Dans la nébuleuse du droit de l’informatique et des nouvelles technologies.

Un dossier proposé par le site Lawinfrance.com et la revue Lawinfirm.

La revue complète au format PDF est disponible pour les abonnés au RESEAU DU DROIT.

S’ils constituent de nouvelles opportunités d’affaires et des sources de productivité pour de nombreuses entreprises, les progrès permanents de l’informatique et des nouvelles technologies forment autant de problématiques juridiques touchant tous les domaines de l’entreprise. De la Direction des Systèmes d’information à la Direction marketing, des ressources humaines à la commercialisation, les Directions Juridiques doivent aujourd’hui appréhender l’ensemble des risques et sensibiliser tous les acteurs de l’entreprise. A l’approche du 6ème salon juridique de l’Internet qui se tiendra à Paris le 26 Novembre, retour sur les grandes évolutions et problématiques juridiques liées à l’explosion de l’informatique et à l’utilisation des Nouvelles technologies.

1. De l’enjeu des ressources informatiques

Si le patrimoine de l’entreprise est aujourd’hui formé majoritairement par les ressources immatérielles, l’ensemble des logiciels et bases de données en constitue une grande partie qu’il convient de protéger et de sécuriser.

Les contrats informatiques

Les projets informatiques des entreprises peuvent être simples comme très complexes, consistant en l’acquisition de logiciels ou en la réalisation sûr mesure de progiciels, voire d’applications spécifiques. Ainsi les contrats informatiques sont nombreux et regroupent aussi bien le développement de logiciels, l’acquisition ou la location de licence, l’intégration, l’infogérance, la maintenance, la sous-traitance informatique. Lors de la négociation et de la signature des contrats informatiques, il devient essentiel d’anticiper tous les risques et les évolutions susceptibles de se produire et notamment les évolutions technologiques par exemple dans le cadre d’archivage électronique. De nombreux contrats informatiques sont conçus avec une partie juridique et une partie technique.

Différents types de contrats informatiques coexistent :
 la licence de logiciel par laquelle l’éditeur concède un droit d’usage sur un logiciel dont il conserve les droits de propriété intellectuelle. Il est important de définir notamment les bénéficiaires du droit d’utilisation de la licence ; l’étendue des droits concédés et l’accès éventuel aux codes source.
 la mise en place de logiciels sur mesure, qui repose sur l’expression des besoins précis par le client dans un cahier des charges qu’il convient de rédiger en anticipant tous les risques. Il est important de prévoir, la cession des droits au fur et à mesure des développements et d’inclure la remise des codes source et de la documentation associée.
 le contrat de maintenance, souvent signé à part, qui consiste à maintenir un système informatique dans un état de fonctionnement conforme aux exigences du client
 le contrat d’externalisation qui permet d’externaliser sur une durée plus ou moins longue l’exploitation des systèmes informatiques voire également les nouveaux développements. Deux clauses sont ici essentielles à anticiper : la clause d’exploitation des données qui doit garantir leur intégrité, leur sécurité et leur confidentialité, et la clause de réversibilité qui permettra à l’entreprise de récupérer les éléments confiés au prestataire. Une autre grande difficulté des contrats d’externalisation réside dans le transfert éventuel du personnel de l’entreprise vers le prestataire de services.

Par ailleurs, si outre Atlantique la protection des logiciels s’opère traditionnellement par la brevetabilité, cette vision est encore rejetée en Europe et en France où les logiciels sont protégés par le droit d’auteur.

La protection de l’information et la fraude informatique

Les menaces de fraudes informatiques pesant sur les entreprises sont toujours plus nombreuses. Ainsi, en Septembre, la société Dassault Systems a indiqué qu’un fichier comportant les adresses de plus de 3000 clients et un ensemble de secrets commerciaux avaient été diffusés sur l’intranet d’une filiale du groupe Siemens alors même que les données étaient protégées. Et ces menaces ne semblent pas encore prises en compte par les entreprises puisque le rapport annuel du Clusif (club de la sécurité de l’information français) sur la sécurité des systèmes d’information, paru en Juin dernier a mis en lumière le fait que 40 % des entreprises ne disposent pas de plan de continuité d’activité pour traiter les crises majeures. « Notre enquête montre de nouveau que les malveillances et les incidents de sécurité sont bien réels, avec une présence toujours active des attaques virales, des vols de matériel, et un accroissement des problèmes de divulgation d’information et des attaques logiques ciblées. » explique Laurent BELLEFIN, au nom du Groupe de Travail « Enquête sur les menaces informatiques et les pratiques de sécurité »du Clusif.

Les Directions Juridiques sont amenées à mettre en place de plus en plus des procédures de contrôle et de gestion des accès à l’information, et principalement aux données sensibles. Se généralisent ainsi des systèmes de droits d’accès informatiques pour éviter les fraudes de l’intérieur de l’entreprise et des systèmes de cryptage pour éviter les intrusions externes. _ Au-delà des simples aspects juridiques, il convient de travailler avec la Direction des Systèmes d’information pour identifier l’ensemble des informations sensibles de l’entreprise et les moyens mis en oeuvre pour les protéger. Dans le cas d’infraction des systèmes d’information par des tiers externes, la loi Godfrain du 8 janvier 1988 a été reprise par le Code pénal dans un chapitre intitulé « Des atteintes au système de traitement automatisé de données ». Cette loi a permis de sanctionner toutes les intrusions non autorisées dans un système. D’autres recours sont possibles comme la responsabilité civile délictuelle ou contractuelle, mais ne remplaceront pas un travail de veille et de sécurisation informatique poussé. Car la difficulté de ces atteintes réside souvent dans la recherche de la preuve. Il est donc important d’insérer dans tous les contrats informatiques des clauses concernant la sécurité du contenu du système.

