Catégorie : Actualités juridiques

La cour de justice de l’Union européenne (CJUE) a jugé, le 4 juin 2020, que la personne qui vend des marchandises au nom et pour le compte de son mandant ne doit pas nécessairement avoir la faculté de modifier les prix pour bénéficier du statut légal d’agent commercial.

Cette position est contraire à celle de la cour de cassation et de la cour d’appel de Paris qui exigent depuis plusieurs années que l’agent ait disposé de cette faculté et en rapporte la preuve, pour bénéficier du statut protecteur.

Rappelons que le statut d’agent a été harmonisé dans l’Union européenne par une directive en 1986 (directive n° 86/653/CEE du 18/12/1986) intégrée aux articles L 134-1 et suivants du code de commerce qui le définissent comme la personne chargée à titre permanent « de négocier et, éventuellement, conclure des contrats de vente, d’achat, de location ou de prestation de services au nom et pour le compte de producteurs, d’industriels, de commerçants (…) ». Ce mode de distribution est particulièrement prisé pour assurer la commercialisation de produits et services au plan national et international. Pendant la durée du contrat, l’agent n’agit pas en son nom et ne développe pas sa propre clientèle mais celle du mandant qui peut ainsi faire connaitre ses marques et développer ses ventes sur un marché national ou étranger selon un mécanisme léger (l’agent est rémunéré par une commission sur les ventes) par l’intermédiaire d’un opérateur qui connait bien le fonctionnement de ce marché. A l’issue du contrat, le mandant conserve la clientèle développée par l’agent, ce qui lui permet notamment de s’installer durablement sur le marché développé par l’agent, par la création d’une filiale locale ou la conclusion d’un contrat avec un distributeur local qui acceptera de prendre le risque de distribuer les produits et services pour son propre compte. De son côté, l’agent commercial perd les fruits de son travail. Le statut d’agent commercial prévu par la directive lui permet d’obtenir à la cessation du contrat, soit une indemnité, soit la réparation du préjudice causé par la cessation de la relation (directive, art. 17). Le droit français a choisi d’indemniser le préjudice causé du fait la cessation du contrat (directive, art. 17.3 ; c. com. ; art. L 134-12) ce qui s’est traduit selon la jurisprudence française, par une indemnisation le plus souvent égale à 2 ans de commissions calculée sur les 3 dernières années du contrat.

Depuis une douzaine d’années et surtout depuis 2014, la cour de cassation, suivie par la cour d’appel de Paris, procède à une interprétation stricte de la directive, en décalage avec les juridictions des autres Etats européens et de certaines autres cours d’appel comme celles de Lyon et Toulouse, et malgré les vives critiques d’une partie de la doctrine. En effet, bien que le mot « négocier » n’ait pas de définition juridique en droit français, elle a jugé de manière constante que l’intermédiaire qui ne dispose pas du pouvoir de modifier les termes du contrat avec le client (prix et conditions de vente), ne dispose pas du pouvoir de « négocier » au nom et pour le compte du mandant comme prévu par la définition de l’agent commercial (Cass. com. 15/01/2008, n°06-14698).

Cette interprétation très restrictive du terme « négocier » a eu des conséquences considérables pour l’agent soumis au droit français. En effet, l’agent qui, à la date de signature du contrat se croyait protégé par le statut légal, s’est trouvé dépourvu de cette protection et privé de l’indemnité lors de la rupture, s’il ne parvenait pas à rapporter la lourde et difficile preuve, non seulement de ses diligences auprès des clients, mais aussi de ses négociations sur le prix et sa faculté de le modifier.

C’est dans ce contexte que le tribunal de commerce de Paris a saisi la CJUE d’une question préjudicielle pour l’inviter à se prononcer sur l’interprétation du mot « négocier » (T. com. Paris, 19/12/2018, n°2017/015204). L’enjeu était important et la décision attendue avec intérêt et impatience par les praticiens du droit de la distribution.

La décision du 4 juin 2020 est claire et prend le contrepied de la position restrictive de la cour de cassation et de la cour d’appel de Paris : une personne qui assure la vente des marchandises pour un donneur d’ordres ne doit pas nécessairement disposer de la faculté d’en modifier les prix, pour être qualifiée d’agent commercial.

La cour de cassation et la cour d’appel de Paris n’ont en principe pas d’autre choix que de revenir sur leur jurisprudence et abandonner la condition du pouvoir de négocier les prix pour accorder la qualification d’agent commercial. Un bras de fer avec la cour de justice n’est cependant pas à exclure.

Aux industriels, producteurs et commerçants qui s’inquiéteraient de cette position, on rappellera que :

– le montant de 2 ans de commissions fréquemment alloué par les juridictions comme indemnité de rupture n’est pas inscrit dans la loi : les circonstances peuvent justifier d’un montant moins élevé ;

– elle est circonscrite à l’activité d’agent commercial et ne peut pas être étendue aux activités d’autres intermédiaires ou prestataires.

En effet, l’agent commercial doit veiller aux intérêts du commettant et agir loyalement et de bonne foi (directive, art. 3). En particulier, l’agent commercial doit « s’employer comme il se doit à la négociation et, le cas échéant, à la conclusion des opérations dont il est chargé ». Si ces opérations ne passent pas nécessairement par la faculté de modifier le prix des marchandises, elles nécessitent néanmoins de sa part des actions d’information et de conseil ainsi que des discussions avec les clients potentiels ou existants, afin de favoriser la conclusion des ventes des marchandises. Ce sont les efforts et les actions en ce sens qui lui confèrent le statut d’agent commercial s’il les déploie de façon permanente, et qui lui permettent d’être rémunéré puisqu’il perçoit une commission sur les ventes qui ont été conclues. Ainsi, l’intermédiaire qui ne visite jamais la clientèle ou le prestataire qui est chargé des seules opérations de publicité sur un territoire ne sauraient prétendre ni au statut d’agent commercial ni à aucune indemnité de rupture.

