axlaw, avocat rouen, avocat paris, Newsletter

Newsletter

Nous contacter

Nous diffusons à échéances régulières une Newsletter comprenant des commentaires et notes juridiques sur des sujets actuels en rapport avec les préoccupations de notre clientèle.

 

Suivez nos dernières publications sur

        

 

Juillet 2018 | Newsletter 11

EDITO

Chers tous,

Qui d’entre nous n’a pas déjà reçu au moins 3 mails d’information à propos du RGPD, que ce soit de notre banque, de notre compagnie d’assurance ou du plus improbable de nos abonnements ? A l’heure où chacun songe avec envie à la grande coupure estivale, où il faut très vite avancer sur les sujets en cours avant ces quelques jours de repos bien mérités, quelle idée pourrait bien vous pousser à vous intéresser subitement au REGLEMENT GENERAL SUR LA PROTECTION DES DONNEES ?

Ce sujet nous concerne-t-il vraiment ? Faut-il vraiment en rajouter ? L’entrée en vigueur du RGPD le 25 mai dernier n’a pas provoqué de Big Bang, du moins pas davantage que lors du passage de l’an 2000. En réalité, ne vous y trompez pas, le sujet concerne tout le monde, pas seulement les informaticiens mais tous les secteurs des entreprises, des ressources humaines au service commercial en passant par le service juridique. Les sanctions, qui peuvent s’appliquer tout aussi bien à des documents antérieurs à l’entrée en vigueur du dispositif, atteignent des plafonds inédits, jusqu’à 10.000.000 € ou 4% du CA annuel mondial de l’entreprise concernée, la valeur la plus élevée des deux étant retenue de principe.

Les normes contenues dans le RGPD ont fait l’objet le 20 juin 2018 d’une loi de transposition partielle en droit français. Le gouvernement s’est engagé auprès de la CNIL à la compléter dans les six prochains mois par voie d’ordonnances. En l’état, ce qu’il faut retenir du dispositif c’est la diversité des métiers et des domaines du droit impactés, l’obligation d’information à l’égard de chacun lorsqu’on détient des informations personnelles, l’obligation de protection des éléments à partir desquels il est possible de nous identifier et le relèvement des sanctions pécuniaires à des niveaux exorbitants.

Par ce temps de canicule, alors que les tentations de ce début d’été sont multiples et que vous avez la louable volonté de faire place nette sur votre bureau avant de prendre quelques jours de répit, nous vous convions à une brève séance de devoirs de vacances.

Celle-ci prend la forme d’une synthèse du RGPD (notions clés, dispositifs de contrôle et de protection, droits individuels, sanctions et voies recours), accompagnée d’un bref panorama de la jurisprudence du moment en droit social, en droit pénal des affaires et en droit des procédures collectives.

 Je vous souhaite d’excellentes vacances tout en vous précisant que, naturellement, notre cabinet sera ouvert tout l’été.

Bien à vous.

 

Stéphane SELEGNY

Avocat à la Cour

 

 

LE REGLEMENT GENERAL SUR LA PROTECTION DES DONNEES

Le Parlement et le Conseil européens ont adopté le 27 avril 2016 un nouveau régime juridique de protection des données personnelles en la forme du Règlement général sur la protection des données (RGPD). Particulièrement novatrice, la réglementation en question deviendra applicable le 25 mai 2018. Sa transposition en droit français provoque une refonte majeure des garanties liées aux renseignements à caractère individuel que chacun de nous est amené à fournir en vue de l’exécution de tel ou tel service. Cela parait d’autant plus nécessaire et urgent que l’essor de l’économie numérique, via le foisonnement des services proposés sur internet, ne cesse d’augmenter les risques d’atteintes à la vie privée des usagers, c’est-à-dire la nôtre. Mais de quoi parle-t-on au juste ?

