Vous êtes sur la page 1sur 21

Aujourd’hui on parle beaucoup de l’impact du numérique sur la société et sur l’économie – ex 

: ubérisation avec les


plateformes d’intermédiation. En effet le numérique s’est hissé partout : dans le domaine de la santé, le domaine du travail... on
parle souvent de rupture du numérique pour qualifier ces impacts sur le monde.
Du point de vue du droit on arrive aujourd’hui à un véritable foisonnement législatif, et même à un éclatement du droit : le droit du
numérique est présent dans le code civil, dans le code pénal, dans le code de la consommation… et dans plusieurs lois non-codifiées.
Le numérique est en perpétuel mouvement, la technologie se réinvente sans cesse. C’est pourquoi le droit peine à proposer un
système de régulation à jour et homogène : il est souvent en retard par rapport à la technologie – à peine a-t-il régulé un secteur
que de nouvelles pratiques apparaissent – ex : le streaming.
Parmi ses sources, on peut citer des lois pionnières comme : et quelques lois subséquentes :
 La loi du 6 janvier 1978 = protection des données personnelles   La loi du 1er juillet 98 = protection des bases de données 
 La loi du 3 juillet 1985 = protection des logiciels / droits d’auteur /  La loi du 13 mars 2000 = adaptation du droit de la preuve 
 La loi du 5 janvier 1988 = fraude informatique .  La loi du 21 juin 2004 = confiance dans l’éco numérique
Le droit français s’inscrit dans le droit européen, et l’UE mène une politique assez volontariste dans la construction du droit du
numérique – le marché unique numérique est une priorité. On peut citer le projet annoncé le 6 mai 2015, qui vise trois domaines
d’action : améliorer l’accès aux biens et services numériques, instaurer un environnement propice au développement des réseaux
numériques, pour finalement faire du numérique un moteur de croissance.
Elle s’est fixé plusieurs objectifs pour y parvenir : stimuler le commerce électronique ; moderniser les règles de l’UE en matières de
droits d’auteur, de données personnelles et audiovisuelles ; collaborer avec des plateformes pour créer un environnement plus
équitable - garantir la cyber-sécurité et veiller à ce que tous les citoyens aient la meilleure connexion internet possible…
Beaucoup de travail reste à accomplir, mais la Commission se fonde sur sa compétence en matière de marché unique pour agir. En
effet l’art 114 TFUE prévoit que dès qu’il y a un obstacle au marché, la Commission est compétente. Egalement, l’UE a acquis des
compétences en matière de sécurité transfrontalière grâce à l’espace de liberté, sécurité et justice (cf. directive du 27 avril 2016).
Au final, la multiplicité des règles et leur éparpillement a conduit à se poser la question de savoir s’il ne fallait pas faire du droit du
numérique une branche autonome. Dans ses prémices, le droit de l’informatique ne constituait pas une branche autonome, mais on
ne peut nier aujourd’hui que le numérique soulève des problématiques spécifiques, auxquelles le législateur a répondu en ajoutant
des règles propres au droit du numérique – ex : consommateur numérique, cybercriminalité, responsabilité des hébergeurs…

Partie 1 : La protection des données personnelles

A l’origine de cette protection, il y a la volonté de l’Etat en 1974 de créer un énorme fichier qui interconnecterait tous les fichiers
administratifs sur la population française en un – Safari – dont l’accès se ferait par un numéro d’inscription au répertoire (NIR). Un
véritable débat sociétal a été soulevé, car l’histoire nous a montré qu’il n’était pas souhaitable de donner tant de pouvoir à l’Etat.
Les français étant réticents à ce projet, l’Etat a finalement créé une commission pour discuter et chercher à déterminer comment
utiliser l’informatique que l’on avait à disposition. Cela a abouti au vote de la loi du 6 janvier 1978 (78-17), relative à l’informatique,
aux fichiers et aux libertés – dite Loi informatique et liberté. C’est elle qui est au fondement de notre système.
Cette législation a pour but de permettre l’utilisation des données personnelles dans le respect de la vie privée et des libertés des
personnes concernées. Il s’agit donc de chercher un équilibre entre l’utilisation des données et la protection des droits et libertés
fondamentaux. Le principe est finalement la possibilité de collecter ces données, et il est encadré par des exceptions et des limites.
La loi de 1978 demeure le texte de référence, qui a été modifié au gré des textes – lois, règlements, directives… Elle a inspiré la
directive européenne du 24 octobre 1995 (95-46 CE) transposée en France par la loi du 6 août 2004. Pour autant ces textes ont
commencé à être obsolètes en raison des diverses évolutions, et la Commission a lancé un projet de réforme en janvier 2012.
Les lobbys ont fait un énorme travail pour que le texte soit adopté dans leur intérêt, mais le Parlement européen s’est montré
particulièrement protecteur des libertés et s’est imposé pour faire passer cette réforme. Ainsi l’affaire s’est réglée avec l’adoption
d’un règlement le 14 avril 2016 – il entrera en application le 25 mai 2018. Pour autant la loi de 1978 sera maintenue, puisqu’elle
régule des choses que le règlement ne traite pas (ex : la CNIL). A ce titre un projet de modification devrait sortir en décembre pour
qu’elle soit cohérente avec le règlement et les différents textes annexes. En conclusion, tous ces textes mettent en place un
dispositif juridique complexe qu’il faut étudier.

Section 1 : le champ d’application de la législation

I – Les conditions d’application du texte


A – Les conditions matérielles
La législation va s’appliquer dès lors qu’il y a un traitement de données à caractère personnel – deux conditions.
1. L’existence d’un traitement
Art. 2 al.3 L78 : « constitue un traitement toute opération, automatisée ou non, ou tout ensemble d’opérations quel que soit le
procédé utilisé » - « sont notamment des traitements : la collecte, l’enregistrement, la modification, la consultation, l’utilisation, le
verrouillage, l’effacement des données »  dès lors qu’on agit sur les données personnelles, cela relève du traitement (très large).
Droit européen du numérique 1
2. Les données à caractère personnel
Quatre conditions cumulatives sont nécessaires pour être face à une donnée personnelle :
 Une information : il peut s’agit de toute information (nom, prénom, adresse, numéro, données de santé, profession, casier
judiciaire, métadonnées, opinion, goûts, données biométriques, adresse IP…) sur tout support (papier, clé USB, ordinateur…)
pouvant provenir de toute sorte de source (la personne concernée ou un tiers).
 Relative à une personne physique (= personne née vivante et viable) : pour autant certains textes sont venus élargir leur portée
aux personnes morales, ainsi qu’aux personnes à naître – par le biais de la mère ou en vertu de l’ infans conceptus. Egalement,
les personnes décédées se voient appliquer certaines mesures quand les données concernent les membres de leur famille.
 La personne doit être identifiée ou identifiable : la personne doit pouvoir être individualisée – nom et prénom le plus souvent.
 De manière directe ou indirecte : l’information peut concerner la personne directement, ou un objet qui lui appartient – ex  : la
plaque d’immatriculation d’une voiture.
On est donc face à une notion très large et relative, une sorte de catégorie fourre-tout – quelques exceptions prévues :
 Les traitements mis en œuvre pour l’exercice d’activité exclusivement personnelle – ex : répertoire téléphonique.
 Les copies temporaires, faites uniquement dans le cadre d’activité de transmission/fourniture à un réseau numérique.
 Les données anonymisées (= qui ont fait l’objet d’un processus dont l’objectif est de rompre le lien entre la personne et la
donnée) – dès lors que la personne redevient identifiable, la loi s’applique de nouveau.
 Les données personnalisées (jurisprudence – une personnalité politique voulait avoir accès aux données collectées au cours
d’un sondage dont elle faisait l’objet).

B – La condition territoriale
La loi de 1978 indique deux cas dans lesquels elle s’applique :
ð Lorsque le responsable d’un traitement est établi en France.
ð Lorsque le responsable a recours à des moyens de traitement situés en France, sauf si ces moyens ont pour seul but
d’assurer le transit des données.
En ce qui concerne le règlement de 2016, il précise qu’il s’applique dans trois cas :
ð Lorsque le traitement se fait dans le cadre des activités de traitement d’un établissement situé dans l’UE.
ð Quand les activités de traitement sont liées à l’offre de biens ou de services à des personnes situées dans l’UE.
ð Lorsque les activités de traitement sont liées à l’observation du comportement de personnes dans l’UE.
Ce dernier est donc plus protecteur, puisqu’il prend comme critère l’individu alors que la loi prend l’établissement.
 Finalement, pour appliquer les textes il faut se poser trois questions : est-on face à un traitement ? Concerne-t-il des données
personnelles ? Est-ce qu’il vise une personne située dans l’Union européenne ?

II – Les acteurs chargés de l’application de la loi


A – Les acteurs intéressés par le traitement
Il y a bien évidemment la personne concernée par le traitement, cad celle dont les données sont collectées.
Ensuite, il y a les personnes qui traitent les données – cela comprend :
 Le responsable du traitement = la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités, cad les
buts et les moyens du traitement. Concrètement, il faut déterminer qui va pouvoir prendre les décisions pour affecter les
moyens à la mise en place du traitement – au minimum le chef de service, souvent le chef d’entreprise.
C’est lui qui est tenu pour responsable en cas de non-conformité du traitement – pour éviter cela il peut nommer un correspondant
en informatique et libertés, choisi en interne ou en externe. Jusqu’au règlement, le CIL était facultatif et il n’avait pas grand-chose à
faire (2j/mois). Mais maintenant avec la mise ne conformité son travail va prendre de plus en plus de temps, et il devient obligatoire
dans certains cas : lorsque le traitement est effectué par une entreprise/autorité publique ; lorsque les activités de base consistent
en des opération de traitement exigeant un suivi régulier et systématique à grande échelle de personnes concernées (= profilage)  ;
lorsque les activités consistent en un traitement à grande échelle de données sensible et/ou relatives à des infractions pénales.
Quel est son rôle ? Il doit établir un registre des traitements de données personnelles utilisées par l’organisme qui l’emploie dans les
trois mois de sa désignation (délai très court découlant du décret de 2005) ; veiller au respect de la loi – conformité des traitements
– et sensibiliser le personnel à la culture informatique et liberté ; faire les recommandations nécessaires et donner son avis quant
aux traitements mis en œuvre – à défaut d’être entendu il dispose d’un droit d’alerte. L’art 39 du règlement indique qu’il doit aussi
coopérer avec l’autorité de contrôle ; dispenser des conseils concernant notamment l’analyse d’impact en la matière.
 Le destinataire des données = toute personne habilitée à recevoir communication des données autre que la personne
concernée, le responsable du traitement, le sous-traitant et les personnes chargées de les traiter en raison de leur fonction.
 Le sous-traitant = toute personne physique ou morale, autorité publique, service ou autre organisme, qui traite des données
pour le compte du responsable de traitement.
L’art 8 du règlement précise qu’en cas de transfert des données d’un responsable vers un sous-traitant, le responsable doit s’assurer
que le sous-traitant mette en œuvre des mesures techniques/organisationnelles appropriées – il y a alors responsabilité solidaire.

Droit européen du numérique 2


B – Les organes chargés de vérifier la légalité du traitement
1. La CNIL (Commission Nationale de l’Informatique et des Libertés)
Depuis la directive de 1995, chaque membre de l’UE est tenu de nommer une autorité de protection des données personnelles. Ces
autorités sont tenues de coopérer et de s’apporter une assistance mutuelle. Afin d’assurer l’homogénéité des décisions prises, les
articles 63 et suivants règlement met en place un mécanisme de contrôle de la cohérence de l’application des règles.
La CNIL est une autorité administrative indépendante – on peut tout de même s’interroger sur son caractère indépendant parce
que son budget dépend d’une affectation de l’Etat. Il lui a d’ailleurs été reproché d’être bienveillante avec les organismes publics.
Son rôle principal est de veiller au respect de la réglementation de manière général. Elle doit également sensibiliser tous ceux qui
ont vocation à toucher aux données personnelles.
Jusqu’au règlement, elle devait tenir un registre des traitements mis en œuvre en France, mais à partir du 25 mai 2018 chaque
entité devra tenir son propre registre – il s’agissait d’une mission chronophage et peu utile.
Egalement, elle doit autoriser certains traitements présentant des risques – ex : données de santé. Elle reçoit les plaintes et les
réclamations des personnes concernées, et elle procède à des contrôles (sur pièce, sur place ou en ligne). Avec le règlement, au
moment du contrôle le responsable devra apporter la preuve aux agents de toutes les mesures prises pour être en conformité afin
de prouver sa bonne foi – on passe à une logique de responsabilité (accountability).
Elle doit aussi donner son avis sur les projets de code de conduite ; délivrer des labels ; encourager la mise en place de mécanisme
de certification ; donner son avis (obligatoire et public) sur des projets de loi impliquant la collecte de données personnelles ; suivre
l’évolution dans le domaine des TIC et des pratiques commerciales… elle est partout, multifonction.
On a eu une sensation d’éparpillement, qui a abouti à des stratégies de la part des responsables partant du principe qu’il y avait de
faibles risques qu’ils se fassent sanctionner – il y a peu de contrôles, souvent prévus, et la sanction est infligée uniquement en
dernier recours. De plus le montant de cette sanction est assez faible – ex : la peine maximale représente le CA de Google en 2min.
On a cependant de bonnes raisons de croire que cela va changer avec le règlement, puisqu’il prévoit une augmentation de cette
sanction : 10 à 20 millions d’euros ou 2 à 4% du CA mondial annuel s’il est plus élevé.
2. Les juridictions
Il est possible de saisir soit la CNIL (avantage : c’est gratuit) soit une juridiction. Même si les textes ne manquent pas, on s’aperçoit
que le contentieux est assez raisonnable – les magistrats se forment petit à petit à ce domaine. 4

La Cour de justice de l’UE apparaît très protectrice en la matière, avec notamment :


