Actualités

06/02/2025

En application de l’article L333-10 du code du sport, le tribunal judiciaire de Paris a enjoint aux FAI opérant en France, de mettre en œuvre toutes mesures propres à empêcher l’accès à des sites « IPTV » diffusant les matchs des tournois de tennis féminin WTA sans autorisation de la société beIN Sports France.

De nombreux sites internet IPTV accessibles depuis la France diffusaient en streaming et gratuitement des matchs de ces tournois. Cette diffusion illicite constituait donc une atteinte grave et répétée aux droits de beIN Sports France, licenciée des droits de diffusion pour la France.

Le tribunal a ordonné aux FAI de mettre en œuvre toutes mesures propres à empêcher l’accès à leurs abonnés aux sites identifiés par beIN Sport France par tout moyen efficace, et notamment par le blocage des noms de domaines et des sous-domaines associés, dans un délai de trois jours à compter de la signification de la décision.

Concernant les sites non identifiés au jour de la décision, conformément au code du sport, beIN Sports France pourra communiquer ultérieurement les données d’identification de ces sites à l’ARCOM qui, après vérification, transmettra ces données aux FAI afin qu’ils prennent les mesures ordonnées.

Tribunal judiciaire de Paris, 3ème chambre, 2ème section, 24 janvier 2025 n°25/00148

28/01/2025

"Data Privacy Day" : L’occasion de revenir sur la décision du 9 janvier 2025 de la CJUE qui rappelle que ‘Madame’ ou ’Monsieur’ n’est pas une donnée nécessaire à la réservation d’un titre de transport.

Le 9 janvier dernier, la CJUE censurait la CNIL et la SNCF qui avaient fait échec à la demande d’une association de supprimer l’exigence pour une personne de décliner sa « civilité » dans les procédures de réservation en ligne de titres de transport.

La SNCF justifiait que ce traitement avait pour finalité, en plus de la fourniture d’un service de transport ferroviaire, la personnalisation de la communication commerciale à l’égard du client. La CNIL avait elle aussi retenu le fait que s’adresser aux clients de manière personnalisée était un usage admis dans le domaine des communications commerciales, civiles et administratives.

Usage ne fait pas nécessité pour la CJUE : l’exigence de minimisation des données prévue à l’article 5, 1 c du RGPD impose que les données collectées doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire » au regard des finalités de traitement.

La Cour européenne juge ainsi que « la personnalisation de la communication commerciale peut se limiter au traitement des noms et prénoms des clients, leur civilité et/ou leur identité de genre étant une information qui ne paraît pas strictement nécessaire dans ce contexte ». La SNCF peut en effet opter pour l’utilisation de formules de politesse génériques et inclusives dans sa communication sans que cela ait une incidence sur la fourniture de services de transport, objet principal du contrat en cause.

La CJUE fait ici une application logique d’un principe cardinal du RGPD, souvent non respecté : ne doivent être traitées que les données nécessaires à la finalité du traitement.

20/01/2025

Le non-respect du RGPD par l’administration ne permet pas d’échapper au paiement de ses cotisations sociales !…

Une cotisante était redevable du paiement de la cotisation subsidiaire maladie (CSM). Celle-ci a contesté cet appel de cotisation devant le tribunal judiciaire. Elle relève que la mise en place de la CSM requiert la réalisation de deux traitements de ses données personnelles mais que les administrations concernées ne l’avaient pas informée de ces traitement conformément à l’article 14 du RPGD.

Le premier traitement concerne la transmission des données entre l’administration fiscale et les Urssaf (Acoss), le second concerne le traitement des données par les Urssaf.

● S’agissant du premier traitement, le tribunal affirme que les cotisants ont été informés de la transmission des données à caractère personnel par la DGFIP par la publication de la loi instituant la CSM au Journal Officiel. S’il fallait être convaincu par cette explication, tous les traitements des administrations seraient exonérés du respect des articles 13 et 14 du RGPD dès lorsqu’ils sont nécessaires à l’application d’un texte légal ou réglementaire. Ce n’est pourtant pas l’esprit du RGPD.

● S’agissant du second traitement, le tribunal constate que l’URSSAF n’a pas informé la cotisante de sa mise en place ni de ses droits d’accès et de rectification. Pour autant, le tribunal affirme que cette absence d’information n’a pas causé de préjudice à la cotisante puisque les données transmises n’étaient pas « inexactes, incomplètes, équivoques ou périmées ni interdites ». Encore une motivation étrange puisque les sujets sont sans rapports. On ne peut pas attendre des responsables de traitement qu’ils n’informent correctement que des traitements illicites ! Ainsi, à en croire le tribunal, le non-respect des ses obligations d’information par le responsable de traitement ne causerait, par essence, aucun préjudice aux personnes concernées dont elles pourraient se plaindre !

