Veille juridique de juillet 2020 de Claire Sambuc

Publié le 20/08/2020 Vu 1 839 fois 0
Légavox

9 rue Léopold Sédar Senghor

14460 Colombelles

02.61.53.08.01

Retrouvez toutes les actualités juridiques concernant le droit des nouvelles technologies de l'information et de la communication (données personnelles, vie privée, droit des marques, etc.).

Retrouvez toutes les actualités juridiques concernant le droit des nouvelles technologies de l'information et

Veille juridique de juillet 2020 de Claire Sambuc

DONNEES PERSONNELLES

La CJUE invalide le Privacy Shield

CJUE, 16 juillet 2020

Après avoir invalidé le Safe Harbor en octobre 2015, l’accord « Privacy Shield » trouvé en 2016 sur le transfert de données personnelles entre l’UE et les Etats-Unis est annulé par la justice européenne.

Ce dispositif est utilisé par la majorité des grandes entreprises américaines pour effectuer des traitements sur les données personnelles de leurs utilisateurs européens. Le dispositif permettant en effet aux entreprises du numérique de transférer légalement les données personnelles de citoyens européens aux Etats-Unis. Dès son adoption, le Privacy Shield avait été attaqué par le militant autrichien de la vie privée Max Schrems.

La décision de la Cour de justice européenne ne concerne pas les transferts de données jugés « nécessaires ». La Cour juge valide la décision de la Commission relative aux clauses contractuelles types qui autorise le transfert de données vers des sous-traitants établis hors UE.

En définitive, a CJUE invalide l’accord global « Privacy Shield », mais confirme que les entreprises peuvent se conformer à la loi européenne en s’engageant, individuellement, à respecter certaines précautions quant à l’usage des données de leurs utilisateurs européens. Ces clauses contractuelles doivent toutefois présenter un haut niveau de garanties.

Une commune enjointe de cesser l’utilisation de caméras thermiques

Conseil d’Etat, 26 juin 2020

Le Conseil d’Etat a relevé que les données recueillies par caméras thermiques concernant des personnes identifiables et révélant des données relatives à l’état de santé de ces personnes constituaient bien des données personnelles. Le Conseil d’Etat a ainsi enjoint la commune, qui ne démontrait pas l’existence d’un intérêt public important et en l’absence de recueil de consentement libre des personnes concernées, de mettre fin à cette utilisation.

La divulgation des comptes annuels d’une SASU ne porte pas une atteinte disproportionnée aux données personnelles de son président

Cour de cassation, 24 juin 2020

Dans le cadre de l’injonction faite au président-associé d’une société de divulguer les comptes annuels, la Cour de cassation a estimé que celle-ci ne porte pas une atteinte disproportionnée aux données personnelles du président en rappelant que si « les données portant sur le patrimoine d’une personne physique relèvent de sa vie privée, les comptes annuels d’une société par actions simplifiée unipersonnelle ne constituent, toutefois, qu’un des éléments nécessaires à la détermination de la valeur des actions que possède son associé unique, dont le patrimoine, distinct de celui de la société, n’est qu’indirectement et partiellement révélé ».

DROIT D’AUTEUR - CONTREFACON

Condamnation d’une maison de haute-couture pour contrefaçon de photographies

Cour d’appel de Paris, 19 juin 2020

L’ancien directeur de création de la maison de haute et cette dernière avaient conclu un contrat concernant l’exploitation d’œuvres photographiques dont le directeur était titulaire. Ce contrat prévoyant un droit d’usage de deux ans des photographies avec un possible renouvellement moyennant rémunération, la Cour d’appel de Paris a conclu à la condamnation de la maison de haute couture pour contrefaçon, en raison de l’utilisation d’œuvres photographiques de l’ancien directeur de création au-delà de la période contractuellement prévue et en l’absence de contrepartie financière. La Cour a notamment considéré qu’il n’existait pas de « droit d’archives sans limitation de durée ».

Seule l’adresse postale des contrefacteurs peut être communiquée aux ayants droit

CJUE, 9 juillet 2020

Pour la Cour de justice de l’Union Européenne, la directive 2004/48 sur le respect des droits de propriété intellectuelle doit être interprétée de la manière suivante : cette directive permettant aux autorités judiciaires d’ordonner la communication de "l’adresse" d’un contrefacteur concerne seulement l’adresse postale et non les adresses courriel ou IP ni le numéro de téléphone.

