Données personnelles
Hébergeur de données personnelles
Ordonnance de référé 18 mai 2018
Un hébergeur de données personnelles disponibles sur un annuaire bénéficie du statut d’hébergeur au sens de la loi LCEN. Selon cette loi, la responsabilité de l’hébergeur ne peut être engagée que s’il n’agit pas promptement après une notification de contenus illicite. Or, dans cette affaire qui concernait le site Laposte.fr, le courrier envoyé à l’hébergeur était antérieur à l’assignation délivrée à l’éditeur. Faute de notification, la responsabilité de l’hébergeur ne peut être engagée.
L’administrateur d’une page fan Facebook est co-responsable de traitement
CJUE 5 juin 2018
Dans cette affaire, le litige portait sur le statut de responsable de traitement de données de l’administrateur d’une page fan hébergée par Facebook. Une fonctionnalité permettait d’obtenir des données démographiques sur l’audience cible à l’aide de placement de cookies : les tendances en matière d’âge, de sexe, de situation amoureuse, de profession, de comportements d’achats en ligne, etc. Ces traitements permettent à la plateforme d’affiner son système de publicités qu’il diffuse sur son réseau et à l’administrateur de la page fan de connaître son public pour la promotion.
Pour les juges, dans ces conditions, l’administrateur de la page est responsable du traitement conjointement avec Facebook. Pour la Cour, « l’administrateur d’une page fan hébergée sur Facebook contribue au traitement des données à caractère personnel des visiteurs de sa page. ».
Validation par le Conseil d’Etat d’une sanction prononcée par la CNIL
CE 6 juin 2018
La CNIL a prononcé à l’encontre d’une société une sanction pécuniaire de 25 000 euros pour manquement à son obligation d’information et de mise en œuvre d’un mécanisme d’opposition au dépôt de cookies sur les appareils des utilisateurs.
Le Conseil d’Etat a validé cette sanction en ce que " les éléments portés à la connaissance des utilisateurs du site (…) ne leur permettaient ni de différencier clairement les catégories de « cookies » susceptibles d’être déposés sur leur terminal, ni de s’opposer seulement à ceux dont le dépôt est soumis à leur consentement préalable, ni de connaître les conséquences, en termes de navigation sur le site, attachées à leur éventuelle opposition".
Responsabilité du client en cas de phishing
Cour de cassation 6 juin 2018
Selon la cour de cassation, qui invalide le jugement rendu par la cour d’appel de Douai, le client qui communique lui-même ses données personnelles en réponse à un courriel contenant des indices qui permettaient au client de se douter du caractère frauduleux de l’email a manqué à son obligation de préserver la sécurité de ses données.
La cour d’appel avait quant à elle condamné la banque à rembourser les sommes prélevées sur le compte de sa cliente qui avait communiqué ses données confidentielles bancaires. Selon les juges, la cliente n’avait pas commis de manquement et avait retenu le fait que le courrier revêtait l’apparence de l’authenticité.
DROIT D’AUTEUR - LOGICIEL
La reprise de l’interface graphique d’un logiciel insuffisante pour établir la contrefaçon
Cour de cassation 3 mai 2018
Un éditeur de logiciel avait conçu un logiciel dont il avait adapté une version pour une société cliente à partir d’une ingénierie inverse. La cliente l’a assignée en contrefaçon de logiciel. Pour la Cour de cassation, la seule reprise des interfaces graphiques ne suffisait pas à établir la contrefaçon dès lors qu’elles étaient “exclues du champ de la protection du droit d’auteur sur les programmes d’ordinateur”
DROIT DES CONTRATS
Résiliation d’un contrat pour manquement du prestataire à son devoir de conseil
Cour d’appel de Besançon 29 mai 2018
Une société avait conclu un contrat de maintenance informatique avec un prestataire. La société a résilié ce contrat en se fondant sur les nombreux dysfonctionnements. Le prestataire l’a assignée en paiement d’indemnités de résiliation.
La cour d’appel de Besançon a indiqué que la passivité du prestataire avait conduit à maintenir le parc informatique dans un état vétuste ayant conduit à la multiplication des dysfonctionnements. La Cour d'Appel a donc jugé que les manquements du prestataire "à son devoir de conseil sont fautifs et suffisamment graves pour justifier la résiliation du contrat".
