Droit et Nouvelles technologies

S'abonner à flux Droit et Nouvelles technologies
Depuis 1997, le Portail du Droit des Technologies
Mis à jour : il y a 52 min 39 sec

Bitcoin : les ICO au centre de la polémique

jeu, 14/09/2017 - 11:32
IPO ?

Vous connaissez sans doute les introductions en bourse ? Dans le jargon financier on parle de IPO pour « Initial Public Offering ».

Le principe est simple : tout ou partie des actions d’une société seront désormais cotées sur un marché réglementé où elles pourront être achetées et/ou vendues en application de la loi du marché : si le nombre de personnes qui veulent en acheter est supérieur à ceux qui vendent, le cours monte.

Il y a deux motifs principaux pour aller en bourse :

  • La société est en croissance et doit financer celle-ci. Il n’est pas rare qu’une jeune société ait besoin d’argent frais pour financer sa croissance ou clôturer une phase de recherche et développement, ou encore pour prendre position sur un marché. C’est au départ pour cela que la bourse est faite : permettre à une demande (j’ai besoin d’argent pour un projet) de rencontrer une offre (j’ai de l’argent que je souhaite investir).
  • Les actionnaires existants ont envie de valoriser leurs actions. Lorsque des investisseurs de la première heure ont injecté quelques dollars par action dans une société, il est légitime qu’ils aient envie de vendre une partie de leurs actions si elles peuvent être valorisées généreusement sur un marché financier.

Très souvent, les deux motifs sont présents et mêlés. Il y a certes un projet à financer, mais il y a aussi, même si c’est moins clairement dit, l’envie des actionnaires existants de faire un beau coup.

Une IPO est une opération extrêmement lourde, que ce soit sur le plan économique, juridique ou réglementaire.

ICO ?

Les IPO sont tellement complexes qu’elles sont la plupart du temps hors de portée des start-ups : trop lourd, trop coûteux, trop rigide, trop lent.

Avec le développement des crypto-monnaies – Bitcoin et Ethereum en tête – on a assisté à l’émergence des ICO, acronyme de « Initial Coin offering ».

C’est en quelque sorte une IPO dans l’univers virtuel, mais il y a des différences fondamentales :

  • L’ICO ne se déroule pas sur un marché réglementé, contrairement aux IPO. C’est, en quelque sorte, une opération strictement privée. Une société déclare sur Internet sa volonté de lever des fonds en crypto-monnaie. Il n’y a pas de « gendarme ».
  • De cette première caractéristique, fondamentale, en découle une autre : le risque est réel. La lourdeur des IPO a pour but d’éviter d’offrir au public des dossiers frauduleux ou des canards boiteux, c’est-à-dire des sociétés qui ne sont saines qu’en apparence et qui vont, tôt ou tard, péricliter, entraînant dans leur chute tous ceux qui auront souscrit à l’introduction en bourse.
  • On aurait tort d’en déduire que les ICO sont par définition suspectes. Cela signifie seulement que le cadre réglementaire mis en place par les autorités publiques pour les IPO est absent. Cela dit, pour tous ceux qui pensent que ce cadre est de toute manière inutile ou inefficace, l’absence de cadre ne change pas grand-chose. Et il faut bien dire que dans le monde des crypto-monnaies, largement influencé par les courants libertaires, le niveau de confiance que l’on place dans le « système » est proche de zéro.
  • De la première caractéristique en découle également une autre : l’opération est plus souple, plus rapide. Qu’il s’agisse de la préparation (le prospectus, la mise en place du cadre économico-technique, etc.) ou de la réalisation, les choses se passent à grande vitesse. L’ICO elle-même ne dure parfois que quelques secondes, au cours desquelles des dizaines ou des centaines de millions de dollars sont récoltés.

Et ça marche ! Il y a une, voire 2 ICO chaque semaine sur Internet.

Coindesk a réalisé une analyse pour le premier trimestre 2017 : les entrepreneurs de la blockchain ont levé 327 millions de dollars via des ICO, contre 295 millions de dollars auprès des circuits classiques. (voir analyse en annexe)

Suspect ?

C’est la question qui agite le landerneau financier : les crypto-monnaies sont-elles un univers impitoyable où tous les coups sont permis, peuplé de hackers et autres fraudeurs, destiné à financer le crime organisé et le terrorisme ?

Nous n’allons pas trancher cette question quasi philosophique. Nous nous limiterons à rappeler que les crypto-monnaies ne sont pas réglementées par une banque centrale ou un Etat. C’est une caractéristique essentielle ; c’est à la fois leur force principale et leur faiblesse principale.

L’Homme étant ce qu’il est, l’absence de régulation engendre forcément un risque de fraude. Si je veux agresser quelqu’un, autant le faire sur un parking désert la nuit que devant un commissariat en pleine journée.

C’est la même chose avec les crypto-monnaies. Affirmer qu’elles furent créées dans le but de financer des activités illicites, révèle surtout un manque de compréhension de la matière. Il n’est du reste pas étonnant que les propos les plus virulents et alarmistes proviennent précisément de ceux qui ont fondé leur puissance et leur fortune sur le système centralisé des banques, des banques centrales et des Etats. Pas plus tard qu’hier, 13 septembre, Jamie Dimon, PDG de JPMorgan Chase, déclarait que le bitcoin est une « escroquerie ». Tout en nuances venant du premier banquier de Wall-Street qui est, il est vrai, un monde qui n’a rien à se reprocher en la matière …

Car, ce que les critiques oublient de dire, c’est qu’une autre caractéristique fondamentale des crypto-monnaies est d’être fondamentalement transparentes, dans le sens où la technologie sur laquelle elles reposent est fondée sur une surveillance de l’ensemble des participants au réseau. Il y a donc, par l’effet de cette surveillance croisée, un puissant frein à la fraude. Dans l’analogie du parking, celui-ci n’est pas vraiment désert : tous ses utilisateurs ont en permanence une caméra pointée dessus pour s’assurer que tout va bien.

Les ICO interdites ?

La Chine vient récemment d’interdire purement et simplement les ICO.

La SEC (gendarme américain des marchés financiers) propose d’assimiler la crypto-monnaie émise lors d’une ICO à des actions de l’entreprise, dans le but de retrouver un pouvoir de régulation.

En Europe, les choses ne sont pas tranchées et les autorités des Etats membres ont parfois des approches divergentes.

Une chose est sûre : en ayant multiplié son cours par 3 en moins d’un an, le bitcoin attire toutes les attentions et les convoitises. Ce sera sans aucun doute un sujet amplement débattu dans les mois et les années qui viennent.

Cet article Bitcoin : les ICO au centre de la polémique est apparu en premier sur Droit & Technologies.

Surveillance des emails des employés : la CEDH rend un arrêt de principe

lun, 11/09/2017 - 12:59

Ce 5 septembre 2017, la CEDH a pris tout le monde par surprise. La Grande Chambre « conclut que les autorités nationales n’ont pas correctement protégé le droit de M. Bărbulescu au respect de sa vie privée et de sa correspondance. Les autorités n’ont donc pas ménagé un juste équilibre entre les intérêts en jeu.

En particulier, les juridictions nationales n’ont pas, d’une part, vérifié si M. Bărbulescu avait été préalablement averti par son employeur de la possibilité que ses communications soient surveillées et n’ont pas non plus, d’autre part, tenu compte du fait qu’il n’avait été informé ni de la nature ni de l’étendue de cette surveillance, ni du degré d’intrusion dans sa vie privée et sa correspondance.

De surcroît, les juridictions nationales n’ont pas déterminé, premièrement, quelles raisons spécifiques avaient justifié la mise en place des mesures de surveillance, deuxièmement, si l’employeur aurait pu faire usage de mesures moins intrusives pour la vie privée et la correspondance de M. Bărbulescu et, troisièmement, si l’accès au contenu des communications avait été possible à son insu. »

Les faits

Le requérant, Bogdan Mihai Bărbulescu, est un ressortissant roumain né en 1979 et résidant à Bucarest.

Du 1er août 2004 au 6 août 2007, M. Bărbulescu travailla pour une entreprise privée en qualité d’ingénieur en charge des ventes. À l’invitation de ses employeurs, il ouvrit un compte Yahoo Messenger aux fins de répondre aux demandes des clients.

Le 3 juillet 2007, l’entreprise distribua à son personnel une note d’information indiquant qu’une employée avait été licenciée pour des motifs disciplinaires après avoir fait une utilisation personnelle d’Internet, du téléphone et du photocopieur.

Le 13 juillet 2007, M. Bărbulescu fut convoqué par son employeur qui souhaitait avoir des explications. Il fut informé que ses communications sur Yahoo Messenger avaient été surveillées et qu’un certain nombre d’éléments indiquaient qu’il avait utilisé Internet à des fins personnelles.

Bărbulescu répondit par écrit qu’il n’avait utilisé ce service qu’à des fins professionnelles. On lui présenta alors la transcription, sur 45 pages, de ses communications entre le 5 et le 12 juillet 2007, qui comportaient des messages qu’il avait échangés avec son frère et sa fiancée portant sur des questions privées, dont certains revêtaient un caractère intime. Le 1er août 2007, l’employeur mit fin au contrat de travail de M. Bărbulescu pour infraction au règlement intérieur de l’entreprise qui interdisait l’usage des ressources de celle-ci à des fins personnelles.

Bărbulescu contesta son licenciement devant les tribunaux, alléguant que la décision de mettre un terme à son contrat était entachée de nullité car son employeur avait selon lui porté atteinte à son droit à la correspondance en consultant ses communications en violation de la Constitution et du code pénal. Le tribunal départemental de Bucarest rejeta son action en décembre 2007 aux motifs, en particulier, que l’employeur s’était conformé à la procédure de licenciement prévue par le code du travail ; que les employeurs étaient en droit de fixer des règles pour l’utilisation d’Internet, qui était un outil mis à la disposition du personnel à des fins professionnelles ; et que M. Bărbulescu avait été dûment informé du règlement intérieur de l’entreprise. Le tribunal départemental relevait que peu avant l’adoption de la sanction disciplinaire à l’encontre de M. Bărbulescu, une autre employée avait été licenciée pour avoir utilisé Internet, le téléphone et le photocopieur à des fins personnelles.

Bărbulescu fit appel, avançant que le tribunal n’avait pas ménagé un juste équilibre entre les intérêts en jeu. Par une décision définitive du 17 juin 2008, la cour d’appel rejeta ce recours, confirmant pour l’essentiel les conclusions de la juridiction inférieure. S’appuyant sur la directive 95/46/CE de l’Union européenne relative à la protection des données, elle jugea que la conduite qui avait été celle de l’employeur après avoir indiqué à M. Bărbulescu et à ses collègues que les ressources de l’entreprise ne devaient pas être utilisées à des fins personnelles avait été raisonnable et que la surveillance des communications de M. Bărbulescu avait constitué le seul moyen d’établir s’il y avait eu une infraction disciplinaire.

L’arrêt de 2016

Dans son arrêt de chambre du 12 janvier 2016, la Cour européenne des droits de l’homme a conclu, par six voix contre une, à la non-violation de l’article 8 de la Convention, jugeant que les juridictions internes avaient ménagé un juste équilibre entre le droit de M. Bărbulescu au respect de sa vie privée et de sa correspondance en vertu de l’article 8 et les intérêts de son employeur. La Cour a estimé en particulier que la vie privée et la correspondance de M. Bărbulescu avaient été mises en jeu. Elle a toutefois considéré que la surveillance de ses communications par son employeur avait été raisonnable dans le contexte d’une procédure disciplinaire.

Le 6 juin 2016, l’affaire a été renvoyée devant la Grande Chambre à la demande de M. Bărbulescu.

L’application de la Convention

La mesure litigieuse, à savoir la surveillance des communications de M. Bărbulescu qui a conduit à son licenciement, a certes été prise par une entreprise privée, mais elle a été admise par les juridictions nationales. La Cour estime donc qu’il y a lieu d’analyser le grief sous l’angle des obligations positives de l’État. Les autorités nationales étaient tenues de mettre en balance les intérêts concurrents en jeu, à savoir le droit de M. Bărbulescu au respect de sa vie privée, d’une part, et le droit de l’employeur de prendre des mesures pour assurer le bon fonctionnement de l’entreprise, d’autre part.

La transparence

Pour la Grande Chambre, les juridictions nationales ont omis de rechercher si M. Bărbulescu avait été averti préalablement de la possibilité que son employeur mette en place des mesures de surveillance ainsi que de la nature de ces mesures. Le tribunal départemental s’est borné à constater que l’attention des employés avait été appelée sur le fait que peu avant que M. Bărbulescu ne fasse l’objet d’une sanction disciplinaire, une autre employée avait été licenciée pour avoir utilisé Internet, le téléphone et le photocopieur à des fins personnelles. La Cour d’appel a constaté que l’intéressé avait été averti qu’il ne devait pas utiliser les ressources de l’entreprise à des fins personnelles.

Conformément aux normes internationales et européennes, la Cour considère que « pour pouvoir être considéré comme préalable, l’avertissement de l’employeur doit être donné avant que celui-ci ne commence son activité de surveillance, a fortiori lorsque la surveillance implique également l’accès au contenu des communications des employés. À la lecture des pièces versées au dossier de l’affaire, la Cour conclut que M. Bărbulescu n’a pas été informé à l’avance de l’étendue et de la nature de la surveillance opérée par son employeur ni de la possibilité que celui-ci ait accès au contenu même de ses messages. »

Quelle surveillance ?

La Grande Chambre aurait pu s’arrêter là mais il a clairement voulu donner un message de principe. Ce n’est pas étonnant, dans la mesure où cette affaire est la première qui a vu la cour se pencher sur la surveillance des travailleurs dans le cadre d’un contrat de droit privé. La cour avait déjà analysé cette question par rapport à des fonctionnaires et des policiers, mais jamais dans le cadre d’un emploi privé. On imagine qu’elle a voulu utiliser ce cas d’école (l’interdiction pure et simple d’utilisation de l’Internet à des fins privées n’est vraiment plus la norme) pour énoncer une doctrine.

La cour se penche donc sur l’étendue de la surveillance opérée et le degré d’intrusion dans la vie privée et regrette cette question n’ait pas été examinée par les juridictions nationales, alors même que l’employeur a enregistré en temps réel toutes les communications de M. Bărbulescu pendant la période de surveillance et qu’il en a imprimé le contenu.

La légitimité

C’était un des attendus importants de la décision de 2016. La cgambre était d’avis qu’indépendamment de la question du dommage, il n’est pas déraisonnable pour un employeur de vouloir vérifier que les employés consacrent leur temps de travail à effectuer des tâches professionnelles. Cela ressemblait fortement à une cause de légitimité générale dans le cadre des relations de travail.

La Grande chambre n’est pas de cet avis. Elle estime que les juridictions nationales n’ont pas non plus suffisamment vérifié l’existence de raisons légitimes qui auraient justifié la mise en place de la surveillance des communications de M. Bărbulescu. Le tribunal départemental a certes mentionné en particulier la nécessité d’éviter une atteinte aux systèmes informatiques de l’entreprise ou la mise en cause de la responsabilité de l’entreprise en cas d’activité illicite en ligne. Cependant : « ces exemples ne peuvent être perçus que comme des indications théoriques puisqu’il n’a pas été suggéré que M. Bărbulescu avait effectivement exposé l’entreprise à l’un de ces risques. »

Il faut donc non seulement que les événements pouvant engendrer un contrôle légitime soient déterminées et communiquées aux travailleurs, mais il faut encore qu’une de ces causes s’applique dans le cadre d’un contrôle visant une personne déterminée.

La proportionnalité

La Grande Chambre estime qu’uncune juridiction nationale n’a suffisamment cherché à savoir si le but poursuivi par l’employeur « aurait pu être atteint par des méthodes moins intrusives que l’accès au contenu des communications de M. Bărbulescu ».

De surcroît, ni l’une ni l’autre n’a examiné la gravité des conséquences de la mesure de surveillance et de la procédure disciplinaire qui s’est ensuivie, c’est-à-dire le fait que M. Bărbulescu, qui avait été licencié, avait fait l’objet de la mesure disciplinaire la plus sévère possible.

Enfin, les juges nationaux n’ont nullement établi à quel moment de la procédure disciplinaire l’employeur avait eu accès à ce contenu, et n’ont en particulier pas recherché s’il avait déjà eu accès au contenu au moment où il a convoqué M. Bărbulescu afin que celui-ci lui donne une explication pour l’utilisation qu’il avait faite des ressources de l’entreprise.

Commentaires et infos complémentaires

La décision est disponible en annexe.

Des opinions dissidentes ont été émises par certains juges. Il est évidemment intéressant d’en prendre connaissance (en annexe). L’opinion dissidente porte notamment sur la prévisibilité du contrôle et estime que dès l’instant où le règlement intérieur de l’entreprise interdisait l’utilisation d’Internet à des fins privées, le travailleur doit implicitement comprendre que le respect de cette interdiction est susceptible de faire l’objet d’un contrôle : « Les tribunaux internes ont interprété les dispositions de ce [règlement intérieur] comme sous-entendant qu’il était possible que soient mises en place des mesures de surveillance des communications, éventualité qui était de nature à réduire de manière significative la probabilité que le requérant pût raisonnablement s’attendre à ce que le caractère privé de sa correspondance fût respecté (voir, a contrario, Halford c. Royaume-Uni, 25 juin 1997, § 45, Recueil des arrêts et décisions 1997-III, et Copland, précité, § 42). Nous considérons donc que la question de l’avertissement préalable aurait dû être examinée dans ce contexte. »

Par ailleurs, la CEDH a eu la bonne idée de rédiger des Questions Fréquemment Posées afin de permettre à chacun de prendre la mesure de l’arrêt rendu. Ces FAQs sont disponibles en annexes.

Cet article Surveillance des emails des employés : la CEDH rend un arrêt de principe est apparu en premier sur Droit & Technologies.

Will our internet bill explode?

jeu, 07/09/2017 - 14:41
Facts of the case

The case concerns a dispute between French unions defending film producers and distributors and both the main French Internet Access Providers (SFR, Numericable, Free, Bouygues, Darty and Orange) and search engines  (Google, Microsoft, Yahoo!, Orange). The right holders’ unions had requested blocking and delisting injunctions against Alloshare websites, which offer unauthorized downloading and streaming of protected content. They further requested for the costs implied by such measures to be fully borne by the intermediaries. Unlike the Court of first instance, the Paris Court of Appeal had granted both requests on 15 March 2016.

Background

In view to put an end to online copyright infringements, article 8.3 of  the 2001/29 InfoSoc Directive  provides for the possibility for copyright holders to apply  for an injunctions against intermediaries whose services are used by third parties to infringe their rights.  It’s on the basis of this provision, and its implementation into local laws, that copyright holders were enabled to request IAPs to prevent access to counterfeiting websites. Such injunctions have flourished throughout Europe ( see notably, https://www.droit-technologie.org/actualites/plateforme-pirate-bay-coupable-de-contrefacon-meme-titre-utilisateurs/).

These injunctions have for specificity that they do not rely on any liability of the service provider regarding the counterfeit but on the mere assumption that it is the best placed to put end to online infringement.

Even though the conditions to be met and the procedure to be followed in the frame of such injunctions are a matter for national law, the Court of Justice of the European Union (“CJEU”) has already ruled:

  • With its Scarlet case, that injunctions must be fair, proportionate and not be excessively costly, in compliance with article 3 of the 2004/48 IPR Enforcement and must furthermore comply with fundamental rights, and notably the ISPs’ right to conduct business and the customer’s freedom to receive or impart information.
  • With its UPC-Telekabel Wien case, that are admissible, notably regarding the necessary balance between fundamental rights at stake, injunctions prohibiting an IAP  from allowing access to a website offering illegal content, without specifying the measures to be implemented, and when that IAP can avoid incurring coercive penalties for breach of the injunction by showing that it has taken all reasonable measures, provided that (i)  internet users are not unnecessarily deprived of the possibility of lawfully accessing the information available and (ii) the measures at least have the effect  making it difficult to achieve and of seriously discouraging counterfeit.

