Annexe

Commerce électronique: évaluation de la protection du consommateur en Suisse Rapport final du Contrôle parlementaire de l'administration du 13 mai 2004

2005-0202

4709

L'essentiel en bref Le commerce électronique offre de grandes possibilités tant pour le consommateur que pour le fournisseur. Si la Suisse dispose d'infrastructures technologiques de tout premier plan, le consommateur suisse semble cependant manquer de confiance, cela surtout en ce qui concerne les aspects contractuels et la protection des données.

En Suisse, il n'existe pas de loi spécifique sur le commerce électronique. Les différentes lois ­ code des obligations (CO), loi contre la concurrence déloyale (LCD), loi sur l'information des consommateurs (LIC), loi fédérale sur la protection des données (LPD) ­ permettent aux acteurs de se servir de ce moyen de transaction.

Mais les particularités du commerce électronique posent plusieurs problèmes pour qu'un consommateur suisse puisse prendre une décision libre, éclairée et réfléchie.

Il n'y a pas d'obligations en matière d'information précontractuelle, par exemple sur l'identité du fournisseur, seul le manque de loyauté étant sanctionné. Le droit de révocation fait également défaut. Le problème de la garantie pour défauts de la chose n'est pas réglé d'une façon adéquate.

La mise en oeuvre de certains droits et devoirs d'information est problématique. La LIC demande que soient indiquées les caractéristiques essentielles des produits, mais elle ne trouve aucun écho pratique. D'autre part, il n'y a pas de contrôle des clauses contractuelles déloyales sur la base de la LCD.

Enfin, si les acteurs rencontrent un problème, ils peuvent intenter une action en justice. Or depuis la popularisation d'Internet, aucun litige n'a été porté devant les tribunaux suisses, le rapport coût/bénéfice étant pénalisant pour le consommateur.

La LPD est une loi abstraite et neutre du point de vue de la technologie. Elle ne comporte pas de dispositions spécifiques à Internet. L'interprétation concrète de certaines dispositions et notions dépend de la jurisprudence des tribunaux.

L'absence de décision judiciaire dans ce domaine favorise l'insécurité juridique.

La surveillance à exercer sur les organes de la Confédération et les particuliers en application de la LPD incombe au préposé fédéral à la protection des données (PFPD). À ce jour, dans le domaine du commerce électronique en tant que tel, le PFPD n'a pas épuisé toute sa marge de manoeuvre et n'a pas émis de recommandations. Des recommandations et des décisions judiciaires seraient profitables à la protection des données dont le but est avant tout de déployer un effet préventif.

Dans le domaine du commerce électronique, les propriétaires de fichiers ne sont pas en mesure de respecter l'obligation qui leur est faite de contrôler si les données qu'ils reçoivent sont exactes. En raison de l'anonymat d'Internet, de tels contrôles seraient disproportionnés. L'obligation de fournir à quiconque en fait la demande des renseignements au sujet des données traitées à son sujet est assez bien respectée. Lorsqu'il la demande, le consommateur reçoit la plupart du temps l'information souhaitée. Le problème est que, dans le dédale d'Internet, le consommateur n'est pas en mesure de suivre le devenir de ses données ni de savoir quelle entreprise les conserve dans ses bases de données. Cela étant, à titre de mesure destinée à protéger sa personnalité, il peut seulement requérir que les données soient rectifiées ou

4710

détruites ou que leur communication à des tiers soit interdite, mais il ne peut pas interdire le traitement des données.

D'autres dispositions sur le registre des fichiers ou la mise en place de mesures organisationnelles posent également d'importants problèmes de mise en oeuvre dans le domaine du commerce électronique.

La Suisse n'autorise les échanges de données qu'avec les États qui garantissent une protection équivalente. Actuellement, contrairement à l'UE, la Suisse ne cherche pas à conclure de conventions qui permettraient de régler le transfert transfrontalier de données avec des pays tiers ne disposant pas d'un tel niveau de protection.

Ainsi, il incombe à l'entreprise qui veut transférer des données de conclure un contrat de protection des données avec chaque entreprise implantée dans un pays tiers non équivalent.

En ce qui concerne les aspects transfrontaliers, la protection du consommateur suisse dépend des options qu'il peut exercer sur la détermination du tribunal compétent, du choix du droit applicable et de l'exécution de la décision judiciaire. Les règles de la loi sur le droit international privé et de la Convention de Lugano posent des problèmes de définitions et d'application. En général, le consommateur passif suisse a la possibilité d'intenter une action devant le tribunal de son lieu de domicile et se voit appliquer les règles du droit suisse. Cela implique que, dans de nombreux cas de figure, il est moins protégé qu'un consommateur européen.

Dans le cadre de litiges de concurrence déloyale, un consommateur étranger qui se fournit sur un site suisse peut déposer une plainte auprès du seco et avoir recours à ses services pour qu'il intente une action en sa faveur. Cette option n'est pas accordée au consommateur suisse.

Les labels et les mécanismes d'autorégulation peuvent être des compléments intéressants aux normes légales. Mais en Suisse, les trois labels d'e-commerce sont très peu répandus et les quelques procédures alternatives de règlement des différends ne sont pas utilisées par les consommateurs.

Au vu des lacunes législatives et des problèmes de mise en oeuvre présentés cidessus, le manque de confiance des consommateurs suisses n'est pas levé et le potentiel économique du commerce électronique ne peut se réaliser pleinement.

4711

Table des matières L'essentiel en bref

4710

Abréviations

4714

1 Mandat 1.1 Question de base 1.2 Structure du rapport final 1.3 Méthodologie

4715 4715 4715 4716

2 Cadre général du commerce électronique 2.1 Statistiques sur le commerce électronique 2.2 Cadre légal en Suisse 2.2.1 Survol des normes internationales sur l'e-commerce 2.3 Acteurs principaux du commerce électronique en Suisse

4717 4717 4721 4722 4722

3 Aspects contractuels 3.1 Questions de recherche 3.2 Problématique globale 3.3 Contrat 3.3.1 Phase précontractuelle 3.3.2 Conclusion du contrat 3.4 Droit de révocation 3.5 Recours et sanctions 3.6 Information des consommateurs 3.7 Multiplicité des règles 3.8 Indication des prix 3.9 Confiance des consommateurs 3.10 Rôle des offices concernant la mise en oeuvre

4724 4724 4725 4726 4726 4730 4733 4733 4735 4735 4736 4737 4738

4 Protection des données dans l'e-commerce 4.1 Questions de recherche 4.2 Bases légales 4.3 Acteurs étatiques 4.3.1 Préposé fédéral à la protection des données 4.3.2 Commission fédérale de la protection des données 4.4 Analyse du commerce électronique 4.4.1 Dimension d'Internet 4.4.2 Prise de conscience insuffisante et manque de connaissances 4.4.3 Proportionnalité des fichiers 4.4.4 LPD: une loi abstraite et exhaustive 4.4.5 Neutralité technologique vs orientation technologique 4.4.6 Principe d'équivalence 4.4.7 Information du consommateur 4.4.8 Obligation de déclarer 4.4.9 Exactitude des données 4.4.10 Communication de données à des tiers

4739 4739 4740 4742 4742 4742 4743 4743 4744 4745 4746 4747 4747 4748 4749 4750 4750

4712

4.4.11 Aspects techniques et organisationnels de la protection des données 4.4.12 Faible poids des sanctions 4.4.13 Rôle du PFPD dans le domaine de l'e-commerce 4.4.14 Conventions et directives internationales 5 Commerce électronique transfrontalier 5.1 Aspects contractuels 5.2 Protection des données

4753 4754 4756 4758 4759 4759 4763

6 Autorégulation dans l'e-commerce

4763

7 Conclusion

4765

Annexe Questionnaire «Protection des consommateurs et e-commerce»

4772

Bibliographie

4774

Sites Internet consultés

4779

Liste des personnes entendues

4780

4713

Abréviations AFC ATF BFC CAJ-E CC CdG-E CdG-N CEC CFPD CI SI CNUCED CO CP CPA Cst DFE DFF DFJP FRC LCD LDIP LIC LPD LPTh LTC NCC OCDE OFCOM OFJ OFS OIP OLPD PFPD PME RICPC TVA UE

4714

Administration fédérale des contributions Arrêt du Tribunal fédéral Bureau fédéral de la consommation Commission des affaires juridiques du Conseil des États Code civil (RS 210) Commission de gestion du Conseil des États Commission de gestion du Conseil national Centres Européens des Consommateurs Commission fédérale de la protection des données Comité interdépartemental pour la société de l'information Conférence des Nations Unies sur le commerce et le développement Code des obligations (RS 220) Code pénal (RS 311.0) Contrôle parlementaire de l'administration Constitution (RS 101) Département fédéral de l'économie Département fédéral des finances Département fédéral de justice et police Fédération romande des consommateurs Loi fédérale contre la concurrence déloyale (RS 241) Loi fédérale sur le droit international privé (RS 291) Loi fédérale sur l'information des consommatrices et des consommateurs (RS 944.0) Loi fédérale sur la protection des données (RS 235.1) Loi sur les produits thérapeutiques (RS 812.21) Loi fédérale sur les télécommunications (RS 784.10) National Consumer Council Organisation de coopération et de développement économiques Office fédéral de la communication Office fédéral de la justice Office fédéral de la statistique Ordonnance sur l'indication des prix (RS 942.211) Ordonnance relative à la loi fédérale sur la protection des données (RS 235.11) Préposé fédéral à la protection des données Petites et moyennes entreprises Réseau international de contrôle et de protection des consommateurs Taxe sur la valeur ajoutée Union Européenne

Rapport 1

Mandat

Dans le cadre des évaluations concernant la protection des consommateurs1, la souscommission DFF/DFE de la Commission de gestion du Conseil national (CdG-N) a mandaté, le 8 mai 2003, le Contrôle parlementaire de l'administration (CPA) pour effectuer une étude sur le commerce électronique.

Le 16 octobre 2003, le CPA a présenté un rapport intermédiaire qui couvrait quatre volets du commerce électronique, à savoir les aspects contractuels, la protection des données, la fiscalité et la responsabilité pour le contenu illicite. En ce qui concerne les deux derniers points, la sous-commission a choisi de transmettre au Conseil fédéral les parties correspondantes du rapport intermédiaire du CPA. La requête de la CdG-N est que les départements fédéraux responsables prennent directement connaissance des points problématiques soulevés et examinent l'opportunité de proposer des mesures correctives. Le présent rapport final se focalise donc sur les aspects contractuels et la protection des données dans le domaine de l'e-commerce.

1.1

Question de base

Conformément au mandat donné par la sous-commission, le CPA analyse essentiellement les problèmes liés à la mise en oeuvre de la législation existante dans le domaine du commerce électronique. La question principale est: La législation existante est-elle mise en oeuvre de manière adéquate pour protéger le consommateur dans le domaine de l'e-commerce?

Cette question de base est complétée, comme cela a été proposé dans le rapport intermédiaire, par des questions de recherche spécifiques aux deux thèmes abordés.

Ces questions de recherche, présentées aux ch. 3.1, 4.1 et 6, mettent également l'accent sur les problèmes relatifs à la conception de cette politique, y compris les lacunes législatives, et aux mesures d'autorégulation.

1.2

Structure du rapport final

Le rapport final est structuré en six chapitres. Le premier présente des données sur le commerce électronique, décrit les acteurs impliqués et récapitule les bases légales.

Les deux chapitres principaux abordent les questions liées premièrement aux aspects contractuels et deuxièmement à la protection des données, dans le cadre national, c'est-à-dire dans les cas où le consommateur et le fournisseur sont suisses. Le quatrième chapitre investigue la problématique transfrontalière de l'e-commerce. Le

1

Le 26 juin 2003, le CPA a publié à l'attention de la CdG-N un rapport intitulé «Sécurité des denrées alimentaires: évaluation de la mise en oeuvre en Suisse».

4715

cinquième aborde l'autorégulation. Le dernier chapitre tire les conclusions en répondant précisément aux questions de recherche.

1.3

Méthodologie

Le CPA se base sur une méthode triangulaire pour mener à bien son étude. Les trois sources utilisées sont la littérature spécialisée, les analyses secondaires d'études statistiques et les entretiens avec des praticiens du commerce électronique.

L'abondante littérature spécialisée dans le domaine est une source importante d'informations pour mener à bien cette évaluation.

Pour apporter un deuxième angle de vision, le CPA a recours à des statistiques provenant de plusieurs études menées sur les aspects contractuels et la protection des données. En mars 2004, le Conseil pour la protection de la personnalité a publié les résultats d'un sondage mené auprès de 1220 Suisses concernant la protection des données.2 Un autre sondage a été effectué par Schwager pour K-Tipp en mars 2003 auprès de 30 sites Internet suisses sur seize critères inspirés des lignes directrices de l'OCDE régissant la protection des consommateurs dans le contexte du commerce électronique.3 En février 2001, Gilding a rapporté les résultats du jour de balayage mené par le seco, qui a investigué 30 sites suisses selon dix critères4 de conformité aux règles contractuelles des directives de l'OCDE. Enfin, Andersen a publié une étude menée sur 100 sites suisses en 2001 concernant plusieurs domaines, dont les aspects contractuels et la protection des données.5 Les résultats d'enquêtes internationales menées par le National Consumer Council (NCC)6, Consumers International (deux études)7 et le réseau des Centres Européens des Consommateurs (réseau CEC)8 sont également présentés, pour autant qu'ils apportent un éclairage intéressant sur la Suisse. Ces rapports se basent sur des enquêtes effectuées en GrandeBretagne en 2000, dans treize pays développés en 2001 et dans quatorze pays de l'Union Européenne (UE) en 2003. Ils se réfèrent aux normes de l'OCDE et de l'UE et, dans deux cas, ont même procédé à l'achat de produits sur Internet.

De plus, le CPA a mené 13 entretiens approfondis et standardisés9 auprès de représentants des associations de protection des consommateurs, de responsables de sites Internet, de consultants et d'experts privés dans le domaine, ainsi que de fonctionnaires fédéraux compétents pour les questions de commerce électronique.10 Le CPA a basé son choix de sites Internet sur ceux qui proposent les produits les plus couramment achetés sur Internet, tout en montrant une diversité des problématiques sectorielles. Ils représentent un mélange entre des sites importants, des sites moins connus, des sites régionaux et des sites à exposition internationale. Ils ont été sélec2 3 4

5 6 7 8 9 10

Conseil pour la protection de la personnalité, 2004.

Schwager, 2003.

Gilding, 2001. Un «jour de balayage» représente une journée au cours de laquelle le seco évalue si une sélection de sites suisses respecte des critères prédéfinis concernant un aspect lié à Internet. Ce «jour de balayage» est mené simultanément par les offices compétents dans un grand nombre de pays.

Andersen, 2003.

National Consumer Council, 2000.

Consumers International, 2001a et Consumers International, 2001b.

Réseau CEC, 2003.

Voir questionnaire, p. 4772.

Voir la liste des personnes entendues, p. 4780.

4716

tionnés grâce à des ressources utilisées par les consommateurs (bases de données sur les sites Internet, articles de presse, moteurs de recherche et recommandations de connaissances). Cette méthode de choix est utilisée par les études statistiques auxquelles le CPA se réfère. À noter que le choix des sites est nettement biaisé en faveur de ceux qui jouissent déjà de la confiance des consommateurs. Il est difficile de trouver des sites «déloyaux» et il aurait été encore plus improbable que ceux-ci répondent de manière positive aux sollicitations du CPA. L'accent est plutôt mis sur la représentativité des achats et des visiteurs que sur la représentativité des risques pour les consommateurs.

2

Cadre général du commerce électronique

Dans ce rapport, le commerce électronique est décrit comme toute transaction et communication commerciales impliquant la distribution, la promotion, le marketing et la vente d'informations, de marchandises ou de services transmis, acheminés et reçus en partie à tout le moins par Internet.11 Tout ou partie de la conclusion du contrat se réalise de manière automatique.12 Le rapport aborde le commerce électronique sous l'angle de la relation entre un fournisseur et un consommateur (B2C, «business to consumer»), qui est défini comme une personne physique agissant dans un cadre extérieur à son activité professionnelle. Sont exclus de cette recherche les liens contractuels conclus sur Internet entre des entreprises (B2B, «business to business»), les relations entre les particuliers et l'administration (e-government)13, les sites de vente aux enchères et la signature électronique.14 Cette étude se focalise sur le point de vue du consommateur; les aspects concernant la protection d'autres acteurs (fournisseur, employé, maître de fichier) ne sont pas traités en détail.

À noter que plusieurs points mis en évidence dans cette évaluation ne touchent pas exclusivement l'e-commerce, mais parfois toutes les formes de vente.

2.1

Statistiques sur le commerce électronique

Les études statistiques montrent que la Suisse est dans le peloton de tête des pays en ce qui concerne l'infrastructure technique15 nécessaire pour le commerce électronique et l'utilisation des nouvelles technologies d'information et de communication16.

D'après la CNUCED, la Suisse est le pays qui compte le plus d'ordinateurs par

11 12 13 14 15

16

Commission fédérale de la consommation, 1999, p. 2.

Züst, 2001, p. 18.

Selon une étude de Cap Gemini Ernst&Young, la Suisse n'est qu'au quinzième rang du classement de dix-huit cyberadministrations européennes. Source: Hurlimann, 2004, p. 9.

La loi fédérale sur la signature électronique (FF 2003 7493) a été adoptée le 19 décembre 2003.

C'est en 1994, avec le lancement du premier Navigator de Netscape, que l'expansion à tous les usagers d'Internet a permis la création des premiers sites de commerce électronique.

Hollenstein et Wörter, 2003, p. 42.

4717

habitant. Une étude du World Economic Forum17 place la Suisse en septième position mondiale de son Network Readiness Index, qui mesure le degré de préparation d'un pays à participer et à bénéficier du développement des nouvelles technologies.

Selon l'Economist Intelligence Unit18, la Suisse se classe au huitième rang mondial en ce qui concerne le degré de préparation du marché à exploiter les opportunités liées à Internet. Enfin, selon l'Office fédéral de la statistique (OFS), début 2003, 63 % des Suisses avaient utilisé Internet au moins une fois au cours des six derniers mois, comparé à une moyenne de 43 % dans l'UE.19 Toutefois, toujours selon l'Economist Intelligence Unit, la Suisse n'est classée que quinzième dans la catégorie du commerce électronique, qui comprend le degré de commerce effectué de manière électronique, la qualité des systèmes et de la logistique, et le niveau de développement de l'e-business. De plus, selon l'OFS, seuls 6,4 % de la population effectue régulièrement des achats sur Internet. Selon Andersen, le consommateur suisse, par rapport à son homologue européen, semble plus prudent, plus timoré et plus conscient des problèmes liés à la sécurité.20 En comparaison avec des pays ayant un niveau de vie et des caractéristiques d'accès à Internet similaires, comme le Danemark, la Suède et les Pays-Bas21, le nombre de e-consommateurs suisses est plus bas. Il y a donc un décalage entre, d'une part, la quantité et la qualité de l'infrastructure technologique présente en Suisse et, d'autre part, l'utilisation effective d'Internet par les consommateurs suisses pour se procurer des biens et des services. Une hypothèse, qui sous-tend la présente évaluation, est que la législation suisse et son application ne renforcent pas de manière suffisante la confiance des consommateurs. Les études suivantes illustrent les pratiques des e-consommateurs et mettent en avant certains problèmes rencontrés sur Internet.

Un sondage réalisé en automne 2002 pour l'OFS révèle que, pour les entreprises, le commerce électronique est plus développé à l'achat qu'à la vente. Les deux principaux obstacles à la vente sur Internet sont l'inadéquation des produits et le manque de confiance des consommateurs. Cette méfiance s'explique par les lacunes juridiques relatives à la sécurisation des paiements, à la protection des données, à la sécurité des contrats ou à la garantie.22 Ces résultats reflètent ceux présentés par l'étude du NCC, selon laquelle les consommateurs ont peur de donner leur numéro de carte de crédit, ne sont pas sûrs d'avoir affaire à un vendeur bien intentionné et ne peuvent vérifier le bien ou le service avant l'achat. Il résulte que 78 % des consommateurs se sentent moins sûrs lors d'achats en ligne que lors d'achats traditionnels.

Seule une minorité de consommateurs pense avoir sur Internet les mêmes droits et protections que dans les autres canaux de distribution.23 Enfin, les consommateurs sont toujours plus sceptiques quant à leur protection lors d'achats transfrontaliers par rapport aux achats effectués dans leur pays.

Selon le sondage réalisé pour le Conseil pour la protection de la personnalité, 57 % des Suisses pensent qu'ils ne peuvent pas se protéger contre des utilisations abusives de leurs données personnelles, ce qui leur occasionne surtout des ennuis (70 %), des 17 18 19 20 21 22 23

World Economic Forum, 2003 et www.ejic.org.

Economist Intelligence Unit, 2003 et www.ebusinessforum.com.

67 % en Suède, 64 % aux Pays-Bas, mais seulement 38 % en Allemagne et 34 % en France. Source: Eurobarometer, 2004, p. 10.

Andersen, 2001, p. 5.

Eurobarometer, 2004, p.3.

OFS, 2003, p. 2.

OCDE, 2003, p. 4.

4718

atteintes à la sphère privée (62 %), des pertes financières (52 %) voire une atteinte à leur honneur (50 %). Les données qu'ils transmettent le moins sont leur numéro de carte de crédit, leur fortune, leurs dettes et leur revenu. Et c'est Internet qui est de loin le lieu où les consommateurs suisses ont le moins confiance de donner des renseignements sur leurs données confidentielles, comme le montre la figure 1.

Figure 1 Moyen de communication préféré par les consommateurs suisses pour donner des renseignements sur des données confidentielles (en %) 80 70 60 50 40 30 20 10 0 Face-à-face

Par courrier Par téléphone Par courriel

Par Internet

Source: Conseil pour la protection de la personnalité, 2004, p. 11.

Selon l'étude de Rudolf et Löffler24, 25 % de la population suisse a déjà effectué au moins un achat sur Internet. Les achats sont surtout constitués de livres, de CDs, de matériel informatique, de vidéos/DVD et de voyages.25 La valeur moyenne des achats effectués est de 553 francs. Les obstacles (sécurité, protection des données, information, droit de révocation) au commerce électronique sont plus importants pour ceux qui n'ont pas encore effectué d'achats en ligne que pour ceux qui ont déjà pratiqué le commerce électronique.

L'enquête REMP 200326 montre que les e-consommateurs suisses-allemands achètent surtout sur des sites suisses (86 %) mais aussi allemands (31 %). L'internationalité des achats sur Internet est confirmée par une étude d'Ernst&Young, selon laquelle 72 % des e-consommateurs suisses ont déjà acheté sur des sites étrangers.27 Enfin, la méfiance des consommateurs suisses semble se vérifier par l'utilisation des moyens de paiement employés sur Internet: la facture (72 %) vient loin devant la carte de crédit (37 %) et le paiement contre remboursement (13 %). La différence par rapport aux sites européens est marquée, les pourcentages respectifs étant de 52 %, 71 % et 44 %.28

24 25 26 27 28

Rudolf et Löffler, 2002.

Egalement: Funk, 2001, p. 16 et REMP, 2003, p. 7.

REMP, 2003, p. 6.

Walther, 2002, p. 198.

Réseau CEC, 2001, p. 24.

