• Parutions -fr 

Parutions

Pas de droit à l’oubli pour les personnes morales.

Seules les personnes physiques bénéficient du droit à l’oubli numérique (l’arrêt CJUE Google Spain du 13/05/2014 et le RGPD concernent les personnes physiques uniquement).

 
D’ailleurs, un arrêt a été rendu récemment par la CJUE s’agissant de la suppression des données du dirigeant d’une entreprise liquidée, figurant dans le registre des sociétés (arrêt 9 mars 2017 Camera di commercio di Lecce contre M X aff. 398/15 Arrêt CJUE 09/03/2017). La CJUE a alors considéré qu’il n’existait pas de droit à l’oubli pour les données à caractère personnel figurant dans le registre des sociétés. 
Résumé de l’arrêt :communiqué de presse
M. Salvatore MANNI, administrateur unique d’une société, s’est vu attribuer un marché pour la construction d’un complexe touristique. Par recours du 12 décembre 2007, M. MANNI a attrait en justice la chambre de commerce de Lecce, en affirmant que les immeubles de ce complexe ne se vendaient pas car il ressortait du registre des sociétés qu’il avait été l’administrateur unique et le liquidateur d’une société qui a fait faillite en 1992 et qui a été radiée du registre des sociétés, à l’issue d’une procédure de liquidation, le 7 juillet 2005.
 
La question préjudicielle posée à la CJUE par la Cour de cassation italienne était la suivante : la directive sur la protection des données des personnes physiques et la directive sur la publicité des actes des sociétés s’opposent-elles à ce que toute personne puisse, sans limite de temps, accéder aux données relatives aux personnes physiques figurant dans le registre des sociétés ?
 
Selon la CJUE, la publicité des registres des sociétés vise à assurer la sécurité juridique dans les rapports entre les sociétés et les tiers ainsi qu’à protéger notamment les intérêts des tiers par rapport aux sociétés par actions et aux sociétés à responsabilité limitée, dès lors qu’elles n’offrent comme garantie à l’égard des tiers que leur patrimoine social.
 
En outre, des questions nécessitant de disposer des données à caractère personnel figurant dans le registre des sociétés peuvent surgir encore de nombreuses années après qu’une société a cessé d’exister. 

Dans ces conditions, les États membres ne peuvent pas garantir aux personnes physiques dont les données sont inscrites dans le registre des sociétés le droit d’obtenir, après un certain délai à compter de la dissolution de la société, l’effacement des données à caractère personnel les concernant. 

Néanmoins, la Cour n’exclut pas que, dans des situations particulières, des raisons prépondérantes et légitimes tenant au cas concret de la personne puissent justifier, à titre exceptionnel, que l’accès aux données à caractère personnel la concernant soit limité, à l’expiration d’un délai suffisamment long après la dissolution de la société, aux tiers justifiant d’un intérêt spécifique à leur consultation.  

Ainsi, il serait nécessaire de fonder une demande de retrait concernant une société sur un fondement plus classique tel que le dénigrement.

« L’entrée en vigueur du CETA ou l’impact du GDPR au Canada »

L’accord économique et commercial global entre l’Union Européenne et le Canada dit « CETA » a été ratifié par le Parlement Européen le 15 février 2017. Il est entré en vigueur de manière provisoire le 21 septembre dernier, dans l’attente de son approbation définitive par les parlements nationaux et régionaux de l’Union Européenne.

Ce traité de libre-échange prévoit notamment une baisse des droits de douane, une hausse des quotas d’importation de produits canadiens dans l’Union Européenne, un accès facilité des entreprises européennes aux marchés publics canadiens ou encore, une reconnaissance mutuelle des qualifications professionnelles.

Dans ce contexte de partenariat entre l’Union Européenne et le Canada, il convient de s’intéresser au Règlement européen sur la protection des données personnelles dit « General data protection régulation » (GDPR)[1], adopté le 27 avril 2016 et entrant en vigueur le 25 mai 2018.

Compte-tenu de son champ d’application étendu, ce Règlement européen pourrait effectivement concerner les entreprises canadiennes, lesquelles devront anticiper son entrée en vigueur et se mettre en conformité avant le 25 mai 2018.

Quelles sont les entreprises concernées par le Règlement européen ?

