Lumière sur …. 3 nouvelles sources d’obligations pour les entreprises en matière de protection de l’environnement

La protection de l’environnement est un enjeu incontournable de notre ère. Nouveau moteur du développement de l’économie mondiale, elle a entraîné l’adoption de nombreuses règlementations dans le but d’encadrer les pratiques des acteurs économiques et de les responsabiliser face aux préoccupations environnementales en forte croissance. Cette dynamique s’est renforcée depuis septembre 2015, lorsque les 193 États membres de l’ONU ont adopté un programme de développement durable à l’horizon 2030 intitulé « Agenda 2030 » fixant 17 objectifs de développement durable à atteindre[1].

Dans cette démarche, l’Union européenne ne cesse de renforcer son cadre législatif en matière de durabilité à travers diverses initiatives. Trois textes récents incarnent cette volonté à travers différents primes : la directive dite « CSRD » par le reporting extrafinancier des entreprises (1), la directive sur le droit à la réparation s’inscrivant dans un objectif de lutte contre l’obsolescence programmée et octroyant un levier supplémentaire aux consommateurs pour la durabilité de leur produits (2) et enfin le règlement contre la déforestation et la dégradation des forêts contraignant les entreprises à produire dans le strict respect de l’environnement (3).

 

1/ Une évaluation de la durabilité des entreprises grâce à la CSRD

Applicable depuis le 1er janvier 2024, la directive européenne Corporate Sustainability Reporting Directive (CSRD)[2], impose aux entreprises de nouvelles obligations de reporting[3] extra-financier visant à améliorer la transparence et la comparabilité des informations sur leur durabilité. Les entreprises doivent transmettre, par le biais de ce reporting, des données :

  • Sociales : égalité des chances, conditions de travail, mesures adoptées contre la corruption…
  • Environnementales : atténuation et adaptation au changement climatique, biodiversité, définition des enjeux environnementaux à court et moyen terme…
  • De gouvernance : rôle des organes d’administration, gestion des risques, diversité au sein des conseils exécutifs…

Dans un objectif d’harmonisation et de meilleure comparaison des données, ces dernières doivent être transmises dans le respect des normes de standardisation européennes dites « ESRS »[4] et devront être publiées dans une section dédiée du rapport de gestion des entreprises concernées.

Sont assujetties à l’obligation de reporting :

  • Toutes les sociétés cotées sur les marchés règlementés européens, à l’exception des microentreprises telles que définies par l’article 3 de la directive 2013/34/UE du 23 juin 2023 dite « directive Comptable » et dont le premier reporting devra être publié en 2025. Toutefois, les PME bénéficient d’obligations de reporting allégées.
  • Toutes les autres grandes entreprises européennes, c’est-à-dire, selon la directive Comptable, les sociétés, cotées ou non, au-dessus de deux des trois seuils suivants : 250 salariés ; 40 M€ de chiffre d’affaires et/ou 20 M€ de total de bilan, dont le premier reporting doit être publié en 2026 ;
  • Certaines sociétés non européennes ayant un chiffre d’affaires européen supérieur à 150M€ et une filiale ou succursale basée dans l’Union européenne, dont le premier reporting devra être publié en 2029.

En plus des normes ESRS, de nouvelles normes seront progressivement adoptées par voies d’actes délégués[5] afin de structurer les données à communiquer par les entreprises :

  • Des normes « universelles » applicables à l’ensemble des sociétés, quel que soit leur secteur d’activité. Elles couvrent les enjeux transversaux ainsi que l’ensemble des thématiques socio-environnementales ;
  • Des normes sectorielles ;
  • Des normes spécifiques pour les PME cotées sur les marchés règlementés.

Par ailleurs, la CSRD instaure une double matérialité consistant à analyser tous les critères environnementaux, sociaux et de gouvernance (ESG) sous un double prisme. La matérialité permet d’identifier les informations comptables susceptibles d’avoir un impact sur la performance financière d’une entreprise. Concrètement, une information est dite matérielle lorsqu’elle dépasse un « seuil de signification », un montant au-delà duquel les décisions économiques, notamment celles des investisseurs, sont susceptibles d’être influencées.

Ces deux prismes sont les suivants :

  • La matérialité financière ; c’est-à-dire les impacts positifs et négatifs des enjeux de durabilité sur les performances financières de l’entreprise ;
  • La matérialité d’impact ; à savoir les impacts positifs et négatifs de l’entreprise sur son environnement économique, social et naturel.

Sur la plateforme Impact mise en place par le gouvernement (https://www.impact.gouv.fr/ ), les entreprises peuvent évaluer leurs performances selon 45 indicateurs ESG.

En cas de non-respect des obligations de reporting, de lourdes sanctions peuvent être prononcées à l’égard du dirigeant :

  • Amende de 3750 euros en cas de non-publication du reporting ou de publication d’informations partielles ou erronées ;
  • Amende de 30 000 euros et jusqu’à 2 ans d’emprisonnement en cas de non-audit du reporting extra-financier ;
  • Amende de 75 000 euros et jusqu’à 5 ans d’emprisonnement en cas d’entrave aux vérifications ou contrôles des auditeurs.

Les démarches instaurées par la directive CSRD visent à promouvoir une transparence accrue des pratiques des entreprises, tout en encourageant une gestion plus responsable. Toutefois, l’Union européenne ne limite pas son approche durable aux pratiques internes des organisations et l’étend également à la manière dont les produits eux-mêmes sont conçus, utilisés et réparés. C’est dans ce cadre qu’intervient la directivité sur le droit à la réparation ayant pour objet de prolonger la durée de vie des produits et à réduire les déchets, en facilitant l’accès des consommateurs aux services de réparation et aux informations sur les pièces détachées.

 

2/ Un nouveau levier pour les consommateurs : la directive européenne sur la réparabilité

         Pilier de la transition énergétique française et priorité de la Convention citoyenne[6], l’interdiction de la lutte contre l’obsolescence programmée passe notamment par un soutien aux secteurs de la réparation[7]. En réponse à cet enjeu environnemental majeur, la directive européenne du 13 juin 2024 dite « Droit à la réparation »[8], vise à encourager la durabilité des produits et réduire les déchets électroniques. Pour cela, elle rend les conditions de réparation des produits plus attractives pour les consommateurs en imposant des obligations contraignantes aux fabricants, désormais tenus de réparer les produits techniquement réparables[9], depuis le 30 juillet 2024.

La directive établit une liste exhaustive des produits couverts par les obligations de réparabilité, à savoir :

  • Les téléphones portables et tablettes,
  • Les lave-linges et sèche-linges,
  • Les lave-vaisselles,
  • Les aspirateurs,
  • Les nettoyeurs à haute pression,
  • Les réfrigérateurs,
  • Les matériaux de soudage,
  • Les serveurs et produits de stockage de données.

S’il choisit de réparer son produit plutôt que d’en acheter un nouveau pendant la période de garantie légale, le consommateur bénéficie d’une extension de garantie d’un an l’incitant ainsi à se tourner vers cette solution plus durable.

De plus, le consommateur peut plus facilement entrer en contact avec les réparateurs de sa région grâce à la nouvelle plateforme en ligne de mise en relation du consommateur et du réparateur. Se trouveront sur cette plateforme les ateliers de réparation agréés, les expertises mises en service ou encore les avis d’autres consommateurs sur lesdits ateliers.

Enfin, la directive met en place un formulaire européen d’informations sur la réparation, comprenant des informations sur le processus de réparation, les délais, les coûts et autres conditions spécifiques.

En parallèle de cette avancée significative en matière de droit à la réparation, l’Union européenne intensifie également ses efforts contre la perte de biodiversité et agit directement sur le changement climatique en adoptant un règlement afin de lutter contre les produits issus de la déforestation et/ou favorisant la dégradation des forêts.

 

3/ Une protection directe de l’environnement par le règlement contre la déforestation et la dégradation des forêts.

