Renégociation de l’accord « Privacy Shield » en cours

renégociation de l’accord « Privacy Shield »

La renégociation de l’accord « Privacy Shield » est en cours afin de permettre aux entreprises de transférer légalement les données  personnelles de citoyens européens aux Etats-Unis.

Le gouvernement américain annonce que le ministère du Commerce et la Commission européenne ont entamé des discussions afin d’« évaluer le potentiel d’un cadre amélioré du bouclier de protection des données UE-États-Unis pour se conformer à l’arrêt du 16 juillet de la Cour de justice de l’Union européenne dans l’affaire Schrems II », rapporte l’agence Reuters dans une dépêche du 10 août 2020.

Pour rappel, cet arrêt a déclaré que ce cadre n’était plus un mécanisme valable pour transférer des données personnelles de l’Union européenne vers les États-Unis (1).

Pour la CJUE « Les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis (…) ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité » (2).

Principalement en cause, les programmes de surveillance américains qui permettent au gouvernement d’avoir un accès très large aux données traitées par les entreprises. Selon la Cour, la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de données transférées depuis l’Union vers ce pays tiers, n’est pas compatible avec les principes du Règlement général sur la protection des données (RGPD).

Néanmoins, d’autres outils juridiques sont mobilisables pour opérer de tels transferts, par exemple :

  • les clauses contractuelles types adoptées en 2010 (3), non remises en cause par l’arrêt de la CJUE, ou encore
  • les Binding Corporate Rules (BCR) et
  • les codes de conduite internes aux entreprises.

Toutefois, le Privacy Shield n’en constitue pas moins la voie royale pour les transferts de données personnelles vers les États-Unis.

Nous reviendrons sur le nouvel accord en cours de négociation dès que les modalités en seront connues. Signalons d’ores et déjà les difficultés soulevées début septembre, par le commissaire européen à la justice, Didier Reynders. Selon ce dernier, « la nature politique de la question et le fait que les élections américaines sont imminentes » risquent en effet d’entraver les négociations entre les responsables américains et européens.

Isabelle Pottier
Lexing Département Etudes et publications

(1) Voir notre post publié le 17 juillet 2020.
(2) Communiqué de presse CJUE n° 91/20 du 16-07-2020.
(3) Décision CE 2010/87 du 5 février 2010.




Lignes directrices du CEPD sur l’application de la DSP2

DSP2Le Comité européen pour la protection des données vient de publier ses lignes directrices, adoptées le 17 juillet 2020, sur l’application de la DSP2.

La directive sur les services de paiement 2 (1), adoptée le 25 novembre 2015, a donné un statut juridique à de nouveaux acteurs apparus sur le marché des services de paiement, dont les prestataires de services d’information sur les comptes (agrégateurs de comptes) et les prestataires d’initiation de paiement.

Les premiers proposent des services offrant une vue consolidée des informations sur les comptes bancaires détenus par une personne dans plusieurs établissements, lui permettant ainsi d’avoir une appréhension globale des soldes de ses comptes et, parfois, des dernières opérations réalisées sur chacun des comptes ainsi consolidés. Ce faisant, ces acteurs peuvent proposer, s’ils sont par ailleurs prestataires de services de paiement, des services de paiement à partir – ou entre – les comptes apparaîssant dans cette vue consolidée.

Les seconds proposent des services qui permettent à leurs clients de demander la réalisation d’une opération de paiement à partir d’un compte détenu dans un établissement tiers.

Ces différentes opérations impliquent donc la collecte de données à caractère personnel, qu’il s’agisse de celles du titulaire des comptes considérés ou de celles des émetteurs ou des destinataires des opérations de paiement enregistrées ou initiées. Elles impliquent également la détention d’informations souvent sensibles, résultant des opérations réalisées, et que le prestataire de services d’information sur les comptes va collecter ou détenir : par exemple, il peut s’agir d’informations, déduites des opérations bancaires rapatriées dans la vue consolidée des comptes, et qui peuvent donner des indications, par exemple, sur l’orientation sexuelle, les opinions religieuses ou politiques du titulaire des comptes considérés.

Il est donc primordial que les données collectées et conservées par ces prestataires de services soient protégées et que leur confidentialité et leur sécurité soient garanties.

La difficulté vient de ce que la DSP2, lorsqu’elle vise les questions de protection des données à caractère personnel, ne le fait pas de manière cohérente avec les dispositions du RGPD.

Il était donc important que le CEPD se prononce sur cette question. C’est ce que ses lignes directrices (2) ont l’ambition de faire, notamment au travers de l’analyse de deux sujets fondamentaux qui sont (1) la question du consentement et (2) celle de la gestion des catégories particulières de données.

La question du consentement

Pour qu’un traitement de données à caractère personnel puisse être mis en œuvre, le RGPD prévoit qu’il doit s’appuyer sur l’un ou l’autre des six fondements légaux indiqués à son article 6. Cette liste est exhaustive.

Parmi ces six fondements, ceux qui peuvent justifier la mise en œuvre d’un traitement d’information sur les comptes ou d’initiation de paiement, figurent, d’une part, l’exécution du contrat conclu entre le prestataire de services et son client et, d’autre part, le consentement du client à ce que ses données soient utilisées.

Le fondement tiré de l’exécution du contrat ne pose pas de difficulté particulière, dans la mesure où la DSP2 prévoit que les services qu’elle encadre doivent nécessairement faire l’objet de la conclusion d’un contrat entre le prestataire et son client.

Toutefois, l’absence de difficulté est conditionnée par une réserve importante : que le traitement de données à caractère personnel dont il s’agit soit strictement nécessaire à l’exécution du contrat, la preuve de cette stricte adéquation entre le traitement opéré et le contrat reposant sur les épaules du responsable du traitement.

Vient alors la délicate question des traitements de données à caractère personnel ultérieurs, réalisés pour des finalités qui n’étaient pas prévues initialement ou qui ne ressortent pas directement de l’exécution du contrat stricto sensu.

Pour ceux-ci, le fondement légal, tiré de l’exécution du contrat, ne pourra pas être invoqué, sauf à démontrer que la nouvelle finalité est « compatible » avec la finalité initiale. Mais si tel n’est pas le cas, restera alors le fondement légal tiré du consentement de la personne concernée.

D’ailleurs, la DSP2 limite les cas de traitements ultérieurs, dans la mesure où elle indique que le prestataire ne doit pas utiliser, accéder à ou stocker des données pour d’autres finalités que celles de la fourniture des services d’initiation de paiement ou d’informations sur les comptes, tels que demandés par le client.

En conséquence, tout traitement ultérieur ne peut s’appuyer que sur une demande expresse du client, ce qui conduit au recueil, de fait, du consentement de la personne concernée à ce que ce traitement soit réalisé.

Ce consentement doit donc obéir aux principes posés par le RGPD pour sa validité. Il doit être « libre, éclairé, spécifique et non ambigu ».

La difficulté qui surgit alors est que la DSP2 vise, elle aussi, le concept de « consentement explicite », mais dans un sens très différent de celui du RGPD. Pour la DSP2, ce consentement explicite vise, en réalité, le consentement du client à contracter avec son prestataire de services ou à l’autoriser à utiliser les données qu’il collecte pour la fourniture des services contractuellement prévus, et non pas le consentement en tant que fondement légal à un traitement de données à caractère personnel.

Il vient que le prestataire de services pourra être mis dans la position de devoir recueillir – et démontrer l’expression de – deux consentements : le consentement prévu par la DSP2, qui est un consentement à contracter et à réaliser les opérations prévues au contrat et, le cas échéant, le consentement prévu par le RGPD comme fondement légal aux traitements qui seront mis en œuvre (lorsque le fondement légal de l’exécution du contrat ne sera pas approprié).

La question des catégories particulières de données

Comme indiqué plus haut, le prestataire d’information sur les comptes peut être amené à connaître de données révélatrices des habitudes de paiement et des revenus de son client.

Parmi ces informations, peuvent figurer des données qu’il peut être facile de lier à des données dont la détention est normalement interdite, comme les données sur les opinions religieuses, politiques, sur la santé, la vie sexuelle ou l’orientation sexuelle.

La DSP2 ne méconnaît pas la question des données « sensibles ». Mais il convient de relever qu’elle ne les appréhende pas dans le même sens que le RGPD. Pour la DSP2, est une donnée « sensible », une donnée qui peut être utilisée pour des usages frauduleux, les données de sécurité (mot de passe, codes secrets) étant considérées comme étant des données sensibles.

Il vient donc que le prestataire d’information sur les comptes ne devrait pas pouvoir collecter, traiter ou conserver des données considérées comme « sensibles » dans l’acception donnée à ce concept par le RGPD.

Des exceptions existent cependant à ce principe général d’interdiction, parmi lesquelles figurent, notamment, le consentement (voir ci-dessus) de la personne concernée.

A ce propos, le CEPD rappelle que l’exécution du contrat n’est pas un fondement légal qui peut être invoqué pour justifier que des traitements impliquant des données « sensibles » soient mis en œuvre. Ainsi, si la prise de connaissance d’informations, par exemple sur les opinions politiques d’une personne, peut être perçue comme étant une conséquence naturelle, voire de l’essence même d’un service d’information sur les comptes, elle ne peut être justifiée, a priori, que par le consentement de la personne (les autres hypothèses de dérogations à ce principe général d’interdiction étant peu plausibles au cas particulier de ce type de service).

En conséquence, si le consentement de la personne concernée ne peut pas être obtenu, ou est refusé par elle, le responsable du traitement devrait mettre en œuvre des mesures techniques en vue d’empêcher le traitement de ces catégories de données.

Frédéric Forster
Lexing Constructeurs informatiques et télécoms

(1) Directive (UE) 2015/2366 du 25 11 2015
2) Guideline 06/2020 of the interplay of the Second Payment Services Directive and the GDPR, Version 1.0, adopted on 17 July 2020




Les dispositifs transfrontières potentiellement agressifs

dispositifs transfrontières potentiellement agressifsAfin de renforcer la lutte contre la fraude fiscale, la directive (UE) 2018/822 du Conseil du 28 mai 2018 a modifié la directive 2011/16 en ce qui concerne l’échange automatique et obligatoire d’informations entre les autorités fiscales des Etats membres de l’UE en rapport avec les dispositifs transfrontières potentiellement agressifs et devant faire l’objet d’une déclaration.

Cette directive a été transposée en droit interne par l’ordonnance n°2019-1068 du 21 octobre 2019 et codifiée sous les articles 1649 AD à 1649 AH du Code général des impôts (CGI), ainsi qu’à l’article 1729 C ter du même code pour les sanctions applicables en cas de manquement à l’obligation déclarative.

L’administration a commenté ces nouvelles dispositions dans ses instructions publiées au BOFIP les 9 mars et 29 avril 2020. Elles doivent entrer en vigueur en droit français le 1er juillet 2020.

Cependant, en raison de l’épidémie du covid-19, la Commission a proposé, le 8 mai 2020, que, pour les dispositifs dont la première étape est mise en œuvre :

  • entre le 1er juillet 2020 et le 30 septembre 2020, le délai de 30 jours dans lequel ces dispositifs doivent être déclarés ne commence à courir qu’à compter du 1er octobre 2020 au lieu du 1er juillet 2020 ;
  • entre le 25 juin 2018 et le 30 juin 2020, les dispositifs qui auraient dû être déclarés au plus tard le 31 août 2020 puissent l’être jusqu’au 30 novembre 2020.

Tout dispositif transfrontières comportant au moins l’un des marqueurs ci-après considérés comme potentiellement agressifs doit faire l’objet d’une déclaration.

Le sens du terme « dispositif » transfrontière visé

Le terme « dispositif » doit être entendu au sens large pour recouvrir notamment tout accord, montage, entente, mécanisme, transaction ou série de transactions, qu’ils aient ou non force exécutoire.

Ce terme recouvre également la constitution, l’acquisition ou la dissolution d’une personne morale ou la souscription d’un instrument financier.

De même ce « dispositif » peut être constitué d’une ou plusieurs étapes et faire intervenir un ou plusieurs participants.

Constituent par exemple un « dispositif » les mesures visant à tenir les réunions du conseil d’administration d’une société dans un Etat différent de l’Etat de résidence de la société, afin de pouvoir faire valoir un changement de résidence sur une opération de financement ou de refinancement intra-groupe (1).

En revanche, ne constitue pas un « dispositif », le fait, pour un contribuable, d’attendre simplement l’expiration d’un délai ou d’une période légale pour réaliser une transaction en exonération d’impôt (par exemple, une société établie en France qui attend l’expiration d’une période de deux ans pour vendre une participation qu’elle détient dans une société établie en Espagne afin de bénéficier du régime d’exonération des plus-values à long terme) (2).

Il doit s’agir également d’un « dispositif transfrontière ».

Le sens du terme « dispositif transfrontière » visé

Un dispositif est réputé transfrontière, dès lors que deux conditions sont réunies :

  • le dispositif concerne la France et un autre Etat que celui-ci situé dans l’UE ou hors UE ;
  • le dispositif répond à une condition de résidence ou d’activité des participants dans deux Etats distincts :
    • la France et un autre Etat, membre ou non de l’UE.

Cette dernière condition repose sur l’Etat de résidence ou d’exercice de l’activité des « participants au dispositif » connu par l’intermédiaire ou le consultant, étant précisé que sont des participants au dispositif :

  • les intermédiaires ;
  • les contribuables concernés ;
  • les entreprises associées ;
  • toute autre personne ou entité susceptible d’être concernée par le dispositif.

Enfin, un dispositif transfrontière est déclarable lorsqu’il comporte un ou plusieurs marqueurs prévus à l’article 1649 AH du CGI.

