Le démarcharge téléphonique : vers la fin du système d’opposition a posteriori ?

le démarcharge téléphonique

Le démarchage téléphonique est au cœur d’un important dilemme juridique tant au niveau européen qu’au niveau national. Gênants et perturbants pour les particuliers, mais essentiels pour de nombreuses entreprises, ces appels à répétition sont sujets à de vives tensions. L’article L221-16 du code de la consommation[1] défini le démarchage téléphonique comme la démarche « d’un professionnel qui contacte un consommateur par téléphone en vue de conclure un contrat portant sur la vente d’un bien ou d’une fourniture de service ».

Le consentement du prospect est le point névralgique de l’encadrement de cette pratique commerciale. Peut-on contacter une personne qui ne s’est pas expressément opposée à ces appels ou doit-on se contenter de contacter strictement des personnes qui ont préalablement consenti à recevoir de la prospection par téléphone ?

Malgré le renforcement des règles relatives à la liberté du consentement, qui peut être retiré à n’importe quel moment selon les articles 6 et 7 du Règlement général sur la protection des données[2] (ci-après le RGPD)[3][4], le législateur européen a d’abord retenu la solution de l’opposition a posteriori. Un système d’opt-out qui interdit les démarcheurs de contacter des personnes ayant refusé de recevoir de la prospection commerciale est ainsi mis en place. Ce régime se retrouve dans les dispositions de l’article 16 de la directive vie privée et communications électroniques[5] (ci-après « directive ePrivacy ») du Parlement Européen et du Conseil du 12 juillet 2002.[6]. Ce système n’a d’ailleurs pas été remis en cause par la proposition de règlement européen[7] de 2017, toujours en cours de discussion.

Cette solution a été reprise par le législateur français qui encadre le démarchage téléphonique à l’article L223-1 du code de la consommation[8]. Ainsi, il est autorisé de démarcher toutes les personnes qui ne se sont pas préalablement inscrites sur la liste d’opposition « Bloctel ». Il existe d’ailleurs des exceptions où ces personnes peuvent tout de même être démarchées, notamment « en cas de sollicitations dans le cadre de l’exécution d’un contrat en cours et ayant un rapport avec l’objet de ce contrat y compris lorsqu’il s’agit de proposer au consommateur des produits ou des services afférents ou complémentaires à l’objet du contrat en cours ou de nature à améliorer ses performances ou sa qualité ». Le démarchage téléphonique n’est donc pas interdit par principe en France.

Si ce système d’opt-out semble instaurer un équilibre entre les intérêts des entreprises et ceux des particuliers, de nombreuses jurisprudences tant nationales qu’européennes viennent démontrer l’insatisfaction des citoyens vis-à-vis de ces textes. En effet, on ne peut qu’admettre l’existence de nombreux abus perpétrés par des entreprises parasitant la vie de nombreuses personnes.

Le démarchage téléphonique est un sujet très actuel qui fait l’objet d’une jurisprudence abondante de la part des autorités de contrôle européennes. Ces dernières ont décidé de hausser le ton et ont été très actives ces derniers mois. On peut citer l’Information Commissioner’s Office (ci-après l’ICO), autorité de contrôle britannique, qui a rendu deux décisions le 12 décembre 2024. Tout d’abord, elle est venue sanctionner la société Money Bubble Ltd[9] pour avoir effectué du démarchage téléphonique sur des personnes s’y étant opposé via la société Telephone Preference Service Ltd (ci-après TPS), qui est mandatée pour gérer le registre des oppositions pour le compte de l’ICO. En l’espèce, l’ICO a reçu, directement ou via TPS, plus de deux cents plaintes concernant des appels non sollicités relatifs à des assurances vie provenant de la société. L’ICO fonde sa décision sur les articles 21 et 24 de la Privacy and Electronic Communications Regulations de 2003[10]. Elle rappelle qu’il est interdit d’effectuer du démarchage téléphonique sur des clients qui ont indiqué préalablement leur opposition et aux personnes qui sont listés sur le registre des oppositions. Il est nécessaire pour le démarcheur d’obtenir le consentement préalable des personnes inscrits sur la liste.

L’ICO est également venue sanctionner la société Breathe Services Ltd[11] pour les mêmes motifs que la décision précédente. En l’espèce, la société avait également effectué des appels de prospection commerciale (plus de 4 millions !) sur des contacts apparaissant pourtant dans le registre des oppositions.

L’autorité italienne de protection des données, la Garante per la Protezione dei Dati Personali (ci-après « la Garante »), a également dû sévir il y a peu dans une décision du 12 septembre 2024, concernant l’activité de démarchage téléphonique de la société Sky.[12] En l’espèce, après avoir vérifié dans le registre public d’opposition des appels la liste des numéros contactés par la société, la Garante s’est aperçue que 644 contacts y étaient inscrits. La société a tenté de se défendre en arguant le fait que beaucoup de ces contacts étaient déjà des clients et qu’une partie seulement étaient des prospects, donc des clients potentiels. La Garante a néanmoins décidé de sanctionner la société en violation des articles 5 §1 et 6§1 du RGPD ; elle a en l’espèce estimée que la société avait utilisé des données personnelles sans vérifier l’existence d’un quelconque consentement. Elle  reproche donc à la société d’avoir effectué du démarchage sur des personnes inscrites dans le registre public des oppositions.

Les problématiques liées au démarchage téléphonique sont également bien visibles dans l’Hexagone. Il est à noter toutefois qu’une décision du Tribunal administratif de Rennes du 16 octobre 2024[13] est allée dans le sens de la société démarcheuse. Le Tribunal a déclaré incompatible l’interdiction de la prospection commerciale sans consentement préalable dans le secteur de la rénovation énergétique, fondée sur l’article L223-1 du code de la consommation avec la directive européenne de 2005. En effet, cette restriction n’étant pas prévu par la directive, et dans une logique d’harmonisation avec le droit européen, le Tribunal a donc estimé qu’il ne fallait pas interdire ce type de prospection sans consentement préalable.

Ces différentes jurisprudences sont le reflet des difficultés amenées par l’encadrement juridique du démarchage téléphonique en France et en Europe. En effet, il est nécessaire d’harmoniser le droit européen sur la question. Semblant plus qu’inefficace pour enrayer les abus subis par les personnes concernées, le système d’opposition par opt-out vit peut-être ses dernières heures. Une nouvelle proposition de loi[14] visant à interdire le démarchage téléphonique a été déposée le 30 septembre 2024 devant le Sénat. Elle visait à faire basculer le système existant vers un système d’opt-in, créant ainsi une « liste de consentement » où les particuliers pourraient s’inscrire s’ils souhaitent recevoir de la prospection commerciale. On passerait ainsi sur un régime d’interdiction par principe du démarchage téléphonique sans consentement préalable avec toutefois des exceptions prévues comme lorsque la prospection commerciale concerne la fourniture de journaux, de périodiques ou de magazines.

Si le législateur avait auparavant toujours fermé ses portes au système d’opt-in, il ne semble plus exclu qu’il rejoigne certains de ces homologues européens qui ont déjà effectué ce revirement.

Le Sénat a adopté en première lecture le 14 novembre 2024 un texte titré : « proposition de loi pour un démarchage consenti et une protection renforcée des consommateurs contre les abus ».[15] Si cette « liste de consentement » n’apparait plus dans le texte adopté, le Sénat décide d’interdire le démarchage téléphonique sur un consommateur qui n’y a pas préalablement consenti. Cette position pourrait avoir des conséquences dramatiques pour les nombreuses entreprises dont le démarchage est l’activité principale voire l’unique activité.

Il faudra attendre la position de l’Assemblée nationale dans les prochains mois, le texte ayant été transmis par le Sénat le 15 novembre 2024.

Néanmoins, l’issue semble évidente puisque l’Assemblée nationale n’a pas attendu de statuer sur le texte pour prendre position. En effet, elle a annoncé le 1er janvier 2025 avoir adopté la « Résolution Européenne invitant le Gouvernement à se prononcer en faveur de la modification du régime du démarchage téléphonique au niveau européen »[16] dans laquelle il est fait mention justement d’intégrer le système d’opt-in dans les textes européens afin d’harmoniser les nouvelles règlementations en matière de démarchage téléphonique et sms.


[2] Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

[5] Directive 2002/58/CE du Parlement Européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques

[7] Proposition de Règlement 2017/003 du Parlement Européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE.

[10] Privacy and electronics Communications Regulations, art 21 et art 24

[14] Proposition de loi n°782 visant à interdire le démarchage téléphonique,30 sept. 2024, rectifiée

[15] Proposition de loi n°24 pour un démarchage téléphonique consenti et une protection renforcée des consommateurs contre les abus, 14 nov. 2024 adoptée en première lecture

Lumière sur … l’IA et le devoir de vigilance

Lumière sur le devoir de vigilance
Et si le « Rana Plaza » du numérique se jouait aujourd’hui avec l’IA ?

La loi française sur le devoir de vigilance[1], ainsi que plus récemment, la directive CS3D[2], imposent aux grandes entreprises de prévenir les atteintes graves aux droits humains, à la santé, à la sécurité des personnes, et à l’environnement, qui pourraient survenir du fait de leurs activités ou de celles de leurs partenaires. Cette obligation est notamment matérialisée à travers l’élaboration et la publication d’un plan de vigilance.

Pourtant, dans son rapport « Intelligence artificielle et devoir de vigilance : il y a intérêt à agir », diffusé au mois de septembre 2024, l’association « Intérêt à Agir » met en avant l’usage croissant de l’intelligence artificielle par les grandes entreprises (françaises), tout en constatant un manque d’intégration des risques sociaux et environnementaux liés à l’intelligence artificielle dans leur plan de vigilance. 

Après avoir ainsi étudié les plans de vigilance de 11 grandes entreprises françaises, cette association souligne les enjeux éthiques de la chaîne de production de l’intelligence artificielle, notamment l’exploitation des travailleurs et l’impact environnemental de l’extraction des métaux rares, nécessaires à la fabrication des semi-conducteurs des « data centers ». 

Les fournisseurs d’IA ont en effet recours à une multitude de personnes humaines pour réaliser les tâches de collecte et de nettoyage des données[3] : « dataworkers», « Clickworkers » ou encore « Turkers » sont autant de noms qui désignent les ouvriers de la donnée. Or cette forme de travail, organisée par l’intermédiaire de plateformes de travail numérique, le « crowdsourcing », peut interroger quant aux conditions de travail de ces personnes, situées aux 4 coins du globe.  