2. Au carrefour du droit du travail

Nouvelles technologies et protection de la vie privée

La multiplication des usages possibles d’Internet a soulevé de nombreuses problématiques dans les relations entre employeur et salariés. Dans un premier temps, les entreprises ont toléré, voire encouragé l’usage d’Internet pour raisons personnelles, au nom d’une diffusion plus rapide et plus large de l’emploi des NTIC. Cependant cette attitude ne fut pas sans poser problème et ce des deux côtés. Certains employés ont en effet abusé de cette possibilité, allant jusqu’à risquer de mettre leur entreprise en difficulté. De l’autre certains employeurs ont alors mis en place des procédures de contrôle pouvant aboutir à de véritables atteintes à la vie privée de leurs salariés. « La vie privée sur le lieu de travail pose de vrais problèmes de réglementation. » indique Anne Cousin, avocat au cabinet Denton Wilde Sapte. « Ainsi l’article 9 du code civil sur le vie privée et le droit à l’image, la loi informatique et liberté pour la protection des données à caractères personnel, et le code pénal sur la protection des correspondances privées sont de plus en plus soulevés simultanément dans les décisions de justice. » poursuit Anne Cousin.

L’arrêt Nikon prononcé par la Cour de Cassation le 2 octobre 2001, a édicté le principe suivant : « le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée ». Cet arrêt impliquait donc le respect du secret des correspondances. Ensuite des modifications du code du travail ont permis de poser des limites au droit de l’entreprise à utiliser des systèmes de contrôle, les employeurs ayant l’obligation d’avertir le personnel avant toute mise en place, le comité d’entreprise devant d’ailleurs être consulté préalablement. Enfin, via l’obligation de proportionnalité, l’entreprise ne peut pas mettre en oeuvre des processus par trop restrictifs vis-à-vis de droit des employés au respect de leur vie privée.

On pouvait alors penser que l’utilisation d’internet dans l’entreprise, à des fins personnelles, pouvait être restreinte mais pas interdite. C’est alors qu’en juillet dernier, la Cour de Cassation a précisé dans un arrêt « toutes les connexions internet effectuées par un salarié depuis son poste et durant ses horaires de travail sont présumées avoir un caractère professionnel », ceci en relative contradiction avec les déclarations de la CNIL qui mentionne que l’utilisation de la messagerie électronique pour envoyer ou recevoir, dans des limites raisonnables, des messages à caractère personnel correspond à un usage socialement admis. Il faut donc à minima considérer qu’un message est à priori considéré comme professionnel sauf indication contraire dans l’objet du courriel ou dans le nom du répertoire où il a été archivé par son émetteur ou son destinataire.

Par ailleurs, depuis la décision adoptée par la Cour de Cassation le 16 octobre 2006, tout fichier informatique créé par un employé sur son lieu de travail est censé avoir un caractère professionnel. Si le salarié a stocké un tel fichier dans un répertoire dénommé par exemple « privé », en cas d’évènement ou de risque grave, l’employeur pourra cependant accéder à ces fichiers sans l’accord de l’employé, mais en l’en informant préalablement.

Traitement des données personnelles des salariés

L’article L1222-4 du Code du travail rappelle l’obligation, à la charge de l’entreprise, d’informer les personnes visées par un traitement de leurs données personnelles. De façon générale, l’ensemble des dispositions relatives au traitement des données personnelles s’applique aux données concernant les salariés. Mais même si la collecte est légitime, elle devient illicite si elle est disproportionnée. Le tribunal de grande instance de Paris a ainsi interdit à une société de mettre en place un système de « badgeage » de ses salariés par empreinte digitale car il n’était pas proportionné à la finalité recherchée, c’est-à-dire la simplification de l’établissement des bulletins de paye (TGI Paris, 19 avril 2005). De la même façon, les GPS disposés dans les voitures de l’entreprise ne doivent pas être utilisés pour « pister » les salariés et permettre de vérifier s’ils exécutent correctement leur travail.

La loi du 6 août 2004 et le décret du 25 mars 2007 ont offert aux entreprises la possibilité de simplifier la procédure de mise en place de traitements de données à caractère personnel. Les entreprises peuvent désormais désigner à l’extérieur de la société, ou parmi leurs employés, un Correspondant Informatiques et Libertés (le « CIL ») qui doit tenir un registre de tous les traitements opérés dans l’entreprise, registre qu’il remet à la CNIL tous les ans. En contrepartie, les entreprises qui désignent un CIL bénéficient d’un régime simplifié de mise en oeuvre des traitements.

Par ailleurs, depuis 2002, la loi américaine dite « SOX » impose aux sociétés cotées et à leurs filiales, aux Etats-Unis et partout dans le monde, de mettre en place des dispositifs d’alerte, dits de « whistleblowing », sorte de système de dénonciation permettant aux employés d’attirer l’attention anonymement sur d’éventuels dysfonctionnements de l’entreprise. « La CNIL a considéré que ces alertes anonymes n’étaient pas proportionnées « au regard des objectifs poursuivis et des risques de dénonciations calomnieuses et de stigmatisation des employés. » nous explique Diane Mullenex, avocat associée du cabinet Ichay & Mullenex Associés, spécialisé dans les problématiques de l’Internet et des nouvelles technologies. « Pour autant, la CNIL n’a pas interdit la mise en place au sein de l’entreprise de ces procédures d’alerte, mais elle a édicté, le 10 novembre 2005, des lignes directrices dont certaines conditions sont nécessaires pour concilier ce mécanisme avec la protection des données personnelles. » poursuit Diane Mullenex.

Responsabilité de l’employeur

Enfin un dernier problème se pose : jusqu’où va la responsabilité de l’entreprise du fait des activités menées par ses salariés sur internet ? En mars 2006 la cour d’Appel d’Aix en Provence a statué sur le fait qu’un employeur était responsable de la faute commise par un salarié qui avait créé un site personnel illicite tout en utilisant l’accès internet fourni par l’entreprise. La Cour d’appel a en effet estimé que l’employeur n’avait pas mis en oeuvre tous les moyens nécessaires pour éviter qu’une telle faute soit commise. L’entreprise en question avait cependant pris la peine de réaliser et de diffuser une Charte Internet.

La CNIL, depuis cet arrêt, recommande la mise en oeuvre d’outils de filtrage des URL. De même les entreprises doivent rester vigilantes face à l’avènement du projet de loi « création et Internet » encore nommé projet HADOPI , pour « Haute Autorité pour la Diffusion des oeuvres et la Protection des droits sur Internet ». Ce projet essayant de réintroduire un dispositif de substitution aux sanctions pénales qui visent les téléchargements illicites. « L’entreprise devra veiller à ce que ses salariés ne téléchargent pas illégalement depuis leurs postes de travail, car c’est le titulaire de l’accès qui sera en premier lieu responsable des téléchargements illicites. » précise Gilles Vercken avocat au Barreau de Paris.