Catherine Robin, Associée et Ambre Luciak, stagiaire.

Après avoir fait annuler par la Cour de Justice de l’Union européenne (CJUE) en 2015 l’accord du « Safe Habor » qui régissait les transferts de données personnelles entre les Etats-Unis et l’Europe, l’autrichien Maximilian Schrems remporte une nouvelle victoire dans le litige l’opposant à Facebook Ireland Ltd. en obtenant de la Cour l’invalidation de l’accord du « Privacy Shield » qui lui avait succédé en 2016. En revanche, la Cour valide le recours à des clauses contractuelles type pour le transfert des données personnelles vers des sous-traitants établis dans des pays tiers, tout en reconnaissant que « lesdites clauses sont dépourvues de caractère contraignant à l’égard des autorités étatiques du pays tiers concerné et, partant, ne sont pas de nature à remédier à une éventuelle absence de niveau de protection adéquat dans ce pays ».

Ainsi, dans sa décision du 16 juillet 2020 dont la réelle portée est encore difficilement mesurable, la CJUE rappelle que le RGPD reste applicable à « un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un Etat membre vers un autre opérateur économique établi dans un pays tiers, nonobstant le fait que, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité publique, de défense et de sûreté de l’État ».

La Cour précise que l’évaluation du niveau de protection dans le cadre d’un transfert de données personnelles doit prendre en compte tant les stipulations contractuelles convenues entre l’exportateur des données établi dans l’Union européenne et le destinataire du transfert établi dans le pays tiers concerné que les éléments pertinents du système juridique de ce pays tiers, en ce qui concerne un éventuel accès des autorités publiques aux données ainsi transférées.

La CJUE renvoie les autorités de contrôle européennes à leur obligation de suspendre ou d’interdire un transfert de données personnelles vers un pays tiers lorsqu’elles estiment, au regard des circonstances propres à ce transfert, que les clauses types de protection des données ne sont pas ou ne peuvent pas être respectées dans ce pays et que la protection des données transférées, requise par le RGPD, ne peut pas être assurée par d’autres moyens, à défaut pour l’exportateur établi dans l’Union d’avoir lui-même suspendu ou mis fin à un tel transfert.

En l’occurrence, la Cour considère que les lois américaines ne garantissent pas aux citoyens européens une protection équivalente au RGPD, remettant ainsi en cause le cadre actuel des transferts de données personnelles entre l’Europe et les Etats-Unis.

Il s’agit donc d’une message fort de la part de la Cour de Justice, poussant clairement les autorités américaines à repenser leurs lois sur la surveillance des communications électroniques si elles veulent préserver la place des entreprises américaines sur le marché européen. Ceci est une nouvelle illustration de l’enjeu de géopolitique que représente désormais la protection des données personnelles entre les Etats-Unis et l’Europe.

A la suite de la décision de la CJUE, il devient donc essentiel pour les opérateurs économiques européens utilisant des services de prestataires américains de procéder à un audit de la situation afin de mesure leur éventuelle exposition à des risques de conformité au RGPD.

Les avocats d’Alerion du Département Protection des données personnelles peuvent assister leurs clients pour mieux appréhender l’impact de cette décision sur les traitements et fichiers d’ores et déjà effectués.

Corinne Thiérache, Associée et Carole Bui, Avocats au Barreau de Paris

Malgré le prolongement de la période d’urgence sanitaire du 23 mai 2020 à minuit au 10 juillet 2020 inclus [1], la durée de la « période juridiquement protégée » en faveur des opérateurs économiques pendant le pic de l’épidémie du Covid-19 (cf. nos newsletters du 8 avril 2020 et du 29 avril 2020) n’a pas été allongée.

La sortie du confinement à compter du 11 mai 2020 a en effet permis une reprise progressive de l’activité économique ne justifiant plus le maintien de cette protection juridique exceptionnelle. En outre, en raison des divergences de calculs de la date de fin de cette période (et les risques juridiques qui en découlaient), le gouvernement a fixé la fin de la période juridiquement protégée au 23 juin 2020 à minuit. [2]

La période juridiquement protégée (12 mars 2020 – 23 juin 2020) est donc désormais arrivée à son terme, ce qui se traduit ainsi :

1. Les astreintes, les clauses pénales, résolutoires ou de déchéance ayant pour objet de sanctionner l’inexécution d’une obligation recommencent à produire leurs effets [3] :

– Si l’application d’une clause pénale – ou le cours d’une astreinte – a pris effet avant le début de la période juridiquement protégée (avant le 12 mars 2020), elle a été suspendue pendant cette période et le décompte a repris le 24 juin 2020.

– Si le délai a expiré pendant la période juridiquement protégée (entre le 12 mars et le 23 juin 2020 inclus), le laps de temps qui restait à courir pendant la période juridiquement protégée jusqu’à la prise d’effet de la clause a été reporté et a recommencé à courir à compter du 24 juin 2020.

– Si le délai expire après la période juridiquement protégée (après le 23 juin 2020), les astreintes ne courent ou les clauses ne prennent effet qu’à la date prévue par le contrat augmentée d’une durée égale à la période juridiquement protégée (soit 3 mois et 12 jours) ou de la durée entre la date à laquelle l’obligation est née (lorsqu’elle est postérieure au 12 mars) et le 23 juin 2020.

