Actualités

13/05/2022

Le monde numérique offre en trompe-l'oeil le mythe d'une régulation par l'accumulation et le contrôle des flux de données. Basés sur l'accumulation de données numériques, les exemples de législations récentes sur le passe sanitaire, les transactions en crypto-monnaies et la facture électronique interrogent sur les fondements et l'efficacité d'une alliance entre data et loi.

Lire la chronique d'Etienne Papin dans Le Monde Informatique 

24/05/2022

L’identité et sa justification électronique font l’objet d’un foisonnement de solutions sectorielles.

• Le 1er avril 2022, l’Agence du numérique en santé a publié un Référentiel d'identification électronique qui définit le niveau minimum de garantie attendu s’agissant des modalités d’identification électronique des utilisateurs des services numériques en santé.
• Un an plus tôt, avait été publié l’arrêté du 28 mars 2021 relatif à la certification de conformité des services d'entrée en relation d'affaires à distance, qui lui répondait aux besoins du secteur de la banque.
• Le 26 avril 2022, a été publié le décret n° 2022-676 autorisant la création d'un moyen d'identification électronique dénommé « Service de garantie de l'identité numérique », lequel vient remplacer le service ALICEM. Il concernera tous les porteurs de la nouvelle carte d’identité biométrique.

Alors qu’il s’agit toujours de répondre à un même besoin - vérifier l’identité d’une personne lors de l’établissement d’une relation à distance - la complexité juridique est la règle en matière d’identification électronique.

20/05/2022

La Cour d’appel de Paris rappelle, dans un arrêt du 11 mai 2022, que la protection d’une oeuvre par le droit d'auteur s’apprécie de façon concrète sur la base des éléments effectivement créés par des personnes physiques identifiées, et pas sur la base de déclarations faites à la SACD, dans des contrats ou dans des échanges de courriels.

La Cour d’appel de Paris était saisie d’un litige relatif à trois pièces de théâtre étant la suite les unes des autres :

Version 1 - « Ma Belle-mère et moi », pièce initiale écrite par un auteur 1
Version 2 - « Ma Belle-Mère, mon ex et moi » pièce remaniée par un auteur 2 sur la base de la pièce initiale 
Version 3 - « Ma Belle-mère et moi, 9 mois après » pièce qui se présentait comme la suite de la pièce initiale, et écrite par un auteur 3, avec la participation de l’auteur 1

L’auteur 2 a introduit une action en contrefaçon à l’égard de l’auteur 3 et de la société ayant produit cette 3ème pièce pour avoir écrit et représenté une pièce de théâtre étant la suite de celle dont il était l’auteur, sans son autorisation, et donc en violation de son droit moral et de ses droits patrimoniaux.

● La Cour retient que la version 2 de la pièce est une œuvre composite originale, dérivée de la pièce initiale, écrite avec l’accord de l’auteur 1. De nombreux apports originaux de l’auteur 2 sont identifiés concernant notamment :
- la trame de l’histoire ; 
- les caractères et l’importance des personnages ;
- les relations entre les personnages.  

Il est ainsi démontré que la deuxième version de la pièce de théâtre "contient des éléments qui lui sont propres et personnels, et [qui] relèvent de choix arbitraires révélant l’empreinte de sa personnalité et [qui] doit donc bénéficier de la protection au titre du droit d’auteur (…)".

● La Cour retient que la troisième version de la pièce "reprend les mêmes personnages principaux (…), se présente comme la suite logique et chronologique de la version 2, lui empruntant de nombreux éléments tels le caractère de personnages et les intrigues".  

La Cour d’appel, condamne alors les auteurs et la société de production de cette version 3 au versement à l'auteur 2 de 5 000 euros de dommages-intérêts au titre du droit moral, et 20 000 euros au titre de ses droits patrimoniaux.

18/05/2022

La signature électronique par envoi d’un code sms (OTP) sauvée in extremis par la Cour d’appel de Riom. En l’espèce, une banque cherche à prouver qu’un contrat de prêt a été valablement signé en ligne avec Mme B.   La Cour d’appel dans son arrêt du 11 mai 2022 :

● Constate que le « fichier de preuve » établi par le prestataire de signature en ligne n’est pas un « document » « établi à titre de certificat électronique qualifié » comme l’exige le décret du 28 septembre 2017. La conclusion est indiscutable en dépit de la légère confusion que commet la Cour en assimilant « certificat électronique qualifiée » et « document ».

