Cette étude révèle comment le cadre juridique des contrats électroniques au Bénin protège les droits des consommateurs face aux déséquilibres contractuels. Découvrez les mécanismes juridiques essentiels qui garantissent la sécurité des transactions et la vie privée des utilisateurs.
CHAPITRE II : Une protection relative à la sécurité du consommateur
La sécurité du consommateur est au cœur du régime de protection mis en place pour protéger les intérêts de ce dernier lors de l’exécution du contrat électronique. Cette sécurisation vise à garantir au consommateur une protection quasi exclusive contre les agissements du professionnel. Elle touche non seulement la vie privée du consommateur (Section I) mais aussi les paiements en ligne qu’il effectue dans le cadre de l’exécution de ses obligations contractuelles (Section II).
Section I :
La sécurité de la vie privée du consommateur
Protéger la vie privée du consommateur est l’une des obligations essentielles qui incombe au professionnel lors de l’exécution du contrat électronique. « Les notions de données personnelles et de vie privée sont étroitement mêlées »1. Pour mieux cerner la notion des données personnelles, il est nécessaire d’élucider au premier abord celle relative à la vie privée.
On peut donc entendre par vie privée, « la sphère d’intimité de chacun, par opposition à la vie publique, ce qui, dans la vie de chacun, ne regarde personne d’autre que lui et ses intimes (s’il n’a consenti à le dévoiler) »2. Aussi, on peut assimiler la notion de la vie privée « au droit à l’intimité et le droit au secret des correspondances écrites, téléphoniques et électroniques et la protection contre l’informatique, voir le droit à l’image »3.
Toutefois, même si une relation étroite peut être envisageable entre la notion de la vie privée et celle des données personnelles, « il convient de souligner la différence entre vie privée et données personnelles. Toutes les données personnelles ne relèvent pas de la vie privée4. Le droit à la vie privée consiste à pouvoir conserver une part d’intimité, ce qui doit certes s’entendre comme le droit à ne pas voir certaines actions surveillées ou divulguées, mais qui recouvre également le droit à ne pas subir des sollicitations ou des discriminations en fonction d’une vie privée que l’on ne souhaite pas divulguer »5.
Lors de l’exécution du contrat électronique, les données personnelles du consommateur doivent être protégées par le professionnel (Paragraphe I) qui est tenu également à un devoir de confidentialité relativement à ces données (Paragraphe II).
Paragraphe I : La protection des données à caractère personnel du consommateur
« Véritablement au cœur du commerce électronique, les données personnelles sont aujourd’hui une source indiscutable de richesse, l’or d’internet. La collecte des informations personnelles se généralise et leur circulation s’amplifie. Ces données sont devenues un moyen et même une incroyable source de débauches économiques, en offrant à l’entreprise qui les collecte, les utilise, puis les conserve, ainsi qu’à ses partenaires, des possibilités élargies de prospection commerciale et, par voie de conséquence, de nouveaux clients »6.
« Les données à caractère personnel sont toute information de quelque nature que ce soit et indépendamment de son support, y compris le son et l’image, relative à une personne physique identifiée ou identifiable, ci-après dénommée personne concernée »7. Aussi par données à caractère personnel, « il convient d’entendre toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres »8.
Il pèse sur le professionnel l’obligation de protéger les informations personnelles du consommateur (A). Mais dans certains cas, cette obligation est privée d’effets (B).
A- L’obligation pour le professionnel de sécuriser les données du consommateur
Dans le cadre de l’exécution du contrat électronique, le professionnel est appelé à collecter et traiter les données à caractère personnel du consommateur. Cette opération de collecte et de traitement des données à caractère personnel doit être faite conformément aux garanties sécuritaires pouvant inspirer chez le consommateur une certaine confiance.