ð L’arrêt Digital Rights Irland - 8 avril 2014 : la CJUE annule la directive portant sur la conservation des données (2006), qui
aboutissait en réalité à la collecte systématique et continue par les hébergeurs des données de connexion de tous les
internautes européens. Une telle collecte sans ciblage, une surveillance généralisée pose problème en termes de liberté – le
principe est un système de liberté. Qui plus est les données étaient stockées hors de l’Europe, et leur accès peu restreint.
S’est posé la question des lois de transpositions – arrêt Télé2 Sverige - 21 décembre 2016 : la Cour estime qu’il faut regarder les lois
au cas par cas, afin de vérifier si elles sont suffisamment équilibrées donc si elles respectent les droits et libertés fondamentaux –
ex : si la collecte est limitée à une finalité de réponse à la criminalité grave, si la conservation est faite au sein de l’Union…
ð L’arrêt Google Spain - 13 mai 2014 : la CJUE reconnait un droit au déréférencement – en l’espèce un citoyen européen avait
demandé à Google de supprimer un article dont il faisait l’objet (dettes à la sécu). Elle considère que le journal peut conserver
l’article dans ses archives, mais que la publicité faite à l’information par le biais du moteur de recherche est disproportionnée,
donc elle conduit à un droit au déréférencement.
Cet arrêt a posé certains problèmes pour le CE : dans un arrêt en assemblée plénière - 24 février 2017 il a sursis à statuer avec un
certain nombre de question préjudicielles à la CJUE, notamment pour savoir comment appliquer cette réglementation à un
responsable de traitement qui est un moteur de recherche. Aussi dans son arrêt Google Ink - 19 juillet 2017, il a sursis à statuer en
demandant à la Cour comment elle devait interpréter l’arrêt de 2014 (en l’espèce Google avait limité le déréférencement à l’UE,
mais la CNIL a exigé un déréférencement total).
ð L’arrêt Schrems - 6 octobre 2015 : la CJUE invalide l’accord Safe Harbor (la commission avait négocié avec les américains pour
mettre en place un document reprenant les principes essentiels de la réglementation en matière de protection des données –
les entreprises américaines qui adhéraient à ces principes étaient alors considérées comme respectueuses de la réglementation
européenne, ce qui facilitait le transfert des données). Elle précise que cet accord n’est pas suffisant pour assurer une
protection adéquate des droits et libertés fondamentaux des citoyens européens.
Les autorités ont laissé quelques mois aux entreprises pour qu’elles puissent mettre en place des alternatives. Pendant ce temps la
commission a pris une nouvelle décision dite Privacy Shield, qui ne répond pas à toutes les irrégularités repérées dans le Safe
Harbor – ex : en ce qui concerne l’effectivité d’un droit de recours pour les citoyens européens.
ð L’avis 1/15 - 26 juillet 2017 : la CJUE censure l’accord relatif au PNR (passenger name record) passé entre le Canada et l’UE.
Il y a plusieurs raisons à cela : il aurait fallu exclure les données sensibles visées par la loi ; préciser les données transférées ; prévoir
des modèles algorithmiques spécifiques, fiables et non-discriminatoires ; limiter l’usage des bases de données à la lutte contre le
terrorisme et au Canada ; soumettre l’utilisation des données personnelles des individus à des conditions matérielles et
procédurales fondées sur des critères objectifs ; un contrôle préalable par une juridiction/AAI ; limiter la conservation des données
après le départ des personnes aux seuls individus présentant objectivement un risque grave ; prévoir un droit à l’info individuel en
cas d’utilisation des données…
Droit européen du numérique 3
3. Le comité européen de la protection des données
Ce comité est créé par le règlement (auparavant il n’y avait que le G29 chargé d’une mission consultative – art 29 de la directive).
Il est composé du président de chaque autorité de protection européenne, et du contrôleur européen à la protection des données. Il
est censé être indépendant, et l’art 70 lui attribue plusieurs missions dont la principale est de veiller à la bonne application du
règlement, en rendant des avis et en assurant la cohérence de cette application par les autorités de contrôle.
Il voit ses missions renforcées par rapport au G29, puisqu’il est doté d’un pouvoir contraignant.
4. Le contrôleur européen de la protection des données
Son rôle est tourné vers les institutions européennes : il est chargé de veiller à la conformité des traitements mis en œuvre par les
organes de l’Union européenne.

Section 2 : la mise en œuvre d’un traitement de données personnelles

Sous-section 1 : les obligations du responsable

I – Les obligations en amont du traitement


A – Les conditions propres aux données collectées
Selon la loi, le responsable peut collecter des données à condition de respecter une finalité précise, une certaine proportionnalité
dans la collecte, tout en sachant que certaines données sont interdites de collecte.
1. Le respect du principe de finalité
Ce principe a toujours été considéré comme fondamental : il est décrit comme étant la colonne vertébrale du dispositif. Pourtant il
n’est jamais clairement défini, puisque la loi de 78 indique que les données doivent être collectées pour des finalités déterminées,
explicites et légitimes – le règlement reprend mot pour mot cette formulation – et ne pas être traitées ultérieurement de manière
incompatible avec ces finalités. Celles-ci ne doivent pas être contraires aux lois, aux bonnes mœurs, sinon le traitement est illégal.
En pratique, le responsable de traitement ne pourra utiliser les données que pour les objectifs fixés au traitement. Ce principe a
donc pour objet de restreindre l’utilisation des données aux seuls buts pour lesquels elles ont été collectées.
Deux entorses ont été apportées au caractère strict du principe de finalité :
 Il est possible de réutiliser les données collectées pour des finalités compatibles avec les finalités fixées à l’origine – c’est ce
qu’on appelle l’extension des finalités. On considère qu’il y a compatibilité à partir du moment où la finalité de réutilisation
participe à la réalisation de la finalité d’origine.
 Les données peuvent aussi être réutilisées pour répondre à des intérêts jugés supérieurs : la loi parle d’utilisation à des fins
statistiques, de recherche scientifique ou historique – le règlement ajoute les fins archivistiques et les fins d’intérêt public.
Ainsi la première question à se poser est celle de l’objectif du traitement, à travers lequel on doit voir quelles données collecter.
2. Le respect du principe de proportionnalité (ou de minimisation selon le RGPD)
Le responsable est tenu de collecter des données adéquates, pertinentes et non-excessives au regard des finalités pour lesquelles
elles ont été collectées. Concrètement, cela signifie qu’il ne peut collecter que les données qui lui sont strictement indispensables
pour atteindre la finalité escomptée.
Ce principe a pu poser problème dans certains cas, notamment pour tout ce qui concerne les traitements pour lesquels il est
légitime de faire une collecte systématique, généralisée et continue – ex : profilage, système de pay as you drive…
3. L’interdiction de collecter certaines données
Pour certaines données que l’on qualifie sensibles, la collecte est par principe interdite en raison des risques de discrimination et
des atteintes aux libertés qu’elles peuvent présenter – elles sont énumérées à l’art 8 de la loi et à l’art 9 du règlement.
Ce sont les données qui font apparaître directement ou indirectement les origines raciales ou ethniques, les opinions politiques,
philosophiques ou religieuses, l’appartenance syndicale ou encore les informations relatives à la santé, à l’orientation sexuelle, les
données génétiques, et les données biométriques au fins d’identification d’une personne physique.
Le législateur a permis le recours aux données sensibles dans certains cas :
 Les traitements pour lesquels la personne concernée a donné son consentement explicite pour une ou plusieurs finalités
spécifiques. Le règlement ajoute que le droit de l’UE ou le droit d’un Etat peut prévoir des cas où le consentement ne suffit
pas à lever l’interdiction de la collecte. Egalement les traitements de données vouées à être anonymisées.
 Les traitements nécessaires à la sauvegarde la vie humaine, ou aux fins de médecine préventive, diagnostics médicaux,
administration de soins ou gestion de service de santé, mis en œuvre par un membre de profession de santé. Le règlement
ajoute les traitements faits dans le cadre de médecine du travail, afin d’apprécier la qualité de travail du travailleur.
 Les traitements mis en œuvre par une association ou tout autre organisme à but non-lucratif, et à caractère religieux,
philosophique, politique ou syndical ; les traitements statistiques réalisés par l’INSEE, ou ceux justifiés par un intérêt public.
 Les traitements nécessaires à la constatation, l’exercice ou la défense d’un droit en justice, ainsi que ceux nécessaires aux
fins de l’exécution des obligations et l’exercice des droits propres au responsable ou à la personne concernée en matières de
droit du travail, sécurité et protection sociales, dans la mesure où ce traitement est autorisé.

Droit européen du numérique 4


B – Les conditions propres au traitement
1. La licéité du traitement
L’art 6 du RGPD dispose que le traitement n’est licite que dans certains cas :
ð Lorsque la personne concernée a consenti au traitement pour une ou plusieurs finalités spécifiques.
ð Quand le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie, ou à l’exécution de
mesures précontractuelles prises à la demande de celle-ci.
ð Lorsque le traitement est nécessaire au respect d’une obligation légale, ou à la sauvegarde des intérêts vitaux de la personne
concernée ou d’une autre, ou encore quand il est nécessaire à l’exécution d’une mission d’intérêt public.
ð Quand le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à
moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée.
2. L’obligation de respecter les principes de privacy by design et privacy by default
L’art 25 du règlement impose au responsable de concevoir le traitement en considération de la législation en matière de
protection des données. Il doit alors mettre en place un traitement qui va protéger les données par défaut – ex : Facebook – les
données devraient par défaut être accessible uniquement par notre cercle restreint.
3. L’obligation de procéder à une analyse d’impact du traitement sur les droits et libertés des personnes concernées
Analyse d’impact = analyse de risque du traitement sur les droits et libertés des personnes physiques – elle est obligatoire pour les
traitements susceptibles d’engendrer un risque élevé compte tenu de leur portée, de leur contexte et finalité, ou de leur nature.
L’art 35 du règlement indique trois cas dans lesquels elle est obligatoire :
 En cas d’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, fondée sur un
traitement automatisé et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une
personne physique, ou l’affectant de manière significative. Cela vise principalement le profilage.
 En cas de traitement à grande échelle de données sensibles ou relatives à des infractions (ces dernières ne peuvent être
collectées que par certains responsables – juridictions, autorités publiques, auxiliaires de justice, sociétés de perception et de
répartition des droits d’auteur, des artistes interprètes et des producteurs de phonogrammes/vidéogrammes).
 En cas de surveillance systématique à grande échelle d’une zone accessible au public.
4. Le respect des formalités
a) La loi de 1978
Le responsable devait informer la CNIL de la création du traitement – dans le régime de droit commun, il devait le déclarer en
indiquant le responsable, les données collectées, la durée de conservation de celles-ci… Deux exceptions :
 Les formalités allégées : soit il était dispensé de déclaration, soit il était soumis à une déclaration simplifiée – ex : dès lors
qu’un CIL est nommé il n’est plus nécessaire de déclarer le traitement à la CNIL ; la CNIL a établi des normes simplifiées
lorsque le traitement ne présentait pas un risque important pour les droits et libertés.
 Les formalités renforcées : elles nécessitaient une demande d’autorisation ou une demande d’avis auprès de la CNIL – ex  :
les traitements portant sur les données génétiques, des infractions, ou ayant pour objet l’interconnexion de fichiers ayant
des finalités différentes supposaient une autorisation de la CNIL ; la demande d’avis concernait des fichiers très spécifiques.
b) Le règlement
Il change la logique du texte, puisqu’on passe d’un contrôle a priori à un contrôle a posteriori – il n’y a plus de formalité préalable.
L’art 24 prévoit le principe d’accountability : le responsable doit mettre en œuvre les mesures techniques et organisationnelles
appropriées pour s’assurer et être en mesure de démontrer que le traitement est conforme au règlement compte tenu de sa nature,
de sa portée, du contexte et des finalités, ainsi que des risques pour les droits et libertés des personnes physiques. Ainsi il doit
désormais s’aménager la preuve de sa conformité à la législation.
Nous ne sommes plus dans le principe en amont, mais dans celui de répondre à la CNIL lorsqu’elle effectuera un contrôle en aval.

II – Les obligations au cours du traitement


A – Les obligations au moment de la collecte des données
1. La tenue d’un registre
L’art 30 du règlement prévoit que chaque responsable de traitement doit tenir un registre des activités de traitement effectuées
sous sa responsabilité – il contient les noms et coordonnées du responsable et du délégué à la protection des données, les finalités
du traitement, les catégories de destinataires auxquels les données sont communiquées, les délais prévus pour l’effacement des
différentes catégories de données, et autant que possible une description générale des mesures de sécurité techniques et
organisationnelles prises au sein de la structure. Le sous-traitant doit également tenir un tel registre.
Cette obligation ne s’applique pas à une entité comptant moins de 250 salariés, sauf si le traitement est susceptible de comporter
un risque pour les droits et libertés, s’il n’est pas occasionnel ou s’il porte sur des données sensibles ou relatives à des infractions.
2. L’obligation d’information

Droit européen du numérique 5


Le responsable est tenu d’informer la personne concernée de divers éléments : son identité ; les coordonnées du DPO ; la finalité
du traitement ; l’intérêt légitime quand le traitement est fondé sur l’existence de motifs légitimes du responsable  ; le caractère
obligatoire ou facultatif des réponses et les conséquences éventuelles d’un défaut de réponse  ; les destinataires des données ; ses
droits ; les transferts éventuels hors UE ; les critères déterminant la durée de conservation des données ; son droit de retirer son
consentement au traitement lorsqu’il est fondé sur ce consentement ; l’existence d’une prise de décision automatisée, et dans ce
cas il soit lui indiquer la logique sous-jacente du traitement, ainsi que l’importance et les conséquences prévues de ce traitement.

B – Les obligations pendant la vie du traitement


Le responsable doit respecter les droits de la personne concernée :
 Il doit répondre aux demandes d’accès et de communication des personnes concernées - ex : destinataires, types de
données… Il n’a pas le droit de s’y opposer sauf en cas de demande manifestement abusive.
 Il doit répondre aux demandes de rectification, de mise à jour, d’ajour ou d’effacement faites par les personnes concernées,
puis il doit notifier ces modifications aux destinataires des données.
 Il doit respecter l’opposition élevée par la personne concernée qui a fait valoir des motifs légitimes (selon la loi) ou qui se
trouve dans une situation particulière (selon le règlement).
 Il doit conserver les données de manière limitée dans le temps – le délai qu’il indique au début. En pratique c’est l’une des
obligations les plus compliquées à mettre en œuvre, parce qu’il y a des durées de conservation contradictoires.
 Il est tenu d’une obligation de sécurité : il doit prendre toutes les précautions utiles au regard de la nature des données et des
risques présentés par le traitement pour préserver la sécurité des données, et notamment empêcher qu’elles soient
déformées, endommagées ou que des tiers non-autorisés y aient accès.
 Il doit respecter le droit à la limitation du traitement de la personne concernée – ex : pendant le temps de vérification des
motifs, de la mise à jour des données… Ainsi que le droit à la portabilité des données : une personne peut demander à
transférer ses données personnelles à une autre entité, sous un format structuré, couramment utilisé et lisible par machine,
l’idée étant de permettre de changer de prestataire de service.
 Il a l’obligation de notifier les failles de sécurité qui affectent les données personnelles à l’autorité de contrôle au plus tard
dans les 72h qui suivent la découverte de la faille, et à la personne concernée quand la violation est susceptible d’engendrer
un risque élevé pour ses droits et libertés.

