L’équipe de POGGI Avocats IT vous souhaite une excellente et heureuse année 2017

The POGGI Avocats IT team wishes you a prosperous year

Audit des éditeurs de logiciels

La saga Oracle : Audit des éditeurs de logiciels, mauvaise foi et déloyauté

Deux ans après le jugement du Tribunal de grande instance de Paris, la Cour d’appel de Paris a condamné Oracle pour mauvaise foi et déloyauté.

Pour mémoire, lors de la première instance, Oracle avait soutenu que le logiciel Purchasing ne faisait pas partie du périmètre contractuel de la licence octroyée à l’AFPA et que son installation par SOPRA et son utilisation par l’AFPA caractérisait des actes de contrefaçon. Le TGI de Paris avait alors considéré que le litige portait sur l’exécution contractuelle et non la contrefaçon et avait condamné Oracle à verser à l’AFPA et à SOPRA la somme de 100.000 € chacune au titre des frais de justice, jugement dont Oracle a interjeté appel.

Dans son arrêt du 10 mai 2016, la Cour a infirmé le jugement de première instance et a examiné le comportement de l’AFPA et de SOPRA lors de l’installation et de l’utilisation dudit logiciel  afin de déterminer l’existence ou non d’actes de contrefaçon de leur part. Elle en a déduit :

«qu’en installant et en utilisant le module PO, se rattachant pour le moins au logiciel Purchasing et inclus dans le périmètre du marché Mosaïc, lequel a été dûment payé, la société SOPRA et l’AFPA n’ont manqué à aucune de leurs obligations contractuelles ; qu’aucun acte de contrefaçon ne peut donc leur être reproché par la société Oracle International Corportation ».

La Cour d’appel a ainsi considéré qu’Oracle s’était rendue coupable de mauvaise foi et de déloyauté envers l’AFPA et SOPRA en profitant de son droit d’audit pour faire pression sur sa cliente et en exigeant indûment des régularisations de licences de logiciels soi-disant non incluses dans le périmètre contractuel.

Les sociétés Oracle Corp., Oracle International Corp. et Oracle France ont donc été condamnées, en sus des 100.000 € de première instance au titre des frais de justice, à verser à l’AFPA et à SOPRA :

  • 100.000 € chacune au titre des dommages-intérêts pour atteinte à leur image et perturbations de leur fonctionnement
  • 100.000 € chacune au titre des frais de justice engagés.

Voir l’arrêt

 

Loi pour une République numérique

Adoption de la Loi pour une République numérique par le Sénat

Le Sénat a adopté le 28 septembre le projet de la loi pour une République numérique.

A travers l’adoption de cette loi, le gouvernement  souhaitait remplir deux objectifs majeurs :

  • « donner une longueur d’avance à la France dans le domaine du numérique, que ce soit dans les infrastructures, sur les données avec la mise en place de réelles stratégies de données par les entreprises et les administrations, ou dans la transformation numérique de l’économie »
  • « adopter une approche moderne du numérique, qui s’appuie sur les personnes, utilisateurs, entrepreneurs, agents publics, consommateurs, « makers » et sur la multitude de ces personnes pour renforcer leur pouvoir d’agir et leurs droits dans le monde numérique ».

 

Pour remplir ces objectifs, la Loi est divisée en trois axes :

  • favoriser la circulation des données et du savoir,
  • œuvrer pour la protection des individus dans la société du numérique
  • garantir l’accès au numérique pour tous

Pour plus d’informations :

Exposé des motifs du gouvernement

Projet de loi adopté

Contrats informatiques – Logiciels préinstallés

La vente d’ordinateur équipé de logiciels préinstallés n’est pas une pratique commerciale déloyale

