Toutes les news
1ER RAPPORT DE L’ARCOM
20/06/2023
L’Arcom, créée en janvier 2022, a publié son premier rapport d’activité. Voici quelques informations sur les nouveaux pouvoirs du régulateur pour les activités numériques :● Retransmissions sportives illicites : Depuis le 1er janvier 2022, les articles L. 333-10 et L. 333-11 du code du sport prévoient un dispositif pour les titulaires de droits sportifs permettant d’empêcher l’accès, depuis la France, à des services diffusant illicitement des compétitions ou manifestations sportives. L’ARCOM a procédé au blocage de 1 279 noms de domaine.
● Sites miroirs : Depuis le 1er janvier 2022, l’article L. 331-27 du code de la propriété intellectuelle a créé un dispositif pour les titulaires de droits d’auteur ou de droits voisins, parties à une décision judiciaire prononçant le blocage ou le déréférencement d’un service de communication au public en ligne, qui peuvent saisir l’Arcom pour obtenir le blocage de « sites miroirs » reprenant le contenu d’un service initialement reconnu comme contrefaisant par une décision de justice. Les premières saisines sont intervenues depuis début octobre 2022, dans le cadre d’une expérimentation d’une durée de 6 mois.
● SMAD : L’ARCOM a procédé au conventionnement de 8 services de médias audiovisuels à la demande édités en application de l’article 33-3 de la loi du 30 sept. 1986. Ces conventions précisent notamment leurs obligations d’exposition et de mise en avant des œuvres audiovisuelles et cinématographiques.
● Accès de mineurs à des contenus pornographiques : L’ARCOM a mis en demeure 5 éditeurs de sites pornographiques de prendre toute mesure pour empêcher l’accès de leur site aux mineurs en application de l’article 227-24 du code pénal. L’ARCOM a également saisi le Tribunal judiciaire de Paris afin que soit ordonné le blocage de 5 autres sites permettant à des mineurs d’avoir accès à de tels contenus. Ces sites avaient été mis en demeure en 2021 et n’avaient pas déféré.
LOI SUR LES INFLUENCEURS
14/06/2023
Les influenceurs font leur entrée dans le droit de la publicité et de la consommation. Le 9 juin 2023 la loi visant à encadrer l’influence commerciale et à lutter contre les dérives des influenceurs sur les réseaux sociaux a été promulguée.Les influenceurs sont les personnes physiques ou morales qui, à titre onéreux, mobilisent leur notoriété auprès de leur audience pour communiquer au public, par voie électronique, des contenus visant à faire la promotion, directement ou indirectement, de biens, de services ou d'une cause quelconque.
La loi :
● Interdit aux influenceurs la publicité pour certains produits ou services notamment : la chirurgie esthétique, l’abstention thérapeutique, certains produits financiers, les abonnements à des conseils ou des pronostics sportifs, etc. ;
● Prévoit une meilleure information des « followers » quant à la nature publicitaire du contenu (avec l’utilisation obligatoire de la mention « publicité » ou « contenu commercial ») et l’utilisation obligatoire de la mention « images retouchées » ou « images virtuelles » ;
●Crée la nouvelle profession réglementée d’agent d’influenceur ;
● Renforce les pouvoirs de la DGCCRF pour contrôler le respect de ces règles par les influenceurs.
RECUPERATION DE DOCUMENTS INFORMATIQUES PAR UN SALARIE
08/06/2023
Concurrence déloyale par récupération de documents confidentiels de l’ancien employeur : quels sont les actes interdits et qui est responsable ? Un arrêt de la Cour de cassation du 17 mai 2023 (Cass. com. 17 mai 2023 n°22-16.031) apporte des éclairages :Après avoir été licencié pour faute grave par une société d’ingénierie industrielle, un responsable de développement commercial avait créé sa propre société. L’ancien employeur a découvert que le salarié avait, avant son départ de l’entreprise, transféré de sa messagerie professionnelle à sa messagerie personnelle des courriers électroniques auxquels étaient joints des documents contenant des « données commerciales d’une très grande importance » : une liste de projets de 34 grandes entreprises clients potentiels, divers actes commerciaux, enregistrements de commandes, tableaux de reporting, documents visant la stratégie de l’employeur dans l’Ouest de la France, etc.