Les entreprises concernées sont celles qui traitent des données à caractère personnel[2], en qualité de responsable de traitement[3] ou de sous-traitant[4], dès lors que ce traitement entre dans le champ d’application matériel et territorial du GDPR.

Sont exclus du champ d’application matériel du GDPR, les traitements effectués :

  1. Dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;
  2. Par les Etats membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l’Union Européenne ;
  3. Par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ;
  4. Par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales[5].

Pourquoi les entreprises canadiennes sont-elles concernées par le Règlement européen ?

Si le GDPR a pour objet d’unifier le cadre juridique relatif à la protection des données personnelles au sein de l’Union Européenne, force est de constater que son champ d’application territorial n’est pas limité à l’Europe et est susceptible de s’étendre au Canada.

En effet, le GDPR s’applique aux traitements de données à caractère personnel dont le responsable du traitement ou le sous-traitant :

  1. Est établi sur le territoire de l’Union, que ce traitement ait lieu ou non dans l’Union ;
  2. N’est pas établi sur le territoire de l’Union, dès lors que ce traitement concerne des personnes établies dans l’Union et a pour objet de leur fournir des biens ou des services ou de suivre leur comportement ;
  3. N’est pas établi sur le territoire de l’Union mais dans un lieu où le droit d’un État membre s’applique en vertu du droit international public[6].

Ainsi, le GDPR s’applique aux traitements de données à caractère personnel mis en œuvre sur le territoire canadien lorsque le responsable du traitement ou le sous-traitant est établi sur le territoire de l’Union Européenne.

En outre, le GDPR s’applique aux traitements effectués par un responsable ou un sous-traitant canadien lorsque leur objet est de fournir des biens ou des services à des résidents de l’Union Européenne ou de suivre leur comportement.

Quelles formalités pour les entreprises canadiennes qui mettent en œuvre un traitement visant à fournir des biens ou des services à des résidents européens ou à suivre leur comportement ?

Dans une telle hypothèse, le GDPR prévoit la désignation d’un « Représentant sur le territoire de l’Union Européenne »[7]. Cette désignation est obligatoire à moins que :

  1. le traitement ne soit qu’occasionnel, n’implique pas un traitement à grande échelle de données sensibles ou de données relatives à des condamnations pénales ou à des infractions et soit peu susceptible d’engendrer un risque pour les droits et libertés des personnes physiques compte tenu de la nature, du contexte, de la porté et des finalités du traitement.
  2. le responsable du traitement soit une autorité publique ou un organisme public.

Le « représentant » est défini comme une personne physique ou morale établie dans l’Union Européenne désignée par écrit par le responsable du traitement ou le sous-traitant et qui les représente en ce qui concerne leurs obligations respectives en vertu du GDPR[8].

Selon la CNIL, autorité française de contrôle en matière de protection des données personnelles, le représentant peut être une filiale, un représentant juridique, un avocat ou toute autre personne.

Le représentant doit être établi dans un des États membres dans lesquels se trouvent les personnes physiques dont les données à caractère personnel font l’objet d’un traitement lié à l’offre de biens ou de services, ou dont le comportement fait l’objet d’un suivi[9].

Il est mandaté par le responsable du traitement ou le sous-traitant pour être la personne à qui les autorités de contrôle et les personnes concernées doivent s’adresser, en plus ou à la place du responsable du traitement ou du sous-traitant, pour toutes les questions relatives au traitement, aux fins d’assurer le respect du GDPR. Néanmoins, sa désignation est sans incidence sur la responsabilité du responsable du traitement et du sous-traitant.

Quelles obligations pour les entreprises concernées par le Règlement européen (responsables de traitement ou sous-traitants) ?

Les responsables de traitement et les sous-traitants devront désormais respecter le principe de « privacy by design » qui implique de limiter la quantité de données traitées dès le départ et de protéger les données dès la conception et par défaut.

En outre, en application du principe « d’accountability » (responsabilisation des entreprises), les responsables de traitement devront être à même de démontrer leur conformité au Règlement à tout moment. Pour cela, ils devront notamment constituer et regrouper la documentation nécessaire : registre des traitements, analyses d’impact, encadrement des transferts hors de l’Union Européenne, modèles de recueil du consentement des personnes concernées, etc.

