Newsletter Technologie et Innovation

Publication Janvier – Février 2016


Introduction

Nous avons le plaisir de vous transmettre le numéro 17 de notre Newsletter Technologie & Innovation consacrée aux dernières actualités législatives et jurisprudentielles. Cette Newsletter vous sera périodiquement adressée. Si vous souhaitez que nous diffusions cette Newsletter auprès d'autres membres de votre équipe ou de votre entité, n'hésitez pas à nous en faire la demande par email à l'adresse suivante : carole.guettier@nortonrosefulbright.com. Vous pouvez également vous désinscrire à tout moment à cette même adresse email.

L’équipe Technologie et Innovation du Bureau de Paris assiste régulièrement des acteurs majeurs dans leur domaine, sur des aspects contractuels, réglementaires et contentieux, en droit des nouvelles technologies, droit commercial et e-commerce, droits de la propriété intellectuelle et des médias, Informatique et Libertés, partenariats stratégiques et, conformité.

Au cours de ces derniers mois, nous sommes tout particulièrement intervenus auprès de nos clients en matière de cybercriminalité, renégociation de contrats logiciels avec des éditeurs majeurs, audit de conformité logicielle, contrats informatiques dont des projets ERP ou d’externalisation, usage de la signature électronique dans le cadre de contrats internationaux et archivage électronique, définition de politiques de conservation des documents et conseil dans le cadre de la mise en œuvre du futur Règlement européen en matière de protection des données.

Focus

Règlement européen, Transferts transatlantiques : où en sommes-nous ?

I/ Règlement européen relatif à la protection des données personnelles

La Commission européenne a proposé, le 25 janvier 2012, une réforme globale des règles adoptées en matière de protection des données personnelles. Le projet de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données vise à remplacer l’actuelle directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 et ses lois nationales de transposition (Voir notre Newsletter Actualités du Printemps 2015).

A la suite de l’accord politique intervenu dans le cadre du Trilogue entre le Parlement, le Conseil et la Commission européenne le 15 décembre 2015, le texte final sera formellement adopté par le Parlement européen et le Conseil de l’Union européenne début 2016.

Le texte permettra d’harmoniser, par le biais d’une législation unique, le cadre juridique européen relatif à la protection des données personnelles, et de renforcer les droits du citoyen et augmenter considérablement les sanctions applicables en cas de manquement.

En contrepartie de la suppression quasi-totale des formalités préalables, les entreprises seront par ailleurs tenues à une obligation d’information renforcée et devront être en mesure de démontrer à tout moment leur conformité au travers du principe d’Accountability, nécessitant ainsi de revoir leurs notices d’information et politiques de protection des données et de se doter des outils (dont un registre interne traçant l’ensemble des traitements réalisés) et d’une organisation adéquats.

En France, certaines dispositions du Règlement européen seront applicables avant ce délai de deux ans si le projet de loi pour une République numérique vient à être adopté (Voir notre article dédié à ce projet dans la présente newsletter).

Lire le texte du Projet de règlement européen

Lire l’avis de la CNIL sur le projet de loi pour une République numérique du 19 novembre 2015

II/ Safe Harbor

Depuis l’arrêt du 6 octobre 2015 de la Cour de Justice de l’Union Européenne (CJUE) invalidant le droit de se fonder sur le Safe Harbor pour légitimer les transferts vers les Etats-Unis (CJUE, Grande chambre, Maximillian Schrems / Data Protection Commissioner, en présence de Digital Rights Ireland Ltd, 6 octobre 2015, C‑362/14), les discussions entre l’Europe et les Etats-Unis sur un « Safe Harbor II » se sont accélérées. Pour mémoire, le Groupe de travail de l’article 29 (G29) et les autorités de protection avaient accordé aux entreprises une première période transitoire jusqu’au 31 janvier 2016 pour leur permettre de recourir aux instruments alternatifs tels que les clauses contractuelles types ou BCRs. Durant cette même période, il était demandé aux institutions européennes et aux gouvernements concernés de trouver des solutions juridiques et techniques.

Le 2 février 2016, la Commission européenne et les Etats-Unis sont parvenus à un accord sur un nouveau cadre pour les transferts transatlantiques de données, le « bouclier vie privée UE-Etats-Unis » (« EU-US Privacy Shield »). Le nouveau dispositif prévoit un renforcement du contrôle exercé par le ministère américain du commerce et la Federal Trade Commission (FTC) qui se traduit principalement par une coopération accrue avec les autorités européennes chargées de la protection des données. A ce titre, les citoyens européens pourront adresser des demandes d’information à un médiateur spécialement habilité et lui soumettre des plaintes. Le nouveau cadre prévoit également des obligations strictes pour les entreprises qui devront publier leurs engagements soumis au contrôle de la FTC. Le texte doit enfin encadrer l’accès aux données par les autorités américaines, excluant ainsi une surveillance de masse, et permettre une protection effective des droits des citoyens européens par le biais de plusieurs voies de recours, notamment auprès du ministère américain du commerce et de la FTC. Ces documents ont été rendus publics le 29 février 2016.

Suite à l’annonce qui avait été toutefois faite par le G29 dès le 3 février 2016, un comité comprenant les représentants des 28 Etats membres doit désormais examiner ces textes et le projet de décision sur le caractère adéquat du niveau de protection au regard de l’arrêt Schrems de la CJUE. Le G29 a déclaré qu’il se prononcerait sur le sujet le 12 ou 13 avril prochain.

Bien qu’il n’ait pas été formellement exprimé par les autorités de protection nationales une volonté de sanctionner les entreprises dont les transferts vers les Etats-Unis n’auraient pas été régularisés, force est de constater que certaines autorités dont l’autorité bavaroise ont d’ores et déjà pris des initiatives en ce sens. En France, il sera souligné que par une décision du 26 janvier 2016, la CNIL mettait en demeure les sociétés FACEBOOK INC. et FACEBOOK IRELAND de remédier, dans un délai de trois mois à compter de la notification de la décision, à divers manquements à la loi Informatique et libertés. Parmi ces manquements, la CNIL reproche notamment à ces sociétés de continuer de fonder leurs transferts vers les Etats-Unis sur la base du Safe Harbor.

Lire l'arrêt de la CJUE du 6 octobre 2015

Lire le communiqué de presse de la CNIL du 16 octobre 2015

Lire la décision n°2016-007 de la CNIL du 26 janvier 2016

Lire le communiqué de presse de la Commission européenne du 2 février 2016

Lire le communiqué du Groupe de travail « Article 29 » du 3 février 2016

Lire l’article de notre blog « Data protection report » du 1er mars 2016

Lire le communiqué de presse de la Comission européenne du 29 février 2016 et le projet de décision sur le caractère adéquat du niveau de protection

Droit de l’informatique

Les institutions européennes parviennent à un accord sur la directive NIS (Network and Information Security)

Le 7 décembre 2015, les institutions européennes sont parvenues à un accord pour arrêter le texte final de la directive européenne NIS (« Network and Information Security »). La Commission européenne avait déjà proposé un projet de directive en février 2013. L’objectif de l’Union européenne est de sécuriser les systèmes d’information de certaines catégories d’entreprises afin de prévenir tout risque de cyber-attaque et, d’harmoniser les législations internes de chaque Etat membre. Les nouvelles dispositions devront entrer en vigueur avant le troisième semestre 2017, une fois le texte final édicté.

Les acteurs concernés par la directive sont les opérateurs publics et privés. Les entreprises concernées sont les opérateurs fournissant des services essentiels (opérateurs d’importance vitale en France, ou « OIV ») dans des secteurs tels que l’énergie, l’électricité, le pétrole et le gaz, les transports, les banques, la santé ou encore l’infrastructure numérique (points d’échange internet, prestataires de services en matière de noms de domaine, registres de noms de domaine de premier niveau) et également les fournisseurs de services en ligne, à savoir les sites de e-commerce, les services de cloud computing ou encore les moteurs de recherche. Il convient de noter que les fournisseurs de services en ligne seront soumis à des obligations moins contraignantes que celles incombant aux OIV.