Après le licenciement de ce collaborateur, l’ancien employeur décide d’assigner en concurrence déloyale la nouvelle société concurrente créée par ce dernier. La cour d’appel de Lyon avait condamné cette nouvelle société en considérant que le transfert et la détention des documents en question constituait un acte de concurrence déloyale, sans qu'il soit nécessaire de prouver l’utilisation commerciale desdites informations confidentielles pour qualifier les actes de concurrence déloyales.
La Cour de cassation casse l’arrêt d’appel et apporte deux précisions :
1️⃣ Elle reprend l’argument de la cour d’appel en disant que certes, « la détention ou l’appropriation d’informations confidentielles appartenant à une société concurrente apportées par un ancien salarié constitue un acte de concurrence déloyale » toutefois elle indique qu’en l’espèce, la cour d’appel avait privé sa décision de base légale en ne constatant pas la preuve de cette appropriation ou de cette détention par la société concurrente. Seule la preuve d’une détention par l’ancien salarié était rapportée, et pas par la nouvelle personne morale.
2️⃣ Elle ajoute que le salarié n’avait pas encore créé la nouvelle société au moment du transfert des documents vers sa messagerie personnelle et retient que « la société qui n’était alors ni constituée, ni immatriculée n’aurait pu être reconnue coupable des agissements de son dirigeant ».
C’est donc contre son ancien salarié que l’action aurait dû être dirigée, et pas contre la société nouvelle.
EXERCICE ILLICITE DE L’ACTIVITE D’ENTREPRENEUR DE SPECTACLES
06/06/2023
Chef d’orchestre, chef de troupe ou de compagnie de théâtre, attention, vous exercez peut-être l’activité réglementée d’entrepreneur de spectacles.Le chef d’un orchestre qui assumait la totalité de la responsabilité des spectacles et du recrutement des artistes, qui procédait aux déclarations et paiements de charges sociales, qui assurait la promotion des spectacles, la négociation avec les organisateurs, la gestion des manifestations et l'emploi de personnel fixe pour le suivi organisationnel et financier de l'orchestre, a été condamné par le tribunal correctionnel de Privas pour avoir exercé l’activité d’entrepreneur de spectacles vivants sans licence. Les juges du fond n’ont pas reconnu que le chef d’orchestre pouvait agir en qualité de mandataire des autres membres de l’orchestre.
Dans sa décision du 7 Avril 2022, la Cour de cassation (n° 20-18.284) confirme, de surcroît, que cette personne est tenue au paiement des cotisations sociales et majorations dues au titre de cette activité professionnelle par le seul effet de la loi dès que s'exerce l'activité concernée.
ABSENCE DE VALIDITE D’UNE SIGNATURE ELECTRONIQUE EN LIGNE
19/05/2023
Signature électronique en ligne : la jurisprudence se développe et n’est pas nécessairement en faveur des solutions de contractualisation en ligne comme l'illustre l'arrêt de la Cour d’appel de Toulouse du 14 février 2023 : une banque qui souhaitait opposer un contrat conclu en ligne sous forme électronique à un emprunteur qu’elle considérait défaillant est déboutée.La banque invoquait :
● le fait qu’elle disposait d’une « enveloppe électronique contenant un fichier de preuve crée par un prestataire de services de certification électronique attestant de la signature du document par le signataire » ● Et que « Le signataire s’était identifié en saisissant un code qui lui a été transmis » par la banque.
Toutefois, la Cour d’appel :
● rappelle que la signature électronique, pour être présumée fiable, doit être une signature « qualifiée » au sens du règlement UE du 23 juillet 2014 et donc reposer sur un « certificat qualifié » de signature électronique permettant d’identifier le signataire; ● indique qu’aucun des éléments débattus ne permet de rattacher l’adresse de courrier électronique et l’adresse IP conservée dans le « ficher de preuve » au défendeur ; ● constate que « La banque ne démontre donc pas que la signature électronique invoquée est liée » au défendeur « de manière univoque » et ne permet pas de l'identifier. « Pas davantage n'est rapportée la démonstration de ce que cette signature a été créée à l'aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif; et qu'elle est liée aux données associées de telle sorte que toute modification ultérieure des données soit détectable, exigences résultant des c) et d) de l'article 28 du règlement UE susvisés ».
