CBD : Halte à la provoc’ !

Alors que fleurissent dans toutes les villes de France des boutiques de CBD et que les sites spécialisés prospèrent sur la toile, les magistrats de la cour d’appel de Chambéry et le ministre de la Santé viennent nous rappeler à quelques jours d’intervalle certaines limites à ne pas franchir.

  1. L’arrêt de la cour d’appel de Chambéry du 4 novembre 2021

La cour d’appel de Chambéry a rendu une décision le 4 novembre 2021 (CA Chambéry, ch. corr., 4 novembre 2021, n° 19/00244) s’inscrivant dans les suites du fameux arrêt Kanavape par lequel la Cour de justice de l’Union Européenne a demandé à la France de revoir sa copie concernant sa règlementation sur le CBD (CJUE, 19 novembre 2020, C-663/18).

L’affaire concernait une société SAS WNJ et ses deux associés qui à l’époque des faits vendaient des graines de chanvre, des fleurs, des tisanes, du e-liquide et des produits à base de CBD dans une boutique et par le biais d’un site internet.

Les prévenus avaient sollicité et obtenu un sursis à statuer dans l’attente de l’arrêt « Kanavape ». Dans cet arrêt rendu sur question préjudicielle posée par la cour d’appel d’Aix en Provence, la cour de justice a considéré en substance que les produits à base de cannabidiol (CBD) pouvaient bénéficier du principe de libre circulation des marchandises au sein de l’UE.

En l’espèce, la cour de Chambéry a considéré que l’origine des produits était incertaine et qu’elle ne pouvait donc pas déterminer si le principe de la libre circulation au sein de l’Union Européenne et l’arrêt Kanavape s’appliquaient.

La décision n’est donc pas particulièrement intéressante sur ce point mais elle est par contre riche d’enseignements sur le terrain de l’administration de la preuve et des limites dans la façon dont les produits à base de CBD peuvent être présentés aux consommateurs.

Le Parquet avait en effet poursuivi, classiquement, pour plusieurs infractions à la règlementation des stupéfiants (détention, offre, acquisition, importation). Certains produits avaient été saisis et analysés et le laboratoire de l’INPS (« Institut National de Police Scientifique ») avait relevé des « traces » de THC sans préciser de pourcentage. La cour a considéré qu’en l’absence de preuve d’un taux de THC supérieur à 0,20%, la règlementation sur les stupéfiants ne s’appliquait pas.

Mais le Parquet avait également poursuivi le délit plus général de tromperie. Il semble que le site internet vantait les bienfaits thérapeutiques de certaines graines (pour « lutter contre la douleur », « détendre les muscles », « lutter contre le stress », « aider à trouver le sommeil en cas d’insomnie », « aider les patients souffrant de cancer, parkinson, SIDA, migraines, troubles musculaires, de la personnalité, etc »). Si une relaxe a été prononcée en l’espèce de ce chef, la prudence s’impose à tous les acteurs de la filière sur la description des vertus prêtées à ces produits.

En revanche, la société et ses associés ont été condamnés à payer une amende de 2.000 € chacun pour provocation à l’usage de stupéfiants. En effet, le site internet indiquait que la résine était « remplie de THC » et venait d’une région « où s’élabore le meilleur haschich du monde ». Les vendeurs de CBD seront donc bien avisés de veiller à éviter le rapprochement entre leurs produits et des substances considérées comme stupéfiantes. C’est d’ailleurs ce qu’a également rappelé récemment le ministre de la Santé.

  1. Les réponses du ministre de la Santé du 25 novembre 2021 aux questions des parlementaires

La commercialisation du CBD, en particulier de la fleur, fait encore l’objet d’un débat juridique et politique important. Ces derniers mois, plusieurs sénateurs français ont formulé des « questions écrites » au gouvernement afin qu’il se positionne plus clairement sur la commercialisation du CBD sous toutes ses formes (question écrite n° 22108 de M. Philippe Bonnecarrère, question écrite n° 21820 de M. Yves Bouloux, question écrite n° 21325 de M. Serge Mérillou, question écrite n° 20589 de M. Serge Babary).

Les réponses du ministre de la santé ont été publiées le 25 novembre et le texte des quatre réponses est quasiment identique. Après avoir rappelé le contexte de l’arrêt Kanavape et l’obligation pour la France de revoir sa législation sur le CBD, le ministre indique :

« Les autorités françaises prennent acte de cet arrêt [Kanavape]. Elles tiennent à souligner que, dans cet arrêt, la CJUE reconnaît que l’application du principe de précaution pourrait, sous réserve d’éléments scientifiques probants, justifier une réglementation restreignant la commercialisation des produits à base de CBD. Elles étudient les voies et moyens pour prendre en compte ses conclusions. Les autorités réitèrent d’ores et déjà leurs avertissements concernant les effets potentiellement nocifs de la molécule de CBD, encore peu connue. Elles signalent en outre les risques sanitaires liés au Delta-9-tétrahydrocannabinol (THC), molécule classée comme stupéfiant, que sont susceptibles de contenir les produits issus du chanvre. Elles appellent à la plus grande vigilance concernant les modes de consommation de ces produits, notamment la voie fumée, dont la toxicité est avérée. »

Par ailleurs, le ministre rappelle que « les produits contenant du CBD demeurent soumis au respect des dispositions législatives françaises et plus particulièrement des suivantes :

– Ils ne peuvent, sous peine de sanctions pénales, revendiquer des allégations thérapeutiques, à moins qu’ils n’aient été autorisés comme médicament par l’agence nationale de sécurité du médicament et des produits de santé ou la Commission européenne sur la base d’un dossier évalué selon des critères scientifiques de qualité, sécurité et efficacité.

