Clôture d’une mise en demeure suite à mise en conformité avec la loi Informatique et Libertés

Le 26 septembre 2016, la CNIL avait émis une mise en demeure publique à l’encontre d’une société de commerce en ligne suite à des plaintes ayant donné lieu à des contrôles et à la constatation de “manquements portant sur le traitement des données personnelles des clients ou visiteurs [de son] site internet”. Par une décision en date du 2 mai 2017, elle a clôturé cette procédure, après avoir constaté que la société avait notamment “mis en place en place un système de détection automatique des commentaires excessifs et renforcé la sécurité liée à l’enregistrement des coordonnées bancaires [de ses clients] (…) ; intégré des cases à cocher sur le site Internet, afin de recueillir le consentement des personnes à la conservation de leurs données bancaires et à l’envoi de prospection commerciale électronique” ou encore “déposé une demande d’autorisation auprès de la CNIL pour le traitement de lutte contre la fraude à la carte bancaire”.

Pour lire le communiqué de la CNIL

Condamnation d’un site de vente de parfums en ligne pour parasitisme et dénigrement

Une société parmi les plus grands producteurs mondiaux de parfums avait assigné en concurrence déloyale et parasitisme une société de vente de parfums en ligne au motif que cette dernière reproduisait le nom de certaines de ses marques ainsi que de parfums de luxe créés sous ces marques afin de promouvoir ses propres parfums. Par un arrêt du 17 mars 2017, la Cour d’appel de Paris a confirmé le jugement de première instance en ce qu’il avait condamné la défenderesse sur le fondement du parasitisme et du dénigrement, estimant qu’en créant “pour chacun de ses parfums une fiche identitaire ayant pour support un parfum et une marque bénéficiant d’une notoriété qui n’est pas contestée et dont la [demanderesse] est titulaire ou licenciée”, la défenderesse s’était immiscée dans son sillage, profitant de cette notoriété et des investissements réalisés. En outre, la Cour a considéré que les propos publiés sur son site, selon lesquels “à la différence de la concurrence elle n’introduit que 5% de marketing dans le prix de ses produits”, constituaient des propos dénigrants “qui dissimulent la réalité et jettent le discrédit sur les pratiques commerciales de la concurrence”.

Pour lire l’arrêt sur Legalis.net

Qualification juridique d’un service de mise en relation de chauffeurs et de passagers

Une organisation professionnelle de chauffeurs de taxi a assigné une plateforme de mise en relation de chauffeurs et de particuliers devant le Tribunal de commerce de Barcelone, pour violation d’une réglementation espagnole imposant la détention de licences et agréments pour l’exercice de l’activité de services de taxi. La juridiction nationale a saisi la CJUE de questions préjudicielles, notamment sur le point de savoir si cette activité devait être considérée comme une activité de transport ou un service de la société de l’information. Le 11 mai 2017, l’Avocat général Szpunar a présenté ses conclusions, selon lesquelles un tel service ne constituait pas un service de la société de l’information au sens de la directive sur le commerce électronique “dans une situation où le prestataire dudit service exerce un contrôle sur les modalités essentielles des prestations de transport effectuées dans ce cadre, notamment sur le prix desdites prestations”, ce prestataire étant “un véritable organisateur et opérateur de services de transport urbain”. Ces conclusions ne lient toutefois pas la CJUE.

