Veille juridique de février 2021 de Claire Sambuc

Publié le 04/03/2021 Vu 2 065 fois 0
Légavox

9 rue Léopold Sédar Senghor

14460 Colombelles

02.61.53.08.01

La juriste en droit des nouvelles technologies de l’information et de la communication (NTIC) Claire Sambuc, partage avec vous, toutes les actualités juridiques liées à ce domaine.

La juriste en droit des nouvelles technologies de l’information et de la communication (NTIC) Claire Sambuc,

Veille juridique de février 2021 de Claire Sambuc

DROIT DES CONTRATS

Manquement à l’obligation de résultat mais absence de résolution du contrat

Tribunal de commerce de Vienne, 21 janvier 2021

Une société avait commandé à une autre la fourniture d’un logiciel spécifique permettant d’automatiser un certain nombre de tâches pour sa gestion comptable et sociale. La version présentée par le prestataire comportait des dysfonctionnements. Le client a obtenu, moyennant une contrepartie financière, les codes sources du prestataire dans le but de confier la réalisation du logiciel à un autre développeur.

Le client a néanmoins assigné en justice le prestataire afin d’obtenir la résolution du contrat ainsi que des dommages et intérêts en indemnisation des préjudices subis.

Le tribunal a rappelé qu’en matière de logiciels spécifiques, le prestataire est tenu de délivrer un produit conforme aux spécifications détaillées dans le cahier des charges et est par conséquent soumis à une obligation de résultat à l’égard de son client.

En ce qui concerne la résolution du contrat, elle ne peut être prononcée que si la preuve est rapportée de l’existence de manquements suffisamment graves pour justifier qu’il soit mis un terme aux relations contractuelles entre les parties.

Le tribunal a conclu que les manquements ne sont pas suffisamment graves pour justifier une résolution du contrat liant les parties. Il a toutefois condamné le prestataire au paiement de dommages et intérêts pour avoir manqué à son obligation de résultat.

Contrat de licence de logiciel : cumul des responsabilités délictuelles et contractuelles

Cour d’appel de Paris, 15 janvier 2021 Un éditeur de logiciels avait conclu deux contrats avec deux entités juridiques distinctes d’un même groupe : un contrat de licence et maintenance pour la concession du droit d’utilisation de son progiciel et un contrat de services pour le paramétrage et le déploiement du progiciel adapté.

La société cocontractante a notifié la résiliation des deux contrats par une seule lettre de résiliation. Déboutée par la Cour d’appel sur le fondement du principe de non-cumul de responsabilités, l’arrêt a été cassé, le principe du non-cumul ne trouvait pas à s’appliquer, s’agissant de défendeurs distincts, bien qu’il y ait eu une seule lettre de résiliation.

Ainsi, a été prononcée la résiliation de deux contrats aux torts des deux sociétés du groupe, au titre de la responsabilité contractuelle sur le contrat de licence et de maintenance, et de celui de la responsabilité délictuelle pour rupture brutale du contrat de services.

BASE DE DONNEES

Pas de protection en l’absence de preuve d’investissements du producteur de la base

Cour d’appel de Paris, 15 janvier 2021

Pour la Cour d’appel de Paris, le producteur d’une base de données qui ne rapporte pas la preuve d’un investissement financier, matériel ou humain suffisant ne peut pas bénéficier d’u régime de protection des bases de données instauré par le code de propriété intellectuelle.

En l’espèce l’investissement à hauteur de 9% du chiffre d’affaire n’a pas été qualifié de substantiel. La preuve d’investissements matériels ou humains n’ayant pas été rapportée non plus. 

Extraction prohibée des annonces de Leboncoin.fr

Cour d’appel de Paris, 2 février 2021

La Cour d’appel de Paris confirme le jugement du TGI de Paris qui avait considéré que le site d’annonces Leboncoin.fr constitue une base de données et que son exploitant a la qualité de producteur de base de données.

Elle a également reconnu que Entreparticuliers.com avait procédé à l’extraction et la réutilisation non autorisées de parties substantielles de données du site Leboncoin.fr, quand bien même la reproduction s’est accompagnée d’un lien hypertexte vers le site d’origine.