L’objectif du Règlement 2023/1115[10] est de réduire le plus possible la part de l’Union Européenne dans la déforestation et dans la dégradation des forêts dans le monde. Pour ce faire, les commerçants et opérateurs[11] de produits bovins, de cacao, de café, d’huile de palme, de caoutchouc, de soja et de bois doivent s’assurer, à compter du 30 juin 2025, que ces produits :

  • Soient issus d’une politique « zéro déforestation » ;
  • Qu’ils respectent la législation du pays d’origine ;
  • Qu’ils fassent l’objet d’une déclaration de diligence raisonnée.

Le règlement institue une obligation de déclaration à la charge des opérateurs et des commerçants afin que ces derniers contribuent efficacement à l’atteinte des objectifs fixés.

Tout d’abord, les opérateurs et les commerçants doivent exercer une « diligence raisonnée » avant d’importer, d’exporter ou de vendre sur le marché les produits listés en cause. La diligence raisonnée est une déclaration devant être complétée par les opérateurs et les commerçants, dans le système d’information européen dédié, avant chaque mise sur le marché, afin de garantir la légalité des produits et l’absence de provenance de la déforestation. Ces acteurs ont l’obligation de transmettre à leurs clients les informations relatives à la diligence raisonnée et son numéro de déclaration. Les TPE/PME sont exemptées de la déclaration de diligence raisonnée.

Trois étapes composent la déclaration de diligence raisonnée :

  • Étape 1 : Le « recueil d’informations » au cours duquel l’entreprise renseigne la quantité de produits mis sur le marché ou exportés, la description de ceux-ci, les pays et zones de production, ses fournisseurs etc…[12];
  • Étape 2 : L’« évaluation du risque » par l’entreprise qui doit estimer le niveau de risque du pays, l’ampleur de la déforestation… Si un risque de déforestation ou de dégradation est avéré, l’entreprise doit suivre la dernière étape.
  • Étape 3 : L’ « Atténuation du risque » au cours de laquelle l’entreprise doit fournir des données supplémentaires, fait l’objet d’enquêtes et audits supplémentaires.

Le ministère de la Transition écologique et de la Cohésion des territoires ou le ministère de l’Agriculture et de la Souveraineté alimentaire seront garants du contrôle annuel du respect de ces dispositions. Diverses sanctions sont encourues pour le non-respect des obligations imposées par le Règlement :

  • Confiscation des produits non conformes et de leurs revenus ;
  • Amende pouvant atteindre 4% du chiffre d’affaires annuel ;
  • L’exclusion temporaire, pendant une période maximale de douze mois, des procédures de passation de marchés publics et de l’accès au financement public, y compris les procédures d’appels d’offres, les subventions et les concessions ;
  • L’interdiction temporaire de mettre sur le marché ou de mettre à disposition sur le marché ou d’exporter des produits de base en cause et des produits en cause en cas d’infraction grave ou d’infractions répétées ;
  • L’interdiction d’exercer la diligence raisonnée simplifiée énoncée à l’article 13 en cas d’infraction grave ou d’infractions répétées ;
  • Publication sur le site internet de la Commission européenne du jugement définitif prononcé à l’encontre de la personne morale ayant violé les dispositions du Règlement, qui comprend notamment le résumé des activités enfreignant le Règlement et la nature de la sanction.

 

Par le renforcement de son arsenal législatif, l’Union européenne s’affirme comme un acteur de la transition écologique en mettant l’environnement au cœur de ses préoccupations. En imposant des obligations de transparence aux entreprises, en favorisant la durabilité des produits et en luttant contre la dégradation des forêts, ces nouveaux textes européens mettent les acteurs économiques au défi d’allier performance économique et respect de l’environnement. De prime abord contraignante, la mise en conformité des entreprises à ces nouvelles règles offre une opportunité de se démarquer en contribuant à la construction d’une économie plus responsable et résiliente.

Le cabinet Inside est à votre disposition pour vous aider à naviguer dans ce nouveau cadre juridique en constante évolution !

———-

[1] ASSEMBLÉE GÉNÉRALE DE L’ONU, Transformer notre monde : le Programme de développement durable à l’horizon 2030, Résolution 70/1, 25 septembre 2015.

[2] PARLEMENT EUROPÉEN ET CONSEIL, Directive (UE) 2022/2464 modifiant le règlement (UE) no 537/2014 et les directives 2004/109/CE, 2006/43/CE et 2013/34/UE en ce qui concerne la publication d’informations en matière de durabilité par les entreprises, 14 décembre 2022.

[3] Le terme « reporting » est l’anglicisme utilisé pour désigner la communication de données.

[4] L’acronyme « ESRS » désigne l’European Sustainability Reporting Standards.

[5] COMMISSION EUROPÉENNE, « Actes délégués et actes d’exécution », https://commission.europa.eu/law/law-making-process/adopting-eu-law/implementing-and-delegated-acts_fr#implementing-acts.

[6] CONVENTION CITOYENNE POUR LE CLIMAT, Les Propositions de la Convention Citoyenne pour le Climat, 29 janvier 2021, p. 69.

[7] Ibid.

[8] PARLEMENT EUROPÉEN ET CONSEIL, Directive (UE) 2024/1799 établissant des règles communes visant à promouvoir la réparation des biens et modifiant le règlement (UE) 2017/2394 et les directives (UE) 2019/771 et (UE) 2020/1828 13 juin 2024.

[9] Article 5 de la Directive 2024/1799, op. cit.

[10] PARLEMENT EUROPÉEN ET CONSEIL, Règlement (UE) 2023/1115 relatif à la mise à disposition sur le marché de l’Union et à l’exportation à partir de l’Union de certains produits de base et produits associés à la déforestation et à la dégradation des forêts, et abrogeant le règlement (UE) n°995/2010, 31 mai 2023.

[11] Art. 2 du Règlement (UE) 2023/1115, op. cit. :

Commerçant : « toute personne faisant partie de la chaîne d’approvisionnement, autre que l’opérateur, qui, dans le cadre d’une activité commerciale, met des produits en cause à disposition sur le marché »;

Opérateur : « Toute personne physique ou morale qui, dedans le cadre d’une activité commerciale, met des produits en cause sur le marché ou les exporte ».

[12] Article 9 du Règlement (UE) 2023/1115, op. cit.  

Lumière sur …. le vol d’entreprise ou la « fraude au Kbis »

Tout comme la carte nationale d’identité pour un individu, le Kbis est la preuve de l’existence juridique d’une entreprise.
Tout comme les personnes physiques, les entreprises en tant que personne morale peuvent aussi se voir dérober ou détourner leur identité. Protéger ce document justificatif officiel est essentiel pour assurer la pérennité de son entreprise et s’éviter une procédure très longue et coûteuse.

De quelle menace parle-t-on ?

La fraude au Kbis consiste à déposer de faux documents auprès du greffe du Tribunal de commerce pour faire modifier « officiellement » la direction ou l’actionnariat de l’entreprise (faux procès-verbal actant un changement de dirigeant, faux acte de cession de titres, faux statuts, etc). Cela permet par exemple au fraudeur, au nom de l’entreprise :
– d’ouvrir de nouveaux comptes bancaires
– de contracter des emprunts bancaires
– de passer des commandes ou obtenir des contrats

D’autres « arnaques » complémentaires peuvent consister à se faire passer pour un organisme public (greffe, impôts, etc) afin de demander des informations sensibles et stratégiques sous couvert d’une mise à jour obligatoire d’information (données bancaires, identifiants, etc).

Les conséquences pour le chef d’entreprise ou l’actionnaire peuvent non seulement être financières, mais également réputationnelles (perte de confiance de la part des clients, fournisseurs, investisseurs, etc).

Que faire pour s’en prémunir ?

1/ FORMER :
Sensibilisez vos collaborateurs à la cybersécurité ainsi qu’aux risques d’usurpation d’identité. Formez-les à la détection des signes de faux et mettez en place des procédures de vérification de l’exactitude des informations fournies par les tiers.