En contrepartie de cette responsabilisation des entreprise, il est à noter que le GDPR supprime les formalités déclaratives auprès des autorités de protection des données personnelles et met à disposition des responsables de traitement des outils de conformité : mécanismes de certification, adhésion à des codes de conduite, désignation d’un délégué à la protection des données (DPO)[10] etc.

Par ailleurs, le GDPR soumet les responsables de traitement et les sous-traitants à de nouvelles obligations. Le responsable du traitement devra notamment tenir un registre des traitements pour les entreprises de plus de 250 salariés[11], répondre au droit d’accès des personnes concernées dans un délai d’un mois[12], notifier et communiquer les violations de données personnelles[13] ou réaliser des analyses d’impact en cas de risque élevé pour les droits et libertés des personnes physiques[14].

Le sous-traitant devra, quant à lui, obtenir l’autorisation du responsable de traitement pour faire de la sous-traitance, aider le responsable à s’acquitter de ses propres obligations, notifier au responsable toute violation de données personnelles ou encore, mettre à disposition du responsable les informations attestant du respect de ses obligations et permettant la réalisation d’audits.

De plus, les responsables de traitement et les sous-traitants devront respecter les droits des personnes concernées. Ces droits ont été renforcés par le GDPR et comprennent notamment : l’exigence d’un consentement clair et explicite[15], le droit à l’oubli[16], le droit à la portabilité des données[17], le droit de s’opposer au traitement et au profilage[18], le droit d’être informé en cas de piratage de ses données[19] etc.

Enfin, il convient de souligner que les amendes administratives pourront désormais atteindre 2 à 4% du chiffre d’affaires annuel mondial de l’entreprise ou 10 à 20 millions d’euros pour les autres organismes.

 

Quid des transferts de données depuis l’Union Européenne vers le Canada ?

Avec l’entrée en vigueur du CETA, il est probable que des transferts de données à caractère personnel aient lieu entre l’Union Européenne et le Canada.

Les transferts de données à caractère personnel depuis l’Union Européenne vers un pays tiers, tel que le Canada, sont strictement encadrés par le GDPR.

Le GDPR prévoit que de tels transferts ne peuvent avoir lieu que si la Commission Européenne a reconnu, par voie de décision, que ce pays tiers assurait un niveau de protection adéquat des données personnelle ou, à défaut, si des garanties appropriées sont prises par le responsable du traitement ou le sous-traitant[20].

S’agissant du Canada, la Commission européenne a reconnu que la loi canadienne sur « la protection des renseignements personnels et les documents électroniques » assurait un niveau de protection adéquat des données personnelles[21]. Par conséquent, les transferts de données personnelles depuis un Etat membre de l’Union Européenne vers un destinataire canadien assujetti à cette loi ne nécessitent pas de garantie supplémentaire.

 

[1] Règlement (UE) n°2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[2] Traitement de données à caractère personnel : « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utili­sation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rappro­chement ou l’interconnexion, la limitation, l’effacement ou la destruction »

[3] Responsable du traitement : « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement »

[4] Sous-traitant : « la personne physique ou morale, l’autorité́ publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement »

[5] Article 2 du Règlement (UE) n°2016/679

[6] Article 3 du Règlement (UE) n°2016/679

[7] Considérant 80 et article 27 du Règlement (UE) n°2016/679

[8] Article 4-17° du Règlement (UE) n°2016/679

[9] Article 27 du Règlement (UE) n°2016/679

 

[10] Article 37 du Règlement (UE) n°2016/679

[11] Article 30 du Règlement (UE) n°2016/679

[12] Article 12-3 du Règlement (UE) n°2016/679

[13] Articles 33 et 34 du Règlement (UE) n°2016/679

[14] Article 35 du Règlement (UE) n°2016/679

[15] Consentement : « acte positif par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement (considérant 32) »

[16] Article 17 du Règlement (UE) n°2016/679

[17] Article 20 du Règlement (UE) n°2016/679

[18] Article 21 du Règlement (UE) n°2016/679

[19] Article 34 du Règlement (UE) n°2016/679

[20] Article 44 du Règlement (UE) n°2016/679

[21] Décision d’adéquation 2002/2/EC du 20 décembre 2001 modifiée par la décision d’exécution (UE) 2016/2295

« Protéger les indications géographiques par le droit d’alerte ». MaPreuve. 28/07/2017

Lire l’article

Les enjeux juridiques de l’Intelligence Artificielle.

