RGPD – GDPR Le projet de loi sur la protection des données personnelles

Cabinet Avocats Nantes Kacertis Avocats

RGPD – GDPR

L’Assemblée Nationale a adopté le 13 février dernier le projet de loi sur la protection des données personnelles.

Rappelons, que ce projet de loi est destiné à mettre le droit français en conformité avec le Règlement UE 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, qui entrera en application le 25 mai prochain (RGPD).[1]

La loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés a donc vocation à être modifiée et adaptée. C’est dans cette perspective que le projet de loi relatif à la protection des données personnelles a été adopté par l’Assemblée Nationale le 13 février 2018.[2]

Les dispositions suivantes méritent d’être soulignées :

  • 15 ans : l’age de la « minorité numérique »

L’âge requis pour le consentement des mineurs au traitement de ses données personnelles est abaissé à 15 ans. Lorsque le mineur sera âgé de moins de 15 ans le « traitement [ne sera] licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de la responsabilité parentale à l’égard du mineur » (article 7-1 nouveau de la Loi 78-17).

Le RGPD et son article 8 fixe l’âge légal du consentement à 16 ans mais permet aux États Membres d’abaisser cet âge dès lors qu’il n’est pas inférieur à 13 ans.

  • Renforcement des pouvoirs de la CNIL

Les pouvoirs de la CNIL sont renforcés (article 11 nouveau de la Loi 78-17) et, notamment, ses pouvoirs d’investigation. Les agents habilités pourront ainsi utiliser une identité d’emprunt afin de réaliser des investigations en ligne (article 44 nouveau de la Loi 78-17).

  • Sanctions et amendes proportionnées et dissuasives

Conformément aux articles 83 et 84 du RGPD, la CNIL pourra infliger des amendes administratives pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’organisme ou de l’entreprise concernée (article 45 7° nouveau de la Loi 78-17).

La CNIL pourra, en outre, prononcer une injonction de mettre en conformité le traitement avec la réglementation Européenne et/ou française, sous « astreinte dont le montant ne [pourra] excéder 100.000, 00 euros par jour »  (article 45 2°nouveau de la Loi 78-17).

  • Action de groupe et droit à l’indemnisation du préjudice

Si l’action de groupe est possible depuis la loi de modernisation de la justice du 18 novembre 2016[3], elle ne peut toutefois tendre qu’à la seule cessation du ou des manquements, en  ce sens que la demande d’indemnisation du préjudice est à ce jour exclue. C’est justement afin d’y remédier et d’intégrer la réparation des préjudices subis que l’article 43 ter nouveau de loi 78-17, envisagé aux termes du projet de loi, prévoit que l’action de groupe pourra «  être exercée en vue soit de la cessation du manquement, soit de l’engagement de la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudicies matériels et moraux subis de ces deux fins ».

La prochaine étape est l’examen par le Sénat le 20 mars, le gouvernement ayant opté pour une procédure législative accélérée, en principe, il ne devrait y avoir qu’une seule lecture par Chambre.

Morgane LE LUHERNE  Avocate Associée

[1]http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR

[2]https://www.legifrance.gouv.fr/affichLoiPreparation.do;jsessionid=AD5660270AD9F70B94275AC823321680.tplgfr22s_3?idDocument=JORFDOLE000036195293&type=contenu&id=2&typeLoi=proj&legislature=15

[3] LOI n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle (1) https://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=88EAE9B921E3955D7F3F16AFE4818886.tplgfr37s_2?idArticle=JORFARTI000033418921&cidTexte=JORFTEXT000033418805&dateTexte=29990101&categorieLien=id

Pourquoi opter pour la signature électronique ?

Alors que le décret n°2017-1416 du 28 septembre 2017 relatif à la signature électronique précisant les conditions de validité de la signature électronique vient d’être publié au Journal Officiel, l’occasion nous est donnée de revenir sur ce procédé de signature dématérialisée ainsi que sur sa force probante.

Avant toute chose, il est nécessaire de répondre à une première question :

⇒ QU’EST-CE QU’UNE SIGNATURE ÉLECTRONIQUE ?

Une signature électronique n’est pas un « scan » d’une signature manuscrite, bien qu’elle y soit souvent assimilée à tort, mais la traduction logique et numérique d’une signature manuscrite.

Qu’il s’agisse d’une signature manuscrite ou électronique, on retrouvera nécessairement les trois éléments suivants : le signataire, le document et l’outil de signature.

En matière de signature électronique, l’outil est constitué par un logiciel qui créera le code valant signature et par le certificat de signature utilisé par le signataire pour signer l’acte (ex. code envoyé par mail ou sms, carte de clefs personnelles, clef USB, etc…).

