Actualités

30/04/2024

Il fallait s’y attendre, l’application de la loi n° 2023-451 du 9 juin 2023 sur l'influence commerciale et les dérives des influenceurs sur les réseaux sociaux rencontre des obstacles. Un rapport de l’Assemblée Nationale du 13 mars 2024 revient sur les observations de la Commission européenne concernant les non-conformités de cette loi avec le droit de l'Union européenne.

Outre le fait que certaines dispositions de la loi n'ont pas été correctement notifiées, comme l'exige la directive 2015/1535 du 9 septembre 2015 « SMTD », la Commission relève des problèmes de compatibilité avec plusieurs directives européennes, notamment :

● Incompatibilité avec la directive 2000/31/CE « e-commerce ». La Commission estime que les dispositions de la loi influenceurs ont pour objectif d’imposer « des obligations aux fournisseurs de la société de l’information en ce qui concerne leurs obligations de modération de contenus ». Elles doivent donc respecter le principe « du pays d’origine » qui repose sur la liberté de prestation des services de la société de l’information transfrontaliers. Il convient alors d'introduire dans la loi influenceurs une clause du pays d'origine.

● Incompatibilité avec la directive 2018/1808/CE « Services de médias audiovisuel ». La Commission estime que les influenceurs doivent respecter les règles édictées par cette directive et notamment les « exigences d’équité et de transparence pour la publicité et les autres formes de communications commerciales audiovisuelles ». La Commission suggère que les articles qui portent sur la promotion des produits alimentaires et des boissons nocives, l'interdiction de la publicité pour les produits de nicotine et sur les obligations en matière de publicité, soient alignés sur les dispositions correspondantes de la directive. Selon les rapporteurs, des incertitudes subsistent cepend quant à l’application de cette directive aux influenceurs, il faudrait notamment que les influenceurs remplissent des critères d’audience.

● Incompatibilité avec le règlement (UE) n°2022/2065 sur les services numériques « hashtag#DSA ». La Commission relève que les obligations prévues par la loi influenceurs semblent « aller à l’encontre du système de surveillance et d’exécution prévu par le DSA, dans la mesure où les autorités françaises disposent d’une compétence sur les prestataires de services intermédiaires établis en dehors de la France, en violation de l’article 56 paragraphe 1 du DSA ». La loi DDADUE qui vient d’être adoptée a supprimé les dispositions incompatibles de la loi influenceurs.

Moralité : la régulation de l’internet relève maintenant des institutions européennes. Le Parlement national ne peut pas l’ignorer !

Le rapport parlementaire

24/04/2024

Les données personnelles ne sont pas une marchandise négociable : c’est ce qu’affirme le Comité européen de la protection des données.

Les autorités de contrôle néerlandaise, allemande et norvégienne ont sollicité l'avis du CEPD sur les circonstances et conditions dans lesquelles les modèles de "consent or pay" relatifs à la publicité comportementale peuvent être mis en œuvre par les grandes plateformes en ligne.

Le CEPD rappelle la nécessité pour les responsables du traitement de se conformer, outre aux exigences de recueil du consentement - qui doit être valable, informé, non ambiguë et spécifique - également aux principes de limitation de la finalité, de minimisation des données traitées, d’équité, des principes de protection "by Design" et de protection "by Default".

Le CEPD souligne que "les grandes plateformes en ligne ne pourront pas se conformer aux exigences en matière de consentement si elles ne proposent aux utilisateurs qu'un choix binaire entre le consentement au traitement des données à caractère personnel à des fins de publicité comportementale et le paiement d'une redevance". Il rappelle à cet égard "la nécessité d’empêcher que le droit fondamental à la protection des données ne soit transformé en une marchandise dont les personnes concernées doivent payer pour en jouir".

Les grandes plateformes en ligne ne peuvent pas exploiter librement les données à caractère personnel de leurs utilisateurs simplement parce que ces utilisateurs n’ont pas payé pour qu’elles soient protégées.

EDPB avis du 17 avril 2024 - Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms

16/04/2024

Les photographies des membres d’un groupe de rock commandées pour la promotion d’une tournée ne pouvaient pas être utilisées pour un EP et les réseaux sociaux du groupe. C’est ce que rappelle le Tribunal judiciaire dans un jugement récent (Tribunal judiciaire, Paris, 3e ch., 2e sect., 5 avr. 2024 – n° 21/09122) opposant le photographe et le management du groupe.