Les astreintes et clauses sanctionnant l’inexécution d’une obligation de paiement ne sont pas concernées par ces deux derniers aménagements. [4]

2. La résiliation et la dénonciation des contrats pourra intervenir jusqu’au 23 août 2020 inclus [5] :

Si la période pendant laquelle votre contrat pouvait être résilié ou le préavis pendant lequel votre contrat pouvait être dénoncé (pour éviter sa tacite reconduction) a expiré pendant la période juridiquement protégée, votre cocontractant ou vous-même avez la possibilité de résilier ou de dénoncer ce contrat jusqu’au 23 août 2020 inclus.

3. Les relations avec l’administration reprennent [6] :

– Pour les décisions, accords ou avis de l’administration qui devaient/pouvaient intervenir ou étaient acquis pendant la période juridiquement protégée, le délai a été suspendu/reporté et a repris son cours/commencé à courir à compter du 24 juin 2020 ;

– Pour la vérification du caractère complet d’un dossier, la sollicitation de pièces complémentaires pour l’instruction d’une demande, la consultation ou participation du public par l’administration, les délais ont également repris/commencé à courir à compter du 24 juin 2020. Il convient toutefois de se rapprocher de l’administration concernée pour prendre connaissance de ses modalités de fonctionnement suivant le déconfinement.

– Pour la réalisation des contrôles et des travaux par l’entreprise ou la mise en conformité de l’entreprise à des prescriptions, il en est de même : le délai a repris/commencé à courir le 24 juin 2020.

– Pour les catégories d’actes, de procédures et d’obligations pour lesquels, pour des motifs de protection des intérêts fondamentaux de la Nation, de sécurité, de protection de la santé, de la salubrité publique, de préservation de l’environnement et de protection de l’enfance et de la jeunesse, il convient de se référer aux décrets précisant les règles applicables dans ces différents domaines.

Pour toute information complémentaire, n’hésitez pas à contacter l’équipe Droit commercial – Droit Economique.

Frédéric Saffroy et Jeanne Quéneudec

[1]Article 1er de la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions.

[2]Ordonnance n° 2020-560 du 13 mai 2020 fixant les délais applicables à diverses procédures pendant la période d’urgence sanitaire.

[3]Article 4 de l’ordonnance n°2020-306 du 25 mars 2020 modifiée.

[4]Rapport au Président de la République relatif à l’ordonnance n°2020-427 du 15 avril 2020 portant diverses dispositions en matière de délais pour faire face à l’épidémie de covid-19.

[5]Article 5 de l’ordonnance n°2020-306 du 25 mars 2020 modifiée.

[6]Article 6 et suivants de l’ordonnance n°2020-306 du 25 mars 2020 modifiée.

Corinne Thiérache est intervenue le 2 juillet 2020 dans le cadre d’un webinaire pour les Rencontres franco-arabes sur les nouveaux défis de lutte contre la cybercriminalité et de protection des données personnelles organisé par l’Association Internationale de Lutte Contre la Cybercriminalité (AILCC) sur le thème « Le RGPD : un allié pour la lutte contre la cybercriminalité au sein de l’Union européenne : cartographie de la situation, deux ans après l’entrée en application ».

La crise du Covid-19 a confirmé et accéléré la volonté des pays occidentaux de renforcer le contrôle des investissements étrangers (voir notre Newsletter de mars 2019). Récemment, la France a décidé d’élargir le champ de ce contrôle et d’appliquer des critères plus stricts pour les prises de participation dans des entreprises sensibles.

La R&D dans les biotechnologies désormais soumise à autorisation

Le 27 avril 2020, le ministre de l’Économie a signé un arrêté ajoutant les « biotechnologies » à la liste des technologies critiques soumises à la procédure de contrôle des investissements étrangers, lorsque l’activité de la société cible française comprend la recherche et le développement dans ce secteur. La liste des technologies critiques comprend déjà la cybersécurité, l’intelligence artificielle, la robotique, la fabrication additive (ou impression 3D), les semi-conducteurs, les technologies quantiques et le stockage de l’énergie.

Comme c’est le cas pour toutes ces technologies, il n’existe pas de définition légale des « biotechnologies ». Toutefois, étant donné le contexte actuel, elles comprennent évidemment la recherche d’un vaccin contre le Covid-19. Cela ne s’y limite certainement pas et cette réforme permet de protéger les entreprises françaises des sciences du vivant, non seulement en santé humaine, mais aussi en santé animale ou en génétique végétale. Bien que la protection de la santé publique soit déjà un objectif de la réglementation sur le contrôle des investissements étrangers, elle la renforce encore en réduisant les possibilités de contournement. Enfin, cet ajout est cohérent avec le Règlement européen 2019/452 du 19 mars 2019 mettant en œuvre un cadre et une coopération européenne en matière de contrôle des investissements étrangers.

Abaissement du seuil de participation de 25 % à 10 %

Compte tenu de la chute des bourses avec le Covid-19, le risque était trop élevé de voir des investisseurs étrangers – pas nécessairement amicaux… – acquérir des actions de sociétés françaises sensibles à bas prix. Le ministre a donc également décidé d’abaisser temporairement le seuil d’acquisition des droits de vote dans les sociétés sensibles nécessitant une autorisation préalable.

Une autorisation préalable est obligatoire pour toute prise de contrôle (plus de 40% ou 50% des droits de vote selon la définition du contrôle) d’une société française sensible par un investisseur étranger. Cette obligation s’applique tant aux investisseurs de l’UE/EEE qu’aux investisseurs de pays tiers. Cette autorisation est également obligatoire lorsqu’un investisseur étranger hors UE/EEE franchit le seuil de 25 % des droits de vote au sein de la société (il était auparavant de 33,3 %).

