FOCUS – Création d’un site web : bonnes pratiques

Fin 2016, 204 000 sites de e-commerce actifs étaient recensés en France par la FEVAD. Outre les sites marchands, une multitude de sites internet, professionnels ou non, sont créés tous les jours et dans tous les domaines. Or, les sites internet, marchands ou non, sont soumis à des règles légales telles que celles régissant le commerce électronique, les données à caractère personnel et la propriété intellectuelle. Autant de règles que l’éditeur d’un site internet ne doit pas ignorer sous peine de sanctions.

I. LA REGLEMENTATION SUR LE COMMERCE ELECTRONIQUE

1. Insertion de mentions légales

L’éditeur d’un site internet est tenu de délivrer un certain nombre d’informations à ses utilisateurs dont l’accès doit être facile, direct et permanent. Il est pour cela recommandé de faire figurer sur son site un onglet « mentions légales » contenant les informations suivantes :

1. 1. Informations sur l’identité de l’éditeur

L’article 19 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique dite « LCEN », impose au professionnel de renseigner son identité en indiquant :

• sa raison sociale ;
• le montant de son capital social, sa forme sociale et son numéro de RCS ;
• son numéro de TVA intracommunautaire.

L’article 6 de la LCEN impose par ailleurs à tout exploitant de sites web, professionnel ou non, de renseigner :

• sa raison sociale, son siège social et son numéro de téléphone ;
• le montant de son capital social et son numéro de RCS ;
• le nom du directeur ou codirecteur de la publication du site et le nom du responsable de la rédaction.

Le non-respect de ces dispositions est passible d’un an d’emprisonnement et de 75 000 euros d’amende. En ce sens, dans un jugement rendu en 2014, le Tribunal de Grande Instance de Paris a déclaré les éditeurs du site www.notetonentreprise.com coupables d’avoir omis de mettre à disposition du public les données d’identification de l’éditeur, du directeur de la publication et de l’hébergeur, privant ainsi une société de son droit de réponse à la critique d’un internaute. A ce titre, ils ont été condamnés à 6 000 € d’amende et 1 500 € au titre des frais de justice ¹.

1. 2. Informations sur les données personnelles

Si l’exploitant du site web collecte des données à caractère personnel sur ses clients, il doit indiquer, dans les mentions légales, le numéro de la déclaration faite auprès de la Commission nationale de l’informatique et des libertés (CNIL).

L’éditeur du site web est également tenu d’informer les utilisateurs sur :

• l’identité et les coordonnées du responsable de traitement ainsi que l’identité de son représentant ;
• la nature des données collectées ;
• la manière dont les données sont collectées et hébergées ;
• la finalité du traitement des données ;
• la durée de conservation des données ;
• le ou les destinataire(s) des données ;
• leur droit d’accès, de modification et de suppression des données ainsi qu’une adresse e-mail pour les exercer ;
• l’existence ou non de transferts hors UE.

1. 3. Informations sur le droit de la propriété intellectuelle

Il est également recommandé de rappeler aux utilisateurs que les éléments composant le site web bénéficient de la protection par un droit de propriété intellectuelle et que toute copie, reproduction et/ou utilisation de ce contenu sans l’accord de leur auteur constitue une atteinte aux droits de l’auteur du site web, passible de sanctions.

2. Obligation d’information précontractuelle dans le cadre d’un contrat de vente ou de fourniture de services fourni par internet

Préalablement à la conclusion d’un contrat de vente ou de fourniture de services, le professionnel est tenu de communiquer au consommateur, de manière lisible, compréhensible et en langue française, un certain nombre d’informations listées à l’article L221-5 du code de la consommation, parmi lesquelles :

1. 1. Caractéristiques essentielles

Le professionnel a l’obligation d’informer le consommateur sur les caractéristiques essentielles du produit et/ou du service en mettant, par exemple, à sa disposition une description du produit et/ou du service.

1. 2. Prix du produit et/ou du service

En vertu de l’article 19 de la LCEN, le professionnel est tenu, « même en l’absence d’offre de contrat, dès lors qu’un prix est mentionné, d’indiquer celui-ci de manière claire et non ambiguë, et notamment si les taxes et les frais de livraison sont inclus ».

Cette information doit avoir lieu avant que le consommateur ne soit lié par un contrat de vente et/ou de fourniture de services avec le professionnel et de manière lisible et compréhensible.

Avant toute commande, le professionnel est également tenu d’informer le consommateur sur les moyens de paiement acceptés.

