Responsabilité de l’éditeur d’un site internet pour les commentaires dénigrants qu’il héberge

Une société a mis en demeure l’éditeur d’un site internet de signalement des arnaques en ligne de cesser un comportement dénigrant. En effet, ce site avait publié un article très critique des pratiques de la demanderesse, et notamment des services de « Cash back » proposés aux consommateurs, commenté ensuite par de nombreux internautes.

Le tribunal de commerce de Paris a considéré, par un jugement du 16 décembre 2019, que le rédacteur de l’article a manqué de prudence et de mesure dans les termes utilisés et qu’en conséquence, il s’est montré « ouvertement dénigrant » et a « outrepassé son droit de libre critique ». Le tribunal considère également que les commentaires dénigrants auraient dû être modérés ou supprimés suite au signalement de leur caractère illicite conformément à l’article 6.2 de la LCEN (Loi n° 2004-575 du 21 juin 2004).

En conséquence, en n’agissant pas pour retirer promptement les contenus illicite, l’éditeur a commis des actes de dénigrement de nature à engager sa responsabilité civile sur le fondement de l’article 1240 du code civil et est condamné par le tribunal à verser la somme de 5000 euros à la demanderesse, à défaut de plus ample préjudice démontré.

Vers l’adoption d’une recommandation définitive sur les modalités de recueil du consentement au dépôt des cookies

La CNIL avait annoncé la publication d’une recommandation sur les modalités du recueil du consentement pour l’utilisation de cookies et autres traceurs au plus tard pour le début de l’année 2020. Ce projet de recommandation a été publié le 14 janvier et est soumis à consultation publique jusqu’au 25 février.

Cette recommandation a pour objet de préciser les modalités pratiques du recueil du consentement afin de guider les professionnels dans leur mise en conformité.

En effet, force est de constater, dans ce domaine, que la pratique reste dans l’ensemble très éloignée des règles du RGPD . En effet, de nombreux cookies non indispensables à la navigation sont présents sur les sites internet, sans pour autant que le recueil du consentement préalable soit effectué. On pourrait imaginer qu’il s’agit, en France, d’une conséquence de la publication récente des nouvelles lignes directrices de la CNIL en la matière, et notamment de l’application de la période transitoire laissée aux acteurs numériques pour se mettre en conformité.

Cette position de la CNIL sur l’application de ses dernières lignes directrices a été critiquées par les « deux camps » opposés en matière de protection des données : les associations de protection des citoyens comme les professionnels du secteur de la publicité en ligne, les premiers trouvant l’octroi d’une période transitoire aux acteurs trop clémente car non conforme au RGPD d’application directe, et les seconds, trop stricte, l’exigence de recueil du consentement préalable risquant de bloquer la collecte des données via les traceurs en ligne. Le Conseil d’État avait finalement décidé, en référé et au fond, que la période transitoire accordée par la CNIL ne portait pas « une atteinte excessive au droit au respect de la vie privée et au droit à la protection des données personnelles ».

On constate toutefois que de nombreux sites ne sont pas non plus conformes à la délibération antérieure, puisque très fréquemment, des cookies sont déposés sur les terminaux des utilisateurs avant même que ceux-ci aient consenti à leur dépôt ou bien aient poursuivi leur navigation par un « scroll significatif’.

Or, la difficulté en la matière est bien d’allier les aspects juridiques avec les aspects techniques, de trouver des outils conformes, mais également de répondre à des exigences parfois perçues comme contradictoires : délivrer une information complète aux personnes concernées et être synthétique et lisible dans la rédaction des politiques d’information sur les données personnelles. La CNIL elle-même avait choisi, provisoirement, de retirer tous les cookies de son site internet suite à la publication de ses dernières lignes directrices, le temps d’opérer, vraisemblablement, des mises à jour techniques.

La publication définitive de la recommandation sera donc particulièrement bienvenue, en complétant la cadre règlementaire par des précisions opérationnelles.

A noter, ce cadre pourra à nouveau être amené à évoluer une fois la directive e-privacy adoptée. Il faut espérer, pour les responsables de traitement, que ces éventuelles évolutions se feront dans la continuité, afin de leur éviter une mise à jour juridique ou technique d’ampleur.

