Caméras augmentées aux caisses automatiques : la CNIL publie ses recommandations
Ce type de dispositif, qui s’appuie sur un logiciel d’analyse [...]
Blocage de 14 sites diffusant des œuvres audiovisuelles sans autorisation des titulaires de droits
Dans un jugement du 10 avril, le tribunal judiciaire de [...]
Réguler le numérique, chimère de l’UE ? Digital services act, 1 an de régulation du numérique
La diffusion d’une information fiable et de qualité est la mère de toutes les batailles dans les démocraties » - « Le DSA est devenu un texte éminemment politique » - « Le DSA est un texte jeune, il n’a qu’un an. Mais il ne sera que ce que les institutions européennes décident d’en faire. Pour le moment, on n’en a pas fait grand-chose. » - « L’Europe a le droit de reprendre son destin en main. ».
« Réguler le numérique, chimère de l’UE ? Digital services act, 1 an de régulation du numérique » Etienne Papin, associé de NEXT avocats, était l’invité de Nina Masson sur le plateau de "Parlons-en!" l’émission quotidienne de FRANCE 24 au côté de Bernard Benhamou, secrétaire général de l’Institut de la souveraineté numérique, ce lundi 17 février.
Le replay est disponible ici
Diffusion de musique amplifiée dans un bar : quel est le montant de la rémunération équitable ?
14/03/2025
La SPRE (organisme de gestion collective des droits voisins des artistes-interprètes et des producteurs de phonogrammes), a fait assigner la société exploitant un bar-restaurant au sein d’une station de ski en paiement de la rémunération équitable due par les « bars et restaurants à ambiance musicale » (BAM/RAM) pour l’exploitation des phonogrammes du commerce (art L.214-1 du CPI).Le bar-restaurant affirmait n’exercer qu’une activité de restauration traditionnelle pour laquelle il versait déjà la rémunération équitable directement auprès de la SACEM, mandatée par la SPRE, pour la diffusion de musiques de « sonorisation » ou de « manière occasionnelle ».
La SPRE considérait toutefois que la diffusion de musique amplifiée était, dans ce cas, une composante essentielle de l’activité commerciale du bar-restaurant, ouvrant droit à une rémunération équitable majorée établie à 1,6% de l’ensemble des recettes brutes annuelles produites par les entrées et la vente de consommation ou la restauration, services inclus.
La cour d’appel de Lyon confirme l’appréciation de la SPRE en tenant compte de la diffusion de musique à un fort volume sonore, de l’utilisation de lumières colorées pour créer une ambiance festive et de la transformation en night-club le soir avec un DJ.
La cour d’appel retient également que le caractère occasionnel des soirées concernées était contestable et ne permettait pas d’écarter l’appartenance de l’établissement aux BAM/RAM.
L’établissement est condamné au paiement d’une somme de 15 746,56 euros au titre de la rémunération équitable dans la catégorie BAM/RAM à la SPRE.
Cour d'appel, Lyon, 8e chambre, 5 mars 2025 – n° 24/01353
Interdiction d’un spectacle pour risques de troubles à l’ordre public : le Conseil d’Etat gardien de la liberté d’expression
11/03/2025
Le préfet de police a interdit les représentations du spectacle « Tranquillou » de l’humoriste Dieudonné les 28 février et 1er mars 2025 à Paris par un arrêté du 27 février, la veille de la première représentation litigieuse.Le tribunal administratif de Paris a suspendu cet arrêté par une ordonnance du 28 février. Le spectacle a donc eu lieu.
Le 1er mars, le ministre de l’Intérieur a fait appel de cette ordonnance. Il a soutenu que l’interdiction était justifiée pour prévenir la survenance de troubles à l’ordre public au regard des précédents spectacles de Dieudonné qui contenaient « des propos à caractère antisémite, négationniste, raciste, sexiste, homophobe, transphobe ou conspirationniste ».
Le Conseil d’État relève que le ministre de l’Intérieur n’apporte pas la preuve que le spectacle « Tranquillou » ayant eu lieu le 28 février aurait eu un contenu « provocateur ou illicite » ni qu’il s’agissait d’une manœuvre pour présenter son ancien spectacle « Vendredi 13 » dont le contenu est constitutif d’une menace de trouble à l’ordre public.
Le Conseil d’État rejette la requête du ministre de l’Intérieur en affirmant que le fait que les précédents spectacles de Dieudonné aient comporté des contenus susceptibles d’engendrer des troubles à l’ordre public ne suffit pas à caractériser des risques actuels de troubles à l’ordre public pour les représentations du nouveau spectacle en cause.