La Cour de justice de l’Union européenne a tranché la problématique de la vente d’ordinateurs équipés de logiciels préinstallés, validant ainsi l’interprétation de la jurisprudence française de 2014 qui rappelait à l’ordre les juges du fond enclins  à assimiler trop libéralement la vente d’ordinateurs pré-équipés de logiciels à des pratiques commerciales déloyales. (1re civ., 5 févr. 2014, n° 12-25.748, Sté Lenevo France c/ Stéphane X. : JurisData n° 2014-001611)

La CJUE a été saisie sur renvoi de la Cour de cassation après un arrêt de la Cour d’appel de Versailles du 5 novembre 2013 qui avait jugé que la vente d’un ordinateur portable Sony équipé du système d’exploitation Vista de Microsoft et quelques logiciels applicatifs ne constituait ni une pratique commerciale déloyale de vente forcée interdite en toutes circonstances, ni une pratique commerciale de vente liée, ni encore une pratique commerciale trompeuse ou agressive.

Par un arrêt du 7 septembre 2016, la CJUE a ainsi considéré que cette pratique commerciale n’était pas déloyale, sauf si :

  • elle était contraire aux exigences de la diligence professionnelle, ce qui n’était pas le cas en espèce car

    « l’information correcte du consommateur, la conformité de l’offre conjointe aux attentes d’une part importante des consommateurs ainsi que la possibilité offerte au consommateur d’accepter tous les éléments de cette offre ou d’obtenir la révocation de la vente, sont susceptibles de répondre aux exigences des pratiques de marché honnêtes ou du principe général de bonne foi dans le domaine de la production de matériel informatique destiné au grand public, le professionnel faisant ainsi preuve de soins vis-à-vis d’un consommateur. »

  • elle altérait ou était susceptible d’altérer de manière substantielle le comportement économique du consommateur moyen par rapport à ce produit, ce qui n’était pas le cas en l’espèce car ce dernier a été dûment informé que l’ordinateur n’était pas vendu sans les logiciels préinstallés et qu’il restait libre de choisir un autre modèle.

En savoir plus

Données à caractère personnel

Collecte excessive de données d’utilisateurs sur Windows 10 : MICROSOFT mis en demeure publiquement de se conformer à la loi Informatique et Libertés.

Le 20 juillet 2016, la présidente de la CNIL a mis en demeure MICROSOFT CORPORATION de cesser la collecte excessive de données et le suivi de la navigation des utilisateurs sans leur consentement. La CNIL exige de l’entreprise informatique qu’elle assure davantage de sécurité et de confidentialité concernant les données des utilisateurs et ce dans un délai de trois mois.

A la suite du lancement du nouveau système d’exploitation Windows 10 en juillet 2015, des partis politiques, entre autres, ont attiré l’attention de la CNIL sur une potentielle collecte excessive de données personnelles. En parallèle, un groupe de plusieurs autorités de protection au sein de G29 a été constitué pour mener des investigations concernant les Etats membres concernés.

Les vérifications entreprises par la CNIL afin de vérifier la conformité du logiciel à la loi Informatique et Libertés ont permis de révéler de nombreux manquements tels que des données collectées non pertinentes ou excessives, un défaut de sécurité (notamment dans le nombre de tentatives de saisie de code PIN pour l’authentification afin d’accéder aux services en ligne), une absence de consentement des personnes, une absence d’information et de possibilité de s’opposer au dépôt de cookies ou encore la persistance de transferts internationaux sur la base du Safe harbor (pourtant invalidé par la Cour de justice de l’UE le 6 octobre 2015).

Données à caractère personnel

Adoption du Privacy Shield par la Commission européenne

 Dans une décision du 12 juillet 2016, la Commission européenne a adopté la décision d’adéquation « Privacy Shield » qui vise à remplacer le « Safe Harbour » invalidé par la Cour de Justice de l’Union européenne le 6 octobre 2015.

Ainsi, cette décision autorise les transferts des données à caractère personnel depuis l’Union européenne vers les entreprises établies aux Etats-Unis utilisant ce dispositif et reconnait au mécanisme « EU-U.S  Privacy Shield » un niveau de protection essentiellement équivalent aux exigences européennes.

