Commerce électronique

Modalités techniques de résiliation des contrats par voie électronique : Un décret du 31 mai précise les modalités d’accès et d’utilisation de la fonctionnalité de résiliation par voie électronique des contrats, en accord avec l’article L. 215-1-1 du code de la consommation ajouté par l’article 15 de la loi n° 2022-1158 du 16 août 2022 pour la protection du pouvoir d’achat. Ce décret permet aux consommateurs et aux non-professionnels de résilier leurs contrats de manière rapide et simple, en bénéficiant d’un accès facile, direct et permanent à la fonctionnalité de résiliation prévue par la loi. Cette fonctionnalité doit être accessible via l’interface en ligne du site web ou de l’application mobile utilisée pour conclure les contrats avec le professionnel. La fonctionnalité de résiliation doit permettre de fournir au consommateur ou non-professionnel, des informations sur les conditions de résiliation, telles que les indemnités ou les délais de préavis, ainsi que sur les conséquences de la résiliation. Pour résilier un contrat, le consommateur doit encore fournir ou confirmer des informations nécessaires pour identifier le contrat concerné. Dans le cas particulier d’une résiliation anticipée, le décret établit des conditions spécifiques à respecter, qui dépendent de l’existence d’un motif légitime à cette résiliation particulière. Le consommateur est informé des pièces justificatives à fournir au professionnel et dispose d’une rubrique pour préciser le motif légitime de résiliation. Il dispose également d’une adresse postale et d’une adresse électronique, ou d’une fonctionnalité permettant de transmettre au professionnel le justificatif de ce motif. Par ailleurs, les consommateurs détenant un contrat de fourniture de services de télévision et de services de médias audiovisuels à la demande peuvent résilier leur contrat gratuitement à tout moment à partir de la première reconduction, conformément à l’article L. 215-1 du code de la consommation, en cas de changement de domicile ou d’évolution de leur foyer fiscal. Enfin, le décret prévoit que le consommateur est redirigé vers une dernière page récapitulative des informations fournies, à partir de laquelle il peut notifier sa résiliation. Ce décret entrera en vigueur le 1er juin 2023, (Décr. n° 2023-417 du 31 mai 2023 relatif aux modalités techniques de résiliation des contrats par voie électronique)

Plateforme de commerçants, intermédiaire mais pas vendeur : Par un jugement du 24 mai 2023, le tribunal judiciaire de Dijon a rejeté l’action en responsabilité contractuelle engagée par un consommateur contre une plateforme en ligne, intermédiaire pour la vente et l’achat de montres de valeur, au motif qu’elle n’a pas la qualité de vendeur. Les faits reprochés datent de 2016, or la nouvelle rédaction de l’article L.217-1 du code de la consommation, qui assimile désormais au vendeur « toute personne se présentant ou se comportant comme tel », n’est pas applicable aux contrats conclus avant le 1er janvier 2022. Dans cette affaire, un Français avait acheté une montre Rolex pour près de 9 500 € sur un site allemand qui propose des produits de luxe mis en vente par des commerçants. A la suite du décollement d’un morceau du cadran, le consommateur a cherché à le faire réparer. Mais la société Rolex a indiqué qu’aucune réparation n’était possible car le cadran n’avait pas été réalisé par une entreprise autorisée par elle et que la montre devait être une contrefaçon. Le consommateur a donc assigné la plateforme de ventes en ligne pour obtenir la restitution du prix. Mais le tribunal a rejeté sa demande car la version actuelle de l’article L. 217-1 du code de la consommation n’est entrée en vigueur que le 1er janvier 2022 et n’est donc pas applicable au cas d’espèce. Le tribunal s’est donc référé à un arrêt de la Cour de justice de l’Union européenne du 9 novembre 2016 (C-149/15) qui considère que la notion de vendeur « doit être interprétée en ce sens qu’elle vise également un professionnel agissant comme intermédiaire pour le compte d’un particulier, qui n’a pas dûment informé le consommateur acheteur du fait que le propriétaire du bien est un particulier ». Le jugement relève que les mentions du site sont en l’occurrence suffisamment explicites pour écarter toute confusion, (Tribunal judiciaire de Dijon, 1ère ch., jugement du 24 mai 2023, M. X. / Chrono24 GmbH & Luxury of Watches Inc.)

