« Les salariés protégés (…) doivent pouvoir disposer sur leur lieu de travail d’un matériel ou procédé excluant l’interception de leurs communications téléphoniques et l’identification de leurs correspondants ».

C’est en ces termes que l’arrêt rendu par la Chambre sociale de la Cour de Cassation le 4 avril 2012 a rappelé aux employeurs leurs obligations eu égard à la confidentialité des correspondances téléphoniques de leurs salariés.

Contexte

Dans cette affaire, un salarié protégé (administrateur de l’URSSAF) occupant un poste de DRH a saisi le Conseil des Prud’hommes d’une demande tendant à la résiliation judiciaire de son contrat de travail au motif que son employeur n’aurait pas respecté son statut de salarié protégé en consultant la liste de ses appels téléphoniques passés au moyen du téléphone mobile mis à sa disposition par l’entreprise.

La lecture des moyens du pourvoi laisse à penser qu’en l’espèce, l’employeur ne s’était pas contenté d’accéder à ces informations puisqu’il semble être établi qu’il avait « « examiné » les relevés des communications téléphoniques fournis par l’opérateur de téléphonie mobile, dont il n’est pas contesté que les quatre derniers chiffres n’avaient pas été occultés, et d’avoir voulu utiliser les informations ainsi obtenues à l’encontre de ce salarié » (sic).

La Cour d’appel de Lyon débouta le salarié de sa demande en retenant que son employeur s’était contenté d’examiner les relevés de communications téléphoniques remis par l’opérateur du téléphone mobile fourni à son salarié ; ce simple examen ne constituant pas, selon la Cour,  un procédé de surveillance des salariés nécessitant d’être déclaré à la CNIL et d’être soumis à la consultation du Comité d’entreprise.

Respect de la confidentialité des correspondances téléphoniques des salariés.

La cour de cassation casse cet arrêt considérant pour sa part que « pour l’accomplissement de leur mission légale et la préservation de la confidentialité qui s’y attache les salariés protégés (…) doivent pouvoir disposer sur leur lieu de travail d’un matériel ou procédé excluant l’interception de leurs communications téléphoniques et l’identification de leurs correspondants ».

Cette obligation rappelée par la Cour de cassation avait été explicitement prévue par l’article 7 de la délibération n° 2005-019 du 3 février 2005 rédigée en ces termes :

« Respect des droits et libertés des employés protégés.

Des mesures particulières doivent être prises afin que les conditions de mise en oeuvre et d’utilisation des services de téléphonie n’entravent pas l’exercice des droits reconnus par la loi en matière de droits et libertés des représentants des personnels et des employés protégés. A cet effet, ils doivent pouvoir disposer d’une ligne téléphonique excluant toute possibilité d’interception de leurs communications ou d’identification de leurs correspondants ».

Selon elle, le fait que l’employeur accède aux relevés téléphoniques du téléphone mis à la disposition de son salarié lui permettait d’identifier les correspondants de ce dernier et ne respectait donc pas la confidentialité des communications téléphoniques de son salarié.

La question des correspondances électroniques reposée

Toutefois, cet arrêt repose la question des mesures qui doivent être prises de manière analogue pour les communications électroniques des salariés protégés ; un raisonnement par analogie avec cet arrêt laissant à penser que les salariés protégés devraient « pouvoir disposer sur leur lieu de travail d’un matériel ou procédé excluant l’interception de leurs communications électroniques et l’identification de leurs correspondants ».

En effet, s’il est aisé de prendre des mesures relativement simple en matière de correspondances téléphoniques dont les données sont collectées et gérées par les opérateurs de téléphonie (anonymisation des listings de numéros entrants et/ou sortants, masquage des quatre (4) derniers chiffres…), ces mesures s’avèrent être beaucoup plus complexes à mettre en œuvre s’agissant des correspondances électroniques.

En effet, les services informatiques en charge des réseaux de l’entreprise peuvent a priori avoir accès aux traces des échanges électroniques émis et/ou destinés à des adresses de messagerie de l’entreprise.

Ni la CNIL, ni la jurisprudence n’ont encore fixé de règles et obligations précises en la matière ; la CNIL se contentant lors d’une recommandation formulée en 2004 à propos de la faculté pour l’employeur de négocier avec les organisations syndicales des accords d’entreprise aux fins d’ouverture de l’Intranet et de la messagerie électronique de l’entreprise aux organisations syndicales de rappeler que :

« L’accord conclu devrait également rappeler l’obligation de confidentialité à laquelle employeurs et organisations syndicales sont tenus. En particulier, toute mesure de sécurité devrait être prise afin d’assurer la confidentialité des échanges électroniques éventuels des salariés avec les organisations syndicales.