● En tire la conséquence que la banque créancière perd le bénéfice de la présomption de fiabilité de la signature électronique telle que prévue à l’article 1367 du code civil. Ici encore, cette conclusion de la Cour s’impose.

● Autorise la Banque a apporter d’autres moyens de preuve relative à l’identité du signataire.

● Accueille comme preuve de cette identité des documents supplémentaires : copie de la CNI, copie des avis d’imposition, RIB, réalité des prélèvements opérés sur le compte en banque opérés sur le compte bancaire de la débitrice non-contestés.

● Et reconnait finalement que « au moyen de ces éléments de preuves complémentaires, et faute de toute contestation de Mme B qui n'a pas comparu » il est démontré « la réalité et la fiabilité de la signature électronique donnée par Mme B le 14 novembre 2017 ».

La leçon à retenir : à défaut de certificat électronique qualifié, la preuve de l’identité du signataire doit être préconstituée par des moyens extrinsèques à la signature électronique.

17/05/2022

L’accord relatif à la rémunération minimale des artistes-interprètes dont les musiques sont diffusées en streaming a été trouvé. L’article L212-14 du code de la propriété intellectuelle dispose que « la mise à disposition d’un phonogramme de manière que chacun puisse y avoir accès de sa propre initiative, dans le cadre des diffusions en flux (en « streaming » donc), fait l'objet d'une garantie de rémunération minimale. »

Une ordonnance du 12 mai 2021 était venue préciser que cette rémunération minimale serait établie par accord entre :
• d’une part, les organisations professionnelles représentatives des artistes-interprètes et les organismes de gestion collective les représentant ;
• d’autre part, les organisations professionnelles représentatives des producteurs de phonogrammes et les organismes de gestion collective les représentant ;

Le communiqué de presse publié par les organisations énonce que l’accord prévoit :
● Un taux minimum de « royalties » dues aux artistes‐interprètes principaux pour la diffusion de leurs titres en streaming
● Une avance minimale garantie de 1000€
● Un intéressement au succès des titres en streaming au bénéfice des musiciens
● Une rémunération forfaitaire au bénéfice de tous les musiciens
● Un renforcement du FONPEPS, fonds privé/public soutenant l’emploi artistique
● D’autres mesures "d’encadrement des rémunérations".

11/05/2022

Une notaire se considérant dénigrée et victime de pratiques commerciales trompeuses par de faux avis publiés anonymement sur Google demandait qu’il soit enjoint à Google Ireland de communiquer les données d’identification des auteurs de ces avis. Par un arrêt du 27 avril 2022, la Cour d’appel de Paris a refusé cette demande.

● La Cour juge que l’article 6 II de la loi pour la confiance dans l’économie numérique (LCEN) « ne prévoit plus la possibilité de communiquer les données conservées pour les besoins des procédures civiles ». Elle énonce que « la conservation des données d’identification par les fournisseurs d’accès à internet et de services d’hébergement est désormais strictement encadrée aux seuls besoins des procédures pénales ». La Cour retient en outre que la requérante échoue à démontrer un motif légitime pour engager une action pénale contre les auteurs des avis, qui « relèvent de la libre critique et ne constituent pas (…) un abus de la liberté d’expression ». La communication des données identifiantes lui est refusée.

● La Cour juge enfin qu’aucun trouble manifestement illicite n’est caractérisé et que Google n’a dès lors pas d’obligation de retirer les avis litigieux.

Cette jurisprudence est particulièrement surprenante voire inquiétante. Au nom de la liberté d’expression, il devient ainsi permis à toute personne, sous couvert d’anonymat, de tenir tout type de propos et d’échapper à toute responsabilité. La réparation des dommages subis dans l’abus de liberté d’expression ne doit pas être cantonnée aux seules juridictions pénales par ailleurs débordées et qui peinent à instruire les dossiers de diffamation et injures.