➡️ La banque n'établissant pas sa qualité de créancière, ni au titre des intérêts, ni au titre du capital est déboutée de l'ensemble de ses demandes en remboursement.
L’application précise du règlement eIDAS et des article 1366 et 1367 du code civil peut avoir des conséquences majeures pour tous les créanciers qui pensent disposer d’une preuve fiable alors qu’elle ne réunit pas l’ensemble des conditions de validé de la signature électronique.
RGPD : PRECISIONS DE LA CJUE SUR LE DROIT D’ACCES
05/05/2023
Quels sont les documents devant être remis dans le cadre d’un droit d’accès ? Quelle réparation pour la personne concernée en cas de violation du #RGPD ? Dans deux arrêts du 4 mai 2023, la CJUE a répondu aux questions soumises par des juridictions autrichiennes :1️⃣ Dans une première affaire (CJUE, 4 mai 2023, C-300/21), le renvoi préjudiciel portait sur le point de savoir si la simple violation du RGPD suffisait pour conférer à la personne concernée un droit à réparation ou si la réparation n’était possible qu’au-delà d’un certain degré de gravité du dommage moral subi.
Le service postal autrichien collectait, dans le cadre de son activité de vente d’adresses, des informations sur les affinités politiques sans le consentement des personnes concernées. Le requérant affirmait avoir ressenti un sentiment d’humiliation en raison de l’établissement d’une affinité particulière avec un parti politique autrichien et a demandé réparation du préjudice subi du fait de ce traitement illicite.
La CJUE répond en 3 points :
- Toute violation du RGPD n’ouvre pas, à elle seule, un droit à réparation ; - Le droit à réparation n’est pas réservé aux dommages moraux atteignant un certain seuil de gravité ; - Il appartient à chaque État membre de fixer les critères permettant de déterminer l’étendue de la réparation sous réserve de respecter les principes d’équivalence et d’effectivité.
2️⃣ Dans la seconde affaire (CJUE, 4 mai 2023, C-487/21), la CJUE devait déterminer si le droit pour une personne d’obtenir une « copie » de ses données à caractère personnel implique que lui soit remis par le responsable de traitement une reproduction fidèle et intelligible de toutes ses données ou si l’obligation de l’article 15 §3 du RGPD est satisfaite lorsque le responsable du traitement transmet les données à caractère personnel sous la forme d’un tableau synthétique.
Une personne avait exercé son droit d'accès auprès d’une agence de renseignements commerciaux pour le traitement de ses données dans le cadre d’un service de fourniture d’informations sur sa solvabilité à des tiers. Le requérant estimait que la liste synthétique fournie par par l’agence en réponse à sa demande ne lui permettait pas de comprendre comment ses données personnelles étaient traitées.
La CJUE indique que le droit d’accès du RGPD suppose le droit d’obtenir la copie d’extraits de documents, voire de documents entiers, ou encore d’extraits de bases de données qui contiennent, entre autres, les données personnelles de la personne concernée.
RESPONSABILITE DE L’HEBERGEUR
27/04/2023
La Société DSTORAGE propose des services d’hébergement sur son site 1fichier.com. Constatant que des copies illicites de ses jeux sont hébergées sur les serveurs de DSTORAGE, plusieurs sociétés du groupe NINTENDO lui ont adressé des notifications afin que ces contenus soient retirés, ce à quoi n’a pas déféré l’hébergeur.Par son arrêt du 13 avril 2023 (Cour d'appel, Paris, Pôle 5, chambre 1, 12 avril 2023 – n° 21/10585), la Cour d’appel de Paris rappelle que les contenus contrefaisants sont inclus dans la catégorie des contenus manifestement illicites visés par la loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004 et doivent être retirés promptement dès lors que l’hébergeur en a connaissance. La connaissance de cette illicéité par l’hébergeur est présumée dès lors qu’une notification respectant les conditions de la LCEN lui a été adressée.
