Gazette du contentieux de BCLP Paris Numéro 4

Contenu

• Concurrence distribution
  • Arrêt « Super Bock » de la Cour de justice
• IP/IT/Data
  • Publicité ciblée et RGPD
  • La protection des mineurs face aux contenus pornographiques en ligne
• Contentieux commercial
  • Une enquête menée par la DGCCRF appelle à la vigilance des établissements de crédit s’agissant du respect des règles applicables en matière d’assurance emprunteur
  • Le devoir de vigilance sur le point d'être harmonisé au niveau européen ?
• Droit social
  • La preuve issue de l’intervention d’un « client-mystère » est licite dès lors que le salarié a été informé de ce dispositif
  • Congés payés : mise en conformité du droit français avec le droit européen
• Pénal des affaires
  • Délégations de pouvoirs :  à quelles conditions sont-elles vraiment utiles en matière de responsabilité pénale ?
• Conformité
  • Alertes internes et RGPD : quelles sont les bonnes pratiques ?

     

Arrêt « Super Bock » de la Cour de justice

la pratique de prix imposés ne constitue pas nécessairement une restriction de la concurrence par objet

Dans un arrêt important rendu le 29 juin 2023 (Aff C-211/22), la Cour de justice de l’Union européenne (la « CJUE ») a dit pour droit qu’un accord vertical de fixation de prix minimaux ne constitue pas nécessairement une restriction par objet. Cette décision s’inscrit à rebours de la position de l’Autorité de la concurrence (l’« Autorité ») en la matière, qui qualifie systématiquement comme telle ce type de pratiques, sans analyser in concreto sa nocivité sur la concurrence. S’il est peu probable que l’Autorité modifie radicalement son appréciation particulièrement sévère des prix imposés, elle devra néanmoins tenir compte de la position de la Cour et motiver davantage ses décisions de condamnation.

Une pratique de prix imposés est-elle, par nature, une infraction « par objet » ? 

Super Bock, un producteur de boissons alcoolisées et non alcoolisées, actif notamment au Portugal, transmettait mensuellement une liste de prix minimaux de revente à ses distributeurs et surveillait leur application effective, le cas échéant en usant de menaces de représailles, de sorte que les prix minimaux étaient généralement respectés.

En 2019, l’autorité de concurrence portugaise a imposé une amende de 24 millions d'euros à Super Bock, en qualifiant la pratique sanctionnée de restriction par objet au sens de l’article 101 du Traité sur le fonctionnement de l’Union européenne (le « TFUE »).  Super Bock contestait cette qualification.

Saisie d’un recours contre cette décision, la Cour d'appel de Lisbonne a décidé de surseoir à statuer et a posé à la CJUE la question suivante: « la fixation verticale de prix minimaux est-elle en soi une infraction par objet qui ne nécessite pas une appréciation préalable du degré suffisant de nocivité de l’accord ? ».

La qualification d’infraction « par objet » d’une pratique de prix imposés dépend des circonstances de l’espèce

Dans un arrêt pédagogique, la Cour s’attache d’abord à rappeler que, pour relever de l’article 101 du TFUE, un accord doit avoir « pour objet ou pour effet » d’empêcher, de restreindre ou de fausser la concurrence dans le marché intérieur, de sorte que lorsque l’objet anticoncurrentiel d’un accord est établi, il n’y a pas lieu de rechercher ses effets sur la concurrence.

Elle rappelle, ensuite, que :

• Le critère juridique essentiel pour déterminer si un accord, qu’il soit horizontal ou vertical, comporte une « restriction de concurrence par objet» réside dans la constatation qu’un tel accord présente, en lui-même, un degré suffisant de nocivité à l’égard de la concurrence.
• La notion de « restriction par objet » ne se confond pas avec celle de « restriction caractérisée ». Le fait que la pratique de prix imposés soit  qualifiée de restriction caractérisée par  le règlement d’exemption sur les restrictions verticales ne permet donc pas de considérer, à lui seul, qu’elle constitue également une restriction par objet.

Enfin, et c’est l’apport principal de l’arrêt, elle dit pour droit qu’un accord vertical de fixation de prix minimaux de revente ne saurait constituer en toute hypothèse une restriction par objet, qualification qui ne peut s’inférer que de l’analyse de « la teneur de ses dispositions, des objectifs qu’il vise à atteindre ainsi que de l’ensemble des éléments caractérisant le contexte économique et juridique dans lequel il s’insère ».

En d’autres termes, une autorité de concurrence ne peut parvenir à la conclusion qu’une pratique de prix imposés constitue une restriction par objet – et donc se dispenser de l’analyse de ses effets – qu’aux termes d’une analyse des circonstances propres à l’accord examiné.

On relèvera que cette solution est cohérente avec les nouvelles lignes directrices sur les restrictions verticales du 30 juin 2022, qui disposent que, dans certaines circonstances, « les prix de vente imposés peuvent également générer des gains d’efficience » (comme par exemple pour le lancement d’un produit nouveau ou pour organiser une campagne de prix bas coordonnée de courte durée).

Les potentielles conséquences de l’arrêt Super Bock sur la pratique de l’Autorité 

La décision de la CJUE impose aux autorités de concurrence un standard de preuve du caractère « par objet » d’une pratique de prix imposés plus exigeant que celui mis en œuvre par l’Autorité, qui considère que la fixation verticale de prix minimaux constitue, en soi, une infraction par objet (voir par exemple, décision n°20-D-20 du 3 décembre 2020).

L’Autorité devra donc dorénavant s’attacher à examiner in concreto la nocivité pour la concurrence des pratiques de prix imposés dont elle sera saisie et motiver davantage ses décisions.

Si cette évolution attendue est susceptible d’être plus favorable aux entreprises, en leur permettant de faire valoir utilement des circonstances spécifiques, il n’est néanmoins pas certain qu’elle débouchera sur des solutions radicalement différentes.

