Annexe
Commerce électronique: évaluation de la protection du consommateur en Suisse Rapport final du Contrôle parlementaire de l'administration
du 13 mai 2004
2005-0202
4709
L'essentiel en bref
Le commerce électronique offre de grandes possibilités tant pour le consommateur que pour le fournisseur. Si la Suisse dispose d'infrastructures technologiques de tout premier plan, le consommateur suisse semble cependant manquer de confiance, cela surtout en ce qui concerne les aspects contractuels et la protection des données.
En Suisse, il n'existe pas de loi spécifique sur le commerce électronique. Les diffé- rentes lois - code des obligations (CO), loi contre la concurrence déloyale (LCD), loi sur l'information des consommateurs (LIC), loi fédérale sur la protection des données (LPD) - permettent aux acteurs de se servir de ce moyen de transaction.
Mais les particularités du commerce électronique posent plusieurs problèmes pour qu'un consommateur suisse puisse prendre une décision libre, éclairée et réfléchie. Il n'y a pas d'obligations en matière d'information précontractuelle, par exemple sur l'identité du fournisseur, seul le manque de loyauté étant sanctionné. Le droit de révocation fait également défaut. Le problème de la garantie pour défauts de la chose n'est pas réglé d'une façon adéquate.
La mise en œuvre de certains droits et devoirs d'information est problématique. La LIC demande que soient indiquées les caractéristiques essentielles des produits, mais elle ne trouve aucun écho pratique. D'autre part, il n'y a pas de contrôle des clauses contractuelles déloyales sur la base de la LCD.
Enfin, si les acteurs rencontrent un problème, ils peuvent intenter une action en justice. Or depuis la popularisation d'Internet, aucun litige n'a été porté devant les tribunaux suisses, le rapport coût/bénéfice étant pénalisant pour le consommateur.
La LPD est une loi abstraite et neutre du point de vue de la technologie. Elle ne comporte pas de dispositions spécifiques à Internet. L'interprétation concrète de certaines dispositions et notions dépend de la jurisprudence des tribunaux. L'absence de décision judiciaire dans ce domaine favorise l'insécurité juridique.
La surveillance à exercer sur les organes de la Confédération et les particuliers en application de la LPD incombe au préposé fédéral à la protection des données (PFPD). À ce jour, dans le domaine du commerce électronique en tant que tel, le PFPD n'a pas épuisé toute sa marge de manœuvre et n'a pas émis de recommanda- tions. Des recommandations et des décisions judiciaires seraient profitables à la protection des données dont le but est avant tout de déployer un effet préventif.
Dans le domaine du commerce électronique, les propriétaires de fichiers ne sont pas en mesure de respecter l'obligation qui leur est faite de contrôler si les données qu'ils reçoivent sont exactes. En raison de l'anonymat d'Internet, de tels contrôles seraient disproportionnés. L'obligation de fournir à quiconque en fait la demande des renseignements au sujet des données traitées à son sujet est assez bien respec- tée. Lorsqu'il la demande, le consommateur reçoit la plupart du temps l'information souhaitée. Le problème est que, dans le dédale d'Internet, le consommateur n'est pas en mesure de suivre le devenir de ses données ni de savoir quelle entreprise les conserve dans ses bases de données. Cela étant, à titre de mesure destinée à proté- ger sa personnalité, il peut seulement requérir que les données soient rectifiées ou
4710
détruites ou que leur communication à des tiers soit interdite, mais il ne peut pas interdire le traitement des données.
D'autres dispositions sur le registre des fichiers ou la mise en place de mesures organisationnelles posent également d'importants problèmes de mise en œuvre dans le domaine du commerce électronique.
La Suisse n'autorise les échanges de données qu'avec les États qui garantissent une protection équivalente. Actuellement, contrairement à l'UE, la Suisse ne cherche pas à conclure de conventions qui permettraient de régler le transfert transfronta- lier de données avec des pays tiers ne disposant pas d'un tel niveau de protection. Ainsi, il incombe à l'entreprise qui veut transférer des données de conclure un contrat de protection des données avec chaque entreprise implantée dans un pays tiers non équivalent.
En ce qui concerne les aspects transfrontaliers, la protection du consommateur suisse dépend des options qu'il peut exercer sur la détermination du tribunal compé- tent, du choix du droit applicable et de l'exécution de la décision judiciaire. Les règles de la loi sur le droit international privé et de la Convention de Lugano posent des problèmes de définitions et d'application. En général, le consommateur passif suisse a la possibilité d'intenter une action devant le tribunal de son lieu de domicile et se voit appliquer les règles du droit suisse. Cela implique que, dans de nombreux cas de figure, il est moins protégé qu'un consommateur européen.
Dans le cadre de litiges de concurrence déloyale, un consommateur étranger qui se fournit sur un site suisse peut déposer une plainte auprès du seco et avoir recours à ses services pour qu'il intente une action en sa faveur. Cette option n'est pas accor- dée au consommateur suisse.
Les labels et les mécanismes d'autorégulation peuvent être des compléments inté- ressants aux normes légales. Mais en Suisse, les trois labels d'e-commerce sont très peu répandus et les quelques procédures alternatives de règlement des différends ne sont pas utilisées par les consommateurs.
Au vu des lacunes législatives et des problèmes de mise en œuvre présentés ci- dessus, le manque de confiance des consommateurs suisses n'est pas levé et le potentiel économique du commerce électronique ne peut se réaliser pleinement.
4711
Table des matières
L'essentiel en bref Abréviations
4710
4714
1 Mandat
4715
1.1 Question de base
4715
1.2 Structure du rapport final
4715
1.3 Méthodologie
4716
2 Cadre général du commerce électronique
4717
2.1 Statistiques sur le commerce électronique
4717
2.2 Cadre légal en Suisse 2.2.1 Survol des normes internationales sur l'e-commerce
4721
4722
2.3 Acteurs principaux du commerce électronique en Suisse 4722
3 Aspects contractuels
4724
3.1 Questions de recherche
4724
3.2 Problématique globale 4725
3.3 Contrat
4726
3.3.1 Phase précontractuelle
4726
3.3.2 Conclusion du contrat
4730
3.4 Droit de révocation
4733
3.5 Recours et sanctions
4733
3.6 Information des consommateurs
4735
3.7 Multiplicité des règles
4735
3.8 Indication des prix
4736
3.9 Confiance des consommateurs
4737
3.10 Rôle des offices concernant la mise en œuvre
4738
4 Protection des données dans l'e-commerce
4.1 Questions de recherche
4739
4.2 Bases légales
4740
4.3 Acteurs étatiques
4742
4.3.1 Préposé fédéral à la protection des données
4742
4.3.2 Commission fédérale de la protection des données
4742
4.4 Analyse du commerce électronique
4743
4.4.1 Dimension d'Internet
4743
4.4.2 Prise de conscience insuffisante et manque de connaissances 4744
4745
4.4.4 LPD: une loi abstraite et exhaustive
4746
4.4.5 Neutralité technologique vs orientation technologique
4747
4.4.6 Principe d'équivalence
4747
4.4.7 Information du consommateur
4748
4.4.8 Obligation de déclarer
4749
4.4.9 Exactitude des données 4750
4.4.10 Communication de données à des tiers 4750
4712
4.4.3 Proportionnalité des fichiers
4739
4.4.11 Aspects techniques et organisationnels de la protection des données 4753
4.4.12 Faible poids des sanctions 4754
4.4.13 Rôle du PFPD dans le domaine de l'e-commerce 4756
4.4.14 Conventions et directives internationales 4758
5 Commerce électronique transfrontalier
4759
5.1 Aspects contractuels 4759
5.2 Protection des données 4763
6 Autorégulation dans l'e-commerce 4763
7 Conclusion 4765
Annexe
Questionnaire «Protection des consommateurs et e-commerce» 4772
Bibliographie 4774
Sites Internet consultés 4779
Liste des personnes entendues 4780
4713
Abréviations
AFC
Administration fédérale des contributions
ATF Arrêt du Tribunal fédéral
BFC
Bureau fédéral de la consommation
CAJ-E Commission des affaires juridiques du Conseil des États
CC Code civil (RS 210)
CdG-E Commission de gestion du Conseil des États
CdG-N
Commission de gestion du Conseil national
CEC
Centres Européens des Consommateurs
CFPD Commission fédérale de la protection des données
CI SI Comité interdépartemental pour la société de l'information
CNUCED Conférence des Nations Unies sur le commerce et le développement
CO Code des obligations (RS 220)
CP
Code pénal (RS 311.0)
CPA
Contrôle parlementaire de l'administration
Cst Constitution (RS 101)
DFE
Département fédéral de l'économie
DFF
Département fédéral des finances
DFJP Département fédéral de justice et police
FRC
Fédération romande des consommateurs
LCD
Loi fédérale contre la concurrence déloyale (RS 241)
LDIP Loi fédérale sur le droit international privé (RS 291)
LIC
Loi fédérale sur l'information des consommatrices et des consomma- teurs (RS 944.0)
LPD
Loi fédérale sur la protection des données (RS 235.1)
LPTh
Loi sur les produits thérapeutiques (RS 812.21)
LTC
Loi fédérale sur les télécommunications (RS 784.10)
NCC
National Consumer Council
OCDE
Organisation de coopération et de développement économiques
OFCOM
Office fédéral de la communication
OFJ
Office fédéral de la justice
OFS
Office fédéral de la statistique
OIP
Ordonnance sur l'indication des prix (RS 942.211)
OLPD
Ordonnance relative à la loi fédérale sur la protection des données (RS 235.11)
PFPD
Préposé fédéral à la protection des données
PME Petites et moyennes entreprises
RICPC
Réseau international de contrôle et de protection des consommateurs
TVA
Taxe sur la valeur ajoutée
UE Union Européenne
4714
Rapport
1 Mandat
Dans le cadre des évaluations concernant la protection des consommateurs1, la sous- commission DFF/DFE de la Commission de gestion du Conseil national (CdG-N) a mandaté, le 8 mai 2003, le Contrôle parlementaire de l'administration (CPA) pour effectuer une étude sur le commerce électronique.
Le 16 octobre 2003, le CPA a présenté un rapport intermédiaire qui couvrait quatre volets du commerce électronique, à savoir les aspects contractuels, la protection des données, la fiscalité et la responsabilité pour le contenu illicite. En ce qui concerne les deux derniers points, la sous-commission a choisi de transmettre au Conseil fédéral les parties correspondantes du rapport intermédiaire du CPA. La requête de la CdG-N est que les départements fédéraux responsables prennent directement connaissance des points problématiques soulevés et examinent l'opportunité de proposer des mesures correctives. Le présent rapport final se focalise donc sur les aspects contractuels et la protection des données dans le domaine de l'e-commerce.
1.1 Question de base
Conformément au mandat donné par la sous-commission, le CPA analyse essentiel- lement les problèmes liés à la mise en œuvre de la législation existante dans le domaine du commerce électronique. La question principale est:
La législation existante est-elle mise en œuvre de manière adéquate pour proté- ger le consommateur dans le domaine de l'e-commerce?
Cette question de base est complétée, comme cela a été proposé dans le rapport intermédiaire, par des questions de recherche spécifiques aux deux thèmes abordés. Ces questions de recherche, présentées aux ch. 3.1, 4.1 et 6, mettent également l'accent sur les problèmes relatifs à la conception de cette politique, y compris les lacunes législatives, et aux mesures d'autorégulation.
1.2 Structure du rapport final
Le rapport final est structuré en six chapitres. Le premier présente des données sur le commerce électronique, décrit les acteurs impliqués et récapitule les bases légales. Les deux chapitres principaux abordent les questions liées premièrement aux aspects contractuels et deuxièmement à la protection des données, dans le cadre national, c'est-à-dire dans les cas où le consommateur et le fournisseur sont suisses. Le qua- trième chapitre investigue la problématique transfrontalière de l'e-commerce. Le
1 Le 26 juin 2003, le CPA a publié à l'attention de la CdG-N un rapport intitulé «Sécurité des denrées alimentaires: évaluation de la mise en œuvre en Suisse».
4715
cinquième aborde l'autorégulation. Le dernier chapitre tire les conclusions en répon- dant précisément aux questions de recherche.
1.3 Méthodologie
Le CPA se base sur une méthode triangulaire pour mener à bien son étude. Les trois sources utilisées sont la littérature spécialisée, les analyses secondaires d'études statistiques et les entretiens avec des praticiens du commerce électronique.
L'abondante littérature spécialisée dans le domaine est une source importante d'informations pour mener à bien cette évaluation.
Pour apporter un deuxième angle de vision, le CPA a recours à des statistiques provenant de plusieurs études menées sur les aspects contractuels et la protection des données. En mars 2004, le Conseil pour la protection de la personnalité a publié les résultats d'un sondage mené auprès de 1220 Suisses concernant la protection des données.2 Un autre sondage a été effectué par Schwager pour K-Tipp en mars 2003 auprès de 30 sites Internet suisses sur seize critères inspirés des lignes directrices de l'OCDE régissant la protection des consommateurs dans le contexte du commerce électronique.3 En février 2001, Gilding a rapporté les résultats du jour de balayage mené par le seco, qui a investigué 30 sites suisses selon dix critères4 de conformité aux règles contractuelles des directives de l'OCDE. Enfin, Andersen a publié une étude menée sur 100 sites suisses en 2001 concernant plusieurs domaines, dont les aspects contractuels et la protection des données.5 Les résultats d'enquêtes interna- tionales menées par le National Consumer Council (NCC)6, Consumers International (deux études)7 et le réseau des Centres Européens des Consommateurs (réseau CEC)8 sont également présentés, pour autant qu'ils apportent un éclairage intéres- sant sur la Suisse. Ces rapports se basent sur des enquêtes effectuées en Grande- Bretagne en 2000, dans treize pays développés en 2001 et dans quatorze pays de l'Union Européenne (UE) en 2003. Ils se réfèrent aux normes de l'OCDE et de l'UE et, dans deux cas, ont même procédé à l'achat de produits sur Internet.
De plus, le CPA a mené 13 entretiens approfondis et standardisés9 auprès de repré- sentants des associations de protection des consommateurs, de responsables de sites Internet, de consultants et d'experts privés dans le domaine, ainsi que de fonction- naires fédéraux compétents pour les questions de commerce électronique.10 Le CPA a basé son choix de sites Internet sur ceux qui proposent les produits les plus cou- ramment achetés sur Internet, tout en montrant une diversité des problématiques sectorielles. Ils représentent un mélange entre des sites importants, des sites moins connus, des sites régionaux et des sites à exposition internationale. Ils ont été sélec-
2 Conseil pour la protection de la personnalité, 2004.
3 Schwager, 2003.
4 Gilding, 2001. Un «jour de balayage» représente une journée au cours de laquelle le seco évalue si une sélection de sites suisses respecte des critères prédéfinis concernant un as- pect lié à Internet. Ce «jour de balayage» est mené simultanément par les offices compé- tents dans un grand nombre de pays.
5 Andersen, 2003.
6 National Consumer Council, 2000.
7 Consumers International, 2001a et Consumers International, 2001b.
8 Réseau CEC, 2003.
9 Voir questionnaire, p. 4772.
10 Voir la liste des personnes entendues, p. 4780.
4716
tionnés grâce à des ressources utilisées par les consommateurs (bases de données sur les sites Internet, articles de presse, moteurs de recherche et recommandations de connaissances). Cette méthode de choix est utilisée par les études statistiques aux- quelles le CPA se réfère. A noter que le choix des sites est nettement biaisé en faveur de ceux qui jouissent déjà de la confiance des consommateurs. Il est difficile de trouver des sites «déloyaux» et il aurait été encore plus improbable que ceux-ci répondent de manière positive aux sollicitations du CPA. L'accent est plutôt mis sur la représentativité des achats et des visiteurs que sur la représentativité des risques pour les consommateurs.
2 Cadre général du commerce électronique
Dans ce rapport, le commerce électronique est décrit comme toute transaction et communication commerciales impliquant la distribution, la promotion, le marketing et la vente d'informations, de marchandises ou de services transmis, acheminés et reçus en partie à tout le moins par Internet.11 Tout ou partie de la conclusion du contrat se réalise de manière automatique.12
Le rapport aborde le commerce électronique sous l'angle de la relation entre un four- nisseur et un consommateur (B2C, «business to consumer»), qui est défini comme une personne physique agissant dans un cadre extérieur à son activité profession- nelle. Sont exclus de cette recherche les liens contractuels conclus sur Internet entre des entreprises (B2B, «business to business»), les relations entre les particuliers et l'administration (e-government)13, les sites de vente aux enchères et la signature électronique.14
Cette étude se focalise sur le point de vue du consommateur; les aspects concernant la protection d'autres acteurs (fournisseur, employé, maître de fichier) ne sont pas traités en détail.
À noter que plusieurs points mis en évidence dans cette évaluation ne touchent pas exclusivement l'e-commerce, mais parfois toutes les formes de vente.
2.1 Statistiques sur le commerce électronique
Les études statistiques montrent que la Suisse est dans le peloton de tête des pays en ce qui concerne l'infrastructure technique15 nécessaire pour le commerce électroni- que et l'utilisation des nouvelles technologies d'information et de communication16. D'après la CNUCED, la Suisse est le pays qui compte le plus d'ordinateurs par
11 Commission fédérale de la consommation, 1999, p. 2.
12 Züst, 2001, p. 18.
13 Selon une étude de Cap Gemini Ernst& Young, la Suisse n'est qu'au quinzième rang du classement de dix-huit cyberadministrations européennes. Source: Hurlimann, 2004, p. 9.
14 La loi fédérale sur la signature électronique (FF 2003 7493) a été adoptée le 19 décembre 2003.
15 C'est en 1994, avec le lancement du premier Navigator de Netscape, que l'expansion à tous les usagers d'Internet a permis la création des premiers sites de commerce électro- nique.
16 Hollenstein et Wörter, 2003, p. 42.
4717
habitant. Une étude du World Economic Forum17 place la Suisse en septième posi- tion mondiale de son Network Readiness Index, qui mesure le degré de préparation d'un pays à participer et à bénéficier du développement des nouvelles technologies. Selon l'Economist Intelligence Unit18, la Suisse se classe au huitième rang mondial en ce qui concerne le degré de préparation du marché à exploiter les opportunités liées à Internet. Enfin, selon l'Office fédéral de la statistique (OFS), début 2003, 63 % des Suisses avaient utilisé Internet au moins une fois au cours des six derniers mois, comparé à une moyenne de 43 % dans l'UE.19
Toutefois, toujours selon l'Economist Intelligence Unit, la Suisse n'est classée que quinzième dans la catégorie du commerce électronique, qui comprend le degré de commerce effectué de manière électronique, la qualité des systèmes et de la logisti- que, et le niveau de développement de l'e-business. De plus, selon l'OFS, seuls 6,4 % de la population effectue régulièrement des achats sur Internet. Selon Ander- sen, le consommateur suisse, par rapport à son homologue européen, semble plus prudent, plus timoré et plus conscient des problèmes liés à la sécurité.20 En compa- raison avec des pays ayant un niveau de vie et des caractéristiques d'accès à Internet similaires, comme le Danemark, la Suède et les Pays-Bas21, le nombre de e-con- sommateurs suisses est plus bas. Il y a donc un décalage entre, d'une part, la quantité et la qualité de l'infrastructure technologique présente en Suisse et, d'autre part, l'utilisation effective d'Internet par les consommateurs suisses pour se procurer des biens et des services. Une hypothèse, qui sous-tend la présente évaluation, est que la législation suisse et son application ne renforcent pas de manière suffisante la confiance des consommateurs. Les études suivantes illustrent les pratiques des e-consommateurs et mettent en avant certains problèmes rencontrés sur Internet.
Un sondage réalisé en automne 2002 pour l'OFS révèle que, pour les entreprises, le commerce électronique est plus développé à l'achat qu'à la vente. Les deux prin- cipaux obstacles à la vente sur Internet sont l'inadéquation des produits et le manque de confiance des consommateurs. Cette méfiance s'explique par les lacunes juridi- ques relatives à la sécurisation des paiements, à la protection des données, à la sécurité des contrats ou à la garantie.22 Ces résultats reflètent ceux présentés par l'étude du NCC, selon laquelle les consommateurs ont peur de donner leur numéro de carte de crédit, ne sont pas sûrs d'avoir affaire à un vendeur bien intentionné et ne peuvent vérifier le bien ou le service avant l'achat. Il résulte que 78 % des consom- mateurs se sentent moins sûrs lors d'achats en ligne que lors d'achats traditionnels. Seule une minorité de consommateurs pense avoir sur Internet les mêmes droits et protections que dans les autres canaux de distribution.23 Enfin, les consommateurs sont toujours plus sceptiques quant à leur protection lors d'achats transfrontaliers par rapport aux achats effectués dans leur pays.
Selon le sondage réalisé pour le Conseil pour la protection de la personnalité, 57 % des Suisses pensent qu'ils ne peuvent pas se protéger contre des utilisations abusives de leurs données personnelles, ce qui leur occasionne surtout des ennuis (70 %), des
17 World Economic Forum, 2003 et www.ejic.org.
18 Economist Intelligence Unit, 2003 et www.ebusinessforum.com.
19 67 % en Suède, 64 % aux Pays-Bas, mais seulement 38 % en Allemagne et 34 % en France. Source: Eurobarometer, 2004, p. 10.
20 Andersen, 2001, p. 5.
21 Eurobarometer, 2004, p.3.
22 OFS, 2003, p. 2.
23 OCDE, 2003, p. 4.
4718
atteintes à la sphère privée (62 %), des pertes financières (52 %) voire une atteinte à leur honneur (50 %). Les données qu'ils transmettent le moins sont leur numéro de carte de crédit, leur fortune, leurs dettes et leur revenu. Et c'est Internet qui est de loin le lieu où les consommateurs suisses ont le moins confiance de donner des renseignements sur leurs données confidentielles, comme le montre la figure 1.
Figure 1
Moyen de communication préféré par les consommateurs suisses pour donner des renseignements sur des données confidentielles (en %)
80
70
60
50
40
30
20
10
0
Face-à-face Par courrier Par telephone Par courriel
Par Internet
Source: Conseil pour la protection de la personnalité, 2004, p. 11.
Selon l'étude de Rudolf et Löffler24, 25 % de la population suisse a déjà effectué au moins un achat sur Internet. Les achats sont surtout constitués de livres, de CDs, de matériel informatique, de vidéos/DVD et de voyages.25 La valeur moyenne des achats effectués est de 553 francs. Les obstacles (sécurité, protection des données, information, droit de révocation) au commerce électronique sont plus importants pour ceux qui n'ont pas encore effectué d'achats en ligne que pour ceux qui ont déjà pratiqué le commerce électronique.
L'enquête REMP 200326 montre que les e-consommateurs suisses-allemands achè- tent surtout sur des sites suisses (86 %) mais aussi allemands (31 %). L'interna- tionalité des achats sur Internet est confirmée par une étude d'Ernst& Young, selon laquelle 72 % des e-consommateurs suisses ont déjà acheté sur des sites étrangers.27 Enfin, la méfiance des consommateurs suisses semble se vérifier par l'utilisation des moyens de paiement employés sur Internet: la facture (72 %) vient loin devant la carte de crédit (37 %) et le paiement contre remboursement (13 %). La différence par rapport aux sites européens est marquée, les pourcentages respectifs étant de 52 %, 71 % et 44 %.28
24 Rudolf et Löffler, 2002.
25 Egalement: Funk, 2001, p. 16 et REMP, 2003, p. 7.
26 REMP, 2003, p. 6.
27 Walther, 2002, p. 198.
28 Réseau CEC, 2001, p. 24.
4719
Au niveau mondial, le chiffre d'affaires lié au commerce électronique représente en 2003 moins de 2 % des ventes globales de détail. Mais, les taux de croissance sont très élevés, même dans les pays développés.29 Individuellement, 70 % des compa- gnies américaines sur Internet réalisent des profits30, ce qui n'est encore le cas que de peu d'entreprises européennes. Le tableau 1 montre les projections concernant quelques chiffres clés de l'e-commerce dans 17 pays européens, Suisse comprise.
