d'éviter qu'un contenu illicite réapparaisse après un premier retrait puisque la pratique américaine du « take down, stay down » n'a pas été reconnue comme s'imposant à elles par la Cour de cassation française(2).

Ce bouclier juridique ainsi invoqué conduit à deux séries de conséquences. D'une part, un phénomène de captation de la valeur(3) par les prestataires techniques au détriment des représentants ou cessionnaires des auteurs dont les oeuvres présentes (au moins momentanément) assurent, sans rémunération, l'attractivité des services du Web 2.0. D'autre part, la mise en place d'une situation avantageuse pour ces prestataires par rapport à celle d'autres intervenants (Deezer, Qobuz, les chaînes de télévision, les stations de radio...), oeuvrant également dans l'activité de distribution des oeuvres de l'esprit mais sans pouvoir bénéficier des règles de la directive commerce électronique. Est ainsi créée une espèce de situation de « concurrence déloyale ».

Cette situation paraissait d'autant plus choquante que, sur un plan purement juridique, les plateformes ne devraient pas pouvoir bénéficier du régime des hébergeurs dans la mesure où les activités qu'elles déploient font sérieusement douter de l'existence d'un rôle purement passif qui en commande le bénéfice (V. dossier, Oeuvres de l'esprit et Web 2.0, préc.).

L'objectif de l'article 17 est justement de faire proclamer l'opposabilité des droits de propriété littéraire et artistique à certains fournisseurs de services de partage de contenu en ligne. Il est limité à ce dessein. Pour les autres problématiques juridiques (atteinte à la vie privée, par exemple), ces mêmes prestataires continueront à pouvoir invoquer le régime avantageux de l'article 14 de la directive 2000/31/CE du 8 juin 2000, dite « e-commerce », à propos du statut de l'hébergeur(4), pour peu que la qualification soit justifiée.

Toutefois, afin de ne pas gêner l'essor de l'économie numérique et les intérêts des consommateurs, le principe de l'opposabilité (retrouvée) du droit d'auteur (I) est tempéré par la prévision d'exceptions au profit de certains opérateurs éloignés de tout but lucratif, ou tout simplement trop petits et émergents (II).

I - Le principe posé par l'article 17 : l'opposabilité des droits de propriété littéraire et artistique aux fournisseurs de services de partage de contenu en ligne En quoi consiste le régime ainsi mis en place par l'article 17 (B) et à qui s'impose-t-il (A) ?

A - La notion de fournisseurs de services de partage de contenu en ligne

Quelles sont les personnes concernées par ce retour de l'opposabilité du droit d'auteur ?

La directive (art. 2.6) désigne les « fournisseurs de service de partage de contenu en ligne ». C'est-à-dire « le fournisseur d'un service de la société de l'information dont l'objectif principal ou l'un des objectifs principaux est de stocker et de donner au public l'accès à une quantité importante d'oeuvres protégées par le droit d'auteur ou d'autres objets protégés qui ont été téléversés par ses utilisateurs, qu'il organise et promeut à des fins lucratives ».

Plusieurs éléments concourent donc à la qualification des personnes soumises à l'opposabilité du droit d'auteur :

- l'activité qui consiste à stocker et rendre accessibles des oeuvres ou éléments couverts par un droit voisin à la suite de l'initiative d'un internaute ;

- le volume important de la mise à disposition, l'appréciation relevant plus d'une approche quantitative que qualitative ;

- la poursuite d'un but lucratif. Cela ne suppose pas un paiement de la part de l'internaute qui vient consulter les oeuvres mais la recherche par le prestataire d'une source de rémunération par la publicité ou la monétisation d'éléments recueillis.

- le rôle actif joué par le fournisseur, révélé par l'activité de promotion et d'organisation des contenus.

Il y a, ici, remise en avant des critères dégagés par la Cour de justice de l'Union européenne mais qui avaient été un peu perdus de vue par les juridictions nationales, plus soucieuses d'examiner - à tort - la notion de connaissance de l'existence de contenus illicites. On observera qu'il n'est rien dit du choix effectif du contenu lui-même. Il est vrai qu'en pareil cas, le prestataire jouerait en réalité le rôle d'éditeur et devrait en assumer pleinement le statut, ce qui conduit à la mise en oeuvre directe d'une responsabilité pleine et entière en cas de contrefaçon (ce qui n'est pas exactement le régime de l'art. 17 ; V. infra, B).

Il sera observé en deuxième partie de l'étude que la directive soustrait deux catégories d'intervenants du régime de responsabilité un peu particulier mis en place par l'article 17.

B - Régime de propriété littéraire et artistique applicable aux fournisseurs de services de partage de contenu en ligne

Résumé à sa plus simple expression, le régime peut être ainsi présenté :

- les personnes visées accomplissent un acte de communication au public ou de mise à la disposition du public lorsqu'elles donnent aux internautes l'accès à des oeuvres (art. 17.1). Cette affirmation devrait mettre un terme aux hésitations jurisprudentielles existant dans certains États au point de susciter des questions préjudicielles à la CJUE(5). Il n'existe plus de doute : le droit d'auteur est bien mis en oeuvre par la plateforme du fait des actes de mise à disposition (art. 3 de la directive 2001/29/CE du 22 mai 2001) ;

- en vertu de l'article 17.3 du nouveau texte européen, ces personnes - notamment parce qu'elles jouent un rôle actif - ne peuvent plus bénéficier du bouclier de la directive 2000/31/CE du 8 juin 2000 (exclusion du régime de l'hébergeur) ;

- l'opposabilité du droit d'auteur qui en résulte place ces personnes dans la situation suivante :

• les fournisseurs doivent tenter et parvenir à passer des accords (art. 17.1, § 1) avec les titulaires de droits (1) ;

• en l'absence d'accord possible avec les titulaires de droits (non tenus de délivrer une autorisation), ils doivent empêcher (art. 17.4) la mise à disposition des oeuvres contrefaisantes (2).

Chacune des solutions a pour but d'éradiquer la contrefaçon. Soit en rendant, par l'intermédiaire d'une licence, la mise à disposition des oeuvres licite (le retour du droit d'auteur donne aux ayants droit le levier juridique qui permet une meilleure négociation, et donc une rémunération plus juste). Soit en empêchant cette mise à disposition qui n'aurait pas recueilli l'accord de l'auteur ou pu profiter du bénéfice d'une exception au droit de propriété littéraire et artistique. Il serait possible de considérer qu'il y a donc purement et simplement retour au droit commun mais l'observation mérite d'être nuancée en raison de l'existence de certaines particularités.

1 - L'obligation de passer un accord avec les ayants droit

Il y a ici retour au système classique des licences mais avec deux singularités.

a - Les personnes concernées par l'accord

Si la première option est retenue, la directive prévoit que l'accord conclu couvrira non seulement les actes effectués par la plateforme, mais aussi ceux accomplis par les internautes qui postent les contenus (également susceptibles d'être regardés comme mettant en oeuvre le droit d'auteur), sauf si ces internautes agissent sur une base commerciale ou génèrent des revenus significatifs (art. 17.2). Dans ce dernier cas, les internautes devront eux-mêmes négocier avec les ayants droit.

b - Les suites de l'accord : la proclamation d'un devoir de transparence et de loyauté

Le texte européen prévoit également (art. 17.8, al. 2) la mise en oeuvre d'un devoir de transparence et de loyauté. L'idée qui sous-tend cette obligation est naturellement de rendre possible la rémunération la plus juste possible(6). Il y a là comme l'exigence d'une reddition de comptes. Si la rémunération due est calculée en fonction du volume des consultations (nombre de « clics »), il est absolument indispensable de pouvoir quantifier la masse des demandes des internautes consultant les oeuvres. Le texte doit, du reste, être lu en contemplation de l'article 18 de cette directive, exigeant une « rémunération appropriée et proportionnée » et de l'article 19 imposant de façon plus générale une « obligation de transparence ».

2 - L'obligation d'empêcher la présence ou l'accès à des oeuvres contrefaisantes

Logiquement, à défaut d'autorisation, et en dehors du bénéfice d'une exception au droit d'auteur et aux droits voisins, la plateforme devrait être regardée immédiatement comme responsable d'actes de contrefaçon. Mais cette conséquence est apparue aux rédacteurs du texte comme pouvant être trop brutale, notamment par comparaison avec la situation, jusqu'alors existante, d'irresponsabilité conditionnée. Il a été aussi fait observer que, le plus souvent, les plateformes étaient dans l'impossibilité de savoir ce qui était posté par les internautes. Ou encore dans celle de connaître le statut des oeuvres ou éléments protégés concernés. Et que même averties des risques d'installation éventuelle de certaines oeuvres dans leurs structures, elles risquaient d'être dans l'incapacité d'en empêcher l'accomplissement. Comment identifier les oeuvres en question ? Quelles mesures prendre pour en interdire la mise à disposition du public ? Ce questionnement aussi bien technique que juridique a conduit la directive à renoncer au principe suivant lequel la responsabilité d'une plateforme est engagée du seul fait de la présence non autorisée d'une oeuvre de l'esprit. La plateforme doit certes tout faire pour empêcher la mise en ligne des oeuvres non autorisées, mais elle n'est pas tenue d'un résultat absolu et n'est pas soumise à un devoir général de vigilance.

a - Une obligation contraignant à la mise en oeuvre des meilleurs efforts et non à un résultat absolu

Le siège de cette solution particulière est l'article 17.4 :

« Si aucune autorisation n'est accordée, les fournisseurs de services de partage de contenus en ligne sont responsables des actes non autorisés de communication au public, y compris la mise à la disposition du public, d'oeuvres protégées par le droit d'auteur et d'autres objets protégés... ».