Le site Leboncoin.fr, devenu le premier site de petites annonces en ligne notamment dans la catégorie « immobilier » avait constaté que le site Entreparticuliers.com reprenait les annonces de son site sans autorisation. Leboncoin l’a donc assigné en contrefaçon sur le fondement du droit d’auteur et du droit sui generis du producteur.

La Cour d’appel a reconnu, comme le TGI de Paris, que Leboncoin.fr avait la qualité de producteur de base de données. Leboncoin.fr justifie de moyens substantiels consacrés à la constitution, la vérification et la présentation de la sous-base de données « immobilier », l’autorisant ainsi à invoquer la protection accordée par le code de propriété intellectuelle. La cour reconnaît que Leboncoin a consenti des investissements liés à la constitution de son contenu, en termes techniques, de communication ou de stockage.

DONNEES PERSONNELLES

Le Conseil d’Etat valide le traitement de données sensibles des fichiers de renseignement

Conseil d’Etat, 4 janvier 2021

Le Conseil d’Etat a rejeté des recours en annulation contre des décrets autorisant le traitement de données sensibles dans le cadre de fichiers de renseignement. 

Le Conseil d’Etat a jugé que seules les données issues d'"activités susceptibles de porter atteinte à la sécurité publique ou à la sûreté de l’État" sont traitées. De plus, la sélection d’une catégorie particulière de personnes dans le traitement est prohibée.

Le Conseil d’Etat a ainsi conclu que cette collecte n'entraînait pas une "atteinte grave et manifestement illégale au droit au respect de la vie privée ou à la liberté d’opinion".

« Credential Stuffing » : la CNIL sanctionne

Formation restreinte de la CNIL, 27 janvier 2021

La CNIL a sanctionné un responsable de traitement et son sous-traitant pour manquement à leur obligation de sécurité.

 

Victime d’attaques par bourrage d’identifiants, crendential stuffing, la CNIL a considéré que la société aurait pu mettre en œuvre des mesures plus efficaces que le développement d’un outil de détection et de blocage des attaques lancées par robot. Elle aurait pu mettre en place la limitation du nombre de requêtes autorisées par adresse IP ou l’apparition de CAPTCHA. Elle a également reproché au sous-traitant de ne pas avoir suggéré de telles mesures.

Compteurs LINLY : clôture de la mise en demeure à l’encontre d’EDF

CNIL, 15 février 2021

Le 11 février 2020, une mise en demeure visant la société EDF avait été rendue publique par la Présidente de la CNIL. La mise en demeure concernait le traitement des données de consommation d’électricité collectées par la société dans le cadre des compteurs communicants Linky. 

Les services de la CNIL avaient constaté, suite à un contrôle, que le consentement des utilisateurs pour la collecte de leurs données de consommation à la demi-heure n’était ni spécifique ni suffisamment éclairé. 

La durée de conservation avait également été considérée comme excessive au regard des finalités pour lesquelles elles sont traitées.

La Présidente de la CNIL avait décidé de mettre en demeure la société de se conformer au RGPD sous un délai de trois mois. EDF a démontré que les manquements constatés avaient cessés. La société a ainsi mis en place un nouveau parcours de consentement et une nouvelle politique de conservation des données personnelles dont il ressort que les durées sont proportionnées aux finalités.

La Présidente de la CNIL a donc procédé à la clôture de cette mise en demeure le 15 février 2021.

Pas de droit à la protection des données pour les personnes morales

CJUE, 10 décembre 2020

Pour répondre à la question de l’interprétation de l’article 23.1 du RGPD, la Cour de justice de l’Union Européenne distingue strictement les informations afférentes aux personnes morales des données à caractère personnel. Seules ces dernières sont protégées par le droit de l’Union. Cette protection est donc réservée aux personnes physiques.

Dans cette affaire, le syndic de faillite d’une société de droit allemand avait demandé la communication de diverses données sur la société dans le cadre d’une possible procédure d’insolvabilité. L’administration fiscale allemande a opposé un refus. Le syndic a saisi le tribunal de ce refus.