Tableau 1
Evolution de l'e-commerce en Europe entre 2000 et 2008
Années
Acheteurs (en millions)
Panier moyen (en euros)
Chiffre d'affaires (en milliards d'euros)
2000
32
8,4
2001
43
16,5
2002
52
22,4
2003
70,2
425
29,8
2004
85,6
479
40,1
2005
98,9
525
51,9
2006
110,2
591
65,1
2007
119,2
673
80,3
2008
126
776
97,8
Source: www.journaldunet.com/cc/04_ecommerce/ecom_marche_eu.shtml
Le tableau 1 montre clairement que l'augmentation du chiffre d'affaires est due à la combinaison de deux phénomènes: la hausse du nombre de consommateurs (qui est la conséquence d'une hausse antérieure du nombre de personnes connectées à Inter- net31) et la hausse de la valeur moyenne des achats réalisés sur Internet. Par rapport à 2003, le chiffre d'affaires devrait doubler en trois ans et tripler en cinq ans.
Pour la Suisse, des statistiques globales sur le chiffre d'affaires ou les profits réalisés sur Internet ne sont pas disponibles. Celles issues de l'association suisse de la vente par correspondance, qui estiment que les ventes sur Internet représentent 10,3 % du total des ventes par correspondance, soit 220 millions de francs suisses en 200332 sont douteuses de par la couverture des domaines recensés. Comme alternative, le CPA présente, dans le tableau 2, les données liées au nombre de visites effectuées sur les sites Internet. Amazon vient en septième position de tous les sites visités en Suisse allemande, en 2003. Certes, toutes ces visites ne débouchent pas sur des achats, puisque les consommateurs utilisent aussi Internet pour s'informer et effec- tuer des comparaisons de prix.
29 + 56 % en France et + 72 % en Grande-Breatge en 2003, selon www.journaldunet.com.
30 CNUCED, 2003, p. 1.
31 Selon Seydtaghia, 2003, 70 % des internautes qui achètent en ligne surfent depuis 3 ans au moins. Les mêmes estimations sont faites sur www.journaldunet.com.
32 Association suisse de la vente par correspondance, 2004, p. 3. Les comparaisons avec les autres pays européens sont difficiles, la Suisse n'ayant pas les mêmes critères de compta- bilité que les autres pays.
4720
Tableau 2
Les dix sites de commerce électronique les plus visités selon le critère du cercle élargi d'utilisateurs33 (en Suisse allemande, 2003)
Site
Utilisateurs
Site
Utilisateurs
Amazon.ch/amazon.de
622 000
Shop.coop.ch
376 000
Interdiscount.ch
493 000
Dell.ch
360 000
Ticketcorner.ch
471 000
Easyjet.com
358 000
Swiss.ch
464 000
Weltbild.ch
313 000
Exlibris.ch
431 000
Books.ch
312 000
Source: basé sur REMP, 2003, pp. 2-3.
2.2 Cadre légal en Suisse
En Suisse, l'art. 97 de la Constitution prévoit que la Confédération prend des mesu- res destinées à protéger les consommateurs. Il n'y a pas de loi spécifique sur le commerce électronique. La Suisse s'en tient aux outils juridiques classiques. C'est le code des obligations (CO; RS 220) qui s'applique pour régler les relations contrac- tuelles entre le consommateur et le fournisseur. La loi contre la concurrence déloyale (LCD; RS 241) cherche à garantir, dans l'intérêt de toutes les parties concernées, une concurrence loyale et qui ne soit pas faussée. La loi sur l'information des con- sommateurs (LIC; RS 944.0) a pour but d'encourager une information objective des consommateurs. Enfin, la loi fédérale sur la protection des données (LPD; RS 235.1) vise à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données.
En janvier 2001, suite à des recommandations de la Commission fédérale de la con- sommation et de plusieurs interventions parlementaires, un avant-projet de révision du CO et de la LCD, dont le but était de s'assurer que la participation des consom- mateurs au commerce électronique ne leur soit pas préjudiciable, a été soumis à la procédure de consultation. Il a reçu un accueil plutôt mitigé. En décembre 2002, le Conseil fédéral a pris connaissance des résultats de la consultation et a chargé le Département fédéral de justice et police d'élaborer un message, qui devrait paraître dans la deuxième moitié de 2004. D'autre part, suite à deux motions, un message sur la révision partielle de la LPD a été présenté en février 2003. Le Conseil national a renvoyé le projet au Conseil fédéral en mars 2004.34 Enfin, le 7 avril 2004, le Conseil fédéral a chargé le DFE de mettre en consultation un rapport d'expert sur la révision de la LIC.35 Ces trois projets abordent une partie des aspects traités dans ce rapport.
33 Le cercle d'utilisateurs élargi est la somme des personnes qui ont utilisé le site mentionné au moins une fois lors des six derniers mois. Le nombre total d'utlisateurs est de 2 581 000 personnes. L'étude REMP recense tous les sites Internet, alors que la table ci-dessus reprend les sites proposant des services de commerce électronique.
34 Voir ch. 4.2.
35 BFC, 2004.
4721
2.2.1 Survol des normes internationales sur l'e-commerce
En décembre 1999, l'OCDE a adopté les Lignes directrices régissant la protection des consommateurs dans le contexte du commerce électronique. Ce document pos- tule que les consommateurs doivent bénéficier d'une protection transparente et effi- cace d'un niveau équivalent à celui assuré dans les autres formes de commerce. Il sert de référence à un grand nombre de législations nationales, aux organisations de protection des consommateurs et aux sociétés de certification.
Dans le domaine de la protection des données, le Conseil de l'Europe a adopté la Convention pour la protection des données à caractère personnel. L'OCDE a approuvé en 1980 les Lignes directrices régissant la protection de la vie privée et les flux transfrontaliers de données de caractère personnel.
D'autres organisations internationales comme l'Organisation mondiale du commerce et l'Organisation mondiale de la propriété intellectuelle ont également développé des lignes directrices concernant des aspects particuliers du commerce électronique. Même si ces normes sont rarement contraignantes pour la Suisse, elle s'en inspire en tant que membre de ces organisations.
Enfin, l'UE a émis les directives suivantes dans ce domaine: 97/7/CE concernant la protection des consommateurs en matière de contrats à distance, 99/44/CE sur cer- tains aspects de la vente et des garanties des biens de consommation, 2000/31/CE relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique»), 2002/65/CE concernant la commercialisation à distance de services financiers auprès des consommateurs, ainsi que 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données.
2.3 Acteurs principaux du commerce électronique en Suisse
Les principaux acteurs dans le contexte du commerce électronique sont bien entendu les consommateurs et les fournisseurs, qui n'entrent pas physiquement en contact, ni dans la phase précontractuelle, ni lors de la conclusion du contrat. Les fournisseurs d'accès et d'hébergement, les organismes de certification, les sociétés émettrices de cartes de crédit et les associations de protection des consommateurs complètent le tableau des acteurs privés.
Dans ce rapport, le consommateur ne se limite pas au cercle des fanatiques d'Internet, mais suit la définition du Tribunal fédéral: «il ne faut pas sous-estimer le pouvoir attractif et l'impact de la publicité sur le consommateur moyen, ni sures- timer la capacité d'attention et l'esprit critique de celui-ci» (ATF 129 III 426, 435).
En Suisse, il y a plusieurs acteurs publics qui sont chargés, entre autres tâches, de la thématique du e-commerce36: le Bureau fédéral de la consommation (BFC), l'Office fédéral de la justice (OFJ), le seco, le Préposé fédéral à la protection des données
36 En France, le Centre de surveillance du commerce électronique créé fin 2000 auprès de la direction générale de la concurrence, de la consommation et de la répression des fraudes, repose sur 37 «cyberenquêteurs». Voir http://www.minefi.gouv.fr/DGCCRF/
4722
(PFPD), l'Administration fédérale des contributions (AFC) et l'Office fédéral de la communication (OFCOM).
Figure 2
Les acteurs dans le domaine du commerce électronique
Seco
BFC
PFPD
OFJ
AFC
OFCOM
Vendeur
INTERNET Organes de certification Sociétés émettrices de cartes de crédit Fournisseurs d'accès et d'hébergement
Consommateur
TRIBUNAUX
Source: CPA
Le rôle du PFPD est de surveiller la mise en œuvre de la LPD. Il sera explicité et évalué plus en détail au ch. 4.4.13. Les rôles de l'AFC et de l'OFCOM ne touchent qu'à la marge les thèmes abordés et ne sont donc pas approfondis dans cette évalua- tion.
Le BFC est le service compétent de la Confédération pour la politique à l'égard du consommateur. Il veille à la défense des intérêts collectifs des consommateurs en sauvegardant l'intérêt général. Il participe à l'élaboration et à la mise en application des lois et ordonnances touchant le domaine de la consommation, y compris le commerce électronique.
L'OFJ s'occupe presque exclusivement de l'aspect législatif, lié aux aspects con- tractuels (nationaux et internationaux) et de concurrence déloyale touchant au com- merce électronique. Il élabore donc surtout les messages et répond aux interpella- tions parlementaires.
Enfin, le seco, qui a pour objectif de créer un cadre politique et économique permet- tant de développer l'économie, contribue dans le domaine du e-commerce aux aspects liés à la concurrence déloyale. Il exerce la haute surveillance sur l'indication des prix (art. 20 LCD), les autres chapitres de la LCD étant du domaine du droit pénal et privé. Il veille à protéger la réputation de la Suisse par sa participation à des plates-formes internationales et par son droit d'intenter une action pour protéger un consommateur étranger en vertu de l'art. 10, al. 2, let. c, LCD.
4723
En 1996, le Conseil fédéral a mis en place un groupe de réflexion sur la société de l'information en Suisse. Sur la base de son rapport d'experts37, le Conseil fédéral a développé une stratégie pour le développement de la société de l'information, y compris la mise en place de conditions-cadres juridiques.38 Pour ce qui concerne l'e-commerce, cette stratégie exige la création de «conditions de nature à garantir une utilisation fiable de cet instrument et à satisfaire aux normes internationales tout en respectant le principe d'égalité face au commerce traditionnel». Les Départe- ments fédéraux des finances et de l'économie sont chargés de cette thématique. Depuis 1999, le Comité Interdépartemental pour la Société de l'Information (CI SI) rédige un rapport annuel sur les différents aspects liés à la société de l'information, y compris le commerce électronique.
L'évaluation du rôle des acteurs publics est présentée au ch. 3.10.
Les tribunaux sont appelés à intervenir suite à une action menée par les consom- mateurs ou les fournisseurs. Les jugements et la jurisprudence servent à appliquer et à préciser le droit. Le rôle des tribunaux sera évalué au ch. 3.5.
3 Aspects contractuels
Ce chapitre aborde les aspects contractuels liés à la protection des consommateurs dans le domaine du commerce électronique en Suisse. Dans ce rapport, les aspects contractuels ne se limitent pas uniquement au droit des contrats au sens strict, basé sur le CO, mais s'élargissent aux dispositions de la LCD et de la LIC qui entourent les contrats. La première section précise les questions de recherche auxquelles le CPA tente d'apporter des réponses dans cette évaluation. La deuxième section présente les principaux problèmes, tels que recensés lors des entretiens menés par le CPA. Les sections suivantes s'attardent plus spécifiquement sur ces points problé- matiques recensés et ce dans leur ordre d'importance.
3.1 Questions de recherche
Tout d'abord, il faut préciser la question de base dans le domaine des aspects con- tractuels sur Internet par les questions de recherche suivantes:
–
Quelles sont les principales lacunes et contradictions concernant les aspects contractuels liés à la protection des consommateurs dans le domaine du commerce électronique, par rapport aux autres formes contractuelles et par rapport aux spécificités du commerce électronique?
– Comment sont mis en œuvre les droits et devoirs d'information dont le consommateur doit disposer pour réaliser son choix sur Internet?
– Le mécanisme de sanctions protège-t-il adéquatement le consommateur?
Il s'agit donc d'évaluer si les normes générales existantes permettent de protéger efficacement le consommateur dans ce domaine, et plus particulièrement de s'assurer que le consommateur puisse prendre une décision sereine, libre, éclairée et
37 http://www.admin.ch/ch/f/egov/egov/kig/kig.html.
38 http://www.infosociety.ch/site/propos/references/details.asp?id_fiche=2867.
4724
réfléchie. Les réponses à ces questions de recherche seront explicitées dans la conclusion de cette évaluation.
3.2 Problématique globale
Le CPA a procédé à treize entretiens pour établir un jugement général sur les princi- paux problèmes qui se posent concernant les aspects contractuels dans le domaine de l'e-commerce en Suisse.39 En tout, 18 arguments différents ont été évoqués par les personnes interrogées. La figure 3 classifie les principaux problèmes constatés selon la fréquence de leur évocation au cours des treize entretiens. Ils touchent le contrat lui-même, les aspects transfrontaliers, le droit de révocation, les possibilités de recours, l'information des consommateurs, etc.
Figure 3
Fréquence des problèmes constatés concernant les aspects contractuels dans le domaine de l'e-commerce (sur 13 entretiens)
Contrat (3.3)
International (5)
Révocation (3.4)
Recours (3.5)
Information (3.6)
Règles multiples (3.7)
Anonymat (3.3)
Produit (3.3)
Prix (3.8)
Confiance (3.9)
Mise en œuvre (3.10)
0
2
4
6
8
10
Source: CPA.
Note: Les numéros entre parenthèses renvoient aux sections qui traitent les problè- mes énumérés.
39 Voir la question 1) du questionnaire présenté en annexe, p. 4772.
4725
3.3 Contrat
Un contrat est parfait lorsque les parties ont, réciproquement et d'une manière con- cordante, manifesté leur volonté (art. 1 CO). La conclusion d'un contrat recouvre plusieurs étapes. Dans la phase précontractuelle, l'identité du fournisseur, les pro- priétés du bien ou du service, les conditions générales et la publicité vont influencer le choix du consommateur. Le contrat lui-même peut prendre plusieurs formes, être conclu entre présents ou absents, mais il doit toujours représenter une offre qui, acceptée par l'autre partie, conduit à la conclusion du contrat. Les dispositions légales doivent garantir un consentement libre, éclairé et réfléchi du consommateur ainsi qu'un minimum de loyauté dans les clauses contractuelles.
Le principal problème identifié par les personnes interrogées porte sur le contrat, de sa phase précontractuelle jusqu'à sa conclusion. Dans cette section, sont également présentés les problèmes liés à l'anonymat du fournisseur et aux propriétés des pro- duits.
3.3.1 Phase précontractuelle
Le devoir d'information sur l'identité du fournisseur est basé sur l'art. 3, let. b, LCD, qui règle de manière générale l'interdiction de pratiques déloyales. Il interdit la tromperie sur l'identité, mais n'exige pas que l'identité soit dévoilée. Ces exigen- ces ont été prévues pour des méthodes de commercialisation entre deux parties présentes. Lorsque les parties n'entrent pas en contact physiquement, les devoirs d'information sur l'identité du fournisseur et ses produits sont plus importants. Par exemple, on observe des fournisseurs qui changent d'identité et qui réapparaissent sur d'autres sites. L'adresse Internet n'est pas forcément la même que le nom légal de l'entreprise. Selon les normes actuelles, un fournisseur sur Internet n'est pas tenu de dévoiler son identité telle qu'inscrite au registre du commerce, son siège social ou son domicile40; il peut se réfugier derrière des appellations fantaisistes (conclure un contrat avec l'entreprise Sunshine SA est suffisant) et utiliser des cases postales anonymes. Il s'agit là d'une grave lacune, qui est exploitée au détriment de la place économique suisse.41 Même les adresses Internet terminant en «.ch» ne sont pas exclusivement celles d'entreprises ayant leur domicile en Suisse.
En outre, il n'existe pas de contrôle de l'identité des fournisseurs. En droit des contrats, il n'y a pas de surveillance étatique, mais un droit qui s'applique entre un privé et un autre. La réglementation impose une limite à la liberté de faire et non pas une surveillance du fournisseur ou de ses produits. Si en trompant le consommateur au sens de l'art. 3, let. b, LCD, le fournisseur commet un acte de concurrence déloyale, seul les moyens de défense de la LCD sont à disposition: les actions civiles (art. 9 et 10 LCD) et le dépôt d'une plainte (art. 23 LCD). Ces moyens n'ont pas d'influence sur le contrat conclu entre le fournisseur et le consommateur.
Les lignes directrices de l'OCDE, dont la Suisse est membre, demandent que le site Internet présente le nom légal de l'entreprise, l'adresse géographique principale et une adresse téléphonique ou de courriel. L'adresse de courriel est importante
40 Stauder, 2001, p. 146.
41 Conseil fédéral, 2001, p. 27.
4726
notamment pour contacter le fournisseur par le même canal technique que celui utilisé pour conclure le contrat sur Internet.
Le tableau 3 montre dans quelle mesure ces indications ne sont pas respectées sur les sites Internet examinés par différentes études statistiques.
Tableau 3
Non-respect de certaines indications sur Internet
Études
Schwager
Gilding
Andersen
CEC
NCC
Pays étudiés
Suisse (2003)
Suisse (2001)
Suisse (2001)
UE (2003)
G .- Bretagne (2000)
Nom de l'entreprise
0 %
0 %
7 %
Adresse physique
17 %
7 %
16 %
9 %
12 %
Téléphone
7 %
7 %
4 %
6 %
4 %
Courriel
0 %
10 %
5 %
3 %
Personne de contact
40 %
81 %
Sources: Schwager, 2003; Gilding, 2001; Andersen, 2001; réseau CEC, 2003; NCC, 2000.
Selon les personnes interrogées par le CPA, il n'y a donc aucune garantie sur le fournisseur: c'est le risque de l'anonymat. Quelques e-consommateurs tentent de rechercher des informations42, mais le commerce électronique est censé s'adresser à tous les consommateurs. Ainsi, après une période pendant laquelle les nouveaux et petits fournisseurs se sont très largement développés sur Internet, ce sont les ancien- nes entreprises avec un magasin physique qui se mettent à dominer sur Internet. Les start-ups du commerce électronique doivent souvent se joindre à des marques phy- siquement connues et reconnues par le consommateur.
En ce qui concerne les propriétés des biens ou des services, il n'existe pas non plus d'obligation légale à informer les consommateurs de manière objective et com- plète.43 Certes, l'art. 2 LIC demande que soient indiquées les caractéristiques essen- tielles des biens et des services mis en vente, mais, pour certains experts, cette loi est «un tigre de papier sans mordant».44 La définition de ces caractéristiques essentielles a été laissée aux organisations proches de la réalité économique et sociale, qui, par une convention de droit privé, sont tenues de définir quel type d'information doit être donné et sous quelle forme. Or, seul quelques rares conventions ont été adop- tées. Dans les cas où aucune décision n'a été prise ou si la convention n'est pas appliquée, le Conseil fédéral peut agir. Il ne l'a encore jamais fait. De plus, le Conseil fédéral n'a pas édicté de liste de services soumis à une déclaration, ce qui implique qu'aucun texte légal n'oblige le fournisseur de service à indiquer les élé- ments essentiels du service proposé.
42 Ils utilisent par exemple des références comme le site www.switch.ch pour s'assurer de l'existence et de la probité des sites ayant le nom de domaine «.ch».
43 Sauf dans certains cas particuliers, comme la loi fédérale sur le crédit à la consommation (RS 221.214.1) et la loi fédérale sur les voyages à forfait (RS 944.3). Stauder, 2001, p. 145.
44 Jörg, 2003, p. 53.
4727
Selon l'art. 3, let. b, LCD, un fournisseur agit de façon déloyale s'il donne des indications fallacieuses ou inexactes sur le bien ou le service qu'il propose. Or, lors d'achats par Internet, le consommateur ne peut connaître physiquement la marchan- dise avant qu'elle ait été livrée. Sur la base de la LCD, le vendeur n'est pourtant pas obligé d'informer le consommateur, de manière claire et complète, sur les caractéris- tiques essentielles du bien qu'il vend.
Les indications sur le prix du bien ou du service qui découlent de l'OIP sont traitées au ch. 3.8.
L'enquête de Schwager établit que 10 % des sites suisses ne décrivent pas les biens ou les services proposés. Selon l'étude de Andersen, 14 % des sites suisses n'infor- ment pas les consommateurs de manière adéquate quant aux qualités essentielles des biens et services proposés.
Un autre point qui peut influer sur l'achat du consommateur est la garantie liée au produit. Pour le commerce électronique, comme pour toute autre forme commer- ciale, il n'existe pas, en Suisse, de droit à la réparation de la chose défectueuse. Les possibilités de garantie pour défauts sont la résolution du contrat, la réduction du prix (art. 205 CO) ou le remplacement de la chose (art. 206 CO). Le délai de pres- cription d'une action en garantie est d'une année (art. 210 CO). Ces droits sont régulièrement et légalement exclus (art. 199 CO) par des conditions générales de vente. Cette situation légale nuit à la confiance des consommateurs.
En Suisse, il n'existe pas de réglementation spécifique sur les conditions générales. Pour accepter ces conditions, le consommateur doit pouvoir en prendre connais- sance, ce qui n'est possible que si elles sont lisibles, compréhensibles45 et accessi- bles avant la conclusion du contrat. Un site Internet suisse a par exemple développé des conditions générales particulièrement adaptées à sa clientèle jeune. D'autres sites les font tenir sur une demi-page A4 ou les résument en onze points. Ceci contraste fortement avec certains sites qui affichent leurs conditions générales sur plusieurs pages ou en caractères de très petite taille. Un autre problème est celui de la langue, les conditions générales devant être comprises par le consommateur.
L'art. 8 LCD déclare qu'un acteur agit de façon déloyale si les conditions générales sont de nature à provoquer une erreur au détriment d'une partie contractante et si elles dérogent notablement au régime légal applicable. Or, en Suisse, les conditions générales ne font pas l'objet d'un contrôle de contenu.46 Pour la grande majorité de la littérature, le manque de contrôle efficace des clauses des conditions générales dans les contrats avec les consommateurs représente une lacune importante.
Les clauses des conditions générales sont nulles si elles contreviennent au droit impératif (art. 19 et 20 CO). Toutefois, dans le cadre du commerce électronique, où il s'agit principalement de contrats de vente et de mandat, le CO ne connaît pra- tiquement pas de dispositions impératives. Ainsi le droit suisse ne garantit pas au consommateur des droits inaliénables au cas où le bien n'est pas en conformité avec le contrat ni s'il est livré en retard.
Le contrat ne doit bien entendu pas avoir pour objet une chose impossible, illicite ou contraire aux mœurs (art. 20 CO), sinon il sera frappé de nullité. En outre, le four- nisseur peut aussi être pénalement responsable. Ainsi, il doit respecter les règles
45 Jaccard, 2000, p. 25.
46 Langer, 2003, p. 415.
4728
interdisant la représentation de la violence, de la pornographie et de la discrimina- tion raciale (art. 135, 197 et 261bis du Code Pénal; RS 311.0). D'autre part, certains produits tombent sous le coup de législations qui peuvent interdire ou, au moins, réglementer leur publicité ou leur vente à distance. Les lois concernées sont, entre autres, la loi fédérale sur le commerce des toxiques (RS 813.0), la loi fédérale sur les denrées alimentaires et les objets usuels (RS 817.0), la loi fédérale sur l'alcool (RS 680) et la loi sur les produits thérapeutiques (LPTh; RS 812.21).
