DROIT DU NUMERIQUE / E-COMMERCE
Lutte contre le contenu illicite en ligne / Nouvelle Recommandation de la commission européenne
Le 1er mars 2018, la Commission européenne a émis une nouvelle recommandation sur les mesures destinées à lutter, de manière efficace, contre les contenus illicites en ligne (C(2018) 1177 final), accompagnée d’un communiqué de presse du même jour.
Divisé en 41 observations et 43 recommandations, ce rapport se concentre sur l’efficacité et la proportionnalité des réponses, la proactivité des technologies et des acteurs, et la célérité des retraits.
D’après le communiqué émis par la Commission, 5 axes peuvent être relevés et concernent :
- Des procédures de notification et d’action plus claires, et accélérées pour les « signaleurs de confiance », définis comme toute « personne ou […] entité considérée par un prestataire de services d’hébergement comme disposant d’une expertise et de responsabilités particulières aux fins de lutter contre les contenus illicites en ligne » (page 11 de la recommandation) ;
- Des outils plus efficaces et des technologies proactives notamment pour le contenu ne nécessitant aucune contextualisation pour être considéré comme illicite (pédopornographie et produits de contrefaçon) ;
- Des garanties plus solides en matière de droits fondamentaux, notamment avec la mise en place de moyens de supervision et de vérification humaines ;
- Une attention particulière aux petites entreprises dont les ressources et l’expertise pour lutter contre le contenu illicite sont limitées ;
- Et enfin une coopération plus étroite avec les autorités, notamment en cas de soupçon d’infraction pénale ou d’atteinte à la vie d’autrui ou à la sécurité.
Le chapitre III du rapport vise sans grande surprise des « Recommandations spécifiques en matière de contenus à caractère terroriste », avec une règle de suppression du contenu illicite dans l’heure de sa notification, une détection plus rapide et une suppression plus efficace du contenu (en empêchant sa réapparition après sa suppression), un système de signalement amélioré et accéléré et des rapports réguliers sur l’état d’avancement de la lutte contre le contenu à caractère terroriste en ligne.
La Commission a indiqué qu’après le lancement d’une consultation publique sur cette question dans les semaines à venir, elle se prononcerait à moyenne échéance sur la nécessité pour les Etats-membres d’adopter de nouvelles mesures législatives.
A suivre.
CONTRATS INFORMATIQUES
Survie de la clause limitative de responsabilité en cas de résolution du contrat
Cour de cassation, Chambre commerciale, Arrêt nº 181 du 7 février 2018, Pourvoi nº 16-20.352
Par un attendu de principe, la Cour de cassation opère un revirement de jurisprudence, affirmant que les clauses limitatives de réparation demeurent applicables en cas de résolution du contrat pour inexécution. Un arrêt sans doute à interpréter en regard du nouvel article 1230 du code civil, même s’il est rendu sous le visa des anciens articles 1134 et 1184
Une société procède à des réparations sur une chaudière d’une centrale. Après la survenance de nouvelles fuites, une expertise judiciaire a conclu qu’elles étaient imputables au prestataire. Le client assigne en résolution du contrat, restitution et paiement de dommages-intérêts en réparation de ses préjudices matériels et de ses pertes d’exploitation. Le prestataire demande l’application de la clause limitative de réparation.
La Cour d’appel de Nancy, le 20 avril 2016, condamne le prestataire au paiement de dommages-intérêts, en retenant que la résolution de la vente emportant anéantissement rétroactif du contrat et remise des choses en leur état antérieur, il n’y a pas lieu d’appliquer la clause limitative de responsabilité.
Le prestataire forme un pourvoi, au moyen invoqué que lorsqu’une inexécution contractuelle entraîne la résolution judiciaire du contrat, la réparation du préjudice causé par cette inexécution reste soumise à la clause limitative de responsabilité stipulée dans le contrat, laquelle vise par nature à régler les conséquences de cette inexécution, nonobstant l’anéantissement rétroactif du contrat ; en lui déniant le droit de se prévaloir de la clause limitative de responsabilité stipulée dans le contrat (qui notamment plafonnait la responsabilité à 100% du prix HT), en raison de la résolution de ce contrat, tandis que cette résolution était sans incidence sur l’applicabilité de la clause, la cour d’appel aurait violé les articles 1134 et 1184 du code civil dans leur rédaction antérieure à l’ordonnance du 10 février 2016.