La définition des marqueurs

Un marqueur, au sens de ces nouvelles dispositions s’entend comme une caractéristique ou une particularité d’un dispositif transfrontière qui indique un risque potentiel d’évasion fiscale (3).

Pour certains marqueurs, l’obligation de déclaration du dispositif n’exige pas la recherche d’un avantage principal entendu comme un avantage fiscal.

Pour d’autres, en revanche, la recherche d’un avantage fiscal est exigée pour que le dispositif transfrontière soit déclarable, ce qui sera le cas lorsque celui-ci permet notamment d’obtenir un remboursement d’impôt, un allègement ou une diminution d’impôt, une réduction de dette fiscale, un report d’imposition ou une absence d’imposition.

Au sujet de ces derniers marqueurs, pour lesquels un avantage fiscal est exigé, il en est ainsi d’un dispositif transfrontière présentant l’une des caractéristiques suivantes (4) :

  • le contribuable concerné ou un participant au dispositif s’engage à respecter une clause de confidentialité selon laquelle il peut lui être demandé de ne pas divulguer à d’autres intermédiaires ou aux autorités fiscales la manière dont le dispositif pourrait procurer un avantage fiscal ;
  • l’intermédiaire est en droit de percevoir des honoraires, intérêts ou rémunération pour financer les coûts et autres frais, pour le dispositif et ces honoraires, intérêts ou rémunération sont fixés par référence :
    • au montant de l’avantage fiscal découlant du dispositif ; ou
    • au fait qu’un avantage fiscal découle effectivement du dispositif (5) ;
  • le dispositif dont la documentation et/ou la structure sont en grande partie normalisées et qui est à la disposition de plus d’un contribuable concerné sans avoir besoin d’être adapté de façon importante pour être mis en œuvre.

Cependant, l’administration précise, dans sa documentation, que lorsque l’avantage principal obtenu en France au moyen du dispositif transfrontière résulte de l’utilisation d’un dispositif d’incitation fiscale conforme à l’intention du législateur français, cet avantage principal n’est a priori pas considéré comme un avantage fiscal principal, sous réserve du respect de l’intention du législateur (6).

Les personnes à qui incombe l’obligation déclarative sont :

  • les intermédiaires ;
  • les contribuables concernés.

Intermédiaires tenus d’effectuer la déclaration

Un intermédiaire qui doit souscrire cette déclaration en France est :

  • toute personne professionnelle ou non,
  • rémunérée ou non,

qui répond à l’une des deux catégories visées ci-après et qui dispose d’un lien territorial avec la France.

Les deux catégories d’intermédiaires concernés par cette obligation sont :

  • l’intermédiaire concepteur, c’est-à-dire celui qui conçoit, commercialise ou organise un dispositif transfrontière devant faire l’objet d’une déclaration, le met à disposition aux fins de sa mise en œuvre ou en gère la mise en œuvre ;
  • l’intermédiaire prestataire de services c’est-à-dire toute personne qui, compte tenu des faits et circonstances et sur la base des informations disponibles, ainsi que de l’expertise en la matière et de la compréhension nécessaires pour fournir de tels services, sait ou pourrait raisonnablement être censée savoir qu’elle s’est engagée à fournir, directement ou par l’intermédiaire d’autres personnes, une aide, une assistance ou des conseils concernant notamment la conception, la commercialisation ou l’organisation d’un dispositif transfrontière déclarable ou la gestion de sa mise en œuvre.

Pour être tenu à cette déclaration en France, l’intermédiaire doit, en outre, disposer d’un lien territorial avec la France ; ce qui sera le cas si cet intermédiaire satisfait à l’une des conditions ci-après :

  • être fiscalement domicilié, résident ou à son siège en France ;
  • posséder en France un établissement stable qui fournit les services concernant le dispositif transfrontière déclarable ;
  • être constitué en France ou est régi par le droit français ;
  • être enregistré en France auprès d’un ordre ou d’une association professionnelle en rapport avec des services juridiques, fiscaux ou de conseil ou il bénéficie d’une autorisation d’exercer en France délivrée par cet ordre ou association.

Cependant, cet intermédiaire est dispensé de cette déclaration dans deux situations :

  • la déclaration de ces informations a été souscrite par un autre intermédiaire en France ou dans un autre Etat membre de l’UE ;
  • l’intermédiaire est soumis au secret professionnel et n’a pas obtenu l’accord de son client de déclarer les informations ; dans ce dernier cas, l’obligation déclarative incombe alors à tout autre intermédiaire ou, en l’absence d’autre intermédiaire, au contribuable concerné.

Contribuables tenus d’effectuer la déclaration

En outre, dans certains autres cas, l’obligation déclarative incombe au contribuable concerné.

Ainsi, un contribuable concerné est toute personne :

  • à qui un dispositif transfrontière déclarable devant faire l’objet d’une déclaration est mis à disposition pour mise en œuvre ;
  • ou qui est disposée à le mettre en œuvre ;
  • ou qui a mis en œuvre la première étape d’un tel dispositif.

Le contribuable concerné est donc l’utilisateur du dispositif ou est partie au dispositif transfrontière déclarable.

Par exemple, au sein d’un groupe de société, la société mère dont le siège est en France conçoit un dispositif transfrontière utilisé par d’autres sociétés du groupe dont le siège est dans un autre Etat membre de l’UE ou hors UE.

Dans ce cas, la société mère est un intermédiaire concepteur et les autres sociétés du groupe les contribuables concernés.

Les obligations déclaratives

Lorsqu’un dispositif transfrontière comporte un ou plusieurs marqueurs prévus à l’article 1649 AH du CGI, une déclaration de ce dispositif doit être souscrite auprès de l’administration fiscale, sous forme dématérialisée, par l’intermédiaire ayant participé à sa mise en œuvre ou par le contribuable concerné.

Déclaration par l’intermédiaire

L’intermédiaire doit souscrire cette déclaration dans un délai de trente jours à compter de la première des dates suivantes :

  • le lendemain du jour de la mise à disposition pour mise en œuvre du dispositif transfrontière devant faire l’objet d’une déclaration ;
  • le lendemain du jour où le dispositif transfrontière devant faire l’objet d’une déclaration est prêt à être mis en œuvre ;
  • le jour de la réalisation de la première étape de la mise en œuvre du dispositif transfrontière ;

L’intermédiaire doit également communiquer tous les trois mois une mise à jour des informations relatives à des dispositifs conçus, commercialisés, prêts à être mis en œuvre ou mis à disposition aux fins de mise en œuvre sans avoir besoin d’être adaptés de façon importante. Les modalités de cette mise à jour seront précisées par décret.

Déclaration par le contribuable concerné

Le contribuable concerné à qui incombe l’obligation de déclaration doit souscrire celle-ci dans un délai de trente jours à compter des mêmes dates que celles imparties à l’intermédiaire.

Chaque contribuable concerné par un dispositif transfrontière devant faire l’objet d’une déclaration déclare chaque année l’utilisation qu’il en a faite au titre de l’année précédente selon les modalités fixées par un arrêté du ministre chargé du budget.

Les sanctions

Les manquements à une obligation de déclaration ou de notification entraînent l’application d’une amende ne pouvant excéder 10 000 euros.

Le montant de l’amende ne peut excéder 5 000 euros lorsqu’il s’agit de la première infraction de l’année civile en cours et des trois années précédentes.

Le montant de l’amende appliquée à un même intermédiaire ou à un même contribuable concerné ne peut excéder 100 000 euros par année civile (7).

Pierre-Yves Fagot
Lexing Droit de l’entreprise

(1) BOI- CF-CPF-30-40-10-10 du 9 mars 2020 n°20
(2) BOI- CF-CPF-30-40-10-10 du 9 mars 2020 n°30
(3) BOI- CF-CPF-30-40-10-10 du 9 mars 2020 n°100
(4) CGI, article 1649 AH II A
(5) Cela peut inclure une obligation pour l’intermédiaire de rembourser partiellement ou entièrement les honoraires si l’avantage fiscal escompté découlant du dispositif n’a pas été complètement ou partiellement généré.
(6) BOI- CF-CPF-30-40-10-10 du 9 mars 2020 n°160
(7) CGI, art 1729 C ter




Promulgation d’une nouvelle loi sur le démarchage téléphonique

le démarchage téléphoniqueAprès de longs mois de mise au point, la nouvelle loi réglementant le démarchage téléphonique a été publiée le 25 juillet 2020.Qui n’a pas déjà reçu des appels téléphoniques lui vantant tel ou tel produit ou service, émanant d’un fournisseur généralement inconnu, appelant à des heures parfois indues, y compris le samedi matin, pour se voir proposer de souscrire aux services d’un opérateur de télécoms, d’acheter des bouteilles de vin, d’adhérer à une mutuelle, voire de réaliser des travaux à son domicile, le tout à des prix défiant évidemment toute concurrence ?

Qui n’a pas déjà reçu ces appels alors même que le numéro utilisé est inscrit dans la base de données Bloctel et qu’en conséquence il ou elle pensait avoir acheté la paix téléphonique ?

Il faut bien reconnaître que tous les efforts qui ont jusqu’à présent été faits par le législateur pour encadrer ces campagnes d’appels téléphoniques ont été relativement peu récompensés.

L’ouvrage a donc été mis une nouvelle fois sur le métier et, après de longs mois de mise au point, un nouveau texte a été adopté et publié le 25 juillet 2020 (1).

En substance, cette loi a pour ambition de sanctionner de manière plus sévère un certain nombre de comportements. Face aux fraudes qui ont été constatées, elle va même jusqu’à interdire purement et simplement toute opération de démarchage téléphonique pour les offres de travaux de rénovation énergétique des habitations, annoncées bien souvent comme étant réalisées pour 1 euro seulement grâce aux subventions publiques dont elles bénéficient alors, qu’en réalité, le consommateur se retrouve à devoir payer des sommes bien plus importantes lorsque la facture finale lui est présentée.

Par ailleurs, la loi a considérablement augmenté, en les multipliant par 25, le montant des sanctions qui peuvent être prononcées à l’encontre des professionnels peu scrupuleux, notamment ceux qui omettent de vérifier, avant toute campagne d’appels, que les numéros appelés ne sont pas inscrits dans la liste d’opposition Bloctel.

Ainsi, ces sanctions, administratives, pourront désormais atteindre 75 000 euros, pour les campagnes réalisées par des personnes physiques, et 375 000 euros pour celles mises en œuvre par des personnes morales.

Les périodes pendant lesquelles le démarchage téléphonique sera autorisé sont également réglementées et un décret devra fixer les jours et les tranches horaires pendant lesquelles de telles campagnes pourront avoir lieu.

Enfin le professionnel devra désormais, et dès le début de l’appel, indiquer à la personne qu’elle a la possibilité d’inscrire son numéro sur la liste d’opposition Bloctel.

Par voie de conséquence, le Code de la consommation est modifié par la loi du 24 juillet 2020, mais aussi le Code des postes et communications électroniques puisque les droits des opérateurs de communications électroniques sont corrélativement renforcés.

En effet, ces derniers vont disposer de droits de suspension des numéros utilisés par les professionnels qui ne se conformeraient pas à la loi et un mécanisme de signalement devrait être mis en place par voie d’arrêté.

L’article L.44 du CPCE est également complété de nouvelles dispositions relatives au contrôle de l’authentification de l’appelant.

Reste maintenant à espérer que ce texte atteindra son objectif, face à des pratiques qui sont souvent vécues comme étant très agressives car intrusives.

Frédéric Forster
Lexing Constructeurs informatiques et télécoms

(1) Loi n°2020-901 du 24 07 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux




Contrat MSP Managed Service Provider : fini les zones d’ombre

contrat MSPA l’occasion du webinar organisé par BeMSP pour le rendez-vous annuel French Summit, Eric Le Quellenec a précisé les enjeux du contrat de Managed Service Provider (MSP) (1).

Beaucoup d’Entreprises de Services du Numérique (ESN) doivent revoir leur modèle économique ; à la fois en raison des opportunités ouvertes par le Cloud computing mais aussi à cause de la Covid-19. Elle a eu pour effet d’accélérer la recours au télétravail et aux prestations de services informatique à distance.

Le cadre technique du contrat MSP

Défini comme une entreprise de services informatiques qui gère les systèmes informatiques de ses clients à distance, le modèle du contrat MSP se développe de manière croissante en France.

L’infogérance a pour finalité principale le maintien en condition opérationnel d’un système. A l’inverse, le MSP vise à aligner les services informatiques avec les buts et les enjeux de l’entreprise.

Le prestataire MSP met en effet en place des outils pour détecter les mises à jour à effectuer sur le parc client et assurer un service global et anticipatif. Le MSP permet au prestataire d’industrialiser ses services ou ses process (2).

Véritable partenaire de confiance du client, le prestataire MSP est proactif dans le management des parcs informatiques pour assurer un fonctionnement optimal. Il détecte ainsi les incidents et procède à leur résolution avant que ces derniers impactent le client.

Afin de limiter les coûts et améliorer son efficacité, le prestataire MSP utilise des solutions de type RMM (Remote Monitoring and Management) et PSA (Professional Service Automation). Un RMM permet en effet au MSP de gérer et dépanner à distance les postes et serveurs et ainsi gérer simultanément l’informatique de plusieurs clients. Le PSA quant à lui permet de consolider l’ensemble des fonctions métier dans un outil unique et d’assurer une fondation solide à la croissance de l’entreprise.

Le cadre économique du contrat MSP

Le MSP doit toutefois veiller à conserver une certaine spécialité et ne pas proposer l’intégralité des services susvisés (3).