Sous-section 2 : les outils

I – Les outils utilisables au sein de l’Union européenne


A – Les documents écrits
1. Le code de conduite
Il s’agit d’un ensemble de règles validées par une branche/profession pour indiquer une bonne gestion des données aux entreprises
y appartenant. Sous l’ancien régime on ne savait pas qu’elle était leur valeur, donc le règlement est venu réformer son statut  : l’art
40 précise que ce code doit être approuvé par une autorité (la CNIL en France) qui l’enregistre et le publie ; l’art 41 indique que les
contrôles subséquents doivent être effectués par cette autorité ou par une entité disposant d’un niveau d’expertise approprié.
2. La charte informatique
C’est le document qui explique aux salariés les modalités d’utilisation du matériel mis à disposition par l’employeur. Il très fréquent
car important – il faut leur expliquer ce qu’ils peuvent faire ou non.
S’est posée la question de savoir si on pouvait utiliser ce matériel pour un usage personnel, ou s’il était uniquement dédié aux
activités professionnelles. Les juridictions ont considéré que la vie privée ne s’arrêtait pas aux portes du travail  ; ainsi il y a une
présomption d’activité professionnelle, mais le salarié peut consulter des sites pour des raisons personnelles sur son lieu de travail
dès lors que cette utilisation est raisonnable et qu’elle ne nuit pas à l’employeur.
Si une utilisation personnelle des outils informatiques est tolérée par l’employeur, ce dernier a tout de même un droit de contrôle
sur l’utilisation qui en est faite – la CEDH dans son arrêt Barbulescu c/ Roumanie – 12 janvier 2016 avait validé le licenciement d’un
salarié qui avait utilisé les comptes internet de la société à des fins personnelles et pendant ses heures de travail (conversations fb).
Ainsi l’employeur, du fait de son pouvoir de direction, a le droit de surveiller et de contrôler l’activité de ses salariés sur le lieu et
pendant le temps de travail. A ce titre la CNIL préconise que le contrôle ne soit pas individualisé, et qu’il se fasse si possible au
niveau d’un service. Les dispositifs de contrôle doivent faire l’objet d’une notification des employés et du comité d’entreprise.
S’est aussi posée la question de savoir si l’employeur pouvait accéder à la messagerie de son salarié. A ce titre l’arrêt Nikon – 2
octobre 2001 a consacré le droit du salarié au respect de l’intimité de sa vie privée même au temps et au lieu de travail. Donc
l’employeur ne peut pas prendre connaissance des mails dont l’objet fait apparaître la mention personnelle. Il a été affiné par l’ arrêt
17 mai 2005 : l’employeur peut prendre connaissance de ces mails, mais uniquement en présence du salarié, s’il a été dûment
appelé ou en cas de risque ou d’évènement particulier.
3. La privacy policy (ou politique de confidentialité/sécurité)
L’idée est de montrer que tout est mis en place sur le site pour une bonne gestion des données personnelles – donner confiance à
l’utilisateur pour qu’il traite avec ledit site.

Droit européen du numérique 6


B – La cadre applicable à certaines technologies
1. La vidéo-surveillance
Dès lors que des personnes sont filmées dans un lieu privé, les formalités auprès de la CNIL doivent être appliquées. D’abord le
dispositif doit faire l’objet d’une déclaration – on a pu constater que lorsqu’il y avait un litige et que l’entreprise concernée n’avait
pas déclaré la mise en place de la vidéo-surveillance, les juges n’acceptaient pas l’utilisation des vidéos comme preuve.
La CNIL indique qu’un tel dispositif doit être installé en dernier recours – il faut privilégier les technologies moins attentatoires si
elles existent. A ce titre il doit être pertinent, adéquat et proportionné à l’objectif visé : il ne doit pas viser un salarié déterminé ; il
ne doit pas filmer des lieux inappropriés (toilettes, douches, portes de syndicat) ; le son n’est pas requis… La CNIL va regarder entre
autres le nombre de caméras, leur orientation, leur emplacement, les périodes de fonctionnement, pour juger de l’adéquation du
dispositif à la finalité prévue.
De plus, la mise en place du dispositif doit être portée à la connaissance des salariés et des visiteurs, et les représentants du
personnel doivent être consultés au préalable. La CNIL préconise enfin une durée de conservation de un mois.
2. La géolocalisation
La CNIL précise qu’elle ne peut être utilisée que pour certaines finalités bien déterminées.
Le problème s’est posé pour les véhicules professionnels : elle indique qu’elle ne doit pas mener à un contrôle permanent du salarié.
Dans ce cadre elle recommande la désactivation du système embarqué dans les véhicules en dehors des heures de travail et lors des
temps de pause. Il ne doit pas y avoir de collecte sur les éventuels dépassements de vitesse, et la durée de conservation est fixée à
deux mois. Il faut consulter les instances représentatives du personnel, et informer les salariés de la mise en place du dispositif.
3. Les systèmes biométriques
Biométrie = ensemble des techniques informatiques permettant d’identifier un individu à partir de ses caractéristiques physiques,
biologiques voire comportementales – ex : empreintes digitales, iris, voix, visage, démarche…
Pour mettre en place un système biométrique – surtout pour l’accès dans des lieux de travail – l’ancien régime prévoyait la dde
d’une autorisation à la CNIL. Elle différenciait alors deux types de biométrie : la biométrie à trace et la biométrie sans trace – la
première pouvant facilement être récupérée à l’insu des personnes pour usurper leur identité, donc présentant des risques plus
importants pour la vie privée, la CNIL privilégiait systématiquement le recours à des biométries sans trace.
Par une déclaration du 30 juin 2016, elle abandonne cette considération : désormais toutes les biométries sont considérées comme
laissant des traces. Elle propose alors une nouvelle distinction selon le type de stockage des données biométriques – individuel ou
sur base centralisée. La CNIL privilégie le premier (= la personne dont les données sont collectées les conserve sur elle).

C – Le label, la certification et les marques


Ces trois éléments sont visés par l’art 42 du règlement, qui n’est pas clair sur la différenciation entre eux.
Label = marque apposée sur un produit, un service ou une procédure, qui va garantir la qualité du produit cad qu’il respecte la
règlementation en matière de protection des données.
A l’heure d’aujourd’hui il est délivré par la CNIL, et avec le RGPD il pourra l’être également par un organisme de certification agréé
disposant d’un niveau d’expertise approprié. En droit français, la procédure de label consiste en l’édiction de référentiels par la
CNIL – quatre différents : un pour les procédures d’audit ; un pour les formations ; un pour les coffres forts ; un « gouvernance
informatique et liberté ». L’entreprise doit essayer de montrer qu’elle répond à tous les items visés pour que la CNIL se prononce.
Le label a une durée de vie de trois ans renouvelables. Il représente un certain coût, donc les entreprises doivent faire une analyse
coûts/avantages et voir s’il permet d’avoir un véritable avantage concurrentiel.

D – Les packs de conformité


Ce sont des guides sectoriels édictés par la CNIL afin de sécuriser juridiquement les professions. L’idée est de donner les pistes, les
moyens d’être en conformité et de simplifier les formalités autant que possible.
Aujourd’hui trois pactes de conformité ont été édictés : le pack assurance ; le pack logement social ; le pack pour les compteurs
communicants.

II – Les outils utilisables en cas de transfert de données hors UE


Auparavant le principe était l’interdiction du transfert hors Union avec des exceptions. Aujourd’hui on a renversé la logique  : le
transfert est autorisé avec un encadrement. Il existe alors plusieurs fondements juridiques.

A – Le transfert fondé sur une décision de reconnaissance de protection adéquate - art 45 RGPD
Dans ce cas, la Commission européenne a reconnu qu’un système étranger mettait en œuvre une protection substantiellement
équivalente à celle en vigueur au sein de l’UE – elle va regarder si l’esprit y est : s’il existe un recours effectif utilisable par les
citoyens européens à l’étranger pour faire valoir leurs droits ; l’existence de ces droits et d’une autorité de contrôle indépendante…
A la fin de son analyse, si elle estime que le système apporte une protection adéquate, elle conclura que les entreprises pourront
transférer les données dans le pays en question.
Rq : le Safe Harbor découle d’une telle décision – la Commission européenne a donc le pouvoir de valider un système national
étranger, mais également des systèmes sectoriels.
Droit européen du numérique 7
B – Le transfert fondé sur des garanties appropriées, à condition que la personne concernée ait des droits opposables et des
voies de recours effectives - art 46 RGPD
1. Les clauses contractuelles types
Il s’agit de modèles de contrat élaborés par la Commission européenne, que le responsable d’un traitement peut reprendre dans le
cadre de sa relation avec un tiers situé hors de l’Union. Le règlement ajoute la possibilité d’utiliser des CCT élaborées par une
autorité de contrôle et approuvées par le Commission.
Elle en a établi plusieurs modèles : certains concernant les flux d’un responsable à un autre responsable ; d’autres concernant les
flux allant d’un responsable à un sous-traitant.
La CJUE devrait rendre une décision à ce sujet : la Haute Cour de justice irlandaise a réclamé qu’elle se prononce sur la sécurité des
transferts des données personnelles entre l’UE et les Etats-Unis effectués par Facebook. L’affaire a été portée par Schrems, qui
estimait que ses données étaient moins protégées une fois transférées aux EU. L’avis de la CJUE devrait porter sur les CCT qui
fondent ledit transfert, mais les questions préjudicielles ne sont pas formulées pour le moment.
2. Les binding corporate rules (ou règles d’entreprise contraignantes)
Ce sont des règles qui sont utilisées par les structures de carrure internationale. Elles permettent à la maison-mère d’instaurer une
politique de gestion des données personnelles à ses filiales disséminées dans le monde . Les BCR sont très lourdes à mettre en
place, très coûteuses, et doivent être validées par une autorité de protection – très peu utilisées.
La CNIL a également édicté des BCR sous-traitants, pour que ces derniers puissent garantir au responsable de traitement que les flux
transfrontaliers de données à l’intérieur de leur groupe sont bien encadrés et sécurisés – ex : Airbus y recourt.
3. Un code de conduite approuvé ou un mécanisme de certification approuvé
Cela fonctionne comme fondement uniquement si le destinataire des données personnelles dans le pays tiers prend l’engagement
contraignant et exécutoire d’appliquer les garanties appropriées, y compris les droits des personnes concernées.
4. Des clauses contractuelles classiques
A ce moment-là, il faudra impérativement l’autorisation de l’autorité de contrôle.

Remarque 1 : le RGPD et la mise en place d’une coopération entre les autorités de contrôle

En tant qu’instrument européen, le règlement met en place des mécanismes de coopération entre les diverses autorités de
protection et entités agissant dans le domaine des données personnelles.
Lorsque plusieurs autorités de contrôle peuvent potentiellement être concernées, il instaure une autorité cheffe de file (= celle de
l’établissement principal du responsable). L’art 56 prévoit que cette autorité dispose de trois semaines pour décider si elle désire
traiter la difficulté, auquel cas l’autre autorité en concurrence pourra lui soumettre un projet de décision. En revanche, si elle refuse
de la traiter, l’autre autorité pourra s’en charger à sa place.
L’art 60 pose une obligation de coopération entre les différentes autorités : elles doivent s’échanger les informations et coopérer au
maximum. Plusieurs mécanismes ont été créés afin de renforcer cette coopération :
 L’assistance mutuelle (art 61) : elle consiste à encourager les différentes autorités à échanger les informations et à
procéder à des contrôles ensemble.
 L’objection pertinente et motivée d’une autorité à l’égard d’un projet de décision d’une autre autorité : soulever cette
objection aboutit à l’application de la procédure de contrôle de la cohérence.
 Le mécanisme de contrôle de la cohérence : cette procédure vise à s’assurer que le règlement est appliqué de manière
cohérente dans toute l’Union européenne – deux cas de saisine :
 La saisine pour avis du comité européen de la protection des données (art 64) : c’est une saisine a priori,
lorsqu’une autorité veut par exemple valider une liste de traitements soumis à une analyse d’impact, approuver un
code de conduite, fixer des CCT… Si elle refuse de suivre l’avis du comité, le mécanisme de contrôle de la
cohérence peut aboutir à une décision contraignante dudit comité.
 La saisine du comité qui rend la décision contraignante : ce peut être en cas d’objection pertinente et motivée
d’une autorité contre le projet de décision d’une autre autorité, ou lorsqu’on n’arrive pas à déterminer qui est
l’autorité cheffe de file.

Remarque 2 : le règlement e-Privacy (vie privée et communication électronique)

Il s’agit de la proposition de règlement du Parlement et du Conseil européens datant du 10 janvier 2017, qui concerne le respect de
la vie privée et la protection des données à caractère personnel dans les communications électroniques. Elle abroge la directive du
12 juillet 2002 (2002-58 CE). S’agissant d’un règlement, l’idée est d’aboutir à une harmonisation des règles au niveau européen ; la
mise en place d’un marché unique numérique, suscitant la confiance des potentiels utilisateurs – deux objectifs :
 Fournir un niveau élevé de protection de la vie privée aux utilisateurs des services de communication électronique. Ce sont
des services fournis contre rémunération (argent ou exploitation des données personnelles) via des réseaux de
communication électronique – cela comprend : les services d’accès à internet ; de communication interpersonnelle (même

Droit européen du numérique 8


lorsque le mode de communication est accessoire au service) ; ceux consistant entièrement ou principalement en la
transmission de signaux (radiodiffusion ou services de machine à machine).
 Fournir des conditions de concurrence équitables à tous les acteurs économiques : l’art 1 prévoit la garantie de la libre
circulation des données de communication électronique et des services de communication au sein de l’UE. L’idée est d’être le
moins contraignant possible – la libre circulation n’est ni limitée, ni interdite pour des motifs liés au respect de la vie privée et
des communications des personnes physiques et morales, ou à la protection des personnes physiques à l’égard du traitement
des données à caractère personnel.
Ce texte vient abroger la directive de 2002 parce qu’elle a en partie été dépassée par l’évolution des technologies et du marché,
avec pour résultat des incohérences et des insuffisances dans la protection effective de la vie privée et de la confidentialité en lien
avec les communications électroniques. Aujourd’hui les entreprises ont recours à des services qui ne sont pas soumis au cadre
réglementaire de l’UE, appelés services de communication par contournement – ex : la voix sur IP, la messagerie instantanée, les
courriers électroniques web… Il est donc nécessaire de les intégrer dans le règlement.
Alors que le RGPD constitue le socle commun en matière de données personnelles, le règlement e-Privacy va constituer le droit
spécial qui va s’appliquer en matière de communication électronique – c’est une application sectorielle du RGPD. Il va préserver la
confidentialité des communications, lesquelles peuvent aussi contenir des données à caractère non-personnel et des données
relatives à une personne morale. Ces deux règlements sont extrêmement liés, et sont censés entrer en vigueur le même jour.