In a nutshell, the CJEU considered that ISPs had to cooperate in the battle against counterfeit, with the limit that it cannot be required to make “unbearable sacrifices”.

The Supreme Court’s ruling: no unbearable sacrifice

The question of the costs was the main issue at stake here.

ISPs mainly claimed that, in the absence of any liability in the counterfeit, they cannot be forced to bear the costs related to the fight against such counterfeit. Their purpose is net neutrality,  not fight against counterfeit. Bearing costs of injunctions would furthermore restrict their fundamental right to conduct business.

In its ruling of 6 July 2017, the Supreme Court did not follow their position and ruled that costs could indeed be borne in full by ISPs.

It reasoned as follows:

  • Neither the 2001/29 InfoSoc Directive or the 2000/31 e-Commerce Directive which grants liability safe harbors to online intermediaries, prevent from attributing all costs to intermediaries and this “despite their absence of liability in principle”. ISPs are bond to contribute to the fight against piracy;
  • Based on this and on the CJUE’s UPC-Telekabel Wien case , it is only in the hypothesis where a specific measure might prove disproportionate, in consideration of its complexity, its cost and in its duration, that it compromises, with time, the viability of the economic model of technical intermediaries, that it would be advisable to appreciate the necessity of attributing the costs, in whole or in part, to the rightholders”.

In practice : “in the application of the concrete balance of rights, the Court of Appeal stressed, on the one hand, that the financial situation of the unions, already threatened by the infringements, could only be aggravated by costs beyond their control, and assessed, on the other hand, that neither IAPs nor the search engines demonstrated that the implementation of the measures would represent an unbearable sacrifice, or that their costs would endanger their economic viability ; as such, the Court of Appeal was able to conclude that attributing the costs of blocking and delisting injunctions to intermediaries was strictly necessary to the safeguard of the rights at stake”.

Pandora’s box?

So far, costs of injunctions were traditionally borne by the plaintiffs. Such a ruling undoubtedly paves the way for the multiplication of injunctions, at the expense of intermediaries. We shall see if other European jurisdictions follow the same path.

The question of the costs is far from trivial.

First because, it is complicated to justify attributing costs of the fight against piracy to intermediaries, whilst simultaneously providing such actors with a liability safe harbor. If one can understand the political will to balance the distribute of revenue between content creators and intermediaries, which indirectly benefit from the (whether legal or not) exploitation of musical and audiovisual content, can we approve imposing, by judicial means, the costs of the war against piracy on online intermediaries, who, again, are not themselves liable for acts of online piracy?

Next, because the costs at stake are far from negligible. Measures aiming to effectively prevent unauthorized access to protected content- and therefore the human and financial resources allocated-   can turn out to be quite consistent not only because of the number of websites concerned but because of the true difficulty to effectively prevent access to unauthorize websites, due to the resilience and adaptability of pirates.  For this reason, injunctions generally include an ongoing obligation to find and implement the most efficient blocking measures but also the obligation to prevent access to any sites created in replacement of the sites initially concerned  by the blocking. It’s a never-ending task.

It must moreover be kept in mind that ISPs are subject to a indefinite number of injunctions… from an indefinite number of rightholders.  With the risk that the massive combination of injunctions might indeed amount… to an “unbearable sacrifice” for the ISPs.

In this regard, it is for the less surprising to note importance given by the Courts to the financial situation of the rights holders – or their representatives-  in the solution granted. Should the application of the rule of law – and here copyright principles, not remain independent from economic (alleged) reality?

One can however already fear that the price of the battle against online piracy will be reflected on your Internet bill…

Cet article Will our internet bill explode? est apparu en premier sur Droit & Technologies.

Une copie d’examen manuscrite est-elle un ensemble de données à caractère personnel ?

lun, 04/09/2017 - 17:45

Un expert-comptable stagiaire irlandais, après avoir échoué à quatre reprises à un examen, décide de contester ses résultats. Pour cela, il demande accès à toutes les données le concernant détenues par l’Ordre. L’ordre lui transmet divers documents mais refuse cependant de lui communiquer sa copie d’examen au motif que celle-ci ne constitue pas des données à caractère personnel au sens des lois sur la protection des données.

L’expert saisi alors l’autorité de protection des données de la question. Celle-ci donne raison à l’Ordre considérant que la copie ne constituait pas des données à caractère personnel pouvant faire l’objet d’un droit d’accès. La décision donne lieu à un recours devant les juridictions irlandaises qui atterrit devant la Supreme Court. Cette dernière saisit alors la CJUE d’une double question préjudicielle qui amène l’avocat général à rencontrer le problème : la copie est-elle un ensemble de données à caractère personnel ? Les annotations des exanimateurs en font-elles partie ? Quelles sont alors les conditions d’exercice du droit d’accès ?

Dans ses conclusions, l’avocat général chargé de présenter à la CJUE un avis juridique sur la question  répond par l’affirmative à la question de qualification. De quoi faire frémir tous les professeurs de l’Union Européenne ?

La copie d’une épreuve écrite contient-elle des données à caractère personnel ?

Oui répond l’avocat général, dès lors qu’elle matérialise des informations relatives au candidat, elle est dans cette mesure, un faisceau de données à caractère personnel : elle permet à tout le moins d’établir que le candidat a passé l’examen mais aussi la performance qui a été réalisée. Les notes mais aussi les détails de la performance, contenus par les réponses dans les copies, sont visés.  L’écriture elle-même peut d’ailleurs contenir une information sur la personne.

Le fait que l’appropriation injustifiée des performances d’autrui lors d’un examen soit punissable ou qu’une copie ne puisse être publiée ou transmise à un tiers sans l’autorisation du candidat atteste d’ailleurs, selon l’Avocat, du caractère éminemment personnel d’une copie d’examen. De même que, selon lui, le fait que le candidat ait un intérêt légitime à s’opposer à ce que ladite copie qui lui est attribuée soit traitée en dehors de la procédure d’examen.

Le droit d’accès et/ou de correction pourraient-ils alors être exercés sans abus?

L’avocat général répond par l’affirmative sur la possibilité d’exercice desdits droits. Bien entendu, la correction demandée ne peut viser à corriger les réponses elles-mêmes après consultation sous peine de dénaturer la finalité d’évaluation de la copie d’examen. Des erreurs dans la réponse ne signifient donc pas que les données à caractère personnel matérialisées dans la copie sont inexactes mais cela ne veut pas dire qu’une rectification n’est jamais possible : elle le sera par exemple si on attribue à un candidat la copie d’un autre. Un effacement pourrait aussi être envisageable après un certain délai.

Quant à l’accès lui-même, il serait également légitimé, indépendamment de tout besoin de correction ou d’effacement ultérieur, par un intérêt légitime à savoir quelles informations ont été traitées. Surtout après un certain délai, en vue de savoir par exemple, si la copie est encore conservée. Même si, l’Avocat admet quand même qu’a priori, le candidat devrait savoir ce que sa copie contient…

Reste alors, la vraie question : n’y a-t-il pas abus du droit d’accès à agir de la sorte ? Car, le candidat ne semble pas avoir utilisé la procédure de contrôle du résultat d’examen telle que prévue par l’examinateur en lui préférant le droit d’accès de la protection des données.

Selon la jurisprudence de la Cour, une pratique abusive requiert la réunion de deux éléments. Un premier élément objectif à rapporter est que le but poursuivi par la réglementation qui a accordé ledit droit n’est pas atteint. Le second, subjectif, consiste en la preuve que le but essentiel de l’opération est l’obtention d’un avantage indu.

Selon l’avocat général, un tel abus ne serait pas rapporté qu’à des conditions très strictes.

D’abord, la législation interne n’a pas prévu d’exception au droit d’accès dans cette hypothèse et a donc choisi de faire primer les droits fondamentaux sur les intérêts particuliers en cause (cfr les articles 13 de la Directive tout comme dans une plus large mesure encore les articles 15.4 et 23 du GDPR qui prévoient diverses possibilités de limitation des droits). Surtout, selon lui, la simple existence d’autres règles de droit interne qui portent également sur l’accès à des copies d’examen ne suffit pas pour conclure que l’objectif de la directive n’a pas été atteint.

Du reste, il ne voit pas en quoi consisterait l’avantage indu dont bénéficierait le candidat qui pourrait consulter sa copie en exerçant son droit d’accès. Ainsi, le fait que le droit d’accès permet d’obtenir des informations qui n’auraient pas pu être obtenues par une autre voie ne saurait être considéré comme un abus. Ce droit d’accès a pour fonction de permettre à l’intéressé de consulter ses propres données – sous réserve des exceptions visées à l’article 13 de la directive sur la protection des données – lorsqu’il ne dispose pas d’un droit d’accès à un autre titre.

Les annotations du correcteur, des données personnelles du candidat

Incidemment et bien que le litige au principal ne porte pas sur cette question, l’avocat général se positionne sur la question de savoir si les annotations du correcteur figurant sur la copie d’examen sont ou non des données personnelles du candidat.

Il y répond aussi par la positive. Les annotations servent à évaluer la performance et se rapportent donc indirectement au candidat et sont indissociables de la copie.

Selon l’avocat général, on imagine cependant mal pouvoir invoquer un droit à la rectification, à l’effacement ou au verrouillage de données inexactes à l’égard des annotations du correcteur : cela impliquerait en effet que les annotations inscrites sur la copie se rapportent à une autre copie ou ne reflètent pas l’avis du correcteur or c’est justement cet avis qu’elles doivent établir.

Un droit d’accès aux annotations aurait quant à lui comme but d’informer le candidat sur l’évaluation de certains passages de sa copie.

Concernant ce dernier droit, l’avocat raisonne par analogie avec un arrêt rendu par la CJUE le 17 juillet 2014 où celle-ci avait refusé d’étendre le droit d’accès au projet d’une analyse juridique d’une demande d’asile au motif que cela ne servirait pas les objectifs de la réglementation sur la protection des données mais que cela instaurerait un droit d’accès aux documents administratifs. De même, il pourrait être considéré que l’accès aux annotations du correcteur devrait être obtenu prioritairement dans le cadre de la procédure d’examen ou d’une procédure spéciale d’opposition aux décisions relatives à l’examen et non au titre de la législation sur la protection des données. Dès que la procédure d’examen n’est pas déterminée par le droit de l’UE, d’éventuels droits d’information seraient donc régis par le droit interne.

En revanche, selon lui, la possibilité de contourner la procédure de réclamation prévue dans le cadre de l’examen ne saurait faire obstacle à l’application de la législation relative à la protection des données. En effet, le fait qu’il existe, le cas échéant, d’autres règles parallèles en ce qui concerne l’accès à certaines informations ne saurait évincer la législation relative à la protection des données. Il pourrait tout au plus être admis que les intéressés soient invités à utiliser les droits d’accès parallèles dès lors que ceux-ci peuvent être exercés utilement.

Affaire à suivre…

On a parfois la désagréable impression que la protection des données se perd dans les méandres de ses concepts pour en arriver à des situations un peu absurdes. Tel pourrait être le cas dans l’affaire rapportée ci-avant.

L’interprétation large et apparemment sans limites des concepts de traitements et, en l’espèce, de donnée à caractère personnel, et donc du champ d’application matériel de la protection, peut a priori alimenter ce malaise.

Pourtant, l’approche est logique et cohérente.  Au vu des droits et valeurs en jeu, on doit être très prudent dans toute exclusion a priori des règles en cause et ne pas oublier que la protection de la vie privée dépasse de loin celle de la « vie privée » au sens strict pour permettre aussi l’exercice de l’ensemble des libertés individuelles.

Pour autant que l’on ne tombe pas dans le piège d’une instrumentalisation de la protection des données qui ne pourrait in fine que la desservir.

Le fait qu’une copie d’examen constitue une information se rapportant à une personne physique identifiée ou à tout le moins identifiable, à savoir le candidat, paraît difficilement contestable et on ne peut dès lors que se rallier sur ce point à l’avis de l’avocat général. La copie d’examen n’est qu’un instrument de collecte d’informations permettant l’évaluation du candidat. Elles se rapportent à lui directement ou indirectement. Elle s’insère dans un processus de traitement amenant à l’évaluation finale du candidat.

La limite doit être le cas échéant déterminée dans l’abus éventuel qui pourrait apparaître dans l’utilisation de la protection. C’est là que se situe la véritable marge de manœuvre et la défense contre l’excès. C’est là aussi que le débat mérite d’être creusé plus avant. La théorie de l’abus de droit -bien connue en droit interne- doit permettre d’éviter adéquatement l’excès et la mauvaise foi du candidat. Elle doit permettre aussi, selon nous, d’éviter que celui-ci ne puisse contourner les procédures de contrôle mises en place ou ne puisse faire pallier trop facilement sa propre négligence quant au respect de ces règles, sous peine de rendre celui-ci ingérable. Il est alors très difficile -et peu efficace- d’arrêter des critères trop précis a priori. L’intention de nuire mais surtout le détournement de finalité et le principe de proportionnalité doivent permettre, au vu de toutes les circonstances de fait et de droit, d’arrêter des solutions raisonnables au cas par cas. Et la Cour de Justice doit être attentive à laisser au juge national du fond, une latitude suffisante pour trouver l’équilibre adéquat.

Il n’empêche : si l’avis de l’Avocat général est suivi, il sonnera comme une mise en garde sérieuse au monde enseignant au sens large qui doit également, dans le cadre de l’organisation de son enseignement jusque dans le cadre des évaluations qu’il met en oeuvre, tenir compte des exigences de la protection des données. Là aussi, une évolution espérée dans le cadre de l’implémentation du GDPR.

Plus d’infos ?

Voir les conclusions de l’avocat général disponibles en annexe.

Cet article Une copie d’examen manuscrite est-elle un ensemble de données à caractère personnel ? est apparu en premier sur Droit & Technologies.

Vous avez aimé l’arrêt Delfi ? Vous allez adorer l’arrêt Satakunnan

mar, 29/08/2017 - 10:59
L’arrêt Delfi

Souvenez-vous, c’était le 16 juin 2015 : la Grande Chambre de la Cour européenne des droits de l’homme rendait l’arrêt Delfi.

Cette affaire est la première dans laquelle la Cour a été appelée à examiner un grief relatif à la responsabilité d’un portail d’actualités sur Internet en raison des commentaires laissés par les internautes sur ce dernier. En clair : un journal est-il responsable des commentaires que les lecteurs ajoutent en regard des articles publiés ?

La société requérante, qui exploitait à titre commercial un portail d’actualités, se plaignait que les juridictions nationales l’aient jugée responsable des commentaires injurieux laissés par ses visiteurs sous l’un de ses articles d’actualités en ligne, qui concernait une compagnie de navigation. À la demande des avocats du propriétaire de la compagnie de navigation, la société requérante avait retiré les commentaires injurieux environ six semaines après leur publication.

La Cour a conclu à la non-violation de l’article 10 (liberté d’expression) de la Convention, jugeant que la décision des juridictions estoniennes de tenir la société requérante pour responsable avait été justifiée et n’avait pas constitué une restriction disproportionnée du droit de l’intéressée à la liberté d’expression.

La Grande Chambre a tenu compte du caractère extrême des commentaires en cause, du fait qu’ils avaient été laissés en réaction à un article publié par la requérante sur un portail d’actualités que celle-ci exploitait à titre professionnel dans le cadre d’une activité commerciale, de l’insuffisance des mesures prises par la requérante pour retirer sans délai après leur publication les commentaires injurieux, ainsi que du caractère modéré de la somme (320 euros) que la requérante avait été condamnée à payer.

Pour les uns, Delfi est une censure indirecte de le presse ; pour les autres, Delfi est est une limitation normale de l’exercice d’une liberté.

Les faits de l’affaire Satakunnan

Satakunnan Markkinapörssi Oy et Satamedia Oy, sont des sociétés à responsabilité finlandaises sises à Kokemäki (Finlande).

Depuis 1994, la première requérante, Satakunnan Markkinapörssi Oy, recueillait des données auprès des autorités fiscales finlandaises aux fins de publier dans le magazine Veropörssi des informations sur les revenus imposables et le patrimoine de personnes physiques. Plusieurs autres sociétés d’édition et de médias diffusent également de telles données.

En droit finlandais, les données fiscales de tout un chacun sont en effet accessibles au public (loi n° 1346/1999 sur la publication et la confidentialité des informations fiscales « laki verotustietojen julkisuudesta ja salassapidosta, lagen om offentlighet och sekretess i fråga om beskattningsuppgifter »)

Au cours de l’année 2002 parurent dix-sept numéros du magazine Veropörssi, chacun d’eux se concentrant sur une zone géographique du pays. Les données publiées comprenaient les noms et prénoms d’environ 1,2 million de personnes physiques dont les revenus imposables annuels dépassaient certains seuils, en général 60 000 à 80 000 marks finlandais (soit environ 10 000 à 13 500 euros (EUR)), ainsi que le montant, arrondi à la centaine d’euros, de leurs revenus provenant du travail et d’autres sources et de leur patrimoine net imposable. Les données furent publiées dans le magazine sous la forme d’une liste alphabétique et classées par commune de résidence et tranche de revenus.

La première société requérante coopérait avec la seconde société requérante, Satamedia Oy. Elles étaient détenues par les mêmes actionnaires.

En 2003, la première requérante commença à transférer à la seconde requérante, sous la forme de CD-ROM, des données à caractère personnel publiées dans le magazine Veropörssi, et cette dernière lança avec un opérateur de téléphonie un service de messagerie téléphonique (service de SMS).

En envoyant le nom d’une personne à un numéro de ce service, le demandeur pouvait obtenir sur son téléphone portable des informations fiscales sur cette personne, pour autant qu’elles fussent disponibles dans la base de données ou dans le fichier créé par la seconde société requérante. Cette base avait été créée à partir de données personnelles déjà publiées dans le magazine et transférées sous la forme de CD-ROM à la seconde requérante. À partir de 2006, la seconde requérante publia également le magazine Veropörssi.

La procédure

En avril 2003, le médiateur chargé de la protection des données engagea une action administrative relative aux modalités et à l’ampleur du traitement des données fiscales par les sociétés requérantes.

La commission de protection des données écarta la demande du médiateur au motif que les sociétés requérantes se livraient à des activités de journalisme et avaient donc le droit de déroger aux dispositions de la loi sur les données à caractère personnel.

L’affaire fut portée devant la Cour administrative suprême qui, en septembre 2009, jugea que la publication de l’ensemble de la base de données ne pouvait pas être considérée comme une activité journalistique mais constituait un traitement de données à caractère personnel, activité que les sociétés requérantes n’avaient pas le droit d’exercer. Par conséquent, elle annula les décisions précédentes et renvoya l’affaire devant la commission de protection des données. En novembre 2009, celle-ci interdit aux sociétés requérantes de traiter des données fiscales à la même échelle qu’en 2002 et de les transmettre à un service de SMS. Cette décision fut finalement confirmée par la Cour administrative suprême en juin 2012.

Les sociétés Satakunnan Markkinapörssi Oy et Satamedia Oy portent l’affaire à Strasbourg, devant la cour européenne des droits de l’homme.

Invoquant les articles 10 (liberté d’expression) et 14 (interdiction de la discrimination) de la Convention européenne des droits de l’homme, les sociétés requérantes se plaignaient de l’interdiction qui leur était faite de traiter et de publier des données fiscales. Elles s’estimaient victimes de censure et de discrimination par rapport aux autres journaux, qui pouvaient, eux, continuer de diffuser pareilles informations.

Dans son arrêt de chambre du 21 juillet 2015 la Cour européenne des droits de l’homme avait dit, par six voix contre une, qu’il n’y avait pas eu violation de l’article 10 de la Convention.

Le 14 décembre 2015, l’affaire a été renvoyée devant la Grande Chambre à la demande des sociétés requérantes.

La Grande chambre a rendu une décision confirmant l’arrêt de chambre du 21 juillet 2015.

Une ingérence ? Oui

La Cour dit qu’il y a eu une ingérence dans le droit des sociétés requérantes à diffuser des informations au regard de l’article 10, à raison de l’interdiction qui leur a été faite de traiter et de publier des données fiscales. Cependant, elle estime qu’il n’y a pas eu violation de l’article 10, car l’ingérence était « prévue par la loi », poursuivait un but légitime et était « nécessaire dans une société démocratique ».