2/ VEILLER ET SURVEILLER :
Consultez et suivez régulièrement les informations et des formalités réalisées pour votre entreprise ou vos partenaires. Mettez en place une surveillance proactive en activant des alertes en cas de modification. Utilisez les plateformes officielles telles que infogreffe.fr et monidenum.fr. En cas de doute, les autorités ont aussi développé des solutions permettant de vérifier l’authenticité d’un Kbis (QR code, code de vérification).

3/ AGIR IMMÉDIATEMENT pour éviter tout risque de mise en faillite de votre entreprise :
N’hésitez pas à déposer plainte pour faux, à demander sans délai l’effacement du document falsifié au greffe du RCS et en cas de refus à saisir le juge commis à la surveillance du RCS ou même à saisir en référé le Président du Tribunal de commerce.
Faites-vous accompagner d’un avocat en droit des sociétés.

Conclusion

En adoptant une approche proactive et en mettant en place des mesures de protection robustes, les entreprises peuvent se prémunir contre ces menaces de vol d’identité et assurer leur pérennité. La vigilance, la formation et l’utilisation des outils de surveillance ou de détection sont essentiels pour sécuriser l’identité de votre entreprise et protéger vos actifs.

LUMIÈRE SUR… la nécessité de respecter le délai minimum d’une année en cas de modification du délai quinquennal de prescription

Un récent arrêt clarifie les possibilités de modification conventionnelle de la durée quinquennale de prescription.

 

Pour rappel :

  • L’article 2224 du Code civil précise que le délai de prescription est de 5 ans pour les actions personnelles et mobilières lorsque le titulaire du droit a connu ou aurait dû connaître des faits lui permettant d’exercer l’action en justice.
  • L’article 2254 du Code civil encadre ce délai, puisqu’il pourra être abrégée ou allongée par accord des parties, sans être réduite à moins d’un an ni étendue à plus de dix ans.

 

La Cour de cassation, par sa décision du 13 mars 2024, distingue le délai de forclusion du délai de prescription en rejetant l’argument avancé par la société SFR, qui soutenait que le délai instauré était un délai de forclusion (I). Elle précise également les contours de la modification conventionnelle du délai de prescription, telle que prévue par l’article 2254 du Code civil (II).

 

  1. Un délai de forclusion ou de prescription ?

L’association ADAPEI-ARIA de Vendée (l’association), ayant pour activité les services aux personnes souffrant de handicap mental, psychique ou physique a fait appel à la société SFR afin que ce dernier assure l’ensemble des prestations téléphoniques et internet de ses établissements.

 

À cet effet, l’association et la société SFR ont conclu un contrat-cadre comprenant des conditions générales de vente le 24 juin 2016. Ces conditions générales comportaient un article 7.4 stipulant que « de convention expresse entre les parties, aucune action judiciaire ou réclamation du client, quelle qu’elle soit, ne pourrait être engagée ou formulée contre la société SFR plus d’un an après la survenance du fait générateur. »

 

Le 13 décembre 2018, l’association invoque des dysfonctionnements perturbant son activité entre 2017 et 2018 et assigne la société SFR en résolution des contrats les liant ainsi qu’à la réparation de son préjudice.

 

La Cour d’appel de Paris répute non-écrit l’article 7.4 du contrat-cadre et prononce la résiliation du contrat aux torts de la société de télécommunications.

 

La société SFR se pourvoit en cassation et se prévaut de l’article 34-2 du Code des postes et des communications électroniques qui instaure un délai d’un an courant à compter de la date d’exigibilité du paiement. Selon elle, la clause insérée ne fait qu’instituer un délai de forclusion.

 

Cependant, la Cour de cassation ne suit pas le raisonnement de la société SFR et précise que « l’article 34-2 du Code des postes et des communications électroniques n’institue pas un délai de forclusion fixant un terme au droit d’agir dont est titulaire le créancier d’une obligation pré-déterminée à l’encontre du débiteur de celle-ci mais a pour objet de réduire conventionnellement le délai de prescription auquel sont soumises les actions en justice engagées par un client à l’encontre de la société SFR. »

 

Nous sommes donc bien dans le cadre d’un délai de prescription soumis aux articles 2224 et 2254 du Code civil.

 

       2. Le respect du délai minimum d’une année de l’article 2254 du Code civil.

 

La Cour de cassation rappelle la possibilité, instituée à l’article 2254 du Code civil, de modifier conventionnellement le délai de prescription de 5 ans.

 

Cependant, la Cour n’a pas été convaincu par le moyen soulevé par la société SFR, selon lequel le délai de l’article 7.4 du contrat conclu entre les parties serait un délai de forclusion.

 

C’est donc l’article 2254 du Code civil qui s’appliquera. La Cour de cassation rappelle ainsi que les parties ont la possibilité de modifier le délai quinquennal de prescription tout en respectant :

  • La durée minimale d’un an à compter du jour où le titulaire du droit a connu ou aurait dû connaître les faits lui permettant de l’exercer ;
  • La durée maximale de dix ans, toujours à compter du jour où le titulaire du droit a connu ou aurait dû connaître les faits lui permettant de l’exercer.

 

La Cour de cassation motive ce point : il faut respecter cette durée minimum d’une année, en la reconnectant au point de départ de droit commun.

 

Or en l’espèce, le point de départ choisi par la société SFR réduit cette durée puisque cette dernière considère comme point de départ la survenance du fait générateur. Il ne suffit donc pas de respecter la durée minimum d’un an, encore faut-il considérer le point de départ du délai de prescription prévu par l’article 2224 du Code civil, comme le jour où le titulaire a connu ou aurait dû connaître des faits lui permettant d’exercer l’action en justice. En modifiant le point de départ du délai de prescription, la société SFR ne respectait pas le délai minimum, réduisant le délai de prescription à moins d’une année.

 

La Cour de cassation s’aligne ainsi sur la décision des juges du fond en qualifiant la clause de réputée non écrite.

 

Il est donc essentiel de porter une attention particulière à la fixation du délai de prescription ainsi qu’à son point de départ. Définir un point de départ différent de celui prévu par le droit commun pourrait réduire le délai de prescription, ce qui rendrait la clause réputée non écrite .

Lumière sur … Les principaux apports de la loi SREN en matière de protection des données et, plus particulièrement, en matière de données à caractère personnel

La loi visant à sécuriser et à réguler l’espace numérique (SREN) a été promulguée le 21 mai 2024. Elle a été publiée au journal officiel du 22 mai 2024.

En premier lieu, la loi SREN a pour objectif d’adapter le droit français à de nouveaux textes européens tels que le règlement sur les services numériques (DSA), le règlement sur le marché numérique (DMA), le règlement sur la gouvernance européenne des données ou « Data Gouvernance Act » (DGA). Ici, il ne s’agit pas d’une transposition de ces textes européens par la loi SREN en droit français, car ce sont des règlements et non des directives, mais cette loi permet d’adapter le droit français pour pouvoir appliquer ce « parquet numérique » européen.

En second lieu, la loi SREN prévoit un ensemble de mesures permettant de mieux réguler l’espace numérique, protéger les internautes, ainsi que les entreprises. Les sujets abordés par la loi sont nombreux comme la protection des enfants de la pornographie, la mise en place d’un filtre de cybersécurité anti-arnaque à destination du grand public, la lutte contre la désinformation de médias étrangers, la réglementation de l’informatique en nuage (le Cloud), etc.

Mais ce qui attire le plus l’attention dans cette loi en matière de données personnelles sont les dispositifs de la loi SREN concernant la gestion et la protection des données. Ces dispositifs ne visent pas uniquement les données non personnelles, mais également, dans certains cas, les données à caractère personnel.

Il serait intéressant de faire un tour rapide sur les points de la loi SREN ayant des enjeux en matière de protection des données personnelles :

La protection des données stratégiques et sensibles dans le cloud

La loi SREN consacre un chapitre à la protection des données stratégiques et sensibles qui sont stockées sur un cloud privé fourni par les fournisseurs de services cloud.

