La facture est un document incontournable dans la vie économique de toutes les entités. Le secteur médico-social, public comme privé, n’y échappe pas. Progressivement, la digitalisation des échanges a eu des impacts sur l’établissement des factures, leur transmission et leur réception. La facturation électronique s’impose ainsi progressivement. Depuis 2020, la facturation électronique est une obligation dans le cadre de la commande publique. Désormais, elle va également devenir la règle pour tous les assujettis à la TVA.
La résiliation des contrats dans un environnement électronique constitue une problématique rencontrée régulièrement par tous les artisans de la digitalisation des processus de souscription en ligne. En effet, si souvent la conclusion des contrats est particulièrement détaillée dans les cahiers des charges, leur exécution mais aussi leur résiliation restent négligées, voire omises. C’est pour éviter cet écueil que le législateur a inséré des dispositions en la matière. Certes… Mais une profusion de textes peut nuire à l’exigence de sécurité et de lisibilité juridiques en la matière. Cette chronique de Pascal Agosti, du cabinet d’avocats Caprioli & Associés, vise à explorer cette situation quelque peu compliquée et dont le calendrier est particulièrement contraint.
Espaces sécurisés personnels et lettre recommandée électronique
Afin d’organiser les relations contractuelles de manière plus harmonieuse dans le secteur financier, notamment dans le secteur bancaire, de la mutuelle ou assurantiel, des espaces sécurisés propres à chaque adhérent ou souscripteur ont été prévus par le législateur dès 2017, ces acteurs disposant de la faculté de les implémenter ou pas.
Ces espaces constituent un moyen privilégié de contact pour effectuer une résiliation, un arbitrage, une souscription d’avenant ou tout autre échange utile dans la relation avec son souscripteur, l’adhérent.
De plus, la lettre recommandée électronique avait fait à cette occasion son entrée comme moyen de notification offert à l’assuré, l’adhérent ou le souscripteur (résiliation dans un premier temps, renonciation, mise en demeure…) dans les Codes des assurances, monétaire et financier ou de la mutualité.
Bref, la situation semblait être sous contrôle. Mais il y a un mais…
La notification de résiliation via support durable
La Loi n° 2019-733 du 14 juillet 2019 relative au droit de résiliation sans frais de contrats de complémentaire santé rebat les cartes en prévoyant de façon générale que lorsqu’un organisme d’assurance, une société mutuelle ou un établissement bancaire propose la conclusion de contrat par un "mode de communication à distance" quel qu’il soit, la notification de la résiliation peut être effectuée par le même mode de communication.
Exit la lettre recommandée électronique, dont le coût n’avait pas à être supporté par l’adhérent, le souscripteur (Rapport de la commission des affaires sociales sur la proposition de loi, après engagement de la procédure accélérée, de M. Gilles Le Gendre et plusieurs de ses collègues relative au droit de résiliation sans frais de contrats de complémentaire santé II.B.1.).
Bonjour le support durable.
Donc une distinction portant sur les moyens de notification est instaurée :
Pour la résiliation des contrats : lettre ou tout autre support durable, déclaration faite au siège social ou chez le représentant de l’entreprise du secteur financier, acte extrajudiciaire, mode de communication à distance ou tout autre moyen prévu au contrat ;
Pour les autres actes de gestion de la relation contractuelle (souscription d’un avenant, mise en demeure, dénonciation…) : lettre recommandée ou envoi recommandé électronique.
Ca se complexifie certes mais les manières de mettre en jeu le support durable ou le moyen de communication à distance évoqués dans les textes restent encore sous la main des sociétés d’assurance, de mutuelle ou les établissements bancaires, ce qui peut permettre de renvoyer à la mise en place d’un échange sécurisé électronique via l’espace durable avec signature électronique du courrier de résiliation et horodatage par exemple. Cela permettrait ainsi d’assurer un niveau de fiabilité et de sécurité suffisants pour cet acte particulièrement important d’une relation contractuelle.
Sauf que..
