Données personnelles
Fichiers non identifiés « privés » sur le poste d’un salarié
CEDH 22 février 2018
Un employeur peut consulter les fichiers d’un salarié, en son absence, s’ils ne sont pas identifiés comme étant privés, a confirmé la CEDH dans son arrêt du 22 février 2018.
La CEDH s’appuie sur le principe selon lequel est toléré un usage personnel ponctuel et raisonnable de la messagerie et de l’internet, à condition que les informations à caractère privé soient identifiées comme telles.
Pour la Cour européenne, la Cour d’Appel d’Amiens confirmée par la Cour de cassation, n’avait pas excédé son pouvoir d’appréciation en statuant que l’employeur avait régulièrement ouvert les fichiers du salarié et licencié à juste titre. L’employeur avait licencié le salarié suite à la découverte sur le poste de travail du salarié en question un dossier « données personnelles » une fausse attestation en vue de l’obtention d’un logement mais aussi 1 562 fichiers pornographiques représentant 787 Mo.
L’employé avait saisi le conseil des prudhommes pour que son licenciement soit déclaré dénué de cause réelle et sérieuse.
Le conseil a cependant estimé que la décision de radiation était justifiée, et a jugé qu’il n’y avait pas atteinte à sa vie privée, les fichiers n’ayant pas été dûment identifiés comme « privé ».
Mise en demeure de la CNAMTS pour manquement à la loi Informatique et Libertés
Décision de la CNIL 8 février 2018
La Caisse Nationale d’Assurance Maladie des Travailleurs Salariés (CNAMTS) a fait l’objet d’une mise en demeure par la CNIL pour se conformer à la loi Informatique et Libertés. L’établissement public ne respectait pas la sécurité et la confidentialité des données et la CNIL lui reprochait ainsi de « multiples insuffisances ». L’établissement dispose de 3 mois pour se mettre en conformité concernant notamment « la pseudonymisation des données, les procédures de sauvegarde, l’accès aux données par les utilisateurs,…. »
Refus de la CNIL de destituer un Correspondant Informatique et Liberté (CIL) confirmé
Conseil d’Etat, 9 mars 2018
Un particulier reprochait à sa banque de ne pas avoir été suffisamment informé sur les risques qu’il prenait en empruntant auprès d’elle. Il estimait que le CIL n’avait pas respecté ses obligations en ne communiquant pas la liste complète de tous les traitements de données à la CNIL.
En effet, selon la loi Informatique et Libertés, le responsable de traitements est dispensé de ces déclarations auprès de la CNIL à condition d’avoir désigné un CIL. En cas de manquements à ses devoirs, la CNIL peut décharger le Cil de ses fonctions.
Dans cette affaire, la CNIL a communiqué la liste des traitements demandée mais n’a pas voulu destituer le CIL de ses fonctions car aucun élément ne permettait de constater que le CIL avait manqué à ses devoirs.
Le Conseil d’Etat a confirmé que la CNIL n’avait pas commis d’erreur manifeste d’appréciation en refusant de destituer de ses fonctions le CIL de la banque.
Vie Privée
Publication d’une décision de justice en ligne relative à une condamnation : atteinte à la vie privée
TGI Paris 14 février 2018
Dans cette affaire, une page internet faisait état de la condamnation pénale d’une personne en 2009 et 2011 pour commercialisation de médicaments sans autorisation de mise sur le marché, infraction à la réglementation sur la publicité et fraude fiscale. Ces décisions avaient été publiées sur le site de Légifrance mais de manière anonymisée.
L’auteur de la page internet avait reproduit les décisions en levant l’anonymat. L’auteur avait, de surcroit, publié ces informations dans une démarche malveillante, constituant ainsi une atteinte à sa vie privée. Le tribunal condamne ainsi l’auteur des propos à 2000 euros de dommages et intérêts pour atteinte à la vie privée. Le tribunal rappelle également que l’obligation d’anonymisation de la jurisprudence ne s’applique pas uniquement aux bases de données.
Droit des marques
Canal + et Canal internet : pas de risque de confusion
INPI 28 décembre 2017
Canal + avait formé une demande d’opposition à l’enregistrement de la marque « Canal Internet » pour des produits et services ayant trait aux logiciels, à l’internet et à l’éducation.
Canal + estimait que cette marque constituait une contrefaçon de sa marque qui portait sur des services similaires.
L’INPI rappelle que le risque de confusion doit s’apprécier globalement. Pour l’INPI, la présence du terme « Internet » opère une première distinction entre les signes. Il ajoute que la société Canal + ne propose pas de services liés aux logiciels, à l’internet et à l’éducation mais des services en matière d’audiovisuel et de médias. Ainsi pour l’INPI : « la seule reprise de la séquence Canal au sein du signe contesté ne saurait suffire à engendrer un risque de confusion ou d’association entre les signes qui, pris dans leur ensemble, présentent des différences visuelles, phonétiques et intellectuelles propres à les distinguer nettement ».