Pour être efficace, le MSP doit a minima proposer les services suivants dans son catalogue :

  • monitoring de l’infrastructure et des postes clients ;
  • sauvegarde des données à distance et plans de reprise d’activité ;
  • support utilisateur ;
  • prise en charge des applications cloud ;
  • gestion de parcs.

L’organisation de visites préventives chez le client constitue un élément à part entière de la proactivité. Il en va de même du suivi du cycle de vie du matériel installé.

Le prestataire MSP doit ainsi proposer un périmètre de service défini. Il doit donc être attentif au périmètre inscrit au contrat.

En effet, la facturation du modèle MSP se fait de façon forfaitaire avec le plus souvent des échéances au mois ou au trimestre. Grâce à ce système d’abonnement, le fournisseur s’assure une fiabilité de trésorerie en ayant des revenus mensuels récurrents contrairement à la distribution et aux projets unitaires. Cela lui permet également de fidéliser la clientèle.

Le catalogue MSP vient donc enrichir l’offre des ESN.

La proportion de revenus récurrents dans le chiffre d’affaires est un ainsi un excellent indicateur du positionnement d’un MSP. On considère habituellement que le revenu récurrent doit représenter au moins 50% du chiffre d’affaires.

Le cadre légal du contrat MSP et responsabilité

Le MSP souffre de l’absence de loi encadrant le contrat. Le MSP prendra la forme d’un contrat de prestation informatique ou un contrat d’infogérance classique.

Il convient de procéder à la limitation de responsabilité du prestataire MSP car celui-ci a vocation à tout gérer pour le compte de son client. Eu égard à l’autonomie et à la proactivité du prestataire MSP, il est fortement recommandé au prestataire MSP de présenter des rapports d’activité réguliers et de se rendre chez le client.

Faute de clause de gouvernance et de reporting adapté, le client risque en effet de contester la facturation.

Toutefois, il peut arriver, comme cela est déjà le cas fréquemment actuellement, que le prestataire MSP gère de manière quasi-autonome les systèmes et/ou données qui lui sont confiées. Au sens du RGPD, la qualification de responsable du traitement lui sera cependant difficilement attribuable, la relation de sous-traitance doit ainsi être encadrée en application de l’article 28 du RGPD (4).

En application de cet article, certaines obligations doivent se retrouver dans le contrat de sous-traitance, à savoir principalement :

  • l’objet et la durée du traitement de données à caractère personnel ;
  • la nature et la finalité de ce traitement ;
  • les obligations de sécurité, d’avertissement et alerte envers le responsable du traitement.

La rédaction du contrat MSP doit être rigoureuse dans la définition des services fournis. En effet, un contrat mal rédigé pourrait engager la responsabilité du prestataire MSP sur la qualité de sauvegarde des données et sur l’exposition à des cyber-risques alors même que le MSP n’est en charge que du logiciel qui active la maintenance et non pas de la mise en sécurisation de l’ensemble du système informatique.

Le périmètre d’intervention et le degré d’autonomie du MSP dans les fonctions qui lui sont confiées détermineront l’intensité des obligations à sa charge, ayant pour corollaire l’intensité du devoir de conseil et de mise en garde auprès de son propre client (5).

Ainsi, un contrat MSP équilibré permet de satisfaire les attentes fonctionnelles du client tout en assurant un niveau élevé de sécurité juridique au profit de chacune des parties.

Eric Le Quellenec
Marine Lecomte
Lexing Informatique Conseil

(1) Replay Webinar « contrats MSP : fini les zones d’ombres », Eric Le Quellenec pour BeMSP French Summit, juillet 2020
(2) Entretien Thomas Bresse BeMSP, L’essentiel de la Distribution IT, hors-série n°20, éd. 2020, p. 22.
(3) Entretien Thomas Bresse précité, p. 23.
(4) Contrat cloud : les impacts du RGPD sur la sous-traitance, Eric Le Quellenec, Post du 30-01-2017.
(5) CA Lyon, 1-02-2018, n°16/05963 ; CA Paris, 18-10-2017, n°04/18739.




Collectivités : quelles mesures de sécurité pour son téléservice ?

téléservice En mars 2020, l’ANSSI a publié un guide intitulé « sécurité numérique des collectivités territoriales : l’essentiel de la réglementation ». Au sein de ce guide, une fiche de recommandation est consacrée au respect des règles de sécurité lors de l’ouverture d’un téléservice. L’objectif de cette fiche est d’expliciter les obligations mises à la charge des collectivités territoriales, et notamment les mairies, par le RGS dans le cadre de l’ouverture d’un téléservice. La méthodologie mise en place par le RGS s’appuie sur deux piliers : l’approche par les risques et l’amélioration continue. Elle reprend la démarche « plan/do/check/act » proposée notamment par bon nombre de normes ISO.

L’analyse de risques de sécurité

Dès le départ du projet de mise en place d’un téléservice, la collectivité territoriale concernée doit délimiter les contours de ce dernier et procéder à une analyse des risques de sécurité. Elle doit à cette occasion identifier l’écosystème dans lequel évolue le système d’information, le contexte dans lequel il s’inscrit ainsi que les menaces pesant sur la collectivité territoriale. Sur la base de ce constat, elle doit ensuite analyser la vraisemblance, les conséquences ainsi que la criticité de la survenance d’éventuels incidents de sécurité.

A partir de cette analyse, la collectivité territoriale propose un plan d’action ayant pour objet la mise en œuvre de mesures de sécurité (organisationnelles, techniques et/ou contractuelles).

Les objectifs de sécurité

A l’issue de l’analyse de risque, la collectivité territoriale définit des objectifs de sécurité qui doivent couvrir, au minimum les principaux critères de sécurité que sont la disponibilité, l’intégrité et la confidentialité.

La collectivité pourra par exemple définir une politique de sécurité du système d’information, mettre en œuvre un système de journalisation des événements et/ou mettre en place un procédé de signature électronique.

La mise en œuvre des mesures de sécurité

À l’issue de la réalisation de l’analyse de risque, la collectivité territoriale doit mettre en œuvre les mesures de sécurité adéquates pour atteindre les objectifs de sécurité définis. Il existe 4 catégories de mesures à mettre en place :

  • la gouvernance de la sécurité (mise en place d’une politique de sécurité du système d’information, mise en place de responsabilités ou de processus dans le cadre de la gestion de la sécurité…) ;
  • la protection des systèmes d’information (mise en place de mesures de sécurité préventives) ;
  • la défense des systèmes d’information (mise en place d’un processus de gestion des incidents de sécurité par exemple) ;
  • la résilience des systèmes d’information (mise en place d’un plan de continuité d’activité par exemple).

Un guide d’hygiène informatique a été publié par l’ANSSI, afin d’aider notamment les collectivités territoriales à s’assurer qu’aucune thématique liée à la sécurité n’a été omise lors de la mise en œuvre du système d’information.

L’homologation de sécurité du système d’information

Préalablement à la mise en place de tout téléservice, le RGS impose aux collectivités territoriales d’homologuer le téléservice. La décision d’homologation atteste, au nom de la collectivité territoriale, le niveau de protection du téléservice et la maîtrise des risques en termes de sécurité.

Cette décision rendue sur la base de l’analyse d’un dossier d’homologation, doit être accessible aux usagers du téléservice. La décision d’homologation est prononcée pour 5 ans maximum et doit faire l’objet d’une révision à l’expiration de cette durée. Afin d’aider les collectivités territoriales et notamment les mairies dans leur démarche d’homologation, l’ANSSI a publié un guide d’homologation en 9 étapes.

Le suivi opérationnel de la sécurité du système d’information

Enfin, la conformité au RGS impose à la collectivité de mettre en œuvre des dispositifs de surveillance et de détection ; et ce, afin de pouvoir réagir au plus tôt aux incidents de sécurité. Ces dispositifs devront s’accompagner d’audits du système d’information réalisés à intervalles réguliers ; les rapports de ces audits étant notamment des éléments composant le dossier d’homologation.

Sur la base des rapports d’audit et des cas de non-conformité relevés, la collectivité devra en identifier les causes. Elle devra aussi mettre en œuvre un plan d’actions préventives et correctives.

Téléservice et sécurité mais aussi… RGPD

Ces impératifs d’analyse de risque et de sécurité sont en parfaite adéquation avec les exigences de la réglementation applicable. Cette dernière impose de mettre en place des mesures de sécurité adaptées aux risques présentés par les traitements.

Par le biais de leurs téléservices, les collectivités territoriales collectent de nombreuses données personnelles concernant leurs usagers. Un certain nombre d’interconnexions avec d’autres applications ou services peuvent présenter des risques. Un encadrement juridique et technique est alors nécessaire.

Une analyse d’impact (nouvelle obligation issue du RGPD) peut parfois s’avérer nécessaire. Ce type d’exercice poursuit une démarche similaire de gestion des risques (pour les droits et libertés des personnes concernées).

Enfin, il convient de respecter l’ensemble des exigences de la réglementation Informatique et libertés, à savoir, les principes de :

  • finalité,
  • transparence,
  • loyauté,
  • licéité,
  • minimisation.

… sans oublier l’information des personnes concernées et les durées de conservation des données.

Anne Renard
Louis Montecot Grall
Lexing département conformité et certification




Comment travailler dans un monde post-coronavirus ? Le réseau Lexing® vous informe

post-coronavirusComment travailler dans un monde post-coronavirus ? est le thème du dernier numéro de « Lexing Insights » réalisé par les membres du réseau Lexing® (1).

La pandémie et les mesures de confinement mondial ont rendu obligatoire le recours au télétravail pendant plusieurs semaines. Par conséquent, le monde du travail post-coronavirus s’est vu contraint d’intégrer le télétravail comme nouveau mode d’organisation.

Tenue des assemblées et réunions obligatoires par vidéoconférence, réalisation de signatures électroniques, dématérialisation accélérée des infrastructures, etc. Le dogme du salariat n’apparaît plus comme une solution mais comme devant se combiner avec d’autres modes d’organisation du travail.

  • Cependant, est-il souhaitable de généraliser et de pérenniser certaines des mesures prises pendant le confinement ?
  • Quels sont les risques associés et comment s’en prémunir ?
  • Quelles mesures concrètes ont été prises au niveau mondial pour permettre aux entreprises de continuer à travailler ?
  • Plus généralement, quels enseignements tirer de cette période pour construire un avenir durable dans le monde d’après ?

Pour Emmanuel Walle :

la dimension post Covid-19 implique de valoriser les travailleurs numériques, ceux-là même expulsés du système d’avant qui décident de devenir free lance ou autoentrepreneur, en se loguant sur des plateformes d’intermédiation pour louer leurs services et ainsi tenter d’échapper au marécage économique programmé ».

Le monde post-coronavirus

L’occasion selon Emmanuel Walle :

pour les acteurs que nous sommes de s’interroger et d’accélérer le traitement juridique des mutations des formes d’emploi et de travail ».

L’interrogation est centrale en France, tant les dispositions du Code du travail et son exposition prétorienne, demeurent ignorantes du reste du monde, des nouvelles formes d’emploi où les moins de 20 ans postent leurs CV sur des plateformes de grandes écoles déterritorialisées…

A l’heure du déconfinement (et avant un éventuel rebond de l’épidémie), les membres du réseau Lexing® dressent un tableau de la situation post-coronavirus en Afrique du Sud, Australie, Belgique, France, Grèce, Maroc et Sénégal.

Isabelle Pottier
Lexing Département Etudes et publications

(1) Lettre Juristendances Internationales Informatique et Télécoms n°25, Juillet-août 2020.




Tour d’horizon du marché des noms de domaine en 2019

marché des noms de domaineDans son étude annuelle relative au marché des noms de domaine dans le monde (1), parue le 7 juillet 2020, l’Afnic (Association française pour le nommage internet en coopération) fournit aux opérateurs de précieuses informations sur les tendances actuelles en la matière.

Tendances générales

Sans surprise, le marché a poursuivi la hausse initiée en 2018, avec un total d’environ 346 millions de noms de domaine en décembre 2019, en progression de 4,7 % par rapport à 2018.

La majorité des noms de domaine sont enregistrés sous les extensions historiques, comme le « .com », qui reste l’extension la plus réservée avec 149 millions de noms de domaine enregistrés sous cette extension. Il convient toutefois de noter que la part de marché du « .com » ne progresse pas et reste à 43,1 % du marché des noms de domaine.

En deuxième position arrivent les extensions géographiques (132 millions de noms de domaine), comme le « .fr » ou le « .be », puis en troisième position, se placent les nTLD ou new (Top Level Domain) lancés en 2012 par l’ICANN et qui se subdivisent en trois catégories : les « .générique » tel que .poker., les « .marque » tel que .sncf et les « .géographique » tel que .paris.

En Amérique du Nord, le .com demeure majoritaire, tandis que les extensions géographiques sont largement majoritaires dans les autres régions. Il demeure donc difficile pour les nouvelles extensions (à l’exception notable de certains « .marque ») de se distinguer et de modifier les habitudes d’enregistrement de noms de domaine.

Focus particulier sur les nTLD

L’étude met en perspective une tendance à la stabilisation du nombre d’enregistrements de noms de domaine sous les nouvelles extensions (nTLDs) depuis 2017, mais avec des différences selon les catégories de nTLDs.

En effet, au sein des nTLDs, le nombre de noms de domaine enregistrés sous les extensions «.marque» a fait un bond remarquable en 2019, dû en majeure partie aux « .marque » dits ouverts et parmi eux en raison des 4,5 millions de noms de domaine sous le nTLD « .ICU ».

L’étude de l’Afnic distingue en effet les « .marque » dits ouverts pour lesquels le titulaire du nTLD ouvre l’enregistrement de noms de domaine à des tiers, selon les modalités qu’il définit, des « .marques » classiques ou fermés qui sont réservés au titulaire du nTLD. Cette distinction permet une analyse plus fine de ces nTLDs.