Le ministre a décidé d’abaisser ce seuil à 10 %, sous certaines conditions :

-cela ne s’applique qu’aux sociétés cotées en bourse,

-cela ne s’applique pas aux investisseurs de l’UE et de l’EEE,

-cette mesure devrait prendre fin le 31 décembre 2020,

-une procédure spéciale est mise en œuvre, en vertu de laquelle le ministre disposera de 10 jours pour décider si l’opération doit faire l’objet d’un examen complémentaire (le délai habituel est de 30 jours).

Cette mesure aurait dû entrer en vigueur le 1er juillet 2020. Toutefois, à ce jour, le décret en Conseil d’État annoncé n’a pas été adopté.

* * *

Le contrôle des investissements étrangers en bref

Tout investissement – direct ou indirect – réalisé par acquisition d’actions (prise de contrôle ou, pour les investisseurs hors EEE, acquisition de plus de 25 % des droits de vote de la société cible) ou acquisition d’un fonds de commerce ou d’actifs (tout ou partie d’une branche d’activité d’une société) d’une entreprise française sensible est soumis à autorisation préalable du ministre de l’Économie, sous peine de nullité et de lourdes sanctions financières.

Les secteurs contrôlés comprennent, pour les investisseurs européens et non européens, (i) les activités de nature à porter atteinte aux intérêts de la défense nationale, de l’ordre public ou de la sécurité publique (matériels de guerre et assimilés, biens à double usage, dépositaires du secret de la défense nationale, sécurité des systèmes d’information, cryptologie, stockage de données sensibles…) ou (ii) les mêmes activités lorsqu’elles portent sur des infrastructures, biens ou services essentiels (énergie, eau, transports, opérations spatiales, communications, intégrité, sécurité et continuité d’un opérateur d’importance vitale, santé publique, produits agricoles, presse) et (iii) les activités de R&D dans les secteurs précités et liées aux technologies critiques telles que définies dans l’arrêté du 31 décembre 2019 (cybersécurité, intelligence artificielle, robotique, biotechnologies…), ainsi qu’aux biens et technologies à double usage.

Enfin, le contrôle des investissements étrangers s’applique quel que soit le montant de l’opération : aussi bien aux grands groupes cotés qu’aux petites entreprises ou aux start-up dont le chiffre d’affaires n’est pas significatif.

Pour toute information complémentaire, n’hésitez pas à contacter l’équipe Conformité et Affaires réglementaires.

Frédéric Saffroy et Jeanne Quéneudec

CA Paris, 2 juin 2020, n°18/05421

La cour d’appel de Paris, dans la lignée de la jurisprudence relative aux mises à l’écart de salariés, a qualifié de harcèlement moral la situation du salarié à qui on avait retiré des tâches sans son accord, lequel invoquait l’existence d’un « bore-out ».

La « mise au placard » est depuis longtemps sanctionnée par les juges…

Mis à l’écart depuis 2010, le salarié ne se voyait plus confier de tâches correspondant à ses fonctions ou à sa qualification. Il n’était affecté qu’à des travaux subalternes « relevant de fonctions d’homme à tout faire ou de concierge privé au service des dirigeants de l’entreprise ».

Cette mise à l’écart caractérise une dégradation des conditions de travail du salarié avec des répercussions sur sa santé : l’intéressé est ainsi victime d’une crise d’épilepsie au volant de sa voiture qui sera suivie d’une dépression sévère.

Licencié en 2014 pour absence prolongée désorganisant l’entreprise et nécessitant son remplacement définitif, il conteste le motif de son licenciement en invoquant une situation de « bore-out ».

Cette notion, attribuée à deux consultants suisses, Philippe Rothlin et Peter R. Werder, se définit comme une souffrance psychologique durable imputable au manque de travail à l’ennui et à l’absence de satisfaction dans le cadre professionnel.

… mais la plupart du temps en revenant à la notion de harcèlement moral

Si la cour d’appel de Paris n’a pas entendu reprendre spécifiquement le terme de « bore-out » invoqué par le demandeur dans ses conclusions, celle-ci a en revanche considéré que les causes et manifestations du « bore-out » étaient des éléments de nature à caractériser un harcèlement moral.

Pour ce faire, la cour a retenu les diverses attestations produites ainsi que les données médicales versées au dossier permettant d’établir un lien entre les conditions de travail du salarié, la dégradation de sa situation de santé et à de rares exceptions, un « bore-out ».

La notion de « bore-out » a été utilisée à plusieurs reprises devant des juridictions d’appel, notamment devant la cour d’appel de Lyon qui avait retenu l’existence d’un harcèlement moral dans le cas d’un salarié qui contestait le licenciement pour inaptitude dont il avait fait l’objet à la suite, toujours selon le salarié, d’un « bore-out » (CA Lyon, 21 décembre 2018, n°17/01392).

La Chambre criminelle de la Cour de cassation a également retenu des comportements caractéristiques du concept de « bore-out », notamment l’absence de travail, l’isolement des personnels ou encore l’attribution de missions dévalorisantes (Crim., 26 janvier 2016, n°14-80.455).

Le « bore-out » a-t-il un futur ?

Si le bore-out ne constitue qu’une nouvelle terminologie pour caractériser mises à l’écart, manœuvres d’isolement ou attribution de missions dévalorisantes, la définition que l’on connait du harcèlement moral ne devrait pas en être chamboulée.

Si en revanche, les juges entendaient élargir cette définition à des situations économiques ou sociologiques dégradées dans l’entreprise telles que l’absence d’accompagnement et de soutien adaptés de la part des ressources humaines à certains salariés, ou encore les formations insuffisantes, la réduction substantielle de l’activité de collaborateurs liée au contexte économique ou à tout autre évènement indépendant de la volonté telle qu’une crise sanitaire, une étape serait alors franchie quant aux conditions d’appréciation de l’obligation mise à la charge de l’employeur de fournir du travail à ses collaborateurs.