Oeuvres salariées

« Très souvent les entreprises sont défaillantes pour bien organiser en amont la cession des droits de propriété intellectuels afin de se protéger en aval. » nous explique Gilles Vercken. Ce constat opéré de manière générale sur tous les types d’oeuvres acquis et cédés par l’entreprise, s’adresse tout particulièrement aux oeuvres salariées, pour lesquelles il convient de ménager les relations contractuelles avec les auteurs salariés.

3. Marketing, marques et noms de domaine

« Aujourd’hui les problématiques de droit d’auteur et de nouvelles technologies touchent toutes les entreprises, quel que soit leur secteur d’activité et ce dès par exemple la réalisation d’un site Internet, la mise à disposition de photocopies, l’hébergement de donnée, et toute communication visuelle. » souligne Gilles Vercken. L’utilisation d’Internet par les entreprises, pour des actions marketing, devient de plus en plus conséquente, que ce soit pour des actions de communication institutionnelle (site vitrine), de promotion (présentations produits, publicités sur internet, e-mailings), de mise en avant de la marque (référencement payant) ou de relations entre les noms de marque et les noms de domaine. En conséquence de quoi, la guerre du positionnement sur Internet fait actuellement rage et la chasse aux contrefaçons également ; sans parler encore une fois des problématiques liées au droit d’auteur.

La collecte des données personnelles des tiers

Les progrès des nouvelles technologies ont permis de grandes avancées pour recueillir les données de clients et de prospects et mieux cibler les offres proposées. C’est l’avènement du « one to one marketing ». Mais le traitement des données personnelles des tiers reste très encadré et il convient de respecter toutes les formalités liées à leur collecte et à leur traitement.

La loi pour la confiance en l’économie numérique du 6 août 2004 est ainsi venue modifier la loi de 1978, pour l’adapter aux évolutions de la société de l’information. Récemment, le champ de la protection des données a été étendu, ainsi la loi s’applique au traitement de toute donnée qui permet d’identifier directement ou indirectement une personne. « La définition des données personnelles est extrêmement large, d’autant plus que certaines décisions récentes en augmentent l’étendue. » précise Diane Mullenex. « Ainsi, ont été reconnues comme données personnelles par la CJCE les adresse IP dans l’affaire Promusicae C/ Telefonica de Espana SAU, le 29 janvier 2008. De même, toute image d’une personne, permettant de l’identifier, même indirectement par recoupement avec d’autres données, comme les photos pouvant être prises par Google pour son site GoogleMaps sont considérées comme des données personnelles » continue Diane Mullenex.

Les entreprises doivent donc mettre en place un traitement de données personnelles pour toute opération de collecte, d’enregistrement, d’organisation, de conservation ou de diffusion des données. La Cour de cassation a jugé dans un arrêt du 14 mars 2006 que le simple fait d’identifier des adresses électroniques et de les utiliser, même sans les grouper dans un fichier, constitue une collecte de données nominatives protégées. « Les conditions de mise en place d’un traitement, permettant d’assurer la protection des droits des individus, sont très strictes » nous explique Diane Mullenex. Ainsi, il convient de respecter quatre points fondamentaux :
 la collecte doit être organisée pour une finalité précise, déterminée, explicite et légitime.
 tout formulaire numérique de demande de données personnelles doit permettre aux personnes sollicitées d’être explicitement informées du traitement, et de s’opposer au traitement de ces données.
 l’entreprise doit également assurer un droit d’accès et de modification des données au profit des individus.
 la conservation des données par l’entreprise doit être limitée dans le temps. La durée de conservation ne doit pas dépasser la durée nécessaire à la réalisation de la finalité du traitement.
En principe, tout traitement doit faire l’objet d’une déclaration à la CNIL préalablement à sa mise en place. En cas de manquement à l’obligation de déclaration, les entreprises encourent des sanctions pécuniaires : jusqu’à 150 000 euros d’amende pour le premier manquement et 300 000 euros en cas de récidive dans les cinq ans.

Les Directions Juridiques doivent également appréhender la question du transfert des données hors de l’Union européenne. Si au sein de l’Union européenne, depuis l’adoption de la directive CE 95/46 du 24 octobre 1995, le principe de libre-circulation des biens et des services s’applique aux données personnelles, le problème résulte des transferts hors de l’Union européenne. « Le niveau de protection des états étrangers doit être équivalent au niveau de protection européen pour que le transfert puisse être réalisé librement (Canada, Argentine, Suisse). Dans tous les autres cas, le transfert ne peut être réalisé que si l’entreprise satisfait certaines conditions », nous explique Diane Mullenex. Ainsi, par exemple, les entreprises peuvent prendre des engagements volontaires, comme l’adhésion aux Etats-Unis au programme Safe Harbor, des engagements contractuels créant un niveau de protection équivalent à la protection offerte par la règlementation européenne.

Cette réflexion a par ailleurs été récemment relancée lors de la 30e conférence mondiale informatique et libertés qui s’est achevée le 17 octobre. Réunis en session fermée, les CNIL de 60 pays ont souligné la nécessité de renforcer la coopération entre les secteurs publics et privés à la lumière des défis globaux auxquels nous sommes confrontés et ont notamment indiqué qu’il devenait essentiel de proposer des garanties adaptées pour les transferts internationaux de données.

E-publicité

La bataille du référencement fait rage sur Internet. Ainsi pour apparaître de manière prioritaire sur les pages des moteurs de recherche deux moyens coexistent : le référencement dit naturel, permettant à un site en fonction de certains critères (balises du site, titre des pages, contenus, trafic généré …) d’arriver naturellement en tête des pages des moteurs de recherche et le référencement dit promotionnel qui consiste en l’achat de mots clefs qui permettent d’afficher en priorité dans les liens promotionnels des moteurs de recherche, tels que Google, le lien vers les pages choisies. Le référencement promotionnel par l’achat de mots clefs, comme les « Google Adwords », a donné lieu à de nombreux litiges.

