Promulgation d’une nouvelle loi sur le démarchage téléphonique

le démarchage téléphoniqueAprès de longs mois de mise au point, la nouvelle loi réglementant le démarchage téléphonique a été publiée le 25 juillet 2020.Qui n’a pas déjà reçu des appels téléphoniques lui vantant tel ou tel produit ou service, émanant d’un fournisseur généralement inconnu, appelant à des heures parfois indues, y compris le samedi matin, pour se voir proposer de souscrire aux services d’un opérateur de télécoms, d’acheter des bouteilles de vin, d’adhérer à une mutuelle, voire de réaliser des travaux à son domicile, le tout à des prix défiant évidemment toute concurrence ?

Qui n’a pas déjà reçu ces appels alors même que le numéro utilisé est inscrit dans la base de données Bloctel et qu’en conséquence il ou elle pensait avoir acheté la paix téléphonique ?

Il faut bien reconnaître que tous les efforts qui ont jusqu’à présent été faits par le législateur pour encadrer ces campagnes d’appels téléphoniques ont été relativement peu récompensés.

L’ouvrage a donc été mis une nouvelle fois sur le métier et, après de longs mois de mise au point, un nouveau texte a été adopté et publié le 25 juillet 2020 (1).

En substance, cette loi a pour ambition de sanctionner de manière plus sévère un certain nombre de comportements. Face aux fraudes qui ont été constatées, elle va même jusqu’à interdire purement et simplement toute opération de démarchage téléphonique pour les offres de travaux de rénovation énergétique des habitations, annoncées bien souvent comme étant réalisées pour 1 euro seulement grâce aux subventions publiques dont elles bénéficient alors, qu’en réalité, le consommateur se retrouve à devoir payer des sommes bien plus importantes lorsque la facture finale lui est présentée.

Par ailleurs, la loi a considérablement augmenté, en les multipliant par 25, le montant des sanctions qui peuvent être prononcées à l’encontre des professionnels peu scrupuleux, notamment ceux qui omettent de vérifier, avant toute campagne d’appels, que les numéros appelés ne sont pas inscrits dans la liste d’opposition Bloctel.

Ainsi, ces sanctions, administratives, pourront désormais atteindre 75 000 euros, pour les campagnes réalisées par des personnes physiques, et 375 000 euros pour celles mises en œuvre par des personnes morales.

Les périodes pendant lesquelles le démarchage téléphonique sera autorisé sont également réglementées et un décret devra fixer les jours et les tranches horaires pendant lesquelles de telles campagnes pourront avoir lieu.

Enfin le professionnel devra désormais, et dès le début de l’appel, indiquer à la personne qu’elle a la possibilité d’inscrire son numéro sur la liste d’opposition Bloctel.

Par voie de conséquence, le Code de la consommation est modifié par la loi du 24 juillet 2020, mais aussi le Code des postes et communications électroniques puisque les droits des opérateurs de communications électroniques sont corrélativement renforcés.

En effet, ces derniers vont disposer de droits de suspension des numéros utilisés par les professionnels qui ne se conformeraient pas à la loi et un mécanisme de signalement devrait être mis en place par voie d’arrêté.

L’article L.44 du CPCE est également complété de nouvelles dispositions relatives au contrôle de l’authentification de l’appelant.

Reste maintenant à espérer que ce texte atteindra son objectif, face à des pratiques qui sont souvent vécues comme étant très agressives car intrusives.

Frédéric Forster
Lexing Constructeurs informatiques et télécoms

(1) Loi n°2020-901 du 24 07 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux




Contrat MSP Managed Service Provider : fini les zones d’ombre

contrat MSPA l’occasion du webinar organisé par BeMSP pour le rendez-vous annuel French Summit, Eric Le Quellenec a précisé les enjeux du contrat de Managed Service Provider (MSP) (1).

Beaucoup d’Entreprises de Services du Numérique (ESN) doivent revoir leur modèle économique ; à la fois en raison des opportunités ouvertes par le Cloud computing mais aussi à cause de la Covid-19. Elle a eu pour effet d’accélérer la recours au télétravail et aux prestations de services informatique à distance.

Le cadre technique du contrat MSP

Défini comme une entreprise de services informatiques qui gère les systèmes informatiques de ses clients à distance, le modèle du contrat MSP se développe de manière croissante en France.

L’infogérance a pour finalité principale le maintien en condition opérationnel d’un système. A l’inverse, le MSP vise à aligner les services informatiques avec les buts et les enjeux de l’entreprise.

Le prestataire MSP met en effet en place des outils pour détecter les mises à jour à effectuer sur le parc client et assurer un service global et anticipatif. Le MSP permet au prestataire d’industrialiser ses services ou ses process (2).

Véritable partenaire de confiance du client, le prestataire MSP est proactif dans le management des parcs informatiques pour assurer un fonctionnement optimal. Il détecte ainsi les incidents et procède à leur résolution avant que ces derniers impactent le client.

Afin de limiter les coûts et améliorer son efficacité, le prestataire MSP utilise des solutions de type RMM (Remote Monitoring and Management) et PSA (Professional Service Automation). Un RMM permet en effet au MSP de gérer et dépanner à distance les postes et serveurs et ainsi gérer simultanément l’informatique de plusieurs clients. Le PSA quant à lui permet de consolider l’ensemble des fonctions métier dans un outil unique et d’assurer une fondation solide à la croissance de l’entreprise.

Le cadre économique du contrat MSP

Le MSP doit toutefois veiller à conserver une certaine spécialité et ne pas proposer l’intégralité des services susvisés (3).

Pour être efficace, le MSP doit a minima proposer les services suivants dans son catalogue :

  • monitoring de l’infrastructure et des postes clients ;
  • sauvegarde des données à distance et plans de reprise d’activité ;
  • support utilisateur ;
  • prise en charge des applications cloud ;
  • gestion de parcs.

L’organisation de visites préventives chez le client constitue un élément à part entière de la proactivité. Il en va de même du suivi du cycle de vie du matériel installé.

Le prestataire MSP doit ainsi proposer un périmètre de service défini. Il doit donc être attentif au périmètre inscrit au contrat.

En effet, la facturation du modèle MSP se fait de façon forfaitaire avec le plus souvent des échéances au mois ou au trimestre. Grâce à ce système d’abonnement, le fournisseur s’assure une fiabilité de trésorerie en ayant des revenus mensuels récurrents contrairement à la distribution et aux projets unitaires. Cela lui permet également de fidéliser la clientèle.

Le catalogue MSP vient donc enrichir l’offre des ESN.

La proportion de revenus récurrents dans le chiffre d’affaires est un ainsi un excellent indicateur du positionnement d’un MSP. On considère habituellement que le revenu récurrent doit représenter au moins 50% du chiffre d’affaires.

Le cadre légal du contrat MSP et responsabilité

Le MSP souffre de l’absence de loi encadrant le contrat. Le MSP prendra la forme d’un contrat de prestation informatique ou un contrat d’infogérance classique.

Il convient de procéder à la limitation de responsabilité du prestataire MSP car celui-ci a vocation à tout gérer pour le compte de son client. Eu égard à l’autonomie et à la proactivité du prestataire MSP, il est fortement recommandé au prestataire MSP de présenter des rapports d’activité réguliers et de se rendre chez le client.

Faute de clause de gouvernance et de reporting adapté, le client risque en effet de contester la facturation.

Toutefois, il peut arriver, comme cela est déjà le cas fréquemment actuellement, que le prestataire MSP gère de manière quasi-autonome les systèmes et/ou données qui lui sont confiées. Au sens du RGPD, la qualification de responsable du traitement lui sera cependant difficilement attribuable, la relation de sous-traitance doit ainsi être encadrée en application de l’article 28 du RGPD (4).

En application de cet article, certaines obligations doivent se retrouver dans le contrat de sous-traitance, à savoir principalement :

  • l’objet et la durée du traitement de données à caractère personnel ;
  • la nature et la finalité de ce traitement ;
  • les obligations de sécurité, d’avertissement et alerte envers le responsable du traitement.

La rédaction du contrat MSP doit être rigoureuse dans la définition des services fournis. En effet, un contrat mal rédigé pourrait engager la responsabilité du prestataire MSP sur la qualité de sauvegarde des données et sur l’exposition à des cyber-risques alors même que le MSP n’est en charge que du logiciel qui active la maintenance et non pas de la mise en sécurisation de l’ensemble du système informatique.

Le périmètre d’intervention et le degré d’autonomie du MSP dans les fonctions qui lui sont confiées détermineront l’intensité des obligations à sa charge, ayant pour corollaire l’intensité du devoir de conseil et de mise en garde auprès de son propre client (5).

Ainsi, un contrat MSP équilibré permet de satisfaire les attentes fonctionnelles du client tout en assurant un niveau élevé de sécurité juridique au profit de chacune des parties.

Eric Le Quellenec
Marine Lecomte
Lexing Informatique Conseil

(1) Replay Webinar « contrats MSP : fini les zones d’ombres », Eric Le Quellenec pour BeMSP French Summit, juillet 2020
(2) Entretien Thomas Bresse BeMSP, L’essentiel de la Distribution IT, hors-série n°20, éd. 2020, p. 22.
(3) Entretien Thomas Bresse précité, p. 23.
(4) Contrat cloud : les impacts du RGPD sur la sous-traitance, Eric Le Quellenec, Post du 30-01-2017.
(5) CA Lyon, 1-02-2018, n°16/05963 ; CA Paris, 18-10-2017, n°04/18739.




Collectivités : quelles mesures de sécurité pour son téléservice ?

téléservice En mars 2020, l’ANSSI a publié un guide intitulé « sécurité numérique des collectivités territoriales : l’essentiel de la réglementation ». Au sein de ce guide, une fiche de recommandation
est consacrée au respect des règles de sécurité lors de l’ouverture d’un téléservice. L’objectif de cette fiche est d’expliciter les obligations mises à la charge des collectivités territoriales, et notamment les mairies, par le RGS dans le cadre de l’ouverture d’un téléservice. La méthodologie mise en place par le RGS s’appuie sur deux piliers : l’approche par les risques et l’amélioration continue. Elle reprend la démarche « plan/do/check/act » proposée notamment par bon nombre de normes ISO.

L’analyse de risques de sécurité

Dès le départ du projet de mise en place d’un téléservice, la collectivité territoriale concernée doit délimiter les contours de ce dernier et procéder à une analyse des risques de sécurité. Elle doit à cette occasion identifier l’écosystème dans lequel évolue le système d’information, le contexte dans lequel il s’inscrit ainsi que les menaces pesant sur la collectivité territoriale. Sur la base de ce constat, elle doit ensuite analyser la vraisemblance, les conséquences ainsi que la criticité de la survenance d’éventuels incidents de sécurité.

A partir de cette analyse, la collectivité territoriale propose un plan d’action ayant pour objet la mise en œuvre de mesures de sécurité (organisationnelles, techniques et/ou contractuelles).

Les objectifs de sécurité

A l’issue de l’analyse de risque, la collectivité territoriale définit des objectifs de sécurité qui doivent couvrir, au minimum les principaux critères de sécurité que sont la disponibilité, l’intégrité et la confidentialité.

