Atteintes à l`image et à la réputation des entreprises d`assurances
Transcription
Atteintes à l`image et à la réputation des entreprises d`assurances
INSTITUTIONS FINANCIÈRES ÉNERGIE INFRASTRUCTURES, MINES ET MATIÈRES PREMIÈRES TRANSPORT TECHNOLOGIE ET INNOVATION PRODUITS PHARMACEUTIQUES ET SCIENCES DE LA VIE Atteintes à l’image et à la réputation des entreprises d’assurance à l’ère du numérique Marc d’Haultfoeuille Avocat Associé 8 avril 2013 Sommaire I – Les atteintes à l’image et à la réputation II – Les moyens d’action en cas d’atteintes répréhensibles III – Les moyens d’action en cas d’atteintes non répréhensibles IV – Les mesures à mettre en œuvre 2 I – Les atteintes à l’image et à la réputation Qui peut porter atteinte ? Cocontractants Cocontractants Concurrents Concurrents Clients Clients // consommateurs consommateurs Image Image et et réputation réputation de de l’entreprise l’entreprise Moteurs Moteursde derecherche recherche etetsites Internet sites Internet Tiers Tiers (proches, journalistes, (proches, journalistes, hackers, etc.) hackers, etc.) Salariés Salariés/ /stagiaires stagiaires Internautes Internautesqui qui relaient l’information relaient l’information 3 I – Les atteintes à l’image et à la réputation Quels types d’atteintes? Les atteintes à l’image et à la réputation d’une entreprise sont multiples: - Commentaires excessifs et négatifs publiés sur Internet à l’encontre de l’entreprise et/ou des dirigeants ; - Expressions outrageantes utilisées sur Internet à l’encontre de l’entreprise et/ou de ses produits ou services et/ou des dirigeants ; - Faux avis négatifs (fake review) déposés sur les sites d’achat et/ou forums par les concurrents à l’encontre des produits et services de l’entreprise ; - Copie par un tiers, pour son propre site internet, des éléments protégés ou non par le droit d’auteur présentés par l’entreprise sur son site Internet ; - Intrusion dans les systèmes informatiques de l’entreprise ; 4 I – Les atteintes à l’image et à la réputation Quels types d’atteintes? Les atteintes à l’image et à la réputation d’une entreprise sont multiples: - Erreur non intentionnelle des salariés: divulgation par inadvertance d’informations confidentielles ; perte ou vol d’appareils numériques contenant des données confidentielles de l’entreprise, etc. - Création par un tiers de faux comptes ou de faux profils sur Internet pouvant être rattachés à l’entreprise ; - Détournement par un salarié des informations relatives à la clientèle de l’entreprise ; - Révélation de pratiques secrètes ou confidentielles de l’entreprise ; - Reproduction sans autorisation des éléments de propriété intellectuelle de l’entreprise, etc. 5 I – Les atteintes à l’image et à la réputation Qualification juridique des atteintes Commentaires excessifs et négatifs publiés sur Internet à l’encontre de l’entreprise et/ou de ses dirigeants. Qualification Qualification juridique juridique Diffamation Toute allégation ou imputation d’un fait précis, portant atteinte à l’honneur ou à la considération d’une personne ou du corps auquel le fait est imputé. La diffamation est punie d’une amende de 12 000 euros (art.29 et 32 de la loi du 29 juillet 1881). 6 I – Les atteintes à l’image et à la réputation Qualification juridique des atteintes Expressions outrageantes utilisées sur Internet à l’encontre de l’entreprise et/ou de ses produits ou services et/ou de ses dirigeants. Qualification Qualification juridique juridique Injure Toute expression outrageante, termes de mépris ou invectives qui ne renferme l’imputation d’aucun fait. L’injure est punie d’une amende de 12 000 euros (art.29 et 33 de la loi du 29 juillet 1881). 