En Janvier 2017, le barreau de Lille a annoncé son intérêt pour la justice prédictive et compte bien être l’un des premiers barreaux Français à tester ce dispositif[1].

Les algorithmes et l’Intelligence Artificielle en général, soulèvent de plus en plus de questionnements juridiques à une époque où cette dernière est capable de vaincre un champion du jeu de Go[2].

Pour John McCarthy, l’Intelligence Artificielle (ou « IA ») est une « construction de programmes informatiques qui s’adonnent à des taches qui sont, pour l’instant, accomplies de façon plus  satisfaisantes par des êtres humains car elles demandent des processus mentaux de haut niveau tels que l’apprentissage perceptuel, l’organisation de la mémoire et le raisonnement critique ».

Depuis le siècle dernier, l’Intelligence Artificielle nourrit les fantasmes les plus imaginatifs. Elle peut être vue comme un progrès pour l’humanité, facilitant la vie de l’homme et l’accompagnant dans son quotidien afin de l’aider à prendre des décisions ou à réaliser des tâches.

Mais l’Intelligence Artificielle nourrit aussi de grandes peurs, comme le reflète la littérature et le cinéma de science fiction. On peut citer l’exemple de H.A.L dans « 2001 L’odyssée de l’Espace » ou le robot Elvex dans la Nouvelle « Le Robot qui rêvait » d’Isaac Asimov, robot doté d’un véritable subconscient, capable de rêver et se positionnant comme l’équivalent des humains.

Malgré tout, l’Intelligence Artificielle est aujourd’hui une réalité, qui fait émerger un véritable débat dans le monde juridique.

Dans cette optique, le Parlement Européen a récemment publié une résolution contenant « des recommandations à la Commission concernant les règles de droit civil sur la robotique. »[3]

Les questions susceptibles d’être soulevées à propos de l’Intelligence Artificielle et la robotique concernent la transparence, la propriété intellectuelle, le régime de la responsabilité ou encore la protection des données personnelles.

La transparence nécessaire 

Pour que les individus placent leur confiance dans une Intelligence Artificielle, il est nécessaire d’instaurer une totale transparence et une loyauté dans le traitement algorithmique qui l’anime.

Dans cette logique de transparence, Elon Musk, CEO de Tesla et SpaceX, a lancé des recherches sur l’Intelligence Artificielle, dont les résultats sont consultables à tout moment et mises à jour régulièrement.[4]

Dans le droit positif, des avancées ont été faites en faveur de la transparence.

On peut citer, à titre d’exemple, la loi pour une République Numérique[5] qui impose à l’Administration d’être totalement transparente lorsqu’elle exécute des traitements algorithmiques.

La nouvelle législation européenne (GDPR) en matière de protection des données personnelles imposera à l’avenir une transparence si le traitement aboutit à un profilage des individus[6].

Le texte prévoit, en effet, que le responsable d’un traitement devra informer la personne concernée « de l’existence d’une prise de décision automatisée, y compris de profilage ».

Une fois la personne informée, elle sera en mesure d’exercer, ou non, son droit d’opposition.

Cette obligation d’information doit permettre aux personnes concernées de comprendre le fonctionnement d’une IA et de montrer que celle-ci est respectueuse des principes de protection de la vie privée des individus.

D’autres principes du règlement GDPR vont impacter le développement de l’Intelligence Artificielle.

Tous les programmes développés vont devoir se plier aux exigences de la « Privacy By Design », c’est à dire qu’ils vont devoir intégrer la protection des données dés la conception.

La future Intelligence Artificielle devra aussi appliquer le nouveau principe de minimisation dans la collecte de données personnelles.

Malgré tout, cet appel à la transparence va à contre-courant de la tendance actuelle des entreprises.

Développer et mettre en œuvre une Intelligence Artificielle peut être protégé par le secret professionnel / secret de fabrique  et une entreprise peut se montrer réticente à l’idée de dévoiler « sa recette » de l’Intelligence Artificielle avec le risque de voir ses concurrents proposer une meilleure solution.

Le régime de responsabilité 

La question est ici de savoir quel fondement juridique appliquer si un litige survient à cause d’une Intelligence Artificielle.

La responsabilité civile de l’article 1240 du Code Civil (anciennement 1382) s’applique lorsqu’une personne commet une faute qui cause un dommage à une autre personne. L’idée qui sous-tend la responsabilité civile c’est que chaque individu doit répondre de ses actes.

