Lettre d’information franco-allemande | Mars 2022

Deux décisions récentes de la Cour de cassation semblent remettre en question la jurisprudence selon laquelle l’action en garantie des vices cachés est encadrée dans un délai de prescription de cinq ans à compter de la vente.

L’action en garantie des vices cachés permet à l’acheteur d’un bien d’agir contre le vendeur si le bien était affecté d’un vice caché au moment de la vente.

Depuis un arrêt de la Cour de cassation de 2018 (Civ. 1^ère 6 juin 2018, n° 17-17438, publié au bulletin, et arrêts subséquents), l’action en garantie des vices cachés était encadrée, en tout cas en matière commerciale, dans un double délai. D’une part, l’acheteur devait agir dans un délai de deux ans à compter de la découverte du vice (article 1648 du code civil). D’autre part, l’action en garantie des vices cachés était encadrée par un délai de cinq ans qui courait à compter de la vente du bien.

Ce délai de prescription de cinq ans à compter de la vente a, par exemple, été opposé par des fabricants de véhicules automobiles affectés d’un vice caché aux vendeurs de véhicules d’occasion qui cherchaient à les appeler en garantie après avoir été eux-mêmes assignés par le propriétaire du véhicule.

Dans un premier arrêt rendu en matière civile, et relatif à une vente de maisons entre particuliers (Civ. 3^ème 8 décembre 2021, n° 20-21.439, publié au bulletin), la Cour de cassation considère, à rebours du courant jurisprudentiel évoqué ci-dessus, que le point de départ du délai de prescription est le jour de la découverte du vice. Le choix de ce point de départ enlève tout intérêt au délai de prescription de droit commun de cinq ans, puisque le délai de deux ans prévu par ailleurs se sera écoulé en premier.

L’action en garantie des vices cachés se retrouve donc seulement encadrée en matière civile par le délai butoir de vingt ans à compter du jour de la naissance du droit, soit le jour de la vente, prévu par l’article 2232 du code civil ; le délai de deux ans à compter de la découverte du vice s’applique toujours par ailleurs.

Dans un deuxième arrêt (Civ. 3^ème 16 février 2022, n° 20-19.047, publié au bulletin), la Cour de cassation se prononce, cette fois, en matière commerciale, et opte pour une solution intermédiaire, dont la conséquence pratique est toutefois similaire. Dans cet arrêt, un entrepreneur veut agir contre le vendeur et le fabricant de matériaux défectueux après avoir été assigné par le maître de l’ouvrage. La Cour de cassation considère que le délai de prescription de l’article L110-4 du code de commerce, courant à compter de la vente, est « suspendu » jusqu’à ce que la responsabilité de l’entrepreneur ait été recherchée par le maître de l’ouvrage.

Les deux décisions ont pour point commun d’avoir été rendues par la troisième chambre civile de la Cour de cassation. Il reste encore à vérifier si les autres chambres de la Cour de cassation suivent le mouvement, ce qui signifierait la fin du courant jurisprudentiel commencé en 2018. Dans l’intervalle, il convient pour les fabricants et vendeurs de biens de prendre en compte le risque que l’action en garantie des vices cachés puisse être exercée sur une période bien plus longue après la vente que ce à quoi l’on pouvait s’attendre jusqu’à maintenant.

Dans un arrêt du 19 octobre 2021, la Cour de cassation juge la confidentialité de contrats obtenus dans le cadre d’une enquête simple inopposable à l’ADLC dans le cadre d’une demande d’enquête sous contrôle judiciaire.

Cass. Crim., 19 octobre 2021, Autorité de la concurrence c/ Swarovski, n° 20-85.644

Les enquêtes de concurrence permettent la recherche et la constatation de pratiques économiques illicites. Les pouvoirs d’enquête de l’ADLC et de la DGCCRF sont régis par les articles L.450-1 à L.450-10 du Code de commerce.

L’ADLC et la DGCCRF disposent de deux types de pouvoirs d’enquête. D’une part, les pouvoirs d’enquête simple autorisent les enquêteurs à accéder, de façon inopinée, aux locaux professionnels d’une entreprise et à demander la communication de documents professionnels (art. L.450-3 Code de commerce). D’autre part, dès lors qu’il existe des présomptions de pratiques anticoncurrentielles, des opérations de perquisitions (visites avec fouilles et saisies de documents) peuvent être autorisées par ordonnance par le juge des libertés et de la détention (art. L.450-4 Code de commerce). Les agents peuvent procéder à des visites en tous lieux (privés et professionnels), ainsi qu’à la saisie de documents de tout genre (privés et professionnels).

En l’espèce, la cour d’appel de Paris avait annulé l’ordonnance autorisant les mesures de visites et saisies dans les locaux de la société Swarovski par l’ADLC dans le cadre des pouvoirs qu’elle tient de l’article L.450-4 Code de commerce, au motif, entre autres, qu’il avait été transmis par l’ADLC à l’appui de la demande d’ordonnance aux fins de visite et saisie, un contrat contenant une clause de confidentialité, obtenu par l’ADLC dans le cadre des pouvoirs d’enquête simple qu’elle tient de l’article L. 450-3 Code de commerce.