4719

Au niveau mondial, le chiffre d'affaires lié au commerce électronique représente en 2003 moins de 2 % des ventes globales de détail. Mais, les taux de croissance sont très élevés, même dans les pays développés.29 Individuellement, 70 % des compagnies américaines sur Internet réalisent des profits30, ce qui n'est encore le cas que de peu d'entreprises européennes. Le tableau 1 montre les projections concernant quelques chiffres clés de l'e-commerce dans 17 pays européens, Suisse comprise.

Tableau 1 Evolution de l'e-commerce en Europe entre 2000 et 2008 Années

Acheteurs (en millions)

2000 2001 2002 2003 2004 2005 2006 2007 2008

32 43 52 70,2 85,6 98,9 110,2 119,2 126

Panier moyen (en euros)

Chiffre d'affaires (en milliards d'euros)

425 479 525 591 673 776

8,4 16,5 22,4 29,8 40,1 51,9 65,1 80,3 97,8

Source: www.journaldunet.com/cc/04_ecommerce/ecom_marche_eu.shtml

Le tableau 1 montre clairement que l'augmentation du chiffre d'affaires est due à la combinaison de deux phénomènes: la hausse du nombre de consommateurs (qui est la conséquence d'une hausse antérieure du nombre de personnes connectées à Internet31) et la hausse de la valeur moyenne des achats réalisés sur Internet. Par rapport à 2003, le chiffre d'affaires devrait doubler en trois ans et tripler en cinq ans.

Pour la Suisse, des statistiques globales sur le chiffre d'affaires ou les profits réalisés sur Internet ne sont pas disponibles. Celles issues de l'association suisse de la vente par correspondance, qui estiment que les ventes sur Internet représentent 10,3 % du total des ventes par correspondance, soit 220 millions de francs suisses en 200332 sont douteuses de par la couverture des domaines recensés. Comme alternative, le CPA présente, dans le tableau 2, les données liées au nombre de visites effectuées sur les sites Internet. Amazon vient en septième position de tous les sites visités en Suisse allemande, en 2003. Certes, toutes ces visites ne débouchent pas sur des achats, puisque les consommateurs utilisent aussi Internet pour s'informer et effectuer des comparaisons de prix.

29 30 31 32

+ 56 % en France et + 72 % en Grande-Breatge en 2003, selon www.journaldunet.com.

CNUCED, 2003, p. 1.

Selon Seydtaghia, 2003, 70 % des internautes qui achètent en ligne surfent depuis 3 ans au moins. Les mêmes estimations sont faites sur www.journaldunet.com.

Association suisse de la vente par correspondance, 2004, p. 3. Les comparaisons avec les autres pays européens sont difficiles, la Suisse n'ayant pas les mêmes critères de comptabilité que les autres pays.

4720

Tableau 2 Les dix sites de commerce électronique les plus visités selon le critère du cercle élargi d'utilisateurs33 (en Suisse allemande, 2003) Site

Utilisateurs

Site

Utilisateurs

Amazon.ch/amazon.de Interdiscount.ch Ticketcorner.ch Swiss.ch Exlibris.ch

622 000 493 000 471 000 464 000 431 000

Shop.coop.ch Dell.ch Easyjet.com Weltbild.ch Books.ch

376 000 360 000 358 000 313 000 312 000

Source: basé sur REMP, 2003, pp. 2­3.

2.2

Cadre légal en Suisse

En Suisse, l'art. 97 de la Constitution prévoit que la Confédération prend des mesures destinées à protéger les consommateurs. Il n'y a pas de loi spécifique sur le commerce électronique. La Suisse s'en tient aux outils juridiques classiques. C'est le code des obligations (CO; RS 220) qui s'applique pour régler les relations contractuelles entre le consommateur et le fournisseur. La loi contre la concurrence déloyale (LCD; RS 241) cherche à garantir, dans l'intérêt de toutes les parties concernées, une concurrence loyale et qui ne soit pas faussée. La loi sur l'information des consommateurs (LIC; RS 944.0) a pour but d'encourager une information objective des consommateurs. Enfin, la loi fédérale sur la protection des données (LPD; RS 235.1) vise à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données.

En janvier 2001, suite à des recommandations de la Commission fédérale de la consommation et de plusieurs interventions parlementaires, un avant-projet de révision du CO et de la LCD, dont le but était de s'assurer que la participation des consommateurs au commerce électronique ne leur soit pas préjudiciable, a été soumis à la procédure de consultation. Il a reçu un accueil plutôt mitigé. En décembre 2002, le Conseil fédéral a pris connaissance des résultats de la consultation et a chargé le Département fédéral de justice et police d'élaborer un message, qui devrait paraître dans la deuxième moitié de 2004. D'autre part, suite à deux motions, un message sur la révision partielle de la LPD a été présenté en février 2003. Le Conseil national a renvoyé le projet au Conseil fédéral en mars 2004.34 Enfin, le 7 avril 2004, le Conseil fédéral a chargé le DFE de mettre en consultation un rapport d'expert sur la révision de la LIC.35 Ces trois projets abordent une partie des aspects traités dans ce rapport.

33

34 35

Le cercle d'utilisateurs élargi est la somme des personnes qui ont utilisé le site mentionné au moins une fois lors des six derniers mois. Le nombre total d'utlisateurs est de 2 581 000 personnes. L'étude REMP recense tous les sites Internet, alors que la table ci-dessus reprend les sites proposant des services de commerce électronique.

Voir ch. 4.2.

BFC, 2004.

4721

2.2.1

Survol des normes internationales sur l'e-commerce

En décembre 1999, l'OCDE a adopté les Lignes directrices régissant la protection des consommateurs dans le contexte du commerce électronique. Ce document postule que les consommateurs doivent bénéficier d'une protection transparente et efficace d'un niveau équivalent à celui assuré dans les autres formes de commerce. Il sert de référence à un grand nombre de législations nationales, aux organisations de protection des consommateurs et aux sociétés de certification.

Dans le domaine de la protection des données, le Conseil de l'Europe a adopté la Convention pour la protection des données à caractère personnel. L'OCDE a approuvé en 1980 les Lignes directrices régissant la protection de la vie privée et les flux transfrontaliers de données de caractère personnel.

D'autres organisations internationales comme l'Organisation mondiale du commerce et l'Organisation mondiale de la propriété intellectuelle ont également développé des lignes directrices concernant des aspects particuliers du commerce électronique.

Même si ces normes sont rarement contraignantes pour la Suisse, elle s'en inspire en tant que membre de ces organisations.

Enfin, l'UE a émis les directives suivantes dans ce domaine: 97/7/CE concernant la protection des consommateurs en matière de contrats à distance, 99/44/CE sur certains aspects de la vente et des garanties des biens de consommation, 2000/31/CE relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique»), 2002/65/CE concernant la commercialisation à distance de services financiers auprès des consommateurs, ainsi que 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données.

2.3

Acteurs principaux du commerce électronique en Suisse

Les principaux acteurs dans le contexte du commerce électronique sont bien entendu les consommateurs et les fournisseurs, qui n'entrent pas physiquement en contact, ni dans la phase précontractuelle, ni lors de la conclusion du contrat. Les fournisseurs d'accès et d'hébergement, les organismes de certification, les sociétés émettrices de cartes de crédit et les associations de protection des consommateurs complètent le tableau des acteurs privés.

Dans ce rapport, le consommateur ne se limite pas au cercle des fanatiques d'Internet, mais suit la définition du Tribunal fédéral: «il ne faut pas sous-estimer le pouvoir attractif et l'impact de la publicité sur le consommateur moyen, ni surestimer la capacité d'attention et l'esprit critique de celui-ci» (ATF 129 III 426, 435).

En Suisse, il y a plusieurs acteurs publics qui sont chargés, entre autres tâches, de la thématique du e-commerce36: le Bureau fédéral de la consommation (BFC), l'Office fédéral de la justice (OFJ), le seco, le Préposé fédéral à la protection des données 36

En France, le Centre de surveillance du commerce électronique créé fin 2000 auprès de la direction générale de la concurrence, de la consommation et de la répression des fraudes, repose sur 37 «cyberenquêteurs». Voir http://www.minefi.gouv.fr/DGCCRF/

4722

(PFPD), l'Administration fédérale des contributions (AFC) et l'Office fédéral de la communication (OFCOM).

Figure 2 Les acteurs dans le domaine du commerce électronique Seco

BFC PFPD

Vendeur

OFJ

AFC

INTERNET Organes de certification Sociétés émettrices de cartes de crédit Fournisseurs d'accès et d'hébergement

OFCOM

Consommateur

TRIBUNAUX

Source: CPA

Le rôle du PFPD est de surveiller la mise en oeuvre de la LPD. Il sera explicité et évalué plus en détail au ch. 4.4.13. Les rôles de l'AFC et de l'OFCOM ne touchent qu'à la marge les thèmes abordés et ne sont donc pas approfondis dans cette évaluation.

Le BFC est le service compétent de la Confédération pour la politique à l'égard du consommateur. Il veille à la défense des intérêts collectifs des consommateurs en sauvegardant l'intérêt général. Il participe à l'élaboration et à la mise en application des lois et ordonnances touchant le domaine de la consommation, y compris le commerce électronique.

L'OFJ s'occupe presque exclusivement de l'aspect législatif, lié aux aspects contractuels (nationaux et internationaux) et de concurrence déloyale touchant au commerce électronique. Il élabore donc surtout les messages et répond aux interpellations parlementaires.

Enfin, le seco, qui a pour objectif de créer un cadre politique et économique permettant de développer l'économie, contribue dans le domaine du e-commerce aux aspects liés à la concurrence déloyale. Il exerce la haute surveillance sur l'indication des prix (art. 20 LCD), les autres chapitres de la LCD étant du domaine du droit pénal et privé. Il veille à protéger la réputation de la Suisse par sa participation à des plates-formes internationales et par son droit d'intenter une action pour protéger un consommateur étranger en vertu de l'art. 10, al. 2, let. c, LCD.

4723

En 1996, le Conseil fédéral a mis en place un groupe de réflexion sur la société de l'information en Suisse. Sur la base de son rapport d'experts37, le Conseil fédéral a développé une stratégie pour le développement de la société de l'information, y compris la mise en place de conditions-cadres juridiques.38 Pour ce qui concerne l'e-commerce, cette stratégie exige la création de «conditions de nature à garantir une utilisation fiable de cet instrument et à satisfaire aux normes internationales tout en respectant le principe d'égalité face au commerce traditionnel». Les Départements fédéraux des finances et de l'économie sont chargés de cette thématique.

Depuis 1999, le Comité Interdépartemental pour la Société de l'Information (CI SI) rédige un rapport annuel sur les différents aspects liés à la société de l'information, y compris le commerce électronique.

L'évaluation du rôle des acteurs publics est présentée au ch. 3.10.

Les tribunaux sont appelés à intervenir suite à une action menée par les consommateurs ou les fournisseurs. Les jugements et la jurisprudence servent à appliquer et à préciser le droit. Le rôle des tribunaux sera évalué au ch. 3.5.

3

Aspects contractuels

Ce chapitre aborde les aspects contractuels liés à la protection des consommateurs dans le domaine du commerce électronique en Suisse. Dans ce rapport, les aspects contractuels ne se limitent pas uniquement au droit des contrats au sens strict, basé sur le CO, mais s'élargissent aux dispositions de la LCD et de la LIC qui entourent les contrats. La première section précise les questions de recherche auxquelles le CPA tente d'apporter des réponses dans cette évaluation. La deuxième section présente les principaux problèmes, tels que recensés lors des entretiens menés par le CPA. Les sections suivantes s'attardent plus spécifiquement sur ces points problématiques recensés et ce dans leur ordre d'importance.

3.1

Questions de recherche

Tout d'abord, il faut préciser la question de base dans le domaine des aspects contractuels sur Internet par les questions de recherche suivantes: ­

Quelles sont les principales lacunes et contradictions concernant les aspects contractuels liés à la protection des consommateurs dans le domaine du commerce électronique, par rapport aux autres formes contractuelles et par rapport aux spécificités du commerce électronique?

­

Comment sont mis en oeuvre les droits et devoirs d'information dont le consommateur doit disposer pour réaliser son choix sur Internet?

­

Le mécanisme de sanctions protège-t-il adéquatement le consommateur?

Il s'agit donc d'évaluer si les normes générales existantes permettent de protéger efficacement le consommateur dans ce domaine, et plus particulièrement de s'assurer que le consommateur puisse prendre une décision sereine, libre, éclairée et 37 38

http://www.admin.ch/ch/f/egov/egov/kig/kig.html.

http://www.infosociety.ch/site/propos/references/details.asp?id_fiche=2867.

4724

réfléchie. Les réponses à ces questions de recherche seront explicitées dans la conclusion de cette évaluation.

3.2

Problématique globale

Le CPA a procédé à treize entretiens pour établir un jugement général sur les principaux problèmes qui se posent concernant les aspects contractuels dans le domaine de l'e-commerce en Suisse.39 En tout, 18 arguments différents ont été évoqués par les personnes interrogées. La figure 3 classifie les principaux problèmes constatés selon la fréquence de leur évocation au cours des treize entretiens. Ils touchent le contrat lui-même, les aspects transfrontaliers, le droit de révocation, les possibilités de recours, l'information des consommateurs, etc.

Figure 3 Fréquence des problèmes constatés concernant les aspects contractuels dans le domaine de l'e-commerce (sur 13 entretiens) Contrat (3.3) International (5) Révocation (3.4) Recours (3.5) Information (3.6) Règles multiples (3.7) Anonymat (3.3) Produit (3.3) Prix (3.8) Confiance (3.9) Mise en oeuvre (3.10)

0

2

4

6

8

10

Source: CPA.

Note: Les numéros entre parenthèses renvoient aux sections qui traitent les problèmes énumérés.

39

Voir la question 1) du questionnaire présenté en annexe, p. 4772.

4725

3.3

Contrat

Un contrat est parfait lorsque les parties ont, réciproquement et d'une manière concordante, manifesté leur volonté (art. 1 CO). La conclusion d'un contrat recouvre plusieurs étapes. Dans la phase précontractuelle, l'identité du fournisseur, les propriétés du bien ou du service, les conditions générales et la publicité vont influencer le choix du consommateur. Le contrat lui-même peut prendre plusieurs formes, être conclu entre présents ou absents, mais il doit toujours représenter une offre qui, acceptée par l'autre partie, conduit à la conclusion du contrat. Les dispositions légales doivent garantir un consentement libre, éclairé et réfléchi du consommateur ainsi qu'un minimum de loyauté dans les clauses contractuelles.

Le principal problème identifié par les personnes interrogées porte sur le contrat, de sa phase précontractuelle jusqu'à sa conclusion. Dans cette section, sont également présentés les problèmes liés à l'anonymat du fournisseur et aux propriétés des produits.

3.3.1

Phase précontractuelle

Le devoir d'information sur l'identité du fournisseur est basé sur l'art. 3, let. b, LCD, qui règle de manière générale l'interdiction de pratiques déloyales. Il interdit la tromperie sur l'identité, mais n'exige pas que l'identité soit dévoilée. Ces exigences ont été prévues pour des méthodes de commercialisation entre deux parties présentes. Lorsque les parties n'entrent pas en contact physiquement, les devoirs d'information sur l'identité du fournisseur et ses produits sont plus importants. Par exemple, on observe des fournisseurs qui changent d'identité et qui réapparaissent sur d'autres sites. L'adresse Internet n'est pas forcément la même que le nom légal de l'entreprise. Selon les normes actuelles, un fournisseur sur Internet n'est pas tenu de dévoiler son identité telle qu'inscrite au registre du commerce, son siège social ou son domicile40; il peut se réfugier derrière des appellations fantaisistes (conclure un contrat avec l'entreprise Sunshine SA est suffisant) et utiliser des cases postales anonymes. Il s'agit là d'une grave lacune, qui est exploitée au détriment de la place économique suisse.41 Même les adresses Internet terminant en «.ch» ne sont pas exclusivement celles d'entreprises ayant leur domicile en Suisse.

En outre, il n'existe pas de contrôle de l'identité des fournisseurs. En droit des contrats, il n'y a pas de surveillance étatique, mais un droit qui s'applique entre un privé et un autre. La réglementation impose une limite à la liberté de faire et non pas une surveillance du fournisseur ou de ses produits. Si en trompant le consommateur au sens de l'art. 3, let. b, LCD, le fournisseur commet un acte de concurrence déloyale, seul les moyens de défense de la LCD sont à disposition: les actions civiles (art. 9 et 10 LCD) et le dépôt d'une plainte (art. 23 LCD). Ces moyens n'ont pas d'influence sur le contrat conclu entre le fournisseur et le consommateur.

Les lignes directrices de l'OCDE, dont la Suisse est membre, demandent que le site Internet présente le nom légal de l'entreprise, l'adresse géographique principale et une adresse téléphonique ou de courriel. L'adresse de courriel est importante

40 41

Stauder, 2001, p. 146.

Conseil fédéral, 2001, p. 27.

4726

notamment pour contacter le fournisseur par le même canal technique que celui utilisé pour conclure le contrat sur Internet.

Le tableau 3 montre dans quelle mesure ces indications ne sont pas respectées sur les sites Internet examinés par différentes études statistiques.

Tableau 3 Non-respect de certaines indications sur Internet Études

Schwager

Gilding

Andersen

CEC

NCC

Pays étudiés

Suisse (2003)

Suisse (2001)

Suisse (2001)

UE (2003)

G.-Bretagne (2000)

Nom de l'entreprise Adresse physique Téléphone Courriel Personne de contact

0% 17 % 7% 0% 40 %

7% 7% 10 %

0% 16 % 4%

9% 6% 5% 81 %

7% 12 % 4% 3%

Sources: Schwager, 2003; Gilding, 2001; Andersen, 2001; réseau CEC, 2003; NCC, 2000.

Selon les personnes interrogées par le CPA, il n'y a donc aucune garantie sur le fournisseur: c'est le risque de l'anonymat. Quelques e-consommateurs tentent de rechercher des informations42, mais le commerce électronique est censé s'adresser à tous les consommateurs. Ainsi, après une période pendant laquelle les nouveaux et petits fournisseurs se sont très largement développés sur Internet, ce sont les anciennes entreprises avec un magasin physique qui se mettent à dominer sur Internet. Les start-ups du commerce électronique doivent souvent se joindre à des marques physiquement connues et reconnues par le consommateur.

En ce qui concerne les propriétés des biens ou des services, il n'existe pas non plus d'obligation légale à informer les consommateurs de manière objective et complète.43 Certes, l'art. 2 LIC demande que soient indiquées les caractéristiques essentielles des biens et des services mis en vente, mais, pour certains experts, cette loi est «un tigre de papier sans mordant».44 La définition de ces caractéristiques essentielles a été laissée aux organisations proches de la réalité économique et sociale, qui, par une convention de droit privé, sont tenues de définir quel type d'information doit être donné et sous quelle forme. Or, seul quelques rares conventions ont été adoptées. Dans les cas où aucune décision n'a été prise ou si la convention n'est pas appliquée, le Conseil fédéral peut agir. Il ne l'a encore jamais fait. De plus, le Conseil fédéral n'a pas édicté de liste de services soumis à une déclaration, ce qui implique qu'aucun texte légal n'oblige le fournisseur de service à indiquer les éléments essentiels du service proposé.

42 43

44

Ils utilisent par exemple des références comme le site www.switch.ch pour s'assurer de l'existence et de la probité des sites ayant le nom de domaine «.ch».

Sauf dans certains cas particuliers, comme la loi fédérale sur le crédit à la consommation (RS 221.214.1) et la loi fédérale sur les voyages à forfait (RS 944.3). Stauder, 2001, p. 145.

Jörg, 2003, p. 53.

4727

Selon l'art. 3, let. b, LCD, un fournisseur agit de façon déloyale s'il donne des indications fallacieuses ou inexactes sur le bien ou le service qu'il propose. Or, lors d'achats par Internet, le consommateur ne peut connaître physiquement la marchandise avant qu'elle ait été livrée. Sur la base de la LCD, le vendeur n'est pourtant pas obligé d'informer le consommateur, de manière claire et complète, sur les caractéristiques essentielles du bien qu'il vend.

Les indications sur le prix du bien ou du service qui découlent de l'OIP sont traitées au ch. 3.8.

L'enquête de Schwager établit que 10 % des sites suisses ne décrivent pas les biens ou les services proposés. Selon l'étude de Andersen, 14 % des sites suisses n'informent pas les consommateurs de manière adéquate quant aux qualités essentielles des biens et services proposés.

Un autre point qui peut influer sur l'achat du consommateur est la garantie liée au produit. Pour le commerce électronique, comme pour toute autre forme commerciale, il n'existe pas, en Suisse, de droit à la réparation de la chose défectueuse. Les possibilités de garantie pour défauts sont la résolution du contrat, la réduction du prix (art. 205 CO) ou le remplacement de la chose (art. 206 CO). Le délai de prescription d'une action en garantie est d'une année (art. 210 CO). Ces droits sont régulièrement et légalement exclus (art. 199 CO) par des conditions générales de vente. Cette situation légale nuit à la confiance des consommateurs.

En Suisse, il n'existe pas de réglementation spécifique sur les conditions générales.

Pour accepter ces conditions, le consommateur doit pouvoir en prendre connaissance, ce qui n'est possible que si elles sont lisibles, compréhensibles45 et accessibles avant la conclusion du contrat. Un site Internet suisse a par exemple développé des conditions générales particulièrement adaptées à sa clientèle jeune. D'autres sites les font tenir sur une demi-page A4 ou les résument en onze points. Ceci contraste fortement avec certains sites qui affichent leurs conditions générales sur plusieurs pages ou en caractères de très petite taille. Un autre problème est celui de la langue, les conditions générales devant être comprises par le consommateur.

L'art. 8 LCD déclare qu'un acteur agit de façon déloyale si les conditions générales sont de nature à provoquer une erreur au détriment d'une partie contractante et si elles dérogent notablement au régime légal applicable. Or, en Suisse, les conditions générales ne font pas l'objet d'un contrôle de contenu.46 Pour la grande majorité de la littérature, le manque de contrôle efficace des clauses des conditions générales dans les contrats avec les consommateurs représente une lacune importante.

Les clauses des conditions générales sont nulles si elles contreviennent au droit impératif (art. 19 et 20 CO). Toutefois, dans le cadre du commerce électronique, où il s'agit principalement de contrats de vente et de mandat, le CO ne connaît pratiquement pas de dispositions impératives. Ainsi le droit suisse ne garantit pas au consommateur des droits inaliénables au cas où le bien n'est pas en conformité avec le contrat ni s'il est livré en retard.

Le contrat ne doit bien entendu pas avoir pour objet une chose impossible, illicite ou contraire aux moeurs (art. 20 CO), sinon il sera frappé de nullité. En outre, le fournisseur peut aussi être pénalement responsable. Ainsi, il doit respecter les règles 45 46

Jaccard, 2000, p. 25.

Langer, 2003, p. 415.

4728

interdisant la représentation de la violence, de la pornographie et de la discrimination raciale (art. 135, 197 et 261bis du Code Pénal; RS 311.0). D'autre part, certains produits tombent sous le coup de législations qui peuvent interdire ou, au moins, réglementer leur publicité ou leur vente à distance. Les lois concernées sont, entre autres, la loi fédérale sur le commerce des toxiques (RS 813.0), la loi fédérale sur les denrées alimentaires et les objets usuels (RS 817.0), la loi fédérale sur l'alcool (RS 680) et la loi sur les produits thérapeutiques (LPTh; RS 812.21).

