Actualités

05/04/2023

La diffusion en direct de cours d’enseignement scolaire peut-elle se faire sans recueil du consentement des enseignants ?

Pendant la pandémie et les périodes de confinement, un Ministre de l’Éducation allemand avait aménagé la possibilité pour les élèves d’assister aux cours par vidéoconférence. Le consentement des élèves était recueilli, mais pas celui des enseignants. Un recours a été introduit par le comité représentatif des enseignants.

La juridiction allemande saisie a soumis une question préjudicielle à la CJUE en interprétation du RGPD sur le point de savoir si une réglementation nationale pouvait permettre de ne pas recueillir le consentement des enseignants dans un tel cas.

Dans un arrêt du 30 mars 2023, la CJUE a interprété l’article 88 du RGPD « Traitement de données dans le cadre des relations de travail » qui aménage la possibilité pour les Etats Membres d’adopter des réglementations nationales dites « règles plus spécifiques » concernant le traitement des données à caractère personnel des employés dans le cadre des relations de travail.

La CJUE indique ainsi que pour que cet article s’applique, les règles nationales doivent être… « plus spécifiques ». La règlementation nationale peut prévoir que le recueil du consentement des enseignants au traitement en cause n’est pas requis si : 1️⃣La loi interne a un contenu normatif propre au domaine règlementé et donc distinct des règles générales du RGPD ; 2️⃣Elle prévoit des mesures appropriées et spécifiques pour protéger les droits et libertés des personnes concernées.

Si tel n’est pas le cas, l’article 88 du RGPD relatif aux "règles plus spécifiques" ne sera pas applicable.

Mais il pourra encore être vérifié si la règlementation nationale constitue une base juridique au traitement au sens de l’article 6 du RGPD (ex. exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, ou encore le respect d’une obligation légale à laquelle le responsable du traitement est soumis).

La balance entre le droit au respect des données personnelles des enseignants et le droit à l’enseignement des élèves en période de crise sanitaire devra être évaluée par la juridiction allemande de renvoi.

28/03/2023

CITYSCOOT a pour activité la location courte durée de scooters. La CNIL a constaté qu’elle collectait des données de géolocalisation du véhicule toutes les 30 secondes au cours des locations et conservait l’historique des trajets.

La CNIL constate également un manquement à l’obligation de veiller à la minimisation des données puisqu’aucune finalité invoquée par CITYSCOOT (à savoir la gestion des infractions au code de la route, la gestion des réclamations clients, le support aux utilisateurs et la gestion des sinistres et vols) ne justifie une collecte de données aussi fine et intrusive de la vie privée de ses clients.

La CNIL a également constaté un manquement lié aux contrats conclus avec des sous-traitants : trois d’entre eux ne contenaient pas toutes les mentions prévues par le RGPD.

Enfin, un manquement à l’obligation d’information et d’obtention du consentement des utilisateurs est constaté : en utilisant un mécanisme de reCAPTCHA fourni par GOOGLE sur son application et sur son site web, des données collectées étaient transmises à GOOGLE pour analyse. Or, CITYSCOOT ne fournissait aucune information à l'utilisateur et ne recueillait pas son consentement préalable, que ce soit pour accéder aux informations stockées sur son équipement ou pour écrire des informations sur celui-ci.

Pour ces raisons, dans sa décision du 16 mars 2023, la CNIL prononce une amende de 125 000 euros à l'encontre de cette société.

27/03/2023

Une salariée obtient la communication des bulletins de paie de ses collègues

Une salariée considérant avoir subi une inégalité salariale par rapport à ses collègues masculins occupant le même poste a saisi la formation de référé des prud’hommes pour obtenir la communication de leurs bulletins de paie.

La Cour d’appel de Paris a fait droit à sa demande, ordonnait à l’employeur de communiquer sous astreinte les bulletins de huit salariés faisant apparaître leurs noms et prénoms, classification conventionnelle, rémunération mensuelle détaillée et rémunération brute totale cumulée par année civile.

