Autorisation de systèmes d’authentification par reconnaissance vocale à titre expérimental

Par neuf délibérations en date du 27 avril 2017, la CNIL a autorisé neuf établissements bancaires à mettre en œuvre de manière expérimentale, pour une durée d’un an et sur un périmètre restreint, un mécanisme d’authentification de leurs clients par la reconnaissance vocale. Les objectifs sont notamment de “sécuriser les opérations à distance de gestion de comptes faites par leurs clients tout en leur offrant une solution d’authentification plus confortable que la saisie d’un mot de passe ou la réponse à des questions dites « de sécurité »” et de “tester l’appétence des clients pour ce type de mécanisme, ainsi que la fiabilité de celui-ci”. La CNIL a noté que ces projets satisfaisaient à ses exigences en matière d’expérimentation, mais a toutefois mis en garde sur le fait que “les conditions dans lesquelles ces expérimentations [étaient] autorisées ne présage[aient] nullement de celles qui devraient être mises en œuvre en cas de pérennisation d’un tel dispositif”.

Pour lire le communiqué de presse de la CNIL

Publication de décrets relatifs aux compétitions de jeux vidéo

Le 10 mai 2017, ont été publiés au Journal officiel deux décrets d’application de la loi du 7 octobre 2016 pour une République numérique, fixant le cadre réglementaire relatif à l’organisation de compétitions de jeux vidéo et au statut des joueurs professionnels salariés de jeux vidéo compétitifs. Le premier décret, n°2017-871, exige que toute personne assurant l’organisation matérielle et le financement d’une telle compétition déclare sa tenue auprès du service du ministère de l’Intérieur chargé des courses et jeux "un an au plus et, sauf urgence motivée, trente jours au moins avant la date de début de la compétition". Ce décret précise en outre notamment les modalités de participation des mineurs aux compétitions de jeux vidéo. Le second décret, n°2017-872, définit les "conditions d’obtention de l’agrément requis pour employer des joueurs professionnels de jeu vidéo" ainsi que "les conditions d’obtention, de renouvellement et de retrait de cet agrément".

Pour lire les décrets n°2017-871 et n°2017-872 sur Légifrance

Manquement à l’obligation de délivrance conforme du prestataire informatique

Une société avait conclu un contrat de prestation de service au forfait en vue de la refonte de deux sites internet, dont le périmètre avait été réduit par la suite à un seul site. Après avoir refusé la livraison du site en l’état, l’estimant non conforme à ses demandes, la société a assigné le prestataire afin de voir prononcer la résolution judiciaire du contrat, ce dernier lui ayant enjoint d’accepter la livraison par la seule fourniture des codes sources et de confier la mise en production à un autre prestataire. Par un arrêt du 11 mai 2017, la Cour d’appel de Paris a rappelé que le prestataire était tenu à une obligation de résultat et que "la mise en production d’un site internet fait partie de l’obligation de délivrance conforme d’un tel produit", de telle sorte que "la proposition de fourniture des seuls codes sources, sous condition de paiement du solde du prix, ne pouvait (…) constituer une réponse valable aux réserves opposées au cours de la période de test et s’analys[ait] en une mesure de chantage, nécessairement illégitime". La Cour a ainsi prononcé la résolution judiciaire du contrat aux torts exclusifs du prestataire.

