Veille juridique de janvier 2018, Claire SAMBUC

Publié le Modifié le 01/02/2019 Vu 1 428 fois 0
Légavox

9 rue Léopold Sédar Senghor

14460 Colombelles

02.61.53.08.01

Veille juridique du mois de janvier 2018. Bonne lecture .

Veille juridique du mois de janvier 2018. Bonne lecture .

Veille juridique de janvier 2018, Claire SAMBUC

Données personnelles

CNIL : Sanction de darty pour « atteinte à la sécurité des données clients »

CNIL – 9 janvier 2018

La CNIL a infligé une sanction de cent mille euros à Darty pour « ne pas avoir suffisamment sécurisé les données de ses clients ». Un défaut de sécurité du formulaire permettant de contacter le service après-vente rendait librement accessible les données personnelles de ces clients. Près d’un million de fiches de demande au service client étaient accessibles, selon les constatations de la Commission.

Les données concernées étaient noms, prénoms, adresse postale, adresse de messagerie électronique, numéro de téléphone.

L’enseigne d’électroménager n’a pas réagi assez rapidement entre les deux contrôles de la CNIL. En effet, lors de son second contrôle, la CNIL a constaté que « les fiches des clients étaient toujours accessibles et que de nouvelles fiches avaient pu être crées pendant ce laps de temps ».

Cette sanction a été rendue publique. L’objectif de la CNIL étant de « sensibiliser les internautes » au danger pesant sur la sécurité de leurs données personnelles.

Les copies d’examen sont des données personnelles

CJUE 20 décembre 2017

La CJUE a affirmé dans cette affaire que « les réponses écrites fournies par un candidat lors d’un examen professionnel et les éventuelles annotations de l’examinateur relatives à ces réponses constituent des données à caractère personnel, au sens de cette disposition. »

Suite à un échec à un examen, un expert-comptable stagiaire avait introduit une réclamation pour contester les résultats de son examen. Face à ce rejet, celui-ci a introduit une nouvelle demande fondée sur la loi sur la protection des données. L’ordre des experts comptables a accédé à sa requête sauf en ce qui concerne sa copie d’examen, au motif qu’elle ne contenait pas de données à caractère personnel.

La notion de données personnelles est interprétée largement par la Cour : l’ordre des experts-comptables peut à partir du numéro d’identification sur la copie, identifier la personne. La Cour note également que les réponses reflètent le niveau de connaissance et de compétence du candidat, ses processus de réflexion, son jugement et son esprit critique.

Géolocalisation des salariés à des fins de contrôle du temps de travail : utilisation illicite des données personnelles

Conseil d’Etat 15 décembre 2017

Une société avait équipé les véhicules utilisés par ses salariés itinérants d’un outil de géolocalisation en temps réel. La CNIL avait procédé à un contrôle et avait mis en demeure la société de cesser la collecte des données issues du système de géolocalisation à des fins de contrôle du temps de travail. Le Conseil d’Etat a confirmé la décision de la CNIL en se basant sur l’article 6 de la loi informatique et libertés qui impose une collecte loyale et licite des données qui doivent être pertinentes, adéquates et non excessives par rapport aux finalités du traitement.

Le Conseil d’Etat a estimé que « l’utilisation par un employeur d’un système de géolocalisation pour assurer le contrôle de la durée du travail de ses salariés n’est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, fût-il moins efficace que la géolocalisation. En dehors de cette hypothèse, la collecte et le traitement de telles données à des fins de contrôle du temps de travail doivent être regardés comme excessifs au sens du 3° de l’article 6 de la loi du 6 janvier 1978. ».

Usurpation d’identité numérique

Cour d’appel de Paris 19 janvier 2018

Pour se venger d’un différend avec son ex cocontractant, un home s’était attaqué à la fille de de ce dernier en créant un site internet composé du nom et prénom de la jeune femme. Le site révélait en outre des données personnelles et invitait les internautes à dénoncer les entourloupes dont ils auraient été auteurs.

Une première ordonnance de référé avait condamné l’homme sur le fondement de l’usurpation d’identité numérique. L’homme avait demandé l’infirmation de l’ordonnance car il prétendait que le site avait été supprimé dans les jours suivants l’assignation.

