Dans un arrêt du 9 mars 2022 (Cour de cassation, civile, Chambre commerciale, 9 mars 2022, 20-16.277, Publié au bulletin), la Cour de cassation rappelle que le fait qu’un établissement financier ait accordé un crédit sans disposer des justificatifs comptables de l’emprunteur ne dispense pas la caution profane qui allègue que la banque était tenue à son encontre d’un devoir de mise en garde, de démontrer qu’à la date de la signature de l’acte de cautionnement, il existait un risque d’endettement généré par l’octroi du prêt, lequel résultait d’une disproportion entre le montant du prêt et les ressources de l’emprunteur.

Dans le cadre de la présente affaire, une banque a accordé un prêt à une société alors que le gérant de la société débitrice a garanti ledit prêt par un acte de cautionnement. La société ayant fait l’objet d’une procédure de liquidation judiciaire, le préteur a poursuivi la caution qui lui a opposé le non-respect de son devoir de mise en garde à son encontre.

En l’espèce, la caution n’a pas rapporté la preuve lui incombant que le prêt objet du litige était inadapté à la situation financière de l’emprunteur ou à ses propres capacités financières. Ainsi, les juges du fond ont constaté que la caution, président de la société, n’avait produit aucun document comptable de sa société ou autre justificatif financier, que les mensualités du prêt litigieux avaient été honorées jusqu’à la date de l’ouverture de la liquidation judiciaire et estimé qu’il ne pouvait pas être considéré que l’engagement de la caution était inadapté à ses capacités financières, compte tenu du patrimoine dont elle avait fait état au moment de l’engagement.

Le devoir de mise en garde à l’égard de la caution profane était jusqu’alors une création purement prétorienne. La réforme du droit des sûretés issue de l’ordonnance du 15 septembre 2021 a transposé cette solution jurisprudentielle dans le nouvel le nouvel article 2299 du Code civil avec quelques nuances.  D’abord, la mise en garde ne porte plus que sur les capacités financières du débiteur principal. Ensuite, le non-respect de cette obligation est désormais sanctionné par une déchéance du créancier de son recours contre la caution à hauteur du préjudice subi par celle-ci. Enfin, et c’est l’innovation la plus importante, le devoir de mise en garde profite à toute caution dès lors qu’elle est une personne physique.

Le département banque, finance et assurance du Cabinet reste à votre entière disposition pour tout complément d’information qui s’avérerait utile.

Il est de jurisprudence constante que le prêteur ne doit de mise en garde qu’à l’emprunteur non averti.

A ce titre, la Cour de cassation estime que lecaractère averti d’un emprunteur ne se présume pas et doit résulter d’une analyse concrète, au jour de la conclusion du prêt litigieux (Cass. Com., 11 avril 2018, n°15-27133).

Dans une récente décision, la chambre commerciale a été amenée à préciser les contours de cette notion.

En l’espèce, l’emprunteur reprochait à la Cour d’appel de n’avoir pas assez caractérisé sa qualité d’averti en n’établissant pas qu’il aurait eu des connaissances financières et une expérience des mécanismes d’endettement. Or la Cour de cassation affirme à ce titre qu’un tel degré de qualification n’est pas nécessaire, dès lors que l’emprunteur averti est « celui ayant acquis lui-même une expérience professionnelle et une connaissance certaine du monde des affaires » (Cass. 1^ère civ., 5 janvier 2022, n°19-24436).

En reprenant ainsi une formule régulièrement énoncée par les juges du fond, la Cour de cassation semble entériner une conception souple de la notion d’emprunteur averti, lequel n’a pas à avoir de compétences spéciales.

Par ailleurs, l’arrêt rappelle qu’une demande en dommages et intérêts doit être introduite dans le délai de cinq ans à compter du jour où l’emprunteur a pris conscience de l’inadéquation du contrat à ses besoins. Or en l’espèce le recours exercé était bel et bien tardif.

Le département banque, finance et assurance du Cabinet reste à votre entière disposition pour tout complément d’information

Le pacte d’actionnaires est un élément fondamental de la pratique des affaires dans le cadre de la constitution de sociétés, de levées de fonds, ou d’entrée de nouveaux investisseurs.