« La jurisprudence en France et en Europe est assez confuse. » souligne Cédric Manara, spécialistes des questions juridiques liées à Internet et professeur associé à l’EDHEC Business School.

« Certaines décisions retiennent la responsabilité du prestataire qui fournit un service de liens commerciaux et suggère des mots-clef, d’autres l’absolvent ; certains plaideurs choisissent de n’assigner que l’annonceur, pendant que d’autres se cassent les dents à essayer d’impliquer le moteur… Google a obtenu de la Cour de cassation qu’elle saisisse la Cour de Justice des Communautés Européennes, afin que cette dernière fasse le clair sur cette question. » poursuit Cédric Manara « Le référencement payant sur les différents moteurs de recherche pose de réelles problématiques et il est heureux que la Cour de Cassation vienne de poser une question préjudicielle à la CJCE visant à clarifier le cadre juridique applicable en matière de liens commerciaux » indique Frédéric Sardain, avocat associé du cabinet Teissonnière Sardain Chevé. Quelle est la responsabilité d’une régie publicitaire qui permet de publier à partir de certains mots-clef des annonces intégrant des liens hypertextes ? Telle est une des problématiques sur laquelle la CJCE devra rendre son avis.

Mais d’autres conflits liés à la publicité en ligne se sont récemment généralisés. « On a également vu se développer la fraude au clic. Car si traditionnellement les annonceurs achetaient de l’espace publicitaire, désormais ils achètent du trafic » explique Frédéric Sardain. En effet, sur internet, les annonceurs achètent davantage les clics effectués par les internautes sur leurs bannières que l’emplacement des bannières à proprement parler. « La fraude au clic consiste à augmenter l’ardoise publicitaire d’une entreprise concurrente en faisant réaliser des clics frauduleux sur ses bannières par des programmes informatiques » explique Marie Jourdain, avocate au cabinet Teissonnière Sardain Chevé. D’autres comportements, comme le détournement de bannières, se sont également développés. Ainsi, dans l’affaire « les Choristes », plusieurs annonceurs s’étaient vus attaqués pour complicité de contrefaçon du film et de la marque "les Choristes" par les producteurs du film, après que ces derniers aient constaté la présence de bannières de ces annonceurs sur un site de peer-to-peer qui proposait le film "Les Choristes" en libre téléchargement. Les annonceurs ont été relaxés en première instance car ils ont réussi à démontrer qu’ils étaient victimes d’une fraude, leurs bannières ayant été détournées vers d’autres sites. « Cette affaire rappelle opportunément le soin que les annonceurs doivent consacrer aux contrats qu’ils passent avec les agences médias ou les régies publicitaires on-line, notamment en terme de garanties »précise Frédéric Sardain.

Noms de domaine, toujours plus d’ouverture

Les noms de domaine sont devenus un actif immatériel à part entière de l’entreprise, valorisés financièrement et un enjeu majeur de la visibilité sur Internet. Depuis plusieurs années, le développement du cybersquatting qui permet de détourner du trafic officiel d’une société, n’a cessé d’augmenter, renforcé par l’apparition de nouvelles formes d’atteintes comme le typosquatting, le dotsquatting ou encore le domain tasting qui consiste à tester la capacité d’un très grand nombre de noms de domaine à drainer du trafic, pendant la période de délais de règlement de cinq jours allouée à l’enregistrement.

« Le nombre de dépôt de plaintes via des procédures UDRP est en constante augmentation. Les déposants de plainte sont majoritairement américains dans 44.16% des cas et français dans 10.62% des affaires. Les actions initiées du côté français sont clairement du côté des titulaires de marques, en attaque face à des atteintes qui se multiplient et sont toujours plus créatives. » nous explique Nathalie Dreyfus, associée fondatrice du cabinet Dreyfus & associés et expert auprès du centre d’arbitrage et de médiation de l’OMPI. Et les secteurs les plus touchés par le cybersquatting sont la pharmacie, la biotechnologie, la banque finance, la culture ou encore la mode. Face à ces litiges, deux actions sont possibles : les actions judicaires et les procédures extrajudiciaires, telles que la procédure UDRP qui permet de lutter rapidement contre les réservations abusives de noms de domaine portant atteinte aux droits des titulaires de marques. Même si ces procédures sont efficaces, il existe des unités d’enregistrement qui ne favorisent pas les transferts de noms de domaines.

De plus, les systèmes d’anonymisation des répondants ne permettent pas toujours d’identifier l’identité du réservant, ce qui favorise la fraude. « Les procédures sont de plus en plus complexes. Et dans des cas de litiges sur un nom de domaine il convient toujours de se poser la question des compétences judiciaires ou extrajudiciaires, sachant que l’une n’exclut pas l’autre, et actuellement les deux types d’action sont très médiatisés. » nous explique Nathalie Dreyfus. Ainsi par exemple, dans le cas d’une société d’enregistrement coréenne où l’on souhaite une exécution rapide de la décision, la procédure extrajudiciaire sera plus efficace. L’action judiciaire est davantage réservée pour faire un exemple et souvent employée face à des entreprises que l’on sait solvable.

La multiplication des extensions favorise également les possibilités de fraude et complexifie l’optimisation des portefeuilles de noms de domaines. Car même si les extensions phares restent le .com, avec 78.08% de dépôt, suivi du .net (10.57%) et du .org (6.21%), les extensions par pays ou génériques ne cessent d’augmenter. Après les .asia, voici bientôt venir le .tel pour les télécoms et très prochainement un autre grand chantier complexe l’ouverture des marques et .génériques. Ainsi, le 26 juin dernier, l’Icann a confirmé la décision d’ouvrir au public la possibilité de créer ces nouvelles extensions comme par exemple le .nestlé ou le beauty.