La collectivité pourra par exemple définir une politique de sécurité du système d’information, mettre en œuvre un système de journalisation des événements et/ou mettre en place un procédé de signature électronique.

La mise en œuvre des mesures de sécurité

À l’issue de la réalisation de l’analyse de risque, la collectivité territoriale doit mettre en œuvre les mesures de sécurité adéquates pour atteindre les objectifs de sécurité définis. Il existe 4 catégories de mesures à mettre en place :

  • la gouvernance de la sécurité (mise en place d’une politique de sécurité du système d’information, mise en place de responsabilités ou de processus dans le cadre de la gestion de la sécurité…) ;
  • la protection des systèmes d’information (mise en place de mesures de sécurité préventives) ;
  • la défense des systèmes d’information (mise en place d’un processus de gestion des incidents de sécurité par exemple) ;
  • la résilience des systèmes d’information (mise en place d’un plan de continuité d’activité par exemple).

Un guide d’hygiène informatique a été publié par l’ANSSI, afin d’aider notamment les collectivités territoriales à s’assurer qu’aucune thématique liée à la sécurité n’a été omise lors de la mise en œuvre du système d’information.

L’homologation de sécurité du système d’information

Préalablement à la mise en place de tout téléservice, le RGS impose aux collectivités territoriales d’homologuer le téléservice. La décision d’homologation atteste, au nom de la collectivité territoriale, le niveau de protection du téléservice et la maîtrise des risques en termes de sécurité.

Cette décision rendue sur la base de l’analyse d’un dossier d’homologation, doit être accessible aux usagers du téléservice. La décision d’homologation est prononcée pour 5 ans maximum et doit faire l’objet d’une révision à l’expiration de cette durée. Afin d’aider les collectivités territoriales et notamment les mairies dans leur démarche d’homologation, l’ANSSI a publié un guide d’homologation en 9 étapes.

Le suivi opérationnel de la sécurité du système d’information

Enfin, la conformité au RGS impose à la collectivité de mettre en œuvre des dispositifs de surveillance et de détection ; et ce, afin de pouvoir réagir au plus tôt aux incidents de sécurité. Ces dispositifs devront s’accompagner d’audits du système d’information réalisés à intervalles réguliers ; les rapports de ces audits étant notamment des éléments composant le dossier d’homologation.

Sur la base des rapports d’audit et des cas de non-conformité relevés, la collectivité devra en identifier les causes. Elle devra aussi mettre en œuvre un plan d’actions préventives et correctives.

Téléservice et sécurité mais aussi… RGPD

Ces impératifs d’analyse de risque et de sécurité sont en parfaite adéquation avec les exigences de la réglementation applicable. Cette dernière impose de mettre en place des mesures de sécurité adaptées aux risques présentés par les traitements.

Par le biais de leurs téléservices, les collectivités territoriales collectent de nombreuses données personnelles concernant leurs usagers. Un certain nombre d’interconnexions avec d’autres applications ou services peuvent présenter des risques. Un encadrement juridique et technique est alors nécessaire.

Une analyse d’impact (nouvelle obligation issue du RGPD) peut parfois s’avérer nécessaire. Ce type d’exercice poursuit une démarche similaire de gestion des risques (pour les droits et libertés des personnes concernées).

Enfin, il convient de respecter l’ensemble des exigences de la réglementation Informatique et libertés, à savoir, les principes de :

  • finalité,
  • transparence,
  • loyauté,
  • licéité,
  • minimisation.

… sans oublier l’information des personnes concernées et les durées de conservation des données.

Anne Renard
Louis Montecot Grall
Lexing département conformité et certification




Comment travailler dans un monde post-coronavirus ? Le réseau Lexing® vous informe

post-coronavirusComment travailler dans un monde post-coronavirus ? est le thème du dernier numéro de « Lexing Insights » réalisé par les membres du réseau Lexing® (1).

La pandémie et les mesures de confinement mondial ont rendu obligatoire le recours au télétravail pendant plusieurs semaines. Par conséquent, le monde du travail post-coronavirus s’est vu contraint d’intégrer le télétravail comme nouveau mode d’organisation.

Tenue des assemblées et réunions obligatoires par vidéoconférence, réalisation de signatures électroniques, dématérialisation accélérée des infrastructures, etc. Le dogme du salariat n’apparaît plus comme une solution mais comme devant se combiner avec d’autres modes d’organisation du travail.

  • Cependant, est-il souhaitable de généraliser et de pérenniser certaines des mesures prises pendant le confinement ?
  • Quels sont les risques associés et comment s’en prémunir ?
  • Quelles mesures concrètes ont été prises au niveau mondial pour permettre aux entreprises de continuer à travailler ?
  • Plus généralement, quels enseignements tirer de cette période pour construire un avenir durable dans le monde d’après ?

Pour Emmanuel Walle :

la dimension post Covid-19 implique de valoriser les travailleurs numériques, ceux-là même expulsés du système d’avant qui décident de devenir free lance ou autoentrepreneur, en se loguant sur des plateformes d’intermédiation pour louer leurs services et ainsi tenter d’échapper au marécage économique programmé ».

Le monde post-coronavirus

L’occasion selon Emmanuel Walle :

pour les acteurs que nous sommes de s’interroger et d’accélérer le traitement juridique des mutations des formes d’emploi et de travail ».

L’interrogation est centrale en France, tant les dispositions du Code du travail et son exposition prétorienne, demeurent ignorantes du reste du monde, des nouvelles formes d’emploi où les moins de 20 ans postent leurs CV sur des plateformes de grandes écoles déterritorialisées…

A l’heure du déconfinement (et avant un éventuel rebond de l’épidémie), les membres du réseau Lexing® dressent un tableau de la situation post-coronavirus en Afrique du Sud, Australie, Belgique, France, Grèce, Maroc et Sénégal.

Isabelle Pottier
Lexing Département Etudes et publications

(1) Lettre Juristendances Internationales Informatique et Télécoms n°25, Juillet-août 2020.




Tour d’horizon du marché des noms de domaine en 2019

marché des noms de domaineDans son étude annuelle relative au marché des noms de domaine dans le monde (1), parue le 7 juillet 2020, l’Afnic (Association française pour le nommage internet en coopération) fournit aux opérateurs de précieuses informations sur les tendances actuelles en la matière.

Tendances générales

Sans surprise, le marché a poursuivi la hausse initiée en 2018, avec un total d’environ 346 millions de noms de domaine en décembre 2019, en progression de 4,7 % par rapport à 2018.

La majorité des noms de domaine sont enregistrés sous les extensions historiques, comme le « .com », qui reste l’extension la plus réservée avec 149 millions de noms de domaine enregistrés sous cette extension. Il convient toutefois de noter que la part de marché du « .com » ne progresse pas et reste à 43,1 % du marché des noms de domaine.

En deuxième position arrivent les extensions géographiques (132 millions de noms de domaine), comme le « .fr » ou le « .be », puis en troisième position, se placent les nTLD ou new (Top Level Domain) lancés en 2012 par l’ICANN et qui se subdivisent en trois catégories : les « .générique » tel que .poker., les « .marque » tel que .sncf et les « .géographique » tel que .paris.

En Amérique du Nord, le .com demeure majoritaire, tandis que les extensions géographiques sont largement majoritaires dans les autres régions. Il demeure donc difficile pour les nouvelles extensions (à l’exception notable de certains « .marque ») de se distinguer et de modifier les habitudes d’enregistrement de noms de domaine.

Focus particulier sur les nTLD

L’étude met en perspective une tendance à la stabilisation du nombre d’enregistrements de noms de domaine sous les nouvelles extensions (nTLDs) depuis 2017, mais avec des différences selon les catégories de nTLDs.

En effet, au sein des nTLDs, le nombre de noms de domaine enregistrés sous les extensions «.marque» a fait un bond remarquable en 2019, dû en majeure partie aux « .marque » dits ouverts et parmi eux en raison des 4,5 millions de noms de domaine sous le nTLD « .ICU ».

L’étude de l’Afnic distingue en effet les « .marque » dits ouverts pour lesquels le titulaire du nTLD ouvre l’enregistrement de noms de domaine à des tiers, selon les modalités qu’il définit, des « .marques » classiques ou fermés qui sont réservés au titulaire du nTLD. Cette distinction permet une analyse plus fine de ces nTLDs.

Autre élément remarquable : le taux très élevé de maintenance des noms de domaine en « .marque » (88 % pour les .marques classique).

Conclusion

Dans la mesure où l’identité numérique est aujourd’hui au cœur du questionnement des entreprises, les extensions en « .marque » sont un élément de la construction de la stratégie digitale des entreprises.

A cet égard, et pour anticiper qu’un 2e round de nTLD se profile pour 2022/2023, les entreprises pourront tenir compte de ce que, selon l’Afnic et au regard des coûts actuels d’un nTLD, « le seuil d’équilibre pour un TLD commercialisant ses noms de domaine autour de 20 $ se situe à 5 000 noms ».

Anne-Sophie Cantreau
Camille Goguet
Lexing Propriété industrielle conseil

(1) Le marché des noms de domaine dans le monde en 2019, Les études de l’Afnic, Juin 2020.




Le Privacy Shield invalidé par la Cour de justice de l’Union européenne

Privacy Shield invalidé

L’accord sur le transfert de données personnelles entre l’Union européenne et les Etats-Unis adopté en juillet 2016, vient d’être annulé par la CJUE (1).

Pour rappel, cet accord ou plutôt cette « décision d’adéquation » visait à reconnaître, aux mécanismes EU–US Privacy Shield bouclier de protection des données »), le niveau de protection essentiellement équivalent aux exigences européennes (2) ; l’idée étant de :

  • permettre aux entreprises européennes de bénéficier d’un fondement pour justifier les transferts de données vers les États-Unis,
  • sans passer par les mécanismes de clauses contractuelles types ou autres règles contraignantes d’entreprise posées par l’Union européenne à travers le RGPD pour autoriser de tels transferts.

Pour bénéficier de la décision d’adéquation, les entreprises américaines devaient donc « s’auto-certifier ». La démarche consistait à s’engager auprès du département du commerce des États-Unis, à respecter :

  • un ensemble de règles et
  • de garanties en matière de protection des données personnelles.

Le Privacy Shield vs RGPD

Le bouclier de protection des données faisait partie des différents outils permettant de transférer des données personnelles vers les États-Unis ; aux côtés des autres solutions telles que les clauses contractuelles types ou les règles d’entreprise contraignantes.

Le Privacy Shield avait été attaqué dès son adoption, par le militant autrichien de la vie privée Max Schrems. Ce dernier avait déjà obtenu l‘annulation du « Safe Harbor » américain en 2015 (3).

La CJUE vient d’invalider l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis, « au regard des exigences découlant du RGPD, lu à la lumière des dispositions de la Charte garantissant le respect de la vie privée et familiale, la protection des données à caractère personnel et le droit à une protection juridictionnelle effective » (4).

Les « clauses contractuelles » demeurent légales en matière de transfert de données

En revanche, la Cour valide une autre décision de la Commission européenne, sur la légalité des « clauses contractuelles » en matière de transfert de données (5).

Selon la CJUE, cette décision reste valide par le seul fait que « les clauses types de protection des données qu’elle prévoit ne lient pas les autorités de ces pays tiers », en raison de leur caractère contractuel.