Pour lire les conclusions de l’Avocat général Szpunar

Affaire IBM/MAIF : confirmation de la résolution du contrat d’intégration aux torts du prestataire informatique

Par un arrêt du 29 mars 2017, la Cour de cassation a confirmé l’arrêt, rendu sur renvoi après cassation, par lequel la Cour d’appel de Bordeaux avait ordonné la résolution du contrat d’intégration conclu entre IBM et la MAIF dans le cadre de la refonte du système d’information de cette dernière, aux torts d’IBM. Le projet, qui avait connu des dérives de délais et de coûts, avait fait l’objet de deux protocoles de recadrage, portant sur le calendrier et le prix des prestations d’intégration. La MAIF avait fini par mettre un terme au projet et mis en demeure IBM de lui livrer ce qui était prévu au contrat initial pour le prix du forfait initial sous peine de considérer le contrat comme résilié de plein droit. IBM l’avait alors assignée en paiement de factures impayées et en réparation de son préjudice. L’arrêt du 29 mars 2017, qui rejette le pourvoi formé par IBM contre celui de la Cour d’appel de Bordeaux, met un terme à cette affaire.

Pour lire l’arrêt sur Légifrance

Sanctions pour manquements persistants à la loi Informatique et Libertés

Une société spécialisée dans le transport de particuliers avait fait l’objet d’un contrôle de la CNIL en janvier 2015 suite à une plainte d’un client. Cette dernière avait notamment constaté des manquements relatifs à la durée de conservation des données bancaires communiquées par les clients lors de leurs réservations en ligne et à la sécurité des données en raison de sa politique de gestion des mots de passe. En dépit de mises en demeure, de courriers de relance et de discussions, la CNIL a constaté en décembre 2016 que la société ne s’était toujours pas mise en conformité avec ses obligations. Aussi, par une délibération du 13 avril 2017, la formation restreinte de la CNIL a constaté que “les manquements (…) [avaient] persisté bien au-delà de l’échéance du délai [de 3 mois] imparti par la mise en demeure” du 10 novembre 2015, et donc que le prononcé d’une sanction pécuniaire de 15 000 € et la publication de sa délibération étaient justifiés.

Pour lire la délibération de la formation restreinte de la CNIL

Caractérisation d’une sous-location illicite d’un logement via un site internet

Une société reprochait à d’anciens locataires à qui elle avait donné un appartement à bail de l’avoir sous-loué de manière illicite par l’intermédiaire d’un site internet. Ces derniers ne reconnaissaient que des sous-locations ponctuelles, contestant avoir eu recours à ce site internet de manière habituelle et spéculative. Par un jugement du 31 mars 2017, le Tribunal d’instance du 20ème arrondissement de Paris a accédé aux demandes de la société, estimant qu’“il ressort[ait] (…) du constat d’huissier (…) que diverses affichettes en anglais [avaient] été apposées à plusieurs endroits de l’appartement afin d’y préciser les règles de conduite souhaitées (…), et que les documents d’identité de six ressortissantes néerlandaises [avaient été] retrouvés dans les lieux”, ainsi qu’un relevé bancaire établi au nom du locataire “portant la trace de onze règlements perçus par l’intermédiaire du site internet”. Cependant, le Tribunal n’a pas accédé à la demande de dommages et intérêts de la demanderesse, celle-ci n’ayant pas établi son préjudice personnel.

Pour lire le jugement sur Legalis.net

Vente de lecteurs multimédia permettant l’accès à des œuvres protégées et notion de communication au public

Dans un arrêt du 26 avril 2017, la CJUE a statué à titre préjudiciel sur l’interprétation de la notion de communication au public d’une œuvre au sens de l’article 3 de la directive sur les droits d’auteur et droits voisins, qui prévoit pour les auteurs le droit exclusif de l’autoriser ou de l’interdire. Une fondation néerlandaise de défense des intérêts des titulaires du droit d’auteur reprochait à un particulier de vendre des lecteurs multimédia avec modules préinstallés contenant des liens hypertextes qui renvoyaient à des sites internet librement accessibles au public et mettant à disposition des œuvres protégées sans autorisation. La CJUE a estimé qu’une telle pratique consistait bien en une communication au public au sens de la directive, ne se confondant pas avec la “simple fourniture d’installations physiques”, qui au contraire ne constitue pas une telle communication. Elle a également considéré que l’exemption du droit de reproduction prévu à l’article 5 de la directive ne s’appliquait pas aux actes de reproduction temporaire, sur ce lecteur multimédia, d’œuvres protégées par le droit d’auteur obtenues par “streaming” sur un site internet sans autorisation.