Les opérateurs concernés devront mettre en place des mesures techniques de sécurité appropriées mais devront aussi signaler toute intrusion dans leur système informatique aux autorités compétentes, notamment à l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) en France. L’Agence européenne chargée de la sécurité des réseaux et de l’information (« ENISA », European Union Agency for Network and Information Security) jouera un rôle primordial dans le nouveau dispositif notamment sur l’amélioration de la coopération entre les Etats membres.

Lire le projet de directive de février 2013

Lire le communiqué de presse de la Commission européenne et le communiqué de presse du Conseil de l’Union européenne

Le statut de lanceur d’alerte refusé à un administrateur réseau s’étant frauduleusement introduit dans un système de traitement automatisé de données

Le statut protecteur de lanceur d’alerte, prévu par l’article L.1132-3-3 du Code du travail et protégeant tout salarié de sanctions pour avoir dénoncé, de bonne foi, un crime ou un délit dans l’exercice de ses fonctions, n’a pas été accordé aux prévenus, le Tribunal ayant souligné que les faits reprochés étaient antérieurs à la loi du 6 décembre 2013 ayant institué cet article (TGI d’Annecy, Chambre correctionnelle, jugement correctionnel du 4 décembre 2015, TEFAL et Autres / M. M. C. et Mme J. L).

En l’espèce, un administrateur réseau, en conflit avec son employeur, avait découvert un document laissant penser que la société allait le licencier en utilisant des moyens déloyaux. Afin d’accéder à certains documents internes de la société Téfal, l’administrateur réseau avait modifié les droits d’accès à la boîte email du DRH de la société afin de s’y attribuer un accès. Il a ainsi admis avoir consulté certains documents sans lien avec sa fonction d’administrateur réseau dans l’entreprise. L’introduction et le maintien dans un système de traitement automatisé de données (« STAD »), délit sanctionné par l’article 323-1 du Code pénal, était ainsi constitué pour le Tribunal.

L’administrateur réseau a également fait des copies écrans de mails du DRH disponibles sur le répertoire réseau des ressources humaines, avant de les copier sur la carte SD de son téléphone portable pour les transmettre ensuite à l’inspectrice du travail. Cette dernière les a elle-même transmis à divers syndicats et les documents se sont retrouvés publiés dans la presse. Pour le Tribunal, ces faits sont ainsi constitutifs d’une violation du secret des correspondances au titre de l’article 226-15 du Code pénal.

Ainsi, le tribunal correctionnel d’Annecy a condamné le 4 décembre 2015, l’administrateur réseau de la société Téfal en conflit avec sa hiérarchie, pour introduction et maintien dans un STAD ainsi que pour violation du secret des correspondances. L’inspectrice du travail, à qui il avait adressé certains documents internes de sa société, a été condamnée pour recel de détournement de correspondances électroniques et violation du secret professionnel.

Lire le jugement du Tribunal correctionnel d’Annecy du 4 décembre 2015

Les conditions générales de vente ne peuvent restreindre le devoir de conseil

Dans un arrêt du 16 octobre 2015, la Cour d’appel de Paris a rappelé que, même si les conditions générales de vente annexées à un bon de commande obligent le client à spécifier précisément ses attentes, le prestataire informatique reste tenu à un devoir de conseil envers son client non spécialiste.

En l’espèce, le prestataire informatique devait concevoir et réaliser un site permettant la réservation de chambres d’un hôtel et le paiement immédiat sur internet. Or, le site livré ne permettait pas aux clients de l’hôtel de payer en ligne.

Le prestataire a argué que la réalisation de cette fonctionnalité de paiement en ligne ne figurait pas sur le bon de commande et qu’elle n’était réalisable qu’en souscrivant à une nouvelle option. Mais la Cour d’appel a rappelé que le prestataire informatique avait à sa charge un devoir de conseil et qu’il aurait donc dû informer son client des limites de sa prestation et l’aider à mieux exprimer ses choix. Les conditions générales de vente ne peuvent restreindre ce devoir de conseil et doivent seulement avoir pour objet de « limiter sa garantie de conformité concernant les besoins spécifiques du client à ceux qui auront été formulés expressément au plus tard à la signature du bon de commande » (Cour d’appel de Paris, Pôle 5 - Chambre 11, arrêt du 16 octobre 2015Le Saint Alexis / Apicius.com).

Lire l'arrêt de la Cour d'appel de Paris du 16 octobre 2015

Annulation de l’autorisation d’exploitation d’un « data center »

Des habitants de la Courneuve, mécontents de l’installation d’un « data center » de 9000m² à proximité de leurs lieux d’habitation, ont saisi le Tribunal administratif de Montreuil afin d’obtenir l’annulation de l’arrêté du préfet de la Seine-Saint-Denis du 13 décembre 2013 autorisant l’exploitation par la société Interxion de ce « data center ».

Ces riverains ont obtenu gain de cause. Sur le fondement de l’article R.122-5 du Code de l’environnement, relatif au contenu des études d’impact, le Tribunal administratif a effectivement estimé que le développement de l’activité de « data center » générait des nuisances sonores supplémentaires en raison de la présence de groupes électrogènes et de systèmes de réfrigération installés à l’extérieur du bâtiment, qui n’ont pas été évalués de manière suffisamment précise dans l’étude d’impact. Selon le Tribunal, « cette absence d’analyse des impacts sonores du projet a ainsi pu avoir pour effet de nuire à l’information complète du public et a été de nature à exercer une influence sur la décision de l’autorité administrative » (Tribunal administratif de Montreuil, 2ème chambre, Urbaction 93, Mathilda M. et Khadija A. / Interxion, 15 octobre 2015).

Lire le jugement du Tribunal administratif du 15 octobre 2015

Pas de manquements contractuels du prestataire en l’absence de preuves du client

La fédération ADMR de Haute Corse a signé un contrat de fourniture et d’intégration d’un logiciel avec un prestataire informatique, la SARL DICSIT, qu’elle a ensuite assigné en résiliation du contrat arguant de divers manquements contractuels.

La Cour d’appel de Bastia, dans son arrêt du 7 octobre 2015, retient que l’association d’aide à domicile « ne produit aucun justificatif des signalements qu’elle dit pourtant avoir faits, à plusieurs reprises » au prestataire « pour lui signaler les difficultés rencontrées, et provoquer une intervention de sa part ». L’association est, selon la Cour, « défaillante dans l’administration de la preuve des fautes contractuelles qu’elle invoque ». En effet, la majorité des pièces de la cliente semble avoir été établie par elle-même. Elle a ainsi été déboutée de ses demandes (Cour d'appel de Bastia, 7 octobre 2015, n°14/00504).

Lire l’arrêt de la Cour d’appel de Bastia du 7 octobre 2015

Contrats informatiques et article L. 442-6-I-1° et 2° du Code de commerce

Un commerçant exerçant sous forme individuelle a souscrit un contrat pour la création d’un site internet. Avant le début des prestations, le commerçant a souhaité résilier le contrat mais le prestataire a invoqué la clause de résiliation figurant au contrat imposant une somme correspondant à 30% du prix qui aurait été dû en cas d’exécution du contrat (le prestataire disposant pour sa part, de plusieurs options pour sortir du contrat, sans être soumis au paiement d’indemnités et sans justifier d’un motif grave).

Le commerçant a demandé l’avis de la Commission d’Examen des Pratiques Commerciales (« CEPC ») sur cette clause, en particulier sur sa conformité avec l’article L.442-6-I, 1° et 2° du code de commerce.

La CEPC a tout d’abord retenu un déséquilibre entre les parties, puisque le commerçant avait adhéré aux conditions contractuelles imposées par une entreprise qui emploie des commerciaux et qui peut céder le contrat à une société de location financière.

La CEPC a reconnu que l’asymétrie dans le traitement des parties, tant dans les conditions que dans les conséquences pécuniaires de la résiliation, était contraire à l’article L.442-6 I 2°, qui interdit pour mémoire : « de soumettre ou de tenter de soumettre un partenaire commercial à des obligations créant un déséquilibre significatif dans les droits et obligations des parties » (CEPC, avis n°15-1, 30 septembre 2015).