Selon plusieurs experts entendus par le CPA, Internet pose effectivement problème, car la tentation est forte de se procurer à l'étranger des produits réglementés ou interdits en Suisse. Ils notent que les lois sont très claires sur les produits qui sont interdits, mais que les offices chargés d'appliquer ces interdictions ne les prennent pas assez au sérieux et ne les mettent pas en oeuvre. Les offices ne sont en tout cas pas pro-actifs sur Internet. Le coût de la mise en oeuvre de ces interdictions est élevé et au vu des sommes encore modestes en jeu sur Internet, l'intérêt est minime.

Dans le domaine des médicaments, la LPTh ne prévoit pas de règles particulières pour le commerce électronique, les normes de l'art. 27 LPTh concernant la vente par correspondance étant appliquées par extension. Swissmedic rappelle qu'en Suisse, ne peuvent être écoulés que des produits autorisés, alors que plus d'une centaine de produits non-autorisés sont disponibles sur Internet. Par contre, l'importation via Internet de produits non autorisés pour usage personnel est admise. Les douanes soutenues par Swissmedic effectuent des contrôles par sondage. Swissmedic met en garde les consommateurs suisses contre ces produits, en conformité avec son devoir d'information (art. 67 LPTh). Si ces produits sont disponibles sur des sites suisses, il peut intervenir et des sanctions administratives et pénales peuvent être appliquées.47 Depuis janvier 2002, il a ordonné le blocage de trois sites suisses.

De plus, les responsables de sites interviewés disent ne pas pouvoir contrôler l'âge légal des clients et se baser sur l'honnêteté réciproque. Cet état de fait est confirmé par l'étude de Gilding, selon laquelle 90 % des sites suisses ne font pas mention de la nécessité d'obtenir une permission parentale ou de l'exigence d'un âge minimum pour effectuer une transaction. Or, pour conclure un contrat, la personne doit être majeure et capable de discernement. La jurisprudence n'a pas encore tranché sur l'achat effectué par des mineurs sur Internet: découle-t-il d'une autorisation générale donnée par les parents pour surfer sur Internet et pour acheter un bien ou un service, et ceux-ci doivent-ils en supporter les conséquences?

Quant à la publicité illicite sur Internet, elle est réglementée par la LCD, par des lois sectorielles et par la loi sur les télécommunications (LTC; RS 784.10), mais elle n'a pas pour conséquence la nullité du contrat. Un problème fréquemment mentionné est celui du spamming. A ce sujet, tant l'UE que les Etats-Unis ont adopté des bases légales. Le message sur la révision de la LTC prévoit des changements tant dans la LTC que dans la LCD pour adapter le droit suisse aux directives européennes, ce qui implique que la publicité de masse devra être envoyée avec le consentement du client, contenir la mention correcte de l'émetteur et indiquer la possibilité de s'opposer à ce genre de publicité.48

47

48

Depuis janvier 2002, 36 procédures administratives ont été ouvertes dans le domaine du commerce électronique. Quant aux procédures pénales, les premières décisions d'ouverture d'enquête ont été envoyées en mars 2004.

FF 2003 7285

4729

En ce qui concerne la publicité sur les médicaments, elle fait aussi l'objet d'une réglementation dans la LPTh. Swissmedic considère la publicité sur Internet de la même manière que la publicité sur support imprimé, ce qui implique que les contrôles sont donc ultérieurs à l'apparition de ces publicités sur Internet49, suite à des dénonciations. Si des publicités suisses violent gravement ou de façon répétée les dispositions légales et la LCD, Swissmedic peut obliger le fournisseur, pendant un certain laps de temps, à lui soumettre ses projets de publicité pour contrôle préalable.50

3.3.2

Conclusion du contrat

Le contrat via Internet se conclut comme n'importe quel autre contrat: il faut un échange de déclarations concordantes et réciproques (art. 1 CO). Cette manifestation peut être expresse ou tacite. Ce qui compte, c'est qu'une offre valable soit suivie d'une acceptation correspondante.51 Dans le cadre du commerce électronique, cette acceptation prend généralement la forme d'un clic, d'une séquence de clics ou de l'envoi d'un courriel. Sur Internet, il est donc beaucoup plus probable qu'un acheteur conclue un achat par inadvertance en cliquant sur un bouton engageant son consentement.

Les personnes entendues ont confirmé que la procédure contractuelle est différente sur chaque site: parfois un contrat se conclut en trois étapes, parfois en cinq, voire en dix. Il existe aussi des différences entre le premier achat et les formules simplifiées pour les achats suivants ou les achats répétés de produits identiques.

Selon l'étude de Schwager, dans 13 % des cas, il n'est pas clair que le dernier clic est celui qui enregistre la commande de manière définitive. Selon Andersen, ce sont même 39 % des sites suisses qui manquent de clarté dans les étapes de la commande. Le consommateur peut donc être surpris de passer une commande à un moment de la procédure où il ne s'y attend pas. Ceci est un grave problème qui affecte la confiance des consommateurs dans le commerce électronique. D'autre part, selon Consumers International, 37 % des sites n'ont pas donné d'indications rapides et précises qui confirmaient l'achat du produit, ce qui conduit parfois le consommateur à réitérer sa commande.

En Suisse, la doctrine considère qu'en général, un contrat conclu sur Internet est effectué entre absents, les deux partenaires n'entrant pas physiquement en contact.

Dans ce cadre, le contrat est conclu au moment et au lieu où l'acceptation parvient au vendeur. A noter que si une renonciation à l'offre parvient au vendeur avant ou simultanément à son acceptation, cette offre est alors non avenue (art. 9 al. 1 CO).52 Pour les contrats, le code des obligations prévoit la liberté de la forme (art. 11, al. 1, CO), ce qui implique qu'il n'y a aucun obstacle à la conclusion d'un contrat par voie

49 50 51 52

OFSP, 2003, p. 14.

OFSP, 2003, p. 14.

Jaccard, 2000, p. 20.

Il en va de même si la révocation est transmise au vendeur avant que celui-ci n'ait pris connaissance de l'acceptation de l'offre.

4730

électronique.53 Par contre, certains contrats exigent une forme spéciale selon les art. 12 ss CO (acte authentique, forme écrite, forme réservée).

Selon la doctrine, les exigences de l'art. 12 CO quant à la forme écrite ne sont pas remplies par le commerce électronique.54 Pour certains experts, la jurisprudence n'est pas en mesure de résoudre le problème de la forme du contrat et un nouveau cadre légal est indispensable. Il est possible que l'introduction de la signature électronique55 résolve les problèmes d'identification des parties et d'authentification, mais elle ne sera pas apte à remplir la fonction de mise en garde.

Selon les personnes interrogées par le CPA, l'un des problèmes contractuels dans le commerce électronique est qu'il n'existe pas de contrat par écrit et donc pas de preuve. Pour certains, l'absence de preuve écrite n'est pas un désavantage uniquement pour le consommateur, mais aussi pour le vendeur. Les deux partenaires sont à égalité. Plus concrètement, le manque de preuve pourrait avoir un impact dans le cadre d'un jugement. Les associations de protection des consommateurs recommandent d'ailleurs de toujours imprimer la page de commande. Quant à l'éventuelle confirmation par courriel, elle pourra être reconnue devant les tribunaux.56 De plus, les échanges sur Internet laissent souvent de multiples traces qui peuvent être retrouvées dans les ordinateurs des partenaires.

L'incorporation des conditions générales est nécessaire pour que ces dernières régissent le contrat. Elles sont préformulées par les fournisseurs à leur avantage. La jurisprudence du Tribunal fédéral relative à l'incorporation des conditions générales dans le contrat s'applique aussi dans le cadre de l'e-commerce et permet de garantir un véritable accord du consommateur. Plusieurs sites Internet demandent expressément au consommateur, par un clic, d'accepter les conditions générales avant de conclure un contrat. Cela ne veut pas dire que le consommateur les ait effectivement lues; un responsable de site estime à 10 % le nombre de clients qui les lisent. Ainsi, d'autres sites ont renoncé à demander un accord exprès du consommateur sur les conditions générales.

En Suisse, la pratique est donc très variée: l'étude de Schwager montre que les conditions générales ne sont pas accessibles dans 8 des 30 sites examinés, et celle de Andersen que 41 des 100 sites analysés ne se réfèrent pas à des conditions générales.

De plus, il n'est pas toujours possible d'imprimer (59 %) ou de sauvegarder (9 %) les conditions générales. Cette situation n'est pas satisfaisante pour plusieurs experts interrogés par le CPA.

L'offre doit être formulée de telle manière qu'elle contienne des indications essentielles comme l'objet, la quantité et le prix. Elle doit aussi clairement faire comprendre que la transaction sera effectuée si l'acheteur accepte les termes proposés.57 Selon l'art. 7, al. 2, CO, l'envoi de tarifs, de prix courants, etc. ne constitue pas une offre, alors que l'art. 7, al. 3, CO indique qu'exposer des marchandises, avec indiation du prix, est tenu pour une offre.

53 54 55 56 57

Wharton et Zein, 2001, p. 57. C'est particulièrement le cas pour les ventes d'objets mobiliers (art. 184 ss CO) et l'octroi de licences d'utilisation.

Wharton et Zein, 2001, p. 58.

La loi fédérale sur la signature électronique (FF 2003 7493) a été adoptée le 19 décembre 2003.

La question reste ouverte de savoir si un courriel non muni de la signature électronique aura également valeur de preuve et si un tel contrat est présumé conclu.

Weber, 2001, p. 313.

4731

L'applicabilité de ces alinéas au commerce électronique ne fait pas l'unanimité dans la littérature.58 Certains textes relèvent que le contrat, conclu uniquement suite à l'acceptation du consommateur, ne laisse aucune marge de manoeuvre au vendeur.

Ce dernier doit alors livrer la marchandise (alors qu'il ne l'a peut-être plus en stock) et ne peut s'assurer de la solvabilité de l'acheteur.59 Il semble en fait que les deux approches puissent se retrouver sur Internet, suivant la présentation ou la formulation adoptée sur un site.

Ceci est corroboré par les responsables de sites interviewés par le CPA. Pour certains sites, l'offre vient du consommateur et elle peut ensuite être acceptée ou refusée par le vendeur. En général, les consommateurs ne sont pas conscients de ce renversement de pratique. Dans la majorité des cas, c'est toutefois le consommateur qui conclut le contrat en confirmant la commande par un clic.

L'étude de Consumers International menée après une procédure d'achat complète de 340 produits rapporte que 6 % des articles payés n'ont pas été délivrés, souvent parce que le produit n'était plus en stock. Le consommateur n'est généralement pas averti de ce problème.

Il est important de savoir quel est le moment de la conclusion du contrat, car c'est à partir de ce moment-là que peuvent courir plusieurs délais, comme le droit de révocation. Selon la littérature, le consommateur suisse ne peut s'appuyer sur des règles d'information qui annoncent clairement les étapes de la conclusion d'un contrat, la possibilité d'enregistrer le texte du contrat, le droit de corriger des données et la confirmation par courriel de la conclusion du contrat.60 Or, la conclusion d'un contrat dépend aussi de facteurs techniques. L'étude du réseau CEC montre que dans 8 % des commandes passées, il n'y a eu aucune réaction, information, livraison, ni facturation de la part du fournisseur. On peut se demander si ces commandes n'ont pas abouti pour des questions techniques. Le consommateur devrait être informé si sa commande n'a pas été prise en compte ou si le vendeur ne souhaite pas lui vendre le produit.

En droit suisse, il n'y a pas de prescriptions légales quant à un délai de livraison raisonnable. En fait, selon l'art. 75 CO, le consommateur peut exiger l'exécution immédiate du contrat, mais il est accepté qu'il tienne compte d'un certain délai pour permettre au fournisseur de remplir son obligation contractuelle.

Selon Consumers International, la livraison du produit commandé sur Internet intervient en moyenne dans les dix jours; pour les livraisons intra-nationales, on compte huit jours, et pour les livraisons transnationales, treize. Selon le réseau CEC, la livraison d'un produit transnational prend onze jours. La directive européenne fixe le délai maximum à 30 jours.

58 59 60

Züst, 2001, p. 20 et Weber, 2001, p. 314.

Jaccard, 2000, p. 21.

Langer, 2003, p. 105.

4732

3.4

Droit de révocation

En Suisse, le droit de révocation existe dans trois domaines: le crédit à la consommation, le courtage matrimonial et le démarchage à domicile.61 Certains experts et acteurs du commerce électronique posent la question de savoir si les conditions décrites aux art. 40a et ss CO peuvent s'appliquer directement ou par analogie à l'e-commerce. La doctrine penche pour la négative62 car ces articles ne s'appliquent pas aux contrats entre absents et requièrent des exigences de forme non applicables sur Internet (art. 40d et 40e CO). Pourtant, au moment où le consommateur donne formellement son consentement à la conclusion d'un contrat sur Internet, ce consentement n'est pas entièrement serein, libre, éclairé et réfléchi. Le droit suisse ne propose donc pas de solution au risque de décision irréfléchie, notamment due à la rapidité de la conclusion du contrat et au manque de contact direct avec la marchandise, problèmes intrinsèques au commerce électronique.63 Selon les personnes interviewées, la plupart des sites sérieux proposent un droit de révocation.64 Ce droit court en général à partir de la date de l'envoi. La majorité des sites transnationaux sont déjà obligés de l'inclure pour être conformes à l'art. 6 de la directive 97/7/CE, qui prévoit un droit de révocation d'au moins sept jours. Les personnes interrogées espèrent que les entreprises suisses ne discriminent pas les consommateurs suisses.

Or, selon les études statistiques, le droit de révocation n'est de loin pas répandu sur les sites suisses. Selon Andersen, seuls 23 des 100 sites examinés proposent un droit de révocation. Selon l'étude de Schwager, 47 % des sites ne font aucune mention des possibilités de révocation, de restitution ou d'échange. Quant à l'étude de Gilding, elle indique que 30 % des sites suisses n'offrent pas la possibilité de restituer, d'échanger ou de révoquer un achat.

Le dernier point à noter est que le consommateur devrait aussi être informé de ce droit sur le site du fournisseur, comme cela est déjà prévu pour les contrats de démarchage à l'art. 40d CO.

3.5

Recours et sanctions

Le CO prévoit un catalogue de sanctions civiles dans les cas où le contrat n'est pas conclu valablement (nullité, annulabilité, etc.). Ces mesures sont les mêmes dans le domaine de l'e-commerce.

La plupart des acteurs interrogés par le CPA déclarent que les possibilités pour les consommateurs de faire valoir leurs droits dans le cadre du droit des contrats sont purement théoriques.

61

62 63 64

Dans ce dernier cas, la prestation doit dépasser 100 francs. Il est prévu d'introduire un droit de révocation dans le domaine du time-sharing. Il existe certains types de produits (fourniture de journaux et d'enregistrements descellés, biens personnalisés, contrats de services dont l'exécution a commencé), pour lesquels ce droit est inapplicable.

Stauder, 2001, p. 146.

Wharton et Zein, 2001, p. 61.

Par exemple, sur la base du code d'éthique développé par l'Association suisse de vente par correspondance. Voir http://www.asvpc.ch/francais/codeetique.htm.

4733

D'autre part, la LCD et l'OIP donnent la possibilité au consommateur ou au fournisseur d'intenter une action civile (art. 9 ss LCD) et de déposer une plainte pénale (art. 23 et 24 LCD et art. 21 OIP). Les experts notent toutefois l'absence de véritables dispositions protectrices des consommateurs et de mécanismes efficaces de lutte contre les clauses abusives.

De plus, les sanctions pénales inscrites dans la LIC sont inapplicables, parce que l'art. 11 LIC exige que le fournisseur ait contrevenu intentionnellement aux prescriptions relatives aux déclarations sur les biens et les services. Or, aucune prescription n'a été émise.

Dans le droit pénal, il existe certes des dispositions (art. 146 CP sur l'escroquerie), mais, selon la doctrine, elles ne s'appliquent pas aisément au droit de la consommation, et par extension, aux cas liés au commerce électronique. La mise en vente de produits frauduleux (sur Internet par exemple) n'est pas suivie de sanctions pénales.

Enfin, l'art. 97, al. 3, Cst. demande aux cantons de prévoir une procédure de conciliation simple et rapide pour les litiges de petite ampleur, typiques dans le domaine de la consommation. Ces procédures ne semblent pour l'instant pas rencontrer un succès important. L'exemple de l'office de conciliation en matière de consommation du Tessin illustre le désintérêt des consommateurs et des fournisseurs, puisqu'en 2002, l'office n'a pas traité un seul cas. Les causes de cette désaffection sont l'ignorance parmi la population de l'existence de cet office, la longueur de la procédure et son manque de mordant.

Quel que soit le thème lié au commerce électronique, le CPA a pu établir qu'aucune action n'a été introduite devant les tribunaux. Cela peut s'expliquer de plusieurs manières.

Tout d'abord, s'agissant d'une violation de la LCD ou de l'OIP, lancer une action en justice de manière préventive, alors qu'aucun contrat n'a été signé et qu'aucune perte financière n'a été concrétisée, serait faire preuve de pur altruisme de la part d'un consommateur.

D'autre part, le consommateur ne souhaite généralement pas aller devant les tribunaux. Il ignore aussi souvent à quelle instance il peut s'adresser en cas de problème.

D'ailleurs, en droit suisse, les fournisseurs ne sont pas tenus d'informer les consommateurs sur leurs possibilités de recours. De plus, le consommateur peut se montrer dubitatif quant au rapport coût/bénéfice d'une telle procédure. Dans le domaine du droit privé, il n'existe pas de mécanisme véritablement simple de règlement des litiges, malgré l'art. 97, al. 3, Cst., et intenter une action entraîne des coûts élevés. Il faut donc avoir un grand intérêt financier pour lancer une telle procédure. On estime que la valeur litigieuse doit dépasser 2000 francs pour que, en cas de gain de cause, le consommateur n'essuie pas de pertes financières. Enfin, les associations de protection des consommateurs n'ont simplement pas les ressources financières pour entrer en matière à leur place.

Pour la grande majorité des acteurs interviewés, le rôle de la jurisprudence est potentiellement très important, parce que la Suisse n'a pas de bases légales spécifiquement écrites sur le commerce électronique. En fait, les lois existantes doivent être appliquées au commerce électronique et il est nécessaire que, dans ce nouveau domaine, la Suisse bénéficie d'une bonne jurisprudence. Cela étant, lorsqu'il n'y a pas d'action, il n'y a pas de jugement. Et, s'il n'y a ni plainte, ni jugement, il n'y a

4734

pas non plus d'écho médiatique, qui puisse contribuer à l'information des consommateurs et des fournisseurs.

Certaines entreprises ont déclaré au CPA se tenir au courant de la jurisprudence dans les pays voisins, particulièrement en Allemagne65 pour pallier le manque d'avis de droit en Suisse et pour tenir compte des caractéristiques légales dans les pays cibles.

La littérature a également relevé ce point comme un problème important lié à la protection du consommateur66: aucune affaire pénale n'a abouti dans le domaine du commerce électronique, surtout parce que les autorités n'ont pas les moyens de connaître les infractions commises ni de réprimer les comportements illicites.

A noter que, dans le cadre de la loi sur la signature électronique, le Parlement a renoncé à introduire des dispositions pénales, estimant que le code pénal prévoit déjà des mesures suffisantes.

3.6

Information des consommateurs

En Suisse, trois groupes de lois règlent l'information des consommateurs: le CO, la LCD et la LIC.

Le CO part de l'idée que les deux parties à un contrat ont le même poids lors de la négociation et peuvent obtenir l'information nécessaire. Or, dans les rapports de consommation, la situation n'est pas celle de deux partenaires égaux. Faut-il pour autant que le fournisseur fournisse au consommateur l'information nécessaire?

L'approche suisse, basée sur l'art. 3 LCD, stipule qu'il suffit de réprimer le mensonge dans les affirmations factuelles (présentation d'indications inexactes ou fallacieuses). L'information ne joue pas un rôle préventif et n'est applicable que cas par cas.67 Cela ne résout pas la difficulté de la collecte de l'information objective, qui reste à la charge du consommateur. C'est pourquoi la plupart des experts considèrent que cette approche ­ en simplifiant, l'interdiction de mentir ­ doit être complétée par l'exigence de dire la vérité: le fournisseur est tenu de mettre à la disposition du consommateur des informations objectives sur les points essentiels liés au contrat.

Enfin, la LIC connaît un droit général d'information des consommateurs sur les caractéristiques essentielles d'un produit (art. 2 LIC). Mais sous réserve de deux conventions sans pertinence pour le commerce électronique, la LIC est restée lettre morte.68 Des informations préventives, comme des indications sur la sauvegarde du texte du contrat, le choix des langues, la durée de validité de l'offre et des prix, ne sont pas requises.69

3.7

Multiplicité des règles

En Suisse, il faut rappeler qu'il n'existe pas de normes particulières pour le commerce électronique. Les règles concernant les aspects précontractuels et contractuels 65 66 67 68 69

www.netlaw.de.

Henzelin, 2002, p. 85.

Langer, 2003, p. 116.

Brunner et al., 2003, p. 483.

Langer, 2003, p. 102.

4735

de l'e-commerce se trouvent dispersées dans le code des obligations, la loi contre la concurrence déloyale, la loi sur l'information des consommateurs et le code pénal.

Ceci est sans compter les autres lois qui touchent d'autres aspects du commerce électronique, tels que la fiscalité, la responsabilité pour contenu illicite, l'infrastructure de communication, etc. Dans le rapport explicatif de l'avant-projet de révision du CO et de la LCD du 17 janvier 2001, le Conseil fédéral affirme que les règles existantes peuvent s'appliquer au commerce électronique.

D'autre part, le droit actuel est pauvre en dispositions spécifiquement protectrices des consommateurs. Le CO en particulier est basé sur la prémisse de deux personnes négociant le contrat sur une base d'égalité; il ignore les rapports de consommation qui sont caractérisés par un déséquilibre structurel entre les deux parties.

Enfin, le Conseil fédéral fait référence à l'art. 1, al. 2, du Code civil (CC; RS 210) qui donne aux juges la possibilité de combler une lacune dans les situations qui n'étaient ni connues ni familières lors de l'adoption de normes du droit contractuel, comme c'est par exemple le cas pour le commerce électronique. Le défi est, tout en garantissant la liberté économique au fournisseur, de protéger la liberté des décisions, qui assure la validité des contrats.

3.8

Indication des prix

L'OIP s'applique aux marchandises et à une liste de prestations de services offertes au consommateur, ainsi qu'à la publicité y relative (art. 2 OIP). Les art. 16 ss LCD et les art. 3 et 10 OIP requièrent que le prix à payer effectivement pour les marchandises et les services offerts au consommateur suisse soit clairement indiqué et en francs suisses. Entre autres, le prix effectif doit inclure la TVA et les taxes douanières, mais également les coûts de transport. Juridiquement et technologiquement, rien ne s'oppose à l'application de l'OIP et de la LCD aux indications de prix dans le domaine du commerce électronique.

Les différentes études statistiques révèlent que l'indication des prix est loin d'être respectée par tous les sites. Selon Schwager, 27 % des sites n'indiquent pas si la TVA est incluse dans le prix proposé. Par contre, seuls 7 % ne font pas mention des coûts de port et de livraison. L'étude de Gilding montre que 17 % des sites n'indiquent pas le coût détaillé des biens et services, alors que 100 % indiquent clairement que la monnaie de transaction est le franc suisse. L'étude de Andersen affirme que dans 28 % des cas le prix n'est pas compréhensible. Le même problème est rencontré en ce qui concerne les coûts de livraison (58 % des cas), la TVA (68 %) et surtout les droits de douane (97 %). Au niveau international, Consumers International signale que seuls 15 % des sites permettant des achats transfrontaliers offrent la possibilité d'utiliser un convertisseur de change pour que le consommateur connaisse le coût exact dans sa monnaie nationale. Finalement, dans 9 % des cas, le consommateur n'a pas payé le prix qu'il prévoyait au moment du contrat. Selon le réseau CEC, le prix effectivement payé différait du prix indiqué lors de la commande dans 4 % des cas.

