Actualités

20/07/2022

La CNIL et ses homologues européennes se prononcent sur le Data Governance Act (DGA) et le Data Act. 

Dans un avis publié le 13 juillet 2022, la CNIL et d'autres autorités de protection des données se sont prononcées sur deux textes européens dont l’ambition est la création d’un marché unique de la donnée : le règlement n°2022/868 dit Data Governance Act (DGA) adopté en mai 2022 et la proposition de règlement dit Data Act présentée par la Commission européenne en février 2022. 

Le DGA veut offrir un cadre juridique propice à la réutilisation des données du secteur public par l’élaboration d’un mécanisme d’autorisation et l’interdiction de tout accord d’exclusivité. Le partage des données sera facilité par la confiance renforcée à l’égard de prestataires de services de partage de données – « structures d’intermédiation » – soumis à des obligations de notification et de neutralité, et d’organisations collectant des données pour l’intérêt général devant s’enregistrer comme des « organisations altruistes » à l’issue d’une procédure. 

Le Data Act vise une meilleure répartition des données organisée par des conditions équitables, moyennant une compensation raisonnable et dénuées de toute clause abusive. L’utilisation des données doit être facilitée pour les utilisateurs et les tiers par les fabricants et concepteurs dont les produits génèrent des données, comme pour les organismes publics en cas de besoins exceptionnels. Le Data Act encourage l’interopérabilité et le changement de fournisseurs de services de traitement des données par la suppression de tout obstacle dont les frais. Le texte se prémunit contre les accès illicites hors de l’Union européenne. 

Le DGA adopté en mai 2022 sera applicable en septembre 2023, tandis que la proposition du Data Act présentée par la Commission européenne en février 2022 devra encore faire l’objet d’une procédure d’adoption. 

11/07/2022

Développement et intégration de logiciels : la Cour de cassation a statué dans deux contentieux entre des prestataires informatiques et leurs clients. L’un avait pour objet l’intégration des fonctionnalités liées à une carte de fidélité dans un logiciel de gestion destiné à un réseau de pharmacies, l’autre le déploiement d’un logiciel destiné à la restauration collective au sein de différents sites exploités par une même société.

Dans ces deux affaires, les clients, insatisfaits des prestations livrées, ont mis fin aux relations contractuelles. Les prestataires les ont assignés devant les tribunaux.

● Dans l’affaire sur le logiciel de restauration collective, la Cour de Cassation rappelle que la réparation du dommage subi par le client du fait de l’échec de son projet informatique doit certes être intégrale, mais elle ne peut excéder le montant du préjudice. Elle censure donc la Cour d’appel qui avait condamné le prestataire informatique à indemniser le client de ses gains manqués alors que, en conséquence de la résolution du contrat, elle avait déjà condamné le prestataire à rembourser au client le prix des factures acquittées en exécution du contrat et l’avait donc dispensé du paiement de la prestation due (Cass com, 1er juin 2022, n°20-19.476).

● Dans l’affaire du non déploiement du projet de carte de fidélité au terme d’une période de test, la Cour de cassation censure la cour d’appel pour dénaturation des faits : le contrat d’intégration de la carte de fidélité prévoyait qu’à l’issue d’une phase de test de 6 mois, la solution serait déployée à tout le réseau, sauf dénonciation 3 semaines avant le terme de la phase de test en raison de l’échec dudit test. Un débat avait surgi sur ce qui devait être considéré comme "date de livraison" marquant le démarrage de la phase de test. Les juges du second degré ne peuvent dénaturer des courriels échangés entre les parties, dont il ressort que la "livraison" devait s’entendre de la date à laquelle les cartes livrées devaient fonctionner, de telle sorte que la résiliation a bien eu lieu dans le délai de six mois fixé par le contrat (Cass com, 22 juin 2022, n°21-17.689).

07/07/2022

Le Centre national de la musique et l'Arcom viennent de publier une étude sur le livestream musical.

La crise sanitaire a été un accélérateur pour le livestream. 45% des internautes français ont assisté à un spectacle musical en livestream, en direct ou en différé. Mais le rapport pointe les incertitudes du cadre réglementaire entourant le livestream de même que les évolutions attendues sur ces sujets :

• taux de TVA appliquée sur le livestream
• taux des redevances collectées pour les droits d’auteur
• rémunération des artistes-interprètes
• et l’adoption d’un droit voisin pour les producteurs de spectacles

06/07/2022

La complexe garantie légale de conformité des biens et contenus numériques (➡️ voir notre présentation) vient de voir son décret d’application publié (décret n°2022-946 du 29 juin 2022).