La résiliation en 3 clics
La loi n° 2022-1158 du 16 août 2022 portant mesures d'urgence pour la protection du pouvoir d'achat instaure la résiliation dite en "3 clics" et entend désormais faciliter les modalités de résiliation des contrats par le recours à une fonctionnalité digitale spécifique. l’article L. 215-1-1 ainsi introduit dans le Code de la consommation fait obligation aux professionnels de rendre possible la résiliation des contrats par voie électronique dès lors que, au jour de la résiliation par le consommateur, la possibilité est donnée de conclure des contrats par voie électronique. Peu importe que le contrat dont la résiliation est poursuivie ait été lui-même conclu par voie électronique ou par un autre moyen.
Un Décret n° 2023-182 du 16 mars 2023 relatif aux modalités techniques de résiliation et de dénonciation des contrats et règlements par voie électronique précise les modalités de résiliation et de dénonciation des contrats et règlements par voie électronique. La fonctionnalité de résiliation devra être directement et facilement accessible à partir de l'interface en ligne mise à disposition des souscripteurs (site internet, application mobile, espace personnel digital).
En outre, elle devrait être présentée sous la mention "résilier votre contrat" ou une formule analogue dénuée d'ambiguïté, affichée en caractères lisibles. Enfin, elle devra contenir un appel général des conditions de résiliation des contrats, dont le cas échéant, l'existence d'un délai de préavis et ses conséquences pour l'assuré (notamment l'obligation de payer la prime ou cotisation d'assurance jusqu'au terme du préavis).
De plus, l’opération est détaillée dans le décret afin de la simplifier pour le souscripteur qui doit d’abord remplir les rubriques relatives à son identification (nom, prénom, référence du contrat, motif de la résiliation, etc.).
Ensuite, un récapitulatif de sa demande...
La question de la valeur juridique de la signature numérisée apposée sur un acte juridique se pose en raison de certaines pratiques alors que la signature électronique se développe de façon exponentielle depuis la loi du 13 mars 2000 et surtout depuis l’entrée en application du Règlement européen eIDAS. Cependant une décision récente de la Cour de cassation (Cour de cassation, 14 décembre 2022) vient de juger que l’image numérisée de la signature manuscrite ne valait pas absence de signature. Eric A. Caprioli, avocat au cabinet Caprioli & Associés, fait le point sur cette importante décision.
Évolution de la jurisprudence sur la signature numérisée
Une décision de la Cour d’appel de Besançon avait rejeté une déclaration d’appel signée au moyen d’une signature numérisée (Besançon, ch. soc., 20 oct. 2000). Cette décision avait été confirmée par la Cour de cassation (Cour de Cassation, Chambre civile 2, du 30 avril 2003, 00-46.467) aux motifs qu’il existait un doute sur l'identification de la personne qui avait fait usage de ce procédé. Ainsi, la validité du recours à cette signature ne pouvait être admise ; étant précisé que l’acte qui ne comporte pas la signature de son auteur ne vaut pas déclaration d’appel.
Dans le cas d’une contrainte (titre exécutoire pour l’Etat ou un organisme de sécurité sociale qui permet recouvrer une créance), la Cour de cassation avait décidé que "l’apposition sur la contrainte d’une image numérisée d’une signature manuscrite ne permet pas, à elle seule, de retenir que son signataire était dépourvu de la qualité requise pour décerner cet acte" (Cour de cassation, civile, Chambre civile 2, 28 mai 2020, 19-11.744).
La décision de la Cour de cassation
Les faits sont les suivants : un salarié avait été engagé en CDD saisonnier. Ayant reçu le contrat, le salarié a envoyé le lendemain à son employeur un courrier dans lequel il prenait acte prenant de la rupture du contrat de travail en "estimant que le lien de confiance était rompu du fait de la transmission pour signature d’un contrat de travail comportant une signature de l’employeur photocopiée et non manuscrite." Fort de ce constat, le salarié avait saisi le conseil des prud’hommes pour demander la requalification du contrat en contrat à durée indéterminée. Un arrêt de la Cour d’appel d’Angers (20 octobre 2020) avait alors débouté le salarié de ses demandes de requalification et d’indemnités ce qui a conduit le salarié à se pourvoir en cassation. Selon le salarié, la signature numérisée ne constitue ni une signature originale, ni une signature électronique et le CDD devait être requalifié en CDI en violation des articles L1242-12 du Code du travail et de 1367 du Code civil.