Contrairement à ces statistiques, la grande majorité des personnes interviewées par le CPA jugent que l'indication des prix est bien respectée sur Internet et qu'elle est plutôt aisée à mettre en oeuvre. Il est ainsi intéressant de relever que l'OIP n'oblige pas l'affichage du prix sur la marchandise lors de la livraison: le prix n'est affiché 4736

que sur Internet. Les prix peuvent ainsi varier très rapidement et être corrigés plus vite que sur les catalogues.

Certaines personnes interviewées ont toutefois soulevé plusieurs problèmes. La collecte des taxes d'importation aux douanes ne fonctionne pas optimalement, ce qui favorise l'achat de produits transfrontaliers par l'intermédiaire du commerce électronique, plutôt que dans les magasins fixes. Dans le domaine du voyage, les prix sont souvent indiqués dans la monnaie du pays de la prestation et pas dans celle du pays du consommateur. Ainsi un client en Suisse qui commande un billet d'avion Berlin-Zurich sera facturé en euros. Cette pratique serait contraire à l'OIP puisque les sites étrangers qui dirigent leurs offres vers des clients suisses doivent indiquer le prix de leur produit en francs suisses.70 Enfin, une autre violation de l'OIP selon plusieurs experts interrogés est la pratique qui consiste à proposer des prix différents à des consommateurs différents, mais pour le même produit et au même moment.

Cette promotion ciblée, par consommateur, sur les produits qu'il consomme le plus, vise à le récompenser de sa fidélité. Or, l'OIP demande que soit connu le prix effectif à payer du produit; il ne peut être différent pour chaque client.

Ces points recouvrent en fait la définition du prix à payer effectivement. A ce sujet, le seco émet des feuilles d'information, qui doivent illustrer la pratique à adopter.

Mais elles n'ont pas de valeur juridique, et un fournisseur qui ne les respecte pas n'est pas sanctionné.

Enfin, certains experts notent que l'art. 10 OIP dresse une liste de services qui sont soumis à l'ordonnance. Or cette liste, édictée par le Conseil fédéral, n'est qu'énumérative.71 Elle n'est donc pas exhaustive, ce qui signifie que les services non cités ne sont soumis à aucune exigence légale quant à l'indication des prix.

3.9

Confiance des consommateurs

Pour les experts interrogés par le CPA, gagner la confiance des consommateurs est l'élément central qui permet le développement du commerce électronique. Les analyses développées dans toutes les sections de ce rapport ont mis en évidence les facteurs qui contribuent au manque de confiance des consommateurs. Il faut rappeler entre autres les problèmes liés à l'asymétrie d'information entre le consommateur et le fournisseur (information précontractuelle sur le fournisseur et les biens), aux conditions générales, au droit de révocation, aux possibilités de recours et aux sanctions.

Un autre problème mentionné par les personnes interviewées par le CPA concerne l'appréhension des consommateurs à utiliser leur carte de crédit sur Internet, où le phénomène est amplifié, parce que les consommateurs ne comprennent pas bien les techniques d'encryptage. Si les experts interrogés s'accordent à reconnaître que des utilisations frauduleuses de carte de crédit existent sur Internet, ils ne sont pas unanimes à penser que cette éventualité y est plus répandue que sur les autres modes de transactions. La plupart des sites ont pourtant mis en place des systèmes de sécurité technique. Certains demandent en plus au consommateur d'indiquer les numéros qui figurent au verso de la carte de crédit.

70 71

Langer, 2003, p. 104.

Brunner et al, 2003, p. 483.

4737

Selon le réseau CEC, dans 24 % des cas, le fournisseur retire, le jour même, la somme afférente à la commande.72 Bien entendu, à ce moment-là, le consommateur n'a pas pu prendre possession de son bien. Il s'ouvre donc une période d'incertitude pour lui.

3.10

Rôle des offices concernant la mise en oeuvre

Le rôle des offices impliqués dans l'e-commerce, l'OFJ, le seco et le BFC, est décrit au ch. 2.3.

Les experts et les praticiens interviewés par le CPA ont tous jugé que le rôle des offices fédéraux dans le domaine du commerce électronique est très accessoire. Plus précisément, seuls deux intervenants estiment l'importance des offices fédéraux dans le domaine de l'e-commerce comme moyen, alors que sept autres le considèrent comme peu important. Ceci s'explique par le fait que ce domaine est du ressort du droit privé. De plus, les principes directeurs de l'activité de la Confédération dans le commerce électronique veulent, entre autres, qu'elle ne réglemente que le strict minimum, qu'elle intervienne le moins possible dans les mécanismes du marché et qu'elle préfère l'autorégulation à la réglementation.

Sept experts interrogés ont mentionné avoir eu des contacts, toutefois très épisodiques, avec le PFPD. Les autres offices n'ont pas été cités, si ce n'est le seco, par une personne, pour des questions liées à l'OIP. Les principales critiques sur le rôle des offices fédéraux tiennent au fait qu'ils sont éloignés de la pratique, ne connaissent pas les problèmes concrets des entreprises, ne proposent pas assez d'activités de conseil et ne prennent pas au sérieux les requêtes ou les questions des acteurs du domaine. Les offices répondent que les acteurs privés les contactent souvent sans avoir au préalable pris connaissance des bases légales.

À noter que les informations concernant les différents aspects liés à la protection des consommateurs dans le domaine du commerce électronique ne circulent pas de manière optimale entre les différents offices fédéraux, comme à propos des plaintes déposées sur econsumer.gov (voir ch. 5.1). Le BFC n'est en effet pas systématiquement informé des plaintes déposées auprès du seco. Ces plaintes sont certes déposées par des consommateurs étrangers et non suisses.

Quant à la haute surveillance, le seco ne l'exerce que sur l'application par les cantons des normes sur l'indication des prix. Afin de rendre cette mise en oeuvre la plus homogène possible, il présente des séminaires, émet des instructions et fournit des feuilles d'information.

Enfin, au vu de la manière très succincte avec laquelle l'e-commerce est mentionné dans ses rapports annuels73, il ressort que le CI SI ne lui porte qu'un intérêt limité.

72 73

En moyenne, un fournisseur attend cinq jours après la date de la commande pour effectuer le débit.

Par exemple, CI SI, 1999, p. 13 ou CI SI, 2003, p. 38.

4738

4

Protection des données dans l'e-commerce

L'examen relatif à la protection des données dans le domaine du commerce électronique constitue un autre axe de la présente étude. Le fait de collecter et de traiter des informations relatives à des individus touche déjà leur personnalité. Si les activités d'information favorisent la communication, elles peuvent aussi léser, voire entraver les facultés d'épanouissement de certaines personnes.74 Le traitement électronique des données induites par le commerce électronique est à l'origine de problèmes spécifiques en matière de protection des données. Selon Weber, la notion de «client transparent» est déjà une réalité largement répandue sur Internet.75 Cette évolution constitue un danger pour la sphère privée et la protection de l'intimité. Comme l'analyse de diverses études l'a montré, la protection des données est un aspect capital pour ce qui concerne la confiance que les consommateurs placent dans le commerce électronique.76 Ils l'évitent lorsqu'ils ont l'impression que les données qui les concernent ne sont pas traitées sérieusement.

Dans la première section, sont abordées les questions de recherche relatives à la protection des données dans le commerce électronique, telles qu'elles ont été adoptées par la sous-commission DFF/DFE lors de sa séance du 16 octobre 2003. Cette section a pour but d'expliciter les quatre questions de recherche basées sur la question principale qui est de savoir si la législation et sa mise en oeuvre offrent une protection adéquate au consommateur.

Le ch. 4.2 permet de faire le tour des bases légales et la section suivante de présenter les deux acteurs étatiques chargés de leur mise en oeuvre. L'analyse de la problématique fait l'objet du ch. 4.4.

4.1

Questions de recherche

La loi fédérale sur la protection des données (LPD) a pour but de protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données (art. 1 LPD). La LPD n'interdit pas tout traitement de données personnelles et de profils de la personnalité, mais elle stipule que le traitement de telles données ne doit pas porter une atteinte illicite à la personnalité des personnes concernées (art. 12 LPD). Chaque transaction commerciale sur Internet laisse une trace de données telles qu'adresse de l'ordinateur, date et heure des accès, actions effectuées ou objets accédés. Théoriquement, ces données pourraient être combinées de manière à obtenir un profil de la personne et de ses activités sur Internet. En outre, la conclusion d'une transaction commerciale nécessite la communication de données personnelles à l'utilisation correcte desquelles il convient de veiller.

La question principale est complétée par les quatre questions de recherche suivantes, qui constituent la base de ce chapitre. Elles cherchent à savoir si la législation et sa mise en oeuvre offrent une protection adéquate au consommateur.

­

74 75 76

La loi fédérale sur la protection des données comporte-t-elle des lacunes ou des défauts du point de vue de la protection du consommateur dans le commerce électronique?

FF 1988 424 Weber, 2001, p. 453.

Voir notamment: CNUCED, 2003; Rudolph et Löffler, 2002; BFC, 2001.

4739

­

Quels sont les problèmes de mise en oeuvre de la LPD du point de vue de la protection du consommateur dans le commerce électronique?

­

Dans quelle mesure les obligations relatives aux informations sont-elles respectées?

­

Comment les recommandations du Préposé fédéral à la protection des données et les sanctions prévues par la loi sont-elles mises en oeuvre et quel poids ont-elles?

Ces questions de recherche servent de base de travail aux sections suivantes. Les réponses directes à ces questions de recherche seront résumées dans la conclusion de cette évaluation.

4.2

Bases légales

En ce qui concerne la protection des données, le commerce électronique ­ comme tous les autres domaines dans lesquels des données personnelles sont collectées et traitées ­ est soumis à la LPD. En plus de la LPD, la protection des données est également régie par l'art. 13 Cst., par le code civil, par la loi sur les télécommunications et par le code pénal.

Le but de la loi fédérale sur la protection des données et de l'ordonnance correspondante (OLPD; RS 235.11) est de donner à l'individu la possibilité d'exercer son contrôle sur la divulgation et le traitement des données qui concernent sa personne et, si nécessaire, de les interdire. La LPD tire sa légitimité du droit fondamental qu'est la liberté personnelle, inscrit à l'art. 13, al. 2, Cst. (protection de la sphère privée), ainsi que de la protection de la personnalité en droit privé selon les art. 27 ss., CC.

La protection des données ne consiste pas à interdire tout flux d'information, mais cherche à prévenir l'utilisation abusive de données et d'informations. Celui qui a un intérêt légitime ne doit pas être empêché d'avoir accès à des données et de les traiter.77 En vertu de la LPD, les données personnelles ne peuvent cependant être collectées que de manière licite, leur traitement doit être effectué conformément aux principes de la bonne foi et uniquement dans le but qui est indiqué lors de leur collecte, qui est prévu par une loi ou qui ressort des circonstances (art. 4 LPD).

Outre le but, le champ d'application et les principes, la loi définit également un certain nombre de notions (art. 3 LPD). Ainsi, par données personnelles, la LPD entend toutes les informations qui se rapportent à une personne identifiée ou identifiable, indépendamment de la forme de ces données, de leur support ou de la technique de récolte et de traitement des données (neutralité technologique). La loi règle le traitement, la diffusion ou la transmission de données à des tiers ainsi que les obligations de renseigner. Les voies de droit concernant la protection de la personnalité sont fixées à l'art. 15 LPD: une éventuelle violation peut être poursuivie en application de l'art. 28 CC. En raison de son but, la loi ne fait pas la distinction entre violation effective ou seulement potentielle puisque la LPD a également un caractère préventif.78 La LPD contient des dispositions pénales en cas de violation des obligations de renseigner, de déclarer et de collaborer (art. 34 LPD) ou du devoir de 77 78

Spahr, 2003, p. 132.

Andersen, 2001, p. 6.

4740

discrétion (art. 35 LPD). Ces dispositions pénales sont réglées par les articles suivants du code pénal: art. 143 (soustraction de données), art. 143bis (accès indu à un système informatique), art. 144bis (détérioration de données), art. 147 (utilisation frauduleuse d'un ordinateur), art. 150 (obtention frauduleuse d'une prestation) et art. 179novies (soustraction de données personnelles).

Certaines dispositions de la LPD sont plus particulièrement concernées que d'autres par les conditions particulières du commerce électronique (mode de traitement des données électronique et indépendance géographique). Les articles correspondants sont brièvement présentés ci-dessous.

En vertu de l'art. 5, al. 1, LPD, quiconque traite des données personnelles doit s'assurer qu'elles sont correctes. Et selon l'art. 5, al. 2, LPD, toute personne concernée peut requérir la rectification de données inexactes.

L'art. 6 LPD règle les conditions auxquelles des données personnelles peuvent être communiquées à l'étranger. La LPD applique le principe d'équivalence. En vertu de ce principe, la communication de données personnelles à l'étranger ne doit pas avoir d'effet négatif sur la situation juridique de la personne concernée. Cela implique que la Suisse n'autorise les échanges de données qu'avec les États qui garantissent une protection équivalente.

Selon l'art. 7 LPD, les données personnelles doivent être protégées contre tout traitement non autorisé au moyen de mesures organisationnelles et techniques appropriées.

L'art. 8 LPD stipule que les consommateurs ont le droit d'exiger du fournisseur qu'il les renseigne sur les données qu'il traite éventuellement à leur sujet et dans quel cadre il les traite.

La déclaration des fichiers fait l'objet de l'art. 11 LPD. Les particuliers qui traitent régulièrement des données sensibles ou des profils de la personnalité, ou qui communiquent des données personnelles à des tiers, sont tenus de déclarer leurs fichiers lorsque le traitement de ces données n'est soumis à aucune obligation légale et que les personnes concernées n'ont pas connaissance de l'existence de ces fichiers.

Dans son message relatif à la révision de la loi fédérale sur la protection des données du 19 février 2003, le Conseil fédéral proposait une révision partielle de la LPD.79 Cette révision visait principalement l'amélioration de l'information des personnes sur lesquelles des données sont collectées ainsi que la transposition dans le droit suisse des principes prévus par le Protocole additionnel du 8 novembre 2001 (Convention du Conseil de l'Europe, voir ch. 4.4.14). Le 10 mars 2004, le Conseil national a décidé de renvoyer le message au Conseil fédéral et l'a chargé de limiter la révision à la mise en oeuvre des motions 00.3000 et 98.3529 et du Protocole additionnel. La motion 98.3529 de la Commission de gestion du Conseil des États (CdGE) ne concerne pas le commerce électronique. La motion 00.3000 de la Commission des affaires juridiques du Conseil des États (CAJ-E) demande l'introduction dans la LPD d'une obligation pour les particuliers et les organes fédéraux d'informer les personnes concernées lors de la collecte de données personnelles sensibles et de profils de la personnalité.

79

FF 2003 1915

4741

4.3

Acteurs étatiques

En vertu de la LPD, il y a, en Suisse, deux acteurs étatiques qui s'occupent des aspects de la protection des données dans le domaine du droit privé. Il s'agit, d'une part, du Préposé fédéral à la protection des données (PFPD) et, d'autre part, de la Commission fédérale de la protection des données (CFPD).

4.3.1

Préposé fédéral à la protection des données

L'institution du PFPD découle de l'application des art. 26 à 32 LPD. Il est chargé de veiller au respect de la protection des données en Suisse.80 Dans le domaine du droit privé, il conseille les particuliers en matière de protection des données (art. 28 LPD).

Il tient et publie le registre des fichiers (art. 11 LPD). En cas de conflit, le PFPD tente de trouver des solutions; dans le domaine du commerce électronique, il peut s'agir de différends qui opposent fournisseurs et consommateurs. Le PFPD peut intervenir d'office ou à la demande de tiers et, après avoir établi les faits, émettre des recommandations (art. 29 LPD). Si une recommandation est rejetée ou n'est pas suivie, il peut porter l'affaire devant la CFPD pour décision. Le PFPD n'a cependant pas le pouvoir de prendre des sanctions. S'il en va de l'intérêt général, il peut informer le public de ses constatations et de ses recommandations (art. 30, al. 2, LPD). Il est en outre chargé d'examiner dans quelle mesure la protection des données assurée à l'étranger est équivalente à celle que connaît la Suisse (art. 31, al. 1, let. d, LPD).

Actuellement, le PFPD nommé par le Conseil fédéral assume sa fonction avec un taux d'occupation de 50 %. Il est appuyé par un bureau doté de 18 postes.

4.3.2

Commission fédérale de la protection des données

La CFPD est une commission fédérale de recours et d'arbitrage au sens de l'art. 71a de la loi fédérale sur la procédure administrative (RS 172.021). Outre ses pouvoirs de décision en matière de droit public, elle statue, dans le domaine du droit privé, sur les recommandations du PFPD qui lui ont été soumises (art. 33, al. 1, let. a, LPD).

Elle dispose du pouvoir de prendre des sanctions. En vertu de l'art. 33, al. 2, LPD, le PFPD peut requérir des mesures provisionnelles du président de la CFPD s'il constate, à l'issue de l'enquête qu'il a menée, que la personne concernée risque de subir un préjudice difficilement réparable. Dans le domaine du droit privé, la CFPD n'intervient que dans les cas de grande portée. Dans la mesure où le recours de droit administratif au Tribunal fédéral ou au Tribunal fédéral des assurances n'est pas ouvert, les décisions de la CFPD sont définitives (art. 27 de l'ordonnance concernant l'organisation et la procédure des commissions fédérales de recours et d'arbitrage, RS 173.31). Les décisions de la CFPD peuvent être consultées sur la page du site de la Chancellerie fédérale consacrée à la jurisprudence des autorités administratives de la Confédération.81 La commission est composée de six membres nommés par le Conseil fédéral.82 80 81 82

http://www.edsb.ch.

http://www.vpb.admin.ch/franz/cont/aut/aut_1.2.3.5.html.

http://www.admin.ch/ch/f/cf/ko/index_111.html.

4742

4.4

Analyse du commerce électronique

Les paragraphes suivants sont consacrés à l'étude des principales problématiques abordées par la littérature spécialisée, l'analyse d'études et onze entretiens approfondis83 ayant porté sur les quatre questions de recherche. Ces paragraphes décrivent les domaines dans lesquels il y a des problèmes ainsi que les effets de la législation et de la coordination entre les diverses autorités concernées sur la protection des données dans le domaine de l'e-commerce entre des fournisseurs suisses et des clients suisses. Les deux premiers paragraphes sont consacrés à des problèmes relatifs à l'environnement général de la protection des données dans le commerce électronique alors que les autres abordent des problématiques spécifiques.

Les explications ci-après se réfèrent aux domaines de la LPD qui relèvent du droit privé, le commerce électronique relevant lui-même de ce domaine du droit. De nombreux problèmes liés à la LPD et identifiés dans le cadre de la présente étude ne sont pas spécifiques au commerce électronique et concernent tous les domaines dans lesquels on a recours à des données sensibles ou à des profils de la personnalité.

Certains d'entre eux sont simplement plus accentués dans le domaine du commerce électronique.

4.4.1

Dimension d'Internet

La «dimension d'Internet» est un facteur régulièrement abordé dans les publications étudiées et par les personnes entendues par le CPA. Cette dimension a été notamment abordée sous l'angle des quatre points ci-après:

83

­

Les possibilités techniques, la rapidité et l'anonymat offerts par Internet constituent un univers qu'il est difficile d'appréhender dans son ensemble.

Les possibilités techniques très étendues d'Internet sont à l'origine de plusieurs problématiques spécifiques. Ainsi, il est très simple de constituer des bases de données et de collecter des données. Certains fournisseurs possèdent des bases de données dont ils ignorent l'existence.

­

Les protagonistes sur Internet sont très divers, il y a notamment les fournisseurs, les consommateurs, les fournisseurs d'accès, les sociétés émettrices de cartes de crédit (voir figure 2, ch. 2.3).

­

Internet est un outil relativement récent. L'utilisateur dit «normal» y a accès depuis une dizaine d'années environ. Il est encore confronté à de nombreuses inconnues et incertitudes. Les personnes entendues par le CPA ont presque toutes insisté sur le fait que la fiabilité est une valeur cardinale: en Suisse, un fournisseur sérieux ne peut pas se permettre d'avoir des problèmes d'image. Le fait pour un fournisseur de donner aux clients la possibilité de s'informer de la politique de l'entreprise relative et de ses activités sur Internet ainsi que sur sa politique en matière de traitement des données dignes d'être protégées (déclaration relative à la protection de la personnalité) est de nature à renforcer leur confiance.

Sur les treize entretiens menés par le CPA, onze ont donné lieu à un avis sur la protection des données. Voir questionnaire p. 4772.

4743

­

Les législations nationales n'ont, par essence même, d'effet que sur une petite partie d'Internet puisqu'il s'agit d'un réseau à l'échelon planétaire.

4.4.2

Prise de conscience insuffisante et manque de connaissances

Les onze personnes entendues ont abordé la question de la prise de conscience insuffisante et du manque de connaissances en matière de protection des données, aussi bien de la part des consommateurs que des fournisseurs. Selon la littérature également, la protection des données n'est pas encore suffisamment ancrée dans la conscience de la population suisse.84 Dans bien des milieux, la perception des problèmes liés à la protection des données fait défaut. Un expert a même prétendu que la LPD est transgressée chaque jour, sans mauvaise intention dans de nombreux cas, simplement par ignorance ou parce qu'il est impossible de respecter la législation en vigueur.

Les aspects principaux de cette prise de conscience insuffisante et de ce manque de connaissances peuvent être résumés de la manière suivante: Consommateurs Pour la plupart, les consommateurs ont un déficit important en matière de prise de conscience. Ils laissent d'importantes traces de données sur Internet. Ils ne s'informent pas toujours suffisamment sur les fournisseurs et leur politique commerciale.

Certains consommateurs ne connaissent pas leurs droits. Il ne savent pas qu'ils sont uniquement tenus de fournir les données nécessaires à la transaction et que, en vertu de l'art. 8 LPD, ils ont un droit d'accès aux données qui les concernent. De plus, la LPD leur donne des droits leur permettant d'interdire à une entreprise de traiter les données qui les concernent ou de les transmettre à des tiers.

La prise de conscience insuffisante et le manque de connaissances découlent d'un déficit en matière d'information et d'un manque d'intérêt pour la protection des données. Cette constatation est d'ailleurs corroborée par le fait que la brochure sur la protection des données de la Stiftung für Konsumentenschutz n'est pas un article très demandé. Les organisations de protection des consommateurs constatent également que l'avènement d'Internet et, partant, du commerce électronique, suscite un intérêt croissant pour la problématique de la protection des données.

Cela étant, force est de constater que, en partie, les consommateurs ne maîtrisent pas encore tous les éléments de l'infrastructure de base du commerce électronique. Il ne s'agit cependant que d'une question de temps car, de plus en plus, l'utilisation d'Internet va de soi. Toutefois, si l'amélioration du savoir-faire en matière de technologies d'information accroît la maîtrise des applications informatiques, elle n'entraîne pas pour autant une amélioration ipso facto de la prise de conscience en matière de protection des données.