« Lors de sa réunion annuelle des experts, l’OMPI s’est clairement prononcé pour la défense des droits des titulaires de marques et positionné comme Centre d’arbitrage de litiges. » nous explique Nathalie Dreyfus, présente à la conférence en tant qu’experte. « C’est une gestion très différente. Car si le .nestlé ne devrait pas faire l’objet de contestation d’attribution, à qui donner les extensions génériques telles que le .apple par exemple, à la marque ou aux producteurs de pommes ? » questionne Nathalie Dreyfus. « Les entreprises détentrice de leurs propres extensions vont devoir agir comme un registre. Elles vont être leur propre afnic. Or elles n’ont pas la capacité technique de gérer cela en interne. » précise Nathalie Dreyfus. Ainsi, ces évolutions vont clairement faire émerger de nouvelles problématiques qu’il conviendra de suivre avec attention.

4. E-commerce et l’économie numérique

A fin 2007, le chiffre d’affaires réalisé en France par l’e-commerce s’élevait à 16 milliards d’euros, soit une progression de + 34% par rapport à 2006. Le nombre des « cyber-acteurs » correspondant s’élève à 21 millions à comparer aux 32 millions d’internautes français. Dans le même temps, le nombre de sites marchands dits « actifs » a également progressé et a atteint 36 900 sites à fin 2007. Le chiffre d’affaires e-commerce interentreprises est également très important puisqu’on l’estime à 13 milliards d’euros pour l’année 2007 (sources : la FEVAD, Fédération du e-commerce et de la VAD, www.fevad.com). « Internet est devenu le média incontournable mais c’est aussi un lieu de menace où les victimes sont nombreuses. On recense des fraudes à la carte bleue, de s problèmes sur des produits non conformes, des litiges pour livraisons tardives et on assiste à la multiplication des arnaques en ligne. » relève Gérard Haas. » Au-delà de la confiance, pour rassurer les consommateurs, les entreprises ont intérêt à respecter leurs engagements » soutient Gérard Haas avocat fondateur du cabinet Haas Société d’Avocats.

Ainsi, deux lois récentes ont accru la protection des consommateurs, notamment pour l’e-commerce : la loi Chatel, promulguée le 3 janvier 2008 (et entrée en vigueur le 1er juin) et la Loi de Modernisation de l’Economie (dite « LME ») parue le 4 août 2008 .

La loi Chatel impose aux cyber - marchands d’inclure dans leurs conditions générales de vente trois dispositifs importants pour les consommateurs :
 Le vendeur doit indiquer dans son offre des coordonnées téléphoniques permettant à l’acheteur d’entrer effectivement en contact avec lui. Cette disposition était très attendue, les consommateurs étant de plus en plus exaspérés de ne pouvoir joindre leurs fournisseurs au téléphone.
 L’indication de la date limite de livraison est obligatoire avant accord de l’acheteur sur la commande. Cette date limite doit être précise. En l’absence de date, le vendeur doit expédier le bien ou commencer la prestation de service dès confirmation de la commande. Cette indication était également fortement réclamée par les associations de consommateurs.
 Le consommateur doit disposer de toutes les informations sur les conditions d’exercice du droit de rétractation (existence, délai, durée, mode d’information du vendeur). Dans ce cas le remboursement peut s’effectuer par tout moyen (avoir, virement, chèque) sauf avis contraire de l’acheteur et comporter le prix du produit et les frais de livraison et ce « sous les meilleurs délais ». Les frais de retour restent à la charge de l’acheteur, sauf en cas de rétractation de l’acheteur pour non respect du délai de livraison. Pour autant certains biens ou services ne sont toujours pas redevables d’un délai de rétractation (biens périssables, produits fabriqués sur mesure, voyages…).

La LME, quant à elle, comporte une évolution importante en matière de répression des clauses abusives. Le juge peut désormais soulever d’office le caractère abusif d’une clause, alors que préalablement ce caractère abusif devait être soulevé par celle des parties qui en demandait la nullité.

La nouvelle loi LME prévoit la création de deux listes : une liste dite « grise » des clauses qui seront présumées abusives et une seconde liste, dite « noire » énumérant qui seront toujours considérées comme illicites. Cette seconde liste a pour objectif de simplifier le travail du juge. De plus, la commission des clauses abusives (www.clauses-abusives.fr) émet régulièrement de nombreuses recommandations qui n’ont pas valeur contraignante mais qui sont cependant très souvent reprises par les professionnels et intégrées dans leurs conditions générales de vente. La commission, s’agissant du e-commerce, s’est notamment penchée sur les contrats de vente d’objets mobiliers. Un jugement du TGI de Bordeaux s’est récemment complètement appuyé sur ces recommandations, en particulier sur la garantie et la responsabilité du vendeur en cas de non-conformité.

La commission s’est également penchée sur les contrats de vente des agences de voyage en ligne.

La mise en place d’un canal de distribution e-commerce nécessite donc une réflexion conjointe menée entre les Directions Juridique, Commerciale, Marketing et Logistique pour sécuriser au mieux les échanges marchands de la commande à la livraison. « Il faut être très attentif aux mentions légales, à la collecte et au traitement des données personnelles, au choix des labels et aux types de paiement proposés, aux modes de livraison et à la rédaction des conditions générales de vente. » explique Gérard Haas.

Au-delà du renforcement de la protection des cyberconsommateurs, quatre ans après la Loi pour la Confiance en l’Economie numérique, la question de la responsabilité des éditeurs et des hébergeurs est de plus en plus d’actualité. Ainsi, la LCEN avait fait apparaître deux statuts conférant des niveaux de responsabilité différents : les hébergeurs et les éditeurs de site. L’article 6.I.2. de la LCEN dispose que les hébergeurs « ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d’un destinataire de ces services si elles n’avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l’accès impossible. »

Dans la récente affaire opposant eBay à Louis Vuitton, eBay revendiquait le bénéfice du régime de responsabilité des hébergeurs. Les sociétés demanderesses soutenaient quant à elles qu’eBay exerçait également une activité de courtier. Le tribunal a finalement jugé qu’eBay, en sa qualité de courtier relevait comme tout acteur du commerce, du régime commun de la responsabilité civile, basé sur l’article 1382 du code civil. Mais la frontière entre éditeur et hébergeur reste encore floue et la question reste entière de savoir « Qu’est ce qu’un hébergeur ? ».