En outre, toujours en violation des deux articles précités, la Cour a statué sur des motifs inopérants en se fondant sur l’image reproduite sur le contrat qui permettait d’identifier le représentant légal de la société. Dans sa décision du 14 décembre 2022, la Cour de cassation rejette le pourvoi. L’article L. 1242-12 du code du travail dispose : "Le contrat de travail à durée déterminée est établi par écrit et comporte la définition précise de son motif. A défaut, il est réputé conclu pour une durée indéterminée". L’employeur a donc l’obligation de formaliser les CDD en établissant un écrit. Faute de satisfaire à cette exigence, le contrat fera l’objet d’une requalification en CDI. C’est ce que demandait le salarié. La solution retenue par la Cour de cassation est la suivante : "après avoir énoncé que l'apposition d'une signature sous forme d'une image numérisée ne pouvait être assimilée à une signature électronique au sens de l'article 1367 du code civil et constaté qu'il n'était pas contesté que la signature en cause était celle du gérant de la société et permettait parfaitement d'identifier son auteur, lequel était habilité à signer un contrat de travail, en a exactement déduit que l'apposition de la signature manuscrite numérisée du gérant de la société ne valait pas absence de signature, en sorte que la demande de requalification devait être rejetée."
Portée de la solution
L’apposition d’une image numérisée sur un contrat à durée déterminée ne vaut pas absence de signature et n’entraîne pas la requalification du contrat en CDI. Pourtant la Cour juge que cette signature numérisée n’est pas une signature manuscrite originale, ni une signature électronique conformément à l’article 1367 du code civil. On pourrait ajouter que l’écrit exigé à l’article L. 1242-12 du code du travail ne pouvait en aucune façon être intègre en raison du procédé utilisé et ne satisfaisait pas aux exigences de l'article 1366 du Code civil. Mais la Cour a estimé que la signature de l’employeur n’était pas contestée - et pour cause ! - et que ce dernier était d’une part, identifié et d’autre part, qu’il était habilité à signer le contrat. Ceci explique sans doute pourquoi, outre les circonstances de l’arrêt (le salarié avait refusé le contrat dans la foulée de la réception du fait de la signature numérisée), la Cour ne dit pas que la signature numérisée était valable juridiquement pour signer le contrat de travail, mais que l’apposition de la signature numérisée ne "valait pas absence de signature". Affaire à suivre donc.
Eric A. CAPRIOLI, avocat à la Cour, docteur en droit
Caprioli & Associés, Société d’avocats membre du réseau JurisDéfi
L’intelligence artificielle n’est souvent appréhendée dans les médias ou par les juristes que par sa partie émergée, laissant ainsi dans l’ombre tout le corpus contractuel permettant d’en retirer les usages visibles. Toutefois, cet ensemble de contrats est loin d’être standard et requiert une grande dextérité et expérience juridique pour ceux qui entendent les mettre en place. Eric A. CAPRIOLI, avocat à la Cour, Docteur en droit, du Cabinet Caprioli & Associés dévoile les principaux contrats et ouvre ainsi un large champ de réflexion sur le domaine.
L’économie de la donnée
L’exploitation de la donnée offre un champ considérable d’opportunités économiques et de développements, favorisant des pratiques comme le Data mining ou le Data marketing ; les fournisseurs de module d’Intelligence Artificielle l’ont bien compris et ont déployé des stratégies particulièrement innovantes et protectrices de leurs algorithmes.