1. 3. Conditions contractuelles

Les conditions contractuelles ou conditions générales de vente ou de service doivent être accessibles (pas de fenêtre pop-up), compréhensibles et imprimables.

Il est pour cela recommandé d’insérer un lien hypertexte sur le site et de permettre l’enregistrement des conditions sur un support durable (format PDF ou équivalent).

Afin de faciliter la compréhension des conditions contractuelles, il est recommandé de mettre en valeur les dispositions essentielles par :

• La mise en place d’un sommaire des conditions contractuelles ;
• La mise en avant des informations essentielles ;
• L’affichage des informations essentielles directement dans l’offre ou dans le récapitulatif de la commande ;
• La possibilité d’imposer le respect d’une taille minimale de police d’affichage.

Enfin, il est vivement recommandé de mentionner une date d’effet, un numéro de version et/ou une empreinte d’horodatage pour connaître la version des conditions générales de vente et/ou de service qui sera applicable à un consommateur donné en cas de litige.

1. 4. Droit de rétractation

Selon l’article L221-5 du code de la consommation, le professionnel est tenu de d’informer le consommateur sur l’existence d’un droit de rétractation et le cas échéant, des conditions, du délai et des modalités d’exercice de ce droit en amont de la conclusion du contrat.

3. Conclusion du contrat

1. 1. Acceptation des conditions contractuelles

La technique consistant à pré-cocher une case d’acceptation des conditions contractuelles dans un formulaire (dite opt-out) est interdite en vertu de l’article L34-5 du code des postes et communications électroniques. Cet article, bien que visant spécifiquement la prospection directe, peut être appliqué à l’acceptation des conditions générales de vente et/ou de service.

Il convient de préférer la technique de la case à cocher (et non à décocher) qui constitue un acte positif, clair et non-ambigu permettant de recueillir le consentement du consommateur aux conditions générales de vente et/ou de service et de présumer qu’elles ont été lues et comprises.

1. 2. Rencontre des volontés

Le contrat est valablement formé au moment de son acceptation par le cocontractant. En droit numérique, l’acceptation est matérialisée par la règle du « double clic » (vérification du détail de la commande et de son prix total TTC constituant le 1^er clic, puis confirmation de la commande grâce à un 2^nd clic qui conclut définitivement le contrat).

Conformément à l’article 1127-2 du code civil, les étapes nécessaires à la conclusion du contrat sont donc les suivantes :

• Le consommateur ajoute les produits et/ou services souhaités dans son panier ;
• Il accepte les conditions générales de vente et/ou de service en cochant la case correspondante et passe à la page suivante ;
• Il accède à un récapitulatif de la commande pour lui permettre de modifier les éventuelles erreurs et confirme sa commande en cliquant sur le bouton « commande avec obligation de paiement » (article L221-14 du code de la consommation) ;
• Le professionnel doit accuser réception de la commande « sans délai injustifié et par voie électronique» en envoyant au consommateur un e-mail de confirmation ;
• Le consommateur peut accéder aux conditions générales de vente et/ou de service via cet e-mail.

4. Exécution du contrat

1. 1. Droit de rétractation

Le consommateur dispose d’un droit de rétractation de quatorze jours calendaires qu’il peut exercer de manière discrétionnaire, c’est-à-dire sans avoir à justifier d’un motif, ni à payer de pénalités (à l’exception des frais de retour du produit qui peuvent lui être facturés). Toute clause qui imposerait une exigence de motivation est illicite et donc réputée non écrite (article L221-18 du code de la consommation).

Pour les services, le délai court à compter du lendemain de la conclusion du contrat, c’est-à-dire du jour où le consommateur a validé sa commande.

Cependant, le droit de rétractation ne peut être exercé pour les contrats de fourniture de services pleinement exécutés avant la fin du délai de rétraction et dont l’exécution a commencé après accord préalable et exprès du consommateur et renoncement exprès à son droit de rétractation (article L221-28 du code de la consommation).

1. 2. Délai de livraison du produit et/ou d’exécution du service

L’article L114-1 du code de la consommation prévoit que, si le prix convenu de la prestation de service excède 500 euros, le professionnel est tenu d’informer le consommateur de la date limite à laquelle il s’engage à exécuter la prestation de service. Dans l’hypothèse où l’exécution n’aurait pas lieu à la date indiquée, et après un délai de sept jours, le consommateur est en droit de demander l’annulation de la commande.

