Actualités

20/01/2025

Le non-respect du RGPD par l’administration ne permet pas d’échapper au paiement de ses cotisations sociales !…

Une cotisante était redevable du paiement de la cotisation subsidiaire maladie (CSM). Celle-ci a contesté cet appel de cotisation devant le tribunal judiciaire. Elle relève que la mise en place de la CSM requiert la réalisation de deux traitements de ses données personnelles mais que les administrations concernées ne l’avaient pas informée de ces traitement conformément à l’article 14 du RPGD.

Le premier traitement concerne la transmission des données entre l’administration fiscale et les Urssaf (Acoss), le second concerne le traitement des données par les Urssaf.

● S’agissant du premier traitement, le tribunal affirme que les cotisants ont été informés de la transmission des données à caractère personnel par la DGFIP par la publication de la loi instituant la CSM au Journal Officiel. S’il fallait être convaincu par cette explication, tous les traitements des administrations seraient exonérés du respect des articles 13 et 14 du RGPD dès lorsqu’ils sont nécessaires à l’application d’un texte légal ou réglementaire. Ce n’est pourtant pas l’esprit du RGPD.

● S’agissant du second traitement, le tribunal constate que l’URSSAF n’a pas informé la cotisante de sa mise en place ni de ses droits d’accès et de rectification. Pour autant, le tribunal affirme que cette absence d’information n’a pas causé de préjudice à la cotisante puisque les données transmises n’étaient pas « inexactes, incomplètes, équivoques ou périmées ni interdites ». Encore une motivation étrange puisque les sujets sont sans rapports. On ne peut pas attendre des responsables de traitement qu’ils n’informent correctement que des traitements illicites ! Ainsi, à en croire le tribunal, le non-respect des ses obligations d’information par le responsable de traitement ne causerait, par essence, aucun préjudice aux personnes concernées dont elles pourraient se plaindre !

Cette décision s’inscrit dans un mouvement jurisprudentiel (CA Paris 12 janvier 2024, CA Toulouse 17 octobre 2024 notamment) des juridictions qui refusent de prononcer la nullité de l’appel des cotisations pour un défaut d’information concernant le traitement de données personnelles nécessaire à l’établissement des cotisations.

Tribunal judiciaire, Clermont-Ferrand, 9 janvier 2025 – n° 24/00032

01/10/2025

La CNIL, dans une décision du 5 décembre 2024, a prononcé une amende de 240 000 € contre la société KASPR pour avoir collecté les coordonnées d’utilisateurs de LinkedIn.

KASPR propose une extension Chrome permettant à ses utilisateurs d’accéder aux informations de contacts de plus de 160 millions de personnes. Une fois activé, l’outil recherche toutes les informations disponibles en ligne et les affiche directement sur la page sur laquelle se trouve l'utilisateur.

À la suite du dépôt de plusieurs plaintes, la formation restreinte de la CNIL a effectué un contrôle et a relevé quatre manquements au RGPD :

Les données des utilisateurs de Linkedin ont été collectées illicitement, cette collecte s’étant effectuée non seulement sur les personnes ayant coché « tout le monde sur LinkedIn peut accéder à mes données personnelles » dans les réglages de leurs comptes, mais également aux personnes ayant coché « uniquement les relations de premier degré », et « uniquement les relations de premier et second degré ». Les utilisateurs KASPR synchronisaient l’extension KASPR avec leur compte LinkedIn, ce qui a permis à KASPR de récupérer les coordonnées disponibles sur LinkedIn des contacts directs des utilisateurs. KASPR pouvait ainsi accéder à ces données de contact et les communiquer à ses autres utilisateurs.

Les données étaient conservées pendant 5 ans, durée que la CNIL a estimé disproportionnée.

● KASPR n’a informé les personnes concernées que quatre ans après la collecte de leurs données par un courrier en anglais, ce qui ne permet pas une information transparente et compréhensible.

● KASPR se contentait d’indiquer que les coordonnées avaient été collectées à partir de sources publiquement accessibles, information trop peu précise compte tenu des informations dont elle disposait sur les sources des données.

La CNIL a enjoint KASPR de se mettre en conformité et a prononcé une amende de 240 000 euros.

22/11/2024

Comment protéger la voix et l’image clonées de célébrités décédées ? Stéphanie Foulgoc, avocate associée de NEXT, était interviewée dans l'émission LexInside du 22 novembre 2024.