7 I – Les atteintes à l’image et à la réputation Qualification juridique des atteintes Faux avis négatifs déposés sur les sites d’achats et/ou forums par les concurrents Qualification Qualification juridique juridique Concurrence déloyale par dénigrement « Fait de porter atteinte à l’image de marque d’une entreprise ou d’un produit désigné ou identifiable afin de détourner la clientèle en usant de propos ou d’arguments répréhensibles ayant ou non une base exacte, diffusés ou émis (…) de manière à toucher les clients de l’entreprise visée » (CA. Vers., 9 septembre 1999. D.2000, somm. p.311). La concurrence déloyale par dénigrement peut donner lieu à une condamnation au paiement de dommages-intérêts (art.1382 du Code civil). 8 I – Les atteintes à l’image et à la réputation Qualification juridique des atteintes Copie des éléments protégés ou non par le droit d’auteur pour son site internet Qualification Qualification juridique juridique Parasitisme Fait de se référer, sans s’adresser à la même clientèle, à une marque ou à toute autre forme de propriété industrielle ou intellectuelle créée par un tiers et particulièrement connue et ce, à l’effet de tirer profit de sa renommée. Le parasitisme peut donner lieu à une condamnation au paiement de dommages-intérêts (art.1382 du Code civil). 9 I – Les atteintes à l’image et à la réputation Qualification juridique des atteintes Intrusion dans les systèmes informatiques de l’entreprise Qualification Qualification juridique juridique Accès frauduleux à un STAD Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de 2 ans d’emprisonnement et de 30 000 euros d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de 3 ans d’emprisonnement et 45 000 euros d’amende (art.323-1 du Code pénal). 10 back I – Les atteintes à l’image et à la réputation Qualification juridique des atteintes Erreur non intentionnelle des salariés : divulgation par inadvertance d’informations confidentielles ; perte ou vol d’appareils numériques contenant des données confidentielles de l’entreprise, etc. Qualification Qualification juridique juridique Faute, Vol Tout fait quelconque de l’homme qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer (art.1382 du Code civil). Chacun est responsable du dommage qu’il a causé non seulement par son fait, mais encore par sa négligence ou par son imprudence (art.1383 du Code civil). Soustraction frauduleuse de la chose d’autrui. Le vol est puni de 3 ans d’emprisonnement et de 45 000 euros d’amende (art.311-1 et 311-3 du Code pénal). Projet de règlement européen pour une modernisation de la directive de 1995 qui prévoit notamment l’obligation de notifier, sous 24 heures, la CNIL et la personne concernée de toute perte, vol ou piratage de ses données personnelles. 11 I – Les atteintes à l’image et à la réputation Qualification juridique des atteintes Détournement par un salarié des informations relatives à la clientèle Qualification Qualification juridique juridique Abus de confiance, Violation d’un engagement contractuel Fait par une personne de détourner, au préjudice d’autrui, des fonds, des valeurs ou un bien quelconque qui lui ont été remis et qu’elle a acceptés à charge de les rendre, de les représenter ou d’en faire un usage déterminé. L’abus de confiance est puni de 3 ans de prison et de 375 000 euros d’amende (art.314-1 du Code pénal). Le détournement par un salarié des informations relatives à la clientèle peut également être constitutif d’une violation d’un engagement contractuel (contrat de travail) (art.1382 du Code civil). 12 I – Les atteintes à l’image et à la réputation Qualification juridique des atteintes Dénonciation des pratiques secrètes ou confidentielles de l’entreprise Qualification Qualification juridique juridique Violation du secret des affaires La violation du secret des affaires ne constitue pas aujourd’hui une infraction. Les mesures financières imposées en cas de violation du secret des affaires ont vocation à réparer le préjudice causé, mais pas à réprimer l’acte lui-même. Peut être sanctionnée sur le fondement : - de l’accès frauduleux à un STAD ; - de la violation d’un engagement contractuel (ex: clause de confidentialité) (art.1382 du Code civil) ; - du vol ; - de la protection du secret de fabrique (art. L.621-1 du Code de la propriété intellectuelle et art. L.1227-1 du Code du travail) (puni de 2 ans de prison et de 30 000 euros d’amende). 