Validation par le Conseil d’Etat d’une sanction prononcée par la CNIL

Par une décision du 6 juin 2018, le Conseil d’Etat a validé la sanction pécuniaire de 25 000 € que la CNIL avait prononcée à l’encontre d’une société notamment pour manquement à son obligation d’information et de mise en œuvre d’un mécanisme d’opposition au dépôt de cookies sur les appareils des utilisateurs. Il a en effet relevé que “les éléments portés à la connaissance des utilisateurs du site (…) ne leur permettaient ni de différencier clairement les catégories de « cookies » susceptibles d’être déposés sur leur terminal, ni de s’opposer seulement à ceux dont le dépôt est soumis à leur consentement préalable, ni de connaître les conséquences, en termes de navigation sur le site, attachées à leur éventuelle opposition”.

Pour lire la décision du Conseil d’Etat

Le Conseil constitutionnel valide la loi adaptant la législation française au RGPD

Le 12 juin 2018 le Conseil constitutionnel a notamment décidé que si "le législateur [avait] fait le choix de modifier les dispositions de la loi du 6 janvier 1978 en y introduisant des dispositions dont certaines sont formellement différentes de celles du règlement, il n’en résult[ait] pas une inintelligibilité de la loi", et a ainsi écarté les arguments des sénateurs qui arguaient de l'inconstitutionnalité de la loi. Le Conseil s'est également prononcé sur l'emploi d'algorithmes “auto-apprenants” par l'administration, c’est-à-dire "susceptibles de réviser eux-mêmes les règles qu’ils appliquent, sans le contrôle et la validation du responsable du traitement", en lui interdisant de les utiliser "comme fondement exclusif d’une décision administrative individuelle". La loi relative à la protection des données personnelles a été promulguée le 20 juin 2018.

Pour lire la décision du Conseil constitutionnel

Précisions de la CJUE sur la notion de forme en droit des marques

Dans le cadre d’un litige opposant une société commercialisant des chaussures à semelles rouge qui reprochait à une société néerlandaise des actes de contrefaçon de sa marque, le juge néerlandais avait demandé à la CJUE de se prononcer sur la notion de “forme” au sens de l’article 3 §1 e) iii) du règlement 2008/95, qui exclut la protection en tant que marque des signés constitués exclusivement “par la forme qui donne une valeur substantielle au produit”. Par un arrêt du 12 juin 2018, la CJUE a jugé qu’“un signe consistant en une couleur appliquée sur la semelle d’une chaussure à talon haut (...) n’[était] pas constitué exclusivement par la forme" puisqu'il ne ressortait “ni de la directive 2008/95, ni de la jurisprudence de la Cour, ni du sens usuel de ce terme qu’une couleur en elle-même, sans délimitation dans l’espace, pourrait constituer une forme”.

Pour lire l’arrêt de la CJUE

Résiliation pour manquements du prestataire à ses obligations de conseil et de délivrance

Un GIE composé de cabinets de radiologie avait conclu avec un prestataire informatique un contrat de licence et de maintenance pour la mise en œuvre d’un progiciel. Se prévalant de graves dysfonctionnements, le GIE a assigné le prestataire en résiliation du contrat. Par un arrêt du 7 juin 2018, la Cour d’appel d’Aix-en-Provence a confirmé la résiliation aux torts exclusifs du prestataire pour manquements à son obligation de conseil et de délivrance, après avoir relevé des anomalies "imputables notamment à l'absence de tout schéma directeur dans l'installation, relevant de la seule compétence de l'éditeur de la solution (…), maître d'œuvre de sa mise au point et de son déploiement, ainsi qu'à une mauvaise appréciation par [le prestataire] des besoins de formation des utilisateurs sur le paramétrage".

Arrêt non publié

L’ARCEP publie son rapport sur l’état d’internet en France

Le 5 juin 2018, l’ARCEP a publié son rapport sur "l'état d'internet en France" qui se prononce sur la nécessité d’assurer la transition vers l'IPv6 compte tenu de la multiplication des objets connectés qui conduit à l’épuisement du stock d’adresses IPv4, l'importance de la neutralité du net, la nécessité d'adopter des critères fiables de mesures de la qualité de service d'internet mais également l'interconnexion et l'ouverture des terminaux.

