LCEN : régime dérogatoire de responsabilité de l’hébergeur

responsabilité de l’hébergeurUn avocat a constaté que certains sites internet reprenaient ses nom et prénom et son activité pour renvoyer vers des numéros surtaxés.

Il a alors mis en demeure la société Ovexa, en sa qualité d’hébergeur de certains de ces sites internet, notamment aux visas des articles 143, 808 et 809 du Code de procédure civile, de l’article 1240 du Code civil et de l’article 6 de la LCEN, de supprimer les données le concernant, et de lui communiquer les données d’identification des auteurs des contenus en cause.

N’obtenant pas de réponse de la part de l’hébergeur, l’avocat a assigné en référé l’hébergeur en demandant au Président du Tribunal de grande instance de Paris de :

Condamner la société défenderesse à retirer l’ensemble de ses informations personnelles sur quelque site ou emplacement que ce soit, qu’elle ou ses co-intéressés hébergent ou éditent, sous astreinte de 200 euros par jour de retard à compter du huitième jour suivant la signification de la décision à intervenir,

La condamner, sous la même astreinte à communiquer les données d’identification et l’adresse IP de l’hébergeur, de l’éditeur et de l’auteur des contenus du site annuaire.laposte.fr,

La condamner, sous la même astreinte, à bloquer l’accès aux emplacements contenant les informations personnelles le concernant éditées ou hébergées,

La condamner, sous la même astreinte, à communiquer sur support durable, exploitable et fiable, l’intégralité du contenu et de la structure du site et des codes sources du site www.cherchelavocat.com,

La condamner, sous la même astreinte, à communiquer l’ensemble des données relatives à l’hébergeur du site annuaire.laposte.fr,

La condamner, sous la même astreinte, à lui verser, a titre provisionnel, la somme de 20.000 euros,

la condamner à lui verser la somme de 5.000 euros en application de l’article 700 du code de procédure civile et aux dépens ».

L’ordonnance de référé du Président du Tribunal de grande instance de Paris du 18 mai 2018

Parallèlement à cette première assignation, l’avocat avait assigné deux éditeurs de sites internet hébergés par la société Ovexa, pour obtenir des mesures similaires.

Il a demandé la jonction des instances.

Par ordonnance du 18 mai 2018 (1), le Président du Tribunal de grande instance de Paris a dit n’y avoir lieu à jonction et a statué que sur les seules demandes formulées par l’avocat à l’encontre de la société Oxeva.

Classiquement, le juge des référés, relevant la qualité d’hébergeur de la société Ovexa a rappelé que ce dernier était soumis à un régime de responsabilité dérogatoire, prévu par la LCEN et que sa responsabilité ne pouvait être engagée que si, après avoir reçu une notification conforme aux dispositions de l’article 6, I, 5° de cette loi, il n’avait pas promptement supprimé des contenus manifestement illicites. En outre, le juge des référés a rappelé que cette notification ne pouvait être efficace que si le demandeur justifiait n’avoir pu entrer en contact avec l’éditeur du contenu, ou en cas de contact avec ce dernier, n’avoir obtenu de réponse de sa part.

En l’espèce, l’avocat ne démontrait pas :

  • avoir tenté d’entrer en contact avec l’éditeur des sites internet;
  • avoir adressé à l’hébergeur une notification conforme aux conditions posées par l’article 6, I, 5° de la LCEN.

Le Président du Tribunal de grande instance de Paris a débouté l’avocat de l’ensemble de ses demandes et l’a condamné à verser la somme de 3.000 euros au défendeur, au titre de l’article 700 du Code de procédure civile.

L’avocat a relevé appel de l’ordonnance de référé.

Par arrêt du 1er mars 2019 (2), la Cour d’appel de Paris a débouté l’appelant de l’ensemble de ses demandes, confirmant ainsi l’ordonnance de référé, estimant que ni les conditions posées à l’article 809 du Code de procédure civile, ni les conditions posées par l’article 145 du Code de procédure civile n’étaient remplies en l’espèce.

L’absence de démonstration d’un trouble manifestement illicite aux termes de l’article 809 du CPC

La Cour d’appel de Paris rappelle tout d’abord que « l’article 809 du code de procédure civile prévoit que le président peut toujours même en cas de contestation sérieuse prescrire en référé les mesures conservatoires ou de remise en état qui s’imposent, soit pour prévenir un dommage imminent, soit pour faire cesser un trouble manifestement illicite ».

A cet égard, le juge rappelle que les fiches contenant les données à caractère personnel de l’appelant ont été supprimées et n’étaient plus accessibles au jour où le premier juge a statué. L’existence du trouble manifestement illicite étant de ce fait critiquable, il n’y avait plus lieu à référé.

Mais la Cour a également fait une application des dispositions des article 6, I, 2° et 6, I, 5° de la LCEN et rappelé le régime dérogatoire de responsabilité auquel sont soumis les hébergeurs : « Il résulte du dispositif mis en place que la responsabilité de l’hébergeur ne peut être engagée que lorsque plusieurs conditions cumulatives sont réunies. Le contenu litigieux doit être manifestement illicite, la personne qui souhaite faire retirer le contenu s’adresse à l’auteur ou à l’éditeur du site et sollicite en motivant sa demande de retrait. En cas d’absence de réponse positive, la personne peut s’adresser à l’hébergeur en lui notifiant les démarches accomplies, la copie du courrier adressé à l’éditeur ou à l’auteur en lui fournissant les informations prévues à l’article 6, 1, 5° de la loi LCEN ».

Constatant que le demandeur a fait assigner les sociétés éditrices des contenus postérieurement à son assignation à l’encontre de l’hébergeur et qu’il ne justifie d’aucune notification du contenu illicite conforme aux dispositions de l’article 6, I, 5° de la LCEN, la Cour en déduit que « la preuve n’est pas établie qu’au jour où le premier juge a statué il existait un trouble manifestement illicite, la condition préalable de mise en œuvre de la responsabilité civile de (…) l’hébergeur n ‘est pas remplie ».