En effet, la CJUE a pris le soin d’indiquer que le fait qu’un accord vertical de fixation de prix minimaux de revente est susceptible de relever de la catégorie des « restrictions caractérisées », ce qui constitue un indice de la nocivité pour la concurrence de ce type d’accord et rend nécessairement difficile la preuve de l’absence de nocivité de ce type de pratiques. On signalera à cet égard que la Cour d’appel de Lisbonne a, le 21 septembre 2023, confirmé intégralement la sanction infligée à Super Bock par l’autorité de concurrence portugaise.

Publicité ciblée et RGPD – CNIL, 15 juin 2023

Le 15 juin 2023, la CNIL a prononcé une amende de 40 millions d’euros à l’encontre d’une société spécialisée dans la publicité en ligne du fait notamment des manquements suivants au RGPD, constatés lors de ses missions de contrôle :

Manquement à l’obligation de démontrer que la personne concernée a donné son consentement (Article 7.1 du RGPD)

Dans le cadre de son activité de publicité en ligne, la société collecte les données de navigation des internautes par le biais de cookies déposés dans leurs terminaux lors de leur visite de sites partenaires. Cette collecte a pour but de déterminer leurs habitudes de navigation et de leur proposer de la publicité personnalisée.

Or, l’article 5(3) de la directive 2002/58/CE, modifiée en 2009 et transposée en France par la loi nᵒ 78-17 du 6 janvier 1978 (Loi Informatique et Libertés) en son article 82, impose le recueil du consentement préalable de l’utilisateur avant de stocker de l’information sur son terminal sauf si cette action est strictement nécessaire à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur ou a pour finalité exclusive de permettre ou de faciliter une communication par voie électronique.

Le consentement prévu par ces dispositions doit répondre aux conditions prévues aux articles 4 et 7 du RGPD selon lesquels il doit être : libre, spécifique, éclairé, univoque et l’utilisateur doit être en mesure de le retirer, à tout moment, avec la même simplicité qu’il l’a accordé.

Dans les faits, il a été constaté que le traceur était déposé par plusieurs partenaires de la société dans le terminal des internautes sans leur consentement. En effet, les contrats passés avec les partenaires de la société ne comprenaient pas de clauses leur imposant de fournir la preuve du consentement des internautes.

Manquement à l’obligation d’information et de transparence (Articles 12 et 13 du RGPD)

La politique de confidentialité de la société n’était pas conforme aux exigences du RGPD. D’une part, elle ne mentionnait pas l’ensemble des finalités poursuivies par le traitement et d’autre part, certaines des finalités étaient formulées en des termes vagues ne permettant pas à l’utilisateur de comprendre précisément quelles données personnelles étaient utilisées et pour quels objectifs.

Manquement au respect du droit d’accès (Article 15.1 du RGPD)

Dans le cadre de l’exercice du droit d’accès, la société transmettait au demandeur, sous forme de tableau, une partie des données comprises dans sa base de données. Cette transmission se faisait sans fournir d’informations suffisantes pour permettre au demandeur la compréhension desdites données.

Manquement au respect du droit de retrait du consentement et de l’effacement des données (Articles 7.3 et 17.1 du RGPD)

Lorsqu’une personne exerçait son droit au retrait du consentement ou à l’effacement de ses données, le processus mis en œuvre par la société avait seulement pour effet d’arrêter l’affichage de publicités personnalisées à l’utilisateur.

Pour autant, la société ne procédait ni à la suppression de l’identifiant attribué à la personne, ni à l’effacement des évènements de navigation liés à cet identifiant.

Manquement à l’obligation de prévoir un accord entre responsables conjoints de traitement (Article 26 du RGPD)

L’accord conclu par la société avec ses partenaires ne précisait pas certaines des obligations des responsables de traitements vis-à-vis d’exigences contenues dans le RGPD, telles que l’exercice par les personnes concernées de leurs droits, l’obligation de notification d’une violation de données à l’autorité de contrôle et aux personnes concernées ou bien, si nécessaire, la réalisation d’une étude d’impact au titre de l’article 35 du RGPD.

In fine, et afin de prononcer cette sanction, la CNIL a pris en compte plusieurs critères afin d’en évaluer le montant.

Elle note tout d’abord que le traitement en cause concernait un très grand nombre de personnes (environ 370 millions d’identifiants à travers l’Union Européenne) et que, quand bien même la société ne dispose pas du nom des internautes, la CNIL a estimé que les données étaient suffisamment précises pour permettre de les réidentifier.

Ensuite, la CNIL relève que le modèle économique de la société repose exclusivement sur son aptitude à collecter et à traiter des données afin de proposer aux internautes de la publicité ciblée.

Le dernier critère pris en compte, et qui a permis à la société d’augmenter de manière indue ses revenus financiers, est le fait de traiter les données des personnes sans preuve de leur consentement valable.

La protection des mineurs face aux contenus pornographiques en ligne

En 2021, l'Autorité de régulation de la communication audiovisuelle et numérique (ARCOM) a initié une demande de blocage de cinq sites pornographiques qui auraient été négligeant dans leur contrôle de l’accès des mineurs.

En effet, l’ARCOM a considéré que lesdits sites ont violé les dispositions de l’article 23 de la loi n° 2020-936 du 30 juillet 2020 visant à protéger les victimes de violences conjugales.

Cet article dispose que, lorsqu'une personne dont l'activité est d'éditer un service de communication au public en ligne permet à des mineurs d'avoir accès à un contenu pornographique, le président du Conseil supérieur de l'audiovisuel, devenu aujourd’hui l’ARCOM, peut lui adresser une mise en demeure lui enjoignant de prendre toute mesure de nature à empêcher l'accès des mineurs au contenu incriminé. En cas d’inexécution, le président de l’ARCOM peut saisir le président du tribunal judiciaire de Paris dans l’objectif d'ordonner de mettre fin à l’accès de ce service.

