Nul n’est besoin de rappeler la capitalisation boursière de Twitter (environ 31 milliards de dollars) ou de Facebook (plus de 135 milliards de dollars) pour se rendre compte de l’importance qu’ont acquis les réseaux sociaux dans la vie de tous les jours. Il suffit de constater que l’envoi d’un simple tweet concernant une doléance au service client d’une grande société entraîne de plus en plus une réaction rapide et efficace du « Community manager » (gestionnaire de communauté). De fait, les réseaux sociaux représentent de façon croissante un domaine qu’il faut investir sous peine de perdre des parts de marché en proposant de nouveaux services, mais surtout en gérant et en accompagnant une nouvelle forme de relation client, et ce afin de s’adapter à l’instantanéité des communications. Habitués à l’immédiateté des échanges d’informations et des réponses apportées à leurs interrogations, certains « consommateurs » impatients exigent toujours plus de réactivité de la part des entreprises, qui, en réponse, tentent de les satisfaire en créant les nouveaux produits ou services qu’ils souhaitent voir développer.
Un environnement juridique protéiforme
Mais l’utilisation par l’entreprise de ces nouveaux outils ne doit pas lui faire oublier que les lois « classiques » demeurent applicables, indépendamment des nouvelles formes ou supports que peuvent prendre la communication ou le commerce. Ainsi, concernant le simple exemple des mentions légales, il faut noter que la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), par le biais de son « centre de surveillance du commerce électronique », a mené, notamment pendant l’été 2013, une campagne d’avertissements de certains sites de vente en ligne couplée à des comptes Facebook et Twitter : l’article 19 de la Loi pour la confiance dans l’économie numérique (LCEN) est ainsi interprété comme imposant l’affichage de mentions légales non seulement sur les sites Internet, mais également sur les comptes Facebook et Twitter (la DGCCRF acceptant le renvoi par lien hypertexte dans le cas du descriptif du compte Twitter limité à 140 caractères).
Plus largement, c’est l’ensemble du cadre réglementaire applicable au commerce électronique ou encore à la publicité (ainsi que le droit d’auteur, la protection des données à caractère personnel, etc.) que l’entreprise se doit de respecter lorsqu’elle agit sur les réseaux sociaux. De plus, en tant qu’établissement de crédit ou société d’assurance par exemple, elle est notamment astreinte aux règles existantes en matière de commercialisation à distance de produits ou services financiers, en matière de démarchage, ou encore les règles spécifiques aux produits et services sur lesquels elle souhaite communiquer. De même en ce qui concerne ses obligations en matière de lutte contre la fraude, de connaissance du client, d’adéquation du produit proposé à celui-ci, d’information, de mise en garde, etc.
Contrôle et sanctions
Dans certains cas, la tentation peut être parfois grande d’imiter les pratiques discutables d’autres acteurs économiques, en achetant les followers d’un compte Twitter, ou en organisant une campagne laudative à l’aide d’avis de consommateurs falsifiés ou de chroniques de soi-disant experts reconnus. Ainsi, concernant les avis en ligne de consommateurs, la nouvelle norme AFNOR NF Z 74-501 tente d’en assurer la fiabilité, mais celle-ci n’en restera toujours que relative, étant fondée sur la pure déclaration des internautes, sans vérification.
Mais rappelons que l’identification d’une publicité comme telle, ainsi que l’identité de son annonceur, sont légalement obligatoires (article 20 de la LCEN) et que l’article L. 121-1 du Code de la consommation analyse comme une pratique commerciale trompeuse le fait de ne pas clairement identifier l’annonceur ou quand le message publicitaire « n'indique pas sa véritable intention commerciale dès lors que celle-ci ne ressort pas déjà du contexte ». L’article L. 121-1-1 du même code répute en particulier comme trompeuse la pratique consistant pour l’annonceur à « utiliser un contenu rédactionnel dans les médias pour faire la promotion d'un produit ou d'un service alors que le professionnel a financé celle-ci lui-même, sans l'indiquer clairement dans le contenu ou à l'aide d'images ou de sons clairement identifiables par le consommateur ».