I – Les conditions d’application


A – Le champ d’application matériel (art 2)
Ce règlement s’applique aux traitements des données de communication électronique effectués en relation avec la fourniture et
l’utilisation de services de communication électronique dans l’Union, et aux informations liées aux équipements terminaux des
utilisateurs finaux (= moyens ou appareils utilisés).
La notion de données de communication électronique est définie assez largement, et de manière suffisamment neutre d’un point de
vue technologique pour englober deux types d’informations :
 Toute information concernant le contenu transmis ou échangé.
 Les métadonnées (= toute information concernant l’utilisateur final d’un service de communication électronique traitée aux
fins de la transmission, la distribution pour l’échange de ce contenu, y compris les données permettant de retracer une
communication et d’en déterminer l’origine et la destination, ainsi que les données relatives à la localisation de l’appareil
produites dans le cadre de la fourniture de services de communication électronique – lieu, date, heure, durée, type…).
Deux exclusions sont tout même prévues : les services qui ne sont pas accessibles au public, et les activités menées par les autorités
compétentes à des fins pénales.

B – Le champ d’application territorial


Ce règlement va s’appliquer dans trois cas : à la fourniture de services de communication électronique aux utilisateurs finaux dans
l’UE ; à l’utilisation de ces services ; à la protection des informations liées aux équipements terminaux des utilisateurs finaux situés
dans l’Union européenne.

C – Les parties
 Le fournisseur de service (ou opérateur de communication électronique) : cela comprend les fournisseurs de service de
communication électronique, les fournisseurs d’annuaires accessibles au public, les fournisseurs de logiciels permettant des
communications électroniques, ainsi que les personnes physiques ou morales utilisant des services de communication
électronique pour envoyer des communications commerciales de prospection directe, recueillir des informations concernant
l’équipement terminal de l’utilisateur final ou les stocker.
 La personne concernée (ou utilisateur final) : ce peut être des personnes physiques comme des personnes morales, à la
différence du RGPD qui ne s’applique qu’aux seules personnes physiques.

II – Le contenu de la proposition
L’art 5 pose le principe : les données de communications électroniques sont confidentielles, donc toute interférence avec de telles
données (ex : l’écoute, l’enregistrement, le stockage, la surveillance…) par des personnes autres que l’utilisateur final est interdite.
Les exceptions apparaissent à l’art 6, et diffèrent selon les données en cause – entre celles relatives au contenu et les métadonnées.
De manière générale, les fournisseurs de réseaux et de services de communication électronique peuvent traiter les données de
communication dans deux cas : si cela est nécessaire pour assurer la communication pendant la durée nécessaire à cette fin et si
cela est nécessaire pour maintenir/rétablir la sécurité des réseaux et services ou détecter les défaillances techniques et/ou erreurs
dans la transmission des communications électroniques pendant la durée nécessaire à cette fin.
En ce qui concerne les métadonnées, l’art 6-2 autorise leur traitement lorsque : cela est nécessaire pour satisfaire aux prescriptions
obligatoires en matière de qualité de service ; cela est nécessaire pour établir les factures, calculer les paiements pour
interconnexion, détecter/faire cesser les fraudes à l’usage et à l’abonnement en matière de communication électronique ;
l’utilisateur final concerné a donné son consentement au traitement pour un ou plusieurs objectifs précis dont la fourniture de
service spécifique à son endroit, à condition que le traitement d’information anonymisée ne permette pas de les atteindre.

Droit européen du numérique 9


Le traitement du contenu des communications électroniques est autorisé dans deux cas  : pour fournir un service spécifique à un
utilisateur final s’il a donné son consentement au traitement du contenu et si tous les utilisateurs finaux concernés ont donné leur
consentement au traitement du contenu pour un ou plusieurs objectifs spécifiques que le traitement d’information anonymisée
ne permet pas d’atteindre, et si le fournisseur a consulté l’autorité de contrôle.
L’art 8 pose le principe pour le cas particulier des données stockées sur le terminal de l’utilisateur final : l’utilisation des capacités
de traitement et de stockage des équipements terminaux et la collecte d’informations provenant des équipements terminaux des
utilisateurs finaux sont interdites. Cette utilisation est toutefois possible dans quatre situations :
 Si cela est nécessaire à la seule fin d’assurer une communication électronique dans un réseau de communication électronique.
 Si l’utilisateur final a donné son consentement à l’opération.
 Si cela est nécessaire pour fournir un service de la société de l’information (= tous les services auxquels on a accès par internet,
souvent contre rémunération) demandé par l’utilisateur.
 Si cela est nécessaire pour mesurer des résultats d’audience sur le web, à condition que ce mesurage soit effectué par le
fournisseur du service demandé par l’utilisateur.
L’art 10 précise les modalités de cette collecte : les logiciels mis sur le marché qui permettent d’effectuer des communications
électroniques doivent offrir la possibilité d’empêcher les tiers de stocker des informations de l’équipement terminal d’un
utilisateur final ou de traiter des informations déjà stockées dans ce terminal. En outre, au moment de son installation ce logiciel
doit informer l’utilisateur final des paramètres de confidentialité disponibles et lui imposer d’en accepter un.
L’art 12 indique les droits des utilisateurs finaux :
 Le droit d’empêcher la présentation du numéro d’appel.
 Le droit de refuser les appels entrant lorsque l’utilisateur final a empêché la présentation du numéro.
 Le droit de bloquer les appels entrant provenant de numéro précis ou de source anonyme.
 Le droit de mettre fin au renvoi automatique des appels par un tiers vers l’équipement terminal de l’utilisateur final.
 Le droit à l’information en cas de risque particulier susceptible de compromettre la sécurité des réseaux et des services de
communication. Si les mesures que peut prendre le fournisseur du service ne permettent pas d’écarter ce risque,
l’utilisateur final doit être informé de tout moyen éventuel d’y remédier.
En matière de spam, la règlementation diffère selon qu’on est en face d’une personne physique ou d’une personne morale :
 Pour les personnes physiques, c’est le principe de l’opt-in : il faut obtenir son consentement avant. Pour ne pas qu’il soit
requis, trois conditions cumulatives doivent être remplies : les coordonnées de la personne doivent avoir été acquises en
toute légalité ; le spam a pour objectif de proposer un bien/service analogue à ce pour lesquels la personne était déjà
devenue cliente en amont ; il faut proposer à la personne de s’opposer à des futurs spams.
 Pour les personnes morales, c’est le principe de l’opt-out : pas besoin du consentement, mais la personne morale dispose
d’un droit d’opposition. La Commission a également précisé que les Etats membres pouvaient prévoir que les appels vocaux
de prospection directe adressés à des utilisateurs finaux qui sont des personnes physiques ne sont autorisés que si ces
derniers n’ont pas exprimé d’objection à recevoir ces communications.

III – Les critiques formulées par les autorités de protection à l’égard de ce règlement
o Il faut redéfinir l’expression « utilisateur final » : la proposition semble indiquer que c’est celui qui paye l’abonnement, or les
autorités souhaiteraient que cette expression soit comprise comme toute personne physique utilisant un service de
communication électronique accessible au public, à des fins privées ou professionnelles.
o Le règlement doit non seulement définir clairement la confidentialité et la sécurité des communications en transit, mais il doit
également protéger la confidentialité et la sécurité des équipements des utilisateurs finaux et des données de communication
stockées dans le cloud.
o Concernant le consentement, il faut bien indiquer que c’est la personne qui utilise le service qui doit le donner. De plus il doit
être demandé à toutes les parties intervenant dans une communication et pas seulement l’expéditeur originel.
o Il faut assurer la protection des personnes qui n’interviennent pas dans la communication, mais dont les données sont incluses
dans celle-ci.
o Il faut interdire de façon totale et explicite les tracking walls – c’est l’idée que l’internaute puisse continuer sa navigation même
s’il n’accepte pas le dépôt de cookies par des sites tiers partenaires.
o Il faut interdire explicitement la pratique consistant à exclure les utilisateurs qui disposent d’application permettant de bloquer
les publicités, et de modules d’extension installés pour protéger leurs informations et leurs équipements terminaux.
o Il faudrait imposer l’obligation pour les fournisseurs de matériel et de logiciel de mettre en œuvre des paramètres par défaut
qui protègent les dispositifs des utilisateurs finaux contre tout accès non-autorisé à des informations ou stockage
d’informations dans ces dispositifs.

Droit européen du numérique 10


Partie 2 : La cybersécurité et la lutte contre la cybercriminalité

Sécurité = situation dans laquelle qqn est soumis à peu ou pas de risque – cybersécurité dans le cadre de ressources informatiques,
que l’on peut définir comme toutes les mesures prises pour se défendre face aux cyberattaques.
Cyberattaque = attaque malveillante visant les systèmes informatiques cybercriminalité, atteinte à l’image, espionnage, sabotage.
Cybercriminalité = transposition de la criminalité classique au monde informatique – elle vise à utiliser des moyens informatiques
pour de commettre des infractions, notamment dans le but de s’enrichir. Plusieurs exemples :
 Le phishing ou hameçonnage/filoutage : il s’agit de récupérer des données par le biais d’une usurpation d’identité – se faire
passer pour une grande société ou un organisme financier familiers (source de confiance), puis envoyer des mèls alarmistes
pour obtenir des données personnelles, souvent à caractère financier afin de détourner des fonds.
 Le ransomware ou rançongiciel : il s’agit d’utiliser un cryptolocker, un logiciel chiffrant le disque dur pour rendre les données
inaccessibles, puis de demander une rançon en échange d’une clé permettant de les récupérer.
Atteinte à l’image = déstabilisation d’une cible par l’utilisation de moyens informatiques pour lui porter atteinte – ex : défiguration.
Espionnage = acquisition frauduleuse d’informations censées être confidentielles.
Sabotage = organisation d’une panne au sein d’une organisation ciblée en frappant son système informatique.
Système d’information = ensemble des ressources logicielles, matérielles ou humaines qui sont utilisées pour l’informatique. Plus
on multiplie le nombre d’appareils, de logiciels et de personnes ayant accès à ces informations, plus on augmente la surface
d’attaque cad le point d’entrée pour une cyberattaque – avant un seul ordinateur central ; aujourd’hui postes/moyens individuels.

I – La sécurité des réseaux et des données


A – Les textes qui ne visent pas seulement la cybersécurité
Les textes relatifs à la protection des données personnelles - art 34 L78 et art 32 RGPD : la loi prévoit une obligation de sécurité du
traitement de ces données assortie à une sanction en cas de mauvaise sécurisation, précisée dans le Code pénal. Cette sanction se
voit augmenter avec le règlement européen (cf. p.3).
A cet égard la CNIL a fait ce mois-ci une recommandation dans laquelle elle pose 17 thèmes de protection de ces données.
Egalement en matière de données médicales, l’art L1110-4 CSP pose un principe de secret médical (= communication aux seules
personnes participant à la prise en charge du patient, et informations strictement nécessaires aux soins) et prévoit une sanction.
Concernant plus largement le secret professionnel, l’art 226-13 CP précise que la révélation d’une information à caractère secret
par une personne qui en est dépositaire par profession ou en raison d’une mission temporaire, est punie d’ 1an de prison + 15000€.
Ce Code protège aussi le secret des correspondances (art 220-15) et les intérêts fondamentaux de la nation (art 410-1).
Le CPI à son art L621-1 protège aussi les informations dans le domaine cyber avec le secret d’affaire. A ce sujet, la directive du 8 juin
2016 été beaucoup contestée par les journalistes qui y voyaient une entrave à leur travail – enquêtes dans les entreprises. Elle vise à
harmoniser les règles en matière entre les Etats membres et au sein de ceux-ci, et doit être transposée avant le 9 juin 2018.
Enfin dans le secteur bancaire, il y un certain nombre de dispositions en matière de garantie des systèmes d’information – ex : la loi
de 2002 sur la traçabilité des données bancaires avec les Etats-Unis ; la recommandation des accords de Bâle II qui oblige les acteurs
à surveiller les risques informatiques…

B – Le corpus juridique véritablement consacré à la cybersécurité


En France, l’agence qui chapeaute la cybersécurité est l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Créée
par un décret du 7 juillet 2009, elle est l’héritière de plusieurs agences et services gouvernementaux. C’est un service à compétence
nationale lié au Secrétariat général de la Défense et de la Sécurité nationale, directement rattaché au Premier ministre.
Composée à moitié de militaires moitié de civils, sa mission principale est d’apporter son expertise aux administrations et aux
entreprises en matière de cybersécurité. Elle a vu ses compétences augmenter au fil des ans – ex : la LPM de 2013 lui donne le rôle
de chapeauter les Opérateurs d’importance vitale (OIV). Elle cherche à élargir son public puisqu’elle a mis en place un MOOC.
L’ANSSI édicte des référentiels qui la plupart du temps ne sont pas obligatoires – ex : codes de bonne pratique, de bonne conduite…
Elle sert à harmoniser la cybersécurité des administrations aux travers du référentiel général de sécurité (RGS) – deux aspects :
 L’homologation de sécurité : il s’agit d’obliger les administrations/entreprises à prendre leurs responsabilités en la matière.
L’homologation consiste en la décision d’une autorité administrative qui atteste avoir évalué les risques qui pesaient sur un
système d’information donné – ex : un site, un serveur, un logiciel… Pour ce faire, l’établissement doit effectuer un audit de
sécurité = un état des lieux de son système d’information pour identifier les risques résiduels et mettre en œuvre des mesures
correctrices d’ordre technique ou de fonctionnement afin d’en améliorer la sécurité.  Révision tous les deux ans.
 L’obligation de recourir à des prestataires qualifiés pour les administrations : elles doivent faire appel à des entités qui
proposent des services d’évaluation ou d’accompagnement à la conformité en matière de cybersécurité. Leur qualification
implique le respect d’un référentiel d’obligations très contraignant – 153 exigences.
L’ANSSI n’est pas l’agence en matière de cyberattaque : la lutte informatique offensive (LIO) n’est pas de son ressort – d’ailleurs elle
était présumée illégale en France jusqu’en 2008. Son pendant européen est l’ENISA dont la mission est de sécuriser la société de
l’info au niveau européen. Le 13 septembre a été annoncé qu’elle aurait plus de pouvoirs, notamment un pouvoir de certification.

