Technologies de l’Information et Données Personnelles

 

1. Condamnation d’une plateforme de livraison de repas pour non-respect des dispositions du RGPD

La société Nestor est spécialisée dans la préparation et la livraison de repas à destination d’employés de bureau. En mai 2019, suite à des plaintes déposées par quatre individus non clients de la société pour avoir reçu des courriels de prospection de la part de la société sans leur consentement préalable, la CNIL a procédé d’abord à des contrôles en ligne puis dans les locaux de la société. Par la suite, un rapporteur a été nommé pour qu’il instruise l’affaire.

Durant les différentes procédures, la CNIL a constaté plusieurs manquements concernant le traitement de données personnelles de prospects et de clients.

– manquement relatif à l’obligation de recueillir consentement des personnes concernées lors d’une prospection par courriel. En effet, la société a contacté les personnes concernées en reconstituant leur adresse de courriel à partir des informations accessibles sur internet. De plus, pour les personnes qui s’inscrivaient sur le site, aucune procédure n’était prévue pour recueillir le consentement avant prospection. Pourtant, des messages de prospection étaient bien envoyés à partir des informations données par le client. Cette pratique a d’ailleurs été corrigée par la société, avant la clôture de l’instruction. 

– manquement relatif à l’obligation d’informer des personnes. En effet, le formulaire de collecte de données ne comportait pas l’ensemble des informations exigées par les articles 12 et 13 du RGPD. De même, la politique de confidentialité des données n’était pas satisfaisante au regard des exigences réglementaires. Ce défaut a aussi été corrigé par la société aux cours de la procédure. 

– manquement relatif à l’obligation de respecter le droit d’accès des personnes. Sur les quatre personnes qui ont déposé plainte à la CNIL, deux d’entre elles avaient demandé un droit d’accès à leurs données. Dans les deux cas, la réponse de la société n’était pas satisfaisante au regard des dispositions du RGPD. Ainsi, la CNIL a enjoint la société de satisfaire pleinement aux demandes de ces personnes.

– manquement relatif à l’obligation d’assurer la sécurité des données personnelles.  En effet, lors du contrôle, la CNIL a constaté qu’il était possible de créer un compte avec un mot de passe manquant de robustesse ; manquement que la société a corrigé lors de la procédure.

Au vu de tous ces éléments, la société Nestor a été sanctionnée par la CNIL d’une amende de 20.000 Euros.

(CNIL, délibération de la formation restreinte, 8 décembre 2020, n° SAN-2020-018)

 

2. Condamnation de Carrefour par la CNIL à plus de 3 millions d’euros

La CNIL ayant reçu plusieurs plaintes à l’encontre du groupe Carrefour a effectué des contrôles entre mai et juillet 2019 auprès de Carrefour France et Carrefour Banque. Lors des contrôles, plusieurs manquements ont été constatés :

– manquement relatif à la durée de conservation des données. En effet, Carrefour France conservait des données pour des durées supérieures à celles nécessaires pour les traitements concernés. 

– manquement relatif aux modalités d’exercice des droits. La procédure de Carrefour France prévoyait de demander systématiquement un justificatif d’identité, sauf pour les demandes d’opposition à la prospection commerciale. Or, cette demande systématique n’était pas toujours justifiée par les circonstances, notamment lorsqu’il n’y avait pas de doutes raisonnables quant à l’identité de la personne physique présentant la demande. La société avait également des délais de traitement des demandes trop longs. 

– manquement relatif à l’information des personnes. Les deux filiales ne proposaient pas des informations complètes, lisibles et facilement accessibles. 

– manquements relatifs au droit d’accès, d’effacement et d’opposition à la prospection. Carrefour France ne procédait pas systématiquement à l’effacement des données ayant fait l’objet d’une telle demande. De même, des défaillances lors des demandes d’accès ont été constatées. Enfin, la CNIL a relevé l’absence de prise en compte des désinscriptions afin de ne plus recevoir de la publicité par courriel ou par SMS. 

– manquement en matière de sécurité. L’accès libre à des factures clients via un URL, sans avoir besoin de s’identifier était possible. De plus, la société qui avait fait l’objet d’une attaque informatique (800 000 tentatives de connexion sur le service d’authentification de l’application mobile, dont 4 000 authentifications réussies et 275 accès effectifs aux comptes de clients) n’avait pas notifié à la CNIL la violation de données à caractère personnel.

– manquement à la réglementation sur les cookies. Ni le site internet de Carrefour Banque, ni le site carrefour.fr, ne respectaient la réglementation relative au dépôt de cookie. En effet, des cookies étaient automatiquement déposés sur l’ordinateur de l’utilisateur, sans aucune action de sa part. 

– manquement à l’obligation de loyauté dans le fonctionnement de la carte de fidélité de Carrefour Banque. 

Pour la plupart des manquements, les deux filiales de Carrefour ont corrigé le tir durant la procédure.

Cependant, aussi bien Carrefour France que Carrefour Banque ont été sanctionnées par une amende d’un montant de 2.250.000 Euros pour la première et de de 800.000 Euros pour la deuxième.