Toutefois, certains dirigeants ou actionnaires s’interrogent toujours sur l’opportunité de conclure un tel contrat compte tenu de l’existence des statuts d’une société, lesquels sont obligatoires.

1. Les statuts couvrent un périmètre étendu

Pour mémoire, les statuts sont un contrat de société définissant (i) les règles auxquelles sont soumises les actionnaires, d’une part, entre eux-mêmes et, d’autre part, entre eux et la société, et (ii) les principales caractéristiques et règles de fonctionnement de la société.

Ainsi, les statuts sont publics et opposables aux tiers et à la société. Dès lors, un tiers et/ou la société peuvent se prévaloir d’un manquement aux statuts sous réserve de démontrer (i) un intérêt à agir, et (ii) l’existence d’un préjudice.

Les statuts doivent comporter les mentions obligatoires suivantes (article 1835 du Code civil) :

• Les apports de chaque associé ;
• La forme juridique ;
• L’objet social ;
• La dénomination ou raison sociale ;
• L’adresse du siège social de la société ;
• Le montant du capital social ;
• La durée de la société ;
• Les modalités de son fonctionnement.

En outre, des mentions complémentaires sont impératives en fonction de la forme de la société.

Alors pourquoi conclure un pacte d’actionnaires ?

2. Mais le pacte est confidentiel et permet une plus grande liberté, pour s’adapter à tous les cas de figure

L’un des principaux attraits du pacte d’actionnaire est que ce dernier ne lie que les entités signataires (la société pouvant en être partie), d’aucuns parlent d’un document « secret » ou « confidentiel ».

En effet, il est courant que des actionnaires ne souhaitent pas que les modalités associées à leur entrée au capital d’une société soient publiques (notamment la durée d’engagement, les modalités d’entrée ou de sortie des actionnaires).

Si récemment certaines affaires ont médiatisé l’existence de pactes d’actionnaires (affaires « La Provence » et « Lagardère » notamment), elles ont tout autant souligné l’intérêt d’une telle pratique.

En effet, dans ces deux affaires, les règles relatives au droit de préemption (mécanisme de rachat prioritaire par les actionnaires des actions d’un actionnaire cédant), au droit d’agrément (accord obligatoire des actionnaires sur le projet de cession d’un actionnaire cédant) sont au cœur des débats et des enjeux, en l’occurrence du contrôle de ces sociétés.

C’est ainsi que les pactes d’actionnaires classiques portent sur les principales dispositions suivantes :

• La clause de non-concurrence / exclusivité ;
• La clause d’inaliénabilité ;
• La clause de préemption ;
• La clause d’agrément ;
• La clause de cession / rachat forcée;
• La clause d’exclusion;
• La clause de sortie conjointe.

Toutefois, en présence d’investisseurs financiers, les pactes d’actionnaires comportent par ailleurs des clauses plus complexes, telles que :

• Clause de buy or sell : une telle clause permet à un associé, en cas de conflit avec un autre associé, de lui proposer de lui acheter ses titres, l’associé destinataire de l’offre disposant d’une option, à savoir : céder ses titres à l’autre associé au prix proposé ou, au contraire, racheter les titres de l’autre associé, au prix initialement proposé. 

• Clause ratchet : une telle clause a pour objet de permettre des investisseurs de maintenir leur niveau de participation en cas de nouvelle levée de fonds qui se ferait sur la base d’une valorisation de la société inférieure à celle qui a été retenue lors de leur entrée au capital ;

Certes, le Code de commerce prévoit des cas de nullité en cas de non-respect de certaines obligations statutaires, tel n’est pas le cas en matière de pacte d’actionnaires. Ainsi, l’article L. 228-23, alinéa 5 du Code de commerce dispose que toute cession d’actions effectuée en méconnaissance d’une clause d’agrément statutaire est nulle.

Toutefois, le pacte d’actionnaires n’est pas dénué de force exécutoire. Comme toute convention, son non-respect peut entrainer notamment l’octroi de dommages et intérêts et/ou l’exécution forcée des obligations non respectées (article 1217 du Code civil) notamment des promesses de vente.

