1°) Traitements soumis au régime de la déclaration préalable auprès de la CNIL
Ce régime constitue la procédure de droit commun. En effet, tous les traitements courants de données à caractère personnel, publics ou privés, qui ne font pas l'objet d'un régime spécifique sont soumis à celui de la déclaration préalable, extrêmement simplifiée, puisque le nouveau formulaire de déclaration ne contient plus que deux pages au lieu de quatre.

2°) Traitements soumis au régime de l'autorisation préalable de la CNIL (article 25)
Huit catégories de traitement de données, dites sensibles de par leur objet ou leur finalité, et pouvant générer des risques pour les droits et les libertés, sont soumises à l'autorisation préalable de la CNIL. Ainsi par exemple, les traitements automatisés ou non utilisant le numéro INSEE ou comportant des données biométriques nécessaires au contrôle d'identité des personnes, les traitements automatisés portant sur des données génétiques, autres que ceux utiles aux fins de médecine préventive, aux diagnostics médicaux ou à l'administration de soins ou de traitements, sont soumis à ce régime. Il en va de même notamment pour la cybersurveillance des salariés, les listes noires ou encore les traitements comportant des avis sur les difficultés sociales des personnes ou de nature à exclure celles-ci du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition réglementaire, ainsi que les traitements visant à la géolocalisation des individus.

3°) Traitements dispensés de toute formalité (article 22-2)
Il s'agit ici des traitements " dont la mise en œuvre n'est pas susceptible de porter atteinte à la vie privée et aux libertés ", soit :
- Les traitements de données, ayant pour seul objet la tenue d'un registre, qui en vertu des dispositions législatives ou réglementaires, est destiné exclusivement à l'information du public et ouvert à la consultation de celui-ci ou de toute personne justifiant d'un intérêt légitime, sont dispensés de toute formalité.
- Les traitements mis en oeuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical à condition que : les données mentionnées correspondent à l'objet de ladite association ou dudit organisme ; ces données ne concernent que les membres de l'association ou de l'organisme en cause et, le cas échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité ; ces mêmes données ne doivent pas être communiquées à des tiers, à moins que les personnes concernées n'y consentent expressément ;
- Les traitements pour lesquels leur responsable a désigné un correspondant à la protection des données à caractère personnel, chargé d'assurer le respect des obligations prévues et de tenir un registre des traitements effectués, immédiatement accessible à toute personne en faisant la demande. Toutefois, il faut préciser que le décret du Conseil d'Etat, devant préciser le régime de cette dispense, n'a pas encore été adopté.

Les entreprises pourront dorénavant étudier quelle sera la meilleure stratégie à adopter entre un régime d'autorisation ou de déclaration, et envisager même de créer un poste de correspondant CNIL. Mais il faudra préalablement former le personnel de l'entreprise à ce nouveau cadre légal, par le biais de professionnels avertis.

Agathe EUVRARD
agathe@euvrard.fr

- Responsabilité contractuelle de plein droit du fournisseur dans le " B to C " :
Le droit français se montre spécialement attentif à la protection du consommateur réputé profane, ce qui explique que la LCEN mette à la charge de tout professionnel du commerce électronique, opérant dans le cadre du " B to C " un certain nombre d'obligations. Pour ce qui concerne le " B to B ", il est présumé que les deux parties étant à égalité sont aptes à défendre elles mêmes leurs intérêts et à négocier leurs conditions. L'article 15 de cette loi pose d'emblée une responsabilité " de plein droit à l'égard de l'acheteur de la bonne exécution des obligations résultant du contrat.. " à la charge du professionnel, dans le but de protéger le consommateur, comme lors de toute transaction, et donc de favoriser le développement du commerce électronique en l'assainissant.