LIBERTE D’EXPRESSION

La condamnation d’un appel au boycott est contraire à la liberté d’expression

Cour européenne des droits de l’homme, 11 juin 2020 La CEDH a jugé que la condamnation de personnes ayant appelé au boycott de produits israéliens, en raison de leur provenance géographique, pour incitation à la discrimination économique violait leur droit à la liberté d’expression. Pour la Cour, les actions reprochées concernaient un sujet d’intérêt général et s’inscrivaient dans un débat contemporain. La condamnation n’était pas nécessaire à la protection des droits d’autrui.

ACTUALITES JURIDIQUES

L’application StopCovid

Selon le premier bilan chiffré présenté par le Gouvernement, trois semaines après son déploiement en France, seules 68 personnes se seraient signalées comme malades sur l’application StopCovid. Ces signalements auraient débouché sur 14 notifications seulement. De nombreux débats autour de cette application peuvent dissuader les français d’installer ce dispositif. D’une part la quantité de données envoyées par l’Application, information révélée récemment, selon laquelle tous les identifiants pseudonymes de tous les utilisateurs côtoyés et non ceux ayant été en contact rapproché pendant plus de quinze minutes, comme ce qui avait été annoncé, sont remontés par l’application. D’autre part, le financement de cette application est également pointé du doigt et a fait l’objet d’un signalement par l’association de lutte contre la corruption Anticor. Dans un communiqué du 20 juillet, la CNIL a estimé que pour l’essentiel la nouvelle version de l’application StopCovid respectait le RGPD mais constate néanmoins « plusieurs irrégularités » et demande au gouvernement de les régler dans « un délai d’un mois ». Parmi ces irrégularités la CNIL relève :

  • Les informations fournies aux utilisateurs de l’application doivent être complétées, notamment ce qui concerne le recaptcha.
  • Le contrat de sous-traitance conclu entre le ministère et l’Inria doit être complété, notamment en ce qui concerne les obligations du sous-traitant.
  • La première version de l’application remontait l’ensemble de l’historique des contacts utilisateurs et non les seuls contacts les plus susceptibles d’avoir été exposés au virus. La CNIL demande que les utilisateurs de l’ancienne version soient protégés au même titre que ceux qui utilisent la version la plus récente de l’application.

La CNIL demande également au gouvernement de se prononcer sur l’efficacité de l’application dans la lutte contre l’épidémie. StopCovid reste en effet peu utilisée.

L’autorité de protection des donnés belge inflige une amende de 600 000 euros à Google

L’autorité de protection des données en Belgique a annoncé le 14 juillet avoir infligé une amende de 600 000 euros à Google, le géant américain n’ayant pas respecté le droit à l’oubli d’un citoyen belge, qui demandait à ce que des pages à son sujet ne soient plus accessibles via le moteur de recherche.

Le plaignant, présenté comme une personnalité publique mais dont l’identité n’a pas été révélée avait demandé à Google Belgium de « déréférencer des articles obsolètes attentatoires à sa réputation » rendus visibles grâce au moteur de recherche et qui concernaient une plainte pour harcèlement à son encontre déclarée non fondée il y a de nombreuses années.

L’autorité a jugé que Google était responsable d’un « manquement grave » en raison de son refus de déréférencer les pages concernant la plainte pour harcèlement, car « les faits n’ont pas été établis, sont anciens et susceptibles d’avoir de sérieuses répercussions pour le plaignant ».

Le Sénat adopte la loi pour encadrer le travail des enfants influenceurs

Les sénateurs ont voté à l’unanimité jeudi 25 juin la proposition de loi sur l’exploitation commerciale de l’image d’enfants de moins de 16 ans sur les plateformes en ligne. La loi avait été adoptée il y a quatre mois en première lecture à l’Assemblée nationale.

Le texte entend protéger les activités rémunératrices des mineurs sur les plateformes comme Youtube et Instagram. Les activités en ligne seraient désormais soumises à une autorisation préalable auprès de la commission des enfants du spectacle, rattachée à chaque direction départementale de la cohésion sociale. Comme pour la législation déjà en vigueur pour les enfants du spectacle (télévision et cinéma), les horaires et temps de tournage seront encadrés et la rémunération de ces contenus bloquée en grande partie jusqu’à la majorité de l’enfant auprès de la Caisse des dépôts et consignations.

Le groupe France Télévisions a été la cible d’une cyberattaque

Selon un très court communiqué, le groupe précise que : « l’un des sites de diffusion a été infecté par un virus informatique ». Les programmes et la diffusion n’ont toutefois pas été impactés. On ignore encore les motifs de cette attaque, et les responsables.