Bien que DSTORAGE opposait un manque de clarté des notifications reçues, la Cour constate qu’elles identifiaient les œuvres protégées et décrivaient l'atteinte de manière suffisamment claire et précise. En outre, la Cour relève que NINTENDO a justifié du caractère manifestement illicite des contenus en opposant :
1️⃣ Plusieurs de ses marques déposées qui étaient reproduites sur les liens de téléchargement des jeux, qui comportaient, par ailleurs, des mentions telles que "spoofed" (usurpé) ou "game free downlaod" (téléchargement gratuit de jeux) ;
2️⃣ Ses droits d’auteur sur les jeux (notoirement connus selon plusieurs articles de presse produits par NINTENDO), sans qu'il puisse être exigé, au stade de la notification, que NINTENDO procède à la démonstration de sa titularité des droits, de l'originalité ou encore de la matérialité d'actes de contrefaçon.
Pour évaluer le préjudice, la Cour retient le nombre de téléchargement des contenus litigieux à compter de la notification de NINTENDO, multiplié par la marge réalisée par NINTENDO sur la vente de chaque jeu, soit un total de 442 750 €.
DSA : LES TRES GRANDES PLATEFORMES SONT CONNUES
26/04/2023
La Commission Européenne adopte la première liste de 17 très grandes plateformes en ligne (TGP) : Alibaba AliExpress / Amazon Store / Apple AppStore / Booking / Facebook / Google Play / Google Maps / Google Shopping / Instagram / LinkedIn / Pinterest / Snapchat / TikTok / Twitter / Wikipedia / YouTube / ZalandoEt 2 très grands moteurs de recherches (TGMR) : Bing / Google Search
Cette liste est adoptée en application de l’article 33. 4 du Digital Services Act
Quelles sont les obligations spécifiques des TGP et TGMR ? ➡️ Notre synthèse du DSA vous apporte les premières réponses
RESPONSABILITE DES OPERATEURS EN LIGNE
24/04/2023
L’exploitant d’un site internet ne peut bénéficier de la qualité d’hébergeur s’il fabrique et livre les produits créés par l’intermédiaire de son site (Cour de cassation 13 avril 2023 n° 21-20.252).Une décision qui s’inscrit dans un mouvement jurisprudentiel récent qui refuse la qualification automatique d’hébergeur aux « plateformes » et font d’elles les responsables des produits et services qu’elles mettent sur le marché.
La société Teezily exploite un site internet par l’intermédiaire duquel elle propose aux utilisateurs de créer des designs en vue de les imprimer sur des produits et de les mettre en vente sur son site. Teezily se chargeait par ailleurs de mettre à disposition un service logistique de fabrication et de livraison des produits avec pour corollaire l'autorisation donnée par le créateur à la société Teezily de reproduire son œuvre.
La société de droit allemand Sprd.net soutenait que Teezily offrait à la vente des vêtements et accessoires identiques à ceux commercialisés sur sa propre plateforme, en violation de ses droits. En défense, Teezily a invoqué l’exonération de sa responsabilité en sa qualité d’hébergeur.
En appel, la Cour avait donné raison à Teezily en considérant que son rôle n’était que purement technique, automatique et passif, impliquant l'absence de connaissance ou de contrôle des données qu'elle stocke.
Mais pour la Cour de cassation, le fait que Teezily propose la fabrication et la livraison des produits aux acheteurs est incompatible avec la qualité d’hébergeur : « cette société n’occupait pas une position neutre entre l’utilisateur-vendeur et les acheteurs potentiels mais un rôle actif de nature à lui conférer une connaissance ou un contrôle des données ». L'hébergement n'est pas toujours un refuge !
NUMERIQUE ET INEGALITES
18/04/2023
Rapport 2022 de la Défenseure des droits : le numérique comme facteur d’atteinte aux droits et à l’égalitéLa majorité des réclamations (82 200) reçue par la Défenseure des droits en 2022 porte sur les relations des usagers avec les services publics, notamment en raison des conséquences de la dématérialisation des services publics au préjudice des droits des usagers.
Le rapport met en exergue le fait que la dématérialisation devait s’inscrire comme une offre supplémentaire et non substitutive des services publics.
Or, il constate des prises de contact impossibles avec les services publics autrement que via leurs sites internet (sans possibilité de contact humain ou téléphonique) ; des prises de rendez-vous en ligne difficiles voire impossibles ou l’absence de réponse de la part d’une administration, notamment envers les publics vulnérables et étrangers.
