Actualités

27/04/2023

La Société DSTORAGE propose des services d’hébergement sur son site 1fichier.com. Constatant que des copies illicites de ses jeux sont hébergées sur les serveurs de DSTORAGE, plusieurs sociétés du groupe NINTENDO lui ont adressé des notifications afin que ces contenus soient retirés, ce à quoi n’a pas déféré l’hébergeur.

Par son arrêt du 13 avril 2023 (Cour d'appel, Paris, Pôle 5, chambre 1, 12 avril 2023 – n° 21/10585), la Cour d’appel de Paris rappelle que les contenus contrefaisants sont inclus dans la catégorie des contenus manifestement illicites visés par la loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004 et doivent être retirés promptement dès lors que l’hébergeur en a connaissance. La connaissance de cette illicéité par l’hébergeur est présumée dès lors qu’une notification respectant les conditions de la LCEN lui a été adressée.

Bien que DSTORAGE opposait un manque de clarté des notifications reçues, la Cour constate qu’elles identifiaient les œuvres protégées et décrivaient l'atteinte de manière suffisamment claire et précise. En outre, la Cour relève que NINTENDO a justifié du caractère manifestement illicite des contenus en opposant :

1️⃣ Plusieurs de ses marques déposées qui étaient reproduites sur les liens de téléchargement des jeux, qui comportaient, par ailleurs, des mentions telles que "spoofed" (usurpé) ou "game free downlaod" (téléchargement gratuit de jeux) ;

2️⃣ Ses droits d’auteur sur les jeux (notoirement connus selon plusieurs articles de presse produits par NINTENDO), sans qu'il puisse être exigé, au stade de la notification, que NINTENDO procède à la démonstration de sa titularité des droits, de l'originalité ou encore de la matérialité d'actes de contrefaçon.

Pour évaluer le préjudice, la Cour retient le nombre de téléchargement des contenus litigieux à compter de la notification de NINTENDO, multiplié par la marge réalisée par NINTENDO sur la vente de chaque jeu, soit un total de 442 750 €.

26/04/2023

La Commission Européenne adopte la première liste de 17 très grandes plateformes en ligne (TGP) : Alibaba AliExpress / Amazon Store / Apple AppStore / Booking / Facebook / Google Play / Google Maps / Google Shopping / Instagram / LinkedIn / Pinterest / Snapchat / TikTok / Twitter / Wikipedia / YouTube / Zalando

Et 2 très grands moteurs de recherches (TGMR) : Bing / Google Search

Cette liste est adoptée en application de l’article 33. 4 du Digital Services Act

Quelles sont les obligations spécifiques des TGP et TGMR ? ➡️ Notre synthèse du DSA vous apporte les premières réponses

24/04/2023

L’exploitant d’un site internet ne peut bénéficier de la qualité d’hébergeur s’il fabrique et livre les produits créés par l’intermédiaire de son site (Cour de cassation 13 avril 2023 n° 21-20.252).

Une décision qui s’inscrit dans un mouvement jurisprudentiel récent qui refuse la qualification automatique d’hébergeur aux « plateformes » et font d’elles les responsables des produits et services qu’elles mettent sur le marché.

La société Teezily exploite un site internet par l’intermédiaire duquel elle propose aux utilisateurs de créer des designs en vue de les imprimer sur des produits et de les mettre en vente sur son site. Teezily se chargeait par ailleurs de mettre à disposition un service logistique de fabrication et de livraison des produits avec pour corollaire l'autorisation donnée par le créateur à la société Teezily de reproduire son œuvre.

La société de droit allemand Sprd.net soutenait que Teezily offrait à la vente des vêtements et accessoires identiques à ceux commercialisés sur sa propre plateforme, en violation de ses droits. En défense, Teezily a invoqué l’exonération de sa responsabilité en sa qualité d’hébergeur.

En appel, la Cour avait donné raison à Teezily en considérant que son rôle n’était que purement technique, automatique et passif, impliquant l'absence de connaissance ou de contrôle des données qu'elle stocke.

Mais pour la Cour de cassation, le fait que Teezily propose la fabrication et la livraison des produits aux acheteurs est incompatible avec la qualité d’hébergeur : « cette société n’occupait pas une position neutre entre l’utilisateur-vendeur et les acheteurs potentiels mais un rôle actif de nature à lui conférer une connaissance ou un contrôle des données ». L'hébergement n'est pas toujours un refuge !

18/04/2023

Rapport 2022 de la Défenseure des droits : le numérique comme facteur d’atteinte aux droits et à l’égalité

La majorité des réclamations (82 200) reçue par la Défenseure des droits en 2022 porte sur les relations des usagers avec les services publics, notamment en raison des conséquences de la dématérialisation des services publics au préjudice des droits des usagers.

Le rapport met en exergue le fait que la dématérialisation devait s’inscrire comme une offre supplémentaire et non substitutive des services publics.