Pour lire l’arrêt de la CJUE

Mise à disposition d’œuvres protégées : condamnation d’un site internet

Un agent de la SACEM avait constaté l’existence d’un site internet qui mettait à disposition des internautes un service sous forme d’abonnement payant permettant de télécharger des fichiers contenant des œuvres protégées. Par un arrêt du 31 mars 2017, la Cour d’appel de Colmar a confirmé le jugement qui avait condamné le prévenu pour contrefaçon et mise à disposition du public de logiciel destiné à la mise à disposition non autorisée d’œuvres protégées. Elle a caractérisé l’élément intentionnel des délits notamment par le fait que le prévenu avait “mis en œuvre des moyens techniques tous destinés à favoriser le téléchargement illégal“, doté son site internet d’un moteur de recherche et “présentait au public les avantages et la performance de son logiciel pour procéder à du téléchargement illégal d’œuvres protégées”. Elle a également refusé de lui attribuer la qualification de fournisseur d’accès à internet ou d’hébergeur car “loin de jouer un rôle passif et purement technique d’exploitation d’un processus d’accès à un réseau de communication, (…) il avait eu connaissance (…) du caractère illicite de l’information contenue dans les fichiers stockés sur ses serveurs”.

Pour lire l’arrêt sur Legalis.net

Lignes directrices du G29 relatives à l’analyse d’impact

Le 4 avril 2017, le G29 a publié ses lignes directrices sur l’analyse d’impact relative à la protection des données personnelles (AIPD), obligation prévue par l’article 35 du Règlement général sur la protection des données personnelles (RGPD). Ces AIPD consistent à décrire un traitement, évaluer la nécessité de sa mise en œuvre et sa proportionnalité, et aider à la gestion des risques d’atteinte aux droits et libertés des personnes physiques concernées. A ce titre, les AIPD doivent être mises en œuvre préalablement à tout traitement qui présenterait un risque élevé d’atteinte à ces droits et libertés. Elles ne devront être mises en œuvre que pour les traitements initiés postérieurement à l’entrée en application du RGPD – soit le 25 mai 2018 –, mais le G29 recommande malgré tout de les mettre en œuvre également pour les traitements actuellement en cours. Dans ces lignes directrices, le G29 précise notamment quels sont les traitements susceptibles de faire l’objet d’une AIPD et selon quelles modalités.

Pour lire les lignes directrices du G29 (en anglais)

Absence de contrefaçon de marque par utilisation de mots-clés sans risque de confusion

Une société de vente en ligne reprochait à une concurrente d’avoir utilisé sa marque comme mot clé pour le référencement de son site internet, et ce sans avoir défini ce mot clé et ses expressions apparentées comme mots clés négatifs. Par un arrêt du 28 février 2017, la Cour d’appel de Versailles, confirmant le jugement rendu par le TGI de Nanterre, a estimé “qu'il n'y a[vait] pas lieu de débattre du choix des mots clés qui auraient été sélectionnés (…) dès lors que le titulaire de la marque ne peut s'opposer à l'usage par un tiers d'un signe identique ou similaire à titre de mot clé que si cet usage porte atteinte aux fonctions de la marque”. Or, elle constate que l’annonce du site de la concurrente “ne fai[sai]t aucune référence à la marque [de la demanderesse] ou à des expressions qui lui seraient associées” et que “la mention apposée au-dessus [de ce lien] [était] due à la seule présentation du site Google que connaît l’internaute utilisant le système des mots clés”, de telle sorte qu’il n’existait pas de risque de confusion et par conséquent pas de contrefaçon de marque. Les demandes formulées au titre de la concurrence déloyale et du parasitisme ont également été rejetées.

Pour lire l’arrêt sur Légifrance