En septembre 2020, la CNIL a adopté de nouvelles lignes directrices sur l’usage des cookies et autres traceurs, qui remplacent celles du 4 juillet 2019. Dans un souci de pragmatisme pour les acteurs concernés, la CNIL a également adopté une recommandation proposant des modalités de recours aux témoins de connexion en ligne. Enfin, une FAQ a été élaborée pour répondre aux questions principales portant sur ces deux délibérations.
Ces textes font écho à la décision du Conseil d’État (CE, 19 juin 2020, n° 434684), qui avait retoqué la CNIL sur l’interdiction générale de la pratique du cookie wall prévue dans ses lignes directrices du 4 juillet 2019. Pour rappel, il s’agissait d’une actualisation de la politique de la CNIL après l’entrée en vigueur du RGPD, actualisation qui nécessitait donc un réajustement pour se conformer à la jurisprudence administrative.
Les principaux fondements légaux sur lesquels s’appuient ces textes sont l’article 82 de la loi « Informatique et Libertés » (sur l’information et le consentement) et l’article 4 du RGPD définissant les conditions du « consentement ».
L’articulation des deux délibérations de la CNIL, qui constituent des instruments de droit souple, s’opère de la façon suivante :
Les lignes directrices rappellent « le droit applicable aux opérations de lecture ou d’écriture dans le terminal (smartphone, ordinateur, tablette, etc.) d'un internaute » (FAQ de la CNIL) ;
La recommandation ambitionne de « guider les professionnels concernés dans leur démarche de mise en conformité, sans toutefois être prescriptive » (FAQ de la CNIL).
Il conviendra de déterminer le champ d’application de ces textes (1) avant d’appréhender les contours du consentement pour l’utilisateur (2) puis les traceurs exemptés de consentement (3) et enfin de qualifier les différents intervenants (4).
1. Champ d’application des dispositions
Les textes visent les tous les organismes (privés / publics) soumis à la loi « Informatique et Libertés », qui effectuent des « opérations de lecture et/ou d’écriture d’informations dans l’équipement terminal de communications électroniques de l’abonné ou de l’utilisateur », que les informations soient des données personnelles ou non (Lignes directrices de la CNIL ci-après l.d. CNIL, n° 14).
Pour déterminer les supports concernés, la CNIL reprend la définition d’« équipement terminal » de la directive 2008/63/CE (L.d. CNIL, n° 10). Cela permet d’englober la majorité des dispositifs connectés :« une tablette, un smartphone, un ordinateur fixe ou mobile, une console de jeux vidéo, une télévision connectée, un véhicule connecté, un assistant vocal, ainsi que tout autre équipement terminal connecté à un réseau de télécommunication ouvert au public » (L.d. CNIL, n° 11).
Concernant les délais de mise en application des dispositions, la CNIL prévoit deux phases successives. Jusqu’à mars 2021, l’Autorité se focalisera sur le respect des principes exposés dans la recommandation du 5 décembre 2013, repris dans les nouveaux textes. À l’issue de cette période d’adaptation, les contrôles porteront sur l’ensemble des mesures prévues par les nouvelles délibérations de la CNIL. L’Autorité précise néanmoins qu’elle est « en tout moment en mesure de poursuivre des manquements portant une atteinte particulièrement grave au droit au respect de la vie privée » (FAQ de la CNIL, n° 5).
2. Les contours du consentement pour l’utilisateur
Sauf exceptions (L.d. CNIL, art. 5), l’utilisation de traceurs suppose un recueil du consentement de l’utilisateur libre, spécifique, éclairé et univoque (L.d. CNIL, n° 16).
Le consentement n’est pas considéré comme libre si l’utilisateur n’a pas une « véritable liberté de choix » notamment s’il ne peut pas « retirer son consentement sans subir de préjudice » (L.d. CNIL, n° 17).
En cas de pluralité de finalités, la CNIL recommande de recueillir le consentement pour chaque finalité (Recommandations CNIL, n° 25). Elle souligne néanmoins « qu’il est possible de proposer des boutons d’acceptation et de refus globaux au stade du premier niveau d’information […] permettant de consentir ou de refuser, en une seule action, à plusieurs finalités » (Recommandations CNIL, n° 27).
En ce qui concerne la pratique du cookie wall, la CNIL vérifiera, au cas par cas, la légitimité de la démarche, à la lumière de la liberté du consentement.
Le caractère spécifique du consentement s’oppose à une validation par acceptation globale des conditions d’utilisation (L.d. CNIL, n° 20).