Mais cette disposition - qui rappelle ainsi la solution de droit commun - s'achève de la façon suivante :

« ... à moins qu'ils ne démontrent que :

a) ils ont fourni leurs meilleurs efforts pour obtenir une autorisation ; et

b) ils ont fourni leurs meilleurs efforts, conformément aux normes élevées du secteur en matière de diligence professionnelle, pour garantir l'indisponibilité d'oeuvres et d'autres objets protégés spécifiques pour lesquels les titulaires de droits ont fourni aux fournisseurs de services les informations pertinentes et nécessaires ; et en tout état de cause

c) ils ont agi promptement, dès réception d'une notification suffisamment motivée de la part des titulaires de droits, pour bloquer l'accès aux oeuvres et autres objets protégés faisant l'objet de la notification ou pour les retirer de leurs sites internet, et ont fourni leurs meilleurs efforts pour empêcher qu'ils soient téléversés dans le futur, conformément au point b) ».

Formulée autrement, la règle posée à l'article 17. 4 peut être ainsi comprise : le fournisseur de services a priori susceptible d'être regardé comme contrefacteur du fait de la présence d'une oeuvre non autorisée ne verra cependant pas sa responsabilité engagée s'il parvient à prouver qu'il a accompli ses meilleurs efforts et qu'il s'est montré diligent.

Comment savoir que tel est le cas ?

i - Une obligation aux contours variant suivant les situations

Comment savoir si ces moyens attendus du prestataire ont véritablement été mis en oeuvre et comment mesurer les meilleurs efforts accomplis ?

L'article 17. 5. fournit quelques éclaircissements :

« Pour déterminer si le fournisseur de services a respecté les obligations qui lui incombent en vertu du paragraphe 4, et à la lumière du principe de proportionnalité, les éléments suivants sont, entre autres, pris en considération :

a) le type, l'audience et la taille du service, ainsi que le type d'oeuvres ou d'autres objets protégés téléversés par les utilisateurs du service ; et

b) la disponibilité de moyens adaptés et efficaces et leur coût pour les fournisseurs de services ».

Cette modulation suivant les services, les éléments en cause, la disponibilité et l'efficacité de mesures techniques ainsi que les coûts est compréhensible. Le texte ne fixe volontairement que les grandes lignes. On avouera que la souplesse - que l'on peut considérer comme bienvenue - qu'offre le texte peut être également regardée comme facteur d'imprévisibilité. Il y a lieu de penser qu'est ainsi réalisé un renvoi à l'état de l'art ou à l'état de la technique. L'exigence attendue ne variera pas seulement suivant les hypothèses mais évoluera avec le temps. Des bonnes pratiques se dégageront. Le recours à des mesures techniques fiables et accessibles s'imposera.

Il existe aujourd'hui des modes d'identification des oeuvres par le biais d'empreintes numériques(7). Google a développé son propre procédé, « Content ID », après le succès du système « Signature » de l'Institut national de l'audiovisuel pour la reconnaissance des oeuvres audiovisuelles. En matière musicale, Audible Magic, a la même fonction tandis que des systèmes de reconnaissance sont en voie d'achèvement dans le champ des images fixes(8). Le Conseil supérieur de la propriété littéraire et artistique vient de lancer une mission à ce propos en collaboration avec la HADOPI et le CNC(9).

La charge de la preuve de la mise en oeuvre des meilleurs efforts pèse naturellement sur la plateforme. Si cette dernière venait à échouer dans sa démonstration d'un recours aux meilleures pratiques - par référence aux standards qui s'établiront peu à peu - sa responsabilité sera engagée.

ii - Une obligation dépendante d'un devoir de collaboration

L'autre originalité du système mis en place est que l'intensité des efforts attendus de la plateforme sera dépendante de la mise en place d'un devoir de collaboration entre le prestataire technique et les ayants droit.

À titre indicatif, il est possible de considérer que ces derniers ne sont pas simplement ceux qui connaissent le mieux les oeuvres en cause, mais également ceux qui peuvent prendre des initiatives pour empêcher la mise en ligne de ces créations. Or, par rapport à la situation qui existait jusqu'à présent, la solution nouvelle vise certainement à empêcher la mise en ligne - ex ante - de l'oeuvre et pas seulement à en obtenir simplement le retrait après un signalement. Le but de la construction juridique nouvelle est bien d'éviter toute offre contrefaisante à propos d'une création en cause.

Dans cette optique, il peut être attendu de l'ayant droit qu'il fournisse à la plateforme les moyens d'identification techniques précités de sorte que, une fois ces derniers implémentés, toute initiative d'un internaute visant à la mise en ligne de l'oeuvre non autorisée soit bloquée par le système.

Mais l'échange collaboratif entre ayants droit et plateforme peut naturellement prendre des formes différentes. Le but demeure de pouvoir prévenir l'acte plutôt que de remédier - ex post - à la présence indue de la contrefaçon. De ces échanges découleront de façon générale des bonnes pratiques permettant au juge éventuellement saisi ultérieurement d'apprécier le bon accomplissement des meilleurs efforts et offrant également aux plateformes le moyen de connaître en amont les diligences attendues.

iii - Une obligation prolongée dans le temps

Il résulte du dispositif nouveau que la plateforme ne sera pas responsable lorsqu'elle aura déployé ses meilleurs efforts. Il y a alors retour à la situation antérieure suivant laquelle le prestataire technique devra retirer le contenu illicite dès lors que l'ayant droit en fera la demande. Dans l'hypothèse d'un manque de réactivité de la plateforme, la responsabilité de cette dernière pourrait être engagée.

Mais le texte nouveau pose une solution intéressante - qui va au-delà de ce qu'exigeait le droit français - en semblant consacrer la pratique du « take down, stay down » que la Cour de cassation française(10) avait refusé d'imposer aux prestataires techniques au prétexte infondé qu'elle méconnaissait l'interdiction d'imposer un devoir général de surveillance. Suivant cette théorie, mise en oeuvre de façon spontanée dans certains pays par certains prestataires techniques(11), la plateforme devrait être tenue d'implémenter des empreintes numériques afin d'empêcher toute remise en ligne ultérieure d'une oeuvre déjà signalée comme étant illicite, et ce quelle que soit l'identité de l'internaute à l'origine de ces malheureuses initiatives. La solution est importante en ce qu'elle délie l'ayant droit de toute contrainte de surveillance d'une plateforme déjà notifiée dans l'optique d'obtenir un nouveau retrait. L'oeuvre contrefaisante ne peut plus réapparaître sauf à engager la responsabilité de la plateforme.

L'article 17.8 impose aux prestataires techniques de rendre compte de leurs actions en matière de blocage.

b - Une obligation ne contraignant pas à un devoir général de vigilance

Le temps très long d'adoption de la directive s'explique en grande partie par le lobby déployé par les prestataires techniques à propos, notamment, de cette construction. Ces derniers, prétendaient - à tort - que les solutions retenues leur imposaient une obligation générale de vigilance ou de surveillance pourtant prohibée par l'article 15 de la directive 2000/31/CE.

D'où le principe rappelé à l'article 17.8 : « L'application du présent article ne donne lieu à aucune obligation générale de surveillance ». Mais, à la vérité, le prétendu grief pouvait aisément être contesté, pour au moins trois séries de raisons.

D'une part, parce que les mesures qui sont susceptibles d'être prises doivent être considérées comme « ciblées » (et non générales). Elles ont trait, chaque fois, à une oeuvre particulière, identifiée et identifiable. Or, le considérant 47 de cette même directive (2000/31/CE) précise clairement que seule une surveillance générale est interdite. La pratique de mesures ciblées via des « systèmes techniques de protection et d'identification ainsi que d'instruments techniques de surveillance rendus possibles par les techniques numériques » est même encouragée par le considérant 40 de cette directive 2000/31/CE.