La Cour précise également que l’hébergeur du site internet « n’étant pas responsable du traitement des données à caractère personnel, il ne lui incombe pas d‘effectuer une quelconque démarche relative à l’exploitation desdits sites internet, ou à celle des services de mise en relation, type formalités Cnil, éventuel recueil du consentement, informations relatives aux activités de commerce électronique via lesdits sites internet, de sorte que nul trouble manifestement illicite ne peut être recherché de ces chefs. La décision de première instance sera confirmée de ce chef ».

Le rejet des demandes formulées sur le fondement de l’article 145 du Code de procédure civile

L’avocat demandait également que lui soient communiqués un certain nombre d’éléments, sur le fondement de l’article 145 du Code de procédure civile, afin de lui permettre de solliciter de l’hébergeur une indemnisation du préjudice subi du fait de la publication de ces fiches contenant ses données à caractère personnel.

La Cour énonce que « l’application des dispositions de l’article 145 du code de procédure civile suppose que soit constaté qu’il existe un procès « en germe» possible, sur la base d’un fondement juridique suffisamment déterminé et dont la solution peut dépendre de la mesure d’instruction sollicitée à condition que cette mesure ne porte pas une atteinte illégitime aux droits d’autrui ».

La Cour, ayant jugé que la responsabilité de l’hébergeur ne pouvant être engagée en l’espèce, les conditions posées par l’article 6 de la LCEN n’ayant pas été respectées, en déduit logiquement qu’il ne pouvait être ordonné à son encontre des mesures visant à justifier d’un préjudice subi du fait des agissements de l’hébergeur.

En outre, elle rejette les demandes tendant à la suppression des fiches, ces dernières ayant été supprimées depuis de nombreux mois, et les demandes tendant « à obtenir sous astreinte l’ensemble des impressions écran et des modifications depuis leur création, des pages correspondantes aux deux sites litigieux, le contrat ou les contrats régularisés avec la société Adverline et l’intégralité des éventuels avenants, l’intégralité des conditions générales applicables avec la société Adverline, l’intégralité des conditions spécifiques applicables avec la société Adverline, l’intégralité des numéros de téléphone surtaxés attribués pour les fiches concernant M. X. avec le détail précis de leur date et heure depuis la création des fiches, l’intégralité du contenu et de la structure du site et des codes sources du site www.société.com sur support durable, [qui] sont à l’évidence tout à fait disproportionnées et partant ne sont pas légalement admissibles ».

Chloé Legris-Dupeux
Lexing Pénal numérique et e-réputation

(1) Ord. Réf. TGI Paris, 18-5-2018 RG n°17/58574.
(2) CA Paris, pôle 1, ch.8, 1-3-2019.




Mise en place de la certification hébergeur de données de santé

certification hébergeur de données de santéUn premier projet de décret précise les modalités de mise en place de la certification hébergeur de données de santé.

Premier projet de décret

Un premier projet de décret d’application de l’article L.1111-8 du Code de la santé publique, modifié par la loi de santé, a été notifié à la Commission européenne, conformément aux dispositions de la directive « Services de la société de l’information » n°2015-1535, pour des règles techniques restreignant la fourniture de services.

Cette notification s’accompagne d’un court texte de motivation dans lequel il est rappelé :

« Cette certification est ainsi établie en vue de garantir aux personnes physiques le respect de leur vie privée et du secret médical. Elle est de nature à diminuer le risque de violation des données à caractère personnel en renforçant les conditions de leur hébergement. »

Mise en place de la certification hébergeur de données de santé

Le projet de décret modifie les articles R.1111-1 et suivants du Code de la santé publique. Outre le passage à la certification et l’uniformisation avec la nouvelle rédaction de l’article L.1111-8 du code précité, qu’apporte le projet de décret par rapport au régime en vigueur ?

Le premier apport de l’article 3 du projet de décret, spécifique à la certification, est la mention explicite de la qualité de responsable de traitement, au sens de la loi n°78-17 du 6 janvier 1978 des personnes à l’origine de la production ou du recueil de ces données. Celui-ci a expressément la responsabilité de vérifier si l’hébergeur est bien titulaire de la certification hébergeur de données de santé. La qualité de responsable de traitement n’était auparavant précisée que dans le FAQ de l’ASIP Santé.

Les activités assurées en tout ou partie par les hébergeurs sont désormais listées :

  • la mise à disposition et le maintien en condition opérationnelle :
    • des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ;
    • de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ;
    • de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ;
    • de la plateforme d’hébergement d’applications du système d’information ;
  • l’administration et l’exploitation du système d’information contenant les données de santé ;
  • la sauvegarde des données de santé. »

Contenu du contrat d’hébergement

La liste des clauses obligatoires des contrats d’hébergement actuellement à l’article R.1111-13 du Code de la santé publique a été remaniée dans le cadre de la certification hébergeur de données de santé.

De nouvelles clauses ont été rendues obligatoires :

  • périmètre du certificat de conformité, ses dates de délivrance et de renouvellement ;
  • lieux d’hébergement ;
  • mesures mises en œuvre pour garantir le respect des droits des personnes concernées ;
  • mention du référent contractuel du client de l’hébergeur pour le traitement des incidents ayant un impact sur les données de santé hébergées ;
  • mention de l’interdiction pour l’hébergeur d’utiliser les données de santé hébergées à d’autres fins que l’exécution de l’activité d’hébergement de données de santé ;
  • engagement de l‘hébergeur de détruire les données de santé, sans en garder copie en fin de prestation.

D’autres clauses obligatoires ont été complétées ou simplifiées (les apports sont en italiques), en conformité avec les bonnes pratiques en vigueur telles qu’exigées par le Comité d’agrément jusqu’à présent :

  • description des prestations réalisées, comprenant le contenu des services et résultats attendus notamment aux fins de garantir la disponibilité, l’intégrité, la confidentialité et l’auditabilité des données hébergées ;
  • mention des indicateurs de qualité et de performance permettant la vérification du niveau de service annoncé, le niveau garanti, la périodicité de leur mesure, ainsi que l’existence ou l’absence de pénalités applicables au non-respect de ceux-ci ;
  • modalités retenues pour encadrer les accès aux données de santé à caractère personnel hébergées (simplification) ;
  • obligations de l’hébergeur à l’égard de la personne physique ou morale pour le compte de laquelle il héberge les données de santé à caractère personnel en cas de modifications ou d’évolutions techniques introduites par lui ou imposées par le cadre légal applicable ;
  • information sur les garanties et les procédures mises en place par l’hébergeur permettant de couvrir toute défaillance éventuelle de sa part ;
  • présentation des prestations à la fin de l’hébergement, notamment en cas de perte ou de retrait de certification et les modalités de mise en œuvre de la réversibilité de la prestation d’hébergement de données de santé.