A noter qu’il convient d’être attentif s’agissant de la coordination des statuts avec le pacte d’actionnaire. Ainsi, la Cour de cassation a considéré, dans un arrêt du 5 juin 2019 (17-18.967), que les statuts modifiés postérieurement à la conclusion du pacte constituent un amendement de celui-ci.

Le pacte d’actionnaires constitue donc un acte indispensable complémentaire aux statuts de la société. Un pacte ayant notamment vocation à préciser des obligations des statuts et/ou anticiper des situations de blocage, il convient d’être particulièrement vigilant dans sa rédaction.

3. Approfondissement lors des prochaines newsletters

Le département Corporate vous propose d’approfondir lors de prochains articles le thème du pacte d’actionnaire, avec notamment :

• agrément ;
• droit de préemption ;
• clause “tag-along and drag-along”;
• clause “bad / good leaver”;
• Exclusivité / non-concurrence.

Le CIGREF (association représentative des plus grandes entreprises et administrations publiques françaises exclusivement utilisatrices de solutions et services numériques) a publié une charte des bonnes pratiques en matière d’audit de licences logicielles.

Les audits informatiques doivent en effet être sérieusement pris en considération au regard notamment de leurs potentielles conséquences, l’avènement du cloud n’ayant pas fait disparaitre une telle pratique.

Ainsi,  un audit peut, le cas échéant, conduire à démontrer (i) la matérialité d’un manquement contractuel, à l’origine d’une possible résiliation pour faute du contrat, (ii) la régularisation de licences logicielles complémentaires compte tenu d’un défaut de déclaratif / mise à jour du nombre de licences utilisées.

A cet égard, la charte recommande les dispositions suivantes :

• encadrer contractuellement le droit d’audit (fréquence, périmètre, coûts, modalités d’exécution, conclusions de l’audit, etc…) ;

• l’approche d’auto-certification (audits déclaratifs) doit être privilégiée ;

• les parties doivent prioritairement recourir aux outils appartenant au client. A défaut, si un client accepte de recourir au script de son éditeur de logiciel, il doit avoir accès au code du script déployé ;

• le recours à des auditeurs tiers n’est pas à favoriser ;

• la conclusion de l’audit doit être contradictoire ;

• les régularisations doivent être effectuées au tarif négocié entre les parties, et non au tarif catalogue / tarif majoré sauf abus intentionnel ou mauvaise foi du client ;

• les régularisations effectuées valent quitus des cas objet de l’audit.

L’équipe du pôle Contrats informatiques, données & conformité se tient à votre disposition pour répondre à toutes vos questions.

L’acquisition d’une entreprise est un projet complexe qui implique un engagement financier important pour l’acquéreur. La tendance actuelle laisse à penser que les opportunités d’acquisition seront de plus en plus nombreuses (départs en retraite, reconversion, nécessité de réaliser des croissances externes pour maintenir sa position sur un marché).

2021 a été une année record dans le domaine des fusions-acquisitions, les transactions ont augmenté de 100% en valeur et de 49% en volume par rapport à 2020.

L’acquisition d’une entreprise existante est une alternative intéressante à la création d’une entreprise et permettra à l’acquéreur d’accélérer sa croissance.

L’entrepreneur qui souhaite acquérir une entreprise peut recourir à deux montages : l’acquisition d’un fonds de commerce ou l’acquisition de titres de société. Si l’entreprise est exploitée par un entrepreneur individuel, l’acquéreur ne pourra acheter que le fonds de commerce, si l’entreprise est exploitée par une société, l’acquéreur aura le choix entre ces deux schémas.

C’est deux opérations n’ont pas la même portée quand bien même le fonds de commerce reste l’actif principal d’une acquisition de titres.

1. L’opération d’achat de fonds de commerce

L’achat d’un fonds de commerce consiste pour l’acquéreur à créer sa propre entreprise et à acquérir un « outil de travail » pour exercer son activité. Seul l’actif de l’entreprise cible est racheté, à savoir : la clientèle l’enseigne, le nom commercial, le droit au bail, le matériel, éventuellement des marchandises, le cas échéant les droits de propriété intellectuelle rattachés au fonds de commerce (brevets, licences, marques, dessins et modèles). A noter que les contrats de travail liés à l’activité cédée sont obligatoirement transmis en vertu de l’article L.1224-1 du code du travail.

