DONNEES PERSONNELLES
Reconnaissance faciale : invalidation de l’expérimentation par le tribunal administratif
Tribunal administratif de Marseille, 27 février 2020
La région PACA avait lancé fin 2018 une expérimentation de contrôle d’accès par reconnaissance faciale dans deux lycées de Marseille et Nice.
Fédérations de Parents d’élèves et l’Association la quadrature du net avaient engagé un recours pour excès de pouvoir contre cette délibération devant le tribunal administratif de Marseille qui leur a donné gain de cause et a suivi le raisonnement de la CNIL qui s’était prononcé contre cette expérimentation par une délibération du 29 octobre 2019, rapporte la juriste installée à Marseille dans son actualité juridique.
Pour le tribunal comme pour la CNIL, ce dispositif n’apparaissait ni nécessaire, ni proportionné pour atteindre les finalités de fluidification et de sécurisation des contrôles d’entrée dans les lycées. D’autres moyens moins intrusifs, tels que les badges, pouvaient être employés.
Les données collectées par reconnaissance faciale constituent des données biométriques qui sont par principe interdites de traitement, selon l’article 9 du RGPD. Ce texte prévoit toutefois des exceptions, notamment si la personne concernée donne son consentement explicite. Or, le tribunal administratif de Marseille a estimé, que le recueil du consentement par la seule signature d’un formulaire alors que les personnes se trouvent dans une relation d’autorité face aux responsables d’établissement d’enseignement public, n’était pas une garantie suffisante.
Le tribunal a également jugé qu’en entamant cette expérimentation, la région avait excédé ses compétences conférées par le code de l’éducation dans la mesure où les missions d’encadrement des élèves relèvent de la compétence des chefs d’établissement, rapporte Claire S.
En Espagne, l’acquittement d’une personne innocentée devra apparaitre dans les premiers résultats de Google
Tribunal de l’audience nationale espagnole, 6 mars 2020
Un psychologue accusé d’agressions sexuelles et innocenté s’était vu refuser par Google ses demandes de déréférencement.
En première instance, en 2017, l’Agence espagnole de protection des données avait ordonné à Google de supprimer les articles de presse concernant le psychologue.
Dans son appel, Google estimait que ces informations étaient dans l’ « intérêt du public » et que les faits étaient relativement récents.
L’audience nationale s’est prononcée en faveur de la liberté d’expression et de l’intérêt légitime des utilisateurs d’internet d’avoir accès aux dites informations mais enjoint le moteur de recherche américain de faire apparaître l’acquittement d’une personne poursuivie en justice dans les premiers résultats des recherches la concernant.
DEREFERENCEMENT
Clôture du débat entre la CNIL et Google sur la portée géographique du droit au déréférencement
Conseil d’Etat, 27 mars 2020
Le débat est clos sur la question de la portée géographique du déréférencement qui opposait Google et la CNIL depuis près de 5 ans. Le Conseil d’Etat suit le cadre fixé par l’arrêt de la Cour de justice de l’Union européenne du 24 septembre 2019 et confirme l’impossibilité d’un droit au déréférencement mondial et général. Il ouvre toutefois la porte à une application mondiale qui devrait se faire au cas par cas.
En mars 2016, la CNIL avait prononcé à l’encontre de Google une sanction de 100 000 euros en raison de son refus d’appliquer le droit au déréférencement à l’ensemble des extensions de nom de domaine de son moteur de recherche. Saisi par Google, lequel estimait que le droit à l’oubli est un droit européen et ne doit pas avoir de portée mondiale, le Conseil d’Etat a sursis à statuer pour demander à la CJUE son interprétation du RGPD en matière de territorialité.
Le 24 septembre 2019, la CJUE considère qu’il n’existe pas un droit au déréférencement mondial consacré par le RGPD. Elle rappelle toutefois que les autorités des États membres restent compétentes pour effectuer, au regard des standards nationaux de protection des droits fondamentaux, une mise en balance entre le droit de la personne concernée au respect de sa vie privée et à la protection des données et le droit à la liberté d’information. Au terme de cette mise en balance, elle peut ainsi enjoindre à l’exploitant de ce moteur de recherche de procéder à un déréférencement portant sur l’ensemble des versions dudit moteur.
