10/10/2022

Un éditeur de progiciel, avait agi en contrefaçon à l’encontre d’un opérateur de communications électroniques qui avait intégré ce progiciel dans une solution informatique de gestion. L’éditeur estimant que l’opérateur n’avait pas respecté les clauses de sa licence l’avait assigné en contrefaçon de ses droits d’auteur.

Selon la Cour de cassation, la CJUE avait conclu, dans un arrêt du 18 décembre 2019, « que la violation d’une clause d’un contrat de licence d’un programme d’ordinateur, portant sur des droits de propriété intellectuelle du titulaire des droits d’auteur de ce programme, relève de la notion d’ « atteinte aux droits de propriété intellectuelle », au sens de la directive 2004/48, et que, par conséquent, ledit titulaire doit pouvoir bénéficier des garanties prévues par cette dernière directive, indépendamment du régime de responsabilité applicable selon le droit national ».

Elle en déduit, dans son arrêt du 5 octobre 2022, que « dans le cas d’une d’atteinte portée à ses droits d’auteur, le titulaire, ne bénéficiant pas des garanties prévues aux articles 7 et 13 de la directive 2004/48 s’il agit sur le fondement de la responsabilité contractuelle, est recevable à agir en contrefaçon ».

Les articles 7 et 13 en question prévoient que 1️⃣ le titulaire des droits d’auteur doit pouvoir ordonner des mesures de conservation des preuves telles que la saisie réelle et que 2️⃣ le titulaire doit pouvoir prétendre à des dommages-intérêts adaptés au préjudice réellement subi du fait de l’atteinte, ce que ne permettent pas les mesures d'instruction au fondement de l’article 145 du code de procédure civil et les principes de la responsabilité contractuelle.

07/10/2022

Google condamné par le Tribunal Judiciaire de Chambéry à supprimer la fiche « Google My Business » d’une dentiste qui invoquait un traitement non autorisé de ses données personnelles.  

La fiche comportait son nom, son adresse, une note et des avis d’internautes.

Les arguments des sociétés Google France, Google Llc et Google Ireland ltd quant à leur prétendu ‘intérêt légitime’ au traitement du fait du droit du public à l’information ont été rejetés.  

Le Tribunal judiciaire de Chambéry, dans sa décision du 15 septembre 2022, rappelle que l’intérêt légitime pouvant servir de base légale à un traitement de données personnelles doit être déterminé de manière claire et précise. Or, le Tribunal juge ici que le traitement a une finalité commerciale cachée : « si la diffusion de la seule fiche du professionnel poursuit en effet un caractère informatif, la diffusion combinée de la fiche et des avis constitue le moyen pour les sociétés Google d’inciter fortement les professionnels à recourir à ses services, qu’ils soient gratuits ou payants. C’est dès lors de mauvaise foi que les défenderesses prétendent que le traitement réalisé dans le cadre de la publication de la fiche entreprise est décorrélé des actes de prospection commerciale auxquels elles se livrent ».  

En outre, pour que le droit à l’information soit légitimement invoqué, il faut que l’information soit fiable, ce qui n’est pas le cas s’agissant d’avis anonymes non-vérifiés.

Le Tribunal retient que Google France est également responsable, au côté des sociétés irlandaises et américaine du groupe, dès lors qu’il est démontré qu’elle a en France une activité de promotion des ventes d’espaces publicitaires sur la base de l’annuaire des fiches de professionnels référencés dans Google My Business.

27/09/2022

Rupture brutale d'une relation commerciale établie : ça ne marche pas à tous les coups rappelle la Cour de cassation ! Une société informe un éditeur de logiciels de la résiliation de deux contrats conclus ensemble, l’un ayant pour objet une licence, le support et la maintenance sur modules existants et standards de l'éditeur, l’autre des prestations de services d’installation et de paramétrage.

Dans son arrêt du 7 septembre 2022, la Cour de cassation reproche à la Cour d’appel de Paris d’avoir condamné la société cliente pour rupture brutale des relations commerciales établies au sens de l’ancien article L.442-6, I, 5° du code de commerce (aujourd'hui L442-1-II).