Lorsque les traceurs permettent un suivi de navigation au-delà du site (ou de l’application), la CNIL recommande, que le consentement soit recueilli sur chacun de ces sites (ou applications) (Recommandations CNIL, n° 17).
Pour satisfaire au caractère éclairé du consentement, l’information doit être facilement compréhensible et aisément accessible au niveau visuel (L.d. CNIL, n° 22). En pratique, le design choisi pour le site peut participer de la bonne compréhension pour l’utilisateur (Recommandations CNIL, n° 10).
La CNIL encourage la mise en en perspective de chaque finalité dans un intitulé court et mis en évidence. À cet égard, elle propose des exemples de brefs descriptifs (Recommandations CNIL, n° 13).
La CNIL fournit une liste minimale d’informations qui doivent être accessibles à l’utilisateur préalablement au recueil de son consentement (L.d. CNIL, n° 24).
L’Autorité reprend la possibilité d’organiser l’information de l’utilisateur en deux temps, le second niveau d’information devant être facilement accessible (ex. lien hypertexte, bouton présent sur le premier niveau) (Recommandations CNIL, n° 14).
Le caractère univoque se manifeste par...
Les évolutions technologiques et les usages qui en découlent, imposent de nouveaux modèles économiques. À cet égard, les principaux textes européens remontent aux années 2000, en particulier la directive 2001/29 du 22 mai 2001, qui envisageait des canaux de diffusion illicites devenus désuets (détournement du peer to peer, sites internet n’ayant pas vocation à légaliser leur contenu).
L’évolution des usages numériques nécessitait donc une modernisation des textes législatifs pour s’adapter aux nouvelles formes « d’accès » aux œuvres. C’est en tout cas, l’objectif de la directive 2019/790 qui ambitionne d’harmoniser le droit européen à travers un texte consensuel (1), qui invite les plateformes de partage de contenus à rétribuer les ayants droit (2), qui crée un droit voisin pour les éditeurs de presse (3) et qui accroît les prérogatives existantes des ayants droit (4).
1. Un texte consensuel
Depuis plusieurs années, les ayants droit réclamaient une répartition plus équitable des revenus générés par l’exploitation des œuvres sur les réseaux numériques, voire même tout simplement une rémunération des auteurs. Cela visait, entre-autres, des « fournisseurs de services de partage de contenus en ligne » qui permettent de visionner une quantité importante d’œuvres protégées ou encore la reprise en ligne des publications de presse par des « fournisseurs de services de la société de l'information ».
Dans ce contexte, la réforme juridique telle qu’envisagée par la Commission européenne s’est concentrée sur les objectifs suivants :
Un accès transfrontalier des citoyens aux contenus protégés en ligne plus abouti ;
Un élargissement des possibilités d'utiliser du matériel protégé par le droit d'auteur pour l'éducation, la recherche et le patrimoine culturel ;
Des règles du jeu plus claires, pour assurer le bon fonctionnement du marché de l’exploitation des œuvres protégées, qui stimulent la création de contenu de haute qualité.
Avec la directive 2019/790 pour réponse, les institutions de l’Union européenne souhaitent :
Mettre à jour et harmoniser certaines exceptions importantes aux règles du droit d'auteur dans les domaines de la recherche, de l'éducation et de la préservation du patrimoine culturel ;
Favoriser un journalisme de qualité ;
Permettre à ceux qui créent et investissent dans la production de contenu qu’ils aient leur mot à dire sur la mise à disposition de leur contenu par les plates-formes en ligne et sur la manière dont ils sont rémunérés pour ce contenu ;
Accroître la transparence et l'équilibre dans les relations contractuelles entre les créateurs (auteurs et interprètes) et leurs producteurs et éditeurs.
Le texte européen paraît relativement équilibré étant donné qu’il remplit des objectifs tout à fait consensuels et ce, en dépit d’un lobbying particulièrement actif. Au cours de son élaboration, il a fait l’objet d’une polémique importante sur deux articles qui concernaient : la protection des publications de presse pour les utilisations en ligne (art. 11 devenu art. 15) et le sort des plateformes de partage de contenus en ligne qui permettent de visionner une quantité importante d’œuvres protégées (art. 13 devenu art. 17).
Parue au Journal officiel européen du 17 mai 2019, la directive fixe comme date butoir de transposition nationale, le 7 juin 2021. La France a fait preuve d’exemplarité (au-delà du fait que notre droit existant contient déjà des mesures similaires au nouveau droit européen), puisqu’elle a adopté une loi du 24 juillet 2019 créant un droit voisin au profit des agences de presse et des éditeurs de presse.