Droit européen du numérique 11


1. Les textes en droit interne
Outre celle de 1978, la loi Godfrain - 5 janvier 1988 réprime la fraude informatique. Elle a été renforcée par la loi pour la confiance
dans l’économie numérique (LCEN) - 21 juin 2004 puis modifiée par la loi de programmation militaire (LPM) – 18 décembre 2013.
Ces dispositions sont codifiées dans les arts 323 et suivants du Code pénal.
La fraude informatique suppose un STAD (système de traitement automatisé des données) – ex : serveur, site internet, base de
données… Plusieurs incriminations ont été posées par la loi Godfrain, avec deux grandes catégories :
 Les atteintes au STAD (art 323-1 CP) : c’est le fait d’accéder ou de se maintenir frauduleusement dans tout ou une partie d’un
STAD. La suppression/modification des données ou l’altération du fonctionnement constituent des circonstances aggravantes.
 Les atteintes aux données (art 323-3 CP) : c’est le fait d’introduire frauduleusement des données dans un STAD ; d’extraire, de
détenir, de reproduire, de transmettre de supprimer ou de modifier frauduleusement les données qu’il contient.
Pendant longtemps la loi Godfrain n’a pas traité l’exfiltration ou la reproduction de données.
 Arrêt Bluetouff - 20 mai 2015 : c’est une preuve de plus de l’application de la loi Godfrain, et il fait usage d’une notion cavalière
de vol de données. La Cour décide que l’accès à l’intranet n’est pas frauduleux car il n’était pas protégé, en revanche le maintien et
le téléchargement des documents si – elle a assimilé la copie de données à du vol. Cette qualification n’a été qu’éphémère, parce
qu’à partir de cet arrêt le législateur a ajouté l’extraction et la reproduction des données aux infractions de l’art 323-3 CP.
La LPM pose les bases en matière de sécurité des secteurs les plus sensibles, mais elle n’est pas autoportante : elle a donné lieu à
deux décrets en 2015, puis a plusieurs arrêtés sectoriels entre 2016 et 2017 concernant les OIV.
OIV = opérateurs de la vie économique française, qui doivent apporter une protection particulière à leurs systèmes d’information
parce que toute atteinte à ceux-ci pourrait nuire aux intérêts fondamentaux de la nation (potentiel économique ou potentiel de
guerre ou sécurité et capacité de survie). Ce peut être un opérateur public ou privé – indispensable à la bonne marche de la nation.
Le premier décret LPM de mars 2015 a précisé son champ d’application indiquant 12 secteurs d’activité d’importance vitale – ex :
activité publique, protection du citoyen, vie économique et sociale de la nation… dans lesquels l’Etat détient une liste de 200 OIV.
Le second est venu poser les règles de sécurité essentielles pour ces OIV – 20 règles générales : édicter et appliquer une politique de
sécurité des systèmes d’information ; effectuer des homologations systématiques de sécurité ; tenir à jour une cartographie de
l’ensemble des ressources et la communiquer à l’ANSSI ; notifier et communiquer à l’autorité les failles du système… L’ANSSI peut à
tout moment demander des preuves de la bonne sécurité aux OIV, parce qu’on est dans une logique d’accountability.
La LPM porte également sur l’augmentation des pouvoirs de l’ANSSI, et elle prévoit le régime de qualification des produits et des
prestataires. Pour le moment le seul référentiel que l’on a est le PASSI, mais d’autres sont en cours de rédaction (PDIS, PRIS…) –
l’ANSSI en tient une liste avec une distinction entre les prestataires de détection de l’incident de sécurité et le prestataire de
réponse audit incident. Les OIV ont pour obligation de traiter avec des prestataires qualifiés.
2. Les textes en droit de l’UE
La directive du 12 août 2013 relative aux attaques contre les systèmes d’information : elle pose a minima des principes que tous les
Etats membres doivent mettre en œuvre pour contre ces attaques – ex art 3 : sanction en cas d’accès illégal à un tel système.
La directive NIS du 6 juillet 2016 relative à la sécurité des réseaux et de l’information : elle pose les fondations pour les Opérateurs
de service essentiels (OSE) – leurs obligations particulières. Elle annonce notamment la création d’une qualification au niveau
européen. Bien qu’il s’inspire du régime français des OIV, il présente certaines différences. D’ailleurs elle a une interprétation bien
plus large puisque les OSE compteraient 1000 services en France au lieu des 200 actuels.
Elle doit être transposée d’ici le 9 mai 2018, et chaque Etat devra avoir posé les premières règles des OSE avant le 9 novembre.

II – La lutte contre la cybercriminalité


L’ANSSI a ouvert une plateforme de mise en relation entre les particuliers et les administrations compétentes en matière de
cybercriminalité, et elle a établi une liste des prestataires en la matière – cybermalveillance.gouv.fr.

A – La pluralité des services spécialisés


Il y a des organismes issus de la gendarmerie nationale :
 Le Service central de renseignements criminels (SCRS), qui comporte un département consacré à la cybercriminalité.
 L’Institut de recherches criminelle (IRSGN), qui lui aussi dispose d’un département informatique et électronique.
Au niveau local la gendarmerie s’est dotée de services dans lesquels les agents sont spécialisés en droit et en informatique – N-Tech.
D’autres organismes sont issus de la police nationale :
 La Brigade d’enquête sur les fraudes aux technologies de l’information (BEFTI) – service de la préfecture de police de Paris.
 L’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) : c’est
un acteur très important en la matière parce qu’il a des compétences opérationnelles et techniques – il a créé une plateforme
de signalement de comportements malveillants (Pharos). Il représente la France à EUROPOL et INTERPOL notamment.

B – Les infractions qui s’appliquent à internet


Le Code pénal en prévoit plusieurs, parmi lesquelles : la pornographie infantile (art 227-23) ; la corruption de mineur sur internet
(art 223-22) ; en matière de liberté de la presse – l’incitation à la haine raciale (art 23 loi de 1881 modifiée en 1990)  ; la provocation
à l’usage / le trafic de stupéfiants ou d’armement ; l’escroquerie et l’usurpation d’identité (art 226-4-1)…

Droit européen du numérique 12


C – La coopération européenne en la matière
La Convention sur la cybercriminalité a été signée le 23 novembre 2001 et chapeautée par le Conseil de l’Europe. Le texte est entré
en vigueur le 24 mars 2004 – en France une loi a autorisé l’application du texte en 2005, et a été complétée par 2 décrets en 2006.
C’est une convention assez fourre-tout, l’objectif étant de mettre en place une politique pénale harmonisée en cybersécurité – ex :
pédopornographie, fraude informatique, propriété intellectuelle, procédure de conservation/production des données, sanctions…
Elle pose également des principes généraux de coopération entre les Etats membres - ex : réciprocité d’incrimination, entraide…

D – Préparation et réaction juridiques à une cyberattaque


1. La prévision
D’abord, les OIV sont obligés d’adopter et d’appliquer une politique de sécurité des systèmes d’information (PSSI). Il est aussi
largement conseillé aux entreprises de s’en doter – toujours moins coûteux que les répercussions en cas d’attaque. Elle décrit les
objectifs généraux et les mesures de sécurité informatique, et s’adresse aux managers et aux porteurs de projets (= sous-traitants).
Ensuite, la charte d’informatique vise le respect des obligations légales et la responsabilisation des utilisateurs dans leur utilisation
quotidienne d’un système d’information. Elle s’adresse à l’ensemble des utilisateurs - salariés et sous-traitants. Très souvent elle est
annexée au règlement intérieur, et le fait de ne pas la respecter peut entraîner des sanctions disciplinaires.
2. La réaction
Lorsqu’il y a une fuite de données, il faut suivre plusieurs étapes essentielles (cf. doc préconisations police nationale) notamment :
 Définir la nature de l’incident pour déterminer s’il y a lieu de le porter à la connaissance des autorités judiciaires – il faut
vérifier qu’il n’est pas consécutif à une défaillance matérielle ou une opération de maintenance liée à la PSSI.
 Déterminer les démarches techniques de constatation : il faut collecter les preuves de manière à pouvoir les produire devant le
juge – on peut faire appel à un huissier (norme Afnor) ou à un expert.

E – La lutte contre le cyber-terrorisme


Chiffrement = technique de protection de l’information par le secret via des moyens cryptographiques de manière à rendre l’info
inintelligible. On peut l’utiliser pour trois raisons : pour rendre des données confidentielles, illisibles pour des tiers non-autorisés ;
s’assurer de l’authenticité de l’auteur du message/document; s’assurer de l’intégrité de l’information, qu’elle n’a pas été modifiée.
En France, un décret-loi de 1939 dispose que l’utilisation d’un tel mécanisme est condamnable – c’est une arme de guerre. On a eu
un assouplissement avec la loi du 29 décembre 1990 qui rend la cryptologie accessible aux personnes privées ; la loi du 26 juillet
1996 qui permet le chiffrement sous conditions (la clé graphique ne doit pas dépasser les 40bits) ; un décret de 1999 qui vient
pousser cette limite à 128bits. Cet assouplissement a été parachevé par la LCEN pour laisser libre-cours au commerce électronique.
S’il y a une utilisation complète, il y a tout de même un régime qui encadre l’exploitation des moyens crypto – de la déclaration à
l’autorisation. Ce sont des mécanismes à double usage : civils ou militaires. Egalement, plusieurs incriminations ont été posées par le
législateur pour éviter les abus : le refus de remise de clé de chiffrement ; circonstances aggravantes en cas de crime ou délit.
 L’arsenal législatif français en matière de lutte contre le terrorisme :
Le titre 2 du livre IV CP Du terrorisme fixe les infractions en la matière – art 421 et suivants. La première loi en la matière est la loi de
1986 relative au terrorisme et aux atteintes à la sécurité de l’Etat.
La loi du 10 juillet 1991 relative au secret des correspondances règlemente les écoutes judiciaires et administratives  : elle pose le
principe selon lequel il ne peut être porté atteinte au secret de la communication des personnes que pour protéger l’intérêt public –
cas de nécessité publique, et autorisé par une autorité publique. Elle sera modifiée par la loi sur le renseignement du 16 nov. 2015.
Ensuite la loi d’orientation et de programmation pour la sécurité intérieure (LOPSI) du 29 août 2002, et la loi du 23 juillet 2006
relative à la lutte contre le terrorisme impose une conservation des données de connexion pendant un an. Au niveau européen la
directive 2006/24/CE posait une obligation générale de rétention des données de connexion. Dans son arrêt Digital Rights Ireland –
8 avril 2014 la CJUE a invalidé cette directive au motif de son incompatibilité avec la CEDH (protection de la vie privée).
La loi d’orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI II) du 14 mars 2011 pose un régime
de captation des données informatiques. Egalement, la loi du 3 juin 2016 renforce la lutte contre le crime organisé, le terrorisme et
leur financement en améliorant l’efficacité et les garanties de la procédure pénale – elle donne aux juges et au procureur de
nouveaux moyens – ex : perquisitions de nuit, utilisation de mouchard dans un fournisseur d’accès internet…
Actuellement, un projet de loi est en cours de discussion au parlement – il a été annoncé comme mettant fin à l’état d’urgence, mais
ses opposants y voient plutôt la pérennisation de certaines caractéristiques de l’état d’urgence.
On peut enfin parler du délit de consultation de sites à caractère terroriste, largement inspiré du délit de consultation de sites à
caractère pédopornographique. A l’occasion d’une QPC, le Conseil constitutionnel a déclaré le 10 février 2017 l’ inconstitutionnalité
immédiate de ce texte : d’une part parce qu’il existait d’autres lois punissant l’apologie du terrorisme, et d’autre part parce qu’il
était porté atteinte à la liberté d’expression et de communication. Cf. plaidoirie de François Sureau.
Le 28 février 2017, la loi française a réintégré cette incrimination dans le Code pénal justifié par « l’adhésion à l’idéologie » et « sans
motif légitime ». Mais la Cour de cassation a transmis une nouvelle QPC le 4 octobre dernier concernant la validation de cet article.

Droit européen du numérique 13


Partie 3 : Le commerce électronique ou e-commerce

Le commerce électronique est aujourd’hui un enjeu majeur pour les sociétés parce que c’est une source de revenus importante. De
ce fait, il est devenu nécessaire pour les législateurs européen et français d’encadrer cette activité, avec notamment :
 La loi pour la confiance en l’économie numérique (LCEN) – 21 juin 2004 transpose la directive commerce électronique du 8
juin 2000 et la directive vie privée et communications électroniques du 12 juillet 2002.
 La loi du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature
électronique.
 Le règlement européen elDas du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les
transactions électroniques au sein du marché intérieur.
La Commission européenne a décidé de lancer le marché unique numérique en mai 2015, et parmi ses champ d’investigation il y a
le commerce électronique : elle réfléchit à la manière de le faire croître, l’idée étant d’enlever les barrières qui existent aujourd’hui.
En décembre 2015, elle a fait deux propositions de directive qui sont toujours discussion :
 Une concernant certains aspects des contrats de fourniture de contenu numérique – musique, applications, jeux, films
téléchargés ou regardés ligne, services de stockage en cloud, réseaux sociaux…
Le but est d’harmoniser les règles relatives à ce type de contrat en fixant les conditions de conformité du contenu numérique, les
modes de dédommagement des consommateurs en cas de défaut de conformité au contrat, les modalités de
résiliation/modification du contrat… Elle ne s’intéresse qu’aux relations entre professionnels et consommateurs.
 L’autre concernant certains aspects des contrats de vente en ligne et de toute autre vente à distance de biens.
Ce texte a pour ambition de fixer et harmoniser certaines exigences concernant ce type de contrat, en particulier les règles relatives
à la conformité des biens, les modes de dédommagement en cas de non-conformité et les modalités d’exercice des actions
correspondantes. Elle exclut de son champ d’application les contrats portant sur les prestations de service.
Le 25 mai 2016, elle a produit de nombreux textes sur des éléments assez variés :
ð Trois propositions de règlement : un visant à contrer le blocage géographique et d’autres formes de discrimination fondées
sur la nationalité, le lieu de résidence ou d’établissement des clients dans le marché intérieur ; un relatif aux services de
livraison frontalière de colis ; un portant sur la coopération entre les autorités nationales chargées de veiller à l’application
de la législation en matière de protection des consommateurs.
ð Deux communications : une visant à établir des orientations sur l’application de la directive relative aux pratiques
commerciales déloyales dans l’environnement en ligne ; l’autre portant sur les opportunités et défis des plateformes en
Europe – moteurs de recherche, réseaux sociaux, sites de e-commerce, comparateurs de prix, de l’économie collaborative…
En juin 2016 une autre communication a été faite, portant sur l’économie collaborative : pour autant qu’elle soit encouragée et
développée de manière responsable, cette économie est en mesure de contribuer d’une manière importante à la croissance et à
l’emploi au sein de l’UE – elle fait intervenir le prestataire de service, son utilisateur et les plateformes d’intermédiation.
La loi pour une république numérique (LRN) – 7 octobre 2016 pose une définition : Opérateur de plateforme (LRN) = toute
personne physique ou morale proposant à titre professionnel, de manière rémunérée ou non, un service de communication au
public en ligne reposant sur deux éléments ; soit le classement ou le référencement au moyen d’algorithmes informatiques de
contenu, de biens ou de services proposés ou mis en ligne, en vue de la vente d’un bien, de la fourniture d’un service ou de
l’échange/partage d’un contenu, d’un bien ou d’un service.
Sont également concernés le code de la consommation, le code civil et le code des postes et des communications électroniques.

