Réglementation e-commerce : les changements de 2016, 2017 et 2018 auxquels vous adapter

Entre les réformes intervenues cette année et celles qui se profilent, voici les évolutions légales à prendre en compte par les e-marchands.

A l'occasion de la Paris Retail Week 2016, la Fevad a présenté les évolutions réglementaires affectant l'e-commerce qui sont entrées en vigueur cette année ou le feront l'an prochain. Le premier grand chapitre concerne le droit de la consommation au travers de trois volets : médiation, prospection commerciale téléphonique et avis en ligne.

Médiation : depuis le 1er janvier 2016

Depuis le 1er janvier 2016, la médiation est obligatoire pour tous. "Quel que soit le canal de distribution – magasin, en ligne, téléphone…-, les marchands doivent proposer une voie de recours amiable ultime, confidentielle et transparente, que les consommateurs peuvent employer après que leurs démarches écrites ont échoué", précise Laure Baëté, responsable affaires juridiques à la Fevad.

Pour ce qui concerne les e-commerçants, ils doivent proposer un service de médiation dans leur pays et le mentionner dans leurs CGV et sur leur site, à la fois avant, pendant et après la commande. La Fevad dispose par exemple d'un service de médiation agréé, réservé à ses adhérents, capable aussi de traiter les litiges en point de vente. Le marchand doit aussi indiquer l'existence de la plateforme de règlement en ligne des litiges de la Commission européenne mise en service mi-février, notamment dans le cas d'achats transfrontaliers. En cas de manquement, le marchand risque jusqu'à 15 000 euros d'amende.

Prospection commerciale téléphonique : depuis le 1er juin 2016

En matière de prospection téléphonique, une nouvelle obligation a été introduite par la loi consommation Hamon de mars 2014 et le dispositif est opérationnel depuis le 1er juin 2016. Lors de la collecte des coordonnées téléphoniques, les marchands ou leurs prestataires doivent informer le consommateur sur l'existence de la liste nationale d'opposition Bloctel. D'autre part, avant toute campagne, ils doivent consulter cette liste pour exclure de leur plan de prospection les personnes qui y sont inscrites, à moins qu'elles n'aient donné leur accord exprès (en opt-in). "L'amende n'est pas négligeable : elle peut aller jusqu'à 75 000 euros, met en garde Laure Baëté. D'autant que c'est une amende administrative, qui peut donc être décidée par la DGCCRF sans recours à un juge."

Avis en ligne : 1er trimestre 2017

Il y a quelques années, la DGCCRF s'était déjà posé la question de la réglementation des avis en ligne, en particulier dans le tourisme. Une nouvelle disposition issue du projet de loi pour une République numérique a été adoptée le 27 septembre. "Le décret d'application n'a pas encore été rédigé mais le gouvernement a mis en place un groupe de travail, indique Laure Baëté. Le décret sera publié d'ici la fin du premier trimestre 2017."

"Il n'est pas nécessaire de modérer les avis en ligne a priori"

Les marchands auront alors l'obligation de délivrer une information loyale, claire et transparente. Concrètement, ils ne seront pas obligés de contrôler les avis, mais devront dire s'ils l'ont fait et de quelle façon. "Il n'est donc pas du tout nécessaire de modérer les avis a priori", note Laure Baëté. En revanche, les marchands devront mentionner la date de l'avis, pour que le lecteur puisse voir s'il risque d'être périmé. Par ailleurs il leur faudra, lorsqu'ils rejetteront un avis, en donner la raison à son auteur. Une fonctionnalité gratuite doit enfin permettre aux responsables des produits et services de signaler un avis douteux.

Plateformes et marketplaces : 1er trimestre 2017

La loi République Numérique, qui doit être adoptée cette semaine, s'attache à réguler les "plateformes". Tout d'abord, elle les définit comme les services en ligne qui, via des algorithmes, classent ou référencent des contenus, biens ou services proposés par des tiers, ainsi que les services en ligne de mise en relation de plusieurs parties en vue de la vente, de l'échange ou du partage d'un bien ou d'un service. Ces plateformes seront soumises à trois obligations de loyauté de l'information délivrée au consommateur. Premièrement sur ses CGU et ses modalités de référencement, classement et déréférencement, deuxièmement sur l'existence d'une relation contractuelle, capitalistique ou de rémunération qui influence le référencement et le classement, troisièmement la nature du marchands tiers (pro ou non) et les droits et obligations des parties en matière civile et fiscale. Les décrets d'application sont attendus au premier trimestre 2017.