Le Conseil d’Etat sui le même raisonnement et annule la décision du 10 mars 2016 venant condamner Google, faute pour la CNIL d’avoir effectué cette mise en balance.
DENIGREMENT
Condamnation de Yuka pour dénigrement
Ordonnance de référé, 5 mars 2020, tribunal de commerce de Versailles
La publication sur le blog de Yuka d’un article intitulé « Halte aux emballages toxiques » donnant des informations sur les avantages et les inconvénients des emballages alimentaires notamment ceux en aluminium est constitutif de dénigrement et de pratiques commerciales déloyales. Il représente un trouble majeur pour les industriels des aliments, compte tenu de la notoriété de Yuka et ses 12 millions d’utilisateurs.
Le tribunal a ordonné dans une décision de référé la suppression des passages litigieux et a condamné Yuka.
Le tribunal estime que « la tonalité des propos contenus dans le blog manque de mesure par une généralisation abusive relative à tous les emballages dans lesquelles les aliments sont conservés ; que l’information transmise par l’article litigieux manque aussi de base factuelle suffisante, qu’elle se fonde sur une source unique ».
Le tribunal considère que ces propos sont constitutifs de dénigrement des industriels mis en cause, bien que les deux parties ne soient pas en situation de concurrence. Il rappelle que la divulgation d’une information de nature à jeter le discrédit sur un produit commercialisé par une partie sans lien de concurrence peut constituer un acte de dénigrement, à moins de remplir les conditions suivantes : que l’information se rapporte à un sujet d’intérêt général, qu’il repose sur une base factuelle suffisante, et qu’il s’exprime avec une certaine mesure.
DIFFAMATION
Rappel des règles du fait justificatif de bonne foi : légitimité du but poursuivi, absence d’animosité personnelle et prudence dans l’expression
Cour de cassation, chambre criminelle, 7 janvier 2020
La cour de cassation censure l’arrêt d’appel qui avait refusé au prévenu le bénéfice de la bonne foi.
Le canard enchainé avait été condamné pour un article estimé diffamatoire, la preuve de la vérité des faits n’étant pas apportée et la prudence nécessaire dans l’expression faisait défaut.
Pour la Cour de cassation, il ne pouvait être refusé au prévenu le bénéfice de la bonne fois aux motifs que l’article s’inscrivait dans un débat d’intérêt général et la légitimé du but poursuivi étant caractérisée.
Refus de l’exception de bonne foi écarté à tort
Cour de cassation, chambre criminelle, 7 janvier 2020
Un président de conseil départemental avait déposé plainte pour diffamation publique envers un fonctionnaire suite à la mise en ligne d’un commentaire d’un internaute sous un article.
La cour d’appel avait refusé au prévenu le bénéfice de la bonne foi. Pour la Cour de cassation, cette décision n’est pas justifiée. Les propos s’inscrivaient dans un débat d’intérêt général et reposait sur une base factuelle suffisante. Le prévenu n’étant pas un professionnel de l’information, il n’est pas tenu aux mêmes exigences déontologiques qu’un journaliste.
DROIT DES MARQUES
Caractère faiblement distinctif d’une marque et risque de confusion
Cour de justice de l’Union Européenne, 5 mars 2020
Le Règlement sur la marque de l’Union permet au titulaire d’une marque de former opposition à l’enregistrement d’une autre marque : « lorsqu’en raison de son identité ou de sa similitude avec la marque antérieure et en raison de l’identité ou de la similitude des produits ou des services que les deux marques désignent, il existe un risque de confusion dans l’esprit du public du territoire dans lequel la marque antérieure est protégée ».
Dans cette affaire, s’opposaient la marque « BBQLOUMI » à la marque antérieure « HALLOUMI » pour désigner toutes deux des produits de la classe 29 décrits sous l’intitulé « fromage ».