Avant tout, il faut souligner qu’elles ne concernent pas uniquement des données à caractère personnel. La loi précise que les données d’une sensibilité particulière sont des données à caractère personnel ou non si leur violation peut entraîner une atteinte à l’ordre publique, à la santé, à la vie privée des personnes ou à la propriété intellectuelle.

Selon la définition, la qualification des données d’une sensibilité particulière sont les données relevant de secrets protégés par la loi et les données qui sont nécessaires à l’accomplissement des missions essentielles de l’État. Par conséquent, les données d’une sensibilité particulière englobent des données non-personnelles, ainsi que des données personnelles, notamment les données de santé à caractère personnel.

Vu l’importance des données d’une sensibilité particulière pour l’accomplissement des missions de l’État, les nouvelles dispositions de la loi SREN indiquent que lorsque les administrations de l’État, de ses 400 opérateurs ou des groupements d’intérêt public, y compris le Health Data Hub, confient le stockage des données stratégiques et sensibles aux prestataires privés de cloud, ils doivent veiller à ce que ces fournisseurs de cloud mettent en œuvre des mesures de sécurité et de protection des données afin d’éviter tout accès à ces données par des autorités publiques des États tiers.

Dans un délai de 18 mois à partir de la promulgation de la loi SREN, le gouvernement va remettre au parlement un rapport. Ce dernier aura l’objectif d’évaluer les moyens supplémentaires qui pourront être pris en compte afin d’augmenter la protection face aux risques et menaces que les législations extraterritoriales peuvent apporter aux données qualifiées comme ayant une sensibilité particulière. De plus, ce rapport va évaluer la possibilité de soumettre les entreprises de cloud, établies en dehors de l’Union européenne à un chiffrement certifié par l’Agence nationale de sécurité des systèmes d’information (ANSSI).

Quant à l’hébergement des données de santé, la loi mentionne qu’un décret va préciser les exigences en matière de transfert ou d’accès non autorisé par des États tiers.

L’élargissement du champ de compétence de la CNIL

Au titre du DGA

La loi SREN désigne la CNIL comme autorité compétente pour l’altruisme des données prévu par le règlement « Data Gouvernance Act » (DGA).

L’altruisme des données, ou data altruism en anglais est un modèle prévu par le DGA. Il permet aux parties prenantes (entreprises, particuliers, etc.) de partager les données pour des motifs d’intérêt général fondés sur le consentement par les personnes concernées ou l’autorisation accordée par les détenteurs de données à caractère personnel.

Selon ses nouvelles compétences, la CNIL pourra recevoir et traiter des demandes de notification d’organisations d’organisation altruistes en matière de données (OAD). De plus, la CNIL assurera la tenue du registre national des organisations altruiste en matière des données et le cas échéant traitera les plaintes relatives à ces organisations.

En cas de manquement de l’organisation altruiste à ses obligations, prévue par le DGA, la CNIL peut prononcer à leur égard des mesures correctrices comme la mise en demeure, la radiation du registre national ou une amende ne pouvant excéder 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.

Au titre du DSA

La CNIL est désignée comme l’autorité compétente pour contrôler le respect de certaines obligations issues du DSA à l’égard des plateformes en ligne. Le champ des compétences de la CNIL concerne le contrôle du respect des obligations renforcées par ces plateformes sur la transparence en matière de publicité ciblée, l’interdiction du profilage sur la base des données sensibles ou le profilage des mineurs. A cette fin, la CNIL a de nouveaux moyens de contrôle : le pouvoir de saisir tout document sous le contrôle du juge et la possibilité d’enregistrer les réponses des personnes auditionnées.

Attribution aux juridictions d’une autorité de contrôle au sens RGPD

La loi SREN apporte des changements au code de justice administrative, au code de l’organisation judiciaire, ainsi qu’au code des juridictions financières. Selon ces modifications, le Conseil d’État, la Cour de cassation et la Cour de compte, chacun aura une autorité contrôle élue pour une durée de trois ans, renouvelable une fois, pour contrôler les traitements de données à caractère personnel effectuées par les juridictions administratives et judiciaires dans leurs fonctions juridictionnelles.

Modification apportée à la loi pour la confiance dans l’économie numérique (LCEN)

L’article 48 de la loi SREN apporte des modifications à la LCEN qui impliquent pour les éditeurs d’un service de communication au public en ligne de mettre à disposition du public « le cas échéant, le nom, la dénomination ou la raison sociale et l’adresse des personnes physiques ou morales qui assurent, même à titre gratuit, le stockage de données traitées directement par elles dans le cadre de l’édition du service ».

Que signifie cela dans la pratique par exemple pour les éditeurs d’un site internet ou d’une application ?

Cela renforce le principe de transparence à l’égard des utilisateurs. En effet, désormais les éditeurs des sites internet, applications… doit mentionner via leurs mentions légales non seulement l’hébergeur de leurs sites ou applications, mais également les fournisseurs de cloud qui assurent l’hébergement des données des utilisateurs de services en ligne proposés par ces sites internet ou applications.

 

Lumière sur … l’appréciation de la notion de dénigrement en cas de dénonciation par un distributeur d’une pratique de réduflation.

De plus en plus de fournisseurs réduisent la quantité des biens proposés, tout en maintenant les prix à un niveau constant ou en les augmentant. Cette pratique, connue sous le nom de « shrinkflation« [1], n’est pas explicitement prohibée, mais manque de transparence à l’égard des consommateurs. C’est pourquoi, certains distributeurs font le choix d’en informer ouvertement leurs clients, par le biais d’affiches positionnées au sein de leurs enseignes, à côté des produits concernés. Cette démarche peut être perçue comme une forme de « name and shame« , suscitant ainsi un débat sur sa licéité.

Si ce type de campagne peut constituer une pratique commerciale déloyale (I), elle peut également s’apparenter à un exercice légitime du droit à l’information des consommateurs (II).

 

I. Dénonciation d’une pratique de réduflation constitutive de pratique commerciale déloyale et trompeuse

Le droit de la consommation sanctionne la pratique commerciale déloyale, c’est-à-dire contraire aux exigences de la diligence professionnelle et qui altère ou est susceptible d’altérer de manière substantielle le comportement économique du consommateur normalement informé et raisonnablement attentif et avisé (C. consom., art. L. 121-1). Le dénigrement est un type de pratique commerciale déloyale qui se définit comme la divulgation d’une information de nature à jeter le discrédit sur un concurrent.

Dans l’affaire Carrefour c/ Pepsi Co, l’enseigne de grande distribution Carrefour a diffusé au sein de ses points de ventes une campagne de publicité intitulée « shrinkflation » indiquant aux consommateurs à propos des produits du groupe PEPSICO France « Ce produit vu son contenant baisser et le tarif pratiqué par notre fournisseur augmenter. Nous nous engageons à renégocier ce tarif ». Cette campagne, alors que s’ouvrent les négociations pour l’année 2024, a eu un impact immédiat et brutal sur PepsiCo puisque ses ventes chez CARREFOUR au dernier trimestre 2023 se sont effondrées. Pepsi Co accuse Carrefour d’avoir commis un acte de dénigrement sanctionné au titre de la concurrence déloyale et demande le retrait des affichettes.

Pour le juge des référés (T. Com. Paris 24 janvier 2024, n°2023069037), cette communication constitue une pratique commerciale déloyale et trompeuse susceptible d’altérer le comportement économique du consommateur, et ce, pour plusieurs raisons :

  • Carrefour commercialise des produits directement concurrents de ceux de PepsiCo, sous sa propre marque ;
  • Carrefour n’indique pas l’ordre de grandeur de l’augmentation du prix au kilo ou au litre ;
  • Les informations sont invérifiables puisque le discours est vague et subjectif ;
  • Carrefour mentionne le « tarif » du fournisseur qui est un élément de la relation commerciale entre PepsiCo et Carrefour, et qui n’est donc pas connu du consommateur.