Dans le cadre d’une acquisition de fonds de commerce, l’acquéreur ne reprend pas les créances ou les dettes du cédant, sauf si les parties le mentionne expressément et sous réserve de l’accord des tiers. Ainsi, sauf exception, l’acquéreur ne peut être tenu du passif de son prédécesseur et il n’est pas responsable des engagements contractés par le cédant.

A ce titre, la Cour de cassation a récemment rappelé qu’en l’absence de clause expresse, la vente d’un fonds de commerce n’emporte pas de plein droit la transmission à l’acquéreur du passif des obligations dont le vendeur est tenu en vertu d’engagements souscrits avant la vente
(Cass.com. 2-2-2022 n°20-15.290, Sté Domitech 64 c/ S).

En conséquence, les contrats clients et fournisseurs conclus par le cédant et qui sont en cours ne sont pas automatiquement cédés. L’acquéreur devra s’assurer que le client, le fournisseur ou tout autre cocontractant souhaite poursuivre des relations contractuelles avec lui, soit par la poursuite du contrat en cours, soit par la conclusion d’un nouveau contrat ; il conviendra alors de faire état dans le contrat d’acquisition du fonds commerce des contrats clients ou fournisseurs qui se poursuivent et qui doivent être compris dans l’achat.

Si l’acquisition d’un fonds de commerce paraît peu risquée parce que seul l’actif est racheté, ce schéma d’acquisition n’est pourtant pas adapté à toutes les acquisitions ; notamment lorsque l’activité de celle-ci porte sur la conclusion de contrats à exécution successive.

2. L’achat de titres de société

Dans le cadre d’une acquisition de titres de la société cible, l’acquéreur devient propriétaire de la société elle-même et celle-ci ou son activité ne connaissent aucun changement. Aucune nouvelle entreprise n’est créée, mis à part éventuellement une holding de rachat.

A la différence d’un rachat de fonds de commerce, l’acquéreur rachète l’ensemble des éléments d’actif et de passif de la société. Il reprend la société en l’état, avec ses créances, ses dettes, ses contrats en cours.

Le repreneur est indirectement tenu par les engagements du cédant. Ainsi, la société reste redevable des dettes nées antérieurement à l’acquisition même si elles ne sont pas encore connues (redressement fiscal, Urssaf, contentieux avec un salarié…).

Afin de garantir l’acquéreur des dettes inconnues au jour de la cession, ou de la dépréciation d’un élément d’actif figurant au bilan, l’acte de cession contient usuellement une clause dite « garantie d’actif et de passif ». Par cette clause, le cédant s’engage à indemniser l’acquéreur ou la société en cas de survenance d’une charge (augmentation du passif ou diminution de l’actif) apparue postérieurement à l’acquisition mais dont la cause est antérieure. 

L’acquisition de titres de société peut paraître plus risquée qu’une acquisition de fonds de commerce ; pour autant il existe des mécanismes mis en place par la pratique pour atténuer le risque supporté par l’acquéreur. De plus cette solution présente l’avantage de la continuité des relations avec tous les partenaires de l’entreprise.

L’acquisition d’une société s’inscrit souvent dans un projet de développement et de croissance pour l’acquéreur, il s’agit d’une étape importante, nécessitant pour lui de connaître les étapes d’une telle opération ainsi que les points clés et essentiels pour réussir son acquisition.

3. Approfondissement lors des prochaines newsletters

Le département Croissance Externe/Corporate du CLOIX & MENDES-GIL, au travers différents articles vous présentera les points essentiels d’une acquisition de société permettant à chaque futur acquéreur d’appréhender plus sereinement cette opération.