L’autre principe fondateur du Code civil réside dans le fait que chaque individu qui s’oblige, engage ses biens présents et à venir (article 2284 du Code Civil).

Ainsi, l’auteur d’une faute, condamné à réparer  le dommage, utilisera les biens de son patrimoine (argent) pour exécuter son obligation.

L’Intelligence Artificielle n’ayant pas la personnalité juridique, elle ne dispose pas non plus d’un patrimoine au sens du droit français. Il semble donc difficile d’appliquer le régime général de la responsabilité civile de  l’article 1240 du Code Civil (anciennement 1382) à l’IA car elle ne sera pas en mesure de réparer le préjudice.

Il convient donc de regarder vers le régime de responsabilité du fait des choses.

Le gardien d’une chose (son propriétaire) peut voir sa responsabilité engagée si la chose  qui est sous sa garde crée un dommage à autrui. Le gardien peut toutefois s’exonérer s’il arrive à prouver qu’aucune faute n’a été commise.

À titre d’exemple, si un robot cause un dommage à autrui, comme une blessure, c’est la responsabilité de son propriétaire qui sera engagée et qui, le cas échéant, indemnisera la victime.

La responsabilité du fait des produits défectueux de l’article 1245 du Code Civil (anciennement 1386-1) pourrait aussi s’appliquer dans ce cas de figure.

La responsabilité d’un fabricant peut être engagée si le produit qu’il a fabriqué cause un dommage à un individu car il est défectueux. Appliqué à l’Intelligence Artificielle, ces règles pourraient conduire à imaginer qu’un robot cause un dommage à autrui en raison d’un défaut de fabrication ou d’une anomalie dans le logiciel le faisant fonctionner.

Dans ce cas précis, la responsabilité du fabricant ou du développeur du logiciel pourra être engagée et il sera tenu de réparer le dommage.

Il n’y a, de notre point de vue, pas urgence à consacrer un régime de responsabilité propre à l’IA, la pratique étant susceptible d’adapter ces responsabilités historiques à l’Intelligence Artificielle. Cependant, des difficultés peuvent surgir : peut-on réellement engager la responsabilité du développeur si le dommage vient du résultat d’un calcul effectué par un algorithme ?

Dans ses recommandations pour la création d’un droit civil des robots, le Parlement Européen propose plusieurs solutions au titre de la responsabilité de l’Intelligence Artificielle.

On retrouve :

  • La mise en place d’une assurance obligatoire ;
  • La création d’un fonds de compensation afin d’indemniser les accidents provoqués par une Intelligence Artificielle (comme l’ONIAM pour les accidents médicaux) ;
  • La création d’un numéro d’immatriculation pour faciliter l’identification des robots en leur attribuant un numéro propre ;
  • La consécration d’une personnalité juridique propre aux robots afin de créer des règles spéciales pour la mise en œuvre de leur responsabilité.

L’Intelligence Artificielle  est avant tout un logiciel,  protégé par le droit d’auteur à condition qu’il soit original.

Ce critère d’originalité n’est pas défini dans le Code de la propriété intellectuelle.

À travers une œuvre, l’auteur exprime, sa personnalité. L’œuvre porte l’empreinte de la personnalité de son auteur. L’originalité d’une œuvre émane donc de la personnalité de son auteur.

C’est différent pour un logiciel car l’originalité s’apprécie en fonction des choix opérés par son développeur. Selon la jurisprudence, « l’organigramme, la composition du logiciel, et les instructions rédigées, quelle qu’en soit la forme de fixation constituent la forme d’expression du logiciel »[7]

D’autres titres de propriété industrielle peuvent venir renforcer la protection de l’IA, on peut notamment déposer un brevet sur les éléments techniques utilisés par le logiciel, enregistrer une marque (déposer comme marque le nom d’un robot) ou protéger les plans de conception du robot en les enregistrant auprès de l’INPI comme dessins et modèles.

Sur l’année 2016, Microsoft a déposé 103 brevets concernant l’Intelligence Artificielle.

L’Intelligence Artificielle  peut aussi aider une personne humaine à créer une œuvre de l’esprit.