Fournisseurs La LPD n'est pas assez bien connue, donc pas suffisamment respectée par les fournisseurs. Les entretiens ont mis en évidence que les PME ne connaissent pas les 84

Züst, 2001, p. 34.

4744

prescriptions et les lois qui doivent être respectées dans le domaine de la protection des données, en particulier lorsqu'ils se lancent dans le commerce électronique en partant d'une activité commerciale traditionnelle. Ainsi, le commerçant qui travaille dans un domaine traditionnel ne tient souvent pas de liste de ses clients. Lorsqu'il offre des biens ou des services sur Internet, il se met automatiquement à saisir les adresses de ses clients. Par ce geste déjà, il est tenu de respecter la LPD.

Le manque de conscience des fournisseurs en matière de protection des données les conduit aussi à recourir à des logiciels ou à des technologies de l'information qui ne répondent pas aux exigences de la protection des données. Lorsque les juristes ou les personnes chargées de la protection des données de l'entreprise ne sont pas intégrés dès le départ aux projets correspondants, il arrive que les responsables du projet développent une solution techniquement performante, mais ne répondant pas aux exigences légales en matière de protection des données.

4.4.3

Proportionnalité des fichiers

Dans son message de 1988 sur la LPD, le Conseil fédéral constate que le traitement de données personnelles peut porter préjudice aux personnes concernées, notamment lorsque la collecte de données ou le traitement de celles-ci sont excessifs et absolument inutiles à la réalisation d'un contrat.85 La protection des données n'a donc pas pour seul objectif préventif d'obliger les personnes visées à traiter les données avec tout le sérieux qui s'impose. Elle vise également à assurer une collecte de données qui soit proportionnelle au but recherché. L'art. 4, al. 3, LPD précise que les données personnelles ne doivent être traitées que dans le but qui est indiqué lors de leur collecte, qui est prévu par une loi ou qui ressort des circonstances. Le libellé «but indiqué lors de leur collecte» laisse cependant une marge d'interprétation importante qui permet de collecter des données dans une mesure très large, ce qui ne correspond pas à la volonté que le Conseil fédéral avait exprimée dans son message.

Les fournisseurs ont naturellement besoin de saisir certaines données pour pouvoir réaliser des affaires. Toutefois, les sites collectent déjà des données sur leurs visiteurs alors que ceux-ci ne sont pas (encore) clients. Ainsi, l'étude de Consumers International86 constate que 67 % des sites demandent au simple visiteur de fournir des informations et des indications.

Un fournisseur peut demander des données qui ne sont pas indispensables au but de la transaction à ses clients, pour autant que ceux-ci soient volontaires de fournir ces informations. Un sondage effectué pour K-Tipp a révélé que, sur son site, la Migros collecte des données inutiles au sujet de ses clients comme leur profession, le nombre d'enfants et d'animaux familiers dans le ménage.87 Un maître de fichier peut aussi utiliser des données pour un autre but que celui pour lequel il les a collectées, dans la mesure où il en a informé les personnes qui les lui ont confiées. Ainsi, certains contrats type contiennent des clauses étrangères à la transaction qui élargissent l'usage des données. Il n'est donc pas toujours évident pour le consommateur de savoir s'il donne ou non son consentement pour une utilisation élargie de ses données. L'un des experts entendus a, en substance, résumé le problème qui se pose en 85 86 87

FF 1988 424 Consumers International, 2001a, p. 22.

Schwager, 2003, p. 5.

4745

disant que la LPD est respectée mais que le traitement des données se développe et que les déclarations des entreprises relatives à la confidentialité des données leur permet la plupart du temps simplement de collecter et de traiter de plus en plus de données.

En outre, la collecte et le traitement de données excessifs sont favorisés du fait que les entreprises peuvent faire ce qu'elles veulent des données qui ne sont pas personnalisées. La LPD prescrit les modalités relatives au traitement des données personnelles (art. 4, al. 3, LPD). Un exploitant de site peut toutefois contourner cette disposition assez facilement en rendant anonymes les profils de la personnalité qu'il constitue. En se servant de cookies88, un fournisseur est en mesure d'identifier immédiatement tout visiteur lorsque celui-ci accède à son site. Certains fournisseurs enregistrent systématiquement un cookie sur le disque dur de chaque visiteur lors de son premier accès.89 Les personnes à qui les données rendues anonymes appartiennent ne peuvent plus décider du sort réservé à ces informations.

Les fournisseurs qui se procurent des données sur les ménages par le truchement des enfants constituent un autre problème lié à la problématique générale de la collecte de données excessive. En effet, les enfants n'ont guère d'inhibitions quant à leur approche d'Internet et ont souvent plus de facilité que les adultes du point de vue de l'utilisation de la technologie. La plupart du temps, il n'ont cependant pas conscience de la sensibilité de leurs données personnelles et de celles concernant leurs parents et le ménage dans lequel ils vivent.

4.4.4

LPD: une loi abstraite et exhaustive

La LPD a été conçue en tant que loi exhaustive, englobant tous les domaines dans lesquels il convient de respecter la protection des données. Cette universalité est à l'origine de la grande abstraction dans la formulation de certaines parties de la LPD et, partant, de l'absence d'indications tangibles. L'un des experts entendus a expliqué que celui qui désire mettre en oeuvre un système quelconque ne trouve pas suffisamment d'indications concrètes dans ces normes de portées générales pour pouvoir les appliquer. Ainsi, selon l'art. 4, al. 1 à 3, LPD «toute collecte de données personnelles ne peut être entreprise que d'une manière licite, leur traitement doit être effectué conformément aux principes de la bonne foi et de la proportionnalité [et] les données personnelles ne doivent être traitées que dans le but qui est indiqué lors de leur collecte, qui est prévu par une loi ou qui ressort des circonstances.» Selon cet expert, il n'y a pas de problème à démontrer que le commerce électronique tombe sous le coup de cette disposition. Il estime en revanche que cet article est rédigé de manière si abstraite et si générale que sa mise en oeuvre concrète ne s'en trouve guère facilitée. Les définitions de notions à l'art. 3 LPD sont en partie formulées de manière tellement générale, qu'elles appellent une interprétation plus concrète.

L'interprétation de cet article et de ces notions est du ressort des tribunaux. À ce jour, il n'y a toutefois eu que peu de décisions en matière de protection des données 88

89

Un «cookie» n'est pas destiné avant tout à permettre l'identification des personnes ou des ordinateurs. Grâce aux informations qu'il permet d'obtenir, il finit cependant par générer des profils de la personnalité. Lorsque l'on combine entre eux tous les éléments d'information ainsi collectés, on finit par avoir une image de plus en plus détaillée du visiteur du site, qui peut aller jusqu'au fameux «client transparent».

Rosenthal, 2000, p. 238.

4746

ce qui explique pourquoi les dispositions et les notions de la LPD demeurent si abstraites et, dans le domaine du commerce électronique notamment, contribuent à l'insécurité des consommateurs et des fournisseurs.

4.4.5

Neutralité technologique vs orientation technologique

Selon le message relatif à la LPD, le traitement des données est des plus divers étant donné le grand nombre de moyens techniques actuels.90 Une loi générale sur la protection des données ne saurait prendre en compte chacune de ces différentes formes et doit plutôt poser les principes généraux permettant d'esquisser une solution pour la plupart des problèmes tout en réservant l'avenir. La LPD ne peut donc pas d'emblée réglementer spécifiquement tous les secteurs. Elle n'établit pas de distinction entre les traitements de données manuels et les traitements automatisés.

Refusant de se fonder sur des notions techniques précises, elle demeure neutre face au développement de la technique.

Certains juristes mettent en cause cette neutralité technologique de la loi. Ainsi, Weber et al. sont favorables à la mise en place d'un concept de protection des données plus axé sur la technologie, ce qui lui donnerait plus d'efficacité.91 Ils sont d'avis que les nouvelles possibilités technologiques permettraient d'atteindre un niveau de protection des données suffisant et, partant, d'établir un concept de protection capable d'empêcher le traitement illicite de données. Outre le PFPD, d'autres juristes ne partagent pas ce point de vue. Ils estiment que la forme actuelle de la LPD, qui est conçue en tant que loi exhaustive, est une bonne solution qui permet également d'englober les nouveaux médias tels qu'Internet.92 Le BFC estime que l'orientation de la loi n'est pas un problème et qu'il faudrait plutôt concrétiser sa mise en oeuvre.93 La discussion sur la dichotomie entre neutralité technologique et orientation technologique porte également sur la question de la prise en compte par la législation des nouvelles possibilités techniques. L'ordre juridique accuse toujours un retard sur la technologie; les règles ne sont adaptées qu'une fois l'ordre social bien établi. Internet et le commerce électronique ne font pas exception.94

4.4.6

Principe d'équivalence

L'art. 6 LPD règle la communication de données à l'étranger par le maître de fichier suisse. En vertu de l'art. 6, al. 1, LPD aucune donnée personnelle ne peut être communiquée à l'étranger si la personnalité des personnes concernées devait s'en trouver gravement menacée, notamment du fait de l'absence d'une protection des données équivalente à celle qui est garantie en Suisse. Il est de la responsabilité du maître de fichier de s'assurer que l'Etat vers lequel il communique des données dispose d'une protection des données équivalente à celle du droit suisse. S'il conclut 90 91 92 93 94

FF 1988 425 ss.

Weber et al., 2001, p. 485.

Rosenthal, 2000, p. 221.

BFC, 2001, p. 14.

Züst, 2001, p. 17.

4747

que le niveau de protection est équivalent dans le pays étranger, il est légal de procéder à la communication de données. Le problème de l'art. 6 LPD réside dans la constatation de l'équivalence du niveau de protection des données d'un pays étranger.95 La comparaison implique un jugement par appréciation qui ne permet pas de garantir la sécurité du droit de manière suffisante. Comme outil et au vu de l'art. 31 LPD, le PFPD a publié une liste des États disposant d'une protection des données équivalente à celle du droit suisse.96 Lorsque des données sont transmises dans un pays dont la protection des données n'est pas équivalente à celle de la Suisse, le propriétaire du fichier doit conclure une convention ou un contrat avec le destinataire des données afin d'assurer la protection de celles-ci.97 Au cours de diverses auditions, il est apparu que cette pratique est souvent appliquée par les entreprises transnationales afin de leur permettre de transférer les données d'un pays à l'autre. Ainsi, dans le domaine du commerce électronique, les données saisies par un consommateur sur un site xy.ch peuvent être transmises au groupe qui exploite également le site xy.com et qui est établi dans un autre pays que la Suisse.

Contrairement à l'UE, la Suisse ne cherche pas à conclure de conventions dites de protection des données qui permettraient de régler le transfert transfrontalier de données avec des pays tiers ne disposant pas d'une législation suffisante en matière de protection des données. Ainsi, il incombe à l'entreprise qui veut transférer des données de conclure un contrat de protection des données avec chaque entreprise implantée dans un pays tiers non-équivalent.98 À l'ère du commerce électronique planétaire, cette situation est inadéquate, cela d'autant plus que la législation des États-Unis, un partenaire commercial important de la Suisse, n'est pas reconnue équivalente à celle de la Suisse.

Depuis le 26 juillet 2000, l'UE reconnaît la LPD en tant que loi équivalente à sa directive et la Suisse mentionne les États membres de l'UE dans sa liste indicative des États dotés d'une loi sur la protection des données assurant un niveau de protection équivalent. La reconnaissance de l'équivalence n'est pas arrêtée une fois pour toutes, elle est périodiquement revue. Actuellement, la législation européenne est plus restrictive que la législation suisse. Il existe donc un risque que l'équivalence ne soit plus reconnue.

4.4.7

Information du consommateur

Le droit d'accès (art. 8 LPD) aux données personnelles est une disposition clé de la protection des données. Toute personne peut demander au maître d'un fichier si des données la concernant sont traitées. Le maître du fichier doit lui communiquer le but, la base juridique du traitement, les catégories de données personnelles traitées, de participants au fichier et de destinataires des données. Les renseignements correspondants sont, en règle générale, fournis gratuitement et par écrit. En vertu de

95 96

97 98

Weber 2002, p. 10 s.

http://www.edsb.ch/f/themen/ausland/liste f.pdf. Les pays mentionnés sont les États membres de l'UE, l'Australie, l'Islande, le Canada, la Lettonie, la Lituanie, la NouvelleZélande, la Pologne, la République Tchèque, la Slovaquie, la Slovénie et la Hongrie.

Guntern, 2002, p. 192.

Weber 2002, p. 11.

4748

l'art. 8 LPD, tout maître de fichier est tenu de fournir les renseignements correspondants lorsqu'il en reçoit la demande expresse.

Les fournisseurs qui donnent spontanément au consommateur une vue d'ensemble sur les données qu'ils traitent à son sujet sont rares: sur 100 sites suisses, 27 donnent à leurs clients la possibilité de consulter directement les données personnelles collectées à leur sujet.99 Pour les 73 autres sites, le client doit prendre l'initiative de demander à pouvoir exercer son droit d'accès.

Une telle demande est souvent un signe de méfiance du consommateur envers le fournisseur: il veut savoir dans quelle mesure une entreprise est honnête et transparente. L'un des fournisseurs entendus a d'ailleurs constaté que, depuis un certain temps, le droit d'accès aux données est de plus en plus souvent exercé. La plupart du temps, les consommateurs exigent de pouvoir exercer leur droit d'accès lorsqu'ils supposent une violation de leur sphère privée. Dans ce cas, le droit d'accès n'a plus d'effet préventif, mais sert à limiter les dommages.

L'exécution du droit d'accès en tant que tel est moins problématique que l'identification même des maîtres de fichiers qui pourraient être appelés à fournir des renseignements.100 Lorsqu'une personne qui recourt aux services du commerce électronique n'est pas au courant du fait que des données sont collectées, il ne lui vient pas à l'idée de chercher à identifier un maître de fichier afin d'exercer son droit d'accès. Pour cette raison, quelques experts interrogés estiment que le droit d'accès aux informations garanti par la LPD est insuffisant.

D'autre part, l'expérience montre que, lorsque la justice intervient, la violation de la sphère privée ne peut plus être empêchée tant il est vrai qu'elle a déjà eu lieu. Dans le domaine du commerce électronique, une obligation d'informer active de la part des fournisseurs permettrait de protéger le consommateur plus efficacement. Toutefois, une obligation d'informer spontanément n'aurait de sens que si la personne concernée a la possibilité de s'opposer efficacement au traitement des données. La LPD ne lui donne pas cette possibilité. En vertu de l'art. 15, al. 1, LPD, le demandeur peut, à titre de mesure destinée à protéger sa personnalité, requérir que les données soient rectifiées ou détruites ou que leur communication à des tiers soit interdite. Il ne peut cependant pas interdire le traitement des données. Sa protection est donc incomplète.

L'un des experts entendus a en outre souligné que le propriétaire d'un fichier peut certes informer la personne qui le demande sur les données qui y sont éventuellement inscrites et, le cas échéant, sur les traitements effectués, mais il n'a souvent que des connaissances lacunaires sur la provenance des données en question.

4.4.8

Obligation de déclarer

Selon l'art. 11, al. 3, LPD, les particuliers qui traitent régulièrement des données sensibles ou des profils de la personnalité ou communiquent des données personnelles à des tiers sont tenus de déclarer leurs fichiers au PFPD si le traitement de ces données n'est soumis à aucune obligation légale et que les personnes concernées n'en ont pas connaissance. Il en va de même pour la transmission de fichiers à 99 100

Andersen, 2001, p. 22.

Weber et al., 2001, p. 482.

4749

l'étranger (art. 6, al. 2, LPD). Le registre des fichiers peut être consulté auprès du PFPD (voir ch. 4.4.13).

Dans la pratique, il est difficile de prouver que quelqu'un qui traite des données tient également un fichier. Par conséquent, la mise en oeuvre de cette disposition pose d'importants problèmes.

4.4.9

Exactitude des données

Pour les fournisseurs actifs dans le commerce électronique, l'art. 5 LPD pose également des problèmes. Selon cette disposition en effet, quiconque traite des données personnelles doit s'assurer de l'exactitude des données. Il doit donc tenir ses fichiers à jour et, de sa propre initiative ou sur demande de la personne concernée, rectifier les données inexactes. Le but de cette disposition est d'éviter que des décisions fondées sur des données fausses ou dépassées puissent constituer une violation de la protection de la personnalité ou des droits fondamentaux de personnes concernées.

Cela étant, dans le domaine du commerce électronique, il serait disproportionné d'exiger un contrôle complet des données. De l'avis de l'un des experts entendus, cet article doit en substance être interprété dans le sens du législateur qui a voulu éviter qu'un propriétaire de fichier ne puisse délibérément falsifier des données.

Cette interprétation est corroborée par l'art. 8 OLPD: «La personne privée qui traite des données personnelles ou qui met à disposition un réseau télématique assure la confidentialité, la disponibilité et l'exactitude des données afin de garantir de manière appropriée la protection des données. Elle protège les systèmes notamment contre les risques de destruction accidentelle ou non autorisée, de perte accidentelle, d'erreurs techniques, de falsification, vol ou utilisation illicite, de modification, copie, accès ou autre traitement non autorisés.» Selon une interprétation restrictive de la loi, les fournisseurs qui ne contrôlent pas toutes les données transgressent la loi. L'art. 5 LPD est donc souvent enfreint depuis l'avènement du commerce électronique. Cela étant, les résultats de la présente étude montrent que cette disposition ne tient pas compte des exigences de la réalité. Pour les fournisseurs qui ne travaillent que sur le marché national, il est possible de vérifier l'exactitude des adresses postales de leurs clients. Lorsque l'adresse indiquée existe, le fournisseur a raisonnablement rempli ses obligations en matière de vérification de l'exactitude des données, mais cela ne veut pas dire que les données en question ont véritablement été saisies par la personne dont l'adresse a été indiquée.

Ce cas de figure illustre bien les problèmes découlant de l'anonymat sur Internet.

4.4.10

Communication de données à des tiers

En vertu de la LPD, personne n'est en droit de communiquer à des tiers des données sensibles ou des profils de la personnalité sans motifs justificatifs (art. 12 LPD). Le consentement de la personne concernée, l'existence d'un intérêt prépondérant privé ou public ou une disposition légale sont des motifs justificatifs (art. 13, al. 1, LPD).

L'art. 14 LPD règle le cas du traitement de données par un tiers. Un tel traitement est possible lorsque le mandant veille à ce que ne soient pas effectués des traitements autres que ceux qu'il est lui-même en droit d'effectuer et qu'aucune obligation légale ou contractuelle de garder le secret ne l'interdit.

4750

Dans un univers d'interconnections par excellence tel que celui d'Internet, la transmission de données personnelles et des profils de la personnalité fait partie du quotidien. Ainsi, lors d'un achat en ligne, les données relatives à la carte de crédit, à l'adresse de facturation et au produit ou service acheté doivent être transmises pour que le paiement puisse être effectué. En outre, de nombreuses entreprises ont délégué certaines parties des transactions commerciales à des tiers qui doivent pouvoir disposer des données nécessaires à l'exécution des tâches qui leur incombent de ce fait. Le traitement et la communication de données doivent faire l'objet d'un soin particulier pour pouvoir assurer la protection des consommateurs. Selon Weber et al., le droit en matière de protection des données doit accorder une attention toute particulière aux aspects de la sécurité des données: il faut veiller soigneusement à ce que des données ne puissent parvenir à des tiers non concernés.101 L'étude du réseau CEC a montré que plus de la moitié des sites demandent au consommateur s'il consent à ce que des données le concernant soient transmises à des tiers,102 même si cette transmission n'a généralement même pas lieu. Selon Andersen, 59 des 100 sites suisses étudiés103 contiennent une déclaration relative à la protection de la personnalité. De ceux-ci, 35 fournissent des informations relatives à la transmission de données à des tiers: douze indiquent transmettre des données à des tiers alors que 23 indiquent n'en point transmettre, à moins qu'il y ait une obligation légale, que les données soient indispensables pour la réalisation de la transaction ou qu'elles aient été rendues anonymes. Toutefois, 41 sites ne donnent aucune indication sur leur politique en matière de protection de la personnalité. Force est donc de constater qu'une partie importante des exploitants de sites estiment qu'il n'est pas important d'informer leurs clients au sujet du traitement des informations qui les concernent.

Comme la figure 4 permet de le constater, sur les douze sites qui indiquent transmettre des données à des tiers, aucun ne demande le consentement préalable de la personne concernée pour le traitement des données («opt-in», en d'autres termes, en s'inscrivant dans une liste, une personne concernée indique expressément qu'elle accepte que des données qui la concernent puissent être transmises à des tiers). Neuf sites ont choisi l'option «opt-out», c'est-à-dire que, en s'inscrivant dans une liste, une personne concernée indique qu'elle s'oppose à toute communication à des tiers de données la concernant. Deux sites demandent l'accord ou donnent le choix à la personne concernée quant à une autre utilisation possible des données.104

101 102 103 104

Weber et al., 2001, p. 467.

Réseau CEC, 2003, p. 28.

Andersen, 2001, p. 21.

Andersen, 2001, S. 21.

4751

Figure 4 Déclaration relative à la protection de la personnalité concernant la communication de données à des tiers (nombre de sites) Aucune indication sur la communication de données (24) Opt-in (0) Communiquent des données (12)

Aucune indication (1) Demandent au concerné (2)

Opt-out (9)

Ne communiquent aucune donnée (23)

Source: Andersen, 2001, p. 21.

Les résultats de cette étude montrent que tous les fournisseurs ne font pas preuve d'un comportement adéquat en matière de communication de données à des tiers.

Plus d'un tiers des sites qui comportent une déclaration relative à la protection de la personnalité n'indiquent rien quant à la transmission de données à des tiers. Le consommateur qui veut en savoir plus doit exercer son droit d'accès. Des 100 sites étudiés, seuls douze indiquent qu'ils transmettent des données à des tiers. De ces douze sites, au moins neuf demandent au client de les autoriser à communiquer des données, cela avant même d'avoir effectivement besoin de cette autorisation. Même si la LPD le permet, cette manière de procéder ne respecte pas la volonté du Conseil fédéral, telle qu'exprimée dans le message de 1988.105

105

FF 1988 424

4752

4.4.11

Aspects techniques et organisationnels de la protection des données

L'art. 7 LPD stipule que les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées. À l'échelle mondiale, on découvre chaque semaine au moins une importante lacune de sécurité dans des logiciels.106 À partir du moment où elle est collectée en ligne et utilisée à partir de bases de données en ligne également, l'information est très vulnérable. L'étude du CPA a montré que les mesures techniques qui permettraient de protéger les informations sont très nombreuses, mais que leur mise en oeuvre n'est souvent pas supportable du point de vue économique, surtout pour les PME.

À la question relative à l'efficacité de l'art. 7 LPD, l'un des experts interrogés a en substance répondu que la difficulté réside dans le fait que les aspects organisationnels sont largement sous-estimés, alors qu'il y a déjà une solution technique pour la plupart des problèmes.