Jacques Perotto, Associé et Anne-Sophie Houbart, Juriste en Droit social.

Dans son rapport d’activité publié début juin 2020, la CNIL revient sur les temps forts de 2019 et les grands enjeux à venir. En cette deuxième année d’application du Règlement général sur la protection des données (RGPD), la CNIL constate des chiffres inédits qui témoignent d’une forte mobilisation des citoyens et des entreprises autour de la protection des données. L’année 2019 a également été marquée par une sanction record, traduisant l’activation des nouveaux plafonds de sanctions prévus par le RGPD.

• La CNIL, « alliée de confiance du quotidien numérique »

Selon un sondage IFOP réalisé en octobre 2019, 68% des Français se disent plus sensibles à la question de la protection de leurs données personnelles. Cette prise de conscience va de pair avec des inquiétudes grandissantes : les piratages ou vols de données, les spams et sollicitations commerciales ou encore l’utilisation des données par les réseaux sociaux.

Parallèlement, 21 000 délégués à la protection des données (DPO) supplémentaires ont été désignés (soit 31% d’augmentation par rapport à 2018).

• Hausse du nombre de plaintes

En 2019, la CNIL a reçu 14 137 plaintes, soit une hausse de 27% par rapport à 2018 (11 077). Près d’un tiers des plaintes porte sur la publication de données personnelles sur internet. De plus, 422 plaintes étaient relatives au déréférencement et la CNIL a obtenu la résolution des situations dans 98% des cas transmis aux moteurs de recherche.

Les plaintes concernent principalement la prospection commerciale, associative et politique (14,7% des plaintes), la surveillance des employés sur leur lieu ou pendant leur temps de travail (10,7% des plaintes), des demandes d’effacement de contenus concernant des articles de presse en ligne, ou encore les défauts de sécurisation des données.

Les principaux secteurs concernés par les plaintes sont les suivants : internet/télécom (34%), commercial (23%) et travail (18%).

• L’activité de contrôle et de sanction au cœur de la régulation du numérique

En 2019, la CNIL a effectué 300 contrôles, dont 169 sur place, 53 en ligne, 45 sur pièces et 18 auditions.

En outre, 8 sanctions ont été prononcées, dont 7 amendes d’un montant total de 51 370 000 euros, comprenant la plus forte amende prononcée à ce jour par une autorité de protection des données en Europe, à savoir la décision de la CNIL du 21 janvier 2019 condamnant la société GOOGLE à une amende d’un montant de 50 millions d’euros, confirmée par une décision du Conseil d’État en date du 19 juin 2020.

Ces sanctions concernaient principalement des atteintes à la sécurité des données personnelles, des manquements à l’obligation d’information des personnes, des manquements liés aux durées de conservation des données et le non-respect du droit d’accès prévu par le RGPD.

Par ailleurs, 42 mises en demeure ont été prononcées, dont 2 publiques en raison de l’importance des manquements constatés, ainsi que 2 rappels à l’ordre et 2 avertissements.

• Conseil aux pouvoirs publics et au Parlement et accompagnement des professionnels intensifié

En 2019, la CNIL a participé à 33 auditions parlementaires et donné 117 avis sur des projets de textes.

La CNIL a également renforcé sa doctrine en 2019 : la liste des opérations de traitements nécessitant une analyse d’impact relative à la protection des données (AIPD) a été complétée par une liste des traitements pour lesquels, au contraire, une analyse n’est pas requise.

• Une coopération européenne et internationale renforcée

La coopération entre les autorités européennes continue de se développer. 79 décisions finales ont été adoptées dans le cadre européen en 2019.

En outre, 4 nouvelles lignes directrices européennes ont été adoptées sur le champ d’application territorial, les codes de conduite, la base légale « contrat » pour la fourniture de services en ligne, ou encore les dispositifs vidéo. 2 consultations publiques ont également été amorcées, l’une sur la protection des données dès la conception et par défaut (data protection by design and by default), l’autre sur les critères du droit à l’oubli dans les moteurs de recherche.

Au niveau international, les autorités réunies au sein du Comité européen de la protection des données (CEPD) ont émis un avis favorable sur le premier outil de transferts de données entre autorités publiques dans le domaine des services financiers et participé à l’évaluation annuelle du cadre juridique de transferts de données commerciales entre l’UE et les Etats-Unis (Bouclier de protection des données).

• Les enjeux de la CNIL pour 2020 et 2021

– Une recommandation sur les cookies et autres traceurs

Concernant le ciblage publicitaire en ligne, la CNIL a proposé un plan d’action le 28 juin 2019 qui a deux objectifs : répondre aux plaintes individuelles et collectives et accompagner les professionnels du secteur du marketing digital dans leur mise en conformité par rapport aux obligations du RGPD.

Après la publication de lignes directrices le 19 juillet 2019 et à la suite d’une consultation publique conduite du 14 janvier au 25 février 2020, la CNIL publiera une recommandation proposant des modalités opérationnelles de recueil du consentement.

En raison de la crise sanitaire, et comme nous l’avions indiqué le 31 mars 2020, la recommandation de la CNIL a été reportée et n’est pas attendue avant septembre 2020.

En particulier, la CNIL a annoncé dans un communiqué que la publication finale de la recommandation prendra acte de la décision du Conseil d’Etat rendue le 19 juin 2020, laquelle annule partiellement les lignes directrices de la CNIL du 4 juillet 2019 relatives aux cookies et autres traceurs à la suite du recours de neuf associations professionnelles représentatives du monde du marketing ciblé en ligne (dont le GESTE). La CNIL les ajustera « dans la stricte mesure de ce qui est nécessaire pour tirer les conséquences de cette décision. »

Dans sa décision, le Conseil d’Etat juge en effet que la CNIL ne pouvait pas légalement interdire dans ses lignes directrices les « cookies walls », pratique qui consiste à bloquer l’accès à un site internet en cas de refus des cookies. Il juge ainsi qu’en déduisant une interdiction générale et absolue de la seule exigence posée par le RGPD d’un consentement libre de l’utilisateur au dépôt de traceurs, la CNIL a excédé ce qu’elle pouvait légalement faire dans le cadre d’un acte de « droit souple ».