La cour de cassation censure les juges du fonds : « en statuant ainsi, alors qu’en cas de résolution d’un contrat pour inexécution, les clauses limitatives de réparation des conséquences de cette inexécution demeurent applicables, la cour d’appel a violé les textes susvisés ».
Les parties sont renvoyées devant la Cour d’appel de Colmar.
Rappelons que la même chambre de la Cour de cassation avait précédemment rendu les arrêts contraires suivants :
- « la résolution de la vente emportant anéantissement rétroactif du contrat et remise des choses en leur état antérieur, la cour d’appel en a exactement déduit qu’il n’y avait pas lieu d’appliquer les clauses limitatives de responsabilité. » (Cass. Com., 5 oct 2010, n° 08-11.630)
- « qu’ayant retenu que la gravité des manquements (…) justifiait la résolution du contrat aux torts exclusifs de cette dernière, en application des dispositions de l’article 1184 du Code civil, la cour d’appel en a déduit à bon droit que le contrat résolu étant anéanti, la société n’était pas fondée à se prévaloir des stipulations contractuelles régissant les conditions et les conséquences de sa résiliation unilatérale (…) » (Cass. com., 3 mai 2012, n° 11-17.779)
Jurisprudence régulièrement appliquée par les juges du fond, comme l’avait fait la Cour de Nancy .
Citons récemment « La résolution des contrats entraîne la condamnation de la société X à rembourser à la société Y les sommes perçues en exécution des contrats, sans qu’une clause de limitation de responsabilité puisse être appliquée, dès lors que la résolution emporte anéantissent rétroactif des contrats.” (Cour d’appel de Lyon, 23 novembre 2017, nº 16/05155)
Depuis la réforme du droit des contrats, l’article 1230 du Code civil prévoit que « la résolution n’affecte ni les clauses relatives au règlement des différends, ni celles destinées à produire effet même en cas de résolution, telles les clauses de confidentialité et de non-concurrence. » La clause venant limiter la réparation entre dans ce cadre, visant, par nature, à régler les conséquences de la fin du contrat pour manquement. Rendue relativement à la réparation due, la solution semble évidemment transposable aux clauses limitatives de responsabilité, plus larges que la simple détermination du montant.
DONNEES A CARACTERE PERSONNEL
La CNIL précise les contours de l’analyse d’impact
Dans une publication sur son site internet du 19 février 2018, la CNIL a précisé les cas dans lesquels la conduite d’une analyse d’impact serait nécessaire, ainsi que la méthode pratique de réalisation d’une telle analyse.
L’article 35 du RGPD prévoit la conduite d’une analyse d’impact sur la protection des données pour les traitements de données à caractère personnel susceptibles d’engendrer « un risque élevé pour les droits et libertés des personnes concernées ».
Un risque élevé est un scénario décrivant :
- un évènement redouté (accès non autorisé, modification non désirée, disparition des données, et ses impacts potentiels sur les droits et libertés des personnes) ;
- toutes les menaces qui permettraient qu’il survienne.
Ainsi, il convient d’apprécier la gravité du risque pour les personnes concernées (et non pour l’organisme), et sa vraisemblance, c’est-à-dire la probabilité de réalisation du risque.
La CNIL indique que l’analyse d’impact sert deux objectifs :
- aider les organismes à construire des traitements de données respectueux de la vie privée ;
- démontrer la conformité desdits organismes au RGPD.
La CNIL précise qu’il ne sera pas nécessaire de faire plusieurs analyses d’impact lorsque plusieurs traitements similaires sont mis en œuvre, y compris lorsqu’il y a plusieurs responsables du traitement. La CNIL prend en exemple des collectivités mettant en place un système de vidéosurveillance similaire, qui pourraient alors n’avoir à effectuer qu’une seule analyse.