Voici la teneur de quelques messages partagés :

● Les juges, par leur jurisprudence sur le droit de la responsabilité délictuelle et les droits de la personnalité, peuvent appréhender de nombreuses situations sans que l’adoption de nouvelles lois soit nécessaire.
● En revanche, il faut que le droit soit mis en oeuvre et que les violations soient sanctionnées. Ce n’est pas assez le cas !
● Il ne faudrait pas que l’histoire de l’IA soit celle d’un pillage massif par quelques acteurs au préjudice des titulaires de droits !


L'interview en intégralité

11/12/2024

Que retenir de la sanction d’Orange ? La CNIL a prononcé le 14 novembre 2024 une amende record de 50 millions d’euros contre Orange SA. Il s’agit de la sanction la plus élevée prononcée contre une société française par la CNIL.

● Elle est prononcée sans contrôle sur place mais à la suite de constatations faites en ligne par les agents de la CNIL sur le webmail d’Orange. Les entreprises sont donc potentiellement, en permanence, sous le contrôle de la CNIL lorsqu’elles exploitent des services en ligne.

● Un courrier électronique n’est pas qu’un courrier électronique… c’est plus ! C’est aussi, dans une interface de webmail, un contenu présenté à l’écran de l’utilisateur ressemblant à un courrier électronique…

On est peu convaincu par la décision de la CNIL sur ce point, même si elle a pour elle de s’appuyer sur l’arrêt de la CJUE du 25 novembre 2021 qui statuait en ce sens mais dans d’autres circonstances, car l’espèce soumise à la CJUE concernait un litige pour concurrence déloyale entre deux sociétés commerciales.

Ici, il s’agit d’infliger une amende de 50 000 000 d’euros. Conformément à un principe juridique établi, la loi pénale est d’interprétation stricte et une sanction administrative ne devrait être prononcée qu’à la suite d’une interprétation restrictive du texte qui la fonde.

Or, l’article L34-5 CPCE qui fonde la sanction, ne se lit que comme interdisant, sans l’accord du récepteur, « l’envoi » d’un message publicitaire d’un système de messagerie émetteur vers un système de messagerie récepteur, ce qui n’était pas le cas en l’espèce.

Il y a, de plus, une forme de fictivité dans l’approche : il aurait suffit d’afficher le même message, sur la même page mais à un endroit distinct de la liste des courriers électroniques reçus pour échapper à la sanction.

Ici encore, la prétendue neutralité technologique de l’article L34-5 CPCE et la lecture téléologique qu’il faudrait en faire ne convainc pas : le justiciable doit savoir de quelle technologie une loi parle : or, un email n’est pas autre chose qu’un email au sens des standards techniques de l’internet (SMTP / POP / IMAP).

Il y a, enfin, une nouvelle distorsion de concurrence entre les acteurs européens et américains : un message publicitaire présenté sur la page html affichée par un navigateur est sanctionné chez Orange et légal sur un moteur de recherche…

● Le support (ici l'exploitant du webmail) est responsable de la violation de l’article L34-5 CPCE sans pouvoir reporter sa responsabilité sur les annonceurs.

06/12/2024

Une ingénieure chimiste employée par un laboratoire pharmaceutique avait consenti à son employeur, par contrat, un droit exclusif sur son nom et son image pour la promotion de produits capillaires et cosmétiques moyennant une rémunération semestrielle.

Dans le cadre d’un contentieux prudhommal consécutif à son licenciement, la salariée faisait valoir une atteinte à son droit à l’image et demandait réparation au motif que des notices et plaquettes comportant son image, qui avaient été éditées pendant l’exécution de son contrat, étaient encore diffusées après son licenciement.

La Cour de cassation, dans son arrêt du 23 octobre 2024, rejette le pourvoi et rappelle que « les dispositions de l'article 9 du code civil, seules applicables en matière de cession de droit à l'image, relèvent de la liberté contractuelle et ne font pas obstacle à celle-ci dès lors que les parties ont stipulé de façon suffisamment claire les limites de l'autorisation donnée quant à sa durée, son domaine géographique, la nature des supports et l'exclusion de certains contextes. ». La Cour d’appel de Paris avait statué dans le même sens considérant qu’il aurait été disproportionné de procéder au retrait, dans les stocks existants, des notices comportant l’image de l’ancienne salariée.

19/11/2024

29/10/2024

C'est ce que décide la Cour de cassation dans son arrêt du 23 octobre 2024.