L’affaire a été portée jusque devant la CJUE pour interpréter l’application de l’article 23.1 du RGPD. Elle conclue à son incompétence, et à l’absence d’intérêt manifeste à l’interprétation de ce texte puisque l’uniformité du droit de l’UE n’est pas en cause et précise « les informations afférentes aux personnes morales ne bénéficient pas d’une protection comparable à celle des personnes physiques en droit de l’Union ».

DROIT DES MARQUES

Refus de l’enregistrement d’un motif de surface à titre de marque

Cour d’appel de Paris, 8 janvier 2021

La Cour d’appel a approuvé la décision de l’INPI qui avait rejeté la demande d’enregistrement d’une marque figurative portant sur un motif de surface pour désigner des chaussures.

Pour la Cour, la marque était dépourvue de caractère distinctif, le motif se confondant avec l’aspect des produits.

Un dépôt de marque similaire à un nom de domaine n’est pas nécessairement fautif

Cour d’appel de Paris, 15 janvier 2021

Un dépôt de marque similaire au nom de domaine d’une société n’est pas constitutif de concurrence déloyale ou parasitaire lorsque le titulaire du nom de domaine ne rapporte pas la preuve que celui-ci était effectivement exploité.

La Cour a ajouté que l’inscription du signe sur le « Brand Registry » d’Amazon ne suffisait pas à établir la connaissance de l’usage antérieur par le déposant.

DROIT DE LA CONCURRENCE

Abus de position dominante : Google condamné à plus d’un million d’euros

Tribunal de commerce de Paris, 10 février 2021

En mars 2019, Google a modifié ses conditions générales supprimant de son service les services de renseignements téléphoniques de transfert et d’enregistrement d’appel sans rapporter d’éléments probants justifiant cette interruption de services. 

Cette nouvelle règle est concomitante au développement du service Google My Business et l’extension Click to Call.

Le tribunal de commerce de Paris commence par affirmer que Google se trouve bien en position dominante sur le marché de la publicité en ligne liée aux recherches. Les sociétés de renseignement téléphoniques n’ayant pas de notoriété propre doivent nécessairement passer par les services de Google Ads.

Le tribunal estime que Google « a un intérêt évident à éliminer toutes sociétés permettant une mise en contact téléphonique qui deviennent concurrentes à ses propres produits. La mise en place de cette règle doit donc être considérée comme une manœuvre anticoncurrentielle »

Pratique commerciale trompeuse : Google condamné à une amende de plus d’un million d’euros

Communiqué de la répression des fraudes, 15 février 2021

Pour la justice française, le fait pour Google d’avoir instauré son propre classement des hôtels en France, selon ses propres critères constitue un classement trompeur. Cette pratique est en effet encadrée en France et le seul classement officiellement autorisé est celui d’Atout France, une agence de développement touristique sous contrôle de l’Etat.

La DGCCRF, après avoir été saisie de “plaintes d’hôteliers dénonçant l’affichage sur Google d’un classement trompeur des hébergements touristiques”, avait ainsi contrôlé en 2019 et 2020 “la nature et la loyauté des informations délivrées par la plateforme”.

Selon ce communiqué, “les sociétés Google Ireland et Google France ont corrigé leurs pratiques et, après accord du procureur de la République de Paris, ont accepté de payer une amende de 1,1 million d’euros dans le cadre d’une transaction pénale”.

La pratique était dommageable tant pour les consommateurs qui étaient possiblement trompés sur le niveau de prestation auxquels ils pouvaient s’attendre mais aussi pour les hôteliers qui voyaient leurs établissements présentés à tort comme moins bien classés que dans le classement officiel d’Atout France.

LES AUTRES ACTUALITES JURIDIQUES

Un cade de l’entreprise Cdiscount aurait volé les informations personnelles de 33 millions de clients

Le cadre a été mis en examen pour « extraction frauduleuse de données contenues dans un système de traitement automatisé », d’ « abus de confiance » et d’ « escroquerie », accusé d’avoir volé les données personnelles de millions de clients et de les avoir proposées en téléchargement sur le darkweb.