« L’ironie du sort veut que l’intelligence artificielle telle qu’elle est actuellement utilisée serve une finalité éloignée des objectifs intellectuels et pratiques qui étaient initialement les siens en tant que discipline et qui consistaient à créer des systèmes entièrement automatisés capables de résoudre des problèmes que seuls les humains pouvaient jusqu’alors solutionner » (Les plateformes de travail numérique et l’avenir du travail : pour un travail décent dans un monde en ligne. Genève, Bureau internationale du Travail, 2019)

Déjà en 2019, le BIT avait publié les résultats d’une enquête sur ce sujet, et il en ressortait un état édifiant : niveau de rémunération, amplitude horaire, absence ou mauvaise couverture de protection sociale… (Les plateformes de travail numérique et l’avenir du travail : pour un travail décent dans un monde en ligne. Genève, Bureau internationale du Travail, 2019)

C’est pourtant la catastrophe du Rana Plaza en 2013, bâtiment qui abritait des ateliers de confection pour des marques internationales, qui a déclenché une prise de conscience mondiale sur les conditions de travail dans l’industrie textile et a poussé les entreprises et les gouvernements à renforcer les normes de sécurité et de vigilance dans les chaînes d’approvisionnement.

10 ans plus tard, l’histoire semble se répéter dans l’industrie de l’IA, de manière plus invisible, mais tout aussi pernicieuse, alors que la prévention des atteintes graves aux droits humains et aux libertés fondamentales, à la santé et à la sécurité des personnes, et à l’environnement, devrait être prises en compte dans la chaîne de valeur des grandes entreprises, et cela, tant que l’IA ne pourra pas se passer de l’homme…

———-

Sources :

[1] Loi n° 2017-399 du 27 mars 2017, relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre.

[2] Directive (UE) 2024/1760 du 13 juin 2024 sur le devoir de vigilance des entreprises en matière de durabilité.

[3] Winston Maxwell. Le contrôle humain des systèmes algorithmiques – Un regard critique sur l’exigence d’un « humain dans la boucle ». Droit. Université́ Paris 1 Panthéon- Sorbonne, 2022. tel-04010389.

LUMIÈRE SUR … les transferts de données et la sanction record d’Uber par l’autorité néerlandaise

Le 29 septembre 2020, à la suite d’une première plainte qui donnera lieu à une première condamnation d’Uber[1], l’association « Ligue de défense des droits de l’homme » (ci-après LDH) représentant 172 chauffeurs Uber dépose une seconde plainte auprès de la CNIL. Cette fois, la LDH met en avant que la position d’Uber sur les transferts de données n’est pas claire à la suite de l’invalidation du «Privacy Shield[2]» et que les clauses contractuelles types nécessitent des mesures supplémentaires pour qu’il soit reconnu un niveau de protection équivalent . Le 11 janvier 2021, la CNIL transfère la plainte à l’AP, Uber ayant son établissement principal localisé aux Pays-Bas et l’AP agissant en tant qu’autorité chef de file en vertu du mécanisme de guichet unique [3]. À la suite de l’instruction, le 22 juillet 2024, l’AP condamne solidairement Uber Technologie Incorporation (société mère ci-après « UTI ») et Uber B. V. ( ci-après « UBV ») filiale et établissement principal domicilié aux Pays-Bas à une somme de 290 millions d’euros pour non-respect de l’article 44 du RGPD relatif aux transferts. Il est précisé que cette décision n’est pas définitive et qu’Uber a déjà interjeté appel.

 

Faits :

 

Uber est le nom de la plateforme électronique (ci-après « Plateforme ») développée par UTI. Le siège social d’UTI est situé à San Francisco aux États-Unis. La plateforme Uber est représentée dans l’Espace économique européen (ci-après « EEE ») par UBV. La Plateforme permet aux passagers de commander des services de transport. Pour accéder à la Plateforme, les chauffeurs Uber de l’EEE doivent signer un contrat avec UBV. S’ensuit une procédure de collecte de données afin de vérifier certaines obligations légales (données de compte, documents d’identité, permis de conduire, données de santé, licences de taxi, etc.). Lors de cette procédure de collecte, les données sont directement versées dans la Plateforme par les chauffeurs, transferts étant réalisés sans intervention directe d’UBV. Selon l’avis de confidentialité d’Uber[4] , UBV et UTI sont responsables conjoints du traitement des données à caractère personnel des chauffeurs Uber sur le territoire de l’EEE. Leurs responsabilités en matière de respect des obligations du règlement général sur la protection des données[5] sont définies au sein d’un accord spécifique[6]. UBV étant responsable de traitement des données personnelles des chauffeurs dans l’EEE et UTI qui administre l’ensemble de la Plateforme qui est hébergée aux États-Unis.  De plus, dans le cadre des traitements effectués au sein de l’UE, la relation avec leurs filiales européennes s’opère via un des accords de sous-traitance (par exemple, pour ce qui concerne Uber France SAS, UBV est identifiée comme responsable de traitement et Uber France SAS comme sous-traitant). UBV mettant à la disposition de ses filiales les données des chauffeurs. Enfin, lors de l’instruction, Uber a déclaré que « Pour les transferts de données des personnes concernées vers des pays tiers, la pratique habituelle d’Uber est (et a été) de mettre en place des clauses contractuelles types (CCT) lorsqu’un pays tiers n’a pas fait l’objet d’une décision d’adéquation afin de garantir un niveau élevé de protection, et de procéder à une évaluation de la « gestion des risques par des tiers » afin d’identifier les risques potentiels et de garantir la protection des données de ses utilisateurs. »[7] Pour autant le 6 aout 2021, à la suite de la mise à jour des CCT par la Commission européenne, Uber a jugé que l’article 3 du RGPD s’appliquant pleinement du fait de l’accord de responsabilité conjointe entre UBV et UTI, a revu son accord de contrôleur conjoint afin de « supprimer les CCT et de clarifier les responsabilités des responsables conjoints ». Par la suite, aucun autre instrument de transfert (BCR ou mécanisme de certification) n’a été mis en œuvre jusqu’au 27 novembre 2023.

Ainsi en l’état des constations deux questions étaient posées à l’autorité néerlandaise, l’application de l’article 3 du RGPD relatif au champ d’application territorial exclue-t-elle l’application du Chapitre V relatif aux transferts ? (I) Dans quelles mesures y a-t-il des transferts satisfaisant aux chapitres V dans le cadre des traitements réalisés par UBV et UTI ? (II)

 

I – Articulation du champ territorial et du Chapitre V relatif aux transferts

 

La question de l’articulation du champ d’application territoriale et des transferts n’est pas nouvelle. Et passe notamment par la définition de la notion de transfert. Qui pour rappel n’a jamais été définie dans le RGPD. L’intervention du Comité européen (ci-après « CEPD ») permet de clarifier la notion de transfert, mais aussi d’appuyer sur l’articulation entre l’article 3 et le chapitre V du RGPD.

L’article 3, paragraphe 2 du RGPD a introduit une possibilité d’application extraterritoriale du règlement à des organismes situés en dehors de l’EEE. En effet, même si un organisme intervient en dehors de l’EEE, mais qu’il effectue des traitements (et ce même s’ils n’ont pas lieu dans l’Union) de données à caractère personnel relatives à des personnes qui se trouvent dans le territoire de l’Union lorsque les activités de traitement sont liées à des offres de biens ou de services ou au suivi d’un comportement qui a lieu au sein de l’UE. L’objectif étant d’éviter que les organisations situées dans des pays tiers échappent à la règlementation et aux droits ménagés pour les personnes concernées.

Cependant, dans le cas, où un organisme est déjà soumis au règlement en vertu de l’article 3, doit-il respecter les obligations relatives aux transferts de données ?

En l’espèce, UTI et UBV ont signé un accord de responsabilité conjointe dans le cadre des traitements réalisés dans le cadre de la mise à disposition de la Plateforme sur l’EEE. Et Uber effectue des traitements de données à caractère personnel relatif aux chauffeurs qui se trouvent dans l’Union. Ces activités sont bien liées à des offres de services fournis au sein de l’UE.  Ainsi, UTI est donc soumis au règlement. Mais, Uber fait valoir lors de l’instruction que lors de la publication des nouvelles CCT par la Commission européenne, le considérant n°7 dispose « le responsable de traitement ou un sous-traitant peut utiliser (…) afin de fournir des garanties appropriées (…). Les clauses contractuelles types ne peuvent être utilisées pour ce type de transferts que dans la mesure où le traitement effectué par l’importateur de données ne relève pas du champ d’application du règlement (UE) 2016/679 (en vertu de son article 3, paragraphe 2), parce qu’il est lié à l’offre de biens ou de services à des personnes concernées dans l’Union ou au suivi du comportement de ces personnes dans la mesure où il s’agit de leur comportement au sein de l’Union. Ainsi, après s’être reposé sur les anciennes CCT, Uber décide d’abandonner la référence à ces dernières le 9 aout 2021, soit un peu moins d’un mois après la publication par la Commission européenne.

Par la suite, le CEPD publie le 18 novembre 2021, des lignes directrices qui vont apporter des éléments complémentaires, notamment en définissant la notion de « transferts ». Il y a transfert lorsqu’il y a trois critères cumulatifs (i) un responsable de traitement ou sous-traitant soumis au RGPD ; (ii) un responsable de traitement ou sous-traitant exportateur qui communique par transmissions ou en rendant autrement accessible les données personnelles à autre responsable de traitement / sous-traitant (iii) que l’importateur est situé dans un pays tiers, peu importe qu’il soit soumis ou non au RGPD.

Ici, c’est le troisième critère qui insiste sur l’articulation entre l’article 3 et le chapitre V du RGPD. En effet, peu importe que l’organisation importatrice située dans un pays tiers soit déjà soumise aux obligations du règlement, elle sera obligatoirement soumise au chapitre V en présence de transferts. En l’espèce, le CEPD a retenu une approche géographique. En effet, lorsque le traitement intervient dans l’Union européenne, il n’est pas couvert uniquement par le RGPD, mais aussi par un ensemble de règles dont le pouvoir de surveillance et de contrôle des institutions et surtout la protection des droits fondamentaux [8]. Or même si une organisation est soumise au règlement, mais qu’elle agit dans un pays tiers, les personnes concernées ne bénéficient pas des mêmes mesures de protection pouvant exposer ces dernières à des risques. Cette situation est observée dans le cadre de l’arrêt Schrems II, l’accès aux données par les autorités publiques américaines dans le cadre du FISA702 et de l’EO12333 a été jugé comme allant au-delà de ce qui est « nécessaire et proportionné dans une société démocratique ». La CJUE affirme qu’il est nécessaire d’être plus protecteur et de compenser ce risque qui pèse sur les droits fondamentaux, en introduisant des obligations complémentaires et notamment un « transfert impact assessment » pour s’assurer de la protection des droits et libertés fondamentales des individus lors d’un transfert dans un pays tiers[9].

Sans surprise, ce principe est réaffirmé par l’AP dans le point 66 de la décision «  la raison d’être du transfert des données en vertu du chapitre V du RGPD est complémentaire de la raison d’être du champ d’application territorial du RGPD tel que défini à l’article 3 : « à savoir empêcher le déni, l’affaiblissement ou le contournement de la protection fournie par le droit de l’UE en ce qui concerne les données » et que toute autre interprétation de ces mécanismes conduirait à un affaiblissement de la norme requise par la CJUE.[10] En conséquence, l’application du chapitre V complète l’article 3 relatif au champ territorial du RGPD. Il sera donc nécessaire de déterminer si les traitements effectués par Uber satisfont à la définition de « transfert » établie par le CEPD.