Or, la Cour estime que pour examiner le bien-fondé d’une demande d’autorisation de visites et saisies, le juge des libertés et de la détention « ne pouvait s’abstenir d’analyser les contrats de distribution […] au motif qu’ils contiennent une clause de confidentialité, dès lors que ces documents ont été régulièrement obtenus par l’Autorité de la concurrence dans le cadre des pouvoirs d’enquête simple qu’elle tient de l’article L.450-3 du Code de commerce ».

En somme, il faut retenir qu’une clause de confidentialité insérée dans un contrat n’empêchera pas la saisie et l’utilisation ultérieure de celui-ci par l’ADLC ou la DGCCRF pour étayer une demande d’autorisation aux fins de visites et saisies au sens de l’article L.450-4 du Code de commerce.

De nouvelles dispositions pour la loi n° 2020-105 du 10 février 2020 relative à la lutte contre le gaspillage et à l’économie circulaire (Loi AGEC)  entrent en vigueur à compter du 1^er janvier 2022.

Adoptée en février 2020, la loi AGEC a pour objectif de transformer en profondeur notre système de production et de consommation, afin de limiter les déchets et de préserver les ressources naturelles, la biodiversité et le climat.

Elle prévoit cinq grands axes : sortir du plastique jetable, mieux informer les consommateurs, lutter contre les gaspillages et pour le réemploi solidaire, agir contre l’obsolescence programmée et enfin mieux produire.

Le calendrier d’application de la loi s’étale sur plusieurs années, l’objectif final étant de supprimer les emballages plastiques à usage unique d’ici à 2040.

Le 1^er janvier 2022 marque une nouvelle étape vers cet objectif. Les nouvelles obligations suivantes s’appliquent notamment pour certaines catégories de producteurs et de metteurs sur le marché et, dans certains cas, les places de marché :

• Informer les consommateurs sur les qualités et les caractéristiques environnementales et du pourcentage de matière recyclée des produits qu’ils achètent ;
• Apposer un nouveau Logo Triman sur les produits et emballages, afin de faciliter les consignes de tri ;
• Obtenir un identifiant unique (IDU) permettant de justifier du respect des obligations nécessaires relatives à la gestion de ses déchets ;
• Communiquer son IDU sur ses conditions générales de vente, sa documentation contractuelle ou son site internet.

Conseil de GGV: n’hésitez pas à nous contacter si vous souhaitez savoir quelles obligations de la loi AGEC vous concernent !

La loi du 2 août 2021 pour renforcer la prévention en santé au travail entrera en vigueur pour l’essentiel le 31 mars 2022. Parmi les mesures prévues, la définition du harcèlement sexuel figurant dans le Code du travail est modifiée afin de la rapprocher de celle figurant dans le Code pénal.

La nouvelle loi élargit ainsi la notion de harcèlement sexuel en précisant que les propos ou comportements à connotation « sexiste » peuvent également caractériser des faits de harcèlement sexuel.

La notion de sexisme était déjà présente à l’article L. 1142-2-1 du Code du travail, qui définit l’agissement sexiste comme « tout agissement lié au sexe d’une personne, ayant pour objet ou pour effet de porter atteinte à sa dignité ou de créer un environnement intimidant, hostile, dégradant, humiliant ou offensant ».

A la différence de l’agissement sexiste qui vise un fait unique, le harcèlement sexuel de l’article L. 1153-1, 1° nouveau du Code du travail vise la répétition de propos ou comportements sexistes.

La nouvelle loi compète la définition du harcèlement sexuel ou sexiste en l’étendant aux :

• propos ou comportements subis par une même victime par plusieurs personnes, de manière concertée ou à l’instigation de l’une d’elles, alors même que chacune de ces personnes n’a pas agi de façon répétée ;
• propos ou comportements subis par une même victime, successivement, par plusieurs personnes qui, même en l’absence de concertation, savent que ces propos ou comportements caractérisent une répétition.

A la différence toutefois du Code pénal, le Code du Travail ne prévoit pas que les propos ou comportements doivent avoir été imposés mais simplement subis, ce qui exclut l’exigence d’un élément intentionnel pour constituer le harcèlement sexuel ou sexiste de nature à constituer une faute grave du salarié et à entrainer l’application d’une sanction disciplinaire.

Etonnamment, la nouvelle loi ne prévoit pas l’ajout de dispositions similaires dans la définition du harcèlement moral, bien que le Code Pénal réprime le harcèlement moral en bande (mobbing).

L’élargissement de la notion de harcèlement sexuel doit être prise en compte par l’employeur dans le cadre de la mise en œuvre de ses obligations d’information des salariés et de prévention des risques professionnels.

