Une nouvelle extension de l’obligation d’information et de conseil du prestataire de services informatiques
Cour d’appel de Rouen, 9 mars 2011, Carr Oceans c. Lynx Concept
Cour d’appel de Paris, 16 mars 2012, Uzik c. Moralotop
L’obligation d’information et de conseil du prestataire de services informatiques est une construction prétorienne que les juges décomposent classiquement en trois obligations : une obligation de renseignement d’ordre général, une obligation de conseil quant au choix d’une solution informatique et une obligation de mise en garde sur les conséquences dudit choix. Dans le même temps, le client est tenu d’une obligation de collaboration vis-à-vis de son prestataire, aux termes de laquelle il lui appartient de correctement définir ses besoins.
Dessiner le contour de ces obligations et délimiter les rôles respectifs du client et du prestataire n’est cependant pas chose aisée. La jurisprudence s’est donc développée de manière casuistique, en tenant notamment compte des compétences techniques du client et du caractère standard ou personnalisé de la solution.
Dans ce cadre, l’existence d’un cahier des charges élaboré par le client a pu prendre un rôle capital aux yeux des juges, qui ont parfois considéré que le client s’était acquitté de son obligation de collaboration dès lors qu’il avait préparé un tel cahier des charges. Le prestataire n’était alors plus tenu de garantir que sa solution remplirait les besoins du client, mais simplement de fournir une solution remplissant les conditions définies par son cahier des charges.
La Cour de cassation a par ailleurs pu affirmer que les dysfonctionnements résultant d’imprécisions ou d’inexactitudes dans le cahier des charges relevaient du seul fait du client et que le prestataire ne saurait voir sa responsabilité engagée, dès lors qu’il s’était assuré de la conformité de la solution proposée au cahier des charges en cause (Com. 11 mai 1999, n°96-16322 ; Civ. 1ère, 2 octobre 2001, n°99-16329).
Dans le même temps, la haute juridiction a renforcé l’obligation d’information et de conseil pesant sur le prestataire dans l’hypothèse où le client n’a pas élaboré de cahier des charges, en imposant au prestataire d’analyser les besoins de son client de sorte à lui proposer une solution adaptée (Com. 15 mai 2001, n°98-18603 ; Com. 19 février 2002, n°99-15722).
Deux récentes décisions de Cours d’appel semblent élargir encore le périmètre des obligations des prestataires de services informatiques vis-à-vis de leurs cocontractants, en présence d’un cahier des charges.
Dans un premier arrêt du 9 mars 2011, la Cour d’appel de Rouen indique qu’on ne saurait reprocher à un client profane d’avoir manqué à son obligation de coopération en rédigeant un cahier des charges imprécis. Aux termes de cette décision, il appartenait au vendeur de demander toutes précisions nécessaires au client, afin de lui permettre d’effectuer un choix en parfaite connaissance de cause. Pour la Cour, si le prestataire estimait que les besoins de son client étaient insuffisamment exprimés, « il lui appartenait, pour mieux les cerner, de les lui faire préciser lors de la phase des pourparlers ». Elle conclut donc à un manquement du prestataire à son obligation de conseil.
Dans un arrêt du 16 mars 2012, la Cour d’appel de Paris a adopté une position similaire en indiquant que le devoir de mise en garde oblige notamment le prestataire à alerter son client lorsqu’il estime que les exigences posées par le cahier des charges sont irréalisables. En l’espèce, la Cour reproche au prestataire d’avoir unilatéralement rompu le contrat à durée déterminée qu’il avait conclu avec son client, alors que la consultation du cahier des charges aurait dû lui permettre de constater son incapacité à achever le projet et à remplir les attentes particulières du client. Les juges concluent donc, en cette espèce, à un manquement du prestataire à son obligation de mise en garde.
Aux termes de ces décisions, il apparaît que le prestataire se doit désormais de seconder son client dans l’élaboration d’un cahier des charges, notamment en raison des limites des compétences techniques de celui-ci. Si le client ne définit pas suffisamment ses besoins, c’est au prestataire de demander leur développement ; si le client définit des besoins irréalisables, c’est au prestataire de rappeler son client à la réalité.
On ne saurait suffisamment recommander aux prestataires de services informatiques de désormais procéder systématiquement à un véritable audit de la demande du client, avant même d’exécuter une quelconque prestation, en formulant tous avertissements et recommandations qu’ils estiment pertinents concernant d’éventuelles imprécisions du cahier des charges.
Les hébergeurs ne sont plus tenus de conserver et de communiquer aux autorités les mots de passe des utilisateurs
Conformément à la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN), les personnes offrant un accès à des services de communication au public en ligne ou assurant le stockage de contenu fourni par les destinataires de ces services doivent détenir et conserver les données de nature à permettre l’identification de quiconque a contribué à la création du contenu des services dont elles sont prestataires.
Cette obligation de conservation vise principalement à permettre à l’autorité judiciaire de requérir communication de ces données auprès des hébergeurs.