Selon plusieurs experts entendus par le CPA, Internet pose effectivement problème, car la tentation est forte de se procurer à l'étranger des produits réglementés ou interdits en Suisse. Ils notent que les lois sont très claires sur les produits qui sont interdits, mais que les offices chargés d'appliquer ces interdictions ne les prennent pas assez au sérieux et ne les mettent pas en œuvre. Les offices ne sont en tout cas pas pro-actifs sur Internet. Le coût de la mise en œuvre de ces interdictions est élevé et au vu des sommes encore modestes en jeu sur Internet, l'intérêt est minime.
Dans le domaine des médicaments, la LPTh ne prévoit pas de règles particulières pour le commerce électronique, les normes de l'art. 27 LPTh concernant la vente par correspondance étant appliquées par extension. Swissmedic rappelle qu'en Suisse, ne peuvent être écoulés que des produits autorisés, alors que plus d'une centaine de produits non-autorisés sont disponibles sur Internet. Par contre, l'importation via Internet de produits non autorisés pour usage personnel est admise. Les douanes soutenues par Swissmedic effectuent des contrôles par sondage. Swissmedic met en garde les consommateurs suisses contre ces produits, en conformité avec son devoir d'information (art. 67 LPTh). Si ces produits sont disponibles sur des sites suisses, il peut intervenir et des sanctions administratives et pénales peuvent être appliquées.47 Depuis janvier 2002, il a ordonné le blocage de trois sites suisses.
De plus, les responsables de sites interviewés disent ne pas pouvoir contrôler l'âge légal des clients et se baser sur l'honnêteté réciproque. Cet état de fait est confirmé par l'étude de Gilding, selon laquelle 90 % des sites suisses ne font pas mention de la nécessité d'obtenir une permission parentale ou de l'exigence d'un âge minimum pour effectuer une transaction. Or, pour conclure un contrat, la personne doit être majeure et capable de discernement. La jurisprudence n'a pas encore tranché sur l'achat effectué par des mineurs sur Internet: découle-t-il d'une autorisation générale donnée par les parents pour surfer sur Internet et pour acheter un bien ou un service, et ceux-ci doivent-ils en supporter les conséquences?
Quant à la publicité illicite sur Internet, elle est réglementée par la LCD, par des lois sectorielles et par la loi sur les télécommunications (LTC; RS 784.10), mais elle n'a pas pour conséquence la nullité du contrat. Un problème fréquemment mentionné est celui du spamming. A ce sujet, tant l'UE que les Etats-Unis ont adopté des bases légales. Le message sur la révision de la LTC prévoit des changements tant dans la LTC que dans la LCD pour adapter le droit suisse aux directives européennes, ce qui implique que la publicité de masse devra être envoyée avec le consentement du client, contenir la mention correcte de l'émetteur et indiquer la possibilité de s'opposer à ce genre de publicité.48
47 Depuis janvier 2002, 36 procédures administratives ont été ouvertes dans le domaine du commerce électronique. Quant aux procédures pénales, les premières décisions d'ouverture d'enquête ont été envoyées en mars 2004.
48 FF 2003 7285
4729
En ce qui concerne la publicité sur les médicaments, elle fait aussi l'objet d'une réglementation dans la LPTh. Swissmedic considère la publicité sur Internet de la même manière que la publicité sur support imprimé, ce qui implique que les con- trôles sont donc ultérieurs à l'apparition de ces publicités sur Internet49, suite à des dénonciations. Si des publicités suisses violent gravement ou de façon répétée les dispositions légales et la LCD, Swissmedic peut obliger le fournisseur, pendant un certain laps de temps, à lui soumettre ses projets de publicité pour contrôle préala- ble.50
3.3.2 Conclusion du contrat
Le contrat via Internet se conclut comme n'importe quel autre contrat: il faut un échange de déclarations concordantes et réciproques (art. 1 CO). Cette manifesta- tion peut être expresse ou tacite. Ce qui compte, c'est qu'une offre valable soit suivie d'une acceptation correspondante.51 Dans le cadre du commerce électronique, cette acceptation prend généralement la forme d'un clic, d'une séquence de clics ou de l'envoi d'un courriel. Sur Internet, il est donc beaucoup plus probable qu'un acheteur conclue un achat par inadvertance en cliquant sur un bouton engageant son consentement.
Les personnes entendues ont confirmé que la procédure contractuelle est différente sur chaque site: parfois un contrat se conclut en trois étapes, parfois en cinq, voire en dix. Il existe aussi des différences entre le premier achat et les formules simplifiées pour les achats suivants ou les achats répétés de produits identiques.
Selon l'étude de Schwager, dans 13 % des cas, il n'est pas clair que le dernier clic est celui qui enregistre la commande de manière définitive. Selon Andersen, ce sont même 39 % des sites suisses qui manquent de clarté dans les étapes de la com- mande. Le consommateur peut donc être surpris de passer une commande à un moment de la procédure où il ne s'y attend pas. Ceci est un grave problème qui affecte la confiance des consommateurs dans le commerce électronique. D'autre part, selon Consumers International, 37 % des sites n'ont pas donné d'indications rapides et précises qui confirmaient l'achat du produit, ce qui conduit parfois le consommateur à réitérer sa commande.
En Suisse, la doctrine considère qu'en général, un contrat conclu sur Internet est effectué entre absents, les deux partenaires n'entrant pas physiquement en contact. Dans ce cadre, le contrat est conclu au moment et au lieu où l'acceptation parvient au vendeur. A noter que si une renonciation à l'offre parvient au vendeur avant ou simultanément à son acceptation, cette offre est alors non avenue (art. 9 al. 1 CO).52
Pour les contrats, le code des obligations prévoit la liberté de la forme (art. 11, al. 1, CO), ce qui implique qu'il n'y a aucun obstacle à la conclusion d'un contrat par voie
49 OFSP, 2003, p. 14.
50 OFSP, 2003, p. 14.
51 Jaccard, 2000, p. 20.
52 Il en va de même si la révocation est transmise au vendeur avant que celui-ci n'ait pris connaissance de l'acceptation de l'offre.
4730
électronique.53 Par contre, certains contrats exigent une forme spéciale selon les art. 12 ss CO (acte authentique, forme écrite, forme réservée).
Selon la doctrine, les exigences de l'art. 12 CO quant à la forme écrite ne sont pas remplies par le commerce électronique.54 Pour certains experts, la jurisprudence n'est pas en mesure de résoudre le problème de la forme du contrat et un nouveau cadre légal est indispensable. Il est possible que l'introduction de la signature élec- tronique55 résolve les problèmes d'identification des parties et d'authentification, mais elle ne sera pas apte à remplir la fonction de mise en garde.
Selon les personnes interrogées par le CPA, l'un des problèmes contractuels dans le commerce électronique est qu'il n'existe pas de contrat par écrit et donc pas de preuve. Pour certains, l'absence de preuve écrite n'est pas un désavantage unique- ment pour le consommateur, mais aussi pour le vendeur. Les deux partenaires sont à égalité. Plus concrètement, le manque de preuve pourrait avoir un impact dans le cadre d'un jugement. Les associations de protection des consommateurs recomman- dent d'ailleurs de toujours imprimer la page de commande. Quant à l'éventuelle confirmation par courriel, elle pourra être reconnue devant les tribunaux.56 De plus, les échanges sur Internet laissent souvent de multiples traces qui peuvent être retrouvées dans les ordinateurs des partenaires.
L'incorporation des conditions générales est nécessaire pour que ces dernières régissent le contrat. Elles sont préformulées par les fournisseurs à leur avantage. La jurisprudence du Tribunal fédéral relative à l'incorporation des conditions générales dans le contrat s'applique aussi dans le cadre de l'e-commerce et permet de garantir un véritable accord du consommateur. Plusieurs sites Internet demandent expres- sément au consommateur, par un clic, d'accepter les conditions générales avant de conclure un contrat. Cela ne veut pas dire que le consommateur les ait effectivement lues; un responsable de site estime à 10 % le nombre de clients qui les lisent. Ainsi, d'autres sites ont renoncé à demander un accord exprès du consommateur sur les conditions générales.
En Suisse, la pratique est donc très variée: l'étude de Schwager montre que les con- ditions générales ne sont pas accessibles dans 8 des 30 sites examinés, et celle de Andersen que 41 des 100 sites analysés ne se réfèrent pas à des conditions générales. De plus, il n'est pas toujours possible d'imprimer (59 %) ou de sauvegarder (9 %) les conditions générales. Cette situation n'est pas satisfaisante pour plusieurs experts interrogés par le CPA.
L'offre doit être formulée de telle manière qu'elle contienne des indications essen- tielles comme l'objet, la quantité et le prix. Elle doit aussi clairement faire compren- dre que la transaction sera effectuée si l'acheteur accepte les termes proposés.57 Selon l'art. 7, al. 2, CO, l'envoi de tarifs, de prix courants, etc. ne constitue pas une offre, alors que l'art. 7, al. 3, CO indique qu'exposer des marchandises, avec indi- ation du prix, est tenu pour une offre.
53 Wharton et Zein, 2001, p. 57. C'est particulièrement le cas pour les ventes d'objets mobiliers (art. 184 ss CO) et l'octroi de licences d'utilisation.
54 Wharton et Zein, 2001, p. 58.
55 La loi fédérale sur la signature électronique (FF 2003 7493) a été adoptée le 19 décembre 2003.
56 La question reste ouverte de savoir si un courriel non muni de la signature électronique aura également valeur de preuve et si un tel contrat est présumé conclu.
57 Weber, 2001, p. 313.
4731
L'applicabilité de ces alinéas au commerce électronique ne fait pas l'unanimité dans la littérature.58 Certains textes relèvent que le contrat, conclu uniquement suite à l'acceptation du consommateur, ne laisse aucune marge de manœuvre au vendeur. Ce dernier doit alors livrer la marchandise (alors qu'il ne l'a peut-être plus en stock) et ne peut s'assurer de la solvabilité de l'acheteur.59 Il semble en fait que les deux approches puissent se retrouver sur Internet, suivant la présentation ou la formu- lation adoptée sur un site.
Ceci est corroboré par les responsables de sites interviewés par le CPA. Pour cer- tains sites, l'offre vient du consommateur et elle peut ensuite être acceptée ou refu- sée par le vendeur. En général, les consommateurs ne sont pas conscients de ce renversement de pratique. Dans la majorité des cas, c'est toutefois le consommateur qui conclut le contrat en confirmant la commande par un clic.
L'étude de Consumers International menée après une procédure d'achat complète de 340 produits rapporte que 6 % des articles payés n'ont pas été délivrés, souvent parce que le produit n'était plus en stock. Le consommateur n'est généralement pas averti de ce problème.
Il est important de savoir quel est le moment de la conclusion du contrat, car c'est à partir de ce moment-là que peuvent courir plusieurs délais, comme le droit de révo- cation. Selon la littérature, le consommateur suisse ne peut s'appuyer sur des règles d'information qui annoncent clairement les étapes de la conclusion d'un contrat, la possibilité d'enregistrer le texte du contrat, le droit de corriger des données et la confirmation par courriel de la conclusion du contrat.60 Or, la conclusion d'un con- trat dépend aussi de facteurs techniques. L'étude du réseau CEC montre que dans 8 % des commandes passées, il n'y a eu aucune réaction, information, livraison, ni facturation de la part du fournisseur. On peut se demander si ces commandes n'ont pas abouti pour des questions techniques. Le consommateur devrait être informé si sa commande n'a pas été prise en compte ou si le vendeur ne souhaite pas lui vendre le produit.
En droit suisse, il n'y a pas de prescriptions légales quant à un délai de livraison raisonnable. En fait, selon l'art. 75 CO, le consommateur peut exiger l'exécution immédiate du contrat, mais il est accepté qu'il tienne compte d'un certain délai pour permettre au fournisseur de remplir son obligation contractuelle.
Selon Consumers International, la livraison du produit commandé sur Internet inter- vient en moyenne dans les dix jours; pour les livraisons intra-nationales, on compte huit jours, et pour les livraisons transnationales, treize. Selon le réseau CEC, la livraison d'un produit transnational prend onze jours. La directive européenne fixe le délai maximum à 30 jours.
58 Züst, 2001, p. 20 et Weber, 2001, p. 314.
59 Jaccard, 2000, p. 21.
60 Langer, 2003, p. 105.
4732
3.4 Droit de révocation
En Suisse, le droit de révocation existe dans trois domaines: le crédit à la consom- mation, le courtage matrimonial et le démarchage à domicile.61 Certains experts et acteurs du commerce électronique posent la question de savoir si les conditions décrites aux art. 40a et ss CO peuvent s'appliquer directement ou par analogie à l'e-commerce. La doctrine penche pour la négative62 car ces articles ne s'appliquent pas aux contrats entre absents et requièrent des exigences de forme non applicables sur Internet (art. 40d et 40e CO). Pourtant, au moment où le consommateur donne formellement son consentement à la conclusion d'un contrat sur Internet, ce consen- tement n'est pas entièrement serein, libre, éclairé et réfléchi. Le droit suisse ne propose donc pas de solution au risque de décision irréfléchie, notamment due à la rapidité de la conclusion du contrat et au manque de contact direct avec la marchan- dise, problèmes intrinsèques au commerce électronique.63
Selon les personnes interviewées, la plupart des sites sérieux proposent un droit de révocation.64 Ce droit court en général à partir de la date de l'envoi. La majorité des sites transnationaux sont déjà obligés de l'inclure pour être conformes à l'art. 6 de la directive 97/7/CE, qui prévoit un droit de révocation d'au moins sept jours. Les personnes interrogées espèrent que les entreprises suisses ne discriminent pas les consommateurs suisses.
Or, selon les études statistiques, le droit de révocation n'est de loin pas répandu sur les sites suisses. Selon Andersen, seuls 23 des 100 sites examinés proposent un droit de révocation. Selon l'étude de Schwager, 47 % des sites ne font aucune mention des possibilités de révocation, de restitution ou d'échange. Quant à l'étude de Gil- ding, elle indique que 30 % des sites suisses n'offrent pas la possibilité de restituer, d'échanger ou de révoquer un achat.
Le dernier point à noter est que le consommateur devrait aussi être informé de ce droit sur le site du fournisseur, comme cela est déjà prévu pour les contrats de démarchage à l'art. 40d CO.
3.5 Recours et sanctions
Le CO prévoit un catalogue de sanctions civiles dans les cas où le contrat n'est pas conclu valablement (nullité, annulabilité, etc.). Ces mesures sont les mêmes dans le domaine de l'e-commerce.
La plupart des acteurs interrogés par le CPA déclarent que les possibilités pour les consommateurs de faire valoir leurs droits dans le cadre du droit des contrats sont purement théoriques.
61 Dans ce dernier cas, la prestation doit dépasser 100 francs. Il est prévu d'introduire un droit de révocation dans le domaine du time-sharing. Il existe certains types de produits (fourniture de journaux et d'enregistrements descellés, biens personnalisés, contrats de services dont l'exécution a commencé), pour lesquels ce droit est inapplicable.
62 Stauder, 2001, p. 146.
63 Wharton et Zein, 2001, p. 61.
64 Par exemple, sur la base du code d'éthique développé par l'Association suisse de vente par correspondance. Voir http://www.asvpc.ch/francais/codeetique.htm.
4733
D'autre part, la LCD et l'OIP donnent la possibilité au consommateur ou au four- nisseur d'intenter une action civile (art. 9 ss LCD) et de déposer une plainte pénale (art. 23 et 24 LCD et art. 21 OIP). Les experts notent toutefois l'absence de véri- tables dispositions protectrices des consommateurs et de mécanismes efficaces de lutte contre les clauses abusives.
De plus, les sanctions pénales inscrites dans la LIC sont inapplicables, parce que l'art. 11 LIC exige que le fournisseur ait contrevenu intentionnellement aux pres- criptions relatives aux déclarations sur les biens et les services. Or, aucune prescrip- tion n'a été émise.
Dans le droit pénal, il existe certes des dispositions (art. 146 CP sur l'escroquerie), mais, selon la doctrine, elles ne s'appliquent pas aisément au droit de la consomma- tion, et par extension, aux cas liés au commerce électronique. La mise en vente de produits frauduleux (sur Internet par exemple) n'est pas suivie de sanctions pénales.
Enfin, l'art. 97, al. 3, Cst. demande aux cantons de prévoir une procédure de conci- liation simple et rapide pour les litiges de petite ampleur, typiques dans le domaine de la consommation. Ces procédures ne semblent pour l'instant pas rencontrer un succès important. L'exemple de l'office de conciliation en matière de consommation du Tessin illustre le désintérêt des consommateurs et des fournisseurs, puisqu'en 2002, l'office n'a pas traité un seul cas. Les causes de cette désaffection sont l'ignorance parmi la population de l'existence de cet office, la longueur de la pro- cédure et son manque de mordant.
Quel que soit le thème lié au commerce électronique, le CPA a pu établir qu'aucune action n'a été introduite devant les tribunaux. Cela peut s'expliquer de plusieurs manières.
Tout d'abord, s'agissant d'une violation de la LCD ou de l'OIP, lancer une action en justice de manière préventive, alors qu'aucun contrat n'a été signé et qu'aucune perte financière n'a été concrétisée, serait faire preuve de pur altruisme de la part d'un consommateur.
D'autre part, le consommateur ne souhaite généralement pas aller devant les tribu- naux. Il ignore aussi souvent à quelle instance il peut s'adresser en cas de problème. D'ailleurs, en droit suisse, les fournisseurs ne sont pas tenus d'informer les con- sommateurs sur leurs possibilités de recours.
De plus, le consommateur peut se montrer dubitatif quant au rapport coût/bénéfice d'une telle procédure. Dans le domaine du droit privé, il n'existe pas de mécanisme véritablement simple de règlement des litiges, malgré l'art. 97, al. 3, Cst., et intenter une action entraîne des coûts élevés. Il faut donc avoir un grand intérêt financier pour lancer une telle procédure. On estime que la valeur litigieuse doit dépasser 2000 francs pour que, en cas de gain de cause, le consommateur n'essuie pas de pertes financières. Enfin, les associations de protection des consommateurs n'ont simplement pas les ressources financières pour entrer en matière à leur place.
Pour la grande majorité des acteurs interviewés, le rôle de la jurisprudence est poten- tiellement très important, parce que la Suisse n'a pas de bases légales spécifique- ment écrites sur le commerce électronique. En fait, les lois existantes doivent être appliquées au commerce électronique et il est nécessaire que, dans ce nouveau domaine, la Suisse bénéficie d'une bonne jurisprudence. Cela étant, lorsqu'il n'y a pas d'action, il n'y a pas de jugement. Et, s'il n'y a ni plainte, ni jugement, il n'y a
4734
pas non plus d'écho médiatique, qui puisse contribuer à l'information des consom- mateurs et des fournisseurs.
Certaines entreprises ont déclaré au CPA se tenir au courant de la jurisprudence dans les pays voisins, particulièrement en Allemagne65 pour pallier le manque d'avis de droit en Suisse et pour tenir compte des caractéristiques légales dans les pays cibles.
La littérature a également relevé ce point comme un problème important lié à la protection du consommateur66: aucune affaire pénale n'a abouti dans le domaine du commerce électronique, surtout parce que les autorités n'ont pas les moyens de connaître les infractions commises ni de réprimer les comportements illicites.
A noter que, dans le cadre de la loi sur la signature électronique, le Parlement a renoncé à introduire des dispositions pénales, estimant que le code pénal prévoit déjà des mesures suffisantes.
3.6 Information des consommateurs
En Suisse, trois groupes de lois règlent l'information des consommateurs: le CO, la LCD et la LIC.
Le CO part de l'idée que les deux parties à un contrat ont le même poids lors de la négociation et peuvent obtenir l'information nécessaire. Or, dans les rapports de consommation, la situation n'est pas celle de deux partenaires égaux. Faut-il pour autant que le fournisseur fournisse au consommateur l'information nécessaire?
L'approche suisse, basée sur l'art. 3 LCD, stipule qu'il suffit de réprimer le men- songe dans les affirmations factuelles (présentation d'indications inexactes ou falla- cieuses). L'information ne joue pas un rôle préventif et n'est applicable que cas par cas.67 Cela ne résout pas la difficulté de la collecte de l'information objective, qui reste à la charge du consommateur. C'est pourquoi la plupart des experts considèrent que cette approche - en simplifiant, l'interdiction de mentir - doit être complétée par l'exigence de dire la vérité: le fournisseur est tenu de mettre à la disposition du consommateur des informations objectives sur les points essentiels liés au contrat.
Enfin, la LIC connaît un droit général d'information des consommateurs sur les caractéristiques essentielles d'un produit (art. 2 LIC). Mais sous réserve de deux conventions sans pertinence pour le commerce électronique, la LIC est restée lettre morte.68 Des informations préventives, comme des indications sur la sauvegarde du texte du contrat, le choix des langues, la durée de validité de l'offre et des prix, ne sont pas requises.69
3.7 Multiplicité des règles
En Suisse, il faut rappeler qu'il n'existe pas de normes particulières pour le com- merce électronique. Les règles concernant les aspects précontractuels et contractuels
65 www.netlaw.de.
66 Henzelin, 2002, p. 85.
67 Langer, 2003, p. 116.
68 Brunner et al., 2003, p. 483.
69 Langer, 2003, p. 102.
4735
de l'e-commerce se trouvent dispersées dans le code des obligations, la loi contre la concurrence déloyale, la loi sur l'information des consommateurs et le code pénal. Ceci est sans compter les autres lois qui touchent d'autres aspects du commerce électronique, tels que la fiscalité, la responsabilité pour contenu illicite, l'infra- structure de communication, etc. Dans le rapport explicatif de l'avant-projet de révi- sion du CO et de la LCD du 17 janvier 2001, le Conseil fédéral affirme que les règles existantes peuvent s'appliquer au commerce électronique.
D'autre part, le droit actuel est pauvre en dispositions spécifiquement protectrices des consommateurs. Le CO en particulier est basé sur la prémisse de deux personnes négociant le contrat sur une base d'égalité; il ignore les rapports de consommation qui sont caractérisés par un déséquilibre structurel entre les deux parties.
Enfin, le Conseil fédéral fait référence à l'art. 1, al. 2, du Code civil (CC; RS 210) qui donne aux juges la possibilité de combler une lacune dans les situations qui n'étaient ni connues ni familières lors de l'adoption de normes du droit contractuel, comme c'est par exemple le cas pour le commerce électronique. Le défi est, tout en garantissant la liberté économique au fournisseur, de protéger la liberté des déci- sions, qui assure la validité des contrats.
3.8 Indication des prix
L'OIP s'applique aux marchandises et à une liste de prestations de services offertes au consommateur, ainsi qu'à la publicité y relative (art. 2 OIP). Les art. 16 ss LCD et les art. 3 et 10 OIP requièrent que le prix à payer effectivement pour les mar- chandises et les services offerts au consommateur suisse soit clairement indiqué et en francs suisses. Entre autres, le prix effectif doit inclure la TVA et les taxes doua- nières, mais également les coûts de transport. Juridiquement et technologiquement, rien ne s'oppose à l'application de l'OIP et de la LCD aux indications de prix dans le domaine du commerce électronique.
Les différentes études statistiques révèlent que l'indication des prix est loin d'être respectée par tous les sites. Selon Schwager, 27 % des sites n'indiquent pas si la TVA est incluse dans le prix proposé. Par contre, seuls 7 % ne font pas mention des coûts de port et de livraison. L'étude de Gilding montre que 17 % des sites n'indi- quent pas le coût détaillé des biens et services, alors que 100 % indiquent clairement que la monnaie de transaction est le franc suisse. L'étude de Andersen affirme que dans 28 % des cas le prix n'est pas compréhensible. Le même problème est ren- contré en ce qui concerne les coûts de livraison (58 % des cas), la TVA (68 %) et surtout les droits de douane (97 %). Au niveau international, Consumers Interna- tional signale que seuls 15 % des sites permettant des achats transfrontaliers offrent la possibilité d'utiliser un convertisseur de change pour que le consommateur con- naisse le coût exact dans sa monnaie nationale. Finalement, dans 9 % des cas, le consommateur n'a pas payé le prix qu'il prévoyait au moment du contrat. Selon le réseau CEC, le prix effectivement payé différait du prix indiqué lors de la com- mande dans 4 % des cas.