Dans son arrêt du 8 mars 2023, la Cour de cassation confirme la décision d’appel en rappelant que, conformément au point 4 de l’introduction du RGPD, le droit à la protection des données à caractère personnel n’est pas un droit absolu et doit être mis en balance avec d’autres droits fondamentaux conformément au principe de proportionnalité, notamment au regard du droit à un recours effectif et à l’accès au juge.

En l’espèce, la Cour d’appel avait fait ressortir que la communication des bulletins de paie portait atteinte à la vie privée des salariés mais « était indispensable à l'exercice du droit à la preuve et proportionnée au but poursuivi, soit la défense de l'intérêt légitime de la salariée à l'égalité de traitement entre hommes et femmes en matière d'emploi et de travail ».

24/03/2023

Respect du RGPD et de la loi Informatique et Libertés : Le programme des contrôles publié par la CNIL. 4 thématiques sont mises en avant pour l’année 2023 :

1️⃣ Utilisation des caméras augmentées par les acteurs publics – Le recours à ces dispositifs est notamment prévu dans le cadre de manifestations sportives de grande ampleur prévues en 2023 (Coupe du monde de rugby) et en 2024 (Jeux olympiques)

2️⃣ Utilisation du fichier des incidents de crédit aux particuliers – Du fait des enjeux particulièrement forts liés aux données de ce fichier, la CNIL en fait un axe prioritaire pour 2023. Elle précise que les contrôles porteront principalement sur les conditions dans lesquelles les banques accèdent au fichier, en extraient des informations et le tiennent à jour après régularisation des incidents de paiement.

3️⃣  Gestion des dossiers de santé et accès au Dossier Patient Informatisé (DPI) – La CNIL précise que les contrôles menés auront "pour objet d’examiner l’ensemble des mesures mises en place pour assurer la sécurité des données". 

4️⃣ Traçage des utilisateurs des applications mobiles – La CNIL indique que plusieurs contrôles ont déjà été réalisés sur des applications qui accèdent aux identifiants générés par les systèmes d’exploitation mobiles en l’absence de consentement des utilisateurs. La CNIL poursuivra ses vérifications en 2023.

NEXT avocats vous accompagne dans la mise en conformité des traitements de données personnelles et en cas de contrôle.

23/03/2023

Le tribunal de commerce de Lille poursuit la construction de sa « jurisprudence OVH ». L’hébergeur est de nouveau condamné à indemniser un client victime de l’incendie du datacenter de Strasbourg de mars 2021

Par jugement du 9 mars 2023, le tribunal considère que les informations fournies par l’hébergeur indiquaient que les serveurs étaient situés dans des bâtiments distincts et non dans un seul et même bâtiment entièrement détruit par l’incendie.

Le tribunal ne retient pas l’existence d’une force majeure pouvant être invoquée par l’hébergeur et refuse de faire application de sa clause limitative de responsabilité. Le tribunal considère qu’elle n’a pu être négociée par le client et qu’elle octroie un avantage injustifié à l’hébergeur créant un déséquilibre significatif entre les parties. La clause doit donc être réputée non-écrite en application de l’article 1171 du code civil. Cette clause limitait le préjudice au montant payé par l’éditeur au cours des 6 mois précédant la demande, soit en l’espèce 679,09 euros.

Ainsi, le tribunal condamne OVH à payer à son client la somme totale de 144 836,69 euros à titre de dommages et intérêts.

Cette décision soulève des questions importantes sur la pratique des clauses limitatives de responsabilité, alors qu'il s'agit d'un instrument économique essentiel pour la répartition des risques entre les parties à un contrat au regard des prestations concernées et de leur prix de vente.

22/03/2023

A compter du 1er juin 2023, tout professionnel qui offre aux consommateurs la possibilité de conclure des contrats par voie électronique aura l’obligation de permettre la résiliation gratuite des contrats par voie électronique. Le dispositif s’appliquera aux contrats en vigueur, peu importe leurs modalités de souscription.