 

II – Le cadre légal des transferts de données

 

Pour déterminer si le chapitre V est applicable, il faut déterminer s’il y a transferts de données. Une fois ces conditions remplies, il convient de déterminer dans quelles mesures ces transferts peuvent intervenir légalement.

 

 

A – Appréciation des critères relatifs aux transferts de données à caractère personnels

 

Dans le cadre des transferts, le principe est l’interdiction sauf en cas d’existence d’une décision d’adéquation [11], de garanties appropriées[12] ou de règles d’entreprise contraignantes (ou BCR)[13] mises en place avec le destinataire ou sous certaines conditions l’utilisation de certaines dérogations[14] visées par le règlement. Selon le CEPD,[15] il y a trois critères cumulatifs pour qu’une opération de traitement puisse être qualifiée de transfert (i) un responsable du traitement ou un sous-traitant (l’ « exportateur ») est soumis au RGPD pour le traitement en cause ; (ii) l’exportateur communique par transmission ou rend accessible par un autre moyen des données à caractère personnel, qui font l’objet de ce traitement, à un autre responsable du traitement, responsable conjoint du traitement ou sous-traitant (l’ « importateur ») ; (iii) l’importateur se trouve dans un pays tiers – que cet importateur soit ou non soumis au RGPD pour le traitement en cause conformément à l’article 3 -, ou est une organisation internationale ».

Dans le cas d’espèce, nous observons deux situations. Dans la première situation (Situation 1), c’est via l’intermédiaire de l’application Uber hébergée aux États-Unis que sont collectées et stockées l’ensemble des données des chauffeurs incluant les données de compte, de localisation, mais aussi des données telles que les documents d’identité, les données criminelles, de santé ou licence de taxi. La deuxième situation (Situation 2) concerne les procédures de gestion des exercices des droits des personnes concernées. Uber permet aux chauffeurs d’exercer leurs droits de différentes manières : (a) via un formulaire hébergé dans l’application ou sur le site web d’Uber ; (b) par une adresse électronique dédiée (b) et par le biais d’autres formes de communication telles qu’un courrier ou une conversation téléphonique (c). Dans le cadre d’une demande effectuée via le moyen a), le flux de données passera directement aux États-Unis via l’accès à la plateforme par le terminal de l’individu peu importe l’entité à laquelle la personne concernée choisit de s’adresser. UTI est donc la seule entité à recevoir et à traiter la demande.

Dans le cadre d’une demande via courrier électronique, la situation sera similaire en ce que UTI gère le nom de domaine en « uber.com » qui est hébergé aux États-Unis. Dans le cas c), il faut décomposer deux situations soit le chauffeur contact directement les services des filiales ou ceux de la maison mère aux États-Unis. Dans le premier cas, les employés d’UBV traiteront la demande et rempliront les détails de celle-ci directement dans un système de gestion hébergé aux États-Unis et géré par UTI. Dans le deuxième cas, les données sont envoyées directement aux États-Unis par la personne concernée. Selon la technicité de la demande, les données seront soit téléchargées via l’application (ou le site web) ou présélectionnées par UTI, et un employé d’UBV sera chargé de vérifier l’export et l’envoyer à a personne concernée. Par conséquent, les situations impliquant des transferts sont nombreuses, mais aussi spécifiques. En revanche, on constate que la majorité des données sont collectées et transférées directement par les chauffeurs sur la Plateforme présente sur leurs terminaux à UTI. UBV n’intervenant pas techniquement dans le traitement, et donc l’absence potentielle d’exportateur.

Ainsi, concernant le i) et le iii) critère ces derniers sont bien remplis.  UBV et UTI sont bien soumis au RGPD. UTI est localisé aux États-Unis qui est un pays tiers. En revanche, concernant le point ii) « l’exportateur communique par transmission ou rend accessible par un autre moyen des données à caractère personnel, qui font l’objet de ce traitement, à un autre responsable du traitement, responsable conjoint du traitement ou sous-traitant (l’« importateur ») ».

Ici « techniquement », il n’y a pas d’exportateur puisque le chauffeur télécharge les données directement via l’application présente sur son terminal mobile. Or en l’absence d’exportateur, il n’y a plus d’entité qui doit se conformer aux règles de transferts et d’évaluer l’existence de garanties appropriées nécessaires pour assurer un niveau équivalent de protection des données à caractère personnel.

Or cette interprétation restrictive est incompatible avec l’objectif d’assurer un niveau élevé de protection des données à caractère personnel[16]. Ainsi, l’AP va s’écarter d’un modèle classique d’analyse des transferts en tenant compte des évolutions techniques. Et pour cela elle va tenir compte de deux éléments l’existence d’un flux de données entre l’EEE et les États-Unis et une influence exercée par le responsable de traitement sur le transfert. Concernant, le flux entre l’EEE et les États-Unis. Ici, Uber utilise l’application destinée aux chauffeurs comme outil technique pour transférer des données à caractère personnel de l’EEE vers les États-Unis. UBV partage la responsabilité de traitement concernant les transferts et exerce un contrôle sur le transfert de données à caractère personnel vers l’EEE.

Concernant le flux entre l’EEE et les États-Unis. Ici, Uber utilise l’application destinée aux chauffeurs comme outil technique pour transférer des données à caractère personnel de l’EEE vers les États-Unis. UBV partage la responsabilité de traitement concernant les transferts et exerce un contrôle sur le transfert de données à caractère personnel vers l’EEE.

Concernant l’influence exercée par le responsable de traitement, l’AP va se focaliser sur le contexte dans lequel les actions et la volonté des personnes concernées se réalisent et dégager un faisceau d’éléments constitutifs de cette influence. Si l’AP souligne qu’elle est consciente qu’il n’y a pas d’exemples référencés dans les lignes directrices du CEPD[17] (notamment dans le cadre d’une relation précontractuelle liée à un emploi), mais en l’espèce : la relation contractuelle entre les chauffeurs Uber de l’EEE et UBV s’appuie sur des conditions prérédigées, et non négociables qui seule permettent d’accéder à la plateforme et soumettent le chauffeur aux finalités et moyennes prédéterminées de traitement des données par l’UTI et l’UBV. En outre, l’activité principale consistant à fournir des services de transport sur la Plateforme exige que le chauffeur Uber télécharge des données personnelles et qu’Uber collecte en permanence des données personnelles à partir de l’appareil du chauffeur Uber (notamment pour la mise en relation, le parcours de la course, etc.). Ainsi, même si les chauffeurs ont conclu le contrat de leur plein gré, ils n’ont en revanche, pas de poids ni dans la négociation, ni dans la détermination des finalités et des moyens du traitement. L’absence d’autonomie est renforcée par l’influence d’Uber sur les comportements des chauffeurs. Cette influence s’exerce de plusieurs manières sur les chauffeurs d’une part via des incitations financières (avantages conférés à certains véhicules, système d’évaluation et processus d’exclusion, algorithme qui prédétermine le trajet, et enfin la fixation de certaines exigences supplémentaires relatives à la collecte (téléchargement de documents, assurances, absence de casier judiciaire, etc.). Cette influence témoigne donc d’une absence totale de contrôle sur les finalités et moyens de traitement en question. Les chauffeurs ne pouvant être considérés comme responsables de traitement dans les deux situations de transfert évoquées. L’AP va même plus loin en insistant sur l’existence d’une relation de travail hiérarchique et citant même un arrêt de la Cour de cassation[18]. Cette décision s’inscrivant dans une démarche de protection du statut des travailleurs des plateformes qui bénéficieront bientôt[19] d’une présomption de relation de travail.

Par ailleurs, l’AP ne retient pas la qualification de « traitement interne »[20]. En effet, deux responsables du traitement sont impliqués, UBV, basé dans l’UE, et UTI, basé aux États-Unis. Ces entités déterminent conjointement les finalités et les moyens du traitement des données à caractère personnel des chauffeurs Uber, comme décrit dans les situations 1 et 2.

Par conséquent, l’AP conclut les critères étant remplis, UBV se devait donc de respecter le chapitre V et de déterminer un instrument de transfert efficace au regard du droit et de la pratique en vigueur dans le pays tiers.

 

 

B – Analyse des mécanismes de transferts

 
     Conformément au chapitre V, les transferts en dehors de l’UE sont en principe interdit sauf en présence d’une décision d’adéquation[21] ou des garanties appropriées[22] telles que des CCTs, des règles contraignantes d’entreprise (BCR), ou des clauses contractuelles validées par l’autorité de contrôle compétente [23]. En l’absence de ces dernières, il est possible de recourir aux exceptions dans les conditions citées à l’article 49 du RGPD.

            Les transferts sont effectués entre l’EEE et les États-Unis. Or entre le 16 juillet 2020 (annulation du Privacy Shield) et le 10 juillet 2023 date de validation du Data Privacy Framework[24], les États-Unis ne sont plus couverts par une décision d’adéquation. Le recours aux CCT, a été abandonné par Uber le 9 aout 2021. Enfin, il ressort des échanges entre l’AP et Uber, aucun autre mécanisme listé à l’article 46 n’a été mis en place (pas de BCR ni de sollicitation de l’autorité pour la validation des clauses contractuelles). Ainsi durant cette période, seule l’utilisation des dérogations pouvait permettre à Uber d’avoir un instrument légitimant les transferts des données vers les États-Unis.

L’article 49 du RGPD qui établit une liste de dérogation, que l’on peut préciser par la lecture du considérant 111 du RGPD qui fait référence à des notions clés dans l’application des dérogations tel que le caractère accessoire et nécessaire du transfert[25]. En outre, les lignes directrices du 2/2018 du CEPD[26] « Le CEPD notent que le considérant 111 utilise le terme « occasionnel » et que le deuxième paragraphe de l’article 49, paragraphe 1, utilise le terme « non répétitif » dans la dérogation fondée sur les « intérêts légitimes impérieux ». Ces termes impliquent que des transferts similaires peuvent se produire plus d’une fois – mais pas régulièrement – et devraient intervenir dans des circonstances aléatoires, inconnues et à des intervalles irréguliers. Ainsi, un transfert de données qui se produit régulièrement dans le cadre d’une relation stable entre un exportateur de données et un importateur de données sera généralement considéré comme systématique et répétitif et par conséquent, non accessoire et non répétitif.

