Plus qu’un simple exercice automatique, la rédaction des mentions légales et des politiques de protection des données personnelles implique un travail d’analyse, de clarification et de simplification.
En janvier 2019, la CNIL a condamné Google sur la base du RGPD à une amende de 50 millions d’euros en raison de la difficulté d’accès et la complexité de sa politique de protection des données.
Copier le travail des concurrents est par ailleurs risqué : la Cour d’Appel de Rennes a récemment condamné à des dommages et intérêts une société ayant copié les mentions légales d’un de ses concurrents.

Les sites internet doivent comporter, selon leur nature et l’activité de leur éditeur, un certain nombre d’informations destinées aux visiteurs : mentions légales, information des personnes relative à la collecte et au traitement des données personnelles, informations relatives aux cookies, conditions générales de vente ou de service…

L’exercice peut paraître simple et la tentation peut exister, pour l’entreprise créant son site ou pour son développeur, de recopier des mentions « trouvées » sur un autre site, similaire ou non à celui qu’on crée.

Un arrêt récent de la Cour d’Appel de Rennes [1] illustre les risques de cette pratique.

Dans cette affaire, une société spécialisée dans la conception, le développement et l’hébergement de sites internet, essentiellement pour les campings, constate que figurent sur trois sites internet de campings (sites qu’elle n’a pas conçus), des mentions légales qu’elle a rédigées et la mention selon laquelle elle est hébergeur de ces sites.

Cette société assigne donc le concurrent ayant développé ces sites ainsi que les campings concernés.

Saisi du litige en première instance, le Tribunal de Commerce de Nantes considère notamment que « les mentions légales litigieuses ne relevaient d’aucun travail intellectuel » et déboute la société plaignante.

Une faute dommageable.

En appel, les magistrats de Rennes ne partagent pas cet avis et considèrent que « des mentions légales, de quelque nature qu’elles soient, sont en générales complexes à comprendre pour les non juristes et nécessitent pour être comprises de tous, un léger travail de simplification linguistique et de mise en exergue des éléments les plus significatifs, en fonction du type d’activité présenté par le site ».

Le copier-coller a donc permis au défendeur, concurrent du développeur initial, de « bénéficier sans bourse délier du travail réalisé » par le plaignant.

La Cour d’Appel sanctionne doublement ce copier-coller :
 pour la copie des mentions légales et,
 spécifiquement pour le copier-coller du numéro de Registre du Commerce et des Sociétés (RCS) du développeur initial. La Cour considère en effet qu’en affichant le numéro de RCS de son concurrent, le défendeur ne pouvait plus être identifié, notamment en cas d’infraction.

Ces deux fautes distinctes entraînent donc une condamnation à 2.500 et 5.000 € de dommages et intérêts.

Une contrefaçon de droit d’auteur ?

On notera que la question de la contrefaçon de droit d’auteur n’est pas abordée dans cette décision, même si les magistrats rennais évoquent l’exercice intellectuel nécessaire pour rédiger ces mentions légales (« léger travail de simplification linguistique et de mise en exergue des éléments les plus significatifs, en fonction du type d’activité »).

L’éventuelle contrefaçon de droit d’auteur avait auparavant été traitée dans un contentieux entre le site Vente Privée [2] et une société ayant une activité similaire, cette dernière ayant purement et simplement recopié les conditions générales de vente de Vente Privée [3]

Dans cette affaire, la Cour d’Appel de Paris, après avoir examiné dans le détail la forme de ce texte, avait estimé qu’il ne présente pas « une singularité de nature à le distinguer d’emblée des autres textes juridiques ou notices techniques rencontrés sur le marché des produits de consommation courante ».

La Cour avait donc refusé la protection par le droit d’auteur dans la mesure où ces conditions générales de vente « sont le produit d’un travail intellectuel qui dénote une compétence technique et un savoir-faire mais qui ne révèle en rien l’effort créatif qu’aurait accompli son auteur pour le marquer du sceau de sa personnalité ».

La Cour d’Appel de Paris avait néanmoins sanctionné le concurrent sur le fondement du parasitisme économique.

Que doivent contenir ces différentes mentions ?

Qu’ils proposent des ventes en ligne ou non, les sites internet édités à titre professionnel doivent obligatoirement comporter un certain nombre de mentions, variables selon le statut de l’éditeur : entrepreneur individuel, société, activité commerciale ou artisanale, profession règlementée. Le contenu de ces mentions est défini par la loi de 2004 pour la confiance dans l’économie numérique (LCEN) [4].

Par ailleurs, les mentions légales vont souvent de pair avec les politiques de confidentialité et de protection des données personnelles. A cet égard, la formulation et le contenu de l’information destinée aux personnes concernées sont prescrits par les articles 12 à 14 du Règlement 2016/679 relatif à la protection des données personnelles (RGPD).

En particulier, le RGPD définit de manière détaillée le contenu de cette information, notamment l’identité du responsable de traitement, les finalités et le fondement juridique de ce traitement, les destinataires des données et les éventuels transferts, les durées de conservation, les droits de personnes…

Comme pour le consentement, le RGPD prescrit une obligation de transparence, de concision et de clarté de l’information destinée aux personnes en ce qui concerne le traitement de leurs données personnelles. Ces obligations sont explicitées dans des lignes directrices [5].

Quelles sanctions ?

On l’a vu, la faute consistant à recopier les mentions légales ou les conditions générales de vente d’un tiers est sanctionnable sur le fondement de la responsabilité civile.

Pour les sites internet, les sanctions en cas de manquements aux obligations de la LCEN, vont jusqu’à un an d’emprisonnement, 75.000 euros d’amende pour les personnes physiques et 375.000 euros pour les personnes morales.

Concernant l’obligation d’information des personnes quant au traitement des données à caractère personnel, le RGPD prévoit une amende administrative pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent [6].

L’amende de 50 millions d’euros infligée à GOOGLE en janvier 2019 par la Commission Nationale de l’Informatique et Libertés (CNIL) a précisément sanctionné un manque de clarté de l’information destinée aux personnes quant au traitement de leurs données personnelles et des conditions du consentement desdites personnes.

Ont notamment été reprochés à Google :
 l’éparpillement de cette information dans plusieurs documents au moment de la création du compte puis par des liens cliquables dans ces documents,
 la nécessité de multiplier les clics et de combiner différentes ressources documentaires,
 le choix des titres qui ne permet pas de comprendre que l’utilisateur accède aux durées de conservations des données.

***

Au global, la rédaction des mentions légales et des politiques de protection des données personnelles n’est donc pas un exercice simple, réplicable d’une organisation à l’autre. Elle implique un travail d’analyse, de clarification et de simplification afin, en particulier, de répondre aux exigences accrues du RGPD.

Dans tous les cas, ce travail est aussi une opportunité pour réexaminer les pratiques de l’entreprise en matière de collecte et d’exploitation de données à caractère personnel.

Franck DELAMER Conseil en Propriété Industrielle delamer@regimbeau.eu www.regimbeau.eu