L’employeur doit ainsi mettre à jour le règlement intérieur, obligatoire dans les entreprises de plus de 50 salariés, puisque celui-ci doit reproduire les dispositions du Code du travail sur le harcèlement sexuel et les agissements sexistes. L’employeur doit également mettre à jour la procédure interne de signalement et de traitement de faits de harcèlement sexuel et prendre en compte les risques découlant de la nouvelle définition dans le document unique d’évaluation des risques professionnels.

Enfin, l’élargissement de la notion de harcèlement sexuel étend logiquement le champ des missions des référents harcèlement sexuel et agissements sexistes, qu’il s’agisse du référent désigné par le CSE parmi ses membres, ou de celui désigné par l’employeur dans les entreprises employant au moins 250 salariés.

Dans un arrêt du 10.11.2021 (pourvoi n°20-12.263), la chambre sociale de la Cour de Cassation, après avoir rappelé qu’une preuve illicite peut être recevable pour justifier un licenciement, si sa production est indispensable à l’exercice, par l’employeur, du droit à la preuve et si l’atteinte à la vie privée du salarié est strictement proportionnée au but recherché, a néanmoins considéré qu’un système de vidéosurveillance, destiné à la protection et la sécurité des biens et des personnes dans les locaux de l’entreprise, mais également utilisé par l’employeur afin de contrôler l’activité de ses salariés, sans qu’ils en aient été informés, constituait un moyen de preuve illicite et que les preuves en découlant étaient irrecevables.

Sur la décision de la Cour de Cassation

En l’espèce, une pharmacie avait fait installer dans ses locaux cinq caméras de vidéosurveillance. Elle en avait prévenu oralement son personnel puis, après la mise en place du dispositif, avait remis à chaque salarié une note de service indiquant l’emplacement des caméras de vidéosurveillance tout en demandant à chaque salarié de contresigner la note de service. Par ailleurs, le CSE n’avait pas été consulté.

Par la suite, les enregistrements du dispositif de vidéosurveillance avaient fait ressortir un comportement fautif d’une employée (caissière) de la pharmacie, qui avait été licenciée pour faute grave sur le fondement des enregistrements provenant des caméras de surveillance disposées dans le magasin.

Si l’employeur avait donc pris le soin d’informer ses salariés de la mise en place de caméras de surveillance, il avait uniquement indiqué que leur finalité était d’assurer leur sécurité et la prévention des atteintes aux biens et aux personnes sans évoquer l’objectif de surveillance et de contrôle de l’activité des salariés. Par ailleurs, l’employeur avait omis de préciser l’identité du responsable de traitement ou de son représentant,  les destinataires ou catégories de destinataires des données, et l’existence et les modalités d’exercice des droits, dont notamment le droit d’accès, de rectification et d’opposition pour motif légitime des salariés.

La Cour de Cassation a ainsi jugé que l’absence d’information complète des salariés et de consultation du CSE concernant l’utilisation du système de vidéosurveillance comme moyen de contrôle et de surveillance des salariés rend la preuve tirée des enregistrements de la salariée illicite. Considérant que l’atteinte portée à la vie privée de la salariée a été disproportionnée par rapport au but recherché, la Cour a jugé que les preuves utilisées contre la salariée en cause pour justifier son licenciement étaient irrecevables.

Sur la portée de la décision

A travers cet arrêt, la Cour de cassation rappelle les conditions qui, en principe, doivent être remplies pour que la mise en place d’un système de vidéosurveillance soit licite :

• l’information préalable et individuelle des salariés: cette obligation ressort de l’article L. 1222-4 du Code du travail qui dispose que « aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance »
• la consultation du CSE: en application de l’article L.2312-38 du Code du travail, le CSE doit être consulté au préalable sur les moyens et techniques permettant un contrôle de l’activité des salariés, étant précisé que cette formalité est substantielle pour que la preuve collectée soit licite
• le respect de la règlementation sur les données personnelles : C’est essentiellement sur ce point que la Cour de cassation innove, puisqu’elle rappelle qu’au-delà du respect des dispositions issues du Code du travail, l’employeur est également tenu de respecter la règlementation sur les données personnelles et notamment le RGPD. A ce titre, il lui appartient, avant tout traitement de données, d’informer les salariés sur l’ensemble des finalités du traitement mis en œuvre (ici la captation et exploitation des images par le système de vidéosurveillance), l’identité du responsable de traitement ou de son représentant, les destinataires ou catégories de destinataires des données et l’existence et les modalités d’exercice des droits, dont notamment le droit d’accès, de rectification et d’opposition pour motif légitime des salariés. Par ailleurs, l’employeur devra réaliser une étude d’impact sur la vie privée.

Rappelons qu’au-delà de ces 3 conditions, dès lors qu’un dispositif de vidéoprotection est installé dans un lieu public ou dans un lieu ou établissement ouvert au public, celui-ci doit également être soumis à l’obtention d’une autorisation préfectorale (à Paris : la Préfecture de police).