Ces mesures de protection du consommateur ont été créées par la loi n° 2022-1158 du 16 août 2022 sur la protection du pouvoir d'achat. 

La résiliation en « trois clics » sera obligatoire pour les contrats d’assurances de dommages et de personnes (art. L113-14 du code des assurances), pour les contrats de prévoyance (art. L932-12-2 et L 932-21-2 du code de la sécurité sociale), pour les contrats avec les mutuelles (art. L221-10-3 du code de la mutualité) ainsi que pour les contrats de prestations de services soumis au code de la consommation (futur art. L215-1-1 du code de la consommation).

Le décret du 16 mars 2023 qui encadre les nouvelles modalités de résiliation en trois clics pour les contrats soumis aux codes des assurances, de la sécurité sociale et de la mutualité prévoit que :

1️⃣ la personne souhaitant résilier/dénoncer un contrat devra simplement renseigner les informations permettant de l’identifier et formuler sa demande de résiliation/dénonciation sur une interface en ligne
2️⃣ les organismes doivent rappeler les conditions et conséquences de cette opération et
3️⃣ diriger la personne vers une dernière page récapitulative à partir de laquelle elle notifie sa résiliation

  Un prochain décret concernant les contrats soumis au code de la consommation est attendu.

23/02/2022

Une clause générale de cession de droits d'auteur dans un contrat de travail validée par la Cour d’appel de Paris.

Sauf exception, les employeurs ne sont pas automatiquement cessionnaires des oeuvres créées par leurs salariés. D’où l’importance de la clause de cession de droits d’auteur dans les contrats de travail.

Dans son arrêt du 25 janvier 2023, la Cour d'appel de Paris (CA PARIS Pôle 5, chambre 1, 25 Janvier 2023 – n° 19/15256) vient conforter utilement l’efficacité de ces clauses.

● Une salariée invoquait la nullité de la clause au fondement de l'article L.131-1 du code de la propriété intellectuelle et en ce qu'elle procéderait d'une cession globale d'oeuvres futures prohibée.

Or, en l'espèce, la clause de cession de droits stipulée au contrat de travail au profit de l'employeur couvrait les créations réalisées dans le cadre du contrat, au fur et à mesure de leur réalisation. La Cour affirme qu’une telle clause n'est pas nulle dès lors qu'elle délimite le champ de la cession à des oeuvres déterminables et individualisables.  Ainsi, la clause ne porte pas sur des oeuvres futures mais sur des oeuvres réalisées, la cession n'opérant qu'au fur et à mesure de la réalisation.

● La salariée prétendait également que la clause de cession de droits était nulle car dénuée de contrepartie financière pour la cédante.

La Cour confirme que la rémunération forfaitaire de la salariée, même n’opérant pas de distinction entre la rémunération de la prestation de travail et la contrepartie de la cession des droits d'auteur, est licite.

15/02/2023

● Sampling de moins de 2 secondes : pas d’atteinte au droit d’auteur

Un groupe de musique (The Do) avait composé le morceau « The bridge is broken » sorti en 2008. En 2015, deux artistes ont publié le titre « Goodbye » qui, selon le premier groupe, reprenait de manière répétée à l’identique un extrait de l’œuvre première. Par arrêt du 8 février 2023, la Cour de cassation (1re civ., 8 février 2023) donne raison à la Cour d’appel qui avait débouté The Do de ses demandes, en considérant 1️⃣ que la partie de l'œuvre dont la reprise était reprochée ne constituait pas un « gimmick » permettant de caractériser l'originalité de l’œuvre et 2️⃣ qu'il n'était pas établi que l'œuvre seconde avait repris et incorporé un extrait de l'enregistrement de l'œuvre première.