D'autre part, parce que l'adoption de ces mesures étant, comme on l'a vu, le fruit d'une concertation entre fournisseurs de services de partage de contenus en ligne et ayants droit, elle ne peut en aucun cas être considérée comme relevant d'une « obligation générale de rechercher activement des faits ou des circonstances révélant des activités illicites �� interdite par l'article 15. Et cela d'autant moins que le mécanisme est automatisé.

Enfin, parce que la directive 2000/31/CE admet, elle-même, au considérant 48 et à l'article 18, le recours possible à des mesures de prévention « afin de détecter et d'empêcher certains types d'activités illicites ».

c - Une obligation respectueuse des droits des internautes

Les consommateurs, quant à eux, ont manifesté leur crainte d'une éventuelle atteinte à leurs données personnelles ou celle de perdre le bénéfice des exceptions au droit de propriété littéraire et artistique. Mais le texte en définitive adopté a pris en considération ces inquiétudes et mis en place des mécanismes de recours et de garantie.

S'agissant des prétendus risques d'atteintes aux données personnelles, au secret de la vie privée ou aux libertés et droits fondamentaux, il y a lieu d'observer que l'identité des internautes qui postent les contenus est indifférente au nouveau mécanisme qui ne s'intéresse qu'à la présence d'oeuvres contrefaisantes et non aux personnes. Ces éléments ne sont donc ni nécessaires ni même utiles.

Quant à la garantie du bénéfice des exceptions, l'article 17.7 précise que :

« Les États membres veillent à ce que les utilisateurs de tous les États membres puissent se prévaloir des exceptions et limitations existantes suivantes pour télécharger et mettre à disposition le contenu généré par les utilisateurs sur des services de partage de contenu en ligne :

a) citation, critique, revue ;

b) utilisation à des fins de caricature, parodie ou pastiche ».

L'article 17.9 prévoit que le traitement du recours fasse « l'objet d'un contrôle par une personne physique », c'est-à-dire d'un examen humain et non d'un traitement automatisé.

Si le principe posé ne peut qu'être approuvé, la formulation laisse songeur. Quelles exceptions sont ainsi concernées ? Toutes, le a) et le b) ayant seulement valeur d'exemples ? Seulement celles qui sont expressément énumérées (citations, parodie...) ? Ou bien faut-il accorder un autre sens au texte, poussant plus loin la garantie ? Toutes les exceptions seraient concernées par le dispositif nouveau, y compris celles de citation et de parodie, même lorsque ces dernières n'existent pas dans la législation nationale d'un État membre (en raison de caractère facultatif de l'énumération de l'article 5 de la directive 2001/29/CE aux alinéas 2, 3 et 4).

II - Les exceptions au principe : la soustraction de certains prestataires au régime mis en place par l'article 17 Deux catégories de personnes sont ici envisagées.

Certaines sont presque totalement exclues du nouveau régime mis en place par l'article 17 et restent soumises au jeu de l'article 14 de la directive commerce électronique (A). D'autres reçoivent application d'une espèce de régime mixte mêlant solutions de l'article 14 de la directive commerce électronique et de l'article 17 de la directive relative aux droits d'auteur dans le marché unique numérique (B).

A - Les personnes totalement soustraites du nouveau régime de l'article 17

Ces personnes sont énumérées par l'article 2.6, alinéa 2 : « Ne sont pas des fournisseurs de services de partage de contenus en ligne au sens de la présente directive les prestataires de services tels que les encyclopédies en ligne à but non lucratif, les répertoires éducatifs et scientifiques à but non lucratif, les plateformes de développement et de partage de logiciels libres, les fournisseurs de services de communications électroniques au sens de la directive (UE) 2018/1972 du 11 décembre 2018, les places de marché en ligne, les services en nuage entre entreprises et les services en nuage qui permettent aux utilisateurs de téléverser des contenus pour leur propre usage ».

Cette solution d'exclusion paraît assez logique dans la mesure où ces personnes ne paraissent pas entrer dans le champ de l'article 17 faute de poursuite d'un but lucratif ou en raison de services ne relevant que de la sphère privée.

Il y a lieu de considérer qu'elles continuent de bénéficier du régime d'irresponsabilité conditionnée issu de l'article 14 de la directive commerce électronique, c'est dire qu'elles devront simplement être réactives lorsqu'un ayant droit leur signalera la présence d'oeuvres de l'esprit contrefaisantes. Elles devront alors retirer ses oeuvres ou rendre l'accès à ces dernières impossible sous peine de voir leur responsabilité alors engagée. Mais, en cas de diligence de leur part dans un délai raisonnable, leur responsabilité ne saurait être recherchée.

Sont également dans la même situation - sans que l'article 17 n'ait besoin de le préciser puisque cela résulte des exigences du nouveau dispositif -, les sites de e-commerce qui vendent des produits physiques comme Amazon, les blogs personnels ou les discussions de forum, les services dont le but principal n'est pas de mettre en ligne et partager à un grand nombre de contenus, tels que TripAdvisor, Tinder et autres sites de rencontres... Ce sera le cas pour toute application, tout site, qui n'aura pas de fonction de stockage, pas de large diffusion des oeuvres ou pas de recherche de profit...

B - Les personnes temporairement et partiellement soustraites du nouveau régime de l'article 17

Certaines plateformes peuvent continuer, par exception, à bénéficier de l'article 14, mais tout en se voyant imposer quelques obligations nouvelles et sans que cette exclusion soit définitive.

L'article 17.6 dispose ainsi que : « les États membres prévoient que, à l'égard de nouveaux fournisseurs de services de partage de contenus en ligne dont les services ont été mis à la disposition du public dans l'Union depuis moins de trois ans et qui ont un chiffre d'affaires annuel inférieur à 10 millions d'euros calculés conformément à la recommandation 2003/361/CE du 20 mai 2003 de la Commission(12), les conditions au titre du régime de responsabilité énoncé au paragraphe 4 sont limitées au respect du paragraphe 4, point a), et au fait d'agir promptement, lorsqu'ils reçoivent une notification suffisamment motivée, pour bloquer l'accès aux oeuvres ou autres objets protégés faisant l'objet de la notification ou pour les retirer de leurs sites internet.

Lorsque le nombre moyen de visiteurs uniques par mois de tels fournisseurs de services dépasse les 5 millions, calculé sur la base de l'année civile précédente, ils sont également tenus de démontrer qu'ils ont fourni leurs meilleurs efforts pour éviter d'autres téléversements des oeuvres et autres objets protégés faisant l'objet de la notification pour lesquels les titulaires de droits ont fourni les informations pertinentes et nécessaires ».

Les personnes soumises à ce régime « mixte » sont certaines microentreprises et petites entreprises (critères matériels) récemment apparues (critère temporel).

Le but de ce régime spécial est de ne pas freiner l'éclosion de start-ups. Alors que le régime de l'article 17 peut aisément être supporté par des entreprises comme YouTube ou DailyMotion, il est moins sûr que certains nouveaux arrivants de taille modeste soient assez solides et assez bien organisés pour faire face au retour de l'opposabilité du droit d'auteur. Cette prise de position a pu surprendre les ayants droit au point d'entraîner l'opposition de certains d'entre eux qui y voient une tolérance à des actes de contrefaçon au profit de ces petits opérateurs, le temps de leur croissance. Mais cette disposition, qui est présentée comme manifestant le désir de ne pas entraver l'essor de l'économie numérique, était le « prix » d'un soutien de nombres d'États membres, dont l'Allemagne, à la nouvelle construction normative. Le régime qui est alors applicable est le suivant.

Ces microentreprises devront d'abord faire leurs « meilleurs efforts » pour obtenir une autorisation adaptée à leur taille et leur modèle économique. L'offre légale n'est pas totalement oubliée. Mais il faut éviter d'« asphyxier » ces opérateurs.

À défaut d'autorisation, elles devront agir rapidement, dès réception d'un avis suffisamment motivé, pour soustraire les oeuvres et éléments notifiés de leur plateforme ou pour désactiver leur accès. On retrouve, ici, la logique « notice and take down » issue de l'article 14 de la directive e-commerce.

Mais, lorsque le nombre moyen de visiteurs uniques par mois de ces fournisseurs de services dépasse 5 millions, ces microentreprises doivent également démontrer qu'elles ont fait tout leur possible pour empêcher d'autres téléchargements des oeuvres et autres objets notifiés pour lesquels les titulaires de droits ont fourni les informations pertinentes et nécessaires. Ce qui est l'expression d'un système « take down, stay down » pour l'heure rejeté par la Cour de cassation française (V. supra, I, B, a, 1, iii).

Enfin, il faut observer que cette exclusion du champ de l'article 17, n'est, à l'inverse de l'hypothèse précédente et en fonction des critères ici retenus, que temporaire (trois ans)(13).