En revanche, précise-t-elle, cette validité dépend « du point de savoir si, conformément à l’exigence résultant de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, sous c), du RGPD, (…), une telle décision comporte des mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer ».

La Cour constate que la décision 2010/87 met en place de tels mécanismes.

(1) CJUE affaire C‑311/18 du 16-07-2020.
(2) Décision d’exécution (UE) 2016/1250, du 12-07-2016.
(3) CJUE affaire C-362/14 du 06-10-2015, Schrems.
(4) Communiqué de presse CJUE n° 91/20 du 16-07-2020.
(5) Décision CE 2010/87 du 5 février 2010.




Contract Manager face à la crise sanitaire : premiers enseignements

Eric Le Quellenec

Eric Le Quellenec, a participé au colloque « Contract Manager face à la crise sanitaire : premiers enseignements » organisé par le Centre de Formation Permanente – Université Paris 2 et l’Aducma, Association du DU de Contract Management d’Assas, intervenant sur la thématique de la protection des données personnelles.

Covid-19, données personnelles et vie privée

La crise sanitaire de la Covid-19 engendre de nombreux retards ou reports dans l’exécution des projets de toute nature. Le contract manager, en lien avec le project manager, doit savoir si l’indisponibilité de collaborateurs ou d’équipes clients côté utilisateur nécessite justement de :

  • revoir le planning projet,
  • mettre en place un complément de budget ou peut-être encore
  • réorganiser le phasage de lots.

Par conséquent, ces mesures nécessitent d’avoir une vue claire sur qui est absent, indisponible et pendant combien de temps. Cela supposerait qu’il puisse y avoir nécessité au niveau des personnes clés du projet d’individualiser la gestion des équipes.

Il pourrait être tentant d’avoir une vue claire sur les arrêts maladie voire peut-être l’état de santé des personnes clés du projet en prenant leur température. Cela n’est pas possible.

Ainsi, dans des recommandations très claires, le Cnil a indiqué que malgré la Covid-19, il n’y a pas de régime d’exception sur la collecte des données de santé. Il n’est pas possible d’avoir un fichier de santé qui répertorie de telles données a fortiori sur des relevés de température.

Le contract manager doit bien faire avec les outils comme le dossier de risques, le dossier de problèmes mais aussi le suivi des actions. Par exemple, il convient de mettre en œuvre le principe de la minimisation de la collecte des données personnelles, s’en tenir à une approche chiffrée, objective qui permette de mesurer impact sur l’exécution contrat et prendre les mesures adaptées au niveau de la gestion du projet au travers d’un nouveau phasage des lots ou envisager de régulariser un avenant, lequel supposera la signature des parties.

L’action du contract manager ne doit pas se faire en violation du RGPD. La prise de mesures adaptées nécessite d’appliquer la démarche et d’utiliser les outils à sa disposition.

L’usage de la vidéoconférence par le contract manager en négociation

La vie des affaires ne s’est pas arrêtée pendant la crise de la Covid-19. Simplement, il a fallu s’adapter et de réunions que l’on privilégie en présentiel lorsque l’on parle de négociation de contrat, il a fallu se contenter de visioconférence voire de téléconférence. Les outils sont nombreux, le Contract Manager aura tendance à utiliser les outils qui sont ceux de son entreprise.

Pour des raisons de compatibilité, il a parfois été nécessaire d’utiliser des outils grands publics comme Facetime ou l’outil vidéo proposé dans Messenger. Pour des raisons de confidentialité, il est nécessaire, dans certaines négociations sensibles, de :

  • régulariser certains accords de confidentialité et
  • fixer des règles comme l’interdiction de la captation du son ou des images afin de préserver la loyauté des échanges.

Il a fallu une meilleure coordination ou discipline dans le déroulement de ces réunions ou séances de travail, tout particulièrement en phase de négociation :

  • présentation obligatoire des parties (tour de table) et
  • mise à disposition d’un ordre du jour écrit
  • suivi d’un compte-rendu avec plan d’action associé.

Sur la phase de négociation contractuelle, la plus sensible, en séance, il est assez aisé d’anticiper les réactions des uns et des autres et de s’accorder un peu de souplesse dans le déroulement des échanges et, peut-être, organiser des pauses.

En visioconférence, sur une session liée à un créneau horaire donné et fixé à l’avance, cela est plus compliqué. Il faut, pour chaque contract manager réunissant autour de lui des parties, s’assurer que chacune puisse, en temps utile :

  • s’exprimer et
  • bénéficier le moment venu d’une pause autant que nécessaire, sans perdre la session de visioconférence.

Il faut également :

  • prévoir que le micro soit en mode « muet » et
  • partager autant que de besoin son écran lorsque des clauses sensibles doivent être discutées en séance.

Une réorganisation plutôt qu’une révolution

Ces règles doivent s’appliquer lorsque l’on est sur des réunions de gestions de projet auxquelles le contract manager est associé. A cet effet, il doit également s’assurer avec les parties prenantes, que :

  • chacun ait la possibilité de s’exprimer et
  • les idées partagées au cours de cette réunion le soient d’une manière transparente, accessible et constructive.

La Covid-19 n’a pas révolutionné la manière de travailler à distance. Elle a plutôt contraint à se réorganiser et être un peu plus sensible à ces règles de travail collaboratif afin que la cible et les résultats obtenus soient atteints et partagés de tous.

Eric Le Quellenec,
Avocat au barreau de Paris
Lexing Informatique Conseil




Plateforme de partage et directive droit d’auteur

directive droit d’auteur

Une mission consacrée aux outils de reconnaissance des contenus et des œuvres sur les plateformes de partage vient d’être lancée. Elle est conjointe au Conseil supérieur de la propriété littéraire et artistique (CSPLA), à la Hadopi et au CNC.

Elle s’inscrit pleinement dans le cadre de article 17 de la directive droit d’auteur de 2019 (1) (ancien art. 13). Celui-ci prévoit la responsabilité des « fournisseurs de services de partages de contenus en ligne » en cas de diffusion d’un contenu sans autorisation de l’ayant-droit.

C’est donc sur la base d’un premier rapport conjoint des trois institutions (2), qu’un certain nombre de technologies et d’outils de reconnaissance existants ont pu être évalués.

Quels outils de reconnaissance des contenus sur les plateformes de partage ?

L’empreinte numérique (fingerprinting) est sans conteste, la solution « la plus répandue, la plus développée, la plus efficace ». L’examen de la robustesse de plusieurs algorithmes de reconnaissance permet de conclure à un niveau d’excellence ; de sorte que l’empreinte numérique est une « référence ».

Pour autant, d’autres techniques ne doivent pas être occultées, comme le souligne le rapport.

Ainsi, le hachage (hashing), le recours aux métadonnées, le tatouage numérique (watermarking) sont autant de solutions alternatives qui à défaut de rivaliser l’empreinte numérique, pourront la compléter.

Ces outils permettront aux plateformes de mettre en œuvre « leurs meilleurs efforts » pour le blocage et retrait des contenus illicites. qui conditionnent l’absence d’engagement de leur responsabilité.

Enfin l’évaluation de ces outils et les recommandations formulées dans le rapport seront indispensables pour la transition qu’appelle la Directive.

L’apport de la directive droit d’auteur

La directive droit d’auteur et droits voisins permet aux titulaires de droits et aux éditeurs de presse d’obtenir de meilleurs accords de rémunération pour l’utilisation de leurs œuvres et contenus présents sur les plateformes internet.

Pour rappel, cette directive avait fait l’objet de nombreuses controverses opposant :

  • d’un côté les artistes et les éditeurs de presse et
  • de l’autre les GAFAM (Google, Apple, Facebook, Amazon, Microsoft).

Les uns se battant pour une meilleure protection de leurs œuvres et une juste rémunération, conséquence de la diffusion de leurs créations, les autres prônant une diffusion libre sur internet et pour qui la directive serait de nature à restreindre l’accès aux savoirs.

L’adoption de cette directive le 15 avril 2019 est venue rééquilibrer le marché numérique tout en protégeant les auteurs et leurs ayants droits dont les créations sont bien souvent reproduites sans autorisation (3).

Deux points majeurs de la directive peuvent être mise en exergue :

  • Premièrement : le texte entraîne l’instauration d’un droit voisin pour les éditeurs et agences de presse leur permettant d’obtenir une contrepartie financière en cas d’utilisation de leurs contenus en ligne par une plateforme ;
  • Deuxièmement : la directive introduit un régime de responsabilité pour les plateformes de diffusion en ligne concernant la rémunération des créateurs. Par ce biais, les GAFAM sont incités à conclure des accords de licence avec les artistes et éditeurs de presse. A défaut d’accords, les plateformes d’hébergement commercial devront mettre en place un système de filtrage des publications mises en ligne et s’assurer de facto, que leurs publications ne contiennent pas des œuvres protégées.

Les suites : transposition partielle de la directive

La France a fait figure de modèle en étant le premier état membre à transposer le nouveau « droit voisin » des éditeurs et agences de presse consacrée par la directive (4).

Ainsi, depuis le 25 octobre 2019, l’ensemble des plateformes, réseaux sociaux et autres sites agrégateurs d’informations doivent obtenir une autorisation de l’éditeur ou de l’agence de presse. Elle est indispensable à  toute reproduction ou communication au public, totale ou partielle, sous une forme numérique, de publications de presse. En contrepartie, les éditeurs et agences de presse peuvent solliciter une rémunération.

Reste maintenant à la France, le devoir de terminer la transposition de la directive. Le projet de loi relatif à la communication audiovisuelle (5) devrait comprendre une proposition de transposition de l’article 17 sur la reconnaissance et le système de filtrage ainsi des articles 18 à 22 sur la juste rémunération des artistes et auteurs.

En bref, les Etats membres ont jusqu’au 7 juin 2021, au plus tard, pour transposer la directive droit d’auteur dans leur droit interne.

Marie Soulez
Lexing Propriété intellectuelle contentieux

(1) Directive (UE) 2019/790 du Parlement européen et du Conseil du 17 avril 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique et modifiant les directives 96/9/CE et 2001/29/CE.
(2) Rapport CSPLA-Hadopi-CNC : Les outils de reconnaissance faciale, 2020.
(3) Rapport sur la proposition du Parlement européen et du conseil de directive sur le droit d’auteur dans le marché unique numérique du 29 juin 2018.
(4) Loi n°2019-775 du 24 juillet 2019 tendant à créer un droit voisin au profit des agences de presse et des éditeurs de presse.
(5) Projet de loi n°2488 relatif à la communication audiovisuelle et à la souveraineté culturelle à l’ère numérique.




Covid-19 : retour sur l’interdiction par le Conseil d’Etat de la surveillance par drones

surveillance par dronesAlain Bensoussan revient, dans Planète Robots, sur l’interdiction par le Conseil d’Etat de la surveillance par drones du respect des règles sanitaires.

A l’heure du déconfinement, un constat : les technologies de surveillance ont été en première ligne pour lutter contre la pandémie. La surveillance par drones en fait a partie, non sans soulever des questions relatives à l’atteinte à certaines libertés fondamentales.

