NEWSLETTER N° 11

PANORAMA 2016

TMT

Le département TMT du cabinet Franklin a le plaisir de vous présenter la dernière édition de sa Newsletter, qui est consacrée à sa sélection des 10 événements juridiques essentiels survenus en 2016 dans le secteur des TMT en France. L’année 2016 a été particulièrement riche, notamment en matière de données personnelles où l’adoption du Règlement européen sur la protection des données personnelles était attendue depuis plusieurs années. La protection des données personnelles est donc un sujet d’avenir pour toutes les entreprises qui ont tout intérêt à ne plus attendre pour se mettre en conformité avec un cadre réglementaire de plus en plus présent. Nous espérons que cette Newsletter contribuera à vous permettre d’anticiper certaines problématiques juridiques auxquelles votre entreprise pourrait être confrontée.

DONNEES PERSONNELLES

 

I. Le règlement européen sur la protection des données personnelles

Le Règlement européen général n°2016/679 sur la protection des données personnelles du 27 avril 2016, qui remplace la Directive de 1995 à partir du le 25 mai 2018, a profondément modifié la réglementation applicable à la protection des données personnelles au sein de l’Union Européenne.

D’une part il a donné davantage de droits aux personnes physiques notamment par la création d’un droit à la portabilité des données, d’un droit à l’oubli et la consécration d’un cadre spécifique pour les mineurs.

D’autre part, les procédures administratives ont été simplifiées avec la désignation, pour chaque entreprise collectant des données dans plusieurs pays de l’UE, d’une autorité d’un Etat-membre comme guichet unique pour l’Union Européenne ainsi que la réduction drastique des formalités déclaratives.

En contrepartie le règlement prend le parti de l’autorégulation du secteur et soumet les entreprises à de nouvelles obligations (la « privacy by design », la reddition de comptes, la notification des failles de sécurité, la responsabilité directe des sous-traitants, etc.).

Les instances européennes ont renforcé l’effectivité de la protection des données personnelles de plusieurs manières. D’abord, le non-respect du Règlement sera dès lors sanctionné d’une amende pouvant atteindre 4% du chiffre d’affaires mondial de l’entreprise condamnée. Ensuite, les personnes concernées disposeront de moyens renforcés pour faire respecter leurs droits. Enfin, le champ territorial de la règlementation européenne est grandement étendue : au-delà du critère existant (tout traitement de données personnelles dans le cadre des activités d’un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union), elle s'applique également aux traitements des données personnelles relatives à des personnes qui se trouvent sur le territoire de l'Union Européenne par un responsable de traitement ou un sous-traitant qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées: a) à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non (« targeting »); ou b) au suivi du comportement de ces personnes lorsqu’il a lieu au sein de l'Union (« monitoring »). .

II. Le Privacy Shield

La décision d’adéquation du Privacy Shield de la Commission Européenne du 12/07/2016 remplace le Safe Harbour invalidé par l’arrêt Schrems n° C-362/14 de la CJUE du 6 octobre 2015 et tend à fluidifier les transferts de données personnelles depuis l’Union Européenne vers les Etats-Unis.

Pour être certifiées conformes au Privacy Shield, les entreprises doivent être soumises à la juridiction de la Federal Trade Commission ou du Ministère des Transports américain et respecter les principes définis dans le texte. On pensera notamment aux obligations de (i) mettre en place une politique de gestion des données personnelles conforme aux principes du Privacy Shield, (ii) prévoir un mécanisme de recours indépendant, gratuit pour la personne concernée, pour instruire les réclamations en suspens, (iii) mettre en place des procédures permettant de vérifier le respect des engagements pris, et (iv) désigner un contact chargé de répondre aux réclamations des personnes concernées. Enfin, le gouvernement américain s’engage à ne plus surveiller de manière indiscriminée l’ensemble des données (accès aux données désormais soumis aux principes de nécessité et de proportionnalité).

Néanmoins, des actions sont déjà entamées au sein de l’Union pour faire invalider le Privacy Shield en arguant principalement qu’il n’apporte pas un niveau de protection des données personnelles équivalent à celui de la Directive. De ce fait, il convient de rester attentif aux changements qui risquent de survenir au cours des prochaines années.

III. La nouvelle action de groupe contre les atteintes à la protection des données personnelles

L’action de groupe, introduite en France par la loi n° 2014-344 du 17 mars 2014, est un recours collectif permettant aux associations nationales agréées ayant recueilli les plaintes des consommateurs d’entamer une action en justice en leur nom.

La loi n°2016-1457 a étendu le périmètre de l’action de groupe à la protection des données personnelles. Son objet reste cependant limité à la cessation des violations de la loi Informatique et Libertés à l’exclusion de toute demande en réparation du préjudice subi par les personnes physiques parties à l’action de groupe.