À cela s’ajoutent les dispositions de l’article L121-20-3 du code de la consommation qui prévoit que, sauf stipulation contraire, le vendeur à distance est tenu de procéder à l’exécution du contrat, c’est-à-dire à la livraison des produits et/ou des services, dans un délai de trente jours. Passé ce délai, le consommateur est en droit de demander l’annulation du contrat avec remboursement de la totalité de la commande, en ce compris les éventuels frais de retour.

II. LA REGLEMENTATION SUR LES DONNEES PERSONNELLES

Une donnée à caractère personnel est définie par l’article 2 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dite loi « Informatique et Libertés » comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».

A titre d’exemple, le nom, prénom, adresse e-mail, numéro de téléphone, numéro de sécurité sociale et adresse IP sont des données à caractère personnel. Tout traitement de ces données doit respecter les dispositions de la loi « Informatique et Libertés, et à compter du 25 mai 2018, les dispositions du règlement européen n°2016/679 du 27 avril 2016 appelé « RGPD » (Règlement Général sur la Protection des Données).

En ce sens, le Conseil d’Etat, par un arrêt du 12 mars 2014, a confirmé la sanction prononcée par la CNIL envers la société Pages Jaunes qui avait aspiré les données personnelles de millions d’internautes sur les réseaux sociaux afin d’enrichir sa base, au motif d’une collecte déloyale et illicite des données, « faute de consentement explicite et éclairé des intéressés » ².

Avec l’arrivée du RGPD, il faudra recueillir le consentement exprès de l’utilisateur pour chacune des finalités d’un traitement de données. Il sera donc conseillé d’insérer autant de cases à cocher que de type de données collectées et/ou de finalités de traitement.

1. Obligation de déclaration

Tout traitement de données à caractère personnel doit faire l’objet de déclarations auprès de la CNIL.

Or, selon la loi « Informatique et libertés », un traitement de données à caractère personnel regroupe « toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».

Ainsi, un fichier « clients » créé à partir des informations d’un formulaire en ligne, d’une commande ou de la création d’un compte en ligne est un traitement de données et doit faire l’objet d’une déclaration auprès de la CNIL. Sont, en revanche, exemptés de déclaration, les sites personnels ou blogs, les fichiers de listes d’adresses créés dans un but d’information et les fichiers concernant les membres et donateurs d’une association.

A partir du 25 mai 2018, date de l’entrée en vigueur du RGPD, cette obligation n’existera plus et sera remplacée par la tenue, en interne, d’un registre de traitement des données qui devra indiquer, pour chaque traitement :

• L’identité du responsable de traitement et de son représentant ;
• La ou les finalité(s) du traitement (ex : gestion de la relation client, prospection commerciale, gestion du personnel, gestion des recrutements) ;
• Les mesures de sécurité techniques et organisationnelles mises en place pour protéger les données ;
• Les catégories de données personnelles concernées ;
• Les données sensibles, le cas échéant ;
• Le ou les catégorie(s) de personnes concernées (ex : clients, prospects, salariés, candidats) ;
• Le ou les destinataire(s) des données ;
• Le ou les transfert(s) hors UE, le cas échéant.

2. Utilisation de cookies

Selon la Cnil, le terme « cookie » couvre l’ensemble des traceurs déposés et/ou lus lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel et/ou d’une application mobile.

Depuis la directive 2009/136/CE du 25 novembre 2009 modifiant l’article 5§3 de la directive 2002/58/CE, l’exploitant d’un site web doit obtenir le consentement de l’internaute avant de déposer ou lire un cookie. En effet, la directive dispose désormais que « les Etats membres garantissent que le stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal […] d’un utilisateur n’est permis qu’à condition que l’utilisateur ait donné son accord après avoir reçu […] une information claire et complète, entre autres sur les finalités du traitement ». Ces dispositions ont été transposées en droit français à l’article 32 II de la loi « Informatique et Libertés ».

En d’autres termes, avant tout dépôt ou lecture d’un cookie, l’éditeur du site web doit fournir une information claire et complète à l’utilisateur, obtenir son consentement et lui fournir un moyen de refuser le dépôt du traceur. Pour ce faire, s’est développé dans la pratique l’ajout d’un bordereau « cookie » sur la page d’accueil des sites web sur lequel sont inscrites les mentions suivantes : « en poursuivant votre navigation sur ce site web, vous acceptez l’utilisation de cookies pour [vous proposer des publicités ciblées, réaliser des mesures d’audience, etc.]. Pour en savoir plus et paramétrer les cookies, cliquez ici ».