Une ingérence prévue par la loi ? Oui

Quant au point de savoir si l’ingérence était « prévue par la loi », la Cour estime que celle-ci avait une base légale dans les articles 2 § 5, 32 et 44 § 1 de la loi sur les données à caractère personnel. Elle était suffisamment prévisible pour que les sociétés requérantes comprennent que leurs activités seraient considérées comme illégales en vertu de cette législation, et qu’une telle collecte massive de données et une telle diffusion publique de données ne seraient pas couvertes par la dérogation légale à des fins journalistiques.

Une ingérence poursuivant un but légitime ? Oui

Concernant la question du but légitime, la Cour estime que l’ingérence visait à l’évidence « la protection de la réputation ou des droits d’autrui », ce qui constitue bien un but légitime au sens de l’article 10 § 2. La protection de la vie privée était au cœur de la législation relative à la protection des données, et le médiateur chargé de la protection des données a agi sur le fondement de plaintes concrètes d’individus alléguant des atteintes à leur droit à la vie privée.

Une ingérence proportionnée ? Oui

Pour la Cour, il s’agit principalement en l’espèce de déterminer si l’ingérence était « nécessaire dans une société démocratique » et si, pour trancher cette question, les juridictions internes ont ménagé un juste équilibre entre le droit au respect de la vie privée et le droit à la liberté d’expression.

La Cour conclut qu’un juste équilibre a été ménagé, et que les autorités internes ont tenu dûment compte des principes et critères exposés dans sa jurisprudence. En particulier, la Cour souscrit à la conclusion de la Cour administrative suprême selon laquelle la publication des données fiscales selon les modalités et à l’échelle en question n’avait pas contribué à un débat d’intérêt général, et que les sociétés requérantes ne pouvaient pas prétendre, en substance, que cette activité de publication avait été exercée aux seules fins de journalisme au sens de la législation nationale et européenne.

De plus, la Cour relève que la collecte, le traitement et la diffusion par les requérantes des données litigieuses ont été effectuées sur une base globale, et selon des modalités qui ont eu des conséquences sur l’ensemble de la population adulte. Pour compiler les données, les intéressées ont contourné les voies normalement empruntées par les journalistes pour accéder à des données fiscales et, en conséquence, les garde-fous mis en place par les autorités internes pour réglementer l’accès à ces informations. La publication des données par les sociétés requérantes les ont rendues accessibles selon des modalités et à une échelle qui n’étaient pas prévues par le législateur.

Même si le droit finlandais autorise l’accès du public aux informations fiscales à caractère personnel, la législation en matière de protection des données établit également des limites importantes à cet accès. L’examen par le Parlement de cette législation a été rigoureux et pertinent, ce qui se reflète au niveau européen. Dans ces circonstances, les autorités de l’État défendeur jouissaient d’une ample marge d’appréciation s’agissant de décider des modalités à adopter pour ménager un juste équilibre entre le droit à la vie privée et le droit à la liberté d’expression relativement à l’utilisation des données.

La Cour prend aussi en compte le fait que la plupart des États européens n’accordent pas un accès public aux informations fiscales à caractère personnel et que la législation finlandaise est quelque peu exceptionnelle à cet égard. De plus, les autorités n’ont pas totalement interdit aux sociétés requérantes de publier des données fiscales, mais leur ont simplement demandé de procéder à cette activité de publication d’une manière compatible avec les législations finlandaises et européennes en matière de protection des données.

Plus d’infos?

En lisant l’arrêt de la grande chambre, disponible en annexe.

Cet article Vous avez aimé l’arrêt Delfi ? Vous allez adorer l’arrêt Satakunnan est apparu en premier sur Droit & Technologies.

Une personne morale peut-elle, comme une personne physique, assigner à l’endroit correspondant au « centre de ses intérêts » ?

mar, 22/08/2017 - 12:11
Les faits

Bolagsupplysningen, une entreprise établie à Tallinn (Estonie), réalise la plus grande partie de ses activités en Suède. Elle a été inscrite sur une liste noire publiée sur le site Internet de Svensk Handel, une association d’employeurs suédois, au motif qu’elle aurait commis des « actes de fraude et de tromperie ». Plus de 1 000 commentaires ont été publiés en réponse à cette inscription. L’entreprise a introduit une action en justice en Estonie contre Svensk Handel. Elle a demandé au tribunal estonien d’ordonner sa radiation de la liste noire ainsi que la suppression des commentaires publiés sur le site Internet. Elle a également demandé des dommages-intérêts pour un montant de 56 634,99 € en réparation du préjudice causé à ses activités.

Dans le cadre du recours formé devant la Riigikohus (Cour suprême, Estonie), la question qui se pose est celle de savoir si les juridictions estoniennes sont compétentes pour statuer sur ce litige conformément au droit de l’Union. Plus largement, cette affaire invite la Cour à énoncer clairement les règles de compétence en matière d’atteinte à la réputation causée par une publication sur Internet.

Le principe : le domicile du défendeur

La règle générale régissant la compétence internationale en droit de l’Union pose comme principe que l’action en justice doit être intentée à l’encontre du défendeur au domicile de celui-ci, ce qui correspondrait à la Suède en l’espèce.

L’exception : loci delicti

Bolagsupplysningen se fonde toutefois sur une exception à cette règle, en vertu de laquelle le recours peut être introduit dans l’État membre dans lequel le fait dommageable s’est produit ou risque de se produire. Il s’agit d’une règle de compétence spéciale.

La Cour a déjà jugé que, pour les recours formés par les personnes physiques, le lieu où le fait dommageable s’est produit ou est susceptible de se produire correspond à l’État où se trouve le « centre de leurs intérêts ».

La règle de compétence spéciale fondée sur le centre des intérêts permet ainsi au requérant d’introduire son action devant les juridictions d’un seul État membre pour demander réparation du préjudice subi dans plusieurs États membres. Dans le cas contraire, ce requérant devrait s’adresser séparément aux juridictions des différents États membres pertinents.

Bolagsupplysningen invite la juridiction estonienne à appliquer la règle de compétence spéciale fondée sur le centre des intérêts d’une personne morale. Elle fait valoir que le centre de ses intérêts se trouve en Estonie, même si elle a des activités en Suède. Elle fonde cette demande sur le fait que sa gestion, son activité économique, sa comptabilité, son service de développement et son service du personnel sont situés dans cet État membre et que ses revenus sont transférés de Suède en Estonie.

L’avis de l’avocat général

Dans ses conclusions de ce jour, l’avocat général Michal Bobek estime qu’une personne morale qui prétend que ses droits de la personnalité ont été violés par la publication d’informations sur Internet peut, pour l’intégralité du préjudice subi, introduire une procédure judiciaire devant les juridictions de l’État membre dans lequel est situé le centre de ses intérêts.

L’avocat général est d’avis que les personnes morales peuvent bénéficier d’une protection de leurs droits de la personnalité. Plus important, la renommée et la réputation des personnes morales dans les États membres est protégée non pas uniquement en tant que droit fondamental, mais, plus généralement, par la loi. Pour les « simples » recours extracontractuels, des règles de compétence équivalentes doivent exister en droit de l’Union pour pouvoir déterminer la juridiction qui sera compétente pour statuer sur une demande telle que celle formulée en l’espèce.

L’avocat général continue en affirmant qu’il ne voit aucune raison justifiant que les règles de compétence spéciale soient appliquées différemment selon que le requérant est une personne physique ou morale. Il estime qu’agir ainsi serait fondé sur la supposition qu’une personne physique est « la partie la plus faible » dans le cadre d’un recours l’opposant à une personne morale. Selon l’avocat général, Internet a complètement changé la donne, vu la facilité avec laquelle les personnes physiques peuvent publier des informations en ligne.

Ensuite, l’avocat général affirme qu’en ce qui concerne la règle de compétence spéciale pour les recours relatifs à la diffamation sur Internet, le lieu où le fait dommageable s’est produit correspond probablement à celui où la réputation de la personne a été atteinte le plus fortement. Dans les affaires de diffamation, un tel lieu est le véritable centre du litige, lequel est probablement, à son tour, le lieu où cette personne (physique ou morale) a le centre de ses intérêts.

Afin de déterminer le centre des intérêts d’une personne morale, l’avocat général affirme que les facteurs pertinents sont sans doute les activités commerciales principales ou les autres activités professionnelles, celles-ci devant être déterminées plus précisément par le chiffre d’affaires ou le nombre de clients ou de contacts professionnels. L’avocat général estime que le siège de la personne morale peut être pris en compte, mais, si aucune activité professionnelle n’est exercée dans cet État membre et si la personne morale n’y génère aucun chiffre d’affaires, le centre de ses intérêts ne peut pas être situé à cet endroit. L’avocat général reconnaît qu’il peut exister, pour les personnes physiques comme pour les personnes morales, plusieurs centres d’intérêts ; dans ce cas, il appartient au requérant de choisir l’État membre dans lequel il souhaite intenter son action en justice. Une fois le choix effectué et tant que l’affaire est pendante, le requérant ne peut pas intenter de nouvelle action en justice ailleurs.

Enfin, l’avocat général estime que la juridiction pertinente doit être pleinement compétente : elle doit ainsi se prononcer sur l’intégralité du préjudice allégué et sur les mesures à prendre, y compris, comme dans la présente affaire, sur l’injonction pour rectification et suppression des informations litigieuses.

Commentaire

La logique intuitive voudrait que le régime soit le même que le plaignant soit une personne morale ou physique.

Toutefois, si l’on analyse la façon dont l’exception est petit à petit devenue la règle pour les personnes physiques, on perçoit bien le souci de protection de la personne physique, réputée faible et sans moyen, désemparée face à une attaque portant sur sa personne.

Aligner les deux est donc logique, mais ouvre une boite de Pandore procédurale car on devrait alors en toute logique opérer ce rapprochement dans d’autres situations, indépendamment de la volonté de départ consistant à protéger le faible.

L’arrêt sera intéressant.

Cet article Une personne morale peut-elle, comme une personne physique, assigner à l’endroit correspondant au « centre de ses intérêts » ? est apparu en premier sur Droit & Technologies.

GDPR : Tout savoir sur le registre des activités de traitement

mer, 09/08/2017 - 10:54

A partir du 25 mai 2018, les autorités de contrôles seront libres de sanctionner les entreprises pour non-respect du GDPR. Or, l’une des nouvelles obligations phare du règlement est la tenue d’un registre des activités de traitement (art. 30 GDPR). Pourquoi phare ? Parce que le leitmotiv du règlement est la responsabilisation a priori de celui qui traite les données – responsable ou sous-traitant – ce qu’exprime  parfaitement le devoir de tenir un registre des activités de traitement.

Qui doit tenir un Registre ?

En principe, les responsables de traitement (SPRL, SA, ASBL, comptables, avocats, pharmaciens, médecins, commerçants, etc.), leurs sous-traitants et même… les représentants de ces derniers devront (sauf exceptions) tenir un registre. Pour rappel, le responsable de traitement qui ne dispose pas d’un établissement sur le territoire de l’UE mais qui se voit appliquer le GDPR, doit désigner un représentant. Bonne nouvelle toutefois dans ce dernier cas: la CPVP admet la tenue d’un registre unique afin d’éviter tout double-emploi.

Les entreprises ou organisations de moins de 250 employés bénéficient quant à elles d’une dispense sauf lorsqu’elles tombent dans l’une des quatre hypothèses suivantes :

  • le traitement est susceptible de comporter un risque pour les droits et libertés des personnes concernées (le considérant 75 GDPR énumère de manière non-limitative certains d’entre eux : traitement donnant lieu à une discrimination, révélant l’origine raciale, etc.) ;
  • le traitement n’est pas occasionnel c’est-à-dire selon la CPVP lorsqu’il est habituel (elle indique par exemple que les traitements de données liés à la gestion du personnel (RH), à la gestion des fournisseurs ou à la gestion de la clientèle ne sont pas occasionnels) ;
  • le traitement effectué porte sur des catégories particulières de données, appelées « données sensibles » (càd. les données concernant l’origine raciale ou ethnique, la religion ou les convictions, les opinions politiques ou toute autre opinion, l’appartenance à un syndicat, la santé, la vie sexuelle ou l’orientation sexuelle d’une personne)ou ;
  • le traitement effectué porte sur des données judiciaires.

La CPVP considère – à raison – que l’exemption pour PME n’a qu’une portée limitée (souvent les traitements seront permanents et non occasionnels) et est d’ailleurs d’avis qu’il serait de bonne pratique d’établir en toute hypothèse le dit registre. Cela étant, elle en admet son inutilité en cas de traitement réellement occasionnel.

Pourquoi cette obligation de tenir un Registre ?

La CPVP insiste sur le fait que le registre doit être vu comme un outil du principe d’« accountability » c’est-à-dire de responsabilité inscrit à l’article 5.2.  Cela  implique notamment que le responsable du traitement soit à même de pouvoir démontrer la conformité des activités de traitement avec le règlement en adoptant une approche par les risques. Ce principe nécessite donc de travailler sur la gouvernance des données et impose concrètement dans les faits de devoir constituer une documentation importante afin de pouvoir démontrer, a posteriori sa conformité et son respect de la protection des données à caractère personnel auprès des autorités de contrôle.

Si la tenue d’un registre profite directement aux autorités dans leur tâche de surveillance, la CPVP indique qu’elle profite également aux responsables et aux sous-traitants qui pourront grâce à ce dernier, appliquer de manière efficace et plus éclairée les règles contenues dans le GDPR. Une vue d’ensemble des activités de traitement permettra par exemple de pouvoir répondre à la question de savoir si en tant que responsable ou sous-traitant, il est autorisé à traiter ces données (si la réponse est non, il devra ainsi arrêter tout traitement afin d’éviter de lourdes sanctions); si les données sont envoyées à l’étranger et si oui, dans quel pays (afin de prévoir l’encadrement adéquat pour assurer un régime de protection équivalent si le transfert à lieu vers un pays situé hors de l’EU), etc.

Pour aider les destinataires de l’obligation dans un premier temps dans la mise en place du registre interne – et à défaut d’autres outils disponibles –  la CPVP est d’avis que les outils déjà mis en place dans le cadre des déclarations préalables peuvent servir. Elle renvoie dès lors à une note explicative listant les finalités les plus courantes (buts d’utilisation des données), les différentes catégories de données, de destinataires etc. et mise à disposition sur le site de la CPVP. Mais attention, ce ne sera toutefois pas suffisant : de nombreux traitements – qui devront figurer dans le registre – échappent actuellement à l’obligation de déclaration préalable (par exemple, les traitements relatifs à l’administration du personnel ou des salaires) et ne sont dès lors pas repris dans la note explicative.

Quelles informations doit contenir le Registre ?

La CPVP rappelle que les informations à indiquer dans le registre ne sont pas identiques selon que le traitement est effectué par un responsable de traitement ou par un sous-traitant. Mais principalement, devront s’y trouver des informations relatives aux buts pour lesquelles les données sont traitées (ex : gestion des prestation salariales), aux catégories de personnes concernées par le traitement des données (ex : employés, travailleurs intérimaires, etc.), aux destinataires de données (ex : ONE, mutuelles, etc.), à la durée de conservation des données, etc. Le registre devrait distinguer les traitements tenus en qualité de responsable ou de sous-traitant.

De façon simplifiée, ces informations devront permettre de répondre aux 6 questions suivantes :

  • Qui ? On vise les données telles que le nom et les coordonnées du responsable de traitement et le cas échéant du responsable conjoint du traitement, du sous-traitant, du représentant du responsable de traitement et du délégué à la protection des données;
  • Pourquoi ? Cela revient à décrire la finalité du traitement des données. La CPVP donne des informations sur le degré de précision de celle-ci et recommande que le registre contienne un descriptif plus complet à côté de la formulation générale de la finalité;
  • Quoi ? Il s’agit d’une description des catégories de personnes concernées – en isolant les mineurs – et des données traitées – en isolant les données sensibles – pour chacune des finalités identifiées;
  • Où ? Le but est de localiser les données, de préciser les destinataires de celles-ci – en ce compris les sous-traitants – les transferts de données vers des pays tiers à l’Union et l’EEE ainsi que la documentation y afférente etc., ce qui implique une gestion dynamique du registre, insiste la CPVP.
  • Jusqu’à quand ? On retrouve ici principalement les informations concernant la durée de conservation des données. La CPVP souligne ici que cette durée ne doit pas nécessairement s’exprimer en jours-mois-années mais peut faire référence à des paramètres tels que le temps nécessaire à la réalisation de la finalité concrète poursuivie, à la gestion du contentieux éventuel y relatif, à l’expiration d’un délai de prescription etc.;
  • Comment ? Il s’agit d’une description générale des mesures de sécurité techniques et organisationnelles mises en place).

Bien entendu, d’autres éléments peuvent être ajoutés dans le registre indique la CPVP (base légale du traitement, la nécessité d’une analyse d’impact, le relevé des violations de données etc.).

Comment établir le Registre ?

Ce registre doit être tenu en associant des personnes des services opérationnels ainsi que le cas échéant, le DPO. La CPVP rappelle également que celui-ci doit être tenu par écrit (en ce compris de manière électronique) et être lisible et compréhensible.

Le registre devra en outre être constamment tenu à jour. Concernant les traitements auxquels il a été mis fin, la CPVP recommande de les inclure malgré tout dans le registre avec mention de leur statut et durant un délai d’environ 5 ans. Il est également à noter que la CPVP ne demande pas que le registre soit tenu dans une langue nationale mais admet l’anglais comme langue de rédaction même si elle pourra exiger une traduction en cas de contrôle.

Pour aider les entreprises et organismes dans l’établissement de ce registre, un canevas-type de registre est d’ores et déjà disponible sur le site de la CPVP. Le modèle de registre proposé va au-delà des prescrits du GDPR (ex : les informations relatives à la manière dont les personnes sont informées de l’enregistrement de leurs données) : les informations minimales devant obligatoirement figurer dans le registre sont marquées en rouge.

Ce modèle n’est cependant pas un support officiel : la CPVP laisse donc la liberté d’utiliser un autre registre, sous un autre format (logiciel, etc.) pour autant que celui-ci permette d’offrir un aperçu complet des traitement de données personnelles opérés. A cet égard, il conviendra d’être également attentifs aux modèles publiés le cas échéant par les organismes représentatifs de certains secteurs d’activité puisqu’ils ont été encouragés par la CPVP à se pencher sur la question.

Quelles sont les sanctions lorsque le Registre n’est pas tenu (correctement) ?

La CPVP rappelle qu’une amende administrative pouvant s’élever jusqu’à 10.000.000 EUR pourra être infligée ou, pour une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant retenu).

L’autorité de contrôle pourra en sus, exercer l’ensemble de ses pouvoirs à l’égard des responsables de traitement et sous-traitants qui ne respecteront pas leur obligation (avertissement, limitation temporaire ou permanente du traitement, rectification ou effacement des données personnelles, retrait de la certification, etc.).

Une synthèse et des recommandations clôturent un document qui sera utile à tous ceux qui travaillent en ce moment sur un chantier GDPR.

Cet article GDPR : Tout savoir sur le registre des activités de traitement est apparu en premier sur Droit & Technologies.

Avocat et DPO ? L’ordre bruxellois répond favorablement

mer, 02/08/2017 - 16:45
Le Délégué à la Protection des données (DPO/DPD) et le GDPR

L’article 37 du Règlement Général sur la Protection des Données  (RGPD ; GDPR en anglais) fixe trois cas dans lesquels la désignation d’un délégué à la protection des données est obligatoire au sein de l’organisation du responsable du traitement et/ou du sous-traitant :

  • lorsque le traitement est effectué par une autorité ou un organisme public, à l’exclusion des juridictions agissant dans le cadre de leur compétence judiciaire ( 37, paragraphe 1, a) ;
  • lorsque les activités de base du responsable ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées ( 37, paragraphe 1, b) ;
  • lorsque les activités de base du responsable ou du sous-traitant consistent en des traitements à grande échelle de données sensibles au sens de l’article 9 du Règlement ( 37, paragraphe 1, c).