IV. L’adresse IP dynamique peut être une donnée à caractère personnel

Dans son arrêt du 29/10/2016 (Patrick Breyer c/ République fédérale d’Allemagne, C-582/14), la CJUE a été amenée à répondre à la question de savoir si une adresse IP détenue par un éditeur de site web peut être qualifiée de donnée personnelle lorsque celui-ci peut accéder à des informations supplémentaires détenues par un tiers (en l’occurrence les FAI) et permettant l’identification de la personne concernée.

Selon elle, l’adresse IP est une donnée personnelle lorsque la personne qui la collecte a à sa disposition des moyens légaux qui lui permettent de réclamer à un tiers des informations supplémentaires permettant, par recoupement, l’identification de la personne concernée, quand bien même cette adresse IP serait dynamique. Cette approche est partagée en droit interne depuis la décision de la Cour de Cassation n°15/22595 du 03/11/2016.

 

DROIT DE LA CONSOMMATION

 

V. Le Règlement relatif aux résolutions amiables en ligne des litiges de consommation

Parallèlement à la Directive sur le règlement extrajudiciaire des litiges de consommation n° 2013/11/UE du 21 mai 2013 qui impose des obligations nouvelles aux entités de résolution extrajudiciaire des litiges (Centres d’arbitrages, médiateurs, etc.), le Règlement relatif à la résolution en ligne des litiges de consommation n° 524/2013 du même jour est entré en vigueur en janvier 2016. Il met en place une plateforme en ligne disponible dans toutes les langues officielles de l’Union Européenne, pour gérer les litiges découlant des contrats de vente ou de service conclus en ligne entre un professionnel et un consommateur domiciliés en Union Européenne.

La plateforme recueille les plaintes, informe les commerçants, met en relation le consommateur et le professionnel afin que ceux-ci désignent un organisme de résolution des litiges de consommation, soumet la requête à l’organisme désigné et transmet son verdict aux parties au litige.

Le règlement impose aux e-commerçants et aux places de marché en ligne de mettre à disposition des consommateurs un hyperlien vers le site de la plateforme et de prendre en compte cette nouvelle procédure dans leurs conditions générales d’utilisation ou de vente. Une fois la plainte reçue par l’organisme, celui-ci doit statuer dans les 90 jours.

La procédure et la force contraignante de la décision varient en fonction de l’entité désignée par les parties.

 

TECHNOLOGIE DE L’INFORMATION

 

VI. La sécurité informatique au cœur des règlementations européennes et françaises en 2016

Au cours de l’année 2016, une série de règlementations est venue renforcer les obligations de sécurité informatique des acteurs de l’environnement des nouvelles technologies.

D’abord l’Union Européenne a publié un Règlement « eIDAS n° 910/2014 du 23 juillet 2014, qui définit des standards de sécurité reposant sur la certification des outils de création des signatures électroniques, des sceaux électroniques, des mécanismes d’horodatage et d’émission des certificats d’identification qualifiés afin que ceux-ci aient la même force légale que les documents sur support papier.

Ensuite une directive « NIS » n° 2016/1148, publiée le 19 juillet 2016, a édicté les mesures que doivent respecter les opérateurs de services essentiels désignés par les Etats-membres (banques, énergie,…) et les fournisseurs de services numériques (plateformes, prestataires de cloud,…). Ces acteurs devront notamment prendre toutes les mesures appropriées pour prévenir les risques, minimiser les conséquences d’éventuels incidents et notifier aux autorités compétentes ceux ayant « un impact négatif réel sur la sécurité des réseaux et des systèmes d’information ».

Enfin, l’ANSSI (autorité française en charge de la sécurité informatique) a publié le 8 décembre 2016 une norme de sécurité intitulée « SecNumCloud » applicable aux prestataires de services de cloud. Pour que son système de sécurité remplisse les conditions d’un « niveau Essentiel » de certification (le niveau minimal de certification, un « niveau Avancé » devant être prochainement publié), l’entreprise devra remplir des obligations relatives au contrôle d’accès et à la gestion d’identité, à la cryptologie, à la sécurité liée à l’exploitation et à la gestion des incidents. On y trouve notamment l’obligation d’hébergement et de traitement des données au sein de l’Union Européenne.

 

LOI APPLICABLE / JURIDICTION COMPÉTENTE

 

VII. Privilège pénal de la loi et des juridictions françaises pour les délits commis sur Internet

Selon le nouvel article 113-2-1 du Code pénal issu de la loi n° 2016-731 du 3 juin 2016, tout crime ou délit commis sur Internet à l’encontre d’une personne résidant en France est réputé commis en France. Cet article entraine donc la compétence de la loi pénale et des juridictions répressives françaises pour connaître des faits commis en dehors du territoire.