Il est souvent possible de reprocher à un fournisseur de ne pas avoir choisi un chemin sûr pour acheminer les données sensibles vers son site et d'avoir ainsi négligé de les protéger contre un éventuel accès non autorisé. Le cas échéant, il est donc judicieux de crypter les données personnelles de tiers avant de procéder à leur transfert via Internet.107 Les experts entendus par le CPA estiment qu'une intervention dans ce domaine n'est pas prioritaire étant donné que les données sont pratiquement toujours transférées de manière cryptée. En revanche, de l'avis de l'un de ces experts, le stockage des données est bien souvent négligé. Il est d'avis qu'il est indispensable de veiller à la sécurité des données personnelles d'un bout à l'autre et non pas uniquement durant le transfert. Pour sa part, Andersen108 a montré que sur les 100 sites étudiés, seuls 18 indiquent comment les données sont protégées une fois transmises (par exemple en limitant l'accès à certains groupes d'utilisateurs ou en les stockant sur des serveurs offrant une sécurité accrue).

Quoiqu'il en soit, les Suisses pensent qu'Internet est de loin l'organisme qui ne permet pas de conserver les données personnelles en toute sécurité (voir figure 5).

106 107 108

Consumers International, 2001a, p. 13.

Spahr, 2003, p. 139.

Andersen, 2001, p. 22.

4753

Figure 5 Taux net de sécurité ressentie par les consommateurs suisses à l'égard de différents organismes conservant leurs données personnelles (en %)

Médecin/Hôpital Banque Administration Police Autorité locale Poste Entreprise privée Magasin E-Commerce -60

-40

-20

0

20

40

60

Source: CPA, basé sur Conseil pour la protection de la personnalité, 2004, p. 7.

Note: Le taux net de sécurité ressentie représente la différence entre les personnes estimant que les données personnelles sont «tout à fait en sécurité» ou «assez en sécurité» et celles qui les estiment «pas vraiment en sécurité» ou «pas du tout en sécurité».

4.4.12

Faible poids des sanctions

En vertu de l'art. 15 LPD, chacun peut spontanément saisir le juge civil pour protéger sa sphère privée. En cas de non-respect de la sphère privée, les art. 34 et 35 LPD permettent à la personne concernée d'intenter une action pénale contre le propriétaire du fichier, respectivement pour violation des obligations de renseigner, de déclarer et de collaborer ou violation du devoir de discrétion. Quatre experts entendus sont d'avis que le faible poids des sanctions constitue un problème important pour l'exécution de la LPD. Cette loi a d'ailleurs été qualifiée de tigre de papier.

En effet, les plaintes en vertu de l'art. 15 LPD sont rares, car il est relativement difficile de reconnaître et de démontrer qu'il y a risque de violation de la sphère privée. Si les violations de la sphère privée sont fréquentes, elles sont généralement assez limitées. Les personnes lésées ne subissent la plupart du temps pas de dommage pécuniaire, raison pour laquelle elles renoncent à emprunter les voies ouvertes par les art. 34 et 35 LPD. De plus, les experts et les représentants des organisations de protection des consommateurs qui se sont exprimés estiment que les frais potentiels de telles actions sont très élevés et que l'issue de la procédure demeure très incertaine. En Suisse, les organisations de protection des consommateurs renoncent 4754

la plupart du temps à emprunter la voie judiciaire et tentent, en offrant leur médiation, de trouver des solutions plus rapides et moins coûteuses.

De l'avis de plusieurs personnes interrogées par le CPA, le fait que le PFPD doive se limiter à émettre des recommandations et ne puisse pas prononcer des sanctions doit également être considéré comme une lacune. À ce jour, le PFPD n'a pas émis de recommandation portant sur le domaine du commerce électronique en tant que tel et, partant, il n'y a eu aucune décision correspondante de la part de la CFPD.109 Des décisions judiciaires et des décisions de la CFPD permettraient de faire plus de publicité pour la protection des données. Elles pourraient servir de référence et permettre d'obtenir un meilleur écho médiatique. Actuellement, les décisions de la CFPD sont publiées sur le site de la Chancellerie fédérale110, mais leur parution n'est pas annoncée par des communiqués de presse. À peu de frais, il serait possible de leur donner une plus grande publicité.

En Suisse, la jurisprudence au sujet de la protection des données dans le domaine du commerce électronique est encore inexistante. Diverses raisons expliquent cette situation. La première est que la problématique de la protection des données et, par conséquent, de la LPD est relativement récente; le recul est insuffisant. La deuxième est que la Suisse constitue un espace juridique restreint dont la densité de plaintes ou recours est inférieure à celle que l'on connaît notamment en Allemagne ou en France. La troisième est due à des facteurs liés à la nature transnationale d'Internet; il n'est pas toujours clair si les tribunaux suisses peuvent être saisis depuis l'étranger et s'ils sont compétents.111 L'évaluation des réponses données par les personnes entendues a montré que l'absence de jurisprudence a des effets sur l'interprétation concrète des dispositions légales et des notions abstraites. Le législateur a prévu que les dispositions de la LPD seraient interprétées par les tribunaux. Si les tribunaux ne sont jamais appelés à trancher, les dispositions et les notions peu claires ou abstraites ne peuvent pas être clarifiées.

Lors de la formulation de la LPD, le législateur était conscient de la difficulté découlant des divergences d'opinion au sujet de certaines notions. C'est pour cette raison que, à l'art. 3 LPD, il a défini les principales notions que l'on rencontre dans toute la loi (telles que données personnelles, données sensibles, profils de la personnalité, traitement de données ou maître du fichier). Cela étant, ces définitions ont été formulées de manière très large afin de couvrir toutes les éventualités. Elles sont par conséquent également sujettes à interprétation: par exemple, le contenu d'un profil de la personnalité et ce qu'il faut comprendre par traitement des données conforme au principe de la proportionnalité ne ressortent pas avec une clarté suffisante. Ainsi, de l'avis de l'un des experts entendus, il n'y a que peu de fournisseurs qui ont un comportement correct respectant le but, l'affectation aux seules utilisations prévues et la proportionnalité du traitement des données alors même qu'il s'agit des points cruciaux de la législation.

109

Le PFPD a émis deux recommandations portant sur le publipostage abusif (spamming) et les tests en paternité ; aucune de ces recommandations ne concerne cependant le commerce électronique en tant que tel.

110 http://www.vpb.admin.ch/franz/cont/aut/aut_1.2.3.5.html.

111 Züst, 2001, p. 18.

4755

En tout état de cause, en l'absence d'actions en justice, les tribunaux ne peuvent pas émettre de jugements formateurs tant il est vrai qu'il n'y a pas de juge sans plaignant. En Suisse, aucune décision judiciaire ne vient lever l'insécurité juridique qui grève certaines dispositions du droit de la protection des données dans le domaine du commerce électronique.

4.4.13

Rôle du PFPD dans le domaine de l'e-commerce

Comme cela a été mis en évidence au ch. 4.3.1, le PFPD assume diverses tâches relevant du domaine du droit privé qui englobent aussi l'e-commerce.

Aucune des 20 personnes qui constituent l'équipe du PFPD, n'est spécifiquement chargée des questions liées au commerce électronique. L'attribution des sujets se fait cas par cas ou en fonction de leur environnement, la problématique de la vente de médicaments par Internet étant jugée trop différente de celle de la vente de livres ou de musique.

L'efficacité de la protection des données dépend fortement des moyens de contrôle et de la possibilité de faire appliquer les réglementations. À cet égard, Internet constitue un nouveau défi pour les préposés nationaux à la protection des données. Il est quasiment impossible de surveiller les trop nombreuses entreprises qui travaillent sur Internet et, partant, de sanctionner toutes les infractions à la protection des données.112 Le PFPD est bien conscient de ces difficultés. Ainsi, dans un article publié en 1999, il a souligné qu'il est indispensable de compléter la législation par diverses mesures d'accompagnement si l'on veut pouvoir protéger la sphère privée à l'ère des réseaux mondiaux:113 ­

Sensibilisation de la population: Les fournisseurs se doivent d'informer les utilisateurs des caractéristiques du commerce électronique et de ses dangers potentiels. À moyen terme cette sensibilisation devrait intervenir dans le cadre de la formation de base et de la formation continue.

­

Transparence dans le domaine du traitement des données: Dans le commerce électronique, les fournisseurs doivent impérativement renseigner le client, notamment sur les données personnelles traitées et les objectifs poursuivis par ce traitement.

­

Liberté de choix: L'utilisateur doit avoir la possibilité, et cela sans avoir à se justifier, d'interdire l'utilisation de ses données à d'autres fins.

­

Systèmes de sécurité: Des techniques compatibles avec la protection des données doivent être utilisées pour le commerce électronique et mises à la disposition des consommateurs.

La manière de percevoir le PFPD varie beaucoup d'une personne entendue à l'autre.

Il y a, d'une part, ceux qui apprécient beaucoup son travail et suivent ses conseils.

Les entreprises soucieuses de leur réputation tiennent compte de ses recommandations et publications. L'une des personnes interrogées constate que l'existence même

112 113

Minsch et Moser, 2001, p. 217.

http://www.edsb.ch/d/doku/fachpresse/elektronischen-geschaeftsverkehr-f.pdf.

4756

de l'institution du PFPD améliore déjà la prise de conscience pour la protection des données.

D'autre part, des voix critiques s'élèvent également. Deux des experts entendus estiment notamment que la position du PFPD n'est guère solide. Seule une petite partie des entreprises tiennent compte de ses guides et recommandations dans leurs politique en matière de protection des données. Ainsi, la mesure d'accompagnement «transparence dans le domaine du traitement des données» est ignorée par plus d'un tiers des entreprises étudiées par Andersen.114 Le PFPD ne dispose d'aucun moyen pour réagir là-contre. Selon ces deux experts, le PFPD devrait avoir la compétence d'intervenir plus radicalement et plus rapidement.

Au vu de la quantité de matière à examiner et à publier, trois experts estiment que le PFPD est surchargé. Selon eux, ses actions ne sont guère suivies d'effets. Certaines personnes interrogées constatent que le PFPD doit adopter des positions extrêmes s'il veut ne serait-ce qu'atteindre une partie de ses objectifs. Elles sont particulièrement critiques sur ce point car elles estiment que, ce faisant, le PFPD est condamné à attirer l'attention sur lui et qu'il n'aborde certains sujets dans les médias que dans le but de faire du battage.

De manière ponctuelle et au moyen de la publication de guides, le PFPD assume la part de ses tâches qui consiste à conseiller les particuliers (art. 28 LPD). Son site propose des indications permettant à l'utilisateur d'Internet d'identifier les dangers potentiels et de prendre les mesures préventives qui s'imposent.115 Il publie également des articles à ce sujet dans des revues spécialisées. En février 2000, il a publié le document intitulé «Protection des données et e-commerce: Aide à la mise en pratique et propositions présentées par le préposé fédéral à la protection des données».116 Le but principal de ce document est de renforcer la confiance des utilisateurs dans le commerce électronique en présentant une série de propositions de concrétisation et de mise en oeuvre de la LPD pour permettre aux entreprises d'appliquer une politique de traitement des données bénéfique au client, transparente et conforme à la législation. Le PFPD a également publié différents guides117 qui s'adressent aux entreprises et aux consommateurs et qui présentent les points principaux de la protection des données. Depuis 1998, le PFPD donne régulièrement son avis dans ses rapports d'activités118, dans lesquels il aborde les questions et problèmes liés à Internet et au commerce électronique.119 Conformément à l'art. 11 LPD, la consultation du registre des données est assurée.

Le citoyen qui a une question ou un problème peut s'adresser au PFPD, par téléphone, par écrit ou par voie électronique. Cela étant, l'activité d'information du PFPD ne devrait pas se limiter à informer les personnes concernées sur leurs droits, elle devrait également servir à attirer l'attention sur le genre de données qui tombent sous le coup de la LPD. Jusqu'ici, ce point a été négligé.

Quelques personnes entendues ont regretté que le PFPD n'ait aucune compétence lui permettant de prononcer des sanctions et qu'il soit limité à émettre des recommandations. Cela étant, le domaine du commerce électronique en tant que tel n'ayant 114 115 116 117 118 119

Andersen, 2001, p. 21.

http://www.edsb.ch/f/themen/sicherheit/tipps/index.htm.

http://www.edsb.ch/f/themen/e-commerce/ecom_f.pdf.

http://www.edsb.ch/f/doku/leitfaeden/index.htm.

http://www.edsb.ch/f/doku/jahresberichte/index.htm.

Notamment PFPD, 2000/01 (voir ch. 3.1) ou PFPD 2001/02 (voir ch. 2.1.1).

4757

donné lieu à aucune recommandation, le CPA n'est pas en mesure d'en évaluer les effets. En vertu de l'art. 29, al. 3, LPD, le PFPD peut établir des faits et émettre des recommandations, non seulement à la demande de tiers, mais également d'office.

Jusqu'ici, le PFPD a fait preuve de retenue en ce qui concerne les recommandations, ce qui ne contribue pas au renforcement de la protection des données dans le commerce électronique.

Les limites de l'action du PFPD résident dans l'impossibilité de surveiller le commerce électronique dans sa totalité. Ainsi, en ce qui concerne les art. 6 et 11 LPD, il ne peut tenir un registre que des fichiers qui lui sont annoncés. Pour vérifier si les fournisseurs qui travaillent sur Internet respectent leurs obligations, le PFPD ne peut procéder que par sondage.

4.4.14

Conventions et directives internationales

Vu le flux d'informations transfrontalier, la coopération internationale est nécessaire pour assurer un niveau élevé de protection des données tout en garantissant leur libre circulation. L'exportation de données suisses à l'étranger par un maître de fichier est un sujet qui a gagné en importance avec l'avènement du commerce électronique. Le Conseil de l'Europe et l'OCDE sont d'avis que la meilleure manière de régler le problème de l'échange transnational des données réside dans l'harmonisation poussée des législations nationales en la matière.120 ­

Le Conseil de l'Europe a adopté la Convention STE n° 108 sur la protection des personnes à l'égard du traitement automatisé des données à caractère personnel. Cette convention a pour objet de renforcer, dans les secteurs privé et public, la protection juridique des individus vis-à-vis du traitement automatisé des données à caractère personnel. Elle tend à assurer, dans tous les États parties, un minimum de protection de la personnalité lors du traitement de données personnelles et une certaine harmonisation du système de protection; d'autre part, elle garantit la circulation internationale des données, en ce sens qu'aucun État partie ne peut interdire le transfert d'informations vers un autre État partie qui accorde la même protection minimale.121 En tant qu'état membre du Conseil de l'Europe, la Suisse est tenue de reprendre la Convention STE no 108 dans son droit national. La révision partielle de la LPD, rejetée par le Conseil national, portait également sur la ratification de cette convention. Ce rejet repousse la reprise de la convention dans la législation nationale.

­

Les lignes directrices de l'OCDE régissant la protection de la vie privée et les flux transfrontaliers de données de caractère personnel de 1980122 exigent des États parties qu'ils prennent, à moins d'exceptions particulières, les mesures adéquates afin que ces flux puissent circuler sans encombre.

La Suisse respecte formellement les directives de l'OCDE. Elles sont rédigées de manière très générale et laissent une grande marge de manoeuvre pour la conception des législations nationales.

120 121 122

Weber et al., 2001, p. 479.

FF 2003 1926 www.oecd.org/document/57/0,2340,fr_2649_34255_1815225_1_1_1_1,00.html.

4758

5

Commerce électronique transfrontalier

L'étude du CPA ne saurait être complète sans aborder les problèmes des consommateurs suisses face aux entreprises étrangères dans le cadre du commerce électronique transfrontalier. Le droit international privé s'applique dans les cas où les acteurs sont domiciliés dans des pays différents, ce qui est fréquemment le cas sur Internet. Les questions principales concernent la détermination du tribunal compétent, le choix du droit applicable et l'exécution de la décision judiciaire.

Les études statistiques montrent que les achats transfrontaliers posent plus souvent des problèmes: selon le réseau CEC, 34 % des commandes transfrontalières n'ont pas été honorées.

5.1

Aspects contractuels

Pour la Suisse, ce sont la Convention de Lugano (RS 0.275.11) et la loi fédérale sur le droit international privé (LDIP; RS 291) qui sont applicables aux aspects internationaux du commerce électronique. La Convention de Lugano règle la compétence judiciaire et l'exécution des jugements entre les pays européens signataires, alors que la LDIP s'applique dans les relations avec d'autres pays, dont les États-Unis. La LDIP détermine le droit applicable aux obligations contractuelles issues d'une transaction de commerce électronique.

Ces bases légales distinguent entre un consommateur «actif», qui prend lui-même l'initiative de la conclusion du contrat, et un consommateur «passif», qui a fait l'objet d'une sollicitation dans son pays.123 Le tableau 4 résume les options données au consommateur suisse «actif» ou «passif», demandeur ou défendeur, en ce qui concerne le tribunal compétent et le droit applicable, selon les normes de la Convention de Lugano et de la LDIP.

Ainsi, un consommateur «actif» peut convenir avec le fournisseur d'une clause attributive de compétence (art. 17 Convention de Lugano, art. 114 LDIP). Dans la pratique, dans ses conditions générales, le fournisseur impose au consommateur une clause attribuant la compétence du tribunal de son pays.124 Quant au consommateur «passif» soumis à la Convention de Lugano, il a le choix entre les tribunaux de son pays ou ceux de son fournisseur, s'il est demandeur, alors que seuls les tribunaux de son pays sont compétents s'il est défendeur. Un consommateur «passif» ne peut valablement convenir d'une clause attributive de compétence judiciaire (art. 15, let. a, Convention de Lugano).

123

Ainsi un consommateur suisse en voyage dans un pays étranger et qui commande un produit sur Internet n'aura pas accès à un Tribunal suisse. Langer, 2003, p. 453.

124 Spahr, 2002, p. 72.

4759

Tableau 4 Tribunaux compétents et droit applicable pour un consommateur suisse selon la Convention de Lugano et la LDIP

Base légale

Consommateur

Lugano 0.275.11

Actif Passif

LDIP 291

Actif Passif

Tribunal compétent

Droit applicable

Suisse

Suisse

Étranger

Demandeur Défendeur Demandeur Art. 14 Défendeur Art. 14

Art. 17 Art. 17 Art. 14

Demandeur Défendeur Demandeur Art. 114 Défendeur Art. 112

Art. 114 Art. 114 Art. 114 Art. 113

Étranger

Art. 117 Art. 117 Art. 120 Art. 120

Source: CPA, basé sur Stauder, 2002b.

L'art. 120 LDIP prévoit, de manière impérative, que le droit applicable à un contrat conclu par un fournisseur avec un consommateur «passif» est le droit de son domicile. Le consommateur est donc mis au bénéfice de l'application de son propre droit matériel. Des clauses d'élection de droit sont nulles. S'agissant du consommateur «actif», les règles générales sont applicables (art. 117 LDIP). Dans la pratique, les clauses d'élection de droit du fournisseur prévoient l'application du droit de ce fournisseur.

La Convention de Lugano et la LDIP ont été adoptées à une époque où le commerce électronique n'était pas encore développé. Dès lors, selon la littérature, quelques problèmes se posent pour l'application de ces deux textes légaux. Tout d'abord, des difficultés surgissent pour établir l'identité et surtout le domicile des acteurs. Sur Internet, il est facile pour un fournisseur de changer son domicile ou de livrer de la marchandise depuis un autre pays que celui correspondant à son siège social.

Comme déjà mentionné au ch. 3.3, le droit suisse n'exige pas de un fournisseur qu'il indique sa véritable identité et son adresse réelle.

Ensuite, la distinction entre consommateur actif et passif pose problème dans le cadre du commerce électronique. En effet, pour qu'un consommateur soit qualifié de passif, il faut que la conclusion du contrat ait été précédée, dans l'état de domicile du consommateur, d'une publicité spécialement ciblée, et que le consommateur ait accompli dans son pays les actes nécessaires à la conclusion du contrat125 (art. 13 Convention de Lugano, art. 114, al. 1, LDIP). Mais un fournisseur utilise généralement son site simultanément comme outil publicitaire et comme site de conclusion du contrat. Ses activités ne sont pas spécialement dirigées vers le pays du consom-

125

Stauder, 2002b, p. 683.

4760

mateur, mais vers le monde entier.126 D'autre part, le consommateur qui surfe sur Internet pourrait en fait rechercher des offres qui lui plaisent, comme s'il se rendait physiquement à l'étranger pour faire des achats. De plus, la configuration du site Internet pourrait également influer sur la qualification du consommateur. En l'absence de jurisprudence, la doctrine suisse qualifie le consommateur sur Internet de passif.127 Dès lors, pour ce qui est du droit applicable, selon l'art. 120 LDIP, le consommateur suisse passif est assujetti exclusivement aux règles du droit suisse. Or, le droit suisse n'est pas le plus protecteur pour les consommateurs.128 L'UE reconnaît des droits plus étendus, comme le droit de révocation, des droits d'information plus larges, le droit de réparation de la chose et des délais de garantie allongés. Ceci peut aboutir à la situation paradoxale suivante: le consommateur suisse aurait intérêt à renoncer aux dispositions censées le protéger en espérant que le juge applique le droit applicable au fournisseur étranger.129 Le dernier point concerne l'exécution des jugements. Selon la littérature, les jugements sont reconnus et exécutés entre les différents pays européens signataires, l'art. 26 Convention de Lugano étant d'un grand secours puisque les autorités européennes appliquent la décision suisse comme s'il s'agissait d'une décision européenne. Pareille application s'avère beaucoup plus difficile avec les Etats-Unis ou avec les pays asiatiques.130 Parmi les personnes entendues par le CPA, la grande majorité a souligné la complexité des normes existantes et a confirmé l'existence de plusieurs problèmes déjà mentionnés. Certaines illustrations peuvent être apportées. L'art. 120, al. 2, LDIP qui empêche le consommateur suisse de profiter du droit européen plus protecteur est qualifié de «clause perverse». Il part de l'idée que le droit suisse est meilleur.

Mais un consommateur étranger se fournissant sur un site suisse est mieux protégé qu'un consommateur suisse ayant procédé à la même transaction.

Un site Internet suisse a limité ses offres aux clients habitant dans les pays de l'UE.

Cette limitation est due au fait que l'entreprise aurait dû tenir compte de beaucoup trop de législations nationales différentes. Ainsi, le site est techniquement conçu pour empêcher les habitants extra-européens de commander un produit. Quant aux autres fournisseurs, ils doivent déjà aujourd'hui tenir compte de la législation et de la jurisprudence applicables dans les pays cibles.

Les consommateurs font également face à un déficit d'information, l'étude de Consumers International montrant que seul un quart des sites sur lesquels des achats transfrontaliers ont été effectués mentionnaient le droit applicable à cet achat en cas de litige. Lorsqu'il y a une indication, le choix du lieu et des procédures est en général en faveur du fournisseur.131 Dans quelques cas, il est indiqué que le choix

126

127 128 129 130 131

Le fournisseur a toutefois la possibilité d'instaurer des limitations géographiques. Le règlement de Bruxelles, qui s'applique à l'intérieur du marché européen, protège le consommateur si le fournisseur «par tout moyen» dirige ses activités vers l'Etat membre où le consommateur a son domicile ou vers plusieurs Etats dont l'Etat membre du domicile du consommateur (art. 15 Règlement de Bruxelles).

Stauder, 2002b, p. 684.

Knoepfler, 2002, p. 154.

Langer, 2003, p. 507.

Stauder, 2002a, p. 132 et Knoepfler, 2002, p. 155.

Jeanneret, 2001, pp. 12-15.

4761

prévu dans le contrat est valable pour autant que d'autres textes légaux «locaux» le permettent.