En l’espèce, deux dérogations sont avancées par Uber, les dérogations fondées sur l’article 49, paragraphe 1, point b) (pour la situation 1) et c) (pour la situation 2)  qui disposent : « En l’absence de décision d’adéquation en vertu de l’article 45, paragraphe 3, ou de garanties appropriées en vertu de l’article 46, y compris des règles d’entreprise contraignantes, un transfert ou un ensemble de transferts de données a caractère personnel vers un pays tiers ou à une organisation internationale ne peut avoir lieu qu’à l’une des conditions suivantes: (…)  b) le transfert est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée ; c) le transfert est nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale (…)».

S’agissant de la situation 1, qui pour rappel fait état de la collecte des données des chauffeurs dans le cadre de leur l’inscription, du suivi de leur comportement, du nombre de chauffeurs, de la quantité de données collectées, de la récurrence des transferts, ces transferts sont systématiques, continus, et répétitifs. Ainsi, le caractère accessoire et non répétitif ne peut être reconnu dans ce cadre, l’exception ne pouvant être invoquée.

S’agissant de la situation 2, et notamment de l’évaluation de l’exigence de nécessité. À cette fin, l’AP rappel que l’exigence de nécessité requiert que le traitement soit objectivement indispensable à l’exécution du contrat[27] et qu’il importe peu que le traitement soit utile au contrat. Le responsable de traitement doit donc démontrer que le lien de nécessité comme étant étroit et substantiel par rapport à la finalité de l’accord. Or en l’espèce, Uber apporte deux éléments d’une part que le transfert a lieu dans le contexte des accords de partage des données (entre UBV et UTI) et d’autre part que le traitement centralisé des données aux États-Unis est essentiel pour pouvoir offrir les services Uber et garantir les droits des personnes à la protection de leurs données. Or, concernant le lien de nécessité, la CJUE a déjà statué que la simple existence d’un accord ne suffit pas et qu’il est nécessaire de démontrer qu’il n’y ait pas une autre solution possible qui soit moins intrusive.[28] Et s’agissant du caractère essentiel, Uber a insisté sur des éléments d’efficacité et de rapidité des traitements effectués, sans démontrer en quoi il était crucial que ce traitement ait lieu aux États-Unis. Ainsi l’AP conclut que sur la période du 6 aout au 27 novembre 2023 Uber ne pouvait invoquer avec succès aucune des dérogations de l’article 49 et qu’en conséquence, lors de cette période, les données ont été transférées illégalement.

 

Conclusion & apports secondaires de la décision Uber

 

À la suite de la constations du défaut de respect de l’article 44 du RGPD légitimant les transferts. L’AP a prononcé une amende administrative à l’encontre d’Uber en vertu de l’article 58 (2) du RGPD.

L’AP a procédé d’une manière très didactique dans l’application des critères énoncés par les lignes directrices du 04/2002 sur le calcul des amendes administratives au titre du RGPD. Ces dernières prennent en compte les activités de traitement, la détermination du montant de départ, l’existence de circonstances atténuantes ou aggravantes, les montants maximaux applicables aux infractions et le fait que le montant final de l’amende doit répondre aux exigences d’efficacité, de dissuasion et de proportionnalité. En l’espèce, les éléments suivants ont été prépondérant dans la catégorisation de l’infraction comme étant grave :  (i) la nature de la violation – transferts de données dans un pays tiers ne satisfaisant pas aux conditions requises ; (ii) La durée du manquement – plus de deux ans et trois mois ; (iii) le fait que les transferts étaient au cœur de l’activité de traitement d’Uber, systématiques et continus (iv) les catégories de données à caractère personnel traitées ainsi que leurs quantités importantes – Uber collectait et transférait des données sensibles de l’ensemble des chauffeurs de l’UE (tel que des données de santé / données criminelles). Or l’accès par les autorités publiques américaines augmente sensiblement la gravité du manquement.

Enfin, s’appuyant sur le considérant 150 (…) « Lorsque des amendes administratives sont imposées à une entreprise, ce terme doit, à cette fin, être compris comme une entreprise conformément aux articles 101 et 102 du traité sur le fonctionnement de l’Union européenne. (…) » or il est ressort de la jurisprudence de la CJUE qu’une entreprise est toute entité exerçant une activité économique, indépendamment de sa forme juridique et de son mode de fonctionnement[29]. Ainsi, l’unité économique importe et non les entités juridiques qui la composent. UBV étant une filiale à 100% de UTI, elles doivent être considérées comme faisant partie de la même société. Le chiffre d’affaires mondiale d’UTI de 2023 servant de base à la détermination du montant de la sanction administrative soit 37,281 milliards de dollars.

Ainsi, en prenant en compte la gravité de l’infraction, ce montant devra donc être situé à minima entre 20% (soit 273,881 millions d’euros) et 100% des 4% (1,379 milliard d’euros) du chiffre d’affaires mondial. Enfin, en l’état des considérations relatives à l’importance de la violation, l’AP fixe une amende à un montant de 290 millions d’euros, montant qu’elle estime comme étant efficace, proportionné et suffisamment dissuasif. Uber a déjà annoncé qu’il fera appel de la décision dont Caspar Nixon, porte-parole d’Uber a déclaré comme étant « erronée en droit » et que « cette amende extraordinaire est totalement injustifiée ». Affaire que nous suivrons de près.

 


[1] La première plainte déposée par la LDH a donné lieu à une sanction de 10 millions d’euros en décembre 2023 – lien de la décision en anglais – https://www.autoriteitpersoonsgegevens.nl/en/current/uber-fined-eu10-million-for-infringement-of-privacy-regulations

[2] Le Privacy Shield (Bouclier de protection des données en français), était un mécanisme d’auto-certification pour les sociétés établies aux État-Unis d’Amérique.Ce dispositif avait été reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données personnelles transférées depuis une entité européenne vers des sociétés établies aux États-Unis. Le Privacy Shield UE-États-Unis était entré en vigueur le 1er août 2016. Le 16 juillet 2020, la grande chambre de la Cour de Justice de l’Union Européenne a invalidé la décision d’adéquation de la Commission Européenne, le privacy shield ne constituant plus une garantie juridique suffisante pour transférer des données personnelles de l’Union Européenne vers les Etats-Unis. Lien de la décision C-311/18  https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62018CJ0311

[3] Pour en savoir plus sur le mécanisme de guichet unique – https://www.cnil.fr/fr/le-guichet-unique

[4] Disponible à l’adresse – uber.com/legal/fr/document/?name=privacy-notice&country=france&lang=fr

[5] Le réglement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données est entré en application le 25 mai 2018 et abroge la direction 95/46/CE,

[6] Accord de partage de données Uber – entre Uber B.V et Uber Technologies Inc. Champ d’application : Données personnelles d’Uber et données des  employés. Accord conclu le 6 aout 2021.

[7] Voir le paragraphe 42 de la décision en néerlandais téléchargeable – https://www.autoriteitpersoonsgegevens.nl/actueel/ap-legt-uber-boete-op-van-290-miljoen-euro-om-doorgifte-data-chauffeurs-naar-vs

[8] Voir en ce sens, Charte des droits fondamentaux de l’Union Européenne du 18 décembre 2000 ;

[9] Voir à cet égard C-311/18, Schrems II, ECLI:EU:C:2020:559, point 141 ;

[10] 39 Voir, dans ce contexte, par exemple, C-40/17, Fashion ID GmbH c Co. KG, ECLI:EU:C:2019:629, point 50.

[11] Article 45 du RGPD

[12] Article 46 du RGPD

[13] Article 47 du RGPD

[14] Article 49 du RGPD

[15] Voir à ce sujet les Lignes directrices 05/2021 sur l’interaction entre l’application de l’article 3 et des dispositions relatives aux transferts internationaux du chapitre V du RGPD

[16] A voir plus précisément dans le paragraphe 86 de la décision de l’AP.

[17] Lignes directrices du CEPD 05/2021 sur l’interaction entre l’application de l’article 3 et les dispositions relatives aux transferts internationaux du chapitre V du RGPD

[18] Voir en ce sens, Cour de cassation, civile, Chambre sociale, 4 mars 2020, 19-13.316, Publié au bulletin point 15 : « La cour d’appel, qui a ainsi déduit de l’ensemble des éléments précédemment exposés que le statut de travailleur indépendant de M. F… était fictif et que la société Uber BV lui avait adressé des directives, en avait contrôlé l’exécution et avait exercé un pouvoir de sanction, a, sans dénaturation des termes du contrat et sans encourir les griefs du moyen, inopérant en ses septième, neuvième et douzième branches, légalement justifié sa décision. »

[19] Voir la directive du Parlement Européen et du Conseil relative à l’amélioration des conditions de travail dans le cadre du travail via une plateforme – lien – https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX:52021PC0762

[20] Voir dans ce sens – paragraphe 17 des lignes directrices du 05/2021 et paragraphe 70 de la présente décision.

[21] Article 45 paragraphe 1 du RGPD qui dispose : « « Un transfert de données à caractère personnel vers un pays tiers ou une organisation internationale peut avoir lieu si la Commission a décidé que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés de ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat. Aucune autorisation spécifique n’est requise pour un transfert similaire. » 

[22] Article 46 paragraphe 1 du RGPD : «En l’absence d’une décision prise en vertu de l’article 45, paragraphe 3, le transfert de données à caractère personnel vers un pays tiers ou une organisation internationale par un responsable du traitement ou un sous-traitant ne peut avoir lieu qu’à condition que ces derniers offrent des garanties appropriées et que les personnes concernées disposent de droits opposables et de voies de recours effectives »

[23] Article 46 paragraphe 3 point a) du RGPD qui dispose: « sous réserve de l’autorisation de l’autorité de contrôle compétente, les garanties appropriées visées au paragraphe 1 peuvent aussi être fournies, notamment, par : a) des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l’organisation internationale; »

[24] Data Privacy Framework ou DPF : est le mécanisme reconnu comme étant adéquat par la Commission Européenne le 10 juillet 2023 – voir en ce sens https://commission.europa.eu/system/files/2023-07/Adequacy%20decision%20EU-US%20Data%20Privacy%20Framework_en.pdf

[25] Considérant 111 du RGPD : « le transfert devrait être possible dans certains cas où la personne concernée a donné son consentement explicite, lorsque le transfert est accessoire et nécessaire dans le cadre d’un contrat ou d’une demande en justice, que l’action soit de nature judiciaire, administrative ou extrajudiciaire, y compris les procédures devant les organismes de règlementation. […] ». »

[26] Lignes directrices 2/2018 relatives aux dérogations prévues à l’article 49 du règlement (UE) 2016/679

[27] 106 Arrêt de la CJUE du 4 juillet 2023 Meta (ECLI:EU:C:2023:537), paragraphe 98.

[28] Cf. arrêt de la CJUE du 4 juillet 2023 Meta (ECLI:EU:C:2023:537), point 99 : au contraire, la Cour déclare explicitement que le fait d’être « utile » ne constitue pas une nécessité.