La jurisprudence a déjà eu l’occasion de se prononcer sur la création d’une œuvre, assistée par ordinateur.  Selon elle, l’œuvre « peut être protégée par le droit d’auteur à condition qu’apparaisse l’originalité voulue par le concepteur »[8]

C’est donc l’Homme  derrière l’ordinateur qui serait titulaire des droits d’auteur. Cette jurisprudence peut être appliquée sans difficultés si l’œuvre a été crée avec l’assistance d’une Intelligence Artificielle car l’œuvre créée reflète la personnalité de l’Homme.

À l’inverse, l’IA peut être amenée à créer, elle-même, une œuvre originale.

Dans ce contexte, il est difficile de lui accorder des droits d’auteur car il faudra faire ressortir de cette œuvre le critère d’originalité. Or, il apparaît hasardeux de reconnaître à une IA qu’elle exprime sa personnalité dans une œuvre de l’esprit.

Il y a donc un lien entre Humanité et création originale.  Le droit d’auteur est subjectif et n’est pas adapté pour les créations réalisées par une Intelligence Artificielle.

Afin qu’une telle protection puisse être accordée, il faudrait bouleverser le paradigme de la propriété littéraire et artistique et en faire un droit objectif, s’appliquant à n’importe quelle création, sans condition d’originalité, telle qu’elle est entendue aujourd’hui par les juridictions françaises.

[1]http://www.lavoixdunord.fr/106005/article/2017-01-20/pionniers-en-europe-les-avocats-lillois-testent-la-justice-predictive

[2] http://www.futura-sciences.com/tech/actualites/technologie-alphago-apres-avoir-battu-n-1-mondial-jeu-go-ia-prend-retraite-61409/

[3] http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+TA+P8-TA-2017-0051+0+DOC+PDF+V0//FR

[4] Https://openai.com/about/

[5]https://www.legifrance.gouv.fr/affichLoiPubliee.do?idDocument=JORFDOLE000031589829&type=general&legislature=14

[6] Article 22 du GDPR

[7] Ccass. Ass. Plèn, 7 mars 1986, Pachot, n° 83-10.477

[8] Cour d’appel de Paris, 3 mai 2006, RG 05/03736

« Les nouvelles obligations des plateformes de mise en relation issues du décret du 4 mai 2017 ».

A été publié au JORF du 6 mai 2017, le décret n° 2017-774 du 4 mai 2017  relatif à la responsabilité sociale des plateformes de mise en relation par voie électronique. Il a pour but de fixer les conditions d’application de la responsabilité sociale des plateformes collaboratives. Il entrera en vigueur le 1er janvier 2018.

La « plateforme en ligne » est un terme qui a déjà attiré l’attention du législateur, en la définissant à l’article L111-7 du Code de la consommation  comme «  toute personne physique ou morale proposant à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur :

  • le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers
  • Ou la mise en relation de plusieurs parties en vue de la vente de bien, de la fourniture d’un service, ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service. »

En plus de définir la plateforme en ligne, le législateur vient aussi lui créer un régime comprenant notamment des obligations fiscales, visibles à l’article 242 bis du code Général des Impôts, qui peuvent se résumer en une transparence envers ses utilisateurs. Ce régime contient aussi des obligations qui ont été créées par la loi n°2016-1088 relative au travail, à la modernisation du dialogue social et à la sécurisation des parcours professionnels (ou loi El Khomri).

Depuis cette « loi travail », lorsqu’une plateforme de mise en relation par voie électronique détermine les caractéristiques de la prestation de service fournie ou du bien vendu et fixe son prix, elle a une responsabilité sociale à l’égard des travailleurs indépendants qui y recourent.

Le décret vient préciser les modalités et l’étendue de cette garantie en complétant le Titre IV du code du travail intitulé « Travailleurs utilisant une plateforme de mise en relation par voie électronique », qui comporte deux chapitres :

  • Chapitre 1 : Champ d’application
  • Chapitre 2 : Responsabilité sociale des plateformes

Lorsque le travailleur indépendant a souscrit à une assurance couvrant le risque d’accidents du travail ou adhère à l’assurance volontaire en matière d’accidents du travail, les frais sont pris en charge par la plateforme si le travailleur indépendant a réalisé, par celle-ci, un chiffre d’affaire supérieur ou égal à 13% du plafond annuel de la sécurité sociale (soit 5 099,64€ pour l’année 2017).

