La gestion préventive des risques

Nous vous accompagnons dans la mise en oeuvre globale de votre écosystème entrepreneurial.

Une politique de qualité relationnelle ainsi que des outils de résolution amiable des différends et litiges seront intégrés à votre organisation.

Un abonnement LAD MEDIATION « Médiateur Référent » est réalisé.

CGU, CGV, RGPD, Raison d’être de l’entreprise, RSE, Ethique, droit de la consommation.


COMMENT LE RGPD DISTINGUE LES SITUATIONS DE SOUS-TRAITANCE ET DE CO-RESPONSABILITÉ ?

Dans sa mission de sanction envers les organismes ne garantissant pas un niveau de conformité approprié au regard de la réglementation, le RGPD fait peser sur la figure du « responsable de traitement » la responsabilité en cas de violation de ses dispositions.

Toutefois la diversité et multiplicité des acteurs pouvant jouer un rôle au sein d’une opération de traitement peut rendre flou le processus de qualification. C’est notamment le cas lorsque certains intervenants au traitement pensent bénéficier du statut de sous-traitant, ou lorsque la qualité de responsable conjoint leur est opposée. Les enjeux de ces qualifications sont éminemment importants et nécessitent une attention particulière.

Quelles sont les critères permettant l’attribution du statut de responsable de traitement ?

La notion de responsable de traitement n’a pas changé de définition depuis son apparition dans la directive de 1995 relative au traitement des données à caractère personnel. Aujourd’hui disposé à l’article 4 du RGPD, il est défini comme

« La personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ».

La définition s’attache à définir le caractère personnel du responsable de traitement, à savoir une personne physique ou morale, relevant de la sphère publique ou privée. Ces mentions ne sont pas anecdotiques et peuvent dans certains cas revêtir une grande importance. Par exemple, s’il est possible de considérer qu’un groupement hospitalier de territoire traite l’ensemble des données de santé de l’opération, n’ayant pas la personnalité juridique, cette structure ne peut pas être désignée comme responsable de traitement, et renvoie alors à une situation de coresponsabilité entre l’ensemble des établissement parties.

Il peut également arriver qu’une personne physique soit nommée responsable de traitement au sein d’une structure. Ce choix n’aura pas pour effet de remettre en cause la responsabilité de l’organisme en tant que tel, exception faite de traitement à des fins personnelles de la part d’une personne physique.

En second lieu, on considère que la personne physique ou morale disposant d’un pouvoir discrétionnaire de détermination des contours de l’opération de traitement sera responsable de celui-ci. Si ce pouvoir de détermination des finalités et moyens peut découler d’une désignation par le droit de l’Union ou d’un texte de droit national dans certains cas, c’est davantage au regard d’une analyse factuelle des rôles des acteurs du traitement qu’est attribuée la qualification de responsable.

A noter qu’en cas de litige, une appréciation en espèce sera effectuée, menant possiblement à une requalification en responsable de traitement de toute personne déterminant dans les faits, les finalités du traitement, et ce, en indifférence des clauses des contrats.

L’examen de cette responsabilité consiste donc en une étude de circonstances factuelles, démontrant le contrôle réel exercé par une partie dans le cadre des opérations de traitement.

Le volume d’instruction et de surveillance donné par une partie, l’expertise approfondie d’une partie dans le domaine ou tout simplement le degré de participation aux discussions relatives à la détermination des finalités du traitement sont des critères pris en compte lors de l’étude de la responsabilité.

Il convient toutefois de distinguer la détermination par une partie des éléments essentiels du traitement et la détermination des moyens purement techniques.

D’un côté, la détermination des finalités du traitement ou encore des moyens dits « essentiels », tels que la détermination des données précises à traiter, de la durée de conservation, emporte nécessairement la qualification de responsable.

De l’autre, la détermination par une partie des moyens techniques ou opérationnels du traitement n’est pas considérée comme engageant sa responsabilité, et peut être attribuée à un sous-traitant.

