RGPD et conformité un atout concurrentiel opposable à ne pas négliger

RGPD - avocat Marseille Paris AixenProvence

Article publié le 07/01/23

Le RGPD est un texte dont l’importance reste encore mal comprise dans ses enjeux.

Il érige la protection des données à caractère personnel en un droit fondamental, ainsi investir dans la conformité de ses traitements a nécessairement un coût.

Pour  le Tribunal judiciaire de Paris  ne pas respecter cette réglementation dans l’exercice d’une activité commerciale constitue un acte de concurrence déloyale par l’octroi d’un avantage concurrentiel indu pour l’entreprise qui ne fait pas les efforts financiers nécessaires pour sa mise en conformité,   ce manquement peut justifier une condamnation à des dommages-intérêts

Sommaire :

I) Propos introductifs :

I – a) Bref rappel sur les obligations des éditeurs de sites et autres médias Internet :

I – b) Les conséquences de ces obligations supposent un investissement financier :

II) Examen de la décision du tribunal judiciaire de Paris du 15/4/2022 :

II – a) Méthodologie d’approche du tribunal judiciaire de Paris :

III) Prospective et conclusions :

I )Propos introductifs :

I – a) Bref rappel sur les obligations des éditeurs de sites et autres médias Internet :

L’acronyme RGPD pour « Règlement Général sur la Protection des Données » est apparu depuis le 25/05/2018, date de sa mise en application obligatoire.

À ce titre il est donc bien connu de tout éditeur d’un support média : site Web, application mobile, plateforme Discord etc.

Ainsi dit, toute personne physique ou morale qui offre même à titre gratuit la mise à disposition auprès du public de services de communication en ligne est soumise à plusieurs obligations spécifiques :

Délivrance d’une information énonçant les droits et obligations des utilisateurs concernant la diffusion des contenus numériques du site :

  • Ce sont les CGU ou Conditions Générales d’Utilisation : Article 6 §I-1 et 2Loi LCEN.
  • Avec également une information sur sa police de collecte des données à caractère personnel associée aux traitements de celles-ci.

Le périmètre de l’information sur la collecte et le traitement des données à caractère personnel est plus ou moins large selon la finalité du média.

Un site Internet qui se borne à mettre à disposition des contenus sans offre pour acheter des biens ou des services verra le contenu de sa politique d’information moins importante qu’un site marchand ou une Marketplace.

En ce cas cette catégorie de site dit « non marchand » ou « site d’infomédiation de contenus » devra porter essentiellement sur la collecte de leurs données à caractère personnel à raison de leur connexion au site.

Cette information couvrira néanmoins aussi les explications sur la collecte des données par les « traceurs » implémentés dans le site (cookies entre autres).

Il n’est pas anodin de rappeler que remplir sur le site :

  • Un formulaire de contact,
  • Ou de donner un accord pour recevoir une newsletter,
  • Ou d’interagir avec un Chatbot

Implique des traitements de données à propos desquels il faut informer l’utilisateur dans une notice d’information publiée sur le site.

I – b) Les conséquences de ces obligations supposent un investissement financier :

Avouons-le depuis 2018 et l’effet de mode de la nouveauté sur les nouvelles obligations du RGPD passé, beaucoup d’éditeurs de sites « rechignent » à investir dans les frais inhérents à l’élaboration des divers documents d’information pourtant obligatoire en raison du cumul d’application de diverses réglementations :

  • Loi n° 2004-575 du 21/6/04 pour la confiance dans l’économie numérique (Loi LCEN),
  • RGPD et Directive ePrivacy,

L’appréhension par les éditeurs de sites du risque de la sanction s’est quelque peu « émoussée » et la peur du contrôle « CNIL » ou « DGCCRF » ne suffit plus pour motiver les éditeurs à investir dans la prestation juridique d’une rédaction documentaire de qualité.

Beaucoup d’éditeurs énoncent qu’ils sont prêts à prendre « le risque de la non-conformité » qui ne leur paraît pas important pour justifier l’absence d’une dépense !

Ils préfèrent parfois utiliser des documents et police d’information trouvés gratuitement sur diverses plates-formes qui offrent des contenus en « produits d’appel gratuit » sans que les clients soient conscients qu’il s’agit d’une base de travail ne prenant pas en compte leur particularité.

Plus grave, beaucoup prennent le risque aussi de recopier les CGU et/ou police d’information sur le traitement des données de concurrents prenant ainsi le risque éventuel :

  • De la contrefaçon,
  • de ne pas détecter que la situation de l’entreprise dont les documents ont été copiés ne correspond pas forcément à la leur.