Contrairement à ces statistiques, la grande majorité des personnes interviewées par le CPA jugent que l'indication des prix est bien respectée sur Internet et qu'elle est plutôt aisée à mettre en œuvre. Il est ainsi intéressant de relever que l'OIP n'oblige pas l'affichage du prix sur la marchandise lors de la livraison: le prix n'est affiché
4736
que sur Internet. Les prix peuvent ainsi varier très rapidement et être corrigés plus vite que sur les catalogues.
Certaines personnes interviewées ont toutefois soulevé plusieurs problèmes. La collecte des taxes d'importation aux douanes ne fonctionne pas optimalement, ce qui favorise l'achat de produits transfrontaliers par l'intermédiaire du commerce élec- tronique, plutôt que dans les magasins fixes. Dans le domaine du voyage, les prix sont souvent indiqués dans la monnaie du pays de la prestation et pas dans celle du pays du consommateur. Ainsi un client en Suisse qui commande un billet d'avion Berlin-Zurich sera facturé en euros. Cette pratique serait contraire à l'OIP puisque les sites étrangers qui dirigent leurs offres vers des clients suisses doivent indiquer le prix de leur produit en francs suisses.70 Enfin, une autre violation de l'OIP selon plusieurs experts interrogés est la pratique qui consiste à proposer des prix différents à des consommateurs différents, mais pour le même produit et au même moment. Cette promotion ciblée, par consommateur, sur les produits qu'il consomme le plus, vise à le récompenser de sa fidélité. Or, l'OIP demande que soit connu le prix effec- tif à payer du produit; il ne peut être différent pour chaque client.
Ces points recouvrent en fait la définition du prix à payer effectivement. A ce sujet, le seco émet des feuilles d'information, qui doivent illustrer la pratique à adopter. Mais elles n'ont pas de valeur juridique, et un fournisseur qui ne les respecte pas n'est pas sanctionné.
Enfin, certains experts notent que l'art. 10 OIP dresse une liste de services qui sont soumis à l'ordonnance. Or cette liste, édictée par le Conseil fédéral, n'est qu'énu- mérative.71 Elle n'est donc pas exhaustive, ce qui signifie que les services non cités ne sont soumis à aucune exigence légale quant à l'indication des prix.
3.9 Confiance des consommateurs
Pour les experts interrogés par le CPA, gagner la confiance des consommateurs est l'élément central qui permet le développement du commerce électronique. Les analyses développées dans toutes les sections de ce rapport ont mis en évidence les facteurs qui contribuent au manque de confiance des consommateurs. Il faut rappeler entre autres les problèmes liés à l'asymétrie d'information entre le consommateur et le fournisseur (information précontractuelle sur le fournisseur et les biens), aux conditions générales, au droit de révocation, aux possibilités de recours et aux sanc- tions.
Un autre problème mentionné par les personnes interviewées par le CPA concerne l'appréhension des consommateurs à utiliser leur carte de crédit sur Internet, où le phénomène est amplifié, parce que les consommateurs ne comprennent pas bien les techniques d'encryptage. Si les experts interrogés s'accordent à reconnaître que des utilisations frauduleuses de carte de crédit existent sur Internet, ils ne sont pas una- nimes à penser que cette éventualité y est plus répandue que sur les autres modes de transactions. La plupart des sites ont pourtant mis en place des systèmes de sécurité technique. Certains demandent en plus au consommateur d'indiquer les numéros qui figurent au verso de la carte de crédit.
70 Langer, 2003, p. 104.
71 Brunner et al, 2003, p. 483.
4737
Selon le réseau CEC, dans 24 % des cas, le fournisseur retire, le jour même, la somme afférente à la commande.72 Bien entendu, à ce moment-là, le consommateur n'a pas pu prendre possession de son bien. Il s'ouvre donc une période d'incertitude pour lui.
3.10 Rôle des offices concernant la mise en œuvre
Le rôle des offices impliqués dans l'e-commerce, l'OFJ, le seco et le BFC, est décrit au ch. 2.3.
Les experts et les praticiens interviewés par le CPA ont tous jugé que le rôle des offices fédéraux dans le domaine du commerce électronique est très accessoire. Plus précisément, seuls deux intervenants estiment l'importance des offices fédéraux dans le domaine de l'e-commerce comme moyen, alors que sept autres le consi- dèrent comme peu important. Ceci s'explique par le fait que ce domaine est du ressort du droit privé. De plus, les principes directeurs de l'activité de la Confédé- ration dans le commerce électronique veulent, entre autres, qu'elle ne réglemente que le strict minimum, qu'elle intervienne le moins possible dans les mécanismes du marché et qu'elle préfère l'autorégulation à la réglementation.
Sept experts interrogés ont mentionné avoir eu des contacts, toutefois très épiso- diques, avec le PFPD. Les autres offices n'ont pas été cités, si ce n'est le seco, par une personne, pour des questions liées à l'OIP. Les principales critiques sur le rôle des offices fédéraux tiennent au fait qu'ils sont éloignés de la pratique, ne connais- sent pas les problèmes concrets des entreprises, ne proposent pas assez d'activités de conseil et ne prennent pas au sérieux les requêtes ou les questions des acteurs du domaine. Les offices répondent que les acteurs privés les contactent souvent sans avoir au préalable pris connaissance des bases légales.
À noter que les informations concernant les différents aspects liés à la protection des consommateurs dans le domaine du commerce électronique ne circulent pas de manière optimale entre les différents offices fédéraux, comme à propos des plaintes déposées sur econsumer.gov (voir ch. 5.1). Le BFC n'est en effet pas systé- matiquement informé des plaintes déposées auprès du seco. Ces plaintes sont certes déposées par des consommateurs étrangers et non suisses.
Quant à la haute surveillance, le seco ne l'exerce que sur l'application par les can- tons des normes sur l'indication des prix. Afin de rendre cette mise en œuvre la plus homogène possible, il présente des séminaires, émet des instructions et fournit des feuilles d'information.
Enfin, au vu de la manière très succincte avec laquelle l'e-commerce est mentionné dans ses rapports annuels73, il ressort que le CI SI ne lui porte qu'un intérêt limité.
72 En moyenne, un fournisseur attend cinq jours après la date de la commande pour effectuer le débit.
73 Par exemple, CI SI, 1999, p. 13 ou CI SI, 2003, p. 38.
4738
4
Protection des données dans l'e-commerce
L'examen relatif à la protection des données dans le domaine du commerce électro- nique constitue un autre axe de la présente étude. Le fait de collecter et de traiter des informations relatives à des individus touche déjà leur personnalité. Si les activités d'information favorisent la communication, elles peuvent aussi léser, voire entraver les facultés d'épanouissement de certaines personnes.74 Le traitement électronique des données induites par le commerce électronique est à l'origine de problèmes spécifiques en matière de protection des données. Selon Weber, la notion de «client transparent» est déjà une réalité largement répandue sur Internet.75 Cette évolution constitue un danger pour la sphère privée et la protection de l'intimité. Comme l'analyse de diverses études l'a montré, la protection des données est un aspect capital pour ce qui concerne la confiance que les consommateurs placent dans le commerce électronique.76 Ils l'évitent lorsqu'ils ont l'impression que les données qui les concernent ne sont pas traitées sérieusement.
Dans la première section, sont abordées les questions de recherche relatives à la protection des données dans le commerce électronique, telles qu'elles ont été adop- tées par la sous-commission DFF/DFE lors de sa séance du 16 octobre 2003. Cette section a pour but d'expliciter les quatre questions de recherche basées sur la ques- tion principale qui est de savoir si la législation et sa mise en œuvre offrent une protection adéquate au consommateur.
Le ch. 4.2 permet de faire le tour des bases légales et la section suivante de présenter les deux acteurs étatiques chargés de leur mise en œuvre. L'analyse de la probléma- tique fait l'objet du ch. 4.4.
4.1 Questions de recherche
La loi fédérale sur la protection des données (LPD) a pour but de protéger la person- nalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD). La LPD n'interdit pas tout traitement de données personnelles et de profils de la personnalité, mais elle stipule que le traitement de telles données ne doit pas porter une atteinte illicite à la personnalité des personnes concernées (art. 12 LPD). Chaque transaction commerciale sur Internet laisse une trace de données telles qu'adresse de l'ordinateur, date et heure des accès, actions effectuées ou objets accédés. Théoriquement, ces données pourraient être combinées de manière à obtenir un profil de la personne et de ses activités sur Internet. En outre, la conclusion d'une transaction commerciale nécessite la communication de données personnelles à l'utilisation correcte desquelles il convient de veiller.
La question principale est complétée par les quatre questions de recherche suivantes, qui constituent la base de ce chapitre. Elles cherchent à savoir si la législation et sa mise en œuvre offrent une protection adéquate au consommateur.
– La loi fédérale sur la protection des données comporte-t-elle des lacunes ou des défauts du point de vue de la protection du consommateur dans le com- merce électronique?
74 FF 1988 424
75 Weber, 2001, p. 453.
76 Voir notamment: CNUCED, 2003; Rudolph et Löffler, 2002; BFC, 2001.
4739
– Quels sont les problèmes de mise en œuvre de la LPD du point de vue de la protection du consommateur dans le commerce électronique?
– Dans quelle mesure les obligations relatives aux informations sont-elles res- pectées?
– Comment les recommandations du Préposé fédéral à la protection des don- nées et les sanctions prévues par la loi sont-elles mises en œuvre et quel poids ont-elles?
Ces questions de recherche servent de base de travail aux sections suivantes. Les réponses directes à ces questions de recherche seront résumées dans la conclusion de cette évaluation.
4.2 Bases légales
En ce qui concerne la protection des données, le commerce électronique - comme tous les autres domaines dans lesquels des données personnelles sont collectées et traitées - est soumis à la LPD. En plus de la LPD, la protection des données est également régie par l'art. 13 Cst., par le code civil, par la loi sur les télécommu- nications et par le code pénal.
Le but de la loi fédérale sur la protection des données et de l'ordonnance correspon- dante (OLPD; RS 235.11) est de donner à l'individu la possibilité d'exercer son contrôle sur la divulgation et le traitement des données qui concernent sa personne et, si nécessaire, de les interdire. La LPD tire sa légitimité du droit fondamental qu'est la liberté personnelle, inscrit à l'art. 13, al. 2, Cst. (protection de la sphère privée), ainsi que de la protection de la personnalité en droit privé selon les art. 27 ss., CC.
La protection des données ne consiste pas à interdire tout flux d'information, mais cherche à prévenir l'utilisation abusive de données et d'informations. Celui qui a un intérêt légitime ne doit pas être empêché d'avoir accès à des données et de les trai- ter.77 En vertu de la LPD, les données personnelles ne peuvent cependant être col- lectées que de manière licite, leur traitement doit être effectué conformément aux principes de la bonne foi et uniquement dans le but qui est indiqué lors de leur collecte, qui est prévu par une loi ou qui ressort des circonstances (art. 4 LPD). Outre le but, le champ d'application et les principes, la loi définit également un certain nombre de notions (art. 3 LPD). Ainsi, par données personnelles, la LPD entend toutes les informations qui se rapportent à une personne identifiée ou iden- tifiable, indépendamment de la forme de ces données, de leur support ou de la tech- nique de récolte et de traitement des données (neutralité technologique). La loi règle le traitement, la diffusion ou la transmission de données à des tiers ainsi que les obligations de renseigner. Les voies de droit concernant la protection de la person- nalité sont fixées à l'art. 15 LPD: une éventuelle violation peut être poursuivie en application de l'art. 28 CC. En raison de son but, la loi ne fait pas la distinction entre violation effective ou seulement potentielle puisque la LPD a également un caractère préventif.78 La LPD contient des dispositions pénales en cas de violation des obli- gations de renseigner, de déclarer et de collaborer (art. 34 LPD) ou du devoir de
77 Spahr, 2003, p. 132.
78 Andersen, 2001, p. 6.
4740
discrétion (art. 35 LPD). Ces dispositions pénales sont réglées par les articles suivants du code pénal: art. 143 (soustraction de données), art. 143bis (accès indu à un système informatique), art. 144bis (détérioration de données), art. 147 (utilisation frauduleuse d'un ordinateur), art. 150 (obtention frauduleuse d'une prestation) et art. 179novies (soustraction de données personnelles).
Certaines dispositions de la LPD sont plus particulièrement concernées que d'autres par les conditions particulières du commerce électronique (mode de traitement des données électronique et indépendance géographique). Les articles correspondants sont brièvement présentés ci-dessous.
En vertu de l'art. 5, al. 1, LPD, quiconque traite des données personnelles doit s'assurer qu'elles sont correctes. Et selon l'art. 5, al. 2, LPD, toute personne con- cernée peut requérir la rectification de données inexactes.
L'art. 6 LPD règle les conditions auxquelles des données personnelles peuvent être communiquées à l'étranger. La LPD applique le principe d'équivalence. En vertu de ce principe, la communication de données personnelles à l'étranger ne doit pas avoir d'effet négatif sur la situation juridique de la personne concernée. Cela implique que la Suisse n'autorise les échanges de données qu'avec les États qui garantissent une protection équivalente.
Selon l'art. 7 LPD, les données personnelles doivent être protégées contre tout trai- tement non autorisé au moyen de mesures organisationnelles et techniques appro- priées.
L'art. 8 LPD stipule que les consommateurs ont le droit d'exiger du fournisseur qu'il les renseigne sur les données qu'il traite éventuellement à leur sujet et dans quel cadre il les traite.
La déclaration des fichiers fait l'objet de l'art. 11 LPD. Les particuliers qui traitent régulièrement des données sensibles ou des profils de la personnalité, ou qui com- muniquent des données personnelles à des tiers, sont tenus de déclarer leurs fichiers lorsque le traitement de ces données n'est soumis à aucune obligation légale et que les personnes concernées n'ont pas connaissance de l'existence de ces fichiers.
Dans son message relatif à la révision de la loi fédérale sur la protection des données du 19 février 2003, le Conseil fédéral proposait une révision partielle de la LPD.79 Cette révision visait principalement l'amélioration de l'information des personnes sur lesquelles des données sont collectées ainsi que la transposition dans le droit suisse des principes prévus par le Protocole additionnel du 8 novembre 2001 (Con- vention du Conseil de l'Europe, voir ch. 4.4.14). Le 10 mars 2004, le Conseil natio- nal a décidé de renvoyer le message au Conseil fédéral et l'a chargé de limiter la révision à la mise en œuvre des motions 00.3000 et 98.3529 et du Protocole addi- tionnel. La motion 98.3529 de la Commission de gestion du Conseil des États (CdG- E) ne concerne pas le commerce électronique. La motion 00.3000 de la Commission des affaires juridiques du Conseil des États (CAJ-E) demande l'introduction dans la LPD d'une obligation pour les particuliers et les organes fédéraux d'informer les personnes concernées lors de la collecte de données personnelles sensibles et de profils de la personnalité.
79
FF 2003 1915
4741
4.3
Acteurs étatiques
En vertu de la LPD, il y a, en Suisse, deux acteurs étatiques qui s'occupent des aspects de la protection des données dans le domaine du droit privé. Il s'agit, d'une part, du Préposé fédéral à la protection des données (PFPD) et, d'autre part, de la Commission fédérale de la protection des données (CFPD).
4.3.1 Préposé fédéral à la protection des données
L'institution du PFPD découle de l'application des art. 26 à 32 LPD. Il est chargé de veiller au respect de la protection des données en Suisse.80 Dans le domaine du droit privé, il conseille les particuliers en matière de protection des données (art. 28 LPD). Il tient et publie le registre des fichiers (art. 11 LPD). En cas de conflit, le PFPD tente de trouver des solutions; dans le domaine du commerce électronique, il peut s'agir de différends qui opposent fournisseurs et consommateurs. Le PFPD peut intervenir d'office ou à la demande de tiers et, après avoir établi les faits, émettre des recommandations (art. 29 LPD). Si une recommandation est rejetée ou n'est pas suivie, il peut porter l'affaire devant la CFPD pour décision. Le PFPD n'a cependant pas le pouvoir de prendre des sanctions. S'il en va de l'intérêt général, il peut infor- mer le public de ses constatations et de ses recommandations (art. 30, al. 2, LPD). Il est en outre chargé d'examiner dans quelle mesure la protection des données assurée à l'étranger est équivalente à celle que connaît la Suisse (art. 31, al. 1, let. d, LPD).
Actuellement, le PFPD nommé par le Conseil fédéral assume sa fonction avec un taux d'occupation de 50 %. Il est appuyé par un bureau doté de 18 postes.
4.3.2 Commission fédérale de la protection des données
La CFPD est une commission fédérale de recours et d'arbitrage au sens de l'art. 71a de la loi fédérale sur la procédure administrative (RS 172.021). Outre ses pouvoirs de décision en matière de droit public, elle statue, dans le domaine du droit privé, sur les recommandations du PFPD qui lui ont été soumises (art. 33, al. 1, let. a, LPD). Elle dispose du pouvoir de prendre des sanctions. En vertu de l'art. 33, al. 2, LPD, le PFPD peut requérir des mesures provisionnelles du président de la CFPD s'il con- state, à l'issue de l'enquête qu'il a menée, que la personne concernée risque de subir un préjudice difficilement réparable. Dans le domaine du droit privé, la CFPD n'intervient que dans les cas de grande portée. Dans la mesure où le recours de droit administratif au Tribunal fédéral ou au Tribunal fédéral des assurances n'est pas ouvert, les décisions de la CFPD sont définitives (art. 27 de l'ordonnance concernant l'organisation et la procédure des commissions fédérales de recours et d'arbitrage, RS 173.31). Les décisions de la CFPD peuvent être consultées sur la page du site de la Chancellerie fédérale consacrée à la jurisprudence des autorités administratives de la Confédération. 81
La commission est composée de six membres nommés par le Conseil fédéral.82
81 http://www.vpb.admin.ch/franz/cont/aut/aut 1.2.3.5.html.
82 http://www.admin.ch/ch/f/cf/ko/index_111.html.
4742
4.4 Analyse du commerce électronique
Les paragraphes suivants sont consacrés à l'étude des principales problématiques abordées par la littérature spécialisée, l'analyse d'études et onze entretiens appro- fondis83 ayant porté sur les quatre questions de recherche. Ces paragraphes décrivent les domaines dans lesquels il y a des problèmes ainsi que les effets de la législation et de la coordination entre les diverses autorités concernées sur la protection des données dans le domaine de l'e-commerce entre des fournisseurs suisses et des clients suisses. Les deux premiers paragraphes sont consacrés à des problèmes relatifs à l'environnement général de la protection des données dans le commerce électronique alors que les autres abordent des problématiques spécifiques.
Les explications ci-après se réfèrent aux domaines de la LPD qui relèvent du droit privé, le commerce électronique relevant lui-même de ce domaine du droit. De nombreux problèmes liés à la LPD et identifiés dans le cadre de la présente étude ne sont pas spécifiques au commerce électronique et concernent tous les domaines dans lesquels on a recours à des données sensibles ou à des profils de la personnalité. Certains d'entre eux sont simplement plus accentués dans le domaine du commerce électronique.
4.4.1 Dimension d'Internet
La «dimension d'Internet» est un facteur régulièrement abordé dans les publications étudiées et par les personnes entendues par le CPA. Cette dimension a été notam- ment abordée sous l'angle des quatre points ci-après:
– Les possibilités techniques, la rapidité et l'anonymat offerts par Internet constituent un univers qu'il est difficile d'appréhender dans son ensemble. Les possibilités techniques très étendues d'Internet sont à l'origine de plu- sieurs problématiques spécifiques. Ainsi, il est très simple de constituer des bases de données et de collecter des données. Certains fournisseurs possè- dent des bases de données dont ils ignorent l'existence.
– Les protagonistes sur Internet sont très divers, il y a notamment les fournis- seurs, les consommateurs, les fournisseurs d'accès, les sociétés émettrices de cartes de crédit (voir figure 2, ch. 2.3).
– Internet est un outil relativement récent. L'utilisateur dit «normal» y a accès depuis une dizaine d'années environ. Il est encore confronté à de nombreu- ses inconnues et incertitudes. Les personnes entendues par le CPA ont pres- que toutes insisté sur le fait que la fiabilité est une valeur cardinale: en Suisse, un fournisseur sérieux ne peut pas se permettre d'avoir des problè- mes d'image. Le fait pour un fournisseur de donner aux clients la possibilité de s'informer de la politique de l'entreprise relative et de ses activités sur Internet ainsi que sur sa politique en matière de traitement des données dignes d'être protégées (déclaration relative à la protection de la person- nalité) est de nature à renforcer leur confiance.
83 Sur les treize entretiens menés par le CPA, onze ont donné lieu à un avis sur la protection des données. Voir questionnaire p. 4772.
4743
– Les législations nationales n'ont, par essence même, d'effet que sur une petite partie d'Internet puisqu'il s'agit d'un réseau à l'échelon planétaire.
4.4.2 Prise de conscience insuffisante et manque de connaissances
Les onze personnes entendues ont abordé la question de la prise de conscience insuffisante et du manque de connaissances en matière de protection des données, aussi bien de la part des consommateurs que des fournisseurs. Selon la littérature également, la protection des données n'est pas encore suffisamment ancrée dans la conscience de la population suisse.84 Dans bien des milieux, la perception des pro- blèmes liés à la protection des données fait défaut. Un expert a même prétendu que la LPD est transgressée chaque jour, sans mauvaise intention dans de nombreux cas, simplement par ignorance ou parce qu'il est impossible de respecter la législation en vigueur.
Les aspects principaux de cette prise de conscience insuffisante et de ce manque de connaissances peuvent être résumés de la manière suivante:
Consommateurs
Pour la plupart, les consommateurs ont un déficit important en matière de prise de conscience. Ils laissent d'importantes traces de données sur Internet. Ils ne s'infor- ment pas toujours suffisamment sur les fournisseurs et leur politique commerciale. Certains consommateurs ne connaissent pas leurs droits. Il ne savent pas qu'ils sont uniquement tenus de fournir les données nécessaires à la transaction et que, en vertu de l'art. 8 LPD, ils ont un droit d'accès aux données qui les concernent. De plus, la LPD leur donne des droits leur permettant d'interdire à une entreprise de traiter les données qui les concernent ou de les transmettre à des tiers.
La prise de conscience insuffisante et le manque de connaissances découlent d'un déficit en matière d'information et d'un manque d'intérêt pour la protection des données. Cette constatation est d'ailleurs corroborée par le fait que la brochure sur la protection des données de la Stiftung für Konsumentenschutz n'est pas un article très demandé. Les organisations de protection des consommateurs constatent égale- ment que l'avènement d'Internet et, partant, du commerce électronique, suscite un intérêt croissant pour la problématique de la protection des données.
Cela étant, force est de constater que, en partie, les consommateurs ne maîtrisent pas encore tous les éléments de l'infrastructure de base du commerce électronique. Il ne s'agit cependant que d'une question de temps car, de plus en plus, l'utilisation d'Internet va de soi. Toutefois, si l'amélioration du savoir-faire en matière de tech- nologies d'information accroît la maîtrise des applications informatiques, elle n'entraîne pas pour autant une amélioration ipso facto de la prise de conscience en matière de protection des données.