Le degré d’influence d’une personne sur les finalités et les moyens essentiels du ou des traitements est donc au centre de l’opération de qualification.

Comment reconnaître une situation de sous-traitance ?

Un sous-traitant est une personne chargée du traitement de données à caractère personnel pour le compte du responsable de traitement. L’existence du sous-traitant dépend de la politique du responsable de traitement, qui a la possibilité de traiter les données au sein de sa structure ou de déléguer, totalement ou partiellement ces activités de traitement à une structure externe.

Un sous-traitant n’est pas responsable des violations des données à caractère personnel qu’il traite, sauf outrepassement des missions confiées par le responsable de traitement ou violation des obligations spécifiques aux sous-traitants prévues à l’article 28 du RGPD.

Une personne va donc pouvoir bénéficier du régime de responsabilité atténuée du sous-traitant en prouvant qu’une autre partie, le responsable, exerce un contrôle réel sur son activité et détermine les finalités et les moyens essentiels de l’opération.

Dans une situation où de multiples personnes participent au traitement des données personnelles, c’est cette influence sur les éléments essentiels qui permet de distinguer la sous-traitance de la coresponsabilité. La première hypothèse concerne la situation où une partie détermine unilatéralement le rôle et les prérogatives de l’autre, et la seconde où les deux (ou plus) parties déterminent conjointement leurs rôles et prérogatives respectives.

Quelles sont les obligations spécifiques au sous-traitant ?

S’additionnant aux obligations déléguées par le responsable de traitement, le sous-traitant est tenu de garantir de manière appropriée la mise en conformité des traitements, l’exercice des droits des personnes concernées par le traitement ainsi que de restreindre son activité au cadre donnée par le responsable de traitement.

Plus précisément, l’article 28 du RGPD indique que le sous-traitant est tenu d’assurer la conformité du traitement mais également de démontrer cette mise en conformité en mettant à disposition du responsable toutes les informations nécessaires pour la réalisation d’audits ou d’analyse d’impact.

Une obligation de sécurité et de confidentialité pèse également sur le sous-traitant, qui peut ainsi voir sa responsabilité reconnue en cas de négligence manifeste ayant eu pour conséquence une faille de sécurité et la perte de confidentialité, d’intégrité ou de disponibilité des données traitées. A noter toutefois que la CNIL a considéré dans une affaire présentant une situation analogue, que la responsabilité du responsable de traitement était toujours engageable au regard de son obligation de n’avoir recours qu’à des sous-traitant présentant des garanties suffisantes en matière de sécurité et qu’il revient au responsable de surveiller les actions de son sous-traitant, sous peine de voir sa propre négligence condamnée.

Si l’opération de traitement nécessite la désignation d’un délégué à la protection des données, cette mission de désignation revient également au sous-traitant. L’évaluation des qualités professionnelles, connaissances spécifiques relatives à la conformité, ainsi que l’existence de moyens et ressources permettant la réalisation des missions du DPO sont toutes des obligations pouvant être confiées au sous-traitant.

Quelles sont les obligations des responsables conjoints du traitement ?

Il est possible que plusieurs personnes déterminent conjointement les finalités et les moyens du traitement. La coresponsabilité est tout simplement la situation où l’ensemble de ces responsables ont pour obligation de se répartir de manière claire, leur rôles et responsabilités au sein de l’opération de traitement.

La coresponsabilité n’a pas pour corollaire le partage égal des prérogatives et obligations entre les responsables. De la même manière la situation de coresponsabilité ne s’assimile pas à une simple coopération entre plusieurs responsables de traitement, quand bien même leurs actions encadrent le même jeu de données ou encore qu’un échange et partage d’informations existe entre eux.

Le seul critère de qualification pertinent est la détermination conjointe des finalités et moyens essentiels du traitement.

La distinction entre les situations de coresponsabilité et celles de « simple collaboration » est particulièrement importante au moment d’un possible litige, car le régime de coresponsabilité a pour conséquence un régime de solidarité, c’est-à-dire qu’une réparation intégrale du dommage pourra être demandée à n’importe lequel des responsables, à sa seule charge.