Les services de cyber sécurité de Cdiscount ont découvert ce vol de données le 29 janvier et ont lancé des investigations internes permettant d’établir qu’il s’agissait « d’une action interne malveillante ».

Aucune donnée bancaire ne serait concernée, Cdiscount ne stockant pas ces informations. Les données concernées sont les noms, prénoms, sexe, date de naissance, adresse, numéro de téléphone et email du client.

Diffusion sur le web des données médicales de près de 500 000 français : rappels de la CNIL

Après les premières constatations de la fuite de données concernant les données médicales de près de 500 000 français, la CNIL a annoncé effectuer une série de contrôles pour déterminer d’éventuels manquements et rappelle aux responsables de traitement leurs obligations en cas de violation.

Les données concernant seraient issues d’une trentaine de laboratoires d’analyses médicales et sont des informations médicales donc des informations sensibles. Les données ont été diffusées sur un forum de discussion.

 

La CNIL n’aurait reçu aucune notification des entreprises concernées alors que cela est requis dans un délai de 72h, par le RGPD. En outre, lorsque la fuite de données est susceptible d’engendrer un risque élevé pour les droits et les libertés, les organismes responsables ont l’obligation d’informer individuellement les personnes concernées. L’affaire est d’une « gravité particulière » au regard du nombre de victimes et de la sensibilité des informations médicales diffusées.

De nouveaux délits pour appels à la haine, nouvelles obligations pour les plateformes

L’assemblée nationale a adopté dans la nuit du mercredi 10 février au jeudi 11 février les articles 18 à 20 du projet de loi « respect des principes de la république » plus couramment appelée projet de loi « séparatisme ». 

Ces articles prévoient de nouvelles obligations pour les plateformes et créent de nouveaux délits pour appels à la haine en ligne.

La loi prévoit un nouveau délit de « mise en danger de la vie d’autrui par la diffusion, dans un but malveillant, d’informations relatives à la vie privée ». Ce nouveau délit sera puni de trois ans d’emprisonnement et 45 000 euros d’amende.

L’article a été adopté à une large majorité avec 97 voix pour, 10 contre, et 9 abstentions. Toutefois il a fait l’objet de certaines critiques, un député a ainsi évoqué la création d’une « infraction d’intention ».

L’Assemblée nationale a aussi adopté l’article 20 prévoyant la possibilité de juger en comparution immédiate les appels à la haine tels que les injures racistes, sexistes, homophobes, négation de crime contre l’humanité,... Les journalistes sont exclus de cette procédure accélérée.

Par anticipation, sont également transposés des éléments du futur règlement européen Digital Services Act prévoyant un ensemble de responsabilités supplémentaires pour les plateformes. Les députés ont notamment adopté l’obligation pour ces entreprises d’avoir un représentant identifié en France de manière claire, ainsi que des obligations en matière de suivi des signalements faits à leurs services de modération.

 

Ces sociétés devront aussi communiquer au CSA le nombre de modérateurs pour les contenus publiés en France.

Représailles de Facebook face au projet de loi en Australie

Le projet de loi visant forcer les plateformes à rémunérer les médias pour la reprise de leurs contenus n’est pas du gout de Facebook.

Ce projet est censé régir les relations entre médias traditionnels en difficulté et les géants d’Internet qui captent la majorité des recettes publicitaires numériques.

Facebook a fait le choix de bloquer le partage d’articles d’informations en Australie. Ainsi, les éditeurs de presse ne peuvent plus partager ou publier de contenu sur leurs pages Facebook. Les utilisateurs australiens ne peuvent plus partager de publications d’actualité australienne ou internationale.

Plusieurs services de secours en Australie ont été affectés par le blocage du partage d’articles y compris les pages servant à alerter la population en cas de feux de brousse, de cyclone ou d’épidémie.

Google avait également menacé de suspendre ses services en Australie mais celui-ci a finalement un accord a été passé avec un groupe de média. Google a accepté de verser des « sommes significatives » en contrepartie des contenus de ces titres de presse qui apparaîtront sur sa plate-forme lancée en 2020, News Showcase.