Le régime mis en place s'inscrit dans la logique décrite par M. Andrus Ansip, vice-président de la Commission pour le marché unique numérique : « nous disposons d'un texte juste et équilibré, adapté à l'Europe numérique. Les internautes jouiront de libertés et de droits renforcés, nos créateurs seront mieux rétribués pour leur travail et l'économie numérique pourra se déployer et prospérer dans le cadre de règles plus claires ».

Ce qu'il faut retenir L'article 17 avait pour ambition, au nom d'un meilleur partage de la valeur, de reproclamer l'opposabilité du droit d'auteur à certains fournisseurs services de partage de contenu en ligne. L'objectif est atteint.

Certes, les aménagements au régime de responsabilité peuvent décevoir ceux qui espéraient une solution plus proche de celle envisagée dans la proposition, originelle, de directive du 14 septembre 2016. Mais, lorsque l'on mesure, par comparaison avec les solutions aujourd'hui existantes et décrites en introduction de cette étude, l'importance, juridique et, par voie de conséquence, économique, des transformations réalisées par ce texte, il est difficile de nier l'apport considérable réalisé par l'article 17.

Mots clés : DROIT D'AUTEUR * Directive sur le droit d'auteur et les droits voisins dans le marché unique numérique * Oeuvre de l'esprit * Plateforme * Partage de la valeur

(1) Section 4 : Responsabilité des prestataires intermédiaires. Le texte de ces différents articles est exposé au fur et à mesure de l'exposé.

(2) Civ. 1re, 12 juill. 2012, n° 11-13.666, RIDA 2012. 565 ; ibid. 433 et s., obs. P. Sirinelli ; D. 2012. 2075, note C. Castets-Renard ; ibid. 2071, concl. C. Petit ; ibid. 2343, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; ibid. 2836, obs. P. Sirinelli ; RTD com. 2012. 771, obs. F. Pollaud-Dulian .

(3) Sans, pour autant, nier la valeur également créée par la présence de ces services techniques.

(4) V., art. 17.3, al. 2.

(5) Dans un arrêt du 13 sept. 2018 (aff. I ZR 140/15 - YouTube), le Bundesgerichtshof (Cour fédérale de justice allemande - BGH) a saisi la CJUE de plusieurs questions concernant la responsabilité de YouTube, exploitant d'une plateforme vidéo sur internet, du fait des actes de téléchargement de contenus contrefaisants par des internautes. Dans une autre décision, du 20 sept. 2018 (I ZR 53/17 - Uploaded), la même juridiction a de nouveau saisi la CJUE en lui adressant plusieurs questions (similaires) concernant la responsabilité d'un service de share-hosting (hébergement mutualisé) en matière de contenus portant atteinte au droit d'auteur.

(6) La transparence est également exigée par la même disposition à propos des informations des pratiques visant à empêcher l'accès aux oeuvres contrefaisantes (Infra, 2).

(7) Sur la question, v. Mission du CSPLA sur les outils de reconnaissance des oeuvres sur les plateformes en ligne https://bit.ly/2DLkZ4e.

(8) https://www.adagp.fr/fr/actualites/rejoignez-projet-air.

(9) Mission sur l'évaluation de l'efficacité des outils de reconnaissance de contenus en ligne et de formulation de recommandations sur leur utilisation.

(10) Civ. 1re, 12 juill. 2012, n° 11-13.666, préc.

(11) V., par ex., aux États-Unis l'accord UGC Principle sous forme de soft law.

(12) Recommandation de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36).

(13) En espérant que la construction ne laisse pas libre cours à des calculs d'opportunité de certaines start-ups qui trouveraient avantage à recréer une nouvelle personne morale pour échapper à l'échéance de l'exemption posée par l'art. 17.

Amende record pour un site e-commerce

La CNIL a condamné la société Optical Center à une amende de 250 000 € pour manquement à son obligation de sécurisation des données.

Le 28 juillet 2017, la Commission nationale de l'informatique et des libertés (CNIL) a été informée d'une possible fuite de données concernant le site internet de la société Optical Center.

Les factures des clients e-commerce d'Optical Center étaient en effet accessibles à tous sur internet en tapant une URL (Uniform Resource Locator) spécifique dans la barre d'adresse. Le site « n'intégrait pas de fonctionnalité permettant de vérifier qu'un client s'est bien authentifié à son espace personnel avant de lui donner accès » aux documents litigieux.

Ces factures comportaient notamment des noms, prénoms, adresses postales, corrections ophtalmologiques, dates de naissance et numéros d'inscription au répertoire national d'identification des personnes physiques (numéro de sécurité sociale).

La société Optical Center, qui avait été informée de ce défaut de sécurité par la CNIL le 31 juillet 2017, a fait l'objet d'une seconde mission de contrôle dans ses locaux quelques jours plus tard.

Il a été indiqué à la CNIL qu'une correction du défaut de sécurité affectant le site internet avait été réalisée le 2 août 2017 par le prestataire informatique de la société Optical Center. La CNIL a effectivement constaté qu'il n'était plus possible d'accéder aux factures à partir des URL litigieuses.

La présidente de la CNIL a néanmoins désigné un rapporteur afin que soit engagée une procédure de sanction à l'encontre de la société Optical Center.

Cette affaire témoigne du pragmatisme de la CNIL dans le cadre de sa mission de contrôle (I) et rappelle les obligations du responsable de traitement en matière de sécurisation des données (II). Enfin, cette délibération est particulièrement intéressante dans la mesure où la sanction prononcée est la sanction la plus élevée jamais prononcée par la CNIL (III).

I - La procédure de sanction : une mise en demeure de la CNIL est-elle obligatoire ? La société Optical Center reprochait à la présidente de la CNIL de ne pas l'avoir formellement mise en demeure avant d'entamer la procédure de sanction.

Néanmoins, rappelons que la CNIL avait informé Optical Center du problème le 31 juillet 2017 par email, de manière à ce que la société puisse réagir le plus rapidement possible.

Pour Optical Center, le défaut de mise en demeure préalable, « formalité substantielle de la procédure », était contraire aux droits de la défense du responsable de traitement. Elle considérait que son manquement pouvait parfaitement faire l'objet d'une mise en conformité dans le cadre d'une mise en demeure.

L'article 45, I, de la loi Informatique et libertés dispose que :

« Lorsque le responsable d'un traitement ne respecte pas les obligations découlant de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut le mettre en demeure de faire cesser le manquement constaté dans un délai qu'il fixe. En cas d'extrême urgence, ce délai peut être ramené à vingt-quatre heures.

Si le responsable du traitement se conforme à la mise en demeure qui lui est adressée, le président de la commission prononce la clôture de la procédure.

Dans le cas contraire, la formation restreinte de la commission peut prononcer, après une procédure contradictoire, les sanctions suivantes :

1° Un avertissement ;

2° Une sanction pécuniaire [...] ;

3° Une injonction de cesser le traitement [...].

Lorsque le manquement constaté ne peut faire l'objet d'une mise en conformité dans le cadre d'une mise en demeure, la formation restreinte peut prononcer, sans mise en demeure préalable et après une procédure contradictoire, les sanctions prévues au présent I ».

La CNIL rappelle dans sa délibération que le prononcé d'une sanction sur le fondement de l'article 45 n'est pas conditionné à l'envoi d'une mise en demeure préalable et qu'au contraire le dernier alinéa de l'article 45 prévoit la possibilité de ne pas procéder à une telle formalité dans les cas où le manquement constaté ne peut pas faire l'objet d'une mise en conformité. En l'occurrence, elle a rappelé que la réparation ne peut « avoir d'effet que pour l'avenir et non pour le passé ». L'incident datant vraisemblablement de décembre 2016 et ne pouvant être réparé a posteriori, la CNIL considère qu'elle pouvait sanctionner sans mise en demeure.

Sur ce point, notons que la CNIL a également récemment infligé une sanction de 75 000 € à l'encontre de l'Association pour le développement des foyers (ADEF) sans mise en demeure préalable, pour avoir insuffisamment protégé les données des utilisateurs de son site internet (Délib. n°°2018-003 du 21 juin 2018).

Ce qu'il faut retenir Même en cas de respect d'une demande de la CNIL, la sanction pécuniaire est à craindre, même sans mise en demeure préalable. La nouvelle rédaction de l'article 45 de la loi Informatique et libertés issue de la loi du 20 juin 2018 (Loi n° 2018-493 relative à la protection des données personnelles) va clairement dans ce sens.

II - Faille de sécurité : le responsable de traitement maîtrisait-il vraiment son site e-commerce et doit il faire appel à un consultant cybersécurité ? À titre liminaire, il convient de rappeler que la délibération commentée a été rendue sur le fondement de la loi Informatique et libertés et non pas du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données à caractère personnel des personnes physiques (RGPD).

A - Les manquements constatés par la CNIL

Pour rappel, l'article 34 de la loi dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

Même si la CNIL souligne la réactivité de la société contrôlée et de son prestataire pour corriger la faille, elle note en revanche que les mesures élémentaires de sécurité n'avaient pas été prises en amont.