Outre la répartition claire des responsabilités, les responsables conjoints ont également comme obligation de rendre accessible aux personnes concernées l’accord de coresponsabilité au sein duquel le partage est inscrit. Cet accord doit être débattu et approuvé par l’ensemble des responsables conjoints, et de couvrir les éléments essentiels du traitement (nature, objet, durée, finalité, catégorie de données traitées, personne concernées etc.).

Enfin les responsables conjoints sont tenus de garantir l’exercice des droits des personnes concernées, notamment à travers l’établissement d’un point de contact, empêchant par la même occasion qu’un nombre trop élevé de responsables au sein de l’opération, n’empêche la personne concernée par le traitement de voir consacrer ses demandes.

En conclusion, la distinction entre co-responsable, responsable unique du traitement et sous-traitant s’opère essentiellement au regard de l’étude des personnes déterminant les éléments essentiels de l’opération.

Sont-ils plusieurs ? Est-ce qu’un lien de subordination peut vraisemblablement être attendu entre les personnes ? Est-ce que certains des acteurs de l’opération sont entièrement dépendants des instructions d’un ou plusieurs autres ? Voici le type de questions que le travail de qualification exige avant tout traitement de données à caractère personnel.


VOTRE COCONTRACTANT SE PRÉVAUT DE SES CONDITIONS GÉNÉRALES DE VENTE : VOUS SONT-ELLES OPPOSABLES ?

Les conditions générales de vente font partie intégrante du cadre contractuel et des relations commerciales des entreprises avec leurs clients. Extrêmement réglementées, il convient d’être prudent dans leur transmission sous peine qu’elles deviennent inopposables.

L’objet des conditions générales de vente (CGV) est, in fine, de fixer le cadre contractuel général qui régit l’ensemble des opérations entre un professionnel et son client.
Les CGV sont le socle de la négociation commerciale, c’est ainsi le point de départ qui sert de base à la discussion mais il n’est pas immuable, impératif. Par ailleurs, la négociation ne peut pas commencer avant que les fournisseurs n’aient communiqué leurs CGV.
Depuis l’Ordonnance n°2019-359 du 24 avril 2019 – art. 1, les CGV sont encadrés de façon plus stricte L’article L441-1 du Code de commerce dispose que les CGV doivent notamment prévoir « les conditions de règlement ainsi que les éléments du prix tels que les barèmes de prix unitaires et les éventuelles réductions de prix ».
I. Le cadre général : l’obligation d’information et de consentement.
L’article 1119 du Code civil, modifié par la réforme du droit des obligations, pose le principe général selon lequel les conditions générales invoquées par une partie n’ont d’effet à l’égard de l’autre que si elles ont été portées à la connaissance de celle-ci et qu’elle les a acceptées.
Deux conditions cumulatives sont ainsi nécessaires à l’opposabilité des conditions générales au cocontractant :
-  il doit avoir été en mesure de prendre connaissance des CGV ;
- il doit avoir apporté son consentement.
Se pose ainsi la question de la preuve que les CGV ont bien été adressées au client et que ce dernier y a volontairement adhéré.
A ce titre, la Cour de cassation s’est prononcée dans un arrêt rendu par la première chambre civile le 11 mars 2014, n°12-28104. Dans cet arrêt, la Cour confirme le principe selon lequel les CGV ne sont opposables au cocontractant qu’à la condition d’avoir expressément été portées à la connaissance de celui-ci et acceptées. Elle précise également qu’il n’existe pas de présomption d’accord aux CGV, et que l’adhésion à celles-ci doit être prouvée par celui qui les invoque.
II. Entre professionnels : l’obligation de transmission sur un support durable.
L’article L441-6 du Code de commerce prévoit une obligation de communication des conditions générales de vente à tout cocontractant qui en fait la demande.
L’article L441-1 du même code précise que cette communication peut s’effectuer par tout moyen dès lors qu’il constitue un support durable.