Les articles à venir porteront sur des sujets plus spécifiques intéressant l’acquisition d’une société :

• Les étapes d’une acquisition de société.
• La lettre d’intention et l’audit d’acquisition : une étape essentielle
• Comment financer l’acquisition d’une société par un montage LBO
• Sécuriser le prix de son acquisition (1/2) : le mécanisme de locked-box (clause d’ajustement de prix)
• Sécuriser le prix de son acquisition (2/2) : le mécanisme de complément de prix (clause d’earn-out)
• La garantie d’actif-passif pour couvrir les risques antérieurs à l’acquisition
• Post-acquisition : la vie de la société reprise

Le rapprochement des intérêts des actionnaires, des investisseurs et des salariés peut contribuer à la réussite d’une entreprise.

C’est dans cette logique que le management package a été pensé. Cette notion fait référence à l’ensemble des instruments financiers souscrits par les salariés pour leur permettre de capter une partie de la plus-value lors de la revente de la société.

Des dispositifs légaux (c’est-à-dire sécurisés par la position de l’administration fiscale ou directement créé par la loi) complétés par l’imagination des praticiens ont été pensés dans cette objectif. On peut distinguer deux grandes catégories d’outils, selon qu’une participation financière des bénéficiaires est attendue ou non.

1. Les outils payants

Les outils payants requièrent une contribution financière de la part de leur bénéficiaire, avec la prise de risque capitalistique qui est liée. Dans cette catégorique, on retrouve principalement les bons de souscription d’actions (« BSA ») et les actions de préférence (« ADP ») :

• les BSA permettent de souscrire à des actions de la société cible à un prix déterminé au moment de l’acquisition des bons, qui sont généralement exercés lors de la revente de la société. L’utilisation de cet outil requiert un investissement de la part de leur bénéficiaire, non seulement au moment de l’acquisition des bons, mais aussi au moment de leur exercice.
• les ADP sont des actions qui bénéficient quant à elles de droits financiers variables lors de la revente de la société (part prioritaire sur la plus-value de la vente de la société, droits à dividendes prioritaires …).

2. Les outils gratuits

Les outils gratuits sont attribués sans investissement financier de la part de leurs bénéficiaires et donc sans risque pour ces derniers. Au sein de cette catégorie, il est possible de distinguer :

• les bons de souscription de parts de créateurs d’entreprise (« BSPCE »). Ces derniers constituent – au même titre que les BSA mais réservés aux dirigeants et salariés – des bons incessibles donnant droit au bénéficiaire de souscrire, au cours d’une période déterminée, des actions dont le prix est fixé lors de leur attribution ;
• les actions gratuites qui sont des actions de la société données aux salariés ou à ses dirigeants ;
• les stock-options qui donnent à leur détenteur la possibilité d’acheter ultérieurement des actions de la société à un prix fixé à l’avance.

Fiscalement, les outils gratuits qui bénéficient en priorité aux salariés, échappent à l’imposition dans la catégorie des traitements et salaires pour se rapprocher du régime, en principe plus favorable, des plus-values de cession de valeurs mobilières. Cet avantage fiscal est conditionné au respect des conditions légales prévues par ces différents outils.

S’agissant des outils payants, le régime fiscal est au cœur de l’actualité notamment avec 3 arrêts du Conseil d’Etat du 13 juillet 2021 (CE, 13/07/2021, n°428506, n°435452 et n°437498) et n’est pas à ce jour définitivement fixé, puisque, si de prime abord la part de risque supporté pouvait laisser présupposer l’application du régime des plus-values de cession, l’administration fiscale s’assure que le gain réalisé ne se rattache pas à des fonctions de salarié ou de dirigeant.

3. Approfondissement lors des prochaines newsletters

Le département Corporate vous propose d’approfondir lors de prochains articles le thème du Management Package, avec notamment :

• les BSA
• les BSPCE
• les actions gratuites
• les stock-options

L’équipe du pôle Croissance Externe/Corporate se tient à votre disposition pour répondre à toutes vos questions.

La sécurité des services externalisés est un enjeu majeur pour toute entreprise.

Le plan assurance sécurité (PAS) est un document fondamental pour tout prestataire proposant des services d’externalisation digitale, en particulier les services SaaS (Software as a Service).