La CNIL considère que la société Optical Center aurait dû mettre « une restriction d'accès aux documents mis à disposition des clients via leur espace réservé ». Selon la CNIL, une telle fonctionnalité constitue « une précaution d'usage essentielle dont la mise en oeuvre aurait permis de réduire significativement le risque de survenance d'une telle violation de données ».

Elle souligne également que l'exploitation de la violation de données ne nécessitait aucune compétence technique particulière, signifiant que de nombreuses personnes non qualifiées pouvaient accéder à ces données.

Ainsi, cette erreur d'Optical Center semble inexcusable aux yeux de la CNIL dans la mesure où ce genre de problème est identifié « depuis de nombreuses années comme faisant partie des failles de sécurité faisant l'objet d'une surveillance particulière ».

La CNIL est ferme : « La seule modification du code source du site internet a permis de remédier au défaut de sécurisation en cause dont le caractère élémentaire n'a au demeurant pas été contesté ».

À savoir : La CNIL a mis au point une norme simplifiée servant de référentiel pour le traitement des données de santé par les opticiens (NS 054 issue de la délib. n°°2006-295 du 21 déc. 2006). Elle préconise notamment la mise en place d'une messagerie sécurisée comportant un système de chiffrement fort pour transmettre des données personnelles de santé via le réseau internet, d'un dispositif technique approprié mis à jour régulièrement (antivirus) afin de se prémunir des risques de captation des données et d'un dispositif de traçabilité des accès aux traitements. Plus généralement, les opticiens doivent implémenter des mesures de sécurité physique et logique pour préserver la confidentialité des informations et empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.

Optical Center n'a pas été en mesure d'établir l'efficacité, voire l'existence, de telles précautions.

B - Les conseils de la CNIL pour diminuer le risque de violation

À l'occasion de la délibération commentée, la CNIL vise d'autres mesures de sécurité auxquelles le responsable de traitement doit se conformer pour assurer la sécurité et l'intégrité des données des personnes.

Leçon n°°1 : le responsable de traitement doit se livrer à des audits de sécurité de son site internet.

Si la loi Informatique et libertés ne rendait pas obligatoire les audits de sécurité, l'article 32-1, d, du RGPD met cet audit de sécurité au rang des obligations incombant au responsable de traitement et du sous-traitant. La CNIL relève que si une proc��dure spécifique existait au sein de la société Optical Center pour la mise en production d'une mise à jour du site internet, aucune procédure n'était néanmoins prévue pour décrire les tests à mettre en oeuvre lors de cette mise en production.

Leçon n°°2 : le responsable de traitement doit auditer son sous-traitant.

En tant que responsable de traitement, il incombait à la société Optical Center de vérifier que son prestataire en charge de la création et de l'hébergement de son site internet répondait bien aux critères de protection des données personnelles (art. 35 de la loi Informatique et libertés).

Cela est confirmé par l'article 28 du RGPD qui prévoit que le sous-traitant doit mettre « à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations [...] et pour permettre la réalisation d'audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits ».

III - L'importance de la sanction prononcée par la CNIL Aux termes de l'article 47 de la loi du 6 janvier 1978 (dans son ancienne version), le montant de la sanction pécuniaire « est proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement. [...] prend notamment en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d'atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission ».

La sanction de 250 000 € peut paraître sévère, lorsque l'on sait que Facebook n'avait été condamné qu'à 150 000 € pour plusieurs types de manquement.

Mais la CNIL précise que la violation lui a été signalée par un tiers et souligne le « caractère élémentaire » de la fonctionnalité manquante.

Par ailleurs, la sanction de 250 000 € est justifiée par :

- la nature des données ayant fait l'objet de la violation : données de santé, coordonnées précises, NIR (numéro d'inscription au répertoire) ;

- leur nombre : 354 806 documents ont potentiellement pu faire l'objet de la violation ;

- le préjudice qui en résulte pour les personnes concernées : la faille expose les personnes concernées à des risques multiples parmi lesquels figure celui de faire l'objet d'un hameçonnage « ciblé » (infiltration dans un système par usurpation d'identité).

Il convient par ailleurs de noter que la société Optical Center avait déjà été condamnée par la CNIL le 5 novembre 2015 à une amende de 50 000 € (Délib. n°°2015-379 du 5 nov. 2015). En l'espèce, la CNIL avait été saisie par une cliente de la société Optical Center qui dénonçait la communication par téléphone de son mot de passe par la société, laissant ainsi supposer que les mots de passe des comptes clients étaient stockés en clair dans la base de données.

Ce n'est donc pas la première fois que la CNIL reproche à la société Optical Center la manière dont elle contrôle la conformité de ses sous-traitants à la réglementation.

L'on décèle dans cette décision une tendance de la CNIL à augmenter le quantum des sanctions lorsque les manquements lui paraissent facilement évitables.

Si la décision de la CNIL avait été rendue sous l'angle du RGPD, la société Optical Center, et très probablement son sous-traitant, auraient pu se voir infliger une sanction de 10 000 000 d'euros ou de 2 % du chiffre d'affaires annuel mondial (RGPD, art. 83-4).

Ce qu'il faut retenir La réactivité de la CNIL : informée de la violation le 28 juillet 2017, elle effectue un contrôle en ligne le 31 juillet suivant et un contrôle sur place le 9 août 2017.

Pour aller plus loin Guidelines G29 adoptées le 3 oct. 2017 et mises à jour le 6 févr. 2018 sur les violations de données

Guide CNIL du sous-traitant de sept. 2017

Site web de l'Agence nationale de la sécurité des systèmes d'information : www.ssi.gouv.fr

Communication de la CNIL du 28 juin 2015 sur les défauts de sécurité des sites web https://www.cnil.fr/fr/securite-des-sites-web-les-5-problemes-les-plus-souvent-constates

Délib. de la formation restreinte SAN-2017-006 du 27 avr. 2017 prononçant une sanction pécuniaire à l'encontre des sociétés Facebook Inc. et Facebook Ireland https://www.legifrance.gouv.fr/affichCnil.do ?oldAction=rechExpCnil&id=CNILTEXT000034728338&fastReqId=390211096&fastPos=2

Mots clés : DONNEES A CARACTERE PERSONNEL * Sécurisation des données * Violation de données * Sous-traitant * Sanction

Garantir la sécurité des données et mieux prendre en compte la cybercriminalité dans une logique de responsabilisation pour les entreprises

Constituant l'une des dimensions du droit au respect de la vie privée, la protection des données personnelles est consacrée comme un droit fondamental par la Charte des droits fondamentaux de l'Union européenne. Cette protection, mise en oeuvre depuis quarante ans(1) en France, revêt une dimension particulière depuis l'avènement de l'ère du numérique. En moins de vingt ans, les avancées technologiques sont gigantesques, presque vertigineuses : le moteur de recherche Google(2), les réseaux sociaux(3) n'ont fait leur apparition qu'au début des années 2000, les objets connectés se développent de façon exponentielle. Les internautes se comptent aujourd'hui en milliards sur l'ensemble de la planète. Pris dans un vaste mouvement où se mêlent, notamment, le plaisir de communiquer et l'envie de faire partie d'une communauté, l'instantanéité des échanges, un certain narcissisme, les utilisateurs ont très facilement diffusé leurs données personnelles sans véritablement en mesurer tous les enjeux. Or ces données ont été collectées, étudiées avec in fine un objectif commercial bien loin du ludique ou simplement de l'informatif. À l'heure de la pleine expansion de l'économie numérique, la donnée est devenue une matière première et son utilisation constitue un outil commercial et concurrentiel majeur. Dans le même temps, des particuliers se sont également lancés dans une démarche commerciale.

Dans ce vaste marché virtuel en pleine « ubérisation » la délimitation entre professionnel et non professionnel est devenue floue s'accompagnant d'une certaine ambivalence du e-consommateur qui peut mettre en balance, au gré des envies ou des intérêts du moment, le respect de sa vie privée et l'éventuelle valeur marchande de ses données(4).

Les révélations d'Edward Snowden ou de Julian Assange sur les écoutes étatiques de masse des conversations et des courriers électroniques ont ébranlé une conception parfois angélique du monde virtuel. Même déception devant la découverte de start-up spécialisées dans les sciences comportementales qui analysent en masse les « like » sur Facebook pour mieux communiquer sur des micro-cibles et pourquoi pas, mieux influencer l'opinion(5).

À ce tableau, s'ajoute la cybercriminalité, phénomène à géométrie variable puisqu'il s'agit d'une criminalité protéiforme, mondiale et en constante expansion dont l'incidence économique a quintuplé entre 2013 et 2017(6). À titre d'exemple, le commerce illicite de cigarettes bénéficie sur la toile de cinq millions d'amis acheteurs en France pour vingt millions de fumeurs estimés.