« Le traitement des données personnelles représente désormais un enjeu crucial pour les responsables d’entreprises (..), elles sont omniprésentes et doivent être traitées et protégées dans les formes prescrites par la loi »9. « Cependant, les responsables des traitements ne peuvent se permettre d’abuser des données qu’ils ont récoltées. D’abord la loi fixe un cadre strict et des limites précises à l’exploitation qui peut en être faite. Ensuite, le citoyen-client, de plus en plus conscient des risques, est lui-même demandeur de garanties sur l’usage de ses données »10.
Pour s’assurer que le professionnel a pris toutes les mesures nécessaires pour sécuriser les données à caractère personnel du consommateur qu’il serait amené à collecter ou traiter, il a été mis à sa charge, le devoir de sécuriser les données de ce dernier11.
La protection des données personnelles du consommateur par le professionnel est relative au respect d’un certain nombre de principes lors de la collecte, de l’enregistrement, du traitement, du stockage et de la transmission desdites données. Comme principes, il est mis l’accent sur le principe de licéité12, le principe de transparence13, le principe de confidentialité et de sécurité14 ainsi que le principe de consentement et de légitimité15.
Concernant ce dernier principe, il convient de préciser que son effectivité impose le respect des conditions déterminées. Ainsi, le responsable du traitement doit démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant. De même, le consentement doit être éclairé et le consommateur doit être en mesure de retirer son consentement16.
Toutefois, conformément au tiret 3 de l’article 389 du même code, le professionnel peut déroger à l’exigence de consentement préalable du consommateur, lorsque le traitement des données personnelles est nécessaire à l’exécution du contrat auquel le consommateur est parti ou à l’exécution des mesures précontractuelles prises à sa demande.
En outre, précisons qu’il y a une responsabilité qui pèse sur le professionnel en ce qui concerne la sécurisation des données personnelles du consommateur17. « Il doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre la destruction accidentelle ou illicite, l’altération, la diffusion ou l’accès non autorisés »18.
Cette responsabilité s’étend à ses sous-traitants. De même, certaines données dites sensibles ne peuvent faire l’objet de traitement que dans des cas spécifiques19. « L’obligation de sécurité se traduit en pratique par la nécessité de mettre en œuvre des mesures de sécurité physique et des mesures de sécurité logique. La jurisprudence considère traditionnellement que l’obligation de sécurité est une obligation de moyens renforcée, qui nécessite que les mesures de sécurités adoptées par le responsable du traitement soient conformes à l’état de l’art et adaptées au niveau de sensibilité des informations collectées »20.
L’obligation de protection des données personnelles du consommateur qui pèse sur le professionnel n’est pas absolue. Il existe des cas dans lesquels, le professionnel ne saurait protéger lesdites données.
B- L’atténuation de l’obligation
La question liée à la protection des données personnelles du consommateur est une question sensible dans la mesure ou lesdites données touchent majoritairement à sa vie privée. Face à cette sensibilité, même s’il est mis à la charge du professionnel l’ultime obligation d’assurer une pleine protection desdites données, il existe des situations dans lesquelles le professionnel malgré les efforts par lui déployés pour assurer la protection se voir limiter dans son devoir. Ces situations sont relatives aux cas de force majeure.
En effet, en raison de la virtualité du système et de la particularité liée à l’internet, les données personnelles du consommateur peuvent faire l’objet de menaces. Ces menaces ont rapports aux cyber-attaques. Même si des efforts considérables sont mis en œuvre pour éradiquer ce phénomène, il est évident que ces menaces restent et demeurent un danger pour les données personnelles du consommateur.
Dans un tel cas, « lorsque cette violation peut porter atteinte aux données à caractère personnel où la vie privée d’un abonné ou d’une autre personne physique, le fournisseur doit avertir, sans délai, l’intéressé »21. Il est tenu également d’informer l’autorité desdites failles22.
Si le professionnel arrive à démontrer qu’il a pris toutes les mesures nécessaires pour sécuriser les données personnelles du consommateur et que les agissements relatifs aux attaques perpétrer contre les données sont indépendant de sa volonté, il peut évoquer le principe de limitation de responsabilité et les poursuites seront engagées pour retrouver le ou les auteurs desdites attaques.