___

Cette activité est visée par la directive du 8 juin 2000 relative à des aspects juridiques des services de la société de l’information,
notamment du commerce électronique dans le marché intérieur. Elle ne donne pas de définition, mais la LCEN à son art 14 en
donne une : c’est l’activité économique par laquelle une personne propose/assure à distance et par voie électronique la fourniture
de biens ou de services – fournir des informations en ligne, des communications commerciales et des outils de recherche, d’accès et
de récupération des données, d’accès à un réseau de communication ou d’hébergement d’informations y compris lorsqu’ils ne sont
pas rémunérés par ceux qui les reçoivent.
Dès lors on peut retenir quatre conditions – trois matérielles et une territoriale :
 Une relation à distance : l’activité se déroule sans la présence physique simultanée des parties, par le recours exclusif à une
ou plusieurs techniques de communication à distance jusqu’à la conclusion du contrat.
 Le contrat doit se faire par le biais d’une communication électronique – internet, télévision, application…
 L’objet du contrat : c’est un contrat de fourniture au sens très large, puisque les activités pouvant faire l’objet de ce
commerce sont diverses et variées.
 Pour que la LCEN s’applique il faut que la personne qui exerce l’activité de commerce électronique soit établie sur le territoire
français. On considère que c’est le cas lorsqu’elle y est installée de manière stable et durable pour exercer effectivement son
activité, et ce quel que soit le lieu d’implantation du siège social.

Droit européen du numérique 14


CHAPITRE 1 : La formation du contrat

Section 1 : les règles applicables avant tout contrat

I – Les règles en matière de publicité


Il faut que l’on puisse clairement identifier la publicité comme telle, et il faut rendre clairement identifiable la personne physique ou
morale pour le compte de laquelle la publicité a été réalisée. La loi Hamon du 17 mars 2014 a étendu cette obligation aux personnes
dont l’activité consiste en de la publicité comparative – « il faut fournir une information loyale, claire et transparente ».
Le Code de la consommation encadre la publicité comparative en édictant que toute publicité qui met en comparaison des biens ou
des services en identifiant implicitement ou explicitement n’est licite que :
 Si elle n’est pas trompeuse ou de nature à induire en erreur ;
 Si elle porte sur des biens ou des services répondant aux mêmes besoins ou ayant le même objectif ;
 Si elle compare objectivement une ou plusieurs caractéristiques essentielles pertinentes, vérifiables et représentatives ;
 Si elle n’engendre pas une confusion dans l’esprit de ceux qui regardent la publicité.
A défaut de respecter ces règles, le contrevenant s’expose à être condamné pour pratique commerciale trompeuse.

II – Les règles en matière d’information


Il faut donner un maximum d’informations à la partie qui va acheter pour qu’elle puisse contracter en toute connaissance de cause
et sans inquiétude. Ces informations vont permettre notamment d’identifier d’une part la personne qui offre le bien ou le service,
et d’autre part le produit/service offert ; elles apparaissent dans diverses sources.

A – Les dispositions de la LCEN et du Code civil


L’art 19 LCEN établit une liste avec notamment : les noms et prénoms du vendeur/prestataire ; l’adresse de son établissement ;
l’adresse électronique ; les coordonnées téléphoniques ; le numéro d’inscription au registre du commerce et des sociétés (RCS) ; le
capital social ; l’adresse du siège social ; la mention claire et non-ambiguë du prix ; l’inclusion ou non des taxes et frais de livraison…
Pratique commerciale trompeuse = acte consistant à omettre, dissimuler ou fournir de façon inintelligible, ambiguë ou entre
contretemps une information essentielle telle que le prix TTC et les frais de livraison à la charge du consommateur.
L’art 1127-1 du Code civil dispose que le prestataire doit fournir au moment de l’offre  : les différentes étapes à suivre, les moyens
techniques permettant d’identifier les erreurs commises et de les corriger ; les langues proposées ; les modalités d’archivage du
contrat ; les moyens de consulter les règles professionnelles et commerciales auxquelles l’auteur de l’offre entend se soumettre.
En outre, l’ordonnance du 10 février 2016 réformant le droit des contrats a consacré une obligation générale d’information à l’art
1112-1 du Code (avant il n’y avait que des obligations spéciales, et c’est la jurisprudence qui avait dégagé une obligation générale).

B – Les dispositions du Code de la consommation


1. Les dispositions qui s’appliquent à tous les contrats entre professionnel et consommateur
Les arts L111 et suivants édictent qu’avant que le consommateur ne soit lié par un contrat de vente/fourniture de bien/service, le
professionnel doit lui communiquer de manière lisible et compréhensible :
 Les caractéristiques essentielles du bien/service ;
 Le prix du bien/service ;
 La date ou le délai auquel le professionnel s’engage à livrer/exécuter le bien/service ;
 Les informations relatives à son identité, à ses coordonnées postales, téléphoniques et électroniques, et à ses activités pour
autant qu’elles ne ressortent pas du contexte ;
 Les informations relatives aux garanties légales et autres conditions contractuelles – modalités et mises œuvre ;
 Les informations portant sur les fonctionnalités du contenu numérique.
2. Les dispositions supplémentaires pour les contrats conclus à distance
L’art L221-1 dispose que le professionnel doit informer le consommateur, sous forme électronique s’il le souhaite, de :
 L’existence du droit de rétractation et de ses conditions – délais, modalités d’exercice, formulaire-type.
 Le fait que le consommateur peut supporter les frais de renvoi du bien en cas de rétractation (si ce n’est pas mentionné, les
frais reposent sur le prestataire).
 Les informations relatives aux coordonnées du professionnel ; au coût de l’utilisation de la technique de communication à
distance ; à l’existence de code de bonne conduite ; aux cautions et garanties ; aux modes alternatifs de règlement des litiges.
Les lois récentes sont venues apporter des modifications, renforçant l’obligation d’information à l’égard du consommateur.
Art L111-6, consacré aux sites comparatifs de prix : toute personne dont l’activité consiste en la fourniture d’informations en ligne
permettant la comparaison des prix et des caractéristiques de biens/services proposés par des professionnels est tenue d’apporter
une information loyale, claire et transparente.

Droit européen du numérique 15


Art L111-7, consacré aux sites de type market place et aux sites d’échanges type Leboncoin : celui qui met en relation les parties est
tenu de délivrer une information loyale, claire et transparente sur trois éléments :
 Les conditions générales d’utilisation (CGU) du service d’intermédiation et les modalités de référencement, de classement et de
déréférencement des offres mises en ligne.
 L’existence d’une relation contractuelle, d’un lien capitalistique ou d’une rémunération à son profit dès lors qu’ils influencent le
classement ou le référencement du contenu des biens/services proposés mis en ligne.
 La qualité de l’annonceur et les droits et obligations des parties en matières civile et fiscale.
Art L111-7-1, consacré aux opérateurs de plateforme en ligne dont l’activité dépasse un seuil de nombre de connexions (pas encore
déterminé) : ils doivent élaborer et diffuser des bonnes pratiques visant à renforcer l’obligation d’information.
Art L111-7-2, consacré aux sites d’avis en ligne : ces plateformes doivent délivrer aux utilisateurs une information loyale, claire et
transparente sur les modalités de publication et de traitement des avis mis en ligne. Elles doivent préciser si ces avis font ou non
l’objet d’un contrôle, et si tel est le cas quelles sont les caractéristiques principales du contrôle mis en œuvre. Enfin elles doivent
afficher la date de l’avis et ses éventuelles mises à jour, et mettre en place une fonctionnalité gratuite permettant au responsable
des produits/services faisant l’objet d’un avis de lui signaler (avec motivation) un doute sur l’authenticité de cet avis.

CHAPITRE 2 : L’exécution du contrat

Section 1 : les obligations des parties

I – Pour l’acheteur
L’acheteur doit seulement payer son bien et le réceptionner.

II – Pour le vendeur
Le vendeur est soumis à une obligation d’information renforcée : il a l’obligation de transmettre les CGV et les CGU – art L221-13 du
Code de la consommation : « le professionnel fournit au consommateur, sur support durable, dans un délai raisonnable, après la
conclusion du contrat ou au plus tard au moment de la livraison du bien ou avant l’exécution du service, la confirmation du contrat
comprenant toutes les informations prévues à l’art L221-5, et ce contrat doit être accompagné du formulaire-type de rétractation ».
Il doit également s’abstenir d’insérer des clauses abusives dans les contrats – le décret du 20 mars 2009 en distingue deux types :
les clauses noires (= abusives donc interdites – art R212-1) et les clauses grises (= présumées abusives – art R212-2).
A ce sujet la Commission des clauses abusives a émis plusieurs recommandations : 21 pour les contrats de fourniture de voyage
proposés sur internet ; 46 pour les contrats proposés par les fournisseurs de réseaux sociaux ; 28 pour les contrats proposés par les
fournisseurs d’accès à internet… Toutefois elles sont dépourvues de caractère obligatoire.
Il a une obligation de délivrance de la chose à l’adresse et dans les délais convenus. A défaut d’exécution le consommateur peut
demander la résolution du contrat, donc obtenir le remboursement de la somme versée – il dispose alors de 14j pour s’exécuter au-
delà desquels des intérêts seront dus au consommateur.
Enfin il est soumis à une obligation de garanties – plusieurs types, certaines sont obligatoires d’autres facultatives :
 L’obligation de conformité : le professionnel est tenu de livrer un bien conforme au contrat et répond des défauts de
conformité. Avant il y avait une présomption de non-conformité lorsque le défaut apparaissait dans les 6mois. Depuis, le délai
a été prolongé afin de lutter contre l’obsolescence programmée.
Un arrêté du 18 décembre 2014 relatif aux informations contenues dans les CGV en matière de garantie légale précise et modifie la
garantie de conformité. Depuis le 18 mars 2016 le délai est passé de 6mois à 24mois. De plus le professionnel doit désormais faire
figurer dans un encadré inséré dans ses CGV la mention selon laquelle le consommateur, lorsqu’il agit en garantie légale de
conformité, dispose d’un délai de 2ans pour agir ; il peut alors choisir entre la réparation et l’échange du bien, et il est dispensé de
rapporter la preuve du défaut de conformité.
Le législateur ajoute que cet encadré doit rappeler que la garantie légale de conformité s’applique indépendamment de la garantie
commerciale éventuellement consentie, et il rappelle que le consommateur peut décider de mettre en œuvre la garantie contre les
défauts cachés de la chose vendue auquel cas il peut choisir entre la résolution de la vente ou une réduction du prix.
 La garantie des vices cachés (= lorsque le défaut est inhérent à la chose et qu’on ne pouvait pas le voir lors de l’achat.
 L’obligation d’archivage des contrats conclus en ligne avec un consommateur, et qui porte sur une somme égale ou
supérieure à 120€ - la durée d’archivage est de 10ans.
 L’éventualité d’une garantie commerciale (= extension de garantie) : il s’agit de tout engagement contractuel d’un
professionnel à l’égard du consommateur en vue du remboursement du prix d’achat, du remplacement ou de la réparation du
bien au-delà de ses obligations légales visant à garantir la conformité du bien.
Si elle existe le contrat doit préciser son contenu, les modalités de sa mise en œuvre, son prix, sa durée, son étendue territoriale
ainsi que le nom et l’adresse du garant. Le contrat doit reproduire l’art L217-15 du Code de la conso spécifique à l’écoulement de la
durée de garantie en cas de réparation s’il y a non-conformité : indépendamment de la garantie commerciale, le vendeur est tenu
de la garantie légale de conformité et de celle relative aux vices cachés. Au total, le consommateur doit être en mesure de
distinguer les trois types de garanties.

Droit européen du numérique 16


Section 2 : la responsabilité des parties

I – Le contrat de vente
Le vendeur est responsable de plein droit à l’égard de l’acheteur de la bonne exécution des obligations résultant du contrat, que
ces obligations soient exécutées par lui-même ou par d’autres prestataires de service (= sous-traitement) – si le sous-traitant
n’exécute pas correctement ses obligations, c’est la responsabilité du prestataire principal qui sera engagée mais celui-ci pourra
ensuite se retourner contre son sous-traitant. Aussi s’il inclut dans sa CGV qu’en cas de mauvaise exécution le consommateur doit se
retourner directement contre le sous-traitant, il s’agit d’une clause abusive, illicite.
Le vendeur reste tenu jusqu’à la livraison du bien. En ce sens, la loi Hamon interdit au professionnel de faire peser le risque du
transport sur le consommateur : il ne peut s’exonérer de sa responsabilité comme apportant la preuve que l’inexécution ou la
mauvaise exécution du contrat imputable soit au consommateur, soit au fait imprévisible et insurmontable d’un tiers au contrat, soit
à un cas de force majeure.