1. Pourquoi rédiger un plan assurance sécurité ?

Si vous proposez des services digitaux et que vous visez des grands comptes, vous devez disposer d’un PAS. Si vous êtes une start-up qui ambitionne un jour de proposer ses services à des grands comptes, nous vous recommandons fortement de rédiger dès maintenant votre PAS afin démontrer votre sérieux et votre préparation. Ce document vous sera demandé tôt ou tard et aura un rôle important dans la décision de faire appel à vos services.

Enfin, si vous êtes un client qui souhaite externaliser une partie de son activité, vous devez demander le PAS de votre futur prestataire.

Cela s’explique par les risques inhérents au monde numérique : en confiant une partie de son activité à un prestataire, vos données sont stockées sur les serveurs du prestataire. Il s’agit souvent de données considérées comme stratégiques (CRM, outil de management d’équipe, comptabilité).

A ce titre, une question légitime émerge : Le prestataire assure-t-il un niveau de sécurité suffisant ?

Le PAS vise à rassurer un prospect sur le fait que les données sont conservées et accessibles de manière sécurisée, tel qu’exposé dans le PAS.

Ainsi, le PAS dévoile les mesures de sécurité techniques et organisationnelles qu’un prestataire met en œuvre et qui visent à assurer la sécurité des services externalisés.

En principe, il est fourni au stade de l’avant-vente, lorsque le client fait son choix.

Une absence de PAS ou un document rédigé à la va-vite sont d’importantes alarmes pour les DSI et directions des achats et sont interprétés comme une absence de sécurité.

En conséquence, il est important de réfléchir en amont au contenu de ce document.

Cela permet d’obtenir un avantage indéniable en négociation en le présentant rapidement lorsqu’un prospect en fait la demande, ou même de l’adresser sans qu’il ait été demandé. En cela, le PAS permet d’accroître la confiance lors du stade clé de l’avant-vente.

Mais surtout, prendre le temps de rédiger ce document permet de fournir le bon niveau d’informations : ni trop (et dévoiler des informations stratégiques sur la sécurité de ses infrastructures), ni pas assez (et ne pas atteindre l’objectif de rassurer le client).

La question clé est : que mettre dans mon PAS ?

2. Comment rédiger un plan assurance sécurité ?

Le PAS est le fruit d’un juste équilibre entre :

• D’une part, les informations qui vont rassurer le prospect ;
• D’autre part, les informations confidentielles, dont la divulgation pourrait entraîner des risques de sécurité.

Il est nécessaire d’informer sur les mesures prises, mais pas au détriment de la sécurité de vos serveurs.

La première étape de rédaction du PAS est la collecte de l’existant : quelles sont les mesures mises en œuvre pour assurer la sécurité d’un service ?

Ces mesures se divisent en mesures techniques (ex : chiffrement AES-256) et organisationnelles (ex : existence d’une politique d’habilitation).

Si les services sont accessibles en ligne, il est nécessaire de prendre en compte les mesures mises en œuvre pour assurer la sécurité du flux de données (ex : HTTPS).

Après avoir réalisé cet état des lieux, il faut arbitrer entre les mesures qui peuvent être mentionnées dans le PAS et celles qui doivent rester confidentielles.

Puis, s’agissant des mesures à faire figurer, il faut en déterminer le niveau de détail.

Il n’est pas possible de dresser ici une liste des mesures de sécurité qu’il faut et qu’il ne faut pas mettre au sein du PAS. En effet, elles diffèrent pour chaque prestataire au regard de l’ampleur et du caractère stratégique des services digitalisés.

Trouver de l’équilibre nécessite à la fois une bonne compréhension des services fournis par un prestataire et une expérience dans la négociation des contrats d’externalisation de services.

Une chose est sûre : le plan assurance sécurité apporte à tout prestataire qui en dispose un avantage stratégique vis-à-vis de ses concurrents.

Du côté client, le PAS peut être annexé au contrat. Ainsi, si le prestataire ne met pas en œuvre ses mesures, il est possible de prévoir la rupture du contrat aux torts du prestataire.