Des mesures ont été prises dans ce sens pour sanctionner les auteurs, co-auteurs et complices des faits ayant traits à l’utilisation illicite des données personnelles du consommateur. « La principale raison du recours à des incriminations spécifiques pour sanctionner l’utilisation illicite des moyens de communications électroniques est moins liée à la matérialité des agissements en cause qu’au caractère immatériel des atteintes qu’ils permettent de réaliser et pour lesquelles les incriminations traditionnelles n’ont pas été nécessairement conçues. La plupart des agissements illicites réalisés dans le monde virtuel ont un équivalent dans le monde réel qu’une incrimination générale sanctionne sans la moindre difficulté »23.
En matière d’incrimination des attaques contre les données personnelles, le législateur béninois a mis en place un régime particulier de répression pour lutter contre toute atteinte aux données24. La protection des données à caractère personnel du consommateur par le professionnel est également liée au respect du principe de confidentialité qui régit le traitement desdites données.
________________________
1 MATTATIA (F.), op. cit., p.54. ↑
2 CORNU (G.), op. cit., 9ème éd Quadrige, août 2011, p. 1064. ↑
3 MATTATIA (F.), ibid. p. 55. ↑
4 Par exemple, les informations concernant l’activité publique d’une personne constituent des données personnelles, mais ne relèvent pas de sa vie privée. ↑
5 MATTATIA (F.), op. cit., p. 57. ↑
6 ROCHFELD (J.), « les nouveaux défis du commerce électronique », LGDJ Lextenso éd, 2010, p. 55. ↑
7 Cf. art 1er du C. num. ↑
8 DESGENS-PASANAU (G.), « La protection des données à caractère personnel la loi « informatique et libertés », LexisNexis, 2012, p. 07. ↑
9 MATTATIA (F.), op. cit., p. 59. ↑
10 Ibid, p. 60. ↑
11 V. art 378 du C. num. ↑
12 Cf. art 383 du même code. ↑
13 Cf. art 384, ibid. ↑
14 Cf. art 385, ibid. ↑
15 Cf. art 389, ibid. ↑
16 Cf. art 390, ibid. ↑
17 Dans un jugement du 13 février 2002, le Tribunal de Grande Instance de Paris reconnut que le traitement de données de la société Tati n’était pas protégé et donc que Tati n’avait pas respecté son obligation de sécurisation des données personnelles. Toutefois, le Tribunal estima que ce non-respect n’autorisait pas pour autant un tiers à accéder sans autorisation aux données personnelles (…). Considérant que la société Tati ne saurait se prévaloir de ses propres carences et négligences pour arguer d’un prétendu préjudice en réalité subi par les personnes victimes éventuelles de violation de leur vie privée, le Tribunal la débouta de ses demandes de dommages-intérêts. Saisie, la Cour d’Appel de Paris estima le 30 octobre 2002 qu’on ne pouvait reprocher à un internaute d’accéder, en utilisant un navigateur grand public, à des parties de site web qui ne sont ni protégées ni signalées comme confidentielles : l’internaute ne peut deviner que ces données personnelles ne sont pas censées être accessibles et qu’elles ne le sont que suite à une faute du responsable de traitement. En outre, Antoine C. n’avait fait aucune utilisation préjudiciable de ces données et avait au contraire averti le responsable du traitement. La Cour déclare donc Antoine C. non coupable. (Cf. MATTATIA (F.), op. cit., p. 88.) ↑
18 MATTATIA (F.), op. cit., p. 62. V. art 426 du C. num. ↑
19 V. arts 394 et s. du C. num. ↑
20 DESGENS-PASANAU (G.), op. cit., p. 43. ↑
21 Ibid. p. 44. V. l’art 378 al 2 du C. num. ↑
22 V. art 427 du C. num. ↑
23 ROCHFELD (J.), op. cit., p. 165. ↑
24 Ibid. ↑