Les avocats de GGV sont là pour vous accompagner dans l’ensemble de vos démarches associées à la mise en place d’un disposition de vidéoprotection !

Dans notre lettre d’information franco-allemande de mars 2020, nous avions présenté l’essentiel de la directive européenne sur la protection des lanceurs d’alerte. Le 16.02.2022, le Sénat a définitivement adopté le projet de loi visant à améliorer la protection des lanceurs d’alerte et transposant la directive. Nous en résumons ci-dessous les plus importants apports.

Le premier changement significatif concerne la nouvelle définition du lanceur d’alerte. Il s’agit d’une personne physique qui signale ou divulgue, de bonne foi et sans contrepartie financière directe, des informations portant sur une violation ou une tentative de dissimulation d’une violation de la règlementation applicable, ou une menace ou un préjudice pour l’intérêt général. Précédemment, il fallait également, outre sa bonne foi, que l’auteur du signalement soit désintéressé et qu’il ait personnellement connaissance des faits signalés. La condition du désintérêt a donc été remplacée par celle de l’absence de contrepartie financière directe, notion plus précise, et celle de la connaissance personnelle des faits signalés n’est désormais exigée que pour les signalements portant sur des informations obtenues en dehors du cadre des activités professionnelles de l’auteur du signalement.

La deuxième modification importante porte sur l’extension de la protection accordée au lanceur d’alerte à son entourage. Ainsi, les mesures de protection du lanceur d’alerte s’appliquent également aux personnes suivantes :

• les facilitateurs, c’est-à-dire les personnes physiques ou morales à but non lucratif apportant leur aide au lanceur d’alerte à fin d’effectuer son signalement ;
• les personnes physiques en lien avec le lanceur d’alerte ;
• les personnes morales contrôlées par le lanceur d’alerte, pour lesquelles le lanceur d’alerte travaille ou avec lesquelles il est en relation de par son activité professionnelle.

Le troisième changement important opéré par la loi nouvelle porte sur la fusion des canaux de signalement internes et externes : la loi prévoit en effet que le lanceur d’alerte est libre d’adresser directement son signalement  aux autorités compétentes, sans émettre au préalable son signalement en interne. La primeur accordée jusqu’à présent au canal de signalement interne a été supprimée. La loi définit par ailleurs les trois cas dans lesquels l’auteur du signalement est protégé en tant que lanceur d’alerte, en cas de la divulgation publique du signalement : (i) en cas de défaut de traitement du signalement dans le délai prévu par la loi (ii) en cas d’existence d’un danger imminent ou manifeste pour l’intérêt général (iii) en cas de risque de représailles ou lorsque le signalement n’a que de très faibles chances d’aboutir.

La loi prévoit en outre d’ouvrir les canaux de signalement internes non seulement aux salariés et collaborateurs extérieurs et occasionnels de l’entreprise concernée, mais également à ses anciens salariés, candidats à un emploi, actionnaires, membres des organes d’administration, de direction ou de surveillance ainsi qu’à ses cocontractants et sous‑traitants ou, lorsqu’il s’agit de personnes morales, aux membres de leurs organes d’administration, de direction ou de surveillance ainsi qu’aux membres de leur personnel. En conséquence, les entreprises concernées doivent veiller à informer ces personnes de l’existence et du fonctionnement de leur canal de signalement interne.

Autre nouveauté : les entreprises sont tenues de mentionner l’existence du dispositif de protection des lanceurs d’alerte dans leur règlement intérieur. En conséquence, une modification du règlement intérieur des entreprises de plus de 50 salariés est à prévoir.

La loi visant à améliorer la protection des lanceurs d’alerte entrera en vigueur le 1^er jour du sixième mois suivant sa promulgation, ce qui laisse le temps aux entreprises concernées, c’est-à-dire celles qui emploient au moins 50 salariés, d’adapter leurs dispositif d’alerte existant.

Le conseil de GGV : mettre en place un dispositif d’alerte fiable et efficace, inspirant confiance, de façon que les salariés privilégient les canaux internes de signalement.

Début janvier, la CNIL a précisé dans quelles mesures un salarié peut exercer son droit d’accès envers son employeur en tenant compte notamment le droit des tiers. Concomitamment le CEPD (Comité européen de la protection des données – comité regroupant l’ensemble des « CNIL » européennes) a adopté et ouvert à consultation publique un projet de lignes directrices sur le droit d’accès.

Qu’est-ce que le droit d’accès ?

Le droit d’accès est consacré par l’article 8 de la Charte Européenne des droits fondamentaux, ainsi que l’article 15 du RGPD. Il a pour but de permettre aux personnes dont les données à caractère personnel sont traitées d’obtenir, de la part du responsable de traitement :

• confirmation du fait que des données à caractère personnel sont (ou ne sont pas) traitées au sein de l’organisme
• un accès aux données traitées
• des informations sur les traitements de données mis en œuvre (et notamment sur les finalités, les destinataires, la durée de conservation des données, etc.)