[29]« la notion d’entreprise comprend toute entité exerçant une activité économique, indépendamment du statut juridique de cette entité et de son mode de financement »   CJCE, 23 avr. 1991, aff. C-41/90, Klaus Höfner et Fritz Elser c/ Macrotron GmbH : Rec. CJCE 1991, I, p. 1979. – TPICE, 22 oct. 1997, aff. jtes T-213/95 et T-18/96, Stichting Certifcatie Kraanverhuurbedrijf (SCK) et Federatie van Nederlandse Kraanverhuurbedrijven (FNK) c/ Commission : Rec. CJCE 1997, II, p. 1739).

Lumière sur …. L’abus de majorité ou la protection des droits des actionnaires minoritaires

I. Éléments constitutifs de l’abus de majorité

L’abus de majorité intervient lorsque des décisions prises lors des assemblées générales, à l’initiative des actionnaires majoritaires, sont contraires à l’intérêt social de la société et favorisent injustement ces mêmes majoritaires au détriment des actionnaires minoritaires.

Les critères de l’abus de majorité ont été posés par la jurisprudence (Cass. com., 18 avril 1961) et confirmés a de nombreuses reprises (Cass. Com., 21 janvier 1997 n°94-18.883).

Elle se caractérise par :

  • Contradiction avec l’intérêt social : la décision porte atteinte aux intérêts de la société, c’est-à-dire à sa viabilité ou à sa pérennité.
  • Intérêt personnel des majoritaires : la décision est motivée par la volonté des majoritaires de s’avantager au détriment des autres actionnaires.

L’arrêt « Cass. com., 1er juillet 2003 », et plus récemment l’arrêt « Cass. 3e civ., 11 juillet 2024 n° 23-10.013 » précisent que l’abus de majorité peut entraîner la nullité relative de la décision concernée.

 

II. Évolution jurisprudentielle : de la nullité à la confirmation

La jurisprudence a fait évoluer la notion d’abus de majorité en ajoutant de nouvelles précisions, notamment sur le régime des sanctions applicables. En 1997, la cour a élargi les critères en ajoutant la nécessité de démontrer l’intérêt personnel des majoritaires. La Cour de cassation (Cass. Com., 11 janvier 2017, n°14-27.052) a caractérisé l’abus de majorité lorsque la décision à pour seul objectif d’évincer le minoritaire malgré l’apurement du passif de la société dans le cadre d’un coup d’accordéon.

La jurisprudence récente du 11 juillet 2024 marque une nouvelle étape importante, qualifiant la nullité des décisions abusives de « nullité relative ». Cette distinction est importante :

  • Nullité relative : Cette nullité ne peut être invoquée que par les parties que la loi entend protéger, en l’occurrence, les minoritaires et également le dirigeant de la société.
  • Le dirigeant peut désormais, au même titre que les minoritaires, demander l’annulation d’une décision collective pour abus de majorité. Cela pallie le risque d’inaction des minoritaires (Cass. com., 21 janvier 1997).

 

III. Loi Pacte : renforcement de l’intérêt social

La Loi Pacte a élargi la notion d’intérêt social, en intégrant des objectifs sociaux et environnementaux. Ainsi, les décisions des actionnaires doivent non seulement être prises dans l’intérêt financier de la société, mais aussi répondre aux enjeux sociaux à long terme.

Cette loi redéfinit ainsi l’évaluation de l’abus de majorité. Les décisions qui ignorent ces nouvelles préoccupations pourraient, selon la jurisprudence à venir, constituer une violation de l’intérêt social, ouvrant ainsi la voie à de nouveaux litiges pour abus de majorité.

 

IV. Les droits des actionnaires minoritaires : Comment se défendre ?

Les actionnaires minoritaires disposent de plusieurs recours pour contester les décisions abusives des majoritaires.

      a. Action en nullité des décisions abusives

Les minoritaires peuvent solliciter la nullité des décisions collectives jugées abusives. Avec la jurisprudence du 11 juillet 2024, cette nullité est relative, permettant au dirigeant de la société d’agir également en justice pour demander l’annulation.

      b. Confirmation de la décision : un piège pour les minoritaires

Un associé qui souhaite contester une décision pour abus de majorité doit éviter de la confirmer tacitement, comme l’a illustré la Cour de cassation. Un comportement consistant à approuver des décisions ultérieures tenant compte de la décision contestée pourrait être considéré comme une confirmation tacite. Cela ayant pour effet de rendre la demande en nullité irrecevable.

      c. Action du dirigeant

Grâce à la jurisprudence de 2024, le dirigeant social peut agir pour pallier l’inaction des minoritaires et protéger l’intérêt de la société. Cela renforce le rôle des dirigeants dans la préservation de l’équilibre entre actionnaires majoritaires et minoritaires.

 

Conclusion : une vigilance accrue nécessaire

Les récentes évolutions jurisprudentielles et législatives renforcent les moyens de protection des actionnaires minoritaires face à l’abus de majorité. La « nullité relative » introduit une plus grande souplesse dans l’action en justice, et les actionnaires doivent être attentifs à ne pas confirmer tacitement les décisions qu’ils souhaitent contester. Le rôle du dirigeant est également accru dans la protection de l’intérêt social.

——————-

Sources :

– Cass. com., 18 avril 1961, n°175

– Cass. Com., 11 janvier 2017, n°14-27.052

– Cass. com., 1er juillet 2003, n°99-19.328

– Cass. com., 21 janvier 1997, n°94-18.883

– Cass. com., 19 novembre 1991, n°90-16.660

– Cass. 3e civ., 11 juillet 2024 n° 23-10.013 

– Loi Pacte (2019)

Lumière sur …. 3 nouvelles sources d’obligations pour les entreprises en matière de protection de l’environnement

La protection de l’environnement est un enjeu incontournable de notre ère. Nouveau moteur du développement de l’économie mondiale, elle a entraîné l’adoption de nombreuses règlementations dans le but d’encadrer les pratiques des acteurs économiques et de les responsabiliser face aux préoccupations environnementales en forte croissance. Cette dynamique s’est renforcée depuis septembre 2015, lorsque les 193 États membres de l’ONU ont adopté un programme de développement durable à l’horizon 2030 intitulé « Agenda 2030 » fixant 17 objectifs de développement durable à atteindre[1].

Dans cette démarche, l’Union européenne ne cesse de renforcer son cadre législatif en matière de durabilité à travers diverses initiatives. Trois textes récents incarnent cette volonté à travers différents primes : la directive dite « CSRD » par le reporting extrafinancier des entreprises (1), la directive sur le droit à la réparation s’inscrivant dans un objectif de lutte contre l’obsolescence programmée et octroyant un levier supplémentaire aux consommateurs pour la durabilité de leur produits (2) et enfin le règlement contre la déforestation et la dégradation des forêts contraignant les entreprises à produire dans le strict respect de l’environnement (3).

 

1/ Une évaluation de la durabilité des entreprises grâce à la CSRD

Applicable depuis le 1er janvier 2024, la directive européenne Corporate Sustainability Reporting Directive (CSRD)[2], impose aux entreprises de nouvelles obligations de reporting[3] extra-financier visant à améliorer la transparence et la comparabilité des informations sur leur durabilité. Les entreprises doivent transmettre, par le biais de ce reporting, des données :

  • Sociales : égalité des chances, conditions de travail, mesures adoptées contre la corruption…
  • Environnementales : atténuation et adaptation au changement climatique, biodiversité, définition des enjeux environnementaux à court et moyen terme…
  • De gouvernance : rôle des organes d’administration, gestion des risques, diversité au sein des conseils exécutifs…

Dans un objectif d’harmonisation et de meilleure comparaison des données, ces dernières doivent être transmises dans le respect des normes de standardisation européennes dites « ESRS »[4] et devront être publiées dans une section dédiée du rapport de gestion des entreprises concernées.

Sont assujetties à l’obligation de reporting :

  • Toutes les sociétés cotées sur les marchés règlementés européens, à l’exception des microentreprises telles que définies par l’article 3 de la directive 2013/34/UE du 23 juin 2023 dite « directive Comptable » et dont le premier reporting devra être publié en 2025. Toutefois, les PME bénéficient d’obligations de reporting allégées.
  • Toutes les autres grandes entreprises européennes, c’est-à-dire, selon la directive Comptable, les sociétés, cotées ou non, au-dessus de deux des trois seuils suivants : 250 salariés ; 40 M€ de chiffre d’affaires et/ou 20 M€ de total de bilan, dont le premier reporting doit être publié en 2026 ;
  • Certaines sociétés non européennes ayant un chiffre d’affaires européen supérieur à 150M€ et une filiale ou succursale basée dans l’Union européenne, dont le premier reporting devra être publié en 2029.

En plus des normes ESRS, de nouvelles normes seront progressivement adoptées par voies d’actes délégués[5] afin de structurer les données à communiquer par les entreprises :

  • Des normes « universelles » applicables à l’ensemble des sociétés, quel que soit leur secteur d’activité. Elles couvrent les enjeux transversaux ainsi que l’ensemble des thématiques socio-environnementales ;
  • Des normes sectorielles ;
  • Des normes spécifiques pour les PME cotées sur les marchés règlementés.

Par ailleurs, la CSRD instaure une double matérialité consistant à analyser tous les critères environnementaux, sociaux et de gouvernance (ESG) sous un double prisme. La matérialité permet d’identifier les informations comptables susceptibles d’avoir un impact sur la performance financière d’une entreprise. Concrètement, une information est dite matérielle lorsqu’elle dépasse un « seuil de signification », un montant au-delà duquel les décisions économiques, notamment celles des investisseurs, sont susceptibles d’être influencées.

Ces deux prismes sont les suivants :

  • La matérialité financière ; c’est-à-dire les impacts positifs et négatifs des enjeux de durabilité sur les performances financières de l’entreprise ;
  • La matérialité d’impact ; à savoir les impacts positifs et négatifs de l’entreprise sur son environnement économique, social et naturel.

Sur la plateforme Impact mise en place par le gouvernement (https://www.impact.gouv.fr/ ), les entreprises peuvent évaluer leurs performances selon 45 indicateurs ESG.

En cas de non-respect des obligations de reporting, de lourdes sanctions peuvent être prononcées à l’égard du dirigeant :

  • Amende de 3750 euros en cas de non-publication du reporting ou de publication d’informations partielles ou erronées ;
  • Amende de 30 000 euros et jusqu’à 2 ans d’emprisonnement en cas de non-audit du reporting extra-financier ;
  • Amende de 75 000 euros et jusqu’à 5 ans d’emprisonnement en cas d’entrave aux vérifications ou contrôles des auditeurs.

Les démarches instaurées par la directive CSRD visent à promouvoir une transparence accrue des pratiques des entreprises, tout en encourageant une gestion plus responsable. Toutefois, l’Union européenne ne limite pas son approche durable aux pratiques internes des organisations et l’étend également à la manière dont les produits eux-mêmes sont conçus, utilisés et réparés. C’est dans ce cadre qu’intervient la directivité sur le droit à la réparation ayant pour objet de prolonger la durée de vie des produits et à réduire les déchets, en facilitant l’accès des consommateurs aux services de réparation et aux informations sur les pièces détachées.