Afin d’éviter toute possibilité d’utilisation détournée, l’employeur ne devrait pas pouvoir exercer de contrôle sur les listes de diffusion ainsi constituées. En effet, celles-ci sont susceptibles de révéler l’opinion favorable d’un salarié à l’égard d’une organisation, voire son appartenance à un syndicat déterminé, sur la base du choix opéré par ce salarié quant à son acceptation ou son refus de recevoir des messages à caractère syndical. »

Face à l’absence de position tranchée en la matière, les employeurs devront tenir compte de cette décision récente de la Cour de cassation pour prendre les précautions et mesures techniques qui s’imposent visant à exclure toute possibilité d’interception des communications de leurs salariés protégés et d’identification de leurs correspondants.

En effet, la première période de réservation de ces nouveaux noms de domaine aura lieu jeudi 3 mai prochain.

A compter de cette date, les titulaires de noms de domaine ASCII bénéficieront d’une période de sunrise avec règle de « grandfathering » leur permettant de réserver prioritairement les noms de domaine IDN équivalents.

A titre d’illustration, le titulaire du nom de domaine electionspresidentielles.fr pourra réserver le nom de domaine électionsprésidentielles.fr.

Deux conditions cumulatives pour bénéficier de cette priorité de réservation :

• Etre titulaire du nom de domaine IDN (électionsprésidentielles.fr) identique au nom de domaine ASCII (electionspresidentielles.fr)

Et

• Réserver le nom de domaine IDN (électionsprésidentielles.fr) en via la même unité d’enregistrement (registrar) que celle auprès de qui a été réservé le nom de domaine ASCII (electionspresidentielles.fr).

Bien entendu, il est tout à fait possible, au cours de cette période de sunrise de réserver de nouveaux noms de domaine ASCII .fr disponibles, puis de réserver son pendant IDN, sous la seule réserve de passer par la même unité d’enregistrement.

Cette période de « sunrise » s’achèvera le 3 juillet prochain ; date à laquelle débutera le second tour des réservations ouvertes cette fois à tout le monde suivant la règle du « premier arrivé et premier servi » en appliquant les conditions d’éligibilité habituelles du nom de domaine en .fr.

Un conseil : N’attendez pas le deuxième tour pour faire valoir vos droits…

On a pu observer que cette tendance s’est confirmée fin 2011 par une vague jurisprudentielle favorable à une telle atteinte à la vie privée des salariés sur leur lieu de travail ou même à la confidentialité des données sans lien avec le contrôle de l’autorité de la concurrence.

Dans ce contexte, la Chambre criminelle de la cour de cassation par un arrêt du 30 novembre 2011 a validé la saisie globale d’une messagerie électronique alors que seuls certains éléments étaient inclus dans le champ d’investigation de l’Autorité de la concurrence. A ce titre, la Cour a pu conclure que l’opération de saisie reste valide, même si des documents en dehors du champ d’investigation de l’Autorité de la concurrence, documents personnels des salariés ou simplement étrangers à l’objet du contrôle, ont pu être saisis.

Dans cette affaire, les enquêteurs de l’Autorité de la concurrence ont saisi la messagerie professionnelle de plusieurs salariés de la société objet du contrôle. Or, il est apparaît évident qu’une telle saisie implique la saisie de messages sortant du champ d’investigation de l’Autorité de la concurrence.

Par exemple, cette messagerie peut contenir des informations sur la vie privée du titulaire de la messagerie, des informations couvertes par le secret professionnel ou encore par le secret des correspondances.

Fort de cet argument, la société requérante a pu alléguer que l’autorité de la concurrence ne pouvait pas saisir l’ensemble de la messagerie alors que seuls certains éléments correspondent aux investigations de l’Autorité de la concurrence.

La société a peut-être oublié un élément technique non négligeable, qui aura pu être en faveur de l’Autorité de la concurrence : les documents de la messagerie Outlook sont tous sauvegardés dans un fichier informatique unique comportant tous les messages envoyés, reçus, le calendrier, les contacts…Difficile alors de n’en saisir qu’une partie tout en garantissant l’intégrité des documents saisis.

La Chambre Criminelle de la Cour de cassation répond, le 30 novembre 2011 que si la messagerie électronique contient, même seulement pour partie, des éléments entrant dans le champ de l’autorisation judiciaire, cela suffit à valider la saisie globale de tous les éléments de la messagerie.