Lire l'avis de la CEPC du 30 septembre 2015

Droit des télécoms

Spam : interdiction pour l’opérateur Free de bloquer des emails

Dans une ordonnance de référé en date du 20 janvier 2016, le Tribunal de commerce de Paris a ordonné à Free de débloquer l’envoi de courriels adressés par la société Buzzee vers ses clients ayant une adresse email « …@free.fr », que l’opérateur avait bloqués dans sa lutte contre le spamming.

Le tribunal relève que la notion de « spam » ne découle d’aucune définition juridique, que les conditions générales de Free ne prévoient aucunement un tel processus de filtrage des messages et enfin que Free « n’invoque aucune disposition législative ou réglementaire qui l’autoriserait, de sa propre initiative et suivant des critères qu’elle définirait, à supprimer des messages ainsi qualifiés par elle-même de « spams » et destinés à ses clients ». De même, le tribunal constate que les initiatives de Free ne sont pas justifiées par des réclamations de ses clients s’étant plaints de recevoir des messages non sollicités et indésirables de la part de Buzzee.

Le tribunal retient également que Free n’est pas chargée de veiller au respect des dispositions de l’article L.34-5 du Code des postes et des communications électroniques (CPCE), lequel interdit l’envoi de prospection commerciale sans l’accord préalable de l’intéressé. Le tribunal rappelle qu’elle ne dispose pas des moyens nécessaires pour y parvenir, sauf à violer les dispositions de l’article L.32-3 du CPCE qui interdit aux fournisseurs d’accès à internet de prendre connaissance du contenu des messages acheminés.

Enfin, le tribunal se fonde sur l’article D.98-5 du CPCE pour rappeler qu’un opérateur doit prendre « les mesures nécessaires pour garantir la neutralité de ses services vis-à-vis du contenu des messages transmis sur son réseau et le secret des correspondances », et qu’un opérateur de mauvaise foi qui n’acheminerait pas certains messages de son propre chef pourrait voir sa responsabilité engagée par application de l’article 226-15 du code pénal (Tribunal de Commerce de Paris, ordonnance de référé du 20 janvier 2016)

Lire la décision du Tribunal de commerce de Paris du 20 janvier 2016

Projet d’ordonnance venant simplifier les dispositions du Code des Postes et des Communications Electroniques (CPCE) relatives aux servitudes radioélectriques.

Le 6 novembre 2015 a été soumis à consultation publique un projet d’ordonnance portant simplification des dispositions du CPCE relatives aux servitudes radioélectriques.

Les articles L.54 à L.64 du CPCE seront modifiés. Ces modifications permettront, tout d’abord, d’instituer par arrêté, et non par décret, des servitudes radioélectriques, sauf en cas de conclusions défavorables de l’enquête publique. Elles supprimeront également le classement des centres en catégories et abrogeront les dispositions permettant aux opérateurs de communications électroniques de bénéficier de servitudes radioélectriques, cette possibilité n’ayant jamais été mise en œuvre depuis 1996.

Lire le projet d'ordonnance

Internet et E-Commerce

Adoption du projet de loi pour une République numérique par l’Assemblée Nationale

Le 26 janvier 2016, l’Assemblée Nationale a adopté en première lecture le projet de loi pour une République numérique. Circulation des données et accès aux données publiques, protection des droits dans la société numérique (neutralité de l’internet, portabilité des données, protection des données à caractère personnel), et accès au numérique, constituent les grands thèmes de ce projet de loi.

En matière de protection des données à caractère personnel, le projet de loi prévoit un certain nombre d’amendements à la loi « Informatique et Libertés » du 6 janvier 1978 modifiée avant même l’entrée en vigueur du Règlement européen (voir le Focus de cette Newsletter). Le projet prévoit de renforcer les pouvoirs de la CNIL, prenant ainsi en compte ses recommandations formulées dans sa délibération du 19 novembre 2015 (Délibération CNIL n°2015-414). La CNIL devrait ainsi voir le montant maximal des sanctions pécuniaires qu’elle peut infliger passer de 150.000 à 20 millions d’euros ou 4% du chiffre d’affaires mondial d’un groupe de sociétés (montants toutefois limités à 10 millions d’euros et 2% du chiffre d’affaires mondial pour des manquements mineurs à la loi). La CNIL pourrait également ordonner à un responsable de traitement sanctionné au titre d’un manquement à la loi Informatique et libertés, d’informer individuellement chaque personne concernée par ce manquement, de cette sanction. Enfin, elle devrait désormais pouvoir prononcer ces sanctions sans mise en demeure préalable lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité.

Les droits des personnes concernées devraient être également renforcés. Le responsable de traitement devra désormais les informer de la durée de conservation des catégories de données traitées. Les mineurs disposeront d’un droit d’effacement de leurs données sous condition. Chaque personne aura le droit de définir les conditions de traitement de ses données après sa mort. Des actions de groupe devraient également pouvoir être engagées sous certaines conditions.

Enfin, le projet renforce la protection des clients des services de messagerie électronique en ligne, ainsi que des utilisateurs de services de communication au public en ligne. Ils pourront ainsi transférer leurs données d’un prestataire de messagerie à un autre, incluant leurs emails et leurs listes de contacts. Ils pourront également récupérer les données mises en ligne sur un service de communication au public en ligne, y incluant les données relatives à leur compte utilisateur, dans un standard ouvert facilitant leur portabilité vers un autre prestataire. Ces droits concerneraient les clients consommateurs et professionnels de ces services.

Introduit en août 2015, l’article L.111-5-1 du Code de la Consommation soumettant les plateformes d’intermédiation à une obligation spécifique d’information des utilisateurs de leurs services, devrait être modifié. Sa nouvelle version introduit une définition plus large couvrant désormais tous opérateurs de plateforme en ligne, et les soumet à une obligation d’information renforcée vis-à-vis de leurs utilisateurs des conditions contractuelles et financières régissant les relations de ces opérateurs avec les personnes morales référencées.

Lire le texte du projet de loi pour une République numérique du 26 janvier 2016

Respect des obligations de suppression et de conservation des données de connexion par des opérateurs de communications électroniques

La Cour d’appel de Paris a, dans un arrêt du 15 décembre 2015, fait application de l’article L.34-1 du Code des postes et des communications électroniques (« CPCE »), qui oblige les opérateurs de communications électroniques, à effacer toutes données relatives au trafic, sous la réserve de leur obligation corrélative de conserver les données de connexions permettant d’identifier un utilisateur, pendant un délai d’un an, pour les besoins de la recherche, de la consultation et de la poursuite des infractions pénales (article R10-13 du CPCE).

La société Etai, éditrice de la revue automobile en ligne RTA, avait constaté la présence d’un lien permettant le téléchargement gratuit de sa publication. Afin de connaître l’identité de l’internaute ayant publié ce lien, la société Etai avait tout d’abord saisi le Tribunal de commerce afin de se faire communiquer par l’hébergeur du contenu contrefaisant, les adresses IP utilisées par le contrefacteur. La réponse de l’hébergeur indiquait que les adresses IP étaient détenues par Manche Télécom et SFR et que l’adresse email avait été attribuée par Yahoo.

Etai a par la suite assigné ces sociétés afin qu’elles soient condamnées à communiquer les informations relatives à ces adresses IP. En application de l’article L.34-1 du CPCE, les opérateurs avaient toutefois déjà supprimé ces informations qui dataient de plus d’un an depuis leur premier enregistrement.

La société Etai a argué devant la Cour avoir pourtant demandé la communication de ces informations par courrier à la société SFR dans le délai d’un an. La Cour a estimé cependant que ce courrier ne pouvait être assimilé à l’injonction judiciaire de communiquer ces informations, prévue par l’article L.34-1 du CPCE.

