Actualités

01/02/2024

X suspend les recherches des termes « Taylor Swift » - Mais tout le monde n’est pas Taylor Swift !…

Depuis plusieurs jours, le réseau social X est submergé de « deepfakes » de la chanteuse générés à l’aide de l’IA. Face aux innombrables réactions des fans, X a choisi de suspendre les recherches sur Taylor Swift.

● Quels sont les droits enfreints ?

Lorsque les deepfakes utilisent l’image et/ou la voix de personnes réelles, il s’agit d’une atteinte aux droits de la personnalité (protégés en France par l’article 9 du code civil) mais également, comme dans le cas Taylor Swift, au droit fondamental à la dignité de la personne humaine (protégé constitutionnellement en France).

● Comment faire cesser le dommage ?

Pour faire retirer de tels contenus illicites :
- L’article 16 du Digital Service Act (DSA) impose aux plateformes (ici, X) de proposer aux internautes des mécanismes leur permettant de signaler facilement les contenus illicites.
- L’article 6 de la LCEN impose aux hébergeurs de supprimer promptement les contenus manifestement illicites dès le moment où elles en ont connaissance.

Dans les faits, tout le monde n’a pas une communauté de fans comme Taylor Swift pour inonder X de signalements...

● La régulation des deep fakes prévue par l’AI ACT

En 2021 la Commission européenne a proposé un cadre réglementaire sur l’intelligence artificielle. Il propose que les systèmes d'IA soient classés en fonction du risque qu'ils présentent.

Le considérant 28 du projet prévoit de manière générale que l’ampleur de l’incidence négative du système d’IA sur les droits fondamentaux (notamment la dignité humaine et le respect de la vie privée) « est un critère particulièrement pertinent lorsqu'il s'agit de classer des systèmes d’IA en tant que système à haut risque ».

Faudra-t-il classer les services d’IA générative comme système à « haut risque » avec les obligations qui en découlent ? Pour en savoir plus sur le projet de règlement IA, voici notre synthèse.

31/01/2024

Les FAI doivent empêcher l’accès à 5 sites illicites de streaming décide le TJ de Paris.

Différents organismes professionnels de défense du secteur de l’audiovisuel et du cinéma ont assigné les principaux FAI français devant le tribunal judiciaire de Paris afin d’empêcher l’accès à des sites illicites de streaming de films.

Il a été constaté que plus de 50% du contenu de 5 sites permettait l’accès au public à des œuvres audiovisuelles et cinématographiques sans autorisation des auteurs et producteurs. En outre, les sites avaient mis en place :
● Un système de monétisation les rémunérant, ainsi que leurs utilisateurs, en fonction du taux de fréquentation des vidéos et des publicités visionnées ;
● Un système d’abonnement payant autorisant les utilisateurs à remplacer les publicités préexistantes par leurs propres publicités et ainsi récupérer l’intégralité des recettes publicitaires générées par le visionnage d’une vidéo.

Le TJ de Paris, dans son jugement du 17 janvier 2024 (n° 23/15329), constate donc une atteinte aux droits d’auteur ou aux droits voisins, en ce que :
● Les sites litigieux réalisaient une communication au public d’œuvres sans consentement des titulaires de droits ;
● Les exploitants des sites savaient que des contenus protégés étaient massivement et illégalement mis à la disposition du public par leur intermédiaire ;
● Qu’ils s’abstenaient de mettre en œuvre des mesures techniques permettant de contrer ces violations faites par leur intermédiaire, et ;
● Qu’ils incitaient à la violation de droits d’auteur et de droits voisins par la mise en place d’outils destinés au partage de masse et illicite de contenus protégés, en promouvant ces partages, par le biais d’un modèle économique démontrant leur rôle actif dans le partage des fichiers contrefaisants.

De leur côté, les FAI ne contestaient pas la demande et s’en remettaient à l’appréciation du tribunal.

