Fournisseur de service de télévision : information erronée et pratique commerciale déloyale

Dans un arrêt du 16 avril 2015, la CJUE a statué à titre préjudiciel sur l’interprétation de la directive 2005/29/CE relative aux pratiques commerciales déloyales. En l’espèce, un abonné hongrois souhaitant mettre un terme à son contrat avec un fournisseur de service de télévision lui reprochait d’avoir fourni une information erronée concernant la date de fin de son contrat, en conséquence de quoi il était tenu de s’acquitter de frais d’abonnement auprès de deux prestataires différents pour une même période. La CJUE a considéré que “la communication, par un professionnel à un consommateur, d’une information erronée, telle que celle en cause au principal, doit être qualifiée de “pratique commerciale trompeuse”, au sens de cette directive, alors même que cette communication n’a concerné qu’un seul consommateur”.

Pour lire l’arrêt de la CJUE

Consentement spécifique à la prospection directe électronique

Par un arrêt du 11 mars 2015, le Conseil d’Etat a rejeté la demande d’annulation d’une mise en demeure de la CNIL à l’encontre d’une société proposant des logiciels gratuits, dont l’installation, soumise à l’acceptation par l’utilisateur des conditions générales, entrainait en outre systématiquement l’installation du moteur de recherche, ainsi que l’envoi de publicités récurrentes ciblées, et la cession de ses données personnelles à des tiers. Le Conseil d’Etat a estimé que ce consentement donné “pour l’ensemble des finalités d’un traitement” ne valait pas “consentement spécifique” tel qu’exigé par la loi dans le cadre d’une prospection directe électronique, ce dernier ne pouvant résulter “que du consentement exprès de l’utilisateur, donné en toute connaissance de cause et après une information adéquate sur l’usage qui sera fait de ses données personnelles”.

Pour lire l’arrêt sur Légifrance

Interdiction de la “maraude électronique” aux VTC validée par le Conseil constitutionnel

Par une décision du 22 mai 2015, le Conseil constitutionnel s’est prononcé sur trois questions prioritaires de constitutionnalité posées par des sociétés de services de transports avec chauffeur (VTC) et portant sur la conformité à la Constitution de certaines dispositions du Code des transports issues de la loi dite Thévenoud, relative aux taxis et aux VTC. Ces sociétés contestaient notamment l’interdiction qui leur est faite d’informer un client, avant réservation via des applications mobiles, à la fois de la localisation et de la disponibilité d’un véhicule lorsqu’il est situé sur la voie publique, considérant que cette interdiction portait atteinte à leur liberté d’entreprendre, au principe d’égalité devant la loi et au droit de propriété. Le Conseil constitutionnel a écarté cette argumentation et relevé que le législateur avait entendu, pour des motifs d’ordre public de police, garantir le monopole légal des taxis.

Pour lire la décision sur le site du Conseil constitutionnel

Refus de mise en œuvre d’un traitement en matière d’infractions pédopornographiques par une société privée

Dans un arrêt du 11 mai 2015, le Conseil d’Etat a rejeté un recours pour excès de pouvoir formulé par une société à l’encontre d’une décision de la CNIL ne l’autorisant pas à mettre en œuvre un “traitement de données personnelles de recherche des infractions à caractère pédopornographique que pourraient commettre ses salariés”. En l’espèce, l’employeur souhaitait rapprocher les consultations de sites et chargements opérés à partir des postes des salariés avec un fichier correspondant à des contenus pédopornographiques communiqué par les autorités de police, afin, en cas de coïncidence, de saisir les autorités compétentes d’une infraction suspectée. Le Conseil d’Etat a relevé que la société n’était pas habilitée par la loi à créer de tels traitements, et que le fait que le traitement litigieux soit au nombre de ceux soumis à autorisation de la CNIL “ne saurait (…) lui ouvrir droit à la création de ce traitement”, de telle sorte qu’elle “n’était pas fondée à soutenir que la CNIL aurait fait une inexacte application” des textes.

Pour lire l’arrêt sur Légifrance

Dispositif biométrique et suivi du temps de travail

Par une délibération du 5 mars 2015, la CNIL a refusé d’accorder à une banque l’autorisation de mettre en œuvre un traitement automatisé de données personnelles reposant sur un dispositif biométrique de reconnaissance de l’empreinte digitale et ayant pour finalité le contrôle et le suivi du temps de travail. Elle a constaté qu’aucune circonstance exceptionnelle n’était démontrée, que le dispositif “ne résult[ait] pas de la mise en œuvre de mesures de sécurité telles qu’identifiées par une analyse de risques”, et que le traitement envisagé ne relevait donc pas d’une finalité de sécurité justifiant un recours impératif à la biométrie. Elle a en outre relevé “l’impossibilité pour les personnes concernées de recourir à un dispositif alternatif” et a donc considéré que le recours exclusif à un tel dispositif n’apparaissait “ni adapté ni proportionné à la finalité poursuivie”.