Il avait été confié au photographe professionnel la réalisation de photographies des membres du groupe dans le cadre de la promotion d’une tournée.

Sur sa facture le photographe indiquait : "Tous droits cédés. France. 3 ans". "Toute utilisation sortant du cadre initialement prévu dans ce devis est interdite, sauf autorisation expresse et écrite du prestataire".

Le Tribunal rejette sa demande de nullité de sa propre clause au motif qu’elle aurait été trop générale, retenant que le photographe "qui se décrit lui-même comme un photographe professionnel d’une grande notoriété, n’a pu faire aucune erreur (…) sur la portée des termes de celle-ci".

En revanche le tribunal retient la contrefaçon par reproduction des photos sur les réseaux sociaux du groupe et sur la pochette d’un single, et l’atteinte au droit moral, le photographe n’ayant pas été crédité comme photographe sur ledit single.

Moralité : le contrat était mal rédigé et tout le monde est perdant !

12/04/2024

Le RGPD n’est pas un joker procédural pour faire annuler un contrôle sanitaire. Un vétérinaire, dont le cabinet avait fait l’objet d’une visite domiciliaire de contrôle par la brigade nationale d'enquête vétérinaire et phytosanitaire, a demandé l’annulation de l’ordonnance autorisant cette visite au motif notamment du non respect du RGPD par l’administration.

Parmi les documents saisis, se trouvaient des données « économiques et personnelles des exploitations agricoles » clientes du vétérinaire

Il était fait grief à l’ordonnance de ne contenir aucune mention requise par le RGPD sur les droits des personnes concernées par ces traitements

Ni la Cour d’appel de Nancy, ni la Cour de cassation n’ont fait droit à sa demande.

La Cour d’appel rappelle que le RGPD ne s'applique pas aux traitement de données personnelles effectués « par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites (...) » et que les états membres sont autorisés à limiter la portée des obligations d’information des personnes prévues à l'article 14 du RGPD lorsque le traitement est « mis en oeuvre par les administrations publiques qui ont pour mission soit de contrôler ou de recouvrer des impositions soit d'effectuer des contrôles de l'activité de personnes physiques ou morales pouvant donner lieu à la constatation d'une infraction ou d'un manquement, des amendes administratives ou à des pénalités ».

La Cour de cassation (Cass., com., 4 avr. 2024 – n° 22-22.221) a rejeté le pourvoi au motif que l’article du code de la santé publique appliqué « n'impos[ait] pas de mention, dans cette ordonnance, des garanties relatives à la protection des données à caractère personnel. »

09/04/2024

La CNIL prononce une sanction de 525 000 euros à l’encontre d’un distributeur de produits reconditionnés pour avoir utilisé, à des fins de prospection commerciale, des données fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées.

Il s’agit d’une suite des opérations de contrôle que la CNIL a menées dans le secteur du phoning et qui ont déjà donné lieu à une précédente sanction de 310 000 euros à l’encontre d’une autre société.

Ici, la société mise en cause procède à des campagnes de démarchage par téléphone (3 millions d’appels sur 1 an) et par SMS (1,4 millions de SMS sur 1 an) pour promouvoir les produits vendus dans ses boutiques. Les données des prospects démarchés ont été achetées auprès de « courtiers » en données, éditeurs de sites de jeux-concours et de tests de produits.

La CNIL retient que l’apparence trompeuse des formulaires de participation à des jeux-concours en ligne utilisés par les « courtiers » ne permet pas de recueillir un consentement libre, éclairé et spécifique des personnes concernées à la collecte de leurs données à des fins de prospection commerciale, caractérisant un manquement à l’article L34-5 du du code des postes et communications électroniques.

La CNIL a considéré que, lors de ses opérations de démarchage téléphonique, la société ne permettait pas aux personnes d’être suffisamment informées, en violation de l’article 14 du RGPD.

Autre enseignement de la décision, la CNIL adopte une attitude réaliste et rationnelle en considérant que la conservation en base active des données clients pendant 5 années après le terme de la relation contractuelle n’est pas un manquement au RGPD dès lors qu’il n’est pas démontré que des personnes auraient accès aux données sans avoir besoin d’en connaître.

Cette sanction a été prise par la CNIL en coopération avec les autorités de contrôle européennes concernées (Belgique, Italie, Espagne, Portugal) car le responsable de traitement traitait des données de clients et prospects dans ces autres pays de l’UE.