Autre élément remarquable : le taux très élevé de maintenance des noms de domaine en « .marque » (88 % pour les .marques classique).

Conclusion

Dans la mesure où l’identité numérique est aujourd’hui au cœur du questionnement des entreprises, les extensions en « .marque » sont un élément de la construction de la stratégie digitale des entreprises.

A cet égard, et pour anticiper qu’un 2e round de nTLD se profile pour 2022/2023, les entreprises pourront tenir compte de ce que, selon l’Afnic et au regard des coûts actuels d’un nTLD, « le seuil d’équilibre pour un TLD commercialisant ses noms de domaine autour de 20 $ se situe à 5 000 noms ».

Anne-Sophie Cantreau
Camille Goguet
Lexing Propriété industrielle conseil

(1) Le marché des noms de domaine dans le monde en 2019, Les études de l’Afnic, Juin 2020.




Le Privacy Shield invalidé par la Cour de justice de l’Union européenne

Privacy Shield invalidé

L’accord sur le transfert de données personnelles entre l’Union européenne et les Etats-Unis adopté en juillet 2016, vient d’être annulé par la CJUE (1).

Pour rappel, cet accord ou plutôt cette « décision d’adéquation » visait à reconnaître, aux mécanismes EU–US Privacy Shield bouclier de protection des données »), le niveau de protection essentiellement équivalent aux exigences européennes (2) ; l’idée étant de :

  • permettre aux entreprises européennes de bénéficier d’un fondement pour justifier les transferts de données vers les États-Unis,
  • sans passer par les mécanismes de clauses contractuelles types ou autres règles contraignantes d’entreprise posées par l’Union européenne à travers le RGPD pour autoriser de tels transferts.

Pour bénéficier de la décision d’adéquation, les entreprises américaines devaient donc « s’auto-certifier ». La démarche consistait à s’engager auprès du département du commerce des États-Unis, à respecter :

  • un ensemble de règles et
  • de garanties en matière de protection des données personnelles.

Le Privacy Shield vs RGPD

Le bouclier de protection des données faisait partie des différents outils permettant de transférer des données personnelles vers les États-Unis ; aux côtés des autres solutions telles que les clauses contractuelles types ou les règles d’entreprise contraignantes. 

Le Privacy Shield avait été attaqué dès son adoption, par le militant autrichien de la vie privée Max Schrems. Ce dernier avait déjà obtenu l‘annulation du « Safe Harbor » américain en 2015 (3).

La CJUE vient d’invalider l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis, « au regard des exigences découlant du RGPD, lu à la lumière des dispositions de la Charte garantissant le respect de la vie privée et familiale, la protection des données à caractère personnel et le droit à une protection juridictionnelle effective » (4).

Les « clauses contractuelles » demeurent légales en matière de transfert de données

En revanche, la Cour valide une autre décision de la Commission européenne, sur la légalité des « clauses contractuelles » en matière de transfert de données (5).

Selon la CJUE, cette décision reste valide par le seul fait que « les clauses types de protection des données qu’elle prévoit ne lient pas les autorités de ces pays tiers », en raison de leur caractère contractuel.

En revanche, précise-t-elle, cette validité dépend « du point de savoir si, conformément à l’exigence résultant de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, sous c), du RGPD, (…), une telle décision comporte des mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer ». 

La Cour constate que la décision 2010/87 met en place de tels mécanismes.

Isabelle Pottier
Lexing Département Etudes et publications

(1) CJUE affaire C‑311/18 du 16-07-2020, dit « Schrems II ».
(2) Décision d’exécution (UE) 2016/1250, du 12-07-2016.
(3) CJUE affaire C-362/14 du 06-10-2015, Schrems.
(4) Communiqué de presse CJUE n° 91/20 du 16-07-2020.
(5) Décision CE 2010/87 du 5 février 2010.




Contract Manager face à la crise sanitaire : premiers enseignements

Eric Le Quellenec

Eric Le Quellenec, a participé au colloque « Contract Manager face à la crise sanitaire : premiers enseignements » organisé par le Centre de Formation Permanente – Université Paris 2 et l’Aducma, Association du DU de Contract Management d’Assas, intervenant sur la thématique de la protection des données personnelles.

Covid-19, données personnelles et vie privée

La crise sanitaire de la Covid-19 engendre de nombreux retards ou reports dans l’exécution des projets de toute nature. Le contract manager, en lien avec le project manager, doit savoir si l’indisponibilité de collaborateurs ou d’équipes clients côté utilisateur nécessite justement de :

  • revoir le planning projet,
  • mettre en place un complément de budget ou peut-être encore
  • réorganiser le phasage de lots.

Par conséquent, ces mesures nécessitent d’avoir une vue claire sur qui est absent, indisponible et pendant combien de temps. Cela supposerait qu’il puisse y avoir nécessité au niveau des personnes clés du projet d’individualiser la gestion des équipes.

Il pourrait être tentant d’avoir une vue claire sur les arrêts maladie voire peut-être l’état de santé des personnes clés du projet en prenant leur température. Cela n’est pas possible.

Ainsi, dans des recommandations très claires, le Cnil a indiqué que malgré la Covid-19, il n’y a pas de régime d’exception sur la collecte des données de santé. Il n’est pas possible d’avoir un fichier de santé qui répertorie de telles données a fortiori sur des relevés de température.

Le contract manager doit bien faire avec les outils comme le dossier de risques, le dossier de problèmes mais aussi le suivi des actions. Par exemple, il convient de mettre en œuvre le principe de la minimisation de la collecte des données personnelles, s’en tenir à une approche chiffrée, objective qui permette de mesurer impact sur l’exécution contrat et prendre les mesures adaptées au niveau de la gestion du projet au travers d’un nouveau phasage des lots ou envisager de régulariser un avenant, lequel supposera la signature des parties.

L’action du contract manager ne doit pas se faire en violation du RGPD. La prise de mesures adaptées nécessite d’appliquer la démarche et d’utiliser les outils à sa disposition.

L’usage de la vidéoconférence par le contract manager en négociation

La vie des affaires ne s’est pas arrêtée pendant la crise de la Covid-19. Simplement, il a fallu s’adapter et de réunions que l’on privilégie en présentiel lorsque l’on parle de négociation de contrat, il a fallu se contenter de visioconférence voire de téléconférence. Les outils sont nombreux, le Contract Manager aura tendance à utiliser les outils qui sont ceux de son entreprise.

Pour des raisons de compatibilité, il a parfois été nécessaire d’utiliser des outils grands publics comme Facetime ou l’outil vidéo proposé dans Messenger. Pour des raisons de confidentialité, il est nécessaire, dans certaines négociations sensibles, de :

  • régulariser certains accords de confidentialité et
  • fixer des règles comme l’interdiction de la captation du son ou des images afin de préserver la loyauté des échanges.

Il a fallu une meilleure coordination ou discipline dans le déroulement de ces réunions ou séances de travail, tout particulièrement en phase de négociation :

  • présentation obligatoire des parties (tour de table) et
  • mise à disposition d’un ordre du jour écrit
  • suivi d’un compte-rendu avec plan d’action associé.

Sur la phase de négociation contractuelle, la plus sensible, en séance, il est assez aisé d’anticiper les réactions des uns et des autres et de s’accorder un peu de souplesse dans le déroulement des échanges et, peut-être, organiser des pauses.

En visioconférence, sur une session liée à un créneau horaire donné et fixé à l’avance, cela est plus compliqué. Il faut, pour chaque contract manager réunissant autour de lui des parties, s’assurer que chacune puisse, en temps utile :

  • s’exprimer et
  • bénéficier le moment venu d’une pause autant que nécessaire, sans perdre la session de visioconférence.

Il faut également :

  • prévoir que le micro soit en mode « muet » et
  • partager autant que de besoin son écran lorsque des clauses sensibles doivent être discutées en séance.

Une réorganisation plutôt qu’une révolution

Ces règles doivent s’appliquer lorsque l’on est sur des réunions de gestions de projet auxquelles le contract manager est associé. A cet effet, il doit également s’assurer avec les parties prenantes, que :

  • chacun ait la possibilité de s’exprimer et
  • les idées partagées au cours de cette réunion le soient d’une manière transparente, accessible et constructive.

La Covid-19 n’a pas révolutionné la manière de travailler à distance. Elle a plutôt contraint à se réorganiser et être un peu plus sensible à ces règles de travail collaboratif afin que la cible et les résultats obtenus soient atteints et partagés de tous.

Eric Le Quellenec,
Avocat au barreau de Paris
Lexing Informatique Conseil




Plateforme de partage et directive droit d’auteur

directive droit d’auteur

Une mission consacrée aux outils de reconnaissance des contenus et des œuvres sur les plateformes de partage vient d’être lancée. Elle est conjointe au Conseil supérieur de la propriété littéraire et artistique (CSPLA), à la Hadopi et au CNC.

Elle s’inscrit pleinement dans le cadre de article 17 de la directive droit d’auteur de 2019 (1) (ancien art. 13). Celui-ci prévoit la responsabilité des « fournisseurs de services de partages de contenus en ligne » en cas de diffusion d’un contenu sans autorisation de l’ayant-droit.

C’est donc sur la base d’un premier rapport conjoint des trois institutions (2), qu’un certain nombre de technologies et d’outils de reconnaissance existants ont pu être évalués.

Quels outils de reconnaissance des contenus sur les plateformes de partage ?

L’empreinte numérique (fingerprinting) est sans conteste, la solution « la plus répandue, la plus développée, la plus efficace ». L’examen de la robustesse de plusieurs algorithmes de reconnaissance permet de conclure à un niveau d’excellence ; de sorte que l’empreinte numérique est une « référence ».

Pour autant, d’autres techniques ne doivent pas être occultées, comme le souligne le rapport.

Ainsi, le hachage (hashing), le recours aux métadonnées, le tatouage numérique (watermarking) sont autant de solutions alternatives qui à défaut de rivaliser l’empreinte numérique, pourront la compléter.

Ces outils permettront aux plateformes de mettre en œuvre « leurs meilleurs efforts » pour le blocage et retrait des contenus illicites. qui conditionnent l’absence d’engagement de leur responsabilité.

Enfin l’évaluation de ces outils et les recommandations formulées dans le rapport seront indispensables pour la transition qu’appelle la Directive.

L’apport de la directive droit d’auteur

La directive droit d’auteur et droits voisins permet aux titulaires de droits et aux éditeurs de presse d’obtenir de meilleurs accords de rémunération pour l’utilisation de leurs œuvres et contenus présents sur les plateformes internet.

Pour rappel, cette directive avait fait l’objet de nombreuses controverses opposant :

  • d’un côté les artistes et les éditeurs de presse et
  • de l’autre les GAFAM (Google, Apple, Facebook, Amazon, Microsoft).

Les uns se battant pour une meilleure protection de leurs œuvres et une juste rémunération, conséquence de la diffusion de leurs créations, les autres prônant une diffusion libre sur internet et pour qui la directive serait de nature à restreindre l’accès aux savoirs.

L’adoption de cette directive le 15 avril 2019 est venue rééquilibrer le marché numérique tout en protégeant les auteurs et leurs ayants droits dont les créations sont bien souvent reproduites sans autorisation (3).

Deux points majeurs de la directive peuvent être mise en exergue :

  • Premièrement : le texte entraîne l’instauration d’un droit voisin pour les éditeurs et agences de presse leur permettant d’obtenir une contrepartie financière en cas d’utilisation de leurs contenus en ligne par une plateforme ;
  • Deuxièmement : la directive introduit un régime de responsabilité pour les plateformes de diffusion en ligne concernant la rémunération des créateurs. Par ce biais, les GAFAM sont incités à conclure des accords de licence avec les artistes et éditeurs de presse. A défaut d’accords, les plateformes d’hébergement commercial devront mettre en place un système de filtrage des publications mises en ligne et s’assurer de facto, que leurs publications ne contiennent pas des œuvres protégées.

Les suites : transposition partielle de la directive

La France a fait figure de modèle en étant le premier état membre à transposer le nouveau « droit voisin » des éditeurs et agences de presse consacrée par la directive (4).

Ainsi, depuis le 25 octobre 2019, l’ensemble des plateformes, réseaux sociaux et autres sites agrégateurs d’informations doivent obtenir une autorisation de l’éditeur ou de l’agence de presse. Elle est indispensable à  toute reproduction ou communication au public, totale ou partielle, sous une forme numérique, de publications de presse. En contrepartie, les éditeurs et agences de presse peuvent solliciter une rémunération.

Reste maintenant à la France, le devoir de terminer la transposition de la directive. Le projet de loi relatif à la communication audiovisuelle (5) devrait comprendre une proposition de transposition de l’article 17 sur la reconnaissance et le système de filtrage ainsi des articles 18 à 22 sur la juste rémunération des artistes et auteurs.

En bref, les Etats membres ont jusqu’au 7 juin 2021, au plus tard, pour transposer la directive droit d’auteur dans leur droit interne.

Marie Soulez
Lexing Propriété intellectuelle contentieux

(1) Directive (UE) 2019/790 du Parlement européen et du Conseil du 17 avril 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique et modifiant les directives 96/9/CE et 2001/29/CE.
(2) Rapport CSPLA-Hadopi-CNC : Les outils de reconnaissance faciale, 2020.
(3) Rapport sur la proposition du Parlement européen et du conseil de directive sur le droit d’auteur dans le marché unique numérique du 29 juin 2018.
(4) Loi n°2019-775 du 24 juillet 2019 tendant à créer un droit voisin au profit des agences de presse et des éditeurs de presse.
(5) Projet de loi n°2488 relatif à la communication audiovisuelle et à la souveraineté culturelle à l’ère numérique.




