RGPD : résumé du règlement européen sur la protection des données personnelles 2016/679 - Lyon - DGC Avocat

Vous trouverez ci-dessous un résumé des principales notions du règlement européen sur la protection des données personnelles ainsi que des illustrations et liens vers le site de la CNIL. Il s'agit des principales données qui paraissaient importantes au cabinet (en tant qu'avocat) pour s'y conformer (à adapter nécessairement en fonction des spécificités de votre activité). Toutefois, avant toute mise en oeuvre, le cabinet d'avocat basé à Lyon reste à votre disposition pour vous conseiller en la matière.

Enjeux importants

  • Quelques chiffres : des enjeux importants
    • Date d'application du RGPD : 25 mai 2018 (article 99 du RGPD)
    • Risque financier maximal en l'absence de conformité au RGPD : jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu (article 83 du RGPD)

Définitions

  • Définitions
  • Champ d'application territorial du RGPD (article 3 du RGPD)
    • Tout établissement situé en Europe ou
    • tout établissement étranger traitant des données liées à une personne physique qui se trouvent sur le territoire de l'Union européenne
  • Exclusion des relations strictement personnelles (article 2 du RGPD)

Condition des données à caractère personnel

  • Les données à caractère personnel doivent être: (article 5 du RGPD)
    1. Traitées de manière licite, loyale et transparente
      • Traitement licite dans les principaux cas suivants (article 6 du RGPD) :
        1. Consentement express de la personne et pour une finalité spécifique (article 7 du RGPD)
          • Existence de règles spécifiques pour les enfants de moins de 16 ans (article 8 du RGPD) et pour les données sensibles (article 9 du RGPD)
        2. Exécution d'un contrat auquel la personne concernée est partie
        3. Obligation légale pesant sur le responsable du traitement
        4. Intérêts légitimes poursuivis par le responsable du traitement
      • Existence d'une obligation d'information de la personne concernée
    2. Collectées pour des finalités déterminées, explicites et légitimes
    3. Limitées à ce qui est nécessaire au regard des finalités
    4. Exactes et tenues à jour
    5. Conservées pendant la durée nécessaire au traitement
      • Référence aux normes nationales pour estimer cette durée
      • Absence de délai supplémentaire pour les données anciennement collectées (considérant n°171)
    6. Protégées par des dispositifs de sécurité, limitation d’accès … adéquats (articles 25 et 32). Exemples :
      • Anonymisation des données
      • Chiffrement des données
      • Contrôle des accès à ces données personnelles
      • Dispositifs permettant de rétablir la disponibilité des données et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique
      • Test régulier de l’efficacité des mesures mises en place

Données collectées auprès de la personne concernée

  • Obligation pour le responsable du traitement de fournir à la personne concernée (article 13 du RGPD) :
    • L'identité et les coordonnées du responsable du traitement
    • Les coordonnées du délégué à la protection des données s’il existe
    • Les finalités du traitement ainsi que la base juridique du traitement (accord, exécution d’un contrat, intérêt légitime …)
    • Les destinataires des données à caractère personnel
    • L’existence d’un futur éventuel transfert de données vers un pays tiers
    • La durée de conservation des données
    • Informer du droit d'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, une limitation du traitement, ou du droit de s'opposer au traitement et du droit à la portabilité des données
    • Lorsque le traitement est fondé sur le consentement, informer du droit de retirer son consentement à tout moment
    • Informer du droit d'introduire une réclamation auprès d'une autorité de contrôle
    • Informer sur les conséquences éventuelles de la non-fourniture des données personnelles
    • Informer sur l'existence d'une prise de décision automatisée

Données non collectées auprès de la personne concernée

  • En cas de données non collectées auprès de la personne concernée, obligation de communiquer à la personne concernée dans le délai d'un mois, sauf exceptions (article 14 du RGPD)
    • L'ensemble des données précédemment listées
    • Les catégories de données à caractère personnel concernées
    • La source d'où proviennent les données à caractère personnel