En ce qui concerne les litiges internationaux liés à la concurrence déloyale, la Suisse est membre depuis 1991 du Réseau international de contrôle et de protection des consommateurs (RICPC), qui compte 31 pays membres. Cette coopération a pour but de lutter contre les pratiques commerciales et publicitaires déloyales au niveau transfrontalier. Les principales actions du RICPC sont les Journées internationales de balayage sur Internet, la mise à disposition du site www.econsumer.gov qui enregistre les plaintes des consommateurs relatives au commerce électronique transfrontalier et la transmission de ces plaintes aux états concernés. Pour la Suisse, cela signifie concrètement que le seco contribue à protéger la réputation du pays par le fait qu'il a le droit d'intenter une action pour protéger un consommateur étranger en vertu de l'art. 10, al. 2, let. c, LCD. Ces dispositions ne s'appliquent pas au consommateur suisse pour des litiges en Suisse.

Comme le montre le tableau 5, près de 200 plaintes ont été déposées contre des entreprises suisses par des consommateurs étrangers entre avril 2001 et juin 2003, ce qui établit une surreprésentation proportionnelle de la Suisse dans le nombre de plaintes déposées. Le seco s'engage ensuite à régler le différend, tout d'abord en prenant contact directement avec l'entreprise concernée. Toutefois, les mesures vont jusqu'à l'adoption de sanctions par les tribunaux suisses. Ces plaintes portent entre autres sur des questions comme l'absence de livraison de marchandise prépayée, la vente de produits pseudo-médicaux et l'envoi d'offres présentées comme des factures.

Tableau 5 Plaintes déposées sur le site econsumer.gov contre des entreprises ayant leur siège dans les pays indiqués

États-Unis Grande-Bretagne Canada Espagne Pays-Bas Australie Allemagne Suisse Belgique Suède

avril 2001­janvier 2003

janvier 2003­juin 2003

935 276 202

577 145 94 83 39 35 31 30

92 167 9 16

Source: Sutter, 2003, p. 45 et www.econsumer.gov.

4762

5.2

Protection des données

En ce qui concerne la protection des données au niveau transnational, c'est-à-dire entre un consommateur suisse et un offrant étranger, des règles spécifiques sont aussi mentionnées dans la LDIP. Les art. 129 et 130, al. 3, LDIP sur le tribunal compétent laissent le choix entre le tribunal suisse, le tribunal du consommateur ou le tribunal du lieu où le fichier est géré ou utilisé.

Quant au droit applicable, il est défini à l'art. 139, al. 3, LDIP, qui règle les atteintes de la personnalité résultant du traitement de données personnelles et les entraves mises à l'exercice du droit d'accès aux données personnelles. Le consommateur a la liberté de choix: il peut se reposer sur le droit de son pays de résidence, sur le droit du pays dans lequel l'auteur de l'atteinte a son établissement ou sur le droit du pays dans lequel le résultat de l'atteinte se produit. Le consommateur suisse a dans plusieurs cas intérêt à faire valoir le droit européen, qui le protège mieux, notamment en matière de transmission des données à des tiers.

Les experts interrogés par le CPA n'ont pas eu connaissance de litiges internationaux sur la protection des données dans l'e-commerce concernant des consommateurs suisses.

6

Autorégulation dans l'e-commerce

Dans le chapitre final de ce rapport, le CPA apporte des réponses à la dernière question de recherche, qui concerne l'autorégulation dans les domaines des aspects contractuels et de la protection des données. Les entreprises suisses peuvent d'ellesmêmes prendre des engagements supplémentaires pour accroître la confiance des consommateurs dans la protection de leurs données ou pour leur proposer de meilleures conditions contractuelles, ce qui devrait leur permettre de gagner un avantage concurrentiel. Dans ce chapitre, les mesures d'autorégulation sont comprises comme allant plus loin, puisqu'elles concernent non seulement la création et le respect de règles, mais également le contrôle de leur mise en application.

Quel est l'effet des formes d'autorégulation appliquées dans le domaine du commerce électronique?

Les formes d'autorégulation dans le domaine du commerce électronique reposent principalement sur les labels et les mécanismes de règlements alternatifs des différends.

En Suisse, il existe trois labels spécialement développés sur Internet: E-comtrust132, Qweb133 et Webtrader134. Les entreprises qui s'inscrivent pour un label s'engagent à respecter un cahier des charges135, dont la mise en oeuvre sera contrôlée par des entreprises externes, sous forme d'audits par exemple. Ces labels n'ont pas réussi à convaincre les entreprises suisses, puisque, par exemple, seulement quatre sites affichent le label Webtrader.

132

Label d'economiesuisse, du Konsumentenforum, de Swiss ICT et de l'Association Suisse de Normalisation: http://www.e-comtrust.com/ . Voir aussi Fässler, 2001, p.116 ss.

133 Label de SQS. http://www.sqs.ch/fr/449_1.pdf.

134 Label de la FRC. http://web-trader.ch/.

135 Pour une analyse du contenu de plusieurs labels, voir Hertz-Pompe, 2003, pp. 57 ss.

4763

Selon l'étude d'Andersen, seuls 3 % des sites suisses affichent un label lié à la protection des données. L'étude du réseau CEC rapporte que 13 % des sites examinés utilisent un label; or ce résultat est biaisé à la hausse parce que le choix des sites investigués était aussi basé sur des indications données par les entreprises qui développent ces labels. Le sondage du National Consumer Council montre que les consommateurs ignorent l'existence de labels dans le domaine du commerce électronique, ce qui est confirmé par Eurobarometer, qui révèle que 10 % des consommateurs européens connaissent un tel label.136 En très grande majorité, les acteurs entendus par le CPA ont déclaré que les labels sur Internet sont trop nombreux137, ne sont pas connus des consommateurs, ont un contenu insuffisant, manquent d'internationalité et, par conséquent, n'apportent guère de plus-value pour le consommateur. Certains mettent aussi en avant le traditionnel conflit d'intérêt des agences de certification qui édictent des labels et veulent pouvoir les vendre année après année et encaisser des revenus. D'autres doutent de la crédibilité des labels, surtout parce que leur système de sanction n'a aucune efficacité. Dès lors, la plupart des fournisseurs Internet se fient plutôt au bouche-àoreille, à l'expérience acquise des consommateurs ou à la crédibilité émanant de leur point de vente fixe pour gagner la confiance des consommateurs.

Certains experts ont toutefois relevé quelques avantages des labels, comme le contrôle des procédures internes dans les entreprises et la prise en compte des problématiques liées à la protection des données, par exemple. Un site utilise même le label comme lien direct avec les associations de protection des consommateurs, mais il note qu'il n'a jamais reçu aucune remarque de clients à propos du label affiché.

Les procédures alternatives de règlement des différends comprennent les services de médiation, les tribunaux d'arbitrage virtuel et les sites de certification. Selon la littérature, le règlement en ligne des disputes est plus rapide, moins coûteux et probablement plus efficace pour les deux parties que ne le sont les procédures judiciaires. Les désavantages sont que l'indépendance n'est pas garantie, pas plus que l'expérience et le professionnalisme, et encore moins l'application de la décision.138 Des garanties minimales doivent aussi être édictées dans ce domaine pour gagner la confiance des consommateurs139, surtout sachant que 11 des 24 associations proposant des procédures alternatives de règlements recensées en 2000 par la CNUCED avaient déjà fait faillite trois ans plus tard.140 Ainsi, les consommateurs européens peuvent s'appuyer sur l'art. 17 de la directive sur le commerce électronique (2000/31/CEE) qui encourage le recours aux mécanismes de règlement extrajudiciaire en cas de différends. La Commission européenne a en outre adopté une recommandation (98/257/CE) concernant les principes (indépendance, transparence, efficacité, respect du droit) applicables aux organes responsables pour la résolution extrajudiciaire des litiges de consommation. Au niveau européen, il existe un réseau extrajudiciaire141, en complément aux mécanismes de règlements nationaux. En outre, un formulaire européen de réclamation du consommateur a été développé.

136 137 138 139 140 141

Eurobarometer, 2004, p. 20.

Il y aurait plus de 600 labels à travers le monde. Hertz-Pompe, 2003, p. 15.

Walther, 2002, p. 202.

Walther, 2002, p. 209. Aussi: BFC, 2000, p. 10.

CNUCED, 2003, p.181.

www.eejnet.org.

4764

En Suisse, les organes extrajudiciaires pour la résolution des litiges de consommation sont très sectoriels142, ont une fonction principalement consultative et ne prennent pas de décisions contraignantes pour les acteurs. Les associations de protection des consommateurs peuvent intervenir en faveur des consommateurs (arbitrage et médiation), mais la FRC estime à moins de 1 % les appels reçus par sa permanance concernant l'e-commerce et n'a ouvert aucun dossier dans ce domaine.

Dans le secteur de la publicité, un consommateur a le droit de dénoncer devant l'organe d'autocontrôle, la Commission pour la loyauté, une publicité qu'il estime déloyale. La procédure de recours devant la commission est gratuite, mais elle n'a pas les pouvoirs d'un tribunal.143 Selon les experts entendus, les sites sérieux respectent les décisions de la commission parce que leur réputation est cruciale pour la marche de leurs affaires, mais beaucoup d'autres sites ne se laissent pas impressionner par ces règles. Elle n'a d'ailleurs connu que très peu de cas liés à la publicité sur Internet. Certes, les plaintes déposées auprès de la Commission suisse pour la loyauté144 concernant le média Internet augmentent régulièrement pour représenter 13 % en 2002, mais ces plaintes concernent quasi exclusivement des litiges sur les droits d'auteur et le droit du nom.

Les procédures alternatives de règlement des différends sont saluées par les personnes interrogées par le CPA pour autant qu'elles permettent de trouver des solutions plus rapides et moins coûteuses pour les acteurs. Or, les procédures actuelles ne sont en général pas munies de garanties adéquates et, surtout, n'imposent que rarement des sanctions. L'autorégulation demeure attractive pour les entreprises qui craignent de perdre la confiance des consommateurs. Mais, les moutons noirs d'Internet vont profiter des lacunes de la législation et du manque de sérieux des systèmes d'autorégulation pour abuser des consommateurs.145 En conclusion, les labels et les mécanismes sont à considérer comme complémentaires aux procédures judiciaires, non pas comme une alternative. Ce d'autant que, d'une part, selon l'art. 21, al. 1, let. a, de la loi fédérale sur les fors en matière civile (RS 272), le consommateur ne peut renoncer à l'avance à un tribunal, et, d'autre part, le recours aux tribunaux étatiques ne peut être exclu par des clauses contractuelles.

7

Conclusion

Le commerce électronique offre de grandes possibilités tant pour le consommateur que pour le fournisseur. Le consommateur a accès à des biens et des services plus nombreux, peut comparer des informations et profite d'une procédure d'achat simple et rapide. Le fournisseur utilise des outils de marketing efficaces et peu coûteux; de plus, l'utilisation d'Internet peut lui permettre de réduire ses coûts, d'accroître ses revenus et d'augmenter sa productivité. En résumé, les deux principaux partenaires ont un intérêt mutuel à ce que le commerce électronique se développe.

142

Pour une liste des organes compétents, voir Commission fédérale de la consommation, 2001, p.3.

143 Brunner, 2002, p.185.

144 www.lauterkeit.ch.

145 Rosenthal, 2000, p. 244.

4765

L'expansion du commerce électronique dépend des infrastructures techniques à disposition de la population, de l'environnement légal, de la culture managériale des entreprises et du comportement des consommateurs. La Suisse dispose d'une très bonne infrastructure de nouvelles technologies; elle compte le nombre le plus élevé d'ordinateurs par habitant. L'environnement légal se base sur les normes générales comme le CO, la LCD, la LIC, l'OIP et la LPD. Le consommateur suisse semble cependant manquer de confiance, particulièrement dans les domaines liés aux aspects contractuels et à la protection des données.

Aspects contractuels Quelles sont les principales lacunes et contradictions dans les aspects contractuels liés à la protection des consommateurs dans le domaine du commerce électronique, par rapport aux autres formes contractuelles et par rapport aux spécificités du commerce électronique?

En Suisse, il n'existe pas de loi spécifique sur le commerce électronique. Selon la majorité de la doctrine et des experts interrogés, la législation suisse permet aux acteurs économiques de se servir de ce nouveau moyen de communication. Mais, les particularités du commerce électronique posent plusieurs problèmes. En particulier, la législation actuelle ne permet guère au consommateur d'acheter via Internet en toute confiance.

Actuellement, la législation n'oblige pas le fournisseur à mettre à disposition l'information nécessaire au consommateur. Sur Internet, l'identité réelle du fournisseur est plus difficile à appréhender que dans les autres rapports contractuels, parce qu'il n'y a pas de contact direct entre les parties. Certains fournisseurs peuvent prendre avantage du fait que la législation suisse ne prévoit pas d'obligations en ce qui concerne l'information pré-contractuelle: nom légal de l'entreprise, adresse géographique principale, possibilités de contacter le fournisseur. La responsabilité est laissée au consommateur qui doit seul s'assurer que les données sur le site où il veut procéder à un achat sont correctes. Des dispositions légales dans ce domaine jouent un rôle préventif et améliorent la confiance des consommateurs.

Le droit de révocation fait également défaut. Sur Internet, le consommateur peut prendre une décision soudaine, par exemple parce que le site Internet n'indique pas clairement les étapes à suivre pour passer une commande, en particulier quel clic l'enregistre; en outre, il ne peut se rendre compte de la qualité du produit commandé que lorsqu'il le reçoit. Le consommateur peut essayer d'annuler sa commande en faisant parvenir au fournisseur sa nouvelle opinion dans des brefs délais, mais les possibilités de contacter le fournisseur ne figurent pas obligatoirement sur son site.

De plus, faute d'un droit de révocation, le fournisseur n'est pas tenu d'annuler la commande.

D'autres lacunes ont été mises en évidence comme le fait que la liste des services soumis à l'OIP n'est qu'énumérative, les nouveaux services qui se développent rapidement sur Internet n'y figurent pas automatiquement et ne sont donc pas soumis aux exigences légales en matière d'indication des prix. Le délai de livraison n'est pas réglementé, ce qui, plus que dans le commerce traditionnel ou à distance, peut poser problème au consommateur. Ne voyant pas arriver sa commande effectuée par Internet, le client peut se demander si le contrat a été dûment enregistré ou si le fournisseur est en rupture de stock, dans quel cas il serait tenté de réitérer sa commande. Enfin, le droit suisse ne garantit pas au consommateur qu'il pourra 4766

disposer de droits en cas de livraison d'un bien non conforme ou défectueux. Les clauses d'exonération de responsabilité que le fournisseur peut imposer au consommateur sont tolérées par la loi.

Comment sont mis en oeuvre les droits et devoirs d'information dont le consommateur doit disposer pour réaliser son choix sur Internet?

Certains droits et devoirs d'information figurent dans la LIC, la LCD ou l'OIP. Par exemple, la LIC exige que soient indiquées les caractéristiques essentielles des produits, mais elle ne trouve aucun écho pratique, parce que la définition de ces caractéristiques essentielles est laissée aux organisations socio-économiques. Ces dernières n'ont adopté que de très rares conventions de droit privé et le Conseil fédéral ne pallie pas ce manque de règles. À cause du manque d'obligation d'indiquer les caractéristiques des biens et services, le consommateur n'a donc pas d'assurance que le produit commandé aura bien les qualités requises.

En ce qui concerne l'indication des prix sur les sites Internet, les exigences de l'OIP sont assez flexibles, dans le sens qu'il suffit que le prix soit affiché à l'écran; il n'est pas indispensable qu'il soit inscrit sur le produit lors de la livraison. Par contre, dans l'industrie touristique, les prix sont en général affichés dans la monnaie du pays de prestation, ce qui peut induire en erreur le consommateur suisse, qui doit normalement recevoir une offre en francs suisses. De plus, certains sites qui tentent de fidéliser leurs clients proposent, précisément à ces clients et non pas à tous les consommateurs, des offres spéciales, ce qui n'est pas conforme à la définition du prix effectivement à payer telle qu'inscrite dans l'OIP.

Un autre exemple concerne les conditions générales, qui ne sont d'ailleurs pas toujours accessibles sur un site, malgré les conditions définies par le Tribunal fédéral. Au vu de l'internationalisation d'Internet, proposer les conditions générales dans la langue du consommateur est souvent une nécessité que beaucoup de sites ne respectent pas. Enfin, les juges ne contrôlent pas le caractère loyal des clauses des conditions générales, ni lors d'un litige entre un fournisseur et un consommateur, ni à la suite d'une action d'une organisation de consommateur. L'art. 8 LCD est resté lettre morte.

Le mécanisme de
sanctions protège-t-il adéquatement le consommateur?

Le droit de la consommation est basé sur des règles de droit privé. En cas de problèmes, les consommateurs, ou les fournisseurs, doivent intenter des actions devant les tribunaux civils. L'administration n'a pas de fonction de contrôle ou de surveillance.

Cependant, les coûts en temps et en argent d'une procédure judiciaire sont trop importants pour que le rapport coût/bénéfice soit positif. De plus, un consommateur ferait preuve de beaucoup d'altruisme s'il déposait une plainte, à titre préventif, à propos du non-respect de certaines dispositions légales, sans avoir eu à en supporter des conséquences financières.

En Suisse, jusqu'ici, aucune jurisprudence n'a été rendue dans le domaine du commerce électronique. Cette absence de clarification juridique est souvent qualifiée de préoccupante. Certains acteurs suivent dès lors la jurisprudence des pays voisins.

D'autres acteurs pensent que la publicité conséquente à des actions en justice pourrait renforcer la confiance des consommateurs, d'une part quant à l'application des

4767

normes contractuelles aux particularités du commerce électronique, et, d'autre part, sur le fait qu'intenter une action peut aboutir à des résultats concrets.

Protection des données La loi fédérale sur la protection des données comporte-t-elle des lacunes ou des défauts du point de vue de la protection du consommateur dans le commerce électronique?

La LPD est une loi abstraite et neutre du point de vue de la technologie qui s'applique à tous les domaines dans lesquels des données particulièrement dignes de protection sont traitées. Elle ne comporte pas de dispositions spécifiques à Internet.

Les dispositions légales demandent à être précisées par la jurisprudence des tribunaux. La présente étude a constaté une lacune dans ce domaine. S'il n'y a pas de plainte, il ne peut y avoir de décision judiciaire et l'insécurité juridique demeure.

La LPD ne peut empêcher que des données soient collectées et traitées à grande échelle sans réduire l'intérêt pour le commerce électronique et limiter les activités des fournisseurs de manière importante. Certaines dispositions de la LPD comportent une importante marge d'interprétation, laissant la porte ouverte à un traitement de données excessif. Ainsi un maître de fichier peut utiliser des données pour un autre but que celui pour lequel il les a collectées, dans la mesure où il en a informé les personnes qui les lui ont confiées. Cela étant, dans son message de 1988, le Conseil fédéral s'est clairement prononcé en faveur d'une collecte de données proportionnelle au but recherché et restreinte aux seules données indispensables.

La protection offerte au consommateur est incomplète puisqu'il peut, à titre de mesure destinée à protéger sa personnalité, demander que les données soient rectifiées ou détruites ou que leur communication à des tiers soit interdite, mais ne peut s'opposer au traitement des données.

L'étude d'Andersen montre que 41 des 100 sites suisses analysés ne donnent aucune indication sur leur politique en matière de protection de la personnalité. Certes, d'un point de vue légal, les exploitants des sites ne sont pas tenus d'informer les consommateurs, mais ce manque ne contribue pas à mettre les consommateurs en confiance.

Il est à noter que la circulation transfrontalière de données est inévitable et que cette ouverture limite forcément l'efficacité des réglementations nationales en matière de protection des données. Les conventions et accords internationaux sont donc indispensables. La Suisse a approuvé la Convention STE n° 108 sur la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, mais elle ne l'a pas encore reprise dans la législation fédérale.

Quels sont les problèmes de mise en oeuvre de la LPD du point de vue de la protection du consommateur dans le commerce électronique?

Le PFPD assume plusieurs tâches dans le domaine du commerce électronique. Il a la possibilité d'émettre des recommandations, non seulement à la demande de tiers, mais également d'office. Ces recommandations ne sont toutefois pas contraignantes, mais si elles ne sont pas suivies, elles peuvent être soumises à la CFPD qui peut prendre des sanctions. Or, le PFPD n'a jusqu'ici émis aucune recommandation dans le domaine du commerce électronique en tant que tel.

4768

Il a édité des guides et des brochures traitant de la protection des données dans le cadre d'Internet. Lorsqu'il en va de l'intérêt général, le PFPD peut également informer le public de ses constatations et de ses recommandations. Cela étant, toutes ces publications et informations ne bénéficient pas d'une publicité suffisante et ne sont par conséquent guère, voire pas du tout connues de la part des consommateurs et des fournisseurs.

Le PFPD ne dispose pas non plus de ressources suffisantes pour remplir systématiquement ses obligations dans le domaine du commerce électronique (communication à l'étranger, registre des fichiers) et pour utiliser toute la marge de manoeuvre dont il dispose dans la thématisation des problèmes liés à la protection des données.

La mise en oeuvre de certaines dispositions de la LPD est problématique. Ainsi, l'art. 5 LPD (exactitude des données) est inapplicable en ce qui concerne le commerce électronique. Un fournisseur ne peut tout simplement pas vérifier toutes les données qu'il reçoit. Il peut à la rigueur contrôler l'exactitude des adresses, ce qui ne donne toutefois pas la certitude que les données en question ont effectivement été saisies par la personne dont l'adresse a été indiquée.

Les fournisseurs mettent en oeuvre les mesures techniques exigées par l'art. 7 LPD dans une mesure raisonnable. En revanche, il reste beaucoup à faire en ce qui concerne les mesures organisationnelles. Ainsi, lorsqu'elles entament de nouveaux projets concernant le commerce électronique, les entreprises devraient penser dès le départ à tenir compte de tous les aspects légaux relatifs à la protection des données.

En outre, toutes les procédures internes devraient respecter la protection des données selon la LPD.

L'examen de la mise en oeuvre de l'art. 11 LPD (registre des fichiers) montre que, en raison des ressources et des compétences qui sont les siennes, le PFPD a en pratique de la peine à prouver que quelqu'un qui traite des données tient également un fichier. La mise en oeuvre de cette disposition pose par conséquent de graves problèmes.

Dans quelle mesure les obligations relatives aux informations sont-elles respectées?

L'obligation de fournir à quiconque en fait la demande des renseignements au sujet des données traitées à son sujet est bien respectée. Lorsqu'il la demande, le consommateur reçoit la plupart du temps l'information qu'il souhaite. En revanche, il lui appartient de prendre l'initiative de demander à pouvoir exercer son droit d'accès. Dans le domaine du commerce électronique, l'absence d'une obligation d'informer active de la part des fournisseurs constitue une lacune dans la protection du consommateur. Dans le dédale d'Internet, le consommateur n'est pas en mesure de suivre le devenir de ses données et ne parvient pas non plus à savoir quelle entreprise conserve des données personnelles le concernant dans ses bases de données.

Les particuliers qui traitent régulièrement des données sensibles ou des profils de la personnalité ou communiquent des données personnelles à des tiers sont tenues de déclarer leurs fichiers lorsque le traitement de ces données n'est soumis à aucune obligation légale ou que les personnes concernées n'en ont pas connaissance. Ainsi, il est plus simple que les fournisseurs informent leurs clients que leurs données seront traitées plutôt que d'annoncer les fichiers au PFPD et, sur sa demande, de devoir éventuellement fournir d'autres renseignements. De plus, le PFPD n'est pas en mesure de contrôler si tous les fichiers lui ont été annoncés. En raison de ces

4769

problèmes de mise en oeuvre, l'art. 11 LPD n'a pas l'effet attendu dans le domaine du droit privé.