« Les décisions sont contradictoires en France aux USA et en Belgique. En France, à côté de la définition technique de l’hébergeur, s’est développée une définition juridique qui consiste à analyser que l’hébergeur est celui qui ne s’intéresse pas au contenu, même si il a la capacité technique de le faire. » explique Anne Cousin, avocat au cabinet Denton Wilde Sapte. La frontière serait alors délimitée par le contrôle éditorial, l’éditeur l’exerce alors que l’hébergeur non, ainsi Wikipedia est un hébergeur de contenus mais non un éditeur.

« C’est comme si deux hébergeurs apparaissaient : l’hébergeur purement technique, et l’hébergeur juridique qui ne joue pas de rôle sur le contenu. Mais est ce que la bannière publicitaire mise sur un blog constitue une volonté de gérer un contenu et confère un statut d’éditeur à la plateforme de blogs ? » soulève Anne Cousin.

Ainsi, récemment, la commission des « affaires économiques, de l’environnement et du territoire » a élaboré un rapport sur la mise en application de la LCEN, abordant le statut des hébergeurs. Pour le rapport, la frontière entre le statut d’hébergeur et celui d’éditeur doit rester comme l’a voulu la loi. Le critère de distinction devant résider dans la « capacité d’action sur les contenus » et non pas dans la fourniture d’outils de présentation ou d’organisation de ces contenus. Mais ces jurisprudences qui font ressortir des décisions contradictoires, soulèvent à nouveau la problématique cruciale du droit applicable sur Internet.

5. Quels droits applicables sur Internet ?

En 2007 38% des acheteurs en ligne ont commandé à l’étranger. La question du droit applicable devient donc de plus en plus cruciale. Pendant longtemps, la Jurisprudence faisait la distinction entre site actif et site passif. Pour considérer un site comme « actif » les juges prenaient en compte un certain nombre de critères tels que la langue du site, les facultés de commander, la monnaie utilisée pour les transactions, l’extension du nom de domaine etc.

Or en novembre 2007, pour un litige concernant une contrefaçon pour des oeuvres proposées par eBay sur son site canadien, le juge a considéré que les caractéristiques de ce site le rattachait à une clientèle nord-américaine. A contrario le TGI de Paris, en décembre 2007, dans une autre affaire eBay, a rejeté l’exception d’incompétence des tribunaux français. Enfin, deux ordonnances rendues le 16 mai 2008 par le TGI de Paris, affirment la compétence du tribunal français dans un litige transfrontière, le critère retenu étant l’impact économique en France, acquis dès lors que les sites internet incriminés sont accessibles aux internautes français. Or en droit européen, le tribunal compétent est normalement celui du lieu où le fait dommageable s’est produit. « L’approche universaliste qui suppose que tout site Internet puisse être régi par des lois et règlements de chacune des autorités à travers le monde incite les opérateurs à réduire leur contenu au dénominateur commun le plus bas ce qui sous optimise l’outil. » précise Daniel Arthur Laprès qui est Avocat au Barreau de Paris et Barrister & solicitor.

Et la panoplie des interdits est large : de la liberté de pensée à l’offre de jeux en ligne en passant par les insultes faites aux religions. La vraie question dès lors pour les entreprises est de savoir comment exploiter Internet en respectant les valeurs locales. « En droit international, on doit considérer deux types de compétences : la compétence judiciaire et la compétence législative. Ainsi Yahoo.com, compagnie américaine immatriculée en Californie s’est retrouvée devant le tribunal français pour avoir affiché sur ses serveurs en Californie des informations révisionnistes et nazies. » nous explique Daniel Laprès. Il convient de se poser systématiquement la question du Tribunal compétent et du droit qui s’applique, sachant que chaque Etat doit organiser son droit interne en fonction du droit international public et de son droit national. « L’approche universaliste engendre autant de jeu de normes qu’il y a de compétences et de règles possibles. » précise Daniel Laprès. « En propriété intellectuelle, les problèmes de frontières sont énormes : ce qui est toléré dans un pays ne l’est pas dans l’autre. Et la concurrence devient internationale. Dans les affaires eBay, les conflits entre les différents réseaux de distribution sont exacerbés sur le web. » poursuit-il.

Ainsi, tout récemment, le traitement différent des affaires eBay en France, en Belgique et aux Etats Unis marque encore l’importance des juridictions compétentes et du droit applicable. Car si eBay a été reconnu coupable en France dans l’affaire l’opposant à Vuitton, le tribunal de première instance du District Sud de New York a pris en compte le dispositif de lutte contre la contrefaçon d’eBay alors poursuivi pour contrefaçon par le joaillier Tiffany. Le tribunal fédéral de New York a en effet considéré que le site de ventes aux enchères avait mis en place des mesures adéquates contre la contrefaçon et qu’il était du ressort des marques comme Tiffany d’assureur leur propre protection sur Internet. Le Tribunal de commerce de Paris a quant à lui condamné eBay e à verser environ 40 millions d’euros à Louis Vuitton pour avoir, en tant que courtier, manqué à son obligation de vigilance en laissant sur son site des produits contrefaits. « Ce qui pose également problème dans ce jugement, c’est que Vuitton France se fasse compenser pour un préjudicie subi pour l’ensemble de son réseau de filiales et franchises. Une société ne peut prétendre à se faire indemniser que pour son préjudice. » relève Daniel Laprès. Ainsi, lesentreprises conseillées par leurs avocats ont tout intérêt à penser leur stratégie judiciaire.

Charlotte Karila Vaillant

COMPLEMENTS :

Les nouvelles technologies au service de la pratique du droit de la propriété intellectuelle

Si les nouvelles technologies peuvent être la source de conflits juridiques, elles constituent également de formidables outils de veille et d’optimisation de performance au service d’une stratégie de défense de propriété intellectuelle. Nous nous sommes entretenus avec Cédric Manara, spécialiste des questions juridiques touchant à internet, à la propriété intellectuelle, et au marketing et professeur associé à l’EDHEC Business School, qui nous montre les opportunités qu’elles offrent pour les juristes.

Cédric Manara, les technologies récentes ont fait émerger un nombre important de problématiques juridiques dont vous êtes devenu l’un des spécialistes. Vous avez également montré que ces technologies peuvent contribuer à une meilleure gestion de problématiques juridiques. En quoi sont-elles utiles ?