Le Cabinet suit de très près les évolutions règlementaires et les préconisations opérationnelles de la CNIL afin de vous accompagner aux mieux dans la mise en conformité de vos sites internet et plus largement de vos traitements de données personnelles.

Les PME doivent-elles craindre la CNIL?

Les enjeux de la compliance RGPD peuvent parfois être perçus comme insurmontables pour les start-up ou les PME qui ont d’autres défis à relever.

La tentation de faire l’autruche est donc grande. C’est toutefois un mauvais calcul à long terme : les chantiers laissés en friche peuvent rapidement se révéler mortifères pour les entreprises dont l’activité repose pour une part importante sur le traitement de données, pour leur compte ou celui de clients (ex : développement de solutions logicielles, marketing,…). L’activité ou les produits n’ayant pas été pensés pour être conformes dès l’origine, il sera plus difficile d’intégrer le cadre règlementaire a posteriori et le développement de la société en sera freiné voire compromis.

En effet, si la CNIL, les personnes concernées ou très probablement les clients demandent des preuves de conformité, le retard sera difficile à rattraper si rien n’a été fait en amont.

Or, la question de la gouvernance et de la protection des données devient incontournable.

Certaines PME espèrent que la CNIL tiendra compte de leur situation économique. La CNIL a pourtant balayé l’excuse de la viabilité économique dans sa décision condamnant l’éditeur du site Challenges.fr à une amende de 25.000 euros pour non respect de la réglementation sur les cookies, sanction confirmée par le Conseil d’Etat.

D’autres estiment que la CNIL cible avant tout les GAFAM. C’est faux, au vu de l’historique des sanctions. S’il est vrai que la sanction contre Google LLC de 50 millions d’euros a fait couleur beaucoup d’encre, des sociétés de tailles hétérogènes ont pu faire l’objet de contrôle et de sanctions. La période de tolérance annoncée par la CNIL est désormais révolue, et toutes les entreprises sont concernées par la règlementation quelle que soit leur taille. La CNIL a par ailleurs énormément travaillé à faciliter le travail de mise en conformité en rédigeant de nombreux documents pédagogiques, ce qui réduit d’autant l’argument selon lequel la règlementation serait inaccessible.

Elle procède actuellement à de nombreux recrutement et il y a fort à parier que ses contrôles auront vocation à s’étendre au cours des prochains mois.

Le Cabinet propose des programmes de mise en conformité adaptés au enjeux et aux ressources de chaque entreprise, association ou collectivité et vous guidera pour la mise en place des outils de conformité adéquats.

E-commerce : attention au copier-coller de CGU/CGV et de mentions légales

La tentation peut être grande, lorsqu’on créé son site internet, de copier-coller des CGU/CGV ou mentions légales tierces. Attention, cela peut correspondre à plusieurs qualifications juridiques qui peuvent entrainer une condamnation au titre des règles :

  • De la concurrence déloyale;
  • du droit de la consommation;
  • de la loi pour la confiance dans l’économique numérique, l’absence ou l’insuffisance des Mentions légales étant passible d’un an d’emprisonnement et de 75.000 euros d’amende pour une personne physique, ou 375.000 euros pour une personne morale;
  • de protection des données personnelles, issues du RGPD et de la loi informatique et libertés dès lors, notamment, que les mentions relatives aux données personnelles et aux Cookies ne sont pas conforme à l’usage qui en est fait.

Les condamnations sont parfois plutôt clémente, comme dans une décision du Tribunal de Grande Instance de Paris du 10 juillet 2019 (2000 euros de dommages-intérêts pour l’insuffisance des mentions légales du site d’un responsable politique) mais parfois plus fermes. Ainsi, dans un arrêt du 22 janvier 2019, la Cour de cassation a confirmé la condamnation du Président d’une association qui n’était pas identifiée comme l’éditrice de son site à une peine de trois mois de prison avec sursis et de 5 000 euros d’amende.

L’éditeur du site Challenges.fr a pour sa part été condamné à 25.000 euros d’amende par la CNIL suite au non respect des règles relatives à l’utilisation des cookies. Cette délibération a été confirmée par le Conseil d’Etat dans une décision du 6 juin 2018.

Au vu de ces décisions récentes, il est important de faire rédiger les documents légaux de son site internet par un conseil spécialisé, sous peine d’utiliser des outils juridiques inefficaces et susceptibles d’entrainer des sanctions administratives, civiles voire pénales.