La question de la gestion et de la propriété des données est donc centrale pour tout un écosystème d’acteurs spécialisés en la matière. Au-delà des aspects spécifiques aux données à caractère personnel et au difficile respect du RGPD pour les "fournisseurs" de modules d’Intelligence Artificielle, la donnée est protéiforme et touche également à d’autres domaines que les données personnelles : données industrielles, techniques…
Les acteurs de la donnée
De nombreux acteurs gravitent dans cet écosystème :
Les responsables de l’IA en charge de la conception, de la programmation, de la gestion, de la maintenance et de la sécurité du module et qui peuvent déterminer les conditions d’utilisation (pour un secteur d’activité, un domaine d’application…) ;
Les sous-traitants qui sont sollicités par les responsables pour effectuer telle ou telle prestation sur l’environnement du module ;
Les contributeurs aux données qui sont en charge de générer, produire ou assembler des données qui seront utilisés pour "nourrir" le module ;
Les partenaires contractuels dont le rôle peut varier (allant de la simple utilisation du module à la transmission d’une base de données à traiter…) ;
Les intermédiaires de données qui souvent cherchent à apporter une valeur ajoutée aux données collectées auprès de certains clients (personnes physiques).
Cette constellation d’acteurs exige de prévoir des relations contractuelles claires, précises et transparentes, l’objectif étant de pouvoir notamment répartir les obligations et les responsabilités de chacune des parties dans un domaine qui a priori est particulièrement peu balisé.
Les contrats portant sur la fourniture ou le partage de données
Il peut s’agir de contrat portant sur le transfert, l’accès, l’autorisation d’accès, le partage ou l’exploitation de données. Dès lors, les données en question doivent avoir été collectées de manière licite et doivent être transférables/accessibles/exploitables en fonction du cadre juridique applicable. Si les règles portant sur les données à caractère personnel dans le RGPD restent particulièrement détaillées (consentement, intérêt légitime, finalité, sécurité, …), cela ne doit pas masquer le fait que d’autres corps de règles (de confidentialité, propriété intellectuelle…) restent applicables pour d’autres types de données.
La clause de conformité légale et/ou réglementaire constitue donc un élément essentiel pour ce type de contrat. Une autre clause est à prévoir concernant le sort réservé à la propriété du résultat du module d’intelligence artificielle. Souvent, le fournisseur de module d’IA demande une copropriété du résultat prétextant que les données ainsi générées font « partie » du module et ne peuvent donc être individualisées.
Dans tous les cas, les conditions entourant cette fourniture ou ce partage de données devront être précisées (ex : pour quelle finalité, quelle durée, quelles mesures de sécurité, quel format…).
La transparence est un élément qui peut s’avérer fondamental. En effet, il faudra sans doute annoncer, si l’on est en relation avec des particuliers, que l’application utilise un module d’intelligence artificielle.
Enfin, la confidentialité de l’algorithme mais aussi les conditions de son éventuelle auditabilité pourraient constituer des clauses essentielles qu’il conviendra probablement d’intégrer et/ou négocier.
Les contrats portant sur les services attachés aux données
Différents services peuvent être attachés aux données utilisées dans le cadre d’un module d’IA comme la collecte et la conservation des données, l’analyse de données, leur organisation, tri, présentation, combinaison ou bien leur effacement. Ces services doivent être effectués sous le contrôle du responsable du module d’IA (voire de son partenaire contractuel selon que ce dernier fournisse lui-même les données à traiter) ; ils ne doivent pas excéder les finalités attendues pour les données.
En outre, la propriété du résultat de la prestation effectuée doit pouvoir être transférée pleinement et entièrement au Responsable du module. Les divers contrats interagissent souvent les uns avec les autres. Certains doivent être adossés. On le comprend, la partie immergée de l’iceberg contractuel en matière d’Intelligence Artificielle est vaste et tout projet visant à utiliser un tel module doit prendre en compte cet aspect sous peine de risquer le naufrage…
Eric A. CAPRIOLI, avocat à la Cour, docteur en droit, membre de la délégation française aux Nations Unies
Caprioli & Associés, Société d’avocats membre du réseau JurisDéfi
Les professionnels peuvent se retrouver sur Internet volontairement (site web, réseaux sociaux, référencement…) ou à "l’insu de leur plein gré" sur des forums, des sites de comparaison, ou dans des avis de consommateurs diffusés "world wide". Aujourd’hui, leur réputation se fait donc tant dans la "vraie vie" qu’en ligne. Dans ce dernier cas, la célérité et l’absence de maîtrise de la communication peuvent faire et défaire une réputation en un clic. Face à cette réalité, le droit constitue un outil stratégique qu’il faut savoir utiliser.