Quant à la fiscalisation des plateformes, elle est introduite par la loi de finances 2016. Ce texte exige qu'elles informent leurs utilisateurs à chaque transaction sur leurs obligations fiscales et sociales, et qu'elles leur adressent en janvier de chaque année le récapitulatif du montant brut perçu au cours de l'année précédente. "L'entrée en vigueur est prévue pour novembre ou décembre 2016, pour une première application en janvier 2017", détaille Marine Pouyat, responsable affaires juridiques à la Fevad.

Données personnelles : 25 mai 2018

Un autre grand chapitre des évolutions réglementaires actuelles en matière d'e-commerce porte sur les données personnelles. A ce sujet, deux textes de loi vont s'appliquer. Le premier est un règlement européen adopté en avril, qui s'appliquera donc sans nécessiter de transposition en droit national, à partir du 25 mai 2018. "Son champ d'application est extrêmement large puisqu'il s'appliquera aussi hors de l'UE, par exemple sur une entreprise allemande qui stockerait ses data en Inde, ou sur une entreprise argentine traitant des données d'Européens", souligne Marine Pouyat. Un système de guichet unique permettra par ailleurs aux entreprises établies dans plusieurs Etats membres d'avoir une autorité de protection des données nationales principale. Ce règlement devra être respecté à la lettre : tout manquement pourra être sanctionné très sévèrement, les amendes pouvant atteindre 2% du chiffre d'affaires mondial de l'année précédente.

"Même un simple identifiant est considéré comme donnée personnelle"

Pour se mettre en conformité avant mai 2018, les entreprises devront réviser un certain nombre d'éléments : politiques de confidentialité, conditions générales, procédures, normes de sécurité des données, contrats de traitement de données, accords partenaires… Elles auront également une obligation d'information en cas de violation de leurs données. Une notion de responsabilité (accountability) est aussi introduite, les obligeant à savoir démontrer aux autorités nationales qu'elles sont en conformité avec les exigences légales. Pour cela, elles devront mettre en place les principes de protection des données dès la conception et par défaut, mais aussi documenter leurs méthodes de protection des données.

En outre, les entreprises dont l'activité de base "consiste en des opérations de traitement qui (…) exigent un suivi régulier et systématique des données personnelles à grande échelle" devront obligatoirement désigner un délégué à la protection des données, indique le règlement. Ce délégué, contact privilégié pour les autorités de protection, ne fait pas nécessairement partie de l'entreprise, qui peut par exemple désigner un consultant ou un cabinet d'avocat.

Enfin, le règlement européen précise les grands principes à respecter. On retiendra en particulier que les données personnelles doivent être collectées pour des finalités déterminées, explicites et légitimes, mais aussi limitées à ce qui est nécessaire au vu de ces finalités. De plus, "même un simple identifiant est considéré comme donnée personnelle, donc on élargit beaucoup le concept", souligne Marine Pouyat. Une nouvelle notion fait aussi son apparition : la pseudonymisation des données personnelles. Lorsqu'on traite les données de façon à ce qu'elles ne puissent plus être attribuées à une personne concernée sans avoir recours à des informations supplémentaires, elles bénéficient d'un régime un peu plus flexible. Enfin, le règlement porte à l'échelle européenne le droit à l'oubli et le droit à la portabilité des données.

Problème, la loi République Numérique aborde elle-aussi la protection des données. "Il y aura un problème d'interprétation des deux textes, qui se chevauchent", anticipe Marine Pouyat. Pour la spécialiste, le sujet le plus critique en termes de compatibilité est celui de la portabilité, dont le champ d'application et les restrictions ne sont pas les mêmes entre les deux textes, qui entreront en vigueur le même jour.

Et aussi :

 

Fevad / Retail