L’arrêt déduisait de l’ampleur du projet d’implanter 600 licences sur 42 sites du groupe pour une application développée à partir du logiciel de l'éditeur et projetée sur 3 voire 5 années de collaboration, l’existence d’une relation suivie, stable et dont l'éditeur pouvait espérer, en raison de la complexité et de l’étendue du déploiement de son application, la prolongation des contrats au-delà.

La Cour de cassation rappelle que "l'existence d'une relation commerciale établie suppos[e] caractérisée une relation d'affaires régulière, stable et significative, à la date de la rupture, et ne p[eut] se déduire de la durée projetée du contrat résilié ni de la perspective de poursuite des relations entre les parties à l'issue de cette durée".

20/09/2022

Deux fournisseurs de services de télécommunications contestaient la règlementation allemande leur imposant la conservation des données relatives au trafic et des données de localisation afférentes aux télécommunications de leurs clients. A l’occasion d’un renvoi préjudiciel, la Cour administrative fédérale allemande interrogeait la compatibilité d’une telle législation avec la Directive 2002/58/CE du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques. La Cour de justice, par un arrêt du 20 septembre 2022, retient que le droit de l’Union s’oppose à toute législation nationale prévoyant, à titre préventif, aux fins de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation.

La Cour de Luxembourg précise son interprétation. Le droit de l’Union ne s’oppose pas à une législation nationale qui prévoit, aux fins de sauvegarde de la sécurité nationale ou de lutte contre la criminalité grave :

● Le recours à une injonction de procéder à une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, si l’État fait face à une menace grave, réelle et actuelle ou prévisible pour la sécurité nationale et que l’injonction est susceptible de contrôle, pour une période temporellement limitée, mais renouvelable.
● La conservation ciblée des données relatives au trafic et des données de localisation, délimitée sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique, pour une période temporellement limitée au strict nécessaire, mais renouvelable.
● La conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une connexion, pour une période temporellement limitée au strict nécessaire.
● La conservation généralisée et indifférenciée des données relatives à l’identité civile des utilisateurs de moyens de communications électroniques.
● Le recours à une injonction susceptible de contrôle, de procéder, pour une durée déterminée, à la conservation rapide des données relatives au trafic et des données de localisation dont disposent les fournisseurs de services.

20/09/2022

Deux enseignements d’un arrêt de la Cour d’appel de Grenoble du 1er sept. 2022 (n°21/01300) statuant sur un projet de création d’un site internet pour une entreprise du bâtiment :

● Prestataire ou client, ne négligez pas la formalisation contractuelle de votre mécanisme de recette pour tout projet informatique avec, a minima, une VABF et une VSR !

● Et en cours de projet, il faudra toujours s’assurer que factuellement, des opérations de vérification sont menées par le client avant signature du procès verbal de recette…

En effet, par un raisonnement fondé sur une approche très factuelle de la situation, et moins sur le caractère contraignant d’un « procès verbal de conformité » pourtant signé par les parties, la Cour retient que : « Un tel document signé lors de la livraison du site ne saurait valablement décharger le prestataire de ses obligations contractuelles, notamment de délivrance, alors que la mise en place d'un site internet ne peut être considérée comme pleinement exécutée sans un temps de prise en main par le client et de mise au point, compte tenu de la complexité du produit ».

Finalement, la Cour déboute quand même l’entreprise du bâtiment pour n’avoir pas démontré un défaut de conformité du site internet.

09/09/2022

Rapport de la Direction Générale du Trésor sur l'assurance des cyber-risques.  Tous les baromètres désignent une augmentation des cyberattaques. 54% des entreprises françaises ont été attaquées en 2021. Une entreprise qui subit une cyberattaque double son risque de défaillance.

● Le marché de l’assurance du risque cyber demeure limité en France (3,1% des cotisations de l’assurance des dommages aux biens des professionnels en 2021) mais en forte augmentation en 2021 (+52%) avec un durcissement marqué des conditions d’assurance pour les grandes entreprises.