Cette menace criminelle s'est accentuée par l'effacement progressif des frontières entre criminalité et cybercriminalité et par le mélange des usages entre la vie professionnelle et la vie privée. Est apparu un écosystème de la cyberdélinquance où il faut oublier l'image d'Épinal du jeune adolescent qui s'amuse à pirater un ministère ou un centre de contre-espionnage mais plutôt considérer d'avoir à faire à des groupes criminels qui offrent des services sur le darknet (7) en proposant des logiciels malveillants ou des botnets (8), ou encore l'anonymisation et le chiffrement des chaînes d'attaques, voire purement et simplement la sous-traitance d'équipes de cybercriminels. Les transactions clandestines du darknet ont une progression régulière de près de 30 % par an.

Ces cyber-attaques exploitent les failles humaines et la vulnérabilité des réseaux informatiques et téléphoniques. En 2015, 31 % des entreprises françaises ont été visées par une cyberattaque et sont les cibles privilégiées notamment :

- des rançongiciels(9) qui connaissent une hausse significative avec des demandes de rançon pouvant se chiffrer en centaine de milliers d'euros pour les entreprises, ce procédé criminel à ramification internationale étant en pleine expansion(10) ;

- du déni de service(11) et du vol de données personnelles ;

- des faux ordres de virement international (FOVI) : ce type d'escroquerie en forte croissance(12) est fondé sur la technique de l'ingénierie sociale en recueillant en amont le maximum d'informations sur l'organisation de l'entreprise (organigramme, exemplaires de signatures...).

Cette délinquance cyber-économique, qui vise de manière directe ou indirecte les données personnelles, est une délinquance de masse commise par des réseaux structurés qui profitent de la vulnérabilité des entreprises. Faute de dépôt de plainte systématique, elle comprend un chiffre noir important et, ce, pour deux raisons majeures :

- la conservation d'une certaine confidentialité, et le non-affichage de la vulnérabilité de l'entreprise par crainte de l'atteinte à sa réputation ;

- la restauration rapide de l'activité économique, la limitation des dégâts en faisant rapidement appel à une société de cybersécurité.

Ce type de comportement favorise un sentiment d'impunité chez les pirates informatiques. Or, si le dommage peut être réparé, rien ne garantit qu'il ne se reproduira pas.

Vulnérabilité et perte de confiance sont désormais attachées à l'utilisation du net et au fonctionnement du e-commerce.

Test d’intrusion commerce en ligne

La confiance est l'un des ressorts premiers des relations sociales et au premier chef de l'économie. Toute perte de confiance s'analyse en perte de marché, en perte financière. L'émergence des technologies et les risques, supposés ou réels, que les opérateurs de l'économie numérique feraient courir aux droits et libertés des individus ont fait surgir la nécessité d'un cadre juridique rénové comprenant une dimension éthique dans la promotion des valeurs et des droits constitutionnels essentiels.

Ainsi, l'un des enjeux du règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016, comme de la loi n° 2018-493 du 20 juin 2018 de protection des données personnelles, est de faciliter la libre transmission des données personnelles et donc de faire prospérer l'économie numérique tout en assurant un niveau de protection élevé des individus. Il s'agit de restaurer la confiance en responsabilisant les acteurs, d'une part, en renforçant et créant des droits pour les citoyens, d'autre part.

La réussite de ce nouveau cadre repose sur le pari de la maturité dans la bonne appréhension et gestion des risques pour les entreprises et dans une exacte connaissance de ses droits pour l'utilisateur.

I - Responsabilisation et gestion des risques L'avènement d'une logique de responsabilisation et de gestion des risques peut conduire à une lutte plus efficace contre la cybercriminalité. Le nouveau régime opère un renversement des logiques antérieures. La logique de responsabilisation vise à supprimer la plupart des formalités préalables. Le régime déclaratif est supprimé(13). Le champ des données à traiter ne comporte plus que de rares prohibitions absolues et invite à raisonner en termes de risques d'atteinte aux libertés et droits fondamentaux.

Le respect des principes, la démonstration de la conformité, l'information des personnes concernées, la sécurité des données à caractère personnel échoient directement aux responsables de traitement. Ces derniers devront mener une analyse critique, réalisée par un délégué à la protection des données, acteur interne à l'organisation mais indépendant(14). Dans le cas où le traitement a un effet potentiel grave, l'autorité de contrôle est saisie(15).

Ce mécanisme d'autorégulation repose sur un consensus, sur l'adoption de codes de conduite qui pourront s'inspirer des recommandations de la CNIL. Celle-ci, en effet, se voit attribuer le pouvoir d'adopter de nouveaux instruments de droit souple : lignes directrices, recommandations, référentiels, codes de conduite, dispositifs de certification.

Sur le plan opérationnel, l'étude d'impact, la mise en oeuvre du privacy by design, du privacy by défault, mais aussi l'obligation de déclarer à bref délai les failles de sécurité à l'autorité de contrôle conduisent à imposer au responsable de traitement de tout mettre en oeuvre pour garantir la sécurité informatique de son entreprise. Cette obligation est renforcée au niveau européen par la directive NIS qui doit assurer un niveau élevé commun de sécurité des réseaux des systèmes d'information dans l'Union.

Il s'agit donc de professionnaliser la sécurité informatique par des outils et une culture commune avec un degré d'information élevé sur les risques informatiques à tous les niveaux de l'entreprise et, ce, à l'aide de solutions de protection adaptées. Cela suppose au sein de l'entreprise une organisation plus transverse et une bonne collaboration entre les différents responsables dont le délégué à la protection des données, le responsable informatique, cette organisation pouvant s'inscrire dans le cadre d'une responsabilité sociale et environnementale.

L'avènement de cette logique de responsabilisation ne pourra plus se satisfaire de remédier dans l'urgence aux failles de sécurité. Elle nécessitera de garantir l'éradication du problème pour lutter efficacement contre la cybercriminalité. Dans ce nouveau contexte, un dépôt de plainte ajoutera à la crédibilité du processus. Les services d'enquête et l'institution judiciaire doivent pouvoir apporter une réponse efficace et mieux accompagner cette démarche. À titre d'exemple, le parquet général de la Cour d'appel de Paris a élaboré avec des services d'enquête spécialisés des fiches pratiques pour sauvegarder les éléments de preuve face aux cyber-attaques les plus courantes. Ces fiches sont largement diffusées.

La réussite du RGPD passe donc par une nécessaire maturité de l'entreprise, elle nécessite également une application effective des droits reconnus aux possesseurs des données.

II - Autodétermination informationnelle Rendre effectif le principe d'autodétermination informationnelle peut restaurer la confiance de l'usager. En effet, la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique a posé ce principe à travers la rédaction de son article premier(16). Ce droit se manifeste à travers les notions de consentement(17), de transparence, d'information, d'effacement(18), d'opposition, de rectification, de limitation(19) et de portabilité énoncées dans le RGPD.

Le droit à la portabilité déjà évoqué par la loi Lemaire(20) donne la possibilité à la personne concernée de recevoir ses données dans un format informatique exploitable et de les transmettre à un autre responsable de traitement.

Il est prévu un droit de recours(21). L'action de groupe également(22). En l'état, elle tend à faire cesser le manquement. Une action à des fins indemnitaires aurait certainement un effet plus dissuasif.

La proclamation de tous ses droits n'a évidemment de sens que s'ils sont effectifs puisqu'ils doivent permettre aux usagers de garder la main et d'empêcher tout traitement opaque de leurs données. Cela doit concourir à restaurer la confiance dans le monde virtuel. Mais, comment s'assurer d'un consentement éclairé après des années de blanc-seing pour la plupart des usagers ? Comment mettre en oeuvre efficacement son droit à l'effacement, à la rectification ?

Une des réponses se trouve sûrement dans une démarche pédagogique(23) faite au plus grand nombre sur les enjeux liés à l'utilisation des données personnelles avec un travail d'explication sur les différents mécanismes et rouages et sur l'appréciation des différents droits en présence.

Car, il s'agit aussi de faire comprendre au public que le droit des données personnelles n'est pas un droit absolu, mais qu'il s'inscrit dans un cadre juridique plus vaste comprenant notamment la liberté d'expression et d'information.

Sur ce dernier point, il est intéressant de s'arrêter sur la position de la jurisprudence concernant le droit au déréférencement présenté souvent comme le droit à l'oubli.

L'arrêt Google Spain du 13 mai 2014, rendu par la Cour de justice de l'Union européenne sur le fondement des articles 12 et 14 de la directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, considère qu'un exploitant de moteur de recherche comme Google est un responsable de traitement de données à caractère personnel au sens de l'article 2 de la directive, que l'établissement d'une filiale publicitaire de Google en Espagne suffit pour qu'il relève du champ d'application territoriale de la directive et que ses articles 12 et 14 relatifs aux droits de rectification et d'opposition comprennent le droit au déréférencement soit le droit d'obtenir de l'exploitant du moteur de recherche la suppression de liens contenant des informations personnelles sur la liste de résultats affichés. Dans cette décision, ce droit au déréférencement s'exerçait sur des données licites et non sensibles.