Arrêt non publié

Publicité en ligne et règles relatives aux cookies

Le 23 mai 2017, la CNIL a précisé les règles à respecter en matière de publicité en ligne suite aux contrôles menés par ses services auprès de treize émetteurs de cookies tiers. Ces contrôles ont permis d’identifier deux situations : celle où l’"éditeur détermine les moyens et finalités du traitement réalisé sur les données collectées grâce aux cookies externes (tiers) ou internes", et celle où l’émetteur de cookies tiers les détermine, visant en pratique le cas de l’émetteur déposant des cookies sur différents sites afin d’enrichir une base qu’il exploite. La CNIL, constatant que ces deux cas de figure s’appliquent souvent simultanément, estime que "la qualification de responsable de traitement et de sous-traitant s’effectue au cas par cas, par type et provenance de cookies", mais considère qu’il appartient dans tous les cas aux éditeurs de sites, "seuls en mesure de fournir une information directe sur les cookies déposés sur les terminaux des internautes (…) de mettre à leur disposition une information sur les groupes de cookies déposés et les moyens dont ils disposent pour s’y opposer". Elle rappelle toutefois que le cadre réglementaire est susceptible d’évoluer, la Commission européenne ayant annoncé un nouvel instrument pour fin 2017.

Pour lire le communiqué de la CNIL

Absence de caractère brutal de la rupture des relations commerciales et contexte économique

Une société qui réalisait depuis 12 ans des reportages photographiques pour la constitution des catalogues de vente à distance d’une société spécialisée dans la vente de vêtements a assigné sa cocontractante en rupture brutale de relations commerciales établies après que cette dernière a cessé toute commande auprès d’elle. Par un arrêt du 3 mai 2017, la Cour d’appel de Paris a confirmé le jugement de première instance, estimant que la défenderesse avait dans un premier temps notifié une rupture partielle des relations commerciales avec préavis de cinq mois, ce qui "apparai[ssait] suffisant eu égard à la nature de l’activité, à son caractère saisonnier, à l’ancienneté des relations et à l’absence de lien d’exclusivité". En outre, la Cour, s’appuyant sur le contexte économique ayant vu chuter la vente par catalogues, a rejeté le caractère brutal de la rupture "en ce qu’elle était prévisible (…) et par suite, ni soudaine ni violente", la société "ne pouva[n]t ignorer cette évolution (…), et ce d'autant que la diminution significative de son [propre] chiffre d'affaires [résultant de cette activité] (…) en était un signe annonciateur".

Arrêt non publié

Rapport final de la Commission européenne relatif à l’enquête sectorielle sur le commerce électronique

Le 10 mai 2017, la Commission européenne a publié les résultats de son enquête sectorielle sur le commerce électronique des biens de consommation et contenus numériques. S’agissant des biens de consommation, elle relève que “la croissance de ce type de commerce au cours des dix dernières années a eu un effet significatif sur les stratégies de distribution des entreprises et le comportement des clients”, en accroissant notamment la transparence et la concurrence des prix, entraînant “une présence accrue des fabricants au niveau du commerce de détail et (…) un recours plus fréquent à des accords ou à des pratiques concertées entre fabricants et détaillants (…), ce qui affecte la concurrence entre détaillants vendant la même marque”. S’agissant des contenus numériques, elle note que “des pratiques de concession de licences complexes se sont développées au fil du temps (…) [et que] les principaux problèmes de concurrence (…) concernent certaines restrictions contractuelles figurant dans des contrats de licence”, notamment en matière de blocage géographique et eu égard à la longue durée de ces contrats, ce qui peut “rendre plus difficile l’entrée de nouveaux acteurs sur le marché”.

Pour lire le rapport final de la Commission européenne

Interdépendance de trois contrats relatifs à un site internet et résolution judiciaire

Une société avait conclu successivement, auprès de trois sociétés différentes, un contrat de service, comprenant la réalisation d’un site internet, un hébergement et un nom de domaine, un contrat de location financière destiné à financer cette opération, et un contrat par lequel elle avait donné en location à un annonceur un espace publicitaire sur son site internet. Par un arrêt du 5 avril 2017, la Cour d’appel de Toulouse a considéré que les contrats de service et de location d’espace publicitaire étaient interdépendants, après avoir souligné que le gérant des deux sociétés cocontractantes était la même personne, et que “tant le montant du loyer pour le site que la durée du contrat correspond[ai]ent exactement à la redevance due par l’annonceur, de telle sorte que les mensualités prélevées au titre de la location de l’espace publicitaire devaient compenser les frais versés pour l’hébergement et la maintenance du site”. La résolution judiciaire du contrat de régie publicitaire prononcée par la Cour pour manquement grave consistant en l’absence de paiement des redevances a ainsi entrainé l’anéantissement du contrat de service et la caducité du contrat de location financière.