Au fondement de l’article 336-2 du code de la propriété intellectuelle, le tribunal ordonne aux FAI de mettre en œuvre toutes mesures efficaces de leur choix pour empêcher l'accès à ces sites illicites :
● notamment par filtrage des noms de domaines visés par l’ordonnance et des sous domaines qui y sont associés; Ces mesures doivent être mises en œuvre dans les 15 jours suivant la signification de la décision et pour une durée de 18 mois ;
● En informant les organismes professionnels demandeurs des mesures mises en œuvre, et ;
● En prenant à leur charge le coût des mesures de blocage.

29/01/2024

La CNIL est devenue coutumière des sanctions pécuniaires importantes prononcées en fin d’année (32 millions € à l’encontre d’Amazon France Logistique et 10 millions à l’encontre de Yahoo EMEA LTD € fin 2023).

Voici notre tableau de bord des sanctions CNIL mis à jour.

Les chiffres clés :

●Procédure normale de sanction : montant moyen 8,6 millions € / montant médian 300 000 €
●Procédure simplifiée de sanction : montant moyen 10 000 €

26/01/2024

Contrôle de l’activité des salariés. Retour sur la lourde sanction prononcée par la CNIL contre Amazon France Logistique (AFL) le 27 décembre 2023 pour les dispositifs de surveillance mis en œuvre dans ses entrepôts en France. Lors de ses contrôles, la CNIL a relevé que chaque salarié au sein des entrepôts était équipé d’un boîtier sur lequel il devait s’identifier et au moyen duquel il devait scanner des codes-barres des étiquettes pour chaque action accomplie : "réception" de colis, "rangement", "prélèvement" et "emballage".

La CNIL relève que, via ce dispositif, AFL "collecte en continu des données relatives à l’activité des salariés" et que "l’ensemble de ces données d’activité (…) sont associées à l’identité du salarié sous la forme d’indicateurs de productivité, de qualité et relatifs aux périodes d’inactivité."

La CNIL relève en particulier l’illicéité de 3 indicateurs mesurant en continu : ● La vitesse d’exécution des tâches à la seconde près en signalant "le rangement d’un article dans les 1,25 seconde du rangement de l’article précédent" et "en y associant un indicateur d’erreur chaque fois que cette vitesse est inférieure à 1,25 seconde" ("Stow Machine") ;
● Les temps de latence supérieurs à 10 min d’inactivité sur une tâche dépourvus de justification apparente ("Idle times") ;
● Les temps d’inactivité inférieurs à 10 min "à des moments critiques de la journée", soit en début et fin de session de travail ainsi qu’avant et après les pauses.

L’ensemble de ces données étaient accessibles aux supérieurs hiérarchiques en temps réel et pendant 31 jours. La CNIL constate également la non-conformité de traitements de vidéosurveillance.

La CNIL relève ainsi de nombreux manquements :

● Absence de base légale du traitement : AFL ne peut invoquer son intérêt légitime à mettre en œuvre ces traitements pour des finalités de gestion des commandes en temps réel, de planification du travail et d’évaluation des performances. La CNIL considère qu’il est porté une atteinte disproportionnée aux droits des personnes concernées : violation de la vie privée des salariés, absence de conditions de travail qui respectent leur sécurité, leur santé et leur dignité.
● Manquement au principe de minimisation des traitements
● Manquement à l’obligation d’information les personnes
● Manquement à la sécurité des données

La CNIL conclut que "ces traitements de données à caractère personnel induisent une pression démesurée sur les travailleurs, portant une atteinte disproportionnée à leurs droits et libertés au regard des objectifs économiques et commerciaux de la société" et décide de prononcer une amende de 32 millions d’euros, soit 3% du chiffre d’affaires réalisé par la société.

23/01/2024

La CNIL a rendu public une sanction de 10 millions d’euros prononcée le 29 décembre 2023 à l’encontre de YAHOO EMEA LIMITED (société Irlandaise) pour des violations de la réglementation française.

La CNIL retient sa compétence pour sanctionner YAHOO EMEA LIMITED.