A travers l’exercice de ce droit, la personne concernée doit notamment être en mesure de contrôler l’exactitude des données traitées et, au besoin, obtenir leur rectification ou suppression.

La règlementation permet au responsable de traitement, de rejeter les demandes qui seraient excessives ou infondées.

De même, le droit d’obtenir une copie des données à caractère personnel ne doit pas porter atteinte  aux droits et libertés d’autrui (comme par exemple le droit d’auteur, le secret des correspondances, le droit à la vie privée, le secret des affaires, etc.).

Comment faire suite au droit d’accès exercé par un salarié ?

Après avoir rappelé que même dans un contexte professionnel, des données à caractère à personnel des salariés sont susceptibles d’être collectées et traitées par l’employeur, la CNIL a apporté notamment les précisions suivantes :

1/ le droit d’accès porte uniquement sur les données à caractère personnel. La personne concernée ne peut donc pas se servir du droit d’accès pour obtenir la communication d’un document précis.

2/ Lorsque la demande porte sur des courriels «  la communication d’une copie des courriels apparaît comme la solution la plus aisée pour que l’organisme puisse satisfaire la demande mais n’est pas obligatoire. »

3/ pour satisfaire à une demande d’accès portant sur des courriels professionnels, sans porter une atteinte disproportionnée aux droits d’autrui mais aussi sans refuser de satisfaire à la demande de manière générale, l’employeur doit distinguer deux situations : 1. le demandeur est l’expéditeur ou destinataire des courriels visés par la demande 2. le demandeur est uniquement mentionné dans le contenu des courriels.

Dans le 1^er cas, le demandeur est supposé avoir déjà eu connaissance des informations figurant dans les courriels en question, de sorte que leur communication est présumée être respectueuse des droits des tiers. Si toutefois la communication représenterait malgré tout un risque pour les droits et libertés des tiers, l’employeur devra avant toute communication et – dans la mesure du possible – supprimer, anonymiser ou pseudonymiser les données en question. Ce n’est qu’en tout dernier recours que l’employeur pourra refuser de faire droit à la demande.

Dans le 2^ème cas, si le salarié n’est que mentionné dans le contenu des courriels auxquels il demande l’accès, l’employeur devra adopter une démarche en deux étapes : tout d’abord vérifier que les moyens utilisés pour identifier les courriels demandés n’entrainent pas d’atteinte disproportionnée aux droits de l’ensemble des salariés de l’organisme. Par la suite, il pourra étudier le contenu des courriels demandés et apprécier la portée de l’atteinte aux droits des tiers que représenterait leur communication. Il s’agit d’une étude au cas par cas.

Le conseil de GGV : Face à une augmentation constante des demandes d’exercice de droits d’accès, ces éclaircissements de la CNIL sont les bienvenus, mais ne permettront peut-être pas aux employeurs de répondre à toutes leurs interrogations. En particulier, la question de savoir sur quelles données le droit d’accès porte concrètement reste ouverte. Les lignes directrices du CEPD viendront apporter des précisions sur ce sujet.

En attendant, l’équipe protection des données peut vous accompagner pour répondre à toute demande d’exercice de droits de la part d’un salarié ou ancien salarié !

Le 31.12.2021, la CNIL a sanctionnée Google et Facebook respectivement à hauteur de 150 millions d’euros et 60 millions d’euros pour ne pas avoir respecté la règlementation relative aux cookies (Délibérations SAN-2021-023 et SAN-2021-024 du 31.12.2021).

La règlementation relative aux cookies

L’article 82 de la loi « Informatique et Libertés » pose le principe d’un consentement préalable de l’utilisateur avant le stockage d’informations sur son terminal (c’est à dire son ordinateur, téléphone portable, véhicule connecté, etc.)  ou l’accès à des informations déjà stockées sur celui-ci, à moins que ces actions:

• soient strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur ou
• ont pour finalité exclusive de permettre ou faciliter une communication par voie électronique.

L’article 4, 11) du RGPD définit la notion de consentement comme “toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement;”

Partant du principe que l’adjectif « libre » implique un choix et un contrôle réel pour les personnes , dans ses lignes directrices de septembre 2020, la CNIL a posé l’exigence qu’il doit être aussi simple de retirer son consentement que de le donner.

En particulier, la CNIL a considéré, dans le cadre de sa recommandation du 17.09.2020 venant compléter les lignes directrices de même date, que  » le responsable de traitement doit offrir aux utilisateurs tant la possibilité d’accepter que de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité « .

Sur les décisions

Lors de ses contrôles, la CNIL a constaté que les utilisateurs accédant aux sites google.fr, youtube.com et facebook.com doivent cliquer sur plusieurs boutons avant de pouvoir refuser l’utilisation de cookies. L’internaute doit donc accéder à la rubrique « Personnaliser » ou « Gérer les paramètres de données » et ainsi exercer plusieurs actions afin de décliner les cookies.[1]

En revanche, leur acceptation s’effectue en un seul clic.[2]

Partant du principe que ce moyen de procéder conduit à décourager les utilisateurs de refuser les cookies et les incitent à les accepter et les prive donc d’une véritable liberté de choix. Selon la CNIL, il s’agit ainsi d’une violation de l’article 82 de la loi « Informatique et Libertés » en combinaison avec l’article 4, 11) du RGPD.

Conseil de GGV : Les responsables de traitement des entreprises françaises ou étrangères éditant des sites pour un public français doivent donc se mettre en conformité avec les lignes directrices et les recommandations de la CNIL. Il s’agit donc de permettre aux internautes de refuser aussi facilement que d’accepter les cookies, par exemple en plaçant un bouton « refuser » au même niveau que le bouton « accepter ». Vous pouvez contacter un avocat du cabinet pour vous accompagner dans vos démarches de mise en conformité.

[1] §109, Délibération de la CNIL SAN-2021-024 du 31 décembre 2021 ; §120, Délibération de la CNIL SAN-2021-023 du 31 décembre 2021.

[2] §108, Délibération de la CNIL SAN-2021-024 du 31 décembre 2021 ; §120, Délibération de la CNIL SAN-2021-023 du 31 décembre 2021.

Le 15 février dernier, la CNIL a dévoilé les thématiques prioritaires sur lesquelles elle axera ses contrôles pour l’année à venir. Outre le cloud, la CNIL a déclaré qu’elle porterait une attention particulière au respect de la règlementation en matière de prospection commerciale et de surveillance des salariés en télétravail.

Pour rappel, une des missions de la CNIL consiste à veiller au respect de la règlementation (RGPD et loi informatique et libertés) par les organismes publics et privés mettant en œuvre des traitements de données à caractère personnel. C’est dans ce contexte que la CNIL peut être amenée à réaliser des investigations et mener des procédures de contrôle formelles. Si une partie des contrôles fait suite à des signalements ou des réclamations ou est liée à l’actualité, chaque année la CNIL porte son attention sur des thématiques identifiées notamment en raison de leur impact sur la vie privée de nombreuses personnes. Ces thématiques sont portées à la connaissance du grand public et conduisent la CNIL, à l’issue du programme annuel, à communiquer sur les pratiques constatées lors des contrôles réalisés.

Focus sur la prospection commerciale

Les règles applicables en matière de prospection commerciale varient en fonction du destinataire des messages de prospection (professionnel ou non-professionnel), ainsi que du support de prospection utilisé (courrier électronique, courrier ou catalogue papier, prospection téléphonique,…).

Ainsi, en application de l’article L. 34-5 du Code des postes et communications électroniques, le consentement des personnes concernées, non professionnelles, sera nécessaire à toute opération de prospection par voie électronique (email, sms, etc.), à moins que la personne ne soit destinataire de messages de prospection portant sur des produits ou services analogues à ceux déjà achetés auprès du responsable du traitement.

En principe, aucun consentement ne sera requis pour adresser des messages de prospection commerciale sous format papier ou par voie téléphonique. La même chose vaut concernant les messages électroniques adressés à des professionnels, à condition toutefois que les produits ou services présentent un lien avec l’activité professionnelle de la personne concernée.

Dans ces cas de figure, la personne devra disposer de la possibilité de s’opposer à l’utilisation de ses données dans le cadre d’opération de prospection et ce, tant au moment de la collecte qu’à tout moment postérieurement.

A noter que, quel que soit le mode de prospection et le destinataire du message, la personne concernée devra, avant toute opération de prospection, au plus tard au moment de la collecte de ses données, avoir été informée de manière complète et transparente sur le responsable du traitement, les différents traitements mis en œuvre, les destinataires des données, la transmission éventuelle des données à des partenaires, les catégories de partenaires, la durée de conservation des données, les droits dont dispose la personne concernée, etc.

Dans le cas d’une transmission, à titre gratuite ou onéreuse, de données à caractère personnel à des partenaires commerciaux, le responsable du traitement devra recueillir le consentement des personnes à cette transmission, si les données sont transmises pour permettre au partenaire de réaliser des opérations de prospection par voie électronique. Si en revanche, les opérations de prospection envisagées par le partenaire ne nécessitent pas le recueil du consentement, les personnes concernées devront simplement pouvoir s’opposer à la transmission de leurs données au moment de la collecte de leurs données et à tout moment ultérieurement.

Le 01.01.2022, l’ordonnance n°2021-1247 du 29.09.2021 relative à la garantie légale de conformité pour les biens, les contenus numériques et les services numériques est entrée en application. Celle-ci a introduit dans le Code de la consommation de nouvelles dispositions qui étendent le champs des non-conformités susceptibles d’entrainer le mise en jeu de la garantie de conformité, aux manquements au RGPD.