2. Les plateformes de partage des contenus passent à la caisse
L’article 17 de la directive 2019/790, qui a fait couler beaucoup d’encre, impose désormais aux fournisseurs de services de partage des contenus en ligne de contracter des licences justes et appropriées avec les ayants droits. Il concerne les plateformes de partage de contenus lorsque ces derniers sont protégés par le droit d’auteur (p. ex : un clip vidéo diffusé sur le site internet youtube.com).
Ces licences devront couvrir également les actes accomplis par les utilisateurs lorsqu'ils n'agissent pas à titre commercial ou lorsque leur activité ne génère pas de revenus significatifs. Ce procédé représente une petite révolution car jusqu’alors, étaient responsables des contenus, les tiers (utilisateurs) qui étaient à l’origine de leur publication.
Si la plateforme de partage en ligne décide de ne pas conclure de licence, elle sera responsable de la mise à disposition au public non autorisée de l’œuvre par ses utilisateurs, sauf dans certaines circonstances prévues spécifiquement (faire au mieux pour bloquer l’accès à l’œuvre, …) et en fonction de la taille du site internet (nombre de visiteurs, chiffre d’affaires). À la lumière des seuils fixés par la directive, on comprend que ces mesures visent les plus importantes plateformes de partage de contenus et limitent les contraintes pour les petits acteurs professionnels.
Enfin, les plateformes devront mettre à la disposition des utilisateurs qui auraient vu leur contenu retiré un dispositif de traitement des plaintes et de recours rapide en cas de litige portant sur ledit contenu supprimé.
3. Droits voisins et éditeurs de publication de presse, des débuts mouvementés
L’article 15 de la directive 2019/790, transposé dans les articles L. 218-1 et suivants du Code de la propriété intellectuelle confère aux éditeurs de presse et aux agences de presse un nouveau droit voisin, pour une durée de 2 ans. Ce droit vise la protection des publications de presse pour leur utilisation en ligne. Ainsi, les plateformes de diffusion d’informations devront rémunérer les médias dès lors que les contenus...
L’état d’urgence sanitaire est encadré par la loi n° 2020-290 du 23 mars 2020 d'urgence pour faire face à l’épidémie de covid-19 (JO du 24 mars 2020). Selon l’article L.3131-13 du code de la santé publique (CSP) : « L'état d'urgence sanitaire est déclaré par décret en conseil des ministres pris sur le rapport du ministre chargé de la santé ». Le Décret n° 2020-293 du 23 mars 2020 (JO du 24 mars 2020) prescrit les mesures générales adoptées par le gouvernement pour faire face à l'épidémie de covid-19 dans le cadre de l'état d'urgence sanitaire. En a découlé le confinement des personnes, prononcé en vertu de l’article L. 3131-15 du CSP et la fin du présentiel pour passer au distanciel.
La solution pour pallier l’impossibilité aux parties de se rencontrer physiquement consiste à recourir au numérique. Plusieurs exemples de textes de nature législative et règlementaire ont été pris en ce sens. Par ailleurs, il existe des solutions B2B, mais aussi en B2C, pour aider les PME et les grandes enseignes afin de rivaliser avec les géants du e-commerce comme Amazon ou Alibaba. Pour ce faire, ces solutions reposent sur l’intelligence artificielle et proposent des services d’entrepôts intelligents, des robots ou sur une analyse de données avec optimisation.
Notre droit connait ainsi un nouveau tournant quant à son adaptation au numérique ; une accélération de la #transformation numérique Et en même temps, le numérique devient indispensable, en l’occurrence pour remplacer les rencontres physiques afin d’établir des contrats, et maintenant des actes authentiques, des assemblées générales des personnes morales de droit privé ; exit donc les réunions présentielles à tout le moins de manière provisoire pour les actes authentiques et les assemblées générales.
En premier lieu, le décret du 3 avril 2020 permet l’établissement à distance des actes notariés sur support électronique. Le #coronavirus sera-t-il un facteur déterminant des échanges électroniques à distance, dont l’#acte authentique électronique est une manifestation éclatante ? (I) Plus récemment, une proposition de loi relative aux français établis hors de France prévoit la signature électronique des actes notariés avec comparution à distance à titre expérimental pendant 5 ans (Sénat 19 mai 2020).
En deuxième lieu, le décret du 10 avril 2020 est venu préciser les modalités d’application de l’ordonnance n° 2020-321 du 25 mars 2020 portant adaptation des règles de réunion et de délibération des assemblées et organes dirigeants des personnes morales et entités dépourvues de personnalité morale de droit privé (II). Enfin en troisième lieu, le droit bancaire a connu de légères modifications pour tenir compte de la distanciation physique imposée par l’épidémie (III).