La Défenseure des droits constate que cette situation expose les personnes à une privation de leurs droits et est source d’inégalité entre les usagers.
CONVENTION ENTRE L’ARCOM ET PRIME VIDEO
14/04/2023
La loi du 30 septembre 1986 relative à la liberté de communication prévoit que les éditeurs de services de médias audiovisuels à la demande peuvent conclure avec l’ARCOM des conventions précisant leurs obligations en matière de financement de création.A la suite du décret SMAD du 22 juin 2021 le CSA (ex-ARCOM) avait procédé au conventionnement des principaux services établis hors UE (Netfilx, Disney +, Amazon Prime…). A cette occasion, l’Autorité avait rappelé que ces conventions devaient être enrichies par des accords professionnels.
Par un communiqué commun, la SACD, l’Uspa et AnimFrance annoncent la conclusion, par l’ARCOM, d’un avenant à la convention conclue avec Amazon Prime Video, qui constitue « un modèle pour les services vidéo à la demande ».
Cet avenant fait suite à l’accord professionnel qui avait été conclu entre Amazon et les organisations professionnelles du secteur de la production audiovisuelle en novembre 2022. L’ARCOM s’était alors engagé à transposer cet accord dans la convention de Prime Video.
Au travers de cette convention, Prime Video s’engage en faveur du développement des œuvres d’expression originale française (85% des investissements), des œuvres patrimoniales, de la production indépendante et de la diversité des genres audiovisuels.
Les organisations professionnelles appellent à la négociation d’accords similaires avec les autres éditeurs, en premier lieu, Netflix et Disney : "AnimFrance, la SACD et l’USPA appellent à ce qu’avant le terme des conventions actuelles d’ici la fin 2024, dans le cadre des négociations professionnelles, ou à leur issue, les engagements des opérateurs de vidéo à la demande par abonnement en faveur de la création soient alignés sur le régime le mieux-disant, en l’occurrence celui de Prime Video".
RGPD ET COURS EN VISIO
05/04/2023
La diffusion en direct de cours d’enseignement scolaire peut-elle se faire sans recueil du consentement des enseignants ?Pendant la pandémie et les périodes de confinement, un Ministre de l’Éducation allemand avait aménagé la possibilité pour les élèves d’assister aux cours par vidéoconférence. Le consentement des élèves était recueilli, mais pas celui des enseignants. Un recours a été introduit par le comité représentatif des enseignants.
La juridiction allemande saisie a soumis une question préjudicielle à la CJUE en interprétation du RGPD sur le point de savoir si une réglementation nationale pouvait permettre de ne pas recueillir le consentement des enseignants dans un tel cas.
Dans un arrêt du 30 mars 2023, la CJUE a interprété l’article 88 du RGPD « Traitement de données dans le cadre des relations de travail » qui aménage la possibilité pour les Etats Membres d’adopter des réglementations nationales dites « règles plus spécifiques » concernant le traitement des données à caractère personnel des employés dans le cadre des relations de travail.
La CJUE indique ainsi que pour que cet article s’applique, les règles nationales doivent être… « plus spécifiques ». La règlementation nationale peut prévoir que le recueil du consentement des enseignants au traitement en cause n’est pas requis si : 1️⃣La loi interne a un contenu normatif propre au domaine règlementé et donc distinct des règles générales du RGPD ; 2️⃣Elle prévoit des mesures appropriées et spécifiques pour protéger les droits et libertés des personnes concernées.
Si tel n’est pas le cas, l’article 88 du RGPD relatif aux "règles plus spécifiques" ne sera pas applicable.
Mais il pourra encore être vérifié si la règlementation nationale constitue une base juridique au traitement au sens de l’article 6 du RGPD (ex. exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, ou encore le respect d’une obligation légale à laquelle le responsable du traitement est soumis).
La balance entre le droit au respect des données personnelles des enseignants et le droit à l’enseignement des élèves en période de crise sanitaire devra être évaluée par la juridiction allemande de renvoi.