Le règlement européen n° 910/2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, dit « Règlement eIDAS »[1], entré en application le 1er juillet 2016, distingue la signature électronique dite avancée de la signature électronique qualifiée.

Concrètement, une signature électronique avancée doit répondre aux exigences suivantes :

  1. être liée au signataire de manière univoque ;
  2. permettre d’identifier le signataire ;
  3. avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif et ;
  4. être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable.

La signature électronique qualifiée, quant à elle doit non seulement répondre aux exigences susvisées mais en outre :

I) être créée à l’aide d’un dispositif de création de signature électronique qualifié, c’est à dire un dispositif technique permettant de s’assurer :

  1. de la confidentialité des données de création de la signature ;
  2. que les données de créations sont uniques en ce sens qu’elles ne peuvent être pratiquement établies qu’une seule fois ;
  3. que ces données de création ne peuvent être trouvées par déduction ;
  4. de la protection desdites données de création contre toute falsification.

II) reposer sur un certificat qualifié de signature électronique, délivré par un prestataire de services de confiance qualifié.

Les dispositifs de création de signature électronique qualifiés et les certificats qualifiés de signature électronique ne peuvent être délivrés que par un prestataire de services de confiance qualifié par les organes compétents des Etats Membres permettant, notamment, de s’assurer du respect des exigences du Règlement eIDAS. En France, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) est chargée de délivrer la « qualification » desdits prestataires.

⇒ QUELLE EST LA FORCE PROBANTE D’UNE SIGNATURE ÉLECTRONIQUE ?

Rappelons que l’article 1367 du Code civil[2] prévoit, notamment, que lorsque la signature est électronique « elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. La fiabilité de ce procédé est présumée, jusqu’à preuve contraire, lorsque la signature électronique est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, dans des conditions fixées par Décret en Conseil d’Etat. »

Pour l’application de cet article, le Décret du 28 septembre 2017[3], entré en vigueur le 1er octobre dernier, vient préciser que dans la mesure où la signature électronique est qualifiée, sa fiabilité est présumée, jusqu’à preuve du contraire.

 A contrario, cela semble supposer que la signature électronique avancée ne bénéficie pas quant à elle d’une présomption de fiabilité, il appartiendra donc au prestataire utilisant ce type de signature de prouver en quoi son procédé est suffisamment fiable et sécurisé, si la valeur juridique de ce type de signature était contestée.

La signature électronique qualifiée apporte donc un gage de sécurité juridique, ainsi que le rappelle l’article 25 du Règlement eIDAS :

 « L’effet juridique d’une signature électronique qualifiée est équivalent à celui d’une signature manuscrite »

⇒ OUTRE LE GAGE DE SÉCURITÉ, POURQUOI OPTER POUR LA SIGNATURE ÉLECTRONIQUE ?

1. LA RAPIDITÉ

Le procédé électronique offre un avantage considérable en termes de rapidité en comparaison avec une signature manuscrite.

En effet, ce type de signature par voie électronique peut être entièrement réalisé à distance, ainsi :

  • l’identification du signataire peut être réalisée par l’envoi de pièces justificatives (copie de cartes d’identité, de justificatif de domicile, etc…) et/ou par le recours à des procédés de reconnaissance vocale, faciale, etc…, sans besoin d’une rencontre physique ;
  • la remise au signataire du certificat de signature nécessaire pour procéder à la signature de l’acte pourra s’effectuer à distance (ex. code envoyé par mail ou sms, carte de clefs personnelles, clef USB, etc…).

Là où la signature manuscrite d’un acte implique une rencontre physique entre les signataires personnes physiques pouvant être éloignées géographiquement ou une transmission par voie postale des exemplaires originaux de l’acte entre les signataires, le temps d’une signature par voie électronique se trouve réduit à quelques clics et permet d’économiser le temps et les frais de déplacement ou de transmission de nombreux actes.

2. LA FIABILITÉ

Pour satisfaire aux exigences du règlement eIDAS, un acte signé par voie électronique doit être, notamment, assorti d’un certificat de signature attestant (i) de l’identité du signataire, (ii) de la date de signature de l’acte et, (iii) de l’absence de toute modification ultérieure de l’acte.

Dès lors, contrairement à une signature manuscrite, la signature électronique garantit que l’acte n’a pas été anti- ni post-daté, et qu’aucune modification n’est intervenue depuis sa signature.