Qui veut la paix prépare la guerre... Avec certaines des technologies nouvelles, ce sont d’abord de nouveaux outils de veille au service notamment de la surveillance et du contentieux. qui sont désormais à disposition des juristes. Par exemple, la plupart des fonctions avancées des moteurs de recherche sont méconnues, alors qu’elles s’avèrent d’une grande utilité. Il existe ainsi des fonctions permettant de créer des alertes sur des mots-clef, qui peuvent être utilisées pour les associer avec les signes distinctifs que l’on surveille. Ces outils permettent de suivre l’actualité de la presse généraliste ou spécialisée, la mise à jour de blogs ou forums de discussion en ligne, ou encore l’évolution de mailing-lists. Ce qui permet de « prendre la température », d’anticiper des situations problématiques, et d’amoindrir la portée de propos potentiellement attentatoires à l’image d’une entreprise.

Récemment par exemple, l’un des dix premiers sites français de commerce en ligne s’est vu signaler par son avocat un billet paru sur le blog d’une agence de marketing, sur lequel l’un des directeurs associés faisait part de son mécontentement suite à une expérience d’achat auprès de ce site réputé. Ce texte a suscité en réponse des commentaires nombreux tournant au déversoir de critiques, et de récits de mauvaises expériences avec ce même commerçant. La connaissance rapide de cet incident a permis à l’entreprise de demander le retrait de l’un des commentaires, dénigrant et diffamatoire, et de répondre en expliquant la démarche de l’entreprise suite au problème rencontré par l’auteur du premier message. Ces nouvelles formes de conflits, qui paradoxalement présentent peu d’importance pécuniaire, peuvent avoir d’importantes conséquences pour l’image de la société en cause. L’exploitation des moteurs de recherche dans le cadre d’une veille peut faciliter la réactivité des services marketing et juridique.

Et ces mêmes outils peuvent-ils utilement être exploités dans le cadre de contentieux ?

Oui, surtout dans le cadre de la collecte de preuves. Car la réunion de preuves peut s’avérer à priori plus délicate à mesure que les activités des entreprises migrent vers le web. Dans cet univers électronique, des éléments ou comportements peuvent être fugaces et, partant, difficiles à démontrer dès lors qu’une trace n’en a pas été immédiatement conservée. Il peut s’agir de l’emploi d’une marque ou d’un contenu protégé ( ?uvre, base de données, etc.), du retrait d’un communiqué de presse dont le texte peut constituer un commencement de preuve de responsabilité, de la suppression d’une annonce sur une plateforme d’intermédiation en ligne, etc. Quand une page web a disparu, ou un élément de celle-ci manque, il est d’abord possible d’en retrouver le contenu au moyen de la fonction dite « cache » de certains moteurs de recherche, si le retrait est récent. En effet, ces outils de recherche, pour pouvoir répondre aux requêtes de façon efficace, indexent les données disponibles sur internet.

Mais les moteurs de recherches ne sont pas des archivistes des réseaux électroniques et n’ont pas vocation à en constituer la mémoire. En revanche, une association américaine à but non lucratif, The Internet Archive, fondée par des documentalistes, s’est donnée pour mission d’archiver internet, et met à disposition un site de libre accès dénommé The Wayback Machine, lequel permet de retrouver des pages qui autrement auraient disparu. Si ce site a été monté dans le noble but de conserver la mémoire de ce monde effervescent qu’est le web, des juristes malins ont aussi découvert qu’il pouvait être utilisé à des fins autres que sa finalité première. Sur le serveur de The Wayback Machine, il est possible de consulter certaines versions anciennes de sites, correspondant aux dates des archivages successifs. Cette particularité a fait que l’outil a été utilisé pour démontrer, par exemple, que l’usage contrefaisant d’une marque sur le site du défendeur remonte à une date plus ancienne qu’il ne le prétend. Plusieurs cabinets américains ont déjà amené avec succès devant les tribunaux des preuves tirées de The Wayback Machine (par exemple Telwizja Polska USA, Inc. v. Echostar Satellite Corp. en 2004). En France, il semble qu’il n’existe à ce jour que… deux cas connus d’utilisation de l’outil !

Mais l’exploitation de ces outils n’est-elle pas souvent onéreuse pour des petites et moyennes entreprises ?

Cela dépend des outils que l’on exploite. Dans la société de l’information qui se construit, les externalités ne sont pas nécessairement onéreuses. L’un des plus puissants outils, Google, est gratuit.... et sur le bureau de tout employé d’une direction juridique ! Ce qui peut faire défaut, c’est l’exploitation des capacités des outils disponibles. En développant leur habileté dans le recours à certains outils, en se dotant de ressources supplémentaires, et en étendant leurs compétences, les Directions Juridiques peuvent assurer une meilleure politique offensive et défensive de protection des actifs immatériels de l’entreprise.

Le correspondant CNIL

La Commission Nationale Informatique et Libertés a été instituée par la loi du 6 janvier 1978 avec pour mission essentielle, au vu du développement de l’informatique, de protéger la vie privée et les libertés individuelles ou publiques. Depuis sa création, les règles à respecter dans tout développement informatique ou création de fichiers impliquant la manipulation de données à caractère personnel ont progressivement été mieux respectées, mais au prix d’une certaine lourdeur dans la mise en oeuvre d’applicatifs.

La loi du 6 août 2004 et ses décrets d’application du 20 octobre 2005 et du 25 mars 2007 ont permis aux entreprises de simplifier la procédure de mise en place de traitements de données à caractère personnel en permettant aux entreprises de désigner un Correspondant Informatique et Libertés, encore appelé « CIL ». Le CIL, délégué à la protection des données personnelles, a plusieurs missions :
 Il est le garant de la bonne exécution des dispositions légales en matière de traitements des données personnelles, qu’ils concernent des salariés, des clients actuels ou potentiels ou des usagers de l’entreprise
 Il est l’interlocuteur privilégié des salariés inquiets des traitements de leurs données personnelles, et peut recevoir les demandes et les réclamations des employés (mais également des personnes concernées par les différents traitements : clients, fournisseurs ...),
 Il conseille et alerte le responsable des traitements sur les éventuelles modifications à apporter aux applicatifs pour les rendre compatibles avec les règles à respecter
 Il constitue et tient à jour le registre de tous les traitements opérés par l’entreprise et le tient à disposition de toute personne en faisant la demande, à l’instar du fichier des fichiers de la CNIL. Il réalise un bilan annuel de ses activités qu’il transmet au responsable des traitements et tient à la disposition de la CNIL

« En contrepartie, les entreprises qui désignent un CIL bénéficient d’un régime simplifié de mise en oeuvre des traitements. En effet dans ce cas, l’entreprise est dispensée de déclaration préalable à la CNIL lors de la mise en place de traitements courants, n’impliquant pas de transfert de données hors de l’Union européenne » nous précise Diane Mullenex, avocat associée du cabinet Ichay & Mullenex Associés.