13 I – Les atteintes à l’image et à la réputation Qualification juridique des atteintes Création par un tiers de faux comptes ou de faux profils Qualification Qualification juridique juridique Usurpation d’identité Fait d’usurper l’identité d’un tiers ou de faire usage d’une ou de plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’1 an de prison et de 15 000 euros d’amende. Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne (art. 226-4-1 du Code pénal). 14 I – Les atteintes à l’image et à la réputation Qualification juridique des atteintes Reproduction sans autorisation des éléments de propriété intellectuelle de l’entreprise Qualification Qualification juridique juridique Contrefaçon Toute édition d’écrits, de composition musicale, de dessin, de peinture ou de toute autre production, imprimée ou gravée en entier ou en partie, au mépris des lois et règlements relatifs à la propriété des auteurs, est une contrefaçon. La contrefaçon est punie de 3 ans de prison et de 300 000 euros d’amende (art. L.335-2 du Code de la propriété intellectuelle). Atteinte portée aux droits du titulaire de la marque (art. L.716-1 du Code de la propriété intellectuelle). La contrefaçon de marque est punie de 3 ans de prison et de 300000 euros d’amende (art. L.716-10 du Code de la propriété intellectuelle). 15 II – Les moyens d’action en cas d’atteintes répréhensibles Quelles responsabilités engager ? Clients/consommateurs ; Salariés ; Moteurs de recherche et sites Internet ; Concurrents ; Internautes qui relaient l’information ; Cocontractants ; Tiers. • La responsabilité de chaque acteur dépend de la nature exacte de son rôle et de son activité dans l’atteinte. Les moyens d’action pourront être mis en œuvre une fois la qualification effectuée. • En tout les cas (sauf en matière de délit de presse), la première responsabilité à engager est celle de l’auteur de l’acte portant atteinte à l’image et à la réputation de l’entreprise : il est responsable de plein droit. 16 II – Les moyens d’action en cas d’atteintes répréhensibles Sur Internet : quelles responsabilités engager ? • Principe : liberté d’expression « La libre communication des pensées et des opinions est un des droits les plus précieux de l'Homme : tout Citoyen peut donc parler, écrire, imprimer librement, sauf à répondre de l'abus de cette liberté dans les cas déterminés par la Loi.» • Sur Internet, l’image et la réputation d’une entreprise ne sont plus que composées des informations données volontairement par l’entreprise dans le cadre de sa communication institutionnelle, elles sont également celles mises en ligne par les tiers sur les sites marchands, les réseaux sociaux, les sites d’avis, etc. • E-réputation : l’e-réputation est constituée non seulement de la communication officielle des entreprises, mais aussi des messages diffusées par les internautes qui peuvent être des clients comme des concurrents ou des salariés de l’entreprise. L’e-réputation d’une entreprise est son image numérique. 17 II – Les moyens d’action en cas d’atteintes répréhensibles Sur Internet : quelles responsabilités engager ? • L’éditeur (directeur de publication) qui prend la responsabilité de diffuser ce contenu. Il est responsable en cas d’infractions de presse, lorsque le message incriminé a fait l’objet d’une fixation préalable à sa communication au public (art.93-3 de la loi n°82-652 du 29.07.1982). Il ne pourra toutefois pas être poursuivi pour diffamation ou injure lorsque le message sera directement diffusé (critère de la fixation préalable du message avant sa communication au public). Par ailleurs, il existe un régime d’exonération de la responsabilité pénale du directeur ou du codirecteur de la publication en cas de diffamation ou d’injure résultant du contenu d’un message adressé par un internaute aux services de presse dans un espace de contributions personnelles (blog ou forum de discussion) dès lors que le directeur ou le codirecteur n’avait effectivement pas connaissance du message avant sa mise en ligne ou si, dès le moment où il en a eu connaissance, il a agi promptement pour retirer ce message (art.93-3 de la loi n°82652 du 29.07.1982). 