Celles-ci ont conduit le Conseil d’Etat, statuant en référé, à en suspendre l’usage à Paris, dans l’attente que le gouvernement revoie sa copie. En cause : le risque d’identification des personnes surveillées

La surveillance par drones

L’État doit « cesser, sans délai, de procéder aux mesures de surveillance par drone, du respect, à Paris, des règles de sécurité sanitaire applicables à la période de déconfinement ». C’est ce que le Conseil d’État a en effet, enjoint à l’Etat par une ordonnance du 18 mai 2020 (1).

Suite à la déclaration de l’état d’urgence, des moyens aériens de la préfecture de police avaient été engagés afin de procéder à une surveillance du respect des mesures de confinement mises en place à compter du 17 mars 2020.

Plusieurs drones de la préfecture de police avaient ainsi été utilisés pour effectuer cette mission de police administrative.

Les risques d’identification des personnes

Bien que les drones n’aient pas été utilisés pour identifier des personnes, mais uniquement pour détecter des rassemblements du public à Paris contraires aux mesures sanitaires en vigueur et pouvoir ainsi procéder à la dispersion du rassemblement ou l’évacuation des lieux, le Conseil d’Etat a estimé qu’une telle utilisation relevait d’un traitement de données à caractère personnel et devait à ce titre, respecter le cadre de la loi informatiques et libertés du 6 janvier 1978.

À l’appui de sa décision, deux constats :

  • des zooms optiques équipent les drones utilisés ;
  • les drones peuvent voler en dessous de 80 mètres, ce qui permet de collecter des données identifiantes.

Il a par conséquent ordonné à l’État de cesser sans délai la surveillance par drones, tant qu’un arrêté ou décret ministériel ne serait pas pris après avis de la Cnil, ou tant que les drones ne seraient pas dotés d’un dispositif de nature à rendre impossible l’identification des personnes filmées.

La protection des données personnelles

Les mêmes contraintes réglementaires que les systèmes de vidéosurveillance et de vidéoprotection (2) s’appliquent à l’usage des drones ; dès lors que des caméras peuvent capter, enregistrer ou transmettre des paroles ou des images de personnes sans leur consentement.

A l’heure du déconfinement, pour Alain Bensoussan, il est une évidence qu’illustre cette affaire :

Il convient plus que jamais de libérer le potentiel des technologies d’identification en prenant en compte l’essence du droit à la protection des données. A condition de mettre en place quelques garde-fous, et de garder présent à l’esprit que la protection de la vie privée s’arrête lorsque l’on est privé de vie » (3).

Isabelle Pottier
Lexing Département Etudes et publications

Alain Bensoussan pour Planète Robots, « Covid-19 : La justice suspend l’usage des drones de surveillance », n°63, Juin-Juillet-Août 2020.

(1) Conseil d’Etat, Ord. Référé du 18 mai 2020, nos 440442, 440445.
(2) A. et J. BENSOUSSAN, I.A. et droits des robots, Larcier 2e éd. 2019.
(3) A. Bensoussan, « Application StopCovid: libérons le potentiel des technologies d’identification », L’Opinion.fr du 26 avril 2020.




Parution de la lettre JTTIL 209 – Juillet-août 2020

 lettre JTTIL 209 Voici un résumé de ce qui s’est passé ces dernières semaines (à retrouver dans notre JurisTendances Télécoms Informatique & Libertés (JTTIL 209) :

  • Entrée en application du règlement attendu « Platform to Business« 
  • Une nouvelle directive européenne sur les faux avis clients
  • Le Nouveau protocole de déconfinement pour les entreprises
  • Rappels sur le dénigrement et la juridiction compétente
  • Les bouleversements de la santé numérique
  • Les lignes directrices du cloud européen Gaia-X dévoilées
  • Caméras intelligentes et caméras thermiques face au COVID-19
  • Vol des données de 9 millions de clients d’Easyjet
  • La mise en œuvre de StopCovid
  • Poursuivre le dialogue social durant l’épidémie
  • La Cnil publie son rapport annuel pour 2019
  • Abrogation partielle de la riposte graduée d’Hadopi
  • etc.

Par ailleurs, dans le dernier numéro de « Lexing Insights », les membres du réseau Lexing® dressent un tableau de la situation post-coronavirus en Afrique du Sud, Australie, Belgique, France, Grèce, Maroc et Sénégal.

 De même, retrouvez les textes et jurisprudence clés sélectionnés dans la JTTIL 209

  • La fin de l’état d’urgence sanitaire au 11 juillet ;  Free refuse de supporter le coût du blocage des sites pirates  ; Rapport Capgemini sur le rythme d’adoption de l’IA en entreprise ; Propositions de loi ; Rapport CNNum sur le travail à l’ère des plateformes ; Nouvelles modalités de chômage partiel ; Annulation partielle des lignes directrices de la Cnil relatives aux cookies, etc.

Ainsi que la vie du cabinet :

Enfin, signalons la parution de :

JurisTendances Télécoms Informatique & Libertés (JTTIL 209), Juillet-août 2020.

  • Les lettres JurisTendances Télécoms Informatique & Libertés sont mis en ligne gratuitement. Pour recevoir la lettre JTTIL et rester au cœur de l’actualité législative et jurisprudentielle des technologies : inscription en ligne.
  • Les professionnels du droit des technologies avancées Lexing Alain Bensoussan – Avocats présentent et analysent chaque mois l’actualité. N’hésitez pas à nous suivre également sur nos réseaux sociaux, notre chaîne YouTube et notre site internet.



Entrée en application du règlement attendu Platform to Business

Platform to Business

Le règlement Platform to Business (1) publié au journal officiel de l’Union européenne le 21 juillet 2019 entre en application le 12 juillet 2020.

Il vise à instaurer un environnement économique équitable et prévisible pour les entreprises et commerçants utilisant les plateformes en ligne. Il n’interviendra que dans le secteur B2B, et concernera environ 7 000 plateformes en ligne ou places de marché. Certaines règles relatives à la transparence des classements s’appliqueront également aux moteurs de recherche.

Voici un petit rappel des principaux objectifs poursuivis par ce règlement.

Le règlement Platform to Business interdit certaines pratiques déloyales

A compter de juillet 2020, les plateformes en ligne ne pourront plus suspendre ou fermer des comptes de vendeurs sans motiver de façon claire leur décision et/ou sans offrir de possibilité de recours effectif. En cas de suspension ou de clôture du compte intervenue par erreur, la plateforme devra rétablir le compte du vendeur.

Le règlement Platform to Business demande également aux plateformes en ligne de rendre plus accessibles, plus claires et plus compréhensibles leurs conditions générales. Toute modification de celles-ci devra être notifiée au moins 15 jours à l’avance aux entreprises concernées. Si ces modifications nécessitent des adaptations complexes, un délai plus long sera alors envisagé.

L’amélioration de la transparence des pratiques commerciales

Le règlement Platform to Business impose aux places de marché et moteurs de recherche d’indiquer les principaux paramètres utilisés pour le référencement des biens et services, afin de permettre aux vendeurs de développer une position compétitive et pertinente au regard des attentes des consommateurs.

En outre, les Platform to Business (« P2B »), agissant en qualité de vendeurs, devront communiquer tous les avantages accordés à leurs propres produits.

Enfin, les plateformes en ligne devront indiquer les données qu’elles collectent ainsi que l’utilisation faite, notamment en cas de communication à des partenaires commerciaux.

L’instauration de nouvelles possibilités de règlement des litiges et des plaintes

Le règlement Platform to Business met en place un système interne de traitement des réclamations, sauf pour les plateformes en ligne de petite taille.

Des médiateurs spécialisés interviendront afin de réduire le coût des litiges et d’accélérer leur règlement.

En outre, les Etats membres ont la possibilité de désigner des autorités publiques nationales dotées de pouvoirs répressifs.

Enfin, les associations professionnelles peuvent exercer une action de groupe afin de faire cesser les manquements constatés.

Alexandra Massaux
Lexing Technologies émergentes contentieux
Cyrielle Girard-Berthet
Auditrice de justice de la promotion 2020
École Nationale de la Magistrature

(1) Règlement 2019/1150 du 20 juin 2019 promouvant l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne




Une nouvelle directive européenne sur les faux avis clients

faux avis clientsSi la France fut un élément moteur en matière de lutte contre les faux avis clients, la voici désormais suivie par l’Union européenne.

La directive européenne  pour le renforcement de la protection des consommateurs du 27 novembre 2019 (1) a ainsi pour vocation de renforcer la protection des consommateurs européens en assurant davantage de transparence dans les transactions en ligne.

Dans cette optique, cette nouvelle directive vient compléter le dispositif relatif aux faux avis clients. Ses rédacteurs sont partis du postulat selon lequel les consommateurs se basent de plus en plus sur les avis et recommandations publiés par d’autres clients avant d’arrêter leur choix (2). Il apparaît donc primordial que les professionnels garantissent l’authenticité et la fiabilité de ces avis.

Le rôle précurseur de la France en matière de norme relative à la lutte contre les faux avis clients

La France fut l’un des premiers Etats européens à mettre en place un dispositif de lutte contre le phénomène. En effet, dès juillet 2013, elle a instauré la norme AFNOR devenue « NF ISO 20488 » en septembre 2018.

Cette norme permet aux professionnels d’exposer sur leur site marchand leurs bonnes pratiques en matière de publications d’avis clients. Elle impose à ce titre des exigences en termes de collecte et de modération de ces avis. Il s’agit d’interdire aux professionnels d’acheter des avis, ou de s’engager à publier tous les avis, y compris ceux négatifs.

Les dispositions du code de la consommation

Le code de la consommation contient un certain nombre de dispositions visant à interdire les pratiques commerciales trompeuses ou déloyales. A ce titre, la loi pour une République numérique du 7 octobre 2016 a introduit des obligations générales d’informations pré contractuelles.

Cette loi a notamment inséré dans le code de la consommation un article L.111-7-2. Il impose aux personnes dont l’activité consiste, à titre principal ou accessoire, à collecter/modérer/diffuser des avis en ligne, de délivrer aux utilisateurs une information loyale, claire et transparente sur les modalités de publication et de traitement desdits avis. Ces personnes doivent également préciser si les avis font ou non l’objet d’un contrôle. Leurs sites marchands doivent en outre permettre un signalement par les consommateurs de tout avis dont l’authenticité leur paraît douteuse. Le non-respect de ces obligations est sanctionné par une peine d’amende, voire par le retrait de l’avis litigieux et le paiement de dommages-intérêts.

Les apports de la nouvelle directive européenne sur le renforcement de la protection des consommateurs face aux faux avis client

Les rédacteurs de la directive ont bien perçu la dimension européenne du problème lié aux faux avis clients (3). Dès lors, principe de subsidiarité oblige (4), l’Union européenne paraît la mieux placée pour se saisir de la question.  L’Europe doit tendre vers une meilleure application ainsi qu’une modernisation du droit en matière de protection des consommateurs.

Eu égard au rôle cardinal des avis clients dans la prise de décision des consommateurs, la directive imposent aux professionnels :

  • d’indiquer l’existence ou non de processus permettant de garantir l’authenticité des avis publics ;
  • si ces processus existent, de préciser la manière dont les informations sont contrôlées (5) ;
  • de fournir des informations claires sur la manière dont les avis sont traités ;

En outre, la directive érige en « pratique commerciale déloyale » le fait de tromper les consommateurs en indiquant que les avis ont été soumis par des consommateurs ayant effectivement utilisé le produit, alors qu’aucune mesure raisonnable et proportionnée ne permet de le démontrer (6).