Fournisseurs
La LPD n'est pas assez bien connue, donc pas suffisamment respectée par les four- nisseurs. Les entretiens ont mis en évidence que les PME ne connaissent pas les
84 Züst, 2001, p. 34.
4744
prescriptions et les lois qui doivent être respectées dans le domaine de la protection des données, en particulier lorsqu'ils se lancent dans le commerce électronique en partant d'une activité commerciale traditionnelle. Ainsi, le commerçant qui travaille dans un domaine traditionnel ne tient souvent pas de liste de ses clients. Lorsqu'il offre des biens ou des services sur Internet, il se met automatiquement à saisir les adresses de ses clients. Par ce geste déjà, il est tenu de respecter la LPD.
Le manque de conscience des fournisseurs en matière de protection des données les conduit aussi à recourir à des logiciels ou à des technologies de l'information qui ne répondent pas aux exigences de la protection des données. Lorsque les juristes ou les personnes chargées de la protection des données de l'entreprise ne sont pas intégrés dès le départ aux projets correspondants, il arrive que les responsables du projet développent une solution techniquement performante, mais ne répondant pas aux exigences légales en matière de protection des données.
4.4.3 Proportionnalité des fichiers
Dans son message de 1988 sur la LPD, le Conseil fédéral constate que le traitement de données personnelles peut porter préjudice aux personnes concernées, notamment lorsque la collecte de données ou le traitement de celles-ci sont excessifs et abso- lument inutiles à la réalisation d'un contrat.85 La protection des données n'a donc pas pour seul objectif préventif d'obliger les personnes visées à traiter les données avec tout le sérieux qui s'impose. Elle vise également à assurer une collecte de données qui soit proportionnelle au but recherché. L'art. 4, al. 3, LPD précise que les données personnelles ne doivent être traitées que dans le but qui est indiqué lors de leur collecte, qui est prévu par une loi ou qui ressort des circonstances. Le libellé «but indiqué lors de leur collecte» laisse cependant une marge d'interprétation importante qui permet de collecter des données dans une mesure très large, ce qui ne correspond pas à la volonté que le Conseil fédéral avait exprimée dans son message.
Les fournisseurs ont naturellement besoin de saisir certaines données pour pouvoir réaliser des affaires. Toutefois, les sites collectent déjà des données sur leurs visi- teurs alors que ceux-ci ne sont pas (encore) clients. Ainsi, l'étude de Consumers International86 constate que 67 % des sites demandent au simple visiteur de fournir des informations et des indications.
Un fournisseur peut demander des données qui ne sont pas indispensables au but de la transaction à ses clients, pour autant que ceux-ci soient volontaires de fournir ces informations. Un sondage effectué pour K-Tipp a révélé que, sur son site, la Migros collecte des données inutiles au sujet de ses clients comme leur profession, le nom- bre d'enfants et d'animaux familiers dans le ménage.87 Un maître de fichier peut aussi utiliser des données pour un autre but que celui pour lequel il les a collectées, dans la mesure où il en a informé les personnes qui les lui ont confiées. Ainsi, cer- tains contrats type contiennent des clauses étrangères à la transaction qui élargissent l'usage des données. Il n'est donc pas toujours évident pour le consommateur de savoir s'il donne ou non son consentement pour une utilisation élargie de ses don- nées. L'un des experts entendus a, en substance, résumé le problème qui se pose en
85 FF 1988 424
86 Consumers International, 2001a, p. 22.
87 Schwager, 2003, p. 5.
4745
disant que la LPD est respectée mais que le traitement des données se développe et que les déclarations des entreprises relatives à la confidentialité des données leur permet la plupart du temps simplement de collecter et de traiter de plus en plus de données.
En outre, la collecte et le traitement de données excessifs sont favorisés du fait que les entreprises peuvent faire ce qu'elles veulent des données qui ne sont pas person- nalisées. La LPD prescrit les modalités relatives au traitement des données person- nelles (art. 4, al. 3, LPD). Un exploitant de site peut toutefois contourner cette dispo- sition assez facilement en rendant anonymes les profils de la personnalité qu'il constitue. En se servant de cookies88, un fournisseur est en mesure d'identifier immédiatement tout visiteur lorsque celui-ci accède à son site. Certains fournisseurs enregistrent systématiquement un cookie sur le disque dur de chaque visiteur lors de son premier accès.89 Les personnes à qui les données rendues anonymes appartien- nent ne peuvent plus décider du sort réservé à ces informations.
Les fournisseurs qui se procurent des données sur les ménages par le truchement des enfants constituent un autre problème lié à la problématique générale de la collecte de données excessive. En effet, les enfants n'ont guère d'inhibitions quant à leur approche d'Internet et ont souvent plus de facilité que les adultes du point de vue de l'utilisation de la technologie. La plupart du temps, il n'ont cependant pas cons- cience de la sensibilité de leurs données personnelles et de celles concernant leurs parents et le ménage dans lequel ils vivent.
4.4.4 LPD: une loi abstraite et exhaustive
La LPD a été conçue en tant que loi exhaustive, englobant tous les domaines dans lesquels il convient de respecter la protection des données. Cette universalité est à l'origine de la grande abstraction dans la formulation de certaines parties de la LPD et, partant, de l'absence d'indications tangibles. L'un des experts entendus a expli- qué que celui qui désire mettre en œuvre un système quelconque ne trouve pas suffisamment d'indications concrètes dans ces normes de portées générales pour pouvoir les appliquer. Ainsi, selon l'art. 4, al. 1 à 3, LPD «toute collecte de données personnelles ne peut être entreprise que d'une manière licite, leur traitement doit être effectué conformément aux principes de la bonne foi et de la proportionnalité [et] les données personnelles ne doivent être traitées que dans le but qui est indiqué lors de leur collecte, qui est prévu par une loi ou qui ressort des circonstances.» Selon cet expert, il n'y a pas de problème à démontrer que le commerce électronique tombe sous le coup de cette disposition. Il estime en revanche que cet article est rédigé de manière si abstraite et si générale que sa mise en œuvre concrète ne s'en trouve guère facilitée. Les définitions de notions à l'art. 3 LPD sont en partie formulées de manière tellement générale, qu'elles appellent une interprétation plus concrète. L'interprétation de cet article et de ces notions est du ressort des tribunaux. À ce jour, il n'y a toutefois eu que peu de décisions en matière de protection des données
88 Un «cookie» n'est pas destiné avant tout à permettre l'identification des personnes ou des ordinateurs. Grâce aux informations qu'il permet d'obtenir, il finit cependant par générer des profils de la personnalité. Lorsque l'on combine entre eux tous les éléments d'information ainsi collectés, on finit par avoir une image de plus en plus détaillée du visiteur du site, qui peut aller jusqu'au fameux «client transparent».
89 Rosenthal, 2000, p. 238.
4746
ce qui explique pourquoi les dispositions et les notions de la LPD demeurent si abstraites et, dans le domaine du commerce électronique notamment, contribuent à l'insécurité des consommateurs et des fournisseurs.
4.4.5 Neutralité technologique vs orientation technologique
Selon le message relatif à la LPD, le traitement des données est des plus divers étant donné le grand nombre de moyens techniques actuels.90 Une loi générale sur la protection des données ne saurait prendre en compte chacune de ces différentes formes et doit plutôt poser les principes généraux permettant d'esquisser une solu- tion pour la plupart des problèmes tout en réservant l'avenir. La LPD ne peut donc pas d'emblée réglementer spécifiquement tous les secteurs. Elle n'établit pas de distinction entre les traitements de données manuels et les traitements automatisés. Refusant de se fonder sur des notions techniques précises, elle demeure neutre face au développement de la technique.
Certains juristes mettent en cause cette neutralité technologique de la loi. Ainsi, Weber et al. sont favorables à la mise en place d'un concept de protection des don- nées plus axé sur la technologie, ce qui lui donnerait plus d'efficacité.91 Ils sont d'avis que les nouvelles possibilités technologiques permettraient d'atteindre un niveau de protection des données suffisant et, partant, d'établir un concept de protec- tion capable d'empêcher le traitement illicite de données. Outre le PFPD, d'autres juristes ne partagent pas ce point de vue. Ils estiment que la forme actuelle de la LPD, qui est conçue en tant que loi exhaustive, est une bonne solution qui permet également d'englober les nouveaux médias tels qu'Internet.92 Le BFC estime que l'orientation de la loi n'est pas un problème et qu'il faudrait plutôt concrétiser sa mise en œuvre.93
La discussion sur la dichotomie entre neutralité technologique et orientation tech- nologique porte également sur la question de la prise en compte par la législation des nouvelles possibilités techniques. L'ordre juridique accuse toujours un retard sur la technologie; les règles ne sont adaptées qu'une fois l'ordre social bien établi. Inter- net et le commerce électronique ne font pas exception.94
4.4.6 Principe d'équivalence
L'art. 6 LPD règle la communication de données à l'étranger par le maître de fichier suisse. En vertu de l'art. 6, al. 1, LPD aucune donnée personnelle ne peut être com- muniquée à l'étranger si la personnalité des personnes concernées devait s'en trou- ver gravement menacée, notamment du fait de l'absence d'une protection des don- nées équivalente à celle qui est garantie en Suisse. Il est de la responsabilité du maître de fichier de s'assurer que l'Etat vers lequel il communique des données dispose d'une protection des données équivalente à celle du droit suisse. S'il conclut
90 FF 1988 425 ss.
91 Weber et al., 2001, p. 485.
92 Rosenthal, 2000, p. 221.
93 BFC, 2001, p. 14.
94 Züst, 2001, p. 17.
4747
que le niveau de protection est équivalent dans le pays étranger, il est légal de pro- céder à la communication de données. Le problème de l'art. 6 LPD réside dans la constatation de l'équivalence du niveau de protection des données d'un pays étran- ger.95 La comparaison implique un jugement par appréciation qui ne permet pas de garantir la sécurité du droit de manière suffisante. Comme outil et au vu de l'art. 31 LPD, le PFPD a publié une liste des États disposant d'une protection des données équivalente à celle du droit suisse.96
Lorsque des données sont transmises dans un pays dont la protection des données n'est pas équivalente à celle de la Suisse, le propriétaire du fichier doit conclure une convention ou un contrat avec le destinataire des données afin d'assurer la protection de celles-ci.97 Au cours de diverses auditions, il est apparu que cette pratique est souvent appliquée par les entreprises transnationales afin de leur permettre de trans- férer les données d'un pays à l'autre. Ainsi, dans le domaine du commerce électro- nique, les données saisies par un consommateur sur un site xy.ch peuvent être transmises au groupe qui exploite également le site xy.com et qui est établi dans un autre pays que la Suisse.
Contrairement à l'UE, la Suisse ne cherche pas à conclure de conventions dites de protection des données qui permettraient de régler le transfert transfrontalier de données avec des pays tiers ne disposant pas d'une législation suffisante en matière de protection des données. Ainsi, il incombe à l'entreprise qui veut transférer des données de conclure un contrat de protection des données avec chaque entreprise implantée dans un pays tiers non-équivalent.98 À l'ère du commerce électronique planétaire, cette situation est inadéquate, cela d'autant plus que la législation des États-Unis, un partenaire commercial important de la Suisse, n'est pas reconnue équivalente à celle de la Suisse.
Depuis le 26 juillet 2000, l'UE reconnaît la LPD en tant que loi équivalente à sa directive et la Suisse mentionne les États membres de l'UE dans sa liste indicative des États dotés d'une loi sur la protection des données assurant un niveau de pro- tection équivalent. La reconnaissance de l'équivalence n'est pas arrêtée une fois pour toutes, elle est périodiquement revue. Actuellement, la législation européenne est plus restrictive que la législation suisse. Il existe donc un risque que l'équiva- lence ne soit plus reconnue.
4.4.7 Information du consommateur
Le droit d'accès (art. 8 LPD) aux données personnelles est une disposition clé de la protection des données. Toute personne peut demander au maître d'un fichier si des données la concernant sont traitées. Le maître du fichier doit lui communiquer le but, la base juridique du traitement, les catégories de données personnelles traitées, de participants au fichier et de destinataires des données. Les renseignements cor- respondants sont, en règle générale, fournis gratuitement et par écrit. En vertu de
95 Weber 2002, p. 10 s.
96 http://www.edsb.ch/f/themen/ausland/liste_f.pdf. Les pays mentionnés sont les États membres de l'UE, l'Australie, l'Islande, le Canada, la Lettonie, la Lituanie, la Nouvelle- Zélande, la Pologne, la République Tchèque, la Slovaquie, la Slovénie et la Hongrie.
97 Guntern, 2002, p. 192.
98 Weber 2002, p. 11.
4748
l'art. 8 LPD, tout maître de fichier est tenu de fournir les renseignements correspon- dants lorsqu'il en reçoit la demande expresse.
Les fournisseurs qui donnent spontanément au consommateur une vue d'ensemble sur les données qu'ils traitent à son sujet sont rares: sur 100 sites suisses, 27 donnent à leurs clients la possibilité de consulter directement les données personnelles col- lectées à leur sujet.99 Pour les 73 autres sites, le client doit prendre l'initiative de demander à pouvoir exercer son droit d'accès.
Une telle demande est souvent un signe de méfiance du consommateur envers le fournisseur: il veut savoir dans quelle mesure une entreprise est honnête et transpa- rente. L'un des fournisseurs entendus a d'ailleurs constaté que, depuis un certain temps, le droit d'accès aux données est de plus en plus souvent exercé. La plupart du temps, les consommateurs exigent de pouvoir exercer leur droit d'accès lorsqu'ils supposent une violation de leur sphère privée. Dans ce cas, le droit d'accès n'a plus d'effet préventif, mais sert à limiter les dommages.
L'exécution du droit d'accès en tant que tel est moins problématique que l'iden- tification même des maîtres de fichiers qui pourraient être appelés à fournir des renseignements.100 Lorsqu'une personne qui recourt aux services du commerce électronique n'est pas au courant du fait que des données sont collectées, il ne lui vient pas à l'idée de chercher à identifier un maître de fichier afin d'exercer son droit d'accès. Pour cette raison, quelques experts interrogés estiment que le droit d'accès aux informations garanti par la LPD est insuffisant.
D'autre part, l'expérience montre que, lorsque la justice intervient, la violation de la sphère privée ne peut plus être empêchée tant il est vrai qu'elle a déjà eu lieu. Dans le domaine du commerce électronique, une obligation d'informer active de la part des fournisseurs permettrait de protéger le consommateur plus efficacement. Toute- fois, une obligation d'informer spontanément n'aurait de sens que si la personne concernée a la possibilité de s'opposer efficacement au traitement des données. La LPD ne lui donne pas cette possibilité. En vertu de l'art. 15, al. 1, LPD, le deman- deur peut, à titre de mesure destinée à protéger sa personnalité, requérir que les données soient rectifiées ou détruites ou que leur communication à des tiers soit interdite. Il ne peut cependant pas interdire le traitement des données. Sa protection est donc incomplète.
L'un des experts entendus a en outre souligné que le propriétaire d'un fichier peut certes informer la personne qui le demande sur les données qui y sont éventuelle- ment inscrites et, le cas échéant, sur les traitements effectués, mais il n'a souvent que des connaissances lacunaires sur la provenance des données en question.
4.4.8 Obligation de déclarer
Selon l'art. 11, al. 3, LPD, les particuliers qui traitent régulièrement des données sensibles ou des profils de la personnalité ou communiquent des données personnel- les à des tiers sont tenus de déclarer leurs fichiers au PFPD si le traitement de ces données n'est soumis à aucune obligation légale et que les personnes concernées n'en ont pas connaissance. Il en va de même pour la transmission de fichiers à
99 Andersen, 2001, p. 22.
100 Weber et al., 2001, p. 482.
4749
l'étranger (art. 6, al. 2, LPD). Le registre des fichiers peut être consulté auprès du PFPD (voir ch. 4.4.13).
Dans la pratique, il est difficile de prouver que quelqu'un qui traite des données tient également un fichier. Par conséquent, la mise en œuvre de cette disposition pose d'importants problèmes.
4.4.9 Exactitude des données
Pour les fournisseurs actifs dans le commerce électronique, l'art. 5 LPD pose égale- ment des problèmes. Selon cette disposition en effet, quiconque traite des données personnelles doit s'assurer de l'exactitude des données. Il doit donc tenir ses fichiers à jour et, de sa propre initiative ou sur demande de la personne concernée, rectifier les données inexactes. Le but de cette disposition est d'éviter que des décisions fondées sur des données fausses ou dépassées puissent constituer une violation de la protection de la personnalité ou des droits fondamentaux de personnes concernées. Cela étant, dans le domaine du commerce électronique, il serait disproportionné d'exiger un contrôle complet des données. De l'avis de l'un des experts entendus, cet article doit en substance être interprété dans le sens du législateur qui a voulu éviter qu'un propriétaire de fichier ne puisse délibérément falsifier des données. Cette interprétation est corroborée par l'art. 8 OLPD: «La personne privée qui traite des données personnelles ou qui met à disposition un réseau télématique assure la confidentialité, la disponibilité et l'exactitude des données afin de garantir de ma- nière appropriée la protection des données. Elle protège les systèmes notamment contre les risques de destruction accidentelle ou non autorisée, de perte accidentelle, d'erreurs techniques, de falsification, vol ou utilisation illicite, de modification, copie, accès ou autre traitement non autorisés.»
Selon une interprétation restrictive de la loi, les fournisseurs qui ne contrôlent pas toutes les données transgressent la loi. L'art. 5 LPD est donc souvent enfreint depuis l'avènement du commerce électronique. Cela étant, les résultats de la présente étude montrent que cette disposition ne tient pas compte des exigences de la réalité. Pour les fournisseurs qui ne travaillent que sur le marché national, il est possible de véri- fier l'exactitude des adresses postales de leurs clients. Lorsque l'adresse indiquée existe, le fournisseur a raisonnablement rempli ses obligations en matière de véri- fication de l'exactitude des données, mais cela ne veut pas dire que les données en question ont véritablement été saisies par la personne dont l'adresse a été indiquée. Ce cas de figure illustre bien les problèmes découlant de l'anonymat sur Internet.
4.4.10 Communication de données à des tiers
En vertu de la LPD, personne n'est en droit de communiquer à des tiers des données sensibles ou des profils de la personnalité sans motifs justificatifs (art. 12 LPD). Le consentement de la personne concernée, l'existence d'un intérêt prépondérant privé ou public ou une disposition légale sont des motifs justificatifs (art. 13, al. 1, LPD). L'art. 14 LPD règle le cas du traitement de données par un tiers. Un tel traitement est possible lorsque le mandant veille à ce que ne soient pas effectués des traite- ments autres que ceux qu'il est lui-même en droit d'effectuer et qu'aucune obli- gation légale ou contractuelle de garder le secret ne l'interdit.
4750
Dans un univers d'interconnections par excellence tel que celui d'Internet, la trans- mission de données personnelles et des profils de la personnalité fait partie du quo- tidien. Ainsi, lors d'un achat en ligne, les données relatives à la carte de crédit, à l'adresse de facturation et au produit ou service acheté doivent être transmises pour que le paiement puisse être effectué. En outre, de nombreuses entreprises ont délé- gué certaines parties des transactions commerciales à des tiers qui doivent pouvoir disposer des données nécessaires à l'exécution des tâches qui leur incombent de ce fait. Le traitement et la communication de données doivent faire l'objet d'un soin particulier pour pouvoir assurer la protection des consommateurs. Selon Weber et al., le droit en matière de protection des données doit accorder une attention toute particulière aux aspects de la sécurité des données: il faut veiller soigneusement à ce que des données ne puissent parvenir à des tiers non concernés.101 L'étude du réseau CEC a montré que plus de la moitié des sites demandent au consommateur s'il consent à ce que des données le concernant soient transmises à des tiers, 102 même si cette transmission n'a généralement même pas lieu. Selon Andersen, 59 des 100 sites suisses étudiés103 contiennent une déclaration relative à la protection de la personnalité. De ceux-ci, 35 fournissent des informations relatives à la transmission de données à des tiers: douze indiquent transmettre des données à des tiers alors que 23 indiquent n'en point transmettre, à moins qu'il y ait une obligation légale, que les données soient indispensables pour la réalisation de la transaction ou qu'elles aient été rendues anonymes. Toutefois, 41 sites ne donnent aucune indication sur leur politique en matière de protection de la personnalité. Force est donc de constater qu'une partie importante des exploitants de sites estiment qu'il n'est pas important d'informer leurs clients au sujet du traitement des informations qui les concernent.
Comme la figure 4 permet de le constater, sur les douze sites qui indiquent trans- mettre des données à des tiers, aucun ne demande le consentement préalable de la personne concernée pour le traitement des données («opt-in», en d'autres termes, en s'inscrivant dans une liste, une personne concernée indique expressément qu'elle accepte que des données qui la concernent puissent être transmises à des tiers). Neuf sites ont choisi l'option «opt-out», c'est-à-dire que, en s'inscrivant dans une liste, une personne concernée indique qu'elle s'oppose à toute communication à des tiers de données la concernant. Deux sites demandent l'accord ou donnent le choix à la personne concernée quant à une autre utilisation possible des données.104
101 Weber et al., 2001, p. 467.
102 Réseau CEC, 2003, p. 28.
103 Andersen, 2001, p. 21.
104 Andersen, 2001, S. 21.
4751
Figure 4
Déclaration relative à la protection de la personnalité concernant la communication de données à des tiers (nombre de sites)
Aucune indication sur la communication de données (24)
Opt-in (0)
Aucune indication (1)
Communiquent des données (12)
Demandent au concerné (2)
Opt-out (9)
Ne communiquent aucune donnée (23)
Source: Andersen, 2001, p. 21.
Les résultats de cette étude montrent que tous les fournisseurs ne font pas preuve d'un comportement adéquat en matière de communication de données à des tiers. Plus d'un tiers des sites qui comportent une déclaration relative à la protection de la personnalité n'indiquent rien quant à la transmission de données à des tiers. Le consommateur qui veut en savoir plus doit exercer son droit d'accès. Des 100 sites étudiés, seuls douze indiquent qu'ils transmettent des données à des tiers. De ces douze sites, au moins neuf demandent au client de les autoriser à communiquer des données, cela avant même d'avoir effectivement besoin de cette autorisation. Même si la LPD le permet, cette manière de procéder ne respecte pas la volonté du Conseil fédéral, telle qu'exprimée dans le message de 1988.105
105 FF 1988 424
4752
4.4.11 Aspects techniques et organisationnels de la protection des données
L'art. 7 LPD stipule que les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appro- priées. À l'échelle mondiale, on découvre chaque semaine au moins une importante lacune de sécurité dans des logiciels.106 À partir du moment où elle est collectée en ligne et utilisée à partir de bases de données en ligne également, l'information est très vulnérable. L'étude du CPA a montré que les mesures techniques qui permet- traient de protéger les informations sont très nombreuses, mais que leur mise en œuvre n'est souvent pas supportable du point de vue économique, surtout pour les PME.
À la question relative à l'efficacité de l'art. 7 LPD, l'un des experts interrogés a en substance répondu que la difficulté réside dans le fait que les aspects organisation- nels sont largement sous-estimés, alors qu'il y a déjà une solution technique pour la plupart des problèmes.
Il est souvent possible de reprocher à un fournisseur de ne pas avoir choisi un che- min sûr pour acheminer les données sensibles vers son site et d'avoir ainsi négligé de les protéger contre un éventuel accès non autorisé. Le cas échéant, il est donc judicieux de crypter les données personnelles de tiers avant de procéder à leur trans- fert via Internet.107 Les experts entendus par le CPA estiment qu'une intervention dans ce domaine n'est pas prioritaire étant donné que les données sont pratiquement toujours transférées de manière cryptée. En revanche, de l'avis de l'un de ces experts, le stockage des données est bien souvent négligé. Il est d'avis qu'il est indispensable de veiller à la sécurité des données personnelles d'un bout à l'autre et non pas uniquement durant le transfert. Pour sa part, Andersen108 a montré que sur les 100 sites étudiés, seuls 18 indiquent comment les données sont protégées une fois transmises (par exemple en limitant l'accès à certains groupes d'utilisateurs ou en les stockant sur des serveurs offrant une sécurité accrue).