● La CNIL constate d’abord la présence d’un établissement en France de YAHOO EMEA LTD, au sens de l’article 3 de la loi du 6 janvier 1978, à savoir a société YAHOO FRANCE. Plusieurs critères sont retenus :
- Selon ses statuts, YAHOO FRANCE a notamment pour objet « la promotion sur le marché français des produits et solutions publicitaires de YAHOO » ;
- YAHOO FRANCE agit dans le cadre d’un contrat de prestation de service pour YAHOO EMEA LIMITED afin de promouvoir ses produits auprès de ses clients français ;
- YAHOO FRANCE appartient au même groupe que YAHOO EMEA LIMITED ;
- La présidence de YAHOO FRANCE est exercée par la société mère de YAHOO EMEA LIMITED ;
- YAHOO FRANCE refacture à YAHOO EMEA LIMITED ses coûts de fonctionnement et lui rend des comptes.

● La CNIL retient ensuite que le seul fait, pour YAHOO FRANCE, de promouvoir sur le marché français les produits commercialisés par YAHOO EMEA LIMITED est suffisant pour considérer que YAHOO FRANCE traite les données dans le cadre de ses activités sur le territoire français.

● Au final, il est reproché à YAHOO EMEA LIMITED de ne pas respecter l’article 82 de la loi du 6 janvier 1978 en déposant plus d’une vingtaine de cookies publicitaires sans le consentement des visiteurs de Yahoo.com et Yahoo Mail, et ce peu important qu’il s’agisse de cookies tiers. Il est également reproché à la société de contraindre l’utilisateur à ne pas retirer son consentement, car s’il le faisait, il serait alors privé d’accès à sa messagerie électronique. La CNIL affirme qu’à supposer la mise en place d’un « cookie wall » valable, il est obligatoire de proposer une solution alternative afin de permettre à l’internaute de retirer son consentement.

12/01/2024

La sanction de la CNIL prononcée le 29 décembre 2023 et qui vient d’être rendue public peut faire figure de cas d’école.

Une société, distributrice de monnaie électronique, est condamnée à une sanction de 105 000 euros pour des manquements qui peuvent être évités simplement en s'engageant dans une démarche de mise en conformité RGPD :

● Conservation des données pour une durée illimitée : en dépit des déclarations du responsable de traitement, la CNIL a constaté que les données étaient conservées au-delà des 10 et 5 ans déclarés, alors qu’il s’agissait parfois de données telles que des copies de cartes d’identité ou des coordonnées bancaires
● Absence d’information des personnes conformément à l’article 13 du RGPD : la politique de protection des données était rédigée en Anglais alors que le service s’adressait à des francophones
● Défaut de sécurité des données : des logins/password étaient conservés en clair dans les bases de données de la société ou protégé par une fonction de hachage SHA-1 obsolète. En outre, le niveau de complexité exigé des mots de passe n’était pas suffisant
● Dépôt de cookies sans le recueil du consentement préalable des personnes

La mise en conformité RGPD sur ces éléments essentiels coûte toujours moins que la sanction.

08/01/2024

Les synthèses de NEXT, ça continue ! Nous débutons 2024 avec notre présentation du nouveau règlement sur les données adopté le 13 décembre 2023.

NEXT vous présente les principales dispositions de ce règlement qui entrera en vigueur en septembre 2025 et qui s’appliquera aux fournisseurs de produits connectés et services de cloud computing.

04/01/2024

Le réalisateur ne récupère pas ses droits d’auteur à la liquidation judiciaire de la société de production cessionnaire des droits.

Un documentaire sur le groupe de zouk Kassav’, diffusé en 2019, contenait des extraits d’un précédent documentaire réalisé 30 ans plus tôt.

Le producteur et le diffuseur ont été assignés par le réalisateur du premier documentaire pour contrefaçon de ses droits d’auteur. Il demandait 115 000 euros de dommages et intérêts et une interdiction de poursuite d’exploitation. Le réalisateur prétendait que ses droits patrimoniaux lui avaient été restitués par la liquidation judiciaire, prononcée en 2004, de la société de production du premier documentaire.