Enfin, elle interdit aux professionnels de publier de faux avis clients, qu’ils proviennent des vendeurs eux-mêmes ou de tiers incités par eux. En outre, la directive prohibe toute manipulation des avis clients ; c’est le cas lorsque les avis négatifs sont occultés (7).

Alexandra Massaux
Lexing Technologies émergentes contentieux
Cyrielle Girard-Berthet
Auditrice de justice de la promotion 2020
École Nationale de la Magistrature

(1) Directive (UE) 2019/2161 du 27 novembre 2019 (…) en ce qui concerne une meilleure application et une modernisation des règles de l’Union en matière de protection des consommateurs, modifiant la Directive 2005/29/CE du 11 mai 2005 relative aux pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs dans le marché intérieur («directive sur les pratiques commerciales déloyales») .
(2) Considérant n°47 de la directive (UE) 2019/2161.
(3) Considérant n°60 de la directive (UE) 2019/2161.
(4) Article 5 TUE
(5) Article 3 de la directive portant modification de l’article 7 de la directive 2005/29/CE – ajout au c) un paragraphe 6
(6) Article 3 de la directive portant modification de l’annexe 1 de la directive 2005/29/CE – art. 26 ter
(7) Idem, art. 26 quater




Nouveau protocole de déconfinement pour les entreprises

protocole de déconfinement Le Ministère du Travail vient de publier un nouveau protocole de déconfinement en entreprise, se substituant à celui qui avait été publié le 3 mai 2020.

Assouplissement des règles précédemment édictées

Le nouveau protocole de déconfinement à destination des entreprises publié le 24 juin 2020 vient se substituer au protocole du 3 mai. Il remplace également les 90 guides métiers élaborés par le Ministère du Travail en partenariat avec les autorités sanitaires, les branches professionnelles et les partenaires sociaux. Ces textes n’ont plus de valeur normative. Ils seront prochainement remplacés par une FAQ répondant aux questions concrètes des entreprises.

Un protocole de déconfinement prenant en compte l’évolution de la situation sanitaire

Le protocole de déconfinement du 24 juin 2020 vient assouplir les règles et recommandations édictées par le Ministère du Travail à destination des entreprises. Il vise à faciliter la reprise ou la poursuite de l’activité dans le contexte du déconfinement. Enfin, il prendre en compte les évolutions de la situation sanitaires observées durant les dernières semaines.

Cet assouplissement ne signifie pas que les risques liés à l’épidémie de Covid-19 ont disparus. Il appartient en effet à chacun de rester vigilant. Néanmoins, la situation sanitaire s’améliore significativement pour le moment. Il appartenait au Ministère du travail de donner un cadre plus souple aux entreprises afin de les accompagner et de les encourager à reprendre ou poursuivre leur activité dans des conditions moins contraignantes.

Les mesures phares à retenir

Le nouveau protocole de déconfinement permet un retour à la normalité de l’activité économique. Il maintient la mise en garde des entreprises en leur imposant les recommandations et obligations suivantes :

  • Maintien du respect des gestes barrière sur les lieux de travail avec certains allègements :
    • La distance d’au moins un mètre entre les personnes reste la même mais le respect des 4 m² entre chaque personne est passé au rang d’outil proposé à titre indicatif ;
    • Dans le cas où le respect de la distance d’un mètre entre chacun ne peut être assuré de manière efficiente, le port du masque reste obligatoire ;
  • Le télétravail n’est plus la norme mais reste un outil à privilégier. Il peut également être utilisé comme solution pour un retour progressif ou alterné à l’activité présentielle habituelle lorsqu’il est possible ;
  • Les personnes à risques doivent pouvoir continuer à télétravailler ou bénéficier de mesures adaptées de protection renforcée ;
  • Protocole de prise en charge d’une personne déclarant les symptômes et des personnes entrées en contact avec elle.

Enfin, il comporte également des annexes sur :

  • les « bonnes pratiques à promouvoir dans la gestion des flux de personnes » ;
  • les recommandations en matière de « nettoyage/désinfection des surfaces et aération des locaux » et de port des « masques ».

Emmanuel Walle
Elena Blot
Lexing Droit social numérique




Rappels sur le dénigrement et la juridiction exclusivement compétente

TripAdvisor dénigrement

Dans un jugement du 27 avril 2020 (1),  le Tribunal de commerce de Paris a rappelé le champ d’application du dénigrement ainsi que le tribunal compétent pour connaître de ce litige (2).

En l’espèce, une société prestataire de services reprochait à TripAdvisor un détournement de clientèle. La société aurait constaté, sur le forum du site internet de TripAdvisor, une discussion renvoyant à son activité ; laquelle comportait des commentaires négatifs à son encontre. La société, estimant que ces propos étaient dégradants, a demandé à TripAdvisor leur retrait. Or, TripAdvisor a refusé de faire droit à cette demande. Il affirmait ne pas être l’auteur des propos litigieux et se réfugiant derrière la liberté de la presse. La société a alors assigné TripAdvisor en justice pour obtenir la suppression des commentaires litigieux.

La qualification des propos publiés sur le forum du site internet de TripAdvisor

Le Tribunal de commerce de Paris a profité du débat sur la qualification de propos publiés sur le forum du site internet de TripAdvisor pour réaffirmer le critère de distinction entre la diffamation et le dénigrement.

En l’espèce, les magistrats ont estimé que « relève du régime juridique du dénigrement les propos incriminés publiés sur le site de la société TripAdvisor LLC, en ce qu’ils critiquent un produit (…) de la société V. (…) et la qualité des prestations fournies par celle-ci, mais ne portent pas sur le comportement de la société V., personne morale parfaitement identifiée, jamais mentionnée ».

Dès lors, on comprend que le critère de distinction entre la diffamation et le dénigrement tient à l’objet des critiques. Si la personne morale est directement visée par les propos litigieux, alors il s’agit de diffamation. En revanche, si ce sont ses produits ou prestations, et non la personne morale, alors il s’agit de dénigrement.

En l’occurrence, les juges ont relevé que les propos litigieux ciblaient directement les produits et les prestations du concurrent. Ils en ont alors tiré la conclusion que la qualification de dénigrement s’imposait.

La compétence exclusive du tribunal de commerce en matière de dénigrement

Le Tribunal de commerce de Paris rappelle par la même occasion que la juridiction compétente découle entièrement de la qualification retenue.

En effet, TripAdvisor a soulevé une exception d’incompétence. La défense soutenait que les propos litigieux publiés sur le forum du site internet de TripAdvisor relevaient de la qualification de diffamation, de sorte que devait être déclaré compétent le Tribunal judiciaire de Paris.

Les magistrats ont débouté TripAdvisor en retenant la qualification de dénigrement, en réaffirmant que le Tribunal de commerce a une compétence exclusive pour connaître des litiges engagés du chef de dénigrement.

Ce jugement rappelle donc clairement que la juridiction compétente en matière de dénigrement ou diffamation dépend uniquement de la qualification retenue. Cette juridiction détient alors une compétence exclusive pour connaitre de ce chef d’infraction. En l’occurrence, le dénigrement entraîne systématiquement, et de manière exclusive, la compétence du Tribunal de commerce.

Alexandra Massaux
Lexing Technologies émergentes contentieux
Cyrielle Girard-Berthet
Auditrice de justice de la promotion 2020
École Nationale de la Magistrature

(1) Tribunal de Commerce de Paris du 27 avril 2020, 15ème ch.
(2) Article « Dénigrement : le TC de Paris rejette l’exception d’incompétence invoquée par TripAdvisor », Legalis.net 12-05-2020.




Les bouleversements de la santé numérique

la santé numériqueMarguerite Brac de la Perrière répond aux questions de DII sur les bouleversements de la santé numérique : nouveaux besoins, nouveaux usages, nouvelles synergies… Que change la crise du Covid-19 à l’écosystème de la santé numérique ?

A cette occasion, elle rappelle les conditions de développement depuis 2009 des actes de télémédecine que sont la téléconsultation, la téléexpertise, la télésurveillance, la téléassistance et la régulation médicale.

Citant Jean Monnet :

Les hommes n’acceptent le changement que dans la nécessité et ne voient la nécessité que dans la crise »,

Marguerite Brac de La Perrière explique comment la crise liée au Covid-19 a bouleversé la santé numérique, secteur déjà en forte croissance depuis une dizaine d’années, avec notamment, le développement des trois premiers actes (téléconsultation, téléexpertise, télésurveillance).

En effet, avant la crise, le recours à la télémédecine restait assez limité et concernait surtout les territoires en pénurie de médecins ou les personnes atteintes de maladies chroniques. Avec la crise, les usages se sont massivement développés pour répondre à un enjeu de santé publique, au moyen d’assouplissements substantiels et successifs des conditions réglementaires de prise en charge et de réalisation.

Ainsi, l’augmentation du nombre de téléconsultations est considérable. On a compté jusqu’à un million de téléconsultations hebdomadaires remboursées, alors que l’on en a décompté 75 000 sur 2019.

Cette interview parait en avant première de la conférence E-Santé à l’ère de l’IA, organisée le 30 septembre 2020. Lire l’intégralité de l’interview

La santé numérique

La santé numérique à l’ère de l’IA

Plus généralement, le Covid-19 joue un rôle crucial dans l’accélération des usages digitaux en santé.

L’IA, la réalité virtuelle, les objets connectés connaissent un déploiement massif. Cela permet aux chercheurs et praticiens d’améliorer les conditions de prise en charge des patients. Ils bénéficient de nombreuses données et indicateurs, d’aide au diagnostic et à la thérapeutique, et d’outils de suivi des patients.

Par ailleurs, le secteur est en pleine transformation numérique. En effet, le gouvernement a fait de la numérisation de la santé l’une de ses priorités (plan « Ma Santé 2022 »). La crise sanitaire mondiale rebat les cartes du jeu. La clarification de la réglementation offre aux acteurs du secteur l’opportunité de prendre une place dans un marché en croissance.

Isabelle Pottier
Lexing Département Etudes et publications




Caméras intelligentes et caméras thermiques face au COVID-19

Caméras intelligentes et caméras thermiques

Pour prévenir et évaluer le risque de contagion au COVID-19, des dispositifs de caméras intelligentes et caméras thermiques sont déployés sur la voie publique, dans et aux abords des commerces, dans les transports en commun et sur les lieux de travail.

Caméras intelligentes et caméras thermiques : les garanties à respecter

La Cnil indique qu’il s’agit en pratique « soit de l’ajout d’une couche logicielle à des systèmes de vidéoprotection préexistants, soit du déploiement de nouveaux systèmes vidéo dédiés : dispositifs de prise de température automatique ‘caméras thermiques), de détection du port de masque, de respect des mesures de distanciation sociale, etc. » (1).

La pandémie actuelle ne suspend pas les droits des personnes concernées par l’usage de caméras intelligentes et caméras thermiques.

À ce jour, aucun texte spécifique n’encadre le recours à des caméras « intelligentes » et des caméras thermiques.