Quoiqu'il en soit, les Suisses pensent qu'Internet est de loin l'organisme qui ne permet pas de conserver les données personnelles en toute sécurité (voir figure 5).
106 Consumers International, 2001a, p. 13.
107 Spahr, 2003, p. 139.
108 Andersen, 2001, p. 22.
4753
Figure 5
Taux net de sécurité ressentie par les consommateurs suisses à l'égard de différents organismes conservant leurs données personnelles (en %)
Médecin/Hôpital
Banque
Administration
Police
Autorité locale
Poste
Entreprise privée
Magasin
E-Commerce
-60
-40
-20
0
20
40
60
Source: CPA, basé sur Conseil pour la protection de la personnalité, 2004, p. 7.
Note: Le taux net de sécurité ressentie représente la différence entre les personnes estimant que les données personnelles sont «tout à fait en sécurité» ou «assez en sécurité» et celles qui les estiment «pas vraiment en sécurité» ou «pas du tout en sécurité».
4.4.12 Faible poids des sanctions
En vertu de l'art. 15 LPD, chacun peut spontanément saisir le juge civil pour proté- ger sa sphère privée. En cas de non-respect de la sphère privée, les art. 34 et 35 LPD permettent à la personne concernée d'intenter une action pénale contre le proprié- taire du fichier, respectivement pour violation des obligations de renseigner, de déclarer et de collaborer ou violation du devoir de discrétion. Quatre experts enten- dus sont d'avis que le faible poids des sanctions constitue un problème important pour l'exécution de la LPD. Cette loi a d'ailleurs été qualifiée de tigre de papier.
En effet, les plaintes en vertu de l'art. 15 LPD sont rares, car il est relativement difficile de reconnaître et de démontrer qu'il y a risque de violation de la sphère privée. Si les violations de la sphère privée sont fréquentes, elles sont généralement assez limitées. Les personnes lésées ne subissent la plupart du temps pas de dom- mage pécuniaire, raison pour laquelle elles renoncent à emprunter les voies ouvertes par les art. 34 et 35 LPD. De plus, les experts et les représentants des organisations de protection des consommateurs qui se sont exprimés estiment que les frais poten- tiels de telles actions sont très élevés et que l'issue de la procédure demeure très incertaine. En Suisse, les organisations de protection des consommateurs renoncent
4754
la plupart du temps à emprunter la voie judiciaire et tentent, en offrant leur média- tion, de trouver des solutions plus rapides et moins coûteuses.
De l'avis de plusieurs personnes interrogées par le CPA, le fait que le PFPD doive se limiter à émettre des recommandations et ne puisse pas prononcer des sanctions doit également être considéré comme une lacune. À ce jour, le PFPD n'a pas émis de recommandation portant sur le domaine du commerce électronique en tant que tel et, partant, il n'y a eu aucune décision correspondante de la part de la CFPD.109
Des décisions judiciaires et des décisions de la CFPD permettraient de faire plus de publicité pour la protection des données. Elles pourraient servir de référence et permettre d'obtenir un meilleur écho médiatique. Actuellement, les décisions de la CFPD sont publiées sur le site de la Chancellerie fédérale110, mais leur parution n'est pas annoncée par des communiqués de presse. À peu de frais, il serait possible de leur donner une plus grande publicité.
En Suisse, la jurisprudence au sujet de la protection des données dans le domaine du commerce électronique est encore inexistante. Diverses raisons expliquent cette situation. La première est que la problématique de la protection des données et, par conséquent, de la LPD est relativement récente; le recul est insuffisant. La deuxième est que la Suisse constitue un espace juridique restreint dont la densité de plaintes ou recours est inférieure à celle que l'on connaît notamment en Allemagne ou en France. La troisième est due à des facteurs liés à la nature transnationale d'Internet; il n'est pas toujours clair si les tribunaux suisses peuvent être saisis depuis l'étranger et s'ils sont compétents. 111
L'évaluation des réponses données par les personnes entendues a montré que l'absence de jurisprudence a des effets sur l'interprétation concrète des dispositions légales et des notions abstraites. Le législateur a prévu que les dispositions de la LPD seraient interprétées par les tribunaux. Si les tribunaux ne sont jamais appelés à trancher, les dispositions et les notions peu claires ou abstraites ne peuvent pas être clarifiées.
Lors de la formulation de la LPD, le législateur était conscient de la difficulté décou- lant des divergences d'opinion au sujet de certaines notions. C'est pour cette raison que, à l'art. 3 LPD, il a défini les principales notions que l'on rencontre dans toute la loi (telles que données personnelles, données sensibles, profils de la personnalité, traitement de données ou maître du fichier). Cela étant, ces définitions ont été for- mulées de manière très large afin de couvrir toutes les éventualités. Elles sont par conséquent également sujettes à interprétation: par exemple, le contenu d'un profil de la personnalité et ce qu'il faut comprendre par traitement des données conforme au principe de la proportionnalité ne ressortent pas avec une clarté suffisante. Ainsi, de l'avis de l'un des experts entendus, il n'y a que peu de fournisseurs qui ont un comportement correct respectant le but, l'affectation aux seules utilisations prévues et la proportionnalité du traitement des données alors même qu'il s'agit des points cruciaux de la législation.
109 Le PFPD a émis deux recommandations portant sur le publipostage abusif (spamming) et les tests en paternité ; aucune de ces recommandations ne concerne cependant le com- merce électronique en tant que tel.
110 http://www.vpb.admin.ch/franz/cont/aut/aut_1.2.3.5.html.
111 Züst, 2001, p. 18.
4755
En tout état de cause, en l'absence d'actions en justice, les tribunaux ne peuvent pas émettre de jugements formateurs tant il est vrai qu'il n'y a pas de juge sans plai- gnant. En Suisse, aucune décision judiciaire ne vient lever l'insécurité juridique qui grève certaines dispositions du droit de la protection des données dans le domaine du commerce électronique.
4.4.13 Rôle du PFPD dans le domaine de l'e-commerce
Comme cela a été mis en évidence au ch. 4.3.1, le PFPD assume diverses tâches relevant du domaine du droit privé qui englobent aussi l'e-commerce.
Aucune des 20 personnes qui constituent l'équipe du PFPD, n'est spécifiquement chargée des questions liées au commerce électronique. L'attribution des sujets se fait cas par cas ou en fonction de leur environnement, la problématique de la vente de médicaments par Internet étant jugée trop différente de celle de la vente de livres ou de musique.
L'efficacité de la protection des données dépend fortement des moyens de contrôle et de la possibilité de faire appliquer les réglementations. À cet égard, Internet constitue un nouveau défi pour les préposés nationaux à la protection des données. Il est quasiment impossible de surveiller les trop nombreuses entreprises qui travaillent sur Internet et, partant, de sanctionner toutes les infractions à la protection des don- nées. 112
Le PFPD est bien conscient de ces difficultés. Ainsi, dans un article publié en 1999, il a souligné qu'il est indispensable de compléter la législation par diverses mesures d'accompagnement si l'on veut pouvoir protéger la sphère privée à l'ère des réseaux mondiaux: 113
– Sensibilisation de la population: Les fournisseurs se doivent d'informer les utilisateurs des caractéristiques du commerce électronique et de ses dangers potentiels. À moyen terme cette sensibilisation devrait intervenir dans le cadre de la formation de base et de la formation continue.
– Transparence dans le domaine du traitement des données: Dans le commerce électronique, les fournisseurs doivent impérativement renseigner le client, notamment sur les données personnelles traitées et les objectifs poursuivis par ce traitement.
– Liberté de choix: L'utilisateur doit avoir la possibilité, et cela sans avoir à se justifier, d'interdire l'utilisation de ses données à d'autres fins.
– Systèmes de sécurité: Des techniques compatibles avec la protection des données doivent être utilisées pour le commerce électronique et mises à la disposition des consommateurs.
La manière de percevoir le PFPD varie beaucoup d'une personne entendue à l'autre. Il y a, d'une part, ceux qui apprécient beaucoup son travail et suivent ses conseils. Les entreprises soucieuses de leur réputation tiennent compte de ses recommanda- tions et publications. L'une des personnes interrogées constate que l'existence même
112 Minsch et Moser, 2001, p. 217.
113 http://www.edsb.ch/d/doku/fachpresse/elektronischen-geschaeftsverkehr-f.pdf.
4756
de l'institution du PFPD améliore déjà la prise de conscience pour la protection des données.
D'autre part, des voix critiques s'élèvent également. Deux des experts entendus estiment notamment que la position du PFPD n'est guère solide. Seule une petite partie des entreprises tiennent compte de ses guides et recommandations dans leurs politique en matière de protection des données. Ainsi, la mesure d'accompagnement «transparence dans le domaine du traitement des données» est ignorée par plus d'un tiers des entreprises étudiées par Andersen.114 Le PFPD ne dispose d'aucun moyen pour réagir là-contre. Selon ces deux experts, le PFPD devrait avoir la compétence d'intervenir plus radicalement et plus rapidement.
Au vu de la quantité de matière à examiner et à publier, trois experts estiment que le PFPD est surchargé. Selon eux, ses actions ne sont guère suivies d'effets. Certaines personnes interrogées constatent que le PFPD doit adopter des positions extrêmes s'il veut ne serait-ce qu'atteindre une partie de ses objectifs. Elles sont particuliè- rement critiques sur ce point car elles estiment que, ce faisant, le PFPD est con- damné à attirer l'attention sur lui et qu'il n'aborde certains sujets dans les médias que dans le but de faire du battage.
De manière ponctuelle et au moyen de la publication de guides, le PFPD assume la part de ses tâches qui consiste à conseiller les particuliers (art. 28 LPD). Son site propose des indications permettant à l'utilisateur d'Internet d'identifier les dangers potentiels et de prendre les mesures préventives qui s'imposent.115 Il publie égale- ment des articles à ce sujet dans des revues spécialisées. En février 2000, il a publié le document intitulé «Protection des données et e-commerce: Aide à la mise en pratique et propositions présentées par le préposé fédéral à la protection des don- nées».116 Le but principal de ce document est de renforcer la confiance des utili- sateurs dans le commerce électronique en présentant une série de propositions de concrétisation et de mise en œuvre de la LPD pour permettre aux entreprises d'appliquer une politique de traitement des données bénéfique au client, transparente et conforme à la législation. Le PFPD a également publié différents guides117 qui s'adressent aux entreprises et aux consommateurs et qui présentent les points prin- cipaux de la protection des données. Depuis 1998, le PFPD donne régulièrement son avis dans ses rapports d'activités118, dans lesquels il aborde les questions et problè- mes liés à Internet et au commerce électronique.119
Conformément à l'art. 11 LPD, la consultation du registre des données est assurée. Le citoyen qui a une question ou un problème peut s'adresser au PFPD, par télé- phone, par écrit ou par voie électronique. Cela étant, l'activité d'information du PFPD ne devrait pas se limiter à informer les personnes concernées sur leurs droits, elle devrait également servir à attirer l'attention sur le genre de données qui tombent sous le coup de la LPD. Jusqu'ici, ce point a été négligé.
Quelques personnes entendues ont regretté que le PFPD n'ait aucune compétence lui permettant de prononcer des sanctions et qu'il soit limité à émettre des recomman- dations. Cela étant, le domaine du commerce électronique en tant que tel n'ayant
114 Andersen, 2001, p. 21.
115 http://www.edsb.ch/f/themen/sicherheit/tipps/index.htm.
116 http://www.edsb.ch/f/themen/e-commerce/ecom_f.pdf.
117 http://www.edsb.ch/f/doku/leitfaden/index.htm.
118 http://www.edsb.ch/f/doku/jahresberichte/index.htm.
119 Notamment PFPD, 2000/01 (voir ch. 3.1) ou PFPD 2001/02 (voir ch. 2.1.1).
4757
donné lieu à aucune recommandation, le CPA n'est pas en mesure d'en évaluer les effets. En vertu de l'art. 29, al. 3, LPD, le PFPD peut établir des faits et émettre des recommandations, non seulement à la demande de tiers, mais également d'office. Jusqu'ici, le PFPD a fait preuve de retenue en ce qui concerne les recommandations, ce qui ne contribue pas au renforcement de la protection des données dans le com- merce électronique.
Les limites de l'action du PFPD résident dans l'impossibilité de surveiller le com- merce électronique dans sa totalité. Ainsi, en ce qui concerne les art. 6 et 11 LPD, il ne peut tenir un registre que des fichiers qui lui sont annoncés. Pour vérifier si les fournisseurs qui travaillent sur Internet respectent leurs obligations, le PFPD ne peut procéder que par sondage.
4.4.14 Conventions et directives internationales
Vu le flux d'informations transfrontalier, la coopération internationale est nécessaire pour assurer un niveau élevé de protection des données tout en garantissant leur libre circulation. L'exportation de données suisses à l'étranger par un maître de fichier est un sujet qui a gagné en importance avec l'avènement du commerce électronique. Le Conseil de l'Europe et l'OCDE sont d'avis que la meilleure manière de régler le problème de l'échange transnational des données réside dans l'harmonisation pous- sée des législations nationales en la matière.120
– Le Conseil de l'Europe a adopté la Convention STE nº 108 sur la protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Cette convention a pour objet de renforcer, dans les secteurs privé et public, la protection juridique des individus vis-à-vis du traitement auto- matisé des données à caractère personnel. Elle tend à assurer, dans tous les États parties, un minimum de protection de la personnalité lors du traitement de données personnelles et une certaine harmonisation du système de protec- tion; d'autre part, elle garantit la circulation internationale des données, en ce sens qu'aucun État partie ne peut interdire le transfert d'informations vers un autre État partie qui accorde la même protection minimale.121
En tant qu'état membre du Conseil de l'Europe, la Suisse est tenue de reprendre la Convention STE nº 108 dans son droit national. La révision partielle de la LPD, rejetée par le Conseil national, portait également sur la ratification de cette convention. Ce rejet repousse la reprise de la convention dans la législation nationale.
– Les lignes directrices de l'OCDE régissant la protection de la vie privée et les flux transfrontaliers de données de caractère personnel de 1980122 exi- gent des États parties qu'ils prennent, à moins d'exceptions particulières, les mesures adéquates afin que ces flux puissent circuler sans encombre.
La Suisse respecte formellement les directives de l'OCDE. Elles sont rédi- gées de manière très générale et laissent une grande marge de manœuvre pour la conception des législations nationales.
120 Weber et al., 2001, p. 479.
121 FF 2003 1926
122 www.oecd.org/document/57/0,2340,fr_2649_34255_1815225_1_1_1_1,00.html.
4758
5
Commerce électronique transfrontalier
L'étude du CPA ne saurait être complète sans aborder les problèmes des consomma- teurs suisses face aux entreprises étrangères dans le cadre du commerce électronique transfrontalier. Le droit international privé s'applique dans les cas où les acteurs sont domiciliés dans des pays différents, ce qui est fréquemment le cas sur Internet. Les questions principales concernent la détermination du tribunal compétent, le choix du droit applicable et l'exécution de la décision judiciaire.
Les études statistiques montrent que les achats transfrontaliers posent plus souvent des problèmes: selon le réseau CEC, 34 % des commandes transfrontalières n'ont pas été honorées.
5.1 Aspects contractuels
Pour la Suisse, ce sont la Convention de Lugano (RS 0.275.11) et la loi fédérale sur le droit international privé (LDIP; RS 291) qui sont applicables aux aspects inter- nationaux du commerce électronique. La Convention de Lugano règle la compétence judiciaire et l'exécution des jugements entre les pays européens signataires, alors que la LDIP s'applique dans les relations avec d'autres pays, dont les États-Unis. La LDIP détermine le droit applicable aux obligations contractuelles issues d'une transaction de commerce électronique.
Ces bases légales distinguent entre un consommateur «actif», qui prend lui-même l'initiative de la conclusion du contrat, et un consommateur «passif», qui a fait l'objet d'une sollicitation dans son pays.123 Le tableau 4 résume les options données au consommateur suisse «actif» ou «passif», demandeur ou défendeur, en ce qui concerne le tribunal compétent et le droit applicable, selon les normes de la Con- vention de Lugano et de la LDIP.
Ainsi, un consommateur «actif» peut convenir avec le fournisseur d'une clause attributive de compétence (art. 17 Convention de Lugano, art. 114 LDIP). Dans la pratique, dans ses conditions générales, le fournisseur impose au consommateur une clause attribuant la compétence du tribunal de son pays.124 Quant au consommateur «passif» soumis à la Convention de Lugano, il a le choix entre les tribunaux de son pays ou ceux de son fournisseur, s'il est demandeur, alors que seuls les tribunaux de son pays sont compétents s'il est défendeur. Un consommateur «passif» ne peut valablement convenir d'une clause attributive de compétence judiciaire (art. 15, let. a, Convention de Lugano).
123 Ainsi un consommateur suisse en voyage dans un pays étranger et qui commande un produit sur Internet n'aura pas accès à un Tribunal suisse. Langer, 2003, p. 453.
124 Spahr, 2002, p. 72.
4759
Tableau 4
Tribunaux compétents et droit applicable pour un consommateur suisse selon la Convention de Lugano et la LDIP
Tribunal compétent
Droit applicable
Base légale
Consommateur
Suisse
Étranger
Suisse
Étranger
Lugano
Actif
Demandeur
Art. 17
0.275.11
Défendeur
Art. 17
Passif
Demandeur
Art. 14
Art. 14
Défendeur
Art. 14
LDIP
Actif
Demandeur
Art. 114
Art. 117 Art. 117
291
Défendeur
Art. 114
Passif
Demandeur
Art. 114
Art. 114
Art. 120
Défendeur
Art. 112
Art. 113
Art. 120
Source: CPA, basé sur Stauder, 2002b.
L'art. 120 LDIP prévoit, de manière impérative, que le droit applicable à un contrat conclu par un fournisseur avec un consommateur «passif» est le droit de son domi- cile. Le consommateur est donc mis au bénéfice de l'application de son propre droit matériel. Des clauses d'élection de droit sont nulles. S'agissant du consommateur «actif», les règles générales sont applicables (art. 117 LDIP). Dans la pratique, les clauses d'élection de droit du fournisseur prévoient l'application du droit de ce fournisseur.
La Convention de Lugano et la LDIP ont été adoptées à une époque où le commerce électronique n'était pas encore développé. Dès lors, selon la littérature, quelques problèmes se posent pour l'application de ces deux textes légaux. Tout d'abord, des difficultés surgissent pour établir l'identité et surtout le domicile des acteurs. Sur Internet, il est facile pour un fournisseur de changer son domicile ou de livrer de la marchandise depuis un autre pays que celui correspondant à son siège social. Comme déjà mentionné au ch. 3.3, le droit suisse n'exige pas de un fournisseur qu'il indique sa véritable identité et son adresse réelle.
Ensuite, la distinction entre consommateur actif et passif pose problème dans le cadre du commerce électronique. En effet, pour qu'un consommateur soit qualifié de passif, il faut que la conclusion du contrat ait été précédée, dans l'état de domicile du consommateur, d'une publicité spécialement ciblée, et que le consommateur ait accompli dans son pays les actes nécessaires à la conclusion du contrat125 (art. 13 Convention de Lugano, art. 114, al. 1, LDIP). Mais un fournisseur utilise générale- ment son site simultanément comme outil publicitaire et comme site de conclusion du contrat. Ses activités ne sont pas spécialement dirigées vers le pays du consom-
125 Stauder, 2002b, p. 683.
4760
mateur, mais vers le monde entier.126 D'autre part, le consommateur qui surfe sur Internet pourrait en fait rechercher des offres qui lui plaisent, comme s'il se rendait physiquement à l'étranger pour faire des achats. De plus, la configuration du site Internet pourrait également influer sur la qualification du consommateur. En l'absence de jurisprudence, la doctrine suisse qualifie le consommateur sur Internet de passif.127
Dès lors, pour ce qui est du droit applicable, selon l'art. 120 LDIP, le consommateur suisse passif est assujetti exclusivement aux règles du droit suisse. Or, le droit suisse n'est pas le plus protecteur pour les consommateurs.128 L'UE reconnaît des droits plus étendus, comme le droit de révocation, des droits d'information plus larges, le droit de réparation de la chose et des délais de garantie allongés. Ceci peut aboutir à la situation paradoxale suivante: le consommateur suisse aurait intérêt à renoncer aux dispositions censées le protéger en espérant que le juge applique le droit appli- cable au fournisseur étranger.129
Le dernier point concerne l'exécution des jugements. Selon la littérature, les juge- ments sont reconnus et exécutés entre les différents pays européens signataires, l'art. 26 Convention de Lugano étant d'un grand secours puisque les autorités euro- péennes appliquent la décision suisse comme s'il s'agissait d'une décision euro- péenne. Pareille application s'avère beaucoup plus difficile avec les Etats-Unis ou avec les pays asiatiques. 130
Parmi les personnes entendues par le CPA, la grande majorité a souligné la com- plexité des normes existantes et a confirmé l'existence de plusieurs problèmes déjà mentionnés. Certaines illustrations peuvent être apportées. L'art. 120, al. 2, LDIP qui empêche le consommateur suisse de profiter du droit européen plus protecteur est qualifié de «clause perverse». Il part de l'idée que le droit suisse est meilleur. Mais un consommateur étranger se fournissant sur un site suisse est mieux protégé qu'un consommateur suisse ayant procédé à la même transaction.
Un site Internet suisse a limité ses offres aux clients habitant dans les pays de l'UE. Cette limitation est due au fait que l'entreprise aurait dû tenir compte de beaucoup trop de législations nationales différentes. Ainsi, le site est techniquement conçu pour empêcher les habitants extra-européens de commander un produit. Quant aux autres fournisseurs, ils doivent déjà aujourd'hui tenir compte de la législation et de la jurisprudence applicables dans les pays cibles.
Les consommateurs font également face à un déficit d'information, l'étude de Consumers International montrant que seul un quart des sites sur lesquels des achats transfrontaliers ont été effectués mentionnaient le droit applicable à cet achat en cas de litige. Lorsqu'il y a une indication, le choix du lieu et des procédures est en général en faveur du fournisseur.131 Dans quelques cas, il est indiqué que le choix
126 Le fournisseur a toutefois la possibilité d'instaurer des limitations géographiques. Le règlement de Bruxelles, qui s'applique à l'intérieur du marché européen, protège le consommateur si le fournisseur «par tout moyen» dirige ses activités vers l'Etat membre où le consommateur a son domicile ou vers plusieurs Etats dont l'Etat membre du domi- cile du consommateur (art. 15 Règlement de Bruxelles).
127 Stauder, 2002b, p. 684.
128 Knoepfler, 2002, p. 154.
129 Langer, 2003, p. 507.
130 Stauder, 2002a, p. 132 et Knoepfler, 2002, p. 155.
131 Jeanneret, 2001, pp. 12-15.
4761
prévu dans le contrat est valable pour autant que d'autres textes légaux «locaux» le permettent.
En ce qui concerne les litiges internationaux liés à la concurrence déloyale, la Suisse est membre depuis 1991 du Réseau international de contrôle et de protection des consommateurs (RICPC), qui compte 31 pays membres. Cette coopération a pour but de lutter contre les pratiques commerciales et publicitaires déloyales au niveau transfrontalier. Les principales actions du RICPC sont les Journées internationales de balayage sur Internet, la mise à disposition du site www.econsumer.gov qui enregistre les plaintes des consommateurs relatives au commerce électronique trans- frontalier et la transmission de ces plaintes aux états concernés. Pour la Suisse, cela signifie concrètement que le seco contribue à protéger la réputation du pays par le fait qu'il a le droit d'intenter une action pour protéger un consommateur étranger en vertu de l'art. 10, al. 2, let. c, LCD. Ces dispositions ne s'appliquent pas au con- sommateur suisse pour des litiges en Suisse.