Le tribunal de l’UE avait conclu à l’absence de risque de confusion entre les deux marques en précisant que le faible caractère distinctif de la marque antérieure excluait un risque de confusion : « Le caractère distinctif de la marque antérieure en cause serait faible, le terme « halloumi » désignant, tout simplement, un type de fromage. Ce terme ne serait utilisé qu’en tant que nom générique pour un type de produit »
La Cour a annulé cette décision et a jugé que le Tribunal aurait dû examiner le risque de confusion de manière globale en raisonnant de la manière suivante :
La Cour a rappelé que le risque de confusion s’entend comme étant le risque que le public puisse croire que les produits ou les services visés par la marque antérieure et ceux visés par la marque demandée proviennent de la même entreprise ou, le cas échéant, d’entreprises liées économiquement.
Concernant la similitude visuelle, phonétique ou conceptuelle des marques en conflit, cette appréciation doit être fondée sur l’impression d’ensemble produite par celles-ci auprès du public pertinent.
Lorsque le caractère distinctif de la marque antérieure est important, une telle circonstance est de nature à augmenter le risque de confusion. Cela étant, l’existence d’un risque de confusion n’est pas exclue lorsque le caractère distinctif de la marque antérieure est faible.
DROIT DES BREVETS
Une machine peut-elle être qualifiée d’inventeur ?
Office européen des brevets, 27 janvier 2020
L’OEB répond clairement par la négative à cette question faisant suite à deux décisions de rejet de demande de brevet européen dans lesquelles un système d’intelligence avait été désigné en tant qu’inventeur.
Selon l’interprétation de l’OEB, les demandes ne remplissent pas l’exigence juridique selon laquelle un inventeur désigné dans une demande doit être un humain et non une machine.
De plus, pour exercer les droits conférés par la titularité du brevet, l’inventeur doit avoir une personnalité juridique, ce qui n’est pas le cas d’une machine.
COMPETENCE DU TGI
Diffamation et concurrence déloyale : compétence du TGI
Cour d’appel de Douai, 16 janvier 2020
L’action en concurrence déloyale relative à une affaire entre deux sociétés relève de la compétence du tribunal de commerce mais lorsque le tribunal judiciaire, est saisi dans un même litige sur ce fondement et parallèlement sur celui de la diffamation, compétence exclusive du TGI, les deux affaires liées peuvent être jugées ensemble par le TGI.
LES AUTRES ACTUALITES JURIDIQUES
Gendnotes, le fichier de la gendarmerie
Conçu comme un outil permettant aux gendarmes de prendre des notes directement sur un smartphone ou une tablette afin d’en améliorer la conservation et la transmission, le décret adopté le 20 février par le premier ministre et le ministre de l’intérieur autorise l’usage de cette « application mobile de prise de notes » par les militaires de la gendarmerie nationale.
Cette application est destinée à être utilisé « à l’occasion d’actions de prévention, d’investigations ou d’interventions nécessaires à l’exercice des missions de police judiciaire et administrative ».
Parmi les informations collectées, des informations dites sensibles peuvent l’être, à savoir des informations « relatives à la prétendue origine raciale ou ethnique, aux opinions politiques, philosophiques ou religieuses, à l’appartenance syndicale, à la santé ou à la vie sexuelle ou l’orientation sexuelle ».
C’est bien la collecte de ces informations sensibles qui suscite l’inquiétude des défenseurs des libertés individuelles selon lesquels cette application faciliterait le fichage politique et puisse être croisé avec d’autres fichiers.
Le décret précise, en guise de garde-fous, que ces données ne peuvent être collectées que si elles sont « strictement nécessaires, adéquates et non excessives au regard des finalités poursuivies » et ne peuvent être enregistrées que dans les zones de « commentaires libres », ce qui signifie qu’il n’est pas possible de sélectionner ou présélectionner une catégorie de personne à partir de ces informations sensibles.
Outre les informations sensibles, des photographies de la personne peuvent être intégrées à l’outil. La CNIL précise que cet outil de notes virtuelles n’est pas en mesure d’effectuer une reconnaissance faciale. Ceci étant, le transfert vers d’autres fichiers étant possible, la reconnaissance faciale n’est pas complétement impossible.
Quant à la durée de conservation des données, elle est prévue pour trois mois et la durée maximale de conservation est d’un an. Cependant, la durée de conservation des données relatives à l’enregistrement lui-même (auteur, date, heure, motif de l’opération...) est de 6 ans.
Ce qui pose également problème est le fait que ça soit les gendarmes eux-mêmes qui jugent de la « nécessité » ou de « l’adéquation » de la collecte d’information en procédant eux-mêmes à la collecte.