Cependant, lorsque ces dispositifs collectent des données personnelles, une réglementation (RGPD et Loi du 6 janvier 1978) spécifique s’applique. Par exemple, lorsqu’une image permet d’identifier la personne concernée, le dispositif relève de cette réglementation.

Par conséquent, des garanties doivent assortir la mise en place de tels dispositifs pour respecter cette réglementation :

  • la démonstration du caractère nécessaire et proportionné ;
  • la limitation de la durée de conservation des données ;
  • l’instauration de mesures de pseudonymisation ou d’anonymisation ;
  • l’absence de suivi individuel.

La Cnil indique que « si des données sensibles sont traitées, telle que la captation d’informations personnelles de santé ou d’informations biométriques, ou si le droit d’opposition n’est pas possible (du fait, par exemple, du « balayage vidéo » de la caméra dans une rue), il est nécessaire de mettre en place un cadre légal adapté qui respecte l’article 9 et/ou l’article 23 du RGPD ».

Par ailleurs, la mise en place d’un dispositif de vidéoprotection doit respecter les dispositions du Code de la sécurité intérieure (articles L.251-1 et suivants).

Intelligents ou thermiques : ces dispositifs nécessitent une vigilance accrue

Eviter toutes dérives : sentiment de surveillance, accoutumance, banalisation de technologies intrusives.

Il est donc primordial de concilier la salubrité publique :

  • au droit à la vie privée et à la protection des données personnelles,
  • à la liberté d’aller et venir,
  • à la liberté d’expression et de réunion,
  • au droit de manifester et
  • à la liberté de conscience et d’exercice du culte.

La Cnil a déjà eu l’occasion d’appeler à la tenue d’un débat démocratique sur les nouveaux usages vidéo en septembre 2018 et plus spécifiquement concernant la reconnaissance faciale en novembre 2019.

Elle émet des réserves sur le recours aux caméras thermiques puisqu’il ne permet pas de détecter les personnes asymptomatiques. Par ailleurs, il peut être contourné par la prise de médicaments réduisant la température corporelle.

La Cnil met en garde contre les déviances du déploiement de caméras intelligentes et caméras thermiques.

Elle indique que « lorsqu’ils constituent des traitements automatisés de données personnes et relèvent à ce titre du RGPD, de tels dispositifs conduisent le plus souvent soit à traiter des données sensibles sans le consentement des intéressés (notamment la température), soit à écarter le droit d’opposition ».

En l’absence de texte juridique spécifique à l’usage de caméras intelligentes, la Cnil appelle donc les acteurs à la plus grande vigilance afin d’éviter de multiplier et de pérenniser les dispositifs de surveillance par caméras.

Emmanuel Walle
Oriane Maurice
Lexing Droit social numérique

(1) Cnil, « Caméras dites « intelligentes » et caméras thermiques : les points de vigilance de la Cnil et les règles à respecter », 17 juin 2020.




La mise en œuvre de StopCovid

mise en œuvre de StopCovidComment opérer la mise en œuvre de StopCovid ? Pour clarifier la situation, la Cnil a publié sur son site internet les réponses aux questions fréquentes (1). Le but : mieux comprendre ses avis et recommandations sur la mise en œuvre de l’application StopCovid (2),

Ainsi, au 8 juin, l’application a franchi le cap du million d’utilisateurs ; alors que le décret encadrant son déploiement n’est paru au journal officiel que le 30 mai 2020. Il a préalablement recueilli l’avis de la Cnil (3).

Le nombre d’activations de StopCovid a atteint 1,4 million en une semaine, selon les derniers chiffres du Monde provenant du cabinet de Cédric O. Cependant, c’est loin d’être suffisant. Au point qu’une campagne de communication va être lancée par le gouvernement pour relancer les téléchargements. Elle ciblera particulièrement les lieux à forte densité (transports en commun notamment).

En bref, « l’application StopCovid est une application mobile mise à disposition par le Gouvernement dans le cadre de sa stratégie globale de déconfinement progressif. Disponible sur ordiphones (smartphones), son objectif est d’alerter les utilisateurs d’un risque de contamination lorsqu’ils ont été à proximité d’un autre utilisateur ayant été diagnostiqué ou dépisté positif à la COVID-19. Il s’agit d’un dispositif de suivi de contacts (contact tracing), qui repose sur le volontariat des personnes et utilise la technologie Bluetooth ».

Depuis son lancement, le gouvernement tente de développer l’usage de StopCovid au sein des clusters ou des départements particulièrement touchés. Il a par exemple, adressé un SMS courant juin, aux abonnés de téléphonie mobile guyanais les informant de l’existence de l’application. La Guyane est, en effet, la zone de France la plus touchée par le virus.

La mise en œuvre de StopCovid en quelques questions

Thématiques abordées Réponses apportées
Volontariat

– Absence de conséquences juridiques défavorables pour les personnes ne souhaitant pas installer l’application ;

– Absence de droit spécifique accordé aux personnes ayant installé le dispositif.

Anonymat

– Absence d’anonymat au sens de la réglementation relative à la protection des données :

– Echanges d’identifiants pseudonymes (suite de chiffres uniques pour chaque terminal) entre les smartphones, caractérisés de données à caractère personnel.

Mineurs – Invitation de la Cnil à insérer une information spécifique à destination des mineurs et de leurs parents
Conservation des données

– Durée de mise en œuvre du dispositif :

– 6 mois à compter de la fin de l’état d’urgence sanitaire, puis suppression.

– Durée de conservation des historiques de proximité des personnes diagnostiquées ou testées positives, des identifiants temporaires échangés entre les applications, des horodatages :

– 15 jours, puis suppression.

Transfert des données hors UE Non
Accès aux données Sous-traitants (hébergement, maintenance du système, etc.)
Droits

– Droit de s’opposer au traitement ;

– Droit de demander l’effacement des données.

Les contrôles à venir

La Cnil a annoncé procéder désormais à une série de contrôles de l’application StopCovid, ainsi que des fichiers SI-DEP et Contact Covid, mis en œuvre par le gouvernement afin de s’assurer du bon fonctionnement de ces dispositifs.

Pour rappel, les fichiers SI-DEP et Contact Covid permettent d’identifier les personnes contaminées ou susceptibles de l’avoir été. Ainsi, elles permettent de suivre les chaînes de contamination et d’assurer la prise en charge sanitaire des personnes ; de même que leur accompagnement. Enfin, elles permettent d’assurer la surveillance épidémiologique du virus.

La Cnil a aussi annoncé que les points de contrôle seront les suivants :

  • modalités de recueil de consentement et d’information des personnes ;
  • sécurité des systèmes d’information ;
  • flux de données et destinataires ;
  • respect des droits d’accès ou d’opposition des personnes.

Enfin, en cas de manquement graves ou répétées, la Cnil pourra prononcer des mises en demeure et/ou des sanctions.

Emmanuel Walle
Lexing Département social numérique

Isabelle Pottier
Lexing Département Etudes et publications

(1) « L’application mobile StopCovid en questions », 5 juin 2020, cnil.fr
(2) Délibération 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid » ; Délibération 2020-056 du 25 mai 2020 portant avis sur un projet de décret relatif à l’application mobile dénommé « StopCovid » ;
(3) Voir Isabelle Pottier, « Parution du décret encadrant l’application StopCovid », publié le 1er juin 2019.




Poursuivre le dialogue social durant l’épidémie

dialogue social

Comment maintenir et surtout renforcer le dialogue social et les relations de travail face à la crise qui frappe durement les entreprises quelle que soit leur taille ?

Le dialogue social est en effet essentiel si l’on veut pouvoir limiter les effets à moyen terme de cette crise sur l’emploi. Il permet aux entreprises et à leurs salariés de s’adapter au mieux, de réguler des tensions liées à la crise et surtout de préparer la reprise d’activité.

Le rôle essentiel du CSE

Le Comité Social et Économique (CSE) est l’instance clé du dialogue social. Il a pour mission d’assurer une expression collective des salariés.  La situation d’état d’urgence sanitaire nécessite une adaptation des modalités de fonctionnement fixées par le Code du travail.

Par exemple, le Code du travail pose un principe de liberté de circulation des membres élus de la délégation du personnel et des représentants syndicaux du CSE dans l’entreprise (art. L. 2315-14 du Code du travail).

La Cour de cassation rappelle que toute atteinte à ce principe vaut uniquement pour des impératifs de sécurité en gardant toute proportion au but recherché (1). De même, le Conseil d’Etat juge que ces principes s’appliquent également lorsque le représentant du personnel est placé en chômage partiel, la suspension du contrat de travail n’entraînant pas la suspension du mandat (2).

Le Ministre du travail considère que « En situation d’état d’urgence sanitaire, au regard de leurs attributions en matière de santé sécurité et condition de travail, les élus du CSE, particulièrement ceux membres de la CSSCT, et les délégués syndicaux, doivent pouvoir continuer à exercer leurs missions à l’intérieur des entreprises dont l’activité n’est pas interrompue. Elles requièrent le maintien de leur liberté de circulation, reconnue d’ordre public ».

Néanmoins, la situation exceptionnelle nécessite l’adaptation des modalités de circulation. Ceci implique d’organiser les déplacements et les contacts avec les salariés, dans le respect des gestes barrières et des procédures mises en place dans l’entreprise, uniquement lorsque les moyens de communication à distance sont inopérants ou insuffisants.

Mais d’autres cas d’adaptations pourraient être cités. C’est ainsi que pour aider les DRH à faire face à cette situation, le Ministère du travail a publié un FAQ sur le dialogue social en période de Covid-19 (3).

Un FAQ pour aider au dialogue social

Le FAQ aborde le dialogue social en une dizaine de questions/réponses. Toutes portent sur les modalités de concertation des instances représentatives du personnel. Massivement expérimenté, le télétravail a en effet nécessité des adaptations :

  • Quelles sont les conditions d’exercice des mandats des représentants du personnel et des délégués syndicaux pendant l’épidémie Covid-19 ? quelles sont les conditions de leur déplacement sur les sites où sont présents les salariés ?
  • Quel est le rôle du comité social et économique (CSE) et dans quels cas dois-je l’informer/le consulter ?
  • Que change l’ordonnance n°2020-507 et le décret du 2 mai 2020 adaptant les délais de consultation et d’information du CSE ?
  • Les réunions de négociation collective peuvent-elles se tenir en vidéo-conférence ou en audioconférence pendant l’épidémie de Covid-19 ?
  • Les accords collectifs peuvent-ils être signés à l’aide d’une signature électronique ?
  • Existe-t-il d’autres modalités de signature à distance pour les accords collectifs pendant l’épidémie de Covid-19 ?
  • La notification de l’accord collectif à l’ensemble des organisations représentatives peut-elle se faire par voie électronique ?
  • Existe-t-il une procédure d’urgence pour l’adoption des accords de branche et d’entreprise ayant pour objet de faire face aux conséquences sociales, économiques et financières de l’épidémie de Covid-19 ?
  • Est-il possible de consulter les salariés à distance, pendant l’épidémie de Covid-19 ?
  • Existe-t-il une procédure adaptée pour le dépôt d’un accord de branche ?
  • Existe-t-il une procédure particulière pour le dépôt des accords d’entreprise pris pour faire face aux conséquences de l’épidémie de Covid-19 ?