Cette décision s’inscrit dans un mouvement jurisprudentiel (CA Paris 12 janvier 2024, CA Toulouse 17 octobre 2024 notamment) des juridictions qui refusent de prononcer la nullité de l’appel des cotisations pour un défaut d’information concernant le traitement de données personnelles nécessaire à l’établissement des cotisations.

Tribunal judiciaire, Clermont-Ferrand, 9 janvier 2025 – n° 24/00032

01/10/2025

La CNIL, dans une décision du 5 décembre 2024, a prononcé une amende de 240 000 € contre la société KASPR pour avoir collecté les coordonnées d’utilisateurs de LinkedIn.

KASPR propose une extension Chrome permettant à ses utilisateurs d’accéder aux informations de contacts de plus de 160 millions de personnes. Une fois activé, l’outil recherche toutes les informations disponibles en ligne et les affiche directement sur la page sur laquelle se trouve l'utilisateur.

À la suite du dépôt de plusieurs plaintes, la formation restreinte de la CNIL a effectué un contrôle et a relevé quatre manquements au RGPD :

Les données des utilisateurs de Linkedin ont été collectées illicitement, cette collecte s’étant effectuée non seulement sur les personnes ayant coché « tout le monde sur LinkedIn peut accéder à mes données personnelles » dans les réglages de leurs comptes, mais également aux personnes ayant coché « uniquement les relations de premier degré », et « uniquement les relations de premier et second degré ». Les utilisateurs KASPR synchronisaient l’extension KASPR avec leur compte LinkedIn, ce qui a permis à KASPR de récupérer les coordonnées disponibles sur LinkedIn des contacts directs des utilisateurs. KASPR pouvait ainsi accéder à ces données de contact et les communiquer à ses autres utilisateurs.

Les données étaient conservées pendant 5 ans, durée que la CNIL a estimé disproportionnée.

● KASPR n’a informé les personnes concernées que quatre ans après la collecte de leurs données par un courrier en anglais, ce qui ne permet pas une information transparente et compréhensible.

● KASPR se contentait d’indiquer que les coordonnées avaient été collectées à partir de sources publiquement accessibles, information trop peu précise compte tenu des informations dont elle disposait sur les sources des données.

La CNIL a enjoint KASPR de se mettre en conformité et a prononcé une amende de 240 000 euros.

22/11/2024

Comment protéger la voix et l’image clonées de célébrités décédées ? Stéphanie Foulgoc, avocate associée de NEXT, était interviewée dans l'émission LexInside du 22 novembre 2024.

Voici la teneur de quelques messages partagés :

● Les juges, par leur jurisprudence sur le droit de la responsabilité délictuelle et les droits de la personnalité, peuvent appréhender de nombreuses situations sans que l’adoption de nouvelles lois soit nécessaire.
● En revanche, il faut que le droit soit mis en oeuvre et que les violations soient sanctionnées. Ce n’est pas assez le cas !
● Il ne faudrait pas que l’histoire de l’IA soit celle d’un pillage massif par quelques acteurs au préjudice des titulaires de droits !


L'interview en intégralité

11/12/2024

Que retenir de la sanction d’Orange ? La CNIL a prononcé le 14 novembre 2024 une amende record de 50 millions d’euros contre Orange SA. Il s’agit de la sanction la plus élevée prononcée contre une société française par la CNIL.

● Elle est prononcée sans contrôle sur place mais à la suite de constatations faites en ligne par les agents de la CNIL sur le webmail d’Orange. Les entreprises sont donc potentiellement, en permanence, sous le contrôle de la CNIL lorsqu’elles exploitent des services en ligne.

● Un courrier électronique n’est pas qu’un courrier électronique… c’est plus ! C’est aussi, dans une interface de webmail, un contenu présenté à l’écran de l’utilisateur ressemblant à un courrier électronique…

On est peu convaincu par la décision de la CNIL sur ce point, même si elle a pour elle de s’appuyer sur l’arrêt de la CJUE du 25 novembre 2021 qui statuait en ce sens mais dans d’autres circonstances, car l’espèce soumise à la CJUE concernait un litige pour concurrence déloyale entre deux sociétés commerciales.