Le responsable, le sous-traitant ou des associations ou autres organismes qui représentent des catégories de responsables ou de sous-traitants peuvent ou, le cas échéant, doivent désigner un délégué à la protection des données si le droit de l’Union ou le droit d’un État membre l’exige (art. 37, § 4).

Il s’en déduit qu’en dehors de ces trois hypothèses obligatoires, la désignation d’un DPO pourra se faire sur une base volontaire mais impliquera alors pour l’organisme qu’il se soumette aux obligations relatives à la désignation, à la fonction ou aux missions du délégué prévues par le GDPR (articles 37 à 39).

Dans les deux cas, la désignation (qu’elle soit obligatoire ou non) pourra se faire en interne ou en externe. La fonction de DPO peut effectivement être exercée sur la base d’un contrat de service conclu avec un délégué externe à l’organisation du responsable du traitement ou du sous-traitant. Rappelons encore que le délégué à la protection des données reçoit de nombreuses missions décrites à l’article 39 : une mission d’avis et de conseil (1) ; une mission de contrôle (2) ; une mission de point de contact avec l’autorité de contrôle (3). Forcément, le DPD doit fait preuve pour être éligible à sa nomination de compétences spécifiques en termes de connaissances et de pratique de la protection des données.

LE DPD et l’Avocat

En Belgique, cette nouvelle fonction – à l’instar de la France où la fonction de CIL (Correspondant Informatique et Libertés) est déjà depuis longtemps exercée par des Confrères – a nécessairement suscité l’intérêt des avocats spécialisés en la matière comme des représentants d’autres professions (consultants en organisation ou en IT etc.). C’est que la fonction de DPD est susceptible de créer un vaste marché d’offres de services particulièrement pérenne et rémunérateur.

L’expérience des chantiers de mise en conformité au GDPR montre également qu’il est parfois extrêmement difficile de trouver en interne chez le responsable du traitement ou le sous-traitant, des ressources ayant la compétence suffisante tout en évitant la règle d’interdiction du conflit d’intérêts. En effet, toute personne ayant pris des décisions relatives aux traitements de données dans l’organisation (délégué à la sécurité, chef du département IT ou des départements juridiques ou RH etc.) pourrait être amené à contrôler une décision antérieure ou à prendre. Le choix d’une offre externe permet sans doute aussi de se séparer plus confortablement de son DPD, pour autant que les règles d’indépendance soient respectées. Sans parler de la possibilité de ne pas devoir mobiliser une nouvelle ressource en interne sur cette matière.

Il faut en outre souligner que l’avocat paraît particulièrement bien placé pour se positionner dans ce nouveau marché. Le devoir d’indépendance auquel il est déontologiquement soumis, mais aussi sa soumission au secret professionnel tout comme sa réputation de spécialiste dans ces matières lui assurent la possibilité de proposer des offres séduisantes à plus d’un titre.

L’Ordre a bien saisi l’attente de ses ouailles et n’a pas hésité, en sa séance du 20 juin 2017, à insérer des règles particulières au Délégué à la protection des données dans le code de déontologie.

L’effet direct et premier de ses nouvelles dispositions est de reconnaître la compatibilité de la fonction de DPD avec la qualité d’avocat. Un soulagement pour ceux qui en doutaient.

Une compatibilité soumise à conditions

Cela dit, l’exercice de la fonction DPD par l’avocat est soumis à certaines conditions et d’obligations tendant à assurer une parfaite compatibilité :

  • L’avocat restera intégralement soumis -pour ses fonctions de DPD- à toutes les obligations déontologiques du barreau ainsi qu’aux seules autorités disciplinaires de l’Ordre. Il devra avertir son Bâtonnier avant d’exercer la fonction de DPD (nouveaux article 2.100.a et 2.100.b).
  • Ce devoir va assurément dans le sens de l’indépendance de la fonction de DPD qui implique notamment qu’il ne reçoit aucune instruction concernant l’exercice de ses missions et ne peut être pénalisé par le responsable ou le sous-traitant pour l’exercice de ses missions (art. 38.3 du GDPR). Le nouvel article 2.100.c du code impose d’ailleurs à l’avocat de faire preuve, dans sa fonction de DPD, de toute l’indépendance qui caractérise sa profession et de mettre un terme à sa mission si cette indépendance est compromise.
  • l’avocat devra bien entendu être particulièrement attentif à éviter tout conflit d’intérêts dans l’exercice de sa nouvelle fonction, ce qui fait également écho à une disposition spécifique du GDPR ( 38.6).

A ce propos, les règles sont précisées par l’Ordre qui prévoit que (1) l’avocat DPD ne peut plaider en justice pour le responsable et/ou le sous-traitant dans une procédure administrative ou judiciaire le mettant en cause pour des questions relatives à la protection des données à caractère personnel (art. 2100.d) et que (2) l’avocat ne peut non plus intervenir pour une partie qui est ou devient l’adversaire du responsable de traitement dont il est le DPD. Même après son mandat expiré, il ne pourra intervenir que s’il n’existe pas de conflit d’intérêts et de suspicion d’atteinte à son secret professionnel (art. 2100.e).

Ces règles vont imposer aux véritables spécialistes de la matière un choix parfois difficile dans leurs futures interventions : fournir un DPD à son client l’entraînent à renoncer à toute intervention classique à son profit (avis, défense devant l’autorité de contrôle etc.).

Notons enfin que si certaines des nouvelles  règles déontologiques ne visent expressément que l’exercice de la fonction de DPD auprès d’un responsable de traitement, les mêmes règles doivent valoir si l’avocat l’exerce auprès d’un sous-traitant. Il ne semble s’agir que d’un oubli de la part de l’Ordre.

Cet article Avocat et DPO ? L’ordre bruxellois répond favorablement est apparu en premier sur Droit & Technologies.

La Cour recale l’accord PNR avec le Canada

dim, 30/07/2017 - 14:07
Antécédents

L’Union européenne et le Canada ont négocié un accord sur le transfert et le traitement des données des dossiers passagers (accord PNR) qui a été signé en 2014. Le Conseil de l’Union européenne ayant demandé au Parlement européen de l’approuver, ce dernier a décidé de saisir la Cour de justice pour savoir si l’accord envisagé était conforme au droit de l’Union et, en particulier, aux dispositions relatives au respect de la vie privée ainsi qu’à la protection des données à caractère personnel. On notera que c’est la première fois que la Cour doit se prononcer sur la compatibilité d’un projet d’accord international avec la Charte des droits fondamentaux de l’UE.

Dans son avis du 26 juillet, la Cour répond que l’accord PNR ne peut pas être conclu sous sa forme actuelle en raison de l’incompatibilité de plusieurs de ses dispositions avec les droits fondamentaux reconnus par l’Union.

Qu’est-ce qu’un accord PNR ?

L’accord envisagé permet le transfert systématique et continu des données PNR (Passenger Name Record) de l’ensemble des passagers aériens à une autorité canadienne en vue de leur utilisation et de leur conservation, ainsi que de leur éventuel transfert ultérieur à d’autres autorités et d’autres pays tiers, dans le but de lutter contre le terrorisme et les formes graves de criminalité transnationale. À cet effet, l’accord envisagé prévoit, entre autres, une durée de stockage des données de cinq ans ainsi que des exigences en matière de sécurité et d’intégrité des données PNR, un masquage immédiat des données sensibles, des droits d’accès aux données, de rectification et d’effacement et la possibilité d’introduire des recours administratifs ou judiciaires.

Prises ensemble, les données PNR peuvent, entre autres, révéler un itinéraire de voyage complet, des habitudes de voyage, des relations existant entre deux ou plusieurs personnes ainsi que des informations sur la situation financière des passagers aériens, leurs habitudes alimentaires ou leur état de santé, voire fournir des informations sensibles sur ces passagers. En outre, les données PNR transférées sont destinées à être analysées de manière systématique avant l’arrivée des passagers au Canada par des moyens automatisés, fondés sur des modèles et des critères préétablis. De telles analyses sont susceptibles de fournir des informations supplémentaires sur la vie privée des passagers. Enfin, la durée de conservation des données PNR pouvant aller jusqu’à cinq ans, cet accord permet de disposer d’informations sur la vie privée des passagers sur une durée particulièrement longue.

L’ingérence est-elle justifiée ?

La Cour relève que le transfert des données PNR de l’Union vers le Canada ainsi que les règles de l’accord envisagé sur la conservation des données, leur utilisation et leur éventuel transfert ultérieur à des autorités publiques canadiennes, européennes ou étrangères comportent une ingérence dans le droit fondamental au respect de la vie privée. De même, l’accord envisagé comporte une ingérence dans le droit fondamental à la protection des données à caractère personnel.

La Cour examine ensuite si ces ingérences peuvent être justifiées.

Elle relève à cet égard que les ingérences en cause sont justifiées par la poursuite d’un objectif d’intérêt général (garantie de la sécurité publique dans le cadre de la lutte contre des infractions terroristes et la criminalité transnationale grave) et que le transfert des données PNR vers le Canada et le traitement ultérieur de celles-ci sont aptes à garantir la réalisation de cet objectif.

L’ingérence est-elle nécessaire ?

S’agissant du caractère nécessaire des ingérences, la Cour considère que plusieurs dispositions de l’accord ne sont pas limitées au strict nécessaire et ne prévoient pas des règles claires et précises.

En particulier, la Cour relève que les parties à l’accord ont admis la possibilité d’un transfert des données sensibles vers le Canada (les données sensibles recouvrent l’ensemble des informations révélant « l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale » ou concernant « l’état de santé ou la vie sexuelle d’une personne »). Compte tenu du risque d’un traitement contraire au principe de non-discrimination, un transfert des données sensibles vers le Canada nécessiterait une justification précise et particulièrement solide, tirée de motifs autres que la protection de la sécurité publique contre le terrorisme et la criminalité transnationale grave. Or, en l’occurrence, une telle justification fait défaut. La Cour en conclut que les dispositions de l’accord sur le transfert des données sensibles vers le Canada ainsi que sur le traitement et la conservation de ces données sont incompatibles avec les droits fondamentaux.

La Cour considère par ailleurs que l’accord envisagé ne dépasse pas les limites du strict nécessaire en ce qu’il permet le transfert des données PNR de l’ensemble des passagers aériens vers le Canada. En effet, l’analyse automatisée des données PNR vise à identifier le risque pour la sécurité publique que pourraient éventuellement présenter des personnes qui ne sont pas connues des services compétents et qui pourraient être, en raison de ce risque, soumises à un examen approfondi aux frontières. Ce traitement des données facilite et accélère les contrôles de sécurité (notamment aux frontières) auxquels, conformément à l’article 13 de la convention de Chicago, l’ensemble des passagers aériens désireux d’entrer au Canada ou de sortir de ce pays sont soumis, ces derniers étant tenus de respecter les conditions d’entrée et de sortie prescrites par le droit canadien en vigueur.

La réutilisation des données

Pour les mêmes raisons, aussi longtemps que les passagers se trouvent au Canada ou en partance de ce pays tiers, le rapport nécessaire entre ces données et l’objectif poursuivi par cet accord existe, de telle sorte que celui-ci ne dépasse pas les limites du strict nécessaire du seul fait qu’il permet la conservation et l’utilisation systématiques de leurs données PNR.

Cependant, s’agissant de l’utilisation des données PNR pendant le séjour des passagers aériens au Canada, la Cour relève que, dès lors que les passagers aériens ont, après vérification de leurs données PNR, été admis à entrer sur le territoire de ce pays tiers, l’utilisation de ces données pendant leur séjour au Canada doit se fonder sur des circonstances nouvelles justifiant cette utilisation. Celle-ci nécessite donc, ainsi que l’exige la jurisprudence de la Cour, des règles prévoyant les conditions matérielles et procédurales régissant une telle utilisation afin, notamment, de protéger les données concernées contre les risques d’abus. De telles règles doivent se fonder sur des critères objectifs pour définir les circonstances et les conditions dans lesquelles les autorités canadiennes visées par l’accord envisagé sont autorisées à les utiliser. Afin de garantir, en pratique, le plein respect de ces conditions, l’utilisation pendant le séjour des passagers aériens au Canada des données PNR conservées doit, en principe et sauf cas d’urgence dûment justifiés, être subordonnée à un contrôle préalable effectué par une juridiction ou par une entité administrative indépendante, la décision de cette juridiction ou de cette entité devant intervenir à la suite d’une demande motivée des autorités compétentes, présentée, notamment, dans le cadre de procédures de prévention, de détection ou de poursuites pénales.

Après le départ des passagers aériens du Canada, le stockage continu des données PNR de l’ensemble des passagers aériens que l’accord envisagé permet n’est pas limité au strict nécessaire. En effet, s’agissant des passagers aériens pour lesquels un risque en matière de terrorisme ou de criminalité transnationale grave n’a pas été identifié à leur arrivée au Canada et jusqu’à leur départ de ce pays, il n’apparaît pas exister, une fois qu’ils sont repartis, de rapport, ne serait-ce qu’indirect, entre leurs données PNR et l’objectif poursuivi par l’accord envisagé, qui justifierait la conservation de ces données. En revanche, un stockage des données PNR des passagers aériens pour lesquels sont identifiés des éléments objectifs permettant de considérer qu’ils pourraient, même après leur départ du Canada, présenter un risque en termes de lutte contre le terrorisme et la criminalité transnationale grave est admissible au-delà de leur séjour dans ce pays, même pour une durée de cinq ans. L’utilisation des données PNR est alors soumise aux mêmes conditions que celles concernant l’utilisation des données PNR pendant le séjour des passagers aériens au Canada.

Les pistes d’amélioration

La Cour considère également que d’autres dispositions de l’accord envisagé sont incompatibles avec les droits fondamentaux, à moins que celui-ci ne soit révisé pour mieux encadrer et préciser les ingérences. Ainsi, la Cour considère que l’accord devrait :

  • déterminer de manière plus claire et précise certaines des données PNR à transférer ;
  • prévoir que les modèles et critères utilisés pour le traitement automatisé des données PNR seront spécifiques et fiables ainsi que non discriminatoires ;
  • prévoir que les bases de données utilisées seront limitées à celles exploitées par le Canada en rapport avec la lutte contre le terrorisme et la criminalité transnationale grave ;
  • prévoir que les données PNR ne puissent être communiquées par les autorités canadiennes aux autorités publiques d’un pays non UE que s’il existe un accord entre l’Union et ce pays équivalent à l’accord envisagé ou bien une décision de la Commission européenne dans ce domaine ;
  • prévoir un droit à l’information individuelle des passagers aériens en cas d’utilisation des données PNR les concernant pendant leur séjour au Canada et après leur départ de ce pays ainsi qu’en cas de divulgation de ces données à d’autres autorités ou à des particuliers ;
  • garantir que la surveillance des règles sur la protection des passagers aériens à l’égard du traitement de leurs données PNR est assurée par une autorité de contrôle indépendante.
  • Étant donné que les ingérences que comporte l’accord envisagé ne sont pas toutes limitées au strict nécessaire et ne sont pas ainsi entièrement justifiées, la Cour en conclut que l’accord envisagé ne peut pas être conclu sous sa forme actuelle.
La base légale d’un accord PNR

Enfin, il convient de noter que le Parlement souhaitait également savoir si l’accord envisagé doit se fonder juridiquement sur les articles 82 et 87 TFUE (coopération judiciaire en matière pénale et coopération policière) ou bien sur l’article 16 TFUE (protection des données à caractère personnel).

À cet égard, la Cour répond que l’accord doit être conclu à la fois sur la base des articles 16 et 87 TFUE. En effet, l’accord envisagé poursuit deux objectifs indissociables et d’importance égale, à savoir, d’une part, la lutte contre le terrorisme et la criminalité transnationale grave – qui ressort de l’article 87 TFUE – et, d’autre part, la protection des données à caractère personnel – qui ressort de l’article 16 TFUE.

Cet article La Cour recale l’accord PNR avec le Canada est apparu en premier sur Droit & Technologies.

L’appel au Djihad est un « détournement » de la liberté d’expression

jeu, 20/07/2017 - 13:51
Principaux faits

Le requérant, Fouad Belkacem, est un ressortissant belge né en 1982 et résidant à Boom (Belgique). Il était le dirigeant et porte-parole de l’organisation « Sharia4Belgium », qui fut dissoute en 2012.

M. Belkacem fut poursuivi pour diverses infractions prévues par la loi du 10 mai 2007 tendant à lutter contre certaines formes de discrimination, notamment en raison des propos qu’il avait tenus et publiés sur Youtube concernant le ministre de la défense de la Belgique de l’époque et le mari défunt d’une femme politique belge. Dans les vidéos en question, M. Belkacem appelait, entre autres, les auditeurs à dominer les personnes non-musulmanes, à leur donner une leçon et à les combattre ; il prônait également le « Jihad » et « la charia ».

Le 10 février 2012, le tribunal correctionnel d’Anvers condamna M. Belkacem à une peine d’emprisonnement de deux ans et au paiement d’une amende de 550 euros (EUR). Ce dernier fit opposition. Le 4 mai 2012, le tribunal correctionnel d’Anvers confirma son jugement en y ajoutant toutefois un sursis à exécuter la peine d’emprisonnement pour une durée de cinq ans. L’intéressé interjeta appel. Le 6 juin 2013, la cour d’appel d’Anvers condamna M. Belkacem à une peine d’emprisonnement d’un an et six mois, avec sursis, et à une amende de 550 EUR en précisant que l’incitation publique à la discrimination, à la violence et à la haine ressortait de la description même des faits. M. Belkacem s’est pourvu en cassation.

Le 29 octobre 2013, la Cour de cassation rejeta le pourvoi. Elle jugea que M. Belkacem n’avait pas seulement exprimé son opinion mais qu’il avait incité indiscutablement à la discrimination sur la base de la croyance, ainsi qu’à la discrimination, à la ségrégation, à la haine ou à la violence à l’égard du groupe des non-musulmans et qu’il l’avait fait sciemment et donc intentionnellement.

Décision de la Cour (20 juillet 2017)

Tout d’abord, la Cour rappelle que si sa jurisprudence a consacré le caractère éminent et essentiel de la liberté d’expression dans une société démocratique, elle en a également défini les limites en faisant échapper certains propos du bénéfice de la protection de l’article 10 de la Convention.

À cet égard, la Cour constate que M. Belkacem a publié sur la plateforme Youtube une série de vidéos dans lesquelles il appelle les auditeurs à dominer les personnes non-musulmanes, à leur donner une leçon et à les combattre.

La Cour n’a aucun doute quant à la teneur fortement haineuse des opinions de M. Belkacem et elle fait sienne la conclusion des tribunaux internes selon laquelle l’intéressé cherchait, par ses enregistrements, à faire haïr, à discriminer et à être violent à l’égard de toutes les personnes qui ne sont pas de confession musulmane.

Aux yeux de la Cour, une attaque aussi générale et véhémente est en contradiction avec les valeurs de tolérance, de paix sociale et de non-discrimination qui sous-tendent la Convention.

S’agissant en particulier des propos de M. Belkacem relatifs à la charia, la Cour rappelle qu’elle a jugé que le fait de défendre la charia en appelant à la violence pour l’établir pouvait passer pour un « discours de haine », et que chaque État contractant peut prendre position contre des mouvements politiques basés sur un fondamentalisme religieux, par exemple un mouvement qui vise à établir un régime politique fondé sur la charia.

Ensuite, la Cour relève que la législation belge telle qu’appliquée en l’espèce semble être conforme aux dispositions et recommandations pertinentes du Conseil de l’Europe et de l’Union européenne visant à lutter contre l’incitation à la haine, à la discrimination et à la violence.

Enfin, « la Cour estime que M. Belkacem tente de détourner l’article 10 de la Convention de sa vocation, en utilisant son droit à la liberté d’expression à des fins manifestement contraires à l’esprit de la Convention. Par conséquent, la Cour juge qu’en vertu de l’article 17 de la Convention, M. Belkacem ne peut pas bénéficier de la protection de l’article 10. »

La requête est déclarée tout simplement irrecevable.

