La compétence du Tribunal de commerce de Paris confirmée en matière de dénigrement et parasitisme

Assignée par la société Viaticum pour des faits de dénigrement et de parasitisme, TripAdvisor a contesté la compétence du Tribunal de commerce de Paris :

  • A titre principal car ses conditions générales d’utilisation stipulait que « le droit interne de l’Etat du Massachusetts permettait de déterminer le tribunal spécialement compétent »
  • A titre subsidiaire car le tribunal judiciaire de Paris était seul compétent dans les litiges relatifs à la loi du 29 juillet 1881 sur la liberté de la presse

Dans son jugement en date du 27 avril 2020, le Tribunal de commerce a rejeté les demandes de TripAdvisor et s’est déclaré compétent, jugement dont TripAdvisor a interjeté appel.

Par un arrêt du 6 janvier 2021, la Cour d’appel de Paris a confirmé le jugement du Tribunal de commerce :

  • En ce qu’il a déclaré nulle la clause attributive de compétence territoriale des CGU de TripAdvisor. En effet, en vertu de l’article 46 du Code de procédure civile, la société Viaticum pouvait librement saisir la juridiction du lieu dans lequel le dommage avait été subi. En l’espèce, les actes de dénigrement et de parasitisme ayant été subis au lieu du siège social de la société, en France, cette dernière pouvait saisir la juridiction française.
  • En ce qu’il a estimé le Tribunal de commerce compétent. En effet, les demandes de la société Viaticum étant relatives à des actes de dénigrement et de parasitisme et non de diffamation, les dispositions relatives à la loi du 29 juillet 1881 sur la liberté de la presse ne s’appliquaient pas.

Elle a par ailleurs condamné Tripadvisor à verser 7.000 euros à la société Viaticum au titre de l’article 700 du code de procédure civile ainsi qu’aux dépens.

La CNIL sanctionne l’absence de preuve du consentement en matière de prospection commerciale

Alertée par l’association SIGNAL SPAM sur le comportement de la société PERFOMECLIC, TPE dont l’activité est l’envoi de prospection commerciale par courrier électronique pour le compte d’annonceurs, la CNIL a effectué des contrôles et constaté de nombreux manquements aux obligations en vigueur en matière de prospection commerciale.

La société PERFOMECLIC n’a notamment pas pu prouver l’existence d’un consentement valable des personnes prospectées par ses soins, ce qui constitue donc un manquement à l’obligation de recueillir le consentement des personnes avant l’envoi de courriels de prospection.

La CNIL a également relevé des manquements :

  • au principe de minimisation des données, certaines données conservées n’étant pas nécessaires dans le cadre d’une activité de prospection par email, comme le numéro de téléphone ;
  • en matière de durée de conservation des données, la société conservant des données de prospects pendant plus de trois ans à compter de la simple ouverture des courriels de prospection sans une autre action de la part des personnes concernées (par exemple sans clic sur un des liens présents dans les courriels de prospection) ;
  • à l’obligation d’informer correctement les personnes ;
  • au droit d’opposition des personnes, la société ne permettant pas aux personnes démarchées de s’opposer de manière effective à l’utilisation de leurs données ;
  • à l’encadrement contractuel des relations avec un sous-traitant, en raison de l’absence de clauses obligatoires dans le contrat conclu entre la société et son prestataire d’hébergement.

Le 7 décembre 2020, la CNIL a donc sanctionné la société PERFORMECLIC pour ces manquements. Prenant en compte la taille et la situation financière de la société, la sanction prononcée se compose de :

  • une amende de 7.300 euros
  • une injonction à se mettre en conformité dans un délai de 2 mois sous astreinte de 1 000 euros par jour de retard
  • la publicité de la décision.

Pour en savoir plus…

La CNIL prononce des sanctions records à l’encontre de Google et d’Amazon pour violation de la règlementation sur les cookies

Le 7 décembre 2020, la formation restreinte de la CNIL a prononcé des sanctions pour violation de la règlementation sur les cookies à l’encontre de :

Entre décembre 2019 et mai 2020, la CNIL a effectué des contrôles en ligne sur les sites google.fr et amazon.fr qui ont permis de révélé trois typologies de violations de Loi Informatique et Libertés :

  • Dépôt de cookies sans consentement préalable de l’utilisateur

Des cookies à finalité publicitaire étaient automatiquement déposés sur l’ordinateur de l’internaute, sans action de sa part, ce comportement n’étant pas compatible avec l’obligation de recueil préalable du consentement de l’utilisateur.