Cour d’Appel d’Aix-en-Pce 7 juin 2018
Un GIE composé de cabinets de radiologie avait passé avec un prestataire informatique un contrat de licence et de maintenance relatif à la mise en place d’un progiciel. Le GIE a assigné le prestataire en résiliation du contrat sur le fondement de graves dysfonctionnements. La Cour d’appel d’Aix-en-pce a confirmé la résiliation aux torts exclusifs du prestataire pour manquements à son obligation de conseil et délivrance.
Actualités
Validation par le Conseil Constitutionnel de la loi adaptant la législation française au RGPD
Conseil Constitutionnel 12 juin 2018
Les sénateurs avaient argué de l’inconstitutionnalité de la loi du 6 janvier 1978 modifiée par le RGPD, laquelle devait être promulguée en même temps que le RGPD, le 25 mai 2018. Saisi, le Conseil Constitutionnel a du se prononcer sur la constitutionnalité de la loi et a ainsi retardé la promulgation de la loi. Selon le Conseil constitutionnel, si "le législateur [avait] fait le choix de modifier les dispositions de la loi du 6 janvier 1978 en y introduisant des dispositions dont certaines sont formellement différentes de celles du règlement, il n’en résult[ait] pas une inintelligibilité de la loi".
La loi relative à la protection des données personnelles a été promulguée le 20 juin 2018.
Facebook visé par une plainte collective en Espagne
Une organisation espagnole de consommateurs accuse Facebook d’avoir exploité illégalement les données personnelles de ses usagers et a l’intention de déposer plainte et réclamer « au moins 200 euros » de compensation par utilisateur, explique la juriste Claire Sambuc.
L’organisation « considère que Facebook a enfreint la législation sur la protection des données, en n’informant pas et en ne sollicitant pas l’autorisation des usagers » pour en faire usage. L’organisation souhaite représenter les usagers affectés par le scandale Cambridge Analytica, accusée d’avoir collecté et exploité les données personnelles de 87 millions d’utilisateurs de Facebook à des fins politiques sans leur consentement. Suite à cette affaire, le patron de Facebook avait présenté ses excuses devant le Parlement européen et les parlementaires américains pour les failles dans la protection des données personnelles du réseau social.
En France, la quadrature du net annonce avoir déposé cinq plaintes collectives contre Google, Apple, Facebook, Amazon et Linkedin les accusant d’exploiter les données personnelles de leurs usagers de manière illégale.
Facebook au cœur de nouveaux scandales de partage de données
D’après une enquête du New York Times publiée le 3 juin, Facebook aurait partagé les données de ses utilisateurs avec des fabricants de smartphone il y a quelques années, et sans leur consentement.
Apple, Blackberry, Samsung et Microsoft auraient conclu des partenariats avec Facebook pour récupérer les informations personnelles des utilisateurs ainsi que celles de leurs amis. Les fabricants auraient pu stocker les informations sur leurs serveurs et eu la possibilité de les réutiliser.
Facebook rejette les accusations et a exprimé son désaccord avec le New York Times. Pour Facebook : « Les données de nos utilisateurs ne sont accessibles [aux fabricants de smartphones] que lorsque ces personnes ont approuvé ce genre de partage. »
Le 5 juin, Facebook a révélé que le chinois Huawei faisait partie des fabricants de smartphones qui avaient eu accès à des données de ses utilisateurs.
Autre révélation faite ce mois de juin, Facebook a annoncé avoir rendu publiques les messages de 14 millions d’utilisateurs par accident. Alors que le réseau testait une nouvelle fonctionnalité, un bug aurait eu lieu : "Pendant quatre jours [du 18 au 22 mai], les paramètres de partage des publications d'environ 14 millions d'utilisateurs dans le monde étaient automatiquement en public" selon la CNN.
Une notification a été envoyée aux personnes concernées afin de leur demander de revoir leurs publications mises en ligne pendant cette période.
Facebook et Google attaqués en justice par l’Etat de Washington
L’Etat de Washington a annoncé poursuivre en justice Facebook et Google pour non-respect de la loi locale sur les publicités politiques selon laquelle ceux qui vendent des espaces publicitaires ont l’obligation d’informer le public sur le nom de leur acheteur.
Selon cette loi, c’est aux entités qui vendent des espaces publicitaires pour des messages à caractère politique de « conserver les informations sur ceux qui les achètent » et doivent rendre disponibles ces informations au public.
Depuis 10 ans, des candidats aux élections et des groupes politiques auraient payé environ 3,4 millions de dollars en publicité à Facebook et 1,5 million à Google. Facebook a annoncé mettre en œuvre de nouvelles normes de transparence, rapporte Claire Sambuc.