 

Présentation générale

 

Le nouvel instrument s’applique aux « responsables du traitement » (article 4.7), c’est-à-dire aux personnes qui en définissent les modalités et les finalités, ainsi qu’à leurs « sous-traitants » (article 4.8), dès lors qu’ils sont chacun établis dans l’Union européenne (ci-après UE) et/ou qu’ils traitent chacun des données appartenant à des individus qui se trouvent sur le territoire de l’UE dans le cadre de leurs activités (article 3).

 

La notion de « traitement » renvoie quant à elle aux opérations touchant à « la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction » des indications personnelles (article 4.2). 

 

Les bénéficiaires du RGDP sont toutes les personnes physiques dont l’identité peut être établie de manière directe ou indirecte à partir des informations individuelles qu’elles ont remises à un opérateur de traitement (responsable ou sous-traitant). Des renseignements tels qu’« un nom, un numéro d’identification, des données de localisation, un identifiant en ligne […] ou [des] éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » figurent parmi les éléments couverts (article 4.1).

 

Le droit européen entend améliorer la défense des « données à caractère personnel » par deux approches complémentaires :

 

  • l’abandon du système formel de la déclaration préalable ;
  • et la création d’un dispositif matériel de suivi continu.

 

Inspirée du droit anglo-saxon, la réforme mise sur la « responsabilisation » permanente des opérateurs plutôt que sur la réitération d’engagements ponctuels à même de s’affaiblir avec le temps. L’idée de base consiste à obliger les personnes responsables d’établir des mécanismes permanents de garantie, lesquels doivent être non seulement effectifs mais efficaces dans la durée. La conception par défaut (article 25) des méthodes de protection attachées aux opérations de traitement répond aux principes dits de « privacy by design » ou de « privacy by default » formulés au milieu des années 1990 par une chercheuse canadienne dans le but de mieux prévenir les atteintes à la vie privée. 

 

Droits des personnes concernées

 

Le consentement des individus constitue la pierre angulaire du dispositif dans la mesure où l’essentiel de la protection juridique dépend de près ou de loin des modalités particulières de son octroi. Dès lors, il n’est pas étonnant que le RGDP oblige les personnes responsables à garantir (article 7) que la volonté des personnes concernées soit manifestée d’une façon « libre, spécifique, éclairée et univoque » au moyen d’une déclaration ou d’un acte positif clairement déterminé (articles 4.11).

 

Quant aux éléments destinés à éclairer le fait d’accepter de remettre à autrui des renseignements à caractère personnel, le règlement européen impose à la personne responsable d’informer la personne visée sur un certain nombre de points qui comprennent notamment :

 

  • « l’identité et les coordonnées du responsable du traitement » ;
  • « la durée de conservation des données » ;
  • « les finalités du traitement » ;
  • « les destinataires ou les catégories de destinataires des données » ;

 

ainsi que l’ensemble des droits individuels attachés à la protection et leurs conditions d’exercice pendant toute la durée du traitement (article 13).

 

Les garanties individuelles offertes par le RGPD consistent, pour une majeure partie, en six droits spécifiques :

 

  • le « droit d’accès » aux données et à l’informations sur leur traitement (article 15);
  • le « droit à l’effacement » des données ou « droit à l’oubli » en des cas précis (article 17) ;
  • le « droit à la limitation » du traitement (article 18) ;
  • le « droit d’opposition » au traitement (article 21);
  • le « droit à la portabilité » des données pour les récupérer ou les transmettre  (article 20);
  • et le « droit de rectification » des données (article 16).

 

Les responsables et sous-traitants doivent répondre aux demandes qui leur sont adressées dans l’exercice desdits droits individuels conformément à un délai de un mois à compter de leur réception, délai qui pourra au besoin être prolongé de deux mois supplémentaires « compte tenu de la complexité et du nombre des demandes » (article 12.3).