Les opérateurs ayant respecté leur obligation de supprimer les informations de connexion passé le délai d’un an, les demandes de la société Etai ont ainsi été rejetées (Cour d’Appel de Paris, Pôle 1 – Chambre 3, arrêt du 15 décembre 2015, ETAI / Yahoo ! France, SFR, Manche Télécom).

Lire l’arrêt de la Cour d’appel de Paris du 15 décembre 2015

L’externalisation de la modération d’un site internet est sans effet sur la responsabilité pénale du directeur de la publication

Dans un arrêt du 3 novembre 2015, la Cour de cassation a rappelé que le directeur de la publication d’un site internet ne peut s’exonérer de sa responsabilité pénale en externalisant la modération des commentaires publiés sur le site, auprès d’un prestataire externe.

Au titre du dernier alinéa de l’article 93-3 de la loi du 29 juillet 1982, le directeur de la publication du site est responsable du commentaire illicite publié par un internaute sur ledit site, dès lors qu’il a connaissance du message avant sa mise en ligne ou dès qu’il en a connaissance, n’a pas agi promptement pour le retirer.

Le directeur de la publication du site lefigaro.fr arguait ainsi qu’il n’avait pas eu connaissance du commentaire diffamatoire publié par un internaute sous un article de presse publié sur lefigaro.fr, puisque le service de modération avait été confié à une société extérieure.

La Cour de cassation n’a pas suivi ce raisonnement et a confirmé l’arrêt d’appel, en jugeant que l’externalisation de la modération est sans incidence sur le mécanisme de responsabilité instauré par l’article 93-3 pesant sur le directeur de la publication. Dès lors que les commentaires sont modérés ou qu’un internaute alerte le site internet ou son service externalisé de modération, le directeur de la publication est réputé avoir connaissance du contenu du message et peut à ce titre engager sa responsabilité, si la publication de ce message constitue l’un des délits de presse sanctionné par le chapitre IV de la loi du 29 juillet 1881 sur la liberté de la presse (Cour de cassation, chambre criminelle, arrêt du 3 novembre 2015).

Lire l’arrêt de la Cour de cassation du 3 novembre 2015

Interception de courriers électroniques sur commission rogatoire

Dans cette affaire, une personne avait été mise en examen pour des faits de fraude par l’utilisation de cartes bancaires contrefaites. Le juge d’instruction saisi du dossier, a délivré une commission rogatoire, comme il y est autorisé par l’article 100 du Code de procédure pénale aux termes duquel, le juge d’instruction peut « lorsque les nécessités de l'information l'exigent, prescrire l'interception, l'enregistrement et la transcription de correspondances émises par la voie des télécommunications ». Les enquêteurs ont procédé à la saisie de toutes les données stockées dans les fichiers de l’adresse e-mail visée dans la commission rogatoire, y compris celles qui étaient antérieures à ladite commission rogatoire.

Le mis en cause a déposé une requête aux fins d’annulation des transcriptions des données antérieures à la délivrance de la commission rogatoire, en soutenant que cela constituait une « ingérence dans sa vie privée étrangère aux prévisions des articles 100 et suivants du code de procédure pénale ». Cette requête a été rejetée par la Chambre de l’Instruction.

Dans un arrêt du 8 juillet 2015, la Cour de cassation a cassé l’arrêt de la Chambre d’Instruction, au motif que « n’entrent pas dans les prévisions de ces textes l’appréhension, l’enregistrement et la transcription de correspondances émises ou reçues par la voie des télécommunications antérieurement à la date de la décision écrite d’interception prise par le juge d’instruction, lesquels doivent être réalisés conformément aux dispositions légales relatives aux perquisitions » (Cour de cassation, Chambre criminelle, 8 juillet 2015, n°14-88.457).

Lire l'arrêt de la Cour de cassation du 8 juillet 2015

Droit commercial

Publication de l’ordonnance n°2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations

Suite à diverses discussions législatives (Voir nos Newsletters du 4ème trimestre 2014 et d’Avril-Mai 2014), l’ordonnance n°2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations est parue au Journal Officiel du 11 février 2016. La voie de l’ordonnance, bien que source de polémique, a été conservée (Voir notre Newsletter de Janvier-Février 2015). L’entrée en vigueur des nouvelles dispositions est fixée au 1er octobre 2016 pour les contrats conclus et les instances introduites à compter de cette date.

Cette ordonnance apporte des modifications substantielles au Code civil. Ainsi, au stade de la formation du contrat, la bonne foi, érigée au rang de disposition d’ordre public, s’impose à toutes les étapes de la vie du contrat qu’il s’agisse de la négociation, de la formation ou de l’exécution (article 1104). Les pourparlers contractuels sont pour leur part codifiés à l’article 1112 dans lequel il est prévu une indemnisation en cas de faute commise dans les négociations, consacrant ainsi une jurisprudence constante où la rupture abusive des pourparlers était indemnisée à raison de l’avancement des pourparlers, de la rupture tardive ou de la croyance légitime de l’autre partie en la conclusion probable du contrat, de la brutalité de la rupture ou encore en cas d’absence de motif légitime à rompre les pourparlers. L’article rappelle également que la perte de chance n’est pas indemnisable. L’article 1112-1 du code civil crée quant à lui un devoir d’information d’ordre public pour les parties au contrat et relatif aux informations déterminantes, autrement dit celles « qui ont un lien direct et nécessaire avec le contenu du contrat et la qualité des parties », à l’exclusion de l’estimation de la valeur de la prestation.

Sur la validité du contrat, l’abus de l’état de dépendance d’un cocontractant est érigé au rang de vice du consentement (article 1143). Il convient de noter également que la notion de cause est supprimée. L’absence de cause utilisée par la Cour de cassation pour réputer non-écrites des clauses d’exclusion de responsabilité est ainsi abandonnée au profit de la notion d’obligation essentielle dans les contrats, faisant ainsi écho, dans le domaine de l’informatique, aux jurisprudences successives « Chronopost » puis « Faurecia ». L’article 1170 du Code civil dispose ainsi que « toute clause qui prive de sa substance l’obligation essentielle du débiteur est réputée non écrite ».

Sur l’effet des contrats, il est introduit dans le Code civil un article 1195 qui consacre la théorie de l’imprévision. Cet article prévoit qu’en cas de changement de circonstances, imprévisible lors de la conclusion du contrat rendant son exécution excessivement onéreuse pour une partie qui n’avait pas accepté d’en assumer le risque, cette dernière pourra demander sa renégociation sans être pour autant exonérée de l’exécution de ses obligations durant la renégociation.

Enfin, tout le régime de l’inexécution contractuelle, qui était jusqu’alors essentiellement jurisprudentiel, se voit consacrer une sous-section du Code (aux articles 1217 à 1231-7) qui prévoit notamment que la résolution du contrat n’est plus exclusivement judiciaire mais peut être également applicable « en cas d'inexécution suffisamment grave, d'une notification du créancier au débiteur » (article 1224).

Lire l’ordonnance du 10 février 2016

Absence de violation d’un accord de confidentialité faute de définition suffisante de son objet

Par un arrêt du 24 novembre 2015, la Cour d’appel de Versailles, confirmant le jugement rendu par le Tribunal de grande instance de Nanterre du 2 octobre 2014, a estimé que la société requérante ne rapportait ni la preuve de la violation de l’accord de confidentialité conclu, ni celle de faits de concurrence déloyale, en raison notamment de l’absence de définition précise des informations confidentielles, objet de l’accord.

La société Drimki, devenue Digitre, éditrice d’un site internet permettant la mise en relation d’acheteurs et de vendeurs de biens immobiliers, a conclu un accord de confidentialité avec Monsieur N., alors directeur commercial de la société A vendre A louer, en vue de d’un futur partenariat.

Cet accord de confidentialité définissait les informations confidentielles comme « toutes informations, de quelque nature qu’elles soient, qui […] seraient communiquées, sous quelque forme que ce soit, et qui n’auraient pas été diffusées après du public ».

Alors que les deux sociétés cessaient leurs discussion en avril 2011, Monsieur N. créait un site internet concurrent de celui de la société Drimki en janvier 2012.