– Les publicités en faveur de produits contenant du CBD ne doivent pas entretenir de confusion entre le cannabis et le CBD et faire ainsi la promotion du cannabis. Cette pratique est susceptible de constituer l’infraction pénale de provocation à l’usage de stupéfiant. »

L’affaire WNJ montre que cette dernière infraction de provocation à l’usage de stupéfiants n’est pas une menace théorique mais que des condamnations sont prononcées de ce chef.

Suite à l’arrêt Kanavape, le gouvernement français a publié un projet d’arrêté qui a été soumis à la Commission européenne et a suscité de nombreux commentaires. Une question prioritaire de constitutionnalité a également été posée au Conseil Constitutionnel sur la réglementation actuelle sur le chanvre. On regrette que les réponses du ministre de la Santé entretiennent encore le flou sur ce qui pourrait figurer dans le texte définitif de cet arrêté fort attendu.

 

Projet de lignes directrices du CEPD clarifiant la notion de transfert de données vers un pays tiers, y compris vers une organisation hors UE soumise au RGPD (au titre de son article 3)

Le 18 novembre 2021, le Comité Européen de la Protection des Données, le « CEPD »[1] a publié (en anglais) un projet de lignes directrices (ci-après « Lignes directrices ») sur l’interaction entre l’application de l’article 3 (champ d’application territorial) et les dispositions sur les transferts internationaux au chapitre V du Règlement général sur la Protection des Données («RGPD »).

L’objectif des lignes directrices est notamment de clarifier les cas dans lesquels le chapitre V du RGPD s’applique. Le chapitre V vise à garantir une protection continue des données personnelles, même lorsque les données sont transférées vers des « pays tiers ».

Le présent article donne un aperçu des Lignes directrices.

Contexte : comment traiter les flux de données vers des organisations hors UE mais soumises au RGPD ?

Ces Lignes directrices ont été établies principalement pour la raison suivante : le RGPD s’applique non seulement à des organismes établis dans l’UE (ou plutôt l’Espace Economique Européen ou « EEE ») mais aussi à certains responsables du traitement et aux sous-traitants établis en dehors de l’UE. En effet, le RGPD s’applique à des organisations établies en dehors de l’UE (i) en vertu de l’article 3 (2) du RGPD, en application du critère dit de « ciblage » et (ii) dans certains cas plus exceptionnels, selon une interprétation très large de l’article 3 (1) du RGPD en application du critère dit de « l’établissement » (comme c’est le cas notamment dans l’arrêt « Google Spain » de la CJUE[2]). Ainsi, la question s’est posée de savoir si un transfert de données par une organisation dans l’UE à des organisations établies hors de l’UE mais entrant dans le champ d’application du RGPD en application de l’article 3, devait être conforme au chapitre V, étant donné que les destinataires doivent déjà se conformer au RGPD. Ne faudrait-il pas traiter ce genre de transfert de la même façon qu’un transfert au sein même de l’UE ?

Sur le principe, le CEPD indique clairement que le chapitre V du RGPD doit s’appliquer même dans la situation où le traitement relève de l’article 3 (2) du RGPD, et ce « pour éviter que la protection offerte par le RGPD ne soit compromise par la législation dont relève l’importateur ».

À cet effet, les Lignes directrices s’attachent à clarifier les critères d’un transfert de données vers un pays tiers en vertu du chapitre V du RGPD. Le CEPD illustre ses orientations par des exemples permettant de déterminer si ces critères sont remplis.

Critères du transfert international de données

Selon les Lignes directrices, il y a transfert international de données si le traitement en question remplit les trois critères suivants :

  1. un responsable du traitement ou un sous-traitant soumis au RGPD pour un traitement donné ;
  2. ledit responsable du traitement ou le sous-traitant agit comme un « exportateur » en divulguant par transmission des données personnelles du traitement en question, ou en les mettant autrement à disposition d’un autre responsable du traitement ou sous-traitant (un « importateur ») ; et
  3. l’importateur se trouve dans un pays tiers (peu important qu’il soit soumis ou non au RGPD en application de l’article 3).

Premier critère : l’exportateur de données est soumis au RGPD pour un traitement donné

Comme indiqué ci-dessus, le premier critère couvre de manière égale les deux types de situations :

  • les traitements de données personnelles effectués dans le cadre des activités d’un établissement dans l’UE (l’art. 3(1) du RGPD) ; et
  • les traitements des données des organisations qui ne sont pas établies dans l’UE lorsque ces traitements concernent des personnes physiques dans l’UE dans le cadre soit (i) de l’offre de biens ou de services à des personnes de l’UE, soit (ii) du suivi du comportement de personnes dans l’UE (article 3(2) du RGPD).

Le CEPD souligne que pour éviter des erreurs, il faut prendre en compte l’activité de traitement concernée plutôt que l’entreprise elle-même.

