Archives de Tag: plateforme en ligne

RGPD, la première sanction prononcée par la CNIL concerne Google

Nous vous l’avions annoncé dans notre précédent article (voir notre article sur les enjeux de l’année 2019) : les premières sanctions prononcées sur le fondement du Règlement général sur la protection des données personnelles (« RGPD ») devaient intervenir en 2019. Ce pronostic vient de se réaliser car le géant américain Google a été condamné à payer une amende de 50 millions d’euros (voir le texte complet de la délibération de la CNIL concernant Google).

Parmi ses nombreux services, Google a conçu un système d’exploitation pour les smartphones appelé « Android » qui compte plus de 27 millions d’utilisateurs en France. Pour l’utiliser, un compte utilisateur doit être créé, ce qui implique un traitement de données à caractère personnel, lequel est naturellement soumis aux conditions du RGPD.

Les associations de défense et de représentation des droits et libertés fondamentaux dans l’espace numérique « None Of Your Business » (« NOYB ») et la Quadrature Du Net (« QDN »), qui soutenaient que le RGPD n’était pas respecté par Google, sont à l’origine de la procédure ouverte par la CNIL concernant Google.

Cette décision de sanction mérite des commentaires sur les points essentiels.

1/ La compétence de la CNIL : pour Google, la CNIL aurait dû transmettre les plaintes reçues à l’autorité de protection des données irlandaise (la Data Protection Commission) qui serait l’autorité chef de file en raison la localisation de son établissement principal en Irlande. (i.e : désigner une autorité chef de file permet aux organismes mettant en œuvre des traitements transfrontaliers de bénéficier du mécanisme du « guichet unique » et de disposer ainsi d’un seul interlocuteur pour toutes leurs activités de traitement sur le territoire de l’Union Européenne).

En se fondant sur l’article 4 (16) et le considérant 36 du RGPD, la CNIL a considéré que la société Google Irlande Ltd n’était pas « l’établissement principal » de la société Google LLC dès lors qu’il n’est pas établi qu’elle dispose d’un pouvoir décisionnel quant aux traitements visés (c’est-à-dire, la capacité de détermination des finalités et des moyens du traitement).

En l’absence d’établissement principal permettant l’identification d’une autorité chef de file, la CNIL est compétente pour traiter les plaintes

2/ Les manquements aux obligations de transparence et d’information :  toute personne qui fait l’objet d’un traitement de données personnelles doit se faire transmettre une information claire, précise et accessible sur l’existence ainsi que les modalités du traitement. Il était reproché à Google de ne pas avoir fourni à ses utilisateurs une telle information.

Pour Google, le document intitulé « Règles de confidentialité et conditions d’utilisation » offre « une bonne vue d’ensemble des traitements mis en œuvre ». La société explique également que l’information des personnes doit s’apprécier de façon globale et qu’ainsi, en plus des divers documents mis à disposition, l’information est transmise par le biais d’autres modalités (messages électroniques adressés à l’utilisateur créant son compte l’informant de la possibilité de modifier les paramètres, mise en place d’un dashboard, fenêtre pop-up etc…) ou fait l’objet d’une rubrique dédiée (par exemple, Google indiquait que les informations relatives à la durée de conservation des données figuraient dans la rubrique « Exporter et supprimer vos informations » au sein des « Règles de confidentialité ». ).

Bien que saluant les progrès et efforts réalisés par Google ces dernières années, la CNIL considère que les exigences de transparence et d’information du RGPD ne sont pas respectées. Elle relève notamment que l’architecture générale de l’information choisie par le géant américain nécessite une démarche positive de l’utilisateur pour prendre connaissance d’informations complémentaires, qu’il devra ensuite recouper et comparer afin de comprendre quelles données sont collectées en fonction des différents paramètres choisis. La CNIL retient que l’exigence d’une information « aisément accessible » visée par le RGPD n’est pas atteinte… La formation restreinte a donc estimé que « la multiplication des actions nécessaires, combinée à un choix de titres non explicites ne satisfait pas aux exigences de transparence et d’accessibilité de l’information ».