Mais attention, il revient à l’Autorité de la concurrence de mettre le juge en mesure d’exercer son contrôle sur ce point. Pour ce faire l’autorité de la concurrence doit rédiger un inventaire des documents saisis qui présente une cohérence explicite entre ces documents et le champ de l’opération de saisie.

Ainsi dans cette affaire l’inventaire portant sur les données informatiques saisies dans les messageries de trois des salariés n’a pas suffit à prouver le lien avec l’objet du contrôle opéré par l’Autorité de la concurrence. A ce titre, ces trois fichiers doivent être restitués intégralement.

En revanche, l’inventaire relatif à la messagerie d’un autre salarié a pu établir qu’une large partie des données de cette messagerie entrait dans le champ de l’Autorisation de contrôle de l’autorité de la concurrence.

Qu’advient-il alors des données qui n’entrent pas dans ce champ et qui ont pourtant été saisies ?

La Cour rappelle que l’administration doit restituer les documents saisis qui sont en dehors du champ du contrôle de l’autorité de la concurrence, à condition qu’ils soient identifiés par les propriétaires de la messagerie. A ce sujet, trier et classer ses emails est une méthode essentielle pour la contestation et la restitution rapide des emails sans lien avec la saisie de l’autorité de la concurrence.

A retenir :

Il est essentiel de bien identifier les documents relevant de votre vie privée, les documents couverts par le secret professionnels ou par le secret des affaires.

Être assisté d’un conseil lors de telles opérations de saisie peut aider à éviter la saisie de documents non inclus dans le champ des investigations de l’autorité de la concurrence.

Dans ce contexte, des arrêts de la chambre criminelle de la Cour de cassation du 30 novembre 2011 avaient déjà avalisé la saisie massive de documents électroniques, via la saisie d’une messagerie électronique qui contenaient même seulement pour partie, des éléments entrant dans le champ de l’autorisation judiciaire.

Suivant cette mouvance jurisprudentielle, un arrêt rendu le 14 décembre 2011 par la Chambre criminelle de la Cour de cassation a validé la saisie d’un ordinateur, et donc de toutes les données qu’il contient, sur le lieu de la visite de l’Autorité de la concurrence, alors qu’il n’était pas connecté au réseau de la société contrôlée.

Dans cette affaire, un ordinateur portable avait été saisi lors d’une opération de contrôle de l’Autorité de la concurrence. Le propriétaire de l’ordinateur portable a demandé sa restitution car cet ordinateur lui appartenait et n’était pas connecté au réseau de la société contrôlée. Le juge a alors annulé la saisie de cet ordinateur.

Mais la Chambre Criminelle de la Cour de cassation, dans un arrêt du 14 décembre 2011, casse et annule cette décision et considère que l’ordinateur reste dans le champ de la saisie dès lors que l’ordinateur « se trouvait dans les lieux visés par l’ordonnance autorisant les opérations de visite et saisie et qu’il n’était pas allégué l’absence dans ce matériel de données en lien avec l’objet de cette autorisation »

Par cette décision, la Cour valide les saisies générales et indifférenciées de documents informatiques contenant des documents personnels, sans lien avec l’affaire objet de l’enquête ou encore des documents couverts par le secret professionnel.

A noter… Avant la saisie de documents électroniques ou de matériels informatiques, il est essentiel de bien identifier les éléments qui n’entrent pas dans le champ des investigations de l’Autorité de la concurrence. En revanche, une fois saisis, il vous reviendra d’apporter la preuve que ces documents et matériels sont en dehors du champ des investigations.

On peut se poser la question de ce qui pourrait être jugé en cas de saisie d’un Smartphone de la société contrôlée, mis à la disposition d’un salarié et qui « traînerait » sur un bureau lors de la visite de l’autorité de la concurrence…

Afin d’éviter tout litige de ce type, il est vivement conseillé :

• d’intégrer des règles de gestion des moyens informatiques mis à la disposition des salariés, en adoptant ou en mettant à jour sa charte informatique;
• de rédiger et diffuser aux personnes intéressées un code de conduite en cas de visite de l’autorité de la concurrence.

Ces alertes peuvent concerner le domaine financier, comptable, fiscal, la lutte contre la corruption ou tout autre manquement grave tel que les risques graves pour la sécurité informatique de l’entreprise, la divulgation d’informations stratégiques strictement confidentielles ou lorsque l’intégrité physique ou morale d’une personne est concernée.