 

Contrôles, sanctions et voies de recours

 

En France, le contrôle de la mise en œuvre du RGPD est effectué par la Commission Nationale de l’Informatique et des Libertés (ci-après CNIL). Pour l’exercice de ses missions d’intérêt général, la CNIL dispose de pouvoirs spéciaux dérivés de la puissance publique. En qualité d’Autorité administrative indépendante, elle peut :

 

  • « ordonner au responsable du traitement et au sous-traitant […] de lui communiquer toute information dont elle a besoin » ;
  • « mener des enquêtes sous la forme d’audits » ;
  • « notifier […] une violation » du règlement ;
  • « obtenir […] l’accès à toutes les données à caractère personnel et à toutes les informations nécessaires » ;
  • ou encore « obtenir l’accès à tous les locaux […], notamment à toute installation et à tout moyen de traitement » (article 58.1).

 

Les manquements importants au règlement donnent lieu au paiement d’amendes administratives, dont le plafond s’élève :

 

  • à 20 millions d’euros ou, « dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu », pour les violations les plus graves, celles qui affectent les principes fondamentaux du traitement ou les droits individuels des personnes identifiées ;
  • ou à 10 millions d’euros ou, « jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu », pour les infractions liées à des obligations particulières des responsables et de leurs sous-traitants.

 

Outre son plafonnement, l’évaluation de l’amende doit respecter une liste étendue de onze critères, le principal étant « la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi » (article 83.2.a).

 

Concernant les atteintes moins importantes à la protection des données personnelles, celles qui ne donnent pas lieu à des amendes administratives, le RGPD laisse aux autorités nationales de contrôle la liberté de recourir à d’autres sanctions, pour autant qu’elles demeurent « effectives, proportionnées et dissuasives » (article 84). La CNIL est habilitée dans ce cadre à délivrer des avertissements, à ordonner des injonctions de cesser le traitement illicite ou à infliger des sanctions pécuniaires dans la limite de 150.000 euros, une somme portée à 300.000 euros en cas de récidive.

 

Les manquements au RGPD ouvrent trois voies de recours différentes. La première voie s’adresse aux personnes victimes et consiste à introduire une réclamation auprès de l’autorité de contrôle du lieu de leur résidence habituelle, du lieu de leur travail ou du lieu de la violation alléguée (article 77). La deuxième voie s’adresse aux personnes concernées par les décisions juridiquement contraignantes des autorités de contrôle et consiste à introduire des recours juridictionnels contre celles-ci (article 78). En France, les responsables mis en cause par la CNIL ont un délai de deux mois pour saisir les juges administratifs du Conseil d’Etat de leur recours en annulation, en réformation ou en remplacement. La troisième voie s’adresse enfin aux personnes victimes et consiste à introduire un recours juridictionnel contre un responsable du traitement ou un sous-traitant (article 79). Le tribunal compétent sera soit celui du lieu de l’établissement du responsable ou du sous-traitant, soit celui de la résidence habituelle de la personne victime.

 

Le principe réglementaire de la « responsabilité conjointe » permet à la personne victime d’obtenir réparation de la totalité de son préjudice auprès de l’un des responsables, lorsque ces derniers ont déterminé à plusieurs « les finalités et les moyens du traitement » illicite (article 26.1).

 

Modalités du traitement

 

Le règlement organise la prévention des atteintes aux données personnelles via trois dispositifs novateurs qu’il importe de mentionner brièvement.

 

Les traitements susceptibles « d’engendrer un risque élevé pour les droits et libertés des personnes physiques » eu égard à leur nature, à leur portée, à leur contexte et à leurs finalités, doivent faire l’objet d’une « analyse d’impact relative à la protection des données » (article 35). Préalable à des traitements sensibles, l’étude en question porte sur des éléments précis visant à détailler les opérations envisagées et leurs finalités, à mettre en évidence leur nécessité et leur proportionnalité, à mesurer les risques qu’elles font peser sur les droits individuels des personnes visées et à exposer les réponses apportées à ces risques.

 

Lorsque le traitement est effectué par un organisme public, lorsqu’il exige « un suivi régulier et systématique à grand échelle des personnes concernées » ou lorsqu’il porte « à grande échelle » sur des catégories très sensibles de données (casier judiciaire, fiches de santé…), le règlement impose la désignation d’un délégué à la protection des données. Indépendante, cette personne est chargée de veiller en permanence à la conformité avec le RGPD des actions entreprises sous l’autorité du responsable du traitement ou d’un sous-traitant (article 37).