3. LA SIMPLICITÉ

La signature électronique est un gage de simplicité dans la mesure où l’acte original signé électroniquement pourra être dupliqué en autant d’exemplaires numériques originaux que nécessaire et stocké sur tout support numérique.

La conservation et l’archivage sur des supports électroniques par les signataires de ces actes signés par voie électronique en seront dès lors extrêmement simplifiés.

***

L’Acte d’Avocat Électronique 100% dématérialisé, créé en 2011[4], utilise un procédé de signature électronique qualifiée que le Cabinet d’Avocats KACERTIS propose et pratique régulièrement, à titre d’exemple, pour la signature d’actes de cession, de contrats ou bien encore de transactions.

Par Axelle LEROUX (Avocat) et Morgane LE LUHERNE (Avocat Associé)

[1] Le Règlement (UE) n°910/2014 du Parlement Européen et du Conseil du 23 juillet 2014, sur l’identification électronique et les services de confiance pour les transaction électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE dit « eIDAS »,  a permis d’harmoniser le régime de la signature électronique sur le territoire de l’Union Européenne aux fins d’accroitre la confiance des citoyens européens à l’égard de ce procédé de signature

[2] Remplaçant l’article 1316-4 du Code Civil (dans les mêmes termes) à la suite de l’Ordonnance n°2016-131 du 10 février 2016 portant réforme du droit des contrats

[3] Décret n°2017-1416 du 28 septembre 2017 relatif à la signature électronique

[4] Loi n° 2011-331 du 28 mars 2011 de modernisation des professions judiciaires ou juridiques et certaines professions réglementées (1)

NANTES DIGITAL WEEK : DROIT ET INTELLIGENCE ARTIFICIELLE

La Nantes Digital Week, c’est la semaine de toutes les cultures numériques ; et pourquoi pas en ce compris la culture juridique ? Cet événement sera donc l’occasion de s’intéresser aux influences réciproques entre le droit et l’intelligence artificielle.

 

Voilà 60 ans que l’Intelligence Artificielle (IA) est devenue une discipline académique à part entière. Alors que l’IA relevait jusque là principalement du mythe déjà, en 1950, Alan Turing publie dans la revue Mind un article dans lequel il se demande si les machines peuvent avoir la capacité de penser et donc, être dotées d’une véritable intelligence. Il imagine alors de créer le célèbre test de Turing.[1]

Depuis lors, la recherche en la matière a subi des périodes de gel et de dégel. Devant la complexité de l’intelligence et privés de financement, les chercheurs s’en sont parfois détournés.

9 ans après la victoire de Deep Blue, premier système informatique de jeu d’échecs à battre Garry Kasparov, alors champion du monde en titre, ce fut au tour d’Alpha Go, en mars dernier, de battre le champion du monde de jeu de Go. En quelques années, les investissements dans l’IA sont devenus de plus en plus conséquents et cette dernière a fait des progrès considérables, notamment en matière de modélisation des données et d’apprentissage profond.

Désormais, sont présents dans notre environnement des robots, tels que Nao, Pepper, Jibo, Roomba ou Zenbo, des « assistants personnels » nommés Siri ou Cortana, des logiciels prédictifs, de reconnaissance vocale, faciale, mais également des véhicules autonomes ou semi-automnes etc.

L’IA est parfois considérée comme une nouvelle révolution industrielle, ses progrès touchent tous les secteurs, la médecine, l’éducation, l’industrie (notamment automobile), l’assurance ou le droit. A l’heure où certains envisagent une capacité de développement exponentielle de l’IA, notre société sera amenée à intégrer les bouleversements qui en résulteront, en dépassant les idées-reçues, fantasmes et autres scénarios catastrophes.

Aujourd’hui, l’IA a « la conscience d’un grille pain »[2]. Autrement dit, les robots et autres systèmes informatiques qui font partie de notre quotidien sont ce que certains appellent des IA faibles. A terme, il n’est toutefois pas impossible qu’il soit nécessaire d’établir une dichotomie entre cette IA faible et l’IA forte qui pourrait être dotée d’une réelle autonomie et d’une compréhension de ses propres raisonnements.

 

Outre les questions économiques, sociétales, éthiques ou sociologiques, la question de la place du droit dans cette révolution mérite de s’y attarder.

Alors, quel pourrait être le cadre juridique applicable à l’IA, en tant :

–      qu’objet de droit : est-il possible de protéger cette IA ? Quels sont les outils juridiques à la disposition des concepteurs ? Une protection est-elle nécessaire ? Le cadre actuel est-il suffisant ? Quel est le régime de responsabilité applicable à l’IA ? Qui est responsable si le système est défectueux ? etc.