Par ailleurs, le Conseil d’Etat a souligné que les éditeurs de sites n’avaient pas besoin de demander un consentement spécifique pour chaque finalité distincte, l’internaute pouvant donner un consentement global. En revanche, le consentement de l’utilisateur doit être précédé d’une information spécifique pour chacune des finalités.

Enfin, le Conseil d’Etat confirme la légalité des autres points contestés, concernant la facilité de refus ou de retrait du consentement aux cookies, la durée recommandée de conservation des cookies ou l’information des utilisateurs sur les cookies non soumis au consentement préalable.

Après la décision du Conseil d’Etat du 27 mars 2020 rappelant à la CNIL la portée géographique nécessairement limitée du droit au déréférencement, cette nouvelle décision du Conseil d’Etat portant sur les lignes directrices du 4 juillet 2019 est un signal clair lancé à la CNIL contre toute velléité de surinterprétation du texte européen. Cette situation permet aux acteurs économiques, notamment à ceux représentés par les neuf associations professionnelles à l’origine de cette dernière action, de rééquilibrer le rapport de forces avec la CNIL et ainsi instaurer un dialogue constructif pour faire avancer sur la nécessaire protection des données personnelles prenant en compte d’autres paramètres, notamment l’environnement de l’économie digitale et ses contraintes.

– Participer activement aux débats sur la reconnaissance faciale

Si la reconnaissance faciale connaît de nombreuses avancées (par exemple en ce qui concerne la reconnaissance d’émotions) et si des impératifs de sécurité sont apparus ces dernières années, la CNIL a appelé dès 2018 un débat et y a contribué le 15 novembre 2019 en publiant ses objectifs :

o Présenter techniquement la reconnaissance faciale et la diversité des usages ;

o Mettre en lumière les risques (technologiques, éthiques ou sociétaux) ;

o Rappeler le cadre s’imposant aux dispositifs (RGPD, directive « Police-Justice », loi Informatique et Libertés) ;

o Préciser le rôle de la CNIL dans les futures expérimentations (pouvoirs d’enquête et de mesures correctrices, être conseillère dans les futurs débats).

– La mobilisation de la CNIL face à la pandémie du Covid-19

Depuis mi-mars 2020, la CNIL est mobilisée pour protéger la vie privée et les libertés des personnes dans le contexte de la crise sanitaire. Elle a publié de nombreux contenus sur le télétravail, la continuité des activités, la recherche ou encore les données qui peuvent être traitées par les employeurs.

Dans ce contexte, et comme nous l’avions indiqué le 28 mai dernier, CNIL a été saisie en urgence par le Gouvernement d’avis sur les fichiers SI-DEP et Contact Covid et sur l’application mobile StopCovid. Après s’être prononcée sur les projets de décrets, la CNIL a entamé début juin une campagne de contrôle de ces outils.

Par ailleurs, de nouveaux dispositifs de caméras dites « intelligentes » sont envisagés par des acteurs publics et privés pour faciliter la gestion de la crise sanitaire. Toutefois, leur déploiement présente des risques importants pour les droits et libertés des citoyens. Le 17 juin 2020, la CNIL a précisé les règles applicables et appelé à la vigilance, dans la mesure où ces dispositifs doivent apporter des garanties au regard du RGPD (proportionnalité, durée de conservation limitée, mesures de pseudonymisation ou d’anonymisation, absence de suivi individuel, etc.). En outre, si des données sensibles sont traitées, telle que la captation d’informations personnelles de santé ou d’informations biométriques, ou si le droit d’opposition n’est pas possible (du fait, par exemple, du « balayage vidéo » de la caméra dans une rue), il est nécessaire de prévoir un cadre légal adapté.

– Les axes stratégiques de la CNIL

Enfin, le rapport mentionne 5 axes stratégiques qui permettront à la CNIL, d’ici 2021, de « construire des solutions durables respectueuses des textes et appliquées par tous, pour poser un cadre sécurisant pour les entreprises et les consommateurs » :

o Donner la priorité aux enjeux numériques de la vie quotidienne des Français ;

o Assumer une régulation équilibrée de la protection des données entre répression et accompagnement ;

o Offrir une expertise publique de pointe sur le numérique et la cybersécurité ;

o Incarner un service public innovant et rassemblé autour de ses valeurs ;

o Prendre une part active dans la géopolitique internationale de la donnée et s’engager dans une véritable « diplomatie de la donnée ».

Ce sont autant d’enjeux passionnants sociétaux et de problématiques juridiques et/ou techniques auxquels les avocats d’Alerion du Département Protection des données personnelles sont particulièrement aguerris pour accompagner au mieux leurs clients dans le cadre de leur mise en conformité en amont de tout contrôle de la CNIL ou dans le cadre de contrôle diligenté par la CNIL.

Corinne Thiérache, Associée et Alice Marie, Elève-Avocat

Après des mois de controverse, la proposition de loi visant à lutter contre les contenus haineux sur internet adoptée par le Parlement le 13 mai 2020 devait entrer en application le 1er juillet prochain mais se trouve désormais privée d’une grande partie de sa substance.

Par sa décision n° 2020-801 DC du 18 juin 2020, le Conseil constitutionnel s’est prononcé sur cette loi, dont il avait été saisi par plus de soixante sénateurs le 18 mai 2020.