Comme le montre le tableau 5, près de 200 plaintes ont été déposées contre des entreprises suisses par des consommateurs étrangers entre avril 2001 et juin 2003, ce qui établit une surreprésentation proportionnelle de la Suisse dans le nombre de plaintes déposées. Le seco s'engage ensuite à régler le différend, tout d'abord en prenant contact directement avec l'entreprise concernée. Toutefois, les mesures vont jusqu'à l'adoption de sanctions par les tribunaux suisses. Ces plaintes portent entre autres sur des questions comme l'absence de livraison de marchandise prépayée, la vente de produits pseudo-médicaux et l'envoi d'offres présentées comme des factu- res.
Tableau 5
Plaintes déposées sur le site econsumer.gov contre des entreprises ayant leur siège dans les pays indiqués
avril 2001-janvier 2003
janvier 2003-juin 2003
États-Unis
935
577
Grande-Bretagne
276
145
Canada
202
94
Espagne
83
Pays-Bas
39
Australie
92
35
Allemagne
31
Suisse
167
30
Belgique
9
Suède
16
Source: Sutter, 2003, p. 45 et www.econsumer.gov.
4762
5.2
Protection des données
En ce qui concerne la protection des données au niveau transnational, c'est-à-dire entre un consommateur suisse et un offrant étranger, des règles spécifiques sont aussi mentionnées dans la LDIP. Les art. 129 et 130, al. 3, LDIP sur le tribunal compétent laissent le choix entre le tribunal suisse, le tribunal du consommateur ou le tribunal du lieu où le fichier est géré ou utilisé.
Quant au droit applicable, il est défini à l'art. 139, al. 3, LDIP, qui règle les atteintes de la personnalité résultant du traitement de données personnelles et les entraves mises à l'exercice du droit d'accès aux données personnelles. Le consommateur a la liberté de choix: il peut se reposer sur le droit de son pays de résidence, sur le droit du pays dans lequel l'auteur de l'atteinte a son établissement ou sur le droit du pays dans lequel le résultat de l'atteinte se produit. Le consommateur suisse a dans plusieurs cas intérêt à faire valoir le droit européen, qui le protège mieux, notam- ment en matière de transmission des données à des tiers.
Les experts interrogés par le CPA n'ont pas eu connaissance de litiges internatio- naux sur la protection des données dans l'e-commerce concernant des consomma- teurs suisses.
6 Autorégulation dans l'e-commerce
Dans le chapitre final de ce rapport, le CPA apporte des réponses à la dernière question de recherche, qui concerne l'autorégulation dans les domaines des aspects contractuels et de la protection des données. Les entreprises suisses peuvent d'elles- mêmes prendre des engagements supplémentaires pour accroître la confiance des consommateurs dans la protection de leurs données ou pour leur proposer de meil- leures conditions contractuelles, ce qui devrait leur permettre de gagner un avantage concurrentiel. Dans ce chapitre, les mesures d'autorégulation sont comprises comme allant plus loin, puisqu'elles concernent non seulement la création et le respect de règles, mais également le contrôle de leur mise en application.
Quel est l'effet des formes d'autorégulation appliquées dans le domaine du com- merce électronique?
Les formes d'autorégulation dans le domaine du commerce électronique reposent principalement sur les labels et les mécanismes de règlements alternatifs des diffé- rends.
En Suisse, il existe trois labels spécialement développés sur Internet: E-comtrust132, Qweb133 et Webtrader134. Les entreprises qui s'inscrivent pour un label s'engagent à respecter un cahier des charges135, dont la mise en œuvre sera contrôlée par des entreprises externes, sous forme d'audits par exemple. Ces labels n'ont pas réussi à convaincre les entreprises suisses, puisque, par exemple, seulement quatre sites affichent le label Webtrader.
132 Label d'economiesuisse, du Konsumentenforum, de Swiss ICT et de l'Association Suisse de Normalisation: http://www.e-comtrust.com/. Voir aussi Fässler, 2001, p.116 ss.
133 Label de SQS. http://www.sqs.ch/fr/449_1.pdf.
134 Label de la FRC. http://web-trader.ch/.
135 Pour une analyse du contenu de plusieurs labels, voir Hertz-Pompe, 2003, pp. 57 ss.
4763
Selon l'étude d'Andersen, seuls 3 % des sites suisses affichent un label lié à la protection des données. L'étude du réseau CEC rapporte que 13 % des sites exami- nés utilisent un label; or ce résultat est biaisé à la hausse parce que le choix des sites investigués était aussi basé sur des indications données par les entreprises qui dé- veloppent ces labels. Le sondage du National Consumer Council montre que les con- sommateurs ignorent l'existence de labels dans le domaine du commerce électro- nique, ce qui est confirmé par Eurobarometer, qui révèle que 10 % des consomma- teurs européens connaissent un tel label. 136
En très grande majorité, les acteurs entendus par le CPA ont déclaré que les labels sur Internet sont trop nombreux137, ne sont pas connus des consommateurs, ont un contenu insuffisant, manquent d'internationalité et, par conséquent, n'apportent guère de plus-value pour le consommateur. Certains mettent aussi en avant le tradi- tionnel conflit d'intérêt des agences de certification qui édictent des labels et veulent pouvoir les vendre année après année et encaisser des revenus. D'autres doutent de la crédibilité des labels, surtout parce que leur système de sanction n'a aucune efficacité. Dès lors, la plupart des fournisseurs Internet se fient plutôt au bouche-à- oreille, à l'expérience acquise des consommateurs ou à la crédibilité émanant de leur point de vente fixe pour gagner la confiance des consommateurs.
Certains experts ont toutefois relevé quelques avantages des labels, comme le contrôle des procédures internes dans les entreprises et la prise en compte des pro- blématiques liées à la protection des données, par exemple. Un site utilise même le label comme lien direct avec les associations de protection des consommateurs, mais il note qu'il n'a jamais reçu aucune remarque de clients à propos du label affiché.
Les procédures alternatives de règlement des différends comprennent les services de médiation, les tribunaux d'arbitrage virtuel et les sites de certification. Selon la littérature, le règlement en ligne des disputes est plus rapide, moins coûteux et probablement plus efficace pour les deux parties que ne le sont les procédures judi- ciaires. Les désavantages sont que l'indépendance n'est pas garantie, pas plus que l'expérience et le professionnalisme, et encore moins l'application de la décision.138 Des garanties minimales doivent aussi être édictées dans ce domaine pour gagner la confiance des consommateurs139, surtout sachant que 11 des 24 associations propo- sant des procédures alternatives de règlements recensées en 2000 par la CNUCED avaient déjà fait faillite trois ans plus tard.140 Ainsi, les consommateurs européens peuvent s'appuyer sur l'art. 17 de la directive sur le commerce électronique (2000/31/CEE) qui encourage le recours aux mécanismes de règlement extraju- diciaire en cas de différends. La Commission européenne a en outre adopté une recommandation (98/257/CE) concernant les principes (indépendance, transparence, efficacité, respect du droit) applicables aux organes responsables pour la résolution extrajudiciaire des litiges de consommation. Au niveau européen, il existe un réseau extrajudiciaire141, en complément aux mécanismes de règlements nationaux. En outre, un formulaire européen de réclamation du consommateur a été développé.
136 Eurobarometer, 2004, p. 20.
137 Il y aurait plus de 600 labels à travers le monde. Hertz-Pompe, 2003, p. 15.
138 Walther, 2002, p. 202.
139 Walther, 2002, p. 209. Aussi: BFC, 2000, p. 10.
140 CNUCED, 2003, p.181.
141 www.eejnet.org.
4764
En Suisse, les organes extrajudiciaires pour la résolution des litiges de consomma- tion sont très sectoriels142, ont une fonction principalement consultative et ne pren- nent pas de décisions contraignantes pour les acteurs. Les associations de protection des consommateurs peuvent intervenir en faveur des consommateurs (arbitrage et médiation), mais la FRC estime à moins de 1 % les appels reçus par sa permanance concernant l'e-commerce et n'a ouvert aucun dossier dans ce domaine.
Dans le secteur de la publicité, un consommateur a le droit de dénoncer devant l'organe d'autocontrôle, la Commission pour la loyauté, une publicité qu'il estime déloyale. La procédure de recours devant la commission est gratuite, mais elle n'a pas les pouvoirs d'un tribunal.143 Selon les experts entendus, les sites sérieux respec- tent les décisions de la commission parce que leur réputation est cruciale pour la marche de leurs affaires, mais beaucoup d'autres sites ne se laissent pas impres- sionner par ces règles. Elle n'a d'ailleurs connu que très peu de cas liés à la publicité sur Internet. Certes, les plaintes déposées auprès de la Commission suisse pour la loyauté144 concernant le média Internet augmentent régulièrement pour représenter 13 % en 2002, mais ces plaintes concernent quasi exclusivement des litiges sur les droits d'auteur et le droit du nom.
Les procédures alternatives de règlement des différends sont saluées par les person- nes interrogées par le CPA pour autant qu'elles permettent de trouver des solutions plus rapides et moins coûteuses pour les acteurs. Or, les procédures actuelles ne sont en général pas munies de garanties adéquates et, surtout, n'imposent que rarement des sanctions. L'autorégulation demeure attractive pour les entreprises qui craignent de perdre la confiance des consommateurs. Mais, les moutons noirs d'Internet vont profiter des lacunes de la législation et du manque de sérieux des systèmes d'auto- régulation pour abuser des consommateurs. 145
En conclusion, les labels et les mécanismes sont à considérer comme complémen- taires aux procédures judiciaires, non pas comme une alternative. Ce d'autant que, d'une part, selon l'art. 21, al. 1, let. a, de la loi fédérale sur les fors en matière civile (RS 272), le consommateur ne peut renoncer à l'avance à un tribunal, et, d'autre part, le recours aux tribunaux étatiques ne peut être exclu par des clauses contrac- tuelles.
7 Conclusion
Le commerce électronique offre de grandes possibilités tant pour le consommateur que pour le fournisseur. Le consommateur a accès à des biens et des services plus nombreux, peut comparer des informations et profite d'une procédure d'achat simple et rapide. Le fournisseur utilise des outils de marketing efficaces et peu coûteux; de plus, l'utilisation d'Internet peut lui permettre de réduire ses coûts, d'accroître ses revenus et d'augmenter sa productivité. En résumé, les deux principaux partenaires ont un intérêt mutuel à ce que le commerce électronique se développe.
142 Pour une liste des organes compétents, voir Commission fédérale de la consommation, 2001, p.3.
143 Brunner, 2002, p.185.
144 www.lauterkeit.ch.
145 Rosenthal, 2000, p. 244.
4765
L'expansion du commerce électronique dépend des infrastructures techniques à disposition de la population, de l'environnement légal, de la culture managériale des entreprises et du comportement des consommateurs. La Suisse dispose d'une très bonne infrastructure de nouvelles technologies; elle compte le nombre le plus élevé d'ordinateurs par habitant. L'environnement légal se base sur les normes générales comme le CO, la LCD, la LIC, l'OIP et la LPD. Le consommateur suisse semble cependant manquer de confiance, particulièrement dans les domaines liés aux aspects contractuels et à la protection des données.
Aspects contractuels
Quelles sont les principales lacunes et contradictions dans les aspects contractuels liés à la protection des consommateurs dans le domaine du commerce électronique, par rapport aux autres formes contractuelles et par rapport aux spécificités du commerce électronique?
En Suisse, il n'existe pas de loi spécifique sur le commerce électronique. Selon la majorité de la doctrine et des experts interrogés, la législation suisse permet aux acteurs économiques de se servir de ce nouveau moyen de communication. Mais, les particularités du commerce électronique posent plusieurs problèmes. En particulier, la législation actuelle ne permet guère au consommateur d'acheter via Internet en toute confiance.
Actuellement, la législation n'oblige pas le fournisseur à mettre à disposition l'infor- mation nécessaire au consommateur. Sur Internet, l'identité réelle du fournisseur est plus difficile à appréhender que dans les autres rapports contractuels, parce qu'il n'y a pas de contact direct entre les parties. Certains fournisseurs peuvent prendre avan- tage du fait que la législation suisse ne prévoit pas d'obligations en ce qui concerne l'information pré-contractuelle: nom légal de l'entreprise, adresse géographique principale, possibilités de contacter le fournisseur. La responsabilité est laissée au consommateur qui doit seul s'assurer que les données sur le site où il veut procéder à un achat sont correctes. Des dispositions légales dans ce domaine jouent un rôle préventif et améliorent la confiance des consommateurs.
Le droit de révocation fait également défaut. Sur Internet, le consommateur peut prendre une décision soudaine, par exemple parce que le site Internet n'indique pas clairement les étapes à suivre pour passer une commande, en particulier quel clic l'enregistre; en outre, il ne peut se rendre compte de la qualité du produit commandé que lorsqu'il le reçoit. Le consommateur peut essayer d'annuler sa commande en faisant parvenir au fournisseur sa nouvelle opinion dans des brefs délais, mais les possibilités de contacter le fournisseur ne figurent pas obligatoirement sur son site. De plus, faute d'un droit de révocation, le fournisseur n'est pas tenu d'annuler la commande.
D'autres lacunes ont été mises en évidence comme le fait que la liste des services soumis à l'OIP n'est qu'énumérative, les nouveaux services qui se développent rapidement sur Internet n'y figurent pas automatiquement et ne sont donc pas sou- mis aux exigences légales en matière d'indication des prix. Le délai de livraison n'est pas réglementé, ce qui, plus que dans le commerce traditionnel ou à distance, peut poser problème au consommateur. Ne voyant pas arriver sa commande effec- tuée par Internet, le client peut se demander si le contrat a été dûment enregistré ou si le fournisseur est en rupture de stock, dans quel cas il serait tenté de réitérer sa commande. Enfin, le droit suisse ne garantit pas au consommateur qu'il pourra
4766
disposer de droits en cas de livraison d'un bien non conforme ou défectueux. Les clauses d'exonération de responsabilité que le fournisseur peut imposer au consom- mateur sont tolérées par la loi.
Comment sont mis en œuvre les droits et devoirs d'information dont le consom- mateur doit disposer pour réaliser son choix sur Internet?
Certains droits et devoirs d'information figurent dans la LIC, la LCD ou l'OIP. Par exemple, la LIC exige que soient indiquées les caractéristiques essentielles des produits, mais elle ne trouve aucun écho pratique, parce que la définition de ces caractéristiques essentielles est laissée aux organisations socio-économiques. Ces dernières n'ont adopté que de très rares conventions de droit privé et le Conseil fédéral ne pallie pas ce manque de règles. À cause du manque d'obligation d'indi- quer les caractéristiques des biens et services, le consommateur n'a donc pas d'assu- rance que le produit commandé aura bien les qualités requises.
En ce qui concerne l'indication des prix sur les sites Internet, les exigences de l'OIP sont assez flexibles, dans le sens qu'il suffit que le prix soit affiché à l'écran; il n'est pas indispensable qu'il soit inscrit sur le produit lors de la livraison. Par contre, dans l'industrie touristique, les prix sont en général affichés dans la monnaie du pays de prestation, ce qui peut induire en erreur le consommateur suisse, qui doit normale- ment recevoir une offre en francs suisses. De plus, certains sites qui tentent de fidéliser leurs clients proposent, précisément à ces clients et non pas à tous les consommateurs, des offres spéciales, ce qui n'est pas conforme à la définition du prix effectivement à payer telle qu'inscrite dans l'OIP.
Un autre exemple concerne les conditions générales, qui ne sont d'ailleurs pas toujours accessibles sur un site, malgré les conditions définies par le Tribunal fédé- ral. Au vu de l'internationalisation d'Internet, proposer les conditions générales dans la langue du consommateur est souvent une nécessité que beaucoup de sites ne respectent pas. Enfin, les juges ne contrôlent pas le caractère loyal des clauses des conditions générales, ni lors d'un litige entre un fournisseur et un consommateur, ni à la suite d'une action d'une organisation de consommateur. L'art. 8 LCD est resté lettre morte.
Le mécanisme de sanctions protège-t-il adéquatement le consommateur?
Le droit de la consommation est basé sur des règles de droit privé. En cas de pro- blèmes, les consommateurs, ou les fournisseurs, doivent intenter des actions devant les tribunaux civils. L'administration n'a pas de fonction de contrôle ou de surveil- lance.
Cependant, les coûts en temps et en argent d'une procédure judiciaire sont trop importants pour que le rapport coût/bénéfice soit positif. De plus, un consommateur ferait preuve de beaucoup d'altruisme s'il déposait une plainte, à titre préventif, à propos du non-respect de certaines dispositions légales, sans avoir eu à en supporter des conséquences financières.
En Suisse, jusqu'ici, aucune jurisprudence n'a été rendue dans le domaine du com- merce électronique. Cette absence de clarification juridique est souvent qualifiée de préoccupante. Certains acteurs suivent dès lors la jurisprudence des pays voisins. D'autres acteurs pensent que la publicité conséquente à des actions en justice pour- rait renforcer la confiance des consommateurs, d'une part quant à l'application des
4767
normes contractuelles aux particularités du commerce électronique, et, d'autre part, sur le fait qu'intenter une action peut aboutir à des résultats concrets.
Protection des données
La loi fédérale sur la protection des données comporte-t-elle des lacunes ou des défauts du point de vue de la protection du consommateur dans le commerce élec- tronique?
La LPD est une loi abstraite et neutre du point de vue de la technologie qui s'applique à tous les domaines dans lesquels des données particulièrement dignes de protection sont traitées. Elle ne comporte pas de dispositions spécifiques à Internet. Les dispositions légales demandent à être précisées par la jurisprudence des tribu- naux. La présente étude a constaté une lacune dans ce domaine. S'il n'y a pas de plainte, il ne peut y avoir de décision judiciaire et l'insécurité juridique demeure.
La LPD ne peut empêcher que des données soient collectées et traitées à grande échelle sans réduire l'intérêt pour le commerce électronique et limiter les activités des fournisseurs de manière importante. Certaines dispositions de la LPD compor- tent une importante marge d'interprétation, laissant la porte ouverte à un traitement de données excessif. Ainsi un maître de fichier peut utiliser des données pour un autre but que celui pour lequel il les a collectées, dans la mesure où il en a informé les personnes qui les lui ont confiées. Cela étant, dans son message de 1988, le Conseil fédéral s'est clairement prononcé en faveur d'une collecte de données pro- portionnelle au but recherché et restreinte aux seules données indispensables.
La protection offerte au consommateur est incomplète puisqu'il peut, à titre de mesure destinée à protéger sa personnalité, demander que les données soient recti- fiées ou détruites ou que leur communication à des tiers soit interdite, mais ne peut s'opposer au traitement des données.
L'étude d'Andersen montre que 41 des 100 sites suisses analysés ne donnent aucune indication sur leur politique en matière de protection de la personnalité. Certes, d'un point de vue légal, les exploitants des sites ne sont pas tenus d'informer les consommateurs, mais ce manque ne contribue pas à mettre les consommateurs en confiance.
Il est à noter que la circulation transfrontalière de données est inévitable et que cette ouverture limite forcément l'efficacité des réglementations nationales en matière de protection des données. Les conventions et accords internationaux sont donc indis- pensables. La Suisse a approuvé la Convention STE nº 108 sur la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, mais elle ne l'a pas encore reprise dans la législation fédérale.
Quels sont les problèmes de mise en œuvre de la LPD du point de vue de la protec- tion du consommateur dans le commerce électronique?
Le PFPD assume plusieurs tâches dans le domaine du commerce électronique. Il a la possibilité d'émettre des recommandations, non seulement à la demande de tiers, mais également d'office. Ces recommandations ne sont toutefois pas contraignantes, mais si elles ne sont pas suivies, elles peuvent être soumises à la CFPD qui peut prendre des sanctions. Or, le PFPD n'a jusqu'ici émis aucune recommandation dans le domaine du commerce électronique en tant que tel.
4768
Il a édité des guides et des brochures traitant de la protection des données dans le cadre d'Internet. Lorsqu'il en va de l'intérêt général, le PFPD peut également infor- mer le public de ses constatations et de ses recommandations. Cela étant, toutes ces publications et informations ne bénéficient pas d'une publicité suffisante et ne sont par conséquent guère, voire pas du tout connues de la part des consommateurs et des fournisseurs.
Le PFPD ne dispose pas non plus de ressources suffisantes pour remplir systémati- quement ses obligations dans le domaine du commerce électronique (communication à l'étranger, registre des fichiers) et pour utiliser toute la marge de manœuvre dont il dispose dans la thématisation des problèmes liés à la protection des données.
La mise en œuvre de certaines dispositions de la LPD est problématique. Ainsi, l'art. 5 LPD (exactitude des données) est inapplicable en ce qui concerne le com- merce électronique. Un fournisseur ne peut tout simplement pas vérifier toutes les données qu'il reçoit. Il peut à la rigueur contrôler l'exactitude des adresses, ce qui ne donne toutefois pas la certitude que les données en question ont effectivement été saisies par la personne dont l'adresse a été indiquée.
Les fournisseurs mettent en œuvre les mesures techniques exigées par l'art. 7 LPD dans une mesure raisonnable. En revanche, il reste beaucoup à faire en ce qui concerne les mesures organisationnelles. Ainsi, lorsqu'elles entament de nouveaux projets concernant le commerce électronique, les entreprises devraient penser dès le départ à tenir compte de tous les aspects légaux relatifs à la protection des données. En outre, toutes les procédures internes devraient respecter la protection des données selon la LPD.
L'examen de la mise en œuvre de l'art. 11 LPD (registre des fichiers) montre que, en raison des ressources et des compétences qui sont les siennes, le PFPD a en pratique de la peine à prouver que quelqu'un qui traite des données tient également un fichier. La mise en œuvre de cette disposition pose par conséquent de graves pro- blèmes.
Dans quelle mesure les obligations relatives aux informations sont-elles respectées? L'obligation de fournir à quiconque en fait la demande des renseignements au sujet des données traitées à son sujet est bien respectée. Lorsqu'il la demande, le con- sommateur reçoit la plupart du temps l'information qu'il souhaite. En revanche, il lui appartient de prendre l'initiative de demander à pouvoir exercer son droit d'accès. Dans le domaine du commerce électronique, l'absence d'une obligation d'informer active de la part des fournisseurs constitue une lacune dans la protection du consommateur. Dans le dédale d'Internet, le consommateur n'est pas en mesure de suivre le devenir de ses données et ne parvient pas non plus à savoir quelle entre- prise conserve des données personnelles le concernant dans ses bases de données.
Les particuliers qui traitent régulièrement des données sensibles ou des profils de la personnalité ou communiquent des données personnelles à des tiers sont tenues de déclarer leurs fichiers lorsque le traitement de ces données n'est soumis à aucune obligation légale ou que les personnes concernées n'en ont pas connaissance. Ainsi, il est plus simple que les fournisseurs informent leurs clients que leurs données seront traitées plutôt que d'annoncer les fichiers au PFPD et, sur sa demande, de devoir éventuellement fournir d'autres renseignements. De plus, le PFPD n'est pas en mesure de contrôler si tous les fichiers lui ont été annoncés. En raison de ces
4769
problèmes de mise en œuvre, l'art. 11 LPD n'a pas l'effet attendu dans le domaine du droit privé.