Sur la qualification d’un défaut de conformité en cas de manquement au RGPD

L’ordonnance n° 2021-1247 a introduit dans le Code de la consommation un nouvel article L.224-25-15.

Celui-ci prévoit que lorsque, dans le cadre de la vente de services et/ou contenus numériques, le vendeur professionnel est amené à traiter des données à caractère personnel, tout manquement à la règlementation sur les données personnelles (en particulier au RGPD) sera assimilé à un défaut de conformité, si le manquement au RGPD entraine un manquement aux critères de conformité des contenus et services numériques qui sont définis aux articles L. 224-25-13 et L. 224-25-14 du Code de la consommation.

Rappelons que les critères de conformité énumèrent l’ensemble des caractéristiques attendues de contenus et services numériques, à savoir :

Article L.224-25-13 du Code de la consommation :

• Le contenu ou service numérique correspond à la description, au type, à la quantité et à la qualité, notamment en ce qui concerne la fonctionnalité, la compatibilité, l’interopérabilité, ou toute autre caractéristique prévue au contrat ;
• Il est propre à tout usage spécial recherché par le consommateur, porté à la connaissance du professionnel au plus tard au moment de la conclusion du contrat et que ce dernier a accepté ;
• Il est fourni avec tous les accessoires, y compris l’emballage, les instructions d’installation, ainsi que l’assistance à la clientèle, devant être fournis conformément au contrat ;
• Il est mis à jour conformément au contrat.»

Article L. 224-25-14 du Code de la consommation :

• Il est propre à l’usage habituellement attendu d’un contenu ou d’un service numérique de même type ;
• Il possède les qualités présentées par le professionnel sous forme de version d’essai ou d’aperçu avant la conclusion du contrat ;
• Il est fourni sous la version la plus récente disponible ;
• En cas de fourniture continue, il est fourni un service sans interruption ;
• Il est fourni avec tous les accessoires, instructions d’installation et assistance à la clientèle ;
• Il est fourni avec les mises à jour que le consommateur peut légitimement attendre ;
• Il correspond à la quantité, à la qualité et aux autres caractéristiques, y compris en termes de fonctionnalité, de compatibilité, d’accessibilité, de continuité et de sécurité que le consommateur peut légitimement attendre eu égard à sa nature ou aux déclarations publiques faites par le professionnel.

Quelle portée des nouvelles dispositions ?

Il s’agit d’une avancée pour les victimes d’un traitement de données personnelles non conforme au RGPD. Ainsi, ces victimes qui ont obtenu un bien, un contenu ou un service numérique par un professionnel ayant traité leurs données personnelles en violation avec le RGPD, auront de nouvelles voies de recours. Ces personnes disposeront désormais à la fois de la possibilité de saisir la CNIL mais également des voies de recours en lien avec la garantie de conformité en droit de la consommation. D’après les articles L.217-8 et suivants et L.221-25-17 et suivants, le consommateur pourra ainsi demander la mise en conformité du bien, du contenu ou du service numérique, ou, à défaut, la réduction du prix ou la résolution du contrat. De plus, il est en droit de suspendre le paiement de tout ou partie du prix jusqu’à ce que le professionnel ait satisfait ses obligations. Il pourra dans tous les cas obtenir des dommages et intérêts pour tout éventuel préjudice.

Conseil de GGV : Il est donc essentiel en tant que professionnel de respecter les dispositions du RGPD en particulier en raison des nouvelles voies de recours des consommateurs. Vous pouvez demander à être accompagné par un avocat du cabinet GGV pour vous assurer avant toute mise sur le marché de contenus ou services numériques, ceux-ci sont conformes à la règlementation.

La Cour de cassation a apporté des précisions sur la notion d’unanimité des décisions des sociétés : lorsque la loi exige une décision unanime des associés, il s’agit de tous les associés de la société et pas seulement des associés présents à l’assemblée.

Cour de Cassation, 3^e civ., 5 janvier 2021, n°20-17.428 FS-B

***

Dans l’affaire en question, l’assemblée générale des associés d’une société civile immobilière avait pris des décisions concernant l’approbation des comptes annuels, la décharge des co-gérants et de l’administrateur, l’affectation des résultats de l’exercice (versement de dividendes) et la rémunération de l’administrateur provisoire. Les statuts de la société ne prévoyaient pas de règles pour l’approbation des comptes annuels ; pour les décisions concernant le quitus à l’administrateur et la répartition des résultats, les statuts exigeaient l’unanimité des voix attachées aux parts créées par la société (« à l’unanimité des voix attachées aux parts créées par la société »). La Cour d’appel de Basse-Terre a jugé le 27 janvier 2020 que les comptes annuels auraient dû être approuvés à l’unanimité par tous les associés, y compris ceux qui n’étaient pas présents à l’assemblée.