En tout état de cause, la transmission du PAS doit être effectuée dans un cadre confidentiel (ex : NDA), en particulier en avant-vente lorsqu’il n’est pas assuré que le client choisira tel ou tel prestataire.

Le Pôle Contrats informatiques, Données et Conformité accompagne ses clients dans la rédaction de plans assurance sécurité correspondant à leurs besoins sans dévoiler d’informations stratégiques, afin de les aider à développer leur activité.

Pour toute question, n’hésitez pas à nous contacter.

1. Condamnation de Google par la Cnil le 7 décembre 2020

Le 7 décembre 2020, la Cnil condamnait les société Google LLC et Google Ireland Limited à une amende total[1] de 100 millions d’euros.

Cette amende sanctionnait trois violations à l’article 82 de la loi informatique et libertés. Cet article transpose la directive ePrivacy de 2002.

Premièrement, plusieurs cookies déposés avaient une finalité publicitaire. Or, aucun recueil préalable du consentement de l’utilisateur n’était obtenu par Google. La Cnil a constaté le défaut de consentement.

Deuxièmement, un bandeau d’information relatif aux cookies s’affichait bien en pied de page. Néanmoins, aucune information précise permettant d’expliquer à l’utilisateur les objectifs de ces cookies, ni les moyens mis à leur disposition quant à la possibilité de les refuser n’y figuraient. La Cnil a constaté le défaut d’information.

Troisièmement, le bouton qui permettait de désactiver la personnalisation des annonces sur la recherche Google n’était que partiellement fonctionnel.  La Cnil a estimé que le mécanisme d’opposition mis en place par les sociétés était partiellement défaillant. 

2. Condamnation de Google par le Conseil d’Etat le 28 janvier 2022

Les sociétés Google LLC et Google Ireland Limited ont notamment fait appel en arguant de l’incompétence de la Cnil. Elles estiment que l’autorité compétente doit être celle du lieu d’établissement du responsable du traitement. En l’espèce l’autorité irlandaise.

Le Conseil d’Etat confirme la décision de la Cnil le 28 janvier 2022. Le Conseil d’Etat reprend le raisonnement de l’arrêt du 4 mars 2021 rendue à l’encontre des sociétés Google également.  

La Cnil est l’autorité compétente sur le territoire national français pour informer les acteurs et personnes concernées par les traitements des droits et obligations. Elle veille également à ce que les traitements de données soient mis en œuvre conformément à la législation.

Sa formation restreinte peut prendre des sanctions à l’encontre du responsable du traitement ou des sous-traitants qui ne respectent pas les textes. 

La directive ePrivacy fait partie du corpus de texte dont la Cnil doit assurer du respect.

Ce texte contient bien les dispositions applicables citées en matière de cookies par la Cnil.

Ce texte ayant été transposé à l’article 82 de la loi informatique et libertés.

Les manquements imputables aux sociétés Google le sont sur le fondement de cet article.

Aucun texte ne prévoit l’existence d’un guichet unique qui serait l’autorité nationale du lieu d’établissement du responsable de traitement, pour le contrôle des opérations d’accès et d’inscription d’informations dans les terminaux des utilisateurs en France d’un service de communications électroniques, même procédant d’un traitement transfrontalier.

La Cnil est donc, « en l’absence de tout doute raisonnable » compétente en ce domaine. Et le Conseil d’État confirme les manquements des sociétés Google.

3. Plan d’actions

Les cookies sont identifiables par de simples manipulations sur les propriétés du navigateur. De nombreuses plaintes sont déposées sur ce sujet chaque jour auprès de la Cnil. Si des cookies sont déposés sur le poste d’utilisateur en France, alors la Cnil est compétente.

Ainsi, afin de se conformer aux obligations en matière de protection des données personnelles, il est rappelé qu’il convient donc de :

• obtenir et conserver la preuve du consentement de l’utilisateur aux cookies déposés sur son poste ;
• informer clairement des objectifs des cookies et des moyens pour s’y opposer ;
• de permettre un droit d’opposition effectif.

Pour toute question, n’hésitez pas à nous contacter.

[1] Cette amende est répartie à 60M€ pour Google LLC et 40 M€ pour Google Ireland.