18 II – Les moyens d’action en cas d’atteintes répréhensibles Sur Internet : quelles responsabilités engager ? • Le fournisseur de contenu (auteur du contenu) qui porte atteinte est responsable. • Le fournisseur de contenu et l’éditeur peuvent être une même personne, lorsque celui qui crée le site en fournit également le contenu (ex: blog). • Les prestataires techniques (fournisseur d’accès à Internet et hébergeur du site) bénéficient, a priori, en raison de leur fonction neutre, d’une exonération de responsabilité tant civile que pénale concernant les contenus accessibles par leurs services ou stockés par eux (art.6.I-2 Loi n°2004-575 du 21.06.2004 pour la Con fiance dans l’Economie Numérique (LCEN)). 19 II – Les moyens d’action en cas d’atteintes répréhensibles Sur Internet : quelles responsabilités engager ? • Les hébergeurs peuvent néanmoins, a posteriori, voir leur responsabilité civile ou pénale engagée, dès lors qu’ils avaient connaissance du caractère illicite du message et qu’ils n’ont pas agi promptement pour supprimer le contenu illicite. La preuve de cette connaissance peut être rapportée par tous moyens (art.6.I-2 LCEN). Il existe néanmoins une présomption de connaissance par l’hébergeur du caractère illicite du message lorsqu’un certain nombre d’éléments lui ont été notifiés (art.6.I-2 LCEN). • Les moteurs de recherche peuvent-ils être qualifiés d’hébergeurs? La Cour européenne a jugé, dans un arrêt du 23 mars 2010, que pour considérer applicable à Google, le régime de responsabilité des hébergeurs, il convient d’examiner si son rôle est « neutre », « à savoir si son comportement, est purement technique, automatique et passif, impliquant l’absence de connaissance ou de contrôle des données qu’il stocke ». 20 II – Les moyens d’action en cas d’atteintes répréhensibles Les moyens d’action extrajudiciaires (en cas de diffamation, injure, concurrence déloyale par dénigrement) • Droit de réponse (art.6-IV de la LCEN et décret n°2007-1527 du 24 oc tobre 2007). Toute personne nommée ou désignée dans un service de communication au public en ligne dispose d’un droit de réponse, sans préjudice des demandes de correction ou de suppression du message qu’elle peut adresser au service. Le droit de réponse doit être exercé dans les 3 mois à compter de la mise en ligne. Le régime du droit de réponse diffère selon que le requérant est en mesure ou non de déposer sa réponse sur le site litigieux: - si oui : pas d’envoi de lettre recommandée au directeur de la publication du site ; - si non : la demande de réponse doit être adressée au directeur de publication par LRAR, ou par voie d’exploit d’huissier de justice. 21 II – Les moyens d’action en cas d’atteintes répréhensibles Les moyens d’action extrajudiciaires (en cas de diffamation, injure, concurrence déloyale par dénigrement) • Demande amiable de retrait du contenu Si possible, correspondance adressée à l’auteur ou à l’éditeur du site, s’ils sont identifiables, mais ceux-ci peuvent refuser. En cas de demande adressée à l’auteur ou à l’éditeur revenue infructueuse, il y a possibilité d’adresser une demande à l’hébergeur pour solliciter le retrait des propos. La demande se fait par LRAR ou par voie d’exploit d’huissier de justice. Pour qu’une telle demande soit valide, elle doit comporter des mentions obligatoires: la date de la notification, les coordonnées du notifiant, les coordonnées du destinataire, la description des faits et leur localisation, les motifs de retrait du contenu avec mention des dispositions légales l’imposant, la copie de la lettre adressée à l’éditeur ou à l’auteur du contenu ou la justification des raisons pour lesquelles celui-ci n’a pu être contacté (art.6.I-5°de la LCEN). Cette mise en demeure constitue un préalable nécessaire pour l’engagement éventuel des responsabilités pénales et civiles des hébergeurs. 