Cet article L’appel au Djihad est un « détournement » de la liberté d’expression est apparu en premier sur Droit & Technologies.

Tomorrowland : le flicage général des festivaliers laissera des traces

mer, 19/07/2017 - 18:22
Tomorrowland

Tomorrowland est un festival de musique électronique organisé au mois de juillet à Boom, dans la province d’Anvers, en Belgique. Il figure parmi les festivals les plus réputés au monde. Près de 400 000 festivaliers venus d’environ 200 pays différents. L’auteur n’y a jamais été (ce n’est pourtant pas l’envie qui manque si quelqu’un a une place), mais les avis sont unanimes : on est au niveau du Burning man, il faut le faire une fois dans sa vie. Dingue !

Au programme : musique, fête, dodo, musique, fête, dodo, etc.

Cette année, le programme a innové puisqu’il inclut un contrôle policier, secret, préventif et général de tous les festivaliers.

Un contrôle ? Quel contrôle ?

Quelques dizaines de festivaliers qui avaient acheté un ticket en bonne et due forme, ont reçu un message étonnant leur disant que pour des raisons de sécurité, leur inscription au festival n’avait pas été validée par les services compétents et qu’en conséquence, le billet était retiré (et remboursé).

Contrôle ? Quel contrôle ?

Le site sur lequel acheter des billets ne signale aucun contrôle.

La police n’a rien annoncé.

La commission pour la protection de la vie privée n’était au courant de rien.

On ne sait pas si c’est la police locale, la police fédérale ou la sûreté de l’Etat qui est en charge du contrôle.

On ne sait pas si l’on est dans un cadre de lutte contre le terrorisme ou de droit commun.

Les personnes refoulées n’ont pas reçu de motivation.

La Commission pas contente

Les victimes des décisions négatives étaient renvoyées vers la Commission vie privée pour obtenir davantage d’explications concernant le refus.

Problème, la commission n’était au courant de rien : « La Commission vie privée n’a en aucune façon été impliquée dans ce contrôle général préventif qui est problématique sur plusieurs points. Le contrôle n’a pas du tout été approuvé par la Commission vie privée. On donne l’impression, à tort, que nous pouvons fournir aux victimes une raison à l’avis négatif.

La Commission vie privée déplore de ne pas avoir été consultée au préalable pour examiner la licéité de ce contrôle préventif à la lumière de la Loi vie privée et lance une enquête à ce sujet avec l’aide du Comité P et l’Organe de Contrôle de la gestion de l’information policière (« COC »). »

Quelle base légale ?

Puisque le mal était fait, il fallait trouver une base légale.

Il s’agirait d’une décision des bourgmestres (maires) des communes concernées, de faire procéder de manière proactive à un contrôle de chaque festivalier par la police fédérale : « toute personne qui est enregistrée dans la Banque de données Nationale Générale (BNG) de la police et qui se voit attribuer un avis négatif sur la base de sa personne, se voit refuser l’accès au festival et est remboursée du ticket déjà acheté. »

Devant cette explication très vague (avis négatif, certes, mais sur quel critère ?), il a ensuite été affirmé que la base légale serait une « interprétation de la législation actuelle sur les contrôles d’identité ».

À nouveau, l’explication paraît particulièrement fumeuse.

La philosophie de la législation sur les contrôles d’identité n’est certainement pas d’autoriser un contrôle de masse justifié par l’inscription à un événement. C’est un peu comme si la police décidait de se fonder sur cette législation pour faire un contrôle de masse de tous ceux qui vont en vacances à tel endroit. Pourquoi pas ensuite un contrôle de masse sur tous les blonds, ou tous les hommes entre 40 et 45 ans ? L’inscription à un festival de musique ne peut pas être la condition suffisante pour contrôler en masse tous les participants sur la base de la loi générale sur les contrôles d’identité.

Les services de sécurité ont alors donné, en off, la seule raison plausible (à défaut d’être acceptable) : on a fait les contrôles de manière anticipée car il aurait été presque impossible d’un point de vue pratique d’effectuer un contrôle d’identité sur place et cela aurait créé des files très longues qui pourraient constituer une cible pour un attentat.

Soit. Admettons qu’un contrôle systématique de l’identité sur place était infaisable pour 400 000 personnes. Il n’empêche qu’une difficulté pratique n’est pas une base légale, et qu’il reste cette désagréable impression de flicage qui découle du fait que tout ceci était secret et n’a été révélé que parce que quelques journalistes s’en sont émus.

Le GDPR

Pour la prochaine édition de Tomorrowland, qui aura lieu après l’entrée en vigueur du GDPR (25 mai 2018), les choses seront d’ailleurs différentes.

En principe, il y a six hypothèses qui permettent d’asseoir la licéité d’un traitement (le consentement de la personne concernée, la nécessité contractuelle, le respect d’une obligation légale, la sauvegarde d’intérêts vitaux, l’exécution d’une mission d’intérêt public ou les intérêts légitimes du responsable du traitement.)

La 6e hypothèse (l’intérêt légitime du responsable du traitement) a disparu dans le GDPR pour ce qui concerne les autorités publiques dans l’exercice de leur mission.

Le considérant 47 justifie l’interdiction par un retour strict au principe de légalité qui s’impose à toute action de telles autorités : dès lors qu’il appartient au législateur de prévoir par la loi la base juridique pour de tels traitements, les autorités publiques ne peuvent invoquer un simple intérêt légitime pour justifier ceux-ci.

Le Règlement va plus loin en réaffirmant ce même principe de légalité concernant les traitements de données. Dès lors que le traitement poursuivi dans le secteur public aura pour base juridique la nécessité de respecter une obligation légale (art. 6, § 1er, c) ou la nécessité d’exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique (art. 6, § 1er, e), ces causes de légitimation devront trouver une base spécifique dans le droit de l’Union ou dans le droit de l’État membre (art. 6,§3). Les finalités du traitement devront alors être définies par la loi s’il s’agit pour le traitement de respecter une base légale et, à tout le moins, être nécessaires à l’exécution de la mission en cause.

Bref, il ne sera plus question de couvrir une initiative manquant de base légale par des considérations générales : il y aura une base légale, ou il n’y aura pas de traitement.

La police en est consciente, qui demande expressément au législateur de lui fournir une base légale pour ce genre de situation. Elle a en effet la désagréable impression d’être le dindon de la farce : elle paye l’addition pour une initiative douteuse prises par les bourgmestres (maires) concernés.

Cet article Tomorrowland : le flicage général des festivaliers laissera des traces est apparu en premier sur Droit & Technologies.

Logiciel d’aide à la prescription médicale : êtes-vous certifié ?

lun, 17/07/2017 - 10:19
Le logiciel d’aide à la prescription (LAP)

Un logiciel d’aide à la prescription (LAP) est un logiciel dont au moins une des fonctionnalités a pour objectif l’élaboration de prescriptions de médicaments.

La base de données sur les médicaments (BdM) n’est pas considérée comme partie intégrante du LAP, mais pour concourir à la certification, un LAP doit s’appuyer sur une BdM agréée par la HAS avec l’option « LAP ambulatoire ». La HAS demande aux éditeurs de BdM de s’engager sur un certain nombre d’exigences décrites dans une charte de qualité qui prend en considération les objectifs de la certification. L’agrément de la HAS est fonction de la déclaration d’engagement de l’éditeur de BdM et du respect de ces engagements. Cette charte vise ainsi à garantir le respect de certains critères de qualité par les BdM (exhaustivité, complétude, neutralité, exactitude, fraîcheur).

La certification d’un LAP

La certification des logiciels d’aide à la prescription médicale (LAP) est prévue par le Code de la sécurité sociale dans l’article L.161-38.

Le décret n° 2014-1359 du 14 novembre 2014 est venu préciser les choses : « Le logiciel d’aide à la prescription médicale est certifié au regard d’un référentiel établi par la Haute Autorité de santé et prévoyant :

  1. Des exigences minimales de sécurité, portant notamment sur l’absence de toute information étrangère à la prescription et de publicité de toute nature ainsi que sur sa qualité ergonomique ;
  2. Des exigences minimales de conformité de la prescription aux dispositions réglementaires et aux règles de bonne pratique de la prescription médicamenteuse ;
  3. Des exigences minimales d’efficience assurant la diminution du coût du traitement à qualité égale ;
  4. La prescription en dénomination commune, telle que définie au 5° de l’article R. 5121-1 du code de la santé publique ;
  5. Une information sur le médicament issue d’une base de données sur les médicaments satisfaisant à une charte de qualité élaborée par la Haute Autorité de santé ;
  6. Des informations relatives au concepteur du logiciel et au financement de l’élaboration de ce logiciel ».

La loi et le décret n° 2014-1359 du 14 novembre 2014 rendent obligatoire la certification des LAD d’officine : « Art. R. 161-76-1.-Tout logiciel dont l’objet est de proposer aux prescripteurs exerçant en ville, en établissement de santé ou en établissement médico-social, une aide à la réalisation de la prescription de médicaments est soumis à l’obligation de certification prévue à l’article L. 161-38, sans préjudice des dispositions des articles R. 5211-1 et suivants du code de la santé publique. Les logiciels intégrant d’autres fonctionnalités que l’aide à la prescription médicale ne sont soumis à certification que pour cette dernière fonctionnalité. »

Objectifs poursuivis

Les objectifs poursuivis par la certification visent entre autres à :

  • améliorer la sécurité de la prescription quant à l’existence d’éventuelles interactions médicamenteuses, contre-indications en fonction du profil du patient, allergies à certaines molécules, dépassements de posologie, etc. ;
  • améliorer l’efficience de la prescription par diminution du coût du traitement à qualité égale ;
  • faciliter le travail des utilisateurs par des exigences minimales d’ergonomie ;
  • favoriser la conformité de la prescription aux dispositions réglementaires notamment par la mention systématique de la dénomination commune internationale (DCI).
  • Améliorer la stratégie thérapeutique en intégrant les recommandations et avis médico-économique. Cela comporte la détection des contre-indications, des interactions médicamenteuses, des incompatibilités physico-chimiques, des risques en relation avec les allergies répertoriées dans le dossier du patient, des redondances de substances actives et des posologies non recommandées. Cela comporte aussi l’efficience de la prescription par diminution du coût du traitement à qualité égale.

Les 4 premiers objectifs étaient déjà intégrés dans la version initiale du référentiel ; le 5e fait son entrée dans sa mise à jour récente.

Le référentiel de la HAS

La HAS a publié un premier référentiel, en juin 2008, sur la base duquel la certification peut ensuite être sollicitée.

Une seconde version de ce référentiel a été adoptée par le collège de la HAS. Le Journal officiel JORF n° 0160 du 9 juillet 2017 (texte n° 27) vient en conséquence de publier le décision n° 2016.0149/DC/SA3P du 21 septembre 2016 du collège de la HAS portant adoption du nouveau référentiel mis à jour.

Les éditeurs de LAP peuvent se faire certifier par des organismes certificateurs, eux-mêmes accrédités par le Comité français d’accréditation (Cofrac). Un organisme certificateur a été accrédité par le Cofrac, il s’agit de SGS-ICS.

Précision : la publication de ce nouveau référentiel par la HAS n’entraine pas la résiliation des certifications antérieurement décernées pour les LAP de médecine ambulatoire. À une date donnée, un organisme certificateur accrédité ne délivre qu’une seule version de cette certification.

Plus d’infos ?

Cet article Logiciel d’aide à la prescription médicale : êtes-vous certifié ? est apparu en premier sur Droit & Technologies.

Marre de la licence d’Oracle ? Vous n’êtes pas le seul.

lun, 10/07/2017 - 08:00

En 2015, le Campaign for Clear Licensing (CCL) se fendait d’un communiqué au vitriol contre l’éditeur Oracle. L’organisme soulignait l’impérieuse nécessité d’une prise de conscience chez Oracle : on a beau être leader mondial, on ne peut pas pour autant tout se permettre en matière de licences et de politique de prix et de tarification.

En 2015, c’est la justice qui s’en mêlait. Le tribunal analysait le contrat et relevait, avec les experts, l’opacité de la politique produit ou licence d’Oracle : « Des éléments versés au débat et des expertises privées réalisées, il convient de dire que les sociétés Oracle entretiennent un doute et une confusion sur ce qu’est réellement ce logiciel. »

Toujours en 2015, c’est une revue spécialisée anglaise qui annonçait que le gouvernement de Sa Majesté avait décidé de bannir Oracle de tous les projets futurs, tant l’éditeur américain s’était rendu impopulaire.

Cette fois c’est le Cigref

Le CIGREF est une association qui regroupe actuellement près de 140 grandes entreprises et organismes français dans tous les secteurs d’activité. Il s’est donné pour mission de « développer la capacité des grandes entreprises à intégrer et maîtriser le numérique ».

Dans sa lettre ouverte, le Cigref prend note de « la dégradation de la qualité des échanges et des services de [Oracle] vis-à-vis de ses entreprises clientes, en France et en Europe.

Cette dégradation s’est notamment concrétisée par l’absence de réponse d’Oracle au dernier courrier du 25 février 2016, co-signé des présidents du CIGREF et d’EuroCIO, pour parvenir à un accord entre Oracle et VMware sur le sujet de la virtualisation. En conséquence, les travaux bien entamés de réactualisation d’un Livre Blanc sur les pratiques commerciales de ce fournisseur ont été abandonnés. (…)

Le CIGREF et EuroCIO tiennent en outre à appeler l’attention d’Oracle sur les conséquences de ses comportements, dont témoigne la récente et accablante étude « Supplier Satisfaction Survey », réalisée par EuroCIO fin 2016.

Sur 100 DSI d’entreprises européennes majeures, ayant répondu à l’enquête : (…) 60% préfèreraient disposer d’un autre fournisseur pour leurs actuels produits et services ; 50% répondent travailler actuellement sur une stratégie de sortie.

Compte tenu de cette situation, le CIGREF s’est d’ores et déjà engagé, à la demande de certains de ses membres, à accompagner ceux qui le souhaitent dans leur réflexion sur les différentes stratégies de sortie des contrats Oracle. (…) »

Quel est le problème ?

Il y a un résumé trois problèmes majeurs :

a) Une question de lisibilité

S’il y a avait un Nobel de la licence la plus obscure et la plus chausse-trappe du monde, Oracle pourrait probablement l’emporter. Conséquence : la direction informatique qui n’y comprend rien s’expose à un risque important ; le service achat y comprend encore moins et donne son aval sur la base d’infos inexactes ; quant à la direction juridique, elle dispose rarement des compétences internes nécessaires.

Ajoutez à cela que les produits sont pour l’essentiel en open bar : vous téléchargez, vous installez et vous déclarez ce que vous pensez devoir déclarer sur la base de licences et tarifs qui sont, on l’a vu, incompréhensibles. N’oubliez pas que tous les paramètres et options que vous activez ou non, peuvent avoir un impact direct sur le type de licence et le prix à payer.

Résultat : la probabilité d’avoir commis une erreur de compréhension ou d’interprétation de la licence est extrêmement élevée. Vous êtes de bonne foi ? Cela ne change rien, la première chose qu’un éditeur vous répondra c’est que la bonne foi n’excuse pas la contrefaçon.

b) Les audits (ou le racket ?)

Dans les conditions générales (que le client a par définition dû accepter), figure le droit de l’éditeur de procéder à ce qu’il appelle pudiquement un audit.

Le principe est simple : l’éditeur qui emploie une batterie de spécialistes de licensing, a développé un petit logiciel que le client doit faire tourner sur son infrastructure informatique. Objectif du logiciel : détecter la moindre faille dans la façon dont le produit est déployé, les options activées, le reporting effectué.

Et on vous l’assure : le logiciel trouve presque toujours une faille.

Vient alors l’addition : sur la base du tarif public (pourquoi se gêner), le logiciel vous sort un chiffre qui est celui que vous auriez dû payer. Bien sûr, le logiciel fait toujours le choix le plus défavorable au client, comptabilise le moindre processeur, ne tient pas compte du partitionnement, y ajoute la maintenance, les pénalités, la rétroactivité, comptabilise les options comme si c’était du logiciel, etc.

Dans les plus petits dossiers que nous avons l’occasion de voir, on n’est jamais descendu en dessous de montants avec 6 zéros (et la plupart du temps au pluriel).

Ça ne veut pas dire que c’est ce que vous payerez, car s’ouvre alors une période de négociation, mais c’est en tout cas ce que l’éditeur vous réclamera. Vous en viendrez certainement à vous demander pourquoi le négociateur de l’éditeur semble plus gentil en fin de période comptable d’Oracle ; n’allez surtout pas vous imaginer que les financiers californiens attendent l’info pour la communiquer à la bourse, ce n’est qu’une coïncidence.

Il est difficile de donner un conseil général mais nous n’avons encore jamais rencontré de cas impliquant le paiement de l’intégralité de la somme réclamée. Muscler le débat est donc, dans l’immense majorité des cas, la meilleure chose à faire.

c) Des choix pour le moins étonnants

Il y a encore les choix techniques étonnants.

Des exemples reviennent fréquemment : le décompte des processeurs, les techniques de virtualisation, la mise en cloud, etc.

Prenons un exemple. Vous voulez virtualisez ? C’est surement une bonne idée. Mais ne vous avisez pas de le faire avec VMware ou une autre solution commerciale. Oracle ne reconnaît pas ces logiciels.

Un observateur explique : « Alors que plus de 90 % des grandes entreprises utilisent vSphere, Oracle s’évertue à ne pas supporter officiellement la plateforme de virtualisation de VMware. Plus grave, Oracle applique une politique tarifaire pour le moins originale : l’éditeur facture autant de licences que de CPU participant au cluster de virtualisation, là où ses concurrents ne comptent que le nombre de nœuds ou de vCPU utilisés par leur base de données sur le cluster.

Ainsi si Oracle SGBD n’est déployé que sur deux nœuds bi-socket d’un cluster de huit nœuds, Oracle facture des licences pour les huit nœuds, là où ses concurrents se bornent à facturer deux nœuds. »

D’où la colère du Cigref : pourquoi l’éditeur refuse-t-il de reconnaître la solution la plus utilisée dans le monde ? Pourquoi faire compliqué si l’on peut faire simple : le marché regorge de professionnels de la virtualisation sous VMware ? Pourquoi devoir renoncer, uniquement parce que cela déplait à l’éditeur du moteur de la base de données, à utiliser une solution éprouvée mondialement, maîtrisée, et considérée en l’état actuel comme la référence ?

Tout ira mieux demain ?

La lettre ouverte du Cigref termine par un appel à la conciliation : « Pour autant, les entreprises membres du CIGREF et d’EuroCIO utilisatrices d’Oracle souhaitent le rétablissement d’un dialogue apaisé et de qualité avec ce fournisseur essentiel, qui se ferait assurément au bénéfice de toutes les parties. (…) » 

Cette volonté d’apaisement n’est pas étonnante.

Oracle reste… Oracle. Un leader mondial dans sa matière. On ne devient pas leader mondial sans raison.

Et puis, il n’y a pas beaucoup d’alternatives (dans l’ensemble, la politique de licence de sociétés comme SAP, Microsoft, ou IBM n’est pas beaucoup plus customer-friendly et le Cigref le sait).

Bref, en dépit de ce coup de gueule, il ne faut pas s’attendre à un changement radical dès demain.

Si elle ne vient pas des juges ou des autorités de la concurrence, la solution viendra probablement du marché. Soit un acteur concurrent d’Oracle décidera de se repositionner. Soit un nouvel acteur viendra perturber l’équilibre en place. Soit enfin, de nouveaux prestataires verront le jour, qui proposeront une offre de service originale intégrant la technologie et la licence d’Oracle (ou d’autres) ; cela existe déjà.

Plus d’infos :

Cet article Marre de la licence d’Oracle ? Vous n’êtes pas le seul. est apparu en premier sur Droit & Technologies.

