Données personnelles
CNIL : Sanction de darty pour « atteinte à la sécurité des données clients »
CNIL – 9 janvier 2018
La CNIL a infligé une sanction de cent mille euros à Darty pour « ne pas avoir suffisamment sécurisé les données de ses clients ». Un défaut de sécurité du formulaire permettant de contacter le service après-vente rendait librement accessible les données personnelles de ces clients. Près d’un million de fiches de demande au service client étaient accessibles, selon les constatations de la Commission.
Les données concernées étaient noms, prénoms, adresse postale, adresse de messagerie électronique, numéro de téléphone.
L’enseigne d’électroménager n’a pas réagi assez rapidement entre les deux contrôles de la CNIL. En effet, lors de son second contrôle, la CNIL a constaté que « les fiches des clients étaient toujours accessibles et que de nouvelles fiches avaient pu être crées pendant ce laps de temps ».
Cette sanction a été rendue publique. L’objectif de la CNIL étant de « sensibiliser les internautes » au danger pesant sur la sécurité de leurs données personnelles.
Les copies d’examen sont des données personnelles
CJUE 20 décembre 2017
La CJUE a affirmé dans cette affaire que « les réponses écrites fournies par un candidat lors d’un examen professionnel et les éventuelles annotations de l’examinateur relatives à ces réponses constituent des données à caractère personnel, au sens de cette disposition. »
Suite à un échec à un examen, un expert-comptable stagiaire avait introduit une réclamation pour contester les résultats de son examen. Face à ce rejet, celui-ci a introduit une nouvelle demande fondée sur la loi sur la protection des données. L’ordre des experts comptables a accédé à sa requête sauf en ce qui concerne sa copie d’examen, au motif qu’elle ne contenait pas de données à caractère personnel.
La notion de données personnelles est interprétée largement par la Cour : l’ordre des experts-comptables peut à partir du numéro d’identification sur la copie, identifier la personne. La Cour note également que les réponses reflètent le niveau de connaissance et de compétence du candidat, ses processus de réflexion, son jugement et son esprit critique.
Géolocalisation des salariés à des fins de contrôle du temps de travail : utilisation illicite des données personnelles
Conseil d’Etat 15 décembre 2017
Une société avait équipé les véhicules utilisés par ses salariés itinérants d’un outil de géolocalisation en temps réel. La CNIL avait procédé à un contrôle et avait mis en demeure la société de cesser la collecte des données issues du système de géolocalisation à des fins de contrôle du temps de travail. Le Conseil d’Etat a confirmé la décision de la CNIL en se basant sur l’article 6 de la loi informatique et libertés qui impose une collecte loyale et licite des données qui doivent être pertinentes, adéquates et non excessives par rapport aux finalités du traitement.
Le Conseil d’Etat a estimé que « l’utilisation par un employeur d’un système de géolocalisation pour assurer le contrôle de la durée du travail de ses salariés n’est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, fût-il moins efficace que la géolocalisation. En dehors de cette hypothèse, la collecte et le traitement de telles données à des fins de contrôle du temps de travail doivent être regardés comme excessifs au sens du 3° de l’article 6 de la loi du 6 janvier 1978. ».
Usurpation d’identité numérique
Cour d’appel de Paris 19 janvier 2018
Pour se venger d’un différend avec son ex cocontractant, un home s’était attaqué à la fille de de ce dernier en créant un site internet composé du nom et prénom de la jeune femme. Le site révélait en outre des données personnelles et invitait les internautes à dénoncer les entourloupes dont ils auraient été auteurs.
Une première ordonnance de référé avait condamné l’homme sur le fondement de l’usurpation d’identité numérique. L’homme avait demandé l’infirmation de l’ordonnance car il prétendait que le site avait été supprimé dans les jours suivants l’assignation.
En guise de preuve, l’homme avait fourni des captures d’écran mais pas de constat d’huissier. La cour a confirmé la décision du TGI de Paris car il ne fournissait aucune preuve tangible de la disparition du site. La Cour a ainsi considéré que «eu égard au caractère extrêmement attentatoire et calomnieux du site qui appelle à la vindicte et à la délation contre Mme X et son père en divulguant les adresses de leurs domiciles successifs, leurs coordonnées et diverses informations personnelles et au fait que ce site a été référencé par le moteur de recherche Google dans les résultats générés sous les nom et prénom de Mme X, il convenait en réparation de la nuisance subie de lui accorder, à titre provisionnel, une somme de 8.000 euros correspondant au montant de l’obligation non sérieusement contestable.»
Action en diffamation
TGI Paris 23 janvier 2018
La société Bolloré SA avait demandé la condamnation de deux journalistes du site lesinrocks.com sur le fondement de la diffamation. Le TGI de Paris a déclaré irrecevable la société Bolloré SA car elle n’avait pas la qualité pour agir.
Il s’agissait d’un article datant du 30 avril 2013 au sujet des soupçons de financement de la campagne de Nicolas Sarkozy par la Lybie du colonel Kadhafi.
Le texte incriminait la personne physique mais non la société.
Déréférencement
TGI Paris 1er décembre 2017
Une famille avait demandé au moteur de recherche Bing de désindexer 42 Urls dont le contenu était manifestement illicite. Devant le tribunal, ils avaient demandé aux sociétés Mricrosoft France et Microsoft Corp de déréférencer les Urls.
Pour le tribunal, les demandes sont sans objet car elles avaient été exécutées pendant le temps des renvois. Selon le TGI de Paris, Microsoft ayant déréférencé les url demandées pendant la procédure, il ne peut pas faire l’objet d’une condamnation et il ne doit pas davantage avoir à sa charge les dépens car « il n’est qu’intermédiaire technique et non l’auteur des contenus litigieux ».
Droit des contrats
Résiliation d’un contrat de fourniture de site internet aux torts du prestataire
Cour d’appel de Douai 14 décembre 2017
Les juges ont prononcé la résiliation du contrat de réalisation, hébergement et maintenance d’un site internet, aux torts du prestataire, pour manquement à ses obligations de référencement, de suivi commercial et de transmission d’une fiche de paramétrage.
Pour la Cour, la signature du procès-verbal valant reconnaissance de la conformité du site internet au cahier des charges et aux besoins du client ne devait pas priver le client de « la possibilité de formuler toute critique quant à la livraison du site en lui-même.»