Dans ce contentieux, il appartient cependant aux juges de rechercher un juste équilibre entre la liberté d'expression, le droit du public d'avoir accès à l'information et les droits fondamentaux de la vie privée. C'est le sens de la récente décision de la Cour de cassation(24) qui, se référant aux dispositions de la loi du 6 janvier 1978 et de l'article 5 du code civil rappelle que la juridiction saisie d'une demande de déréférencement est tenue de porter une appréciation sur son bien-fondé et de procéder, de façon concrète, à la mise en balance des intérêts en présence. Elle ne peut donc pas prononcer une mesure d'injonction d'ordre général conférant un caractère automatique à la suppression des liens vers des pages internet contenant des informations relatives à une personne au sujet de laquelle une recherche internet a été effectuée.

Saisi de demandes de déréférencement de données sensibles au sens de l'article 8, paragraphes 1 et 5 de la directive, le Conseil d'État, dans un arrêt du 24 février 2017(25), a saisi la Cour de justice de l'Union européenne de huit questions préjudicielles et a demandé à la Cour de préciser la portée de l'arrêt Google Spain en liant, notamment, la question du droit au déréférencement à celle de la licéité du traitement des données personnelles et plus précisément en demandant à la Cour de justice si elle souhaite confirmer la qualité de « responsable autonome de traitement de données » pour un exploitant de moteur de recherche, dans l'affirmative, s'il est soumis à l'interdiction de traiter des données sensibles et si aucune dérogation, notamment celle relative au traitement des données à des fins journalistiques, ne pourrait être appliquée.

Ce qu'il faut retenir En l'état, le public doit donc comprendre que le droit au déréférencement n'est pas de droit. La réussite de ce nouveau cadre juridique suppose une culture de conformité et une pleine maturité dans l'expression des droits. Il faut être attentif à ses premières applications concrètes en gardant ces objectifs en ligne de mire. C'est un enjeu primordial pour l'entreprise et le consommateur d'aujourd'hui et de demain.

Mots clés : DONNEES A CARACTERE PERSONNEL * Protection * Entreprise * Cybercriminalité * Principe d'autodétermination informationnelle

(1) Loi Informatique et libertés, n° 78-17 du 6 janv. 1978.

(2) Google en 1998.

(3) Facebook en févr. 2004, Twitter en 2006.

(4) Chez les data brokers, il y a une bourse aux données : aux États-Unis, une date de naissance vaut 2 dollars, un numéro de sécurité sociale 8 dollars. Les données nues ont peu de valeur en soi, seul le résultat du traitement en fait prendre.

(5) Par ex., la start-up Cambridge Analytica spécialisée dans les sciences comportementales s'appuyant sur la technique dite Ocean (Openness, Conscientiousness, Extraversion, Agreeableness, Neuroticism).

(6) Rapport de l'IOCTA 2016 et d'Europol 2017.

(7) Un réseau superposé qui utilise des protocoles spécifiques intégrant des fonctions d'anonymisation.

(8) Groupe d'ordinateurs infectés par un malware. Les pirates les utilisent pour diffuser d'autres virus.

(9) Logiciel malveillant qui bloque l'accès à l'ordinateur ou aux fichiers des victimes et qui a pour objet d'extorquer de l'argent contre une promesse, pas toujours tenue, de donner les moyens de retrouver l'accès à l'information.

(10) V., les attaques Wanacry et Notpetya en 2017.

(11) Saturation du serveur Web par des requêtes illégitimes.

(12) À ce jour, 1 300 faits de FOVI réalisés pour plus d'un million d'euros exfiltrés en France.

(13) Loi Informatique et libertés, art. 22 à 25 ; modifiée par la loi 2018-493 du 20 juin 2018, art. 11.

(14) Les art. 37 et s. du RGPD prévoient la création d'un délégué à la protection des données et l'obligation de tenir un registre pour le traitement. Le DPO est obligatoire pour certaines organisations dont l'activité de base implique un suivi régulier et systématique à grande échelle des personnes. La loi de 1978 modifiée ne reprend pas cette innovation. Le RGPD s'applique donc seul ici.

(15) RGPD, art. 36.

(16) Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant dans les conditions fixées par la loi Informatique et libertés, n° 78-17.

(17) Le consentement est possible pour une ou plusieurs finalités spécifiques.

(18) Art. 17 du RGPD, ou droit à l'oubli. Cette obligation n'est pas reprise dans la loi du 20 juin 2018 ; le RGPD est donc seul applicable ici.

(19) Ce droit s'applique pour des hypothèses limitées : perte d'utilité de la donnée ou dans le cadre d'une opposition non encore vérifiée.

(20) C. consom., art. L. 224-42-1 et L. 224-42-3.

(21) La possibilité d'une action contre une autorité de contrôle qui n'aurait pas traité une information ou n'aurait pas informé le demandeur de sa position, au plus tard trois mois après le dépôt de la plainte ou contre une décision contraignante rendue par l'autorité.

(22) Possibilité de mandater un organisme ou une association en vue d'introduire une réclamation ou une action.

(23) Des actions de communication dans le cadre de l'accès au droit peuvent être recommandées.

(24) Civ. 1re, 14 févr. 2018, n° 17-10.499, D. 2018. 348 ; ibid. 1033, obs. B. Fauvarque-Cosson et W. Maxwell ; Dalloz IP/IT 2018. 250, obs. E. Derieux.

(25) CE, ass., 24 févr. 2017, n° 391000, Chupin e.a., Lebon ; AJDA 2017. 436 ; ibid. 740, chron. G. Odinet et S. Roussel ; D. 2017. 500, obs. M.-C. de Montecler ; ibid. 2018. 1033, obs. B. Fauvarque-Cosson et W. Maxwell ; Dalloz IP/IT 2017. 479, obs. O. Henrard ; RFDA 2017. 535, concl. A. Bretonneau ; RTD eur. 2017. 803, obs. A. Bouveresse.

Commerce en ligne : avis rendu par l'Autorité de la concurrence

L'Autorité de la concurrence a rendu, le 18 septembre 2012, son avis sur le fonctionnement concurrentiel du commerce électronique. Annoncée le 1er juillet 2011, cette nouvelle enquête sectorielle, particulièrement attendue par les acteurs du commerce électronique, vise, d'une part, à évaluer l'intensité de la pression concurrentielle que le e-commerce exerce sur la distribution traditionnelle et, d'autre part, à identifier les obstacles pouvant s'y opposer. Dans son avis, l'Autorité a retenu trois secteurs économiques visant uniquement des biens : les produits électrodoméstiques, les parfums et cosmétiques de luxe et les produits cosmétiques vendus sur conseil pharmaceutique. Ces secteurs sont, à ce jour, à des stades différents de développement en matière de vente sur internet.

L'Autorité de la concurrence constate ainsi que les consommateurs français achètent de plus en plus sur internet, même si, du point de vue du volume des ventes, la France se situe au troisième rang après le Royaume-Uni et l'Allemagne. En 2011, la FEVAD (Fédération e-commerce et vente à distance) a recensé 100 000 sites marchands soit 23 % de plus qu'en 2010. En outre, le e-commerce pentest progresse rapidement pour atteindre actuellement 7,3 % du commerce de détail.

Les opérateurs sont différenciés en fonction du canal de vente. Les pure players sont les entreprises réalisant l'intégralité de leurs ventes en ligne, n'ayant pas de magasins en dur et se positionnant sur des prix bas. Les click & mortar sont les marchands réalisant leurs ventes dans des magasins physiques, mais également par internet. À leur côté, il existe des sites marchands de fabricants et des places de marché sécurité informatique faisant le lien entre les petits sites marchands et les consommateurs.

L'Autorité considère que la vente en ligne exerce une pression concurrentielle sur la vente en magasin en matière de prix et de gammes de produits. Ainsi, dans certains secteurs, les prix en ligne sont globalement plus avantageux que ceux pratiqués en magasin. Par ailleurs, l'enquête relève une plus grande richesse des références de produits pouvant être proposées sur internet. Toutefois, les pure players affirment qu'il existe des freins à leur développement tenant aux coûts de logistique, ainsi qu'aux conditions d'achat qu'ils considèrent moins favorables que celles accordées aux opérateurs traditionnels.

L'Autorité souligne, enfin, que l'amélioration des circuits de distribution, la distribution sélective et la différenciation tarifaire et des conditions de livraison sont bénéfiques pour les consommateurs, à condition de ne pas restreindre la concurrence.