 

II. Dénonciation d’une pratique de réduflation justifiée par le droit à l’information du consommateur

À l’inverse, quelques jours plus tard (T. Com. Paris 8 février 2024, n° 2024004179), le Tribunal de Commerce de Paris s’est prononcé dans une affaire similaire, mais considère cette fois qu’un distributeur peut dénoncer des pratiques de réduflation sans se rendre coupable de concurrence déloyale.

L’affaire concerne une campagne, à propos des produits des marques Unilever, Knorr, Magnum et Carte d’Or, diffusée dans les points de vente de la société Intermarché, informant les clients que « les nouveaux formats de quantité réduite ont subi une augmentation de prix injustifiée pouvant aller jusqu’à + 39 % » avec des slogans tel que « AVANT MAGNUM, ÇA VOULAIT DIRE GRAND ». Il était également indiqué pour certains produits qu’ils ne seraient plus disponibles en rayons en raison d’une hausse de prix injustifiée (« KNORR J’ADORE J’ADORAIS »).

Selon le juge des référés, l’enseigne de grande distribution Intermarché ne pratique aucun dénigrement puisque l’information qu’elle délivre par le biais de cette campagne :

  • Se rapporte à un débat d’intérêt général (les pratiques actuelles de hausses tarifaires);
  • Repose sur une base factuelle suffisante ;
  • Et est exprimée avec mesure.

 

III. Dans quelle mesure la dénonciation d’une pratique de « shrinkflation » est-elle dès lors condamnable ?

Le fait de dénoncer une pratique de shrinkflation est condamnable lorsque la dénonciation ne sert pas le débat d’intérêt général, mais surtout lorsque cette dénonciation n’est pas assez précise, quantifiable et caractérise une pratique commerciale déloyale et trompeuse.

C’est dans ce contexte, et par transparence envers le consommateur, que les pouvoirs publics se sont emparés du sujet par un arrêté du 16 avril 2024 afin de rendre un affichage obligatoire de cette information par les industriels dans l’intérêt des consommateurs.

En effet, à partir du 1ᵉʳ juillet 2024, il sera obligatoire, pour les distributeurs, lorsqu’un produit de grande consommation a subi une modification de poids ou de volume à la baisse entrainant une hausse de prix à l’unité de mesure de préciser de l’évolution du prix rapporté au poids, afin que le consommateur soit informé de l’évolution du prix.

[1] Néologisme dérivant de l’anglais et provenant de la contraction du verbe « to shrink » signifiant rétrécir et du mot « inflation », francisé en “réduflation”

 

—–

SOURCES :

LUMIÈRE SUR… la conformité RGPD du système de vente aux enchères de données personnelles dans le cadre d’une publicité ciblée

Un nouvel arrêt vient ajouter une précision sur le mécanisme de suggestion de publicité ciblée à un utilisateur de site internet ou d’application.

En effet, le 7 mars 2024, la Cour de Justice de l’Union européenne (CJUE) s’est prononcée sur l’affaire opposant l’autorité de contrôle belge (APD) et l’IAB Europe.

L’IAB Europe est une association qui regroupe à la fois les entreprises du secteur de l’industrie de la publicité et du marketing numérique, et les associations nationales du même secteur. Celle-ci propose à ses membres un cadre de règles, appelé «Transparency Consent Framework (TCF)», afin d’assurer la conformité RGPD du traitement des données personnelles des utilisateurs dans le cadre du Protocole Real Time Bidding (RTB). En d’autres termes, ce protocole permet la vente et l’achat en temps réel d’espaces publicitaires sur internet par les opérateurs.

Pour contextualiser, en 2022, l’APD a rendu une décision à l’encontre de l’IAB Europe. Par cette décision, cette dernière a été qualifiée de responsable du traitement sur l’enregistrement dans une TC String des préférences de l’utilisateur selon les règles du TCF. La TC String (Transparency & Consent String) est une chaîne de lettres et de caractères dans laquelle les préférences des utilisateurs, notamment leur consentement ou non, sont codées et stockées. Combinée à un cookie, la TC String peut être liée à l’adresse IP de l’utilisateur. Par conséquent, elle a été considérée par l’APD comme étant une donnée personnelle.

L’IAB Europe a contesté la décision de l’APD devant la Cour d’appel de Bruxelles qui, à son tour, a posé des questions préjudicielles à la CJUE, notamment si la TC String est une donnée personnelle ou non (I), et si l’IAB Europe peut être considérée comme responsable conjoint du traitement (II).

I.             Sur le caractère personnel de la TC String

L’article 4.1 du RGPD définit les données à caractère personnel comme étant «toute information se rapportant à une personne physique (…) qui peut être identifiée directement ou indirectement». L’identification peut donc se faire par le recours à des informations supplémentaires. Le considérant 26 du RGPD ajoute même que les informations permettant d’identifier une personne peuvent ne pas se trouver entre les mains d’une seule personne.

En effet, la TC String contient des informations sur les préférences d’un utilisateur, donc se rapporte à une personne physique. Avec la combinaison des préférences de l’utilisateur et de son identifiant (notamment son adresse IP), il est possible pour les opérateurs de créer un profil sur celui-ci.

Certes, l’IAB Europe estime ne pas pouvoir combiner toute seule les informations sur la TC String et l’identifiant, mais cela n’enlève en rien le caractère personnel de la TC String. De plus, cet organisme a la possibilité de demander la communication de toutes les informations qui pourraient lui permettre d’identifier l’utilisateur. Elle possède donc les moyens raisonnables pour identifier une personne physique.

La TC String est donc considérée comme une donnée à caractère personnel.

II.            Sur la qualification juridique de l’IAB Europe

L’IAB Europe est considérée comme un responsable conjoint de traitement (RCT) avec ses membres. En effet, non seulement elle influe à des fins qui lui sont propres sur le traitement concernant la TC String, mais elle détermine également les moyens et les finalités du traitement avec ses membres. Cette influence se consolide par TCF, qui est un cadre de règles que les membres doivent accepter pour adhérer à l’association. La TCF contient entre autres : la manière dont les Consent Management Platform (CMP) recueillent les préférences des utilisateurs, ainsi que le stockage et le partage des TC String. De plus, selon la décision du 2 février 2022, il est possible pour les membres de consulter les préférences des utilisateurs dans le TC String.

Néanmoins, il est important de préciser que la responsabilité de l’IAB Europe n’est pas automatiquement engagée dans le cadre des traitements ultérieurs réalisés par des tiers, sur la base des préférences utilisateurs. En effet, un traitement de données peut être effectué sous plusieurs opérations, toutes à des stades différents. Sa responsabilité ne pourra être engagée que si elle a exercé une influence sur la détermination des finalités et des modalités des traitements ultérieurs.

Les 4 thématiques prioritaires de contrôle de la CNIL

Disposant d’un pouvoir discrétionnaire, la CNIL peut contrôler les organismes qui traitent des données personnelles, à la suite de plaintes qu’elle reçoit, de signalements qui lui sont faits, ou parce qu’elle décide de se saisir d’un cas particulier. Dans le cas où l’Autorité de contrôle française constate des manquements concernant la réglementation sur les données personnelles, elle peut décider d’une mise en demeure publique ou non, prononcer différentes mesures ou amendes administratives.
Chaque année, la CNIL se positionne sur des thématiques prioritaires pour orienter sa politique de contrôle sur les sujets de grande importance pour le public et également pour évaluer la conformité des acteurs choisis.

Le saviez-vous ? Ces thématiques représentent 30 % de ses contrôles effectués.

Pour 2024, la CNIL se concentrera sur 4 priorités :

Collecte de données dans le cadre des Jeux Olympiques et Paralympiques
Vu l’ampleur et le caractère international de l’évènement, qui implique de nombreuses personnes concernées, et au regard du nombre de partenaires étant susceptibles d’effectuer du transfert de données, pour la CNIL, il est nécessaire de vérifier les conditions de collecte des données personnelles, les informations fournies aux personnes concernées, ainsi que les mesures de sécurité mises en place.
La CNIL contrôlera les aspects sécuritaires et commerciaux des JO :

  • Sur la sécurité : Le strict usage des dispositifs de sécurité déployés dans le cadre de cet événement. La mise en place de QR code pour les zones à accès restreints, les habilitations d’accès et l’utilisation de caméras augmentées.
  • Sur l’aspect commercial : La collecte des données opérée dans le cadre des services de billetterie.

