18/02/2022

Le décret n°2022-207 du 18 février 2022 et un arrêté d'application du 7 mars 2022 mettent en place une procédure d’avis par le service de l’information stratégique et de la sécurité économiques (SISSE), devant être engagée par toute entreprise recevant une demande de communication de certains documents ou renseignements émise par une autorité publique étrangère. Sont notamment visées les procédures américaines dites de "eDiscovery".

Depuis une loi du 26 juillet 1968, les documents ou renseignements d'ordre économique, commercial, industriel, financier ou technique dont la communication est susceptible de porter atteinte à la souveraineté, à la sécurité, aux intérêts économiques essentiels de la France ou à l'ordre public, ou tendant à la constitution de preuves en vue de procédures judiciaires ou administratives étrangères, font l'objet d'une interdiction de communiquer.

Encore faut-il établir si le document ou renseignement en question est concerné par l’interdiction de communiquer. La procédure d’avis rendu par le SISSE a pour objectif d’accompagner les entreprises dans cette décision.

Le décret prévoit que l’entreprise ayant reçu la demande de communication la transmet au SISSE et dépose un dossier, dont la composition est fixée par l’arrêté. Le dossier doit ainsi contenir le numéro d’immatriculation de la société détentrice des éléments requis, l’organigramme permettant d’identifier les personnes contrôlant la société, une description des activités de celle-ci, les concurrents français et étrangers de la société en question, les motifs de la demande de communication, les échanges entre le requérant et la société détentrice des documents, et les coordonnées d’une personne désignée au sein de l’entreprise détentrice.

Le SISSE instruit le dossier et doit rendre un avis à l’entreprise sous un mois concernant l’applicabilité de l’interdiction de communiquer aux documents en question.

15/03/2022

Un salarié peut-il exprimer, par des courriels adressés à ses supérieurs et à ses nouveaux collègues, son désaccord sur les modalités de rachat de la société pour laquelle il travaille par une autre société ?  Oui nous dit la Cour de cassation, dans un arrêt du 16 février 2022, dès lors que ce désaccord n’a pas été exprimé « dans des termes outranciers ou injurieux » et qu’ainsi, le salarié n’a « pas abusé de sa liberté d’expression ».  Le ton des emails échangés entre le salarié et ses nouveaux collègues ou sa hiérarchie n’a pas été jugé agressif, et il a été jugé justifié qu’il exprime des opinions à ses supérieurs, fussent-elles divergentes de la leur, sur le traitement fiscal d’une opération, alors que ses fonctions consistaient précisément à assurer la conformité au plan fiscal des transactions effectuées par la société. La Cour de cassation considère ainsi que le licenciement doit être déclaré nul. Depuis sa généralisation dans les entreprises il y a plus de 20 ans, l’email reste un problème épineux à gérer pour les directions générales et les directions des ressources humaines.

04/03/2022

Ce 4 mars 2022 a été promulguée la loi n°2022-309 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinées au grand public.

Cette loi ajoute un nouvel article (L.111-7-3) dans le code de la consommation, inséré au sein des dispositions relatives à l’obligation générale d’information précontractuelle. Elle a pour objectif d’améliorer la transparence et l’information des utilisateurs sur la sécurisation de leurs données, de limiter ainsi le recours de ces derniers « à des solutions présentant des manques criants en matière de cybersécurité » (Rapport sur la proposition de loi, Commission des affaires économiques du Sénat).

Ce nouvel article s’impose aux « opérateurs de plateformes en ligne » et aux « personnes qui fournissent des services de communications interpersonnelles non fondés sur la numérotation » (c’est-à-dire plus simplement, les réseaux sociaux…) dont l’activité dépasse certains seuils qui seront fixés par décret. Elles devront :

● Réaliser un audit de cybersécurité (…) portant sur la sécurisation et la localisation des données qu’ils hébergent.
● Présenter aux consommateurs les résultats de cet audit « de façon claire, lisible et compréhensible et est accompagné d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel »: entendez par là un visuel « cyberscore » (semblable au Nutriscore pour les produits alimentaires, comme précisé par la Commission des affaires économiques du Sénat).

01/03/2022

Par décision du 25 février 2022, le Conseil constitutionnel, saisi sur QPC par la chambre criminelle de la Cour de cassation, a déclaré les paragraphes II et III de l’article L34-1 du code des postes et communications électroniques (CPCE), dans sa version antérieure à la loi du 30 juillet 2021, contraires à la Constitution en ce qu’ils autorisaient « la conservation générale et indifférenciée des données de connexion » portant ainsi « une atteinte disproportionnée au droit au respect de la vie privée ».

Il était reproché par les requérants et parties intervenantes (dont la Ligue des droits de l’Homme, l’association des avocats pénalistes et La Quadrature du Net) que la conservation générale et indifférenciée de données de connexion soit imposée aux opérateurs de communications électroniques, sans la réserver à la recherche des infractions les plus graves ni la subordonner à l’autorisation ou au contrôle d’une juridiction.

Cette décision n’a en pratique que peu d’effet, puisque:
- les dispositions déclarées contraires à la Constitution ne sont à ce jour plus en vigueur, l’article ayant été modifié par l’article 17 de la loi du 30 juillet 2021 ; et

- le Conseil constitutionnel a précisé que les mesures d’ores et déjà prises sur le fondement de l’article censuré ne pourraient pas être contestées sur le fondement de cette inconstitutionnalité, car cela méconnaîtrait les objectifs de valeur constitutionnelle de sauvegarde de l’ordre public et de recherche des auteurs d’infractions et aurait ainsi des conséquences manifestement excessives.