Aucun formalisme n’est imposé par la loi, les CGV peuvent être communiquées par tout moyen conforme aux usages de la profession concernée, néanmoins, dès lors que la preuve incombe à celui qui se prévaut de l’opposabilité des CGV, il convient de justifier de leur communication.
Dans la jurisprudence antérieure à la réforme du droit des obligations, il était possible, dans le cadre de relations d’affaires entre un client et un professionnel, d’opposer au client les CGV dont il avait pris connaissance lors de précédentes livraisons. En revanche, depuis le nouvel article 1119 du Code civil, il est nécessaire de faire accepter expressément lesdites CGV, par la signature du cocontractant.
Cet article intègre donc dans la loi un principe déjà affirmé par la jurisprudence, notamment l’arrêt du 11 mars 2014.
III. A l’égard du consommateur : une obligation d’information renforcée.
L’article L111-2 du Code de la consommation impose au professionnel de mettre à la disposition du consommateur, de manière lisible et compréhensible : les informations complémentaires relatives à ses coordonnées, à son activité de prestation de service et aux autres conditions contractuelles.
La jurisprudence est ensuite venue préciser ce texte notamment dans un arrêt du 3 mai 2016, de la Cour d’appel de Versailles n° 15-02478, qui a retenu que les CGV sont inopposables au consommateur si elles ne sont :
- ni signées ni paraphées par la personne à laquelle les CGV sont opposées ;
- évoqués que de manière accessoire dans le contrat ;
- sans précision des modalités de remises ;
- sans justification que le consommateur en a pris connaissance, et les a acceptées ;
- sans mention que les CGV font partie intégrante de la relation contractuelle.
De plus, l’article L211-1 du code de la Consommation, qui impose une obligation de présentation et de rédaction « claire et compréhensible » vient également s’appliquer au CGV : ainsi la jurisprudence va jusqu’à préciser la taille de la police.
Il convient d’être ainsi particulièrement attentif au formalisme relatif au CGV pour toutes les relations visant les consommateurs particuliers.
IV. Le consentement numérique aux CGV précisé par le droit européen.
La jurisprudence européenne est venue préciser l’applicabilité des CGV aux consommateurs pour les contrats en ligne.
La Cour de justice de l’Union européenne s’est prononcée, dans le cadre d’une question préjudicielle, sur la protection des consommateurs en matière de contrat à distance, par un arrêt Content Service LTD du 5 juillet 2012.

Dans cette affaire, il est demandé à la Cour si la pratique commerciale qui consiste à ne rendre accessible au consommateur les CGV que par un hyperlien sur un site internet, satisfait aux exigences de l’article 5 de la directive 97/7 du 20 mai 1997.
Dans l’objectif d’éviter que l’utilisation de techniques de communication à distance conduise à une diminution de l’information fournie au consommateur, la Directive prévoit que le consommateur doit recevoir ces informations par écrit ou sur tout support durable mis à sa disposition et auquel il a accès.
En l’espèce, un consommateur avait coché une case présente sur un formulaire permettant de déclarer qu’il accepte les CGV et qu’il renonce à son droit de rétractation.
La Cour considère que « la pratique commerciale qui consiste à ne rendre accessibles les informations prévues à cette disposition que par un hyperlien sur un site Internet de l’entreprise concernée ne satisfait pas aux exigences de cet article » car, « ces informations ne sont ni « fournies » par cette entreprise ni « reçues » par le consommateur, au sens de cette même disposition ».
Elle ajoute « un site Internet tel que celui en cause au principal ne peut être considéré comme un « support durable » au sens de cet « article ».
En outre, pour les contrats en ligne, pour que les CGV soient opposables, il faut communiquer au client les CGV sur un support durable comme un courrier électronique ou un format PDF, de sorte qu’il ne puisse plus être modifié unilatéralement par l’entreprise, sans que le consommateur n’en ai connaissance.