Données des mineurs collectées en ligne
L’utilisation des réseaux sociaux, sites de rencontre ou plateformes de jeux en ligne expose les mineurs à une collecte massive de leurs informations personnelles qui présentent des dangers pour leur vie privée, leur bien-être physique ou leur avenir socioprofessionnel.
En réponse à ces dangers, la CNIL vérifiera sur les applications et sites les plus appréciés par des enfants et adolescents, la mise en place de mécanismes de contrôle de l’âge, les mesures de sécurité et le respect de la minimisation des données personnelles.

Programme de fidélité et tickets de caisse dématérialisés
La CNIL souligne que la loi relative à la lutte contre le gaspillage et à l’économie circulaire peut entraîner des traitements complémentaires de données personnelles à des fins des envois du ticket par SMS ou courriel. À cette fin, elle se concentra sur l’information partagée avec les consommateurs et elle contrôlera le respect du consentement pour la réutilisation des données à des fins marketing.

Droit d’accès des personnes concernées
Dans le cadre d’une action coordonnée, le CEPD, Comité européen de la protection des données personnelles, donne un axe prioritaire à un certain sujet sur lequel les autorités de protection des données européennes doivent travailler au niveau national.
Par la suite, les résultats de leurs actions nationales sont regroupés et analysés. L’objectif du CEPD est de mieux comprendre le sujet et d’assurer un suivi ciblé au niveau national et européen.
Pour sa troisième action coordonnée, le CEPD a choisi le thème de la mise en oeuvre du droit d’accès par les responsables du traitement.
Comme les autres autorités de contrôle, la CNIL aussi, au niveau national, vérifiera les conditions de mise en œuvre du droit d’accès.

———-

Pour en savoir plus, vous pouvez consulter ce lien :

https://www.cnil.fr/fr/les-controles-de-la-cnil-en-2024-donnees-des-mineurs-jeux-olympiques-droit-dacces-et-tickets-de

LUMIÈRE SUR … le risque pour un fournisseur de restreindre l’activité de vente en ligne à ses distributeurs

L’Autorité de la Concurrence Française a rendu deux décisions concernant des qualifications d’ententes dans le secteur du luxe.

Tout d’abord, concernant la société Mariages Frères ayant une activité sur le marché du thé de luxe, les conditions générales de vente (CGV) régissant les relations entre Mariage Frères et ses distributeurs interdisaient à ces derniers de vendre les produits Mariage Frères sur Internet. Mariage Frères se réservait ainsi l’exclusivité de la vente de ses produits à distance et sur Internet.

Si les distributeurs étaient autorisés à indiquer sur leur site qu’ils commercialisaient les produits de la marque dans leur boutique, ils ne pouvaient en revanche les vendre sur Internet et ne pouvaient pas non plus utiliser le logo de la marque. Mariage Frères surveillait le respect de ces règles en demandant aux distributeurs qui avaient proposé ses produits à la vente en ligne de les retirer rapidement de leurs sites.

Conjointement, entre 2013 et 2021, alors que les distributeurs étaient confrontés à cette interdiction, la part des ventes réalisées en ligne par le groupe Mariage Frères a quant à elle plus que triplé. Toutefois, il résulte d’une pratique décisionnelle et d’une jurisprudence constante que cet objectif ne saurait justifier une paralysie absolue du canal de distribution en ligne.

Les clauses des CGV interdisaient également aux distributeurs la revente de produits de thés haut de gamme à d’autres revendeurs. Cette restriction permettait ainsi à Mariage Frères une exclusivité sur la vente en gros et bornait le périmètre commercial de ses distributeurs à la vente aux particuliers.

Cette pratique, qui restreint la clientèle à laquelle un acheteur peut vendre des biens, constitue, une restriction de concurrence par objet.

Mariages Frères a reconnu les faits et a demandé une sanction symbolique à l’Autorité. Cette dernière n’a pas accordé une réponse favorable à la demande et a décidé de sanctionner les pratiques conjointement et solidairement à Mariage Frères International SAS et à Mariage Frères SAS en leur infligeant une sanction de 4 millions d’euros.

Une autre décision a été rendue au mois de décembre 2023 par l’Autorité de la Concurrence et cette fois-ci elle concerne le groupe Rolex.
Active sur le marché français de la distribution des montres de luxe, Rolex, étant donné sa notoriété et sa part de marché, est l’acteur le plus important du marché. Pour commercialiser ses montres, l’entreprise s’appuie exclusivement sur un réseau de revendeurs indépendants agréés. Ainsi, elle revend ses montres aux détaillants horlogers-bijoutiers auxquels elle accorde le droit de distribuer ses produits, dans le cadre d’un contrat de distribution sélective.

En l’espèce, le contrat de distribution sélective régissant les relations entre Rolex et ses distributeurs interdisait la vente des montres de la marque par correspondance et donc par Internet.

Le type de clause instaurant une telle interdiction est considéré par l’Autorité et par la jurisprudence comme étant, restrictive de concurrence.

À titre de justification et sur la même lignée que les justifications apportées par la société Mariages Frères, Rolex avance que l’interdiction des ventes en ligne vise à préserver son image et lui permet de lutter contre la contrefaçon et la vente hors réseau. Cependant, l’Autorité assure que l’interdiction de vente en ligne n’est pas une mesure proportionnée.

Précisons que les principaux concurrents de Rolex, eux-mêmes confrontés à ce type de risques, ont mis en place des solutions (notamment technologiques) permettant de concilier vente en ligne et lutte contre la contrefaçon et la vente hors réseau. Par ailleurs, Rolex a développé, en lien avec l’un de ses distributeurs, un projet permettant d’acheter en ligne des montres d’occasion tout en garantissant l’authenticité. L’interdiction absolue de la vente en ligne de ses produits ne peut, dès lors, se justifier.

L’Autorité considère que ces pratiques sont graves, car elles reviennent à fermer une voie de commercialisation, au détriment des consommateurs et des distributeurs, alors que la distribution en ligne connaît un essor croissant pour les produits de luxe. Compte tenu de leur durée (plus de dix ans) et de leur nature, l’Autorité a prononcé une sanction de 91.600 000 euros. En raison des liens capitalistiques, organisationnels et juridiques qui existent entre Rolex France et les sociétés Rolex Holding SA, Rolex SA et la fondation Hans Wilsdorf, l’Autorité tient ces dernières solidairement responsables du paiement de l’amende.

De surplus, l’Autorité enjoint à Rolex France de communiquer à l’ensemble de ses distributeurs agréés le résumé de la décision. Elle devra également publier sous deux mois et pendant sept jours consécutifs le résumé de cette décision sur son site internet.

Enfin, l’Autorité enjoint à Rolex France de faire publier le résumé de la décision dans l’édition papier et numérique du Figaro ainsi que dans la revue Montres Magazine.

LUMIÈRE SUR… la possibilité de résilier ou non un contrat par voie de notification sans mise en demeure préalable

Résolution du contrat par voie de notification : dispense de mise en demeure lorsqu’il ressort des circonstances qu’elle est vaine

 

          Par un arrêt rendu le 18 octobre 2023, la Chambre commerciale de la Cour de cassation semble ajouter une exception à celle prévue par la loi en cas de résolution du contrat par notification.

L’article 1224 du Code civil prévoit que la résolution résulte soit de l’application d’une clause résolutoire, soit, en cas d’inexécution suffisamment grave, d’une notification du créancier au débiteur ou d’une décision de justice.