Deuxième critère : les données sont transférées entre deux « parties » (exportateur et importateur)

Il faut que deux « parties » différentes soient impliquées pour qu’il y ait un transfert international au titre du chapitre V : un exportateur (responsable du traitement ou sous-traitant) qui partage les données personnelles avec un importateur (responsable du traitement ou sous-traitant). Le CEPD illustre ce point à l’aide d’un certain nombre d’exemples.

L’exemple 5 permet de clarifier que l’accès à distance au système informatique de son entreprise (dans l’UE) par un employé voyageant à l’étranger (hors UE) n’équivaut pas à un transfert de données, puisque l’employé n’est pas une partie différente (il n’est ni un responsable du traitement, ni un sous-traitant). Au contraire, l’employé fait partie intégrante de l’entreprise européenne.  Le traitement n’engage pas deux parties différentes, et il n’y a donc pas à proprement parler de transfert de données.

L’exemple 1 clarifie quant à lui que la collecte d’informations par un site de e-commerce hors UE auprès d’un individu basé dans l’UE qui lui achète un bien en ligne, ne constitue par un transfert international de données, car cet individu n’est ni un responsable du traitement ni un sous-traitant. Dans ce scenario il n’y a pas d’exportateur de données.

Les Lignes directrices rappellent aussi que l’exportateur peut être un sous-traitant transférant des données vers un sous-traitant ultérieur hors de l’UE ou vers un responsable de traitement hors UE.

Un certain nombre de situations supplémentaires de flux de données mériteraient d’être expliquées dans ces Lignes directrices, comme par exemple, le partage de données entre une succursale de l’UE et son siège social dans le pays tiers. Cela sera peut-être le cas dans la version définitive des Lignes directrices.

Troisième critère : l’importateur se trouve dans un pays tiers (peu important qu’il soit soumis ou non au RGPD en application de l’article 3)

Le destinataire des données, « l’importateur », doit être situé dans un pays tiers (à savoir un pays non membre de l’UE /l’EEE), et il importe peu que le traitement de données de l’importateur entre ou non dans le champ d’application du RGPD du fait de l’article 3.

En effet, comme indiqué ci-dessus, le fait que l’importateur de données doive se conformer au RGPD (lorsqu’il entre dans son champ d’application) ne constitue pas une protection suffisante dans le cadre du transfert, car les lois du pays tiers peuvent porter atteinte à cette protection. C’est la raison pour laquelle les exportateurs doivent se conformer au chapitre V même dans ce cas.

L’exemple 7 couvre le cas d’un prestataire français qui «re-transfère » des données à son client, un site d’e-commerce chilien ciblant le marché européen.

Bien que les Lignes directrices ne fournissent pas d’exemple à cet effet, nous déduisons que le transfert de donnée provenant d’une entité non européenne dont le traitement entre dans le champ d’application du RGPD au titre de l’article 3 (2) vers une autre partie dans un pays tiers, est également considéré comme un transfert international. Ceci s’applique même si ce transfert est effectué au sein du même pays (par exemple, le transfert de données d’un site de e-commerce basé aux États-Unis vers un hébergeur de données basé aux États-Unis). Ainsi, l’organisation non européenne devrait se conformer au chapitre V pour de tels transferts, et adopter un mécanisme de transfert de données, tel que les clauses contractuelles types (« CCT »). Et le terme « exportateur » peut donc également s’appliquer à une organisation non européenne. Nous rappelons par ailleurs que le chapitre V et les présentes Lignes directrices s’appliquent aux transferts ultérieurs.

Attente d’une nouvelle série de clauses contractuelles types (CCT) pour couvrir certains flux de données

Des CCT pour le transfert de données vers un pays tiers en application du RGPD ont été adoptées par la Commission européenne en juin 2021 (voir notre commentaire sur ces CCT ).  Cependant, il est difficile d’utiliser ces CCT en cas de transfert vers des organisations basées dans un pays tiers et dont le traitement entre dans le champ d’application du RGPD et d’ailleurs la décision de la Commission européenne l’exclu expressément[3]. De même, ces mêmes organisations établies hors UE trouvent difficile de les utiliser pour les transferts vers des pays tiers, car ces CCT ont été établies en partant du principe que l’exportateur de données est basé dans l’UE et que l’importateur n’est pas soumis au RGPD (même si la clause 13 des CCT relative au « contrôle » prévoit la possibilité pour un exportateur de données de ne pas être établi dans l’UE, tout en étant soumis au RGPD).

Outre la question pratique du mécanisme contractuel, l’une des préoccupations est que l’utilisation des CCT existantes soumettrait contractuellement l’importateur de données à un niveau de protection des données inférieur à celui du RGPD, alors même que l’importateur de données est par ailleurs déjà soumis au RGPD pour le traitement en question.

De ce fait, le CEPD est en faveur du développement d’un nouveau mécanisme de transfert de données, tel qu’une nouvelle version de CCT, adaptée à la situation d’un importateur de données dont le traitement tombe dans le champ d’application du RGPD. L’objectif devrait être d’éviter la duplication des obligations du RGPD et de ne combler que les lacunes, comme en ce qui concerne les lois du pays tiers contredisant le RGPD et permettant l’accès aux données par les autorités du pays tiers au-delà de ce qui est admissible. Le CEPD exprime également sa volonté de coopérer (vraisemblablement avec la Commission européenne et d’autres parties prenantes) à ce développement. La Commission européenne devrait publier une nouvelle version des CCT dans le courant de l’année 2022.