La décision entrera en vigueur à compter de sa notification dans chacun des pays membres de l’UE. L’applicabilité aux entreprises concernées sera subordonnée à l’enregistrement de celles-ci auprès des autorités américaines en charge du dispositif.

Pour mémoire, le G29 avait réagi à la publication du projet de cette décision par un avis en date d’avril 2016 dans lequel il faisait part de ses préoccupations, notamment sur :

  • l’absence de  limitation de durée de conservation
  • l’absence d’interdiction des décisions automatisées
  • le manque de précision sur les moyens d’écarter la possibilité d’une surveillance massive et indiscriminée des données des citoyens européens
  • la véritable indépendance du médiateur (Ombudsperson) et ses pouvoirs, qui ne lui semblaient pas suffisants pour exercer son rôle de façon efficace et obtenir un recours satisfaisant en cas de désaccord avec l’administration.

Le G29 mène actuellement une analyse de la décision « Privacy Shield ».

Données à caractère personnel

Une décision très attendue à la suite de l’appel formulé par Microsoft contre le mandat de perquisition lui ordonnant de fournir le contenu d’un compte email d’un client non US hébergé en Irlande. 

En Décembre 2013, un juge fédéral américain avait émis à la demande des procureurs fédéraux un mandat de perquisition (« warrant ») sur le fondement de l’article 2703 (a) du SCA (Stored Communications Act), ordonnant à Microsoft de fournir le contenu dudit compte.

Pour mémoire, la loi SCA a été adoptée aux USA dans le cadre de la Loi sur la protection des renseignements personnels des communications électroniques de 1986. Elle interdit aux prestataires de services internet de divulguer le contenu des e-mails et autres communications stockées sous réserves de certaines exceptions strictement encadrées.

Microsoft avait vainement tenté d’obtenir, en avril 2014, l’annulation du mandat auprès du magistrat l’ayant autorisé.

Selon le Gouvernement américain, il n’y avait pas de problème d’extraterritorialité dans cette affaire car le mandat était signifié à Microsoft aux Etats-Unis pour récupérer les données d’un compte à partir de ses bureaux situés aux Etats-Unis.

La Cour Fédérale d’appel du second district ne l’a pas suivi et vient, dans une décision du 14 juillet 2016, d’interdire au Gouvernement américain de saisir le contenu de comptes emails stockés hors des USA (Case No. 14-2985 – 2d Circuit July 14, 2016).

La Cour a rappelé que si la loi SCA prescrit les méthodes par lesquelles le gouvernement peut obtenir l’accès à des informations à des fins d’application de la loi, c’est dans le strict respect de la protection du contenu de l’utilisateur, dans le contexte des nouvelles technologies qui nécessite une interaction entre l’utilisateur et le service fourni. Elle en conclut qu’un mandat de perquisition de la SCA permet d’atteindre seulement les données stockées dans la limite territoriale des Etats-Unis.

Cette décision n’est pas définitive en ce sens qu’elle peut faire l’objet d’un appel devant la Cour Suprême ou être contredite par une autre Cour Fédéral que celle du second circuit. Mais elle est à marquer d’une pierre blanche dans la bataille judiciaire des fournisseurs de solution Cloud US contre les pratiques du Gouvernement US et pour la protection de la vie privée chère aux acteurs du marché européen.

Données à caractère personnel

Pas d’accès d’un ayant-droit aux données à caractère personnel d’une personne décédée

Dans une décision du 8 juin 2016, le Conseil d’Etat s’est prononcé sur la définition de la “personne concernée“, au sens de l’article 2 de la Loi informatique et libertés (LIL) de 1978 en considérant qu’elle ne pouvait comprendre l’ayant-droit d’une personne décédée.

Pour mémoire, cet article 2 détermine que la personne concernée est “celle  à laquelle se rapportent les données qui font l’objet du traitement“.