3/ La base juridique du traitement : la nécessité d’avoir une « base juridique » (c’est-à-dire, un des fondements juridiques limitativement énumérés par le RGPD) est un autre grand principe auquel il ne peut être dérogé. Il était reproché à la société américaine de ne pas valablement recueillir le consentement des personnes concernées, sur lequel elle se fondait pour les traitements de personnalisation de la publicité, celui-ci devant présenter certaines caractéristiques.

Pour Google, le consentement des utilisateurs est suffisamment éclairé, spécifique et univoque.

La CNIL n’est pas de cet avis et retient que le consentement (i) n’est pas éclairé (notamment car l’information préalable est « excessivement disséminée »), (ii) n’est pas spécifique et univoque (notamment car le consentement n’est pas donné par le biais d’un acte positif par lequel la personne consent spécifiquement et distinctement au traitement de ses données à des fins de personnalisation de la publicité par rapport aux autres finalités de traitement puisque la case était masquée et pré-cochée par défaut, la possibilité de paramétrer ne suffisant pas à lever l’irrégularité) et (iii) n’est pas libre (notamment car l’utilisateur se voit contraint d’ « accepter en bloc » l’ensemble des traitements de données à caractère personnel mis en œuvre).

4/ La sanction : pour Google, la sanction consistant en une mise en demeure aurait représenté la mesure correctrice la plus adéquate. Pour justifier le montant de son amende (50 millions d’euros), la CNIL souligne que les manquements relevés à l’encontre de Google sont graves (il s’agit des dispositions dont la méconnaissance est la plus sévèrement sanctionnée en vertu de l’article 83 du RGPD). En effet, elle estime que ces traitements de données, clés dans le modèle économique de Google et générant des avantages considérables, ont une « ampleur considérable compte tenu de la place prépondérante qu’occupe le système d’exploitation Android». Elle relève par ailleurs que les manquements de Google perdurent au jour où la CNIL statue. Tout cela justifie la sanction pécuniaire qui se trouve doublée d’une sanction complémentaire de publicité (légitimée par la place prépondérante occupée par la société sur le marché des systèmes d’exploitation et de l’intérêt que représente la décision pour l’information du public). Et c’est peut-être là que se trouve la véritable sanction pour Google…

La QDN et NOYB, mandatés par près de 10.000 personnes, se félicitent d’avoir obtenu la première amende majeure depuis l’entrée en vigueur du RGPD, illustrant ainsi la mise en œuvre du nouvel arsenal répressif institué par celui-ci. Bien que la somme de 50 millions d’euros puisse paraître colossale, elle est à relativiser par rapport au maximum encouru (4% du chiffre d’affaires annuel global du précédent exercice).

Google, considérant que la sanction n’est pas justifiée au regard des efforts déjà déployés pour se conformer aux exigences du RGPD, a décidé d’exercer une voie de recours devant le Conseil d’État.

La bataille judiciaire continue et les prochaines décisions (à la fois de la CNIL et du Conseil d’État) seront intéressantes à étudier.

Droit du Partage continuera naturellement à suivre ces sujets pour vous.

Poster un commentaire

Classé dans Transport de personnes

Responsabilité solidaire des plateformes en matière de paiement de la TVA : ce qu’il faut retenir de la loi relative à la lutte contre la fraude (2/2)

La loi relative à la lutte contre la fraude (n°2018-898) a été publiée au journal officiel le 23 octobre 2018, et les articles 10 et 11 du texte contiennent plusieurs dispositions applicables aux plateformes. Droit du Partage fait le point sur les nouvelles obligations figurant dans ce texte dans une série de deux articles (voir le premier article sur les obligations déclaratives des plateformes et la transmission automatique des revenus des utilisateurs à l’administration fiscale).