Doctolib victime d’un vol de données

Le service en ligne de prise de rendez-vous médicaux a annoncé le 23 juillet avoir été victime d’un vol de données. Des informations personnelles concernant un peu plus de 6000 rendez-vous ont pu être dérobées. Une faille de sécurité, désormais colmatée, aurait permis ce vol.

Cette faille concernait une interface de programmation permettant de se connecter à Doctolib et non le service en tant que tel. L’entreprise affirme que ni les motifs de rendez-vous ni les mots de passe des comptes sont concernés par ce vol. Les informations auxquelles les pirates ont pu avoir accès sont le numéro de téléphone, l’adresse électronique, le nom et la spécialité du professionnel de santé. Les patients concernés seront contactés par Doctolib qui indique avoir porté plainte et notifié à la CNIL.

La Russie déploie l’outil de surveillance « Orwell » dans ses écoles

Le système de reconnaissance faciale ironiquement nommé « Orwell » pourrait à terme être présent dans 43 000 établissements scolaires. L’objectif soutenu par l’Etat est d’assurer la sécurité des élèves en surveillant et en identifiant les intrus présents dans les établissements. Les données seraient stockées sur des serveurs locaux afin d’éviter les fuites. Le système parait toutefois très intrusif, bien que parents et élèves devraient donner leur accord. Cette initiative s’inscrit dans le plan de numérisation de la Russie.

Google va payer des contenus de certains médias allemands, australiens et brésiliens

Le groupe a annoncé mercredi 24 juin avoir conclu des accords de licence avec certains éditeurs de presse en Allemagne, Australie et au Brésil. Ces accords interviennent en plein débat sur l’application du droit voisin qui donne aux éditeurs de presse la possibilité de négocier collectivement une rémunération.

Toutefois, ces rémunérations se font sur la base d’accords commerciaux réservés à certains éditeurs et non dans le cadre de l’application du droit voisin prévu par le droit européen permettant aux éditeurs de demander une rémunération pour la reprise d’extraits de leurs articles sur les plateformes numériques. Pour le directeur général du Figaro « La stratégie de Google consiste à passer coûte que coûte des accords directs avec des éditeurs séparément, pour contourner le droit voisin ». Début avril, l’autorité de la concurrence a donné trois mois à Google pour négocier avec les éditeurs. Pour Google ces accords de licences constituent un élément de négociation.

Doctissimo visé par une plainte auprès de la CNIL

L’ONG Privacy International a déposé auprès de la CNIL une plainte contre le site Doctissimo lui reprochant plusieurs infractions au RGPD. L’ONG cite l’exemple de certains questionnaires proposés aux internautes dont les réponses sont envoyées sans protection au prestataire technique responsable de ce test, y compris lorsque ce test comporte des données sensibles issues de questions médicales.

Lancement de l’Observatoire de la haine en ligne

Une grande partie du texte de la loi Avia contre la haine en ligne avait été censurée par le Conseil constitutionnel le 18 juin dernier. La loi Avia a bien été promulguée mais seul son volet préventif a subsisté, et non le volet répressif qui imposait par exemple un délai de suppression de contenus aux plateformes de 24 heures.

L’Observatoire de la haine en ligne s’inscrit dans le cadre du volet préventif de la loi. Placé sous le contrôle du CSA, sa mission est « d’analyser et de quantifier le phénomène de haine en ligne, d’en améliorer la compréhension des ressorts et des dynamiques, de favoriser le partage d’information et le retour d’expérience entre les parties prenantes », précise l’autorité administrative dans une communiqué.

Les membres de l’observatoire constituent des groupes de travail thématiques, appelés « collèges », afin notamment de faciliter les échanges opérationnels. On y trouve le Collège des opérateurs (ex : Facebook, Google, Twitter, Snapchat), le Collège des associations (ex : SOS racisme, SOS homophobie, la quadrature du net,..) , le Collège des administrations (ex : CNCDH, PHAROS, ministère en charge du Numérique, ministère de l’Education nationale, de la Jeunesse et des Sports), le Collège des chercheurs.

Report de l’audience des patrons des GAFA aux Etats-Unis

Dans le cadre d’une enquête sur d’éventuelles pratiques anticoncurrentielles, les patrons des GAFA – Google, Apple, Facebook et Amazon- devaient répondre aux questions d’une commission parlementaire américaine. L’audience qui a été reportée au 29 juillet porte sur la possibilité d’abus de position dominante par les GAFA et la Chambre des représentants des Etats-Unis devra déterminer si ces géants empêchent illégalement des concurrents d’émerger et si leurs pratiques affectent consommateurs.