Or, il constate des prises de contact impossibles avec les services publics autrement que via leurs sites internet (sans possibilité de contact humain ou téléphonique) ; des prises de rendez-vous en ligne difficiles voire impossibles ou l’absence de réponse de la part d’une administration, notamment envers les publics vulnérables et étrangers.

La Défenseure des droits constate que cette situation expose les personnes à une privation de leurs droits et est source d’inégalité entre les usagers.

14/04/2023

La loi du 30 septembre 1986 relative à la liberté de communication prévoit que les éditeurs de services de médias audiovisuels à la demande peuvent conclure avec l’ARCOM des conventions précisant leurs obligations en matière de financement de création.

A la suite du décret SMAD du 22 juin 2021 le CSA (ex-ARCOM) avait procédé au conventionnement des principaux services établis hors UE (Netfilx, Disney +, Amazon Prime…). A cette occasion, l’Autorité avait rappelé que ces conventions devaient être enrichies par des accords professionnels.

Par un communiqué commun, la SACD, l’Uspa et AnimFrance annoncent la conclusion, par l’ARCOM, d’un avenant à la convention conclue avec Amazon Prime Video, qui constitue « un modèle pour les services vidéo à la demande ».

Cet avenant fait suite à l’accord professionnel qui avait été conclu entre Amazon et les organisations professionnelles du secteur de la production audiovisuelle en novembre 2022. L’ARCOM s’était alors engagé à transposer cet accord dans la convention de Prime Video.

Au travers de cette convention, Prime Video s’engage en faveur du développement des œuvres d’expression originale française (85% des investissements), des œuvres patrimoniales, de la production indépendante et de la diversité des genres audiovisuels.

Les organisations professionnelles appellent à la négociation d’accords similaires avec les autres éditeurs, en premier lieu, Netflix et Disney : "AnimFrance, la SACD et l’USPA appellent à ce qu’avant le terme des conventions actuelles d’ici la fin 2024, dans le cadre des négociations professionnelles, ou à leur issue, les engagements des opérateurs de vidéo à la demande par abonnement en faveur de la création soient alignés sur le régime le mieux-disant, en l’occurrence celui de Prime Video".

05/04/2023

La diffusion en direct de cours d’enseignement scolaire peut-elle se faire sans recueil du consentement des enseignants ?

Pendant la pandémie et les périodes de confinement, un Ministre de l’Éducation allemand avait aménagé la possibilité pour les élèves d’assister aux cours par vidéoconférence. Le consentement des élèves était recueilli, mais pas celui des enseignants. Un recours a été introduit par le comité représentatif des enseignants.

La juridiction allemande saisie a soumis une question préjudicielle à la CJUE en interprétation du RGPD sur le point de savoir si une réglementation nationale pouvait permettre de ne pas recueillir le consentement des enseignants dans un tel cas.

Dans un arrêt du 30 mars 2023, la CJUE a interprété l’article 88 du RGPD « Traitement de données dans le cadre des relations de travail » qui aménage la possibilité pour les Etats Membres d’adopter des réglementations nationales dites « règles plus spécifiques » concernant le traitement des données à caractère personnel des employés dans le cadre des relations de travail.

La CJUE indique ainsi que pour que cet article s’applique, les règles nationales doivent être… « plus spécifiques ». La règlementation nationale peut prévoir que le recueil du consentement des enseignants au traitement en cause n’est pas requis si : 1️⃣La loi interne a un contenu normatif propre au domaine règlementé et donc distinct des règles générales du RGPD ; 2️⃣Elle prévoit des mesures appropriées et spécifiques pour protéger les droits et libertés des personnes concernées.

Si tel n’est pas le cas, l’article 88 du RGPD relatif aux "règles plus spécifiques" ne sera pas applicable.

Mais il pourra encore être vérifié si la règlementation nationale constitue une base juridique au traitement au sens de l’article 6 du RGPD (ex. exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, ou encore le respect d’une obligation légale à laquelle le responsable du traitement est soumis).

La balance entre le droit au respect des données personnelles des enseignants et le droit à l’enseignement des élèves en période de crise sanitaire devra être évaluée par la juridiction allemande de renvoi.

28/03/2023

CITYSCOOT a pour activité la location courte durée de scooters. La CNIL a constaté qu’elle collectait des données de géolocalisation du véhicule toutes les 30 secondes au cours des locations et conservait l’historique des trajets.

La CNIL constate également un manquement à l’obligation de veiller à la minimisation des données puisqu’aucune finalité invoquée par CITYSCOOT (à savoir la gestion des infractions au code de la route, la gestion des réclamations clients, le support aux utilisateurs et la gestion des sinistres et vols) ne justifie une collecte de données aussi fine et intrusive de la vie privée de ses clients.

La CNIL a également constaté un manquement lié aux contrats conclus avec des sous-traitants : trois d’entre eux ne contenaient pas toutes les mentions prévues par le RGPD.