Le rapport constate :

● des incertitudes juridiques fortes sur : l’assurabilité du paiement des cyber-rançons ; l’assurabilité des sanctions administratives (sanctions CNIL par exemple) ; l’applicabilité de l’exclusion légale pour cause de guerre aux cyberguerres ;
● une rédaction déficiente des polices d’assurances avec une insécurité sur les garanties souscrites et les exclusions applicables.

05/09/2022

Le décret n°2022-1212 du 2 septembre 2022 fixe au lundi 5 septembre 2022 l'entrée en vigueur de la loi du 2 mars 2022 visant à renforcer le contrôle parental sur les moyens d’accès à internet.

● La loi a introduit un article L.34-9-3 dans le code des postes et des communications électroniques qui impose la mise en place dans les équipements terminaux d’un dispositif permettant de restreindre ou contrôler l’accès aux mineurs à des contenus « susceptibles de nuire à l’épanouissement physique, mental ou moral ».

Les fabricants et distributeurs doivent s’assurer que le dispositif certifié par leurs soins est proposé dès la première mise en service, intégré par les systèmes d’exploitation et que son utilisation n’impose aucun surcoût pour les utilisateurs.

● Les données à caractère personnel des mineurs collectées à l’occasion de l’utilisation de ce dispositif ne peuvent être utilisées à des fins commerciales (marketing direct, profilage et publicité ciblée).

L’obligation ne s’applique pas aux équipements mis sur le marché sans système d’exploitation.

26/08/2022

Le décret n°2022-1084 du 29 juillet 2022 sur la mise en place d’une stratégie numérique responsable par les communes instaurent des obligations en matière de « GREEN IT ».

● Sur qui pèsent les nouvelles obligations ?
- Les communes de plus de 50 000 habitants
- Les établissements publics de coopération intercommunale à fiscalité propre de plus de 50 000 habitants

● Quelles échéances pour quelles obligations ?

● Avant le 1er janvier 2023 : Réalisation d’un « programme de travail ». Il doit comprendre :
- un bilan de l’impact environnemental du numérique et de ses usages sur le territoire concerné,
- une synthèse des solutions engagées pour atténuer cet impact, le cas échéant.

● Avant le 1er janvier 2025 : Etablissement d’une « stratégie numérique responsable ». Elle devra indiquer :
- les objectifs de réduction de l’empreinte numérique du territoire concerné,
- les indicateurs de suivi associés,
- les mesures mises en place pour y parvenir,
- et les moyens d’y satisfaire.

● Le décret fournit une liste d’objectifs pouvant être intégrés à la stratégie.

Pour les équipements informatiques :
- une commande publique locale et durable, dans une démarche de réemploi, de réparation et de lutte contre l'obsolescence,
- une gestion durable et de proximité du cycle de vie du matériel informatique.

Pour les logiciels : Ecoconception des sites et des services numériques.

Pour la formation : Mise en place d'une politique de sensibilisation au numérique responsable et à la sécurité informatique à destination des élus et agents publics.

● Et d’autres engagements de droit mou, dont les contours sont flous et peu engageants :
- Mise en place d'une démarche numérique responsable auprès de tous afin de sensibiliser les citoyens aux enjeux environnementaux du numérique et de l'inclusion numérique ;
- Mise en place d'une démarche de territoire connecté et durable en lien avec une démarche d'ouverture et de valorisation des données.

● Un bilan annuel sur la stratégie numérique responsable devra être présenté avant les débats sur le projet de budget, dans le cadre du rapport sur la situation en matière de développement durable.

● Quelles sanctions en cas de non-respect des exigences nouvelles? Aucune n’est expressément prévue…

Un démarrage…. en douceur donc.

● Quels chantiers juridiques mener ? Outre la formalisation des « Programmes » et « Stratégies », les collectivités devront veiller à adapter leurs marchés de services informatiques et à prévoir un suivi des indicateurs mis en place, avec sanctions contractuelles en cas de non respect.