Mots clés :

AFFAIRES * Concurrence - Distribution- Cybersécurité

Les premiers pas d'un « droit Airbnb »(1)

1 - L'économie collaborative : un effet de mode ? Un phénomène, qui n'est peut-être pas que de mode, voit l'activité économique muer vers une sorte d'économie non immédiatement marchande, où partage, solidarité, collaboratif, participatif tendent à rendre plus sympathique le commerce.

On use et on abuse du nouveau paradigme « Uber » : « ubérisation » de ceci ou de cela (tout s'ubérise, y compris la parole politique, bientôt celle du législateur !, V. lettre de mission confiée au député P. Terrasse sur l'économie collaborative, 8 oct. 2015), substantification dont l'emploi laisse entendre qu'un nouveau modèle économique, « disruptif » comme il se doit, serait né, à base de nouvelles technologies (internet des objets), de contournement de monopole (taxis), de professionnalisation de particuliers (chauffeurs), etc.

Plus sympathique, et moins éculé pour le moment, est le modèle « Airbnb » (on aurait pu tout aussi bien parler de « droit Blablacar », mais la dimension affective de la maison est tout de même plus grande que celle de la voiture), dont le nom n'est pas encore devenu commun. Airbnb qui veut dire, selon le slogan marketing affiché sur la page d'accueil de son site : « Bienvenue à la maison - Louez des logements uniques auprès d'hôtes locaux dans plus de 190 pays » ; dont la promesse est, pour ceux qui ouvrent leurs portes : « Gagnez de l'argent en accueillant des voyageurs ».

Alors osons ceci, ceci qu'un « droit Airbnb » naît, échafaudé sur la base des plateformes en ligne collaboratives, d'une nouvelle forme d'intermédiation communautaire, des places de marché numériques. Dans son rapport sur le numérique et les droits fondamentaux (2014, p. 21), le Conseil d'État prônait à cet égard de « créer une nouvelle catégorie juridique, celle des plateformes, dont la définition ne reposerait plus sur le caractère technique et passif de leur rôle, mais sur le fait qu'elles proposent des services de classement ou de référencement de contenus, biens ou services mis en ligne par des tiers » (à noter, en passant, que se crée un droit des algorithmes, au coeur de la nouvelle intermédiation. Ou qu'est étudiée sérieusement, y compris par les acteurs bancaires, la technologie de la blockchain, sorte de « grand livre » décentralisé et partagé).

2 - L'économie du partage saisie par le droit de la consommation numérique. Il y a d'abord (notre point de départ est arbitraire) cette disposition insérée par la loi dite « Macron » n° 2015-990 du 6 août 2015 dans le code de la consommation : « (...) toute personne dont l'activité consiste à mettre en relation, par voie électronique, plusieurs parties en vue de la vente d'un bien, de la fourniture d'un service ou de l'échange ou du partage d'un bien ou d'un service est tenue de délivrer une information loyale, claire et transparente sur les conditions générales d'utilisation du service d'intermédiation et sur les modalités de référencement, de classement et de déréférencement des offres mises en ligne » (art. L. 111-5-1, al. 1er, c. consom., étant ajouté que, selon l'al. 2 : « Lorsque seuls des consommateurs ou des non-professionnels sont mis en relation, la personne mentionnée au premier alinéa du présent article est également tenue de fournir une information loyale, claire et transparente sur la qualité de l'annonceur et les droits et obligations des parties en matière civile et fiscale »).

Ce texte de droit de la consommation est remarquable à deux égards : parce que, d'une part, il s'aventure dans le « hors commerce » de l'échange et du partage ; d'autre part, car il oblige la plateforme en ligne à informer les consommateurs sur « les droits et obligations des parties en matière civile et fiscale ». C'est bien un droit (de la consommation, civil et fiscal) qui s'ébauche.

De la loi Macron, passons au projet de loi dit « Lemaire » (cette habitude de personnaliser les lois...), dont l'intitulé, et son élaboration en e-cocréation, sont déjà de vastes territoires : projet de loi pour une République numérique, présenté en conseil des ministres le 10 décembre 2015 et adopté par l'Assemblée nationale en première lecture le 26 janvier 2016. Texte qui nous apporte en creux une intéressante définition de la plateforme en ligne : « (...) est qualifiée d'opérateur de plateforme en ligne toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication en ligne reposant sur : 1° Le classement ou le référencement, au moyen d'algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ; 2° ou la mise en relation de plusieurs parties en vue de la vente d'un bien, de la fourniture d'un service ou de l'échange ou du partage d'un contenu, d'un bien ou d'un service » (1er al. inséré à l'art. L. 111-5-1 c. consom. par l'art. 22 du projet de loi).

3 - L'économie généreuse rattrapée par le droit financier. Le droit fiscal n'est jamais loin, on le sait, d'autant qu'il est autonome. Aussi, un groupe de travail sénatorial sur le recouvrement de l'impôt à l'heure du numérique a adopté, le 17 septembre 2015, un « Rapport d'information sur l'économie collaborative : propositions pour une fiscalité simple, juste et efficace » (un second rapport portait sur l'e-commerce : propositions pour une TVA payée à la source). Forts du constat que le revenu moyen d'un hôte français est d'environ 3 600 € par an, les sénateurs proposent, en effet, de mettre en place un système de déclaration automatique des revenus des particuliers avec l'aide des plateformes collaboratives, à l'instar de ce que suggère « la mise en place de la collecte de la taxe de séjour par Airbnb à Paris à compter du 1er octobre 2015, et sa possible extension à tout le territoire et à d'autres plateformes dans les prochains mois » (p. 10. Un système de franchise plafonné à 5 000 € est, par ailleurs, prévu).

On a tôt fait, en matière fiscale, de passer de la déclaration d'intention à la réglementation. La loi de finances pour 2016 (L. n° 2015-1785, 29 déc. 2015) contient, en effet, un article 87, qui crée l'article 242 bis du code général des impôts, dont les points I et II sont les suivants : « I. - Les entreprises, quel que soit leur lieu d'établissement, qui mettent en relation à distance, par voie électronique, des personnes en vue de la vente d'un bien, de la fourniture d'un service ou de l'échange ou du partage d'un bien ou d'un service sont tenues de fournir, à l'occasion de chaque transaction, une information loyale, claire et transparente sur les obligations fiscales et sociales qui incombent aux personnes qui réalisent des transactions commerciales par leur intermédiaire. II. - Les entreprises mentionnées au I adressent, en outre, à leurs utilisateurs, en janvier de chaque année, un document récapitulant le montant brut des transactions dont elles ont connaissance et qu'ils ont perçu, par leur intermédiaire, au cours de l'année précédente ».

Il n'y a donc pas que les bons sentiments, il y a les paiements aussi (sur fond d'une autre mode, celle de la « Fintech »). Car, collaboratives ou non, nos différentes plateformes sont peu ou prou des intermédiaires de paiement, dans la mesure où elles encaissent les fonds versés par les uns pour le compte des autres (en prélevant au passage leur commission). Or le régulateur français - l'Autorité de contrôle prudentiel et de résolution - voit dans cette activité économique l'offre de services de paiement, réservée à des acteurs réglementés, dits « prestataires de services de paiement » (V. La régulation des nouveaux intervenants du marché des services de paiement, Rev. ACPR janv.-févr. 2015, n° 21, p. 6). Les conditions générales d'Airbnb, pour filer notre exemple, prévoient ainsi que « chaque hôte désigne par les présentes Airbnb Payments en tant qu'agent de recouvrement des paiements à titre limité aux seules fins d'accepter les frais d'hébergement des voyageurs » (comp. : conditions d'utilisation d'Uber : « Uber vous facturera les services de transport qui vous sont fournis par le transporteur, pour celui-ci. (...) Uber utilise un système de paiement tiers (...) pour associer votre compte de carte de crédit à l'application et au service »). Consommation, fiscalité, paiement : le « droit Airbnb » se construit ; le phénomène collaboratif n'est pas qu'une mode. Il a même sa définition donnée par le Comité consultatif du secteur financier qui, dans un avis du 24 septembre 2015 sur les enjeux de l'assurance dans les nouvelles formes d'économie collaborative, notait : « Lorsqu'elle s'applique à des comportements de consommation, l'économie collaborative peut être définie comme l'usage commun, à des fins non commerciales, d'un bien ou d'un service entre deux ou plusieurs particuliers avec ou sans mise en relation par un intermédiaire. Il en est ainsi du co-voiturage qui consiste en "l'utilisation en commun d'un véhicule terrestre à moteur par un conducteur non-professionnel et un ou plusieurs passagers majeurs pour un trajet commun", de la location de voiture entre particuliers (autopartage), de la location d'appartement entre particuliers ou encore de l'échange d'appartements ». Nous y sommes.

Mots clés : INTERNET * Commerce électronique * Economie numérique * Economie collaborative

(1) Les propos de l'auteur n'engagent que celui-ci.