Lorsqu’une société souhaite mettre en œuvre un tel dispositif d’alerte, elle doit :

• faire les formalités préalables auprès de la Cnil : les alertes dénoncent des manquements graves mettant en scène des personnes physiques, et à ce titre comportent des données à caractère personnel.
• Informer les instances représentatives du personnel (article 2323-32 du Code du travail).

Une fois le dispositif en place, la question s’est posée de savoir d’une part si le dispositif est bien licite et d’autre part si, en changeant des champs de l’alerte, il fallait à nouveau consulter les instances représentatives du personnel.

La Cour d’appel de Caen le 23 septembre 2011 a ainsi jugé que :

• Le dispositif crée un trouble manifestement illicite car il n’est pas conforme aux recommandations de la Cnil et que ses principes de fonctionnement diffèrent de son fonctionnement réel.
• Les instances représentatives du personnel doivent être consultées après des changements du dispositif d’alerte professionnelle.

Dans cette affaire, la société Benoist Girard a mis en place un système d’alerte professionnelle. Elle a alors bien consulté le comité d’entreprise, qui à trois reprises, a émis un avis défavorable à ce système d’alerte.

Malgré cela, la société a mis en place ce dispositif d’alerte professionnelle.

Or, il a été relevé que les modalités de fonctionnement du dispositif d’alerte professionnelle sont très différentes de ce qui figure au règlement intérieur et de ce qui a été décrit aux instances représentatives du personnel.

A titre d’exemple il a été relevé que :

• Le règlement prévoit un champ limité des alertes professionnelles
• Alors que sur le site internet, tout internaute aurait la possibilité d’émettre une alerte visant n’importe quel salarié français de la société, au sujet de faits ne correspondant pas aux domaines « autorisés », notamment sur les abus de stupéfiants ou de médicaments.

La société favorise ainsi toute sorte de dénonciation, sans limite, ce qui est contraire aux recommandations de la Cnil et à la législation française.

Il a également été relevé que :

• Le règlement intérieur recommande fortement aux utilisateurs du dispositif d’alerte de s’identifier
• Alors que le site internet encouragerait l’anonymat

Or, selon la Cnil l’anonymat des émetteurs de l’alerte professionnelle est contraire à sa recommandation telle que figurant à l’article 2 de la Délibération n°2010-369 du 14 octobre 2010 : « L’émetteur de l’alerte doit nécessairement s’identifier. Son identité est par la suite traitée de façon confidentielle par les personnes chargées du recueil des alertes.» (Voir en ce sens la délibération de la Cnil n n°2011-340 du 13 octobre 2011, Bouygues Telecom).

Ces modifications substantielles du dispositif d’alerte professionnelle auraient dû conduire la société à consulter à nouveau les instances représentatives du personnel. Chose qu’elle n’a pas faite.

La Cour de cassation a alors jugé que ce dispositif d’alerte professionnelle est emprunt de manquements notamment au droit du travail mais également à la réglementation Informatique et libertés.

Ces manquements et les atteintes aux droits des personnes utilisant ou faisant l’objet de ce dispositif d’alerte professionnelle justifient l’existence d’un trouble manifestement illicite. Le dispositif a ainsi été suspendu.

A retenir : Les entreprises françaises doivent mettre en place un dispositif d’alerte professionnelle strictement conforme aux exigences de la réglementation française. Il faut donc principalement combiner les dispositions du droit du travail aux dispositions de la réglementation Informatique et libertés et de la doctrine de la Cnil.

Or, dans la pluparts des cas, les dispositifs d’alertes professionnelles sont imposés dans des entreprises multinationales sous l’impulsion de la réglementation américaine et le caractère international de ce type de dispositif nécessite une expertise juridique forte, notamment si des données à caractère personnel sont transférées depuis la France vers un pays hors union européenne….

Avec le développement du commerce en ligne et l’avènement d’Internet en tant que nouveau canal de distribution, de nombreux problèmes de concurrence font surface.

Dans un arrêt du 14 février 2012, la question posée à la chambre commerciale de la Cour de cassation était celle de savoir si la création d’un site Internet par une société ayant consenti une exclusivité territoriale à son distributeur correspondait à l’implantation d’un point de vente physique dans le secteur protégé, et donc à la violation de cette exclusivité.

En l’espèce, une société X avait conclu avec une autre société Y un contrat d’agent de voyage exclusif pour une ville désignée où X s’interdisait envers Y de créer tout point de vente ou succursale dans la ville « protégée » par la clause d’exclusivité territoriale. La première instance, puis la Cour d’appel et enfin la Cour de cassation ont toutes considéré que la création de ce site Internet ne valait pas violation de l’exclusivité territoriale.