I/ Les #actes authentiques électroniques à distance
A) Environnement juridique
La loi du 13 mars 2000 a consacré la possibilité d’établir des #actes authentiques sur support électronique avec l’ancien article 1317 du code civil, repris à l’article 1369 suite à l’ordonnance du 10 février 2016. Depuis lors, le décret n°2005-973 du 10 août 2005 fixe les modalités et conditions d’établissement et de conservation des actes authentiques électroniques des notaires (v. spécialement le chapitre III, articles 16 à 20). Le premier acte authentique électronique a été signé le 28 octobre 2008. L’article 1369 du code civil dispose : « L’acte authentique est celui qui est reçu, avec les solennités requises, par un officier public ayant compétence et qualité pour instrumenter. Il peut être dressé sur support électronique s’il est établi et conservé dans des conditions fixées par décret en conseil d’état. ». Cela permet au gouvernement de régler par décret les modalités pratiques de sa mise en œuvre au fur et à mesure des évolutions techniques et des usages. Le système mis en place par la profession, sous l’égide du Conseil Supérieur du Notariat (CSN), est un réel succès étant donné que les actes authentiques établis sur support électronique, actes juridiques séculaires les plus sensibles dans notre système juridique, se comptent par millions et que l’ensemble de la profession y a recours sur tout le territoire national. Ces actes sont conservés dans le #Minutier central électronique des notaires (MICEN) développé par l’Association pour le Développement du Service Notarial (ADSN). Ce service a ouvert en 2010. A notre connaissance, ces actes électroniques n’ont fait l’objet d’aucun contentieux.
Or, conformément à l’article 20 du décret n°71-941 du 26 novembre 1971 relatif aux actes établis par notaires, modifié par le décret n°2005-973 du 10 août 2005 (JO du 11 août 2005), le système mis en place impose la présence du notaire à côté de son client ou de deux notaires qui communiquent entre eux à distance, mais chacun d’eux étant en présence physique d'un client.
B) Modalités de l’#acte authentique électronique à distance
En effet, « Lorsqu'une partie ou toute autre personne concourant à un acte n'est ni présente ni représentée devant le notaire instrumentaire, son consentement ou sa déclaration est recueilli par un autre notaire devant lequel elle comparaît et qui participe à l'établissement de l'acte. » Il est à noter que « le système de traitement et de transmission de l'information agréé par le Conseil supérieur du notariat et garantissant l'intégrité et la confidentialité du contenu de l'acte. » (article 16 du décret de 1971). La perfection de l’acte est parachevée par la signature électronique sécurisée du notaire (art. 17) c’est-à-dire la signature électronique qualifiée établie à l’aide de la clé REAL depuis le règlement eIDAS.
Désormais, « jusqu'à l'expiration d'un délai d'un mois à...
Cet article est une reprise de l’article publié dans les colonnes de l’Usine Digitale : Perte de données et contrat d’archivage : ce qu'il faut savoir, publié le 5 juin 2019.
Les systèmes d’information constituent désormais la colonne vertébrale de toutes les entreprises et les données en sont devenues la moelle. Dès lors, toute perte de données cause un préjudice sérieux à ces dernières et les cyber assurances prospèrent sur ce fondement.
L’#archivage des données doit être donc assurée de manière fiable. Point qui peut sembler évident mais qui, par moments, ne l’est pas comme en témoigne la décision de la Cour d’appel de Paris en date du 19 mars 2019 qui remet en cause un système de Gestion Electronique des Documents en indiquant que « l’utilisation de ce système et les données recueillies sont loin d’être infaillibles ».
Quantification du préjudice consécutif à la perte de données
Dans une décision du 23 avril 2019, le tribunal de commerce de Nanterre a validé la résiliation d’un contrat informatique à la demande du client, en se fondant sur l’incapacité du prestataire à remettre en état opérationnel les données du client suite un dysfonctionnement informatique. En 2006, le client avait conclu un contrat d’infogérance avec le prestataire, pour l’externalisation de la gestion complète de son système d’information. Suite à un problème technique, des fichiers avaient disparu et le programme de sauvegarde s’était révélé défaillant. La cliente avait donc résilié le contrat et avait mis en œuvre la clause de #réversibilité.