La Cour a estimé que les informations transmises par la société Drimki à Monsieur N., ne portaient que sur des fonctionnalités dépourvues d’originalité, puisqu’elles se retrouvaient sur de nombreux autres sites d’agences immobilières créées sur internet, concluant ainsi qu’un simple modèle économique n’est pas protégeable.

Faute de pouvoir démontrer que des informations d’ordre commercial auraient été communiquées à Monsieur N., en raison notamment de l’imprécision des termes de l’accord de confidentialité, la Cour d’appel a débouté la société Drimki de ses demandes (Cour d’appel de Versailles, 12e chambre section 2, décision du 24 novembre 2015, Digitre / J-B. N. et Neo Avenue).

Lire l’arrêt de la Cour d’appel de Versailles du 24 novembre 2015

Les pénalités de retard sont applicables de plein droit

A la suite d’un retard de paiement, une société a invoqué à l’encontre de son client, les dispositions de ses conditions générales de vente, selon lesquelles « toute somme non payée à l’échéance figurant sur la facture entraîne l’application de pénalités d’un montant égal ou supérieur au taux REFI de la Banque centrale européenne, majoré de sept points ». Ces dispositions correspondaient à la rédaction de l’article L.441-6 du Code de commerce à l’époque du litige, étant précisé que la majoration est aujourd’hui de 10 points au sens de cet article.

La Cour d’appel, estimant que cette mention ne présentait aucun caractère contractuel à défaut de préciser le taux, a débouté cette société de sa demande de paiement des pénalités de retard.

La Cour de cassation a censuré l’arrêt, au visa de l’article L.441-6 du Code de commerce, en rappelant que le taux des pénalités de retard de la BCE majoré d’un certain nombre de points est applicable de plein droit quand bien même il n’aurait pas été expressément visé au contrat (Cour de cassation, 3ème chambre civile, Sté Expansion / Sté Delfi, 30 septembre 2015, N°14-19249).

Lire l'arrêt de la Cour de cassation du 30 septembre 2015

Un courrier électronique peut constituer une commande ferme

Une société avait adressé à un expert-comptable un courrier électronique mentionnant: « Auriez-vous l'amabilité de me faire parvenir les informations suivantes : Impôt sur le revenu pour un étranger ? Ce pourcentage à appliquer à tous les revenus ou seulement sur le salaire, excluant les indemnités de séjour ? Quelle est la taxe locale ? ».

L’expert-comptable a répondu aux diverses questions dans une consultation qu’il a transmise à la société, accompagnée de sa facture. La société ayant refusé de procéder au paiement, l’expert-comptable a engagé une action en paiement devant le Tribunal de commerce de Nanterre.

Dans un jugement du 31 janvier 2014, le Tribunal a rejeté ses demandes en considérant que l’e-mail ne constituait qu’une simple prise de contact et de demande d’information.

Au visa de l’article 1134 du Code civil, la Cour de cassation a infirmé ce jugement au motif que ce message électronique « appelant une réponse étudiée du professionnel consulté, […] constituait, en termes clairs et précis, une commande de consultation » (Cour de cassation, 1ère chambre civile, Sté PPMS Paris Offices / Cabinet CSA, 1er juillet 2015, N°14-19781).

Lire l’arrêt de la Cour de cassation du 1er juillet 2015

Droit de la propriété intellectuelle

L’INPI annonce de nouveaux services en ligne pour les dépôts de marques internationales et autres formalités

Depuis le 4 janvier 2016, les formalités relatives aux Marques Internationales par l'intermédiaire de l'INPI doivent être effectuées exclusivement par voie électronique (Décision n°2015-108 relative aux modalités de dépôt des demandes d’enregistrement international de marque et des actes subséquents relatifs à l’enregistrement international).

L’INPI a également annoncé le lancement d'un service générique : E-PROCEDURES, qui permet d'effectuer par voie électronique, sans aucun recours au papier, toutes les démarches autres que celles pouvant déjà être réalisées en ligne sur le site de l'INPI. A titre d’exemple, il est donc possible de procéder à un dépôt de marque en ligne grâce à un paiement sécurisé. Le montant de la redevance de dépôt s’élève à 210€. Néanmoins le dépôt est limité à 3 classes de produits ou de services.

Lire la décision du Directeur de l'INPI du 4 novembre 2015

La marque Cécile de Rostand annulée pour violation des droits d’auteur de Vente-privée.com

Par un jugement du 3 décembre 2015, le Tribunal de grande instance de Nanterre a annulé la marque Cécile de Rostand au motif que la société vente-privée.com détient des droits antérieurs sur ce personnage virtuel créé par son service marketing.

M. J-J. N. et la société JKC Finance ont respectivement déposé la marque verbale française Cécile de Rostand et le nom de domaine cecilederostand.fr. Ils n’exploitent pas de signes identiques ou similaires aux signes déposés Vente-privée.com.

La société vente-privée.com revendique des droits antérieurs au dépôt de la marque litigieuse Cécile de Rostand, en faisant valoir qu’elle exploite le signe Cécile de Rostand et qu’elle est titulaire de droits d’auteur sur le personnage Cécile de Rostand. Ce personnage fictif personnifie la société auprès du public francophone depuis 2003. L’égérie virtuelle a animé un blog et dispose aujourd’hui d’un forum de discussion.

Le tribunal retient en l’espèce que l’enregistrement de la marque porte atteinte au nom commercial Cécile de Rostand et aux droits d’auteurs sur le personnage éponyme détenu par le site de e-commerce. Le tribunal retient également que l’enregistrement du nom de domaine cecilederostand.fr porte atteinte à cecilederostand.com du site venteprivée.com.

En revanche, le tribunal déboute la société Vente-privée.com en ce qu’elle échoue à caractériser qu’elle a acquis des droits sur le signe Cécile de Rostand à titre de marque notoire non enregistrée Tribunal de grande instance de Nanterre, pôle civil, 1ère chambre, Vente-privee.com /M. J-J. N., JKC Finance, 3 décembre 2015).

Lire la décision du Tribunal de grande instance de Nanterre du 3 décembre 2015

Base de données : nécessité de démontrer l’existence d’investissements spécifiques

Dans le cadre d’un litige opposant la société Pressimmo On Ligne exploitant le site internet seloger.com, à la société Yakaz à propos de l’extraction de sa base de données sans autorisation, la Cour de cassation a jugé dans un arrêt du 12 novembre 2015, que la Cour d’appel de Paris avait manqué de précision dans l’exposé des motifs caractérisant l’absence de preuve d’investissements spécifiques réalisés par l’éditeur du site seloger.com.

La Cour d’appel de Paris avait en effet rejeté le recours de la société Pressimmo, jugeant qu’elle ne rapportait pas la preuve des investissements spécifiques réalisés pour la création de sa base de données, distincts des investissements consacrés à la simple création des éléments constitutifs de la base de données.