Le droit des marques et la gestion des noms de domaine à la rescousse des professionnels
D’abord, la bonne gestion de son e-réputation nécessite d’anticiper sa protection juridique. Il convient donc de commencer par le B.A-BA pour un professionnel, à savoir protéger tous les signes distinctifs qui le caractérisent, conformément aux possibilités offertes par le droit des marques et plus largement par le code de la propriété intellectuelle. De la sorte, le professionnel facilitera d’éventuelles futures actions, par exemple, contre des actes de contrefaçon susceptibles d’entacher sa réputation. Dans la même logique, la gestion des noms de domaine doit être rigoureuse afin de limiter notamment, les risques d’usurpation d’identité (acte sanctionné pénalement à l’article 226-4-1 du code pénal). En 2016, l’affaire "Groupe-Chantelle" a constitué une illustration topique de ce type de cas. En l’espèce, un tiers avait pu déposer le nom de domaine "Groupe-Chantelle" de la célèbre marque de dessous. Sans ouvrir de site internet, il avait utilisé les adresses mail à partir de ce nom de domaine pour adresser des factures à des partenaires de cette entreprise. A l’issue de la procédure conduite, le transfert du nom de domaine litigieux a été ordonné au bénéfice de la société historique. Mais en attendant, l’image donnée à ses partenaires a pu en pâtir … Protéger sa réputation passe ainsi notamment par la gestion dynamique de ses actifs, y compris les noms de domaine.
Une éthique juridique qui forge la e-réputation
Règlementation relative à la protection des données personnelles, code de la consommation, code du travail, code de commerce, règles professionnelles,… l’activité des professionnels est encadrée par le droit. Nonobstant le fait d’éviter des déboires administratifs et juridictionnels en cas de manquements aux obligations auxquelles ils sont soumis, le respect des dispositions juridiques applicables peut s’avérer une stratégie payante au regard de leur réputation. D’une part, l’éthique juridique s’inscrit dans la responsabilité sociétale des entreprises dont les lignes directrices ont été posées par la norme ISO 26000 de novembre 2010. D’autre part, le respect des règles de droit permet, en principe, d’éviter que des autorités administratives voire des juridictions prononcent des sanctions à l’encontre des personnes concernées. Or, la publicité de telles décisions peut, le cas échéant, entacher la réputation des professionnels condamnés. La CNIL, compétente pour connaître des manquements à la législation sur la protection des données personnelles, comme la DGCCRF, compétente en matière de protection des consommateurs, en ont bien conscience. C’est pourquoi elles n’hésitent pas à assortir les condamnations prononcées de leur publication comme la loi le leur permet. Fort de cette nouvelle acception du droit, gage d’éthique, le respect de la réglementation contribue également à la bonne réputation du professionnel. La consultation régulière voire systématique de son service juridique, par exemple sur des modifications de CGV ou de CGU, mais aussi sur des projets de nouveaux produits ou services, des ajouts de fonctionnalités ou de mentions sur le site, devrait ainsi faire partie des bonnes pratiques à mettre en œuvre pour une gouvernance optimisée de sa réputation.