II – Le cas des intermédiaires techniques


A – Les fournisseurs d’accès à internet (FAI)
FAI = personne physique/morale dont l’activité est d’offrir un accès à des services de communication au public en ligne (art 6 LCEN).
Il n’intervient jamais sur le contenu et n’offre qu’un accès technique, donc il bénéficie d’un régime d’irresponsabilité (art 9 LCEN) :
même si le contenu n’est pas légal, sa responsabilité ne peut être engagée parce qu’il n’a pas une obligation générale de surveiller
les informations transmises ou stockées, ni une obligation de rechercher des faits ou circonstances révélant des actions illicites.
ð Arrêt Sabam c/ Scarlett - 24 novembre 2011 : la CJUE insiste sur l’interdiction des filtrages préventifs et illimités dans le temps.
Ces FAI ont certaines obligations, parmi lesquelles l’obligation de conservation des données de connexion de leurs clients – art 6-2
LCEN et art 34-1-3 Code des postes et communications électroniques. Ces données permettent une transparence des activités des
internautes et prennent de plus en plus d’importance. La LPM autorise les agents habilités à accéder aux données de connexion
pour certaines finalités sans recourir au juge, et plus récemment la loi renseignement du 24 juillet 2015 a autorisé un recueil en
temps réel des données de connexion.

B – Les fournisseurs d’hébergement (FH)


FH = personne physique ou morale qui assure, même à titre gratuit, pour mise à disposition du public par des services de
communication au public en ligne, le stockage de signaux, d’écrits, de sons ou de messages de toute nature fournis par des
destinataires de ces services (art 6-1-2 LCEN) – il s’agit donc d’une activité de stockage et d’accessibilité des données.
De nouveau il n’a aucune maîtrise sur le contenu ; c’est une activité purement technique donc il y a un régime dérogatoire de
responsabilité favorable : il n’est en principe pas responsable des contenus postés sur la plateforme de stockage.
ð Arrêt Google France et Google Ink c/ Louis Vuitton malletier - 23 mars 2010 : la CJUE précise que l’hébergeur n’est pas
responsable pour le stockage des données d’un prestataire, sauf s’il a eu connaissance du caractère illicite des données ou
d’activité du destinataire et qu’il n’a pas promptement rendu inaccessibles ou retiré lesdites données.
Ainsi il s’agit d’un régime d’irresponsabilité sous condition : il a l’obligation de retirer promptement le contenu manifestement
illicite (reste à apprécier les notions de promptitude et de manifestation). Il a également une obligation de conservation des
données de connexion de ses clients (art 6-2 LCEN).

C – Les prestataires de référencement (= moteurs de recherche)


Moteur de recherche = logiciel ou programme de navigation visitant les pages web et leurs liens de manière régulière dans le but
d’indexer leur contenu grâce à des mots-clés présents sur le site.
En principe le classement se fait par pertinence – c’est un programme d’indexation automatique donc en principe le moteur de
recherche n’a aucune prise sur le contenu ; il bénéficie d’un régime d’irresponsabilité sous conditions : un moteur de recherche a
l’obligation de supprimer un site d’une indexation lorsqu’il présente un contenu illicite qui est porté à sa connaissance ; s’il ne fait
rien sa responsabilité peut être engagée. Il en est de même lorsqu’il ne procède pas au déréférencement légitime d’un lien à la suite
d’une demande de la personne concernée.
Mais les moteurs de recherche développent des services pour lesquels leur responsabilité peut varier – Google AdWords  celui qui
achète le mot-clé litigieux est contrefacteur donc sa responsabilité peut être engagée, mais Google n’a qu’un rôle passif et
technique ; Google Suggest  Google peut être responsable parce qu’il a les moyens de prévenir ou de faire cesser l’atteinte.

D – Les plateformes marchandes - eBay


Ces plateformes ont une activité de courtage en ce qu’elles jouent un rôle d’intermédiaire entre les vendeurs et les acheteurs. Aussi
elles n’ont pas de prise sur le contenu, donc elles ne supportent aucune responsabilité concernant la qualité de la marchandise
vendue ou le respect des marques. A cet égard les juges ont vérifié au cas par cas quel était le rôle d’eBay pour s’assurer que son
activité se limitait à une activité passive, technique de mise en relation – deux cas dans lesquels la responsabilité va être engagée :
 Si la plateforme ne retire pas promptement un contenu qu’elle sait être illicite.
 Lorsqu’elle joue un rôle plus large que celui de mise en relation – arrêt eBay c/ l’Oréal - 12 juillet 2011 : la CJUE retient la
responsabilité d’eBay indiquant que lorsqu’il optimise la présentation ou promeut des offres, sa position n’est pas neutre et il
joue un rôle actif de nature à engager sa responsabilité.
Droit européen du numérique 17
Partie 4 : Droit du travail, économie collaborative et open data

Dès 2014 le Conseil d’Etat s’est intéressé au numérique, et cette année il s’y est de nouveau intéressé en particulier concernant
l’économie collaborative et les plateformes d’ubérisation. C’est un sujet qui préoccupe également le gouvernement, ainsi que l’UE
puisque la Commission a rendu deux communications en 2016 et 2017 (cf. p.14) sur la régulation de ces plateformes – portant sur
les aspects économiques et sur les aspects relatifs à la liberté d’expression.
Les Etats-Unis ont un gros problème avec les fake news, et notamment l’influence des russes dans les élections présidentielles – la
question des publicités sur les réseaux sociaux. Si en Europe ces hébergeurs bénéficient d’une irresponsabilité conditionnelle quant
au contenu (directive commerce électronique du 8 juin 2000), aux EU en revanche il n’y a pas de limite du fait notamment du 1 er
amendement et il n’y a pas d’obligation de retrait mais simplement une « clause de bon samaritain ». Il y est donc difficile de réguler
les fake news faute de fondement pour exiger un retrait.

Chapitre 1 : Le droit du travail

Les technologies sont utilisées depuis longtemps au travail. La technologie mobile peut suivre le salarié partout jusqu’à son domicile,
et elle permet de nouvelles formes de travail – télétravail et travail mobile. Du point de vue du droit, on a des débats et des enjeux
différents ancrés dans la relation de travail.
En effet, la mobilité numérique crée une rupture spatio-temporelle dans cette relation : temps et lieu de travail ne veulent plus dire
grand-chose. Par exemple, le fait de répondre à ses mails le dimanche soir soulève plusieurs questions – la pression, la sécurité, la
surveillance… et surtout les heures sup : le droit à la déconnexion consacré par la loi El Khomri apparaît alors comme un moyen de
protéger l’employeur, en empêchant que le salarié demande une requalification de ces heures en heures supplémentaires.
Egalement le BYOD (bring your own device) pose des problèmes en termes de sécurité et de propriété intellectuelle : en principe
l’employeur est censé être propriétaire de l’outil de travail du salarié, mais aujourd’hui c’est l’inverse qui se produit de plus en plus.
D’une part c’est moins cher pour l’employeur, et d’autre par le salarié utilise un seul outil pour sa vie professionnelle et sa vie
privée, mais cela conduit à un mélange des genres.
Ainsi, depuis une douzaine d’années on prend en compte les TIC dans les relations individuelles et collectives au travail.

I – Numérique et relations individuelles de travail


Télétravail (art L1222-9 CT) = toute forme d’organisation du travail dans laquelle un travail qui aurait également pu être exécuté
dans les locaux de l’employeur est effectué par un salarié hors de ces locaux de façon régulière et volontaire, en utilisant les
technologies de l’information et de la communication dans le cadre d’un contrat de travail ou d’un avenant à celui-ci.
Ce mode de travail a été consacré en France en 2012. Il ne peut pas être imposé au salarié car il est basé sur la confiance entre le
salarié et l’employeur, et suppose un accord commun. Cependant ce ne doit pas être purement consensuel : ce doit être prévu par
le contrat de travail ou par un accord collectif de branche, parce qu’il faut limiter le travail du salarié.
En effet, même s’il est chez lui le salarié reste sous la responsabilité de l’employeur ( question d’assurance) et étant donné que c’est
un lieu personnel, c’est le temps qui détermine la rupture de la vie professionnelle. Il ne faut pas que cela le conduise à travailler
12h, mais en pratique il est compliqué de calculer le temps de travail parce que c’est difficilement vérifiable. Aussi pour la
rémunération on calcule souvent un salaire journalier par forfait.
Se pose alors la question de la distinction entre la vie privée et la vie professionnelle : c’est l’hypothèse dans laquelle le travail
s’invite dans la vie privée, mais également l’inverse. Dans son arrêt Nikon – 2 octobre 2001 la chambre sociale de la CCass a reconnu
l’existence d’un droit à la vie privée au travail : on ne doit pas attendre une très grande intimité de ce lieu, mais on considère que le
salarié a le droit à un minimum de protection – ex : on ne peut pas filmer les salariés impunément - la pose de caméras suppose une
information du personnel, de la CNIL et des institutions représentatives du personnel.
La Cour a posé ce principe, mais elle n’a pas vraiment déterminé ses conditions et ses limites. Aussi des précisions ont été apportées
par la CNIL et la jurisprudence postérieure, en particulier concernant les mails et les fichiers. Elle est extrêmement circonstancielle  :
en ce qui concerne les mails, l’employeur peut avoir accès aux mails professionnels mais s’agissant des mails personnels il ne doit
pas y avoir d’abus – le caractère personnel doit être mentionné dans l’objet. Il en est de même pour les fichiers, sinon il y a une
présomption de professionnalisme. Egalement, l’utilisation des clés USB peut poser problème : les juges du 1er degré ont tendance à
appliquer la théorie de l’accessoire, mais souvent leurs décisions sont cassées par le degré supérieur.
Il est possible de prévoir des restrictions à ce droit dans la Charte informatique en fonction du secteur d’activité, mais celles-ci
doivent être justifiées et reconnues par le salarié au moment de son embauche. Enfin il faut préciser que c’est un droit relatif, donc
le salarié peut être licencié par l’employeur s’il l’exerce de manière abusive.
Enfin se pose la question de la géolocalisation des salariés : elle est possible, mais soumise à plusieurs exigences. Il faut le déclarer à
la CNIL, en informer le salarié et la justifier par une finalité précise – pour sa sécurité ou pour la mission qu’il accomplit. Il y a tout
de même des limites à ne pas dépasser : elle n’est pas possible hors temps de travail, puisque le temps marque la fin du pouvoir
hiérarchique de l’employeur ; on peut intégrer le temps de trajet à condition qu’il soit rémunéré ; ce n’est pas un mouchard donc il
ne s’agit pas de contrôler la vitesse du salarié ; la géolocalisation doit entrer dans la mission du salarié donc elle ne doit pas être
utilisée sur les représentants du personnel dans le cadre de leur mandat.
La loi El Khomri – 8 août 2016 a apporté plusieurs éléments en matière de droit à la déconnexion (art L2242 CT) – la mise en place
de dispositifs de régulation de l’utilisation des outils numériques ; l’adoption de chartes de bonnes pratiques pour leur utilisation…

Droit européen du numérique 18


Avec cette même loi, on essaye de tenir compte de la rupture qu’occasionnent certains acteurs et certaines technologies dans la
relation avec les plateformes et les personnes qui vont offrir leurs services à travers celles-ci – ex : livraison, transport… Peut-on
les considérer comme des salariés ? Non parce qu’il y a une rupture de concurrence entre les activités compte tenu de l’absence de
charges patronales et sociales – problème de protection sociale et de droit de la concurrence sur le marché.
Le but ici n’est pas d’imposer une relation de travail, mais plutôt d’imposer des obligations liées à la protection sociale du
prestataire de service. En fait on cherche à faire une relation de travail sans le dire, parce que la nature des obligations imposées
aux plateformes est assez proche de ce qu’on attend d’un employeur. On reconnaît malgré tout l’indépendance des prestataires
sauf à démontrer que la plateforme exerce un pouvoir de direction sur leur activité - lien de subordination (Cass Soc., 13 nov. 1996).

II – Numérique et relations collectives de travail


La loi sur le dialogue social – 2004 donne la possibilité aux syndicats de communiquer avec les salariés via l’intranet de l’entreprise,
à condition de le mettre en place avec l’accord de l’employeur. La difficulté dans cette mise en place, c’est que très souvent il y a un
blocage de la part de l’employeur. Mais finalement ce blocage s’est avéré nuisible : les syndicats ont trouvé d’autres moyens de
s’exprimer – via les réseaux sociaux par exemple – ce qui a pu poser des problèmes en termes de sécurité et de confidentialité.
Sur ce point, la loi El Khomri a essayé de forcer un peu plus l’accord d’entreprise en modifiant l’art L2142-6 CT : « à défaut d’accord,
les organisations syndicales peuvent mettre à disposition des publications et tracts sur un site syndical accessible à partir de
l’intranet de l’entreprise ». Il y a tout de même certaines conditions à respecter : cela ne doit pas nuire au bon fonctionnement de
l’entreprise et à la sécurité du réseau ni entraîner des conséquences préjudiciables à la bonne marche de l’entreprise,  et il faut
préserver la liberté de choix des salariés d’accepter ou de refuser un message.

Chapitre 2 : L’économie collaborative

Il y a toutes sortes d’activités dans l’économie collaborative. Il s’agit de relations triangulaires – trois parties, et il faut considérer qui
paye quoi et qui gagne quoi pour savoir si on est véritablement dans une économie solidaire, car très souvent elles sont surtout
faites au profit de la plateforme. Il faut envisager l’offre et la demande, et l’intermédiaire entre les deux qu’est la plateforme  : la
demande émane de consommateurs, et l’offre peut émaner de consommateurs comme de professionnels.
Il faut donc identifier leurs rapports pour savoir si on est dans une relation de consommation. A cet égard, la LRN a mis parmi ses
objectifs d’obliger à mieux identifier la qualité de l’offreur – professionnel ou non. S’agissant des plateformes, il faut observer son
modèle économique : en général il s’agit d’une relation de courtage, mais cela peut aller plus loin avec une certaine présentation ou
valorisation de l’offre – certaines sont mises en avant, donc il ne s’agit pas uniquement d’une activité de stockage.