Au visa de l’article 455 du Code de procédure civile, la Cour de cassation casse l’arrêt d’appel, lui reprochant de ne pas avoir suffisamment motivé sa décision. La Cour d’appel aurait dû préciser si les investissements réalisés par la société Pressimmo entraient dans la catégorie des investissements spécifiques propres à caractériser la protection d’une base de données ou s’ils ne constituaient que des investissements normaux, empêchant Pressimmo de bénéficier d’une protection de sa base de données (Cour de cassation, chambre civile 1, Pressimmo On Ligne / Yakaz, 12 novembre 2015, N°14-14501)

Cette décision n’est pas sans rappeler un autre arrêt de la Cour d’appel de Paris qui avait refusé à Ryanair la protection de sa base de données, faute pour cette dernière de pouvoir démontrer des investissements spécifiques. La Cour a considéré que les catégories d’investissements présentées par cette société étaient sans rapport avec des investissements relatifs à la collecte d’éléments existants et à leur rassemblement dans une base de données ou avec des investissements destinés à assurer la fiabilité de la base de données et à permettre le contrôle de son contenu (Cour d’appel de Paris, Pôle 5 Chambre 2, 23 mars 2012, n° 10/11168, société RYANAIR LIMITED c/ S.A.S OPODO). La Cour d’appel d’Aix-en-Provence est parvenue à la même conclusion dans un arrêt du 28 mars 2012 aux termes duquel elle a relevé qu’aucun des éléments présentés n’attestaient de l’existence d’investissements autres que ceux relatifs à la création des éléments avant leur intégration dans la base (Cour d’appel d’Aix en Provence, 2ème chambre, 28 mars 2012, L’Agitateur Floral c/ Réseau Fleuri) (Voir notre Newsletter d’Avril-Mai 2012). Dans le même sens, dans son jugement du 21 février 2013, le Tribunal de grande instance de Paris a dénié la qualité de producteur de base de données à la société Sarenza, en retenant qu’une base de données « n’est pas constituée par une simple liste d’éléments » et qu’ « elle doit mettre en œuvre des principes d’organisation et de structuration qui permettent à son utilisateur d’avoir directement accès à un élément individuel au moyen d’une sélection ou d’une indexation particulière » (TGI Paris, 3ème section, 4ème chambre, 21 février 2013, Sarenza c/ Jonathan L. et autres) (Voir notre Newsletter Eté 2013).

Lire l’arrêt de la Cour de cassation du 12 novembre 2015 et l’arrêt de la Cour d’appel de Paris du 15 novembre 2013

Nullité d’une assignation en contrefaçon de logiciel incomplète

Le 3 juillet 2015, le juge de la mise en état du Tribunal de grande instance de Paris a annulé une assignation en contrefaçon au motif que le logiciel incriminé n’y était pas décrit.

La société Netcontrol, dont l’activité consiste en la conception et la réalisation de systèmes informatiques, a répondu à un appel d’offres en mars 2003. Son objet était la mise en œuvre d’un système de localisation en temps réel de lignes de bus. Un contrat fut signé entre cette société et les sociétés SELT et SLT, donnant naissance à un partenariat de plusieurs années.

Dix ans après la conclusion du contrat, la société Netcontrol a reçu la visite de deux hommes de la société Apollo Conseil indiquant être mandatés par les sociétés SELT et SLT pour réaliser un audit technique. Pour ce faire, ils ont eu accès aux codes source du logiciel, ainsi qu’au cahier des charges de la nouvelle solution. Trois mois plus tard, une lettre est envoyée à la société Netcontrol lui signifiant son éviction du marché.

Soupçonnant des actes de contrefaçon, la société Netcontrol a fait constater par huissier que certains autocars gérés par la société SLT utilisaient une interface similaire à celle de son propre logiciel. Elle a ensuite fait procéder à des opérations de saisie-contrefaçon dans les locaux des sociétés Apollo et SLT et a finalement assigné ces deux sociétés, ainsi que la société SELT. Elle invoquait dans son assignation la contrefaçon de son logiciel et du système Netcontrol.

Par conclusions d’incident, la société Apollo a demandé au juge de la mise en état de prononcer la nullité de cette assignation, exposant à l’appui de sa demande, l’incertitude sur l’identité des œuvres concernées par l’action en contrefaçon, l’absence de caractérisation de leur originalité et plus généralement, l’absence de précision sur les faits de contrefaçon.

Le Tribunal a fait droit aux demandes de la défenderesse en reprochant notamment à la société Netcontrol de ne pas avoir décrit le logiciel ou ses conditions de création, de même que le moment de constitution de la base de données, l’identité de son créateur et les investissements nécessaires à sa constitution et son contenu.

Par conséquent, le Tribunal a jugé que l’objet de la demande de la société Netcontrol n’était pas suffisamment exposé, tant en fait qu’en droit, mettant la défenderesse dans l’incapacité d’articuler une défense convenable. Les juges ont donc fait une application rigoureuse de l’article 56 du Code de procédure civile qui prévoit que l’assignation doit comprendre, à peine de nullité, l’objet de la demande avec un exposé des moyens de fait et de droit (TGI Paris, 3ème chambre 2ème section, Ordonnance du juge de la mise en état du 3 juillet 2015, Netcontrol / Apollo, Société d’exploitation des lignes touristiques et Société des Lignes Touristiques).

Lire la décision du Tribunal de grande instance de Paris du 3 juillet 2015

Droit des données à caractère personnel

Le responsable de traitement n’échappe pas à son obligation de sécurité pour les données dont le traitement est confié à des sous-traitants

Dans un arrêt du 30 décembre 2015, le Conseil d’Etat a confirmé une décision prononcée par la formation restreinte de la CNIL le 7 août 2014, ayant sanctionné Orange pour avoir manqué à son obligation de sécurité prévue à l’article 34 de la loi Informatique et libertés.

A la suite d’une intrusion sur le serveur d’une société sous-traitante d’Orange et de l’accès non autorisé à plus d’un million de données personnelles d’abonnés ou de prospects de cette dernière, Orange avait notifié cette violation de données personnelles à la CNIL, comme l’y oblige l’article 34 bis de la loi précitée.
Les contrôles diligentés par la CNIL chez Orange et ses sous-traitants ayant révélé plusieurs manquements à l’obligation de sécurité, par une décision du 7 août 2014, la CNIL avait sanctionné Orange pour: (i) ne pas avoir procédé à un audit de sécurité avant l’utilisation de la solution d’emailing de son prestataire Gutenberg, (ii) avoir transmis des données de façon non-sécurisée à ce prestataire, et (iii) ne pas avoir veillé à ce que les mesures de sécurité à la charge de cette société soient également communiquées et répercutées sur son propre sous-traitant.

Le Conseil d’Etat a jugé que le fait que des opérations de traitement de données soient confiées à des sous-traitants, soumis par contrat à des obligations particulières de sécurité, ne décharge pas Orange, responsable du traitement, de son obligation de préserver la sécurité des données telle que prévue à l’article 34.
Considérant l’avertissement public prononcé par la CNIL proportionné à la gravité des manquements d’Orange qui disposait de moyens financiers et humains pour les prévenir, le Conseil d’Etat a confirmé cette sanction (Conseil d’État, 10ème / 9ème SSR, décision du 30 décembre 2015).

Lire l’arrêt du Conseil d’Etat du 30 décembre 2015

Données de géolocalisation : un loueur de véhicules est le responsable du traitement

Par une décision du 18 décembre 2015, le Conseil d’Etat confirme la qualité de « responsable de traitement » du loueur de véhicules vis-à-vis du dispositif de géolocalisation embarqué dans ses véhicules.

La CNIL, dans une délibération du 22 juillet 2014, avait considéré que la société de location de véhicules de luxe Loc Car Dream était responsable du dispositif de géolocalisation et donc, responsable du traitement des données en résultant au sens de l’article 3 de la loi Informatique et libertés.

La société avait alors été condamnée à payer la somme de 5000 euros pour avoir manqué à l’obligation d’accomplir les formalités préalables applicables à la mise en œuvre de ce dispositif de géolocalisation de véhicules de locations et à la gestion des clients et pour ne pas s’être conformée aux obligations de loi Informatique et libertés. En particulier, il lui était reproché de ne pas avoir veillé à l’adéquation, à la pertinence et au caractère non excessif des données traitées, d’informer les personnes de la géolocalisation des véhicules et d’avoir manqué à son obligation de sécurité.

Aux termes des dispositions du I] de l’article 3 de la loi Informatique et libertés, le Conseil d’Etat rappelle que « le responsable d’un traitement de données à caractère personnel est (…) la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ».

En l’espèce, l’ensemble des données de géolocalisation des trente-six véhicules concernés, centralisées chez l’hébergeur, accessible depuis un seul poste de travail, dont l’épouse du gérant détient le mot de passe, sont autant d’éléments permettant au Conseil d’Etat de considérer que la SARL Loc Car Dream doit être regardée comme le responsable du traitement déterminant les finalités et les moyens du traitement litigieux. Le fait que Loc Car Dream ne soit pas le propriétaire de l’ensemble des véhicules munis d’un dispositif de géolocalisation et objets du contrôle, est sans incidence sur sa qualité de responsable de traitement.