Toutefois, la Cour d’appel de Paris, dans son arrêt du 15 décembre 2023, rappelle que l'article L 132-30 du code de la propriété intellectuelle dispose que la liquidation judiciaire permet la résiliation d'un contrat de production audiovisuelle seulement si elle est demandée par l'auteur. Or, l’auteur ne justifiait pas d'une telle demande et échouait donc à revendiquer des droits patrimoniaux.

En revanche, le producteur du second documentaire indiquait, quant à lui, avoir acquis légitimement le droit d'utiliser 6 minutes du documentaire initial, auprès d’un tiers qui déclarait détenir ces droits, pour un montant de 3 600 euros.

La Cour d’appel a donc débouté l’auteur de ses demandes.

Cet arrêt rappelle que la formalisation de toute cession de droits, même sur un contenu court et ancien, est essentielle pour faire face aux éventuelles revendications en cours d’exploitation !

21/12/2023

Pourquoi Freeze Corleone n’a pas pu monter sur scène à Nantes alors qu’il avait pu à Rennes et Paris ?

1️⃣ La mairie de Rennes a interdit le concert du rappeur invoquant ses propos constituant des "provocations et incitations à la haine" et "de nature à très fortement exacerber les tensions déjà vives entre différents groupuscules politiques extrêmes présents à Rennes".

Le Conseil d’État a jugé, le 17 mars 2023, que l’interdiction du concert portait une atteinte grave et manifestement illégale à la liberté d’expression.
- Les propos répréhensibles de l’artiste par le passé ne suffisent pas à caractériser un risque de trouble pour ce concert en particulier.
- L’artiste a démontré qu’il n’interprèterait pas les chansons ayant fait polémique par le passé.
- La réalité du risque d’affrontements entre groupes à l’occasion du concert n’est pas démontrée, seuls des mails et tweets déplorant la venue de l’artiste étaient produits.
- A l’époque, des manifestations contre la réforme des retraites avaient lieu. Toutefois, sans risque avéré de violence liée au concert, la nécessité de mobiliser les forces de l’ordre n'est pas retenue.

▶️ Le concert a eu lieu le 18 mars

2️⃣ Le préfet de police de Paris a interdit deux concerts faisant valoir que les textes de l’artiste contenaient "de nombreuses références complotistes et antisémites" dans un contexte tendu en raison de la guerre Israël / Hamas.

Le 23 novembre 2023, le Tribunal administratif de Paris a jugé que l'annulation portait "une atteinte grave et manifestement illégale à la liberté d'expression, à la liberté de réunion et à la liberté d’entreprendre".
- Les propos répréhensibles de l’artiste par le passé ne sont pas retenus.
- Les textes ayant un caractère antisémite n’étaient pas au programme de ces concerts.
- Un concert précédent avec la même programmation début novembre n’avait pas créé de troubles.
- En absence de risque avéré de violence lors du concert, la mobilisation des forces de l’ordre liée au contexte géopolitique ne justifie pas l'annulation.

▶️ Les concerts des 24 et 25 novembre ont eu lieu.

3️⃣ Le 29 novembre 2023, le préfet du 44 a annulé le concert du rappeur.

Le Tribunal administratif de Nantes confirme l’annulation.
- Les propos répréhensibles de l’artiste par le passé ne sont pas retenus.
- Mais au moins 3 titres au programme du concert contiennent des paroles portant atteinte au respect de la dignité de la personne humaine.
- De surcroît, les concerts de Bordeaux et Paris en novembre 2023 ont démontré une adhésion importante des participants aux propos de l’artiste. Le risque de violences est élevé du fait d’actes antisémites constatés récemment en Loire-Atlantique.
- Il existe un risque avéré de trouble et ce, dans un contexte de sollicitation exacerbée des forces de l’ordre dans le cadre du plan Vigipirate.

▶️ A Nantes, le concert du 1er décembre a été reporté en attente d’une nouvelle décision du Conseil d’Etat.