jacquet duval droit du numérique Avocat Lyon

Droit du numérique

La transformation numérique des entreprises génère des enjeux juridiques croissants : contrats informatiques, plateformes en ligne, traitement de données personnelles, sécurité des systèmes d’information, responsabilité des opérateurs numériques. Pour les TPE et PME, ces enjeux ne sont plus réservés aux grandes entreprises. Le Règlement général sur la protection des données (RGPD), entré en application le 25 mai 2018, s’applique à toute structure qui traite des données personnelles de personnes physiques situées dans l’Union européenne, quelle que soit sa taille. Le cabinet Jacquet Duval Avocat accompagne les dirigeants d’entreprise dans la sécurisation juridique de leurs activités numériques, en France.

Le RGPD et la protection des données personnelles

Le Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) pose un cadre unifié de protection des données personnelles dans l’Union européenne. En France, il est complété par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018. La CNIL est l’autorité de contrôle nationale compétente.

Toute entreprise qui collecte, héberge, traite ou transfère des données personnelles (nom, prénom, adresse, email, données de navigation, etc.) est soumise au RGPD. Les obligations principales sont les suivantes :

  • Tenir un registre des activités de traitement (art. 30 RGPD)
  • Informer les personnes concernées de manière transparente sur les finalités du traitement, la base juridique, la durée de conservation et leurs droits (art. 13 et 14 RGPD)
  • Recueillir un consentement libre, spécifique, éclairé et univoque lorsque le traitement est fondé sur cette base juridique (art. 7 RGPD)
  • Encadrer les transferts de données hors Union européenne (art. 44 à 49 RGPD)
  • Notifier à la CNIL toute violation de données personnelles dans un délai de 72 heures (art. 33 RGPD)
  • Désigner un Délégué à la Protection des Données (DPO) dans les cas prévus par l’article 37 RGPD

Les sanctions encourues peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé. Au-delà des sanctions, la méconnaissance du RGPD expose l’entreprise à des actions en responsabilité civile initiées par les personnes affectées.

Le cabinet intervient pour :

  • L’audit de conformité RGPD de votre organisation et de vos traitements existants
  • La rédaction ou la mise à jour des mentions d’information, politiques de confidentialité, et CGU
  • La rédaction de clauses contractuelles relatives à la protection des données (DPA — Data Processing Agreement — exigé par l’art. 28 RGPD avec tout sous-traitant)
  • La gestion des demandes d’exercice de droits (accès, rectification, effacement, portabilité, opposition)
  • La gestion des violations de données et des procédures devant la CNIL

Les contrats informatiques

Les relations entre une entreprise et ses prestataires informatiques (hébergement, développement, maintenance, SaaS, infogérance) sont régies par le droit des contrats de prestation de services, complété par des règles spécifiques lorsque les prestations impliquent un accès à des données personnelles ou à des systèmes critiques.

Les principaux points de vigilance dans un contrat informatique sont :

  • La définition précise du périmètre des prestations et des niveaux de service (SLA)
  • Les clauses de reversibilité et de portabilité des données en fin de contrat
  • La limitation de responsabilité du prestataire : sa validité est soumise à conditions (art. 1170 et 1171 C. civ.)
  • Les clauses de confidentialité et de propriété intellectuelle sur les développements spécifiques
  • Les conditions de résiliation et les pénalités de retard

Le cabinet accompagne les TPE et PME dans la négociation et la rédaction de leurs contrats informatiques, ainsi que dans les litiges avec leurs prestataires (inexécution, malfaçon, perte de données).

Le commerce électronique

La vente en ligne est encadrée par la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN), ainsi que par les dispositions du Code de la consommation applicables au commerce électronique. Les obligations légales des opérateurs de sites e-commerce incluent notamment :

  • L’information précontractuelle obligatoire (art. L. 221-5 C. conso.) : identité du vendeur, caractéristiques des biens ou services, prix TTC, frais de livraison, délai de livraison
  • Le droit de rétractation de 14 jours pour les consommateurs (art. L. 221-18 C. conso.)
  • La réglementation des avis en ligne (décret n° 2017-1436 du 29 septembre 2017)
  • Les obligations de transparence des plateformes numériques vis-à-vis de leurs utilisateurs professionnels (Règlement (UE) 2019/1150 du 20 juin 2019, dit Règlement P2B)

La responsabilité des opérateurs numériques

La LCEN distingue les éditeurs de contenu, pleinement responsables des contenus qu’ils publient, et les hébergeurs, soumis à un régime de responsabilité limitée : ils ne peuvent voir leur responsabilité engagée du fait des contenus stockés qu’à condition d’avoir eu connaissance de leur caractère illicite et de ne pas avoir agi promptement pour les retirer (art. 6-I-2 LCEN). Le règlement européen sur les services numériques (Digital Services Act — Règlement (UE) 2022/2065 du 19 octobre 2022) a renforcé ces obligations de modération et de transparence pour les grandes plateformes.

Questions fréquentes des dirigeants de TPE-PME

Mon site internet doit-il obligatoirement afficher une politique de confidentialité ?
Oui, dès lors que votre site collecte des données personnelles, même simplement via un formulaire de contact ou des cookies de mesure d’audience. Cette politique doit être rédigée en langage clair et accessible depuis toutes les pages du site.

Suis-je concerné par le RGPD si je suis une très petite entreprise ?
Oui. Le RGPD ne prévoit pas de seuil fondé sur la taille de l’entreprise. Toute structure qui traite des données personnelles est concernée. Des allègements sont prévus pour les entreprises de moins de 250 salariés en matière de tenue du registre (art. 30.5 RGPD), mais les obligations fondamentales s’appliquent à toutes.

Mon prestataire informatique a perdu mes données clients : quels recours ?
La responsabilité contractuelle du prestataire peut être engagée sur le fondement de l’inexécution de ses obligations contractuelles (art. 1217 C. civ.) et de son obligation de sécuriser les données (art. 32 RGPD). Une procédure de notification à la CNIL et aux personnes concernées doit également être engagée sans délai.

Le cabinet Jacquet Duval Avocat intervient en droit du numérique et en protection des données personnelles sur l’ensemble du territoire français. Pour toute question relative à la conformité RGPD de votre entreprise, à vos contrats informatiques ou à un litige numérique, vous pouvez prendre contact avec le cabinet.

Retour en haut