Covid-19 : retour sur l’interdiction par le Conseil d’Etat de la surveillance par drones

surveillance par dronesAlain Bensoussan revient, dans Planète Robots, sur l’interdiction par le Conseil d’Etat de la surveillance par drones du respect des règles sanitaires.

A l’heure du déconfinement, un constat : les technologies de surveillance ont été en première ligne pour lutter contre la pandémie. La surveillance par drones en fait a partie, non sans soulever des questions relatives à l’atteinte à certaines libertés fondamentales.

Celles-ci ont conduit le Conseil d’Etat, statuant en référé, à en suspendre l’usage à Paris, dans l’attente que le gouvernement revoie sa copie. En cause : le risque d’identification des personnes surveillées

La surveillance par drones

L’État doit « cesser, sans délai, de procéder aux mesures de surveillance par drone, du respect, à Paris, des règles de sécurité sanitaire applicables à la période de déconfinement ». C’est ce que le Conseil d’État a en effet, enjoint à l’Etat par une ordonnance du 18 mai 2020 (1).

Suite à la déclaration de l’état d’urgence, des moyens aériens de la préfecture de police avaient été engagés afin de procéder à une surveillance du respect des mesures de confinement mises en place à compter du 17 mars 2020.

Plusieurs drones de la préfecture de police avaient ainsi été utilisés pour effectuer cette mission de police administrative.

Les risques d’identification des personnes

Bien que les drones n’aient pas été utilisés pour identifier des personnes, mais uniquement pour détecter des rassemblements du public à Paris contraires aux mesures sanitaires en vigueur et pouvoir ainsi procéder à la dispersion du rassemblement ou l’évacuation des lieux, le Conseil d’Etat a estimé qu’une telle utilisation relevait d’un traitement de données à caractère personnel et devait à ce titre, respecter le cadre de la loi informatiques et libertés du 6 janvier 1978.

À l’appui de sa décision, deux constats :

  • des zooms optiques équipent les drones utilisés ;
  • les drones peuvent voler en dessous de 80 mètres, ce qui permet de collecter des données identifiantes.

Il a par conséquent ordonné à l’État de cesser sans délai la surveillance par drones, tant qu’un arrêté ou décret ministériel ne serait pas pris après avis de la Cnil, ou tant que les drones ne seraient pas dotés d’un dispositif de nature à rendre impossible l’identification des personnes filmées.

La protection des données personnelles

Les mêmes contraintes réglementaires que les systèmes de vidéosurveillance et de vidéoprotection (2) s’appliquent à l’usage des drones ; dès lors que des caméras peuvent capter, enregistrer ou transmettre des paroles ou des images de personnes sans leur consentement.

A l’heure du déconfinement, pour Alain Bensoussan, il est une évidence qu’illustre cette affaire :

Il convient plus que jamais de libérer le potentiel des technologies d’identification en prenant en compte l’essence du droit à la protection des données. A condition de mettre en place quelques garde-fous, et de garder présent à l’esprit que la protection de la vie privée s’arrête lorsque l’on est privé de vie » (3).

Isabelle Pottier
Lexing Département Etudes et publications

Alain Bensoussan pour Planète Robots, « Covid-19 : La justice suspend l’usage des drones de surveillance », n°63, Juin-Juillet-Août 2020.

(1) Conseil d’Etat, Ord. Référé du 18 mai 2020, nos 440442, 440445.
(2) A. et J. BENSOUSSAN, I.A. et droits des robots, Larcier 2e éd. 2019.
(3) A. Bensoussan, « Application StopCovid: libérons le potentiel des technologies d’identification », L’Opinion.fr du 26 avril 2020.




Parution de la lettre JTTIL 209 – Juillet-août 2020

 lettre JTTIL 209 Voici un résumé de ce qui s’est passé ces dernières semaines (à retrouver dans notre JurisTendances Télécoms Informatique & Libertés (JTTIL 209) :

  • Entrée en application du règlement attendu « Platform to Business« 
  • Une nouvelle directive européenne sur les faux avis clients
  • Le Nouveau protocole de déconfinement pour les entreprises
  • Rappels sur le dénigrement et la juridiction compétente
  • Les bouleversements de la santé numérique
  • Les lignes directrices du cloud européen Gaia-X dévoilées
  • Caméras intelligentes et caméras thermiques face au COVID-19
  • Vol des données de 9 millions de clients d’Easyjet
  • La mise en œuvre de StopCovid
  • Poursuivre le dialogue social durant l’épidémie
  • La Cnil publie son rapport annuel pour 2019
  • Abrogation partielle de la riposte graduée d’Hadopi
  • etc.

Par ailleurs, dans le dernier numéro de « Lexing Insights », les membres du réseau Lexing® dressent un tableau de la situation post-coronavirus en Afrique du Sud, Australie, Belgique, France, Grèce, Maroc et Sénégal.

 De même, retrouvez les textes et jurisprudence clés sélectionnés dans la JTTIL 209

  • La fin de l’état d’urgence sanitaire au 11 juillet ;  Free refuse de supporter le coût du blocage des sites pirates  ; Rapport Capgemini sur le rythme d’adoption de l’IA en entreprise ; Propositions de loi ; Rapport CNNum sur le travail à l’ère des plateformes ; Nouvelles modalités de chômage partiel ; Annulation partielle des lignes directrices de la Cnil relatives aux cookies, etc.

Ainsi que la vie du cabinet :

Enfin, signalons la parution de :

JurisTendances Télécoms Informatique & Libertés (JTTIL 209), Juillet-août 2020.

  • Les lettres JurisTendances Télécoms Informatique & Libertés sont mis en ligne gratuitement. Pour recevoir la lettre JTTIL et rester au cœur de l’actualité législative et jurisprudentielle des technologies : inscription en ligne.
  • Les professionnels du droit des technologies avancées Lexing Alain Bensoussan – Avocats présentent et analysent chaque mois l’actualité. N’hésitez pas à nous suivre également sur nos réseaux sociaux, notre chaîne YouTube et notre site internet.



Entrée en application du règlement attendu Platform to Business

Platform to Business

Le règlement Platform to Business (1) publié au journal officiel de l’Union européenne le 21 juillet 2019 entre en application le 12 juillet 2020.

Il vise à instaurer un environnement économique équitable et prévisible pour les entreprises et commerçants utilisant les plateformes en ligne. Il n’interviendra que dans le secteur B2B, et concernera environ 7 000 plateformes en ligne ou places de marché. Certaines règles relatives à la transparence des classements s’appliqueront également aux moteurs de recherche.

Voici un petit rappel des principaux objectifs poursuivis par ce règlement.

Le règlement Platform to Business interdit certaines pratiques déloyales

A compter de juillet 2020, les plateformes en ligne ne pourront plus suspendre ou fermer des comptes de vendeurs sans motiver de façon claire leur décision et/ou sans offrir de possibilité de recours effectif. En cas de suspension ou de clôture du compte intervenue par erreur, la plateforme devra rétablir le compte du vendeur.

Le règlement Platform to Business demande également aux plateformes en ligne de rendre plus accessibles, plus claires et plus compréhensibles leurs conditions générales. Toute modification de celles-ci devra être notifiée au moins 15 jours à l’avance aux entreprises concernées. Si ces modifications nécessitent des adaptations complexes, un délai plus long sera alors envisagé.

L’amélioration de la transparence des pratiques commerciales

Le règlement Platform to Business impose aux places de marché et moteurs de recherche d’indiquer les principaux paramètres utilisés pour le référencement des biens et services, afin de permettre aux vendeurs de développer une position compétitive et pertinente au regard des attentes des consommateurs.

En outre, les Platform to Business (« P2B »), agissant en qualité de vendeurs, devront communiquer tous les avantages accordés à leurs propres produits.

Enfin, les plateformes en ligne devront indiquer les données qu’elles collectent ainsi que l’utilisation faite, notamment en cas de communication à des partenaires commerciaux.

L’instauration de nouvelles possibilités de règlement des litiges et des plaintes

Le règlement Platform to Business met en place un système interne de traitement des réclamations, sauf pour les plateformes en ligne de petite taille.

Des médiateurs spécialisés interviendront afin de réduire le coût des litiges et d’accélérer leur règlement.

En outre, les Etats membres ont la possibilité de désigner des autorités publiques nationales dotées de pouvoirs répressifs.

Enfin, les associations professionnelles peuvent exercer une action de groupe afin de faire cesser les manquements constatés.

Alexandra Massaux
Lexing Technologies émergentes contentieux
Cyrielle Girard-Berthet
Auditrice de justice de la promotion 2020
École Nationale de la Magistrature

(1) Règlement 2019/1150 du 20 juin 2019 promouvant l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne




Une nouvelle directive européenne sur les faux avis clients

faux avis clientsSi la France fut un élément moteur en matière de lutte contre les faux avis clients, la voici désormais suivie par l’Union européenne.

La directive européenne  pour le renforcement de la protection des consommateurs du 27 novembre 2019 (1) a ainsi pour vocation de renforcer la protection des consommateurs européens en assurant davantage de transparence dans les transactions en ligne.

Dans cette optique, cette nouvelle directive vient compléter le dispositif relatif aux faux avis clients. Ses rédacteurs sont partis du postulat selon lequel les consommateurs se basent de plus en plus sur les avis et recommandations publiés par d’autres clients avant d’arrêter leur choix (2). Il apparaît donc primordial que les professionnels garantissent l’authenticité et la fiabilité de ces avis.

Le rôle précurseur de la France en matière de norme relative à la lutte contre les faux avis clients

La France fut l’un des premiers Etats européens à mettre en place un dispositif de lutte contre le phénomène. En effet, dès juillet 2013, elle a instauré la norme AFNOR devenue « NF ISO 20488 » en septembre 2018.

Cette norme permet aux professionnels d’exposer sur leur site marchand leurs bonnes pratiques en matière de publications d’avis clients. Elle impose à ce titre des exigences en termes de collecte et de modération de ces avis. Il s’agit d’interdire aux professionnels d’acheter des avis, ou de s’engager à publier tous les avis, y compris ceux négatifs.

Les dispositions du code de la consommation

Le code de la consommation contient un certain nombre de dispositions visant à interdire les pratiques commerciales trompeuses ou déloyales. A ce titre, la loi pour une République numérique du 7 octobre 2016 a introduit des obligations générales d’informations pré contractuelles.

Cette loi a notamment inséré dans le code de la consommation un article L.111-7-2. Il impose aux personnes dont l’activité consiste, à titre principal ou accessoire, à collecter/modérer/diffuser des avis en ligne, de délivrer aux utilisateurs une information loyale, claire et transparente sur les modalités de publication et de traitement desdits avis. Ces personnes doivent également préciser si les avis font ou non l’objet d’un contrôle. Leurs sites marchands doivent en outre permettre un signalement par les consommateurs de tout avis dont l’authenticité leur paraît douteuse. Le non-respect de ces obligations est sanctionné par une peine d’amende, voire par le retrait de l’avis litigieux et le paiement de dommages-intérêts.

Les apports de la nouvelle directive européenne sur le renforcement de la protection des consommateurs face aux faux avis client

Les rédacteurs de la directive ont bien perçu la dimension européenne du problème lié aux faux avis clients (3). Dès lors, principe de subsidiarité oblige (4), l’Union européenne paraît la mieux placée pour se saisir de la question.  L’Europe doit tendre vers une meilleure application ainsi qu’une modernisation du droit en matière de protection des consommateurs.

Eu égard au rôle cardinal des avis clients dans la prise de décision des consommateurs, la directive imposent aux professionnels :

  • d’indiquer l’existence ou non de processus permettant de garantir l’authenticité des avis publics ;
  • si ces processus existent, de préciser la manière dont les informations sont contrôlées (5) ;
  • de fournir des informations claires sur la manière dont les avis sont traités ;

En outre, la directive érige en « pratique commerciale déloyale » le fait de tromper les consommateurs en indiquant que les avis ont été soumis par des consommateurs ayant effectivement utilisé le produit, alors qu’aucune mesure raisonnable et proportionnée ne permet de le démontrer (6).

Enfin, elle interdit aux professionnels de publier de faux avis clients, qu’ils proviennent des vendeurs eux-mêmes ou de tiers incités par eux. En outre, la directive prohibe toute manipulation des avis clients ; c’est le cas lorsque les avis négatifs sont occultés (7).

Alexandra Massaux
Lexing Technologies émergentes contentieux
Cyrielle Girard-Berthet
Auditrice de justice de la promotion 2020
École Nationale de la Magistrature

(1) Directive (UE) 2019/2161 du 27 novembre 2019 (…) en ce qui concerne une meilleure application et une modernisation des règles de l’Union en matière de protection des consommateurs, modifiant la Directive 2005/29/CE du 11 mai 2005 relative aux pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs dans le marché intérieur («directive sur les pratiques commerciales déloyales») .
(2) Considérant n°47 de la directive (UE) 2019/2161.
(3) Considérant n°60 de la directive (UE) 2019/2161.
(4) Article 5 TUE
(5) Article 3 de la directive portant modification de l’article 7 de la directive 2005/29/CE – ajout au c) un paragraphe 6
(6) Article 3 de la directive portant modification de l’annexe 1 de la directive 2005/29/CE – art. 26 ter
(7) Idem, art. 26 quater




Nouveau protocole de déconfinement pour les entreprises

protocole de déconfinement Le Ministère du Travail vient de publier un nouveau protocole de déconfinement en entreprise, se substituant à celui qui avait été publié le 3 mai 2020.