(CNIL, délibérations de la formation restreinte, 18 novembre 2020, n° SAN-2020-008 pour Carrefour France et n° SAN-2020-009 pour Carrefour Banque)

3. La CNIL sanctionne Google par une amende de 100 millions d’euros et Amazon à hauteur de 35 millions d’euros

La CNIL a procédé à un contrôle en ligne des sites de Google et Amazon lors duquel plusieurs manquements ont été constatés. L’autorité a ainsi rendu le même jour deux délibérations relativement similaires.

Dans un premier temps, la formation restreinte s’est penchée sur la question de la compétence de la CNIL pour contrôler et sanctionner les deux sociétés. En effet, conformément au RGPD et au mécanisme du guichet unique, Google et Amazon ont respectivement désigné l’autorité irlandaise et l’autorité luxembourgeoise comme organes de contrôle. Cependant, la CNIL s’est fondée sur des dispositions transposant en droit interne la directive « ePrivacy » qui donne compétence à la CNIL en application des articles 3 et 82 de la loi Informatique et Libertés pour tous faits survenant sur son territoire.

A titre liminaire, la CNIL a aussi écarté la qualification de l’accord de sous-traitance qui a été passé entre Google Ireland – le responsable de traitement – et Google LLC – son sous-traitant ; jugeant Google LLC co-responsable de traitement. Selon elle, ces deux entités déterminaient ensemble les finalités et les moyens du traitement consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France, lors de l’utilisation du moteur de recherche Google.

Pour ce qui est des manquements concernant Google, la CNIL a relevé que lorsqu’un utilisateur se rendait sur le moteur de recherche, plusieurs cookies publicitaires étaient automatiquement déposés sur l’ordinateur avant toute action de l’internaute. De même, a été constaté un défaut d’informations relatives à ces cookies, que ce soit dans le bandeau ou dans la politique de confidentialité. Enfin, la CNIL a relevé une défaillance partielle du mécanisme permettant de refuser le stockage de cookies sur l’ordinateur de l’utilisateur.

Quant à Amazon, la CNIL a constaté des griefs similaires (défaut d’information et de consentement lors du dépôt de cookies).

Par conséquent, Google LLC a été sanctionnée d’une amende de 60 millions d’euros et Google Ireland d’une amende de 40 millions d’euros. Pour ce qui est d’Amazon, l’amende a été fixée à la somme de 35 millions d’euros. Les décisions sont, en outre, assorties d’une astreinte de 100.000 Euros par jour de retard.

(CNIL, délibérations de la formation restreinte, 7 décembre 2020, n° SAN-2020-012 pour Google et n° SAN-2020-013 pour Amazon)

Propriété Industrielle et Droit d’Auteur

1. Le titulaire d’une marque déchue peut se prévaloir de l’atteinte portée à ses droits avant la déchéance

Le 8 juin 2012, M. B, titulaire de la marque française semi-figurative « Saint Germain » pour des boissons alcooliques déposée en 2005, a assigné trois sociétés en contrefaçon de marque qui fabriquaient et distribuaient une liqueur de sureau sous la dénomination « St-Germain ».

Cependant, par un arrêt devenu irrévocable et rendu dans une autre instance le 11 février 2014, M.B a été déchu de sa marque « Saint Germain » à compter du 13 mai 2011.

A la suite de cette décision, M. B a décidé de maintenir ses demandes pour la période non couverte par la prescription et antérieure à la déchéance, soit entre le 8 juin 2009 et le 13 mai 2011.

Le 26 septembre 2018, la Cour de cassation a sursis à statuer et posé une question préjudicielle à la Cour de justice de l’Union européenne sur l’interprétation des articles 5, paragraphe 1, sous b), 10 et 12 de la directive n° 2008/95/CE du Parlement européen.

Le 26 mars 2020, la CJUE s’est prononcée sur l’interprétation de ces articles en offrant la liberté aux États membres d’accepter ou de refuser qu’une marque déchue puisse être invoquée dans le cadre d’une action en contrefaçon pour la période précédant sa déchéance.

A cet égard, la CJUE a précisé qu’il convenait d’apprécier, au cours de la période de cinq ans suivant l’enregistrement de la marque, l’étendue du droit exclusif conféré au titulaire en se référant aux éléments résultant de l’enregistrement de la marque et non pas à l’usage que le titulaire avait pu faire de cette marque pendant cette période.

La Cour de cassation, a cassé l’arrêt de la Cour d’appel qui avait rejeté les demandes de M.B, considérant que M.B ne justifiait d’aucune exploitation de la marque depuis son dépôt et donc qu’il ne pouvait pas invoquer une protection contre la contrefaçon de sa marque.

En effet, pour la Cour de cassation, la déchéance d’une marque ne produisant effet qu’à l’expiration d’une période ininterrompue de cinq ans sans usage sérieux, son titulaire est en droit de se prévaloir de l’atteinte portée à ses droits sur la marque qu’ont pu lui causer les actes de contrefaçon intervenus avant sa déchéance.