22 II – Les moyens d’action en cas d’atteintes répréhensibles Les moyens d’action extrajudiciaires (en cas de diffamation, injure, concurrence déloyale par dénigrement, détournement par un salarié des informations relatives à la clientèle, violation du secret des affaires, contrefaçon). • Dépôt de plainte à la CNIL sur le fondement de manquements sérieux à la loi informatique et libertés du 6 janvier 1978 modifiée. En cas de démarche infructueuse auprès des acteurs, il est possible de demander à la CNIL d’intervenir pour mettre un terme aux atteintes (aux données personnelles). La CNIL intervient auprès du responsable du site désigné. Si nécessaire, elle peut faire usage de ses pouvoirs de contrôle et de sanction (administrative et financière). La CNIL a également la possibilité de dénoncer au Procureur de la République les infractions à la loi dont elle a connaissance. • Moyens d’action contractuels : clause de confidentialité, clause pénale, clause de résiliation/licenciement, etc. 23 II – Les moyens d’action en cas d’atteintes répréhensibles Les moyens d’action judiciaires (en cas de diffamation, injure, concurrence déloyale par dénigrement, parasitisme, accès frauduleux à un STAD, vol, détournement par un salarié des informations relatives à la clientèle, violation du secret des affaires, usurpation d’identité, contrefaçon) • Dépôt de plainte avec constitution de partie civile contre une personne déterminée ou contre X au commissariat de police ou à la brigade de gendarmerie. En cas de plainte contre X, les officiers de police seront chargés d’identifier l’auteur de l’infraction. L’inconvénient est qu’une fois la plainte déposée, l’entreprise n’est plus maître de la procédure : elle n’a pas la maîtrise de la personne qu’elle souhaite attraire en justice. En effet, le juge d’instruction est saisi des faits (saisine in rem) et non contre des personnes (saisine in personam) : si le juge d’instruction ne peut instruire d’office (s’autosaisir) sur des faits non visés dans l’acte initial de sa saisine, il peut en revanche instruire à l’encontre de toutes personnes, mêmes celles qui n’auraient pas été initialement désignées dans l’acte. Ex: Une plainte avec constitution de partie civile contre un internaute ne saurait exclure la faculté, pour le juge d’instruction, de renvoyer également le directeur de publication, ou tout autre complice, devant le Tribunal Correctionnel. Or, l’entreprise peut, pour des raisons propres, ne souhaiter agir qu’à l’encontre du seul internaute. 24 II – Les moyens d’action en cas d’atteintes répréhensibles Les moyens d’action judiciaires (en cas de diffamation, injure, concurrence déloyale par dénigrement) • Requête aux fins d’identification de l’internaute (art.145 du Code de procédure civile) : Dans ce cas, la requête est soutenue devant le président du TGI territorialement compétent, qui sera invité à rendre une ordonnance par laquelle celui-ci enjoindra à l’hébergeur de communiquer l’ensemble des éléments en sa possession permettant l’identification de l’auteur du contenu illicite. • Demande judiciaire de retrait du contenu adressée sur requête, en référé (article 6-I-8 de la LCEN), au fond ou par voie d’injonction. Assignation en référé correspond à la saisine du juge civil, aux fins de suspension de la publication litigieuse, voire (dans certains cas) aux fins d’allocation d’une provision. Cette procédure est limitée en matière d’infraction sur Internet, compte tenu de la rediffusion exponentielle sur de multiples autres sites. Référé de droit commun, subordonné à un trouble manifestement illicite (art.809 Code de procédure civile). Assignation en référé ou requête (art. 