On retiendra notamment que :

● L’obligation d’information relative à la garantie légale de conformité à la charge du professionnel doit s'exercer par l'insertion d'un encadré, conforme à un modèle prévu par le décret, dans les conditions générales de vente ou de services.
● Lorsqu’un consommateur consent au traitement de ses données personnelles en contrepartie d’un service « gratuit » ou à prix réduit, le professionnel doit préciser son modèle économique en faisant apparaître l’incidence de ce traitement.
● Lors de la fourniture des mises à jour logicielles des biens comportant des éléments numériques, le producteur doit indiquer les logiciels concernés par la mise à jour, la durée de fourniture desdits logiciels, leurs caractéristiques essentielles et toute évolution concernant ces informations.
● La mise en conformité du bien numérique affecté d’un défaut doit faire l’objet de précisions sur les modalités pratiques de renvoi du bien.
Le tout sera applicable au 1er octobre 2022.

01/07/2022

Quels manquements sont retenus par la CNIL pour la sanction de 1 million d’euros prononcée à l’égard de TOTAL ENERGIES ?

La procédure a été diligentée à l’issue de la réception de 27 plaintes par la CNIL entre octobre 2019 et juillet 2020 et un contrôle en ligne du site internet concerné permettant à des consommateurs de renseigner des formulaires pour obtention de devis et pour la souscription d’abonnements en ligne.

Les griefs retenus sont les suivants:
● OPT-OUT: Les coordonnées des prospects ont été recueillies via un formulaire en ligne de souscription ne permettant pas de s’opposer au traitement de leurs données à des fins de prospection commerciale. Des courriels de prospection étaient également adressés à des prospects qui avaient seulement débuté une souscription sans la finaliser.
● INFORMATION : Lors de campagnes d’appels téléphoniques ultérieures, l’information délivrée aux prospects sur la protection de leurs données par la société était incomplète, sans que leur soit offerte la possibilité d’accéder à une information plus complète.
● EXERCICE DES DROITS : Les demandes d’exercice de leurs droits par les personnes concernées n’ont pas été traitées dans le temps imparti et l’ont souvent été après plusieurs relances de la personne concernée, ou dans le cadre de la procédure de contrôle.
● CIRCONSTANCES NON ATTENUANTES : Le responsable de traitement ne peut pas se prévaloir de difficultés dans l’obtention de l’information auprès de ses partenaires commerciaux ou d’erreurs humaines de ses équipes pour justifier son absence de réponse aux personnes concernées, auxquelles elle doit garantir un droit d’accès à leurs données.
● DROIT D’OPPOSITION : Il n’a pas été apporté de réponse satisfaisante aux utilisateurs faisant état de leurs difficultés dans l’exercice de leur droit d’opposition à la prospection commerciale
● MISE EN CONFORMITE ULTERIEURE : quand bien même des mesures correctives ont été prises par la société au cours de la procédure de contrôle, la CNIL a constaté que les manquements étaient constitués.

Conclusions : - les consommateurs doivent pouvoir dire NON à de la prospection commerciale ; - il convient de mettre en oeuvre des procédures de prospection conformes à la réglementation applicable avant que des plaintes soient adressées à la CNIL et des contrôles diligentés.

30/06/2022

Tout intervenant sur internet n’est pas forcément un hébergeur. Bien au contraire ! La chambre commerciale de la Cour de cassation l’a rappelé utilement à la Cour d’appel de Paris dans un arrêt du 1er juin 2022.

La société espagnole Ticketbis revendait sur son site internet Ticketbisfr.com, sans autorisation de l’organisateur, des billets pour les matchs de l’équipe de France de football. Elle revendiquait la qualification d’hébergeur pour bénéficier de ce régime accueillant d’irresponsabilité, en prétendant n’avoir pas de rôle actif dans la vente des billets. La Cour d’appel de Paris, dans un arrêt 11 septembre 2020, avait retenu cette qualification.

Fort logiquement, la Cour de cassation casse et annule l’arrêt, au visa de l’article, I, 2° de la LCEN du 21 juin 2004. La Cour de cassation retient le rôle actif de la société Ticketbis dans la commercialisation des billets : l’offre de choix entre les différentes compétitions sportives aux acquéreurs de billets, les commentaires sur les matchs à venir, la sécurisation de la transaction par Ticketbis, l’optimisation et la promotion des ventes en cause, etc.