I – Les activités de VTC (voiture de tourisme avec chauffeur) - Uber


Les services Uber et Uber Pop ont été lancés en février 2014 à Paris – la loi Thévenoud – 1er octobre 2014 envisageait de poursuivre
les activités du second. L’objectif était d’imposer des obligations aux chauffeurs et services d’Uber, mais ces dispositions n’ont pas
été claires et en particulier Uber a essayé de les remettre en cause : n’est autorisé que le transport de professionnel à particulier.
Ainsi, le service de transport de particulier à particulier est interdit depuis janvier 2015.
Mais les avocats d’Uber ont posé une QPC estimant que la rédaction trop floue de ce texte constituait une entrave à la liberté
d’entreprendre. Ils ont également essayé de remettre en cause le service de covoiturage de Blablacar, mais il s’agit seulement d’un
partage de frais, d’une économie collaborative sur les coûts. Le Conseil constitutionnel a rendu sa décision le 22 septembre 2015  :
l’art L3124-13 Code des transports est conforme à la Constitution. Dès lors on réprime pénalement les personnes qui se livrent à
des prestations de transport routier à titre professionnel sans certification.
La loi Thévenoud a imposé un certain nombre d’obligations aux chauffeurs et à Uber (art L3122 Code des transports) :
S’agissant des plateformes intermédiaires, ils doivent inscrire leur activité dans un registre de l’administration lorsqu’ils proposent
des prestations pour la première fois – c’est un signe de professionnalisation – via une déclaration écrite comprenant notamment
les informations relatives à son assurance de responsabilité civile professionnelle. Egalement, elles doivent s’assurer tous les ans
que les exploitants mis en relation avec des clients disposent de documents valides – le certificat d’inscription sur le registre, la carte
professionnelle et le justificatif de l’assurance de responsabilité civile professionnelle.
S’agissant des chauffeurs, ils doivent justifier de conditions d’aptitude professionnelle définies par décret avec notamment la
délivrance d’une carte professionnelle par l’autorité administrative compétente – la préfecture. De plus, cette activité est
incompatible avec l’activité de conducteur de taxi.
En cas de violation de ces obligations, des sanctions administratives sont prévues parmi lesquelles l’interdiction de continuer
l’activité, la suppression du permis de conduire, la confiscation du véhicule… Il y a également des sanctions pénales.
Une affaire a été portée devant la CJUE, la question étant de savoir comment l’activité devait être considérée au regard du droit
communautaire. L’avocat général dans son avis du 11 mai 2017 a considéré qu’il s’agissait d’une activité de transport, donc si la
CJUE suit les obligations pesant sur Uber vont se durcir jusqu’à avoir les mêmes que les taxis.

II – Les activités de location immobilière - AirBnB


La LRN est venue introduire un art 324-1-1 Ctourisme : aujourd’hui les conseils municipaux peuvent par délibération imposer une
déclaration auprès de la mairie pour s’enregistrer ; elle interdit de louer plus de 120 jours par an son logement. Elle prévoit aussi
que la taxe de séjour puisse être collectée par la plateforme, puis reversée à la marie – accord entre plateforme et municipalité.

Droit européen du numérique 19


Chapitre 3 : L’accès à la justice

L’utilisation de l’outil internet est internationale, et les lois sont nationales ou au mieux européennes. Donc les problématiques qui
peuvent se poser vont être internationales.

I – Règlement judiciaire des litiges


Entre personnes privées, on se réfère au droit international privé qui consiste à régler les litiges avec un élément d’extranéité. Les
règles en matière de juge compétent ont été élaborées par la convention de Bruxelles – 1968, l’idée étant de fixer les mêmes règles
pour tous les Etats signataires : on tient compte de la situation du défendeur, sauf si les parties ont désigné un droit dans le contrat.
En droit de l’UE ont été établies des règles communes par le règlement de Bruxelles – 2000 (modifié en 2012) – des règles
protectrices pour le consommateur pour éviter que la loi du professionnel ne s’applique. On distingue deux situations (art 16) :
ð Le consommateur est demandeur, il a une option de compétence : soit il saisit le juge du professionnel (= du lieu de son siège
social), soit il saisit son propre juge (= du lieu de son domicile).
ð Le consommateur est défendeur, dans ce cas le juge compétent est automatiquement son juge.
L’art 15 précise que cela concerne les contrats conclus avec un professionnel qui exerce son activité dans l’Etat membre sur le
territoire duquel le consommateur a son domicile, ou qui dirige ses activités vers cet Etat membre. Le juge doit alors rechercher des
facteurs importants d’appréciation via un faisceau d’indices – ex : lieu de livraison, langue…
Les juges français ont eu l’occasion de s’interroger sur leur propre compétence dans un arrêt de la cour d’appel de Paris du 12
février 2016 concernant Facebook : désigner le juge californien dans la CGU était une clause abusive, réputée non-écrite (= elle crée
un déséquilibre significatif entre les droits et obligations des parties au contrat).
Le raisonnement est analogue pour désigner la loi applicable, fixé par le règlement de Rome – 2008 : en principe est compétente la
loi de la résidence habituelle du consommateur mais il y a une loi d’autonomie, donc il est possible de choisir une autre loi. Il faut
malgré tout respecter les dispositions protectrices du consommateur, donc cela n’a pas de portée au final.
Enfin pour les petits litiges il est possible de faire une action de groupe : il n’y a pas de particularités en matière numérique, si ce
n’est que le nombre de litiges est assez important donc c’est un levier d’action intéressant en la matière. Egalement, la loi pour une
justice du 21ème siècle – 18 novembre 2016 a ouvert une action de groupe spécifique à la protection des données personnelles.

II – Règlement extrajudiciaire des litiges


L’ordonnance du 20 août 2015 porte sur le règlement extrajudiciaire des litiges de consommation, qui présente plusieurs avantages
par rapport à la saisine du juge : plus souple, plus simple, plus rapide, moins coûteux…
Elle prévoit des moyens d’obtenir justice en ligne, en proposant une plateforme pour apporter des éléments de preuve et obtenir
réparation. Ces dispositions ont été transposées dans le Code de la consommation (art L151-1 à L157-2). Cette médiation de
consommation pose un certain nombre de principes qui devraient permettre le développement de ce type de règlement de litige  :
l’information par le professionnel de l’existence ; le principe de gratuité ; le professionnel peut mettre en place son propre dispositif
de médiation ou proposer le recours à tout autre médiateur ; obligation de confidentialité…
La médiation est exclue lorsque (5) : le consommateur ne justifie pas d’avoir tenté au préalable de résoudre son litige directement
avec le professionnel par une réclamation écrite ; la demande est manifestement infondée/abusive ; le litige a été ou est en cours
d’examen par un autre médiateur ou par un tribunal ; le consommateur a dépassé le délai de 1an à compter de sa réclamation
écrite ; le litige n’entre pas dans le champ de compétence du médiateur.
En principe la médiation est fondée sur le volontariat, mais les parties peuvent la rendre obligatoire dans le contrat. En revanche, la
décision ne peut être rendue contractuellement obligatoire. Le statut du médiateur impose qu’il accomplisse sa mission avec
diligence et compétence, qu’il soit indépendant, impartial et qu’il possède des aptitudes dans le domaine de la médiation et de
bonnes connaissances juridiques.

Chapitre 4 : L’accès aux données publiques et services publics

L’accès aux services publics est proche de l’accès à la justice, avec l’idée de modernisation pour rapprocher l’administration des
administrés. L’accès aux données publiques est un autre état d’esprit voisin : avec l’open data on a un souci de transparence, de
proximité, d’accessibilité… mais aussi une logique économique en permettant la réutilisation et valorisation des informations.
Open data = mouvement international visant à rendre accessible à tous via le web les données publiques non-nominatives, ne
relevant ni de la vie privée ni de la sécurité, collectées par des organismes publics. Il sous-tend des principes de gratuité et de libre-
réutilisation des données publiques, et suppose donc des formats ouverts sous licence libre.
◊ Les enjeux politiques : instrument de l’open government, elle rejoint l’exigence de transparence et de responsabilité (plus de
confiance dans l’action publique), et est propice à la démocratie participative (plus de compréhension et de participation).
◊ Les enjeux économiques : ce mouvement traduit la prise en compte de la valeur patrimoniale de l’information – elle est
envisagée comme un facteur d’innovation (superposition d’informations), de création de nouveaux services, d’amélioration
de la vie quotidienne, de contribution à la croissance…
◊ Les enjeux sociaux : on l’idée de justice sociale, de réappropriation de l’information de ceux qui la génèrent et qui la payent –
ces données doivent appartenir à l’humanité sans restriction, et leur accessibilité favorise grandement la recherche.

Droit européen du numérique 20


Au départ il n’y avait pas d’open data. La seule législation qui permettait un peu de transparence administrative était la loi CADA –
17 juillet 1978 : elle pose le droit à toute personne d’avoir accès à l’information et à la documentation – il s’agit donc d’un droit
d’accès, mais pas tout à fait d’open d’accès puisqu’il faut une initiative de la part d’un administré ; ce n’est pas une diffusion de la
part de l’administration. De plus, il est question uniquement des documents administratifs concernant l’administré et non pas des
données larges non-identifiables dont on parle dans l’open data.
L’open data est venue de deux directives européennes : la directive PSI – 2003 concernant la réutilisation des informations du
secteur public, et la directive PSI 2 – 26 juin 2013 qui est venue modifier la précédente. Au point de vue international, une Charte du
G8 pour l’ouverture des données publiques a été signée lors du Sommet des 17 et 18 juin 2013.
Ces dernières années on constate une frénésie législative en France : la loi Valter – 28 décembre 2015 relative à la gratuité et aux
modalités de la réutilisation des informations du secteur public ; la loi Touraine – 26 janvier 2016 de modernisation du système de
santé ; la loi Lemaire (LRN) – 7 octobre 2016. Mais en réalité il y a une certaine complémentarité entre ces trois textes.
La loi Valter transpose les directives en particulier PSI 2, qui consolide les principes de gratuité et d’ouverture des standards pour
que les données soient aisément réutilisables. Elle étend également le champ d’application aux établissements culturels et aux
établissements de recherche, qui jusqu’à présent bénéficiaient d’une dérogation d’accès à ces données.
Un des principaux apports est de renforcer le principe de réutilisation des informations publiques : elle a modifié la loi CADA, et
désormais les informations figurant dans les documents administratifs peuvent être utilisés par les personnes qui le souhaitent à des
fins qui ne sont pas forcément celles de la mission de service public. Il y a donc un détachement de la mission de service public. Ne
sont pas considérées comme des informations publiques celles qui concernent les données personnelles et les informations qui sont
détenues par des tiers protégés par la propriété intellectuelle. Cela va demander un effort de tri titanesque.
Le deuxième principe renforcé est le principe de gratuité, mais par exception on va accepter des redevances selon les dépenses que
les acteurs publics font pour rendre accessibles ces données, donc lorsque les administrations sont tenues de couvrir par des
recettes propres leurs coûts – ex : INRA, laboratoires universitaires… Egalement lorsque la réutilisation suppose un coût – ex :
numérisation des fonds (musées, bibliothèques…), et lorsque les données sont déjà utilisées et commercialisées afin de ne pas
causer une distorsion de concurrence. Donc ce principe peut être tempéré dans certains cas, l’idée étant de donner accès aux
informations sans appauvrir les acteurs publics.
En outre il y a aussi des règles d’encadrement s’agissant du montant des redevances, selon certains critères objectifs, transparents,
vérifiables et non-discriminatoires, l’idée étant de ne pas leur donner un pouvoir démesuré par le biais de ces redevances. Ainsi il y
a un plafond : le montant total ne doit pas dépasser le coût de collecte/production/diffusion de la donnée, ainsi que les coûts de
conservation/acquisition des droits de propriété intellectuelle.
On peut aussi prévoir des licences d’exclusivité si la réutilisation est payante, mais il ne faut pas que cela devienne bloquant donc
tous les opérateurs ont le droit de demander une licence. A partir du moment où il y a paiement, la licence doit être délivrée de
manière automatique. En revanche si l’accès est gratuit, la licence devient facultative.
Il peut également y avoir des accords d’exclusivité, avec donc une exclusion de ceux qui n’ont pas conclu l’accord. Mais pour ne pas
trop bloquer le principe d’ouverture, on va limiter l’exclusivité à dix ans – ex : éditeurs de base de données juridiques – et quinze ans
en matière de numérisation de ressources culturelles, parce que le coût est plus élevé – l’investissement justifie un temps plus long.
La loi Lemaire évoque l’économie de la donnée (= amasser l’information de différents niveaux et différentes natures pour pouvoir
tirer de nouvelles analyses). Cette idée de gouvernance de la donnée montre que l’on est dans une phase transitoire  : on prend
conscience de la valeur de ces données, mais on n’a pas encore bien mis en place des règles d’encadrement.
La première section concerne l’ouverture de l’accès aux données publiques : avec la loi Valter on a satisfait une obligation de l’UE,
mais là on prend l’initiative de renforcer l’ouverture des données en créant un service public de la donnée. On introduit la notion de
donnée d’intérêt général (art 19 - les enquêtes de l’INSEE et les recherches qui ont bénéficié d’une subvention publique > 23 000€) ;
ce sont des données très importantes donc tout le monde doit avoir accès. Au-delà de l’open data, il s’agit d’obliger leur diffusion.
En termes de mesure d’ouverture des données, son art 1 er élargit aux administrations publiques le droit d’accès aux documents
administratifs (avant il n’y avait pas de droit d’accès entre administrations). L’art 2 précise que l’open data s’étend aux codes
sources considérés comme des documents administratifs ; par contre il ne s’agit pas de vulnérabiliser les administrations, donc il ne
faut pas dévoiler de système d’information. Elle prévoit également une extension des modes de communication, en particulier la
demande en ligne, et elle affirme un principe de communication par défaut.
Son art 21 traite des décisions de justice : de nouveaux services vont proposer une justice prédictive : plus on a de données, plus les
décisions seront pertinentes, et plus on sera bien conseillé – plus de cohérence mais risque d’une justice figée. Cet article attend un
décret d’application qui est écrit, mais qui n’est pas encore sorti. On voit bien le risque de récupération de ces informations par des
sites privés qui pourraient casser la profession d’avocat, laissant penser au justiciable qu’il peut se débrouiller tout seul.
Elle soulève aussi la question de la transparence algorithmique – une disposition concernant la loyauté des plateformes, une autre
relative à l’administration, aux « décisions individuelles prises sur le fondement d’un traitement algorithmique ». On a l’idée que le
justiciable peut demander des comptes à l’administration : d’abord il a un droit à l’information – qu’il fait l’objet de ce type de
traitement, et les principales caractéristiques du traitement automatisé (finalités, mise en œuvre, règles). Ainsi on est censé avoir
une explicabilité, mais en pratique il est difficile de contrôler l’algorithme – complexe, changeant, boîte noire… Il y a une volonté
d’encadrer, mais pour l’instant les exigences sont assez faciles à respecter et n’aménagent pas un véritable doit de contestation.
Enfin, le grand leitmotiv de la LRN est de permettre au public faible, avec des déficiences visuelles, d’avoir accès aux données
disponibles sur internet. L’idée est de rompre la fracture numérique et de faire en sorte qu’il soit accessible à tous partout – faire
un bon maillage du territoire pour tout couvrir. Le principe est de permettre une égalité des chances – accessibilité matérielle,
physique aux administrations, mais aussi aux sites internet. Il y a également un principe de maintien de la connexion internet.

Droit européen du numérique 21

Vous aimerez peut-être aussi