La clause sur le recours à des prestataires techniques externes est inchangée :

« information sur les conditions de recours à d’éventuels prestataires techniques externes et les engagements de l’hébergeur pour que ce recours assure un niveau de protection équivalent de garantie au regard des obligations pesant sur l’hébergeur ».

La clause générale relative à la description des moyens mis en œuvre pour la fourniture des services à quant à elle été supprimée des clauses obligatoires.

Enfin, le mécanisme de report des obligations et des mentions obligatoires du contrat d’hébergement conclu par l’éditeur logiciel ou revendeur vers le contrat entre le client final et l’éditeur ou revendeur est désormais entériné dans le respect des bonnes pratiques édictées par l’ASIP Santé dans son FAQ jusqu’à présent.

Entrée en vigueur et modalités transitoires

La mise en place de la certification hébergeur de données de santé est prévue pour le 1er janvier 2018. L’ordonnance n°2017-27 du 12 janvier 2017 relative à la certification et l’article 3 du décret précité entrent donc en vigueur au 1er janvier 2018.

Les dispositions de l’article 1 et 2 du décret précité harmonisant les textes réglementaires avec la rédaction actuelle de l’article L.1111-8 du Code de la santé publique, tel que modifié par la loi de santé, entreront en vigueur le lendemain de la publication dudit décret.

Le projet de décret prévoit des dispositions transitoires :

  • le régime actuel restera applicable à tous les agréments délivrés avant le 1er janvier 2018 ou à ceux délivrés après cette date pour les demandes déposées jusqu’au 31 décembre 2017 ;
  • les agréments expirant dans le courant de l’année 2018 seront prolongés de 6 mois pour permettre à l’hébergeur d’effectuer les démarches de certification nécessaires.

Il doit être précisé que l’article R.1111-10 du Code de la santé publique est modifié pour que le silence du ministre chargé de la Santé, dans le délai de 2 mois après l’avis du comité, vaille acceptation et non plus rejet.

Marguerite Brac de La Perrière
Aude Latrive
Lexing Santé numérique




Hébergeur de données de santé un calendrier de certification

hébergeur de données de santé un calendrier Pour passer de l’agrément à la certification d’ hébergeur de données de santé un calendrier prévisionnel se met en place.

Hébergeur de données de santé Un calendrier pour la certification

En préparation depuis plusieurs années, le passage de l’agrément pour les hébergeurs de données de santé à caractère personnel vers la certification est en passe de se concrétiser.

Son principe ayant été posé par la loi de modernisation de notre système de santé n°2016-41 du 26 janvier 2016 (art 204) (1), l’ASIP Santé avait déjà publié en septembre 2016 dans le cadre d’une concertation publique un premier projet de référentiels.

Les hébergeurs agréés ou ceux souhaitant se positionner sur ce marché ont ainsi pu avoir un aperçu des futures attentes, mais également faire part de leurs réserves ou remarques à l’ASIP Santé.

Hébergeur de données de santé Un calendrier prévisionnel

L’ordonnance n°2017-27 du 12 janvier 2017 (2), en modifiant les articles L. 1111-8 et L. 1115-1 du Code de la santé publique, a précisé les modalités du passage à la certification, mais la date exacte sera arrêtée par le décret attendu pour la fin de l’année 2017, d’après l’ASIP Santé.

Les hébergeurs dont l’agrément sera en vigueur lors du passage à la certification pourront attendre le terme de leur agrément avant d’envisager l’obtention de la certification.

Ceux dont l’agrément expirera dans l’année suivant le passage à la certification disposeront d’un délai minimum, dont la durée sera indiquée dans le décret, pour se mettre en conformité, ce afin de permettre aux hébergeurs de données de santé à caractère personnel de se préparer convenablement à l’obtention de la certification. En effet, la mise en conformité des prestations d’hébergement aux normes ISO exigées nécessitera un temps non négligeable de préparation.

Hébergeur de données de santé un calendrier de mise en œuvre pour janvier 2018

L’ASIP Santé entend mettre en œuvre la certification en janvier 2018 selon son calendrier prévisionnel (3). Ainsi les agréments d’hébergement de données de santé à caractère personnel obtenus ou renouvelés durant l’année 2015 pour une durée de 3 ans expireront durant l’année 2018, soit l’année suivant le passage supposé à la certification.

Les hébergeurs de données de santé à caractère personnel devront anticiper au maximum la mise en conformité de leurs prestations d’hébergement, dans la mesure où le délai minimum qui leur sera accordé n’est pas encore connu.

Marguerite Brac de La Perrière
Aude Latrive
Lexing Santé numérique

(1) Loi 2016-41 du 26-1-2016 de modernisation de notre système de santé, art. 204.
(2) Ordonnance 2017-27 du 12-1-2017 relative à l’hébergement de données de santé à caractère personnel (JO du 13-1-2017)
(3) Hébergement des données de santé: la certification « normalement » mise en œuvre en janvier 2018 (Asip santé), TIC Santé, 14-3-2017.




Vers la fin des retransmissions sportives clandestines ?

retransmissions sportives clandestinesLe législateur s’intéresse à la promotion, l’accès et la mise à disposition de retransmissions sportives clandestines.

Un article contre les retransmissions sportives clandestines

La loi n° 2017-261 visant à préserver l’éthique du sport, à renforcer la régulation et la transparence du sport professionnel et à améliorer la compétitivité des clubs comporte un article spécifique aux retransmissions sportives clandestines (1) .