Clause d’exclusivité territoriale

Cette clause a pour but de préserver l’exercice de l’agent distributeur exclusif et connaît bien souvent une limitation dans le temps et dans l’espace.

Aucun texte législatif ou réglementaire n’impose ce type de clause dans la cadre d’une franchise ou d’un réseau de distribution mais elle est fréquemment considérée par les franchisés ou encore les distributeurs comme un « périmètre de sécurité nécessaire ».

En l’espèce, la Cour de cassation a considéré que le site Internet créé par le promoteur du réseau (la société X) n’était qu’un outil de communication et d’information sur les produits distribués par le promoteur et donc par l’agent, et que par conséquent ce site bénéficiait à l’agent plutôt que de lui nuire.

 Distinction « Ventes actives » et « ventes passives »

Ainsi, pour savoir si la création d’un site Internet ne risque pas de troubler la bonne exécution d’une clause d’exclusivité territoriale, il faut déterminer si le site Internet est considéré comme une forme de vente active ou passive.

Est qualifié de vente active sur Internet un site qui vise tout spécialement une clientèle déterminée alors que les ventes passives sur Internet recouvrent, selon le point 51 des lignes directrices de la Commission européenne de 2000 sur les restrictions verticales, « toute publicité ou action de promotion générale (…) qui atteint des clients sur les territoires exclusifs d’autres distributeurs (…) mais qui est un moyen raisonnable d’atteindre des clients situés en dehors des ces territoires, par exemple pour toucher des clients situés sur des territoires non exclusifs ou sur son propre territoire ».

La vente en ligne présumée passive

Comme le précise le point 51 des lignes directrices susmentionnées, la vente en ligne est présumée être une vente passive.

Cette présomption s’explique par la nature même du droit de la concurrence qui rejette toute forme de restriction de concurrence et qui fait la chasse aux cloisonnements de marchés.

En retenant cette présomption, la Commission européenne et plus largement le droit de l’Union européenne, entend promouvoir le développement du commerce en ligne dans la mesure où il élargit le choix des consommateurs et favorise la concurrence par les prix.

Cette jurisprudence se place dans le sillon de la fameuse « saga » Pierre Fabre (CJUE, 13/10/2011, C-439/09) qui a connu son dénouement devant les juges de Luxembourg qui ont affirmé avec vigueur l’interdiction pour le promoteur d’un réseau de distribution sélective d’empêcher ses distributeurs de vendre en ligne.

Comme on le comprend dans cet arrêt du 14 février 2012, pour être assimilable à la création d’un point de vente physique portant atteinte à une exclusivité territoriale, le site Internet doit viser les « ventes actives » et cette démonstration doit se faire concrètement.

Ainsi, si vous décidez de créer un site Internet alors que vous êtes soumis à une clause d’exclusivité territoriale en tant que promoteur d’un réseau, assurez-vous que votre site ne ciblera pas directement la clientèle du ressort géographique protégé par la clause d’exclusivité.

Sources :

Cass. Com., 14 février 2012, n°09-11691.

Communication de la Commission européenne, du 13 octobre 2000 : lignes directrices sur les restrictions verticales [COM(2000/C 291/01)].

CJUE, 13 octobre 2011, Pierre Fabre Dermo Cosmétiques, aff C-439/09.

Alors que la première dame de France emprunte le compte FACEBOOK de son mari en campagne pour s’adresser aux membres du réseau en toute tranquilité, d’autres justiciables se voient opposer un refus de la part de la société californienne d’ouvrir le leur.

Monsieur X., inscrit depuis 2007 sous une adresse électronique, se voit priver en juin 2009 de son compte, et ce sans avertissement préalable. Ce compte sera réactivé par la suite, de manière restreinte, puis désactivé définitivement.

Après plusieurs tentatives avec d’autres adresses e-mail pour ouvrir un compte, ce dernier décide d’assigner la société FACEBOOK devant le juge de proximité de Bayonne qui se déclarera incompétent et le renverra  à mieux se pourvoir.

Pourtant, tel David et Goliath, Monsieur X. ne perdît pas espoir et forma un contredit (voie de recours spécifique contre les décisions statuant sur la compétence en application de l’article 80 du Code de procédure civile).

Ce choix fut heureux puisque la Cour d’appel de Pau lui rendra raison au motif que la clause attributive de juridiction figurant dans les conditions générales de FACEBOOK en 2007 doit être considérée comme réputée non écrite.