Une bonne gestion des avis de consommateurs
Appréhender sa réputation en ligne implique inévitablement de traiter la question des avis des consommateurs. Ces derniers revêtent une influence certaine, aussi bien au bénéfice qu’au détriment des professionnels. Les faux avis laissés par l’intéressé, un concurrent ou un consommateur putatif ou non, représentent ainsi un véritable risque pour le marché. Aux Etats-Unis, l’affaire récente de Amazon, victime de tromperie organisée en réseau dans le cadre de la publication de faux avis, en est une illustration. Pourtant, d’un point de vue juridique, la publication d’avis de consommateur est une pratique encadrée. Les obligations d’information du consommateur sont en effet renforcées par l’article L.111-7-2 du code de la consommation. Une "information loyale, claire et transparente sur les modalités de publication et de traitement des avis mis en ligne" doit ainsi être assurée par "toute personne physique ou morale dont l'activité consiste, à titre principal ou accessoire, à collecter, à modérer ou à diffuser des avis en ligne provenant de consommateurs". Les conditions à respecter et leur mise en œuvre sont précisées aux articles D.111-16 à D.111-19 du code de la consommation. S’ajoutent à ces obligations des dispositions spécifiques à la charge des opérateurs des grandes plateformes en ligne (L.111-7 et L.111-7-1 du code de la consommation).
Les deux derniers alinéas de l’article L.121-3 du code de la consommation, en vigueur depuis le 28 mai 2022, fait de ces informations des informations essentielles. Il s’ensuit que les manquements aux obligations posées peuvent constituer des pratiques commerciales trompeuses, interdites en application de l’article L.441-1 du code de la consommation. Ces fraudes sont lourdement sanctionnées aux articles L.454-1 à L.454-3 du code de la consommation par des peines...
En synthèse tout d’abord et pour rappel du contexte, la procédure de sanction de la CNIL mise en place en 2004 prévoit que la Présidente désigne un rapporteur parmi ses membres et qu’elle saisisse la formation restreinte. Seule cette formation est habilitée à prononcer une sanction à l’encontre des responsables du traitement ou des sous-traitants (seulement depuis 2018 pour ces derniers avec l’entrée en vigueur du RGPD), en cas de manquements avérés à la règlementation sur la protection des données personnelles.
Or, depuis le RGPD, le nombre de saisines adressées à la CNIL n’a cessé de croître, porté à plus de 14 000 en 2021 (Rapport annuel de la CNIL de 2021). La CNIL précise que les "dossiers qu’elle étudie sont très variables en termes de gravité, de questions juridiques et technologiques soulevées, ou encore de conséquences pour les personnes. Ils exigent donc une politique répressive différenciée". C’est dans cette optique de différenciation qu’a été créée une procédure de sanction simplifiée à côté de la procédure ordinaire elle-même amendée.
Une procédure ordinaire plus fluide
Le décret n°2022-517 du 8 avril 2022 a modifié les articles 39 à 41 du décret n°2019-536 du 29 mai 2019 pris pour l’application de la loi n°78-17 et vient ainsi assouplir la procédure ordinaire.
D’une part, les délais de production d’écritures sont allongés à un mois contre 15 jours auparavant. Le nombre d’échanges contradictoires entre le mis en cause et les agents de la CNIL n’est plus limité, étant rappelé que "le mis en cause à toujours la possibilité de produire en dernier" et peut se faire assister ou représenter par tout conseil de son choix.
D’autre part, le rapporteur désigné par la Présidente de la Commission parmi ses membres (hors formation restreinte) dispose désormais de la faculté de mettre fin à la procédure s’il estime qu’il n’y a pas lieu de prononcer de mesures correctives.
Enfin, s’il "se déporte d’une affaire ou devient indisponible pour quelque motif que ce soit", le nouveau rapporteur désigné par la Présidente de la Commission poursuivra la procédure sans qu’il lui soit nécessaire de réitérer les actes effectués par son prédécesseur.
Une procédure simplifiée pour les dossiers peu complexes ou de faible gravité
Cette procédure figure au nouvel art. 22-1 de la loi "Informatique et Libertés" modifiée et ses modalités de mise en œuvre sont précisées par les articles 45-1 et 45-2 du décret n°2019-536 du 29 mai 2019 – récemment modifié par le décret n°2022-517 du 8 avril 2022.
La procédure simplifiée est applicable aux dossiers qui ne présentent pas de difficulté particulière, compte tenu de la jurisprudence établie par la CNIL ou des décisions précédemment rendues par la formation restreinte. A titre d’exemples la CNIL a sanctionné à de multiples reprises des manquements liés : à la sécurité des données au point de rappeler les règles standards à respecter, au recueil du consentement pour le dépôt de cookies sur les sites. Sa jurisprudence en somme.