Ce faisant dans les 2 cas :

  • La non-application totale de la réglementation,

Ou

  • La diffusion de documents de mauvaise qualité,

Ne répondent pas à l’obligation d’une information « transparente » (RGPD art 12) et peuvent exposer les éditeurs à des sanctions de la CNIL mais aussi de la DGCCRF.

Par ailleurs, la CNIL le rappelle de plus en plus souvent à l’occasion de ses décisions de sanction :

  • L’absence d’une information transparente (RGPD Art 12)rend le traitement des données à caractère personnel illégal.

Mais surtout depuis une décision très intéressante bien que peu commentée du tribunal judiciaire de Paris du 15/04/2022 la non-conformité d’un site peut être opposée par un tiers concurrent comme un agissement de concurrence déloyale qui expose alors le contrevenant au paiement de dommages et intérêts qui peuvent être substantiels.

II ) Examen de la décision du tribunal judiciaire de Paris du 15/4/2022 :

Ce contentieux opposait 2 entreprises à propos d’une problématique relevant du contentieux de la propriété intellectuelle.

Une société titulaire de 2 brevets opposait à une autre une action en revendication de ses brevets et de sa marque associée au reproche d’une concurrence déloyale.

Le reproche de concurrence déloyale était invoqué par 2 moyens :

  • D’abord sur la contrefaçon par une utilisation non autorisée de la marque,
  • Ensuite sur la base de la non-conformité de la société concurrente à la réglementation des mentions obligatoires concernant un site et le RGPD,

L’approche novatrice du reproche de concurrence déloyale était formulée ici en application d’une jurisprudence de la Cour de cassation du 17/03/21 N° 01-10414.

L’arrêt du 17/03/21 avait cassé un arrêt de cour d’appel qui n’avait pas retenu qu’un acte de concurrence déloyale pouvait aussi résulter du non-respect d’une réglementation applicable à une activité commerciale, ce qui induisait nécessairement un avantage concurrentiel indu pour son auteur.

Le tribunal judiciaire de Paris va condamner la société à des dommages-intérêts en reprenant dans sa motivation le moyen de cassation de la Haute juridiction du 17 mars 2021.

II – a) Méthodologie d’approche du tribunal judiciaire de Paris :

Les reproches invoqués au titre de l’accusation générale d’actes de concurrence déloyale étaient :

Violation des articles 6- III-1 c) et d) de la loi LCEN du 21/6/2004 pour le non-respect à disposition du public sur le site dans un standard ouvert de certaines des mentions légales obligatoires soit :

  1. Nom du directeur ou directeur de la publication,
  2. Nom du responsable de la rédaction,
  3. Dénomination sociale, adresse et numéro de téléphone de l’hébergeur,
  4. Le rappel de certaines des dispositions du code de la consommation pour protéger le consommateur par rapport à l’information sur les caractéristiques des biens et services offerts par le site,
  5. La mention que le consommateur peut recourir à un médiateur de la consommation comme l’exige l’article 616-1 du code de la consommation avec le lien correspondant vers la plateforme de règlement des litiges en ligne article L. 616-2 du même code.

Concernant la violation du RGPD il était reproché l’absence de documents d’information sur les traitements effectués à raison de la collecte des données car l’onglet réservé sur les pages du site à la délivrance de cette information renvoyait sur une page d’erreur.

Pour tous ces manquements avérés et constatés matériellement par le tribunal, celui-ci a retenu que remis dans leur ensemble ces éléments constituaient un agissement de concurrence déloyale.

En effet le comportement de la société contrevenante qui s’était épargnée la dépense d’actes pourtant obligatoires pour exercer son activité lui donnait un avantage concurrentiel indu.

Pour toutes ces raisons le tribunal a condamné la société qui n’avait pas respecté ses obligations au paiement de dommages et intérêts à titre provisionnel de 15 000 € en attendant une fixation définitive du préjudice subi dans son ensemble.

Cette décision est intéressante et doit absolument faire réfléchir les éditeurs de sites qu’ils soient une personne physique ou morale.

III) Prospective et conclusions :

Le respect du RGPD reste un enjeu de conformité important car il est destiné entre autres dans une société qui repose désormais sur une économie numérique :

  • D’asseoir la confiance du consommateur dans la loyauté des entreprises à son égard, ce qui est nécessaire pour l’acceptation de la technologie et de l’innovation.