Attention : absence de transfert international n’équivaut pas à absence de protection

Si les trois critères sont remplis, le CEPD considère qu’il y a un transfert international de données au titre du chapitre V, et que les entreprises impliquées dans ce transfert doivent mettre en œuvre un mécanisme de transfert de données adéquat pour protéger les données personnelles de l’UE (ou mettre en place les dérogations prévues audit Chapitre V).

Par ailleurs les Lignes directrices désignent certaines catégories de flux de données qui ne constituent pas un transfert de données dans le cadre du chapitre V. Le CEPD rappelle néanmoins que dans ce cas, les organismes soumis au RGDP doivent mettre en place des mesures de protection et sauvegarde en application notamment de l’article 32 RGPD en fonction du risque existant dans le pays où ils sont établis (par exemple lorsque le pays dans lequel ils sont établis permet aux autorité d’avoir accès aux données au-delà de ce qui est nécessaire dans une société démocratique). Le CEPD énumère, entre autres obligations, les responsabilités du responsable du traitement découlant de l’article 24 RGPD, ou l’obligation de réaliser une évaluation d’impact sur la protection des données, voire les dispositions de l’article 48 sur les transferts non autorisés (![4]). Par conséquent, même dans les cas où les organismes n’ont pas à respecter le chapitre V, les autres dispositions du RGPD les contraignent à analyser et prendre en compte les problèmes potentiels du fait de la législation ou des pratiques dans le pays tiers, et à les traiter en conséquence.

Prochaines étapes

Les Lignes directrices font l’objet d’une consultation publique et les parties intéressées peuvent soumettre leurs points de vue jusqu’à la fin janvier 2022. Le CEPD adopte généralement la version définitive de ses lignes directrices plusieurs mois après la clôture d’une consultation publique. Sans attendre la version définitive, qui devrait être due dans le courant de l’année prochaine, on peut cependant partir du principe que les points de vue exprimés par le CEPD dans le projet de lignes directrices resteront largement les mêmes.

 

Si vous avez des questions sur vos obligations en matière de transfert de données en vertu du RGPD, vous pouvez contacter Stephanie Faber  stephanie.faber@squirepb.com ou tout membre de l’équipe européenne du département Data Privacy, Cybersecurity & Digital Assets.

 

[1] EDPB (European Data Protection Board) en anglais

[2]   Arrêt Google Spain de la CJUE (affaire C‑131/1213) 13  mai 2014

[3]  Point (7) Décision d’exécution de la Commission relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679

[4] La responsable du secrétariat du CEPD a reconnu lors d’une interview par l’IAPP le 29 novembre 2021 qu’il fallait que les institutions européennes clarifient la question de l’application de l’article 48 aux organisations soumises au RGPD en application de l’article 3(2)

Vidéo – Comprendre en quoi consiste la « conformité au RGPD » pour des prestataires établis hors de l’UE

Nous vous invitons à visionner l’intervention de Stéphanie Faber Understanding What «GDPR Compliance» Means for a Non-EU Vendor, organisée par Events 4 Sure, le 20 octobre dernier, lors de la conférence en ligne Global Legal ConfEx, Middle East.

A voir, en anglais, sur la chaîne YouTube de Sorbonne Assas International Law Scool, sponsor de l’intervention de Stéphanie qui enseigne par ailleurs au DU DPO (Délégué à la Protection des Données) de Paris II Panthéon Assas.

 

Video – Understanding What «GDPR Compliance» Means for a Non-EU Vendor

We invite you to watch the presentation recently made by Stéphanie Faber at the Global Legal ConfEx, Middle East – Online Event, organized by Events 4 Sure.

Sponsored by Sorbonne Assas International Law Scool, the presentation is available on their YouTube channel :

Stephanie is a speaker at the University Paris II Pantheon-Assas’ diploma for Data Protection Officers.

Global HR Audit : pour un audit de conformité RH international

Permettre aux entreprises d’identifier rapidement les documents et politiques RH nécessaires dans chacun des pays où elles sont implantées, et ceux qu’elles pourraient envisager de prendre en compte à l’échelle mondiale, pour dépasser la simple conformité, tel est l’objet de notre outil (gratuit) Global HR Audit.

Des critères environnementaux, sociaux et de gouvernance (ESG) sont inclus, dans l’optique d’aller au-delà de la conformité et de mettre en avant les valeurs de l’entreprise.

Pour plus d’information : https://bit.ly/3AXVMP6

Compliance – êtes-vous à jour des nouvelles exigences de l’Autorité de la concurrence en matière de programme de conformité (Octobre 2021) ?

L’Autorité de la concurrence a lancé la semaine dernière une consultation concernant les programmes de conformité.  Le document-cadre que propose l’Autorité indique les « mesures concrètes et effectives » que doivent mettre en place les entreprises pour prouver leurs investissements « réels et volontaristes » dans la compliance, et ce, à tous les niveaux hiérarchiques.   L’Autorité rappelle dans ce document-cadre les lourdes sanctions liées au non-respect des règles de concurrence – en ce compris les amendes et peines d’emprisonnement pour les personnes physiques impliquées dans des pratiques anticoncurrentielles.