Pour cela, elle fonde sa décision sur l’article 48 du Code de procédure civile qui dispose que :

« Toute clause qui, directement ou indirectement, déroge aux règles de compétence territoriale est réputée non écrite à moins qu’elle n’ait été convenue entre des personnes ayant toutes contracté en qualité de commerçant et qu’elle n’ait été spécifiée de façon très apparente dans l’engagement de la partie à qui elle est opposée. »

La Cour constate également que la clause intitulée « Loi applicable : attribution de juridiction » figure en page 12 des conditions générales de FACEBOOK, traduites en français pour les raisons de la cause.

Il était donc nécessaire pour Mr. X de lire en anglais pas moins de 12 pages sur une version papier en format A4 pour prendre connaissance de l’ensemble des dispositions auxquelles FACEBOOK entend le soumettre.

La Cour n’a pas manqué de relever que cette clause était « noyée dans de très nombreuses dispositions dont aucune n’est numérotée. Elle est en petits caractères et ne se distingue pas des autres stipulations ».

Elle relève ainsi la complexité de la lecture des conditions générales et souligne que FACEBOOK ne rapportait pas la preuve que Mr. X maîtrisait la langue anglaise.

Elle tire les conséquences de ses constatations et énonce que cet utilisateur ne pouvait s’être engagé en toute connaissance de cause. Dès lors, la clause attributive de compétence devait être réputée non écrite.

Elle ne se prononce toutefois pas sur la qualité de commerçant ou non de Mr. X. En effet, elle aurait pu potentiellement écarter ladite clause sur ce fondement mais a préféré statuer sur la deuxième condition édictée à l’article 48 du Code de procédure civile.

Cette approche peut alors laisser penser que si FACEBOOK venait à modifier ses conditions générales en rendant cette clause attributive de compétence fortement apparente, cette dernière serait valide.

Toutefois, elle se heurterait à la jurisprudence de la Cour de cassation particulièrement établie en la matière déclarant que toute clause attributive de compétence entre commerçant et non –commerçant est réputée non écrite (CCiv. 1^ère, 17 novembre 2011, n° pourvoi : 10-25765).

En réalité, la Cour d’appel de Pau a certainement préféré anticiper les futurs litiges pouvant naître avec des commerçants et FACEBOOK.

Afin de déterminer la juridiction compétente, les juges du second degré font application de l’article 46 du Code de procédure civile :

« Le demandeur peut saisir à son choix, outre la juridiction du lieu où demeure le défendeur :

- en matière contractuelle, la juridiction du lieu de la livraison effective de la chose ou du lieu de l’exécution de la prestation de service ; »

FACEBOOK contestant la qualité de « services » à ses prestations en raison de leur gratuité, la Cour d’appel de Pau a du s’employer à démontrer qu’il n’en était rien.

En effet, elle relève qu’en acceptant les conditions générales, Monsieur X autorisait le traitement et l’exploitation des données informatiques, « source très importante du financement » des activités de FACEBOOK. Il existait donc bien une contrepartie financière à l’offre de FACEBOOK même si cette dernière est indirecte.

Il y a donc lieu de faire application de l’article 46 du Code de procédure civile et constatant que FACEBOOK « assure à distance et par voie électronique, la fourniture de services en France d’une manière stable et durable à destination d’internautes français », elle déclare les juridictions françaises compétentes pour juger de ce litige.

Cette décision conforte la jurisprudence déjà établie et confronte les sociétés américaines aux dispositions impératives françaises. Avec plusieurs millions d’utilisateurs en France, l’enjeu de cette affaire pourrait s’avérer crucial pour FACEBOOK qui, rappelons-le, est en passe d’être introduite en bourse.

 Naturellement, si Mr. X a obtenu gain de cause sur la compétence, il lui faudra s’armer de patience car il n’est qu’au début d’une histoire dont le nombre de chapitres peut être important.

Sources :

C. MANARA, « Facebook n’est pas ami avec le Code de procédure civile français »,  Dalloz actualité 16 avril 2012 ;

Le Parisien, 18/04/2012: http://www.leparisien.fr ;

Journal du net: http://www.journaldunet.com ;

http://www.legalis.net .

Se pose alors la question de savoir si l’adresse email professionnelle est ou non une donnée à caractère personnel.

La Cnil est claire : une adresse email du type prénom.nom@lasociété.com est une donnée à caractère personnel. Par conséquent, il est possible pour le titulaire d’une telle adresse email de s’opposer à l’utilisation de cette adresse à des fins de prospection.