Intelligence artificielle

Amendement de l’Artificial Intelligence Act : la théorie confrontée à la pratique : Dans un contexte de « course à la réglementation » de l’intelligence artificielle, la Commission européenne avait publié un projet de règlement amendé, en réaction aux intelligences artificielles génératives qui ont inondé le marché au cours des derniers mois. Le Parlement devrait arrêter sa position de négociation lors de la session plénière du 12 au 15 juin 2023, après quoi des discussions commenceront avec les pays de l’Union européenne au sein du Conseil sur la forme finale de la loi, (Législation sur l’intelligence artificielle, Session du Parlement européen du 12 au 15 juin 2023)

Internet

Élargissement des compétences de l’OCLCTIC : Un décret du 12 juin désigne l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication de la direction générale de la police nationale (OCLCTIC) en tant qu’autorité administrative chargée de demander le blocage et le déréférencement des sites miroirs qui reprennent des contenus relevant des infractions prévues par la loi du 21 juin 2004 pour la confiance dans l’économie numérique. Ce décret concerne une variété d’acteurs, dont les prestataires techniques au sens de la loi du 21 juin 2004 pour la confiance dans l’économie numérique, notamment les fournisseurs d’accès à Internet ou toute personne dont l’activité repose sur le classement ou le référencement de contenus en ligne à l’aide d’algorithmes informatiques. L’OCLCTIC est désigné comme autorité administrative habilitée à demander, conformément à l’article 6-3 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique, des mesures empêchant l’accès aux sites miroirs. Un site miroir est une copie d’un site principal qui permet de multiplier les sources d’information et de les diffuser rapidement grâce aux partages des utilisateurs. Ces sites peuvent donc contenir des contenus haineux ou faisant l’apologie du terrorisme, même après qu’une décision judiciaire exécutoire a ordonné le blocage du site principal. L’OCLCTIC peut dorénavant adresser sa demande aux fournisseurs d’accès internet, aux fournisseurs de services d’hébergement, à des personnes mentionnées par la décision judiciaire, ainsi qu’aux exploitants de services basés sur le classement ou le référencement de contenus en ligne. Ce décret est pris en application de l’article 6-3 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique, introduit par l’article 39 de la loi du 24 août 2021 renforçant le respect des principes de la République, (Décr. n° 2023-454 du 12 juin 2023 relatif au blocage et déréférencement des « sites miroirs », pris en application de l’article 6-3 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique).

Protection des données

Décision CRU c/ Deloitte : Une nouvelle pierre à l’édifice de la notion de donnée à caractère personnel : Les frontières de la notion de donnée à caractère personnel suscitent de nombreuses controverses. L’enjeu est de taille, puisque l’existence d’une telle donnée déclenche l’application de la règlementation en matière de protection des données à caractère personnel et de l’arsenal conséquent d’obligations et de droits qui en découlent. Il n’est donc pas surprenant de constater en pratique une forte propension des entités traitant des données à restreindre plus que de mesure cette notion, et ce, à contre-courant des autorités de protection qui, dans un objectif de protection élevée, ne tendent à retenir que très rarement l’existence de données réellement anonymes. Un récent arrêt du 26 avril 2023 du Tribunal de la Cour de justice de l’Union européenne (aff. T-557/20) apporte un éclairage intéressant sur ce débat et la distribution à opérer entre donnée pseudonymisée et donnée anonyme, (CJUE 26 avr. 2023, aff. T-557/20)