Ce second article est dédié au nouvel article 283 bis du Code général des impôts qui prévoit une responsabilité solidaire des plateformes en matière de TVA.

Le champ d’application du nouveau dispositif  

Contrairement aux obligations issues de l’article 242 bis du Code général des impôts, le champ d’application de ce nouveau dispositif concerne (i) les opérateurs de plateformes en ligne définis à l’article L. 111-7 du Code de la consommation (ii) qui dépassent un seuil de connexions de 5 millions de visiteurs uniques par mois.

S’il est restrictif concernant les entreprises concernées, le dispositif a un champ d’application large s’agissant des opérations concernées puisqu’il s’appliquera quel que soit le lieu d’établissement de la société opérant la plateforme, dès lors que des utilisateurs effectuent des transactions en France.

Ce nouvel article 283 bis sera applicable à compter du 1er janvier 2020.

Un mécanisme progressif

Le dispositif prévu par la loi est progressif :

1/ le signalement de l’utilisateur par l’administration et les premières mesures de la plateforme > si l’administration fiscale a des soupçons qu’un utilisateur assujetti à la TVA se soustrait à ses obligations, elle le signale à la plateforme qui doit prendre les mesures adéquates (et les préciser à l’administration).

2/ la persistance des présomptions et les nouvelles mesures > si « les présomptions persistent » dans un délai d’un mois à compter du moment où la plateforme a notifié les mesures prises, l’administration peut mettre en demeure la plateforme de (i) prendre des mesures supplémentaires ou (ii) à défaut, d’exclure l’utilisateur de la plateforme. Selon son choix, la plateforme doit notifier la mesure choisie.

3/ la responsabilité solidaire de la plateforme > si la plateforme n’a pris aucune mesure supplémentaire ou n’a pas exclu l’utilisateur dans un délai d’un mois à compter de la mise en demeure de l’administration fiscale, la plateforme devient solidairement responsable du paiement de la TVA.

D’inspiration britannique, ce dispositif vise à permettre une lutte efficace contre les pertes de recettes fiscales en matière de TVA mais il pourrait être critiqué à plusieurs égards.

Une nouveauté critiquable

D’une part, le dispositif ne prévoit aucune garantie pour que la personne soupçonnée de se soustraire à ses obligations en matière de TVA puisse se justifier, alors qu’il est tout à fait possible que les présomptions sur lesquelles s’appuie l’administration soient infondées.

D’autre part, l’opérateur de plateforme en ligne est au cœur du mécanisme alors même qu’elle n’est qu’un intermédiaire et qu’elle ne joue pas toujours rôle dans la transaction qu’elle permet de réaliser. Pourtant, en application de ce texte, sa responsabilité est très large et il lui incombe de faire de véritables vérifications/démarches vis-à-vis de certains utilisateurs.

On assiste à un mouvement de « délégation de la lutte contre la fraude fiscale » à des acteurs privés, en l’occurrence des plateformes numériques, car l’État semble impuissant pour réguler cette nouvelle sphère (tout comme ce fut le cas avec les banques en créant la règlementation de lutte contre le blanchiment et le financement du terrorisme). Ce renforcement règlementaire est intéressant car il témoigne de l’importance de ces nouveaux acteurs, de l’ampleur de l’impact de l’économie numérique et de l’importance du droit dans la construction/structuration de ce nouveau secteur.

Droit du Partage continuera naturellement à suivre ces sujets pour vous.

Poster un commentaire

Classé dans Evolution du cadre juridique, Fiscalité et charges sociales, Obligations et responsabilité des plateformes

Transmission automatique des revenus des utilisateurs à l’administration fiscale et obligations déclaratives des plateformes : ce qu’il faut retenir de la loi relative à la lutte contre la fraude (1/2)

La loi relative à la lutte contre la fraude (n°2018-898) a été publiée au journal officiel le 23 octobre 2018, et les articles 10 et 11 du texte contiennent plusieurs dispositions applicables aux plateformes. Droit du Partage fait le point sur les nouvelles obligations figurant dans ce texte dans une série de deux articles (le 2ème est accessible ici).