Les acteurs appelés par le législateur à lutter contre les retransmissions clandestines sont d’une part les acteurs du sport, propriétaires du droit d’exploitation des manifestations ou compétitions sportives qu’ils organisent, d’autre part les acteurs impliqués dans la diffusion des retransmissions sportives.

Sont notamment concernés les acteurs de la diffusion des retransmissions sportives sur internet tels que les éditeurs, les hébergeurs, les fournisseurs d’accès à internet et les opérateurs de plateforme en ligne, dont la définition a été introduite récemment par la loi pour une République numérique (2) .

Un article à l’efficacité limitée

L’article invite ces acteurs à conclure « un ou plusieurs accords relatifs aux mesures et bonnes pratiques qu’ils s’engagent à mettre en œuvre en vue de lutter contre la promotion, l’accès et la mise à la disposition au public en ligne, sans droit ni autorisation, de contenus audiovisuels dont les droits d’exploitation ont fait l’objet d’une cession par une fédération, une ligue professionnelle, une société sportive ou un organisateur de compétitions ou manifestations sportives ».

Il ne s’agit que d’une invitation à l’autorégulation. L’amendement porté par Monsieur Michel Savin a en effet été assoupli afin d’assurer sa compatibilité avec le droit de l’Union européenne et afin d’assurer l’instauration d’un dialogue entre les acteurs concernés (3).

Le texte à l’origine proposait la « mise en place de dispositifs techniques de reconnaissance, de filtrage, de retrait et de déréférencement rapides de tels contenus, ainsi que les mesures utiles pour empêcher l’accès à ces derniers via tout site internet qui les diffuse, les référence ou en fait la promotion ».

Par ailleurs, l’établissement de l’accord est devenu facultatif.

Lexing Alain Bensoussan Avocats
Lexing Contentieux propriété intellectuelle

(1) Loi 2017-261 du 1-3-2017 visant à préserver l’éthique du sport, à renforcer la régulation et la transparence du sport professionnel et à améliorer la compétitivité des clubs.
(2) Loi 2016-1321 du 7-10-2016 pour une République numérique.
(3) voir aussi : M. Soulez, La lutte contre les retransmissions sportives clandestines, Alain-Bensoussan.com 28-2-2017.




Diffamation publique sur un site : qui est responsable ?

Diffamation publique sur un site : qui est responsable ?

Le 24 janvier 2017, le TGI de Paris a rendu un jugement à propos d’une affaire de diffamation publique sur un site. En l’espèce, le 14 janvier 2014, une dépêche de l’Agence France Presse (AFP) est parue sur un site de rugby, accusant notamment un individu de s’être livré à des opérations de blanchiment d’argent en achetant des billets des matchs du XV de France et d’avoir organisé d’importantes opérations d’escroquerie à la taxe carbone. L’individu en question a porté plainte pour diffamation publique sur un site contre le directeur du site web et contre le directeur de la publication de l’AFP (1).

La qualification de diffamation publique sur un site des propos tenus

Le Tribunal de grande instance de Paris, saisi du litige, a, dans un premier temps, considéré que ces propos revêtaient un caractère diffamatoire puisque les faits étaient précis, qu’ils étaient susceptibles de faire l’objet d’un débat contradictoire sur la preuve de leur vérité et qu’ils étaient attentatoires à l’honneur et à la considération de l’individu visé, s’agissant de l’imputation d’infractions pénales.

La relaxe du directeur de la publication du site web

Le tribunal a ensuite pris la décision de relaxer le co-directeur de la publication du site web sur lequel la dépêche AFP avait été publiée. Celui-ci a d’abord été qualifié d’hébergeur par le tribunal car le site disposait d’un flux RSS, automatique, alimenté par l’AFP, sans que ce flux ne puisse être contrôlé. Le tribunal a ensuite considéré que dans la mesure où l’hébergeur n’avait pas connaissance du caractère illicite des informations et qu’aucune demande de retrait n’avait été effectuée, sa responsabilité pénale ne pouvait être engagée. Il a ainsi été renvoyé des fins de la poursuite pour diffamation publique sur un site.

La condamnation du directeur de la publication de l’AFP

En revanche, le tribunal a déclaré le directeur de la publication de l’AFP coupable de diffamation publique sur un site, estimant que ce dernier n’avait pas fait d’offre de preuve ni fait valoir l’exception de bonne foi. Par conséquent, le tribunal l’a condamné à une amende de 500 euros assortie du sursis simple.

Virginie Bensoussan-Brulé
Chloé Legris
Lexing Vie privée et Presse numérique

(1) TGI Paris, 24-01-2017, 17e ch. corr., directeur de publication des « brèves AFP » .




Règlement européen et hébergement de données de santé

Règlement européen et hébergement de données de santéQuel impact le règlement européen sur la protection des données a-t-il sur l’hébergement agréé des données de santé ?

Nouvelles obligations pour les sous-traitants

Le règlement européen sur la protection des données, adopté le 27 avril 2016, sera applicable et opposable à tout responsable de traitement et sous-traitant à compter du 25 mai 2018.

La nouvelle procédure de certification d’hébergeur de données de santé sera probablement mise en place avant l’application du règlement (1), la loi de modernisation de notre système de santé. Elle devra nécessairement prendre en compte les nouvelles obligations découlant dudit règlement.

En effet, l’hébergeur de données de santé, agréé en vertu des articles L 1111-8 et R 1111-9 et suivants du Code de la santé publique (3), est un sous-traitant au sens du règlement européen (1).

L’hébergeur agréé sera dès lors soumis directement aux obligations suivantes :

  • le recours à la sous-traitance par le sous-traitant est subordonné à l’autorisation écrite spécifique préalable du responsable de traitement (art. 28) ;
  • la tenue d’un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable de traitement (art. 30) ;
  • la coopération avec l’autorité de contrôle (art. 31) ;
  • la mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (art. 32) ;
  • la notification au responsable de traitement de toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance (art. 33) ;
  • la désignation d’un délégué à la protection des personnes sous certaines conditions (art. 37) (4) ;
  • le respect des règles relatives aux transferts de données hors Union européenne (art. 44).