Tous les ans, la CNIL nous informe des thématiques prioritaires qui seront traitées par ses équipes pour l’année à venir.

En 2021, la CNIL avait jeté son dévolu sur la cybersécurité, les données de santé et les cookies et avait établi un record en rendant 18 sanctions, pour un montant de 214 106 000 euros, et 135 mises en demeure.

En 2022, la CNIL compte poursuivre son action sur de nouveaux fronts, ce qu’elle a récemment annoncé sur son site Internet :

1. Prospection commerciale

Pour son premier axe de contrôle, la CNIL choisit une thématique qui touche tout un chacun, la prospection commerciale, et qui constitue « un sujet récurrent de plaintes et d’appels à la permanence téléphonique de la CNIL ».

La réglementation encadrant la prospection commerciale est un croisement entre le RGPD et l’article L.34-5 du code des postes et des communications électroniques.

Les règles diffèrent fortement en fonction du médium utilisé (mail, automate d’appel, etc.), de la nature de la personne prospectée (professionnel, consommateur) et du type de produit ou service proposé (en lien avec l’activité, connexe à un achat précédent, etc.).

Pour aider les acteurs, la CNIL a édité un Référentiel dédié aux activités commerciales.

Ainsi, les acteurs effectuant de la prospection commerciale doivent déterminer une stratégie de prospection conforme à la réglementation en fonction de chaque cible.

A ce titre, des fiches pratiques peuvent être rédigées à l’attention des opérationnels.

Le cas échéant, une attention particulière doit être portée sur l’acquisition de leads qualifiés et leur conformité.

2. La surveillance du télétravail

Le développement exponentiel du télétravail au cours des deux dernières années a eu pour corollaire le développement des outils de surveillance des salariés.

De nombreuses entreprises ont saisi l’occasion pour développer des outils spécifiques à destination des employeurs. Or, nombre de ces outils ne sont pas conformes à la réglementation (minimisation, respect du privacy by design, information des salariés, etc.).

La CNIL a déjà communiqué sur les bonnes pratiques à suivre. En 2022, elle va s’assurer que ces bonnes pratiques, ainsi que l’ensemble de la réglementation, sont respectés.

Et ce n’est pas parce que ces outils sont développés par des tiers que les employeurs doivent se considérer comme exempts de toute responsabilité.

En effet, l’employeur est a priori responsable des traitements mis en œuvre par l’outil, l’éditeur de ce dernier étant uniquement sous-traitant. En cas de manquement, l’employeur pourrait ainsi être condamné.

3. Le cloud

Le troisième axe principal de contrôle choisi par la CNIL est le cloud (ou informatique en nuage).

Cet axe est partagé par l’ensemble des autorités de contrôle européennes, dans le cadre des de la stratégie 2021-2023 décidé entre elles.

La CNIL identifie deux risques importants dans l’utilisation du cloud :

Un premier risque tenant au transfert de données en dehors de l’UE, et sans respecter le cadre légal applicable aux transferts.

Il faut ici faire le lien avec la décision récente de la CNIL qui a mis l’éditeur d’un site Internet en demeure d’arrêter l’utilisation de Google Analytics, qui envoie ses données aux USA.

Les acteurs doivent donc s’assurer qu’ils utilisent des outils qui ne transfèrent pas leurs données hors UE sans en assurer un niveau de sécurité suffisant et, en particulier, prendre garde aux outils hébergés aux USA (ou avec une possibilité d’accès depuis ce pays).

Un second risque est matérialisé par les possibilités de violations de données. Ainsi, la cybersécurité maintient sa place (indirectement) dans les priorités de la CNIL. Et cela est bien normal, les failles de sécurité sont en augmentation chaque année et la sécurité des données fait partie des obligations des acteurs de traitement au titre de l’article 32 RGPD.

Le Pôle Contrats informatiques, Données et Conformité accompagne tous types d’acteurs (publics et privés) dans leurs projets afin d’assurer leur conformité à la réglementation RGPD et, le cas échéant, les assister lors de contrôles CNIL.

Pour toute question, n’hésitez pas à nous contacter.