Assouplissement des règles précédemment édictées

Le nouveau protocole de déconfinement à destination des entreprises publié le 24 juin 2020 vient se substituer au protocole du 3 mai. Il remplace également les 90 guides métiers élaborés par le Ministère du Travail en partenariat avec les autorités sanitaires, les branches professionnelles et les partenaires sociaux. Ces textes n’ont plus de valeur normative. Ils seront prochainement remplacés par une FAQ répondant aux questions concrètes des entreprises.

Un protocole de déconfinement prenant en compte l’évolution de la situation sanitaire

Le protocole de déconfinement du 24 juin 2020 vient assouplir les règles et recommandations édictées par le Ministère du Travail à destination des entreprises. Il vise à faciliter la reprise ou la poursuite de l’activité dans le contexte du déconfinement. Enfin, il prendre en compte les évolutions de la situation sanitaires observées durant les dernières semaines.

Cet assouplissement ne signifie pas que les risques liés à l’épidémie de Covid-19 ont disparus. Il appartient en effet à chacun de rester vigilant. Néanmoins, la situation sanitaire s’améliore significativement pour le moment. Il appartenait au Ministère du travail de donner un cadre plus souple aux entreprises afin de les accompagner et de les encourager à reprendre ou poursuivre leur activité dans des conditions moins contraignantes.

Les mesures phares à retenir

Le nouveau protocole de déconfinement permet un retour à la normalité de l’activité économique. Il maintient la mise en garde des entreprises en leur imposant les recommandations et obligations suivantes :

  • Maintien du respect des gestes barrière sur les lieux de travail avec certains allègements :
    • La distance d’au moins un mètre entre les personnes reste la même mais le respect des 4 m² entre chaque personne est passé au rang d’outil proposé à titre indicatif ;
    • Dans le cas où le respect de la distance d’un mètre entre chacun ne peut être assuré de manière efficiente, le port du masque reste obligatoire ;
  • Le télétravail n’est plus la norme mais reste un outil à privilégier. Il peut également être utilisé comme solution pour un retour progressif ou alterné à l’activité présentielle habituelle lorsqu’il est possible ;
  • Les personnes à risques doivent pouvoir continuer à télétravailler ou bénéficier de mesures adaptées de protection renforcée ;
  • Protocole de prise en charge d’une personne déclarant les symptômes et des personnes entrées en contact avec elle.

Enfin, il comporte également des annexes sur :

  • les « bonnes pratiques à promouvoir dans la gestion des flux de personnes » ;
  • les recommandations en matière de « nettoyage/désinfection des surfaces et aération des locaux » et de port des « masques ».

Emmanuel Walle
Elena Blot
Lexing Droit social numérique




Rappels sur le dénigrement et la juridiction exclusivement compétente

TripAdvisor dénigrement

Dans un jugement du 27 avril 2020 (1),  le Tribunal de commerce de Paris a rappelé le champ d’application du dénigrement ainsi que le tribunal compétent pour connaître de ce litige (2).

En l’espèce, une société prestataire de services reprochait à TripAdvisor un détournement de clientèle. La société aurait constaté, sur le forum du site internet de TripAdvisor, une discussion renvoyant à son activité ; laquelle comportait des commentaires négatifs à son encontre. La société, estimant que ces propos étaient dégradants, a demandé à TripAdvisor leur retrait. Or, TripAdvisor a refusé de faire droit à cette demande. Il affirmait ne pas être l’auteur des propos litigieux et se réfugiant derrière la liberté de la presse. La société a alors assigné TripAdvisor en justice pour obtenir la suppression des commentaires litigieux.

La qualification des propos publiés sur le forum du site internet de TripAdvisor

Le Tribunal de commerce de Paris a profité du débat sur la qualification de propos publiés sur le forum du site internet de TripAdvisor pour réaffirmer le critère de distinction entre la diffamation et le dénigrement.

En l’espèce, les magistrats ont estimé que « relève du régime juridique du dénigrement les propos incriminés publiés sur le site de la société TripAdvisor LLC, en ce qu’ils critiquent un produit (…) de la société V. (…) et la qualité des prestations fournies par celle-ci, mais ne portent pas sur le comportement de la société V., personne morale parfaitement identifiée, jamais mentionnée ».

Dès lors, on comprend que le critère de distinction entre la diffamation et le dénigrement tient à l’objet des critiques. Si la personne morale est directement visée par les propos litigieux, alors il s’agit de diffamation. En revanche, si ce sont ses produits ou prestations, et non la personne morale, alors il s’agit de dénigrement.

En l’occurrence, les juges ont relevé que les propos litigieux ciblaient directement les produits et les prestations du concurrent. Ils en ont alors tiré la conclusion que la qualification de dénigrement s’imposait.

La compétence exclusive du tribunal de commerce en matière de dénigrement

Le Tribunal de commerce de Paris rappelle par la même occasion que la juridiction compétente découle entièrement de la qualification retenue.

En effet, TripAdvisor a soulevé une exception d’incompétence. La défense soutenait que les propos litigieux publiés sur le forum du site internet de TripAdvisor relevaient de la qualification de diffamation, de sorte que devait être déclaré compétent le Tribunal judiciaire de Paris.

Les magistrats ont débouté TripAdvisor en retenant la qualification de dénigrement, en réaffirmant que le Tribunal de commerce a une compétence exclusive pour connaître des litiges engagés du chef de dénigrement.

Ce jugement rappelle donc clairement que la juridiction compétente en matière de dénigrement ou diffamation dépend uniquement de la qualification retenue. Cette juridiction détient alors une compétence exclusive pour connaitre de ce chef d’infraction. En l’occurrence, le dénigrement entraîne systématiquement, et de manière exclusive, la compétence du Tribunal de commerce.

Alexandra Massaux
Lexing Technologies émergentes contentieux
Cyrielle Girard-Berthet
Auditrice de justice de la promotion 2020
École Nationale de la Magistrature

(1) Tribunal de Commerce de Paris du 27 avril 2020, 15ème ch.
(2) Article « Dénigrement : le TC de Paris rejette l’exception d’incompétence invoquée par TripAdvisor », Legalis.net 12-05-2020.




Les bouleversements de la santé numérique

la santé numériqueMarguerite Brac de la Perrière répond aux questions de DII sur les bouleversements de la santé numérique : nouveaux besoins, nouveaux usages, nouvelles synergies… Que change la crise du Covid-19 à l’écosystème de la santé numérique ?

A cette occasion, elle rappelle les conditions de développement depuis 2009 des actes de télémédecine que sont la téléconsultation, la téléexpertise, la télésurveillance, la téléassistance et la régulation médicale.

Citant Jean Monnet :

Les hommes n’acceptent le changement que dans la nécessité et ne voient la nécessité que dans la crise »,

Marguerite Brac de La Perrière explique comment la crise liée au Covid-19 a bouleversé la santé numérique, secteur déjà en forte croissance depuis une dizaine d’années, avec notamment, le développement des trois premiers actes (téléconsultation, téléexpertise, télésurveillance).

En effet, avant la crise, le recours à la télémédecine restait assez limité et concernait surtout les territoires en pénurie de médecins ou les personnes atteintes de maladies chroniques. Avec la crise, les usages se sont massivement développés pour répondre à un enjeu de santé publique, au moyen d’assouplissements substantiels et successifs des conditions réglementaires de prise en charge et de réalisation.

Ainsi, l’augmentation du nombre de téléconsultations est considérable. On a compté jusqu’à un million de téléconsultations hebdomadaires remboursées, alors que l’on en a décompté 75 000 sur 2019.

Cette interview parait en avant première de la conférence E-Santé à l’ère de l’IA, organisée le 30 septembre 2020. Lire l’intégralité de l’interview

La santé numérique

La santé numérique à l’ère de l’IA

Plus généralement, le Covid-19 joue un rôle crucial dans l’accélération des usages digitaux en santé.

L’IA, la réalité virtuelle, les objets connectés connaissent un déploiement massif. Cela permet aux chercheurs et praticiens d’améliorer les conditions de prise en charge des patients. Ils bénéficient de nombreuses données et indicateurs, d’aide au diagnostic et à la thérapeutique, et d’outils de suivi des patients.

Par ailleurs, le secteur est en pleine transformation numérique. En effet, le gouvernement a fait de la numérisation de la santé l’une de ses priorités (plan « Ma Santé 2022 »). La crise sanitaire mondiale rebat les cartes du jeu. La clarification de la réglementation offre aux acteurs du secteur l’opportunité de prendre une place dans un marché en croissance.

Isabelle Pottier
Lexing Département Etudes et publications




Gaia-X : les lignes directrices du cloud souverain européen dévoilées

Gaia-X

Les lignes directrices du cloud européen Gaia-X sont désormais connues. Le 4 juin dernier, le Ministre de l’Economie, Bruno Le Maire et son homologue allemand, Peter Altmaier ont officialisé le lancement du cloud européen, Gaia-X (1). Ainsi, face à la domination des géants américains et chinois, ce projet commun à la France et à l’Allemagne vise à affirmer la souveraineté numérique européenne (2).

Il s’agit en effet pour les dirigeants européens d’enrayer la dépendance des utilisateurs aux hébergeurs américains et chinois, dans un contexte où le Cloud Act, une loi fédérale américaine, permet de contraindre les fournisseurs américains de services à divulguer les données sur toute personne de nationalité américaine impliquées dans une procédure judiciaire, stockées sur des serveurs, qu’ils soient situés aux États-Unis ou dans des pays étrangers (3).

C’est pourquoi, après l’échec de la création d’un cloud souverain français, le projet européen de souveraineté numérique suscite l’attention.

L’échec d’un cloud souverain français

Le 31 janvier dernier, Orange procédait à la fermeture de Cloudwatt, symbole de l’échec de la création d’un service d’hébergement des données sensibles en France.

Lancé en 2009, le projet du cloud souverain français, alors baptisé « Andromède », devait aboutir à la construction d’un grand centre d’hébergement de données informatiques grâce à une enveloppe étatique de 150 millions d’euros.

Faute d’entente entre les opérateurs et contrairement au projet initial de financement d’un projet unique, deux projets concurrents furent financés à hauteur de 75 millions d’euros : Cloudwatt et Numergy.

Cloudwatt, créé en 2012 par Orange et Thalès et Numergy alors porté par SFR devaient tous deux proposer aux administrations et aux entreprises une offre nationale d’hébergement sécurisé de données. Malheureusement, le projet du cloud souverain français n’a pu aboutir.

Plusieurs facteurs ont contribué à cet échec. Tout d’abord, les besoins étaient très différents entre les deux institutions. Par ailleurs, la certification des applications engendra des coûts très importants, ralentissant ainsi le développement de ces deux entités. Faute d’offre française, les utilisateurs se sont tournés vers les GAFAM.

Enfin, face à l’échec du cloud souverain français, le projet franco-allemand d’infrastructure de données est très attendu.

Annoncée en 2019 lors du Sommet numérique, le projet européen répond à trois principaux objectifs :

  • concrétiser la conception technique et économique des infrastructures
  • créer un écosystème commun d’utilisateurs et de prestataires issus d’organisations de l’administration publique, de la santé publique, des entreprises et des institutions scientifiques
  • créer un cadre favorable et des structures de soutien

La création d’un cloud souverain européen

Empruntant son nom à la déesse grecque de la Terre, Gaia-X a vocation à devenir une plateforme d’offre multi-services, multi-prestataires de stockage des données.

Conçue comme un moteur de recherche amélioré, Gaia-X se présente comme un « méta cloud » en ce qu’il fixe un référentiel technique commun à tous les adhérents à la fondation, structure juridique qui le porte et qu’il permet à tout utilisateur en fonction de sa « cloud strategy » de sélectionner la configuration la mieux adaptée. Cette plateforme offrira à terme un catalogue de services numériques porté par des hébergeurs et des éditeurs de logiciels, préalablement engagés autour de standards visant à renforcer la confiance des utilisateurs (1).

Ainsi, le projet européen n’a pas vocation à directement concurrencer les géants américains, chinois ou indiens. Il s’agit davantage de rassembler les acteurs européens existants autour de standards et d’attributs communs.

Gaia-X fonctionnera autour de trois principes :

  • Interopérabilité : il s’agit de la réversibilité des données. Les utilisateurs pourront récupérer leurs données hébergées chez un fournisseur pour les transférer chez un autre fournisseur ; et ce, grâce à des API aisément configurables ;
  • Transparence : les entreprises devront indiquer le lieu de stockage données et d’implantation des data centers ;
  • Confiance : chaque membre de la fondation faire certifier tout ou partie des services proposés.

Seules les offres répondant aux normes de sécurité, d’intégrité et de protection des données du projet y seront alors proposées.

Les promesses de Gaia-X face au Cloud Act

Trois géants américains Amazon dominent actuellement le marché du cloud : Google, Microsoft et le chinois Alibaba. Les entreprises européennes sont dépendantes des opérateurs étrangers. Or, l’adoption du Cloud Act « Clarifying Lawful Overseas Use of Data Act » fait craindre une ingérence numérique à l’Union européenne.

Pourtant il existe de nombreux acteurs européens sur le marché du cloud. Par exemple Outscale, filiale depuis 2017 de Dassault Systèmes a ouvert en 2018, d’un data center dédié au secteur public.

A ce jour, 22 entreprises allemandes et françaises ont accepté de prendre part au projet Gaia-X. Parmi elles, on peut citer Dassault Systèmes, Orange, Siemens, SAP, Atos, Scaleway et Robert Bosch.

En réunissant les acteurs majeurs du Cloud français et allemand, Gaia-X va donc permettre une meilleure visibilité des offres européennes. L’écosystème de cloud européen offrira alors aux entreprises européennes une alternative de confiance aux opérateurs dominants du marché.

Toutefois, Gaia-X ne ferme pas la porte aux acteurs non européens qui respecteraient les normes de confidentialité les plus strictes. On pense notamment à Microsoft et son offre cloud, Azure Stack.