CITYSCOOT SANCTIONNEE PAR LA CNIL
28/03/2023
CITYSCOOT a pour activité la location courte durée de scooters. La CNIL a constaté qu’elle collectait des données de géolocalisation du véhicule toutes les 30 secondes au cours des locations et conservait l’historique des trajets.La CNIL constate également un manquement à l’obligation de veiller à la minimisation des données puisqu’aucune finalité invoquée par CITYSCOOT (à savoir la gestion des infractions au code de la route, la gestion des réclamations clients, le support aux utilisateurs et la gestion des sinistres et vols) ne justifie une collecte de données aussi fine et intrusive de la vie privée de ses clients.
La CNIL a également constaté un manquement lié aux contrats conclus avec des sous-traitants : trois d’entre eux ne contenaient pas toutes les mentions prévues par le RGPD.
Enfin, un manquement à l’obligation d’information et d’obtention du consentement des utilisateurs est constaté : en utilisant un mécanisme de reCAPTCHA fourni par GOOGLE sur son application et sur son site web, des données collectées étaient transmises à GOOGLE pour analyse. Or, CITYSCOOT ne fournissait aucune information à l'utilisateur et ne recueillait pas son consentement préalable, que ce soit pour accéder aux informations stockées sur son équipement ou pour écrire des informations sur celui-ci.
Pour ces raisons, dans sa décision du 16 mars 2023, la CNIL prononce une amende de 125 000 euros à l'encontre de cette société.
RGPD CONTRE DROIT A LA PREUVE
27/03/2023
Une salariée obtient la communication des bulletins de paie de ses collèguesUne salariée considérant avoir subi une inégalité salariale par rapport à ses collègues masculins occupant le même poste a saisi la formation de référé des prud’hommes pour obtenir la communication de leurs bulletins de paie.
La Cour d’appel de Paris a fait droit à sa demande, ordonnait à l’employeur de communiquer sous astreinte les bulletins de huit salariés faisant apparaître leurs noms et prénoms, classification conventionnelle, rémunération mensuelle détaillée et rémunération brute totale cumulée par année civile.
Dans son arrêt du 8 mars 2023, la Cour de cassation confirme la décision d’appel en rappelant que, conformément au point 4 de l’introduction du RGPD, le droit à la protection des données à caractère personnel n’est pas un droit absolu et doit être mis en balance avec d’autres droits fondamentaux conformément au principe de proportionnalité, notamment au regard du droit à un recours effectif et à l’accès au juge.
En l’espèce, la Cour d’appel avait fait ressortir que la communication des bulletins de paie portait atteinte à la vie privée des salariés mais « était indispensable à l'exercice du droit à la preuve et proportionnée au but poursuivi, soit la défense de l'intérêt légitime de la salariée à l'égalité de traitement entre hommes et femmes en matière d'emploi et de travail ».
PROGRAMME 2023 DES CONTROLES DE LA CNIL
24/03/2023
Respect du RGPD et de la loi Informatique et Libertés : Le programme des contrôles publié par la CNIL. 4 thématiques sont mises en avant pour l’année 2023 :1️⃣ Utilisation des caméras augmentées par les acteurs publics – Le recours à ces dispositifs est notamment prévu dans le cadre de manifestations sportives de grande ampleur prévues en 2023 (Coupe du monde de rugby) et en 2024 (Jeux olympiques)
2️⃣ Utilisation du fichier des incidents de crédit aux particuliers – Du fait des enjeux particulièrement forts liés aux données de ce fichier, la CNIL en fait un axe prioritaire pour 2023. Elle précise que les contrôles porteront principalement sur les conditions dans lesquelles les banques accèdent au fichier, en extraient des informations et le tiennent à jour après régularisation des incidents de paiement.
3️⃣ Gestion des dossiers de santé et accès au Dossier Patient Informatisé (DPI) – La CNIL précise que les contrôles menés auront "pour objet d’examiner l’ensemble des mesures mises en place pour assurer la sécurité des données".
4️⃣ Traçage des utilisateurs des applications mobiles – La CNIL indique que plusieurs contrôles ont déjà été réalisés sur des applications qui accèdent aux identifiants générés par les systèmes d’exploitation mobiles en l’absence de consentement des utilisateurs. La CNIL poursuivra ses vérifications en 2023.
NEXT avocats vous accompagne dans la mise en conformité des traitements de données personnelles et en cas de contrôle.