  • Défaut d’information des utilisateurs

Pour les deux sites, aucune information claire et complète relative aux cookies n’était fournie à l’utilisateur par le bandeau d’information s’affichant en pied de page ni, pour le site google.fr, sur la page apparaissant lorsqu’il cliquait sur le bouton « Consulter maintenant ».

  • Pour le site google.fr, un cookie publicitaire demeurait actif même après avoir activé le mécanisme d’opposition à la personnalisation des annonces.

Selon la CNIL, le montant important des sanctions prononcées est justifié non seulement au regard de la gravité des manquement constatés mais également de leur portée puisqu’ils ont affecté des millions de consommateurs et des bénéfices élevés qu’ils ont indirectement générés soit via des services de publicité (pour les sociétés Google) soit en permettant d’augmenter considérablement la visibilité des produits commercialisés par Amazon.

Bien que le dépôt automatique des cookies sans consentement ait entretemps cessé, les nouveaux bandeaux d’information s’affichant sur les pages google.fr et amazon.fr ne permettaient toujours pas aux utilisateurs résidant en France de comprendre les finalités pour lesquelles les cookies sont utilisés et ne les informaient pas du fait qu’ils pouvaient refuser ces cookies.

C’est pourquoi la CNIL a également adopté des injonctions sous astreinte afin que les sociétés Google et Amazon procèdent à une information des personnes conforme à la loi Informatique et Libertés dans un délai de 3 mois à compter de la notification de sa décision. A défaut, elles s’exposeront au paiement d’une astreinte de 100.000 euros par jour de retard.

Cybermalveillance.gouv.fr publie son étude nationale 2020

Cybermalveillance.gouv.fr est un dispositif national créé fin 2017 dont les missions sont :

  • d’assister les victimes d’actes de cybermalveillance,
  • de sensibiliser les publics aux risques numériques,
  • d’observer les menaces numériques en France.

Il a publié le 3 décembre dernier son étude nationale sur l’exposition aux risques des internautes. Cette étude met notamment en avant l’importance des actes de cybermalveillance puisque 90% des internautes sondés ont déjà été victimes au moins une fois d’un acte de cybermalveillance. le top 3 des menaces cyber en 2020 sont :

  • le phishing (70% des personnes sondées) ;
  • les demandes d’argent d’une personne usurpant l’identité d’un proche (52% des personnes sondées) ;
  • les virus informatiques (52% des personnes sondées).

Viennent ensuite les emails d’un interlocuteur prétendant avoir piraté leur ordinateur ou webcam, le piratage du compte de messagerie ou de réseau social, le cyberharcèlement et la fraude à la carte bancaire.

L’étude de Cybermalveillance.gouv.fr se penche également sur les réactions des internautes face aux actes de cybermalveillance rencontrés et révèle que la plupart des sondés n’ont rien fait de particulier, sauf pour la fraude à la carte bancaire où 84% ont contacté leur banque mais seulement 26% ont déposé plainte.

Cela s’explique notamment par l’absence de connaissance des solutions à leur disposition puisque la moitié des répondants affirme ne pas savoir à qui s’adresser en cas de problème. Sur les noms d’organismes cités spontanément, on retrouve le Gouvernement ou .gouv.fr (8%) et la CNIL (5%) avant Cybermalveillance.gouv.fr (1,6%).

Toutefois, 43% des internautes déclarent avoir entendu parler de la plateforme d’assistance www.cybermalveillance.gouv.fr, notamment via leurs recherches sur Internet (pour 31 % des répondants) ou la presse (15%).

Bien que 80% des personnes interrogées se disent suffisamment informées sur les risques liés à Internet, les résultats de l’étude encouragent à poursuivre la sensibilisation sur les risques numériques notamment pour leur donner les bons réflexes en cas d’attaque et les aider à mieux comprendre les risques pour s’en prémunir.