Pour lire le rapport de l’ARCEP

Nouvelle condamnation d’un site internet pour vente de billets en ligne sans autorisation

Par un arrêt du 17 mai 2018, la Cour d’appel d’Aix-en-Provence a confirmé l’interdiction sous astreinte faite à l’éditeur d’un site internet proposant des services de vente et d’échange de billets d’accès à des manifestations sportives, de toute mise en vente ou offre de billets d’accès à des matches de football effectuée sans l’autorisation du club titulaire des droits d’exploitation sur ces matches, après avoir retenu le caractère habituel du service proposé. L’éditeur a également été condamné à verser au club 30.000 euros de dommages et intérêts au titre de son préjudice d’image.

Arrêt non publié

La CNIL prononce une sanction de 250.000 euros pour atteinte à la sécurité des données

Le 7 mai 2018, la CNIL a sanctionné une société sur le site internet de laquelle il était possible de consulter diverses factures contenant des données à caractère personnel en modifiant simplement l’identifiant desdites factures dans les adresses URL affichées dans la barre du navigateur. La CNIL a constaté un manquement à l'article 34 de la loi Informatique et Libertés relatif à l'obligation de sécurité des données personnelles, après avoir relevé que le site internet n’intégrait aucune fonctionnalité permettant de vérifier que le client s'était authentifié avant de pouvoir accéder à ces documents et constate. Elle a également souligné que "les risques liés à la divulgation de données personnelles ne sauraient être limités à une indexation de ces dernières par les moteurs de recherche ou à l’accès à l’espace client et à la modification de documents" mais comprennent aussi des "risques multiples parmi lesquels figure celui de faire l’objet d’un hameçonnage ciblé". Elle a ainsi condamné la société à une sanction pécuniaire de 250.000 euros.

Pour lire la délibération de la CNIL

L’administrateur d’une page Facebook coresponsable de traitement avec Facebook Ireland

Par un arrêt du 5 juin 2018, la CJUE, statuant sur une question préjudicielle du juge allemand dans le cadre d’un litige opposant une société spécialisée dans le domaine de l’éducation à une autorité régionale allemande de protection des données qui lui avait fait injonction de désactiver sa “page fan” hébergée sur Facebook, a jugé que la société, en tant qu’“administrateur d’une page fan hébergée sur Facebook (…), particip[ait], par son action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan” de sorte qu’elle devait être “qualifié[e] de responsable (…), conjointement avec Facebook Ireland, de ce traitement”.

Pour lire l’arrêt de la CJUE

Précisions sur le caractère trompeur de l’usage d’une marque

Une société de droit suisse contestait une décision par laquelle l’EUIPO avait rejeté sa demande de déchéance d’une marque de l’UE notamment fondée sur son usage trompeur. Par un arrêt du 18 mai 2018, après avoir rappelé que si “des modifications dans la composition d’un produit couvert par une marque [pouvaient] entraîner sa déchéance, celle-ci n’interviendra[it] toutefois que si la marque transmet[tait] une information inexacte sur la nature, la qualité ou la provenance dudit produit”, le Tribunal de l’UE a confirmé la décision de l’EUIPO. Il a notamment considéré que “la marque contestée ne véhicul[ait] pas de message clair concernant le produit en question ou ses caractéristiques”, de sorte qu’elle “ne constitu[ait] pas une désignation suffisamment précise pouvant être à l’origine d’une tromperie effective ou d’un risque suffisamment grave de tromper le consommateur”.

Pour lire l’arrêt du Tribunal de l’UE

Publication du décret d’application de la loi de transposition de la directive NIS

Le 23 mai 2018 a été promulgué le décret relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique, pris en application du Titre Ier de la loi du 26 février 2018 transposant la directive “Network and Information Security” (NIS). Il définit les opérateurs de services essentiels et fixe notamment leurs obligations en matière de sécurité des réseaux et systèmes d’information ainsi que celles des fournisseurs de service numérique. Ces dispositions sont entrées en vigueur le 26 mai 2018.

Pour lire le décret sur Légifrance