 

Pour finir, tous les traitements possibles et imaginables, qu’ils portent ou non sur des données confidentielles, doivent être répertoriés d’une certaine façon et actualisés dans un « registre des activités de traitement » propre à démontrer en continu le respect des obligations imposées par le RGPD (article 30).

 

Plus d'actualités en droit commercial

 

 

ACTUALITE JURISPRUDENTIELLE

Le suicide survenu du fait du travail mais en dehors du lieu de travail constitue un accident du travail devant être prouvé par la partie qui représente le salarié victime. Par un arrêt du 11 avril 2018 (n° 16/06201 - Lexbase : A7109XKI), la Cour d’Appel de Rouen a clarifié le régime de l’accident du travail (AT) dans le contexte du suicide d’un salarié (M. Z) intervenu du fait de son travail, quoiqu’en dehors de son lieu de travail. La veuve de la victime (Mme. Z) avait demandé à la société qui employait son mari de déclarer le décès de celui-ci en tant qu’AT. L’employeur s’était exécuté tout en estimant que le suicide de M. Z ne présentait aucun lien avec son travail. Après enquête, la Caisse primaire d’assurance maladie (CPAM) avait conclu en ce sens par le refus de prendre en charge le décès du salarié au titre de la législation professionnelle. Mme. Z forma sans succès un recours amiable contre cette décision devant la commission de contestation de la CPAM. En conséquence de cet échec elle introduisit un recours contentieux devant le Tribunal des affaires de sécurité sociale (TASS) de l’Eure, lequel lui donna raison en jugeant que le suicide de son mari constituait bien un AT. La CPAM et l’employeur de M. Z contestèrent en vain ce jugement devant la Cour d’Appel de Rouen.

 

Les juges de la Chambre sociale ont commencé par rappeler la définition de l’AT selon l’article L411-1 du code de la sécurité sociale avant de poursuivre sur le régime de la présomption d’imputabilité qui lui est associé. Il appartient en principe à la CPAM ou à l’employeur de démontrer l’absence d’un lien de causalité entre l’évènement et les conditions de travail du salarié. Cela ne vaut toutefois que si l’évènement en question est survenu sur le lieu et sur le temps de travail, alors que le salarié se trouvait effectivement sous la subordination de son employeur. Dans les cas où l’évènement intervient hors du lieu et/ou du temps de travail, la charge de la preuve est renversée. Il appartient alors au salarié ou à son représentant de démontrer le lien de causalité mentionné ci-avant.

 

La Cour d’Appel a estimé que Mme. Z était parvenue à démontrer une série d’éléments propres à établir les motifs professionnels qui ont amenés son mari à se donner la mort : un climat de travail tendu, un management par le stress, une méthode de flicage organisé, des problèmes relationnels, un supérieur hiérarchique arrogant et méprisant, etc. Puisqu’il est établi que le suicide de M. Z était intervenu du fait de son travail, la qualification de l’évènement en tant qu’AT par le TASS de l’Eure ne pouvait être sanctionnable.

 


 

Le licenciement pour faute lourde du salarié n’entraine pas (ou plus) la perte de l’indemnité compensatrice de congés payés, y compris pour les instances en cours au 2 mars 2016, date d’une décision du Conseil constitutionnel ayant déclaré comme étant inconstitutionnelle la solution inverse qui prévalait jusqu’alors. Un salarié (M. X) a été licencié pour faute lourde suite à l’agression de son employeur (M. Y). L’incident a consisté en un coup de tête ayant entrainé un traumatisme crânien assorti d’une interruption temporaire de travail (ITT) de 15 jours. M. X contestait la décision des juges d’Appel de Fort-de-France de le débouter en totalité de ses prétentions visant à déclarer son licenciement sans cause réelle et sérieuse. Si la matérialité des violences commises ne faisait pas débat, le salarié contestait l’élément subjectif associé à son acte, c’est-à-dire l’intention de nuire à son employeur, laquelle avait permis à la justice de retenir à son encontre l’existence d’une faute lourde  plutôt que d’une faute grave. Privé de toute indemnité, M. X se pourvut en cassation pour des motifs identiques à ceux qu’il avait invoqués en Appel.