Uber prend une (nouvelle) claque : l’avocat général valide la loi française

mer, 05/07/2017 - 08:58

Quelques semaines après avoir rendu un avis extrêmement impactant pour UberPop, l’avocat général de la Cour européenne de justice en remet une couche.

Les faits

La société française Uber France est l’opérateur d’une plateforme électronique qui permet, à l’aide d’un smartphone muni de l’application correspondante, de commander un service de transport urbain dans les villes desservies. Dans le cadre du service UberPop, ce sont des chauffeurs particuliers non professionnels qui assurent le transport des passagers au moyen de leurs propres véhicules.

Uber France est poursuivie au pénal pour avoir organisé, via le service UberPop, un système de mise en relation de clients avec des chauffeurs non professionnels qui transportent des personnes à titre onéreux avec des véhicules de moins de dix places. Uber France soutient que la réglementation française sur la base de laquelle elle est poursuivie constitue une règle technique qui concerne directement un service de la société de l’information au sens de la directive relative aux normes et réglementations techniques.

Cette directive oblige les États membres à notifier à la Commission tout projet de loi ou de réglementation édictant des règles techniques relatives aux produits et services de la société de l’information. Or, les autorités françaises n’ont pas notifié le projet de loi à la Commission avant sa promulgation. Uber France en déduit qu’elle ne saurait donc être poursuivie pour les charges précitées.

Saisi de l’affaire, le tribunal de grande instance de Lille (France) demande à la Cour de justice si les autorités françaises étaient tenues ou non de notifier préalablement le projet de loi à la Commission.

Première hypothèse : Uber n’est pas un service de la société de l’information

L’avocat général rappelle que, conformément à ses conclusions du 11 mai 2017 dans l’affaire Uber Espagne, il estime que le service UberPop relève du domaine du transport et ne constitue ainsi pas un service de la société de l’information au sens de la directive.

Dans une telle hypothèse, la directive ne serait pas applicable et une notification du projet de loi à la Commission ne serait pas nécessaire.

Nous avons déjà analysé l’avis de l’avocat général : nous vous y renvoyons. Rappelons que la cour n’a toujours pas tranché la question, ce qui explique l’avocat général prenne la peine d’analyser la seconde hypothèse : celle dans laquelle Uber est un service de la société de l’information.

Deuxième hypothèse : Uber est pas un service de la société de l’information

Dans cette hypothèse, l’avocat général conclut que le fait d’interdire et de réprimer l’activité d’un intermédiaire tel qu’Uber dans l’exercice illégal d’une activité de transport ne constitue pas une « règle technique » au sens de la directive, si bien qu’une notification du projet de loi à la Commission ne serait pas, là encore, nécessaire.

L’avocat général rappelle à cet égard que l’obligation de notification ne s’applique, entre autres, qu’aux règles techniques qui ont pour finalité et pour objet spécifiques de réglementer de manière explicite et ciblée l’accès aux services de la société de l’information et l’exercice de ceux-ci ; en revanche, les règles qui ne concernent ces services que de manière implicite ou incidente sont exclues de l’obligation de notification.

L’avocat général considère que la réglementation française en cause en l’espèce ne concerne les services de la société de l’information que de manière incidente : en effet, bien que touchant principalement un service de la société de l’information (à savoir un système de mise en relation par voie électronique), elle vise non pas à réglementer spécifiquement ce service (ce qui serait le cas si elle interdisait ou régissait d’une autre manière l’activité de mise en relation de clients avec des prestataires de services de transport en général), mais uniquement à assurer l’effectivité des règles relatives aux services de transport (services qui ne sont pas couverts par la directive).

Ainsi, le fait que le modèle économique d’UberPop soit inconciliable avec les règles françaises sur l’activité de transport des passagers (les chauffeurs non professionnels ne disposant pas des autorisations nécessaires en droit français pour exercer l’activité de transport) n’implique pas que la réglementation en cause constitue une règle technique qui régirait les activités d’intermédiation dans le domaine des transports en général.

L’avocat général précise que, si toute disposition nationale interdisant ou sanctionnant l’intermédiation dans des activités illégales devait être considérée comme une règle technique du seul fait que cette intermédiation se ferait, le plus probablement, par voie électronique, un grand nombre de règles internes des États membres devrait être notifié à ce titre. Cela conduirait à une expansion indue de l’obligation de notification, et ce, sans réellement contribuer à la réalisation des objectifs de cette procédure, laquelle vise à prévenir l’adoption par les États membres de mesures incompatibles avec le marché intérieur et de permettre une meilleure exploitation des avantages du marché intérieur par les opérateurs économiques.

Commentaires

La première hypothèse n’appelle pas beaucoup de commentaires. Tout dépend de ce que la cour décidera : UberPop est-il oui ou non un service de la société de l’information ?

La seconde hypothèse est beaucoup plus délicate.

La directive dite « notification » exclut de son champ d’application les règles qui ne visent pas spécifiquement les services de la société de l’information. Elle précise que « une règle vise spécifiquement les services de la société de l’information lorsque, au regard de sa motivation et du contexte de son dispositif, elle a pour finalité et pour objet spécifique, dans sa totalité ou dans certaines dispositions ponctuelles, de réglementer de manière explicite et ciblée ces services. »

Le 17e considérant de la directive 98/48 (venant modifier la directive 98/34 pour y insérer « les règles relatives aux services », dans l’obligation de notification) précise que cette obligation englobe également les règles qui frappent les services de la société de l’information « même si ces règles sont incluses dans une réglementation ayant un objet plus général ».

Bien malin celui qui peut prédire le sens en lequel la cour décidera.

Il nous semble toutefois qu’elle devra se montrer plus nuancée que l’avocat général.

L’inflation de notifications ne peut pas être un motif valable d’interprétation dans un sens ou dans l’autre de la portée de la directive.

C’est qu’au-delà du caractère formel de la notification, le système permet aux États membres et à leurs opérateurs économiques, d’être informés des initiatives législatives et réglementaires prises ailleurs que dans leur État d’origine, afin de réagir si besoin s’en fait sentir. Cela ressort explicitement des articles 8 et 9 et des considérants 6 et 7 de la directive : « les États membres doivent être également informés des réglementations techniques envisagées par l’un d’entre eux » ; en outre, pour « assurer un environnement favorable à la compétitivité des entreprises (…) il importe, par conséquent, de prévoir la possibilité pour les opérateurs économiques de faire connaître leur appréciation sur l’impact des réglementations techniques nationales projetées par d’autres États membres, grâce à la publication régulière des titres des projets notifiés ainsi qu’au moyen des dispositions concernant la confidentialité de ces projets ».

Il s’agit d’une règle fondamentale en matière de régulation des services de la société de l’information.

Dans la mesure où cet objectif participe à l’effectivité des quatre libertés fondamentales du traité fondateur de l’Union européenne, le législateur européen a adopté une définition aussi large que possible : « assez logiquement, le législateur communautaire, qui souhaitait soumettre le plus grand nombre de mesures restrictives au mécanisme de contrôle préventif, a opté pour une définition particulièrement large de la notion de règle technique ».

Bref, on est ici au cœur d’un équilibre particulièrement délicat entre les valeurs fondamentales des traités, la liberté des Etats, et la pénétration permanente des nouvelles technologies dans toutes les activités économiques du pays.

Rappelons que l’enjeu est clair : la Cour de justice a, de jurisprudence constante, jugé qu’une règle adoptée en violation de cette obligation de notification est absolument inopposable aux citoyens et aux entreprises, et ne peut sortir aucun effet juridique.

Cet article Uber prend une (nouvelle) claque : l’avocat général valide la loi française est apparu en premier sur Droit & Technologies.

Jeux en ligne : la désaffection de Gibraltar va-t-elle profiter à Malte ?

ven, 30/06/2017 - 10:00
Les faits

The Gibraltar Betting and Gaming Association (« GBGA ») est une association professionnelle dont les membres, essentiellement établis à Gibraltar, fournissent des jeux d’argent à distance à des clients au Royaume-Uni et ailleurs.

En 2014, le Royaume-Uni a adopté un nouveau régime fiscal pour certaines taxes sur les jeux d’argent.

Ce nouveau régime, fondé sur le principe du « lieu de consommation », impose aux prestataires de services de jeux d’argent d’acquitter une taxe pour les services de jeux de hasard fournis à distance aux joueurs établis au Royaume-Uni.

Le régime fiscal antérieur, fondé sur le principe du « lieu de fourniture », prévoyait quant à lui que seuls les prestataires de services établis au Royaume-Uni devaient payer les taxes sur les bénéfices bruts réalisés sur les services de jeux fournis aux clients dans le monde entier.

La GBGA a contesté ce nouveau régime fiscal devant la High Court of Justice (England & Wales) (Haute Cour de justice, Angleterre et pays de Galles, Royaume-Uni) en faisant valoir que ce régime est contraire au principe de libre prestation de services inscrit à l’article 56 du traité sur le fonctionnement de l’Union européenne.

En tant que partie défenderesse, l’administration fiscale britannique fait valoir que la GBGA ne peut tirer aucun droit de l’ordre juridique de l’Union, étant donné que la prestation de services par les opérateurs établis à Gibraltar à des personnes établies au Royaume-Uni ne relève pas du droit de l’Union. En tout état de cause, le nouveau régime fiscal ne pourrait pas, en tant que mesure fiscale indistinctement applicable, être considéré comme une restriction à la libre prestation de services.

La High Court of Justice demande à la Cour de justice si, aux fins de la libre prestation de services, Gibraltar et le Royaume-Uni doivent être considérés comme faisant partie d’un seul État membre ou si, dans ce domaine, Gibraltar a, au regard du droit de l’Union, le statut constitutionnel d’un territoire distinct de celui du Royaume-Uni de sorte que les prestations de services entre l’un et l’autre doivent être traitées comme des échanges entre deux États membres.

L’arrêt rendu (C-591/15)

La Cour rappelle tout d’abord que les dispositions des traités s’appliquent aux territoires européens dont un État membre assume les relations extérieures. Gibraltar constitue un territoire européen dont un État membre, à savoir le Royaume-Uni, assume les relations extérieures, si bien que le droit de l’Union s’applique à ce territoire.

En outre, la Cour relève que Gibraltar est, en vertu de l’acte d’adhésion de 1972, exclu de l’applicabilité des actes de l’Union dans certains domaines du droit de l’Union. Cependant, ces exclusions ne portent pas sur la libre prestation de services. L’article 56 TFUE s’applique donc à Gibraltar.

Ensuite, la Cour note que selon sa jurisprudence, les dispositions du traité en matière de libre prestation de services ne trouvent pas à s’appliquer à une situation dont tous les éléments se cantonnent à l’intérieur d’un seul État membre.

La Cour conclut que, au regard du droit de l’Union, les prestations de services fournies par des opérateurs établis à Gibraltar à des personnes établies au Royaume-Uni constituent une situation dont tous les éléments se cantonnent à l’intérieur d’un seul État membre.

La Cour confirme que Gibraltar ne fait pas partie du Royaume-Uni. Cependant, elle constate que cette circonstance n’est pas décisive aux fins de déterminer si deux territoires doivent être, aux fins de l’applicabilité des dispositions relatives aux libertés fondamentales, assimilés à un seul État membre.

Selon la Cour, il n’existe pas d’éléments qui permettraient de considérer les relations entre Gibraltar et le Royaume-Uni, aux fins de l’article 56 TFUE, comme semblables à celles qui existent entre deux États membres. Conclure le contraire reviendrait à nier le lien reconnu par le droit de l’Union entre ce territoire et cet État membre. En effet, le Royaume-Uni a assumé les obligations en vertu des traités envers les autres États membres en ce qui concerne l’application et la transposition du droit de l’Union sur le territoire de Gibraltar.

Enfin, la Cour confirme que la conclusion à laquelle elle est parvenue ne porte atteinte ni à l’objectif d’assurer le fonctionnement du marché intérieur, ni au statut de Gibraltar en droit national constitutionnel ou en droit international. Elle souligne que sa conclusion ne saurait être comprise en ce sens qu’elle porte atteinte au statut séparé et distinct de Gibraltar.

Commentaires

Il existe deux places majeures en Europe au niveau de l’établissement des prestataires de jeux d’argent en ligne : Malte et Gibraltar.

Or :

  • Ni Malte ni Gibraltar n’a de marché domestique d’une taille suffisante pour absorber l’offre.
  • La matière est très peu (voire pas du tout) harmonisée, de sorte qu’il n’y a pas de cadre juridique spécifique européen. On se réfère donc aux Traités.

Il en découle que les prestations des opérateurs établis à Malte ou Gibraltar étaient fondées jusqu’ici sur deux postulats :

  • les prestations sont accomplies pour l’essentiel dans un autre pays que le pays d’établissement de l’opérateur, et
  • ces prestations s’effectuent sous le régime de la libre prestation de services prévue par les Traités, ce qui permet de bénéficier en bonne partie du cadre juridique applicable dans le pays d’établissement de l’opérateur.

L’arrêt est un coup de bambou pour les opérateurs établis à Gibraltar : dorénavant, pour les relations avec les joueurs anglais (un énorme marché !) les opérateurs établis à Gibraltar perdent l’avantage de la libre prestation de service. L’opération est en quelque sorte purement anglaise et la loi anglaise s’y applique pleinement.

Pour ceux dont le marché principal est le Royaume-Uni, la tentation de migrer vers Malte pourrait s’avérer très forte (Brexit ou non).

Cet article Jeux en ligne : la désaffection de Gibraltar va-t-elle profiter à Malte ? est apparu en premier sur Droit & Technologies.

Google : amende de 2,5 milliards € pour abus de position dominante

mar, 27/06/2017 - 12:39

En 2015, la Commission adressait sa « communication des griefs », que l’on peut comparer à un acte d’accusation sur lequel Google est invitée à se défendre : elle était d’avis que Google avait abusé de sa position dominante sur les marchés des moteurs de recherche en vue de favoriser son propre comparateur de prix. La société réserverait systématiquement un traitement favorable à son comparateur de prix dans ses pages de résultats. Ce faisant, elle détournerait artificiellement le trafic des services de comparaison de prix concurrents et empêcherait ces services de lui faire concurrence sur le marché.

En particulier, les conclusions préliminaires de la Commission étaient les suivantes:

« De manière systématique, Google positionne et met en évidence son service de comparaison de prix dans ses pages de résultats de recherche générale, sans tenir compte de son niveau de performance. Ce comportement remonte à 2008.

Google n’applique pas à son propre service de comparaison de prix le système de pénalités qu’il applique aux autres services du même type sur la base de paramètres définis, pénalités qui peuvent amener à ce que ces services soient moins bien classés dans les pages de résultats de recherche générale de Google.

Froogle, le premier service de comparaison de prix de Google, ne bénéficiait d’aucun traitement de faveur et n’était pas performant. Grâce au traitement de faveur systématique dont ils ont bénéficié, les services de comparaison de prix ultérieurs de Google, à savoir «Google Product Search» et «Google Shopping», ont connu un taux de croissance plus élevé, au détriment des services de comparaison de prix concurrents.

Le comportement de Google a une a des effets négatifs pour les consommateurs et l’innovation. En effet, les utilisateurs ne voient pas nécessairement les résultats de comparaison de prix les plus pertinents en réponse à leurs requêtes. Les concurrents sont aussi moins incités à innover, car ils savent que même s’ils fournissent le meilleur produit possible, ils ne bénéficieront pas de la même visibilité que le produit de Google. »

La décision de la Commission a)      Stratégie de Google concernant son service de comparaison de prix

La Commission constate que le produit phare de Google est son moteur de recherche, qui fournit des résultats de recherche aux consommateurs, ceux-ci rémunérant le service en transmettant les données les concernant. Près de 90 % des recettes de Google proviennent des publicités, comme celles que la société montre aux consommateurs en réponse à une demande de recherche.

A cela s’est ajouté un comparateur de prix : en 2004, Google est arrivée sur le marché distinct des services de comparaison de prix en Europe en lançant un produit appelé au départ «Froogle», rebaptisé ensuite «Google Product Search» en 2008 et dénommé depuis 2013 «Google Shopping». Ce produit permet aux consommateurs de comparer des produits et des prix en ligne et de trouver des offres de détaillants en ligne de toute sorte, dont des magasins en ligne de fabricants, des plateformes (comme Amazon et eBay) et d’autres revendeurs.

Lorsque Google est arrivée sur les marchés des produits de comparaison de prix avec Froogle, plusieurs acteurs y étaient déjà bien implantés. Il ressort de documents de Google datant de cette époque que la société avait connaissance des résultats relativement médiocres de Froogle sur le marché (selon un document interne de 2006: «Froogle simply doesn’t work»).

Pour être compétitifs, les services de comparaison de prix dépendent en grande partie du trafic généré. Plus de trafic engendre plus de clics, ce qui génère plus de recettes. En outre, plus de trafic attire aussi plus de détaillants qui souhaitent inscrire leurs produits sur un service de comparaison de prix. Compte tenu de la domination exercée par Google sur le marché de la recherche générale sur l’internet, son moteur de recherche est une source importante de trafic pour les services de comparaison de prix.

En 2008, Google a commencé à introduire sur les marchés européens un changement fondamental dans sa stratégie visant à promouvoir son service de comparaison de prix. Cette stratégie était fondée sur la domination exercée par Google sur le marché de la recherche générale sur l’internet, et non sur une concurrence basée sur les mérites sur les marchés de la comparaison de prix:

  • Google a toujours accordé une position de premier plan à son propre service de comparaison de prix: lorsqu’un consommateur introduit une demande dans le moteur de recherche de Google, pour laquelle le service de comparaison de prix de Google souhaite montrer des résultats, ceux-ci sont affichés en haut ou dans la première partie des résultats de recherche;
  • Google a rétrogradé les services de comparaison de prix concurrents dans ses résultats de recherche: les services concurrents de comparaison de prix apparaissent dans les résultats de recherche de Google sur la base des algorithmes de recherche générique de Google. Google ayant assorti ces algorithmes de plusieurs critères, les services de comparaison de prix concurrents sont rétrogradés. Il est établi que même le service concurrent le mieux classé n’apparaît en moyenne qu’à la page quatre des résultats de la recherche de Google, les autres figurant encore plus bas. Le service de comparaison de prix de Google n’est pas soumis aux algorithmes de recherche générique de Google, dont à ces rétrogradations.

Par conséquent, le service de comparaison de prix de Google est bien plus visible pour les consommateurs dans les résultats de recherche de Google, alors que les services de comparaison de prix concurrents sont beaucoup moins visibles.

Il est établi que les consommateurs cliquent beaucoup plus souvent sur les résultats les plus visibles, c’est-à-dire les résultats qui apparaissent le plus haut parmi les résultats de recherche générale de Google. Même sur un ordinateur de bureau, les dix premiers résultats de recherche générique sur la page 1 reçoivent ensemble généralement 95 % de l’ensemble des clics effectués sur les résultats de recherche générique (le résultat classé en premier recevant près de 35 % de l’ensemble des clics). Le premier résultat de la page 2 des résultats de recherche générique de Google ne reçoit que 1 % environ du total des clics. Cette répartition ne peut s’expliquer par le simple fait que le premier résultat est plus pertinent, car il est également établi que le fait de décaler le premier résultat à la troisième place entraîne une diminution d’environ 50 % du nombre de clics. Les effets sur les appareils mobiles sont encore plus prononcés en raison de la taille beaucoup plus petite de l’écran.

Cela signifie qu’en accordant une position de premier plan uniquement à son service de comparaison de prix et en rétrogradant ses concurrents, Google a conféré un avantage significatif à son service de comparaison de prix par rapport à ses rivaux.

b)     Violation des règles de concurrence de l’UE

Il n’y a aucune règle juridique qui limite la puissance d’une entreprise. Certains le regrettent, certes, mais le débat sur ce point est politique et non juridique.

Le droit ne se mêle de la position dominante d’un opérateur économique que s’il utilise celle-ci de façon illicite : c’est ce qu’on appelle l’abus de position dominante. Seul l’abus est punissable ; pas la position dominante en tant que telle.

