Simplification du dispositif relatif à l’obligation d’utiliser des logiciels de caisse sécurisés et certifiés

Le 15 juin 2017, le Ministre de l’Action et des Comptes publics a annoncé vouloir simplifier le dispositif de la loi de finances de 2016 visant l’obligation pour les commerçants et autres professionnels assujettis à la TVA d’utiliser des logiciels de caisse, de comptabilité et de gestion sécurisés et certifiés, “face à l’inquiétude exprimée par les entreprises, notamment les plus petites d’entre elles, quant à [sa] mise en œuvre au 1er janvier 2018”. Le Ministre a notamment précisé que seuls seraient concernés par le dispositif les “logiciels et systèmes de caisse, principaux vecteurs des fraudes constatées à la TVA”, et que “la redéfinition du périmètre de l’obligation [permettrait] d’alléger la complexité induite, tant pour la mise en conformité initiale que pour le quotidien des entreprises”. Selon le communiqué de presse, cette modification fera l’objet de “mesures législatives d’ici la fin d’année, pour une entrée en vigueur du dispositif comme prévu au 1er janvier 2018”.

Pour lire le communiqué de presse du Ministre de l’Action et des Comptes publics

Vol de fichiers informatiques librement accessibles

Par un arrêt du 28 juin 2017, la Cour de cassation a confirmé la condamnation pour vol d’une personne qui avait effectué et récupéré des photographies de courriers reçus par son associée et secrètement édité des doubles de courriers rédigés par elle, qui étaient contenus dans des fichiers informatiques stockés sur les serveurs de leur société et auxquels il avait donc accès par le biais du système informatique de cette dernière sans avoir à entrer un quelconque code d’accès propre à son associée. En l’espèce, la Cour a souligné que la victime n'avait pas entendu donner à son associé la disposition de ces documents personnels, dont elle “avait seule, en tant que propriétaire, le pouvoir [de] disposer”, et que le prévenu les avait “consultés officieusement, ce, à l’insu et contre le gré de celle-ci, et à des fins étrangères au fonctionnement de [leur société]”. La Cour de cassation a ainsi affirmé que “le libre accès à des informations personnelles sur un réseau informatique d'une entreprise [n’était] pas exclusif de leur appropriation frauduleuse par tout moyen de reproduction”.

Pour lire l’arrêt sur Légifrance

Originalité et contrefaçon de logiciels

Par un arrêt du 6 juin 2017, la Cour d’appel de Bordeaux s’est prononcée sur les actes de contrefaçon de logiciels qu’une société reprochait à une autre société et à des personnes travaillant en son sein d’avoir commis. Elle a approuvé l’analyse des juges de première instance, dont “il ressort qu’il ne [s’agissait] pas de plusieurs logiciels indépendants mais de logiciels interdépendants dont [l’un d’eux était] un élément-clé car il [s’agissait] du moteur client serveur des [autres]”. Elle a estimé que le rapport d’expertise lui permettait de dire que l’auteur avait “procédé à des choix arbitraires”, et que le fait que l’un des logiciels soit un logiciel de billetterie fonctionnant en mode client serveur et ne puisse absolument pas fonctionner sans un autre était un “choix résultant d’un effort créatif révélateur de la personnalité de son auteur et qui [allait] au-delà de la simple mise en œuvre d’une logique automatique et contraignante”. S’agissant de la contrefaçon, la Cour a rappelé que “l’acte matériel répréhensible [visait] la duplication, la décompilation aux fins d’obtention du code source, l’utilisation sur écran d’ordinateur, l’adaptation illicite”, et l’a constatée en l’espèce.

Arrêt non publié

Clôture d’une mise en demeure pour mise en conformité avec la loi Informatique et Libertés

Par une décision du 14 juin 2017, la CNIL a clôturé la mise en demeure adressée à une société gérant un site de rencontres qui s’était, depuis réception de cette mise en demeure, mise en conformité avec la loi Informatique et Libertés. La société a en effet adressé divers courriers de réponse à la CNIL, permettant de relever qu’elle a pris de nombreuses mesures, notamment la mise en place d’une “procédure, via une case à cocher, pour recueillir le consentement des internautes pour le traitement des données sensibles”, l’inclusion “dans ses contrats avec les sous-traitants [d’]une clause énonçant l’obligation qui leur incombe d’assurer la sécurité physique des données” ou  encore la définition et la mise en œuvre d’une “durée de conservation des données proportionnée à la finalité du traitement”. La Présidente de la CNIL attire toutefois l’attention de la société sur “la nécessité de bien mettre en œuvre la mesure de blocage [qu’elle a annoncée]” s’agissant de la possibilité de “renseigner un nombre important de fois un mot de passe erroné sans que cela n’entraine une restriction d’accès au compte”.

Pour lire le communiqué de presse et la décision de la CNIL

Droit d’accès aux données d’une personne au bénéfice de son ayant droit

Le fils d’une victime d’accident de la circulation avait demandé à une compagnie d’assurance de lui donner accès aux traitements informatisés concernant les suites de l’accident et comportant des informations sur la victime. Insatisfait de la réponse apportée par l’assureur, il a saisi la CNIL d’une plainte, clôturée par cette dernière au motif que “le droit d’accès conféré aux personnes physiques [par la loi Informatique et Libertés] est un droit personnel qui ne se transmet pas aux héritiers”. Par un arrêt du 7 juin 2017, le Conseil d’État a estimé que “la seule qualité d’ayant droit d’une personne à laquelle se rapportent des données ne [conférait] pas la qualité  de “personne concernée” par  leur traitement”. Néanmoins, il a considéré que, le droit à réparation d’un dommage étant transmis aux héritiers, ceux-ci devaient “être regardés comme des “personnes concernées” au sens [de la loi Informatique et Libertés] pour l’exercice de leur droit d’accès aux données à caractère personnel concernant le défunt, dans la mesure nécessaire à l’établissement du préjudice que ce dernier a subi en vue de sa réparation et pour les seuls besoins de l’instance engagée”.