Tout en réaffirmant que la Constitution permet au législateur de réprimer les abus de la liberté d’expression et de communication, le Conseil constitutionnel censure des dispositions portant à cette liberté des atteintes qui ne sont pas adaptées, nécessaires et proportionnées.

Il s’agit de deux séries de dispositions de l’article 1er de la loi déférée instituant à la charge de différentes catégories d’opérateurs de services de communication en ligne de nouvelles obligations de retrait de certains contenus diffusés en ligne.

La première série de dispositions permet à l’autorité administrative de demander aux hébergeurs ou aux éditeurs d’un service de communication en ligne de retirer dans un délai d’une heure certains contenus à caractère terroriste ou pédopornographique et prévoyant l’application d’une peine d’un an d’emprisonnement et de 250 000 euros d’amende en cas de manquement.

S’il juge en des termes inédits que constituent des abus de la liberté d’expression et de communication qui portent gravement atteinte à l’ordre public et aux droits des tiers la diffusion d’images pornographiques représentant des mineurs et la provocation à des actes de terrorisme ou l’apologie de tels actes, le Conseil constitutionnel considère néanmoins que la détermination du caractère illicite des contenus ne repose pas sur leur caractère manifeste mais qu’elle est soumise à la seule appréciation de l’administration. Pour faire ce constat, il a été considéré que le délai laissé à l’opérateur pour s’exécuter ne lui permettait pas d’obtenir une décision du juge. Pour les contenus signalés par des personnes, le Conseil souligne le risque que les opérateurs soient incités à retirer tous les contenus contestés, y compris ceux qui sont licites.

La seconde série de dispositions impose à certains opérateurs de plateforme en ligne de retirer ou de rendre inaccessibles dans un délai de vingt-quatre heures des contenus manifestement illicites en raison de leur caractère haineux ou sexuel, sous peine de sanction pénale. Le Conseil constitutionnel juge que, compte tenu des difficultés d’appréciation du caractère manifestement illicite des contenus signalés dans le délai imparti, de la peine encourue dès le premier manquement et de l’absence de cause spécifique d’exonération de responsabilité ne permettant pas de déterminer la portée de cette dernière, les dispositions contestées ne peuvent qu’inciter les opérateurs de plateforme en ligne à retirer les contenus qui leur sont signalés, qu’ils soient ou non manifestement illicites.

La censure de ces dispositions entraîne, par voie de conséquence, celle des dispositions du texte qui organisaient la mise en œuvre de l’obligation de retrait de contenus.

Dès lors, il convient de saluer la sagesse du Conseil constitutionnel qui a ainsi totalement joué son rôle en rappelant les principes élémentaires de notre Constitution et le rôle incontournable du juge judiciaire, garant de nos libertés et droits essentiels.

Corinne Thiérache, Associée, et Alice Marie, Elève-Avocat du Département Droit des technologies et du numérique.

Après des débats animés consultables notamment sur la plateforme de l’Assemblée Nationale au cours desquels se sont confrontés les défenseurs d’une solution technologique au nom de la préservation de la santé et ceux vigilants quant à toute « fausse solution » technologique qui ne serait que le Cheval de Troie d’une société de plus en plus surveillée et connectée au mépris de la vie privée et des libertés, le Parlement a validé hier sans surprise la création et l’accès très prochain à l’application de contact tracing du gouvernement « StopCovid », projet actuellement piloté par le Secrétariat d’Etat chargé du Numérique.

Pour mémoire, « StopCovid » consiste en une application mobile téléchargeable, sur la base du volontariat, et permettant à son utilisateur d’être prévenu lorsqu’il a été en contact avec un malade testé positif au Covid-19 lui-même utilisateur de cette application. L’objectif final est de permettre à la personne alertée de se faire dépister et d’être prise en charge au plus tôt, ou de se confiner afin de briser les chaînes de transmission du virus, en l’absence notamment de symptômes. Cette application repose notamment sur l’utilisation de la technologie de communication de proximité « Bluetooth » pour évaluer la proximité entre deux smartphones, sans recourir à une technologie de géolocalisation.

Il s’agit donc d’un outil complémentaire de prévention et de lutte contre le Covid-19, qui permettrait d’accompagner la seconde phase de déconfinement qui débutera le 2 juin prochain.

Compte tenu des enjeux évidents en matière de protection des données personnelles et de la vie privée, la Commission Nationale de l’Informatique et des Libertés (CNIL) avait déjà rendu un premier avis favorable le 26 avril dernier sur le principe même du déploiement d’une telle application et émis certaines réserves afin de garantir au mieux la vie privée des utilisateurs.

Dans sa délibération n°2020-056 du 25 mai 2020, la CNIL, saisie en urgence pour avis sur le projet de décret relatif à l’application « StopCovid », a estimé que « l’application peut être légalement déployée » tout en émettant des recommandations additionnelles concernant en particulier l’information fournie aux utilisateurs (y compris mineurs), le droit d’opposition et d’effacement des données pseudonymisées enregistrées, outre le libre accès à l’intégralité du code source de l’application mobile et du serveur. Plus important, la CNIL a insisté sur « la nécessité d’étudier plus précisément l’utilité du dispositif après son lancement, la durée de mise en œuvre devant être conditionnée aux résultats de cette évaluation régulière ».

L’application devrait être disponible dans les App Store et Google Play Store, au plus tôt dès le 30 mai prochain après la mise en place du bug bounty pour déceler ses éventuelles failles de sécurité.

Comme de nombreux acteurs publics, le Barreau de Paris dans la délibération du Conseil de l’Ordre du 26 mai 2020, appelle à la plus grande vigilance sur l’utilisation d’une telle application compte tenu des risques « d’atteintes aux droits fondamentaux », « d’accoutumance au traçage » et de « faux sentiment de sécurité que cette application procurerait » en cette période sanitaire qui ne pourra trouver comme seule réponse le « solutionnisme technologique ».