Il tombe sous le sens qu’il n’est pas illicite en tant que tel pour une entreprise de proposer des services annexes ou nouveaux à sa clientèle. Une librairie de livres de voyages peut décider d’ouvrir une agence de voyage, et en faire la promotion dans la librairie.

On comprend bien que la situation commence à devenir différente si la librairie n’est plus une librairie de quartier, mais le plus grand réseau du pays. La situation continue à évoluer si, non contente d’être le plus grand réseau de librairies du pays, notre libraire commence à poser des actes qui montrent qu’il abuse de sa position dominante sur le secteur de la librairie de voyage, pour mettre le pied dans le secteur des agences de voyages et effacer des concurrents en place.

On perçoit intuitivement qu’il y a un seuil à partir duquel on est face à un abus. Toute la difficulté est de déterminer ce seuil et c’est cela que doit faire la Commission (et que les juges vérifieront ensuite car il y a peu de doute qu’un recours sera exercé).

La commission le souligne : « En soi, le fait d’occuper une position dominante sur le marché n’est pas illégal au regard des règles de concurrence de l’UE. Il incombe néanmoins tout particulièrement aux entreprises dominantes de veiller à ne pas abuser de leur pouvoir de marché en restreignant la concurrence, que ce soit sur le marché où elles détiennent une position dominante ou sur des marchés distincts. »

Pour la Commission, les pratiques de Google constituent un abus de sa position dominante sur le marché des moteurs de recherche, au motif que la société bride la concurrence sur les marchés de la comparaison des prix.

  • La décision adoptée aujourd’hui conclut que Google occupe une position dominante sur les marchés de la recherche générale sur l’internet dans l’ensemble de l’Espace économique européen (EEE), c’est-à-dire dans les 31 pays de l’EEE. Elle a constaté que Google exerce une position dominante sur les marchés de la recherche générale sur l’internet dans tous les pays de l’EEE depuis 2008, à l’exception de la République tchèque, où, selon la décision, Google occupe une position dominante depuis 2011. Cette analyse repose sur le fait que le moteur de recherche de Google détient des parts de marché très élevées dans l’ensemble des pays de l’EEE, dépassant la barre des 90 % dans la plupart d’entre eux. Il en est ainsi depuis 2008 au moins, soit depuis le début de la période ayant fait l’objet de l’enquête de la Commission. Il existe également des barrières élevées à l’entrée sur ces marchés, notamment en raison des effets de réseau: plus les consommateurs utilisent un moteur de recherche, plus celui-ci devient attrayant pour les annonceurs. Les bénéfices générés peuvent ensuite être utilisés pour attirer encore plus de consommateurs. De même, les données qu’un moteur de recherche collecte au sujet des consommateurs peuvent à leur tour être utilisées pour améliorer les résultats.
  • Google a abusé de sa position dominante sur le marché en conférant un avantage illégal à son propre service de comparaison de prix. La société a accordé une position de premier plan dans ses résultats de recherche uniquement à son propre service de comparaison de prix, tout en rétrogradant les services de ses rivaux. Elle a étouffé la concurrence fondée sur les mérites sur les marchés de la comparaison de prix.

Google a introduit cette pratique dans les 13 pays de l’EEE où elle a déployé son service de comparaison de prix, en commençant par l’Allemagne et le Royaume-Uni en janvier 2008. Elle a ensuite étendu cette pratique à la France en octobre 2010, à l’Italie, aux Pays-Bas et à l’Espagne en mai 2011, à la République tchèque en février 2013 et à l’Autriche, à la Belgique, au Danemark, à la Norvège, à la Pologne et à la Suède en novembre 2013.

Pour prendre sa décision, la Commission a réuni et analysé en profondeur un large éventail de preuves, dont:

  • des documents de Google et d’autres acteurs du marché remontant à l’époque des faits;
  • des volumes très importants de données réelles, dont 5,2 téraoctets de résultats de recherche effective provenant de Google (quelque 1,7 milliard de demandes de recherche);
  • des expériences et des enquêtes, analysant notamment l’incidence de la visibilité dans les résultats de recherche sur le comportement des consommateurs et les taux de clics;
  • des données financières et de trafic qui soulignent l’importance commerciale de la visibilité dans les résultats de recherche de Google et l’incidence d’une rétrogradation; et
  • une vaste enquête de marché sur les clients et les concurrents sur les marchés en cause (la Commission a adressé les questionnaires à plusieurs centaines de sociétés).
c)      L’effet des pratiques illégales de Google

Les pratiques illégales de Google ont eu une incidence particulière sur la concurrence entre son propre service de comparaison de prix et les services de ses concurrents. Elles ont permis au service de comparaison de prix de Google de réaliser des gains importants de trafic aux dépens de ses concurrents et au détriment des consommateurs européens.

Compte tenu de la domination exercée par Google sur le marché de la recherche générale par l’internet, son moteur de recherche est une source importante de trafic. Du fait des pratiques illégales de Google, le trafic vers son service de comparaison de prix a considérablement augmenté, alors que ses concurrents ont essuyé durablement des pertes très importantes de trafic.

Depuis que chaque abus de position dominante a commencé, le trafic du service de comparaison de prix de Google a été multiplié par 45 au Royaume-Uni, par 35 en Allemagne, par 29 aux Pays-Bas, par 19 en France, par 17 en Espagne et par 14 en Italie.

À la suite des rétrogradations appliquées par Google, le trafic vers des services concurrents de comparaison de prix a, par contre, connu une chute spectaculaire. Ainsi, la Commission a trouvé des preuves spécifiques de chutes soudaines du trafic vers certains sites concurrents, de l’ordre de 85 % au Royaume-Uni et jusqu’à 92 % en Allemagne et 80 % en France. Ces chutes soudaines ne sauraient davantage s’expliquer par d’autres facteurs. Certains concurrents se sont adaptés par la suite et sont parvenus à regagner une part du trafic, mais jamais la totalité.

Si on y ajoute les autres observations de la Commission, cela démontre que les pratiques de Google ont bridé la concurrence fondée sur les mérites sur les marchés de la comparaison de prix, privant ainsi les consommateurs européens d’un véritable choix et de l’innovation.

Amende et conséquences de la décision

L’amende d’un montant de 2.424.495 000 d’euros tient compte de la durée et de la gravité de l’infraction. Conformément aux lignes directrices de la Commission pour le calcul des amendes de 2006, l’amende a été calculée sur la base de la valeur des recettes que Google réalise grâce à son service de comparaison de prix dans les 13 pays de l’EEE concernés.

En vertu de la décision de la Commission, Google doit mettre un terme à son comportement illégal dans un délai de 90 jours à compter de la décision et s’abstenir de toute mesure ayant un objet ou un effet identique ou équivalent. En particulier, la décision enjoint Google de respecter le simple principe d’égalité de traitement entre les services concurrents de comparaison de prix et son propre service:

Google doit appliquer aux services de comparaison de prix concurrents les mêmes procédés et les mêmes méthodes de placement et d’affichage sur ses pages de résultats de recherche qu’à son propre service de comparaison de prix.

Il relève de la seule responsabilité de Google de veiller au respect de cette décision et il lui appartient d’expliquer comment elle compte y parvenir. Quelle que soit l’option choisie par Google, la Commission surveillera de près le respect de la décision par Google et celle-ci est tenue d’informer la Commission de ses actions (dans un premier temps dans un délai de 60 jours suivant la décision, puis par des rapports périodiques).

Si Google ne se conforme pas à la décision de la Commission, la société sera passible d’astreintes pour manquement pouvant aller jusqu’à 5 % du chiffre d’affaires moyen réalisé quotidiennement au niveau mondial par Alphabet, la société mère de Google. La Commission devra alors constater ce manquement dans une décision distincte, tout montant étant dû avec effet rétroactif jusqu’au début du manquement.

Enfin, Google est aussi passible d’actions civiles en dommages et intérêts qui peuvent être introduites devant les juridictions des États membres par toute personne ou entreprise affectée par son comportement anticoncurrentiel. La nouvelle directive de l’UE sur les actions en dommages et intérêts permet aux victimes de pratiques anticoncurrentielles d’obtenir plus facilement réparation.

D’autres condamnations à venir ?

Rappelons que Google fait parallèlement à cette affaire, l’objet de 2 enquêtes de la commission portant respectivement sur Android, et Adsense.

a)      Android

Android est un système d’exploitation à code source libre, ce qui signifie qu’il peut être librement utilisé et développé par n’importe qui. La majorité des fabricants de téléphones intelligents et de tablettes utilisent toutefois le système d’exploitation Android en combinaison avec un éventail d’applications et de services propriétaires de Google.

Pour obtenir le droit d’installer ces applications et services sur leurs appareils Android, les fabricants doivent conclure divers accords avec Google.

La Commission a aussi ouvert une procédure formelle d’examen sur ce sujet. Plus précisément :

 « Google a-t-elle illégalement entravé le développement et l’accès au marché des applications ou services pour appareils mobiles de ses concurrents en obligeant ou en incitant les fabricants de téléphones intelligents et de tablettes à préinstaller exclusivement les applications ou services de Google?

Google a-t-elle empêché les fabricants de téléphones intelligents et de tablettes qui souhaitent installer des applications et des services de Google sur certains de leurs appareils Android de développer et de commercialiser des versions modifiées et potentiellement concurrentes d’Android (les «forks d’Android») sur d’autres appareils, entravant ainsi illégalement le développement et l’accès au marché des systèmes d’exploitation pour appareils mobiles ainsi que des applications ou services de communication mobile de ses concurrents?

Google a-t-elle illégalement entravé le développement et l’accès au marché des applications et services de ses concurrents en liant ou groupant certains services et applications de Google distribués sur des appareils Android avec d’autres applications, services et/ou interfaces de programmation d’applications de Google? »

b)     Adsense

La Commission a également adressé une communication des griefs à Google portant sur les restrictions imposées par l’entreprise à la capacité de certains sites web tiers d’afficher les publicités contextuelles émanant de ses concurrents.

Selon l’avis préliminaire de la Commission exposé dans la communication des griefs de ce jour, ces pratiques ont permis à Google de protéger sa position dominante dans le domaine de la publicité contextuelle en ligne et d’empêcher ses concurrents existants et potentiels, y compris les autres fournisseurs de services de recherche et plateformes de publicité en ligne, d’accéder à ce secteur commercialement important et de s’y développer.

Google place des publicités contextuelles directement sur le site web Google search mais aussi, en tant qu’intermédiaire, sur des sites web tiers grâce à sa plateforme « AdSense for Search » («intermédiation publicitaire liée aux recherches»). Il s’agit notamment des sites web de détaillants en ligne, d’opérateurs de télécommunications et de journaux. Les sites web comprennent un champ de recherche qui permet aux utilisateurs de chercher des informations. À chaque fois qu’un utilisateur effectue une recherche, en plus des résultats de recherche, des publicités contextuelles s’affichent également. S’il clique sur la publicité, tant Google que le tiers reçoivent une commission.

La Commission estime à ce stade que Google occupe une position dominante sur le marché de l’intermédiation publicitaire liée aux recherches dans l’Espace économique européen (EEE), sa part de marché étant d’environ 80 % au cours des dix dernières années. Google tire une grande part de ses revenus provenant de l’intermédiation publicitaire liée aux recherches des accords qu’elle conclut avec un nombre limité de tiers importants, les «partenaires directs». La Commission craint que dans ces accords avec des partenaires directs, Google ait violé les règles de l’UE en matière de pratiques anticoncurrentielles en imposant les conditions suivantes:

  • exclusivité: les tiers ne peuvent afficher de publicités contextuelles émanant de concurrents de Google;
  • affichage en bonne place d’un nombre minimum de publicités contextuelles de Google: les tiers doivent accepter un nombre minimum de publicités contextuelles de Google et leur réserver les meilleures places sur leurs pages de résultats de recherche. En outre, des publicités contextuelles concurrentes ne peuvent être placées au-dessus ou à côté des publicités contextuelles de Google;
  • droit d’autoriser des publicités concurrentes: les tiers doivent obtenir l’autorisation de Google avant de modifier l’affichage des publicités contextuelles concurrentes.

Cet article Google : amende de 2,5 milliards € pour abus de position dominante est apparu en premier sur Droit & Technologies.

Pourquoi Amazon dépense-t-elle 13,7 milliards pour acheter des épiceries ?

mar, 27/06/2017 - 10:00

Si on vous dit que 31% du chiffre d’affaires généré par l’industrie du tourisme dans le monde, est aujourd’hui dépensé en ligne, seriez-vous surpris ? Probablement que non, car on a généralement conscience du fait que beaucoup de monde achète son billet d’avion sur Internet, y réserve son hôtel ou sa voiture.

Et le textile ? Un peu plus de 10 %. L’équipement maison ? 9 %. Les produits culturels ? 12 %. L’informatique et les biens technologiques ? 10 %. Internet se porte donc bien, merci pour lui.

Essayez alors de trouver un secteur crucial et pourtant très en retard : la proportion de commerce en ligne peine à dépasser 1,5 % dans le meilleur des cas.

Quelques indices : ce secteur est essentiel à la vie ; nous y sommes tous confrontés plusieurs fois par jour, il représente presque mille milliards de dépenses par an rien qu’aux USA.

Réponse : le secteur alimentaire.

Le commerce alimentaire est non abouti sur le plan de la transformation numérique : client et commerçant se rencontrent en présentiel et assument chacun une partie du travail (commande, empaquetage, livraison).

Par ailleurs, le client aime toucher ses fruits et légumes, voir sa viande et sentir son melon avant de l’acheter, de sorte qu’il y a une barrière psychologique non négligeable.

Tout ceci explique que ce secteur, pourtant crucial, est à ce point à la traîne.

Voyons les choses sous un autre angle. Celui qui trouvera la martingale pour réconcilier l’e-commerce et l’alimentaire, dispose d’une marge de progression phénoménale. Rien qu’aux États-Unis, 1 % d’augmentation de parts de marché pour le commerce alimentaire en ligne, c’est 7 milliards de chiffres d’affaires ! Autant dire que le gâteau est beau et gros.

Amazon Go : un tremblement de terre en perspective

Nous vous l’annoncions il y a quelques mois. Amazon a testé, en 2016, un nouveau concept de magasin passé largement inaperçu en Europe mais qui pourrait bien être la plus grande révolution du commerce alimentaire depuis l’invention de l’hypermarché.

Le concept, testé à Seattle est révolutionnaire ; un magasin totalement automatisé et  sans caisse. La technologie a été poussée à l’extrême : l’ordinateur sait que vous palpez 3 melons mais que vous en achetez un seul, il comprend que vous avez changé d’avis et remis en rayon le lait écrémé, il sait que tel produit est temporairement en réduction, il connait le poids de la grappe de raisins choisie, etc. Il n’y a rien à scanner, tout est automatisé. On se sert, on met dans le caddie.

Quant à la caisse, elle a disparu. Inutile puisque l’ordinateur sait exactement ce que contient votre caddie et il connait donc sa valeur. Vous partez et votre compte Amazon est débité. Un ticket de caisse détaillé vous parvient par mail.

Capteurs, senseurs, algorithmes, caméras, le cocktail technologique est époustouflant.

Le patron d’Amazon a de la suite dans les idées. S’il dépense près de 14 milliards de dollars pour acheter un réseau de 460 épiceries, c’est que l’expérience de Seattle est positive. Il a compris que s’il arrive à grappiller ne fût-ce que 1 % du commerce alimentaire américain, c’est 7 et 10 milliards de chiffres d’affaires qui tomberont dans son escarcelle avec, luxe suprême, une marge bénéficiaire nettement supérieure à la concurrence en raison de l’hyper informatisation.

Les concurrents oscillent entre intérêt, doute et dédain

En Europe, le secteur regarde avec un mélange d’intérêt, de doute et parfois de dédain.

  • Intérêt, car tout le monde sait que le secteur va encore évoluer. Les caisses auto-enregistreuses, le selfscan, la pré-commande à domicile, le drive-in, etc. sont des signes qui ne trompent pas. La transformation numérique de la grande distribution alimentaire n’est qu’au début ; il est interdit de rater la big new thing car celui qui loupe son départ pourrait bien disparaitre.
  • Doute, car il y a des freins. Freins psychologiques d’abord : le public n’aime pas la technologie qui remplace l’humain (la preuve par le selfscan à l’aéroport, détesté par la plupart des voyageurs). Et puis, il y a le conseil, toujours apprécié dans certains rayons (tel le vin). Freins économiques ensuite : la technologie utilisée coute très cher. Est-ce rentable s’il faut déployer cela à grande échelle ?
  • Dédain enfin (parfois). La grande distribution est un porte-avion, pas une vedette rapide. A l’image des banques qui ont mis des années avant d’embrayer et courir après les fintechs, certains représentants (ou consultants) du secteur de la grande distribution se plaisent à douter devant ce libraire qui commence un métier qu’il ne connait pas.
Et pourtant …

Il y a pourtant plusieurs signaux qui incitent à prendre très au sérieux ce qui se passe.

L’importance du secteur. Economiquement, on parle d’un marché colossal. 500 millions d’Européens doivent se nourrir chaque jour, en environnement de plus en plus urbain. Pareil aux USA. De quoi attiser les convoitises.

Une transformation numérique balbutiante. Les changements apportés au secteur jusqu’ici portent sur l’offre (mode hyper ou mode proximité ?), l’organisation (immobilier, gestion syndicale, etc.), le prix (premium, discount, hard discount), mais finalement assez peu sur la technologie. On a bien les code-barres et autres selfscan, mais cela reste marginal par rapport à ce que la technologie permet vraiment.

Le meilleur des deux mondes. Amazon Go a réussi ce qui manquait jusqu’ici : exploiter son expertise unique dans l’e-commerce avec un « vrai » magasin dans lequel le client voit et touche ses produits. C’est à notre connaissance le seul cas connu à ce jour (sauf Paypal il y a quelques années, mais la brièveté de l’expérience ne permet de la décrypter).

L’approvisionnement. Ce que la technologie permet vis-à-vis du client, elle le permet forcément aussi vis-à-vis de l’exploitant qui sait, en temps réel absolu l’état des stocks du magasin. De quoi faciliter et rentabiliser le back office.

L’effet d’appel. Même si la technologie coûte cher, elle peut être compensée par les économies (notamment en personnel) mais aussi le croisement de l’offre. Amazon est le plus grand magasin généraliste du monde. A peu près tout ce qui peut s’acheter, s’y trouve. Imaginons donc ce qu’un opérateur comme Amazon pourrait faire en termes d’offres croisées et de produits d’appel s’il a en plus accès à un réseau de centaines de magasins « en dur ».

Il ne reste en définitive que l’aspect psychologique. Faire ses courses dans un univers déshumanisé, en étant scruté par des ordinateurs, déplaira sans doute à une partie de la clientèle. Gardons toutefois à l’esprit que le propre d’une barrière psychologique est d’être évolutive. De façon plus décisive encore, évitons d’être trop Europe-centriques : il y a quelque milliard de personnes sur terre, en Amérique ou en Asie par exemple, qui ne sont pas choquées par le remplacement systématique de l’être humain par la technologie.

Cet article Pourquoi Amazon dépense-t-elle 13,7 milliards pour acheter des épiceries ? est apparu en premier sur Droit & Technologies.

Terrorisme : la vie privée va (encore) morfler

ven, 23/06/2017 - 10:41

Londres, Paris, Bruxelles. Trois capitales frappées en quelques semaines par des attentats ou des tentatives d’attentats. Les Chefs d’État en ont marre, à l’image de la population. Il n’est donc pas étonnant que le terrorisme figure en bonne place dans l’ordre du jour du sommet européen qui réunit les chefs d’États des pays de l’UE ces 22 et 23 juin.