 

2/ Un nouveau levier pour les consommateurs : la directive européenne sur la réparabilité

         Pilier de la transition énergétique française et priorité de la Convention citoyenne[6], l’interdiction de la lutte contre l’obsolescence programmée passe notamment par un soutien aux secteurs de la réparation[7]. En réponse à cet enjeu environnemental majeur, la directive européenne du 13 juin 2024 dite « Droit à la réparation »[8], vise à encourager la durabilité des produits et réduire les déchets électroniques. Pour cela, elle rend les conditions de réparation des produits plus attractives pour les consommateurs en imposant des obligations contraignantes aux fabricants, désormais tenus de réparer les produits techniquement réparables[9], depuis le 30 juillet 2024.

La directive établit une liste exhaustive des produits couverts par les obligations de réparabilité, à savoir :

  • Les téléphones portables et tablettes,
  • Les lave-linges et sèche-linges,
  • Les lave-vaisselles,
  • Les aspirateurs,
  • Les nettoyeurs à haute pression,
  • Les réfrigérateurs,
  • Les matériaux de soudage,
  • Les serveurs et produits de stockage de données.

S’il choisit de réparer son produit plutôt que d’en acheter un nouveau pendant la période de garantie légale, le consommateur bénéficie d’une extension de garantie d’un an l’incitant ainsi à se tourner vers cette solution plus durable.

De plus, le consommateur peut plus facilement entrer en contact avec les réparateurs de sa région grâce à la nouvelle plateforme en ligne de mise en relation du consommateur et du réparateur. Se trouveront sur cette plateforme les ateliers de réparation agréés, les expertises mises en service ou encore les avis d’autres consommateurs sur lesdits ateliers.

Enfin, la directive met en place un formulaire européen d’informations sur la réparation, comprenant des informations sur le processus de réparation, les délais, les coûts et autres conditions spécifiques.

En parallèle de cette avancée significative en matière de droit à la réparation, l’Union européenne intensifie également ses efforts contre la perte de biodiversité et agit directement sur le changement climatique en adoptant un règlement afin de lutter contre les produits issus de la déforestation et/ou favorisant la dégradation des forêts.

 

3/ Une protection directe de l’environnement par le règlement contre la déforestation et la dégradation des forêts.

L’objectif du Règlement 2023/1115[10] est de réduire le plus possible la part de l’Union Européenne dans la déforestation et dans la dégradation des forêts dans le monde. Pour ce faire, les commerçants et opérateurs[11] de produits bovins, de cacao, de café, d’huile de palme, de caoutchouc, de soja et de bois doivent s’assurer, à compter du 30 juin 2025, que ces produits :

  • Soient issus d’une politique « zéro déforestation » ;
  • Qu’ils respectent la législation du pays d’origine ;
  • Qu’ils fassent l’objet d’une déclaration de diligence raisonnée.

Le règlement institue une obligation de déclaration à la charge des opérateurs et des commerçants afin que ces derniers contribuent efficacement à l’atteinte des objectifs fixés.

Tout d’abord, les opérateurs et les commerçants doivent exercer une « diligence raisonnée » avant d’importer, d’exporter ou de vendre sur le marché les produits listés en cause. La diligence raisonnée est une déclaration devant être complétée par les opérateurs et les commerçants, dans le système d’information européen dédié, avant chaque mise sur le marché, afin de garantir la légalité des produits et l’absence de provenance de la déforestation. Ces acteurs ont l’obligation de transmettre à leurs clients les informations relatives à la diligence raisonnée et son numéro de déclaration. Les TPE/PME sont exemptées de la déclaration de diligence raisonnée.

Trois étapes composent la déclaration de diligence raisonnée :

  • Étape 1 : Le « recueil d’informations » au cours duquel l’entreprise renseigne la quantité de produits mis sur le marché ou exportés, la description de ceux-ci, les pays et zones de production, ses fournisseurs etc…[12];
  • Étape 2 : L’« évaluation du risque » par l’entreprise qui doit estimer le niveau de risque du pays, l’ampleur de la déforestation… Si un risque de déforestation ou de dégradation est avéré, l’entreprise doit suivre la dernière étape.
  • Étape 3 : L’ « Atténuation du risque » au cours de laquelle l’entreprise doit fournir des données supplémentaires, fait l’objet d’enquêtes et audits supplémentaires.

Le ministère de la Transition écologique et de la Cohésion des territoires ou le ministère de l’Agriculture et de la Souveraineté alimentaire seront garants du contrôle annuel du respect de ces dispositions. Diverses sanctions sont encourues pour le non-respect des obligations imposées par le Règlement :

  • Confiscation des produits non conformes et de leurs revenus ;
  • Amende pouvant atteindre 4% du chiffre d’affaires annuel ;
  • L’exclusion temporaire, pendant une période maximale de douze mois, des procédures de passation de marchés publics et de l’accès au financement public, y compris les procédures d’appels d’offres, les subventions et les concessions ;
  • L’interdiction temporaire de mettre sur le marché ou de mettre à disposition sur le marché ou d’exporter des produits de base en cause et des produits en cause en cas d’infraction grave ou d’infractions répétées ;
  • L’interdiction d’exercer la diligence raisonnée simplifiée énoncée à l’article 13 en cas d’infraction grave ou d’infractions répétées ;
  • Publication sur le site internet de la Commission européenne du jugement définitif prononcé à l’encontre de la personne morale ayant violé les dispositions du Règlement, qui comprend notamment le résumé des activités enfreignant le Règlement et la nature de la sanction.

 

Par le renforcement de son arsenal législatif, l’Union européenne s’affirme comme un acteur de la transition écologique en mettant l’environnement au cœur de ses préoccupations. En imposant des obligations de transparence aux entreprises, en favorisant la durabilité des produits et en luttant contre la dégradation des forêts, ces nouveaux textes européens mettent les acteurs économiques au défi d’allier performance économique et respect de l’environnement. De prime abord contraignante, la mise en conformité des entreprises à ces nouvelles règles offre une opportunité de se démarquer en contribuant à la construction d’une économie plus responsable et résiliente.

Le cabinet Inside est à votre disposition pour vous aider à naviguer dans ce nouveau cadre juridique en constante évolution !

———-

[1] ASSEMBLÉE GÉNÉRALE DE L’ONU, Transformer notre monde : le Programme de développement durable à l’horizon 2030, Résolution 70/1, 25 septembre 2015.

[2] PARLEMENT EUROPÉEN ET CONSEIL, Directive (UE) 2022/2464 modifiant le règlement (UE) no 537/2014 et les directives 2004/109/CE, 2006/43/CE et 2013/34/UE en ce qui concerne la publication d’informations en matière de durabilité par les entreprises, 14 décembre 2022.

[3] Le terme « reporting » est l’anglicisme utilisé pour désigner la communication de données.

[4] L’acronyme « ESRS » désigne l’European Sustainability Reporting Standards.

[5] COMMISSION EUROPÉENNE, « Actes délégués et actes d’exécution », https://commission.europa.eu/law/law-making-process/adopting-eu-law/implementing-and-delegated-acts_fr#implementing-acts.

[6] CONVENTION CITOYENNE POUR LE CLIMAT, Les Propositions de la Convention Citoyenne pour le Climat, 29 janvier 2021, p. 69.

[7] Ibid.

[8] PARLEMENT EUROPÉEN ET CONSEIL, Directive (UE) 2024/1799 établissant des règles communes visant à promouvoir la réparation des biens et modifiant le règlement (UE) 2017/2394 et les directives (UE) 2019/771 et (UE) 2020/1828 13 juin 2024.

[9] Article 5 de la Directive 2024/1799, op. cit.

[10] PARLEMENT EUROPÉEN ET CONSEIL, Règlement (UE) 2023/1115 relatif à la mise à disposition sur le marché de l’Union et à l’exportation à partir de l’Union de certains produits de base et produits associés à la déforestation et à la dégradation des forêts, et abrogeant le règlement (UE) n°995/2010, 31 mai 2023.

[11] Art. 2 du Règlement (UE) 2023/1115, op. cit. :

Commerçant : « toute personne faisant partie de la chaîne d’approvisionnement, autre que l’opérateur, qui, dans le cadre d’une activité commerciale, met des produits en cause à disposition sur le marché »;

Opérateur : « Toute personne physique ou morale qui, dedans le cadre d’une activité commerciale, met des produits en cause sur le marché ou les exporte ».

[12] Article 9 du Règlement (UE) 2023/1115, op. cit.  

Lumière sur …. le vol d’entreprise ou la « fraude au Kbis »

Tout comme la carte nationale d’identité pour un individu, le Kbis est la preuve de l’existence juridique d’une entreprise.
Tout comme les personnes physiques, les entreprises en tant que personne morale peuvent aussi se voir dérober ou détourner leur identité. Protéger ce document justificatif officiel est essentiel pour assurer la pérennité de son entreprise et s’éviter une procédure très longue et coûteuse.

De quelle menace parle-t-on ?

La fraude au Kbis consiste à déposer de faux documents auprès du greffe du Tribunal de commerce pour faire modifier « officiellement » la direction ou l’actionnariat de l’entreprise (faux procès-verbal actant un changement de dirigeant, faux acte de cession de titres, faux statuts, etc). Cela permet par exemple au fraudeur, au nom de l’entreprise :
– d’ouvrir de nouveaux comptes bancaires
– de contracter des emprunts bancaires
– de passer des commandes ou obtenir des contrats

D’autres « arnaques » complémentaires peuvent consister à se faire passer pour un organisme public (greffe, impôts, etc) afin de demander des informations sensibles et stratégiques sous couvert d’une mise à jour obligatoire d’information (données bancaires, identifiants, etc).

Les conséquences pour le chef d’entreprise ou l’actionnaire peuvent non seulement être financières, mais également réputationnelles (perte de confiance de la part des clients, fournisseurs, investisseurs, etc).

Que faire pour s’en prémunir ?

1/ FORMER :
Sensibilisez vos collaborateurs à la cybersécurité ainsi qu’aux risques d’usurpation d’identité. Formez-les à la détection des signes de faux et mettez en place des procédures de vérification de l’exactitude des informations fournies par les tiers.

2/ VEILLER ET SURVEILLER :
Consultez et suivez régulièrement les informations et des formalités réalisées pour votre entreprise ou vos partenaires. Mettez en place une surveillance proactive en activant des alertes en cas de modification. Utilisez les plateformes officielles telles que infogreffe.fr et monidenum.fr. En cas de doute, les autorités ont aussi développé des solutions permettant de vérifier l’authenticité d’un Kbis (QR code, code de vérification).

3/ AGIR IMMÉDIATEMENT pour éviter tout risque de mise en faillite de votre entreprise :
N’hésitez pas à déposer plainte pour faux, à demander sans délai l’effacement du document falsifié au greffe du RCS et en cas de refus à saisir le juge commis à la surveillance du RCS ou même à saisir en référé le Président du Tribunal de commerce.
Faites-vous accompagner d’un avocat en droit des sociétés.