En ce qui concerne la communication de données à l'étranger (art. 6 LPD), il convient de faire la distinction entre deux groupes de pays. La LPD autorise la communication de données vers l'étranger lorsque le pays en question dispose d'une législation offrant une protection des données équivalente à celle garantie en Suisse. La reconnaissance de l'équivalence n'est pas arrêtée une fois pour toutes. Elle est périodiquement revue par la Suisse, mais aussi par les autres États concernés, ce qui peut représenter un risque pour la Suisse si sa législation s'éloigne par trop de celles de ses principaux partenaires. La Suisse ne cherche pas à conclure des conventions permettant de régler le transfert transfrontalier de données avec des pays tiers ne disposant pas d'une législation suffisante en matière de protection des données. Ainsi, il incombe à l'entreprise qui veut transférer des données de conclure un contrat de protection des données avec chaque entreprise implantée dans un pays tiers non équivalent. Cette situation est regrettable car Internet est un média trans- frontalier. Elle constitue un désavantage concurrentiel pour la Suisse, cela d'autant plus que la législation des États-Unis, un partenaire commercial important, n'est pas reconnue équivalente à celle de la Suisse.
Comment les recommandations du Préposé fédéral à la protection des données et les sanctions prévues par la loi sont-elles mises en œuvre et quel poids ont-elles?
À ce jour, le PFPD n'a pas émis de recommandation dans le domaine du commerce électronique en tant que tel. La CFPD n'a pas non plus prononcé de sanction. Enfin, il n'y a pas encore eu de décision judiciaire. Il y a donc un déficit en ce qui concerne les recommandations et les sanctions, ce qui favorise l'insécurité juridique.
L'étude a permis de constater que, d'une part, les sanctions qui peuvent être pronon- cées en vertu de la LPD sont relativement anodines et, d'autre part, porter plainte demande beaucoup de temps et d'efforts et l'issue de la procédure est incertaine. Ce sont les raisons pour lesquelles aucune plainte à ce titre n'a été enregistrée jusqu'ici.
Jusqu'à présent, le PFPD a fait preuve de retenue en matière de recommandations, ce qui ne contribue pas au renforcement de la protection des données dans le com- merce électronique. Émettre des recommandations ou prononcer des sanctions per- mettrait à la protection des données de bénéficier d'une meilleure publicité dans le domaine du commerce électronique. L'effet préventif de la protection des données et la prise de conscience des différents acteurs s'en trouveraient renforcés.
E-commerce: Problématique transfrontalière
Une grande partie du commerce électronique concerne des achats transfrontaliers. Dès lors, se posent des questions pour le consommateur suisse quant à la détermi- nation du tribunal compétent, au choix du droit applicable et à l'exécution de la décision judiciaire. La Convention de Lugano et la LDIP définissent les règles. Le consommateur est rarement informé de ses droits sur les sites Internet, spécialement quand il s'agit de contrats transfrontaliers.
L'application de ces règles pose quelques problèmes dans le contexte du commerce électronique. Le domicile du fournisseur est parfois difficile à établir, au vu de la rapidité avec laquelle une entreprise peut changer de localisation. La distinction entre consommateur actif et passif n'est pas évidente sur Internet, même si la litté- rature suisse tend plutôt à le qualifier de passif.
4770
En règle générale, le consommateur passif a la possibilité de saisir le tribunal de son lieu de domicile. Quant au droit applicable, la LDIP assujettit le consommateur passif exclusivement aux règles du droit suisse, parce qu'elle part de l'idée que le droit suisse assure la meilleure protection au consommateur. Or, ce n'est de loin pas toujours le cas. De plus, il est déroutant de constater qu'un consommateur européen qui commande un produit sur un site suisse est mieux protégé qu'un client suisse qui effectue la même commande.
Finalement, une décision suisse est reconnue et exécutée sans autre dans les pays européens ayant ratifié la Convention. Par contre, les jugements sont beaucoup plus problématiques à appliquer avec d'autres pays.
En ce qui concerne les litiges internationaux liés à la concurrence déloyale, les consommateurs étrangers qui se fournissent sur un site suisse peuvent déposer une plainte auprès du seco et avoir recours à ses services pour qu'il intente une action en leur faveur. Cette option, accordée pour le motif de protéger la réputation de la Suisse à l'étranger, n'est pas consentie au consommateur suisse.
En ce qui concerne la protection des données, les règles applicables sont énumérées dans la LDIP. Le choix de la règle optimale sera vraisemblablement déterminé au cas par cas, mais, jusqu'à présent, aucun litige n'a été reporté.
Quel est l'effet des formes d'autorégulation appliquées dans le domaine du com- merce électronique?
Vu la complexité des règles de droit et le manque d'enthousiasme de la part des consommateurs suisses d'initier une action devant les tribunaux, les mécanismes d'autorégulation dans le domaine de l'e-commerce pourraient représenter une alter- native intéressante.
En Suisse, il existe trois labels d'e-commerce, mais ils sont très peu répandus. Les consommateurs ne leur accordent pas une grande importance. Ces labels ne contri- buent pas à donner un avantage comparatif aux entreprises qui les arborent.
Les procédures alternatives de règlement des différends peuvent permettre une résolution plus rapide et moins coûteuse des litiges. En Suisse, les consommateurs ne les utilisent guère. Ceci s'explique par le manque de connaissances des quelques possibilités offertes aux consommateurs, par leur méfiance de l'autorégulation et par l'absence de réglementation de ces procédures.
Les consommateurs suisses manquent de confiance pour effectuer des achats sur Internet. Dans les domaines contractuels, de la protection des données et des achats transfrontaliers, les problèmes présentés liés aux lacunes de la législation et aux manquements dans la mise en œuvre empêchent le véritable essor du commerce électronique, dont pourront profiter à la fois les consommateurs et les entreprises suisses.
4771
Annexe
Questionnaire «Protection des consommateurs et e-commerce»
Première partie: Aspects contractuels
Points généraux
Quels sont les principaux problèmes concernant les aspects contractuels dans le domaine du commerce électronique?
Classez les lois suivantes selon leur ordre d'importance: LDIP, LCD, LIC, CO, CP, OIP, LPD.
Que pensez-vous du rôle des offices fédéraux dans le domaine? Avez-vous déjà eu un rapport avec les offices fédéraux?
Quelles sont les principales différences légales et de mise en œuvre entre le B2C et le B2B?
Quelle importance donnez-vous aux directives de l'OCDE et de l'OMC pour la Suisse? Quelle est l'influence des normes de l'UE?
Droits des contrats
Comment sont contrôlés l'identité du vendeur et les caractéristiques essen- tielles des produits?
Quelles sont les difficultés des sites pour respecter l'indication du prix?
Comment sont contrôlées les conditions générales?
Comment sont traités les problèmes concernant la présence de produits interdits ou de produits dont la publicité est interdite?
Qu'en est-il du délai de rétractation?
La garantie légale est-elle appliquée sur Internet?
Quelle est l'importance du fait qu'il n'y a pas de contrat par écrit?
En pratique, comment sont choisis le tribunal compétent et la législation applicable, surtout dans le cadre de contrats transnationaux?
Quels sont les problèmes rencontrés par le consommateur dans le processus de commande?
Est-ce que les procédures sécurisées de transfert des données fonctionnent?
La publicité respecte-t-elle les règles de la commission pour la loyauté?
Réclamation/sanctions/autorégulation
Les procédures de réclamation pour les clients sont-elles souvent utilisées? Comment les jugez-vous?
Quels sont les avantages et inconvénients des systèmes d'autorégulation et des labels?
Que pensez-vous du rôle des tribunaux et de la jurisprudence?
4772
Deuxième partie: Protection des données
Points généraux
Les buts de la loi fédérale sur la protection des données (LPD) sont-ils défi- nis de manière claire ? Quels sont les lacunes ou les défauts de cette loi?
Quels sont les problèmes de mise en oeuvre de la LPD?
Quel impact ont les directives de l'OCDE sur la Suisse?
Questions détaillées sur les dispositions de la LPD
A votre avis, est-ce que les règles de traitement des données comme énon- cées dans l'art. 4 LPD couvrent le domaine de l'e-commerce de manière optimale?
Comment est-ce que les sites d'e-commerce et les consommateurs peuventils vérifier l'exactitude des données, comme le requiert l'art. 5 LPD?
Est-ce que des données sont souvent transmises à l'étranger (art. 6 LPD)? Selon vous, quels problèmes découlent de cet article, qui impose que les données ne soient transmises que dans des pays connaissant un niveau de protection équivalent à la Suisse?
Est-il facile de protéger les données personnelles contre des traitements de données non autorisés, à l'aide de mesures techniques et organisationnelles comme prescrit à l'art. 7 LPD?
Est-ce que le droit d'accès du consommateur (art. 8 LPD) est pleinement respecté? Est-il suffisant?
Que pensez-vous de l'application de l'art. 11 LPD dans le domaine du com- merce électronique (registre des fichiers à déclarer au PFPD)?
Comment jugez-vous le travail du Préposé fédéral à la protection des don- nées (PFPD, art. 26-32), de la Commission à la protection des données (art. 33) et la collaboration entre les deux?
Sanctions/recommandations/autorégulation
Quelle importance ont les sanctions prévues dans la LPD? Sont-elles facile- ment applicables?
Quel est votre jugement sur l'importance de la jurisprudence dans le domai- ne?
Que pensez-vous de l'autorégulation dans ce domaine?
4773
Bibliographie
Matériel administratif
98.3529 Motion CdG-E: Liaisons «on-line». Renforcer la protection pour les données personnelles.
00.3000 Motion CAJ-E: Renforcement de la transparence lors de la collecte des données personnelles
00.3714 Motion Pfisterer: Cybercriminalité. Modification des dispositions légales.
01.3517 Postulat Menétrey-Savary: Effets secondaires des nouvelles technolo- gies de l'information et de la communication.
02.3332 Motion Leutenegger Oberholzer: Révision du Code des obligations. Renforcer les droits des consommateurs.
BFC, 2000: Quelques aspects du droit de la consommation - Résolution extra- judiciaire des conflits de consommation.
BFC, 2001: Premier bilan du comportement des consommateurs suisses face au commerce électronique.
BFC, 2004: Avant-projet de loi sur l'information et la protection des consommateurs (LIPC). Ouverture de la procédure de consultation.
CI SI, plusieurs années: Rapport.
Commission fédérale de la consommation, 1999: Recommandation au Conseil fédé- ral concernant le commerce électronique.
Commission fédérale de la consommation, 2001: Résolution extrajudiciaire des litiges de consommation.
Conseil fédéral, 1998: Stratégie du Conseil fédéral suisse pour une société de l'infor- mation en Suisse.
Conseil fédéral, 2001: Rapport Explicatif - Loi fédérale sur le commerce électroni- que.
Message relatif à la loi fédérale sur la protection des données du 23 mars 1988, FF 1988 421 ss.
Message relatif à la révision de la loi fédérale sur la protection des données du 19 février 2003a, FF 2003 1915 ss.
Message relatif à la modification de la loi sur les télécommunications du 12 novem- bre 2003b, FF 2003 7245 ss.
OFS, 2003: Communiqué de presse nº15.
OFSP, 2003: Droit d'application des produits thérapeutiques - train d'ordonnan- ces II.
PFPD, plusieurs années: Rapport d'activité.
4774
Littérature spécialisée
Andersen Arthur, 2001: Internet-privacy und eCommerce-pratices in der Schweiz. Andersen Arthur: Zurich.
Arter Oliver et Jörg Florian, 2001: Internet-Recht und Electronic Commerce Law. Dike: Lachen.
Association suisse de la vente par correspondance, 2004: Der Schweizer Versand- handel im Jahr 2003.
Brunner Alexander, 2002: Aktuelle Praxis der Schweizerischen Lauterkeitskom- mission. In: Meier-Schatz, Neue Entwicklungen des UWG in der Praxis. Haupt: Berne.
Brunner Alexander, et. al., 2003: Annuaire de droit suisse de la consommation 2002. Stämpfli: Berne.
CNUCED, 2003: E-Commerce and development report 2003. United Nations: Genève.
Conseil pour la protection de la personnalité, 2004: Les droits individuels battus en brèche? Kummer Public Affairs: Berne.
Consumers International, 2001a: Privacy@net. An international comparative study of consumer privacy on the internet. Consumers International: London.
Consumers International, 2001b: Should I buy? Consumers International: London. Economist Intelligence Unit, 2003: The 2003 e-readiness rankings.
Ernst & Young LLP, 2003: Global Information Security Survey 2003.
Eurobarometer, 2004: Issues relating to business and consumer e-commerce. Euro- pean Commission: Bruxelles.
Fässler Lukas, 2002: Datenschutz durch Selbstregulierung und Qualitätskontrolle. In: Fellmann et Poledna, Akutelle Anwaltspraxis 2001. Stämpfli: Berne.
Forrester, 2000: Growing Privacy Labyrinth Hinders eBusiness. Forrester Brief, 1.
Funk Patricia, 2001: Die Bedeutung des Internet für den Wirtschaftsstandort Schweiz. Helbing&Lichtenhahn: Bâle.
Gasser Urs, 2001: E-Commerce: Innovation im (Vertrags-)Recht ? In: Schweizeri- sche Juristen-Zeitung, 18.
Gilding Stuart, 2001: Results of Internet Sweep Day 14-15 February 2001.
Guntern Odilo, 2002: E-Banking und Datenschutz. In: von Wiegand, E-Banking. Rechtliche Grundlagen. Stämpfli: Berne.
Henzelin Marc, 2002: La protection pénale du commerce électronique du point de vue des consommateurs. In: Koller et Muralt Müller, Tagung für Informatik und Recht. Stämpfli: Berne.
Hertz-Pompe Nicolas, 2003: La crédibilité des labels pour les sites Internet d'E- Commerce. Mémoire: Université catholique de Louvain.
Hollenstein Heinz et Wörter Martin, 2003: L'utilisation des technologies de l'infor- mation et de la communication dans l'économie suisse. In: La Vie Economique, 09-2003.
4775
Hurlimann Gaël, 2004: La cyberadministration suisse fait figure de mauvais élève en Europe. In: Le Temps, 27-03.
Jaccard Michel, 2000: Droit européen et comparé de l'Internet - Rapport national Suisse.
Jeanneret Vincent, 2001: Aspects juridiques du commerce électronique. Séminaire de l'Association genevoise de droit des affaires. Schulthess: Zürich.
Jörg Florian, 2003: Informationspflichten im E-Commerce. In: Jörg et Arter, Inter- net-Recht und Electronic Commerce Law. Stämpfli: Berne.
Knopfler François, 2002: L'arbitrage on line: une vraie solution pour les conflits entre fournisseurs et consommateurs. In: Mélanges en l'honneur de Bernard Dutoit. Librairie Droz: Genève.
Koller Thomas et Hanna Muralt Müller (Eds.), 2002 b: Nationale und internationale Bezüge des E-Commerce. Auswirkungen von E-Democracy auf den Rechtsstaat. Stämpfli: Berne.
Koller Thomas et Muralt Müller Hanna (Eds.), 2002 a: Tagung für Informatik Recht. Stämpfli: Berne.
Langer Dirk, 2003: Verträge mit Privatkunden im Internet. Schulthess: Zürich.
Minsch Ruedi et Moser Peter, 2001: Der Schutz der Privatsphäre im E-Commerce. Eine ökonomische Analyse der Datenschutzstrategien in Europa und in den USA. In: Aspekte der schweizerischen Wirtschaftspolitik.
National Consumer Council, 2000: e-commerce and consumer protection. NCC: London.
Nielsen/Netratings, 2004: News Internetforschung.
OCDE, 2000: Lignes directrices régissant la protection des consommateurs dans le contexte du commerce électronique.
OCDE, 2003: Les consommateurs sur le marché en ligne: les lignes directrices de l'OCDE trois ans après.
OSEC, 2003: E-business: rechtliche Rahmenbedingungen in der EU und in der Schweiz.
Pichonnaz Pascal, 2004: Avant-projet de Loi fédérale sur l'information et la pro- tection des consommateurs. Rapport explicatif.
Protz Christoph et Krohmann Klaus, 2001: Datenschutz in der Schweiz - Noch viel zu tun! In: Der Schweizer Treuhänder, nº 12.
Protz Christoph et Krohmann Klaus, 2002: E-Commerce-Praxis in der Schweiz. In: Der Schweizer Treuhänder, nº 6.
REMP, 2002: Report - MA Comis 2002. REMP: Zurich. (allemand: WEMF)
REMP, 2003: Report - MA Comis 2003. REMP: Zurich.
Réseau CEC, 2003: Réalités du cybermarché européen. Réseau CEC: Bruxelles.
Rosenthal David, 2000: Konsumentenschutz im Internet: Bedürfnisse und Erfahrun- gen. In: Weber et al, Geschäftsplattform Internet. Schulthess: Zürich.
Rosenthal David, 2002: Lauterkeitsrecht im Internet. In: Meier-Schatz: Neue Ent- wicklungen des UWG in der Praxis. Haupt: Berne.
4776
Rudolf Thomas et Löffler Claudia, 2002: Internetnutzung Schweiz 2002. Eine Studie des Gottlieb Duttweiler Lehrstuhls für Internationales Handeslmanagement. Universität St. Gallen.
Schnyder Anton, 2001: Internationalprivatrechtliche Aspekte des E-Commerce. In: Trüeb, Aktuelle Rechtsfragen des E-Commerce. Schulthess: Zürich.
Schöbi Felix, 2000: Vertragsschluss auf elektronischem Weg: Schweizer Recht heute und morgen. In: Weber et al, Geschäftsplattform Internet. Schulthess: Zürich.
Schöbi Felix, 2001: Ein Vertragsrecht für das digitale Zeitalter ?. In: Trüeb, Aktuelle Rechtsfragen des E-Commerce. Schulthess: Zürich.
Schwager Gery, 2003: Online-Shops: Oft zählt nur die Kasse. K-Tipp, nº 5.
Seydtaghia Anouch, 2003: Anémique, le e-commerce de détail en Suisse décollera- t-il enfin en 2003? In: Le Temps, 18-01.
Sieber Ulrich, 2000: «Code as code»? Lässt das Internet die nationalen Strafsysteme ins Leere laufen? In: NZZ, 29-05.
Spahr Christoph, 2003: Internet und Recht. Verlag Hochschule ETHZ: Zürich.
Stauder Bernd, 2001: Der Schutz der Konsumenten im E-Commerce. In: Trueb, Aktuelle Rechtsfragen des E-Commerce. Schulthess: Zürich.
Stauder Bernd, 2002a: Contrats transfrontières de consommation conclus via Inter- net. In: Koller et Muralt Müller, Tagung für Informatik Recht. Stämpfli: Berne.
Stauder Bernd, 2002b: La protection des consommateurs et le commerce électro- nique. In: Rapports suisses présentés au XVIème Congrès international de droit comparé. Schulthess: Zürich.
Sutter Guido, 2003: Le RICPC: un réseau de lutte contre les pratiques commerciales déloyales à l'échelle internationale. In: La vie économique, nº 5.
Walter Tonio, 2002: Internet-Detailhandel legt zu. NZZ am Sonntag: 26-05.
Walther Fridolin, 2002: Online Dispute Resolution. In: Koller et Muralt Müller (Eds.): Tagung für Informatik Recht 2001. Stämpfli: Berne.
Weber Daniel, 2004: Revolution mit Pizza. In: NZZ-Folio, nº 2.
Weber Rolf et al, 2002: Geschäftsplattform Internet III. Schulthess: Zürich.
Weber Rolf, 2001: E-Commerce und Recht. Schulthess: Zürich.
Weber Rolf, 2002: Datenschutz im E-Commerce.
Wharton Nathalie et Bassem Zein, 2001: Le défi du commerce électronique et de la cyberadministration pour le législateur. In: Koller et Muralt Müller, Tagung für Informatik Recht. Stämpfli: Berne.
Wharton Nathalie, 2002: Le remboursement de la prestation du consommateur dans le commerce électronique. In: Défaillance de paiement Fribourg.
World Economic Forum, 2003: Global Information Technology Report 2003-2004. Oxford University Press: Genève.
Züst Markus, 2001: E-Commerce im Schweizer Recht - die einzelnen Vertragsarten/ Datenschutz/Strafrecht. In: Rechtsprobleme des Commerce. Schulthess: Zürich.
4777
Zwipf Andreas, 2001: Die europäische Rechtsetzung zum E-Commerce; Verbrau- cherschutz contra E-Commerce-Förderung? In: Rechtsprobleme des Commerce. Schulthess: Zürich.
4778
Sites Internet consultés
www.econsumer.gov www.edsb.ch www.seco.ch
www.ebusinessforum.com www.eejnet.org
www.netlaw.de www.netzwoche.ch
www.unctad.org www.weforum.org
4779
Liste des personnes entendues
Balmer Nicolas, responsable E-Business CFF unité d'affaires informatique division voyageurs, CFF, Berne
Beeler Alex, porte-parole, Ticketcorner, Rümlang
Bertschinger Marc, responsable vente en ligne B2C unité d'affaires grandes lignes division voyageurs, CFF, Berne
Crevoisier Philippe, finance director, LeShop.ch, Chavannes-de-Bogis
Grossholz Pia, responsable pour les médias, Konsumentenforum, Zurich
Liechti Samy, directeur, blacksocks.com, Zurich
Rosenthal David, Konsulent Informations- und Telekommunikationsrecht, Hom- burger, Zürich
Schaad Marie-Françoise, responsable suppléante Service juridique préposée à la pro- tection des données division voyageurs, CFF, Berne
Schnyder Michael, collaborateur scientifique, PFPD, Berne
Schöbi Felix, chef suppléant, OFJ, Berne
Sieber Pascal, Dr. Pascal Sieber & Partners AG, Berne
Sutter Guido, chef suppléant du secteur Droit, seco, Berne
Uttinger Ursula, présidente, Datenschutz-Forum, Zürich Vignon Philippe, marketing manager, easyJet, Genève Zbornik Stefan, conseiller en entreprises, Kreuzlingen
Zein Bassem, collaborateur scientifique, OFJ, Berne
Liste des personnes entendues dans la phase préparatoire
Chatagny Régine, économiste, FRC, Lausanne
Matthey Véronique, juriste, FRC, Lausanne
Nast Matthias, chef de projet, Stiftung für Konsumentenschutz, Berne
Pichonnaz Oggier Monique, chef, Bureau fédéral de la consommation, Berne
4780
Réalisation de la recherche:
Jérôme Duperrut
Responsable de projet, CPA
Barbara Koch
Collaboratrice, CPA
Hedwig Heinis
Secrétariat, CPA
Bernd Stauder
Soutien juridique (aspects contractuels), Université de Genève
Le CPA remercie toutes les personnes qu'il a entendues pour leur disponibilité lors des entretiens et lors de la consultation de ce rapport. Il remercie plus spé- cialement Madame Ursula Uttinger pour son aide sur la section concernant la protection des données. Finalement, le CPA tient à étendre ses remerciements au Professeur Bernd Stauder pour le soutien juridique indispensable qu'il lui a apporté sur les thèmes relevant des aspects contractuels.
Langue originale du rapport final: français (ch. 4: allemand).
4781
4782
Schweizerisches Bundesarchiv, Digitale Amtsdruckschriften Archives fédérales suisses, Publications officielles numérisées Archivio federale svizzero, Pubblicazioni ufficiali digitali
Commerce électronique: évaluation de la protection du consommateur en Suisse. Rapport final du Contrôle parlementaire de l'administration
In
Bundesblatt
Dans
Feuille fédérale
In
Foglio federale
Jahr
2005
Année
Anno
Band
1
Volume
Volume
Heft
32
Cahier
Numero
Geschäftsnummer
Numéro d'affaire
Numero dell'oggetto
Datum 16.08.2005
Date
Data
Seite
4709-4782
Page
Pagina
Ref. No
10 138 829
Die elektronischen Daten der Schweizerischen Bundeskanzlei wurden durch das Schweizerische Bundesarchiv übernommen.
Les données électroniques de la Chancellerie fédérale suisse ont été reprises par les Archives fédérales suisses. I dati elettronici della Cancelleria federale svizzera sono stati ripresi dall'Archivio federale svizzero.