L’Autorité identifie 5 piliers autour desquels doit se construire un programme effectif et « sur-mesure » de compliance – à savoir :

  1. Un engagement public de l’entreprise – c’est à dire « une prise de position claire, ferme et publique» des organes de direction et des mandataires sociaux.  Tous les niveaux de l’entreprise doivent être concernés : la direction générale, les directions techniques (juridique et technologie de l’information notamment) ainsi que les équipes commerciales sur le terrain ;
  2. Des relais et experts internes doivent (a) être désignés par, et avoir accès aux, organes de direction et (b) disposer du temps et des pouvoirs nécessaires ainsi que des moyens humains et financiers pour mener à bien leur mission ;
  3. Des dispositifs d’information, formation et sensibilisation doivent être mis en place et être adaptés à chaque public interne cible. L’Autorité requiert en particulier la mise en place d’une « veille régulière » pour identifier tout problème de conformité, en particulier tout état de position dominante dans lequel l’entreprise pourrait se trouver.  Cette exigence semble néanmoins déraisonnable dans la mesure où l’Autorité de la concurrence est l’adjudicatrice finale des définitions de marché et ainsi de l’état de position dominante d’une entreprise ;
  4. Des mécanismes de contrôle et d’alerte sous la forme de dispositions intégrées au règlement intérieur, de clauses insérées dans les contrats de travail ou encore d’attestations individuelles de conformité. L’Autorité requiert par ailleurs la mise en œuvre d’« audits juridiques » pour détecter les cas de non-conformité ;
  5. Un dispositif de suivi comprenant une procédure de traitement des demandes de conseil et des alertes, ainsi qu’un programme de sanction en cas de non-respect.

Ces lignes directrices de l’Autorité de la concurrence en matière de compliance sont claires et opportunes, bien qu’elles ne semblent pas adaptées à tout type d’entreprise – en particulier au monde du digital et ses startups à croissance rapide.  L’Autorité semble néanmoins peu encline à les exempter des efforts de compliance et recommande « aux entreprises de petite taille qui ne peuvent nommer des responsables conformité à temps partiel ou complet, le recours à des avocats [qui] peut permettre d’externaliser la fonction conformité et les prestations qui s’y attachent ».

Nos équipes Droit de la Concurrence et Conformité en France, en Europe et à l’international peuvent vous accompagner dans la création, la mise en œuvre et/ou la refonte de vos programmes de compliance afin d’éviter de lourdes amendes, les contraintes liées aux enquêtes ainsi que le risque d’atteinte à la réputation liés à l’application du droit de la concurrence et des autres domaines de la conformité (la lutte contre la corruption et le blanchiment, la protection des données, la politique environnementale, etc.).

La consultation de l’Autorité concernant ce document-cadre, à laquelle l’ensemble des acteurs concernés peut participer, est ouverte jusqu’au 10 décembre 2021.

Squire Patton Boggs renforce son département droit de la concurrence à Paris

Erling Estellon, 34 ans, rejoint notre bureau parisien en qualité de Of Counsel depuis le bureau de Londres où il exerçait depuis 2016.  Entre 2012 et 2016, Erling était basé à Bruxelles et exerçait au sein du cabinet Arnold & Porter.

Erling est un spécialiste reconnu en droit de la concurrence, notamment dans le secteur du digital où il conseille de nombreuses marketplaces / plateformes numériques, et a développé une expertise spécifique en matière de droit économique, contrôle des concentrations, procédures antitrust et compliance.

Au cours des 10 dernières années Erling est intervenu dans les affaires antitrust les plus emblématiques devant l’Autorité française de la concurrence ainsi que la Commission et les juridictions européennes et à ce titre, il a assisté de nombreux clients français et internationaux lors de procédures de dawn raids en France et à l’étranger.

Il conseille à la fois des fournisseurs/marques, distributeurs et plateformes pour anticiper, naviguer et comprendre les réformes du droit économique – en particulier, la révision en cours des principes encadrant les contrats d’agence, de franchise et de distribution (Règlement restrictions verticales 330/2010), et les nouvelles règles applicables aux plateformes numériques (Digital Markets Act, Digital Services Act, etc.).

Il a par ailleurs représenté en 2021 les groupes Homeserve et DCC dans des notifications auprès de l’Autorité de la concurrence, la plateforme Reward Gateway dans son acquisition par les fonds d’investissement Abry Partners et Castik Capital devant la Commission européenne ainsi que de nombreuses plateformes et acteurs industriels de premier plan en France et à l’étranger.