L’article 1226 du Code civil ajoute que le créancier peut, à ses risques et périls, résoudre le contrat par voie de notification et que, sauf urgence, il doit préalablement mettre en demeure le débiteur défaillant de satisfaire à son engagement dans un délai raisonnable. Pour rappel, la mise en demeure est un acte préalable à la résiliation par lequel le créancier demande au débiteur l’exécution d’une obligation. Ce n’est qu’après cette mise en demeure que la rupture et les raisons qui la motivent peuvent être notifiées au débiteur.

Ce n’est donc qu’en cas d’urgence que la loi autorise le créancier à s’abstenir de mettre en demeure son débiteur préalablement à la résolution du contrat.

          En l’espèce, une société spécialisée dans la taille et le façonnage du calcaire et du marbre s’est vu notifier la résolution de son contrat de prestation de service par une société de distribution et d’installation de matériel de levage et d’élévation avec qui elle entretenait de longues relations contractuelles.

La société de maintenance indiquait dans son courrier de résiliation qu’en raison du comportement du dirigeant de la société cocontractante, elle ne pouvait poursuivre sa prestation. La dégradation de la relation s’expliquait par des propos méprisants de la part du client, empêchant les collaborateurs du prestataire de poursuivre le chantier.

Selon la société débitrice, la résiliation n’avait été précédée d’aucune inexécution suffisamment grave de sa part justifiant la résiliation unilatérale et, au surplus, qu’en ne procédant pas à sa mise en demeure préalable à la résolution unilatérale du contrat, la société créancière a violé l’article 1226 du Code civil.

La Cour de cassation énonce que « Si, en application des articles 1224 et 1226 du code civil, le créancier peut, à ses risques et périls, en cas d’inexécution suffisamment grave du contrat, le résoudre par voie de notification, après avoir, sauf urgence, préalablement mis en demeure le débiteur défaillant de satisfaire à son engagement dans un délai raisonnable, une telle mise en demeure n’a pas à être délivrée, lorsqu’il résulte des circonstances qu’elle est vaine. Ainsi, une cour d’appel, dont l’arrêt fait ressortir que le comportement de l’une des parties était d’une gravité telle qu’il avait rendu matériellement impossible la poursuite des relations contractuelles, n’était pas tenue de rechercher si une mise en demeure avait été délivrée préalablement à la résiliation du contrat par l’autre partie ».

          La Cour de cassation prend en compte le comportement fautif du dirigeant pour apprécier l’inutilité de la mise en demeure.

Cet arrêt semble suivre les pas de l’arrêt Tocqueville du 13 octobre 1998 (Cass. com. 13 oct. 1998, n°96-21.485) puisque le juge prenait en considération le comportement fautif du débiteur afin d’apprécier la dispense d’une mise en demeure.

Pourtant, l’ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations entendait exclure « la gravité du comportement rendant impossible la poursuite des relations contractuelles » comme critère pour apprécier la nécessité d’une mise en demeure. En effet, l’ordonnance de 2016 a ajouté l’article 1224 dans le Code civil qui prévoit que la résiliation par voie de notification est possible uniquement en cas d’inexécution suffisamment grave du débiteur, et que la dispense de mise en demeure est uniquement valable en cas d’urgence. Ainsi, le comportement fautif du débiteur n’est pas expressément pris en compte par le législateur pour apprécier la dispense d’une mise en demeure.

Toutefois, dans certains cas, la mise en demeure ne permet pas de « réparer » la situation litigieuse. En l’espèce, le comportement du dirigeant ne permettait plus de poursuivre une intervention dans ce contexte d’extrême pression et la mise en demeure ne permettait pas de résoudre la situation litigieuse.

La Cour de cassation aurait très bien pu se ranger derrière l’urgence pour justifier la dispense de mise en demeure, mais semble plutôt créer un nouveau cas de dispense à l’article 1226 du Code civil, le caractère vain n’impliquant pas nécessairement l’urgence.

Ainsi, le créancier n’est pas obligé de mettre en demeure son débiteur lorsqu’il ressort des circonstances que la mise en demeure est vaine.

Il faudra attendre les prochaines décisions de la Cour de cassation pour voir affirmer ou infirmer le statut d’exception du caractère vain de la mise en demeure, aux côtés des autres exceptions codifiées.

LUMIÈRE SUR… La sécurisation juridique des opérations de prospection commerciale

Les acteurs de l’écosystème de la prospection commerciale, et de la publicité ciblée, cherchent souvent à s’affranchir des règles juridiques au détriment de leurs concurrents et de la protection des droits et libertés des individus.

En outre, le domaine de la prospection fait parfois intervenir une multitude d’acteurs, formant une « chaîne » par laquelle transitent les données des prospects. Cette multiplicité d’acteurs augmente le risque de non-respect des règles juridiques. Ainsi, il arrive parfois que « chaque maillon de la chaîne achète des données du maillon précédent en fermant les yeux sur la légalité de la collecte originelle ». Par conséquent, « une ignorance volontaire ou involontaire de la loi à un seul endroit dans la chaîne [suffis] pour que les données personnelles de millions de personnes soient marchandées illégalement avec des centaines d’entreprises »[1].

Afin de responsabiliser l’ensemble des acteurs, la CNIL[2] adopte une interprétation stricte des dispositions légales applicables, dont le RGPD[3] ainsi que les autres dispositions spécifiques[4] aux opérations de prospection commerciale ou de retargeting publicitaire. Ainsi, la CNIL a récemment sanctionné deux sociétés dans le cadre de leurs pratiques en matière de prospection respectivement[5] et de retargeting publicitaire en ligne[6]. Dans les deux cas de figure était notamment en cause le respect des obligations en matière de recueil du consentement des personnes concernées, et de preuve de la validité de ce dernier.

Ainsi, afin de sécuriser les opérations de prospection commerciale, il est primordial de respecter les (I.) règles juridiques en matière de prospection commerciale, dont la CNIL a une interprétation stricte (II.) notamment en matière d’information des prospects lors du recueil de leur consentement à des fins de prospection commerciale. Lorsqu’une chaîne d’intermédiaires est impliquée dans les opérations de prospection, la sécurisation passe par (III.) un encadrement et une collaboration étroite entre les prospecteurs et les primo-collectant des données.


I. Les règles juridiques applicables aux opérations de prospection commerciale

En réalité, toutes les opérations de prospections de prospection commerciales ne nécessitent pas nécessairement de recueillir préalablement le consentement des prospects. Dans certains cas de figure, le Responsable de traitement peut opérer un choix entre le consentement (dit « opt-in »), et l’intérêt légitime[7] (ou « opt-out »).

Ainsi, le recueil du consentement est imposé dans les cas de figure suivants :

  • Pour le dépôt de cookies ayant des finalités publicitaires, ou de suivi à des fins publicitaires[8] ;
  • Ainsi que pour la prospection directe par voie électronique (par SMS, MMS, e-mail)[9].

Lorsque les opérations de prospection commerciale, ou de retargeting publicitaire, sont fondées sur le consentement de la personne concernée, le Responsable de traitement doit s’assurer de la validité de ce dernier[10]. Il doit notamment informer la personne concernée[11], mettre en place un mécanisme pour que ce dernier se manifeste par un acte positif de la personne concernée [11], et lui fournir un moyen lui permettant de retirer ce consentement à tout moment[12].

La CNIL reconnaît la possibilité de choisir entre le consentement, et l’intérêt légitime, pour les cas de figure suivants :

  • La prospection commerciale par mail d’une personne déjà cliente pour des produits ou services analogues à ceux déjà achetés[13] ;
  • La prospection commerciale à destination de professionnels lorsqu’elle est en lien avec leur profession[14] ;
  • La prospection commerciale par voie postale, ou téléphonique hors automates d’appel[15].

Dès lors, il sera nécessaire de prévoir cumulativement : l’information de la personne concernée[16], et un mécanisme permettant de s’opposer à la prospection commerciale lors de la collecte des données ainsi qu’à tout moment lors des activités de prospection commerciale[17].