Bien que le Cour d’appel ait admis le caractère original de l’œuvre première prise dans son ensemble, l’extrait de l’œuvre dont la reprise était reprochée, n’était pas un « élément déterminant » permettant de caractériser la personnalité de l’auteur et « ne participait pas de l’originalité de l’œuvre ». Etait notamment relevée la brièveté de l’extrait litigieux qui constituait un « accompagnement d’instrument » et « aucunement une partie soliste ».

● Reprise de textes de chansons dans un livre : exception de courte citation

Un éditeur avait publié un ouvrage intitulé « Je ne chante pas pour passer le temps » reprenant 131 extraits de chansons de Jean Ferrat ainsi que le titre de l'une d'elles en couverture. L’exécuteur testamentaire et la société de production de l’artiste ont assigné l’éditeur en contrefaçon.

Par son arrêt du 8 février 2023, la Cour de cassation considère que les citations des textes de l’artiste étaient justifiées par le caractère pédagogique et d’information de l’ouvrage : elles étaient nécessaires à l'analyse critique de chansons, permettant au lecteur de comprendre le sens de l'œuvre évoquée et l'engagement de l'artiste. La Cour de cassation précise également que l’ouvrage ne s’inscrit pas dans une démarche commerciale ou publicitaire.

Etait également invoquée une atteinte au droit moral de l’auteur caractérisée par la dissociation des textes de l’œuvre musicale intégrale. Or, pour la Cour de cassation, le texte et la musique d'une chanson relevant de genres différents et étant dissociables, le seul fait que le texte ait été séparé de la musique ne portait pas nécessairement atteinte au droit moral.

14/02/2023

Une société avait souscrit un contrat de location de serveur privé auprès du prestataire d’hébergement OVH comprenant une option de sauvegarde automatisée (backup). Le prestataire s’était engagé à ce que l’espace de stockage alloué au backup soit « physiquement isolé » de l’infrastructure dans laquelle était mis en place le serveur privé virtuel du client.

A la suite de l’incendie de mars 2021, les données du client étaient inaccessibles, sans que l’option « backup » lui permette de les récupérer, ledit backup étant stocké dans le bâtiment détruit par l’incendie. Le client a assigné le prestataire en responsabilité contractuelle devant le tribunal de commerce de Lille.

Plusieurs enseignements sont à relever du jugement de première instance du 26 janvier 2023 :

● Le tribunal considère qu’en application de l’article 1170 du code civil, la clause de force majeure est réputée non-écrite dans la mesure où, stipulée en des termes dégageant la responsabilité du prestataire en cas de survenance de tout sinistre, elle contredit l’essence même de l’obligation du prestataire qui est, justement, de pouvoir se reposer sur les sauvegardes des données en cas de sinistre.

● Concernant la localisation des sauvegardes, l’engagement portait sur un espace de stockage « physiquement isolé de l’infrastructure dans laquelle est mis en place le Serveur Privé Virtuel ». Pour le tribunal, « stocker les données au même endroit que le serveur principal, et a fortiori, (…)conserver toutes les copies de sauvegarde au même endroit ne permet pas de mettre à l’abri les données, ne respecte par l’état de l’art de la sauvegarde et ne permet pas d’atteindre l’objectif fixé par le contrat ».

● La clause limitative de responsabilité est réputée non écrite au fondement de l’article 1171 du code civil. Celle-ci prévoyait une indemnisation plafonnée au montant payé par le client au cours des 6 mois précédant la demande d’indemnisation. Le tribunal considère que cette clause « octroie un avantage injustifié (au prestataire) en absence de contrepartie pour le client. Cette clause crée une véritable asymétrie entre les obligations de chacune des parties. En définitive, cette clause transfère le risque sur l’autre partie de manière injustifiée et sans contrepartie pour cette dernière ».

Le prestataire est donc condamné à une indemnisation totale de 94 000 euros alors que la clause limitait sa responsabilité à 1 800 euros. C’est finalement faire porter au prestataire le risque pris par le client d’héberger des données sensibles pour un prix limité à 300 euros par mois.