Selon Brian Hartnett, co-chair de la pratique Competition & Antitrust au niveau mondial : « Nous sommes ravis de constater l’importance croissante pour nos clients des problématiques liées au droit de la concurrence, tout particulièrement en France. Dans ce contexte, l’arrivée d’Erling est une excellente nouvelle pour le bureau de Paris. »

Carole Sportes, Managing Partner du bureau de Paris rajoute : « C’est avec plaisir que nous accueillons Erling au sein de notre équipe parisienne en pleine expansion. Nos clients sont de plus en plus vigilants face aux règles et enjeux du droit de la concurrence et le transfert d’Erling depuis notre bureau de Londres va de pair avec le renforcement à Paris de nos équipes IP/IT avec l’arrivée en 2020 de Catherine Muyl et notre activité nourrie en M&A et private equity. »

 

Une semaine riche pour Squire Patton Boggs à l’occasion de la Paris Arbitration Week

Notre équipe International Dispute Resolution (« IDR ») a eu le plaisir d’accueillir aux côtés de l’Equal Representation in Arbitration Pledge (« ERA Pledge »), Claudia Salomon, Présidente de la Cour d’Arbitrage Internationale de la Chambre de Commerce Internationale, autour d’un cocktail déjeunatoire et d’organiser une table ronde dédiée à « L’arbitrage en Afrique et l’Afrique dans l’arbitrage ». Retour sur ces deux temps forts de la Paris Arbitration Week.

Lunch de l’ERA Pledge avec Claudia Salomon

La semaine a été lancée par un cocktail déjeunatoire sur le thème de la diversité dans l’arbitrage, avec la participation de Claudia Salomon, de représentants de l’ERA Pledge, dont Alison Pearsall (Global Subcommittee), Gisèle Stephens-Chu (Corporate Subcommittee), Caroline Croft (Co-Chair, Young Practitioners Subcommittee), Krystle Baptista (Young Practitioners Subcommittee) et Sara Nadeau Séguin (Young Practitioners Subcommittee) ainsi que de nombreux invités et personnalités issus du monde de l’arbitrage.

Après le chaleureux discours de bienvenue de Carole Sportes, Associée dirigeante du bureau Squire Patton Boggs de Paris, à la tête de l’équipe IDR parisienne, Claudia Salomon est revenue sur sa propre expérience, et a lancé un appel pour une meilleure représentation de la diversité dans l’arbitrage.

Prenant appui sur des études menées en Inde, Ouganda et Etats-Unis, illustrant son propos avec les figures de Ruth Bader-Ginsburg et du couple Obama, Claudia Salomon a insisté sur l’importance de mettre en avant et de façon plus visible, une diversité de parcours, des personnalités et profils à tous niveaux dans l’arbitrage, avec comme mot d’ordre « Le voir c’est y croire, représentation = inspiration ».

La diversité lorsqu’elle est visible inspire, motive, et initie un cercle vertueux. Le monde de l’arbitrage ne peut que s’enrichir d’accueillir une multiplicité de profils et compétences.

Alison Pearsall, Counsel chez Veolia et avocate au barreau de New York, a souligné le rôle crucial de l’ERA Pledge (2015) pour favoriser l’égalité des chances et la féminisation des tribunaux arbitraux. Des progrès sont en cours mais rien n’est acquis. Parmi les récentes initiatives de l’ERA Pledge, on citera le développement d’une « Checklist » pour la sélection des arbitres et des « Lignes Directrices » pour favoriser une meilleure représentation des femmes dans les nominations d’arbitres.  Son sous-comité dédié au soutien de la nouvelle génération, le Young Practitioners Subcommittee (« YPSC »), a lancé cet automne une série de webinaires et formations « Push 4 Parity » et « ARBinBrief » sur l’exercice du métier d’arbitre, ainsi que des séminaires en collaboration avec EY et ArbitralWomen, avec le soutien de Rising Arbitrators Initiative (pour plus d’informations : www.arbitrationpledge.com/events).

Un cocktail déjeunatoire a permis de prolonger les conversations.

L’Afrique dans l’Arbitrage et l’Arbitrage en Afrique – Echange de perspectives

La semaine de l’arbitrage s’est poursuivie, avec la tenue le mercredi 22 septembre d’une table ronde réunissant six professionnels de l’arbitrage : Diamana Diawara, Directrice régionale Afrique de la CCI, Hafed Stambouli, directeur du contentieux international de Sonatrach, Patrick Hébréard, Managing Director chez FTI Consulting, ainsi que trois associés de l’équipe IDR du cabinet Squire Patton Boggs, Sabrina Aïnouz (également Membre de la Cour internationale d’arbitrage de la CCI pour l’Algérie, Commission Afrique de la CCI), Antoine Adeline et Jérôme Lehucher, modérateur.

La table ronde a été l’occasion de faire le point sur la place du continent africain dans le monde de l’arbitrage. Si, plus de 20% des affaires CCI ont un lien avec le continent africain, seulement 5% des arbitres CIRDI et 2% des arbitres CCI sont originaires d’Afrique. Trop peu d’arbitrages liés au continent ont aujourd’hui leur siège en Afrique, les parties préférant faire le choix plus traditionnel de Paris, Genève, Londres ou Stockholm, par ailleurs, la loi choisie par les parties n’est que très rarement le droit d’un pays africain.

Différents obstacles ont été évoqués pour expliquer cette sous-représentation et notamment le fait que les arbitres, praticiens et experts africains restent sous-estimés ou peu connus. Des stéréotypes persistent, comme le manque supposé d’acteurs expérimentés et doivent être dépassés.