Ici, il s’agit d’infliger une amende de 50 000 000 d’euros. Conformément à un principe juridique établi, la loi pénale est d’interprétation stricte et une sanction administrative ne devrait être prononcée qu’à la suite d’une interprétation restrictive du texte qui la fonde.

Or, l’article L34-5 CPCE qui fonde la sanction, ne se lit que comme interdisant, sans l’accord du récepteur, « l’envoi » d’un message publicitaire d’un système de messagerie émetteur vers un système de messagerie récepteur, ce qui n’était pas le cas en l’espèce.

Il y a, de plus, une forme de fictivité dans l’approche : il aurait suffit d’afficher le même message, sur la même page mais à un endroit distinct de la liste des courriers électroniques reçus pour échapper à la sanction.

Ici encore, la prétendue neutralité technologique de l’article L34-5 CPCE et la lecture téléologique qu’il faudrait en faire ne convainc pas : le justiciable doit savoir de quelle technologie une loi parle : or, un email n’est pas autre chose qu’un email au sens des standards techniques de l’internet (SMTP / POP / IMAP).

Il y a, enfin, une nouvelle distorsion de concurrence entre les acteurs européens et américains : un message publicitaire présenté sur la page html affichée par un navigateur est sanctionné chez Orange et légal sur un moteur de recherche…

● Le support (ici l'exploitant du webmail) est responsable de la violation de l’article L34-5 CPCE sans pouvoir reporter sa responsabilité sur les annonceurs.

06/12/2024

Une ingénieure chimiste employée par un laboratoire pharmaceutique avait consenti à son employeur, par contrat, un droit exclusif sur son nom et son image pour la promotion de produits capillaires et cosmétiques moyennant une rémunération semestrielle.

Dans le cadre d’un contentieux prudhommal consécutif à son licenciement, la salariée faisait valoir une atteinte à son droit à l’image et demandait réparation au motif que des notices et plaquettes comportant son image, qui avaient été éditées pendant l’exécution de son contrat, étaient encore diffusées après son licenciement.

La Cour de cassation, dans son arrêt du 23 octobre 2024, rejette le pourvoi et rappelle que « les dispositions de l'article 9 du code civil, seules applicables en matière de cession de droit à l'image, relèvent de la liberté contractuelle et ne font pas obstacle à celle-ci dès lors que les parties ont stipulé de façon suffisamment claire les limites de l'autorisation donnée quant à sa durée, son domaine géographique, la nature des supports et l'exclusion de certains contextes. ». La Cour d’appel de Paris avait statué dans le même sens considérant qu’il aurait été disproportionné de procéder au retrait, dans les stocks existants, des notices comportant l’image de l’ancienne salariée.

19/11/2024

29/10/2024

C'est ce que décide la Cour de cassation dans son arrêt du 23 octobre 2024.

L'UFC-Que Choisir a contesté les conditions d’utilisation de la plateforme Steam, éditée par Valve Corporation, qui interdisent la revente de jeux dématérialisés. L’association invoque la règle de l’épuisement des droits devant normalement permettre la revente d'un produit protégé par le droit d’auteur après sa première vente légale dans l'UE.

Selon l’association, un jeu vidéo est un logiciel relevant de la directive 2009/24/CE. Interprétée par un arrêt de la CJUE (CJUE, 3 juillet 2012, UsedSoft, C-128/11), cette directive prévoit que l'épuisement du droit de distribution s’applique aux copies matérielles et immatérielles d'un programme informatique.

La Cour de cassation décide de créer une distinction entre :

● Le jeu vidéo, qui serait une œuvre « complexe » (comprenant du logiciel mais aussi des graphismes, de la musique, des éléments sonores, un scénario et des personnages) qui pourrait se retrouver « rapidement sur le marché une fois la partie terminée et qui [pourrait] être encore utilisé par de nouveaux joueurs plusieurs années après sa création » ;

● Un programme informatique, qui n’est pas une œuvre complexe et est « destiné à être utilisé jusqu'à son obsolescence ».

Ainsi, le jeu-vidéo n’entrerait pas dans le champ d’application de la directive de 2009 (considérée comme une lex specialis) mais est soumis à la directive 2001/29/CE sur le droit d’auteur, qui précise que l’épuisement s'applique seulement à l'objet matériel contenant l'œuvre.

Un conseil aux éditeurs de logiciels : ajoutez de la musique et des images dans vos programmes pour échapper à l’épuisement de vos droits de distribution !

Cour de cassation, 23 octobre 2024, n° 23-13.738