Un décret publié le 30 mars 2012 est venu restreindre les données de connexion que les hébergeurs sont tenus de conserver aux « données permettant de vérifier le mot de passe ou de le modifier, dans leur dernière version mise à jour », supprimant ainsi l’obligation de conserver le mot de passe lui-même. En pratique, sont essentiellement concernées par cette obligation de conservation les questions secrètes et leurs réponses associées.
Le législateur n’a donc pas répondu aux attentes du Conseil National du Numérique (CNN), consulté sur le projet de décret. Dans son avis du 21 novembre 2011, le CNN recommandait en effet la suppression totale de l’obligation de conserver les données relatives au mot de passe, y compris les données permettant de le vérifier ou de le modifier.
Le CNN soulignait qu’une telle obligation avait pour effet la conservation de données sensibles sous forme non cryptée, mais aussi que la communication de ces données à l’autorité judiciaire était susceptible de porter atteinte au respect de la vie privée, les éléments collectés par les hébergeurs (notamment via les questions/réponses secrètes) étant potentiellement hors du périmètre des données de nature à permettre l’identification d’une personne.
Le croisement de bases de données à caractère personnel à la lumière des récents échanges entre le Groupe Article 29, la CNIL et Google
Le 24 janvier 2012, Google a annoncé une harmonisation des règles de confidentialité de ses différents services, en vue de centraliser les données personnelles de ses utilisateurs. En effet, depuis le 1er mars 2012, chaque service Google partage et recoupe les données qu’il collecte sur chaque utilisateur avec celles déjà recueillies par les autres services Google.
Si cette politique a été présentée par Google comme une simple optimisation de ses services, elle n’en a pas moins attiré l’attention du Groupe de travail Article 29, une instance regroupant les différentes autorités de protection des données personnelles de l’UE, telles que la CNIL.
Le 2 février, ce groupe a informé Google qu’il avait chargé la CNIL d’enquêter sur la conformité de sa nouvelle politique de confidentialité unifiée au droit européen. La CNIL a rendu ses premières conclusions, par l’intermédiaire d’une lettre ouverte adressée à la direction de Google en date du 27 février.
Déplorant le manque de consultation des autorités de protection, la CNIL a observé que cette nouvelle politique de confidentialité ne respecte pas certaines exigences de la Directive 95/46/CE (dite directive données personnelles), notamment en termes de loyauté du traitement, d’indication de ses finalités et de droit à l’information des personnes dont les données sont collectées. En outre, la lettre de la CNIL a fait part à Google des doutes de la Commission sur la conformité de sa nouvelle politique à la Directive 2002/58/CE (dite directive vie privée et communications électroniques), en termes de consentement à l’utilisation de cookies.
En guise de conclusion à sa lettre, la CNIL a indiqué qu’elle comptait adresser à Google un questionnaire complet avant la fin du mois de mars afin de faire toute la lumière sur les pratiques en cause et a invité l’entreprise à suspendre l’implémentation de sa nouvelle politique de confidentialité.
Si Google a répondu à la CNIL dès le lendemain de sa lettre en clamant sa volonté de coopérer avec les autorités de protection des données, elle n’a pas modifié les stipulations de sa politique de confidentialité unifiée et a maintenu la date de son entrée en vigueur au 1er mars 2012.
Ce rappel à l’ordre aura permis au Groupe Article 29 et à la CNIL de clarifier les règles applicables au recoupement de bases de données personnelles au regard du droit de l’Union Européenne.
Quelques conseils en matière de croisement de données
Si de tels croisements restent envisageables, ils ne doivent en aucun cas se traduire par une violation des droits des utilisateurs sur ses données les concernant.
Ainsi, il est fortement déconseillé aux entreprises envisageant de multiples traitements de proposer un unique document d’ordre général. La CNIL estime en effet que, pour chaque service pris individuellement, l’utilisateur doit être informé de la finalité des traitements entrepris, des données concernées, des destinataires du traitement et de la manière dont il peut exercer ses droits d’accès.
Une entreprise collectant des données personnelles par l’intermédiaire et pour les besoins de différents services ne saurait se contenter d’adopter une politique de confidentialité de portée générale, qui couvrirait l’ensemble des services qu’elle propose et des traitements qu’elle entreprend, sans permettre de distinguer entre eux.
A défaut de pouvoir mettre en place des conditions générales indistinctement applicables à tous les services proposés, le Groupe Article 29 préconise aux entreprises concernées d’adopter un mode de présentation par couches, avec une première couche consistant en un avertissement rapide, d’ordre général, et des couches subséquentes nettement plus fournies, exclusivement consacrées à tel ou tel service.
Le droit européen et le filtrage a priori des réseaux sociaux
Un arrêt de la Cour de Justice de l’Union Européenne en date du 16 février 2012, en réponse à une question préjudicielle d’une juridiction belge, est venu confirmer que la directive 2000/31/CE, dite Directive sur le commerce électronique, « interdit aux autorités nationales d’adopter des mesures qui obligeraient un prestataire de services d’hébergement à procéder à une surveillance générale des informations qu’il stocke ».
Les exploitants de réseaux sociaux ne sauraient donc se voir contraints à mettre en place des systèmes de filtrage général pour prévenir la publication par leurs utilisateurs de contenus illicites.