L’Afrique ne manque pas de brillants experts, arbitres internationaux, praticiens et institutions arbitrales efficaces comme le Centre Régional du Caire pour l’Arbitrage Commercial International, la Cour Commune de Justice de l’OHADA et la Fondation pour l’Arbitrage de l’Afrique du Sud.

Les intervenants ont invité le monde de l’arbitrage à dépasser une défiance d’un autre âge.

Nous tenons à remercier chaleureusement tous les intervenants, ainsi que les participants qui ont permis la réussite de cette semaine.

Nous vous donnons rendez-vous l’année prochaine pour de nouveaux évènements et échanges !

 

L’employeur et la vaccination contre le COVID-19

Nous répondons ci-dessous aux questions clé auxquelles les employeurs se trouvent confrontés concernant la vaccination contre le COVID-19, en lien avec leur responsabilité en matière de santé et sécurité sur le lieu de travail.

Ces éléments qui concernent la France, sont repris en anglais dans notre publication Global Guide on Employment Implications of the COVID-19 Vaccination qui passe ces questions en revue pour une vingtaine de pays. On y constate que les réponses ne sont pas uniformes d’un pays à l’autre.

Où en est-on du déploiement du vaccin ?

Le premier vaccin a été administré le 27 décembre 2020. La vaccination est désormais ouverte à tous les adultes sans condition et aux adolescents de 12 à 17 ans inclus.

Le vaccin est-il obligatoire ?

Pour certains salariés, oui.

Le 24 novembre 2020, le Président de la République déclarait que le vaccin ne serait pas rendu obligatoire. Initialement, la Haute Autorité de Santé (HAS) n’a pas recommandé que la vaccination soit rendue obligatoire que ce soit pour la population générale ou pour les professionnels de santé.

Cependant, l’obligation de vaccination pour les professionnels de santé a été introduite par la loi n°2021-1040 du 5 août 2021. Une liste détaille quels professionnels sont tenus de se faire vacciner.

Certaines personnes sont exemptées de l’obligation vaccinale en raison de contre-indications médicales.

Les employés avaient jusqu’au 15 septembre pour se faire vacciner ou jusqu’au 15 octobre s’ils avaient déjà reçu une dose de vaccin ou s’ils présentaient un test négatif au COVID-19.

Des contrôles ont lieu depuis le 15 septembre.

Dorénavant, la HAS considère que l’obligation vaccinale est justifiée pour les professionnels de santé en contact avec des personnes vulnérables. Elle recommande aussi d’envisager de rendre la vaccination obligatoire pour la population entière.

L’employeur peut-il licencier les salariés non vaccinés ?

Non, il est interdit de licencier les salariés non vaccinés, même ceux soumis à l’obligation vaccinale.

Cependant, les salariés soumis à l’obligation vaccinale qui ne se seront pas fait vacciner à temps pourront voir leur contrat de travail suspendu, sans rémunération. Si la situation perdure au-delà de trois jours, le salarié sera convoqué à un entretien en vue de son reclassement, même temporaire.

Le non-respect de l’obligation vaccinale est sanctionné par l’interdiction d’exercer la profession. Le professionnel qui ne respecte pas cette interdiction d’exercice est passible d’une amende de 135€.

L’employeur qui ne contrôle pas le respect de l’obligation vaccinale est puni d’une amende de 1 500€. L’employeur verbalisé à plus de trois reprises, dans un délai de trente jours, sera puni d’un an d’emprisonnement et de 9 000 € d’amende.

Il n’est toutefois pas possible de licencier un salarié non vacciné, comme l’avait d’abord proposé le Gouvernement.

Si un salarié justifiait de ne pas se faire vacciner pour des raisons religieuses ou en raison de conditions de santé s’apparentant à un handicap, cela ferait-il une différence au regard de la législation anti-discrimination ?

Non. En ce qui concerne les personnes soumises à l’obligation vaccinale, invoquer des raisons liées à une croyance religieuse ou autre, ne change rien, la seule exception possible concerne les contre-indications médicales. Un décret postérieur à la recommandation de la HAS liste ces contre-indications médicales (Décret n° 2021-1059 du 7 août 2021).

L’employeur peut-il organiser la vaccination de ses salariés ?

Les employeurs sont incités à informer leurs salariés de la possibilité de se faire vacciner par la médecine du travail. Cette information doit être communiquée à l’ensemble des salariés, quel que soit leur âge et doit clairement indiquer que la vaccination est basée sur le volontariat et fait partie du plan de vaccination des autorités sanitaires. Les salariés bénéficient d’une autorisation d’absence leur permettant d’aller se faire vacciner, sans réduction de salaire. Cette absence est comptée comme temps de travail et entre dans le calcul des congés payés ainsi que pour les droits collectifs liés à l’ancienneté.

Les employeurs ne doivent recevoir aucune information quant au statut vaccinal de leurs salariés, ni sur le fait de savoir s’ils acceptent ou refusent la vaccination, en dehors des situations dans lesquelles la vaccination est obligatoire.

L’employeur doit-il s’assurer que ses salariés sont vaccinés ?

Dans certains cas, oui.

L’employeur est tenu de vérifier que ses salariés sont vaccinés si ceux-ci sont soumis à l’obligation vaccinale.