Par ailleurs, le contrat d’hébergement devra prévoir les engagements suivants du sous-traitant (art. 28) :

  • réalisation de traitement uniquement sur instructions du responsable de traitement ;
  • engagement du personnel tenu, par convention ou par obligation légale, à la confidentialité ;
  • réalisation des mesures nécessaires de sécurité ;
  • demande d’autorisation préalable du responsable de traitement pour toute sous-traitance ;
  • création des conditions techniques et organisationnelles nécessaires pour permettre au responsable de s’acquitter de son obligation de donner suite aux demandes d’exercice de leurs droits par les personnes concernées ;
  • aide du responsable à garantir le respect des obligations prévues aux articles 32 à 36 (sécurité des données, notifications de violations de données personnelles, analyse d’impact, consultation préalable) ;
  • suppression ou renvoi des données au terme de la prestation ;
  • mise à disposition du responsable et de l’autorité de contrôle de toutes les informations nécessaires.

Il convient dès lors de modifier les modèles de contrat d’hébergement des hébergeurs agréés.

Le sous-traitant est en outre pleinement responsable des prestations confiées à son propre sous-traitant (art. 28).

Règlement : ce qui change pour les hébergeurs agréés

Les hébergeurs de données de santé appliquent déjà de strictes mesures de sécurité, en vertu de leur agrément. Ce qui change, c’est qu’ils seront directement responsables vis-à-vis de l’autorité de contrôle, en sus de leur éventuelle responsabilité civile et pénale découlant du non-respect de leur agrément.

Concrètement, la tenue d’un registre, la notification des violations de données personnelles, la désignation d’un délégué à la protection des données sont autant de mesures nouvelles qui devront être mises en place par les hébergeurs.

Il conviendra également d’encadrer, dans les contrats d’hébergement, l’assistance apportée par l’hébergeur au responsable de traitement, son client, s’agissant des droits des personnes et s’agissant de ses obligations relatives à la sécurité des données, à la notification des violations de données personnelles, à l’analyse d’impact et à la consultation préalable.

A date, les contours du rôle du sous-traitant dans la réalisation de l’analyse d’impact, telle que définie à l’article 35 du nouveau règlement européen, ne sont pas clairement définis. Le 16 juin 2016, la Cnil a lancé à ce sujet une consultation, dont les contributions sont disponibles en ligne (5) et devrait rendre son rapport prochainement.

Marguerite Brac de la Perriere
Aude Latrive
Lexing Santé numérique

(1) Règlement (UE) 2016/679 du 27-4- 2016.
(2) Loi 78-17 du 6-1-1978 relative à l’informatique, aux fichiers et aux libertés.
(3) CSP, art. L1111-8 et R1111-9 et suivants.
(4) L’article 37 du Règlement européen prévoit trois cas obligatoires de désignation d’un délégué à la protection des données :
(a) traitement effectué par une autorité publique ou un organisme public, à l’exception des juridictions ;
(b) en cas d’opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées;
(c) en cas de traitement à grande échelle de données sensibles et de données à caractère personnel relatives à des condamnations pénales et à des infractions (ce dernier cas est susceptible d’inclure les hébergeurs agréés de données de santé).
(5) Cnil, Consultation sur le règlement européen sur la protection des données, 19-7-2016.




La responsabilité des éditeurs de blog peut être engagée

responsabilité des éditeurs de blog peut être engagéeLa responsabilité des éditeurs de blog peut être engagée sauf à bénéficier du régime de responsabilité allégée de l’hébergeur de contenus de tiers.

Déçues de la franchise qu’elles avaient conclue, deux franchisées ont créé un blog dont l’objectif était de permettre aux autres franchisées du réseau de raconter leur propre expérience.

Les publications tendaient à imputer au franchiseur la responsabilité de leur échec commercial.

Le franchiseur déposait une plainte avec constitution de partie civile du chef de diffamation et d’injure publiques envers un particulier. Les deux franchisées étaient renvoyées devant le tribunal correctionnel de ces chefs, l’une en qualité d’auteur principal puisqu’elle était la directrice de la publication du blog, l’autre comme complice, ayant été identifiée comme étant l’auteur de certains des propos poursuivis.

La directrice de la publication (et éditeur du blog) a plaidé la relaxe en faisant valoir :

  • le défaut de preuve de la réalité des propos, puisque certains n’avaient pas été constatés par un huissier de justice ;
  • son défaut de responsabilité, « sur le fondement des dispositions de l’article 93-3 de la loi n° 82-652 du 29 juillet 1982, le blog en cause s’assimilant à un forum de discussion dont [elle] n’avait pas la maîtrise éditoriale, n’exerçant aucune modération a priori, de sorte qu’elle ne pouvait voir sa responsabilité engagée qu’à la condition d’avoir eu connaissance des propos incriminés, ce qui n’est pas le cas, ou d’avoir refusé de retirer les propos en cause, ce qui n’est pas non plus le cas dès lors qu’elle n’a pas été saisie d’une demande de retrait des propos incriminés mais d’une demande, non assimilable, de suppression du blog tout entier ».

Le jugement de la 17e chambre correctionnelle du Tribunal de grande instance de Paris apporte des précisions sur deux points : la qualité d’hébergeur de contenus de tiers et le régime de responsabilité qui y est attaché et sur la preuve des propos diffamatoires.

Concernant la preuve des propos diffamatoires sur internet, le tribunal a ainsi précisé que la preuve des propos diffamatoires est suffisamment rapportée :

  • par l’établissement d’un procès-verbal de constat sur internet par un huissier de justice ;
  • mais également par « la production de captures d’écran corroborées par les investigations qui ont été menées lors de l’information judiciaire par les policiers (…) qui ont constaté (…) que tous les propos diffamatoires poursuivis étaient toujours en ligne ;
  • ou encore par « la production d’une capture d’écran corroborée par la reconnaissance de leur émission ».

Le tribunal confirme en revanche que les seules captures d’écran ne peuvent permettre d’établir la matérialité des propos.