Emmanuel Walle
Lexing Département social numérique

Isabelle Pottier
Lexing Département Etudes et publications

(1) Cass. soc., 26 février 2020, n°18-24758.
(2) CE 13 novembre 1987, n° 68104.
(3) Ministère du Travail, Dialogue social – Négociation collective, FAQ publié le 17 avril 20 et mise à jour le 8 juin 2020.




Abrogation partielle de la riposte graduée d’Hadopi

riposte graduée d’HadopiDans une décision portant sur une question prioritaire de constitutionnalité (QPC) rendue le 20 mai 2020 (1), le Conseil constitutionnel a abrogé partiellement le dispositif de riposte graduée d’Hadopi, la Haute autorité pour la diffusion des œuvres et la protection des droits sur internet (Hadopi).

Hadopi est une autorité publique indépendante prévue par la loi Création et Internet (2) et instaurée par décret (3). Hadopi envoie des avertissements aux internautes suspectés de pratiquer du téléchargement illégal. Après l’émission de plusieurs avertissements, le dossier peut être transmis à la justice aux fins de poursuites. Afin de découvrir l’identité de ces internautes contrevenants, Hadopi doit obtenir leur adresse IP pour pouvoir demander aux opérateurs téléphoniques d’identifier le titulaire de l’abonnement.

Le pouvoir spécial de la riposte graduée d’Hadopi

La commission de protection des droits d’Hadopi est l’organe chargé de veiller au respect de l’obligation issue de l’article L.336-3 du Code de la propriété intellectuelle. Cet article dispose que le titulaire d’un accès à des services de communication au public en ligne a l’obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation frauduleuse au détriment d’œuvres ou objets protégés par le droit d’auteur ou un droit voisin.

Pour ce faire, l’article L.331-21 du Code de la propriété intellectuelle confère à Hadopi plusieurs prérogatives. D’une part, les agents d’Hadopi peuvent obtenir des opérateurs de communication électronique la transmission des données d’identification de l’abonné dont l’accès à des services de communication au public en ligne est illégal. D’autre part, les agents d’Hadopi peuvent recevoir communication et copie de tous documents relatifs aux données de connexion détenues par les opérateurs de communication électronique.

L’abrogation partielle du dispositif de réponse graduée

Le Conseil constitutionnel, saisi d’une QPC, s’est prononcé sur la légalité du pouvoir spécial de réponse graduée d’Hadopi (4).

Il considère que la procédure permettant aux agents d’Hadopi d’obtenir « communication et copie de tous documents, quel qu’en soit le support, y compris les données de connexion détenues par les opérateurs de communication électronique » n’est pas entourée des garanties suffisantes pour assurer l’équilibre entre respect de la vie privée et sauvegarde de la propriété intellectuelle.

Les sages estiment que cette disposition offre la possibilité de collecter trop largement les données, dès lors qu’elle ne précise ni les personnes auxquelles elle est susceptible de s’appliquer, ni la nature du lien entre les données et le manquement constaté. En outre, les données concernées permettent d’obtenir de trop nombreuses et trop précises informations sur les internautes concernés ; ce qui cause nécessairement une atteinte disproportionnée à leur vie privée. Cette disposition a donc été abrogée par le Conseil constitutionnel.

En revanche, le Conseil n’a pas censuré la première partie de cette disposition, selon laquelle les agents d’Hadopi peuvent obtenir des opérateurs de communication électronique l’identité d’un internaute à partir de son adresse IP. Selon le Conseil constitutionnel, la communication de l’identité, des adresses postale et électronique ainsi que des coordonnées téléphoniques de l’internaute utilisant frauduleusement un service de communication au public en ligne visent à renforcer la lutte contre les pratiques de contrefaçon sur internet.

Dès lors, celles-ci sont nécessaires et proportionnées à l’objectif poursuivi, à savoir la sauvegarde de la propriété intellectuelle. En outre, ces mesures semblent entourées de garanties suffisantes, puisque leur mise en œuvre est confiée à des agents habilités, assermentés et soumis au secret professionnel. Le Conseil constitutionnel n’a donc pas abrogé la disposition.

Les incertitudes quant à l’avenir du pouvoir spécial de réponse graduée

Hadopi affirme que la Commission de protection des droits n’a jamais utilisé les dispositions censurées pour mettre en œuvre la réponse graduée. En effet, la collecte des données de connexion ne s’est jamais faite directement auprès des opérateurs téléphoniques.

En pratique, des ayants droits se chargent de la collecte des informations auprès de ces opérateurs ; puis les transmettent par procès-verbal à Hadopi ; à charge pour cette dernière de contacter les fournisseurs d’accès internet pour obtenir l’identité de l’internaute concerné. Ainsi, la décision du Conseil Constitutionnel ne semble pas avoir de conséquences sur l’actuelle réponse graduée d’Hadopi ; ses agents n’étant pas personnellement chargés de la mission de collecte des données.

En outre, le Conseil constitutionnel diffère l’abrogation des dispositions litigieuses au 31 décembre 2020. Ce délai pourrait laisser le temps au législateur d’adopter une nouvelle législation qui permettrait de dissiper tout risque de confusion.

L’avenir de l’Hadopi

Enfin, l’incertitude persiste sur l’avenir même d’Hadopi. En effet, le projet de loi sur la communication audiovisuelle (5) prévoit de fusionner cette Haute autorité avec le Conseil supérieur de l’audiovisuel (CSA) au sein d’une entité nouvelle. L’évolution du dispositif de riposte graduée d’Hadopi dans cette nouvelle structure pose donc question.

Marie Soulez
Lexing Département Propriété intellectuelle
Cyrielle Girard-Berthet
Auditrice de justice de la promotion 2020
ENM École nationale de la magistrature

(1) Décision du Conseil constitutionnel DC n°2020-841 QPC du 20 mai 2020
(2) Loi n° 2009-669 du 12-06-2009 favorisant la diffusion et la protection de la création sur internet.
(3) Décret n° 2009-1773 du 29-12-2009 relatif à l’organisation de la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet
(4) La Quadrature du Net est une association de défense des libertés, opposante historique d’Hadopi. Elle estime que la jurisprudence européenne qui encadre strictement la conservation des données personnelles est incompatible avec la législation française ; en particulier s’agissant du pouvoir spécial de réponse graduée d’Hadopi. Pour plus d’information, voir nos précédents articles.
(5) Projet de loi n°2488 relatif à la communication audiovisuelle et à la souveraineté culturelle à l’ère numérique




Le critère de l’usage de la marque dans la vie des affaires

Usage de la marque dans la vie des affaires

L’usage d’une marque dans la vie des affaires peut être caractérisé en l’absence d’exercice d’une activité commerciale à titre professionnel.

La décision de la CJUE du 30 avril 2020

« Une personne n’exerçant pas une activité commerciale à titre professionnel qui réceptionne, met en libre pratique dans un État membre et conserve des produits manifestement non destinés à l’usage privé, qui ont été expédiés à son adresse depuis un pays tiers et sur lesquels une marque, sans le consentement du titulaire, est apposée doit être regardée comme faisant usage de la marque dans la vie des affaires ».

Tel est le sens de la décision C-772/18 rendue par la Cour de justice de l’Union européenne le 30 avril 2020 dans le cadre d’une question préjudicielle introduite par la Cour suprême de Finlande saisie d’une affaire de contrefaçon de marque dont les faits saillants sont les suivants.

En 2011, une personne physique dénommée B dans la décision, domiciliée en Finlande reçoit, un lot de 150 roulements à billes, provenant de Chine. La marque INA protégée au nom d’une autre personne dénommée A, en Finlande, pour des « roulements », est apposée sur chacun des roulements à billes reçus par B. Après dédouanement des produits, B récupère le lot des roulements à billes dans un entrepôt douanier de l’aéroport d’Helsinki-Vantaa en Finlande et le rapporte à son domicile. Quelques semaines plus tard, il remet le lot de roulements à billes à un tiers en vue de sa réexpédition en Russie. En contrepartie de ce service, B reçoit une cartouche de cigarettes et une bouteille de cognac.

La procédure en première instance et en appel

Une procédure pénale est ouverte à l’encontre de B en Finlande par le tribunal de première instance de Helsinki. A, en qualité de titulaire de la marque INA, se joint à l’action pénale pour solliciter des dommages et intérêts (intérêts civils). Le tribunal de première instance de Helsinki relaxe B au motif qu’il ne pouvait pas qualifier l’infraction intentionnelle. Il lui interdit néanmoins de poursuivre ou réitérer de tels comportements et, le condamne à verser des dommages et intérêts à A.

B forme un recours contre cette décision devant la cour d’appel de Helsinki.

La cour d’appel considère que B n’a pas fait usage de la marque dans la vie des affaires, estimant que l’agissement de B peut être comparé à une activité d’entreposage et de transit, que B n’a pas eu pour objectif de retirer un avantage économique et que la rémunération en nature qu’il a reçue n’est pas corrélée à l’exploitation économique de la marchandise qu’il avait reçue mais est uniquement la contrepartie d’un service d’entreposage de marchandise pour le compte de tiers. La cour d’appel en conclut que la demande en réparation et indemnisation de A n’est pas fondée.

A forme un pourvoi contre cet arrêt devant la Cour suprême finlandaise qui, alors, saisit la CJUE d’une demande de décision préjudicielle au titre de l’article 267 du TFUE (Traité sur le fonctionnement de l’Union européenne) sur l’interprétation de l’article 5 de la Directive 2008/95/CE rapprochant les législations des États membres sur les marques.

L’interprétation in concreto de la notion de l’usage d’une marque dans la vie des affaires

La directive d’harmonisation 2008/95/CE (1) prévoit à son article 5 que le titulaire d’une marque peut interdire à tout tiers, en l’absence de son consentement, de faire usage dans la vie des affaires d’un signe identique ou similaire au point d’emporter un risque de confusion avec le signe de la marque, pour désigner des produits identiques ou similaires à ceux pour lesquels la marque est enregistrée.

Cet article précise que, dans de telles conditions, le titulaire d’une marque peut décider :

  • d’interdire à un tiers d’apposer le signe de sa marque sur les produits ou leurs conditionnements,
  • d’offrir les produits, de les mettre dans le commerce ou de les détenir à ces fins, ou
  • d’offrir ou de fournir des services sous le signe, ou bien encore,
  • d’importer ou d’exporter les produits sous le signe.

Une des questions essentielles soulevée par la Cour suprême finlandaise à la CJUE est de savoir si l’article 5 précité peut s’appliquer à la situation dans laquelle une personne utilise une marque exclusivement au profit d’un tiers et ce, en tenant compte de la jurisprudence de la CJUE (2).

Cette dernière prévoit que le propriétaire d’un entrepôt fiscal et douanier qui entrepose pour le compte d’un tiers des produits revêtus d’un signe identique ou similaire à une marque, ne fait pas un usage de la marque dans la vie des affaires.

L’autre question essentielle était de savoir s’il est envisageable de considérer qu’une importation de produits est caractérisée lorsqu’une personne communique son adresse à un revendeur de marchandises, réceptionne des marchandises qu’elle n’a pas commandées et n’a pas d’autre attitude active et, ce en référence à la jurisprudence de la CJUE (3).

Cette dernière prévoit que la mise dans le commerce de produits suppose leur mise en libre pratique au sens de l’article 29 du TFUE, et donc la perception de droits de douane et de taxes d’effet équivalent par l’État membre concerné.