Ce premier article est dédié à la refonte des obligations prévues aux articles 242 bis (les obligations déclaratives à la charge des opérateurs de plateformes en ligne) et 1649 quater A bis du Code général des impôts (la transmission automatique des revenus à l’administration fiscale par les plateformes numériques).

Évolution de la transmission automatique des revenus des utilisateurs à l’administration

Introduit par la loi de de finances rectificatives (n°2016-1918) du 24 décembre 2016 (voir notre article sur ce point), l’article 1649 quater A bis du Code général des impôts (qui devait entrer en vigueur le 1er janvier 2019) prévoyait que les opérateurs de plateforme en ligne (au sens du Code de la consommation) adressent à l’administration fiscale une déclaration comprenant des informations sur ses utilisateurs.

Désormais, cette obligation est intégrée au 3°) de l’article 242 bis du Code général des impôts, ce qui vient renforcer le champ des obligations déclaratives des plateformes numériques (nous comprenons que le souhait des parlementaires est que les premières déclarations par les plateformes aient lieu en janvier 2020). Ainsi, chaque année, les opérateurs de plateformes en ligne doivent déclarer à l’administration fiscale les revenus de leurs utilisateurs et transmettre certaines informations. À défaut, la société qui opère la plateforme en ligne est susceptible d’être sanctionnée par une amende de 5% des sommes non déclarées.

Par exception, certaines activités sont exclues du dispositif : (i) les revenus issus d’activités reposant sur la vente de biens d’occasions entre particuliers (par exemple, la vente d’un meuble sur Le Bon Coin) et (ii) les activités de co-consommation sans objectif lucratif et avec partage de frais (par exemple les revenus issus d’un covoiturage – voir notre article sur la co-consommation et le partage de frais). Cette dispense s’appliquera lorsque le total des montants perçus par un même utilisateur n’excède pas un montant annuel fixé par arrêté ou lorsque le nombre de transactions réalisées dans l’année est inférieur au seuil fixé par ce même arrêté (nous comprenons que ce seuil pourrait être de 3.000 euros et 20 transactions par an).

Ce seuil (qui va être fixé par arrêté) ne doit cependant pas être confondu avec la « franchise fiscale » que les acteurs du numérique souhaitaient mettre en place, mesure qui avait les faveurs du Sénat (voir notre dernier article à ce sujet).

Maintien des autres obligations déclaratives des plateformes, à l’exception de la certification

Les autres obligations des opérateurs de plateforme en ligne prévues à l’article 242 bis sont maintenues et ces sociétés doivent :

1/ transmettre, à chaque transaction, une information sur les obligations fiscales et sociales des utilisateurs. Le non-respect de cette obligation est désormais sanctionné d’une amende forfaitaire globale fixée dans la limite d’un plafond de 50.000 euros (auparavant, 10.000 euros).

2/ envoyer à chaque utilisateur, avant le 31 janvier de chaque année, un récapitulatif annuel comprenant les informations listées dans les textes.

En revanche, l’obligation de certification annuelle sera supprimée lorsque les nouveaux textes entreront en vigueur dans les prochains mois. Ce mécanisme a été jugé superflu étant donné le renforcement des obligations existantes et la création d’obligations nouvelles (cf. notre prochain article sur la loi du 23 octobre 2018 concernant la nouvelle responsabilité solidaire des plateformes en matière de TVA, prévue à l’article 283 bis du Code général des impôts).

Droit du Partage continuera naturellement à suivre ces sujets pour vous.

Poster un commentaire

Classé dans Evolution du cadre juridique, Fiscalité et charges sociales, Obligations et responsabilité des plateformes