L’employeur qui ne contrôle pas le respect de l’obligation vaccinale est puni d’une amende de 1 500€. L’employeur verbalisé à plus de trois reprises dans un délai de trente jours, sera puni d’un an d’emprisonnement et de 9 000 € d’amende. (cf plus haut pour plus de détails)

Le refus d’un salarié de se faire vacciner peut-il être qualifié de non-respect déraisonnable à se conformer à une demande raisonnable de l’employeur ?

Non, le refus d’un salarié de se faire vacciner ne peut pas être qualifié de non-respect déraisonnable à se conformer à une demande raisonnable de l’employeur. Il n’est en outre pas possible de licencier un salarié non vacciné.

L’employeur doit-il vérifier le statut vaccinal des salariés à leur entrée sur le lieu de travail ?

La vaccination n’est obligatoire que pour certains groupes de salariés.

L’employeur ne peut pas vérifier le statut vaccinal des autres salariés, non soumis à l’obligation vaccinale, à leur entrée sur le lieu de travail. En fait, il s’agit d’une donnée médicale confidentielle. Par ailleurs, selon la loi du 5 août 2021, le fait qu’une personne non autorisée demande la présentation d’un pass sanitaire (voir ci-dessous) est punissable d’un an d’emprisonnement et d’une amende de 45 000 €.

Existe-t-il en France un « passeport vaccinal » et si c’est le cas, l’employeur peut-il demander aux salariés se le montrer avant de les autoriser à entrer sur le lieu de travail ?

Non, il n’existe en France que le pass sanitaire qui atteste de la vaccination ou d’un test négatif au COVID-19 ou d’un test positif attestant du rétablissement du Covid-19.

L’employeur peut-il refuser l’entrée sur le lieu de travail à un salarié qui refuse de se faire vacciner ?

La loi du 5 août 2021 prévoit des restrictions d’accès dans certains lieux accueillant du public (notamment bars, cafés et restaurants) ou pour certaines activités, aux seuls personnes pouvant présenter un pass sanitaire. Le pass est délivrés aux personnes complètement vaccinées, récemment testées négatives ou récemment rétablies du COVID-19.

Depuis le 30 août 2021, les salariés travaillant dans ces structures doivent présenter leur pass sanitaire sous peine de voir leur contrat de travail suspendu, sans rémunération.

L’employeur est responsable de la santé et de la sécurité de ses employés sur le lieu de travail, ce qui signifie que des mesures adéquates doivent être prises afin d’éviter tout risque de contamination (distanciation sociale, mesures barrières ou télétravail quand c’est possible).

Un client peut-il exiger que nos employés soient vaccinés pour les autoriser à entres dans ses locaux ou pour travailler aux côtés de son propre personnel ?

D’une façon générale, non si la vaccination n’est pas obligatoire.

L’employeur étant responsable de la santé et de la sécurité de ses employés sur le lieu de travail, il doit respecter ses propres obligations à cet égard, quand il déploie des équipes sur les sites de ses clients. Par exemple, l’employeur pourrait s’enquérir des précautions et mesures sanitaires prises par le client sur son site.

Y-a-t-il dans tout cela, des considérations de respect de la vie privée et de protection des données personnelles ?

Oui, les informations sur la vaccination sont des données personnelles du salarié et soumises à ce titre au RGPD.

Y-a-t-il d’autres éléments à prendre en compte par l’employeur en relation avec ces questions ?

Comme avec la plupart des questions liées au COVD-19 (test facultatifs, introduction d’autres mesures de sécurité sur le lieu de travail, etc) l’employeur doit s’assurer de communiquer avec les représentants du personnel et les salariés et d’expliquer le raisonnement suivi dans son approche concernant la vaccination, prendre en compte les retours d’information, etc.

L’employeur peut lancer sa propre campagne vaccinale, comme expliqué plus haut.

Existe-t-il des guides destinés à l’employeur ?

Le ministère du Travail a publié un Questions-réponses sur la vaccination par les services de santé au travail.

Pour plus d’information sur la vaccination en France, on pourra consulter le site de la Haute Autorité de Santé et les pages dédiées du site du Gouvernement qui sont régulièrement mises à jour.

Comprendre en quoi consiste la « conformité au RGPD » pour des prestataires établis hors de l’UE

Stéphanie Faber intervient à ce sujet le 20 octobre à la conférence en ligne Global Legal ConfEx, Middle East, organisée par Events 4 Sure.

Son intervention est sponsorisée par l’université Paris II Panthéon Assas et son campus international  Sorbonne Assas International Law Scool (installé notamment à Dubai).   Stéphanie intervient au DU DPO (Délégué à la Protection des Données) de Paris II.

Understanding What «GDPR Compliance» Means for a Non-EU Vendor

  • When a non-EU vendor wants to be “GDPR compliant” to satisfy its clients’ requirements, what does this entail?
  • One should distinguish the situation where the Vendor is subject to GDPR by law (under the GDPR’s territorial scope) and where the Vendor is subject to GDPR as a result of the contractual arrangements with the client
  • What are the requirements when it is (only) a contractual obligation?  Example of the EU standard contractual clauses (SCC)

11:10 AM – 11:30 AM (Dubai Time)

Inscription gratuite sur le site www.events4sure.com/registrations

Squire Patton Boggs est présent au Moyen-Orient à Abu Dhabi, Dubaï et Riyad.

 

LexBlog