Leur faire supporter une telle obligation reviendrait pour la Cour à leur imposer un rôle de surveillance active et permanente, ce qui constituerait une atteinte caractérisée à la liberté d’entreprise, puisqu’elle obligerait les exploitants à adopter, à leurs seuls frais, des systèmes informatiques complexes, coûteux et permanents.
La Cour se réfère par ailleurs à deux autres fondements, plus inhabituels dans le cadre des litiges portant sur la responsabilité allégée des hébergeurs. La Cour souligne en effet que les effets d’une injonction enjoignant de mettre en place un système de filtrage ne se limiteraient pas aux exploitants : la mise en œuvre d’un tel système de filtrage serait également susceptible de porter atteinte aux droits fondamentaux des utilisateurs de ces services, à savoir à leur droit à la protection des données à caractère personnel ainsi qu’à leur liberté de recevoir ou de communiquer des informations, droits protégés par la Charte des droits fondamentaux de l’Union européenne.
D’une part, le filtrage envisagé impliquerait l’identification, l’analyse systématique et le traitement des informations relatives aux profils créés sur le réseau social. Or, la plupart de ces informations doivent être considérées comme des données à caractère personnel, dans la mesure où elles permettent, en principe, d’identifier les utilisateurs.
D’autre part, le filtrage risquerait de porter atteinte à la liberté d’information : le système risquerait en effet de ne pas distinguer suffisamment le contenu illicite du contenu licite et, par conséquent, d’entraîner le blocage de communications à contenu pourtant licite.
Par le biais de cette réponse à question préjudicielle, la Cour de Justice de l’Union Européenne interdit aux juges nationaux d’adopter des injonctions obligeant les prestataires de services d’hébergement à mettre en place de tels systèmes de filtrage généralisé, qui ne respecteraient pas l’exigence d’un juste équilibre entre les droits de propriété intellectuelle d’une part et la liberté d’entreprise, le droit à la protection des données à caractère personnel et la liberté de recevoir ou de communiquer des informations d’autre part.
Le fonctionnement des moteurs de recherche verticaux de nouveau validé par les juges français
A la différence des moteurs de recherche généraux tels que Google ou Bing, les moteurs verticaux se concentrent sur un seul domaine d’activité et ne référencent que les sites et bases de données consacrés à la spécialité en cause. Les moteurs verticaux et les sites qu’ils référencent s’adressant plus ou moins au même public, plusieurs sociétés éditant de tels sites référencés ont saisi les tribunaux pour apprécier la licéité desdits moteurs.
En début d’année 2011, une décision du Tribunal de Grande Instance de Paris (TGI Paris, 3e chambre 1e section, Adenclassifieds / Solus Immo, 1er février 2011) avait réservé un accueil particulièrement favorable à ces moteurs de recherche d’un genre nouveau, en considérant leur fonctionnement comme une indexation et non comme une extraction des données de la base.
Une nouvelle décision récemment rendue par le même Tribunal (TGI Paris, 3e chambre 4e section, Pressimmo on Line / Solus Immo, Yakaz, Gloobot, 26 janvier 2012) est venue confirmer cette distinction et en préciser la portée. En l’espèce, la société Pressimmo on Line, éditrice du site d’annonces immobilières www.seloger.com, avait assigné en contrefaçon, concurrence déloyale et parasitisme trois sociétés dont les moteurs de recherche indexaient ses contenus.
Si le Tribunal estime que le contenu du site www.seloger.com doit être qualifié de base de données, il ajoute cependant que « la seule centralisation par la société Pressimmo on Line des annonces immobilières (…) ne caractérise pas des actes de constitution, de vérification ou de présentation du contenu de la base de données ». A défaut de disposer de suffisamment d’éléments pour se prononcer sur la substantialité de l’apport de la société, le Tribunal refuse de lui reconnaître la qualité de producteur de la base et la déclare donc irrecevable à agir sur le terrain de la contrefaçon.
Le Tribunal a par ailleurs relevé que l’information essentielle de l’annonce – les coordonnées du vendeur – n’est pas reprise par les moteurs verticaux, obligeant tout internaute intéressé par une annonce à la consulter sur le site dont elle est issue, et que des moyens simples aurait permis au site indexé d’interdire l’accès aux robots explorateurs utilisés par les moteurs. Le Tribunal se fonde sur ces éléments pour conclure que les sites proposés par les trois défendeurs sont bien des moteurs de recherche, qui ne sauraient donc être considérés comme des sites concurrents de www.seloger.com, et écarte également le fondement de la concurrence déloyale.
Le Tribunal estime enfin que les moteurs examinés procèdent à une indexation – et non à une extraction – des contenus des sites tiers, renvoient les internautes vers lesdits sites sans leur fournir l’information essentielle, et ne réalisent donc aucune captation de clientèle. Au vu de ces éléments, le Tribunal a conclu que les faits qui lui ont été présentés ne sont pas non plus constitutifs d’actes de parasitisme.
Cette décision semble ainsi confirmer la bienveillance de la jurisprudence récente vis-à-vis des moteurs de recherche verticaux.