Quelques annonceurs (restant responsables à titre principal de l’infraction) ont ainsi été dénoncés au public, du fait de la création de faux profils d’experts « reconnus » s’exprimant à leur entier bénéfice sur Médiapart, Le Figaro, Les Échos, le Huffington Post ou encore
Pour rappel, le contrôle de la DGCCRF pourrait se trouver renforcé dans le cadre du projet de loi relatif à la consommation, toujours en discussion au Parlement à la date de rédaction de ces lignes. Parallèlement à la reconnaissance des « actions de groupe » à la française, susceptibles d’avoir de forts impacts sur l’utilisation des réseaux sociaux, le projet insère un article L. 215-3-4 II au sein du Code de la consommation qui ouvre la possibilité aux agents de la DGCCRF d’agir sur Internet sous une identité d’emprunt pour mieux identifier les manquements (cette disposition ayant été adoptée par les deux chambres).
De la même façon, les attributions de l’ACPR, encore élargies par la loi de séparation et de régulation des activités bancaires du 26 juillet 2013, notamment concernant le contrôle du respect de l’ensemble des règles destinées à assurer la protection de la clientèle, autorisent ses enquêteurs et contrôleurs de prendre, eux aussi, une identité d’emprunt leur permettant d’accéder aux informations et éléments disponibles via ces services et d’identifier l’offre de services d’investissement et les conditions de commercialisation des instruments financiers (art. L. 612-24 du CMF). Enfin, les contrôleurs de l’AMF bénéficient du même droit (article L. 621-10 du CMF), ainsi que de la possibilité de se faire communiquer, à des fins d’identification, les logs de connexion à Internet collectés par les opérateurs techniques en application de l’article L. 34-1 du CPCE et les points 1 et 2 du I de l’article 6 de la LCEN.
Surtout, outre les réglementations purement nationales, une société d’assurance ou un établissement de crédit utilisant un réseau social doit prendre conscience également d’être sous l’entière sujétion des conditions générales d’utilisation dudit gestionnaire de ce réseau (Facebook, LinkedIn, etc.), dont le strict respect s’impose, dont l’interprétation sera du ressort de celui-ci et dont le juge saisi en cas de conflit sera de nationalité américaine le plus souvent. Il en découle des contraintes fortes qui ne sont pas toujours anticipées par l’entreprise (cf. Kiabi et le retrait de sa page au public de 130 000 membres pendant une semaine en décembre 2010 pour ne pas avoir respecté l’interdiction d’affichage, sur sa page Facebook, du nom des gagnants à un de ses jeux-concours).
Expression sur les réseaux sociaux
Par ailleurs, l’entreprise souhaitant assurer sa présence sur les réseaux sociaux doit également prendre en compte la nature des propos qui seraient tenus sur les réseaux en son nom, aussi bien concernant les règles applicables en matière de publication d’informations financières (décision de la commission des sanctions de l’AMF concernant deux blogueurs
En l’occurrence, les possibilités d’expression sur des réseaux, qui n’ont de privés que le nom, sont à l’origine d’un contentieux naissant qui promet d’être riche, tel le licenciement de salariés critiquant leurs supérieurs hiérarchiques sur Facebook, un de leurs « amis » Facebook ayant relayé l’information à l’employeur (CA Rouen, le 15 novembre 2011, et CA Besançon, le même jour). Si les contenus mis en ligne par certains salariés sont susceptibles de fonder une sanction de la part de l’employeur, des procédés de preuve licite des propos fautifs doivent avoir été mis en œuvre par l’entreprise. En effet, tout moyen de preuve n’est pas accepté par les juridictions civiles et un moyen de preuve illicite est susceptible d’engager la responsabilité civile, voire pénale de l’employeur (atteinte à la vie privée, le cas échéant interception de correspondance privée, etc.). Dans ce contexte, la collecte des données à caractère personnel doit être strictement encadrée.