La Cour de cassation a approuvé cette position dans son arrêt du 5 janvier 2022 et a rejeté le pourvoi formé au visa de l’article 1852 du Code civil, lequel prévoit que « Les décisions qui excèdent les pouvoirs reconnus aux gérants sont prises selon les dispositions statutaires ou, en l’absence de telles dispositions, à l’unanimité des associés ».

La Cour de Cassation a ainsi retenu que le texte de l’article 1852 du code civil ne se limitait pas à l’unanimité des associés présents ou représentés à une assemblée générale, mais visait l’ensemble des associés de la société. Cette position repose sur l’idée que, pour des décisions aussi fondamentales, les associés ne décident pas en tant que membres d’un organe collectif, mais en leur qualité de parties de la société, liées par un contrat.

Il y a tout lieu de penser que cette décision peut également être appliquée aux sociétés commerciales. La Cour d’appel de Versailles a déjà jugé en 2005, dans le cadre de la transformation d’une société anonyme (SA) en une société par actions simplifiée (SAS), qui, selon l’article L.227-3 du Code de commerce, doit être approuvée par l’assemblée générale des actionnaires, que l’unanimité des associés au sens de l’article L.227-3 du Code de commerce s’applique à l’ensemble des associés liés par le contrat de société.

En conséquence, les statuts qui énoncent l’exigence de « l’unanimité des associés », sans préciser quels sont les associés visés, doivent donc être interprétés en ce sens que tous les associés de la société doivent en principe donner leur accord. A défaut, la décision des associés risque d’être invalidée.

Jusqu’au 31 juillet 2022, les organes collégiaux d’administration, de surveillance ou de direction des personnes morales peuvent tenir leurs réunions en conférence téléphonique ou audiovisuelle ou par consultation écrite, sans qu’une clause des statuts ou du règlement intérieur ne soit nécessaire à cet effet ni puisse s’y opposer. Le gouvernement est par ailleurs autorisé à adopter, avant le 22 avril 2022, une ordonnance contenant des dispositions supplémentaires visant à simplifier et adapter les conditions dans lesquelles les assemblées et les organes dirigeants collégiaux des sociétés se réunissent et délibèrent (Loi 2022-46 du 21 janvier 2022 art. 13 : JO 23 texte no 1).

La création d’un registre unique de la publicité des sûretés mobilières est l’une des importantes innovations de l’ordonnance n° 2021-1192 du 15.09.2021 portant réforme du droit des sûretés.

Opérationnel à compter du 01.01.2023, le registre unique « des sûretés mobilières et autres opérations connexes » (décret n° 2021-1887 du 29.12.2021) centralisera les informations sur les sûretés mobilières et en facilitera l’accès.

Jusqu’au 31.12.2022, les sûretés mobilières ne sont pas toutes inscrites sur un registre. De plus, deux registres de sûretés mobilières coexistent : l’état des privilèges et des nantissements et l’état des gages.

Le futur registre unique des sûretés mobilières comprendra notamment :

• les gages sans dépossession,
• les nantissements conventionnels de parts de sociétés civiles, de société à responsabilité limitée et de société en nom collectif,
• les privilèges du vendeur de fonds de commerce,
• les nantissements du fonds de commerce,
• les déclarations de créance à la suite d’une vente ou cession de fonds de commerce,
• les mesures d’inaliénabilité ordonnées au cours d’une procédure collective,
• ou encore les opérations de crédit-bail mobilier.

N’y sont pas intégrées les informations relatives aux sûretés consenties sur les actifs immatériels intellectuels tels que les brevets, les marques et les logiciels qui continuent à être répertoriées uniquement sur les registres spécifiquement dédiés, à l’exception des actifs immatériels concernés par le nantissement d’un fonds de commerce.

Les inscriptions de sûretés mobilières seront notamment accessibles en ligne, à travers un portail national, centralisant les registres des sûretés mobilières des greffes des tribunaux du commerce.

A l’issue de son inscription auprès du greffe territorialement compétent, la sûreté mobilière est inscrite à la date à laquelle les formalités de son inscription ont été régulièrement accomplies pour une durée portée dorénavant à cinq ans. L’inscription peut être renouvelée avant l’arrivée à échéance en conservant son rang sur le bien.

Par ailleurs, l’inscription d’une sûreté mobilière ne sera plus conditionnée par l’immatriculation au registre du commerce et des sociétés du créancier, ce qui permettra aux sociétés étrangères d’inscrire leurs sûretés mobilières sur le registre. C’est un progrès considérable à travers duquel la France se met au diapason de la réglementation applicable dans un nombre important d’autres pays.

A côté du registre des sûretés immobilières, le nouveau registre des sûretés mobilières sera un outil efficace pour les créanciers potentiels et partenaires commerciaux de se renseigner sur le statut patrimonial de leur cocontractant.

GGV vous informe : nous vous accompagnons dans l’inscription de vos sûretés et dans vos démarches d’interroger le registre.