–      que sujet de droit : certains auteurs recommandent de créer un statut propre à l’IA ou au robot, en lui reconnaissant une personnalité juridique. Dans la même veine, on peut également penser à l’IA créatrice et artiste, comme Magenta système informatique de Google qui a récemment créé seul un morceau de musique[3]. Est-il envisageable que ces IA soient titulaires de droits et, notamment, de droits de la propriété intellectuelle ?

 

En parallèle, l’impact de l’IA sur les professions juridiques ne peut être éludé. Des « robots- avocats » sont apparus aux Etats-Unis. Au-delà de l’effet d’annonce, Ross se contente en réalité de procéder à des recherches documentaires, il n’est donc pas prêt de remplacer l’avocat. Cela étant, l’IA ne pourrait-elle pas être un facteur de transformation du droit et de la justice ?

 

Le sujet est vaste et de nombreuses questions émergent à la lumière des développements croissants de l’IA. Nous tenterons, lors de la conférence débat du 23 septembre prochain, de répondre à certaines questions et d’apporter des clés de lecture et de réflexion.

 

Informations :

Conférence Débat organisée le 23 septembre 2016 à la Cité des Congrès, par le Cabinet KACERTIS AVOCATS et Jérôme Dupré, Co-fondateur de Case Law Analytics.

Interviendront Morgane Le Luherne Avocate Associée au sein du Cabinet KACERTIS et Jérôme Dupré, Co-fondateur de Case Law Analytics.

http://www.nantesdigitalweek.com/evenement-2016/droit-intelligence-artificielle/#.V9aTCMfLH04

Pour s’inscrire : https://www.eventbrite.fr/e/billets-droit-et-intelligence-artificielle-26177898800

[1] « Computing machinery and intelligence », Mind, Oxford University Press, vol. 59, no 236,‎ octobre 1950

[2] Florient Perronin Manager of the Facebook Artificial Intelligence Research (FAIR), in « Le magazine de la rédaction L’intelligence artificielle made in France », émission diffusée sur France Culture le 20 mai 2016 http://www.franceculture.fr/emissions/le-magazine-de-la-redaction/l-intelligence-artificielle-made-in-france

[3] http://www.huffingtonpost.fr/2016/06/02/intelligence-artificielle-google-musique-art_n_10254550.html

Impact de la réforme du droit des obligations sur le droit des sociétés (ordonnance du 10.02.2016)

L’ordonnance du 10 février 2016 portant réforme du droit des obligations entre en vigueur d’ici quelques jours (1er octobre 2016).

Elle opère une refonte importante du droit des contrats.

L’attention du praticien sera plus particulièrement attirée sur l’entrée dans le Code civil de la promesse unilatérale et du pacte de préférence, deux figures que l’on retrouve fréquemment dans les pactes d’associés.

Ces derniers bénéficieront d’une sécurité juridique accrue, peut-être davantage d’ailleurs en ce qui concerne la question des promesses unilatérales.

1. L’impossible révocation de la promesse unilatérale : enfin la sérénité !

La promesse unilatérale est désormais définie au 1er alinéa article 1124 du Code civil comme le contrat « le contrat par lequel une partie, le promettant, accorde à l’autre, le bénéficiaire, le droit d’opter pour la conclusion d’un contrat dont les éléments essentiels sont déterminés, et pour la formation duquel ne manque que le consentement du bénéficiaire ».

La définition a le mérite de la clarté. Mais ce n’est pas là que réside l’innovation.

Elle réside en réalité au 2ème et 3ème alinéa de ce même article :

« La révocation de la promesse pendant le temps laissé au bénéficiaire pour opter n’empêche pas la formation du contrat promis.

Le contrat conclu en violation de la promesse unilatérale avec un tiers qui en connaissait l’existence est nul ».

Grâce à ces deux alinéas, les praticiens retrouvent le sourire.

En effet, la solution qui est désormais consacrée par le Code civil condamne définitivement la position retenue par la Cour de cassation depuis de (trop) longues année et au terme de laquelle le promettant à la promesse pouvait révoquer sa promesse tant que le bénéficiaire n’avait pas levé l’option.

La solution retenue par la Cour de cassation rendait la promesse unilatérale peu sûre… puisque la « vie » de la promesse, son efficacité même, était subordonnée à la seule volonté du promettant.

Désormais, la révocation de la promesse par le promettant versatile ne sera pas un frein à la formation du contrat promis.

Surtout, le contrat qui viendrait quand même à être conclu en contravention avec la promesse serait frappé de nullité.