26/07/2022

Wish est un site de eCommerce édité par la société de droit américain ContextLogic Inc. dont la DGCCRF a constaté qu’il commercialisait des produits pour la plupart importés, avec un taux de dangerosité élevé (jouets : 95 % non conformes, dont 45% dangereux; appareils électriques : 95 % non conformes, dont 90% dangereux). Par ailleurs, Wish n’effectuait pas les retraits ni les rappels de produits tel qu’il incombe aux distributeurs.

Le 15 juillet 2021, la DGCCRF a donc enjoint à Wish de se mettre en conformité sous deux mois. La DGCCRF a pris acte d’un défaut d’exécution, et, par décision du 23 novembre 2021, elle enjoignait cette fois à Apple, Google, Qwant et Microsoft de déréférencer l’adresse « wish. com » et l’application « Wish » de leurs moteurs de recherche et magasins d’applications au fondement de l’article L.521-3-1, 2°, a) du code de la consommation.

Ce texte, introduit par une loi de décembre 2020, prévoit cette possibilité pour la DGCCRF d'ordonner le déréférencement de contenus manifestement illicites, notamment lorsque l’infraction constatée est de nature à porter une atteinte grave à la loyauté des transactions ou à l’intérêt des consommateurs.

ContextLogic Inc. a demandé au Conseil d’État l’annulation de l’ordonnance de référé qui l’avait déboutée de son recours contre la décision de la DGCCRF, et la transmission au Conseil constitutionnel d’une QPC relative à ladite disposition. Le Conseil d’Etat y a fait droit dans une décision du 22 juillet 2022 et renvoie au Conseil constitutionnel la question de la conformité aux droits et libertés garantis par la Constitution de l'article litigieux du code de la consommation.

Selon le Conseil d’Etat, « la question porte un caractère sérieux tenant aux atteintes à la liberté d’entreprendre, d’expression et de communication ».

11/07/2022

Développement et intégration de logiciels : la Cour de cassation a statué dans deux contentieux entre des prestataires informatiques et leurs clients. L’un avait pour objet l’intégration des fonctionnalités liées à une carte de fidélité dans un logiciel de gestion destiné à un réseau de pharmacies, l’autre le déploiement d’un logiciel destiné à la restauration collective au sein de différents sites exploités par une même société.

Dans ces deux affaires, les clients, insatisfaits des prestations livrées, ont mis fin aux relations contractuelles. Les prestataires les ont assignés devant les tribunaux.

● Dans l’affaire sur le logiciel de restauration collective, la Cour de Cassation rappelle que la réparation du dommage subi par le client du fait de l’échec de son projet informatique doit certes être intégrale, mais elle ne peut excéder le montant du préjudice. Elle censure donc la Cour d’appel qui avait condamné le prestataire informatique à indemniser le client de ses gains manqués alors que, en conséquence de la résolution du contrat, elle avait déjà condamné le prestataire à rembourser au client le prix des factures acquittées en exécution du contrat et l’avait donc dispensé du paiement de la prestation due (Cass com, 1er juin 2022, n°20-19.476).

● Dans l’affaire du non déploiement du projet de carte de fidélité au terme d’une période de test, la Cour de cassation censure la cour d’appel pour dénaturation des faits : le contrat d’intégration de la carte de fidélité prévoyait qu’à l’issue d’une phase de test de 6 mois, la solution serait déployée à tout le réseau, sauf dénonciation 3 semaines avant le terme de la phase de test en raison de l’échec dudit test. Un débat avait surgi sur ce qui devait être considéré comme "date de livraison" marquant le démarrage de la phase de test. Les juges du second degré ne peuvent dénaturer des courriels échangés entre les parties, dont il ressort que la "livraison" devait s’entendre de la date à laquelle les cartes livrées devaient fonctionner, de telle sorte que la résiliation a bien eu lieu dans le délai de six mois fixé par le contrat (Cass com, 22 juin 2022, n°21-17.689).