Conclusion

En adoptant une approche proactive et en mettant en place des mesures de protection robustes, les entreprises peuvent se prémunir contre ces menaces de vol d’identité et assurer leur pérennité. La vigilance, la formation et l’utilisation des outils de surveillance ou de détection sont essentiels pour sécuriser l’identité de votre entreprise et protéger vos actifs.

LUMIÈRE SUR… la nécessité de respecter le délai minimum d’une année en cas de modification du délai quinquennal de prescription

Un récent arrêt clarifie les possibilités de modification conventionnelle de la durée quinquennale de prescription.

 

Pour rappel :

  • L’article 2224 du Code civil précise que le délai de prescription est de 5 ans pour les actions personnelles et mobilières lorsque le titulaire du droit a connu ou aurait dû connaître des faits lui permettant d’exercer l’action en justice.
  • L’article 2254 du Code civil encadre ce délai, puisqu’il pourra être abrégée ou allongée par accord des parties, sans être réduite à moins d’un an ni étendue à plus de dix ans.

 

La Cour de cassation, par sa décision du 13 mars 2024, distingue le délai de forclusion du délai de prescription en rejetant l’argument avancé par la société SFR, qui soutenait que le délai instauré était un délai de forclusion (I). Elle précise également les contours de la modification conventionnelle du délai de prescription, telle que prévue par l’article 2254 du Code civil (II).

 

  1. Un délai de forclusion ou de prescription ?

L’association ADAPEI-ARIA de Vendée (l’association), ayant pour activité les services aux personnes souffrant de handicap mental, psychique ou physique a fait appel à la société SFR afin que ce dernier assure l’ensemble des prestations téléphoniques et internet de ses établissements.

 

À cet effet, l’association et la société SFR ont conclu un contrat-cadre comprenant des conditions générales de vente le 24 juin 2016. Ces conditions générales comportaient un article 7.4 stipulant que « de convention expresse entre les parties, aucune action judiciaire ou réclamation du client, quelle qu’elle soit, ne pourrait être engagée ou formulée contre la société SFR plus d’un an après la survenance du fait générateur. »

 

Le 13 décembre 2018, l’association invoque des dysfonctionnements perturbant son activité entre 2017 et 2018 et assigne la société SFR en résolution des contrats les liant ainsi qu’à la réparation de son préjudice.

 

La Cour d’appel de Paris répute non-écrit l’article 7.4 du contrat-cadre et prononce la résiliation du contrat aux torts de la société de télécommunications.

 

La société SFR se pourvoit en cassation et se prévaut de l’article 34-2 du Code des postes et des communications électroniques qui instaure un délai d’un an courant à compter de la date d’exigibilité du paiement. Selon elle, la clause insérée ne fait qu’instituer un délai de forclusion.

 

Cependant, la Cour de cassation ne suit pas le raisonnement de la société SFR et précise que « l’article 34-2 du Code des postes et des communications électroniques n’institue pas un délai de forclusion fixant un terme au droit d’agir dont est titulaire le créancier d’une obligation pré-déterminée à l’encontre du débiteur de celle-ci mais a pour objet de réduire conventionnellement le délai de prescription auquel sont soumises les actions en justice engagées par un client à l’encontre de la société SFR. »

 

Nous sommes donc bien dans le cadre d’un délai de prescription soumis aux articles 2224 et 2254 du Code civil.

 

       2. Le respect du délai minimum d’une année de l’article 2254 du Code civil.

 

La Cour de cassation rappelle la possibilité, instituée à l’article 2254 du Code civil, de modifier conventionnellement le délai de prescription de 5 ans.

 

Cependant, la Cour n’a pas été convaincu par le moyen soulevé par la société SFR, selon lequel le délai de l’article 7.4 du contrat conclu entre les parties serait un délai de forclusion.

 

C’est donc l’article 2254 du Code civil qui s’appliquera. La Cour de cassation rappelle ainsi que les parties ont la possibilité de modifier le délai quinquennal de prescription tout en respectant :

  • La durée minimale d’un an à compter du jour où le titulaire du droit a connu ou aurait dû connaître les faits lui permettant de l’exercer ;
  • La durée maximale de dix ans, toujours à compter du jour où le titulaire du droit a connu ou aurait dû connaître les faits lui permettant de l’exercer.

 

La Cour de cassation motive ce point : il faut respecter cette durée minimum d’une année, en la reconnectant au point de départ de droit commun.

 

Or en l’espèce, le point de départ choisi par la société SFR réduit cette durée puisque cette dernière considère comme point de départ la survenance du fait générateur. Il ne suffit donc pas de respecter la durée minimum d’un an, encore faut-il considérer le point de départ du délai de prescription prévu par l’article 2224 du Code civil, comme le jour où le titulaire a connu ou aurait dû connaître des faits lui permettant d’exercer l’action en justice. En modifiant le point de départ du délai de prescription, la société SFR ne respectait pas le délai minimum, réduisant le délai de prescription à moins d’une année.

 

La Cour de cassation s’aligne ainsi sur la décision des juges du fond en qualifiant la clause de réputée non écrite.

 

Il est donc essentiel de porter une attention particulière à la fixation du délai de prescription ainsi qu’à son point de départ. Définir un point de départ différent de celui prévu par le droit commun pourrait réduire le délai de prescription, ce qui rendrait la clause réputée non écrite .

Lumière sur … Les principaux apports de la loi SREN en matière de protection des données et, plus particulièrement, en matière de données à caractère personnel

La loi visant à sécuriser et à réguler l’espace numérique (SREN) a été promulguée le 21 mai 2024. Elle a été publiée au journal officiel du 22 mai 2024.

En premier lieu, la loi SREN a pour objectif d’adapter le droit français à de nouveaux textes européens tels que le règlement sur les services numériques (DSA), le règlement sur le marché numérique (DMA), le règlement sur la gouvernance européenne des données ou « Data Gouvernance Act » (DGA). Ici, il ne s’agit pas d’une transposition de ces textes européens par la loi SREN en droit français, car ce sont des règlements et non des directives, mais cette loi permet d’adapter le droit français pour pouvoir appliquer ce « parquet numérique » européen.

En second lieu, la loi SREN prévoit un ensemble de mesures permettant de mieux réguler l’espace numérique, protéger les internautes, ainsi que les entreprises. Les sujets abordés par la loi sont nombreux comme la protection des enfants de la pornographie, la mise en place d’un filtre de cybersécurité anti-arnaque à destination du grand public, la lutte contre la désinformation de médias étrangers, la réglementation de l’informatique en nuage (le Cloud), etc.

Mais ce qui attire le plus l’attention dans cette loi en matière de données personnelles sont les dispositifs de la loi SREN concernant la gestion et la protection des données. Ces dispositifs ne visent pas uniquement les données non personnelles, mais également, dans certains cas, les données à caractère personnel.

Il serait intéressant de faire un tour rapide sur les points de la loi SREN ayant des enjeux en matière de protection des données personnelles :

La protection des données stratégiques et sensibles dans le cloud

La loi SREN consacre un chapitre à la protection des données stratégiques et sensibles qui sont stockées sur un cloud privé fourni par les fournisseurs de services cloud.

Avant tout, il faut souligner qu’elles ne concernent pas uniquement des données à caractère personnel. La loi précise que les données d’une sensibilité particulière sont des données à caractère personnel ou non si leur violation peut entraîner une atteinte à l’ordre publique, à la santé, à la vie privée des personnes ou à la propriété intellectuelle.

Selon la définition, la qualification des données d’une sensibilité particulière sont les données relevant de secrets protégés par la loi et les données qui sont nécessaires à l’accomplissement des missions essentielles de l’État. Par conséquent, les données d’une sensibilité particulière englobent des données non-personnelles, ainsi que des données personnelles, notamment les données de santé à caractère personnel.

Vu l’importance des données d’une sensibilité particulière pour l’accomplissement des missions de l’État, les nouvelles dispositions de la loi SREN indiquent que lorsque les administrations de l’État, de ses 400 opérateurs ou des groupements d’intérêt public, y compris le Health Data Hub, confient le stockage des données stratégiques et sensibles aux prestataires privés de cloud, ils doivent veiller à ce que ces fournisseurs de cloud mettent en œuvre des mesures de sécurité et de protection des données afin d’éviter tout accès à ces données par des autorités publiques des États tiers.

Dans un délai de 18 mois à partir de la promulgation de la loi SREN, le gouvernement va remettre au parlement un rapport. Ce dernier aura l’objectif d’évaluer les moyens supplémentaires qui pourront être pris en compte afin d’augmenter la protection face aux risques et menaces que les législations extraterritoriales peuvent apporter aux données qualifiées comme ayant une sensibilité particulière. De plus, ce rapport va évaluer la possibilité de soumettre les entreprises de cloud, établies en dehors de l’Union européenne à un chiffrement certifié par l’Agence nationale de sécurité des systèmes d’information (ANSSI).

Quant à l’hébergement des données de santé, la loi mentionne qu’un décret va préciser les exigences en matière de transfert ou d’accès non autorisé par des États tiers.

L’élargissement du champ de compétence de la CNIL

Au titre du DGA

La loi SREN désigne la CNIL comme autorité compétente pour l’altruisme des données prévu par le règlement « Data Gouvernance Act » (DGA).

L’altruisme des données, ou data altruism en anglais est un modèle prévu par le DGA. Il permet aux parties prenantes (entreprises, particuliers, etc.) de partager les données pour des motifs d’intérêt général fondés sur le consentement par les personnes concernées ou l’autorisation accordée par les détenteurs de données à caractère personnel.

Selon ses nouvelles compétences, la CNIL pourra recevoir et traiter des demandes de notification d’organisations d’organisation altruistes en matière de données (OAD). De plus, la CNIL assurera la tenue du registre national des organisations altruiste en matière des données et le cas échéant traitera les plaintes relatives à ces organisations.

En cas de manquement de l’organisation altruiste à ses obligations, prévue par le DGA, la CNIL peut prononcer à leur égard des mesures correctrices comme la mise en demeure, la radiation du registre national ou une amende ne pouvant excéder 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.

Au titre du DSA

La CNIL est désignée comme l’autorité compétente pour contrôler le respect de certaines obligations issues du DSA à l’égard des plateformes en ligne. Le champ des compétences de la CNIL concerne le contrôle du respect des obligations renforcées par ces plateformes sur la transparence en matière de publicité ciblée, l’interdiction du profilage sur la base des données sensibles ou le profilage des mineurs. A cette fin, la CNIL a de nouveaux moyens de contrôle : le pouvoir de saisir tout document sous le contrôle du juge et la possibilité d’enregistrer les réponses des personnes auditionnées.