Après avoir constaté l’inexécution contractuelle du prestataire incapable de remettre en état opérationnel les données suite à l’incident, le Tribunal de Commerce a considéré qu’il ne s’agissait d’une faute grave au motif qu’ « aucune pièce démontrant ni comportement, ni manœuvre du [Prestataire] dans la gestion de l’incident qui serait de nature à vouloir nuire et rendre évident que sans ces manœuvres [le client] n’aurait pas contracté ».
Toutefois, comme le précise le rapport d’expertise, la faute du Prestataire a privé le client de fichiers « estimés perdus et utiles », c’est à dire nécessaires à la poursuite de son activité. Un des éléments intéressant de la décision est relatif à la réparation et à la quantification du préjudice.
Le client n’avait « produit aucun document permettant d’évaluer son préjudice par les dépenses qu’[il] a subi pour reconstituer les données perdues depuis sept ans pour la poursuite de son activité ». Dès lors, pour quantifier le préjudice, le Juge s’est appuyé sur la clause de limitation de responsabilité qui fixe le plafond contractuel à la valeur d’une année de rémunération (soit 537. 896 euros) ; le tribunal a estimé que les dommages-intérêts devaient être évalués à cette somme, les autres préjudices (immatériels notamment) n’étant pas justifiés.
Bien rédiger son contrat d’archivage
Cette décision met en exergue un point essentiel pour toutes les relations Client/tiers archiveur : la rédaction du #contrat qui ne saurait être négligée ou simplement limitée à une reprise pure et simple des clauses figurant dans le contrat de service type prévu dans la norme Z42-013 "Spécifications relatives à la conception et à l’exploitation de systèmes informatiques en vue d’assurer la conservation et l’intégrité des documents stockés dans ces systèmes" avec une clause de réversibilité type, un engagement de niveau de service type,…
Un tel contrat doit être pensé en fonction d’un contexte donné, en fonction des besoins du Client et surtout, certains acteurs du domaine comme la Fédération des tiers de confiance du numérique ont mis en place des #labels qui vont au-delà de cette simple lecture technique de l’archivage.
Pascal AGOSTI, Avocat associé, Docteur en droit
Caprioli & Associés, Société d’avocats membre du réseau JurisDéfi
Pour aller plus loin
Trop de normes pour l'archivage électronique ?
Soyez vigilants sur la rédaction de vos contrats informatiques !
Contrats de prestations informatiques : quelques précautions juridiques
Si la littérature juridique s’intéresse avant tout au courrier électronique comme vecteur de droit, il n’en va pas de même de son « contenant » à savoir l’adresse de courrier électronique. Et pourtant… De sa fiabilité peut dépendre le bon déroulement d’une opération juridique (contrat, mise en demeure notification…).
Cet article est une reprise de l’article publié dans les colonnes de l’Usine Digitale En droit, l'adresse électronique n’est pas forcément une adresse, publié le 14 août 2020 concernant cette décision de la CJUE.
Qu’est-ce qu’une adresse de courrier électronique ?
L’#adresse de courrier électronique se définit comme le « libellé permettant l'identification d'un utilisateur de messagerie électronique et l'acheminement des messages qui lui sont destinés » . Tout comme le support durable, elle constitue l’un de ses illustres inconnus de l’économie numérique. Elles sont le moyen privilégié pour émettre et recevoir des courriers électroniques, que ces derniers contiennent des notifications, des mises en demeure ou des avenants signés.
De plus, elle constitue une donnée à caractère personnel au sens de l’article 4 du RGPD en ce qu’elle pourrait contribuer à identifier l’auteur d’un envoi électronique.
Qu’est ce qu’une adresse #IP ?
Comme le précisait le Parlement européen, il s’agit « d’un identifiant numérique unique qui est nécessaire à tout dispositif qui se connecte à l'internet. Il est attribué par les fournisseurs d'accès Internet et par les gestionnaires de réseaux locaux. Ceux-ci peuvent, par des moyens raisonnables, identifier les utilisateurs de l'internet, car ils enregistrent systématiquement dans un fichier la date, l'heure, la durée et l'adresse IP dynamique de chaque connexion ». Elle est considérée, depuis une décision de la CJUE, comme « une donnée à caractère personnel lorsque ledit éditeur dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne ».
Cette décision a été reprise au niveau national par la Cour de Cassation dans un arrêt du 3 novembre 2016 : « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL ».
Ces arrêts ont anticipé la position prise par le RGPD selon laquelle l’adresse IP est un identifiant en ligne (les cookies permettant de collecter des adresses IP) et la combinaison des traces laissées sur l’internet avec ces identifiants peuvent laisser des traces sur internet et la combinaison des traces à des identifiants uniques et d'autres informations reçues par les serveurs peuvent « servir à créer des profils de personnes physiques et à identifier ces personnes ».