Cette disposition est insérée à l'article L.121-20-3 du Code de la Consommation dans la section intitulée : " Ventes à distance " : " Le professionnel est responsable de plein droit à l'égard du consommateur de la bonne exécution des obligations résultant du contrat conclu à distance, que ces obligations soient à exécuter par le professionnel qui a conclu ce contrat ou par d'autres prestataires de services, sans préjudice de son droit de recours contre ceux-ci….. "

- Conditions d'exonération : ce même article précise toutefois les cas dans lesquels le fournisseur pourra s'exonérer. Il est ainsi prévu que la personne physique ou morale exerçant le commerce électronique peut s'exonérer de tout ou partie de sa responsabilité en prouvant que l'inexécution ou la mauvaise exécution du contrat est imputable : soit à l'acheteur, soit au fait imprévisible et insurmontable d'un tiers étranger à la fourniture des prestations prévues au contrat, soit à un cas de force majeure.

Il est donc indispensable pour les professionnels du commerce sur Internet de définir exactement la nature et l'étendue de leurs obligations pour éviter la responsabilité générale de plein droit prévue à l'article L.121-20-3.du Code de la Consommation.

Agathe EUVRARD
agathe@euvrard.fr

1. Rappel : Qu'entend-on par " commerce électronique " ?
Le commerce électronique est défini aux termes de l'article 14 de cette même loi comme " l'activité économique par laquelle une personne propose ou assure à distance et par voie électronique la fourniture de biens ou de services " et comprend donc des services consistant à " fournir des informations en ligne, des communications commerciales et des outils de recherche, d'accès et de récupération des données, d'accès à un réseau de communications ou d'hébergement d'informations, y compris lorsqu'ils ne sont pas rémunérés par ceux qui les reçoivent ". Autrement dit, toute personne, exerçant une activité économique par voie électronique, se livre à une opération de commerce électronique. Si les activités des moteurs de recherche non payants sont visés par cette définition, en revanche, certains domaines en sont exclus tels que : " les jeux d'argent même légalement autorisés,
les activités de représentation et d'assistance en justice, les activités d'authentification et de conservation des actes exercées par les notaires et celles relatives à la délivrance des grosses et des expéditions. "

2. Informations obligatoires avant toute offre
Les personnes pratiquant le commerce électronique, doivent, aux termes de l'article 19 de la LEN, faire figurer sur leurs sites Internet plusieurs informations avec " un accès facile, direct et permanent ", indépendamment de toute offre.
Obligation d'identification du vendeur : outre les dispositions classiques déjà prévues par le Code de la Consommation, le vendeur doit indiquer s'il est une personne physique, ses noms et prénoms ou s'il s'agit d'une personne morale, sa raison sociale. Il doit également faire apparaître " l'adresse d'établissement, son adresse de courrier électronique et son numéro de téléphone " et bien entendu l'adresse de son site Internet sur lequel devront figurer toutes ces mentions. Si le vendeur est assujetti aux formalités d'inscription au registre du commerce et des sociétés ou au répertoire des métiers, le numéro de son inscription, le capital social et l'adresse de son siège social. En outre, si l'activité du prestataire est soumise à un régime d'autorisation ou relève d'une profession réglementée, il devra communiquer le nom et l'adresse de l'autorité qui aura délivré cette autorisation ou indiquer la référence aux règles professionnelles applicables, le nom de l'Ordre ou de l'organisme professionnel auprès duquel il est inscrit.
Obligations relatives aux prix : l'opérateur du commerce électronique doit énoncer des prix transparents de manière claire et précise en précisant par exemple si les taxes et les frais de livraison sont inclus.

3. Obligation concomitantes à la formation du contrat de vente
Obligation pour le professionnel de communiquer ses conditions contractuelles. Cette obligation, insérée à l'article 1369-1 du Code Civil, impose au professionnel, la conservation et la reproduction de ses conditions contractuelles : " quiconque propose, à titre professionnel, par voie électronique, la fourniture de biens ou la prestation de services, met à disposition les conditions contractuelles applicables d'une manière qui permette leur conservation et leur reproduction… ".
Obligations de faire figurer certaines mentions dans l'offre : ce même article 1369-1 énonce que l'offre doit mentionner : les différentes étapes à suivre pour conclure le contrat par voie électronique, les moyens techniques permettant à l'utilisateur d'identifier et de corriger avant la conclusion du contrat les erreurs commises dans la saisie des données,les langues proposées pour la conclusion du contrat,
ü En cas d'archivage du contrat, les modalités de cet archivage par l'auteur de l'offre et les conditions d'accès au contrat archivé, les moyens de consulter par voie électronique les règles professionnelles et commerciales auxquelles l'auteur de l'offre entend se soumettre