C’est ce que rappelle la Cnil dans sa délibération n° 2012-048 du 16 février 2012.

Dans cette affaire une salariée recevait des courriels de prospection syndicale non sollicités sur son adresse de messagerie professionnelle. Elle a alors adressé à ce syndicat plusieurs demandes d’opposition à l’utilisation de son adresse professionnelle à des fins de prospection. Mais ces demandes sont restées sans réponse.

La salariée a alors porté plainte contre le syndicat auprès de la Cnil.

Lors de ses investigations, la Cnil a adressé un courrier au Syndicat en lui demandant comment il avait collecté l’adresse professionnelle de la salariée plaignante, et de bien vouloir la supprimer de sa liste de diffusion.

Le syndicat n’a pas répondu à ce courrier…ni aux suivants. Le syndicat a cependant retiré la plaignante de sa liste de diffusion.

Le Président de la Cnil n’a pas estimé cela suffisant et a alors mis en demeure le syndicat, par sa décision n°2011-004 du 19 mai 2011, de :

• préciser les moyens par lesquels il a collecté l’adresse électronique litigieuse ;
• ne pas collecter d’adresses électroniques à des fins de prospection syndicale à l’insu des personnes concernées ;
• préciser les raisons pour lesquelles le droit d’opposition de la plaignante n’a été pris en compte que tardivement ;
• mettre en place un processus effectif de traitement des demandes d’opposition ;
• indiquer les raisons pour lesquelles les courriers de services de la Cnil sont restés sans réponse.

Fidèle à sa ligne de conduite initiale, le syndicat n’a pas non plus répondu à cette mise en demeure se rendant coupable de :

• collecte illicite et déloyale de données ;
• non effectivité du droit d’opposition des personnes concernées, du fait de la prise en compte tardive de ce droit d’opposition ;
• manquement à l’obligation de répondre aux demandes de la Cnil.

Par sa délibération du 16 février 2012, la Cnil a donc décidé de prononcer une sanction pécuniaire de 5000 euros à l’encontre du syndicat et de rendre sa délibération publique sur le site internet de la Cnil et sur le site internet Legifrance.

Le programme des contrôles pour 2012 est enfin publié.

Plus nombreux !

La Cnil envisage de procéder à au moins 150 contrôles sur les systèmes de vidéosurveillance et à environ 450 contrôles sur de nouvelles problématiques notamment en termes de sécurité des données.

Plus vastes !

Ils vont concerner par exemple, les hébergeurs de données de santé en ligne, les sociétés d’autoroutes, Clubs de foot, les stades et fédérations sportives, les fournisseurs d’application Smartphone, les fournisseurs de services de communications électroniques, les fournisseurs de gaz et d’électricité…

La sécurité des données de santé…hébergeurs de données de santé en ligne : Attention !

Qu’est-ce que cela recouvre ? Avec la relance du dossier médical personnel (DMP), de nombreuses questions se sont posées sur les modalités sécuritaires de traitements des données. La Cnil a précisé qu’elle accordera une attention toute particulière sur les problématiques liées aux solutions d’hébergement à distance des données par l’intermédiaire du Cloud Computing.

Qui est visé ? Les hébergeurs de données de santé, les fournisseurs des applications de santé en ligne, les acteurs de la recherche médicale et les structures hospitalières.

Les failles de sécurité…fournisseurs de services de communications électroniques : Attention !

Qu’est-ce que cela recouvre ? De plus en plus de dossiers sont examinés par la Cnil sur la base de manquements à l’obligation de sécurité posée par la loi !

Qui est visé ? Les fournisseurs de services de communications électroniques qui doivent déclarer les failles de sécurité constatées, conformément au nouvel article 34bis de la loi Informatique et libertés.

Les traitements de données collectées via les smartphones : Fournisseurs d’application Smartphone, Attention !

Qu’est-ce que cela recouvre ? Cela concerne les données collectées via les applications téléchargées sur le téléphone mais aussi la collecte de données via les bornes relais lors de l’utilisation du téléphone.

Qui est visé ? A priori sont ici visés les responsables de traitements des applications utilisées sur les Smartphones, mais aussi les opérateurs et les sociétés telles qu’Apple.

Mais la Cnil n’oublie pas non plus le secteur du loisir et du sport…elle a ainsi déjà commencé à contrôler des clubs de football et compte bien continuer ces contrôles en 2012 auprès des stades et des fédérations sportives françaises. La lutte contre le dopage notamment fera l’objet de contrôles plus poussés.