Concernant la responsabilité  de l’éditrice au titre de la responsabilité des éditeurs de blog, le tribunal a considéré que cette dernière, qui « n’avait pas au moment de la publication des propos incriminés la maîtrise éditoriale de ce blog participatif dont elle avait communiqué les identifiants et mots de passe à de nombreuses personnes qui y accédaient librement, sans qu’elle exerce aucun contrôle a priori mais un simple contrôle a posteriori, épisodique et purement formel », était soumise aux dispositions de l’article 93-3 de la loi du 29 juillet 1982 sur la communication audiovisuelle (2).

Ainsi, l’éditeur du blog a pu bénéficier du régime de responsabilité allégée de l’hébergeur de contenus de tiers, qui « ne peut pas voir sa responsabilité pénale engagée comme auteur principal s’il est établi qu’il n’avait pas effectivement connaissance du message avant sa mise en ligne ou si, dès le moment où il en a eu connaissance, il a agi promptement pour retirer ce message ».

Le tribunal a donc prononcé la relaxe de l’éditrice du blog, considérant que celle-ci « n’avait pas effectivement connaissance des messages incriminés avant leur mise en ligne [et] qu’elle n’a été saisie par [la partie civile] d’aucune demande de retrait des propos poursuivis mais d’une demande de suppression du blog, qui n’est pas équivalente et à laquelle elle s’est légitimement opposée ».

Virginie Bensoussan-Brulé
Chloé Legris
Lexing Contentieux numérique

(1) TGI Paris, Ch. correc., 18-2-2016, Procureur de la République, Mme S. c/ Mme R. et Mme B.
(2) Loi 82-652 du 29-7-1982, art. 93-3.




Réseaux sociaux: faut-il interdire l’anonymat ?

Réseaux sociaux: faut-il interdire l’anonymat ?Pour RFI, Alain Bensoussan a débattu sur la question : « Faut-il interdire l’anonymat sur les réseaux sociaux ? ».

Le point de départ : dans le cadre du mouvement social contre la « loi travail »,  la révélation par le journaliste Denis Robert, choqué par leurs propos radicaux, racistes, homophobes, de l’identité supposée d’utilisateurs anonymes de Twitter.

D’où la question « Faut-il interdire l’anonymat sur les réseaux sociaux ? », objet du « débat du jour » animé par la journaliste Anne Soetemondt diffusé par RFI le lundi 13 juin.

Alain Bensoussan débattait à cette occasion avec Jean-Marc Manach, journaliste internet spécialisé dans les questions de libertés et de vie privée, co-fondateur des Big Brother Awards, auteur du blog «Bug Brother» et du livre « Vie privée un problème de vieux cons ? » aux Editions Fyp.

L’occasion pour Alain Bensoussan de souligner que le droit à l’anonymat sur internet de manière générale et sur les réseaux sociaux de manière plus particulière a été  « une grande avancée du combat pour les libertés ». Et d’ajouter : « Le droit à l’anonymat qu’il faut maintenir est la possibilité de s’exprimer sans contrainte. Or, un des éléments fondamentaux d’une démocratie, le droit de vote, est exercé par les citoyens de manière anonyme. Dès lors qu’on n’est pas anonyme,  on est nécessairement sous une pression quelle qu’elle soit. Et toute la difficulté, si l’on s’accorde sur le fait que le droit à l’anonymat est consubstantiel à la démocratie, consiste à trouver un équilibre entre le droit l’anonymat et le droit à la protection de la victime. C’est là que se situe pour moi la grande difficulté ».

Dans la recherche délicate de cet équilibre, Alain Bensoussan a également rappelé que « l’anonymat au titre de la liberté d’expression est compensé par le fait que s’agissant des réseaux sociaux, d’un blog ou de n’importe quel autre mode d’expression sur le net, on doit déposer chez l’hébergeur ses références de telle manière que l’on puisse ensuite saisir l’hébergeur ou demander en justice de pouvoir d’accéder à l’adresse Internet du compte pour agir ».

Eric Bonnet
Directeur du département Communication juridique

Réécouter l’émission.




Champ d’application de l’hébergement de données de santé

Champ d’application de l’ hébergement de données de santéEn conformité avec la loi de modernisation de notre système de santé, l’ASIP Santé a mis à jour son FAQ sur l’ hébergement de données de santé (1).

Champ d’application élargi par la loi – Dans sa rédaction ancienne, l’article L. 1111-8 al. 1 du Code de la santé publique (CSP) disposait « Les professionnels de santé ou les établissements de santé ou la personne concernée peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet ».

L’article 96-I-5° a) de la loi de santé du 26 janvier 2016 a modifié la rédaction de l’article L. 1111-8 du Code de la santé publique (2). Désormais, « Toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet ».

Deux extensions ont donc été opérées :

  • Le périmètre des déposants, anciennement « les professionnels de santé ou les établissements de santé ou la personne concernée », s’est élargi aux « personnes physiques ou morales à l’origine de la production ou du recueil desdites données » ou au « patient lui-même ».
  • Les données concernées par l’ hébergement agréé, anciennement les « données de santé à caractère personnel, recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins », ont été étendues aux « données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic ou de soins ou de suivi social et médico-social ».

Précisions sur la notion de déposant par l’ASIP Santé – A l’occasion de cette réforme législative, l’ASIP Santé (3) rappelle l’interprétation extensive de l’article L. 1111-8 du Code de la santé publique qu’en font la Cnil et la Commission d’Agrément des Hébergeurs :

« lorsque le responsable d’un traitement de données de santé à caractère personnel recueillies ou produites à l’occasion d’activités de prévention, de diagnostic ou de soins conserve par ses propres moyens lesdites données, il n’est pas soumis à l’agrément. (…) En revanche, lorsque ce même responsable de traitement décide de confier la conservation des données de santé à un prestataire tiers, ce tiers doit être titulaire de l’agrément prévu à cet effet ».

Ainsi, l’obligation de recourir à un hébergeur agréé ne se limite pas aux « professionnels de santé ou (les) établissements de santé ou (la) personne concernée » ou aux « personnes physiques ou morales à l’origine de la production ou du recueil desdites données » ou au « patient lui-même », mais s’applique bien à tout responsable de traitement de données de santé à caractère personnel recueillies ou produites à l’occasion d’activités de prévention, de diagnostic ou de soins ou de suivi social et médico social, qui souhaite les externaliser.