Ce nouvel article remet partiellement en question les règles de droit international privé et communautaire qui ne faisaient de la résidence de la victime qu’une condition subsidiaire au principe « lex loci delicti commissi » selon lequel c’est le lieu de survenance du dommage qui détermine la loi applicable.

Elle risque de susciter la défiance des juridictions étrangères qui n’accepteront probablement pas l’application de la loi française sur le simple critère du lieu de résidence de la victime.

VIII. Les clauses attributives d’une juridiction trop lointaine sont abusives

Les juges de la Cour d’Appel de Paris, dans un arrêt du 12 avril 2016, ont estimé que la clause de règlement des litiges contenue dans les conditions générales d’utilisation de Facebook et obligeant le consommateur à saisir la juridiction californienne contraint l’utilisateur à saisir une juridiction particulièrement éloignée et à engager des frais disproportionnés par rapport à la valeur économique du contrat. Cette clause dissuaderait les consommateurs d’exercer toute action alors que Facebook dispose de moyens humains et matériels suffisants en France pour se défendre, en cas de litige, sur le territoire français.

 

DIVERS

 

IX. La réforme du droit des contrats

L’ordonnance n° 2016-131, entrée en vigueur le 1er octobre 2016, a apporté de nombreux changements au droit des obligations. Pour les contrats informatiques, il faut noter que l’obligation d’information de la partie la plus informée a été renforcée au stade précontractuel comme pendant l’exécution du contrat et que l’absence d’une information essentielle pour l’autre partie peut entrainer la nullité du contrat.

Dans l’intention de réduire l’inégalité des parties au contrat, l’ordonnance a étendu la notion de « clause qui crée un déséquilibre significatif entre les droits et obligations des parties au contrat » déjà existante dans le droit de la consommation à l’ensemble des contrats et notamment à ceux entre les entreprises.

Enfin, il faut retenir (i) qu’en cas de changement de circonstances imprévisibles, (ii) entraînant une charge excessivement onéreuse pour une partie (iii) qui n’a pas accepté le risque d’un tel changement, le contrat pourra être renégocié d’un commun accord, mutuellement terminé ou laissé à l’appréciation du juge saisi par les deux parties pour qu’il l’adapte. A défaut d’accord entre les parties dans un délai raisonnable, le juge pourra, à la demande d’une partie, modifier le contrat ou y mettre fin à la date et aux conditions qu’il fixe.

X. Loi pour une république numérique

La loi pour une République numérique promulguée le 8 octobre 2016 a modifié en profondeur la législation relative à l’économie numérique.

D’une part, la loi favorise la circulation des données et du savoir en ouvrant les données publiques (l’« open data » devient la règle avec des fichiers administratifs communiqués dans un format standard et réutilisable), permet aux chercheurs dont les études sont financées à 50% par l’Etat de diffuser leurs résultats après 6 ou 12 mois et crée la notion de données d’intérêt général (celles relatives à des délégations de service public, subventions publiques, etc.) pour optimiser leur utilisation.

D’autre part, la loi renforce les droits des citoyens sur leurs données en entamant la transposition en droit français du Règlement européen sur les données personnelles (droit à l’oubli pour les mineurs, la « mort numérique », portabilité des données, renforcement des pouvoirs et du quantum de sanctions de la CNIL, etc.), en proclamant le principe de neutralité de l’Internet et en renforçant les obligations de loyauté et d’information des plateformes d’échange vis-à-vis des consommateurs. La loi contient aussi un article « AirBnb » qui permet au conseil municipal, dans les zones tendues, d’obliger les personnes souhaitant louer leur bien sur cette plateforme à s’enregistrer. Les plateformes devront interdire l’offre de logement qui constitue la résidence principale du loueur au-delà de 120 jours par an.

Enfin la loi contient un volet relatif à l’accès à internet pour tous contraignant les entreprises à développer la fibre et la couverture mobile sur le territoire et garantissant un droit au maintien de la connexion temporaire en cas d’impayé, parmi d’autres mesures moins significatives.

 

Pour plus d’informations sur ces sujets, contactez le département TMT du cabinet Franklin : Bradley Joslove (bjoslove@franklin-paris.com) ou Jean-Baptiste Belin (jbbelin@franklin-paris.com).

Si vous ne souhaitez plus être abonné à cette newsletter, indiquez-le nous par retour de courriel afin que vos coordonnées soient supprimées de notre base de données. Le contenu de cette newsletter est purement informatif.

 

Cette newsletter ne constitue pas un avis ou une opinion juridique concernant des faits ou des circonstances précis. Le contenu de la newsletter a pour seul but d’apporter des informations générales.

© 2017 Franklin. Tous droits réservés.