Très attendus, les premiers services de Gaia-X devraient être proposés d’ici à 2021.

Plus que l’adoption d’un cloud act européen (4), Gaia-X est la réponse à la fois technique, commerciale et juridique au cloud act américain. La méthode Monnet-Schuman dite des « petits-pas » reposant sur la réalisation de projets concrets devrait, une fois encore, faire ses preuves dans la construction d’une souveraineté numérique européenne.

Eric Le Quellenec
Marine Lecomte
Lexing Informatique Conseil

(1) Communiqué conjoint, « Sous l’impulsion de l’Allemagne et la France, l’Europe fait un premier pas vers une infrastructure de données », 4 juin 2020.
(2) Manifeste franco-allemand pour une politique industrielle européenne, 19 février 2019.
(3) US Cloud Act – Extrait du Consolidated Appropriations Act 2018 / H.R.4943 – CLOUD Act, 115th Congress (2017-2018).
(4) « Vers l’adoption prochaine d’un Cloud act européen ? », Post Eric Le Quellenec, 17 janvier 2019.




Caméras intelligentes et caméras thermiques face au COVID-19

Caméras intelligentes et caméras thermiques

Pour prévenir et évaluer le risque de contagion au COVID-19, des dispositifs de caméras intelligentes et caméras thermiques sont déployés sur la voie publique, dans et aux abords des commerces, dans les transports en commun et sur les lieux de travail.

Caméras intelligentes et caméras thermiques : les garanties à respecter

La Cnil indique qu’il s’agit en pratique « soit de l’ajout d’une couche logicielle à des systèmes de vidéoprotection préexistants, soit du déploiement de nouveaux systèmes vidéo dédiés : dispositifs de prise de température automatique ‘caméras thermiques), de détection du port de masque, de respect des mesures de distanciation sociale, etc. » (1).

La pandémie actuelle ne suspend pas les droits des personnes concernées par l’usage de caméras intelligentes et caméras thermiques.

À ce jour, aucun texte spécifique n’encadre le recours à des caméras « intelligentes » et des caméras thermiques.

Cependant, lorsque ces dispositifs collectent des données personnelles, une réglementation (RGPD et Loi du 6 janvier 1978) spécifique s’applique. Par exemple, lorsqu’une image permet d’identifier la personne concernée, le dispositif relève de cette réglementation.

Par conséquent, des garanties doivent assortir la mise en place de tels dispositifs pour respecter cette réglementation :

  • la démonstration du caractère nécessaire et proportionné ;
  • la limitation de la durée de conservation des données ;
  • l’instauration de mesures de pseudonymisation ou d’anonymisation ;
  • l’absence de suivi individuel.

La Cnil indique que « si des données sensibles sont traitées, telle que la captation d’informations personnelles de santé ou d’informations biométriques, ou si le droit d’opposition n’est pas possible (du fait, par exemple, du « balayage vidéo » de la caméra dans une rue), il est nécessaire de mettre en place un cadre légal adapté qui respecte l’article 9 et/ou l’article 23 du RGPD ».

Par ailleurs, la mise en place d’un dispositif de vidéoprotection doit respecter les dispositions du Code de la sécurité intérieure (articles L.251-1 et suivants).

Intelligents ou thermiques : ces dispositifs nécessitent une vigilance accrue

Eviter toutes dérives : sentiment de surveillance, accoutumance, banalisation de technologies intrusives.

Il est donc primordial de concilier la salubrité publique :

  • au droit à la vie privée et à la protection des données personnelles,
  • à la liberté d’aller et venir,
  • à la liberté d’expression et de réunion,
  • au droit de manifester et
  • à la liberté de conscience et d’exercice du culte.

La Cnil a déjà eu l’occasion d’appeler à la tenue d’un débat démocratique sur les nouveaux usages vidéo en septembre 2018 et plus spécifiquement concernant la reconnaissance faciale en novembre 2019.

Elle émet des réserves sur le recours aux caméras thermiques puisqu’il ne permet pas de détecter les personnes asymptomatiques. Par ailleurs, il peut être contourné par la prise de médicaments réduisant la température corporelle.

La Cnil met en garde contre les déviances du déploiement de caméras intelligentes et caméras thermiques.

Elle indique que « lorsqu’ils constituent des traitements automatisés de données personnes et relèvent à ce titre du RGPD, de tels dispositifs conduisent le plus souvent soit à traiter des données sensibles sans le consentement des intéressés (notamment la température), soit à écarter le droit d’opposition ».

En l’absence de texte juridique spécifique à l’usage de caméras intelligentes, la Cnil appelle donc les acteurs à la plus grande vigilance afin d’éviter de multiplier et de pérenniser les dispositifs de surveillance par caméras.

Emmanuel Walle
Oriane Maurice
Lexing Droit social numérique

(1) Cnil, « Caméras dites « intelligentes » et caméras thermiques : les points de vigilance de la Cnil et les règles à respecter », 17 juin 2020.




La mise en œuvre de StopCovid

mise en œuvre de StopCovidComment opérer la mise en œuvre de StopCovid ? Pour clarifier la situation, la Cnil a publié sur son site internet les réponses aux questions fréquentes (1). Le but : mieux comprendre ses avis et recommandations sur la mise en œuvre de l’application StopCovid (2),

Ainsi, au 8 juin, l’application a franchi le cap du million d’utilisateurs ; alors que le décret encadrant son déploiement n’est paru au journal officiel que le 30 mai 2020. Il a préalablement recueilli l’avis de la Cnil (3).

Le nombre d’activations de StopCovid a atteint 1,4 million en une semaine, selon les derniers chiffres du Monde provenant du cabinet de Cédric O. Cependant, c’est loin d’être suffisant. Au point qu’une campagne de communication va être lancée par le gouvernement pour relancer les téléchargements. Elle ciblera particulièrement les lieux à forte densité (transports en commun notamment).

En bref, « l’application StopCovid est une application mobile mise à disposition par le Gouvernement dans le cadre de sa stratégie globale de déconfinement progressif. Disponible sur ordiphones (smartphones), son objectif est d’alerter les utilisateurs d’un risque de contamination lorsqu’ils ont été à proximité d’un autre utilisateur ayant été diagnostiqué ou dépisté positif à la COVID-19. Il s’agit d’un dispositif de suivi de contacts (contact tracing), qui repose sur le volontariat des personnes et utilise la technologie Bluetooth ».

Depuis son lancement, le gouvernement tente de développer l’usage de StopCovid au sein des clusters ou des départements particulièrement touchés. Il a par exemple, adressé un SMS courant juin, aux abonnés de téléphonie mobile guyanais les informant de l’existence de l’application. La Guyane est, en effet, la zone de France la plus touchée par le virus.

La mise en œuvre de StopCovid en quelques questions

Thématiques abordées Réponses apportées
Volontariat

– Absence de conséquences juridiques défavorables pour les personnes ne souhaitant pas installer l’application ;

– Absence de droit spécifique accordé aux personnes ayant installé le dispositif.

Anonymat

– Absence d’anonymat au sens de la réglementation relative à la protection des données :

– Echanges d’identifiants pseudonymes (suite de chiffres uniques pour chaque terminal) entre les smartphones, caractérisés de données à caractère personnel.

Mineurs – Invitation de la Cnil à insérer une information spécifique à destination des mineurs et de leurs parents
Conservation des données

– Durée de mise en œuvre du dispositif :

– 6 mois à compter de la fin de l’état d’urgence sanitaire, puis suppression.

– Durée de conservation des historiques de proximité des personnes diagnostiquées ou testées positives, des identifiants temporaires échangés entre les applications, des horodatages :

– 15 jours, puis suppression.

Transfert des données hors UE Non
Accès aux données Sous-traitants (hébergement, maintenance du système, etc.)
Droits

– Droit de s’opposer au traitement ;

– Droit de demander l’effacement des données.

Les contrôles à venir

La Cnil a annoncé procéder désormais à une série de contrôles de l’application StopCovid, ainsi que des fichiers SI-DEP et Contact Covid, mis en œuvre par le gouvernement afin de s’assurer du bon fonctionnement de ces dispositifs.

Pour rappel, les fichiers SI-DEP et Contact Covid permettent d’identifier les personnes contaminées ou susceptibles de l’avoir été. Ainsi, elles permettent de suivre les chaînes de contamination et d’assurer la prise en charge sanitaire des personnes ; de même que leur accompagnement. Enfin, elles permettent d’assurer la surveillance épidémiologique du virus.

La Cnil a aussi annoncé que les points de contrôle seront les suivants :

  • modalités de recueil de consentement et d’information des personnes ;
  • sécurité des systèmes d’information ;
  • flux de données et destinataires ;
  • respect des droits d’accès ou d’opposition des personnes.

Enfin, en cas de manquement graves ou répétées, la Cnil pourra prononcer des mises en demeure et/ou des sanctions.

Emmanuel Walle
Lexing Département social numérique

Isabelle Pottier
Lexing Département Etudes et publications

(1) « L’application mobile StopCovid en questions », 5 juin 2020, cnil.fr
(2) Délibération 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid » ; Délibération 2020-056 du 25 mai 2020 portant avis sur un projet de décret relatif à l’application mobile dénommé « StopCovid » ;
(3) Voir Isabelle Pottier, « Parution du décret encadrant l’application StopCovid », publié le 1er juin 2019.




Poursuivre le dialogue social durant l’épidémie

dialogue social

Comment maintenir et surtout renforcer le dialogue social et les relations de travail face à la crise qui frappe durement les entreprises quelle que soit leur taille ?

Le dialogue social est en effet essentiel si l’on veut pouvoir limiter les effets à moyen terme de cette crise sur l’emploi. Il permet aux entreprises et à leurs salariés de s’adapter au mieux, de réguler des tensions liées à la crise et surtout de préparer la reprise d’activité.

Le rôle essentiel du CSE

Le Comité Social et Économique (CSE) est l’instance clé du dialogue social. Il a pour mission d’assurer une expression collective des salariés.  La situation d’état d’urgence sanitaire nécessite une adaptation des modalités de fonctionnement fixées par le Code du travail.

Par exemple, le Code du travail pose un principe de liberté de circulation des membres élus de la délégation du personnel et des représentants syndicaux du CSE dans l’entreprise (art. L. 2315-14 du Code du travail).

La Cour de cassation rappelle que toute atteinte à ce principe vaut uniquement pour des impératifs de sécurité en gardant toute proportion au but recherché (1). De même, le Conseil d’Etat juge que ces principes s’appliquent également lorsque le représentant du personnel est placé en chômage partiel, la suspension du contrat de travail n’entraînant pas la suspension du mandat (2).

Le Ministre du travail considère que « En situation d’état d’urgence sanitaire, au regard de leurs attributions en matière de santé sécurité et condition de travail, les élus du CSE, particulièrement ceux membres de la CSSCT, et les délégués syndicaux, doivent pouvoir continuer à exercer leurs missions à l’intérieur des entreprises dont l’activité n’est pas interrompue. Elles requièrent le maintien de leur liberté de circulation, reconnue d’ordre public ».

Néanmoins, la situation exceptionnelle nécessite l’adaptation des modalités de circulation. Ceci implique d’organiser les déplacements et les contacts avec les salariés, dans le respect des gestes barrières et des procédures mises en place dans l’entreprise, uniquement lorsque les moyens de communication à distance sont inopérants ou insuffisants.

Mais d’autres cas d’adaptations pourraient être cités. C’est ainsi que pour aider les DRH à faire face à cette situation, le Ministère du travail a publié un FAQ sur le dialogue social en période de Covid-19 (3).

Un FAQ pour aider au dialogue social

Le FAQ aborde le dialogue social en une dizaine de questions/réponses. Toutes portent sur les modalités de concertation des instances représentatives du personnel. Massivement expérimenté, le télétravail a en effet nécessité des adaptations :

  • Quelles sont les conditions d’exercice des mandats des représentants du personnel et des délégués syndicaux pendant l’épidémie Covid-19 ? quelles sont les conditions de leur déplacement sur les sites où sont présents les salariés ?
  • Quel est le rôle du comité social et économique (CSE) et dans quels cas dois-je l’informer/le consulter ?
  • Que change l’ordonnance n°2020-507 et le décret du 2 mai 2020 adaptant les délais de consultation et d’information du CSE ?
  • Les réunions de négociation collective peuvent-elles se tenir en vidéo-conférence ou en audioconférence pendant l’épidémie de Covid-19 ?
  • Les accords collectifs peuvent-ils être signés à l’aide d’une signature électronique ?
  • Existe-t-il d’autres modalités de signature à distance pour les accords collectifs pendant l’épidémie de Covid-19 ?
  • La notification de l’accord collectif à l’ensemble des organisations représentatives peut-elle se faire par voie électronique ?
  • Existe-t-il une procédure d’urgence pour l’adoption des accords de branche et d’entreprise ayant pour objet de faire face aux conséquences sociales, économiques et financières de l’épidémie de Covid-19 ?
  • Est-il possible de consulter les salariés à distance, pendant l’épidémie de Covid-19 ?
  • Existe-t-il une procédure adaptée pour le dépôt d’un accord de branche ?
  • Existe-t-il une procédure particulière pour le dépôt des accords d’entreprise pris pour faire face aux conséquences de l’épidémie de Covid-19 ?

Emmanuel Walle
Lexing Département social numérique

Isabelle Pottier
Lexing Département Etudes et publications

(1) Cass. soc., 26 février 2020, n°18-24758.
(2) CE 13 novembre 1987, n° 68104.
(3) Ministère du Travail, Dialogue social – Négociation collective, FAQ publié le 17 avril 20 et mise à jour le 8 juin 2020.