A utiliser avec toute la prudence requise !

Pour en savoir plus sur les problématiques posées par le déconfinement en matière de traitement de données de santé, un article corédigé par nos soins sera prochainement publié dans la revue juridique « Expertises » au cours du mois de juin 2020. (www.expertises.info)

Corinne Thiérache, Associée et Carole Bui, avocats du Département Droit des technologies et du Numérique d’Alerion

Suspension de l’obligation d’achat en application de la clause de force majeure, spécificité de la clause, notion de « conditions économiques raisonnables ».

T.com. Paris, ordonnance de référé du 20 mai 2020, TOTAL DIRECT ENERGIE / EDF

Le juge des référés suspend l’obligation d’achat de Total Direct Energie (TDE) stipulée dans le contrat-cadre la liant à EDF, faisant ainsi application de la clause de force majeure convenue entre les parties.

Le différend était relatif à un contrat-cadre de fourniture d’électricité liant les parties et aux termes duquel TDE avait pris des engagements fermes d’achat d’électricité. Face à la baisse brutale de la consommation d’électricité causée par les mesures gouvernementales liées à l’épidémie de coronavirus, et du fait de son impossibilité de stocker, TDE avait été contrainte de revendre à perte les quantités d’électricité achetées à EDF. TDE avait alors sollicité de EDF la suspension du contrat en se prévalant de la clause de force majeure qu’il prévoyait. EDF s’opposait à la suspension en faisant valoir, selon les termes de l’ordonnance, que les conditions de la force majeure n’étaient pas réunies et que TDE n’était pas dans l’impossibilité d’exécuter le contrat à savoir, notamment, de prendre livraison et de payer le prix correspondant. EDF soulignait que les conditions techniques et financières des livraisons étaient inchangées et qu’en réalité, TDE exprimait une volonté de remettre en cause le contrat.

Pour ordonner la suspension du contrat, le juge des référés conclut à l’existence d’un cas de force majeure. Ce faisant, il applique la clause contractuelle convenue entre les parties qui donne une définition spécifique de la force majeure, différente de celle du code civil.

En effet, la force majeure telle que définie par le contrat en cause désignait « un événement extérieur, irrésistible et imprévisible rendant impossible l’exécution des obligations des parties dans des conditions économiques raisonnables ».

Si la clause prévoyait bien les trois caractéristiques habituelles de la force majeure (extériorité, irrésistibilité et imprévisibilité), elle se distinguait dans les conséquences que la survenance de l’événement produisait sur les obligations contractuelles. Ainsi, quand la force majeure retenue par le code civil (art. 1218) est celle dont les effets ne peuvent pas être évités et qui empêche l’exécution de l’obligation concernée, la force majeure visée dans le contrat en cause était celle qui « rendait impossible l’exécution des obligations des parties dans des conditions économiques raisonnables ». En introduisant la notion de « conditions économiques raisonnables », les parties avaient donné un champ d’application plus large à l’événement susceptible de suspendre le contrat, qui lie le juge dans son interprétation et le conduit à vérifier l’aspect économique de la situation alors que :

– cette vérification est exclue de la force majeure traditionnelle (une exécution plus onéreuse du contrat, ne constitue pas une impossibilité d’exécuter exonératoire de responsabilité) ;

– cette analyse relève plutôt du mécanisme de l’imprévision introduit dans le code civil pour les contrats conclus après le 1er octobre 2016 (art. 1195), selon lequel un changement de circonstances, imprévisible à la conclusion du contrat, qui rend son exécution excessivement onéreuse pour une partie, lui permet de demander une renégociation des termes contractuels et, en cas d’échec, de saisir le juge pour les réviser ou mettre fin au contrat.

Conclu avant la mise en place du mécanisme de l’imprévision, le contrat entre EDF et TDE avait donc prévu un outil mélangeant la notion de force majeure et le changement de conditions économiques, destiné à s’appliquer « immédiatement » et « de plein droit » comme le souligne le juge.

A ce titre, il subsiste à notre sens une confusion dans la décision. En effet, le juge caractérise la force majeure en ce qu’il énonce que « la diffusion du virus revêt, à l’évidence, un caractère extérieur aux parties, qu’elle est irrésistible et qu’elle était imprévisible comme en témoignent la soudaineté et l’ampleur de son apparition ». Or, si l’événement est bien « extérieur » aux parties et « imprévisible » en mai 2016, date de la conclusion du contrat, est-il vraiment « irrésistible » dans la relation TDE -EDF ? Sous l’empire du droit antérieur, un événement « irrésistible » s’entend comme un événement « insurmontable » dont les effets ne peuvent pas être évités par des mesures appropriées, ce qui écarte la notion de force majeure pour des obligations de payer et pour toute difficulté financière. Or, en l’espèce, et EDF le soulignait, TDE semblait se prévaloir essentiellement du fait que la situation l’empêchait de revendre l’électricité à un prix économiquement intéressant pour elle. Le jeu de la clause contractuelle s’apparentait donc à un outil de rétablissement d’un équilibre économique ? On regrette néanmoins la brièveté de la décision en ce qu’elle énonce, sans motivation, que la diffusion du virus remplit le caractère « irrésistible » de la force majeure, ce qui est probablement dû à l’absence de contestation des parties sur ce point.

Cette ordonnance de référé nous rappelle l’importance des clauses contractuelles et la liberté des parties dans leur rédaction tout comme la nécessité de vérifier, à chaque fois, leur contenu, la définition des événements en cause, les conditions et modalités de mise en œuvre, les conséquences de leur application…

Affaire à suivre …

Catherine Robin, Associée