Pour lire l'arrêt du Conseil d'État

Absence de signature d’un procès-verbal de conformité d’un site Internet

Une formatrice en entreprise, estimant n’avoir pas bénéficié des prestations qui lui étaient dues aux termes d’un contrat de licence d’exploitation de site Internet conclu avec un prestataire informatique, avait cessé de payer ses mensualités. Par un arrêt du 13 juin 2017, la Cour d’appel de Versailles a jugé que le prestataire informatique ne pouvait exiger le paiement d’échéances dues au titre de la réception du site Internet en l’absence de signature par la cliente d’un procès-verbal de conformité. En l’espèce, le procès-verbal produit attestait “uniquement de la réception d’un espace d’hébergement destiné à accueillir le site à l’adresse mentionnée, mais il [n’attestait]  nullement  de  la  réalisation des autres prestations prévues au  bon  de commande”. Or, “la réception de l’espace d’hébergement ne peut être confondue avec la réception du site. Il n’y [avait] donc pas eu reconnaissance par [la cliente] de la conformité du site Internet au cahier des charges et à ses besoins”.

Arrêt non publié

Contrat de référencement de mots clés : charge de l’obligation de suppression des pages d’atterrissage

Suite à l’expiration d’un contrat de référencement de mots clés, une société avait été mise en demeure par sa prestataire de “supprimer de son site internet, en application des conditions générales de vente, les pages d’atterrissage qu’elle avait créées”, c’est-à-dire les pages sur lesquelles étaient redirigés les prospects une fois qu’ils avaient cliqué sur l’annonce. Par un arrêt en date du 22 juin 2017, la Cour d’appel d’Aix-en-Provence a rejeté les demandes de la prestataire car, “s’il subsistait, parmi les pages qu’elle avait créées et déposées sur [le] site internet [de sa cliente], des pages non effacées, la prestataire de ces services était la plus à même de les  identifier”, de sorte qu’elle ne pouvait reprocher à sa cliente “de n’avoir pas procédé à cette suppression”, “faute de justifier de ce qu’elle n’était pas en mesure de le faire et que seule sa cocontractante pouvait y parvenir”, et alors même qu’elle ne précisait pas quelles étaient les pages concernées et leur nombre.

Arrêt non publié

Validation par le Conseil d’État d’une sanction prononcée par la CNIL

Par un arrêt du 19 juin 2017, le Conseil d’État a validé la sanction pécuniaire de 50 000 € que la CNIL avait prononcée à l’encontre d’une société notamment pour manquement à ses obligations de sécurité et de confidentialité des données, suite à une mise en demeure de se conformer à la loi Informatique et Libertés restée sans effet. Le Conseil d’État a considéré comme étant proportionnée la sanction infligée à la société “eu égard à la nature, à la gravité et à la persistance des manquements constatés”. Si le Conseil d’État a confirmé que “la société n’avait pas, à l’expiration du délai fixé par la mise en demeure, remédié efficacement aux manquements constatés relatifs à la sécurité des données”, i l  a  affirmé qu’“en revanche la circonstance qu’il [avait] été postérieurement remédié au manquement fautif [pouvait] être prise en compte pour la détermination de la sanction”. Concernant la mesure de publication, le Conseil d’État a par ailleurs estimé que “la CNIL [devait] être regardée comme ayant infligé une sanction complémentaire excessive car sans borne temporelle”, et l’a limitée à deux ans.

Arrêt non publié

Commercialisation de certificats de signature électronique par des établissement publics

Plusieurs Chambres françaises de commerce et d’industrie (CCI) avaient fondé une association chargée d’établir un réseau de certification de signatures électroniques pour les entreprises et acteurs économiques. Une société commercialisant également des certificats de signature électronique, s’estimant victime de concurrence déloyale, sollicitait des CCI la cessation de toute activité de promotion et de commercialisation des certificats litigieux. Par une décision du 18 mai 2017, la Cour administrative d’appel de Paris a confirmé le jugement de première instance, rappelant que “le principe  de spécialité (…) interdi[sai]t à ces établissements d’exercer des activités extérieures à leur mission,  sauf si ces  activités constitu[ai]ent le complément normal de leur mission principale, et si elles [étaient] à la fois d’intérêt général et directement utiles à l’établissement”. Elle a considéré en l’espèce que les CCI, en assurant la promotion permanente de l’association et en percevant une rémunération, devaient “être regardées comme exerçant une activité de commercialisation de certificats de signature électronique”, ce qui ne pouvait constituer un complément normal de leur mission.

Pour lire l’arrêt sur Légalis.net

Prescription de la demande en nullité d’une marque pour déceptivité

Le titulaire d’une marque semi-figurative avait assigné une société en annulation de ses marques nominative et figurative, désignant des produits similaires, ainsi que de sa dénomination sociale sur le fondement de la déceptivité. Par un arrêt du 8 juin 2017, la Cour de cassation a confirmé l’arrêt rendu par la Cour d’appel de Bordeaux, qui avait déclaré comme prescrite la demande d’annulation de la marque nominative litigieuse sur le fondement de la déceptivité, relevant que “le fait que le vice de déceptivité, dont une marque [était] entachée, ne puisse être purgé ni par l'usage ni par le temps [n’était] pas de nature à rendre imprescriptible l'action, par voie principale, en nullité  de  la marque  fondée sur ce vice et [n’avait] pas pour effet de suspendre le délai de prescription tant que la marque demeur[ait] inscrite au registre national des marques”.

Pour lire l’arrêt sur Légifrance