Avis de la CNIL du 29 mai sur le projet relatif à la fusion de la carte d’identité et de la carte Vitale : Le ministre des Comptes publics a récemment annoncé un projet visant à fusionner la carte d’identité et la carte Vitale dans le but de lutter contre la fraude sociale lors des prestations de soins. Toutefois, la Commission nationale de l’informatique et des libertés (CNIL) met en garde quant à la nécessité de respecter les principes relatifs à la protection des données. Dans ce contexte, les autorités publiques ont cherché à renforcer l’efficacité des dispositifs existants pour combattre la fraude sociale, notamment en confiant une mission d’analyse à l’Inspection générale des affaires sociales (IGAS) et à l’Inspection générale des finances (IGF). Cette mission avait pour objectif d’examiner différentes options, telles que la mise en place d’une carte Vitale biométrique ou la fusion de la carte Vitale avec la carte d’identité. La CNIL a été consultée lors de cette mission et a officiellement exprimé sa position dans une correspondance datée du 13 mars dernier. Elle a rappelé que le numéro de sécurité sociale (NIR) constitue une donnée unique et particulièrement sensible pour chaque citoyen français. En ce qui concerne la fusion de la carte vitale avec la carte d’identité, la CNIL estime que ce scénario, parmi les options envisagées, constitue la solution la moins intrusive et la moins risquée, à condition de mettre en place certaines garanties. Elle préconise que le NIR soit inscrit dans un compartiment cloisonné au sein de la puce électronique des nouvelles « cartes d’identité électroniques », plutôt que d’être simplement écrit sur la carte, même avec un QR code. De cette manière, seuls les acteurs et outils de la sphère médicale et médico-sociale pourraient accéder à ce numéro. Étant donné que la carte Vitale n’est pas obligatoire, la loi devra prévoir la possibilité pour l’assuré de s’opposer à l’inscription de son numéro de sécurité sociale sur son titre d’identité, tout en maintenant des alternatives à l’utilisation de la carte d’identité. En revanche, la CNIL exprime son désaccord quant à l’institution d’une carte Vitale biométrique. Le Collège de la CNIL estime que cette option présente des difficultés de déploiement chez les professionnels de santé et des risques pour la vie privée des personnes concernées. Par conséquent, le gouvernement n’a pas retenu ce scénario dans ses annonces. Il convient de faire une distinction entre la carte Vitale biométrique et l’utilisation de la biométrie prévue pour la carte Vitale électronique (e-carte Vitale). Cette dernière ne concerne que l’authentification de la personne lors de l’activation de l’application, et non lors de la prise en charge médicale ou de l’hospitalisation. La CNIL a demandé un bilan de l’expérimentation menée depuis 2019 par les autorités publiques concernant l’e-carte Vitale, (CNIL, Fusion de la carte Vitale et de la carte d’identité : les points d’attention de la CNIL concernant la protection des données, 30 mai 2023)

L’usage des données personnelles par l’administration fiscale : L’administration fiscale peut se voir mettre en place un traitement de données à caractère personnel dans le but d’obtenir l’autorisation de mener des opérations de visite et saisies conformément à l’article L. 16 B du livre des procédures fiscales. Ce traitement vise à enquêter sur d’éventuelles infractions ou manquements à la législation fiscale, dans le but de percevoir l’impôt et de lutter contre la fraude fiscale. Cependant, l’application de ce traitement de données soulève des questions concernant la protection des données personnelles et la libre circulation de ces données, régies par le RGPD. Selon la société demanderesse « FHF », le RGPD devrait s’appliquer à ces opérations de traitements particulières, ne relevant pas directement des autorités compétentes dans le cadre de la prévention et de la détection d’infractions pénales, des enquêtes et des poursuites, ainsi que l’exécution de sanctions pénales, expressément écartées du champ d’application du RGPD. En effet, la société soutient que les mesures de visite domiciliaire effectuées par les agents de l’administration fiscale, qui ne sont pas des autorités de poursuite, entrent bien dans le champ d’application du RGPD. La Cour a examiné cette question et a décidé, dans ce cas précis, que la collecte de données personnelles par l’administration fiscale à des fins de perception de l’impôt et de lutte contre la fraude fiscale relève du RGPD. En effet, cette procédure de l’article L. 16 B du livre des procédures fiscales a pour seule finalité l’obtention d’un droit de procéder à une mesure d’enquête, et non pas une finalité directement répressive. Ainsi, la Cour souligne que le juge doit alors vérifier si les conditions d’information prévues par l’article 14 du RGPD sont remplies ou si les exceptions ou limitations prévues à l’article 23 s’appliquent. L’article 23 du RGPD permet, en effet, aux États membres de limiter l’obligation d’informer les personnes concernées par un traitement de données à caractère personnel (article 14), visant à garantir la prévention, la détection d’infractions pénales, les enquêtes, les poursuites, ainsi que d’autres objectifs d’intérêt public général, tels que des intérêts économiques ou financiers importants, y compris dans les domaines monétaires, budgétaire et fiscal. Mais en l’espèce, la Cour estime que l’administration fiscale respecte la liberté individuelle et le droit au recours juridictionnel effectif dans le cadre de l’article L. 16 B du livre des procédures fiscales, qui vise à lutter contre la fraude fiscale, (Com. 1er juin 2023, n° 21-18.558, FS-B)