Pour lire la délibération de la CNIL

Suspension par le Conseil d’Etat de la mise en œuvre du fichier “STADE”  

Par une ordonnance du 13 mai 2015, le Conseil d’Etat a suspendu provisoirement la mise en œuvre d’un traitement automatisé de données à caractère personnel dénommé fichier “STADE”, autorisé par un arrêté ministériel du 15 avril 2015 et ayant pour objectif de prévenir les troubles à l’ordre public lors de manifestations sportives. En l’espèce, plusieurs associations de défense des intérêts des supporters avaient saisi le juge des référés du Conseil d’Etat d’un référé-suspension, affirmant que ce traitement de données à caractère personnel ne respectait pas les exigences de la Loi Informatique et Libertés en ne définissant pas avec une précision suffisante les personnes concernées et les catégories de données pouvant être enregistrées. Estimant qu’il existait un doute sérieux quant à la légalité de l’arrêté, les juges ont suspendu sa mise en œuvre jusqu’à ce qu’ils se prononcent sur la demande d’annulation dont ils ont été saisis.

Pour lire l’ordonnance du Conseil d’Etat

Illicéité de la preuve par géolocalisation en l’absence d’information du salarié

Dans un arrêt du 6 mai 2015, la Cour d’appel de Montpellier a confirmé la requalification d’un licenciement pour faute grave en licenciement pour cause réelle et sérieuse d’un employé, auquel il était notamment reproché de ne pas exécuter totalement son temps de travail hebdomadaire. À cette occasion, la Cour a relevé que la preuve par le système de géolocalisation des véhicules de la société ne pouvait pas être retenue en raison de son illicéité, puisqu’elle ne figurait pas parmi les finalités communiquées à l’employé, et ce même si la déclaration à la CNIL conforme à la norme NS 51 englobait la finalité accessoire du suivi du temps du travail lorsque celui-ci ne pouvait pas être réalisé par d’autres moyens. Elle a cependant admis les autres preuves apportées pour confirmer le licenciement.

Arrêt non encore publié

Exceptions au principe “silence vaut acceptation” en matière de propriété intellectuelle

Un décret du 7 mai 2015, faisant suite à la loi du 12 novembre 2013 sur la simplification des relations entre l’administration et les citoyens, prévoit que le silence gardé pendant un certain délai par l’INPI sur les demandes d’enregistrement et de renouvellement de marque, de dessin ou modèle, de requête en renonciation, en limitation ou en déchéance de brevet vaut décision de rejet. Le décret porte ainsi exception au principe selon lequel le “silence vaut acceptation”.

Pour lire le décret sur Legifrance

Collecte d’adresses IP non constitutive d’un traitement de données à caractère personnel

Après avoir constaté la connexion sur son réseau informatique d’ordinateurs extérieurs à l’entreprise, une société a collecté des adresses IPg aux fins d’obtenir des FAI les coordonnées correspondantes de leurs abonnés. Les adresses IPg ont été localisées au sein d’une société concurrente, laquelle a contesté cette collecte, considérant qu’elle constituait un traitement de données à caractère personnel soumis à déclaration préalable auprès de la CNIL. Par un arrêt du 28 avril 2015, la Cour d’appel de Rennes a cependant considéré que “le fait de conserver, en vue de la découverte ultérieure des auteurs de pénétrations non autorisées sur un réseau informatique, une liste d’adresses IPg […], sans qu’aucun lien entre ces adresses et des personnes physiques ne soit fait, ne constitu[ait] pas un traitement de données à caractère personnel”.

Arrêt non encore publié

Recommandation sur le traitement des données à caractère personnel dans le cadre de l’emploi

Le 1er avril 2015, le Conseil de l’Europe a adressé une recommandation énonçant les principes à suivre en matière de traitement des données à caractère personnel des employés et des candidats à un emploi dans les secteurs public et privé. La recommandation précise que les employeurs devraient veiller à éviter toute atteinte injustifiée et déraisonnable au droit au respect de la vie privée des employés sur leur lieu de travail. Elle prévoit ensuite des garanties pour assurer la protection des données et apporte des orientations relatives à leur collecte, à leur enregistrement ainsi qu’à leur communication par l’employeur. Enfin, elle énonce que les employés devraient avoir un droit d’accès, un droit de rectification et un droit d’opposition en cas d’inexactitude et/ou de violation du droit interne ou des principes énoncés dans la recommandation.

Pour lire la recommandation du Conseil de l’Europe