De ce fait, le Conseil d’Etat a rejeté la requête de la société de location de véhicules qui demandait l’annulation de la délibération précitée du 22 juillet 2014 (Conseil d’État, 10ème / 9ème sous-sections réunies, décision du 18 décembre 2015).

Lire l’arrêt du Conseil d’Etat du 18 décembre 2015 et la Délibération de la CNIL du 22 juillet 2014

Une sanction de 50 000 € pour manquement à l’obligation de sécurité

En juillet 2014, une cliente de la société Optical Center avait informé la CNIL que son mot de passe, permettant d’accéder à son espace client, lui avait été communiqué oralement par téléphone, laissant  ainsi supposer qu’il apparaissait en clair dans la base de données.

Suite aux contrôles menés par la CNIL, Optical Center avait été mise en demeure de mettre en œuvre les mesures nécessaires, notamment pour assurer la sécurité et la confidentialité des données. La société ayant apporté des éléments de réponse attestant d’une mise en conformité partielle, la CNIL avait alors procédé à un nouveau contrôle sur place et à une audition de la société, aux mois de février et juin 2015.

La CNIL a relevé que la société n’avait toujours pas mis en place les mesures adaptées pour assurer la sécurité et la confidentialité des données de ses clients (absence de procédure de sécurisation de la page d’accueil permettant d’accéder aux comptes en ligne, absence de politique de gestion des mots de passe, manque de complexité des mots de passe des clients existants, etc). De plus, le contrat signé par Optical Center avec l’un de ses prestataires ne contenait pas de clause précisant les obligations de ce prestataire en matière de protection de la sécurité et de la confidentialité des données clients. Elle a donc prononcé une sanction pécuniaire de 50 000 euros à l’encontre d’Optical Center qu’elle a décidé de rendre publique (Délibération CNIL n° 2015-379 du 5 novembre 2015 prononçant une sanction pécuniaire à l’encontre de la société OPTICAL CENTER).

Lire la délibération de la CNIL du 5 novembre 2015

La CJUE clarifie la notion « d’établissement » du responsable d’un traitement de données

Dans un arrêt du 1er octobre 2015 (CJUE, Weltimmo s.r.o, 1er octobre 2015, C-230/14), la CJUE a procédé à une interprétation de la notion « d’établissement » au sens de la Directive européenne 95/46 sur la protection des données à caractère personnel.

La société Weltimmo, immatriculée en Slovaquie, exploite un site internet d’annonces immobilières de biens situés en Hongrie, et traite les données à caractère personnel des annonceurs. Alors que de nombreux annonceurs ont demandé l’effacement de leurs données, Weltimmo ne s’est pas exécutée et a transmis ces données à des sociétés de recouvrement de créances. L’autorité de protection hongroise a alors été saisie par les personnes concernées par le traitement. Considérant que la loi hongroise était applicable, elle a infligé une sanction pécuniaire à Weltimmo, qui a contesté cette sanction devant la justice hongroise. C’est dans ce contexte que la cour suprême hongroise a interrogé la CJUE par renvoi préjudiciel, sur la détermination de la loi applicable au regard de l’article 4 de la directive 95/46, qui dispose que « Chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque le traitement est effectué dans le cadre des activités d'un établissement du responsable du traitement sur le territoire de l'État membre ».

La CJUE a tout d’abord estimé que la notion d’établissement était conçue de manière souple par la directive, « qui écarte toute approche formaliste selon laquelle une entreprise ne serait établie que dans le lieu où elle est enregistrée ».

Pour apprécier si un responsable de traitement dispose d’un établissement sur le territoire d’un Etat membre, la CJUE, prenant appui sur le considérant 19 de la directive, s’est fondée sur les deux critères suivants :

  • l’exercice effectif et réel d’une activité ;
  • au moyen d’une installation stable dans cet Etat membre. La CJUE a notamment souligné que « la présence d’un seul représentant peut, dans certaines circonstances, suffire pour constituer une installation stable si celui-ci agit avec un degré de stabilité suffisant à l’aide des moyens nécessaires à la fourniture des services concrets concernés, dans l’État membre en question. »

La CJUE a retenu que la société Weltimmo exploite plusieurs sites internet d’annonces immobilières concernant des biens situés en Hongrie, rédigés en langue hongroise. Ces éléments démontrent que la société Weltimmo se livre à une activité réelle et effective en Hongrie puisque son activité est tournée vers cet Etat membre.

Elle a également constaté que la société Weltimmo dispose d’un représentant en Hongrie, mentionné sur le registre slovaque des sociétés. Ce représentant a notamment été en charge de négocier sur place le règlement des créances impayées, a servi de relais à la société Weltimmo et l’a représentée au cours de procédures administrative et judiciaire. La Cour observe enfin que la société Weltimmo a ouvert un compte bancaire en Hongrie et utilise une boîte aux lettres sur le territoire de cet Etat membre pour la gestion de ses affaires.

Pour la CJUE, ces différents éléments étant susceptibles de constituer une installation stable permettant d’établir l’existence d’un établissement au sens de l’article 4 de la directive 95/46, elle invite la juridiction nationale hongroise à procéder à cette analyse sur la base de ces critères.

Lire l’arrêt de la CJUE du 1er octobre 2015

Obligation d’information des personnes en cas de transfert de données personnelles entre administrations publiques

Dans un arrêt du 1er octobre 2015, la Cour de Justice de l’Union Européenne (« CJUE ») s’est prononcée sur l’obligation d’information des personnes concernées par un traitement de données, lorsque ces données font l’objet d’un transfert entre deux administrations publiques.

Dans le cadre d’un litige l’opposant à l’organisme roumain de sécurité sociale (« ANAS »), la requérante se plaignait que ses données fiscales avaient été transférées à cette administration par les services fiscaux roumains (« ANAF »). La Cour d’appel roumaine saisie du litige a interrogé la CJUE sur la légalité de ce transfert de données personnelles au regard de la directive 95/46/CE du 24 octobre 1995.

Se fondant sur l’article 6 de la directive, non repris dans le dispositif de la décision, la Cour a estimé que le principe de traitement loyal des données, impliquait d’informer les personnes concernées en cas de transfert de données entre deux administrations publiques.

En vertu des articles 10 et 11 de la directive, les personnes concernées par ce transfert de données entre l’ANAF et l’ANAS auraient dû être informées des catégories de données transférées et de la finalité du transfert. Le fait que l’article 315 de la loi roumaine n°95/2006 autorise ce type de transferts sur la base d’un protocole entre administrations, n’a pas été jugé conforme à l’obligation d’information des personnes concernées découlant des articles 10 et 11 de la directive, cet article en tant que tel ne constituant pas une information des personnes concernées par le traitement.

Ce protocole, pris en application de la loi précitée, a par ailleurs conduit la Cour à rejeter l’application du bénéfice de l’article 13 de la directive, instaurant certaines dérogations au principe d’information des personnes concernées, notamment pour la sauvegarde des intérêts économiques, y compris fiscaux, d’un Etat Membre. La CJUE a estimé que ce protocole, qui ne fait pas l’objet d’une publication officielle et qui ne constitue pas une mesure législative, ne peut dès lors entrer dans le champ d’application de l’article 13. Par conséquent, il ne saurait permettre de déroger à l’obligation d’information des personnes concernées (Cour de Justice de l’Union Européenne, 3ème chambre, arrêt du 1er octobre 2015, Smaranda Bara e.a./Președintele Casei Naționale de Asigurări de Sănătate et autres).

Lire l’arrêt de la CJUE du 1er octobre 2015

La loi Informatique et libertés est applicable à tout traitement, quelle que soit l’importance des données traitées

La Cour de cassation a jugé, le 8 septembre 2015, qu’un traitement de données personnelles est caractérisé avec une seule donnée personnelle. La Cour retient en effet que la loi Informatique et libertés « n’exige pas le franchissement d’un seuil de données ou de fichiers ».