Car, de façon plus globale, l’usage des réseaux sociaux par l’entreprise doit s’inscrire dans le respect des obligations posées par la loi du 6 janvier 1978 sur la protection des données à caractère personnel (loi Informatique et Libertés), que ce soit dans un contexte de prise de sanction à l’encontre du salarié comme évoqué, mais également de recrutement de personnel, ou bien encore au titre de la mise en ligne des données clients sur un réseau social externe de l’entreprise.
Recrutement
En premier lieu, dans le contexte du recrutement de personnel, le principe de collecte loyale et licite des données relatives au candidat à l’embauche s’impose à l’entreprise, souvent tentée d’aller puiser ses informations dans l’inépuisable mine que sont les réseaux sociaux « professionnels » (de type LinkedIn, Viadeo) ou « privés » (comme Facebook).
Certes, la jurisprudence a eu l’occasion de considérer qu’il appartenait à l’employeur « de s’informer préalablement à la conclusion du contrat des réelles capacités professionnelles du candidat » (CA Nancy 27 mars 2002) ou encore « de vérifier la véracité des mentions figurant sur le CV » (CA Montpellier 5 février 2002).
Pour autant, la licéité de la collecte repose sur l’information préalable de la personne qui candidate (art. L. 1221-8 et 1221-9 du Code du travail), et l’employeur n’est pas autorisé à utiliser indûment l’ensemble des informations mises en ligne par le candidat. Au vu de l’article l’art. L. 1132-1 du Code du travail, ainsi que des principes posés par la loi du 6 janvier 1978 et par la CNIL (interdiction de collecte de certaines données, etc.), il risquerait de s’exposer notamment à une action intentée sur le non-respect de la loi Informatique et Libertés ou sur le fondement de la discrimination (tous deux pénalement sanctionnés). Faisant office de « guide » en la matière, la charte d’autorégulation « Réseaux sociaux, Internet, Vie privée et Recrutement », signée le 14 janvier 2010 par l’ANRDH, l’APEC, le Syntec Recrutement ou encore les 40 cabinets de recrutement de l’association « À compétence égale », opère notamment une distinction entre les réseaux privés – de type Facebook ou Copains d’avant – d’une part (pas de sollicitation dans un but professionnel sans consentement, donc principe d’adhésion volontaire du candidat aux groupes ou pages de fans gérées par les recruteurs), et les réseaux professionnels– de type Viadeo ou LinkedIn – d'autre part (usage privilégié pour diffuser les annonces, entrer en relation avec les candidats et prendre connaissance d’informations publiques sur leur situation professionnelle).
Souhaitant exclure tout critère d’ordre personnel et privé, la charte prévoit de ne pas collecter de telles informations, même si elles sont rendues accessibles par les utilisateurs eux-mêmes ou encore de sensibiliser et former les recruteurs sur la nécessité de ne pas collecter ni de ne tenir compte de telles informations.
Données clients
En second lieu, en ce qui concerne la mise en ligne éventuelle de données clients sur un réseau social externe de l’entreprise, elle doit être réalisée avec grande prudence, ces informations étant souvent protégées par le secret bancaire, voire constitutives de données à caractère personnel au sens de l’article 2 de la loi Informatique et Libertés. L’entreprise est donc tenue de strictes obligations de sécurité et de confidentialité des données (art. 34 de la loi précitée, art. 226-13 du Code pénal, etc.). L’entreprise doit alors prendre toutes mesures, en l’état de l’art, afin notamment d’en garantir l’accès à leurs seuls destinataires autorisés.
En synthèse, si l’entreprise se doit d’être présente et active sur ces réseaux, elle se doit aussi de le faire dans le respect d’un cadre juridique foisonnant, en ayant mis en place des procédures, voire des outils techniques appropriés, via des community managers formés aux préceptes juridiques de base et des salariés responsabilisés, informés des possibilités, mais aussi des précautions indispensables qu’ils doivent prendre lorsqu’ils utilisent ces outils pour ne pas engager leur propre responsabilité.