Mardi 23 février, Facebook fait marche arrière et annonce la levée du blocage en Australie des contenus d’actualité « dans les prochains jours ». Un compromis aurait été trouvé entre le ministre australien des finances et le directeur général de Facebook Australia. Facebook annonce investir « au moins » un milliard de dollars lors des trois prochaines années pour soutenir l’industrie des médias. 

Facebook accusé d’avoir surestimé l’audience de ses campagnes publicitaires 

Facebook fait face à une action de groupe en justice lancée par une entreprise. L’audience potentielle (« Potential Reach ») des campagnes publicitaires a été gonflé à dessein et Facebook n’aurait pas cherché à rectifier la situation, pour ne pas perdre de revenus.

En effet, Facebook tire une très grande majorité de son chiffre d’affaires de la vente d’espaces publicitaires ciblés à des annonceurs. Les prix peuvent varier selon différents critères, dont le nombre d’utilisateurs susceptible de voir la campagne.

Les plaignants évoquent le fait que Facebook « savait que son Potential Reach était gonflé et trompeur »  (…) « le problème était largement causé par des faux comptes et des doublons ».

 

Pour sa défense, Facebook explique que le « Potential Reach est un outil de planification de campagne qui n’est pas jamais utilisé pour facturer les annonceurs ».

ACTUALITES – Réseaux sociaux & nouvelles technologies

Google annonce une nouvelle fonctionnalité pour lutter contre la désinformation

L’objectif annoncé par Google est de savoir si un site s’affichant dans ses résultats de recherche est une source fiable et lutter ainsi contre la désinformation.

La nouvelle fonctionnalité pourrait permettre d’accéder rapidement à quelques informations sur le site apparaissant dans la liste des résultats, sans avoir à effectuer une autre recherche.

L’utilisateur pourra voir s’afficher par exemple la date à laquelle le site a été indexé pour la première fois, donnée utile pour estimer la fiabilité. Des extraits Wikipédia pourraient également être affichés, si les sites en question ont des pages Wikipédia. 

Wikipédia adopte un code de conduite pour lutter contre les abus et la désinformation

Le conseil d’administration qui héberge l’encyclopédie a décidé de se doter d’un nouveau code de conduite.

Celui-ci interdit toute forme de harcèlement sur et en dehors du site. Les discours de haine, les insultes, les menaces sont proscrites.

Le texte interdit également l’introduction délibérée des fausses informations.

La cessation des activités de TikTok aux Etats Unis n’aura finalement pas lieu

Trump avait décelé une menace pour le territoire américain et avait décidé de forcer le réseau social chinois à céder ses activités américaines à des entreprises du pays, sans quoi le réseau social serait banni du territoire. Le rapprochement qui avait été opéré entre Oracle et la plateforme attendait validation de la part du gouvernement. La deadline pour la vente dépassée à plusieurs reprises, sans cessation des activités de TikTok aux USA, le nouveau président des USA aurait fait le choix de temporiser. L’accord d’hébergement conclu entre Oracle et TikTok est désormais « suspendu indéfiniment ». L’objectif pour le nouveau président est de réexaminer la politique commerciale de Trump vis-à-vis de la Chine avant de se prononcer et d’évaluer les risques pesant sur les données américaines.

Trump définitivement banni de Twitter

La décision de Twitter de bannir Donald Trump de sa plateforme est définitive et ne permettra pas à Donald Trump de revenir sur son réseau social.

Sur Facebook, ce cas sera tranché par « la Cour suprême » du réseau social.

Plus de 3 milliards de logins et mots de passe volés et mis en ligne : Gmail, Hotmail, Netflix et LinkedIn concernés.

Une base de données compilant près de 3 milliards d’identifiants et des mots de passes volés à la suite de fuites de données importantes ces dernières années a été diffusé sur le darkweb. Cette base de données a été baptisée « COMB » pour Compilation Of Many Breaches. Les identifiants et mots de passe en question sont liés à des comptes Gmail, Hotmail, Netflix et LinkedIn. Un outil a été mis en ligne pour vérifier si une adresse email fait partie de cette base. Vous le trouverez sur ce lien https://cybernews.com/personal-data-leak-check/

Attaque informatique d’ampleur touchant le logiciel Centreon

Une importante opération d’intrusion s’est déroulée entre 2017 et 2020 visant plusieurs entités françaises, dont des grandes entreprises et le gouvernement, via le logiciel Centreon. 