En l’espèce, il s’agissait de la création d’un répertoire comportant deux notes d’évaluation destinées au directeur de l’Ecole Nationale d’Administration et faisant état d’appréciations personnelles sur un collaborateur de l’école par son supérieur hiérarchique. Le répertoire a involontairement été rendu accessible sur l’Intranet de l’école par la secrétaire.

Le collaborateur s’est constitué partie civile du chef de traitement automatisé de données à caractère personnel sans autorisation. Le juge d’instruction ayant rendu une ordonnance de non-lieu, il a interjeté appel. La Cour d’appel de Colmar a confirmé l’ordonnance de non-lieu.

Confirmant la décision rendue en appel, la Cour de cassation retient qu’au titre de l’article 226-16 du code pénal, le traitement aurait dû faire l’objet de formalités préalables auprès de la CNIL. La Cour confirme ainsi la conception très large d’un traitement de données à caractère personnel au sens de la loi Informatique et libertés précitée (Cour de cassation, chambre criminelle, arrêt du 8 septembre 2015).

Lire l’arrêt de la Cour de cassation du 8 septembre 2015

Simplification des formalités par la CNIL dans le secteur de la santé

La CNIL a adopté deux nouvelles mesures visant à simplifier les formalités dans le domaine de la santé, qui viennent s’inscrire dans son engagement de permettre un accès plus rapide à l’innovation dans ce secteur.  

Tout d’abord, la CNIL a adopté une nouvelle autorisation unique relative aux programmes de dépistage organisé du cancer du sein et du cancer colorectal (Autorisation unique n°AU-043 - Délibération n°2015-175 du 11 juin 2015 portant autorisation unique de traitements de données à caractère personnel ayant pour finalité le dépistage organisé du cancer du sein et du cancer colorectal mis en œuvre par les structures de gestion conventionnées). Elle concerne les traitements, automatisés ou non, mis en œuvre par les structures de gestion investies contractuellement par les représentants de l’Etat dans leur région, à savoir :

  • la constitution des fichiers des personnes éligibles aux programmes aux fins d’invitation aux opérations de dépistage ;
  • le suivi des personnes participant aux programmes ;
  • la gestion des contacts avec les médecins traitant, les spécialistes et les laboratoires de lecture.

De plus, la CNIL a adopté une nouvelle méthodologie de référence, « MR-002 » relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des études non interventionnelles de performances en matière de dispositifs médicaux de diagnostic in vitro (Délibération n° 2015-256 du 16 juillet 2015 portant homologation d'une méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des études non interventionnelles de performances en matière de dispositifs médicaux de diagnostic in vitro (MR-002)). Afin de guider les acteurs concernés, la CNIL a également publié une grille d’analyse spécifique accompagnant la publication de cette méthodologie.

Lire la Délibération portant sur l'Autorisation unique n°AU-043 du 11 juin 2015

Lire la Délibération portant homologation d'une méthodologie de référence MR-002 du 16 juillet 2015

Droit du travail

Recevabilité de l’action civile d’un syndicat pour non-respect des formalités déclaratives auprès de la CNIL

Dans son arrêt rendu le 9 février 2016, la chambre criminelle de la Cour de cassation retient que « la responsabilité d’effectuer la déclaration d’un système de vidéosurveillance [incombe] au directeur d’établissement, de sorte que l’omission de cette formalité [a] été commise pour le compte de la personne morale » et que « l’existence d’un préjudice même indirect à l’intérêt collectif donne ouverture à l’action civile d’un syndicat, et à son droit d’obtenir réparation du dommage causé ».

En l’espèce, le directeur d’une société a produit, lors d’une instance en diffamation contre plusieurs salariés de l’entreprise, un enregistrement d’images issues du système de vidéosurveillance de l’établissement. Les images montraient les salariés en train de distribuer des tracts syndicaux.

Le syndicat a fait citer la société devant le tribunal correctionnel, notamment du chef de non-déclaration à la CNIL d’un système de vidéosurveillance, réprimé pénalement par l’article 226-16 du Code pénal et passible de cinq ans d’emprisonnement et de 300 000 euros d’amende.

Les juges d’appel, suivis par la Cour de cassation, ont considéré que les faits commis par l’employeur ont conduit à l’enregistrement illicite de l’image des salariés dans leur activité, y compris syndicale et ce, sans avoir obtenu leur consentement. Le préjudice a été évalué à 10 000 euros (Cour de cassation chambre criminelle, 9 février 2016, n°14-87753).

Lire l’arrêt de la Cour de cassation du 9 février 2016

La surveillance de la messagerie internet de l’employé ne viole pas les dispositions de l’article 8 de la Convention européenne des droits de l’homme relatif à la vie privée

Dans son arrêt rendu le 12 janvier 2016, la Cour européenne des droits de l’Homme a jugé que les juridictions internes ont ménagé un juste équilibre entre le droit du requérant au respect de sa vie privée et de sa correspondance en vertu de l’article 8 de la Convention européenne de sauvegarde des droits de l’Homme (« CESDH ») et les intérêts de son employeur. Elle conclut à la non-violation de l’article 8 de la CESDH.

En l’espèce, le requérant est un ressortissant roumain, Mr Bărbulescu, résidant à Bucarest. Du 1er août 2004 au 6 août 2007, le requérant a travaillé en tant qu’ingénieur en charge des ventes au sein d’une entreprise privée. Il a ouvert un compte Yahoo Messenger, sur demande de ses employeurs, afin de répondre aux demandes du client. En juillet 2007, son employeur l’informa que ses communications via Yahoo Messenger ont été surveillées et que les enregistrements témoignent d’une utilisation du service uniquement à des fins personnelles. M. Bărbulescu niant les faits, il se vit présenter un relevé de ses communications, notamment des transcriptions de messages personnels échangés avec son frère et sa fiancée. Le 1er août 2007, le requérant était alors licencié pour infraction au règlement intérieur de la société interdisant l’usage des ressources de celle-ci à des fins personnelles.

Le requérant a saisi, dans un premier temps, les tribunaux nationaux afin de contester la décision de son employeur et a notamment invoqué la violation de son droit à la correspondance en violation de la Constitution et du Code pénal. Sa plainte a été rejetée et par une décision définitive du 17 juin 2008, il a été débouté en appel au motif que la conduite de l’employeur s’était révélée être raisonnable et que la surveillance des communications du requérant constituait le seul moyen d’établir l’existence d’une faute disciplinaire.

L’affaire a ensuite été portée devant la Cour européenne des droits de l’Homme. Cette dernière a jugé que si l’article 8 de la CESDH était applicable en l’espèce, il ne paraissait pas abusif qu’un employeur souhaite vérifier que ses employés accomplissent leurs tâches professionnelles pendant les heures de travail. La violation de l’article 8 de la CESDH n’était donc pas caractérisée en l’espèce selon la Cour (Cour européenne des droits de l’Homme, Bărbulescu vs. Romania, 12 janvier 2016, n°61496/08).

Lire la décision de la Cour européenne des droits de l’Homme du 12 janvier 2016

Le Conseil d’Etat confirme les sanctions de la CNIL pour vidéosurveillance abusive des salariés

Dans une décision du 18 novembre 2015, le Conseil d’Etat a approuvé la sanction prononcée par la CNIL à l’encontre d’un employeur auquel il était reproché de ne pas avoir mis en œuvre un dispositif de vidéosurveillance proportionné aux finalités poursuivies et de ne pas avoir respecté les obligations de sécurité et d’information des salariés. Cette sanction de 10 000€, rendue publique, avait été prononcée en raison des manquements persistants du prestataire pendant deux ans, malgré les mises en demeure et les contrôles sur place.

L’employeur avait certes apposé des affiches dans les locaux mais il avait omis des mentions obligatoires. Par ailleurs, aucune information individuelle n’avait été délivrée (Conseil d’Etat, 18 novembre 2015, n° 371196).

Lire la décision du Conseil d'Etat du 18 novembre 2015

Recent publications

Subscribe and stay up to date with the latest legal news, information and events...