Il faut néanmoins noter que la mise en œuvre de ces nouvelles dispositions a connu plusieurs entraves. Un premier retard fut d’abord causé par l'absence de notification du décret d'application de la loi à la Commission Européenne. Ensuite, le tribunal judiciaire a constaté en mai 2022 la caducité des assignations signifiées par l'ARCOM, faute d’envois de copies en dehors des délais. Par ailleurs, une médiation qui a débuté en septembre 2022 n’a pas abouti. Enfin, un premier sursis à statuer a été prononcé après une question prioritaire de constitutionnalité qui fut finalement rejetée par la Cour de cassation.

Le 7 juillet 2023, le service des référés du pôle de l'urgence civile du Tribunal judiciaire de Paris a de nouveau prononcé un sursis à statuer relatif au recours en annulation du décret n° 2021-1306 du 7 octobre 2021 relatif aux modalités de mise œuvre des mesures visant à protéger les mineurs contre l'accès à des sites diffusant un contenu pornographique.

En effet, deux recours à l’encontre de la légalité de ce décret ont été déposés auprès du Conseil d'État par les éditeurs des sites litigieux. Ces derniers relèvent l'absence de précisions sur les modalités techniques permettant d’identifier les solutions de vérification de l’âge.

Le jour-même du prononcé du sursis à statuer, l’ARCOM a publié un communiqué dans lequel elle déclare prendre acte de la décision du Tribunal judiciaire et souligne le fait qu’il existe un consensus sur la nécessité d’agir rapidement afin de protéger les mineurs des contenus pornographiques.

L’affaire demeure ainsi en suspens aujourd’hui dans l’attente de la décision du Conseil d’Etat.

Ce cas spécifique des sites pour adultes rappelle néanmoins la difficulté du contrôle de la vérification de l’âge en ligne des plateformes. Les solutions techniques demeurent peu évidentes et couteuses et l’absence de consensus ne permet pas aux opérateurs de mettre en place des mesures mettant en balance d’une part la nécessité de vérification de l’âge des internautes et d’autre part les risques liés aux atteintes à la vie privée.

Une nouvelle contrainte est créée par l’article 4 de la loi n° 2023-566 du 7 juillet 2023 visant à instaurer une majorité numérique et à lutter contre la haine en ligne. Cet article dispose que les fournisseur de réseaux sociaux sur le territoire français sont tenus de refuser l’inscription à leurs services des mineurs de quinze ans, sauf autorisation de l’un des titulaires de l’autorité parentale. Un décret viendra préciser la date d’entrée en vigueur de cette nouvelle loi. Au-delà des sites pornographiques, le contrôle de l’âge des internautes s’impose aux réseaux sociaux.

Il est toutefois pertinent de noter que l’un des objectifs du projet de loi déposé le 27 juin 2023 et visant à sécuriser et réguler l'espace numérique est de renforcer les pouvoirs de sanction de l’ARCOM. D’après ce projet de loi, des agents de l’autorité pourraient constater directement les infractions commises par les sites pornographiques et dresser des procès-verbaux. L'ARCOM serait ensuite dotée d'un pouvoir d'injonction direct contre l'éditeur du site et, en cas d'échec, à l'encontre des fournisseurs d'accès à Internet et des moteurs de recherche. Cette nouvelle disposition permettrait ainsi à l’ARCOM de prendre des mesures coercitives sans passer par la voie judiciaire qui, on l’a vu, est semée d’embûches pour l’autorité administrative.

Le 19 septembre 2023 marque le début de l'examen en commission à l’Assemblée nationale de ce projet de loi.

Par ailleurs, la voie judiciaire empruntée par les associations de défense de l’enfance semble également semée d’embûches.

Pour rappel, en août 2021, les associations E-enfance et La voix de l’enfant ont entrepris de saisir le juge des référés du Tribunal judiciaire de Paris d’une demande visant à enjoindre des fournisseurs d’accès à internet de prendre, en urgence, des mesures techniques permettant d’interdire l’accès aux sites pornographiques qui ne respectaient leurs obligations.

Par un jugement d’octobre 2021, le Juge des référés a dit n’y avoir lieu à référé sur les demandes de blocage aux motifs que les dispositions de l’article 6.I.8) de la loi pour la confiance dans l’économie numérique imposaient aux requérants à une mesure de blocage d’établir l’impossibilité d’agir efficacement et rapidement contre l’hébergeur, contre l’éditeur ou contre l’auteur du contenu litigieux avant d’agir contre les fournisseurs d’accès à internet ce que les associations échouaient à faire en l’espèce.

Ce rejet des demandes des associations de protection de l’enfance a été confirmé par la Cour d’appel de Paris le 19 mai 2022 sur le même fondement (Cour d’appel de Paris, Pôle 1 chambre 2, n°21/18159).

Toutefois, cette position a été récemment remise en cause par la Cour de Cassation dans un arrêt du 18 octobre 2023 (pourvoi n°22-18.926) qui casse cet arrêt indiquant que l’article 6.I.8) de la loi pour la confiance dans l’économie numérique ne crée pas de hiérarchie entre l’action en justice menée contre l’hébergeur de sites pornographiques et l’action en justice menée contre le fournisseur d’accès internet.

Dès lors avec cet arrêt de Cassation, une association de protection de l’enfance peut demander à la justice de contraindre des fournisseurs d’accès internet à bloquer un site pornographique sans qu’il soit exigé d’elle qu’elle ait d’abord mis en cause l’éditeur des contenus ou son hébergeur.

En conclusion, si les procédures visant à contraindre les sites pornographiques à contrôler l’âge de leurs  utilisateurs et à interdire leur accès aux plus jeunes d’entre eux ont été longues et périlleuses, il semble à ce jour que l’étau se resserre sur ces éditeurs que ce soit sur le plan civil, administratif ou législatif.