Cette qualification de responsable de traitement rejoint la nouvelle rédaction de l’article L. 1111-8 du Code de la santé publique. En effet, une « personne physique ou morale à l’origine de la production ou du recueil desdites données » peut recouvrir les personnes concernées, les professionnels de santé à l’origine de la production des données mais aussi les responsables de traitements collectant lesdites données.

Ainsi les assurances et les mutuelles souhaitant externaliser l’ hébergement agréé de données de santé à caractère personnel doivent les confier à un hébergeur agréé.

Précisions sur les hébergeurs étrangers par l’ASIP Santé – L’ASIP Santé apporte également des précisions sur les hébergeurs étrangers :

« L’agrément peut être octroyé tant à une société française et/ou établie en France qu’à une société étrangère et/ou établie à l’étranger. Les dispositions des articles L.1111-8 et R 1111-9 et suivants du code de la santé publique s’appliquent aux données de santé à caractère personnel produites ou recueillies en France. Aucune disposition du code de la santé publique ne conditionne l’application du régime d’agrément à la situation géographique de l’hébergeur. Toute société étrangère et/ou établie à l’étranger peut donc déposer un dossier de demande d’agrément » (4).

« Si l’ hébergement des données de santé à caractère personnel, recueillies ou produites à l’occasion d’activités de prévention, de diagnostic ou de soins, est confié à un prestataire tiers, ce tiers doit être agréé pour l’ hébergement de données de santé à caractère personnel, qu’il soit situé en France ou à l’étranger » (5).

Ainsi l’hébergeur installé en dehors du territoire français proposant ses services à des responsables de traitements de données de santé à caractère personnel recueillies ou produites à l’occasion d’activités de prévention, de diagnostic ou de soins situés sur le territoire français doit également obtenir un agrément (5).

L’ASIP Santé étend l’obligation d’agrément à tout prestataire étranger, le critère étant le lieu de production ou de collecte des données (4).

La responsabilité de l’agrément devant peser sur l’hébergeur, selon la nouvelle terminologie de l’article L. 1111-8 du Code de la santé publique, le prestataire étranger devra être particulièrement vigilant sur l’origine des données qu’il héberge et se positionner à cet égard.

Marguerite Brac de la Perriere
Aude Latrive
Lexing Santé numérique

(1) Loi 2016-41 du 26 janvier 2016 de modernisation de notre système de santé.
(2) Art. 96 loi 2016-41 du 26 janvier 2016 de modernisation de notre système de santé.
(3) FAQ ASIP Santé question n°3.
(4) FAQ ASIP Santé question n°13 bis.
(5) FAQ ASIP Santé question n°13 ter.




Pratique commerciale trompeuse : Le Bon Coin condamné

Pratique commerciale trompeuse : Le Bon Coin condamnéLa société exploitante du site internet « www.leboncoin.fr » condamnée pour pratique commerciale trompeuse.

Les faits étaient les suivants : la société Goyard St-Honoré, célèbre malletier français de luxe, a constaté la mise en ligne de petites annonces proposant ouvertement la vente d’imitations de ses produits.

Les annonces ne laissaient aucun doute quant à la nature des produits vendus : « pochette Goyard fausse », pochette et porte passeport « imités parfaitement » ou encore « sac inspi Goyard ».

Après deux lettres de mise en demeure et des signalements de contenus illicites restés sans effet, la société Goyard St-Honoré a assigné la société LBC pour pratique commerciale trompeuse, de la contrefaçon de ses marques et de l’atteinte à sa dénomination sociale, son enseigne et son nom de domaine.

Le tribunal a considéré que la société LBC avait commis une pratique commerciale trompeuse de nature à induire le consommateur en erreur sur la portée de son engagement aux motifs :

  • qu’elle alléguait sur son site que « toutes les annonces sont relues avant mise en ligne afin de s’assurer de leur qualité et du respect des règles de diffusion » et que « toute annonce contenant des éléments du texte qui sembleraient contraires aux dispositions légales (…) sera refusée par Le Bon Coin » ;
  • alors qu’elle n’avait manifestement pas procédé à un contrôle préalable concernant les annonces litigieuses et qu’elle n’avait pas supprimé lesdites annonces malgré les signalements effectués par la société Goyard St-Honoré.

Sur le terrain de la contrefaçon de marque et de l’atteinte aux signes distinctifs, le tribunal a, sur le fondement de la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) et des arrêts de la CJUE Google et L’Oréal , qualifié la société LBC d’hébergeur de contenus de tiers, ne jouant qu’un rôle d’intermédiaire, non rémunéré, entre les particuliers.

Il a débouté la société Goyard St-Honoré de ses demandes considérant que les mises en demeure et les signalements effectués directement sur la plateforme du site ne valaient pas notification au sens de l’article 6-I 5° de la LCEN, ceux-ci ne comprenant pas l’ensemble des conditions requises par ce texte.

Cette décision se situe dans la lignée de la jurisprudence actuelle, initiée par les arrêts rendus par la CJUE dans l’affaire Google, qui semble plus pencher vers la protection des consommateurs que celles des titulaires de marque.

Par ailleurs, le raisonnement du tribunal, s’il est juridiquement fondé, paraît éthiquement injuste. En effet, d’une part, la société LBC est sanctionnée pour n’avoir pas tenu son rôle de modérateur des annonces publiées, ce qui par nature lui confère un rôle actif dans la mise en ligne desdites annonces, alors que, d’autre part, elle est qualifiée d’hébergeur de contenus de tiers, qualification qui sous-tend un rôle d’intermédiaire neutre.

Virginie Brunot
Eve Renaud
Lexing Droit Propriété industrielle

(1) TGI Paris, 4-12-2015, Goyard St-Honoré c/ LBC France.
(2) CJUE, aff. C-236/08, 23-3-2010, Google ; CJUE, aff. C-324/09, 12-7-2011, L’Oréal.