Reste à espérer que cette jurisprudence sera un cas d’espèce. Il n’est pas dans l’esprit annoncé du Digital Services Act qu’internet soit consacré comme un espace d’impunité et de malveillance…

04/05/2022

Un décret a été pris le 28 avril 2022 pour l’application de l’article 1er de la loi n°2020-1266 du 19 octobre 2020 visant à encadrer l’exploitation commerciale de l’image d’enfants de moins de 16 ans sur les plateformes en ligne. La loi du 19 octobre 2020 soumet la diffusion de l’image des mineurs de 16 ans sur des plateformes de partage de vidéos à titre lucratif à un régime d’autorisation administrative préalable et à d’autres formalités. Le décret n° 2022-727 relatif à l'encadrement de l'exploitation commerciale de l'image d'enfants de moins de seize ans sur les plateformes en ligne procède aux modifications nécessaires des dispositions du code du travail concernées, mais pour l’application de l’article 1er de la loi seulement. D’autres décrets seront nécessaires pour préciser le reste des dispositions prévues par la loi du 19 octobre 2020.

27/04/2022

Par une décision du 26 avril 2022, la CJUE a estimé que l’obligation faite aux fournisseurs de services de partage de contenus en ligne de contrôler les contenus que des utilisateurs souhaitent partager sur leurs plateformes est compatible avec la liberté d’expression et d’information. La CJUE rappelle les éléments permettant d’établir que le "principe de proportionnalité" dans les limitations aux droits fondamentaux est respecté :

• Le fait qu’il soit laissé aux fournisseurs le soin de déterminer les mesures concrètes à prendre pour atteindre le résultat visé n'est pas incompatible avec l’exigence selon laquelle toute limitation de l’exercice d’un droit fondamental doit être prévue par la loi.
• Il a d’ores et déjà été interdit par la CJUE que les fournisseurs prennent des mesures de filtrage automatique préventif, ce qui est proportionné à la liberté d’expression. 
• Les fournisseurs n’ont aucune obligation générale de surveillance et ne sont pas tenus de prévenir le partage de contenus dont la constatation nécessiterait une appréciation autonome du contenu de leur part et les titulaires de droits doivent leur avoir transmis les informations pertinentes et nécessaires à l’égard des contenus en cause.
• Les utilisateurs sont autorisés à partager des contenus aux fins de la parodie ou du pastiche et sont informés par les fournisseurs du droit d’auteur et de ses limitations: ils bénéficient ainsi d’une protection uniforme dans l’UE.
• Il existe en tout état de cause plusieurs garanties procédurales dans le cas où les fournisseurs bloqueraient tout de même des contenus licites, dont des dispositifs internes de traitement des plaintes rapides et efficaces, en plus des recours extrajudiciaires ou judiciaires. 

Pour toutes ces raisons, l’article 17 de la directive 2019/790 du 17 avril 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique n’est pas annulé et le recours de la République de Pologne est rejeté.

25/04/2022

Par une délibération du 15 avril 2022, la CNIL a prononcé une sanction de 1 500 000 euros à l’encontre d’une société commercialisant des solutions logicielles pour des laboratoires d’analyses médicales. La CNIL a retenu « de nombreux manquements techniques et organisationnels en matière de sécurité » dont :

• l’absence de procédure spécifique s’agissant des opérations de migration de données
• l’absence de chiffrement des données à caractère personnel stockées
• l’absence d’effacement automatique des données après migration
• l’absence d’authentification requise depuis Internet pour accéder à la zone publique d’un serveur
• l’utilisation de comptes utilisateurs partagés entre plusieurs salariés
• l’absence de procédure de supervision et de remontée d’alertes de sécurité

La CNIL a également retenu des manquements aux obligations d’encadrer les traitements effectués par un sous-traitant par un acte juridique formalisé et de ne traiter les données que sur instruction du responsable de traitement.

Notre récapitulatif des sanctions prononcées par la CNIL.

14/04/2022

Le décret n° 2022-517 du 8 avril 2022 est venu préciser la procédure de sanction devant la CNIL pour tenir compte notamment de la procédure « simplifiée » introduite par la loi du 24 janvier 2022.

Vous en saurez plus en un clin d’oeil avec notre présentation.

A souligner : le rapporteur de la CNIL n’est pas obligé d’entendre le mis en cause dans la procédure normale alors que c’est obligatoire dans la procédure simplifiée. Incongruité du texte lorsque l’on sait l’importance du rôle du rapporteur dans la prise de décision d’une sanction par la CNIL.