 

Par un arrêt du 28 mars 2018 (n° 16-26013), la chambre sociale de la Cour de cassation a confirmé la qualification du geste du salarié en tant que faute lourde tout en rétablissant son droit à une indemnité de congés payés. Sur la qualification proprement dite, les juges du fonds avaient pu démontrer la nature intentionnelle de l’agression commise à partir d’éléments prouvant son caractère volontaire et prémédité. Sur les conséquences indemnitaires de cette qualification, les juges du fonds avaient cru bon d’appliquer l’article L3141-26 du code du travail (dans sa rédaction au jour de l’arrêt d’Appel du 13 novembre 2015), laquelle excluait à son deuxième alinéa le versement d’une indemnité de congés payés en cas de faute lourde.

 

Plus d'actualités en droit social

 

ACTUALITE JURISPRUDENTIELLE

L’ordonnance de rejet d’une demande visant à l’effacement de l’inscription au fichier automatisé des empreintes digitales d’une personne mise en cause pour dénonciation calomnieuse est constitutive d’un excès de pouvoir du président de la chambre de l’instruction compétente, dès lors qu’elle repose sur des motifs non prévus par la règlementation applicable, à savoir l'article 7-2 du décret n° 87-249 du 8 avril 1987. 

La chambre criminelle de la Cour de cassation indique dans un arrêt du 10 avril 2018 (n° 17-84674-PB) qu’il appartient au juge compétent :

 

  • de vérifier si l’enregistrement des empreintes respecte les conditions réglementaires en vigueur ;

 

  • et d’apprécier la nécessité de leur conservation d’après la finalité du fichier, laquelle dépend notamment des circonstances de la commission de l’infraction et de la personnalité de la personne concernée.

 

En l’occurrence, le refus par le Président de la chambre de l’instruction d’effacer les empreintes du requérant était fondé sur des motifs d’irrecevabilité non-réglementaires. Le premier opposait au second le fait que sa demande d’effacement ne reposait pas sur l’un des motifs prévus par l’article 7-1 III du décret susvisé et que le déroulement précis de la procédure initiale d’enregistrement n’avait pas été rapporté à l’instance. Au vu de ces éléments, les juges de la chambre criminelle ont décidé de casser l’ordonnance de rejet qui leur avait été soumise.

 


 

Le fait pour un dirigeant de ne pas avoir opéré une délégation de pouvoir en vue de la sécurisation des installations de travail et de ne pas avoir commis en personne (directement) l’homicide involontaire d’un agent « mortellement blessé » par l’explosion d’une machine rendue insécure par des conditions anormales d’utilisation ne suffit pas à écarter la responsabilité pénale de la personne morale concernée à partir du moment où l’infraction procède effectivement (même indirectement) d’un organe ou d’un représentant ayant agi pour le compte de celle-ci.

 

En l’espèce, un agent de maintenance est mort des suites d’un accident survenu lors de la réparation d’une pompe d’extraction de pétrole. Une enquête a révélé que le matériel avait explosé à cause d’un défaut d’entretien normal. Les opérateurs chargés de l’entretenir ne disposaient pas des informations nécessaires à l’accomplissement normal de leur tâche.

 

Les juges d’Appel ont écarté la responsabilité pénale de l’entreprise visée au motif que son dirigeant, lequel était le seul organe ou représentant susceptible d’agir pour le compte de celle-ci en l’absence d’une délégation de ses pouvoirs en matière de sécurité, était absent des lieux du drame au moment de sa réalisation et ne pouvait pas y avoir concouru par des agissements directs et personnels.