2. De la rémunération équitable et unique dans le contexte d’une incorporation d’un phonogramme

En Espagne, deux entités de gestion de droits de propriété intellectuelle d’artistes-interprètes ou exécutants et de producteurs de phonogrammes, ont intenté une action devant le Tribunal de commerce de Madrid contre Atresmedia, groupe audiovisuel espagnol.

Les deux entités demandaient au groupe audiovisuel une indemnité au titre d’actes de communication au public de phonogrammes publiés à des fins de commerce, ainsi que la reproduction de ceux-ci.

La Cour suprême espagnole a posé deux questions préjudicielles à la CJUE :  la rémunération équitable et unique doit-elle être versée par l’utilisateur lorsqu’il effectue une communication au public d’un enregistrement audiovisuel contenant la fixation d’une œuvre audiovisuelle, dans laquelle un phonogramme ou une reproduction de ce phonogramme a été incorporé.

Selon la Convention de Rome, la notion de phonogramme est définie comme toute fixation « exclusivement sonore » des sons provenant d’une exécution ou d’autres sons. Il s’ensuit que ne saurait relever de cette notion une fixation d’images et de sons, une telle fixation ne pouvant être qualifiée d’exclusivement sonore.

Ainsi, un phonogramme incorporé dans une œuvre cinématographique perd sa qualité de « phonogramme » en tant qu’il fait partie d’une œuvre audiovisuelle.

Par conséquent, un enregistrement audiovisuel contenant la fixation d’une œuvre audiovisuelle ne saurait être qualifié de « phonogramme ».

En conclusion, la CJUE a conclu que la communication au public d’un tel enregistrement n’ouvrait pas droit à la rémunération prévue par la règlementation.

(CJUE, aff. C-147/19, Atresmedia Corporación de Medios de Comunicación SA contre Asociación de Gestión de Derechos Intelectuales (AGEDI) et Artistas Intérpretes o Ejecutantes, Sociedad de Gestión de España (AIE), 18 novembre 2020)

Contrats Commerciaux

1. La force majeure ne peut être invoquée que par le débiteur d’une obligation

M. et Mme X ont conclu un contrat d’hébergement pour la période du 30 septembre 2017 au 22 octobre 2017, pour un montant de 926,60 Euros. Le 30 septembre, le couple a procédé au paiement de cette somme. Le 4 octobre, M. X a été hospitalisé en urgence et a dû mettre fin à son séjour. Quatre jours plus tard, Mme X a aussi quitté définitivement le logement.

Etant donné que le couple n’a pas pu profiter des deux dernières semaines de leur séjour, ils ont assigné la société en résolution du contrat.

La Cour d’appel a considéré que l’état de santé de M. X était constitutif d’une situation de force majeure. En effet, M. X. avait été victime d’un problème de santé imprévisible et irrésistible.  Pour ce qui est de sa femme, elle avait dû l’accompagner en raison de son transfert à plus de 130 km du logement de location, rendant impossible la poursuite de l’exécution du contrat. Par conséquent, les juges du fond ont accueilli la demande de résolution du contrat.

La Cour de cassation a cassé l’arrêt de la Cour d’appel, jugeant que le créancier qui n’avait pas pu profiter de la prestation à laquelle il avait droit ne pouvait obtenir la résolution du contrat en invoquant la force majeure.

(Cour de cassation, 1re chambre civile, 25 novembre 2020, 19-21.060)

2. La clause attributive de juridiction dans un contrat de transport conclu avec un consommateur n’est pas applicable à la société de recouvrement

Un passager a conclu un contrat de transport avec Ryanair, pour un vol de Milan à Varsovie. Le vol ayant été annulé, le passager a cédé sa créance à l’égard de cette compagnie aérienne à une société spécialisée dans le recouvrement des créances de passagers aériens. Cette société a saisi les tribunaux polonais aux fins d’obtenir une indemnisation pour l’annulation du vol. Or, dans les conditions générales du contrat de transport, compétence était donné aux tribunaux irlandais. 

Ryanair a soulevé la compétence des tribunaux polonais au motif que le cessionnaire de la créance du passager, était lié par la clause attributive de juridiction.

Une question préjudicielle a été posée à la CJUE : un cessionnaire qui ne possède pas la qualité de consommateur peut-il, notamment, invoquer le caractère abusif des clauses contractuelles attributives de juridiction pour saisir le tribunal du lieu du consommateur ? 

Pour la Cour, doit être considérée abusive la clause attributive de juridiction qui est insérée dans un contrat conclu entre un consommateur et un professionnel sans avoir fait l’objet d’une négociation individuelle et qui confère une compétence exclusive à la juridiction dans le ressort de laquelle est située le siège de ce professionnel.

Concernant la question, elle considère que clause attributive ne peut pas être opposée à la société de recouvrement. La Cour a toutefois émis une réserve selon laquelle la société de recouvrement aurait succédé au contractant initial dans tous ses droits et obligations, auquel cas la clause attributive de juridiction aurait pu lui être opposable, conformément au droit national applicable au fond.

(CJUE, aff. C-519/19, Ryanair DAC c. DelayFix, 18 novembre 2020)