6-I.8° de la LCEN) pour obtenir du juge qu’il prescrive aux prestataires d’hébergement (art.6-I.2°de la LCEN ), ou à défaut aux fournisseurs d’accès (art. 6-I.1° de la LCEN), toutes mesures propres à prévenir ou à faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne. 25 II – Les moyens d’action en cas d’atteintes répréhensibles Les moyens d’action judiciaires (en cas de diffamation, injure, concurrence déloyale par dénigrement, parasitisme, accès frauduleux à un STAD, vol, détournement par un salarié des informations relatives à la clientèle, violation du secret des affaires, usurpation d’identité, contrefaçon) • Procès pénal ou civil par citation directe ou par assignation. Au civil, il s’agit pour l’entreprise d’obtenir réparation par allocation de dommages et intérêts. Au pénal, il peut s’agir pour l’entreprise d’obtenir une condamnation « exemplaire » des acteurs de l’atteinte : cette initiative peut entrer dans le cadre d’une stratégie de communication visant à montrer que l’entreprise réagit aux attaques les plus graves. 26 III – Les moyens d’action en cas d’atteintes non répréhensibles • Toutes les atteintes ne sont pas répréhensibles: erreur non intentionnelle du salarié; partage d’informations négatives par tous ceux qui en ont été destinataires ; commentaires négatifs qui ne constituent ni une diffamation, ni une injure, ni un dénigrement ; reproduction de la marque qui ne constitue pas une contrefaçon, etc. • Droit à l’oubli, actuellement en projet (règlement européen), n’est pas reconnu aux entreprises Société de gestion de l’image et de la réputation: ces entreprises peuvent identifier le volume des informations diffusées, la variété des sources, formats et langages de diffusion, mais elles peuvent également « nettoyer » la réputation sur Internet, par deux actions principales : contacter l’hébergeur du site pour lui demander de retirer les contenus illicites, faire émerger un flot d’informations neutres ou positives pour noyer les informations préjudiciables. 27 IV – Les mesures à mettre en œuvre Afin de prévenir les atteintes (1/2) Sensibiliser les salariés aux risques d’atteinte à l’image et à la réputation de l’entreprise ; Organiser sa veille: détecter les atteintes, mais également mesurer la popularité de sa marque ; Sécuriser les comptes et identifiants des utilisateurs dans l’entreprise / définir une charte de nommage afin de définir l’empreinte des identifiants et la manière dont ils doivent être gérés et enregistrés ; 28 IV – Les mesures à mettre en œuvre Afin de prévenir les atteintes (2/2) Disposer d’une charte informatique de l’entreprise complète et régulièrement mise à jour pour éviter les risques, aussi bien pour l’entreprise que pour les salariés ; Faire signer un accord de confidentialité à ses cocontractants ; Configurer les paramètres de confidentialité : il s’agit là d’un atout pour les titulaires de droits qui peuvent interdire l’accès à des utilisateurs mineurs et à des utilisateurs localisés dans des pays spécifiques ; Nommer un Community Manager qui se charge de la création des comptes et demande les usernames. 29 IV – Les mesures à mettre en œuvre Quand l’atteinte est constituée Prendre contact avec l’opérateur pour bloquer l’accès à l’appareil perdu ou volé; Prendre rapidement contact avec sa direction juridique et/ou son avocat afin de qualifier le contenu incriminé ; Attendre plus de trois mois pour exercer une action en justice (diffamations ou injures publiques à caractère racial sont prescrites par un délai plus long, à savoir un an) ; Missionner, le cas échéant, un huissier de justice pour réaliser un constat ; Identifier l’auteur de l’atteinte ; Adopter une stratégie en privilégiant une démarche transparente et responsable ; Faire appel à une société de « nettoyage ». 30 FINANCIAL INSTITUTIONS ENERGY INFRASTRUCTURE AND COMMODITIES TRANSPORT TECHNOLOGY Merci ! Marc d’Haultfoeuille - Partner +33 (0)1 56 59 53 73 [email protected] 31