La jurisprudence européenne s’est penchée sur la question de savoir si ces deux types d’adresses (courrier électronique et IP) pouvaient être considérés comme des adresses.
CJUE, 9 juillet 2020 : attention aux terminologies employées dans les textes !
Entre 2013 et 2014, plusieurs œuvres cinématographiques, dont les droits d’exploitation appartenaient exclusivement à la société allemande Constantin Film Verleih, ont été mises en ligne sur la plateforme YouTube et visionnées plusieurs dizaines de milliers de fois. Se considérant lésée, la société de distribution de films avait demandé à la plateforme de lui fournir des informations relatives à l’identité numérique des utilisateurs ayant procédé à la mise en ligne des œuvres litigieuses, mais elle n’avait obtenu que les noms d’utilisateurs fictifs. En première instance, la société de distribution avait demandé à recevoir des informations supplémentaires mais cela lui avait été refusé. Elle avait donc fait appel devant le tribunal régional supérieur, qui avait partiellement fait droit à ses demandes en condamnant la plateforme à fournir également les adresses mail des utilisateurs en cause. Cela n’étant pas suffisant pour la société de distribution, elle avait introduit un pourvoi en révision devant la Cour fédérale de justice. Cette dernière avait estimé que sa décision devait se fonder sur une analyse littérale de l’article 8, paragraphe 2, sous a), de la directive 2004/48/CE, et avait donc demandé à la Cour de Justice de l’Union Européenne de préciser la notion d’adresse figurant à cet article.
L’enjeu est important : il s’agit de déterminer si les dispositions relatives à la notion d’adresse s’appliquent indistinctement à l’adresse personnelle, à l’adresse IP ou encore à l’adresse de courrier électronique. La Cour de Justice de l’Union Européenne a répondu à cette question par la négative. Dans un arrêt remarqué du 9 juillet 2020, elle a effectivement estimé que la notion d’adresse figurant à l’article 8, paragraphe 2, sous a), de la directive 2004/48/CE devait être interprétée strictement et n’englobait pas les informations relatives au numéro de téléphone, à l’adresse de courrier électronique, ni à l’adresse IP utilisée. La Cour a ainsi estimé que la notion d’adresse présente à l’article précité avait été initialement entendue selon le sens habituel donné à cette notion, à savoir celle d’adresse postale. Pour fonder sa décision, la Cour a retenu, d’une part, que le terme « adresse » utilisé dans le langage courant était relatif à l’adresse postale. D’autre part, elle a souligné que ni les travaux préparatoires de la directive ni les autres actes du droit de l’Union Européenne ne comportaient d’éléments permettant de conclure à une interprétation large...
Il y a 20 ans, la loi sur la #preuve et la #signature électroniques était adoptée (loi du 13 mars 2000). Elle faisait suite à la directive européenne 1999/93 du 13 décembre 1999 sur la signature électronique. Ces deux textes, comme tant d’autres, se sont inspirés de la loi-type de la CNUDCI sur le commerce électronique adoptée en 1996. Depuis lors, les textes tant européens que français, les usages et pratiques du marché et la jurisprudence n’ont cessé d’évoluer. Et même, des travaux sont en cours au sein de la Commission des Nations Unies pour le Droit Commercial International (#CNUDCI) sur l’identité numérique et les services de confiance, dans la lignée du Règlement européen #eIDAS du 23 juillet 2014. Ceci étant, si la construction globale de cet écosystème a pris du temps, elle est désormais arrivée à maturité si l’on s’en tient au nombre d’actes juridiques signés.
1) L’irrésistible marche en avant du progrès technologique
Le nombre de transactions signées électroniquement ne cesse de croitre et de se généraliser. Outre les autres services de confiance tels que le cachet électronique ou l’horodatage, en France l’unité de mesure des signatures électroniques se compte en dizaines de millions. Les actes authentiques électroniques des notaires ont commencé en 2008 et leur passation, traditionnellement en présence physique du ou des notaires, vient d’être consacrée à distance en raison de l’épidémie de #Covid-19 (décret du 3 avril 2020) Les secteurs d’activité sont très variés : opérations de banque et finance, assurances, achats et ventes de marchandises et services ; le BtoB comme le BtoC, mais aussi la sphère publique, notamment les signatures dans les commandes publiques. Pourtant, certaines jurisprudences, certes minoritaires, restent encore hésitantes dans la mesure où il existe encore des juges qui éprouvent de la défiance face au progrès du numérique, s’inscrivant ainsi en contre des usages numériques et du « sens de l’histoire ». Le droit a consacré l’#équivalence juridique des supports utilisés sous réserve de respecter les fonctionnalités juridiques intrinsèques des instruments : écrit, signature, exemplaire original, copie, formalisme des mentions, etc. Ont été posées les fondations juridiques de l’écrit et de la signature électroniques aux articles 1316-1 et 1316-4 du code civil en alignant la valeur probatoire de l’écrit et de la signature électroniques sur celle du papier. Donc, double équivalence : fonctionnelle et des supports utilisés.