La commission judiciaire n’a a priori pas d’objectif en termes de poursuite dans les tribunaux, la loi américaine exigeant des agissements faisant clairement du tort aux consommateurs pour prendre des mesures contre les entreprises, mais cette audience permettra de mobiliser l’opinion publique.  

Actualités - Réseaux Sociaux et moteurs de recherche

Facebook annonce un durcissement de sa politique de modération

Vendredi 26 juin, le PDG de Facebook a annoncé un durcissement de la position de son réseau social et une modération plus stricte de ces contenus. La plateforme retirera désormais les publicités incitant à la haine (par exemple celles affirmant que les personnes de certaines origines, ethnies, nationalités, genres, représentent une menace pour la sécurité des autres). Cette décision intervient alors qu’un bon nombre d’entreprises telles que Coca-Cola, Unilever, North Face participent à une campagne de boycottage de Facebook.

Google va supprimer automatiquement certaines données liées à ses utilisateurs

L’historique de certaines activités des utilisateurs de Google qui était conservé par défaut sera automatiquement purgé au bout d’une certaine période selon les dernières annonces de Google. En effet lorsqu’un internaute doté d’un compte Google utilise le moteur de recherche, Youtube ou Google Maps, le détail de son activité peut être conservé en fonction des paramètres retenus par l’utilisateur.

A partir d’aujourd’hui, tout nouveau compte verra ses données liées à son activité sur le moteur de recherche supprimées au bout de 18 mois. Sur Youtube, l’utilisateur qui demande de conserver son historique de visionnage se verra proposer une suppression sur trente-six mois glissants.

Comptes Twitter de célébrités piratés : manipulation d’employés pour accéder aux comptes

Le compte de réseau social affirme que les pirates ont « manipulé avec succès un petit nombre d’employés » de Twitter. Twitter précise que les pirates informatiques ont visé 130 comptes et ont réussi à en pénétrer 45, grâce « à l’utilisation d’outils uniquement accessibles aux équipes de soutien interne ». Les comptes Twitter de personnalités américaines, comme par exemple Bill Gates ou Barack Obama, ainsi que de grandes entreprises américaines, comme Apple et Uber, ont été victimes le 15 juillet d’un piratage dont l’objectif était de promouvoir une escroquerie à la cryptomonnaie. Près de 180 000 dollars auraient été ainsi envoyés. Twitter a précisé que, pour certains comptes, les hackeurs ont aussi téléchargé des données.

TikTok : inquiétude en matière de données personnelles

Populaire auprès des adolescents, le réseau social a récemment été accusé de collecter des données personnelles au travers de ses applications mobiles. Condamné aux US par le Federal Trade Commission (FTC) à une amende de près de 5 millions d’euros en 2019 pour sa gestion des données des utilisateurs de moins de 13 ans, le réseau social est maintenant sous le feu des projecteurs des instances européennes.

La consommation de contenu sur ce réseau social diffère des autres réseaux car l’utilisateur n’a pas à faire de recherches actives, l’application lance elle-même des contenus supposés intéresser l’utilisateur. Pour ce faire, les algorithmes de l’application puisent dans une quantité de données. Il a été révélé que TikTok consulte constamment, sans y avoir été autorisé par l’utilisateur, le contenu de la fonction copier-coller, laquelle peut contenir des données sensibles (adresse, identifiant, mot de passe, …).

S’agissant des données des mineurs, les conditions d’utilisation de l’application précisent que l’entreprise recueille des informations sut l’utilisateur s’il « télécharge l’application et [est] actif sur la plate-forme sans créer de compte ». Des chercheurs en cybrsécurité ont montré que l’application collectait des informations et données sensibles telles que le numéro IMEI (identifiant unique à chaque téléphone), des données de géolocalisation ainsi que les noms de réseaux Wi-Fi à porter de l’appareil. Ces données peuvent servir à optimiser l’application pour mieux connaitre l’appareil utilisant l’application mais peuvent aussi servir à d’autres fins, couplées avec d’autres données, comme la publicité ciblée ou la revente à des tiers. Il a également été démontré par les chercheurs des failles en matière de sécurité, l’application ne chiffre pas les éléments cruciaux par exemple.

Gmail dévoile une autre fonctionnalité pour se protéger des attaques de phishing

Cette pratique consiste à faire croire à l’utilisateur qu’il a reçu un mail d’une entreprise légitime afin que soient communiqués des mots de passe ou informations bancaires, dans le but de voler ces informations. Pour mieux protéger ses utilisateurs de ce type d’attaque, Google développe un nouvel indicateur visuel qui permet à l’utilisateur d’être certain de l’identité de l’entreprise qui lui envoie un courrier, via l’utilisation d’un logo contrôlé par la marque qui apparaitrait à côté de l’objet du mail.