En cas de non-respect de ces dispositions, le Responsable de traitement s’expose notamment à une sanction administrative de la CNIL d’un montant maximal de 20 millions d’euros, ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu[18]. Ce dernier s’expose également à une sanction pénale pour tout détournement de finalités, pouvant aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende[19].


II. L’importance de l’information des prospects lors du recueil de leur consentement à des fins de prospection commerciale

Dans de nombreux cas de figure, le prospecteur ne collecte pas directement les coordonnées du prospect. Un intermédiaire, dit « primo-collectant » transmet alors les données collectées auprès des prospects au prospecteur. Lorsque les opérations de prospection commerciale reposent sur le consentement, il sera nécessaire de s’assurer que le primo-collectant a correctement collecté le consentement de ces des prospects.

Ainsi, le prospect consent-t ’il à la transmission de ses données à des prospecteurs clairement identifiés, ou peut-il seulement consentir à la transmission de ses données à des catégories de prospecteurs ?    

La CNIL avait déjà pris position dans une précédente sanction en date du 24 novembre 2022 en considérant que pour que le consentement soit valide « les personnes doivent notamment être clairement informées de l’identité du prospecteur pour le compte duquel le consentement est collecté et des finalités pour lesquelles les données seront utilisées »[20]. Cette exigence équivaut donc à fournir clairement les objectifs de prospections commerciales liées à la transmission des données, ainsi que la liste exhaustive des prospecteurs.

Cette position est confirmée dans la récente sanction à l’encontre de la société CANAL +[5] prononcé par la CNIL. Il faudra alors fournir aux prospects, lors du recueil du consentement, « une liste exhaustive et mise à jour, […] par exemple directement sur le support de collecte ou, si celle-ci est trop longue, via un lien hypertexte renvoyant vers ladite liste et les politiques de confidentialité des prestataires et fournisseurs ». Juridiquement, la CNL fait une lecture « combinée des articles L. 34-5 du CPCE et 7, paragraphe 1, du RGPD » tel qu’éclairé par « l’article 4, paragraphe 11, du RGPD », pour établir que le consentement ne peut être informé que lorsque la personne a expressément consenti au traitement de ses données par ce même Responsable de traitement prospecteur.

En d’autres termes, pour la CNIL, le prospect ne consent qu’à la transmission de ses données auprès des seuls prospecteurs clairement identifiés comme destinataires des données lors de la collecte du consentement. Ainsi, une double information est donc à fournir aux prospects dans ce cas de figure. Du point de vue du primo collectant, il s’agit d’une collecte directe[21] ce dernier devra donc fournir les mentions d’information relative à l’article 13 RGPD. Le prospecteur se voyant transmettre les données, dois fournir dans le cadre de la collecte indirecte des données l’ensemble des mentions d’informations ainsi que la source des données[22].

En outre, si les seules catégories de destinataires figurent dans les mentions d’informations lors du recueil du consentement, une solution de contournement devra être mise en place. Afin de permettre au prospecteur de prospecter par voie électronique les personnes concernées, ce dernier pourra leur envoyer un premier mail « neutre » afin de recueillir leur consentement à la prospection commerciale. Ce mail « neutre » devra comporter : les finalités des opérations de prospection, les mentions d’informations complètes du prospecteur, la source auprès de laquelle les données des prospects ont été recueillies, et enfin un mécanisme permettant de recueillir le consentement.


III. Comment encadrer les relations entre prospecteurs et primo-collectant des données ?

Plutôt qu’opposer les primo-collectant des données aux prospecteurs, il est préférable d’envisager une collaboration étroite entre ces derniers qui permettra d’une part de sécuriser les opérations de prospection commerciale du prospecteur, et d’autre part de valoriser le flux de prospects transmis par le primo-collectant.

Ainsi, en amont, prospecteurs et primo-collectant doivent encadrer contractuellement leurs relations. Ce contrat doit prévoir à minima :

  • Les qualifications juridiques de chacun des acteurs, et le cas échéant inclure dans le contrat les mentions spécifiques relatives à la Sous-traitance[23] ou à la Responsabilité conjointe de traitement[24];
  • Les obligations de chacun au regard du recueil valide du consentement, de la fourniture des mentions d’informations, ainsi que de la gestion des demandes d’exercice de droit ;
  • La conservation et la documentation des preuves du consentement des prospects ;
  • Et également, la responsabilité de chacun des acteurs en cas de manquement à leurs obligations.

De plus, tout au long de leur relation, ces derniers devront prévoir des mécanismes spécifiques afin de garantir le respect des obligations légales dont :

  • La gestion des demandes d’exercice de droit des prospects dans un délai maximal de 1 mois, ainsi que la transmission effective de ces demandes entre les différents acteurs de la chaîne : telles les demandes de retrait du consentement, d’exercice du droit d’opposition ;
  • La transmission des preuves du consentement des prospects, notamment pour démontrer leur validité dans le cadre d’un contrôle de la CNIL auprès de l’un des acteurs ;
  • Lorsque cela s’avère nécessaire, la mise en place d’une campagne de recueil du consentement des prospects (notamment si seules les catégories de destinataires ont été fournies lors du recueil du consentement ;
  • Et enfin, assurer la traçabilité du consentement des prospects, et la conservation d’une liste des prospecteurs pour lesquels ils ont consenti.

Dans tous les cas, une attention particulière doit être apportée à la sécurité des flux de données des coordonnées des prospects transmises entre le primo-collectant et le prospecteur[25].

———————————————-


BIBLIOGRAPHIE

[1] Le Monde Tribune de Lucie Audibert, et Eliot Bendinelli, Criteo : « La décision de la CNIL s’attaque à la chaîne de production de données irresponsable qui règne dans l’industrie publicitaire en ligne », publié le 30 août 2023, consultable en ligne : https://www.lemonde.fr/idees/article/2023/08/30/criteo-la-decision-de-la-cnil-s-attaque-a-la-chaine-de-production-de-donnees-irresponsable-qui-regne-dans-l-industrie-publicitaire-en-ligne_6187094_3232.html

[2] Commission Nationale de l’Informatique et des Libertés

[3] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou « RGPD »), consultable en ligne : https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679

[4] Certaines règles de droit spéciales encadrent les opérations de prospection commerciale et de retargeting publicitaire, comme les articles L34-5 du Code des Postes et des Communications électroniques, ainsi que l’Article 82 de la Loi Informatique et Libertés n° 78-17 du 6 janvier 1978

[5] CNIL, n°SAN-2023-015 du 12 octobre 2023 concernant la société CANAL +, sanction d’un montant de 600 000 euros, consultable en ligne : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000048222771

[6] CNIL, n°SAN-2023-009 du 15 juin 2023 concernant la société CRITEO, sanction d’un montant de 40 millions d’euros, consultable en ligne : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000047707063

[7] RGPD, Considérant 47 : « le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime »

[8] Loi Informatique et libertés n° 78-17 du 6 janvier 1978, article 82

[9] Code des Postes et des Communications électroniques, Article L34-5 alinéa 1er

[10] RGPD, Article 7.1

[11] RGPD, Article 4.11 : le « consentement » de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement

[12] RGPD, Article 7.3

[13] Code des Postes et des Communications Électroniques, Article L34-5 4ème alinéa

[14] CNIL, La prospection commerciale par courrier électronique, 18 mai 2009, consultable en ligne : https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique

[15] CNIL, La prospection commerciale par courrier postal et appel téléphonique, 26 janvier 2022, consultable en ligne : https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-postal-et-appel-telephonique

[16] RGPD, Articles 12 à 14

[17] RGPD, Article 21.1 à 21.4

[18] RGPD, Article 83.5

[19] Code Pénal, Article L226-21

[20] CNIL, FR, 24 novembre 2022, SANCTION, n° SAN-2022-021, publié, consultable en ligne : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046650733?isSuggest=true

[21] RGPD, Article 13

[22] RGPD, Article 14

[23] RGPD, Article 28

[24] RGPD, Article 26

[25] RGPD, Articles 28 et 32