Délibération SAN-2024-004 du 4 avril 2024

31/03/2024

Qui possède quoi sur les créations générées par l’IA ? Dans son analyse, Etienne Papin, associé et fondateur de NEXT avocats, revient sur les premières jurisprudences du droit de l'internet en 1996 et anticipe le traitement judiciaire qui sera réservé à l'IA.

A lire ici.

28/03/2024

Etienne Papin, associé de NEXT avocats, revient sur l'ordonnance du Conseil d'Etat du 22 mars dernier sur laquelle les commentaires à formuler sont nombreux.

Health Data Hub – Le Conseil d’Etat ne suspend pas en référé l'autorisation donnée au HDH d’héberger des données de santé sur Microsoft Azure.

Nous pouvons continuer dans les proverbes pour commenter cette séquence judiciaire : il n’y a pas pire aveugle que celui qui ne veut pas voir. (Notre précédent post sur le sujet)

Le CE a été saisi en référé par un groupement d’associations, d’entreprises et de particuliers d’une demande d’annulation de la délibération de la CNIL du 21 décembre 2024 reconnaissant la légalité de l'hébergement de données sensibles du projet EMC2 par un sous-traitant, Microsoft Ireland, dont la société mère est soumise au droit des Etats-Unis.

Par une ordonnance du 22 mars 2024, le CE rejette ce recours.

Il considère que la condition d’urgence de la procédure de référé n’est pas remplie pour les raisons suivantes :

1️⃣ La décision de la CNIL a été motivée par le fait qu'aucune solution ne répondait aux exigences techniques du HDH dans les délais impartis par la convention signée avec l’Agence Européenne du Médicament.

Autrement dit : nécessité fait loi ! On préfère faire peser un risque sur les données de santé de millions de personnes plutôt que le HDH assume les conséquences d’être en retard dans l’exécution d’un marché… On me permettra de ne pas être convaincu par le raisonnement car ce sont des pans entiers de la protection des données personnelles, en particulier, mais des libertés fondamentales, en général, qui peuvent s’effacer devant une telle considération.

2️⃣ Le risque d'accès aux données par les autorités américaines dans le cadre de leurs programmes de surveillance est actuellement « hypothétique » compte tenu de la mesures de sécurité mise en place, à savoir la pseudonymisation des données.

Mais alors, pourquoi depuis la directive européenne du 24 octobre 1995 explique-t-on aux entreprises que les transferts de données personnelles en dehors de l’Union Européenne sont susceptibles de porter atteintes aux droits et libertés des personnes ? Car, le fait que les autorités américaines accèdent effectivement aux données est toujours « hypothétique » de notre côté de l’Atlantique. Aucun responsable de traitement n’est jamais informé par les services de renseignements américains qu’ils accèdent « effectivement » aux données ! Faut-il vraiment expliquer pourquoi ?

▶️Sur la base de ces considérations, le Conseil d'Etat juge que les requérantes ne démontrent pas que la délibération attaquée porte une atteinte grave et immédiate aux intérêts des requérantes.

CE n°492369, 22 mars 2024

26/03/2024

A la question de savoir s’il peut être interdit par une loi nationale à une entité établie dans un autre État membre de fournir des services de gestion de droits d’auteur sur son territoire, la CJUE répond non. En tous cas, pas par une interdiction « générale et absolue ».

Liberi editori a autori (LEA), organisme de gestion collective italien "habilité à l’intermédiation des droits d’auteur" faisait grief à une société luxembourgeoise, entité de gestion indépendante des droits d’auteur, d’exercer ses activités d'intermédiation en Italie, au motif :
● qu’elle n’était pas inscrite sur la liste des organismes "habilités à l’intermédiation des droits d’auteur en Italie" ;
● qu’elle ne satisfaisait pas aux exigences spécifiques prévues par un décret italien ;
● et qu’elle n’avait pas informé le ministère des Télécommunications avant de commencer à exercer son activité.

Une question préjudicielle a été soumise à la CJUE.

La CJUE, en interprétant l’article 56 TFUE sur la libre prestation des service et la directive 2014/26/UE sur la gestion collective du droit d’auteur, juge qu’« une législation d’un État membre qui exclut de manière générale et absolue la possibilité pour les entités de gestion indépendantes établies dans un autre État membre de prester dans ce premier État membre leurs services de gestion du droit d’auteur » constitue une restriction non proportionnée au regard de l’objectif de protection du droit d’auteur et s’oppose au droit de l’Union.

CJUE 21 mars 2024 affaire C‑10/22 Liberi editori e autori (LEA) c. Jamendo SA