Une enquête menée par la DGCCRF appelle à la vigilance des établissements de crédit s’agissant du respect des règles applicables en matière d’assurance emprunteur

Avec l’objectif d’améliorer la protection des consommateurs ayant souscrit un crédit immobilier, la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes (DGCCRF) a mené en 2021 et 2022, une enquête auprès de 144 établissements de crédit afin d’évaluer le respect des règles concernant les crédits immobiliers et l'assurance emprunteur.

Résultats de l’enquête en matière de crédits immobiliers

Pour mémoire, conformément au pouvoir qui lui est conféré par l’alinéa 5 de l’article L.631-2-1 du code monétaire et financier, le Haut Conseil de stabilité financière a pris le 29 septembre 2021 une décision relative aux conditions d’octroi de crédits immobiliers (décision D-HCSF-2021-7) applicable au 1er Janvier 2022. Aux termes de cette décision, les établissements de crédit sont tenus de respecter deux critères lors de l’octroi d’un crédit immobilier :

• le taux d’effort des emprunteurs ne doit pas excéder 35 % ;
• la maturité du crédit ne doit pas excéder 25 ans (avec une tolérance de 2 ans de différé d’amortissement dans des cas où l’entrée en jouissance du bien est décalée par rapport à l’octroi du crédit).

A noter qu’aux termes d’une décision du 29 juin 2023, les établissements de crédit peuvent déroger à ces critères pour une marge de flexibilité allant jusqu’à 20 % de la production de nouveaux crédits immobiliers octroyés chaque trimestre civil.

L’application des règles en matière d’octroi de crédit immobilier a été contrôlée par la DGCCRF. Les résultats de l’enquête montrent que les règles relatives à l’octroi du crédit sont globalement bien respectées. Tel est également le cas en ce qui concerne la remise des fiches d’information standardisées (FSI) avant la signature de l’offre de crédit. L’enquête confirme que les FSA étaient présentes dans les dossiers contrôlés.

En revanche, la DGCCRF a pu identifier la présence de clauses abusives dans certains des contrats de crédit contrôlés, notamment en ce qui concerne la possibilité pour le prêteur de prononcer la déchéance du terme. En effet, la Commission des clauses abusives avait recommandé que soient éliminées des contrats de prêt immobilier les clauses ayant pour objet ou pour effet « de laisser croire que le prêteur peut prononcer la déchéance du terme en cas d’inobservation d’une quelconque obligation ou en cas de déclaration fausse ou inexacte relative à une demande de renseignements non essentiels à la conclusion du contrat, et sans que le consommateur puisse recourir au juge pour contester le bien-fondé de cette déchéance » (Recommandation no  2004-3 émise par la Commission des clauses abusives relative aux contrats de prêt immobilier). De telles clauses continuent cependant d’être insérées dans les contrats de crédit, comme le démontre l’enquête de la DGCCRF.

Enfin, la DGCCRF s’est employée à contrôler les renégociations de crédit, qui semblent correctement formalisées par les établissements de crédit contrôlés, lesquels émettent systématiquement un avenant intégrant l’échéancier, le Taux Effectif Global (TEG), ainsi que le coût du crédit. De la même manière, en cas de rachat du crédit, la DGCCRF a constaté que la nouvelle offre de prêt émise était conforme aux dispositions du droit de la consommation. Toutefois, l’enquête relève que les établissements de crédit ne sont pas proactifs en la matière et se contentent de répondre à la demande des clients.

A noter enfin que la DGCCRF a constaté que certains emprunteurs étaient tenus de domicilier leurs revenus dans leur établissement en contrepartie de la renégociation de leur prêt. Toutefois, une telle obligation ne doit être considérée comme abusive que lorsqu’elle ne comporte pas de contrepartie au profit de l’emprunteur (Recommandation no  2004-3 émise par la Commission des clauses abusives relative aux contrats de prêt immobilier).

Résultats de l’enquête en matière d’assurance emprunteur

L’enquête de la DGCCRF démontre que les emprunteurs sont, de manière générale, correctement informés de la possibilité de changer d’assurance emprunteur. En la matière, une bonne pratique peut consister, selon la DGCCRF et comme le faisait l’un des établissements de crédit contrôlés, à remettre au client un document complémentaire d’information portant sur la marche à suivre pour souscrire une assurance emprunteur alternative, lequel distingue trois situations : souscription d’assurance lors de la souscription du prêt, souscription d’assurance au cours de la première année d’exécution du contrat, substitution d’assurance après la première année d’exécution du prêt. La DGCCRF appelle toutefois les établissements de crédit à la vigilance en ce qui concerne l’accès des emprunteurs à la liste de documents nécessaire au changement d’assurance emprunteur : celle-ci doit être facilement accessible, exhaustive et ne doit pas avoir pour effet de complexifier l’opération.

Selon la DGCCRF, les établissements de crédit sont cependant trop nombreux à ne pas respecter le délai légal de 10 jours ouvrés pour répondre aux demandes de changement d’assurance emprunteur. De la même manière, la DGCCRF a constaté un délai trop long entre la lettre d’acceptation de la demande de substitution d’assurance et la lettre comportant l’avenant au crédit immobilier. En effet, comme le préconise l’Autorité de contrôle prudentiel et de résolution (ACPR), ces deux documents devraient être édités concomitamment afin de prévenir le risque de paiement par l’emprunteur de deux cotisations d’assurance.

L’enquête de la DGCCRF permet donc aux établissements de crédit d’identifier les pistes d’amélioration, notamment en matière d’assurance emprunteur, qui permettront, en cas de contrôle, d’éviter la réception d’un avertissement ou d’une injonction de mise en conformité.

Le devoir de vigilance sur le point d'être harmonisé au niveau européen ?