Les cookies strictement nécessaires à la fourniture d’un service et destinés à permettre ou faciliter la communication par voie électronique sont dispensés du recueil de ce consentement (article 32 II de la loi « Informatique et Libertés »). Il s’agit, par exemple, des cookies qui enregistrent le panier d’achats de l’utilisateur et ses identifiants de connexion.

La durée maximale de conservation d’un cookie est de treize mois. Passé ce délai, le recueil du consentement de l’utilisateur sera de nouveau nécessaire.

3. Prospection commerciale par e-mail

Selon l’article L34-5 du code des postes et communications électroniques et l’article L121-20-5 du code de la consommation, « est interdite la prospection directe au moyen […] de courriers électroniques utilisant les coordonnées d’une personne physique, abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen ».

Concernant le recueil du consentement, la technique consistant à pré-cocher une case d’acceptation dans un formulaire (dite opt-out) est interdite en vertu de ces mêmes articles. En pratique, le consentement sera donc recueilli au moyen d’une case à cocher au moment de la collecte de l’adresse électronique de l’utilisateur.

Toutefois, le recueil du consentement de l’utilisateur n’est pas nécessaire dans les deux cas suivants :

• si les coordonnées de l’utilisateur ont été recueillies à l’occasion d’une vente ou d’une prestation de service et si la prospection concerne des produits ou services analogues fournis par la même entreprise ;
• si la prospection n’est pas de nature commerciale.

Enfin, chaque courrier électronique doit permettre d’identifier l’expéditeur et proposer un moyen simple de s’opposer à la réception de nouveaux courriers électroniques. En pratique, ce moyen consistera en un lien à la fin du courrier électronique pour se désinscrire de la base de données du site marchand.

Le non-respect de ces dispositions est passible de sanctions comme en témoigne un jugement de 2008 opposant UFC Que Choisir à Amazon. En l’espèce, le Tribunal de Grande Instance de Paris a qualifié d’illicite « la clause qui emploie le terme général d’offres commerciales ou services, sans aucune spécification de l’objet et qui introduit un tiers dans la prospection [au vue de] l’exception qui autorise uniquement la prospection pour des produits ou services analogues fournis par la même personne physique ou morale » ³.

III. LES REGLES DE PROPRIETE INTELLECTUELLE SUR INTERNET

Selon le code de propriété intellectuelle, un site web est une œuvre de l’esprit protégée par le droit d’auteur sous réserve d’originalité. Il en est de même pour chacun des éléments composant le site internet (cf. Focus – La protection juridique d’un site web).

1. Utilisation d’une création protégée

Si l’éditeur d’un site web souhaite ajouter une illustration trouvée sur Google image, par exemple, il sera dans l’obligation d’obtenir l’autorisation de l’auteur de cette image avant de l’intégrer à son site web.

Il est pour cela recommandé de conclure un contrat de cession de droits afin que l’éditeur du site web devienne l’unique titulaire des droits patrimoniaux sur l’œuvre ou de conclure un contrat de licence l’autorisant à utiliser l’œuvre dans les conditions définies au contrat.

Le fait d’acheter une image sur une banque d’images est généralement soumis aux règles de la licence consentie au moment de l’achat. Le prix dépend souvent de l’utilisation qui sera faite de la création (commerciale ou personnelle, type de support, nombre de tirages, etc.).

2. Titularité des droits sur une œuvre créée par un tiers

Selon l’article L113-1 du code de la propriété intellectuelle, la qualité d’auteur appartient à celui sous le nom de qui l’œuvre est divulguée. En pratique, il s’agira soit de l’auteur de l’œuvre, soit en cas de cession, de la personne à qui les droits ont été cédés.

Cette règle s’applique également lorsque l’œuvre (design du site internet, logo et/ou illustration pour le compte et les besoins de l’éditeur du site) est créée par un salarié ou par un prestataire. Pour que la personne qui exploite le site web devienne titulaire des droits d’auteur portant sur cette œuvre et soit en mesure de l’utiliser paisiblement, il est nécessaire qu’elle conclue un contrat de cession de droits d’auteur à son profit. A défaut, les droits portant sur la création resteront attachés à son auteur qui pourra s’opposer à l’exploitation de sa création.

———–

1 TGI Paris, 17^e ch., 11 juillet 2014, STEF / Olivier G. et Jean-Claude G.

2 CE, 10^e et 9^e sous-sections réunies, 12 mars 2014, Pages Jaunes Groupe / CNIL.

3 TGI Paris, 1^ère ch., section sociale, 28 octobre 2008, UFC Que Choisir / Amazon.com et autres.