Enfin, un manquement à l’obligation d’information et d’obtention du consentement des utilisateurs est constaté : en utilisant un mécanisme de reCAPTCHA fourni par GOOGLE sur son application et sur son site web, des données collectées étaient transmises à GOOGLE pour analyse. Or, CITYSCOOT ne fournissait aucune information à l'utilisateur et ne recueillait pas son consentement préalable, que ce soit pour accéder aux informations stockées sur son équipement ou pour écrire des informations sur celui-ci.

Pour ces raisons, dans sa décision du 16 mars 2023, la CNIL prononce une amende de 125 000 euros à l'encontre de cette société.

27/03/2023

Une salariée obtient la communication des bulletins de paie de ses collègues

Une salariée considérant avoir subi une inégalité salariale par rapport à ses collègues masculins occupant le même poste a saisi la formation de référé des prud’hommes pour obtenir la communication de leurs bulletins de paie.

La Cour d’appel de Paris a fait droit à sa demande, ordonnait à l’employeur de communiquer sous astreinte les bulletins de huit salariés faisant apparaître leurs noms et prénoms, classification conventionnelle, rémunération mensuelle détaillée et rémunération brute totale cumulée par année civile.

Dans son arrêt du 8 mars 2023, la Cour de cassation confirme la décision d’appel en rappelant que, conformément au point 4 de l’introduction du RGPD, le droit à la protection des données à caractère personnel n’est pas un droit absolu et doit être mis en balance avec d’autres droits fondamentaux conformément au principe de proportionnalité, notamment au regard du droit à un recours effectif et à l’accès au juge.

En l’espèce, la Cour d’appel avait fait ressortir que la communication des bulletins de paie portait atteinte à la vie privée des salariés mais « était indispensable à l'exercice du droit à la preuve et proportionnée au but poursuivi, soit la défense de l'intérêt légitime de la salariée à l'égalité de traitement entre hommes et femmes en matière d'emploi et de travail ».

24/03/2023

Respect du RGPD et de la loi Informatique et Libertés : Le programme des contrôles publié par la CNIL. 4 thématiques sont mises en avant pour l’année 2023 :

1️⃣ Utilisation des caméras augmentées par les acteurs publics – Le recours à ces dispositifs est notamment prévu dans le cadre de manifestations sportives de grande ampleur prévues en 2023 (Coupe du monde de rugby) et en 2024 (Jeux olympiques)

2️⃣ Utilisation du fichier des incidents de crédit aux particuliers – Du fait des enjeux particulièrement forts liés aux données de ce fichier, la CNIL en fait un axe prioritaire pour 2023. Elle précise que les contrôles porteront principalement sur les conditions dans lesquelles les banques accèdent au fichier, en extraient des informations et le tiennent à jour après régularisation des incidents de paiement.

3️⃣  Gestion des dossiers de santé et accès au Dossier Patient Informatisé (DPI) – La CNIL précise que les contrôles menés auront "pour objet d’examiner l’ensemble des mesures mises en place pour assurer la sécurité des données". 

4️⃣ Traçage des utilisateurs des applications mobiles – La CNIL indique que plusieurs contrôles ont déjà été réalisés sur des applications qui accèdent aux identifiants générés par les systèmes d’exploitation mobiles en l’absence de consentement des utilisateurs. La CNIL poursuivra ses vérifications en 2023.

NEXT avocats vous accompagne dans la mise en conformité des traitements de données personnelles et en cas de contrôle.

23/03/2023

Le tribunal de commerce de Lille poursuit la construction de sa « jurisprudence OVH ». L’hébergeur est de nouveau condamné à indemniser un client victime de l’incendie du datacenter de Strasbourg de mars 2021

Par jugement du 9 mars 2023, le tribunal considère que les informations fournies par l’hébergeur indiquaient que les serveurs étaient situés dans des bâtiments distincts et non dans un seul et même bâtiment entièrement détruit par l’incendie.

Le tribunal ne retient pas l’existence d’une force majeure pouvant être invoquée par l’hébergeur et refuse de faire application de sa clause limitative de responsabilité. Le tribunal considère qu’elle n’a pu être négociée par le client et qu’elle octroie un avantage injustifié à l’hébergeur créant un déséquilibre significatif entre les parties. La clause doit donc être réputée non-écrite en application de l’article 1171 du code civil. Cette clause limitait le préjudice au montant payé par l’éditeur au cours des 6 mois précédant la demande, soit en l’espèce 679,09 euros.

Ainsi, le tribunal condamne OVH à payer à son client la somme totale de 144 836,69 euros à titre de dommages et intérêts.

Cette décision soulève des questions importantes sur la pratique des clauses limitatives de responsabilité, alors qu'il s'agit d'un instrument économique essentiel pour la répartition des risques entre les parties à un contrat au regard des prestations concernées et de leur prix de vente.