2) Que disent les textes ?
Après la loi du 13 mars, les textes d’application sur la preuve ont précisé la présomption de fiabilité attribuée à la signature électronique (Décret n°2001-272 du 30 mars 2001, désormais abrogé), l’évaluation et la certification de la sécurité des produits (Décret n°2002-535 du 18 avril 2002). Ensuite, la loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN) la loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN) a introduit dans le code civil la validité des actes juridiques par les articles 1108-1 et suivants du Code civil en renvoyant tout simplement aux articles 1316-1 et 1316-4, comme d’ailleurs l’article relatif au nombre d’exemplaires d’originaux (ancien art. 1325, al .5 et nouvel art. 1375). Il reste que seuls les actes sous seing privé portant sur le droit de la famille et les sûretés réelles et personnelles étaient et sont encore exclus de la digitalisation, contrairement aux actes authentiques. Par la suite, le code de procédure civile a été modifié pour prendre en compte la vérification d’écriture électronique (art. 287 et 288-I du CPC).
En 2012, la Commission européenne a lancé le processus de révision de la signature en élargissant le périmètre du champ d’application et en changeant la nature juridique de l’instrument. Et le 23 juillet 2014, le Règlement eIDAS est né : il abroge la directive de 1999 et traite de la gestion d’identité numérique et des services de confiance (signature, cachet électronique, horodatage, envois recommandés et certificat d’authentification de site web). L’ordonnance du 10 février 2016 a changé la numérotation des articles du code civil sans grande modification sur le fond : les articles 1316-1 et 1316-4 sont devenus les articles 1366 et 1367. Dans le prolongement du règlement, le décret du 28 septembre 2017 pris en application de l’article 1367, dispose :
« La fiabilité d'un procédé de signature électronique est présumée, jusqu'à preuve du contraire, lorsque ce procédé met en œuvre une signature électronique qualifiée.
Est une signature électronique qualifiée une signature électronique avancée, conforme à l'article 26 du règlement susvisé et créée à l'aide d'un dispositif de création de signature électronique qualifié répondant aux exigences de l'article 29 dudit règlement, qui repose sur un certificat qualifié de signature électronique répondant aux exigences de l'article 28 de ce règlement ».
On observera en cet endroit le renvoi au règlement européen, alors qu’il n’en est rien pour les autres services de confiance étant donné que le règlement est d’application directe.
A ce stade, il est fondamental de rappeler que la loi et le règlement eIDAS n’exigent pas l’utilisation de la signature électronique qualifiée pour la validité et la preuve de l’acte juridique en cause. Ce niveau élevé de signature se contente d’établir une #présomption (simple) de fiabilité du procédé de signature utilisé. Sans le bénéfice de cette présomption, il appartiendra à celui qui se prévaut de la signature électronique d’en établir la fiabilité devant le juge.
3) Une tendance jurisprudentielle à reconnaître la valeur des signatures
La première véritable décision...
Le #RGPD a renforcé l’encadrement du transfert de données personnelles hors de l’UE, toutefois, force est de constater que les outils mis en place ne sont pas suffisants. Telle est la position adoptée par la Cour de Justice de l’Union Européenne (CJUE) dans son Arrêt du 16 juillet 2020.
Cette Chronique de Me Isabelle CANTERO et de Eric A. CAPRIOLI, avocats associés du Cabinet Caprioli & Associés, est la reprise de l’article publié dans les chroniques de l’Usine Digitale Annulation du Privacy Shield : quelles conséquences sur les transferts de données vers les USA publiée le 30 juillet 2020.
Petit rappel quant aux outils permettant de transférer des données hors de l’UE
Le transfert de données personnelles depuis l’UE est libre vers 10 pays tiers sous décision d’adéquation de la Commission européenne (Andorre, Argentine, Canada (entreprises commerciales), Iles Feroe, Guernesey, Ile de Man, Japon, Jersey, Nouvelle Zélande, Suisse et Uruguay), cette décision permettant de constater que le pays destinataire des données présente un niveau de protection équivalent à celui de l’UE. Cas particulier, le Safe Harbor, décision d’adéquation sectorielle accordée à certaines entreprises américaines relevant de la Federal Trade Commission a été invalidé par la CJUE en 2015, pour être remplacé en 2016 par le Privacy Shield qui vient de connaître le même sort.
