Si nul ne remet en cause les opportunités offertes par les réseaux sociaux pour les entreprises, il n'en reste pas moins qu'il existe des risques sérieux sur le plan juridique. La prise en compte de ces risques est une nécessité pour bien gérer l'irruption des organisations au sein des nouveaux outils sociaux en ligne. Le 21 juin 2011, le cabinet international DS Avocats réunissait ses clients autour de ce thème.

Pour ce cabinet, plusieurs types d'outils doivent être pris en compte dans cette mode du « 2.0 » : d'une part les outils déjà anciens comme les forums, dont les messages sont persistants par opposition aux chats, et les blogs, d'autre part le micro-blogging (Twitter) et les sites de partage de contenus spécialisés (YouTube pour les vidéos) ou généralistes (comme Facebook).

Les atteintes à la marque comme premier danger

Face à ces outils, le premier danger consiste en atteintes à la marque de l'entreprise. Ces atteintes peuvent par exemple consister en « username spotting », c'est à dire en usage de l'intitulé de la marque dans un nom de compte et, par conséquent, dans l'URL d'accès à la page de ce compte. Cela peut aboutir à la créations de comptes contrefaisants au sens strict et visant à tromper le consommateur sur l'identité réelle du propriétaire du compte en question (à des fins d'escroquerie par exemple) mais aussi à du dénigrement voire de la diffamation (par des militants hostiles à l'entreprise notamment). Certaines pages peuvent également être créées par des concurrents, ce qui peut constituer de la concurrence déloyale.

Une marque mal gérée peut aussi être exploitée, sans intention de nuire, de façon inappropriée. Une filiale, un partenaire ou un département d'une entreprise peut ainsi prendre des initiatives malheureuses.

Au delà des risques sur la réputation de l'entreprise, le risque est aussi la dilution d'une marque par son usage non-distinctif. Or une telle dilution peut aboutir à la fin de son caractère distinctif et donc de la protection dont elle bénéficie.

De bonnes pratiques à suivre

Pour DS Avocats, il convient toujours de commencer l'entrée sur les réseaux sociaux par une phase d'audit préalable. Celui-ci permettra d'isoler les comptes disponibles (pour les utiliser) et les comptes litigieux (pour les récupérer) ainsi que les comptes employés ici ou là par l'entreprise (pour les faire entrer dans une politique globale). Notons à ce sujet que la loi LOPPSI 2 a introduit le délit d'usurpation d'identité en tant que telle alors que, auparavant, il fallait que l'usurpation permette une autre infraction (comme l'escroquerie) pour être sanctionnée.

Ensuite, il s'agira de définir une politique de communication : quelles marques pour quel discours via quel média social. Cette politique débouchera sur des procédures et des guides méthodologiques, réalisés par la direction juridique, destinées à chaque intervenant potentiel. Parmi les méthodes à appliquer (et à préciser), il y a bien sûr la veille au sujet de tous les points soulevés en phase d'audit. La DSI doit veiller à ce que les interventions sur les médias sociaux se fassent avec des comptes e-mail dédiés et jamais avec un compte particulier d'un salarié, susceptible d'être muté ou de quitter l'entreprise.

[[page]]

Les procédures doivent prévoir la gestion de crise et la réactivité nécessaire en ce cas. Nestlé a été cité en contre-exemple : la multinationale suisse a subi un buzz négatif suite à des réponses jugées comme arrogantes et relevant de la censure face à une attaque de Greenpeace contre sa marque Kit-Kat, avec notamment la suppression de la vidéo écologiste sur YouTube. A l'inverse, lorsqu'un client a subi un empoisonnement dans un de ses restaurants, la réaction de Quick a été particulièrement de qualité, engageant le dialogue autour de ses procédures qualité.

Les gestion de la communication en ligne étant souvent externalisée, la direction juridique doit particulièrement surveiller les contrats des prestataires.

L'atteinte au droit d'auteur

Les outils sociaux ont bien sûr contribué à la généralisation des atteintes au droit d'auteur. Il y a notamment une dérive sémantique réduisant des « oeuvres » en « contenus ». La notion de « contenu généré par les utilisateurs » n'a aucun sens juridique et il convient donc de s'en méfier.

Cette notion, tout comme la publicité sur les médias sociaux, est réglée par les CGU (conditions générales d'utilisation). Or celles-ci font souvent du droit américain (californien en général) le droit de référence, ce qui n'est pas très rassurant pour une entreprise française.

Le risque lié aux données personnelles

Malgré tout, une série d'obligations suivront bien le droit français dès lors que des internautes français accèdent à des contenus qui leur sont destinés (notamment parce que francophones). C'est notamment le cas de tout ce qui concerne les données personnelles. Le cookie-traceur fait l'objet actuellement d'un débat passionné entre juriste pour savoir s'il emporte ou non des données personnelles. La nature de « donnée personnelle » de l'adresse IP devrait être définitivement tranché (positivement) par une loi sous peu, la jurisprudence étant fluctuante : d'abord hostiles à ce caractère, les tribunaux ont récemment évolué dans le sens inverse, jusqu'au Conseil Constitutionnel tranchant dans ce sens à l'occasion d'un considérant (le 27) de son appréciation de la loi dite Hadopi.


Les nouveaux outils sociaux sont d'autant plus porteurs de risques pour les entreprises que celles-ci les utilisent désormais volontairement en interne.

Les réseaux sociaux d'entreprises (RSE) peuvent ainsi fluidifier le dialogue social. Mais un tel usage doit être avalisé par les instances représentatives. Il faudra également veiller à ne pas laisser dériver les usages.

Recruter via un réseau social privé dédié ou en multipliant les contacts sur les réseaux sociaux publics peut être séduisant. Mais la légalité de l'usage des données personnelles qu'on y trouve est sujette à caution. Il y a risque, ainsi, de discrimination selon les opinions politiques ou les pratiques sexuelles des personnes concernées.

[[page]]

Enfin, les entreprises peuvent proposer des outils sociaux pour leurs partenaires ou clients. Les commentaires postés par ceux-ci sur cet outil peuvent engager la responsabilité civile et pénale du chef d'entreprise qui ne peut en aucun cas déléguer cette responsabilité (au DSI par exemple).

Risques liés aux usages par les salariés des réseaux publics

Les salariés eux-mêmes utilisent des réseaux sociaux publics et peuvent y commettre des actes potentiellement répréhensibles ou gênants. Le risque est la définition des limites entre sphères privée, professionnelle et publique. Les jurisprudences sont encore très fluctuantes autour de ces notions, même si certaines tendances se dessinent : un mur Facebook appartient à la sphère publique par exemple, à l'inverse d'un e-mail clairement identifié comme personnel.

Mais, si l'employeur peut interdire le dénigrement public de son entreprise, il ne peut s'opposer à la liberté d'expression de ses salariés. Celle-ci est cependant limitée pour tout ce qui concerne leur employeur : ce qui relève des conditions de travail doit ainsi être réalisé en interne et jamais sur la place publique.

Il convient cependant de rappeler que gagner un procès n'a jamais réparé un préjudice d'image. Il faut donc de définir un code de bonne conduite, d'éduquer en amont les salariés aux bonnes pratiques, de les sensibiliser à leurs droits et devoirs, plutôt que de devoir ensuite sévir. Le non-respect d'une charte explicite peut, en plus, faciliter la sanction d'un salarié au comportement volontairement inadéquat.

Et, bien entendu, comme tout outil en ligne, un outil social est propice aux pertes de temps (et donc de productivité) par les salariés ainsi qu'aux contaminations par des codes malicieux issus par exemple de pages contrefaites.