Le dédouanement et la mise en libre pratique caractérisent l’usage d’une marque dans la vie des affaires

La CJUE répond à ces deux questions principales de manière très limpide.

La communication d’une adresse destinée à être le lieu d’expédition de produits, associée au dédouanement de produits et à la mise en libre pratique de ces produits, constituent bien une importation au sens de l’article 5 de la directive 2008/95.

En outre, l’importation et la mise en libre pratique de produits, tels que ceux visés dans l’affaire qui ne sont manifestement pas destinés à un usage privé, sont suffisants pour caractériser un usage de la marque dans la vie des affaires, sans qu’il soit utile de vérifier si, ensuite, ces produits ont été entreposés ou mis dans le commerce dans l’Union européenne ou exportés vers des pays tiers.

Elle souligne à cet égard que si l’expression « usage dans la vie des affaires » « implique que les droits exclusifs conférés par une marque ne peuvent en principe être invoqués par le titulaire de cette marque que vis-à-vis des opérateurs économiques et, en conséquence, que dans le contexte d’une activité commerciale (…) », il convient toutefois de vérifier « si les opérations effectuées dépassent, en raison de leur volume, de leur fréquence ou d’autres caractéristiques, la sphère d’une activité privée ».

En effet, dans une telle hypothèse, « celui qui les accomplit se place dans le cadre de la vie des affaires ». Au cas présent, la détention d’un lot de 150 roulements à billes qui sont utilisés dans un cadre industriel, notamment comme pièces de rechange dans les mécanismes de transmission, les générateurs, les moteurs ainsi que pour la construction de ponts et de tramways, ne peut manifestement pas s’inscrire dans le cadre d’un usage à titre privé.

Elle précise enfin qu’est sans importance la valeur de la rémunération de l’importateur en contrepartie de son service d’importateur.

En conclusion

Par cet arrêt, la Cour rappelle que la notion d’usage de la marque dans la vie des affaires permettant de caractériser et de sanctionner une contrefaçon de marque, doit toujours être appréciée au regard des circonstances de l’affaire. Elle ne peut pas être écartée au seul motif que celui qui a utilisé la marque d’un tiers est une personne physique qui a « uniquement » réceptionné, entreposé et renvoyé vers un pays tiers des produits revêtus de cette marque protégée, sans recevoir de réelle contrepartie financière.

Anne-Sophie Cantreau
Lexing Département Propriété Industrielle Conseil

(1) Depuis l’époque des faits, la directive (UE) 2015/2436 du 16 décembre 2015 a succédé à cette directive rapprochant les législations des États membres sur les marques.
(2) CJUE C-379/14 du 16 juillet 2015.
(3) CJUE C-405/03 du 18 octobre 2005.




Registre d’identification des salariés atteints du Covid-19

identification des salariés atteints du Covid-19L’obligation de sécurité permet-elle à l’employeur de tenir un registre d’identification des salariés atteints du Covid-19 ?

L’obligation de sécurité de l’employeur face au Covid-19

Au nom de son obligation de sécurité, l’employeur est tenu de prendre « les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs » (Article L.4121-1 du Code du travail). Cette obligation passe notamment par :

  • des actions de préventions des risques professionnels ;
  • des actions d’information et de formations ;
  • la mise en place d’une organisation et de moyens adaptés.

L’employeur doit garantir la sécurité des salariés dans ce contexte de déconfinement et de retour des salariés dans les locaux. Il est donc confronté à la problématique d’identification des salariés infectés pour éviter une propagation du virus au travail.

L’identification des salariés atteints du Covid-19

Le Ministère du travail a publié des fiches conseils par métier à destination des salariés et des employeurs afin de les accompagner dans la mise en œuvre de mesures de protection contre le Covid-19 sur le lieu de travail (Fiches conseils métiers publiés par le Ministère du travail).

De plus, il est important pour l’employeur de pouvoir être informé lorsque ses collaborateurs ont été contaminés par le Covid-19. Ils seront ainsi identifiés et des mesures seront prises pour éviter toute contamination générale  comme :

  • le placement en quatorzaine ;
  • l’information des personnes ayant été en contact avec le salarié concerné, dans le respect de sa vie privé.

L’employeur peut donc, pour raison de sécurité, créer un registre d’identification des salariés infectés, ayant été exposés ou suspectés.

Le respect du principe de protection des données à caractère personnel

Cependant, s’il met en place un tel registre, il doit le faire dans le respect des principes encadrant la protection des données à caractère personnel prévus à l’article 5 du RGPD et notamment :

  • principe de minimisation des données traitées : seules les données strictement nécessaires à l’accomplissement de la finalité du traitement peuvent être traitées. Par exemple :
    • identité du salarié,
    • situation de télétravail ou non et durée,
    • visite auprès de la médecine du travail,
    • date de signalement.
  • principe d’exactitude des données traitées : les données traitées doivent être mises à jour en fonction de la situation du salarié. Par exemple :
    • cas d’un salarié suspecté d’avoir été exposé au Covid-19 qui réalise un test et qui informe l’employeur du résultat positif ou négatif.
  • limitation des durées de conservation : les données permettant l’identification de la personne ne doivent pas être conservées au-delà de ce qui est strictement nécessaire au regard des finalités poursuivies. Ceci implique qu’elles ne soient pas être conservées au-delà de la période d’épidémie en cours.

Emmanuel Walle
Elena Blot
Lexing Département social numérique




Parution de la lettre JTTIL 208 – Juin 2020

JTTIL 208Voici un résumé de ce qui s’est passé ces dernières semaines (à retrouver dans notre JurisTendances Télécoms Informatique & Libertés (JTTIL 208) :

  • Parution du décret encadrant l’application StopCovid  
  • La réforme sur la TVA sur le commerce électronique reportée ?
  • Une opposition comme indice d’un dépôt frauduleux de marque
  • Santé : Le droit peut-il être désactivé par l’état d’urgence ?
  • Les technologies au cœur de la lutte contre le Covid-19
  • Adaptation temporaire du Code de la commande publique
  • Référencement payant : Google ne peut pas exclure qui veut
  • Une pandémie pour la constellation de satellites OneWeb
  • Pandémie et critères du licenciement économique
  • Satellites : Elon Musk va-t-il nous voler nos étoiles ?
  • Entreposer des produits pour un tiers n’est pas un usage de marque
  • Téléconsultation médicale : effet de crise ou service d’avenir
  • Location de véhicules et radio : pas de droit d’auteur
  • Liberté d’expression d’un salarié dans un cadre professionnel
  • Les obligations fiscales des plateformes en ligne
  • Déconfinement et responsabilité de l’employeur
  • Legal 500 IT & Internet 2020 : Alain Bensoussan à l’honneur
  • Communes : Covid-19 et registres nominatifs d’alerte
  • Les risques liés à la digitalisation forcée par le Covid-19

De même, retrouvez les textes et jurisprudence clés sélectionnés dans la JTTIL 208 :

  • Encadrement de l’application StopCovid  ;  Assouplissement des règles de déconfinement  ;  Deuxième tour des élections ; Drones ; Redevance pour copie privée ; Hadopi ; Système d’information de traçage du Covid-19, etc.

Enfin, signalons également la parution de :

JurisTendances Télécoms Informatique & Libertés (JTTIL 208), Juin 2020.




La réforme sur la TVA sur le commerce électronique reportée ?

TVA sur le commerce électroniqueIl est question de reporter de 6 mois l’entrée en vigueur du paquet TVA sur le commerce électronique pour tenir compte des difficultés auxquelles les entreprises et les Étatsmembres sont actuellement confrontés du fait de la crise du coronavirus.

Ces règles s’appliqueront à compter du 1er juillet 2021 au lieu du 1er janvier 2021, ce qui donnera aux États membres et aux entreprises plus de temps pour se préparer aux nouvelles règles de TVA sur le commerce électronique.

Pour rappel, le paquet TVA sur le commerce électronique aura pour effet de faciliter les échanges transfrontaliers, de lutter contre la fraude à la TVA et de garantir une concurrence loyale pour les entreprises de l’UE.

Les entreprises qui exploitent des interfaces électroniques, telles que les places de marché ou les plateformes, seront, dans certaines situations, considérées, aux fins de la TVA, être le fournisseur de biens vendus aux clients dans l’UE par des entreprises qui utilisent le marché ou la plateforme. Par conséquent, ils devront collecter et payer la TVA sur ces ventes.

En se fondant sur l’exemple du mini-guichet unique (MOSS) pour les services de télécommunication, de radiodiffusion et de télévision ou des services électroniques (services « TBE »), ce concept sera étendu et transformé en guichet unique pour :

  • les fournitures de services B2C autres que les services de télécommunications, de radiodiffusion et de télévision et de services électroniques (services « TBE ») ;
  • les ventes à distance intracommunautaires de biens ;
  • certaines livraisons intérieures de biens facilitées par des interfaces électroniques ;
  • les ventes à distance de biens importés de pays tiers et de territoires tiers dans des envois d’une valeur intrinsèque maximale de 150 euros.

Il est à noter qu’en France, la transposition de ces dispositions sur la TVA sur le commerce électronique, qui ne modifient pas le contenu même de la réforme, a déjà été effectuée par l’article 147 de la loi de finances pour 2020.

Pierre-Yves Fagot
Lexing Droit de l’entreprise




Santé : Le droit peut-il être désactivé par l’état d’urgence ?

état d’urgence

La question de la désactivation du droit par l’état d’urgence peut sembler inattendue alors que plus de 300 textes ont à ce jour été adoptés pour y faire face.

Marguerite Brac de La Perrière, directrice du département Droit de la santé numérique du cabinet Lexing Alain Bensoussan Avocats, consacre une trilogie d’articles sur le thème de la désactivation du droit par l’état d’urgence, dans une « chronique partagée » publiée sur Village de la Justice (1).

L’état d’urgence permet de prendre des mesures exceptionnelles proportionnées aux risques. Maître Marguerite Brac de la Perrière fait le point sur les mesures de sécurité sanitaire prises dans ce contexte.

Certaines d’entre elles apparaissent très polémiques, parce qu’elles ne sont pas proportionnées aux risques mais à l’impréparation du gouvernement, ou parce qu’elles portent atteinte à des fondamentaux tels que la liberté de prescription des médecins.

D’autres sont libéralisatrices, en particulier s’agissant de la télémédecine et de la télésanté.

Enfin elle rappelle que les dispositifs et traitements de données de santé à caractère personnel mis en oeuvre doivent être appréciés en premier lieu au regard de leur pertinence scientifique, laquelle doit être avérée, puis en second lieu au regard de la proportionnalité des atteintes au secret médical et à la protection des données de santé à caractère personnel.

En effet, cristalliser le débat autour de considérations juridiques avant même d’avoir apprécié la légitimité scientifique, ou sans l’avoir démontrée, conduit à durcir les conditions de mise en oeuvre de traitements plutôt que de les écarter.

Isabelle Pottier
Avocat, Lexing Alain Bensoussan Avocats
Directeur du département Etudes et publications

(1) Lire l’article : Marguerite Brac de la Perrière, « Faisons un point en droit de la santé », Village de la Justice, 25 mai 2020.