Conseil d'État, Juge des référés, 1 mars 2025 – n° 502057
RGPD : étendue du droit d’accès en cas de « scoring » et « profilage »
07/03/2025
Dans un arrêt du 27 février 2025, la CJUE se positionne sur les informations à fournir par les établissements de crédit ou de scoring à la personne concernée par une évaluation négative automatisée de crédit.Un opérateur de téléphonie mobile autrichien a refusé à une cliente un contrat au motif qu’elle n’était pas suffisamment solvable, en se fondant sur une évaluation de crédit automatisée réalisée par l’agence Dun & Bradstreet Austria (D&B).
L’opérateur a été condamné par l’autorité autrichienne de protection des données à communiquer les informations utiles sur la logique sous-jacente à la prise de décision automatisée à la cliente. En raison de la non-exécution par l’opérateur, la personne concernée a saisi le juge compétent pour statuer sur l’exécution.
La juridiction a demandé à la CJUE d’interpréter le RGPD et la directive sur la protection des secrets d’affaires pour savoir quelles informations l’entreprise devait concrètement fournir à la personne concernée.
L’article 15 h) du RGPD prévoit qu’en cas de prise de décision automatisée à la suite d’un profilage, le responsable de traitement doit fournir à la personne concernée « des informations utiles concernant la logique sous-jacente ».
La CJUE rappelle que ces informations doivent être fournies « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » ce qui ne sera pas le cas de la « simple communication d’une formule mathématique complexe, telle qu’un algorithme » ou de la « description détaillée de toutes les étapes d’une prise de décision automatisée ».
La Cour suggère à la juridiction autrichienne :
● que peut être « suffisamment transparent et intelligible le fait d’informer la personne concernée de la mesure dans laquelle une variation au niveau des données à caractère personnel prises en compte aurait conduit à un résultat différent »
● que « les informations fournies doivent permettre à la personne concernée de vérifier l’exactitude des données à caractère personnel la concernant sur lesquelles est fondée la prise de décision automatisée »
● que doit être tenue d’expliquer de manière concise, transparente, compréhensible et aisément accessible la procédure et les principes en application desquels le résultat du profilage « réel » a été obtenu.
Enfin, la Cour affirme que si le responsable du traitement considère que les informations demandées comportent des données de tiers protégées ou des secrets d’affaires, il est tenu « de communiquer ces informations prétendument protégées à l’autorité de contrôle ou à la juridiction compétentes, auxquelles il incombe de pondérer les droits et les intérêts en cause aux fins de déterminer l’étendue du droit d’accès de la personne concernée ».
Arrêt C-203/22, 27 fév. 2025, Dun & Bradstreet c. Austria
Blocage de sites IPTV diffusant des matchs de tennis
06/02/2025
En application de l’article L333-10 du code du sport, le tribunal judiciaire de Paris a enjoint aux FAI opérant en France, de mettre en œuvre toutes mesures propres à empêcher l’accès à des sites « IPTV » diffusant les matchs des tournois de tennis féminin WTA sans autorisation de la société beIN Sports France.De nombreux sites internet IPTV accessibles depuis la France diffusaient en streaming et gratuitement des matchs de ces tournois. Cette diffusion illicite constituait donc une atteinte grave et répétée aux droits de beIN Sports France, licenciée des droits de diffusion pour la France.
Le tribunal a ordonné aux FAI de mettre en œuvre toutes mesures propres à empêcher l’accès à leurs abonnés aux sites identifiés par beIN Sport France par tout moyen efficace, et notamment par le blocage des noms de domaines et des sous-domaines associés, dans un délai de trois jours à compter de la signification de la décision.
Concernant les sites non identifiés au jour de la décision, conformément au code du sport, beIN Sports France pourra communiquer ultérieurement les données d’identification de ces sites à l’ARCOM qui, après vérification, transmettra ces données aux FAI afin qu’ils prennent les mesures ordonnées.
Tribunal judiciaire de Paris, 3ème chambre, 2ème section, 24 janvier 2025 n°25/00148
Minimisation des données : la CJUE contre la SNCF
28/01/2025
"Data Privacy Day" : L’occasion de revenir sur la décision du 9 janvier 2025 de la CJUE qui rappelle que ‘Madame’ ou ’Monsieur’ n’est pas une donnée nécessaire à la réservation d’un titre de transport.Le 9 janvier dernier, la CJUE censurait la CNIL et la SNCF qui avaient fait échec à la demande d’une association de supprimer l’exigence pour une personne de décliner sa « civilité » dans les procédures de réservation en ligne de titres de transport.
La SNCF justifiait que ce traitement avait pour finalité, en plus de la fourniture d’un service de transport ferroviaire, la personnalisation de la communication commerciale à l’égard du client. La CNIL avait elle aussi retenu le fait que s’adresser aux clients de manière personnalisée était un usage admis dans le domaine des communications commerciales, civiles et administratives.
Usage ne fait pas nécessité pour la CJUE : l’exigence de minimisation des données prévue à l’article 5, 1 c du RGPD impose que les données collectées doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire » au regard des finalités de traitement.