La conformité au RGPD représente un coût aussi bien dans sa mise en œuvre initiale qu’ensuite dans son maintien par une gouvernance interne des données au titre de l’Accountability.

En effet depuis l’entrée en vigueur du RGPD il n’y a plus de la part des responsables de traitement de déclaration préalable obligatoire de l’existence de leur fichier de traitement auprès de la CNIL.

Cette novation très importante renverse sur le responsable de traitement désormais déchargé d’une démarche préalable de déclaration, la charge de la justification de sa mise en conformité permanente (Accountability) et de son maintien.

Cette démarche d’Accountability nécessite la mise en place d’outils et notamment de la surveillance du maintien de la conformité des traitements par la désignation d’un « délégué à la protection des données » DPO.

C’est donc à tort que les entreprises minimisent encore leurs obligations à cet égard en s’abstenant de faire des dépenses d’investissement qui peuvent donc les exposer à des dommages-intérêts qui pourront être revendiqués par des tiers concurrents.

Nous soulignons que notamment en matière de marchés publics dans les réponses aux appels d’offres, il est demandé aux candidats par des déclarations sur l’honneur qu’ils respectent le RGPD dans le cadre de leur activité.

Même si l’obligation de conformité n’est pas demandée directement elle est induite par la formulation générale qui demande aux candidats de justifier qu’ils satisfont à ses obligations fiscales et sociales.

Or si le candidat s’engage sur sa conformité au RGPD sa déclaration doit être loyale c’est-à-dire exacte.

A défaut le concurrent évincé, qui lui aura fait les investissements nécessaires, peut alors considérer qu’il y a une atteinte à la concurrence dans la désignation des candidats par une fausse déclaration ou une déclaration inexacte de nature à vicier l’acte de désignation.

Cette non-conformité ou non-respect du RGPD peut donc être le cas échéant un argument qui pourra être invoqué au titre des procédures de référé précontractuel pour contester la désignation de certains candidats.

Par ailleurs statistiquement il est notable que plus l’entreprise fera des efforts sur sa compliance au RGPD, ce qui l’amène à s’interroger sur sa gouvernance interne elle acquiert une maturité qui en général lui permet d’être aussi davantage conforme à la Loi Sapin II pour établir sa stratégie de conformité anticorruption.

Il est recommandé d’ailleurs de faire cette démarche de conformité si possible conjointement.

Rapporté à l’exploitation d’un site quelque en soit sa nature, l’investissement dans une démarche constante de conformité au RGPD et à la vérification continue de sa conformité aux dispositions de la Loi du 21 juin 2004 qui ne cesse d’évoluer, ne contient donc que des avantages.

Le cabinet peut donc vous offrir par des packs de prestations adaptées à vos besoins des audits réguliers pour vérifier votre conformité :

  1. D’une part aux dispositions générales de la loi du 21 juin 2004 pour la confiance dans l’économie numérique,
  2. Ainsi qu’aux RGPD et à vos obligations de respecter la vie privée de vos utilisateurs par application de la directive ePrivacy, et à la Loi sapin II

Maître Véronique RONDEAU ABOULY est par ailleurs diplômée de l’université de Paris-Dauphine ou elle a préparé un diplôme de DPO et à présenté son mémoire de fin d’étude sur la conformité au RGPD des traitements de profilage.

Le cabinet peut donc vous accompagner sur toutes ces problématiques.

N’hésitez pas à nous contacter.

 

Article publié le 07 Janvier 2023

Véronique RONDEAU-ABOULY

Avocat Blockchain et DPO externe.

 

La rédaction de cet article a été conçue et organisée pour vous soumettre des informations utiles, des axes de réflexion pour une utilisation personnelle ou à visée professionnelle.

Il est mis à jour régulièrement, mais dans un contexte réglementaire et jurisprudentiel évoluant, nous soulignons que nous ne pouvons être responsables de toute péremption du contenu, ou de toute erreur juridique et/ou inexactitude qui pourrait se révéler en fonction de l’évolution,  le lecteur voudra bien considérer qu’en tout état de cause, pour une application personnalisée, chaque cas est unique et que bien sûr, le cabinet reste à votre disposition si vous avez une question précise à poser en lien avec cet article, nous nous ferons un plaisir de collaborer avec vous, n’hésitez pas à prendre contact ou à nous téléphoner.

 

Mots Clefs :

RGPD -ePrivacy- concurrence déloyale-Loi LCEN-Ecology By Design - ESG

 

Crédits photos : Istock.com : Olivier Le Moal