Droits de la personne concernée 

  • Droits de la personne concernée 
    • Quelle que soit la demande auprès du responsable du traitement (article 12 du RGPD) :
      • Réponse gratuitement (sauf abus) sous 1 mois (sauf exceptions)
      • Possibilité de demander la validation de l'identité
    • Droit d'obtenir l'ensemble des données précédemment listées, l'accès aux données personnelles et la confirmation ou non du traitement des données (article 15 du RGPD)
    • Droit de faire rectifier les données incomplètes ou inexactes (article 16 du RGPD)
    • Droit de faire effacer les données, de limiter le traitement et de s'opposer au traitement (articles 17, 18 et 21)
      • Seulement dans certains cas :
        • Retrait d’un consentement
        • Données n'étant plus nécessaires
        • Données traitées de manière illicite
        • ...
    • Droit à la portabilité des données (article 20 du RGPD) : 2 conditions nécessaires :
      • Traitement fondé sur le consentement ou sur un contrat et
      • Traitement automatisé

Délégué à la protection des données

  • Désignation d’un délégué à la protection des données (article 37 à 39 du RGPD) :
    • Obligatoire dans les cas suivants :
      • Organismes publics ou
      • Suivi systématique à grande échelle des personnes concernées ou
      • Traitement à grande échelle de données sensibles
    • Personne pouvant être désignée :
      • Membre du personnel
      • Prestataire
      • Prohiber les situations de conflit d’intérêt
    • Obligation de publication des coordonnées du délégué à la protection des données et de communication à l'autorité de contrôle
    • Obligation de fournir au délégué à protection des données
      • Les ressources nécessaires à l'exercice de sa mission,
      • L'accès aux données à caractère personnel et aux opérations de traitement
    • Missions du délégué à la protection des données
      • Informer et conseiller le responsable du traitement
      • Contrôler le respect du règlement et des autres règles de droit liées à la protection des données personnelles
      • Dispenser des conseils en ce qui concerne l'analyse d'impact
      • Coopérer avec l'autorité de contrôle

Sous-traitance

  • En cas de sous-traitance, nécessité d'adaptations contractuelles obligatoires pour protéger les données personnelles et assurer l'effectivité du règlement (article 28 et 29 du RGPD) :

Registre des activités de traitement

  • Registre écrit des activités de traitement, mis à la disposition de l'autorité de contrôle sur demande (article 30 du RGPD)
    • Obligatoire dans les cas suivants
      • 250 salariés au moins
      • Ou risque pour les droits et des libertés des personnes concernées
    • Contenu
      • Identité et coordonnées du responsable de traitement
      • Finalités du traitement
      • Catégories de personnes concernées
      • Catégories de données à caractère personnel
      • Catégories de destinataires
      • Transferts vers un pays tiers ou une organisation internationale
      • Délais prévus pour l'effacement
      • Description générale des mesures de sécurité techniques et organisationnelles
    • Modèle de registre mis à disposition par la CNIL : https://www.cnil.fr/sites/default/files/atoms/files/registre_rgpd_basique.pdf

Analyse d'impact

  • Réalisation d’une analyse d’impact (article 35 du RGPD) :
    • Impérative en cas de risque élevé pour les droits et libertés des personnes physiques
    • Selon la CNIL, les traitements qui remplissent au moins deux des critères suivants doivent faire l’objet d‘une analyse d’impact :
      • évaluation/scoring (y compris le profilage) ;
      • décision automatique avec effet légal ou similaire ;
      • surveillance systématique ;
      • collecte de données sensibles ;
      • collecte de données personnelles à large échelle ;
      • croisement de données ;
      • personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
      • usage innovant (utilisation d’une nouvelle technologie) ;
      • exclusion du bénéfice d’un droit/contrat
    • Obligation de consulter l’autorité de contrôle en cas de risque élevé (article 36 du RGPD)

Cas de violation de données à caractère personnel

  • En cas de violation de données à caractère personnel (article 33 et 34 du RGPD)
    • Obligation de documenter la violation
    • Obligation de notification à l’autorité de contrôle compétente (CNIL, ANSSI) dans un délai de 72h
      • Contenu de la déclaration :
        • Décrire la nature de la violation de données à caractère personnel
        • Indiquer qui contacter pour avoir de plus amples informations (nom et coordonnées)
        • Décrire les conséquences probables de la violation de données à caractère personnel
        • Décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel
      • Formulaire CNIL : la CNIL devrait mettre à disposition prochainement un formulaire en ligne
      • Ancien formulaire CNIL : https://www.cnil.fr/sites/default/files/typo/document/CNIL_Formulaire_Notification_de_Violations.pdf
    • Obligation de communication à la personne concernée (si risque élevé pour les droits et libertés de cette personne ou si l’autorité de contrôle compétente l’estime nécessaire) ou au public (si difficultés à communiquer avec cette personne)
      • Indiquer qui contacter pour avoir de plus amples informations (nom et coordonnées)
      • Décrire les conséquences probables de la violation de données à caractère personnel
      • Décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel

Illustration d'application du règlement européen sur la protection des données (RGPD)

Exemple anonymisé de clause insérée dans un contrat B to B

[ L'attention du lecteur est attirée sur le fait que chaque personne physique devrait être personnellement informée en cas d'utilisation de ses données à caractère personnel, informer le signataire et son représentant personne physique ne sont pas suffisant si les données d'autres personnes physiques font l'objet de traitements, articles 13 et 14 du règlement européen 2016/679 ; en outre le texte ci-dessous nécessite impérativement une adaptation et une validation par un professionnel en fonction du cas d'espèce avant toute utilisation ]

Les données à caractère personnel collectées dans le cadre du présent contrat font l'objet d'un traitement en vue de la bonne exécution dudit contrat et pour protéger les intérêts légitimes poursuivis par [ nom de la société réalisant les traitements ou pour le compte de laquelle les traitements sont réalisés ], en particulier la défense des droits afférents à cette dernière en justice [ préciser le cas échéant les autres cas de traitement ].

A cette fin, et conformément aux obligations découlant du règlement européen 2016/679, il vous est indiqué que le responsable du traitement est [ nom et cordonnées du responsable du traitement, ainsi que, le cas échéant, nom et coordonnée du représentant du responsable du traitement ].

[ En cas de délégué à la protection des données : le nom et les coordonnées du délégué à la protection des données devrait être indiqué ]

En vue de réaliser l'obligation d'information pesant sur le responsable du traitement à l'égard de chaque personne physique dont les données personnelles font l'objet de traitements dans le cadre du présent contrat, il est demandé à [ nom du co-contractant ] d'apporter son secours pour contacter et informer chacune de ces personnes conformément aux articles 13 et 14 du règlement européen 2016/679.

[ Si les données à caractère personnel sont amenées à être communiquées à des tiers comme par exemple des sous-traitants : il conviendrait de préciser les destinataires ou les catégories de destinataires de ces données à caractère personnel ]

[ En cas de transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale : il devrait être précisé le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa du règlement 2016/679, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition ]

Les données à caractère personnel collectées dans le cadre du présent contrat seront conservées pendant la durée nécessaire à l'exécution de ce contrat et à la protection des intérêts légitimes de [ nom de la société réalisant les traitements ou pour le compte de laquelle les traitements sont réalisés ] en particulier la défense des droits afférents à cette dernière en justice [ une autre durée peut être précisée, cette durée peut également être exprimée en mois, la durée devant être en principe proportionnée à la finalité du traitement nécessitant la conservation des données ].

Conformément à la réglementation applicable en matière de données à caractère personnel, il est précisé que chaque personne physique, dont les données à caractère personnel sont traitées dans le cadre du présent contrat, dispose d 'un droit d'accès, de rectification, d'opposition, de limitation du traitement, d'effacement et de portabilité de ses données.

Ces personnes physiques peuvent exercer ce droit en [ indiquer les modalités (par mail, par courrier ...) et préciser l'adresse ], en précisant son nom, prénom, adresse et en joignant une copie recto - verso de sa pièce d'identité.

En cas de difficulté en lien avec la gestion de leurs données à caractère personnel, ces personnes peuvent adresser une réclamation auprès du délégué à la protection des données personnelles [ indiquer les coordonnées ] ou auprès de la CNIL ou de toute autre autorité compétente.

En outre, il est précisé que la non fourniture des données à caractère personnel nécessaires à l'exécution du présent contrat [ indiquer ici les conséquences éventuelles de la non-fourniture de ces données ou l'absence de conséquence le cas échéant ].