Refus d’enregistrement d’une marque de l’Union Européenne : défaut de motivation de l’EUIPO
Tribunal de l’UE, 8 mars 2018
L’EUIPO avait refusé l’enregistrement d’une marque figurative représentants deux symboles de devises en raison du caractère descriptif : le service proposé visait des opérations de change. Pour le Tribunal, « la caractéristique retenue par la chambre de recours n’était pas commune à tous les produits et services en cause ». Le Tribunal a ajouté « qu’il appartenait à la chambre de recours de fournir une motivation supplémentaire concernant les produits et les services qui n’étaient pas caractérisés par un lien avec des opérations de change ».
Droit des contrats
Manquement à l’obligation de délivrance du prestataire
Cour d’appel de Saint Denis de la Réunion 21 février 2018
Un prestataire informatique et une société avaient conclu un contrat de prestation de services en vue de l’élaboration et l’installation d’un logiciel informatique. La société cliente estimait que le logiciel livré était inexploitable et a donc assigné le prestataire en résolution du contrat, remboursement des sommes versées ainsi que des dommages et intérêts.
La Cour a prononcé la résolution du contrat aux torts du prestataire pour manquement à son « obligation de délivrance puisque la conception du logiciel installé n’a pas permis de remplir les objectifs détaillés dans le cahier des charges ». La Cour a également alloué au client 10 000 euros de dommages et intérêts au titre de la désorganisation de l’entreprise et l’immobilisation du prix payé.
Résiliation anticipée d’un contrat à durée déterminée : quid du paiement des échéances restantes ?
Cour d’Appel de Bordeaux 6 mars 2018
Une société avait résilié avant son terme un contrat à durée déterminée portant sur la conception d’un site extranet. Le prestataire a assignée la société en paiement des échéances restant dues jusqu’au terme du contrat, estimant que la résiliation était fautive.
La cour d’appel de Bordeaux a confirmé le jugement de première instance qui l’avait débouté de ses demandes au motif que « en cas de résiliation anticipée d’un contrat à durée déterminée, l’auteur n’a pas à verser le prix forfaitairement convenu pour l’exécution entière du contrat, mais des dommages-intérêts réparant un préjudice justifié ».
Encore plus d'actualités juridiques
Notifications de violations de données personnelles : lignes directrices du G29
Le G29 a adopté ses lignes directrices sur l’obligation de notification des violations de données à caractère personnel prévue aux articles 33 et 34 du RGPD. Le G29 a distingué trois catégories de violation : violation de la confidentialité, violation de l’intégrité et violation de la disponibilité des données, rapporte Claire Sambuc.
Concernant le point de départ du délai pour notifier la violation, il s’agit de la prise de connaissance de la violation par le responsable de traitement dès lors qu’il existe un “degré raisonnable de certitude qu’un incident compromettant les données personnelles a eu lieu”.
Projet de loi relatif aux données personnelles
Où en est-on ? Le projet de loi a été adopté à l’Assemblée nationale avec 505 voix pour. Il doit encore être examiné par le Sénat à partir du 20 mars.
Facebook : utilisation de données sensibles à des fins publicitaires
Une étude réalisée par des chercheurs de l’université de Madrid a démontré que Facebook utilisait des données sensibles de ses utilisateurs à des fins publicitaires, et sans le consentement de l’utilisateur, ça va de soi.
Facebook profilerait 73% des utilisateurs européens à leur insu selon des critères sensibles : orientation sexuelle, politique ou religieuse. Le profilage est mis à disposition des annonceurs qui peuvent alors envoyer leur publicité, explique C.SAMBUC, juriste dans les nouvelles technologies.
Les chercheurs se sont penchés sur ce sujet après que l’un d’eux ait reçu une publicité pour rejoindre une communauté gay alors qu'il n'avait jamais explicitement indiqué son orientation sexuelle à Facebook. Ces derniers ont déterminé à l’aide d’une extension de navigateur installée par des volontaires, sur quelle base le profilage est réalisé. Il est mis au point sans le consentement de l'utilisateur à partir des likes, des visites de pages, des commentaires postés, des partages,…
Ce profilage est donc clairement contraire aux exigences du RGPD : les utilisateurs ne donnent pas leur consentement, pierre angulaire du RGPD, et ce profilage ne répond à aucune exception possible au consentement (sauvegarde des intérêts vitaux, intérêt public,...).
Les chercheurs ont ainsi proposé le « Facebook Data Valuation Tool » une extension de navigateur qui estime en temps réel combien vous rapportez à Facebook avec les publicités ciblées…
Facebook dans la tourmente : données utilisées sans consentement de plus de 50 millions d’utilisateurs
L’affaire Cambridge Analytica : Facebook est soupçonnée d’avoir récupéré illégalement les données de 50 millions d’utilisateurs du réseau social, sans leur consentement, pendant la présidentielle américaine afin de permettre à un cabinet d’analyses de créer un logiciel afin d’améliorer la visibilité de la campagne électorale de Trump.