En l’absence de décision d’adéquation, les exportateurs européens de données (responsable du traitement ou sous-traitant) sont tenus d’adopter des garanties appropriées telles que les clauses contractuelles types de la Commission européenne, les règles d’entreprise contraignantes (BCR), l’adhésion à un code de conduite … qui ne nécessitent pas non plus d’autorisation préalable de l’autorité de contrôle.
Les données du problème
Suite à l’invalidation du Safe Harbor, pour pouvoir transférer à Facebook Inc. les données personnelles de ses utilisateurs situés sur le territoire de l’UE, Facebook Ireland a eu recours aux clauses contractuelles types de la Commission européenne (Décision 2010/87/UE de la Commission du 5 février 2010, modifée par la Décision d’exécution (UE) 2016/2297 du 16 décembre 2016). Or, dans le cadre des programmes de surveillance de masse (PRISM et UPSTREAM) notamment, la règlementation américaine (Foreign Intelligence Surveillance Act et Décret présidentiel EO-12333) permet à certaines autorités publiques (FBI, NSA, CIA) d’accéder aux données personnelles transférées à des fins commerciales (métadonnées et contenus des communications). Nonobstant les exigences relatives à la sécurité nationale invoquées, s’est posée la question de savoir si la limitation du pouvoir conféré aux autorités publiques américaines permettait de garantir le respect d’un niveau de protection des données personnelles transférées équivalent à celui de l’UE.
Les décisions de la CJUE
A noter, chacune des décisions de la CJUE se fonde sur le RGPD (art. 45) et sur la Charte des droits fondamentaux de l’Union européenne (art. 7, 8, 47 et 52).
Tout d’abord, la CJUE a validé la décision de la Commission européenne relative aux clauses contractuelles types pour le transfert de données personnelles vers des sous-traitants établis dans des pays tiers. Pour autant cette validation est conditionnelle. En effet, la Cour impose au responsable du traitement ou au sous-traitant établis dans l’UE de prendre des mesures supplémentaires dans le cas où la réglementation du pays de l’importateur des données comporterait des mesures contraires aux clauses types. A défaut, le responsable du traitement ou le sous-traitant, et, à titre subsidiaire, l’autorité de contrôle compétente « sont tenus de suspendre ou de mettre fin au transfert de données vers le pays tiers concerné ».
En second lieu, la CJUE a invalidé la décision d’adéquation portant sur le Privacy Shield, jugé incompatible avec les exigences d’adéquation posées par le RGPD. D’une part, la Cour estime que la réglementation américaine relative aux programmes de surveillance massive menés par les autorités publiques entrainait des limitations de la protection des données personnelles transférées depuis l’UE et qu’elles étaient non conformes aux exigences minimales attachées au principe de proportionnalité. Elle relève en outre que cette règlementation ne confère pas non plus aux personnes concernées de droits opposables aux autorités américaines devant les tribunaux. D’autre part, la Cour remet en cause le mécanisme de médiation prévu par le Privacy Shield en ce qu’il ne permet pas de garantir aux personnes non américaines le droit à un recours effectif à accéder à un tribunal impartial.
Un premier retour du Comité Européen à la Protection des données (CEPD)
Dans ses FAQ publiées sur son site le 23/07/2020, le CEPD revient sur les conséquences de cet arrêt.
Conséquence 1
Les transferts vers les entreprises américaines relevant du Privacy Shield (GOOGLE, AWS, MICROSOFT…, fort nombreuses et souvent incontournables) sont désormais interdits.
Conséquence 2
En ce qui concerne les clauses contractuelles types, l’arrêt de la CJUE a une portée qui va au-delà des US ; le CEPD estime en effet qu’il incombe à l’exportateur et à l’importateur de données d’évaluer si le niveau de protection du pays tiers concerné est substantiellement équivalent à celui de l’UE afin de déterminer si les garanties appropriées pourront être respectées dans la pratique.
Conséquence 3
Toutes les garanties appropriées prévues par le RGPD sont impactées en ce compris les BCR, quand bien même leur validation par le CEPD …
Conséquence 4
Pour les USA comme pour tout autre pays tiers dont la règlementation n’assure pas un niveau de protection...