Google accusé d’utiliser des données collectées sur des applications tierces pour améliorer ses propres applications

Un article publié sur le site The Information évoque la possibilité pour Google de tirer avantage du fait d’avoir accès à des données sur la façon dont les personnes utilisent les applications installées sur Android, au travers d’un programme de Google « Android Lockbox ». Google propose en effet le système d’exploitation Android pour les fabricants de smartphone, ce qui lui ouvre naturellement accès à des données.

D’après l’article de The Information, Google aurait par exemple utilisé les données collectées pour observer comment les internautes utilisent TikTok en Inde afin de développer un service concurrent. Google assure que ces données sont collectées avec le consentement des utilisateurs et que celles-ci permettent d’améliorer le système d’exploitation. Google indique également que ce programme est public, les autres développeurs ont donc également accès à des informations sur comment les applications sont utilisées. Google aurait cependant un accès plus large.

Google poursuivi pour l’Australie pour ses pratiques en matière de collecte de données

L’Australian Competition & Consumer Commission a porté une accusation selon laquelle Google n’aurait pas respecté l’obligation d’obtenir le consentement libre et éclairé des utilisateurs afin de collecter, stocker et utiliser leurs données personnelles. Elle affirme que Google a trompé les utilisateurs pour collecter des données personnelles à des fins publicitaires, lors d’un changement de politique de confidentialité, sans en informer le consommateur, lui ayant permis de relier l’identité de l’utilisateur à ses activités en ligne. Cette modification aurait permis à Google via son service d’affichage de publicités ciblées de gagner beaucoup d’argent. La Commission souhaite que Google règle une amende de plusieurs millions de dollars de dommages et intérêts, le montant n’a pas été précisé.

Actualités - Nouvelles technologies et néo-banques et assurances

MMA visé par une attaque informatique

Le groupe d’assurance Covéa comprenant MMA, MAAF et GMF ont était vendredi 17 juillet la cible d’une cyberattaque ayant nécessité l’arrêt des systèmes informatiques à titre conservatoire. La nature du piratage n’a toutefois pas été précisée.

La néo-banque Revolut se dote de nouvelles fonctionnalités pour son compte Revolut Junior

Le compte Revolut Junior exporté il y a quelques mois sur le marché français, à destination d’un public de jeunes mineurs, connait sa première mise à jour intégrant de nouvelles fonctionnalités et promet de nouveaux services dans les mois à venir. Les applications Revolut sont liées entre parents et enfants de sorte à ce que les parents puissent superviser et alimenter le compte de leur enfant depuis leur propre application. D’autres fonctionnalités nouvelles permettent à l’enfant d’apprendre à gérer

Vous avez une question ?

Posez gratuitement toutes vos questions sur notre forum juridique. Nos bénévoles vous répondent directement en ligne.

Publier un commentaire
Votre commentaire :
Inscription express :

Le présent formulaire d’inscription vous permet de vous inscrire sur le site. La base légale de ce traitement est l’exécution d’une relation contractuelle (article 6.1.b du RGPD). Les destinataires des données sont le responsable de traitement, le service client et le service technique en charge de l’administration du service, le sous-traitant Scalingo gérant le serveur web, ainsi que toute personne légalement autorisée. Le formulaire d’inscription est hébergé sur un serveur hébergé par Scalingo, basé en France et offrant des clauses de protection conformes au RGPD. Les données collectées sont conservées jusqu’à ce que l’Internaute en sollicite la suppression, étant entendu que vous pouvez demander la suppression de vos données et retirer votre consentement à tout moment. Vous disposez également d’un droit d’accès, de rectification ou de limitation du traitement relatif à vos données à caractère personnel, ainsi que d’un droit à la portabilité de vos données. Vous pouvez exercer ces droits auprès du délégué à la protection des données de LÉGAVOX qui exerce au siège social de LÉGAVOX et est joignable à l’adresse mail suivante : donneespersonnelles@legavox.fr. Le responsable de traitement est la société LÉGAVOX, sis 9 rue Léopold Sédar Senghor, joignable à l’adresse mail : responsabledetraitement@legavox.fr. Vous avez également le droit d’introduire une réclamation auprès d’une autorité de contrôle.

Confirmation
A description can appear on the right
OK
Console de DEBUG