Or, seule la personne concernée est titulaire des droits d’accès, de rectification ou de suppression de ses données à caractère personnel.

Ainsi, le Conseil d’Etat a rejeté le recours en excès de pouvoir qui lui était présenté et, par là-même, approuvé la décision de la CNIL (Commission nationale informatique et libertés) de refuser cet accès à l’ayant-droit d’une personne décédée.

En l’espèce, les ayants-droit d’une employée décédée de la Banque de France ont demandé à cette dernière la communication de relevés des appels téléphoniques passés depuis le poste de la défunte. La Banque de France ayant refusé cet accès, les ayants-droit ont porté plainte auprès de la CNIL qui a confirmé le refus.

Lire la décision

Données à caractère personnel

Le Parlement européen adopte le règlement sur la protection des données à caractère personnel : le changement, c’est maintenant

Après quatre années de travail intensif, le Parlement européen a adopté le nouveau règlement sur la protection des données à caractère personnel le 14 avril 2016. Le règlement a été voulu “à l’épreuve du temps” par les parlementaires, notamment en étant neutre en termes de technologies et adapté au Big Data, afin d’être applicable aux futures innovations.

Le règlement sera applicable le 25 mai 2018 dans tous les pays membres de l’Union européenne, ce qui laisse une période de deux ans aux Etats membres avant sa mise en œuvre.

Les autorités de contrôle européennes (notamment la CNIL) ainsi que le G29 sont engagés dans l’accompagnement des entreprises aux nouveaux principes adoptés.

A ce titre, le règlement permet, entre autres :

  • Un renforcement des droits existants
  • Un traitement des données clair, accessible et compréhensible pour les personnes concernées
  • Le droit d’information en cas d’atteinte ou de divulgation des données
  • Le renforcement du droit à l’oubli
  • Un nouveau droit à la portabilité des données
  • Une simplification des formalités pour les entreprises
  • Un cadre juridique unifié
  • Une augmentation des sanctions administratives jusqu’à 4% du chiffre d’affaires mondial

Le règlement permettra également d’encourager l’usage des techniques permettant le respect de la vie privée, comme la “pseudonimysation”, l’anonymisation, le cryptage et la protection des données “by design”.

Pour approfondir

Réseaux sociaux

La clause des CGU de Facebook imposant un tribunal californien est abusive

Dans un arrêt du 12 février 2016, la cour d’appel de Paris a jugé que la clause attributive de juridiction des conditions générales d’utilisation de Facebook qui donne compétence aux tribunaux de l’Etat de Californie (US) constitue une clause abusive.
La Cour d’appel a ainsi considéré que :
  • l’internaute ayant assigné Facebook pour obtenir la réactivation de son compte est un consommateur
  • Facebook est un professionnel, bien que son service soit gratuit pour l’utilisateur, puisqu’elle retire des bénéfices importants de ses services, notamment via la publicité.

Elle s’est donc fondée sur le Code de la consommation pour juger que :

“la clause de compétence au profit des juridictions californiennes contenue dans le contrat a pour effet de créer, au détriment du non-professionnel ou du consommateur, un déséquilibre significatif entre les droits et les obligations des parties au contrat ; qu’elle a également pour effet de créer une entrave sérieuse pour un utilisateur français à l’exercice de son action en justice.”
La clause attributive de juridiction est donc réputée nulle et non écrite et la détermination du tribunal compétent repose sur la législation applicable, en l’espèce le règlement européen du 22 décembre 2000 qui dispose qu’un consommateur peut intenter une action devant le tribunal du lieu où il est domicilié.
Par conséquent, le Tribunal de grande instance est compétent pour juger du litige opposant Facebook à un internaute domicilié à Paris.
La Cour d’appel confirme par là-même l’ordonnance du Tribunal de grande instance de Paris en date du 5 mars 2015.