En guise de preuve, l’homme avait fourni des captures d’écran mais pas de constat d’huissier. La cour a confirmé la décision du TGI de Paris car il ne fournissait aucune preuve tangible de la disparition du site. La Cour a ainsi considéré que «eu égard au caractère extrêmement attentatoire et calomnieux du site qui appelle à la vindicte et à la délation contre Mme X et son père en divulguant les adresses de leurs domiciles successifs, leurs coordonnées et diverses informations personnelles et au fait que ce site a été référencé par le moteur de recherche Google dans les résultats générés sous les nom et prénom de Mme X, il convenait en réparation de la nuisance subie de lui accorder, à titre provisionnel, une somme de 8.000 euros correspondant au montant de l’obligation non sérieusement contestable.»

Action en diffamation

TGI Paris 23 janvier 2018

La société Bolloré SA avait demandé la condamnation de deux journalistes du site lesinrocks.com sur le fondement de la diffamation. Le TGI de Paris a déclaré irrecevable la société Bolloré SA car elle n’avait pas la qualité pour agir.

Il s’agissait d’un article datant du 30 avril 2013 au sujet des soupçons de financement de la campagne de Nicolas Sarkozy par la Lybie du colonel Kadhafi.

Le texte incriminait la personne physique mais non la société.

Déréférencement

TGI Paris 1er décembre 2017

Une famille avait demandé au moteur de recherche Bing de désindexer 42 Urls dont le contenu était manifestement illicite. Devant le tribunal, ils avaient demandé aux sociétés Mricrosoft France et Microsoft Corp de déréférencer les Urls.

Pour le tribunal, les demandes sont sans objet car elles avaient été exécutées pendant le temps des renvois. Selon le TGI de Paris, Microsoft ayant déréférencé les url demandées pendant la procédure, il ne peut pas faire l’objet d’une condamnation et il ne doit pas davantage avoir à sa charge les dépens car « il n’est qu’intermédiaire technique et non l’auteur des contenus litigieux ».

Droit des contrats

Résiliation d’un contrat de fourniture de site internet aux torts du prestataire

Cour d’appel de Douai 14 décembre 2017

Les juges ont prononcé la résiliation du contrat de réalisation, hébergement et maintenance d’un site internet, aux torts du prestataire, pour manquement à ses obligations de référencement, de suivi commercial et de transmission d’une fiche de paramétrage.

Pour la Cour, la signature du procès-verbal valant reconnaissance de la conformité du site internet au cahier des charges et aux besoins du client ne devait pas priver le client de « la possibilité de formuler toute critique quant à la livraison du site en lui-même.»

Claire SAMBUC

Vous avez une question ?

Posez gratuitement toutes vos questions sur notre forum juridique. Nos bénévoles vous répondent directement en ligne.

Publier un commentaire
Votre commentaire :
Inscription express :

Le présent formulaire d’inscription vous permet de vous inscrire sur le site. La base légale de ce traitement est l’exécution d’une relation contractuelle (article 6.1.b du RGPD). Les destinataires des données sont le responsable de traitement, le service client et le service technique en charge de l’administration du service, le sous-traitant Scalingo gérant le serveur web, ainsi que toute personne légalement autorisée. Le formulaire d’inscription est hébergé sur un serveur hébergé par Scalingo, basé en France et offrant des clauses de protection conformes au RGPD. Les données collectées sont conservées jusqu’à ce que l’Internaute en sollicite la suppression, étant entendu que vous pouvez demander la suppression de vos données et retirer votre consentement à tout moment. Vous disposez également d’un droit d’accès, de rectification ou de limitation du traitement relatif à vos données à caractère personnel, ainsi que d’un droit à la portabilité de vos données. Vous pouvez exercer ces droits auprès du délégué à la protection des données de LÉGAVOX qui exerce au siège social de LÉGAVOX et est joignable à l’adresse mail suivante : donneespersonnelles@legavox.fr. Le responsable de traitement est la société LÉGAVOX, sis 9 rue Léopold Sédar Senghor, joignable à l’adresse mail : responsabledetraitement@legavox.fr. Vous avez également le droit d’introduire une réclamation auprès d’une autorité de contrôle.