Arrêt non publié

Manquements de Facebook à la loi Informatique et Libertés

Par une décision du 27 avril 2017, la CNIL a condamné publiquement Facebook à une amende de 150 000 euros pour de multiples manquements aux obligations issues de la loi Informatique et Libertés. Elle a notamment relevé que le réseau social combinait “des données des inscrits à des fins de ciblage publicitaire” sans que leur consentement n’ait été donné de manière libre, spécifique et éclairée et alors qu’ils ne disposaient d’“aucun moyen (…) pour s’opposer à la collecte de ces informations et à leur combinaison, de sorte qu’ils ne [pouvaient] mettre fin au suivi massif dont ils [faisaient] l’objet”. En outre, elle a constaté qu’“un cookie datr était déposé sur le terminal des internautes non inscrits sur le site de Facebook, ce cookie permettant notamment, sans qu’ils en soient informés, de suivre et de collecter les données relatives à leur navigation sur des sites tiers, dès lors que ces derniers contiennent un module social Facebook”, de telle sorte que “ces données [n’étaient] pas collectées et traitées de façon loyale”.

Pour lire la délibération de la formation restreinte de la CNILloi

Condamnation pour vente de logiciels contrefaisants

Par un arrêt du 19 avril 2017, la Cour de cassation a confirmé la condamnation d’un prévenu qui avait été déclaré coupable en première instance et en appel pour “vente et détention de 13 653 logiciels Windows présentés sous une marque contrefaisante et au mépris des droits d’auteur”. La société éditrice reprochait notamment aux juges d’appel d’avoir évalué son préjudice matériel au regard du fait qu’elle concédait les logiciels contrefaits et commercialisés à des constructeurs pour être installés sur des ordinateurs neufs et qu’ils n’étaient pas transférables sur d’autres ordinateurs, contrairement aux logiciels sur la base desquels elle avait elle-même évalué son préjudice, plus chers de 25% mais transférables. La Cour a toutefois confirmé ce mode de calcul forfaitaire opéré par les juges d’appel, “dès lors que l'indemnisation n'était pas inférieure aux droits qui auraient été dus si l'auteur avait demandé l'autorisation d'utiliser le droit auquel il a porté atteinte“. La Cour a en revanche cassé l’arrêt en ce qu’il avait réduit l’indemnisation des préjudices extrapatrimoniaux de la société éditrice, “aggravant ainsi le sort de la partie civile, [pourtant] seule appelante”.

Pour lire l’arrêt sur Légifrance

Opposition à l’enregistrement d’une marque : absence d’effet dévolutif du recours contre une décision du directeur de l’INPI

Le titulaire d’une marque communautaire avait formé un recours en justice contre la décision par laquelle le directeur général de l’Institut national de la propriété industrielle (INPI) avait rejeté son opposition à l’enregistrement d’une marque semi-figurative. Par un arrêt du 26 avril 2017, la Cour de cassation a rejeté le pourvoi formé par le titulaire de la marque antérieure contre l’arrêt rendu par la Cour d’appel, à laquelle ce dernier reprochait d’avoir ignoré la notoriété de la marque au niveau international dans l’appréciation du risque de confusion, faute pour lui de s’en être prévalu dans la procédure devant l’INPI. En effet, la Cour a estimé qu’“aucune pièce destinée à démontrer la notoriété de la marque n’étant annexée à l’acte d’opposition, la cour d’appel, saisie d’un recours dépourvu d’effet dévolutif, n’était pas tenue d’examiner cet argument”.

Pour lire l’arrêt sur Légifrance