21/06/2022

« Transmission de fichiers de donateurs ou de contacts entre associations et fondations » - Le nouveau guide de la CNIL permet de démystifier deux fausses croyances qui ont la vie dure depuis l'entrée en vigueur du RGPD :

● Le recueil du consentement n’est pas un préalable nécessaire à tout traitement de données personnelles. La CNIL indique que des associations peuvent se transmettre entre elles des fichiers de donateurs ou de contact pour des finalités de prospection caritative. Il faudra que la collecte des données ait, bien sûr, été licite et loyale et que les règles suivantes soient respectées : 1 La personne concernée doit avoir été dument informée de l’utilisation de ses données à des fins de prospection caritative. 2 La personne concernée doit avoir été informée que ses données pourront être transmises à des partenaires du secteur caritatif à des fins de prospection caritative. 3 Chaque personne concernée doit être en mesure de s’opposer préalablement à chacune de ces utilisations (optout) puis à tout moment lors de chaque contact (lien de désabonnement)

● Une transmission de données par un opérateur à un autre n'implique pas que l’un soit qualifié « sous-traitant » de l’autre. Un contrat de sous-traitance de données n’est pas à mettre en place dans tous les cas de transferts de données. Si une association A communique des données à une association B, pour que B puisse à son tour faire de la prospection caritative au nom et pour le compte de B, alors il s’agit d’un transfert de responsable de traitement à responsable de traitement, chacune étant responsable de ses propres traitements.

●  Ces règles ne sont pas applicables si la prospection est commerciale, et tout prestataire technique traitant des données pour le compte de l’association sera bien, quant à lui, un sous-traitant !

17/06/2022

L’accord de coproduction dans les domaines du cinéma, de la télévision et des services de médias audiovisuels à la demande (SMAD) entre le Gouvernement française et le Gouvernement du Canada, signé le 28 juillet 2021, a été publié au JO du 15 juin 2022.

Les œuvres réalisées en vertu de cet accord sont considérées à la fois par la France et par le Canada comme des productions nationales qui peuvent dès lors bénéficier de l’octroi d’avantages accordés à l’échelle nationale. La France et le Canada doivent également faciliter l’importation et l’exportation du matériel nécessaire à la réalisation des œuvres, ainsi que l’entrée et le séjour sur leur territoire du personnel artistique et technique collaborant à l’œuvre.

L’accord fixe les critères permettant de bénéficier du statut de coproduction franco-canadienne, notamment :
• Contribution financière minimale par les producteurs français et canadien (20% minimum du budget total de la production) ;
• Lieux de tournage, services techniques et doublages sur le territoire des États coproducteurs ;
• Générique de l’œuvre mentionnant cette coproduction ;
• Engagement de distribution ou de diffusion sur le territoire des États tant pour les œuvres télévisuelles et cinématographiques que celles destinées à un SMAD.

15/06/2022

Le règlement 2022/868 du 30 mai 2022 portant sur la gouvernance européenne des données (Data Governance Act, ou DGA) a été publié au Journal officiel de l’UE. Il entrera en vigueur le 24 septembre 2023. Le DGA a pour objectif principal la facilitation de l’accès et de la réutilisation de certaines catégories de données détenues par des organismes du secteur public (notamment par l’interdiction des accords d’exclusivité et la définition de la procédure à laquelle ces organismes doivent se soumettre en cas de réception d’une demande de réutilisation. En France, la loi pour une République numérique de 2016 a favorisé l’ouverture des données des organismes publics mais le régime juridique aujourd’hui contenu dans le code des relations entre le public et l’administration devra être mis à jour pour en tenir compte.

Deux autres dispositifs sont également mis en place par le DGA. Le législateur européen a en effet souhaité favoriser la réutilisation des données grâce à l’encadrement :

• De services dits « d’intermédiation ». D’après la Commission, il s’agira de prestataires fiables de services de partage de données qui mettront en commun et organiseront les données de manière neutre, à condition donc que ces entreprises ne les utilisent pas à leurs propres fins.

• D’organisations dites « altruistes ». Ces organisations à but non lucratif et servant des fins d’intérêt général, qui devront présenter des garanties spécifiques, traiteront les données reçues par les particuliers et entreprises volontaires pour les mettre à disposition à de telles fins, comme « l’amélioration du trafic, la santé publique, la lutte contre le changement climatique (…) ».

Les procédures de notification et d’enregistrement de ces nouveaux services et organisations seront « proposées par l’intermédiaire du portail numérique unique ».