Après avoir condamné « fermement les attentats terroristes qui ont été perpétrés récemment », le conseil se dit « uni et résolu dans la lutte contre le terrorisme, la haine et l’extrémisme violent. Ces actes ont renforcé notre détermination à coopérer au niveau de l’UE de façon à accroître notre sécurité intérieure: nous lutterons contre la propagation de la radicalisation en ligne, coordonnerons nos efforts visant à prévenir et combattre l’extrémisme violent et à lutter contre l’idéologie qui le sous-tend, ferons échec au financement du terrorisme, faciliterons les échanges rapides et ciblés d’informations entre les services répressifs, y compris avec des partenaires de confiance, et améliorerons l’interopérabilité des bases de données. »

Le secteur privé appelé à s’investir

Vient ensuite un doigt accusateur, pour la première fois à ce niveau-là de pouvoir, vers les « entreprises du secteur » (lire : l’industrie technologique) qui « doivent assumer leurs propres responsabilités pour ce qui est de contribuer à la lutte contre le terrorisme et la criminalité en ligne. »

La direction est donc claire : les fabricants d’outils de communication, gestionnaires de réseaux sociaux et autres éditeurs de logiciels, vont être mis à contribution.

Que va-t-on leur demander exactement? Le Conseil européen « attend des entreprises du secteur qu’elles créent leur propre forum et mettent au point de nouvelles technologies et de nouveaux outils en vue d’améliorer la détection automatique et la suppression des contenus qui incitent à la commission d’actes terroristes ».

On demande donc des entreprises une attitude proactive. Elles ne peuvent plus se limiter à recevoir les demandes de retrait et les notifications de contenus problématiques ; elles doivent agir proactivement.

A ce stade, on les appelle à s’auto-réguler (créer leur propre forum).

Et si elles ne le font pas ? La menace n’est même pas voilée : le conseil prévient que cette approche « devrait être complété par les mesures législatives appropriées au niveau de l’UE, si nécessaire ».

Concrètement, on peut parier sur le fait qu’à moyen terme, la directive sur le commerce électronique devrait être revue, notamment en vue de supprimer les dispositions spécifiant que les intermédiaires n’ont pas d’obligation générale de surveillance des contenus.

Le chiffrement sur la sellette

Le Conseil européen « appelle à relever les défis que posent les systèmes qui permettent aux terroristes de communiquer par des moyens auxquels les autorités compétentes ne peuvent avoir accès, y compris le chiffrement de bout en bout, tout en préservant les avantages que ces systèmes offrent en matière de protection de la vie privée, des données et des communications ».

Le Conseil européen estime que « l’accès effectif aux preuves électroniques est essentiel pour lutter contre les formes graves de criminalité et le terrorisme et que, sous réserve de garanties appropriées, la disponibilité des données devrait être assurée. »

Comprenne qui pourra … :

  • D’un côté on nous dit que les terroristes utilisent des outils de chiffrement et que la police a, c’est évident, des gros problèmes pour décrypter les messages. Et, par voie de conséquence, les chefs d’État veulent avoir la possibilité de décrypter les messages terroristes.
  • D’un autre côté on nous dit que les bons citoyens pourront continuer à bénéficier des avantages du chiffrement. Après tout, 99,9 % des messages chiffrés sont des échanges d’entreprises qui veillent à préserver leur secrets d’affaires ou des citoyens honnêtes qui n’ont simplement pas envie qu’une oreille indiscrète sache où ils vont, qui ils voient, ce qu’ils disent.

D’où la question suivante : comment sait-on, avant de le déchiffrer, qu’un message contient un contenu illicite ou préjudiciable ou est, à l’inverse, inoffensif ? Puisqu’il est évidemment impossible de faire le départ a priori, il faut comprendre des conclusions du conseil que les Etats vont tenter d’avoir accès à des outils généraux de déchiffrement en vue d’un contrôle a posteriori.

Nous ne sommes plus très loin de la déclaration faite il y a une quinzaine d’années, au lendemain des attentats de New York, par un haut responsable politique anglais qui disait en résumé que l’objectif était de conserver l’intégralité des messages échangés, par qui que ce soit et sous quelque forme que ce soit, de sorte d’être certain d’avoir sous la main ceux dont la police a besoin lors d’une enquête.

C’est bien connu, ceux qui n’ont rien à cacher ne doivent pas s’inquiéter … puisqu’ils n’ont rien à cacher.

Tant qu’on y est, supprimons :

  • la liberté d’expression pour tous ceux qui n’ont rien à dire;
  • le droit de propriété de ceux qui n’ont pas assez d’argent pour être propriétaires;
  • la liberté de culte de ceux qui ne croient pas;
  • la liberté d’association de ceux qui ne sont membres de rien;
  • le droit au procès équitable de ceux qui n’ont quand même rien à se reprocher.

Quel beau monde que celui-là.

Vous voyagez ? Je vous vois !

Puisqu’il n’est plus possible d’écrire à votre Juliette que vous l’aimez sans que des fonctionnaires de police le sachent, le Roméo que vous êtes se dit qu’il va aller la voir.

Mauvaise idée !

Le conseil européen annonce un « accord sur le système d’entrée/sortie », qui devrait intervenir « sous peu, et la finalisation, avant la fin de l’année, d’un système européen d’information et d’autorisation concernant les voyages (ETIAS) ».

Ces systèmes « renforcera le contrôle des frontières extérieures et la sécurité intérieure, tout en tenant compte des situations spécifiques des États membres qui n’appliquent pas encore pleinement l’acquis de Schengen. Dans ce contexte, le Conseil européen invite la Commission à élaborer, dès que possible, un projet de texte législatif mettant en œuvre les propositions formulées par le groupe d’experts de haut niveau sur l’interopérabilité. »

Une bonne nouvelle pour finir

Pour finir, deux bonnes nouvelles tout de même :

  • Les chefs d’État se sont engagés à accélérer leurs efforts pour partager leurs « connaissances sur les combattants terroristes étrangers et les individus radicalisés qui ont grandi à l’intérieur de nos frontières, et faire progresser les mesures stratégiques et juridiques pour gérer la menace ». On devrait donc assister à plus d’échanges d’informations, y compris au niveau des services secrets et autres services de sûreté.
  • Le Conseil européen souligne qu’il est important d’apporter un soutien aux victimes d’actes de terreur.

Cet article Terrorisme : la vie privée va (encore) morfler est apparu en premier sur Droit & Technologies.

Comment libérer les hôtels des griffes de Booking, Trivago et consorts ?

mer, 21/06/2017 - 09:36
La clause de parité étroite

Vous ne connaissez probablement pas la clause de la parité étroite.

Par contre, vous connaissez certainement Booking, Trivago et autres Expedia. Ces plates-formes de comparaison et réservation d’hôtels sont devenues la porte d’entrée incontournable pour quiconque prépare sur Internet son futur déplacement.

La clause de la parité étroite est une composante essentielle de ces plates-formes.

Il s’agit d’un engagement contractuel pris par l’hôtel, de ne pas vendre sur son site Web des chambres à un prix inférieur à celui qu’il propose sur la plate-forme d’intermédiation. L’hôtel peut pratiquer un prix inférieur dans d’autres circonstances (par exemple un appel téléphonique ou un client qui se présente à l’improviste), mais il ne peut pas, en vertu de cette clause, descendre le prix affiché sur son propre site Web en deçà de ce qu’il annonce sur Booking ou Trivago.

Contrairement à ce que l’on croit parfois, ce n’est pas Booking qui fixe le prix : ce sont les hôtels qui fournissent aux plates-formes d’intermédiation toutes les informations nécessaires à la réalisation des annonces et la fixation du prix. Exemple : si tel hôtel sait que le mardi et le jeudi sont des jours creux, il va autoriser Booking à faire une promotion de 55 % ces jours-là. A l’inverse, si l’hôtel est avisé d’un taux d’occupation élevé des établissements autour de lui, il va réduire la marge de manoeuvre qu’il laisse à Booking (pas de raison de descendre le prix puisque la demande est/sera forte).

Pour Booking, la clause de parité étroite est donc une composante essentielle. En effet, si le public apprend qu’il peut trouver moins cher directement sur le site de l’hôtel, il cherchera et comparera sur Booking mais il ira faire sa réservation sur le site de l’hôtel.

Cette clause n’est pas que le fruit de la volonté des plates-formes d’intermédiation. Elle est aussi en partie le résultat d’une sorte de compromis trouvé par ces plates-formes avec les différentes autorités de la concurrence dans les pays de l’Union européenne.

À l’époque (on parle d’avant 2015), cette clause était accompagnée de ses jumelles : la clause de parité de prix, la parité de disponibilité et les clauses de parité relatives aux conditions de réservation à l’égard des autres agences de réservation en ligne (« online travel agencies » – OTA).

Cela verrouillait considérablement la concurrence au point que plusieurs autorités, saisies de plaintes, se sont intéressées à la question.

En avril 2015, un accord a été trouvé impliquant notamment l’autorité de la concurrence française, la Commission européenne et les autorités italienne et suédoise : Booking.com s’est engagée à renoncer à toutes ses clauses de parité sauf une : la clause de parité étroite.

La loi Macron

En France (pays dans lequel le tourisme est un secteur d’intérêt national), la loi Macron est intervenue pour interdire purement et simplement cette pratique. Il est donc possible d’y trouver des nuits moins chères sur le site de l’hôtel que sur Booking. L’Allemagne, Italie et l’Autriche ont fait de même.

Pour Booking c’est une telle catastrophe qu’elle propose, en réaction, de rembourser au client la différence s’il trouve moins cher. Le but est que le client reste sur Booking pour y faire sa réservation. Dans les faits, la loi n’a donc eu qu’un impact limité. Toutefois, la réaction de Booking est intenable à long-terme sur le plan économique.

La clause de la parité étroite est en vigueur dans la plupart des autres pays de l’Union européenne.

La Belgique a décidé d’intervenir : le ministre vient d’annoncer un projet de loi calqué sur la loi Macron.

La situation est scrutée très soigneusement par d’autres pays, notamment ceux pour qui l’industrie hôtelière et le tourisme représentent des secteurs économiques importants.

Une bonne ou une mauvaise idée ?

C’est évidemment la bouteille à encre.

La situation n’est pas sans rappeler celle vécue par un certain nombre d’éditeurs de presse qui s’étaient opposées à Google News il y a quelques années. Ils avaient remporté une belle victoire judiciaire, mais le moteur avait réagi avec pragmatisme (brutalité diront certains) : puisque vous ne voulez pas qu’on vous référence sans vous payer, nous allons simplement cesser de vous référencer. Aussitôt dit aussitôt fait. L’audience sur les sites Web des éditeurs en question avait chuté drastiquement. La démonstration était faite que l’un a besoin de l’autre, mais que l’autre a besoin du premier.

C’est la même chose qui se produit par rapport à Booking, qui a autant besoin des hôtels que ceux-ci ont besoin d’elle.

a) Du côté de Booking on a des arguments :

Il y a de vrais services qui sont assurés au bénéfice des hôtels, à commencer par le référencement. Or :

  • Le référencement est un métier. Booking emploie une armée de professionnels qui référencent en permanence et affinent sans cesse les paramètres pour avoir un rapport qualité/prix optimal. Ce métier est hors de portée de la plupart des hôtels, qui seraient autrement moins bien référencés.
  • Booking permet de belles économies. L’achat de mots-clés sur Google fonctionne comme une bourse : c’est la loi de l’offre et de la demande qui s’applique. Il suffit de regarder les courbes de prix de certains mots-clés pour comprendre qu’un hôtel familial dans le sud de la France n’a aucune chance par rapport à un groupe hôtelier comme Accor. En quelque sorte, Booking diminue le coût du référencement par l’effet de mutualisation, et met tous les hôtels à égalité.

Un autre service est la réservation proprement dite. Cela nécessite une infrastructure informatique qui n’est pas à la portée de tous les hôtels, surtout de taille modeste.

Il y a encore la publicité indirecte en faveur des hôtels. Selon les chiffres de Booking, 40 % du trafic reçu par le site d’un hôtel provient en réalité de Booking. Le mécanisme est assez simple. Un consommateur effectue sa comparaison sur booking, choisit son hôtel, mais passe ensuite sur le site Web de celui-ci pour avoir plus d’informations et passer commande.

Il y a enfin – et c’est l’argument massue car il affecte directement l’économie du pays – le risque de cannibalisation par les grands groupes.

Booking affirme être la moins mauvaise solution pour maintenir une forme d’équilibre dans le secteur hôtelier. Pour la société, la suppression de la clause de parité étroite revient à permettre aux grands groupes (Accor, Hilton, etc.) d’utiliser leurs ressources financières et humaines pour reprendre la main sur les établissements indépendants et les petites chaines.

b) Du côté des hôtels on a aussi des arguments :

Il y a d’abord le coût de la commission. De 12 à 15 % en fonction du pays et de la région, plus les options (pack visibilité, etc.), ce qui peut amener un coût total de 20 à 25 % du prix de la nuitée. Pour certains hôtels dont la marge bénéficiaire est de 20 %, cela signifie que la nuit ne rapporte tout simplement rien. L’hôtel doit se rattraper sur d’autres choses (restaurant, bar, spa, magasins, etc.) mais tous n’ont pas cette possibilité et leur marge est parfois intégralement mangée par la commission payée à la plate-forme d’intermédiation.

Il y a ensuite le problème de la dépendance économique. Certains établissements, surtout dans le milieu de gamme, sont gérés par des personnes qui sont des professionnels de l’accueil mais pas du marketing. Lorsque Booking est venu les trouver il y a quelques années, ils y ont vu une solution certes coûteuse, mais facile. Au fil du temps, la part de réservation reçue via Booking a augmenté, au point que ces hôtels sont aujourd’hui en situation de dépendance. Booking devait être un appoint pour remplir les chambres en cas de coup de mou ; c’est devenu pour eux la principale source d’apport de clients mais à des conditions économiques trop difficiles. Ces hôtels veulent reprendre leur indépendance.

Il y a encore le principe même de la liberté tarifaire qui choque plusieurs exploitants. Ceux-ci considèrent que dès l’instant où ils payent une commission à Booking, ils ont rémunéré le service que la société leur fournit. Ils retrouvent donc leur liberté tarifaire.

Un beau débat donc …

Cet article Comment libérer les hôtels des griffes de Booking, Trivago et consorts ? est apparu en premier sur Droit & Technologies.

La plateforme Pirate Bay est coupable de contrefaçon au même titre que ses utilisateurs

dim, 18/06/2017 - 17:42

Sur Pirate Bay, des œuvres protégées sont mises à disposition sans autorisation des titulaires de droits. On peut ainsi y télécharger des séries et des films dès leur sortie sur petit et grand écrans (par ex. « Wonder Woman » actuellement au cinéma).

TPB a toujours argué ne pas être lui-même l’auteur d’atteintes au droit d’auteur dès lors que seuls ses utilisateurs mettaient les œuvres à disposition.

Ce n’est pas l’avis de la Cour de justice de l’Union européenne.

Les Faits

Dans le cadre de la procédure au principal, Stichting Brein (la SABAM néerlandaise), avait demandé qu’il soit ordonné aux FAI néerlandais, Ziggo et XS4ALL, de bloquer les noms de domaines et les adresses IP de TPB.

Le juge de première instance avait  accueilli la demande de la société de gestion collective. Celle-ci a toutefois été rejetée en appel, au motif que le blocage se révélait somme toute inefficace et restreignait, par ailleurs, la liberté entrepreneuriale des FAI.

Stichting Brein ne l’entendit toutefois pas de cette oreille et saisit la Cour suprême des Pays-Bas.

C’est dans ce contexte que la haute juridiction posa les questions préjudicielles suivantes à la CJEU :

« 1) L’administrateur d’un site Internet, comme TPB, réalise-t-il une communication au public lorsqu’aucune œuvre protégée n’est présente sur ce site, mais qu’il existe un système dans lequel des métadonnées relatives à des œuvres protégées qui se trouvent sur les ordinateurs d’utilisateurs sont indexées et classées pour les utilisateurs de sorte que ces derniers peuvent ainsi tracer les œuvres protégées et les mettre en ligne ainsi que les télécharger sur lesdits ordinateurs ? »

2) Si la première question appelle une réponse négative : l’article 8, paragraphe 3, de la directive 2001/29 et l’article 11 de la directive 2004/48 permettent-ils de rendre une injonction à l’encontre d’un intermédiaire au sens desdites dispositions lorsque cet intermédiaire facilite les atteintes commises par des tiers de la manière visée à la première question ? »

L’arrêt de la Cour

Dans son arrêt de ce 14 juin, la Cour confirme que la plateforme de partage peer-to-peer commet bien, elle-même, des actes de « communication au public » au sens de la directive 2001/29.

Cette décision se situe dans la ligne des décisions rendues en la matière la dernière année, et en particulier les arrêts GS Media et Filmspeler . Nous renvoyons à nos analyses précédentes pour plus d’infos.

Comme de coutume, la cour rappelle sa jurisprudence constante en vertu de laquelle la notion de « communication au public » doit donc être entendue au sens large.

La Cour considère que tout acte par lequel un utilisateur donne, en pleine connaissance de cause, accès à ses clients à des œuvres protégées est susceptible de constituer un « acte de communication ».

Plus encore,  la Cour constate que les administrateurs de TPB jouent un rôle incontournable dans la mise à disposition des œuvres :

  • Si les œuvres sont mises à  disposition sur la plateforme par les utilisateurs et non par les administrateurs de cette dernière, il n’en demeure pas moins que ces derniers, « par la mise à disposition et la gestion de la plateforme », interviennent en pleine connaissance des conséquences de leur comportement, pour donner accès aux œuvres protégées, en indexant et en répertoriant (via moteur de recherche) sur ladite plateforme les fichiers torrents qui permettent aux utilisateurs de localiser ces œuvres et de les partager dans le cadre d’un réseau peer-to-peer ;
  • En l’absence de la mise à disposition et de la gestion par lesdits administrateurs, lesdites œuvres ne pourraient pas être partagées par les utilisateurs ou, à tout le moins, leur partage sur Internet s’avérerait plus complexe.

La Cour souligne que :

  • les administrateurs de la plateforme sont bien informés du fait que les œuvres sont partagées sans autorisation des ayant-droits. Leur objectif est d’ailleurs de mettre des œuvres protégées à disposition et d’inciter leurs utilisateurs à les copier ;
  • Les communications effectuées le sont, par ailleurs, dans un but lucratif ; la plateforme générant des recettes publicitaires considérables.

Une fois l’acte de « communication » établi, il a suffi à la Cour de justice de constater que celui-ci était bien fait à un « public », en ce que ce dernier vise un nombre indéterminé de destinataires potentiels et implique un nombre important de personnes. Il est, en effet, incontestable que les communications effectuées s’adressent à l’ensemble des utilisateurs de la plateforme, laquelle peut se targuer de plusieurs dizaines de millions d’utilisateurs…

Et les FAI ?

Sur cette base, il incombera à la Cour suprême néerlandaise d’analyser dans quelle mesure, et le cas échéant, selon quelles modalités, une injonction visant le blocage des sites TPB peut être ordonnée à l’encontre des FAI.

On rappellera à cet égard, que la Cour de justice avait déjà nettement circonscrit la possibilité d’imposer le blocage de sites en son arrêt UPC Telekabel Wien du 27 mars 2014.

On ne peut pas tout exiger d’un FAI.

Les droits de propriété intellectuelle n’étant pas absolus, il appartiendra à la Cour néerlandaise de rechercher le juste équilibre entre le droit d’auteur, d’une part, et à la fois, la liberté d’entreprendre des FAI et la liberté d’information des internautes, d’autre part.

La liberté d’entreprise dont bénéficient les FAI – qui sont tiers aux actes de contrefaçon commis par ses abonnés – implique ainsi que les mesures ordonnées soient adaptées aux ressources dont ces derniers disposent (tant d’un point de vue technique que financier).

La mort de The Pirate Bay ?

La réalité du terrain est plus subtile.

Certes, les adresse IP seront probablement bloquées. Mais il faut prendre en compte les incroyables facultés d’adaptation et de contournement dont disposent les plateformes telles que The Pirate Bay et leurs utilisateurs.

Derrière le débat juridique, il y a une problématique de fond liée à la rapidité avec laquelle ces plates-formes se déplacent, la furtivité dont elles peuvent faire preuve et la rapidité des échanges dématérialisés.

Cet article La plateforme Pirate Bay est coupable de contrefaçon au même titre que ses utilisateurs est apparu en premier sur Droit & Technologies.

Pages