Au 1er novembre 2008 3867 organismes avaient désigné un CIL auprès de la CNIL, pour 938 CIL en activité.

Pour autant, la mise en place d’un CIL, qu’il soit désigné à l’extérieur de l’entreprise (possibilité encadrée si l’entreprise a plus de 50 personnes susceptibles de créer ou modifier des applicatifs) ou choisi parmi ses employés, n’est pas sans poser question. En effet, la loi prévoit que le CIL dispose d’une indépendance par rapport à l’entreprise mais s’il est employé dans la société, il n’accède pas au statut de salarié protégé et qu’il soit salarié ou conseil extérieur il ne reçoit pas d’instruction dans l’exercice de sa mission. La création de l’AFCDP (Association Française des Correspondants aux Données Personnelles) répondit ainsi à deux besoins cruciaux pour les CIL : faire évoluer leurs statuts et missions et favoriser et développer les échanges entre ses membres pour identifier les meilleures pratiques professionnelles. « L’association regroupe beaucoup de correspondants des grands compte.

Même si beaucoup de choses étaient faites auparavant au sein des entreprises, la fonction et le métier du correspondant aux données personnelles est nouveau. » explique Monsieur Xavier Leclerc, Délégué Général de l’AFCDP. « Nous avons plusieurs groupes de travail, dont un sur la formation, dont les travaux ont mené à la création d’un Master en formation continue pour que les professionnels puissent ce former à ce nouveau métier. Les profils de la première promotion étaient aussi bien juridiques, que techniques ou issus d’une culture qualité. Nous avons également décliné ce master en formations de courtes durées. » relève Monsieur Xavier Leclerc. (plus d’informations sur www.afcdp.net ).

DES CABINETS SPÉCIALISÉS : (Annuaire complet ici)

BAUR & ASSOCIÉS
11, rue des Ternes - 75017 Paris /26 rue Eudoxe Marcille - 45000 Orléans / 33 rue du Grand Sully - 45600 Sully-sur-Loire
Tél. (à Paris) : 33(0)1 45 72 08 80

CABINET BEAU DE LOMÉNIE
158, rue de l’Université - 75340 Paris Cedex 07 (également Lille, Lyon et Marseille)
Tél. : +33 (0) 1 44 18 89 00 -

CABINET KGA AVOCATS
44 Avenue des Champs-Elysées - 75008 Paris (également Lyon et Marseille)
Tél. : 01 44 95 20 00

CABINET MENASCE-CHICHE
35, avenue d’Eylau - 75116 Paris
Tél. : 01 47 27 11 11

CABINET PICHARD & ASSOCIÉS
122, Avenue Charles De Gaulle - 92200 Neuilly sur Seine
Tél : 01 46 37 11 11

CCK AVOCATS
19 avenue Rapp - 75007 Paris
Tél. : 01 45 55 72 00

CORNET VINCENT SÉGUREL
28 bd de Launay - 44186 Nantes/ 251, boulevard Pereire - 75852 Paris Cedex 17
A Nantes : Tél. : 02 40 44 70 70 - A Paris : Tél. : 01 40 73 73 40

DE GAULLE FLEURANCE & ASSOCIÉS
11 rue Portalis - 75008 Paris
Tél. : 01 56 64 00 00

IFL-AVOCATS
19 avenue Rapp - 75007 Paris
Tél. : 01 45 55 72 00

WEIL & ASSOCIÉS
26, avenue de la Grande Armée - 75017 Paris
Tél. : 01 44 15 98 98

Eloïse BIGARD-PRUNET
4 rue Chalgrin - 75116 PARIS
Tél. : 01 45 00 66 75
Courriel : ebigardprunet@ebi-avocat.com

COTTY VIVANT MARCHISIO ET LAUZERAL
Maitre SELIGMAN
91 rue du Faubourg Saint Honoré - 75008 PARIS
Tél. : 01 55 73 20 20

Partenaires du Salon juridique de l’internet et du Numérique :

DENTON WILDE SAPTE
Madame COUSIN Anne
5 avenue Percier - 75008 PARIS
Tél. : 01 53 05 16 00

FOURGOUX ET ASSOCIES
Monsieur FOURGOUX Jean-Louis
111 bd Péreire - 75017 PARIS
Tél. : 01 55 65 16 65

GILLES VERCKEN AVOCATS
Monsieur VERCKEN Gilles
18 avenue Victoria - 75001 PARIS
Tél. : 01 42 21 34 75

HAAS AVOCATS
Monsieur HAAS Gérard
87 bd de Courcelles - 75008 PARIS
Tél. : 01 56 43 68 80

ICHAY ET MULLENEX ASSOCIES (IMA)
Madame MULLENEX Diane
45 rue de Courcelles - 75008 PARIS
Tél. : 01 42 89 19 80

Daniel Arthur LAPRÈS
29 bd Raspail - 75007 PARIS
Tél. : 01 45 04 62 52

TEISSONNIÈRE SARDAIN CHEVÉ
25, rue Coquillière - 75001 PARIS
Tél. : 33 (1) 44.82.05.05

UGGC
Madame LOGEAIS Elisabeth
47 rue de Monceau - 75008 PARIS
Tél. : 01 56 69 70 00

COTTY VIVANT MARCHISIO ET LAUZERAL
Maitre SELIGMAN
91 rue du Faubourg Saint Honoré - 75008 PARIS
Tél. : 01 55 73 20 20

SKELDING YAN
66 av Kléber 75116 PARIS
01 45 53 47 47