Attribution aux juridictions d’une autorité de contrôle au sens RGPD

La loi SREN apporte des changements au code de justice administrative, au code de l’organisation judiciaire, ainsi qu’au code des juridictions financières. Selon ces modifications, le Conseil d’État, la Cour de cassation et la Cour de compte, chacun aura une autorité contrôle élue pour une durée de trois ans, renouvelable une fois, pour contrôler les traitements de données à caractère personnel effectuées par les juridictions administratives et judiciaires dans leurs fonctions juridictionnelles.

Modification apportée à la loi pour la confiance dans l’économie numérique (LCEN)

L’article 48 de la loi SREN apporte des modifications à la LCEN qui impliquent pour les éditeurs d’un service de communication au public en ligne de mettre à disposition du public « le cas échéant, le nom, la dénomination ou la raison sociale et l’adresse des personnes physiques ou morales qui assurent, même à titre gratuit, le stockage de données traitées directement par elles dans le cadre de l’édition du service ».

Que signifie cela dans la pratique par exemple pour les éditeurs d’un site internet ou d’une application ?

Cela renforce le principe de transparence à l’égard des utilisateurs. En effet, désormais les éditeurs des sites internet, applications… doit mentionner via leurs mentions légales non seulement l’hébergeur de leurs sites ou applications, mais également les fournisseurs de cloud qui assurent l’hébergement des données des utilisateurs de services en ligne proposés par ces sites internet ou applications.

 

Lumière sur … l’appréciation de la notion de dénigrement en cas de dénonciation par un distributeur d’une pratique de réduflation.

De plus en plus de fournisseurs réduisent la quantité des biens proposés, tout en maintenant les prix à un niveau constant ou en les augmentant. Cette pratique, connue sous le nom de « shrinkflation« [1], n’est pas explicitement prohibée, mais manque de transparence à l’égard des consommateurs. C’est pourquoi, certains distributeurs font le choix d’en informer ouvertement leurs clients, par le biais d’affiches positionnées au sein de leurs enseignes, à côté des produits concernés. Cette démarche peut être perçue comme une forme de « name and shame« , suscitant ainsi un débat sur sa licéité.

Si ce type de campagne peut constituer une pratique commerciale déloyale (I), elle peut également s’apparenter à un exercice légitime du droit à l’information des consommateurs (II).

 

I. Dénonciation d’une pratique de réduflation constitutive de pratique commerciale déloyale et trompeuse

Le droit de la consommation sanctionne la pratique commerciale déloyale, c’est-à-dire contraire aux exigences de la diligence professionnelle et qui altère ou est susceptible d’altérer de manière substantielle le comportement économique du consommateur normalement informé et raisonnablement attentif et avisé (C. consom., art. L. 121-1). Le dénigrement est un type de pratique commerciale déloyale qui se définit comme la divulgation d’une information de nature à jeter le discrédit sur un concurrent.

Dans l’affaire Carrefour c/ Pepsi Co, l’enseigne de grande distribution Carrefour a diffusé au sein de ses points de ventes une campagne de publicité intitulée « shrinkflation » indiquant aux consommateurs à propos des produits du groupe PEPSICO France « Ce produit vu son contenant baisser et le tarif pratiqué par notre fournisseur augmenter. Nous nous engageons à renégocier ce tarif ». Cette campagne, alors que s’ouvrent les négociations pour l’année 2024, a eu un impact immédiat et brutal sur PepsiCo puisque ses ventes chez CARREFOUR au dernier trimestre 2023 se sont effondrées. Pepsi Co accuse Carrefour d’avoir commis un acte de dénigrement sanctionné au titre de la concurrence déloyale et demande le retrait des affichettes.

Pour le juge des référés (T. Com. Paris 24 janvier 2024, n°2023069037), cette communication constitue une pratique commerciale déloyale et trompeuse susceptible d’altérer le comportement économique du consommateur, et ce, pour plusieurs raisons :

  • Carrefour commercialise des produits directement concurrents de ceux de PepsiCo, sous sa propre marque ;
  • Carrefour n’indique pas l’ordre de grandeur de l’augmentation du prix au kilo ou au litre ;
  • Les informations sont invérifiables puisque le discours est vague et subjectif ;
  • Carrefour mentionne le « tarif » du fournisseur qui est un élément de la relation commerciale entre PepsiCo et Carrefour, et qui n’est donc pas connu du consommateur.

 

II. Dénonciation d’une pratique de réduflation justifiée par le droit à l’information du consommateur

À l’inverse, quelques jours plus tard (T. Com. Paris 8 février 2024, n° 2024004179), le Tribunal de Commerce de Paris s’est prononcé dans une affaire similaire, mais considère cette fois qu’un distributeur peut dénoncer des pratiques de réduflation sans se rendre coupable de concurrence déloyale.

L’affaire concerne une campagne, à propos des produits des marques Unilever, Knorr, Magnum et Carte d’Or, diffusée dans les points de vente de la société Intermarché, informant les clients que « les nouveaux formats de quantité réduite ont subi une augmentation de prix injustifiée pouvant aller jusqu’à + 39 % » avec des slogans tel que « AVANT MAGNUM, ÇA VOULAIT DIRE GRAND ». Il était également indiqué pour certains produits qu’ils ne seraient plus disponibles en rayons en raison d’une hausse de prix injustifiée (« KNORR J’ADORE J’ADORAIS »).

Selon le juge des référés, l’enseigne de grande distribution Intermarché ne pratique aucun dénigrement puisque l’information qu’elle délivre par le biais de cette campagne :

  • Se rapporte à un débat d’intérêt général (les pratiques actuelles de hausses tarifaires);
  • Repose sur une base factuelle suffisante ;
  • Et est exprimée avec mesure.

 

III. Dans quelle mesure la dénonciation d’une pratique de « shrinkflation » est-elle dès lors condamnable ?

Le fait de dénoncer une pratique de shrinkflation est condamnable lorsque la dénonciation ne sert pas le débat d’intérêt général, mais surtout lorsque cette dénonciation n’est pas assez précise, quantifiable et caractérise une pratique commerciale déloyale et trompeuse.

C’est dans ce contexte, et par transparence envers le consommateur, que les pouvoirs publics se sont emparés du sujet par un arrêté du 16 avril 2024 afin de rendre un affichage obligatoire de cette information par les industriels dans l’intérêt des consommateurs.

En effet, à partir du 1ᵉʳ juillet 2024, il sera obligatoire, pour les distributeurs, lorsqu’un produit de grande consommation a subi une modification de poids ou de volume à la baisse entrainant une hausse de prix à l’unité de mesure de préciser de l’évolution du prix rapporté au poids, afin que le consommateur soit informé de l’évolution du prix.

[1] Néologisme dérivant de l’anglais et provenant de la contraction du verbe « to shrink » signifiant rétrécir et du mot « inflation », francisé en “réduflation”

 

—–

SOURCES :

LUMIÈRE SUR… la conformité RGPD du système de vente aux enchères de données personnelles dans le cadre d’une publicité ciblée

Un nouvel arrêt vient ajouter une précision sur le mécanisme de suggestion de publicité ciblée à un utilisateur de site internet ou d’application.

En effet, le 7 mars 2024, la Cour de Justice de l’Union européenne (CJUE) s’est prononcée sur l’affaire opposant l’autorité de contrôle belge (APD) et l’IAB Europe.

L’IAB Europe est une association qui regroupe à la fois les entreprises du secteur de l’industrie de la publicité et du marketing numérique, et les associations nationales du même secteur. Celle-ci propose à ses membres un cadre de règles, appelé «Transparency Consent Framework (TCF)», afin d’assurer la conformité RGPD du traitement des données personnelles des utilisateurs dans le cadre du Protocole Real Time Bidding (RTB). En d’autres termes, ce protocole permet la vente et l’achat en temps réel d’espaces publicitaires sur internet par les opérateurs.

Pour contextualiser, en 2022, l’APD a rendu une décision à l’encontre de l’IAB Europe. Par cette décision, cette dernière a été qualifiée de responsable du traitement sur l’enregistrement dans une TC String des préférences de l’utilisateur selon les règles du TCF. La TC String (Transparency & Consent String) est une chaîne de lettres et de caractères dans laquelle les préférences des utilisateurs, notamment leur consentement ou non, sont codées et stockées. Combinée à un cookie, la TC String peut être liée à l’adresse IP de l’utilisateur. Par conséquent, elle a été considérée par l’APD comme étant une donnée personnelle.

L’IAB Europe a contesté la décision de l’APD devant la Cour d’appel de Bruxelles qui, à son tour, a posé des questions préjudicielles à la CJUE, notamment si la TC String est une donnée personnelle ou non (I), et si l’IAB Europe peut être considérée comme responsable conjoint du traitement (II).

I.             Sur le caractère personnel de la TC String

L’article 4.1 du RGPD définit les données à caractère personnel comme étant «toute information se rapportant à une personne physique (…) qui peut être identifiée directement ou indirectement». L’identification peut donc se faire par le recours à des informations supplémentaires. Le considérant 26 du RGPD ajoute même que les informations permettant d’identifier une personne peuvent ne pas se trouver entre les mains d’une seule personne.

En effet, la TC String contient des informations sur les préférences d’un utilisateur, donc se rapporte à une personne physique. Avec la combinaison des préférences de l’utilisateur et de son identifiant (notamment son adresse IP), il est possible pour les opérateurs de créer un profil sur celui-ci.

Certes, l’IAB Europe estime ne pas pouvoir combiner toute seule les informations sur la TC String et l’identifiant, mais cela n’enlève en rien le caractère personnel de la TC String. De plus, cet organisme a la possibilité de demander la communication de toutes les informations qui pourraient lui permettre d’identifier l’utilisateur. Elle possède donc les moyens raisonnables pour identifier une personne physique.

La TC String est donc considérée comme une donnée à caractère personnel.

II.            Sur la qualification juridique de l’IAB Europe

L’IAB Europe est considérée comme un responsable conjoint de traitement (RCT) avec ses membres. En effet, non seulement elle influe à des fins qui lui sont propres sur le traitement concernant la TC String, mais elle détermine également les moyens et les finalités du traitement avec ses membres. Cette influence se consolide par TCF, qui est un cadre de règles que les membres doivent accepter pour adhérer à l’association. La TCF contient entre autres : la manière dont les Consent Management Platform (CMP) recueillent les préférences des utilisateurs, ainsi que le stockage et le partage des TC String. De plus, selon la décision du 2 février 2022, il est possible pour les membres de consulter les préférences des utilisateurs dans le TC String.

Néanmoins, il est important de préciser que la responsabilité de l’IAB Europe n’est pas automatiquement engagée dans le cadre des traitements ultérieurs réalisés par des tiers, sur la base des préférences utilisateurs. En effet, un traitement de données peut être effectué sous plusieurs opérations, toutes à des stades différents. Sa responsabilité ne pourra être engagée que si elle a exercé une influence sur la détermination des finalités et des modalités des traitements ultérieurs.