Ne sont pas non plus oubliés les fichiers dits du « quotidien » : des contrôles seront réalisés auprès d’entreprises importantes fournissant des services de la vie courante dont le traitement des fichiers nous concerne tous ! (eau, gaz, électricité, etc.)

La Cnil compte aussi rendre visite aux sociétés d’autoroutes qui mettent en œuvre des traitements de plus en plus nombreux et innovants (télépéage, vidéosurveillance, photographies, sécurité routières…).

Plus de contrôles pour plus de sécurité ! Il est temps pour les entreprises et associations d’envisager la sécurité des données comme une priorité, priorité qui garantit à chacun, utilisateurs – clients – adhérents, la confidentialité des données collectées et traitées !

Afin de défendre au mieux vos intérêts, il apparaît important de réaliser un audit adapté à vos traitements de données afin de s’assurer de leur conformité à la loi Informatique et libertés et aux recommandations et délibérations publiées par la Cnil, qui ont été très nombreuses ces dernières années !

L’une des solutions à cette problématique réside certainement dans le commerce électronique ; en effet, certains opticiens « en ligne » arrivent à proposer des produits avec des réductions pouvant aller jusqu’à -70% !

Toutefois, les cybervendeurs ne sont pas à même de proposer les mêmes services que les boutiques physiques ; parmi eux, l’écart pupillaire doit être mesuré afin de réaliser un centrage extrêmement précis des verres. S’il existe des sites permettant d’utiliser un procédé de réalité augmentée (technique permettant d’essayer virtuellement ses lunettes), d’autres proposent des procédés plus « classiques » en envoyant une photo de soi avec une carte vitale sur le front.

Toujours est-il que de tels procédés ne donnent que des mesures approximatives en comparaison de celles prisent en boutique physique selon la Fédération nationale des opticiens de France.

Les conséquences médicales suite à un mauvais réglage des verres sont toutefois à relativiser : selon le syndicat des ophtalmologistes de France, il n’y a aucun risque de maladie ou de détérioration de l’œil cependant,  des maux de tête ou des sensations d’inconforts peuvent apparaitre. Néanmoins, le syndicat recommande la vigilance quand la vision du patient est amenée à évoluer ou lorsqu’un certain degré de correction est exigé.

Juridiquement, la vente en ligne de produits d’optique-lunetterie est en pleine mutation ; en effet, le projet de loi « renforçant les droits, la protection et l’information des consommateurs » a été déposé en deuxième lecture devant l’Assemblée nationale le 23 décembre 2011.

Ce texte prévoit notamment la suppression de l’obligation pesant sur les établissements commerciaux de disposer d’une personne diplômée pour les diriger ou les gérer.

En outre, le projet de loi propose d’instaurer un droit de rétractation (déjà pratiqué sur certains sites) pour les produits d’optique-lunetterie, calqué sur l’actuel article L.121-20 du Code de la consommation.

En revanche, le texte prévoyait une obligation de mise à disposition, lors de la vente en ligne de ces produits, d’une liste de professionnels pouvant être consultés ; cette obligation, pourtant soutenue par  la Fédération du E-commerce et de la Vente A Distance dans son rapport de mai 2011, n’apparait désormais plus que pour les lentilles correctrices.

Dans l’attente du vote définitif du texte précité, l’absence de disposition formelle relative au devoir d’information des cybermarchands de produits d’optique-lunetterie ne les exonèrent pas pour autant de toute responsabilité.

En effet, des lunettes dont l’écart pupillaire ne correspondrait pas aux informations transmises par le client, selon les méthodes de mesure communiquées par le cyber-opticien, pourraient être qualifiées de non-conformes.

Dès lors, en vertu de la garantie légale de conformité prévue aux articles L.211-4 à L.211-14 du code de la consommation, le client disposerait de la faculté de se voir échanger le produit ou à défaut, se faire rembourser l’intégralité de son prix d’achat ou encore de se faire indemniser tout en conservant le produit non-conforme.

Nos recommandations

Pour des produits de santé, la prudence et le devoir d’information doivent être les maîtres mots ; l’opticien en ligne se doit d’informer au mieux ses clients via ses fiches produits et ses conditions générales de vente, des caractéristiques de ses produits et de leur proposer un système permettant d’évaluer au mieux les différentes mesures nécessaires à une utilisation correcte et sans effets indésirables de ses derniers.

Une solution complémentaire consisterait à exiger du client la mesure de son écart pupillaire par son ophtalmologiste lors de l’établissement de l’ordonnance ou la reprise de cette mesure efféctuée lors d’un précédent achat de lunettes.