A n’en pas douter, ce nouvel article 1124 du Code civil constitue une des innovations remarquables de l’ordonnance du 10 février 2016.

A noter, dernier point, que cette nouvelle règle s’appliquera aux seuls contrats conclus à compter du             1er octobre 2016. Toutefois, certains s’interrogent déjà sur un revirement de jurisprudence de la Cour de cassation et donc, in fine, sur une application de cette nouvelle règle aux promesses conclues antérieurement à cette date.

2. La consolidation du régime juridique du pacte de préférence : l’efficacité en clair-obscur !

Le Code civil définit désormais le pacte de préférence à l’article 1123 du Code civil comme « le contrat par lequel une partie s’engage à proposer prioritairement à son bénéficiaire de traiter avec lui pour le cas où elle déciderait de contracter ».

L’apport de la réforme, au-delà d’avoir introduit une définition du mécanisme dans le Code civil, réside principalement dans les sanctions en cas de violation du pacte.

En effet, l’alinéa 2 du même article dispose que « lorsqu’un contrat est conclu avec un tiers en violation d’un pacte de préférence, le bénéficiaire peut obtenir la réparation du préjudice subi. Lorsque le tiers connaissait l’existence du pacte et l’intention du bénéficiaire de s’en prévaloir, ce dernier peut également agir en nullité ou demander au juge de le substituer au tiers dans le contrat conclu ».

Dès lors, deux hypothèses s’offrent à nous en cas de violation du pacte :

  • Dans l’hypothèse où le tiers est de bonne foi (ignorant l’existence du contrat), le bénéficiaire pourra seulement obtenir des dommages et intérêts,
  • Dans l’hypothèse où le tiers est de mauvaise foi, le bénéficiaire pourra obtenir à la fois des dommages et intérêts mais, et surtout, agir en nullité et demander au juge de le substituer au tiers dans le contrat conclu,

Les solutions désormais consacrées par le Code civil ne sont pas nouvelles puisque retenues par la Cour de cassation depuis de nombreuses années.

En pratique, la situation du bénéficiaire évincé confronté à un tiers de mauvaise foi ne sera pas forcément plus confortable qu’auparavant : le texte de l’article 1123 (comme la jurisprudence antérieurement) impose au bénéficiaire du pacte d’apporter la preuve de ce que le tiers avait connaissance (i) de l’existence du pacte et, surtout, que (ii) ce tiers était au courant de « l’intention du bénéficiaire de s’en prévaloir ».

La preuve peut s’avérer ardue…

En réalité, concernant le pacte de préférence, l’innovation la plus intéressante réside dans l’instauration d’une action interrogatoire destinée à mettre fin aux situations de non-dit et d’incertitude.

Désormais, le « tiers peut demander par écrit au bénéficiaire de confirmer dans un délai qu’il fixe et qui doit être raisonnable, l’existence d’un pacte de préférence et s’il entend s’en prévaloir ».

A défaut de réponse du bénéficiaire dans ce délai raisonnable, le tiers en question peut conclure en toute sécurité le contrat objet du pacte de préférence. En effet, le silence gardé par le bénéficiaire l’empêchera plus tard de solliciter la nullité du contrat ou sa substitution au contrat conclu.

 

Droit des contrats et internet

Le droit de l’internet soulève de nombreuses interrogations dans des domaines variés.

Quelques exemples:

– compétence territoriale: Cour de justice des communautés européennes (CJUE, 3 octobre 2013): un auteur s’est aperçu que ses chansons avaient été reproduites par une société autrichienne, puis commercialisé par une société britannique par l’intermédiaire de sites accessibles en France. La cour de justice a considéré que le Tribunal de grande Instance de Toulouse (lieu du domicile de l’auteur) est compétent dans la mesure où le site internet est accessible dans le ressort de la juridiction saisie.

A noter que le juge français n’est compétent que pour connaître du préjudice causé en France.

– droit du travail : la cour d’appel de Bordeaux estime qu’une heure passée -sur trente hebdomadaires- à utiliser à des fins privées l’outil informatique mis à disposition par l’employeur n’est pas de nature à jusitifier un licenciement, même si le règlement intérieur interdit tout usage de ce type (CA Bordeaux, 15 janvier 2013);

– droit des contrats: Il ne faut pas tout assimiler à un contrat sous forme électronique ! un contrat portant sur un abonnement téléphonique et d’échanges de données mobiles établi sur support papier n’est pas un contrat soumis aux dispositions des articles 1369-1 et suivants du code civil qui vise les contrats établis sous forme électronique et non les contrats ayant un rapport avec le web.