Les mesures susceptibles d’être prononcées à l’encontre du responsable du traitement ou du sous-traitant mis en cause ne seront pas rendues publiques.
Elles sont limitées à : (i) un rappel à l’ordre ; (ii) une injonction de mettre en conformité le traitement sous astreinte dans la limite de 100 € par jour de retard ou (iii) une amende administrative d’un montant maximal de 20.000 euros.
Le Président de la formation restreinte ou le membre qu’il a désigné "statue seul sur l’affaire" sur la base du rapport établi par le rapporteur nommé par la Présidente de la CNIL parmi ses agents.
Dès lors que le dossier présentera des difficultés, sous l’appréciation discrétionnaire de la CNIL, la procédure simplifiée peut être interrompue pour revenir à la procédure ordinaire.
A noter, les modalités de mise en œuvre de la procédure simplifiée font écho à l’appel d’offres de la CNIL "d’externalisation de certaines opérations de traitement de saisines" visant à confier à des organismes tiers une partie de la gestion de la procédure.
Une place considérable octroyée à des experts externes
Procédure simplifiée ou procédure ordinaire, le rapporteur joue toujours un rôle essentiel.
Ce rôle peut désormais être confié à des experts externes à la CNIL (article 41 du décret n°2019-536 du 29 mai 2019) dans le cadre de la procédure simplifiée. Outre les agents permanents de la commission, la Présidente peut désigner comme rapporteur : "les magistrats, en activité ou honoraires, les membres de la juridiction administrative en activité ou honoraires, les fonctionnaires de catégorie A, les agents contractuels de l'Etat de niveau équivalent et les personnes justifiant d'une qualification dans les domaines relevant de la compétence de la commission et titulaires d'un des diplômes permettant d'accéder à un corps de catégorie A".
Dans le cadre de la procédure ordinaire, ces experts peuvent également assister le rapporteur.
Force est de constater que les modifications règlementaires apportées à la procédure ordinaire mais surtout les modalités d’application de la procédure simplifiée renforcent considérablement le pouvoir de sanction de la CNIL. Concrètement, les TPE et PME sont très exposées. En somme, des myriades de sanctions à venir.
Isabelle Cantero, Avocat associé, Responsable du pôle données personnelles et vie privée
Caprioli & Associés, Société d’avocats membre du réseau JurisDéfi
En septembre 2020, la CNIL a adopté de nouvelles lignes directrices sur l’usage des cookies et autres traceurs, qui remplacent celles du 4 juillet 2019. Dans un souci de pragmatisme pour les acteurs concernés, la CNIL a également adopté une recommandation proposant des modalités de recours aux témoins de connexion en ligne. Enfin, une FAQ a été élaborée pour répondre aux questions principales portant sur ces deux délibérations.
Ces textes font écho à la décision du Conseil d’État (CE, 19 juin 2020, n° 434684), qui avait retoqué la CNIL sur l’interdiction générale de la pratique du cookie wall prévue dans ses lignes directrices du 4 juillet 2019. Pour rappel, il s’agissait d’une actualisation de la politique de la CNIL après l’entrée en vigueur du RGPD, actualisation qui nécessitait donc un réajustement pour se conformer à la jurisprudence administrative.
Les principaux fondements légaux sur lesquels s’appuient ces textes sont l’article 82 de la loi « Informatique et Libertés » (sur l’information et le consentement) et l’article 4 du RGPD définissant les conditions du « consentement ».
L’articulation des deux délibérations de la CNIL, qui constituent des instruments de droit souple, s’opère de la façon suivante :
Les lignes directrices rappellent « le droit applicable aux opérations de lecture ou d’écriture dans le terminal (smartphone, ordinateur, tablette, etc.) d'un internaute » (FAQ de la CNIL) ;
La recommandation ambitionne de « guider les professionnels concernés dans leur démarche de mise en conformité, sans toutefois être prescriptive » (FAQ de la CNIL).