Le devoir de vigilance « à la française » pourrait évoluer prochainement et devenir une obligation européenne. Le 1^erjuin 2023, le Parlement européen a adopté sa position sur la proposition de directive relative au devoir de vigilance des entreprises en matière de durabilité dite « CSDD » (Corporate Sustainability Due Diligence) publiée le 23 février 2022 (cf https://www.bclplaw.com/fr/events-insights-news/paris-litigation-gazette-issue-2-june-2023.html).

Le 28 juin 2023, l’Assemblée nationale a rendu public un rapport d’information déposé par la commission des affaires européennes sur le devoir de vigilance des entreprises en matière de durabilité (https://www.assemblee-nationale.fr/dyn/16/rapports/due/l16b1449_rapport-information.pdf?v=1689838451).

Selon le rapport, la proposition de directive CSDD complète le puzzle règlementaire européen et généralise le principe d’un devoir de vigilance à l’échelle européenne.

Le rapport se réfère aux deux ordonnances de référé rendues le 28 février 2023 par le Tribunal judiciaire de Paris et relève que le tribunal souligne l’absence d’organisme de contrôle indépendant (lacune que la proposition de directive CSDD prévoit de combler) mais aussi l’absence de référence à des principes directeurs ou à des normes internationales préétablies (la proposition de directive CSDD listera, dans ses annexes, de nombreuses conventions internationales afin d’assurer une meilleure effectivité), en outre, le juge des référés regrette l’absence de décret d’application de la loi du 27 mars 2017.

Sont ensuite identifiés les principaux sujets en cours de négociation dans la phase des trilogues entre les représentants des institutions européennes :

• Les seuils de chiffre d'affaires et d'employés pour les entreprises concernées, et la question de savoir si, comme le Conseil l'a proposé, il y aura ou non une restriction initiale pour les trois premières années d'application de la directive, qui ne s'appliquera qu'aux entreprises ayant plus de 1 000 employés et plus de 300 millions d'euros de chiffre d'affaires net global.

La Commission a proposé que la directive s'applique aux entreprises européennes employant plus de 500 personnes et réalisant un chiffre d'affaires net global supérieur à 150 millions d'euros ; aux entreprises européennes employant plus de 250 personnes et réalisant un chiffre d'affaires net global supérieur à 40 millions d'euros, à condition que 50 % du chiffre d'affaires soit réalisé dans des secteurs à fort impact, tels que le textile, l'agriculture, la sylviculture et l'extraction de minéraux ; et aux entreprises de pays tiers exerçant des activités dans l’Europe et réalisant un chiffre d'affaires correspondant aux seuils susmentionnés. Sur la base de ces seuils, on s'attend à ce que la directive ait un impact direct sur environ 13 000 entreprises européennes et 4 000 entreprises de pays tiers ;

• L'applicabilité de la directive aux acteurs financiers et la question de savoir si elle doit être laissée à la discrétion des États membres ou si la directive s'appliquera à toutes les sociétés de services financiers qui atteignent les seuils de chiffre d'affaires et d'employés ;
• L'étendue des obligations des administrateurs en matière de diligence raisonnable et la question de savoir si les responsabilités en matière de diligence raisonnable doivent s'étendre à une "relation d'affaires" ou à un "partenaire commercial", ainsi que la définition de ces termes ;
• La responsabilité en matière de dommages civils et la question de savoir si elle doit dépendre de la preuve d'une faute sous la forme d'une intention ou d'une négligence ;
• L'étendue des sanctions : selon les propositions de la Commission, les États membres désigneraient des autorités de contrôle qui détermineraient les sanctions d'application. Le Parlement propose que le plafond des sanctions ne soit pas inférieur à 5 % du chiffre d'affaires global de l'entreprise concernée au cours de l'exercice précédant la décision d'imposer une telle sanction ;
• L'interaction de la directive avec la législation existante adoptée dans un certain nombre d'États membres, en particulier la France et l’Allemagne.

Le rapport émet enfin les recommandations suivantes :

• Soutenir la position ambitieuse du Parlement européen consistant à étendre le champ d’application, d’une part, aux entreprises à partir de 250 salariés et, d’autre part, aux sociétés mères ultimes ;
• Veiller à la mise à jour régulière de l’annexe de la future directive, afin de pouvoir y intégrer de nouvelles conventions et garder une définition suffisamment ouverte des droits à protéger ;
• Plaider, sur le modèle de la proposition du Parlement européen, pour des conditions d’engagement de la responsabilité civile des entreprises suffisamment larges ;
• Soutenir la position du Parlement européen consistant à appliquer les obligations de vigilance, au-delà des seules chaînes d’approvisionnement, à toutes les « entités impliquées » dans les activités de vente, de distribution ou de fourniture des produits et services ;
• Réintroduire les dispositions relatives à la responsabilité des administrateurs sur la mise en place et la supervision du devoir de vigilance dans le texte final de la directive « CSDD» ;
• Veiller au strict encadrement des conditions d’exonération de responsabilité civile des entreprises, afin d’éviter tout phénomène d’« audit de complaisance ».

Les négociations du trilogue ont débuté en juin 2023 sous la présidence suédoise du Conseil et se poursuivent depuis juillet 2023 sous la présidence espagnole du Conseil. Les trois institutions de l'Union Européenne souhaitent se mettre d'accord sur le texte final au plus tard à la fin de l'année 2023.

La preuve issue de l’intervention d’un « client-mystère » est licite dès lors que le salarié a été informé de ce dispositif

Cass. Soc., 6 septembre 2023, n°22-13.783

Dans cette affaire soumise à la Cour de cassation, un salarié employé en tant qu’opérateur de caisse dans une chaine de restaurants a été licencié pour faute après que son employeur a constaté au moyen de l’intervention d’un « client-mystère » que le salarié ne respectait pas les procédures d’encaissement.

La société avait mandaté un prestataire pour effectuer des contrôles dans ses restaurants en tant que client-mystère. A l’issue d’une intervention au cours de laquelle le salarié était en caisse, le client-mystère avait indiqué ne pas avoir reçu de ticket de caisse ce qui était contraire aux procédures d’encaissement de la société et avait induit une erreur de caisse.