4. Obligations du professionnel au moment de la conclusion du contrat
Le nouvel article 1369-2 du code Civil énonce comme condition de validité du contrat : " le destinataire de l'offre doit avoir eu la possibilité de vérifier le détail de sa commande et son prix total et de corriger d'éventuelles erreurs, avant de confirmer celle-ci pour exprimer son acceptation… " Il appartient ensuite à l'auteur de l'offre d'accuser réception par voie électronique et " sans délai injustifié " de la commande qui lui a été adressée. Ce même article précise enfin : " La commande, la confirmation de l'acceptation de l'offre et l'accusé de réception sont considérés comme reçus lorsque les parties auxquelles ils sont adressés peuvent y avoir accès. " Il ressort donc des différentes dispositions de la LCEN que la rencontre des consentements ne sera effective qu'au moment de l'envoi de l'accusé de réception de la commande par le vendeur.

Une bonne connaissance de ce texte essentiel est aujourd'hui indispensable tant pour le consommateur que pour le professionnel du commerce électronique .

Odile GARLIN-FERRARD
odile.ferrard@numericable.fr

1°) Pouvoir d'investigation de la CNIL : (Article 44)
La CNIL, après en avoir informé le Procureur de la République, peut charger l'un ou plusieurs de ses membres ou de ses agents, de se rendre entre 6 heures et 21 heures partout où est mis en œuvre un traitement de données à caractère personnel, afin de procéder à des vérifications ou d'obtenir des copies de tous documents ou supports d'information. En cas d'opposition du responsable des lieux, le Président du Tribunal de Grande Instance devra alors autoriser la visite de la CNIL, aux termes d'une ordonnance motivée. Pour le cas où le responsable des locaux s'opposerait à la mission des agents de la CNIL, refuserait de leur communiquer des renseignements ou des documents, ou encore leur délivrerait des informations erronées, il se rendrait coupable du délit d'entrave punissable d'un an d'emprisonnement et de 15 000 € d'amende.

2°) Sanctions prononcées par la CNIL
Les articles 45 à 49 de la nouvelle loi prévoient les sanctions pouvant être prononcées par la CNIL. Celle-ci peut, tout d'abord, prononcer des avertissements ou délivrer des mises en demeure à tout responsable de traitement informatique de données qui ne respecterait pas les obligations prescrites par la présente loi. La CNIL a également la possibilité d'infliger, par une décision motivée, à un responsable de traitement, et après une procédure contradictoire durant laquelle ce dernier pourra se défendre, les sanctions suivantes :
- des amendes, dont le montant, proportionnel à la gravité des manquements commis et aux avantages tirés de ceux-ci, pourra s'élever à 150 000 € pour un 1er manquement et 300 000 € en cas de faute réitérée dans les cinq années suivantes, et qui seront recouvrées comme les créances de l'Etat, étrangères à l'impôt et au domaine,
- des injonctions de cesser le traitement des données litigieux.
Les décisions de la CNIL sont susceptibles de recours devant la juridiction administrative.

3°) Recours au juge en cas d'urgence
En cas d'atteinte " grave et immédiate " aux droits et aux libertés , le Président de la CNIL peut saisir le juge des référés afin que soit ordonnée, éventuellement sous astreinte, toute mesure nécessaire à la sauvegarde de ces droits et libertés, comme par exemple, le verrouillage de bases de données, l'interruption du traitement ou encore le retrait d'une autorisation. Notons toutefois ici que, paradoxalement, dans la loi de 1978, il n'était pas nécessaire pour la CNIL de recourir au juge pour envisager la destruction de certains traitements, indispensable à la sauvegarde des droits et libertés individuelles.

La CNIL devient donc une véritable autorité administrative indépendante, dotée de réels pouvoirs coercitifs. Une parfaite connaissance des exigences légales relatives aux traitements des informations s'impose avec d'autant plus d'acuité aux responsables de traitements informatiques.

Odile GARLIN-FERRARD
odile.ferrard@numericable.fr