De plus, il est indiqué concernant la prise de décision automatisée [ indiquer les informations utiles concernant la logique sous-jacente à ces prises de décisions automatisées, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée, ou alors indiquer l'absence de prise de décision automatisée ]

Exemple anonymisé de mentions légales sur un site web

  • Article 6, III de la Loi n° 2004-575
    • La raison sociale (pour les personnes morales) ou nom et prénom (pour les personnes physiques)
    • L’adresse (siège social)
    • Le numéro RCS ou RM ou autre numéro d’inscription
    • Le capital social (s’il s’agit d’une personne morale)
    • Les coordonnées téléphoniques [et électroniques]
    • Nom et coordonnées du directeur de publication du site
    • Nom, raison sociale, adresse et numéro de téléphone de l’hébergeur du site
  • Compléments prévus par l’article 19 de la Loi n° 2004-575
    • Le numéro TVA
    • En cas de régime d’autorisation, nom et adresse de l’autorité ayant délivré l’autorisation
    • En cas de profession réglementée, la référence aux règles professionnelles applicables, son titre professionnel, l'Etat membre dans lequel il a été octroyé ainsi que le nom de l'ordre ou de l'organisme professionnel auprès duquel elle est inscrite
  • Article 13 du RGPD
    • L'identité et les coordonnées du responsable du traitement
    • Les coordonnées du délégué à la protection des données
    • Les finalités du traitement ainsi que la base juridique du traitement
    • Les destinataires des données à caractère personnel
    • Les éventuels transferts de données vers des pays hors UE
    • La durée de conservation des données
    • « Vous disposez d’un droit d’accès, de rectification, d’opposition, de limitation du traitement, d’effacement et de portabilité de vos données à caractère personnel. »
    • « Vous disposer du droit de retirer votre consentement dès lors que le consentement est la base légale du traitement »
    • « Vous pouvez exercer ces droits en nous contactant à l’adresse mail [indiquer l’adresse mail] en précisant votre nom, prénom, adresse et en joignant une copie recto - verso de votre pièce d’identité.»
    • « En cas de difficulté en lien avec la gestion de vos données à caractère personnel, vous pouvez adresser une réclamation auprès de la CNIL ou de toute autre autorité compétente. »
    • Informer sur les conséquences éventuelles de la non-fourniture des données personnelles
    • Informer sur l'existence d'une prise de décision automatisée
  • Article 32, II de la loi du 6 janvier 1978 (sur les cookies non strictement nécessaires à la navigation sur le site)
    • Les finalités des cookies
    • Le recueil du consentement des utilisateurs via « les bandeaux de consentement » et les possibilités de refus des cookies

Extraits du code de commerce

Article D123-236 du code de commerce

Les dispositions de l'article D. 123-235 [sur le numéro SIREN ou SIRET] ne font pas obstacle à ce qu'une entreprise puisse être tenue de porter, en complément du numéro unique d'identification et à titre d'identifiant spécifique :

1° Pour les activités soumises à immatriculation au registre du commerce et des sociétés, les mentions prévues par les articles R. 123-237 et suivants ;

2° Pour les relations avec une administration, personne ou organisme concernant plus particulièrement un des établissements de l'entreprise, le numéro complémentaire attribué à cet établissement dans les conditions prévues à l'article R. 123-221 ;

3° Pour les activités soumises à l'article 256 A du code général des impôts l'indication du numéro de TVA intracommunautaire, selon les modalités arrêtées par le ministre chargé du budget et par le ministre chargé de la simplification des formalités incombant aux entreprises ;

4° Pour les activités soumises à une inscription à un autre registre ou répertoire que celui du commerce et des sociétés ou à une autorisation ou déclaration préalable, une mention afférente à l'accomplissement de la formalité dans les conditions prévues par un acte réglementaire conjoint du ministre concerné et du ministre chargé de la simplification des formalités incombant aux entreprises, imposant l'accomplissement et la mention de formalités nouvelles ;

5° Une mention afférente à l'accomplissement d'une formalité administrative, lorsque cette obligation résulte d'un arrêté conjoint du ministre concerné et du ministre chargé de la simplification des formalités incombant aux entreprises.