Il conviendra de déterminer le champ d’application de ces textes (1) avant d’appréhender les contours du consentement pour l’utilisateur (2) puis les traceurs exemptés de consentement (3) et enfin de qualifier les différents intervenants (4).
1. Champ d’application des dispositions
Les textes visent les tous les organismes (privés / publics) soumis à la loi « Informatique et Libertés », qui effectuent des « opérations de lecture et/ou d’écriture d’informations dans l’équipement terminal de communications électroniques de l’abonné ou de l’utilisateur », que les informations soient des données personnelles ou non (Lignes directrices de la CNIL ci-après l.d. CNIL, n° 14).
Pour déterminer les supports concernés, la CNIL reprend la définition d’« équipement terminal » de la directive 2008/63/CE (L.d. CNIL, n° 10). Cela permet d’englober la majorité des dispositifs connectés :« une tablette, un smartphone, un ordinateur fixe ou mobile, une console de jeux vidéo, une télévision connectée, un véhicule connecté, un assistant vocal, ainsi que tout autre équipement terminal connecté à un réseau de télécommunication ouvert au public » (L.d. CNIL, n° 11).
Concernant les délais de mise en application des dispositions, la CNIL prévoit deux phases successives. Jusqu’à mars 2021, l’Autorité se focalisera sur le respect des principes exposés dans la recommandation du 5 décembre 2013, repris dans les nouveaux textes. À l’issue de cette période d’adaptation, les contrôles porteront sur l’ensemble des mesures prévues par les nouvelles délibérations de la CNIL. L’Autorité précise néanmoins qu’elle est « en tout moment en mesure de poursuivre des manquements portant une atteinte particulièrement grave au droit au respect de la vie privée » (FAQ de la CNIL, n° 5).
2. Les contours du consentement pour l’utilisateur
Sauf exceptions (L.d. CNIL, art. 5), l’utilisation de traceurs suppose un recueil du consentement de l’utilisateur libre, spécifique, éclairé et univoque (L.d. CNIL, n° 16).
Le consentement n’est pas considéré comme libre si l’utilisateur n’a pas une « véritable liberté de choix » notamment s’il ne peut pas « retirer son consentement sans subir de préjudice » (L.d. CNIL, n° 17).
En cas de pluralité de finalités, la CNIL recommande de recueillir le consentement pour chaque finalité (Recommandations CNIL, n° 25). Elle souligne néanmoins « qu’il est possible de proposer des boutons d’acceptation et de refus globaux au stade du premier niveau d’information […] permettant de consentir ou de refuser, en une seule action, à plusieurs finalités » (Recommandations CNIL, n° 27).
En ce qui concerne la pratique du cookie wall, la CNIL vérifiera, au cas par cas, la légitimité de la démarche, à la lumière de la liberté du consentement.
Le caractère spécifique du consentement s’oppose à une validation par acceptation globale des conditions d’utilisation (L.d. CNIL, n° 20).
Lorsque les traceurs permettent un suivi de navigation au-delà du site (ou de l’application), la CNIL recommande, que le consentement soit recueilli sur chacun de ces sites (ou applications) (Recommandations CNIL, n° 17).
Pour satisfaire au caractère éclairé du consentement, l’information doit être facilement compréhensible et aisément accessible au niveau visuel (L.d. CNIL, n° 22). En pratique, le design choisi pour le site peut participer de la bonne compréhension pour l’utilisateur (Recommandations CNIL, n° 10).
La CNIL encourage la mise en en perspective de chaque finalité dans un intitulé court et mis en évidence. À cet égard, elle propose des exemples de brefs descriptifs (Recommandations CNIL, n° 13).
La CNIL fournit une liste minimale d’informations qui doivent être accessibles à l’utilisateur préalablement au recueil de son consentement (L.d. CNIL, n° 24).
L’Autorité reprend la possibilité d’organiser l’information de l’utilisateur en deux temps, le second niveau d’information devant être facilement accessible (ex. lien hypertexte, bouton présent sur le premier niveau) (Recommandations CNIL, n° 14).
Le caractère univoque se manifeste par...