 




Hébergement de données de santé : impact du projet de loi

Hébergement de données de santé : impact du projet de loiLa réglementation en vigueur impose aux professionnels de santé (PS), aux établissements de santé (ES) et à la personne concernée de recourir à un hébergeur agréé à cet effet, en cas d’externalisation de l’hébergement de données de santé à caractère personnel (1).

Les ES et PS hébergeant eux-mêmes les données de santé des patients dont ils assurent la charge sont dispensés de la procédure d’agrément. A ce jour, la personne qui confie à l’hébergeur des données (le déposant) est tenue de recueillir le consentement exprès de la personne concernée au titre de l’hébergement, des modalités d’accès et des modalités de transmission. Ce consentement n’est pas requis dès lors que seul le déposant accède aux données de santé hébergées. Le projet de loi de santé n°505, adopté en première lecture à l’Assemblée nationale le 14 avril 2015, modifie cette procédure.

Les articles 25 et 51 du projet de loi modifient l’article 1111-8 CSP et en particulier habilitent le gouvernement à prendre par voie d’ordonnance des mesures de simplification de la procédure dans un délai de douze mois à compter de la promulgation.

La loi sera a priori d’application immédiate, et l’ordonnance modifiant le décret hébergement sera prise dans le délai susvisé. A l’issue de ce délai, un référentiel précisant le contenu du dossier devrait être établi (2). Le régime transitoire ne dispensera pas de la nécessité de disposer d’un agrément.

Le projet de loi supprime la référence aux PS, ES et personne concernée de sorte que tout responsable de traitement de données de santé à caractère personnel doit respecter l’obligation de recourir à un tiers agréé pour l’hébergement de données de santé. Ainsi, l’obligation de certification est élargie notamment aux personnes hébergeant des données à l’occasion d’activités de suivi social et médico-social (art.25-4-a).

L’hébergement sera réalisé après que « la personne en a été dûment informée et sauf opposition pour un motif légitime » (art.25-4-a). Cette nouvelle disposition dispense le déposant du recueil d’un consentement exprès, tel que prévu dans le régime actuel, sous réserve de la délivrance d’une information préalable.

L’ordonnance définira les conditions dans lesquelles le médecin de l’hébergeur peut accéder aux données de santé à caractère personnel. Les contrats devront donc être mis à jour afin d’intégrer ces conditions (art.51-I-5°).

L’attestation de la conformité de l’hébergement aux exigences légales et réglementaires ne se traduira plus par la délivrance d’un agrément par l’Asip santé mais par celle d’une accréditation par l’instance nationale d’accréditation (art.51-I-5°).

Enfin, le projet de loi entend harmoniser cette nouvelle procédure d’accréditation et les dispositions du Code du patrimoine relatives à l’archivage (3) afin d’éviter que les établissements publics de santé et les établissements de santé privé d’intérêt collectif soient soumis à une double obligation lorsqu’ils confient les données de santé et leur archivage à un tiers hébergeur (art.51-I-5°).

En tout état de cause, l’objectif du projet de loi est toujours d’assurer la confidentialité et la sécurité des données de santé. Dès lors, les conditions techniques nécessaires pour ce faire, telles que mises en œuvre par les hébergeurs agréés à ce jour, ne seront pas impactées.

Marguerite Brac de La Perrière
Alix d’Omezon
Lexing Droit Santé numérique

(1) CSP, art. 1111-8.
(2) Décr. 2006-6 du 4- 1-2006.
(3) C. patrimoine, art. L.212-4.




L’hébergeur peut-il bloquer les données du client en cas d’impayé ?

L’hébergeur peut-il bloquer les données du client en cas d’impayé ?L’hébergeur au sens classique du terme ou en environnement cloud est juridiquement le dépositaire des données incorporelles du client au sens de l’article 1915 du Code civil.

L’hébergeur en a à ce titre la garde et a une obligation de restitution en fin de contrat. Il peut être condamné s’il ne procède pas à cette restitution dans des délais normaux (1).

En cas de frais exposés par l’hébergeur pour la restitution des données, il peut prévoir une facturation spécifique pour cette prestation.

D’ailleurs même si cela n’est pas une obligation légale, la plupart des contrats d’hébergement comprennent en pratique une clause de réversibilité laquelle encadre les modalités technique, économique et juridique de restitution des données.

En présence ou pas d’une telle clause, la question se pose pour l’hébergeur de pouvoir « retenir » les données si le client n’est pas à jour de ses paiements.

En l’absence de clause spécifique. Le droit de rétention peut s’appliquer même sans clause spécifique. Il faut préciser le lien de connexité entre l’objet de la prestation et le prix impayé conformément à l’article 2286 du Code civil.

Le droit de rétention bien connu dans l’hypothèse du garagiste impayé à l’égard de la voiture réparée n’a pas été aussi facilement transposé dans le monde de l’immatériel. La première jurisprudence le consacrant ne date que de 2010 (2).

En présence d’une clause spécifique. Le client débiteur pourra plus difficilement contester une clause clairement stipulée avec des cas de rétention bien bornés.

Cependant, il existe de nombreuses hypothèses où un tel droit de rétention soit n’est pas possible, par exemple en cas de procédure collective (3), soit exposerait le client dont les données sont hébergées à de graves difficultés par exemple dans le domaine médical (4).

L’hébergeur doit donc se garder d’appliquer systématiquement un droit de rétention en cas d’impayé, au risque de voir sa propre responsabilité engagée.

Pour l’hébergeur qui souhaiterait donc se réserver une telle garantie sur les données dont il a la garde, il convient donc :

  • de travailler au périmètre et aux modalités de mise en œuvre de la clause de rétention avec la plus grande rigueur ;
  • de fixer par un livret d’implémentation à destination des équipes marketing et juridique, le scénario par escalade justifiant un tel droit de rétention.

Eric Le Quellenec
Lexing Droit Informatique

(1) TC Paris Ord. Réf. 20-3-2002.
(2) CA Toulouse 12-10-2010, RG n°08-05858.
(3) Article L. 622-13 Code de commerce.
(4) Décret 2011-246 du 4-3-2011.