 

La Cour de cassation invalide cet argumentaire à partir du moment où les carences relevées dans la formation du personnel à la maintenance normale des équipements de travail et des moyens de protection étaient constitutives d’une violation des obligations de sécurité – de conformité et d’information – du dirigeant en application des articles R4322-1 et R4323-1 du code du travail. L’explosion litigieuse ayant bien résulté de la faute d’un organe ou d’un représentant ayant agi pour le compte de l’entreprise mise en cause, la responsabilité pénale de cette dernière était susceptible d’être engagée en vertu de l’article 121-2 du code pénal – arrêt du 31 octobre 2017 (n° 16-83683).

 

Plus d'actualités en droit pénal des affaires

 

ACTUALITE JURISPRUDENTIELLE

Seul le liquidateur a le pouvoir d’agir en fixation de la contribution aux pertes sociales des associés d’une société en cours de liquidation judiciaire d’après l’article 1832 alinéa 3 du code civil. Par un arrêt du 3 mai 2018 (n° 15-20348) , la chambre commerciale de la Cour de cassation a censuré la recevabilité en appel d’une demande formulée par deux associés sur le fondement de l’article 1832 du code civil, laquelle visait à condamner deux autres associés à hauteur de leur part contributive aux pertes d’une société civile d’exploitation agricole (SCEA) en liquidation judiciaire.

 

L’entreprise en difficulté comptait deux couples d’associés, les consorts Y, dont Monsieur était gérant, et les consorts Z. Les problèmes économiques et financiers rencontrés par ces quatre personnes ont conduit à la liquidation de la SCEA. Estimant que les associés Y avaient commis plusieurs fautes de gestion, les associés Z ont cherché à engager leur responsabilité dans la déconfiture de la société. A titre reconventionnel, les associés Y ont sollicité la condamnation des associés Z au titre de leur contribution aux pertes de l’entreprise et à proportion de leurs parts sociales.

 

Les juges de la Cour d’appel de Nîmes ont donné droit à la demande reconventionnelle des époux Y en condamnant Monsieur et Madame Z à leur payer diverses sommes d’argent en application de l’article 1832 alinéa 3 du code civil, alors que cette demande aurait dû être relevée d’office comme étant irrecevable. Telle est la raison qui justifie la censure partielle de l’arrêt attaqué par la Cour de cassation.

 


 

Les juges du fond apprécient souverainement le montant de la condamnation de plusieurs gérants, dont l’un fait l’objet d’une procédure collective à titre personnel pour l’exercice d’une autre activité professionnelle, à hauteur de leur responsabilité individuelle pour insuffisance d’actif. En l’espèce, la mise en redressement puis en liquidation judiciaires d’une société de transport avait entrainé la désignation d’un liquidateur, lequel avait décidé de poursuivre les gérants de cette entreprise, Monsieur et Madame X, en responsabilité pour insuffisance d’actif.

 

Madame X se trouvant en redressement judiciaire dans le cadre d’une autre activité professionnelle, le liquidateur assigna le mandataire judiciaire de celle-ci en intervention forcée. Le 15 septembre 2016, la Cour d’appel de Nîmes condamna les époux X sur le fondement de l’article L651-2 du code de commerce à rembourser in solidum 70% du montant de l’insuffisance d’actif à laquelle chacun d’eux avait contribué par diverses fautes de gestion. Les deux gérants contestèrent la commission desdites fautes à l’occasion d’un pouvoir en cassation.

 

La chambre commerciale de la Cour de cassation a rejeté leur pourvoi dans un arrêt du 9 mai 2018 (n° 16-26684), lequel rappelle le pouvoir souverain d’appréciation dont bénéficient les juges du fond quant à l’évaluation du montant de la contribution d’un ou de plusieurs gérants à l’insuffisance d’actif d’une société en liquidation judiciaire.

 

Les juges précisent en outre qu’il ne leur appartient pas de contrôler le caractère proportionné de ce montant et que le placement en redressement judiciaire de Madame X dans l’exercice d’une autre activité professionnelle n’affecte en rien l’application de l’article L651-2 du code de commerce.

 

Plus d'actualités en droit des procédures collectives

 

version imprimable de la Newsletter (pdf)