Article R123-237 du code de commerce

Toute personne immatriculée indique sur ses factures, notes de commande, tarifs et documents publicitaires ainsi que sur toutes correspondances et tous récépissés concernant son activité et signés par elle ou en son nom :

1° Le numéro unique d'identification de l'entreprise délivré conformément à l'article D. 123-235 [correspondant au numéro SIREN ou SIRET];

2° La mention RCS suivie du nom de la ville où se trouve le greffe où elle est immatriculée ;

3° Le lieu de son siège social ;

4° Le cas échéant, qu'elle est en état de liquidation ;

5° Si elle est une société commerciale dont le siège est à l'étranger, outre les renseignements mentionnés aux 3° et 4°, sa dénomination, sa forme juridique et le numéro d'immatriculation dans l'Etat où elle a son siège, s'il en existe un ;

6° Le cas échéant, la qualité de locataire-gérant ou de gérant-mandataire ;

7° Si elle est bénéficiaire d'un contrat d'appui au projet d'entreprise pour la création ou la reprise d'une activité économique au sens du chapitre VII du titre II du livre Ier du code de commerce, la dénomination sociale de la personne morale responsable de l'appui, le lieu de son siège social, ainsi que son numéro unique d'identification ;

8° Si elle a constitué un patrimoine affecté en application de l'article L. 526-6, l'objet de l'activité professionnelle à laquelle le patrimoine est affecté et la dénomination utilisée pour l'exercice de l'activité professionnelle incorporant son nom ou nom d'usage précédé ou suivi immédiatement des mots : " entrepreneur individuel à responsabilité limitée " ou des initiales : " EIRL ".

Toute personne immatriculée indique en outre sur son site internet la mention RCS suivie du nom de la ville où se trouve le greffe où elle est immatriculée, ainsi que des renseignements mentionnés aux 1°,3°,5° et 8°.

Toute contravention aux dispositions des alinéas précédents est punie de l'amende prévue pour les contraventions de la 4e classe.

Article R123-238 du code de commerce

Les actes et documents émanant de la société et destinés aux tiers, notamment les lettres, factures, annonces et publications diverses, indiquent la dénomination sociale, précédée ou suivie immédiatement et lisiblement :

1° Pour les sociétés en nom collectif, des mots " société en nom collectif " ou des initiales " SNC " ;

2° Pour les sociétés en commandite simple, des mots " société en commandite simple " ou des initiales " SCS " ;

3° Pour les sociétés à responsabilité limitée, des mots " société à responsabilité limitée " ou des initiales " SARL " et de l'énonciation du montant du capital social ;

4° Pour les sociétés par action :

a) Selon le cas, des mots :

- " société anonyme " ou des initiales " SA ". En outre, si la société anonyme est dotée d'un directoire et d'un conseil de surveillance, la forme sociale est indiquée par les mots : " société anonyme à directoire et conseil de surveillance " ;

- " société par actions simplifiées " ou des initiales " SAS " ;

- " société en commandite par action " ou des initiales " SCA " ;

- " société européenne " ou des initiales " SE " ;

b) De l'énonciation du montant du capital social qui peut être arrondi à la valeur entière inférieure. Dans le cas d'augmentation de capital résultant de l'exercice, pouvant avoir lieu à tout moment, des droits attachés à des valeurs mobilières donnant accès au capital, de levées d'option de souscription d'actions possibles à tout moment ou du paiement de dividende en actions, et sauf si l'augmentation du capital dépasse 10 % de son montant antérieur, la société n'est tenue de mentionner le nouveau montant du capital dans les actes et documents énumérés à l'alinéa premier qu'à l'expiration d'un délai de trois ans à compter de la constatation de l'augmentation.


Extraits de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique

Article 6, III de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique

III.-1. Les personnes dont l'activité est d'éditer un service de communication au public en ligne [entendu parfois de manière extrêmement large par la jurisprudence,] mettent à disposition du public, dans un standard ouvert :

a) S'il s'agit de personnes physiques, leurs nom, prénoms, domicile et numéro de téléphone et, si elles sont assujetties aux formalités d'inscription au registre du commerce et des sociétés ou au répertoire des métiers, le numéro de leur inscription ;

b) S'il s'agit de personnes morales, leur dénomination ou leur raison sociale et leur siège social, leur numéro de téléphone et, s'il s'agit d'entreprises assujetties aux formalités d'inscription au registre du commerce et des sociétés ou au répertoire des métiers, le numéro de leur inscription, leur capital social, l'adresse de leur siège social ;

c) Le nom du directeur ou du codirecteur de la publication et, le cas échéant, celui du responsable de la rédaction au sens de l'article 93-2 de la loi n° 82-652 du 29 juillet 1982 précitée ;

d) Le nom, la dénomination ou la raison sociale et l'adresse et le numéro de téléphone du prestataire mentionné au 2 du I [donc de l'hébergeur].