Contestant le bien-fondé de son licenciement, le salarié reprochait à son employeur d’avoir eu recours à un stratagème pour le piéger et de ne pas l’avoir informé au préalable de la mise en œuvre de cette technique d’évaluation, invoquant l’article L. 1222-3 du code du travail qui dispose que « Le salarié est expressément informé, préalablement à leur mise en œuvre, des méthodes et techniques d'évaluation professionnelles mises en œuvre à son égard. Les résultats obtenus sont confidentiels. Les méthodes et techniques d'évaluation des salariés doivent être pertinentes au regard de la finalité poursuivie. ».

Après avoir constaté que la matérialité des faits reprochés était établie grâce à la fiche d’intervention du client-mystère, la Cour d’appel a rejeté les arguments du salarié, retenant qu’il avait été dûment informé au préalable du dispositif de client-mystère, l’employeur produisant :

• D’une part, un compte-rendu de réunion du comité d’entreprise (désormais, comité social et économique) faisant état de la visite de clients-mystères avec mention du nombre de leurs passages ; et
• D’autre part, une note d’information à destination des salariés portant la mention « pour affichage » et expliquant son fonctionnement et son objectif.

La Cour de cassation a confirmé l’arrêt de la Cour d’appel. Le salarié ayant été informé au préalable de l’existence du dispositif, la Cour de cassation a considéré qu’il était licite de sorte que l’employeur était fondé à utiliser les résultats de l’intervention du client-mystère pour sanctionner le salarié :

« Ayant ainsi constaté que le salarié avait été, conformément aux dispositions de l’article L. 1222-3 du code du travail, expressément informé, préalablement à sa mise en œuvre, de cette méthode d’évaluation professionnelle mise en œuvre à son égard par l’employeur, ce dont il résultait que ce dernier pouvait en utiliser les résultats au soutien d’une procédure disciplinaire, la cour d’appel a, par ces seuls motifs, légalement justifié sa décision. »

Si cette méthode d’évaluation est souvent utilisée dans certains secteurs (tels que le retail), les employeurs devront s’assurer de procéder à l’information préalable requise.

Il est également à rappeler que pour être licite, le comité social et économique doit en principe être préalablement consulté sur la mise en œuvre des dispositifs de contrôle de l’activité des salariés.

Congés payés : mise en conformité du droit français avec le droit européen

Cass. Soc., 13 septembre 2023, n° 22-17.340 à 22-17.342, n°22-17.638, et n°22-10.529 et 22-11.106

Aux termes de plusieurs arrêts en date du 13 septembre 2023, invoquant l’article 31 §2 de la Charte des droits fondamentaux de l’UE sur le droit au repos, mais également l’article L. 1132-1 du code du travail sur l’interdiction des discriminations, la Cour de cassation a écarté le droit français au profit du droit européen en matière de congés payés et juge désormais que le salarié en arrêt maladie continue d’acquérir des congés payés comme s’il avait travaillé pendant sa période d’arrêt maladie.

Les salariés en arrêt de travail pour maladie non professionnelle continuent d’acquérir des droits à congés payés durant leur arrêt de travail

La 1^èredécision concernait des salariés soutenant avoir acquis des congés payés pendant les périodes de suspension de leur contrat de travail en raison d’un arrêt pour maladie non professionnelle.

Selon le code du travail, ces périodes ne sont pas assimilées à du travail effectif pour le calcul du droit à congés payés, de sorte que le salarié n’acquiert pas de congés payés durant ces périodes.

A l’inverse, il résulte de la jurisprudence de la Cour de Justice de l’Union Européenne (CJUE) que, au regard de l’acquisition des droits à congés, le droit européen n’opère aucune distinction entre les salariés absents pour maladie et ceux qui travaillent, et que le droit à congés payés ne peut être subordonné à l’obligation d’avoir effectivement travaillé.

Suivant la CJUE, la Cour de cassation a décidé d’écarter les dispositions du code du travail, non conformes au droit européen, et de juger que les salariés en arrêt pour maladie non professionnelle acquièrent des droits à congés payés pendant la période de suspension de leur contrat de travail.

En cas d’accident du travail ou maladie professionnelle, l’acquisition des congés payés n’est plus limitée à la première année d’arrêt de travail

Dans cette 2^eaffaire, un salarié victime d’un accident du travail avait fait l’objet d’un arrêt de travail d’environ 1 an et demi et faisait grief à la Cour d’appel d’avoir limité à la première année d’arrêt de travail la période d’acquisition des congés payés comme le prévoient les dispositions du code du travail.

Comme dans la 1^èreaffaire, la Cour de cassation constate que cette limite d’1 an est en contradiction avec la position de la CJUE qui considère que le droit européen n’opère aucune distinction entre les salariés absents pour maladie et ceux qui travaillent.

Par conséquent, la Cour de cassation juge que l’acquisition des congés payés durant un arrêt maladie pour accident du travail ou maladie professionnelle ne peut être limitée à 1 an. Dès lors, le salarié a droit à des congés payés au titre de l’ensemble de la période de suspension, fût-elle supérieure à 1 an.

Outre la nécessité de paramétrer les logiciels de paie pour que, désormais, l’acquisition de congés payés ne soit pas stoppée lorsqu’un salarié est placé en arrêt maladie, ces décisions sont susceptibles de générer des demandes de rappel de salaire au titre des périodes d’arrêt maladie passées.

Si l’enjeu est faible pour les arrêts maladie de courte durée, il en sera autrement des salariés absents pour maladie depuis plusieurs années. La prescription en matière de salaire limiterait a priori les demandes aux 3 dernières années, sous réserve toutefois que le point de départ de la prescription ait commencé à courir. En effet, la Cour de cassation, dans un dernier arrêt du 13 septembre 2023 (n°22-10.529 et 22-11.106), juge que ce point de départ ne peut commercer à courir que si l’employeur a mis le salarié en mesure de pouvoir exercer effectivement son droit à congés payés.