Bien que le traitement ait été validé par la CNIL, la collecte peut être une menace pour les libertés fondamentales, le risque étant que les gendarmes procèdent à une collecte « de précaution ».
Quant aux destinataires des informations ils sont plusieurs à figurer parmi la liste : les militaires de la gendarmerie nationale, les autorités judiciaires mais aussi les autorités administratives comme le préfet ou le maire. Le fait que la séparation entre les missions judiciaires et administratives ne soit pas bien délimitée est problématique. De plus, l’outil GendNotes étant réservé aux gendarmes, la transmissions aux autorités administratives se fera en dehors de cette application. Or, étant donné le caractère sensible des informations transmises, la CNIL réclamait des mesures suffisantes garantissant la confidentialité et la sécurité des données. Malheureusement, ces mesures n’ont pas été précisées.
La CNIL pourra être amenée à contrôler la mise en œuvre de ce traitement.
Vers une surveillance permise par le « big data » pour lutter contre la pandémie due au coronavirus ?
Selon des chercheurs d’Oxford, une application de suivi de la population pourrait contribuer à lutter contre la pandémie : puisque le virus se propage avec les déplacements des populations, utiliser les données personnelles générées par nos smartphones lors de nos déplacements pourrait aider à savoir comment le virus progresse et savoir s’il faut se mettre en quarantaine.
L’application permettrait, si une personne est testée positive, d’alerter toutes les personnes qui ont été en contact rapproché avec lui.
Aucun projet de ce type n’est aujourd’hui à l’étude en France mais plusieurs pays ont déjà recours au traçage et à la surveillance des données personnelles dans ce but. En Chine par exemple, chaque utilisateur disposait d’un code-barre de trois couleurs déterminant si la personne était libre d’aller et venir ou si elle devait rester confinée.
En théorie, il est possible selon le droit européen de recueillir ces données pour l’état en justifiant d’une réalisation d’une mission d’intérêt public ou la sauvegarde des intérêts vitaux mais à condition que les données obtenues soient parfaitement protégées, ne fassent l’objet d’aucun partage et soient supprimés rapidement. Cette perspective inquiète d’ores et déjà certaines associations comme la quadrature du net qui indiquent que « le gouvernement doit résister à toute fuite en avant sécuritaire » et « s’engager à faire immédiatement la transparence sur toutes les mesures de surveillance de la population mises en œuvre pour lutter contre la propagation du Covid-19 ».
De même, pour le défenseur des droits Jacques Toubon, sur le sujet de la géolocalisation des patients atteints du coronavirus rappelle que « nous vivons dans notre démocratie sur un État de droit, qui comporte un certain nombre de droits fondamentaux ». Pour lui, un débat au sein du comité scientifique est nécessaire : « Il faut voir d'un côté ce que sont les exigences des libertés et de l'autre côté quel est le bénéfice de cette mesure de géolocalisation ».
Coronavirus : la commission européenne réclame des données d’opérateurs téléphoniques pour vérifier l’effet des consignes de confinement
Bruxelles a demandé aux opérateurs de fournir des données statistiques afin de vérifier si les consignes de confinement sont appliquées et combattre la pandémie. En France c’est l’opérateur Orange qui a été choisi.
L’idée est « d’analyser la densité de population dans le temps pour voir le lien entre les mesures de confinement et la propagation du virus, avec comme objectif clair d’anticiper les pics de contamination ».
Les données n’ont pas encore été fournies et les travaux statistiques n’ont donc pas commencé.
Concernant son adéquation à la législation en matière de protection des données personnelles il apparait que ces données sont des statistiques agrégées, non nominatives et anonymes. Il s’agit d’un traitement purement statistique non accompagné d’identifiants. L’échelle retenue n’est donc pas l’échelle individuelle mais celle d’un code postal.
La commission européenne sera toutefois soumise au contrôle de l’autorité de protection des données des institutions européennes, le Contrôleur européen de la protection des données (CEPD).
Certains dispositifs mis en œuvre par exemple en Corée du Sud ou à Taiwan vont encore plus loin, les données téléphoniques permettant aux autorités d’identifier les personnes ne respectant pas les mesures de confinement et les sanctionner.