2. Les personnes éditant à titre non professionnel un service de communication au public en ligne peuvent ne tenir à la disposition du public, pour préserver leur anonymat, que le nom, la dénomination ou la raison sociale et l'adresse du prestataire mentionné au 2 du I [à savoir l'hébergeur], sous réserve de lui avoir communiqué les éléments d'identification personnelle prévus au 1.

Les personnes mentionnées au 2 du I sont assujetties au secret professionnel dans les conditions prévues aux articles 226-13 et 226-14 du code pénal, pour tout ce qui concerne la divulgation de ces éléments d'identification personnelle ou de toute information permettant d'identifier la personne concernée. Ce secret professionnel n'est pas opposable à l'autorité judiciaire.

Article 14 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique

Le commerce électronique est l'activité économique par laquelle une personne propose ou assure à distance et par voie électronique la fourniture de biens ou de services.

Entrent également dans le champ du commerce électronique les services [entendus de manière large par le législateur comme en témoignent les débats parlementaires] tels que ceux consistant à fournir des informations en ligne, des communications commerciales et des outils de recherche, d'accès et de récupération de données, d'accès à un réseau de communication ou d'hébergement d'informations, y compris lorsqu'ils ne sont pas rémunérés par ceux qui les reçoivent.

Une personne est regardée comme étant établie en France au sens du présent chapitre lorsqu'elle s'y est installée d'une manière stable et durable pour exercer effectivement son activité, quel que soit, s'agissant d'une personne morale, le lieu d'implantation de son siège social.

Article 19 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique

Sans préjudice des autres obligations d'information prévues par les textes législatifs et réglementaires en vigueur, toute personne qui exerce l'activité définie à l'article 14 est tenue d'assurer à ceux à qui est destinée la fourniture de biens ou la prestation de services un accès facile, direct et permanent utilisant un standard ouvert aux informations suivantes :

1° S'il s'agit d'une personne physique, ses nom et prénoms et, s'il s'agit d'une personne morale, sa raison sociale ;

2° L'adresse où elle est établie, son adresse de courrier électronique, ainsi que des coordonnées téléphoniques permettant d'entrer effectivement en contact avec elle ;

3° Si elle est assujettie aux formalités d'inscription au registre du commerce et des sociétés ou au répertoire des métiers, le numéro de son inscription [au RCS ou au répertoire des métiers], son capital social et l'adresse de son siège social ;

4° Si elle est assujettie à la taxe sur la valeur ajoutée et identifiée par un numéro individuel en application de l'article 286 ter du code général des impôts, son numéro individuel d'identification [à la TVA] ;

Si son activité est soumise à un régime d'autorisation, le nom et l'adresse de l'autorité ayant délivré celle-ci ;

Si elle est membre d'une profession réglementée, la référence aux règles professionnelles applicables, son titre professionnel, l'Etat membre dans lequel il a été octroyé ainsi que le nom de l'ordre ou de l'organisme professionnel auprès duquel elle est inscrite.

Toute personne qui exerce l'activité définie à l'article 14 doit, même en l'absence d'offre de contrat, dès lors qu'elle mentionne un prix, indiquer celui-ci de manière claire et non ambiguë, et notamment si les taxes et les frais de livraison sont inclus. Le présent alinéa s'applique sans préjudice des dispositions régissant les pratiques commerciales trompeuses prévues à l'article L. 121-1 du code de la consommation, ni des obligations d'information sur les prix prévues par les textes législatifs et réglementaires en vigueur.

Les infractions aux dispositions du présent article sont recherchées et constatées par les agents mentionnés aux articles L. 511-3 et L. 511-21 du code de la consommation dans les conditions prévues à l'article L. 511-7 du même code.

Extrait relatif aux cookies de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Article 32, II de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :

- de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

- des moyens dont il dispose pour s'y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :

- soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;

- soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.