Cette décision du Conseil constitutionnel fait suite à l’arrêt de la CJUE du 6 octobre 2020 (C-511/18), et à celui du Conseil d’Etat du 21 avril 2021 (n°393099) ainsi qu’aux modifications législatives et réglementaires qui ont suivi, sur les typologies de données qui peuvent être conservées et sur les finalités pour lesquelles les données peuvent être conservées.

08/02/2022

Par ordonnance de référé du 14/01/22, le Tribunal judiciaire de Paris a ordonné à la société Facebook Ireland Ltd de communiquer au demandeur les données d’identification du titulaire d’un compte Instagram. Le demandeur était la cible de propos malveillants et diffamatoires par le titulaire du compte Instagram en question. Les propos étaient tenus en Messages Privés

● La communication des données d’identification est considérée comme proportionnée aux intérêts en présence, « le droit de la preuve de M. X pour entreprendre le procès qu’il envisage devant prévaloir sur l’anonymat du compte litigieux ». Les données d’identification devant être transmises sont notamment : les types de protocoles utilisés et l’adresse IP utilisée pour la connexion au service lors de l’inscription et les connexions ultérieures, l’identifiant de connexion, les nom et prénom ou la raison sociale du titulaire du compte, les pseudonymes utilisés, les adresses postale et électronique, numéros de téléphones et comptes associés communiqués lors de la souscription.

● En revanche, la demande de communication de tous les messages adressés aux utilisateurs d’Instagram par le compte litigieux à compter de janvier 2020 est rejetée au motif que l’interception de correspondances électroniques privées est une atteinte au secret des correspondances sanctionnée par l’article 226-15 du code pénal, et une atteinte à l’article L34-1 du CPCE prévoyant l’interdiction de conserver et traiter le contenu de correspondances échangées dans le cadre des services de communications électroniques.

24/01/2022

En quelques années, le Législateur a réussi à faire du droit des plateformes un véritable patchwork.

Deux décrets ont encore été adoptés récemment : 1 Décret n°2021-1922 du 30 décembre 2021 fixant les principes généraux applicables aux communications commerciales audiovisuelles fournies sur les plateformes de partage de vidéos. 2 Décret n°2022-32 du 14 janvier 2022 relatif à la fixation d’un seuil à partir duquel les opérateurs de plateformes en ligne concourent à la lutte contre la diffusion publique des contenus illicites.

NEXT avocats a mis à jour sa présentation sur la législation applicable aux plateformes numériques.

31/12/2021

Un décret du 30 décembre 2021 transposant la directive « Services de médias audiovisuels » (SMA) a fixé les principes applicables aux communications commerciales audiovisuelles fournies sur les plateformes de partage de vidéos.

• Les communications commerciales audiovisuelles (publicité, parrainage, télé-achat, placement de produit) doivent être facilement reconnaissables comme telles.

• Les communications commerciales audiovisuelles clandestines sont interdites. Il s'agit de présenter des marchandises, services, marques ou activités d’un producteur ou d’un prestataire de services lorsque : - cela est fait dans un but publicitaire, et - en échange d’une contrepartie, et - si cela risque d’induire le public en erreur sur la nature d’une telle présentation.

• Il est interdit d’utiliser des techniques subliminales (sans pour autant qu’une définition ne soit apportée par le décret).

• Il est également précisé que les communications commerciales audiovisuelles ne peuvent porter atteinte à la dignité des personnes, ni s’avérer discriminantes, ni encourager des comportements préjudiciables à la santé, sécurité et environnement. Des interdictions s’ajoutent dès lors que les communications audiovisuelles commerciales visent les mineurs.

A qui est-ce applicable ?

Aux plateformes de partage de vidéos. Il s’agit des services dont l’objet principal, ou une de ses fonctionnalités essentielles, est la fourniture au grand public de programmes et/ou de vidéos créées par l’utilisateur, qui ne relèvent pas de la responsabilité éditoriale du fournisseur, par le biais de communications électroniques. Si le décret s’applique évidemment aux plateformes telles que YouTube, il n’est pas aussi certain que les réseaux sociaux à l’instar d’Instagram soient concernés. Il faudra d’abord déterminer si la fourniture de vidéos créées par les utilisateurs en constitue ou non une fonctionnalité essentielle.

24/11/2021

Voici une mise en pratique de notre présentation sur la législation des plateformes. Le 24 novembre 2021, le ministre de l’Économie et des finances a enjoint aux gestionnaires de moteurs de recherche et aux magasins d’applications mobiles de déréférencer le site de e-commerce et l’application mobile de Wish. En effet, sur injonction de l’autorité administrative compétente, les « opérateurs de plateforme en ligne » (art. L. 111-7 c. conso.) et les « hébergeurs » (art. 6-2-I de la loi du 21 juin 2004) doivent prendre « toute mesure utile destinée à limiter l'accès » au « interfaces en ligne dont les contenus sont manifestement illicites » au regard du code de la consommation, notamment les règles relatives à la conformité et à la sécurité des produits (art. L521-3-1 du code de la consommation).

22/11/2021

Les plateformes numériques sont maintenant au coeur des relations économiques : fourniture de produits et services, partage de contenus, location de biens, transport de personnes, etc. etc. La législation est hétéroclite, souvent complexe, construite au gré de lois de circonstances sans volonté de cohérence. Le dernier texte en date : un arrêté du 20 octobre 2021 "relatif à certains fournisseurs de services de partage de contenus en ligne". L’occasion pour NEXT avocats de vous fournir un panorama sur la législation applicable aux plateformes. Attention, le legal design a ses limites, il faudra souvent consulter les textes ou un avocat !