La Cour européenne juge ainsi que « la personnalisation de la communication commerciale peut se limiter au traitement des noms et prénoms des clients, leur civilité et/ou leur identité de genre étant une information qui ne paraît pas strictement nécessaire dans ce contexte ». La SNCF peut en effet opter pour l’utilisation de formules de politesse génériques et inclusives dans sa communication sans que cela ait une incidence sur la fourniture de services de transport, objet principal du contrat en cause.
La CJUE fait ici une application logique d’un principe cardinal du RGPD, souvent non respecté : ne doivent être traitées que les données nécessaires à la finalité du traitement.
Non respect du RGPD par les URSSAF : les cotisations restent dues
20/01/2025
Le non-respect du RGPD par l’administration ne permet pas d’échapper au paiement de ses cotisations sociales !…Une cotisante était redevable du paiement de la cotisation subsidiaire maladie (CSM). Celle-ci a contesté cet appel de cotisation devant le tribunal judiciaire. Elle relève que la mise en place de la CSM requiert la réalisation de deux traitements de ses données personnelles mais que les administrations concernées ne l’avaient pas informée de ces traitement conformément à l’article 14 du RPGD.
Le premier traitement concerne la transmission des données entre l’administration fiscale et les Urssaf (Acoss), le second concerne le traitement des données par les Urssaf.
● S’agissant du premier traitement, le tribunal affirme que les cotisants ont été informés de la transmission des données à caractère personnel par la DGFIP par la publication de la loi instituant la CSM au Journal Officiel. S’il fallait être convaincu par cette explication, tous les traitements des administrations seraient exonérés du respect des articles 13 et 14 du RGPD dès lorsqu’ils sont nécessaires à l’application d’un texte légal ou réglementaire. Ce n’est pourtant pas l’esprit du RGPD.
● S’agissant du second traitement, le tribunal constate que l’URSSAF n’a pas informé la cotisante de sa mise en place ni de ses droits d’accès et de rectification. Pour autant, le tribunal affirme que cette absence d’information n’a pas causé de préjudice à la cotisante puisque les données transmises n’étaient pas « inexactes, incomplètes, équivoques ou périmées ni interdites ». Encore une motivation étrange puisque les sujets sont sans rapports. On ne peut pas attendre des responsables de traitement qu’ils n’informent correctement que des traitements illicites ! Ainsi, à en croire le tribunal, le non-respect des ses obligations d’information par le responsable de traitement ne causerait, par essence, aucun préjudice aux personnes concernées dont elles pourraient se plaindre !
Cette décision s’inscrit dans un mouvement jurisprudentiel (CA Paris 12 janvier 2024, CA Toulouse 17 octobre 2024 notamment) des juridictions qui refusent de prononcer la nullité de l’appel des cotisations pour un défaut d’information concernant le traitement de données personnelles nécessaire à l’établissement des cotisations.
Tribunal judiciaire, Clermont-Ferrand, 9 janvier 2025 – n° 24/00032
Collecte frauduleuse des données sur LinkedIn
01/10/2025
La CNIL, dans une décision du 5 décembre 2024, a prononcé une amende de 240 000 € contre la société KASPR pour avoir collecté les coordonnées d’utilisateurs de LinkedIn.KASPR propose une extension Chrome permettant à ses utilisateurs d’accéder aux informations de contacts de plus de 160 millions de personnes. Une fois activé, l’outil recherche toutes les informations disponibles en ligne et les affiche directement sur la page sur laquelle se trouve l'utilisateur.
À la suite du dépôt de plusieurs plaintes, la formation restreinte de la CNIL a effectué un contrôle et a relevé quatre manquements au RGPD :
Les données des utilisateurs de Linkedin ont été collectées illicitement, cette collecte s’étant effectuée non seulement sur les personnes ayant coché « tout le monde sur LinkedIn peut accéder à mes données personnelles » dans les réglages de leurs comptes, mais également aux personnes ayant coché « uniquement les relations de premier degré », et « uniquement les relations de premier et second degré ». Les utilisateurs KASPR synchronisaient l’extension KASPR avec leur compte LinkedIn, ce qui a permis à KASPR de récupérer les coordonnées disponibles sur LinkedIn des contacts directs des utilisateurs. KASPR pouvait ainsi accéder à ces données de contact et les communiquer à ses autres utilisateurs.
Les données étaient conservées pendant 5 ans, durée que la CNIL a estimé disproportionnée.
● KASPR n’a informé les personnes concernées que quatre ans après la collecte de leurs données par un courrier en anglais, ce qui ne permet pas une information transparente et compréhensible.
● KASPR se contentait d’indiquer que les coordonnées avaient été collectées à partir de sources publiquement accessibles, information trop peu précise compte tenu des informations dont elle disposait sur les sources des données.
La CNIL a enjoint KASPR de se mettre en conformité et a prononcé une amende de 240 000 euros.