Le droit à l’information oui… mais dans les respects des droits et libertés des autres parties : Un arrêt de la Cour de justice de l’Union européenne du 22 juin souligne le droit fondamental de chaque individu à être informé de la date et des raisons pour lesquelles ses données personnelles ont été consultées. L’affaire concerne un salarié et client d’une banque, qui a découvert en 2014 que ses données personnelles avaient été consultées à plusieurs reprises par d’autres membres du personnel de la banque entre novembre et décembre 2013. Après avoir été licencié, le salarié a demandé à la banque de divulguer l’identité des personnes ayant consulté ses données, les dates exactes des consultations et les finalités du traitement de ces données. La banque a refusé de divulguer l’identité des salariés, arguant qu’il s’agissait de données personnelles les concernant. Le demandeur a alors saisi le Bureau du délégué à la protection des données de Finlande, mais sa demande a été rejetée. Il a ensuite porté l’affaire devant le tribunal administratif de Finlande orientale, qui a demandé à la Cour de justice d’interpréter l’article 15 du RGPD. Dans son arrêt, la Cour a conclu que le RGPD s’applique à une demande présentée après le 25 mai 2018, même si les opérations de traitement des données à caractère personnel ont eu lieu avant cette date. Elle a également affirmé que les informations concernant les opérations de consultation des données, y compris les dates et les finalités, doivent être fournies à la personne concernée par le responsable du traitement. Cependant, le RGPD ne garantit pas un tel droit en ce qui concerne l’identité des salariés qui ont effectué ces opérations, sauf si ces informations sont indispensables pour permettre à la personne concernée d’exercer ses droits et à condition de prendre en compte les droits et libertés des salariés. Enfin, la Cour a souligné que le fait que le responsable du traitement soit une banque exerçant une activité réglementée et que la personne dont les données ont été traitées était à la fois cliente et employée de cette banque n’a pas d’incidence sur l’étendue du droit dont bénéficie cette personne. Dans l’ensemble, cet arrêt met en évidence l’importance du droit d’accès aux informations relatives aux données personnelles, tout en équilibrant les droits et les libertés des parties concernées, (CJUE 22 juin 2023, aff. C-579/21)

Réseaux sociaux

Twitter quitte le code de conduite contre la désinformation publiée en juin 2022 : La Commission européenne avait intensifié sa lutte contre la désinformation en renforçant son code de bonnes pratiques visant les grandes plateformes et acteurs du web en 2022, à la suite de la pandémie de Covid et du début de la guerre en Ukraine. Les principaux acteurs de l’industrie, tels que Meta, Twitter, TikTok, Adobe, Google et Microsoft, se sont engagés à prendre des mesures concrètes pour lutter contre la diffusion de la désinformation en ligne. Cela inclut, par exemple, la démonétisation des contenus trompeurs, la transparence de la publicité politique, une coopération accrue avec les vérificateurs de faits et un meilleur accès aux données pour les chercheurs. Ce code de conduite était aussi conjugué à la nouvelle mise en œuvre du « Digital Services Act » (DSA). Néanmoins, Twitter a récemment décidé de se retirer du code européen de lutte contre la désinformation en ligne. Depuis que le milliardaire Elon Musk a acquis Twitter, la modération des contenus problématiques a été assouplie. Twitter a expliqué préférer s’appuyer sur sa communauté d’utilisateurs afin de modérer le contenu sur la plateforme, sans avoir recours à des services internes de modérations plus objectifs et encadrés. Le réseau social avait jusqu’à présent fait peu d’efforts pour respecter le code, et ses rapports sur la désinformation étaient considérés comme lacunaires. Ainsi, bien que l’adhésion au code soit volontaire, les plateformes ne peuvent dorénavant pas se soustraire au DSA, qui prévoit des amendes pouvant aller jusqu’à 6 % de leur chiffre d’affaires mondial en cas de violation des règles sur les contenus illégaux. En cas de récidive, les plateformes pourraient même être interdites de fonctionner au sein de l’Union européenne, une menace réitérée par Thierry Breton, commissaire européen chargé du marché intérieur