Abrogation partielle de la riposte graduée d’Hadopi

riposte graduée d’HadopiDans une décision portant sur une question prioritaire de constitutionnalité (QPC) rendue le 20 mai 2020 (1), le Conseil constitutionnel a abrogé partiellement le dispositif de riposte graduée d’Hadopi, la Haute autorité pour la diffusion des œuvres et la protection des droits sur internet (Hadopi).

Hadopi est une autorité publique indépendante prévue par la loi Création et Internet (2) et instaurée par décret (3). Hadopi envoie des avertissements aux internautes suspectés de pratiquer du téléchargement illégal. Après l’émission de plusieurs avertissements, le dossier peut être transmis à la justice aux fins de poursuites. Afin de découvrir l’identité de ces internautes contrevenants, Hadopi doit obtenir leur adresse IP pour pouvoir demander aux opérateurs téléphoniques d’identifier le titulaire de l’abonnement.

Le pouvoir spécial de la riposte graduée d’Hadopi

La commission de protection des droits d’Hadopi est l’organe chargé de veiller au respect de l’obligation issue de l’article L.336-3 du Code de la propriété intellectuelle. Cet article dispose que le titulaire d’un accès à des services de communication au public en ligne a l’obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation frauduleuse au détriment d’œuvres ou objets protégés par le droit d’auteur ou un droit voisin.

Pour ce faire, l’article L.331-21 du Code de la propriété intellectuelle confère à Hadopi plusieurs prérogatives. D’une part, les agents d’Hadopi peuvent obtenir des opérateurs de communication électronique la transmission des données d’identification de l’abonné dont l’accès à des services de communication au public en ligne est illégal. D’autre part, les agents d’Hadopi peuvent recevoir communication et copie de tous documents relatifs aux données de connexion détenues par les opérateurs de communication électronique.

L’abrogation partielle du dispositif de réponse graduée

Le Conseil constitutionnel, saisi d’une QPC, s’est prononcé sur la légalité du pouvoir spécial de réponse graduée d’Hadopi (4).

Il considère que la procédure permettant aux agents d’Hadopi d’obtenir « communication et copie de tous documents, quel qu’en soit le support, y compris les données de connexion détenues par les opérateurs de communication électronique » n’est pas entourée des garanties suffisantes pour assurer l’équilibre entre respect de la vie privée et sauvegarde de la propriété intellectuelle.

Les sages estiment que cette disposition offre la possibilité de collecter trop largement les données, dès lors qu’elle ne précise ni les personnes auxquelles elle est susceptible de s’appliquer, ni la nature du lien entre les données et le manquement constaté. En outre, les données concernées permettent d’obtenir de trop nombreuses et trop précises informations sur les internautes concernés ; ce qui cause nécessairement une atteinte disproportionnée à leur vie privée. Cette disposition a donc été abrogée par le Conseil constitutionnel.

En revanche, le Conseil n’a pas censuré la première partie de cette disposition, selon laquelle les agents d’Hadopi peuvent obtenir des opérateurs de communication électronique l’identité d’un internaute à partir de son adresse IP. Selon le Conseil constitutionnel, la communication de l’identité, des adresses postale et électronique ainsi que des coordonnées téléphoniques de l’internaute utilisant frauduleusement un service de communication au public en ligne visent à renforcer la lutte contre les pratiques de contrefaçon sur internet.

Dès lors, celles-ci sont nécessaires et proportionnées à l’objectif poursuivi, à savoir la sauvegarde de la propriété intellectuelle. En outre, ces mesures semblent entourées de garanties suffisantes, puisque leur mise en œuvre est confiée à des agents habilités, assermentés et soumis au secret professionnel. Le Conseil constitutionnel n’a donc pas abrogé la disposition.

Les incertitudes quant à l’avenir du pouvoir spécial de réponse graduée

Hadopi affirme que la Commission de protection des droits n’a jamais utilisé les dispositions censurées pour mettre en œuvre la réponse graduée. En effet, la collecte des données de connexion ne s’est jamais faite directement auprès des opérateurs téléphoniques.

En pratique, des ayants droits se chargent de la collecte des informations auprès de ces opérateurs ; puis les transmettent par procès-verbal à Hadopi ; à charge pour cette dernière de contacter les fournisseurs d’accès internet pour obtenir l’identité de l’internaute concerné. Ainsi, la décision du Conseil Constitutionnel ne semble pas avoir de conséquences sur l’actuelle réponse graduée d’Hadopi ; ses agents n’étant pas personnellement chargés de la mission de collecte des données.

En outre, le Conseil constitutionnel diffère l’abrogation des dispositions litigieuses au 31 décembre 2020. Ce délai pourrait laisser le temps au législateur d’adopter une nouvelle législation qui permettrait de dissiper tout risque de confusion.

L’avenir de l’Hadopi

Enfin, l’incertitude persiste sur l’avenir même d’Hadopi. En effet, le projet de loi sur la communication audiovisuelle (5) prévoit de fusionner cette Haute autorité avec le Conseil supérieur de l’audiovisuel (CSA) au sein d’une entité nouvelle. L’évolution du dispositif de riposte graduée d’Hadopi dans cette nouvelle structure pose donc question.

Marie Soulez
Lexing Département Propriété intellectuelle
Cyrielle Girard-Berthet
Auditrice de justice de la promotion 2020
ENM École nationale de la magistrature

(1) Décision du Conseil constitutionnel DC n°2020-841 QPC du 20 mai 2020
(2) Loi n° 2009-669 du 12-06-2009 favorisant la diffusion et la protection de la création sur internet.
(3) Décret n° 2009-1773 du 29-12-2009 relatif à l’organisation de la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet
(4) La Quadrature du Net est une association de défense des libertés, opposante historique d’Hadopi. Elle estime que la jurisprudence européenne qui encadre strictement la conservation des données personnelles est incompatible avec la législation française ; en particulier s’agissant du pouvoir spécial de réponse graduée d’Hadopi. Pour plus d’information, voir nos précédents articles.
(5) Projet de loi n°2488 relatif à la communication audiovisuelle et à la souveraineté culturelle à l’ère numérique




Le critère de l’usage de la marque dans la vie des affaires

Usage de la marque dans la vie des affaires

L’usage d’une marque dans la vie des affaires peut être caractérisé en l’absence d’exercice d’une activité commerciale à titre professionnel.

La décision de la CJUE du 30 avril 2020

« Une personne n’exerçant pas une activité commerciale à titre professionnel qui réceptionne, met en libre pratique dans un État membre et conserve des produits manifestement non destinés à l’usage privé, qui ont été expédiés à son adresse depuis un pays tiers et sur lesquels une marque, sans le consentement du titulaire, est apposée doit être regardée comme faisant usage de la marque dans la vie des affaires ».

Tel est le sens de la décision C-772/18 rendue par la Cour de justice de l’Union européenne le 30 avril 2020 dans le cadre d’une question préjudicielle introduite par la Cour suprême de Finlande saisie d’une affaire de contrefaçon de marque dont les faits saillants sont les suivants.

En 2011, une personne physique dénommée B dans la décision, domiciliée en Finlande reçoit, un lot de 150 roulements à billes, provenant de Chine. La marque INA protégée au nom d’une autre personne dénommée A, en Finlande, pour des « roulements », est apposée sur chacun des roulements à billes reçus par B. Après dédouanement des produits, B récupère le lot des roulements à billes dans un entrepôt douanier de l’aéroport d’Helsinki-Vantaa en Finlande et le rapporte à son domicile. Quelques semaines plus tard, il remet le lot de roulements à billes à un tiers en vue de sa réexpédition en Russie. En contrepartie de ce service, B reçoit une cartouche de cigarettes et une bouteille de cognac.

La procédure en première instance et en appel

Une procédure pénale est ouverte à l’encontre de B en Finlande par le tribunal de première instance de Helsinki. A, en qualité de titulaire de la marque INA, se joint à l’action pénale pour solliciter des dommages et intérêts (intérêts civils). Le tribunal de première instance de Helsinki relaxe B au motif qu’il ne pouvait pas qualifier l’infraction intentionnelle. Il lui interdit néanmoins de poursuivre ou réitérer de tels comportements et, le condamne à verser des dommages et intérêts à A.

B forme un recours contre cette décision devant la cour d’appel de Helsinki.

La cour d’appel considère que B n’a pas fait usage de la marque dans la vie des affaires, estimant que l’agissement de B peut être comparé à une activité d’entreposage et de transit, que B n’a pas eu pour objectif de retirer un avantage économique et que la rémunération en nature qu’il a reçue n’est pas corrélée à l’exploitation économique de la marchandise qu’il avait reçue mais est uniquement la contrepartie d’un service d’entreposage de marchandise pour le compte de tiers. La cour d’appel en conclut que la demande en réparation et indemnisation de A n’est pas fondée.

A forme un pourvoi contre cet arrêt devant la Cour suprême finlandaise qui, alors, saisit la CJUE d’une demande de décision préjudicielle au titre de l’article 267 du TFUE (Traité sur le fonctionnement de l’Union européenne) sur l’interprétation de l’article 5 de la Directive 2008/95/CE rapprochant les législations des États membres sur les marques.

L’interprétation in concreto de la notion de l’usage d’une marque dans la vie des affaires

La directive d’harmonisation 2008/95/CE (1) prévoit à son article 5 que le titulaire d’une marque peut interdire à tout tiers, en l’absence de son consentement, de faire usage dans la vie des affaires d’un signe identique ou similaire au point d’emporter un risque de confusion avec le signe de la marque, pour désigner des produits identiques ou similaires à ceux pour lesquels la marque est enregistrée.

Cet article précise que, dans de telles conditions, le titulaire d’une marque peut décider :

  • d’interdire à un tiers d’apposer le signe de sa marque sur les produits ou leurs conditionnements,
  • d’offrir les produits, de les mettre dans le commerce ou de les détenir à ces fins, ou
  • d’offrir ou de fournir des services sous le signe, ou bien encore,
  • d’importer ou d’exporter les produits sous le signe.

Une des questions essentielles soulevée par la Cour suprême finlandaise à la CJUE est de savoir si l’article 5 précité peut s’appliquer à la situation dans laquelle une personne utilise une marque exclusivement au profit d’un tiers et ce, en tenant compte de la jurisprudence de la CJUE (2).

Cette dernière prévoit que le propriétaire d’un entrepôt fiscal et douanier qui entrepose pour le compte d’un tiers des produits revêtus d’un signe identique ou similaire à une marque, ne fait pas un usage de la marque dans la vie des affaires.

L’autre question essentielle était de savoir s’il est envisageable de considérer qu’une importation de produits est caractérisée lorsqu’une personne communique son adresse à un revendeur de marchandises, réceptionne des marchandises qu’elle n’a pas commandées et n’a pas d’autre attitude active et, ce en référence à la jurisprudence de la CJUE (3).

Cette dernière prévoit que la mise dans le commerce de produits suppose leur mise en libre pratique au sens de l’article 29 du TFUE, et donc la perception de droits de douane et de taxes d’effet équivalent par l’État membre concerné.

Le dédouanement et la mise en libre pratique caractérisent l’usage d’une marque dans la vie des affaires

La CJUE répond à ces deux questions principales de manière très limpide.

La communication d’une adresse destinée à être le lieu d’expédition de produits, associée au dédouanement de produits et à la mise en libre pratique de ces produits, constituent bien une importation au sens de l’article 5 de la directive 2008/95.

En outre, l’importation et la mise en libre pratique de produits, tels que ceux visés dans l’affaire qui ne sont manifestement pas destinés à un usage privé, sont suffisants pour caractériser un usage de la marque dans la vie des affaires, sans qu’il soit utile de vérifier si, ensuite, ces produits ont été entreposés ou mis dans le commerce dans l’Union européenne ou exportés vers des pays tiers.

Elle souligne à cet égard que si l’expression « usage dans la vie des affaires » « implique que les droits exclusifs conférés par une marque ne peuvent en principe être invoqués par le titulaire de cette marque que vis-à-vis des opérateurs économiques et, en conséquence, que dans le contexte d’une activité commerciale (…) », il convient toutefois de vérifier « si les opérations effectuées dépassent, en raison de leur volume, de leur fréquence ou d’autres caractéristiques, la sphère d’une activité privée ».

En effet, dans une telle hypothèse, « celui qui les accomplit se place dans le cadre de la vie des affaires ». Au cas présent, la détention d’un lot de 150 roulements à billes qui sont utilisés dans un cadre industriel, notamment comme pièces de rechange dans les mécanismes de transmission, les générateurs, les moteurs ainsi que pour la construction de ponts et de tramways, ne peut manifestement pas s’inscrire dans le cadre d’un usage à titre privé.

Elle précise enfin qu’est sans importance la valeur de la rémunération de l’importateur en contrepartie de son service d’importateur.

En conclusion

Par cet arrêt, la Cour rappelle que la notion d’usage de la marque dans la vie des affaires permettant de caractériser et de sanctionner une contrefaçon de marque, doit toujours être appréciée au regard des circonstances de l’affaire. Elle ne peut pas être écartée au seul motif que celui qui a utilisé la marque d’un tiers est une personne physique qui a « uniquement » réceptionné, entreposé et renvoyé vers un pays tiers des produits revêtus de cette marque protégée, sans recevoir de réelle contrepartie financière.

Anne-Sophie Cantreau
Lexing Département Propriété Industrielle Conseil

(1) Depuis l’époque des faits, la directive (UE) 2015/2436 du 16 décembre 2015 a succédé à cette directive rapprochant les législations des États membres sur les marques.
(2) CJUE C-379/14 du 16 juillet 2015.
(3) CJUE C-405/03 du 18 octobre 2005.