Délégations de pouvoirs :  à quelles conditions sont-elles vraiment utiles en matière de responsabilité pénale ?

La Chambre criminelle de la Cour de Cassation dans son arrêt du 23 mai 2023 (n°22-83.516) rappelle que pour engager la responsabilité pénale de la personne morale, au sens de l’article 121-2 du Code pénal, un préposé doit bénéficier d’une délégation effective de pouvoir, de droit ou de fait. 

En l’espèce, une société a réalisé des travaux de rénovation dans les locaux de son agence, causant des irritations aux yeux, dues aux poussières, à l’un de ses salariés. A la suite d’une enquête de l’inspection du travail puis d’une enquête préliminaire, la société a été condamnée en appel pour des infractions à la réglementation sur l’hygiène et la sécurité des travailleurs.

La Cour d’appel a considéré, en s’appuyant sur le procès-verbal de l’inspection du travail, que le salarié en « contact permanent » pour l’organisation des travaux avec la société qui les avait réalisés, était en qualité de préposé de la personne morale poursuivie, un organe de cette dernière au sens de l’article 121-2 du Code pénal.

La question qui était posée à la Haute cour était de savoir si ce simple salarié pouvait être considéré comme un organe ou un représentant de la personne morale et valablement engager la responsabilité pénale de la société.

La Chambre criminelle profite de cet arrêt pour rappeler sa jurisprudence sur la question :

• la responsabilité pénale de la personne morale ne peut être engagée que par un organe ou un représentant de celle-ci ;
• le représentant peut être un simple préposé s’il bénéficie d’une délégation de pouvoirs ;
• la délégation de pouvoirs doit être effective c’est-à-dire que le préposé doit être pourvu de la compétence, de l’autorité et des moyens nécessaires.

Ainsi, un préposé peut avoir la qualité de représentant de la personne morale au sens de l’article 121-2 du Code pénal, à la condition de disposer d’une délégation effective de pouvoirs, de droit ou de fait.

Autrement dit, une faute commise par un simple préposé, ne disposant pas d’une délégation de pouvoirs et de responsabilités, ne peut pas engager la responsabilité pénale de la personne morale. En conséquence, la Cour de cassation casse l’arrêt d’appel.

Si la position de la Chambre criminelle exprimée dans son arrêt du 23 mai 2023 n’a rien de nouveau, cette décision constitue toutefois une bonne opportunité pour  rappeler les conditions de mise en place de délégations de pouvoirs efficaces.   

Tout d’abord, il convient de rappeler que la délégation de pouvoirs est un mécanisme juridique par lequel le chef d’entreprise (le déléguant) confie à l’un de ses subordonnés (le salarié délégataire), une partie de ses pouvoirs et l’éventuelle responsabilité pénale qui en découle. Autrement dit, le délégataire va donc assumer les obligations et responsabilités du délégant dans le périmètre délégué.

Ainsi, la délégation de pouvoirs a pour but de clarifier l’organisation de l’entreprise lorsque son fonctionnement et/ou sa taille (sites multiples, diversités des missions, large effectif) ne permettent pas au chef d’entreprise de contrôler de manière effective le respect de la loi et de la réglementation au sein de celle-ci. La délégation de pouvoirs apparaît dès lors comme un outil de saine gestion de l’entreprise et notamment vis-à-vis de la justice et des administrations. La Chambre criminelle a d’ailleurs déjà jugé que l’absence de délégation de pouvoirs au sein d’une structure dans laquelle le chef d’entreprise n’est plus en mesure de veiller lui-même au respect des obligations peut être considérée comme une faute susceptible d’engager sa responsabilité pénale (Cass. Crim., 4 janv. 1986, n° 84-94.274).

En second lieu, il convient d’insister – comme le fait la Chambre criminelle dans son arrêt du 23 mai 2023 – sur le fait que pour être valable la délégation de pouvoirs doit être consentie à un salarié de l’entreprise doté de l’autorité, des moyens et de la compétence nécessaires pour assurer les missions qui lui sont confiées. S’agissant en particulier de l’autorité, il est à noter que le délégant ne doit en aucun cas s’immiscer dans les décisions prises par le délégataire. A défaut, c’est le délégant lui-même qui sera considéré comme étant l’organe ou le représentant de la société.

En pratique, la délégation de pouvoirs n’est soumise, par la loi ou la jurisprudence, à aucune condition de forme pour sa validité et sa preuve peut être rapportée par tous moyens. Mais un écrit, distinct de celui du contrat de travail, apparaît toutefois préférable.

Concrètement, la délégation doit porter sur des missions précises et limitées, et ne peut donc pas être générale. En effet, le chef d’entreprise ne peut pas transférer l’ensemble de ses prérogatives, ni ses fonctions légales de direction. A défaut, la délégation de pouvoirs ne produira pas d’effet exonératoire pour le délégant (Cass. crim., 13 oct. 2009, n° 09-80.857).

La délégation de pouvoirs doit être donc précise et retranscrire la réalité des fonctions déléguées au  salarié délégataire. Pour ce faire, elle doit décrire en détails les fonctions, le périmètre d’activité, la marge de manœuvre du salarié en matière de prise de décision, ses rapports avec sa hiérarchie et présenter les autres personnes détenant une délégation de pouvoirs sur des périmètre proches, ceci afin d’éviter toute immixtion et limiter les risques que la délégation de pouvoirs soit remise en cause car deux préposés considéreraient disposer d’une délégation de pouvoirs identique.

La délégation de pouvoirs peut également utilement prévoir les situations dans lesquelles l’efficacité de la délégation pourrait être mise à mal (absence du délégataire par exemple).