Fait intéressant, la CNIL précise que le fournisseur d’un produit matériel ou d’un logiciel peut également mener une analyse d’impact, afin que les responsables du traitement utilisant ce produit alimentent leur propre analyse avec celle du fournisseur.
Concernant les conditions dans lesquelles une analyse d’impact s’avèrera nécessaire, la CNIL indique que, « généralement », les traitements remplissant au moins deux des critères suivants devront faire l’objet d’une analyse d’impact :
- évaluation/scoring;
- décision automatique avec effet légal ou similaire ;
- surveillance systématique ;
- collecte de données sensibles ;
- collecte de données à caractère personnel à large échelle ;
- croisement de données ;
- personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
- usage innovant (utilisation d’une nouvelle technologie) ;
- exclusion du bénéfice d’un droit ou d’un contrat.
Interviendront dans la réalisation d’une analyse d’impact : le responsable du traitement, le délégué à la protection des données, le sous-traitant le cas échéant, mais il est également suggéré par la CNIL de demander l’avis des personnes concernées, par le biais d’une enquête, d’un sondage ou d’une question formelle aux représentants du personnels. Pourront également participer : les métiers (maitrise d’ouvrage), les équipes chargées de la mise en œuvre (maitrise d’œuvre) et le RSSI.
L’analyse d’impact devra contenir à minima :
- une description systématique des opérations de traitement envisagée et les finalités du traitement ;
- une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
- une évaluation des risques sur les droits et libertés des personnes concernées ;
- les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du RGPD.
Lutte contre le géoblocage : publication du règlement européen
JOUE 2 mars 2018 – Règlement (UE) 2018/302 du 28 février 2018
C’est maintenant chose faite : le règlement visant à interdire le blocage géographique injustifié entre Etats membres a été publié au JOUE du 2 mars dernier.
Cette pratique, appelée aussi couramment « géoblocage », consiste à traiter différemment des clients en ligne en fonction de leur nationalité, leur lieu de résidence ou d’établissement.
Pour rappel, l’objectif est de prévenir une discrimination contre les consommateurs et les entreprises en ce qui concerne l’accès au prix, aux ventes et aux conditions de paiement de biens/services dans un autre Etat membre de l’UE.
Le texte adopté et publié prévoit ainsi un certain nombre d’interdictions avec, toutefois, des limites.
Dans les grandes lignes, on retiendra :
(i) l’interdiction d’une discrimination entre les clients relativement aux CG (prix compris) dans trois cas :
- biens livrés dans un Etat membre vers lequel la livraison est proposée par le professionnel ou récupérés dans un lieu défini d’un commun accord ;
- services fournis par voie électronique (services cloud, de stockage de données ou d’hébergement de site internet) ;
- services tels que l’hébergement hôtelier et la location de voiture réceptionnés dans le pays où exerce le professionnel ;
(ii) l’interdiction d’appliquer des conditions de paiement différentes selon la nationalité, le lieu de résidence ou d’établissement du client ;
(iii) l’interdiction de bloquer ou limiter l’accès à des clients à l’interface en ligne des sites internet selon la nationalité ou le lieu de résidence desdits clients (et une explication claire à fournir si le client est redirigé vers une version différente de l’interface);
(iv) la « supériorité » du règlement sur le droit de la concurrence sous une réserve : maintien du droit des fournisseur d’imposer des restrictions en matière de ventes actives.
Parmi les exceptions, on notera que restent exclus : les services liés aux contenus protégés par le droit d’auteur, d’écoute de musique en ligne, les livres électroniques (bien que la Commission va réexaminer cette exclusion dans deux ans), ainsi que les services financiers, audiovisuels, de transport, de soins de santé et services sociaux.
La différenciation par les prix (concernant un groupe de clients) restera possible, tout comme l’absence d’obligation de livrer des biens dans toute l’UE.
Avec une entrée en vigueur au mois de décembre 2018, la maîtrise des contours d’une telle interdiction n’est pas sans incidence sur la pratique des acteurs du commerce électronique.