Les logiciels de Centreon, spécialisés dans la surveillance technique de réseaux, sont utilisés par des grands groupes du CAC40 et des institutions, comme Total, Thalès, Airbus ou encore le ministère de la justice.

Centreon a affirmé dans un communiqué qu’aucun client du groupe n’avait été impacté. 

 L’Anssi n’a pas formellement identifié les hackeurs mais elle indique que le mode opératoire rappelle le piratage SolarWinds aux Etats-Unis.

Nouvelles conditions générales de WhatsApp 

La nouvelle politique de confidentialité qui devait entrer en vigueur début février avait finalement été repoussée par WhatsApp, face au tollé que l’annonce avait provoqué. WhatsApp donne à nouveau des détails sur sa prochaine politique de confidentialité qui devrait être mise en place le 15 mai prochain.

Pour les utilisateurs souhaitant conserver le service mais en s’opposant à la nouvelle politique de confidentialité, WhatsApp durcit sa ligne.

L’application entend en effet bloquer l’accès à certaines fonctionnalités. Dans sa FAQ WhatsApp indique ainsi : « Pendant une courte période, vous serez en mesure de recevoir des appels et des notifications, mais vous ne pourrez ni lire ni envoyer de messages depuis l’application ».

Il sera donc impossible de continuer à utiliser WhatsApp en s’opposant à leur nouvelle politique. 

WhatsApp met également en garde ceux qui souhaiteraient supprimer leur compte. WhatsApp affirme que cette mesure serait irrévocable. L’application supprimerait définitivement l’historique des conversations et groupes. 

 

La date limite pour accepter la nouvelle politique est fixée au 15 mai 2021.

Plainte de Facebook contre Apple ?

Facebook accusant Apple d’utiliser l’App Store pour désavantager les développeurs tiers afin de favoriser ses propres services pourrait déposer une plainte antitrust contre Apple.

Les informations concernant ce dépôt de plainte n’ont pas été confirmées pour l’heure. 

En cause, le ciblage publicitaire qui devrait être rendu plus compliqué à : une nouvelle fonctionnalité oblige les développeurs à demander le consentement de l’utilisateur avant de pouvoir accéder à l’IDFA, l’identifiant responsable sur iOS permettant de personnaliser les publicités. 

Cette initiative est critiquée par Facebook, le réseau social générant ses revenus grâce à la publicité.

 

Vous avez une question ?

Posez gratuitement toutes vos questions sur notre forum juridique. Nos bénévoles vous répondent directement en ligne.

Publier un commentaire
Votre commentaire :
Inscription express :

Le présent formulaire d’inscription vous permet de vous inscrire sur le site. La base légale de ce traitement est l’exécution d’une relation contractuelle (article 6.1.b du RGPD). Les destinataires des données sont le responsable de traitement, le service client et le service technique en charge de l’administration du service, le sous-traitant Scalingo gérant le serveur web, ainsi que toute personne légalement autorisée. Le formulaire d’inscription est hébergé sur un serveur hébergé par Scalingo, basé en France et offrant des clauses de protection conformes au RGPD. Les données collectées sont conservées jusqu’à ce que l’Internaute en sollicite la suppression, étant entendu que vous pouvez demander la suppression de vos données et retirer votre consentement à tout moment. Vous disposez également d’un droit d’accès, de rectification ou de limitation du traitement relatif à vos données à caractère personnel, ainsi que d’un droit à la portabilité de vos données. Vous pouvez exercer ces droits auprès du délégué à la protection des données de LÉGAVOX qui exerce au siège social de LÉGAVOX et est joignable à l’adresse mail suivante : donneespersonnelles@legavox.fr. Le responsable de traitement est la société LÉGAVOX, sis 9 rue Léopold Sédar Senghor, joignable à l’adresse mail : responsabledetraitement@legavox.fr. Vous avez également le droit d’introduire une réclamation auprès d’une autorité de contrôle.