La contribution à la formation professionnelle, ainsi que les frais d’accompagnement pour la validation des acquis d’expérience sont aussi pris en charge par la plateforme à hauteur de ce plafond.

La cotisation due par la plateforme est égale à la cotisation due au titre de l’assurance volontaire des accidents du travail et des maladies professionnelles, évaluée par le biais d’un salaire annuel inférieur à un minimum déterminé au 1er avril de chaque année calculé sur la base de l’évolution de la moyenne annuelle des prix à la consommation, hors tabac, calculée sur les douze derniers indices mensuels de ces prix publiés par l’Institut national de la statistique et des études économiques l’avant-dernier mois qui précède la date de revalorisation des prestations concernées.

Lorsque le travailleur indépendant travaille pour plusieurs plateformes collaboratives, les frais évoqués ci-dessus sont remboursés par chacune d’entre elles au prorata du chiffre d’affaires que le travailleur indépendant a réalisé par son intermédiaire, rapporté au chiffre d’affaires total qu’il a réalisé par l’intermédiaire des plateformes.

Enfin, le décret précise que le travailleur qui souhaite le remboursement de ces frais, doit en faire la demande auprès de la plateforme en les justifiant et doit indiquer le chiffre d’affaire réalisé. Cette demande peut être faite en ligne et gratuitement. La plateforme devant informer ses travailleurs de l’existence de telles modalités de remboursement.

Lien du décret : https://www.legifrance.gouv.fr/eli/decret/2017/5/4/ETST1710240D/jo

 

 

 

 

Nouvelles règles pour l’hébergement de données de santé.

L’ordonnance n°2017-27 du 12 janvier 2017 portant sur l’hébergement de données de santé à caractère personnel est venue modifier la procédure d’agrément des hébergeurs de données de santé (article 1111-8 du Code de la santé publique) en mettant en place un mécanisme de certification moins contraignant. Toutefois, pour pouvoir conserver les données de santé sur support papier ou sur support numérique dans le cadre d’un service d’archivage électronique, l’hébergeur devra être agréé.

L’ ordonnance doit encore être ratifiée par le Parlement et entrera en vigueur à une date fixée par décret et, au plus tard, au 1er janvier 2019.

Seuls les organismes n’hébergeant pas de données de santé à caractère personnel sont   concerné par cette nouvelle disposition.

A défaut,le non-recours à un hébergeur agréé est sanctionné sur le fondement des articles 1115-1 et 1115-2 du Code de la santé publique (3 ans d’emprisonnement et 45 000 euros d’amende pour les personnes physiques et 225 000 euros d’amende pour les personnes morales).

Peut-on imposer un prix de revente à son distributeur ?

Conformément à l’article L 442-5 du Code de commerce et au règlement 330/2010 de la Commission Européenne du 20/04/2010, il est interdit d’imposer un prix fixe ou un prix minimum au distributeur. En effet, le distributeur doit être libre de fixer le prix de revente des produits ou service qu’il distribue.

Ainsi, l’article L 442-5 du Code de commerce dispose : « Est puni d’une amende de 15 000 euros le fait par toute personne d’imposer, directement ou indirectement, un caractère minimal au prix de revente d’un produit ou d’un bien, au prix d’une prestation de service ou à une marge commerciale ». 

Toutefois, l’article 4 du Règlement UE 330/2010 du 20 avril 2010 dispose : « l’exemption prévue à l’article 2 ne s’applique pas aux accords verticaux qui, directement ou indirectement, isolément ou cumulés avec d’autres facteurs sur lesquels les parties peuvent influer, ont pour objet (…) de restreindre la capacité de l’acheteur de déterminer son prix de vente, sans préjudice de la possibilité pour le fournisseur d’imposer un prix de vente maximal ou de recommander un prix de vente, à condition que ces derniers n’équivalent pas à un prix de vente fixe ou minimal sous l’effet de pressions exercées ou d’incitations par l’une des parties ».

En conséquence, le fournisseur peut imposer un prix maximal de revente à son distributeur (prix plafond), à condition que ce prix n’équivaille pas un prix fixe ou minimal et qu’il ne soit pas trop bas (en effet sinon le distributeur serait contraint de revendre à perte, ne pourrait pas faire de réduction aux utilisateurs, ne pourrait pas réaliser de marge…).

Ce prix maximum ne doit pas être un prix fixe déguisé.

?>