L'UFC-Que Choisir a contesté les conditions d’utilisation de la plateforme Steam, éditée par Valve Corporation, qui interdisent la revente de jeux dématérialisés. L’association invoque la règle de l’épuisement des droits devant normalement permettre la revente d'un produit protégé par le droit d’auteur après sa première vente légale dans l'UE.

Selon l’association, un jeu vidéo est un logiciel relevant de la directive 2009/24/CE. Interprétée par un arrêt de la CJUE (CJUE, 3 juillet 2012, UsedSoft, C-128/11), cette directive prévoit que l'épuisement du droit de distribution s’applique aux copies matérielles et immatérielles d'un programme informatique.

La Cour de cassation décide de créer une distinction entre :

● Le jeu vidéo, qui serait une œuvre « complexe » (comprenant du logiciel mais aussi des graphismes, de la musique, des éléments sonores, un scénario et des personnages) qui pourrait se retrouver « rapidement sur le marché une fois la partie terminée et qui [pourrait] être encore utilisé par de nouveaux joueurs plusieurs années après sa création » ;

● Un programme informatique, qui n’est pas une œuvre complexe et est « destiné à être utilisé jusqu'à son obsolescence ».

Ainsi, le jeu-vidéo n’entrerait pas dans le champ d’application de la directive de 2009 (considérée comme une lex specialis) mais est soumis à la directive 2001/29/CE sur le droit d’auteur, qui précise que l’épuisement s'applique seulement à l'objet matériel contenant l'œuvre.

Un conseil aux éditeurs de logiciels : ajoutez de la musique et des images dans vos programmes pour échapper à l’épuisement de vos droits de distribution !

Cour de cassation, 23 octobre 2024, n° 23-13.738

21/10/2024

La CJUE décide qu’un logiciel permettant de tricher aux jeux vidéo ne viole pas la directive sur la protection des programmes d’ordinateur.

Au-delà du cas d’espèce, cette décision est particulièrement didactique sur ce qui est protégé ou non par le droit d’auteur dans un logiciel.

Sony a poursuivi une société qui proposait des dispositifs matériels et logiciels compatibles avec la PlayStationPortable permettant de booster ses performances dans les jeux vidéos en contournant les limitations programmées par Sony dans ses jeux. Sony estime que ces dispositifs ont pour effet de « transformer » ses logiciels de jeux et violeraient ainsi son droit exclusif d’autoriser de telles transformations.

Le tribunal allemand saisi du litige a demandé à la CJUE d’interpréter la directive 2009/24 concernant la protection juridique des programmes d’ordinateur.

La CJUE considère que ne relève pas de la protection conférée par la directive « le contenu des données variables insérées par un programme d’ordinateur dans la mémoire vive d’un ordinateur et utilisées par ce programme au cours de son exécution, dans la mesure où ce contenu ne permet pas la reproduction ou la réalisation ultérieure d’un tel programme. »

En effet, la directive protège seulement la création intellectuelle telle qu’elle se reflète dans le code-source et le code-objet du programme d’ordinateur, seuls susceptibles de reproduction.

Très didactique dans sa formulation, cet arrêt rappelle que ne sont pas protégeables par le droit d’auteur :
● Les idées et les principes à la base de quelque élément que ce soit d’un programme d’ordinateur tels que les algorithmes, les procédures, les méthodes de fonctionnement ou les concepts mathématiques.
● L’interface utilisateur graphique d’un programme d’ordinateur.
● La fonctionnalité d’un programme d’ordinateur.
● Le langage de programmation.
● Le format de fichiers de données utilisés dans le cadre d’un programme d’ordinateur pour exploiter certaines de ses fonctions.
● Et maintenant : le contenu des variables que le programme protégé a inséré dans la mémoire vive de l’ordinateur.

Arrêt du 17 octobre 2024, Affaire C-159/23 Sony Computer Entertainment Europe c/ Datel

11/10/2024

Devançant l’appel du Data Act, le législateur français a choisi de réglementer les contrats proposés par les prestataires de services cloud.

La loi SREN du 21 mai 2024 introduit dans le code de commerce plusieurs dispositions pour contraindre les pratiques commerciales et contractuelles de ce type de services. L’enfer étant pavé de bonnes intentions, les dispositions complexes de cette loi n’échapperont pas à des difficultés d’interprétation et d’application.

Nous vous aidons à vous approprier ce nouveau régime juridique.