En ce qui concerne la communication de données à l'étranger (art. 6 LPD), il convient de faire la distinction entre deux groupes de pays. La LPD autorise la communication de données vers l'étranger lorsque le pays en question dispose d'une législation offrant une protection des données équivalente à celle garantie en Suisse.

La reconnaissance de l'équivalence n'est pas arrêtée une fois pour toutes. Elle est périodiquement revue par la Suisse, mais aussi par les autres États concernés, ce qui peut représenter un risque pour la Suisse si sa législation s'éloigne par trop de celles de ses principaux partenaires. La Suisse ne cherche pas à conclure des conventions permettant de régler le transfert transfrontalier de données avec des pays tiers ne disposant pas d'une législation suffisante en matière de protection des données.

Ainsi, il incombe à l'entreprise qui veut transférer des données de conclure un contrat de protection des données avec chaque entreprise implantée dans un pays tiers non équivalent. Cette situation est regrettable car Internet est un média transfrontalier. Elle constitue un désavantage concurrentiel pour la Suisse, cela d'autant plus que la législation des États-Unis, un partenaire commercial important, n'est pas reconnue équivalente à celle de la Suisse.

Comment les recommandations du Préposé fédéral à la protection des données et les sanctions prévues par la loi sont-elles mises en oeuvre et quel poids ont-elles?

À ce jour, le PFPD n'a pas émis de recommandation dans le domaine du commerce électronique en tant que tel. La CFPD n'a pas non plus prononcé de sanction. Enfin, il n'y a pas encore eu de décision judiciaire. Il y a donc un déficit en ce qui concerne les recommandations et les sanctions, ce qui favorise l'insécurité juridique.

L'étude a permis de constater que, d'une part, les sanctions qui peuvent être prononcées en vertu de la LPD sont relativement anodines et, d'autre part, porter plainte demande beaucoup de temps et d'efforts et l'issue de la procédure est incertaine. Ce sont les raisons pour lesquelles aucune plainte à ce titre n'a été enregistrée jusqu'ici.

Jusqu'à présent, le PFPD a fait preuve de retenue en matière de recommandations, ce qui ne contribue pas au renforcement de la protection des données dans le commerce électronique. Émettre des recommandations ou prononcer des sanctions permettrait à la protection des données de bénéficier d'une meilleure publicité dans le domaine du commerce électronique. L'effet préventif de la protection des données et la prise de conscience des différents acteurs s'en trouveraient renforcés.

E-commerce: Problématique transfrontalière Une grande partie du commerce électronique concerne des achats transfrontaliers.

Dès lors, se posent des questions pour le consommateur suisse quant à la détermination du tribunal compétent, au choix du droit applicable et à l'exécution de la décision judiciaire. La Convention de Lugano et la LDIP définissent les règles. Le consommateur est rarement informé de ses droits sur les sites Internet, spécialement quand il s'agit de contrats transfrontaliers.

L'application de ces règles pose quelques problèmes dans le contexte du commerce électronique. Le domicile du fournisseur est parfois difficile à établir, au vu de la rapidité avec laquelle une entreprise peut changer de localisation. La distinction entre consommateur actif et passif n'est pas évidente sur Internet, même si la littérature suisse tend plutôt à le qualifier de passif.

4770

En règle générale, le consommateur passif a la possibilité de saisir le tribunal de son lieu de domicile. Quant au droit applicable, la LDIP assujettit le consommateur passif exclusivement aux règles du droit suisse, parce qu'elle part de l'idée que le droit suisse assure la meilleure protection au consommateur. Or, ce n'est de loin pas toujours le cas. De plus, il est déroutant de constater qu'un consommateur européen qui commande un produit sur un site suisse est mieux protégé qu'un client suisse qui effectue la même commande.

Finalement, une décision suisse est reconnue et exécutée sans autre dans les pays européens ayant ratifié la Convention. Par contre, les jugements sont beaucoup plus problématiques à appliquer avec d'autres pays.

En ce qui concerne les litiges internationaux liés à la concurrence déloyale, les consommateurs étrangers qui se fournissent sur un site suisse peuvent déposer une plainte auprès du seco et avoir recours à ses services pour qu'il intente une action en leur faveur. Cette option, accordée pour le motif de protéger la réputation de la Suisse à l'étranger, n'est pas consentie au consommateur suisse.

En ce qui concerne la protection des données, les règles applicables sont énumérées dans la LDIP. Le choix de la règle optimale sera vraisemblablement déterminé au cas par cas, mais, jusqu'à présent, aucun litige n'a été reporté.

Quel est l'effet des formes d'autorégulation appliquées dans le domaine du commerce électronique?

Vu la complexité des règles de droit et le manque d'enthousiasme de la part des consommateurs suisses d'initier une action devant les tribunaux, les mécanismes d'autorégulation dans le domaine de l'e-commerce pourraient représenter une alternative intéressante.

En Suisse, il existe trois labels d'e-commerce, mais ils sont très peu répandus. Les consommateurs ne leur accordent pas une grande importance. Ces labels ne contribuent pas à donner un avantage comparatif aux entreprises qui les arborent.

Les procédures alternatives de règlement des différends peuvent permettre une résolution plus rapide et moins coûteuse des litiges. En Suisse, les consommateurs ne les utilisent guère. Ceci s'explique par le manque de connaissances des quelques possibilités offertes aux consommateurs, par leur méfiance de l'autorégulation et par l'absence de réglementation de ces procédures.

Les consommateurs suisses manquent de confiance pour effectuer des achats sur Internet. Dans les domaines contractuels, de la protection des données et des achats transfrontaliers, les problèmes présentés liés aux lacunes de la législation et aux manquements dans la mise en oeuvre empêchent le véritable essor du commerce électronique, dont pourront profiter à la fois les consommateurs et les entreprises suisses.

4771

Annexe

Questionnaire «Protection des consommateurs et e-commerce» Première partie: Aspects contractuels Points généraux 1.

Quels sont les principaux problèmes concernant les aspects contractuels dans le domaine du commerce électronique?

2.

Classez les lois suivantes selon leur ordre d'importance: LDIP, LCD, LIC, CO, CP, OIP, LPD.

3.

Que pensez-vous du rôle des offices fédéraux dans le domaine? Avez-vous déjà eu un rapport avec les offices fédéraux?

4.

Quelles sont les principales différences légales et de mise en oeuvre entre le B2C et le B2B?

5.

Quelle importance donnez-vous aux directives de l'OCDE et de l'OMC pour la Suisse? Quelle est l'influence des normes de l'UE?

Droits des contrats 6.

Comment sont contrôlés l'identité du vendeur et les caractéristiques essentielles des produits?

7.

Quelles sont les difficultés des sites pour respecter l'indication du prix?

8.

Comment sont contrôlées les conditions générales?

9.

Comment sont traités les problèmes concernant la présence de produits interdits ou de produits dont la publicité est interdite?

10. Qu'en est-il du délai de rétractation?

11. La garantie légale est-elle appliquée sur Internet?

12. Quelle est l'importance du fait qu'il n'y a pas de contrat par écrit?

13. En pratique, comment sont choisis le tribunal compétent et la législation applicable, surtout dans le cadre de contrats transnationaux?

14. Quels sont les problèmes rencontrés par le consommateur dans le processus de commande?

15. Est-ce que les procédures sécurisées de transfert des données fonctionnent?

16. La publicité respecte-t-elle les règles de la commission pour la loyauté?

Réclamation/sanctions/autorégulation 17. Les procédures de réclamation pour les clients sont-elles souvent utilisées?

Comment les jugez-vous?

18. Quels sont les avantages et inconvénients des systèmes d'autorégulation et des labels?

19. Que pensez-vous du rôle des tribunaux et de la jurisprudence?

4772

Deuxième partie: Protection des données Points généraux 20. Les buts de la loi fédérale sur la protection des données (LPD) sont-ils définis de manière claire ? Quels sont les lacunes ou les défauts de cette loi?

21. Quels sont les problèmes de mise en oeuvre de la LPD?

22. Quel impact ont les directives de l'OCDE sur la Suisse?

Questions détaillées sur les dispositions de la LPD 23. A votre avis, est-ce que les règles de traitement des données comme énoncées dans l'art. 4 LPD couvrent le domaine de l'e-commerce de manière optimale?

24. Comment est-ce que les sites d'e-commerce et les consommateurs peuventils vérifier l'exactitude des données, comme le requiert l'art. 5 LPD?

25. Est-ce que des données sont souvent transmises à l'étranger (art. 6 LPD)?

Selon vous, quels problèmes découlent de cet article, qui impose que les données ne soient transmises que dans des pays connaissant un niveau de protection équivalent à la Suisse?

26. Est-il facile de protéger les données personnelles contre des traitements de données non autorisés, à l'aide de mesures techniques et organisationnelles comme prescrit à l'art. 7 LPD?

27. Est-ce que le droit d'accès du consommateur (art. 8 LPD) est pleinement respecté? Est-il suffisant?

28. Que pensez-vous de l'application de l'art. 11 LPD dans le domaine du commerce électronique (registre des fichiers à déclarer au PFPD)?

29. Comment jugez-vous le travail du Préposé fédéral à la protection des données (PFPD, art. 26­32), de la Commission à la protection des données (art. 33) et la collaboration entre les deux?

Sanctions/recommandations/autorégulation 30. Quelle importance ont les sanctions prévues dans la LPD? Sont-elles facilement applicables?

31. Quel est votre jugement sur l'importance de la jurisprudence dans le domaine?

32. Que pensez-vous de l'autorégulation dans ce domaine?

4773

Bibliographie Matériel administratif 98.3529

Motion CdG-E: Liaisons «on-line». Renforcer la protection pour les données personnelles.

00.3000

Motion CAJ-E: Renforcement de la transparence lors de la collecte des données personnelles

00.3714

Motion Pfisterer: Cybercriminalité. Modification des dispositions légales.

01.3517

Postulat Menétrey-Savary: Effets secondaires des nouvelles technologies de l'information et de la communication.

02.3332

Motion Leutenegger Oberholzer: Révision du Code des obligations.

Renforcer les droits des consommateurs.

BFC, 2000: Quelques aspects du droit de la consommation ­ Résolution extrajudiciaire des conflits de consommation.

BFC, 2001: Premier bilan du comportement des consommateurs suisses face au commerce électronique.

BFC, 2004: Avant-projet de loi sur l'information et la protection des consommateurs (LIPC). Ouverture de la procédure de consultation.

CI SI, plusieurs années: Rapport.

Commission fédérale de la consommation, 1999: Recommandation au Conseil fédéral concernant le commerce électronique.

Commission fédérale de la consommation, 2001: Résolution extrajudiciaire des litiges de consommation.

Conseil fédéral, 1998: Stratégie du Conseil fédéral suisse pour une société de l'information en Suisse.

Conseil fédéral, 2001: Rapport Explicatif ­ Loi fédérale sur le commerce électronique.

Message relatif à la loi fédérale sur la protection des données du 23 mars 1988, FF 1988 421 ss.

Message relatif à la révision de la loi fédérale sur la protection des données du 19 février 2003a, FF 2003 1915 ss.

Message relatif à la modification de la loi sur les télécommunications du 12 novembre 2003b, FF 2003 7245 ss.

OFS, 2003: Communiqué de presse n°15.

OFSP, 2003: Droit d'application des produits thérapeutiques ­ train d'ordonnances II.

PFPD, plusieurs années: Rapport d'activité.

4774

Littérature spécialisée Andersen Arthur, 2001: Internet-privacy und eCommerce-pratices in der Schweiz.

Andersen Arthur: Zurich.

Arter Oliver et Jörg Florian, 2001: Internet-Recht und Electronic Commerce Law.

Dike: Lachen.

Association suisse de la vente par correspondance, 2004: Der Schweizer Versandhandel im Jahr 2003.

Brunner Alexander, 2002: Aktuelle Praxis der Schweizerischen Lauterkeitskommission. In: Meier-Schatz, Neue Entwicklungen des UWG in der Praxis. Haupt: Berne.

Brunner Alexander, et. al., 2003: Annuaire de droit suisse de la consommation 2002.

Stämpfli: Berne.

CNUCED, 2003: E-Commerce and development report 2003. United Nations: Genève.

Conseil pour la protection de la personnalité, 2004: Les droits individuels battus en brèche? Kummer Public Affairs: Berne.

Consumers International, 2001a: Privacy@net. An international comparative study of consumer privacy on the internet. Consumers International: London.

Consumers International, 2001b: Should I buy? Consumers International: London.

Economist Intelligence Unit, 2003: The 2003 e-readiness rankings.

Ernst & Young LLP, 2003: Global Information Security Survey 2003.

Eurobarometer, 2004: Issues relating to business and consumer e-commerce. European Commission: Bruxelles.

Fässler Lukas, 2002: Datenschutz durch Selbstregulierung und Qualitätskontrolle.

In: Fellmann et Poledna, Akutelle Anwaltspraxis 2001. Stämpfli: Berne.

Forrester, 2000: Growing Privacy Labyrinth Hinders eBusiness. Forrester Brief, 1.

Funk Patricia, 2001: Die Bedeutung des Internet für den Wirtschaftsstandort Schweiz. Helbing&Lichtenhahn: Bâle.

Gasser Urs, 2001: E-Commerce: Innovation im (Vertrags-)Recht ? In: Schweizerische Juristen-Zeitung, 18.

Gilding Stuart, 2001: Results of Internet Sweep Day 14-15 February 2001.

Guntern Odilo, 2002: E-Banking und Datenschutz. In: von Wiegand, E-Banking.

Rechtliche Grundlagen. Stämpfli: Berne.

Henzelin Marc, 2002: La protection pénale du commerce électronique du point de vue des consommateurs. In: Koller et Muralt Müller, Tagung für Informatik und Recht. Stämpfli: Berne.

Hertz-Pompe Nicolas, 2003: La crédibilité des labels pour les sites Internet d'ECommerce. Mémoire: Université catholique de Louvain.

Hollenstein Heinz et Wörter Martin, 2003: L'utilisation des technologies de l'information et de la communication dans l'économie suisse. In: La Vie Economique, 09-2003.

4775

Hurlimann Gaël, 2004: La cyberadministration suisse fait figure de mauvais élève en Europe. In: Le Temps, 27-03.

Jaccard Michel, 2000: Droit européen et comparé de l'Internet ­ Rapport national Suisse.

Jeanneret Vincent, 2001: Aspects juridiques du commerce électronique. Séminaire de l'Association genevoise de droit des affaires. Schulthess: Zürich.

Jörg Florian, 2003: Informationspflichten im E-Commerce. In: Jörg et Arter, Internet-Recht und Electronic Commerce Law. Stämpfli: Berne.

Knoepfler François, 2002: L'arbitrage on line: une vraie solution pour les conflits entre fournisseurs et consommateurs. In: Mélanges en l'honneur de Bernard Dutoit.

Librairie Droz: Genève.

Koller Thomas et Hanna Muralt Müller (Eds.), 2002 b: Nationale und internationale Bezüge des E-Commerce. Auswirkungen von E-Democracy auf den Rechtsstaat.

Stämpfli: Berne.

Koller Thomas et Muralt Müller Hanna (Eds.), 2002 a: Tagung für Informatik Recht.

Stämpfli: Berne.

Langer Dirk, 2003: Verträge mit Privatkunden im Internet. Schulthess: Zürich.

Minsch Ruedi et Moser Peter, 2001: Der Schutz der Privatsphäre im E-Commerce.

Eine ökonomische Analyse der Datenschutzstrategien in Europa und in den USA.

In: Aspekte der schweizerischen Wirtschaftspolitik.

National Consumer Council, 2000: e-commerce and consumer protection. NCC: London.

Nielsen/Netratings, 2004: News Internetforschung.

OCDE, 2000: Lignes directrices régissant la protection des consommateurs dans le contexte du commerce électronique.

OCDE, 2003: Les consommateurs sur le marché en ligne: les lignes directrices de l'OCDE trois ans après.

OSEC, 2003: E-business: rechtliche Rahmenbedingungen in der EU und in der Schweiz.

Pichonnaz Pascal, 2004: Avant-projet de Loi fédérale sur l'information et la protection des consommateurs. Rapport explicatif.

Protz Christoph et Krohmann Klaus, 2001: Datenschutz in der Schweiz ­ Noch viel zu tun! In: Der Schweizer Treuhänder, n° 12.

Protz Christoph et Krohmann Klaus, 2002: E-Commerce-Praxis in der Schweiz. In: Der Schweizer Treuhänder, n° 6.

REMP, 2002: Report ­ MA Comis 2002. REMP: Zurich. (allemand: WEMF) REMP, 2003: Report ­ MA Comis 2003. REMP: Zurich.

Réseau CEC, 2003: Réalités du cybermarché européen. Réseau CEC: Bruxelles.

Rosenthal David, 2000: Konsumentenschutz im Internet: Bedürfnisse und Erfahrungen. In: Weber et al, Geschäftsplattform Internet. Schulthess: Zürich.

Rosenthal David, 2002: Lauterkeitsrecht im Internet. In: Meier-Schatz: Neue Entwicklungen des UWG in der Praxis. Haupt: Berne.

4776

Rudolf Thomas et Löffler Claudia, 2002: Internetnutzung Schweiz 2002. Eine Studie des Gottlieb Duttweiler Lehrstuhls für Internationales Handeslmanagement.

Universität St. Gallen.

Schnyder Anton, 2001: Internationalprivatrechtliche Aspekte des E-Commerce. In: Trüeb, Aktuelle Rechtsfragen des E-Commerce. Schulthess: Zürich.

Schöbi Felix, 2000: Vertragsschluss auf elektronischem Weg: Schweizer Recht heute und morgen. In: Weber et al, Geschäftsplattform Internet. Schulthess: Zürich.

Schöbi Felix, 2001: Ein Vertragsrecht für das digitale Zeitalter?. In: Trüeb, Aktuelle Rechtsfragen des E-Commerce. Schulthess: Zürich.

Schwager Gery, 2003: Online-Shops: Oft zählt nur die Kasse. K-Tipp, n° 5.

Seydtaghia Anouch, 2003: Anémique, le e-commerce de détail en Suisse décollerat-il enfin en 2003? In: Le Temps, 18-01.

Sieber Ulrich, 2000: «Code as code»? Lässt das Internet die nationalen Strafsysteme ins Leere laufen? In: NZZ, 29-05.

Spahr Christoph, 2003: Internet und Recht. Verlag Hochschule ETHZ: Zürich.

Stauder Bernd, 2001: Der Schutz der Konsumenten im E-Commerce. In: Trüeb, Aktuelle Rechtsfragen des E-Commerce. Schulthess: Zürich.

Stauder Bernd, 2002a: Contrats transfrontières de consommation conclus via Internet. In: Koller et Muralt Müller, Tagung für Informatik Recht. Stämpfli: Berne.

Stauder Bernd, 2002b: La protection des consommateurs et le commerce électronique. In: Rapports suisses présentés au XVIème Congrès international de droit comparé. Schulthess: Zürich.

Sutter Guido, 2003: Le RICPC: un réseau de lutte contre les pratiques commerciales déloyales à l'échelle internationale. In: La vie économique, n° 5.

Walter Tonio, 2002: Internet-Detailhandel legt zu. NZZ am Sonntag: 26-05.

Walther Fridolin, 2002: Online Dispute Resolution. In: Koller et Muralt Müller (Eds.): Tagung für Informatik Recht 2001. Stämpfli: Berne.

Weber Daniel, 2004: Revolution mit Pizza. In: NZZ-Folio, n° 2.

Weber Rolf et al, 2002: Geschäftsplattform Internet III. Schulthess: Zürich.

Weber Rolf, 2001: E-Commerce und Recht. Schulthess: Zürich.

Weber Rolf, 2002: Datenschutz im E-Commerce.

Wharton Nathalie et Bassem Zein, 2001: Le défi du commerce électronique et de la cyberadministration pour le législateur. In: Koller et Muralt Müller, Tagung für Informatik Recht. Stämpfli: Berne.

Wharton Nathalie, 2002: Le
remboursement de la prestation du consommateur dans le commerce électronique. In: Défaillance de paiement Fribourg.

World Economic Forum, 2003: Global Information Technology Report 2003­2004.

Oxford University Press: Genève.

Züst Markus, 2001: E-Commerce im Schweizer Recht ­ die einzelnen Vertragsarten/ Datenschutz/Strafrecht. In: Rechtsprobleme des Commerce. Schulthess: Zürich.

4777

Zwipf Andreas, 2001: Die europäische Rechtsetzung zum E-Commerce; Verbraucherschutz contra E-Commerce-Förderung? In: Rechtsprobleme des Commerce.

Schulthess: Zürich.

4778

Sites Internet consultés www.admin.ch www.consommation.ch www.econsumer.gov www.edsb.ch www.seco.ch www.ebusinessforum.com www.eejnet.org www.europa.eu.int www.journaldunet.com www.lauterkeit.ch www.netlaw.de www.netzwoche.ch www.oecd.org www.remp.ch www.switch.ch www.unctad.org www.weforum.org

4779

Liste des personnes entendues Balmer Nicolas, responsable E-Business CFF unité d'affaires informatique division voyageurs, CFF, Berne Beeler Alex, porte-parole, Ticketcorner, Rümlang Bertschinger Marc, responsable vente en ligne B2C unité d'affaires grandes lignes division voyageurs, CFF, Berne Crevoisier Philippe, finance director, LeShop.ch, Chavannes-de-Bogis Grossholz Pia, responsable pour les médias, Konsumentenforum, Zurich Liechti Samy, directeur, blacksocks.com, Zurich Rosenthal David, Konsulent Informations- und Telekommunikationsrecht, Homburger, Zürich Schaad Marie-Françoise, responsable suppléante Service juridique préposée à la protection des données division voyageurs, CFF, Berne Schnyder Michael, collaborateur scientifique, PFPD, Berne Schöbi Felix, chef suppléant, OFJ, Berne Sieber Pascal, Dr. Pascal Sieber & Partners AG, Berne Sutter Guido, chef suppléant du secteur Droit, seco, Berne Uttinger Ursula, présidente, Datenschutz-Forum, Zürich Vignon Philippe, marketing manager, easyJet, Genève Zbornik Stefan, conseiller en entreprises, Kreuzlingen Zein Bassem, collaborateur scientifique, OFJ, Berne Liste des personnes entendues dans la phase préparatoire Chatagny Régine, économiste, FRC, Lausanne Matthey Véronique, juriste, FRC, Lausanne Nast Matthias, chef de projet, Stiftung für Konsumentenschutz, Berne Pichonnaz Oggier Monique, chef, Bureau fédéral de la consommation, Berne

4780

Réalisation de la recherche:

Jérôme Duperrut

Responsable de projet, CPA

Barbara Koch

Collaboratrice, CPA

Hedwig Heinis

Secrétariat, CPA

Bernd Stauder

Soutien juridique (aspects contractuels), Université de Genève

Le CPA remercie toutes les personnes qu'il a entendues pour leur disponibilité lors des entretiens et lors de la consultation de ce rapport. Il remercie plus spécialement Madame Ursula Uttinger pour son aide sur la section concernant la protection des données. Finalement, le CPA tient à étendre ses remerciements au Professeur Bernd Stauder pour le soutien juridique indispensable qu'il lui a apporté sur les thèmes relevant des aspects contractuels.

Langue originale du rapport final: français (ch. 4: allemand).

4781

4782