Suite à la demande de Bruxelles, l’analyse statistique d’Orange a démontré que plus d’un million de franciliens ont quitté la région parisienne en une semaine soit 17% des habitants de la métropole du Grand Paris entre le 13 et le 20 mars.
Orange assure transmettre à ses partenaires (notamment Inserm et AP-HP) des agrégats statistiques et non des données individuelles « identifiantes ». Ces données ne permettraient pas de localiser les individus mais permettrait de savoir combien de personne se trouvent dans cette portion de territoire à une date donnée pour déterminer l’évolution de la population sur ces territoires.
Orange assure respecter le droit des données personnelles dans la mesure où une identification des abonnés est impossible. L’intérêt réside dans le fait de pouvoir anticiper d’éventuels futurs foyers de contamination.
L’envoi par le Gouvernement de SMS à la population est légal
La CNIL a confirmé la légalité des SMS envoyés par le Gouvernement visant à rappeler les consignes de sécurité à appliquer pour lutter contre la propagation du Covid-19.
L’article L.33-1 du Code des postes et des communications électroniques impose aux opérateurs de télécommunications de relayer les communications des autorités auprès de leurs abonnés en cas de danger imminent ou de catastrophe majeure.
Ce sont les opérateurs ont envoyé le message à leurs abonnées. Aucun numéro de téléphone n’a été transmis au Gouvernement.
Données personnelles de millions d’utilisateurs de l’appli « Whisper »
Des données concernant 900 millions de comptes étaient librement accessible, sans mots de passe. Une partie des comptes appartiennent à des mineurs.
Cette application permettait de publier des messages de manière anonyme. La base de données des utilisateurs contenant des informations personnelles telles que l’âge, la localisation, le pseudonyme ou l’orientation sexuelle, a été laissée en ligne pendant plusieurs années. Elle n’est aujourd’hui plus accessible.
Apple condamné à une amende inédite en France de plus d’un milliard d’euros pour pratiques anticoncurrentielles
Il s’agit de la plus importante sanction jamais infligée à une entreprise par l’Autorité française de la concurrence.
Le lundi 16 mars, Apple a été condamné à payer une amende inédite en raison de pratiques anticoncurrentielles vis-à-vis de certains revendeurs de ses équipements informatiques en France.
« Apple et ses deux grossistes se sont entendus pour ne pas se faire concurrence et empêcher les distributeurs de faire jouer la concurrence entre eux, stérilisant ainsi le marché de gros des produits Apple », dénonce la présidente du régulateur. Il est donc reproché une entente illicite et un abus de dépendance économique vis-à-vis des revendeurs.
Le groupe a déjà annoncé faire appel de la décision.
Criteo visé par une enquête de la CNIL
Spécialiste du ciblage publicitaire, la CNIL enquête sur l’opacité des pratiques commerciales. Il est également reproché à Criteo de ne pas respecter la réglementation en matière de RGPD et notamment le non-respect de l’obligation de recueillir le consentement des internautes à l’utilisation de leurs informations personnelles.
La ville de Marseille et la métropole Aix-Marseille-Provence touchées par une attaque informatique
Un rançongiciel s’est répandu dans les systèmes informatiques de la mairie de Marseille et de la métropole d’Aix-Marseille-Provence la nuit du vendredi 13 mars. Un virus a rendu illisibles les données et a paralysé les systèmes informatiques, réclament une rançon pour les déverrouiller.
L’attaque a touché le système informatique de transmission des procurations vers les bureaux de vote et a eu lieu à quelques heures du scrutin. Malgré l’attaque, le site Internet de la ville a fonctionné normalement dimanche soir.
Une enquête a été ouverte et confiée à l’unité spécialisée en cybercriminalité de la police nationale.
Les hôpitaux de l’AP-HP visés par une brève attaque informatique
En pleine crise de Coronavirus, une attaque brève a frappé l’Assistance Publique des hôpitaux de Paris, le dimanche 22 mars. L’attaque qui a duré une heure a été déjouée et n’a pas atteint les infrastructures. Une enquête pour piratage informatique contre un système informatique de l’Etat a été ouverte par le parquet de Paris.
Juriste Claire Sambuc