Enfin, afin de s’assurer de leur effectivité, il convient de mettre en place un suivi de ces délégations de pouvoirs et garantir leur mise à jour. Concrètement, il s’agit de vérifier de manière régulière auprès du salarié délégataire qu’il connait les missions qui lui sont déléguées et s’il estime disposer de l’autorité, des moyens et du pouvoir nécessaires. Il pourra s’avérer pertinent de documenter ces points réguliers avec le salarié délégataire, afin de pouvoir démontrer, le cas échéant, la validité de la délégation. Outre ces points réguliers, il est important de reconsidérer le schéma de délégations en place en cas de restructuration de l’entreprise ou dès qu’un changement de management intervient.

Aussi, si l’arrêt de la Chambre criminelle du 23 mai 2023 n’a rien de notable, il constitue une bonne piqure de rappel pour les professionnels en les invitant à s’interroger a minima sur la pertinence et l’efficacité des schémas de délégations de pouvoirs éventuellement mis en place.

Alertes internes et RGPD : quelles sont les bonnes pratiques ?

Dans le prolongement de l’adoption du nouveau dispositif d’alerte interne issu de la loi Waserman du 21 mars 2022 et de son décret d’application du 3 octobre de la même année, la CNIL (Commission nationale de l'informatique et des libertés) a mis à jour le 6 juillet 2023 son référentiel « relatif aux traitement de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alerte », dont la précédente version datait du 18 juillet 2019.

La protection des données personnelle est en effet un sujet important s’agissant des enquêtes internes dans la mesure où les dispositifs d’alerte impliquent quasi systématiquement le recueil de données à caractère personnel.

Quels sont les points clés de ce référentiel mis à jour ?

Un référentiel non contraignant

En préambule, la CNIL rappelle expressément que ce référentiel n’a pas de valeur contraignante, les entreprises pouvant s’en écarter. Cependant, elle souligne immédiatement ensuite qu’il appartiendra à celles qui choisiraient de ne pas s’y conformer de justifier et de documenter que les dispositions du Règlement général sur la protection des données (RGPD) sont bien respectées. A l’inverse, les entreprises qui respecteront ce référentiel bénéficieront d’une présomption de conformité des traitements de données qu’elles sont susceptibles de réaliser dans le cadre de la réception et du traitement des alertes professionnelles.

Un champ d’application large

Bien que mis à jour pour tenir compte de l’entrée en vigueur de la loi Waserman, le référentiel CNIL ne limite pas son champ d’application aux seules alertes internes prévues par les article 6 et 17 de la loi Sapin II. En effet, le référentiel couvre l’ensemble des « dispositifs d’alertes professionnelles » (DAP) permettant de « recevoir, traiter et conserver tout signalement effectué de bonne foi et qui révèle ou signale une violation de règles juridiques (qu’elles soient françaises, européennes, internationales ou étrangères) ou éthiques ».

Une vigilance accrue s’agissant des moyens d’enquête en cas d’alerte anonyme

Dans la précédente version de son référentiel, la CNIL recommandait que l’auteur de l’alerte ne soit pas anonyme. Or, la loi Waserman  a justement consacré la possibilité pour l’auteur de l’alerte de conserver son anonymat. En pratique cela signifie qu’une enquête pourra être menée et des sanctions appliquées tout en conservant l’anonymat de l’auteur de l’alerte.

Ajustant sa position, la CNIL recommande vivement de ne pas avoir recours à des techniques permettant d’identifier l’auteur de l’alerte comme par exemple les cookies, les pisteurs sur le terminal de l’utilisateur, la collecte et le recoupement d’informations permettant d’identifier les utilisateurs telles que les adresses IP, etc.

Le dispositif d’alerte doit par ailleurs « permettre une poursuite des échanges avec l’auteur de l’alerte tout en lui conservant le bénéfice de l’anonymat ».

La conservation des données à caractère personnel strictement limitée

Conformément au RGPD, les données à caractère personnel ne doivent être conservées que le temps strictement nécessaire à la réalisation des finalités poursuivies.

Ainsi, en matière d’alertes internes, ces données peuvent être conservées, selon les cas, (i) jusqu’à ce qu’une décision définitive soit prise sur les suites à donner à l’alerte ou (ii) jusqu’au terme de la procédure ou de la prescription des recours lorsqu’une procédure disciplinaire ou contentieuse est engagée consécutivement à l’enquête interne.

Le référentiel de la CNIL prévoit toutefois que les données anonymisées pourront, quant à elles, être conservées au-delà de la durée nécessaire pour leur traitement. Le responsable du traitement peut donc conserver sans limitation de durée les données anonymisées, mais doit, dans ce cas, garantir l’anonymat des données de façon pérenne.

Des prérequis contractuels en cas d’externalisation de canaux de réception ou de traitement de l’alerte

Les entreprises peuvent choisir de déléguer à un tiers une partie des opérations liées à la réception ou au traitement des alertes, notamment à un cabinet d’avocat, une plateforme spécialisée ou à un fournisseur de services de messagerie électronique.

Ces prestataires sont alors susceptibles de recevoir la qualification de « responsable de traitement », de « sous-traitant » ou de « responsable conjoint de traitement » au sens du RGPD.

Dans une telle hypothèse, le référentiel préconise en premier lieu de procéder à une « analyse de faisabilité juridique », c’est-à-dire de s’assurer qu’en pratique, les prestataires disposent des ressources suffisantes pour assurer la protection des données.

Une fois cette analyse effectuée, le référentiel CNIL recommande de prévoir contractuellement et de manière précise les différentes obligations des parties en matière de protection des données à caractère personnel.

Sans être révolutionnaire, la mise à jour de ce référentiel constitue une bonne incitation pour les entreprises à vérifier que leurs procédures internes intègrent bien cette problématique (soit via une section sur les données personnelles dans la politique d’alerte interne soit via une section sur le dispositif d’alerte interne dans leur politique relative à la protection des données personnelles).