A ce titre, le dispositif www.cybermalveillance.gouv.fr mène plusieurs actions en :

  • mettant à disposition gratuitement un kit de sensibilisation accessible au grand-public ainsi que des ressources et contenus de sensibilisation (vidéos de sensibilisation, mémos, fiches réflexes et pratiques…) ;
  • publiant des articles d’actualité et des alertes sur ses réseaux sociaux dès qu’une nouvelle malveillance est identifiée ;
  • recensant la liste des 43 cybermalveillances traitées dans son outil de diagnostic en ligne.

Pour retrouver les résultats de l’étude.

La CNIL prononce des sanctions à l’encontre du groupe Carrefour pour un total de 3 millions d’euros

Entre mai et juillet 2019, la CNIL a été saisie de plusieurs plaintes visant les sociétés Carrefour France et Carrefour Banque qui ont déclenché un contrôle des traitements de données personnelles effectués par ces sociétés.

La CNIL a constaté de nombreux manquements notamment :

  • L’utilisation des cookies qui étaient déposés sur le terminal des utilisateurs avant le recueil de leur consentement ;
  • L’obligation d’information des personnes concernées : la CNIL a jugé que les informations fournies par le groupe Carrefour étaient difficilement accessibles, peu claires et parfois incomplètes (durée de conservation, transferts de données hors UE et bases légales) ;
  • Le respect des droits des personnes concernées : la demande systématique d’un justificatif d’identité n’était pas justifiée, le délai d’un mois pour répondre aux demandes était régulièrement dépassé ou les demandes n’étaient pas traitées, notamment en matière d’opposition à la prospection commerciale par SMS ou par email ;
  • L’obligation de traiter les données de manière loyale : certaines données étaient transmises par Carrefour Banque à Carrefour Fidélité en contradiction totale avec l’information transmise aux personnes concernées au moment du recueil de leur consentement pour effectuer le transfert ;
  • Les durées de conservation des données : certaines durées étaient trop importantes (4 ans après le dernier achat des clients) et elles n’étaient pas respectées, ce qui a donné lieu à la conservation des données de plus de vingt-huit millions de clients inactifs depuis cinq à dix ans.

Les sociétés s’étant entretemps mises en conformité aucune injonction n’a été prononcée par la CNIL mais elle a néanmoins sanctionné la société CARREFOUR FRANCE d’une amende de 2.250.000 euros et la société CARREFOUR BANQUE d’une amende de 800.000 euros.

Pour lire la décision de la CNIL.

Le juge français est compétent pour des actes de contrefaçon et de concurrence déloyale et parasitaire, commis sur Internet.

La société portugaise Each X Other est titulaire de deux marques verbales « EACH OTHER » l’une française et l’autre internationale visant notamment l’Union européenne. Après avoir constaté que les sociétés Levi Strauss exploitait le signe « MADE FOR EACH OTHER » pour présenter leur service de personnalisation de vestes en jean dans deux boutiques situées dans le 2e arrondissement de Paris, dans un bandeau sur son site internet, ainsi que sur les réseaux sociaux Instagram et Twitter, elle a assigné les sociétés Levi Strauss devant le tribunal de grande instance de Paris en contrefaçon de marques et concurrence déloyale et parasitaire.

Les sociétés Levi Strauss ont alors soulevé l’incompétence du TGI de Paris concernant ce litige. Le juge de la mise en état ayant retenu la compétence des juridictions françaises, les sociétés Levi Strauss ont alors interjeté appel de sa décision.

Dans un arrêt en date du 10 janvier 2020, la Cour d’appel de Paris va confirmer cette décision aux motifs suivants :

  • les règles de procédure applicables aux litiges portant sur une marque nationale et sur une marque européenne donnent notamment compétence aux juridictions de l’Etat membre dans lequel la marque est protégée ou celui dans lequel les faits ont été commis ;
  • s’agissant de faits commis sur internet, il convient, pour retenir la compétence des juridictions françaises, de vérifier que les sites et comptes litigieux sont accessibles aux consommateurs ou aux professionnels français auxquels ils sont destinés, peu important le fait que les publicités litigieuses ont été mises en ligne en dehors du territoire français.

En l’espèce, il a été constaté par ministère d’huissier que le site internet comme les pages des réseaux sociaux utilisant le signe « MADE FOR EACH OTHER » étaient accessibles depuis la France.

La Cour d’appel en a donc conclu que « si les pages incriminées du site internet et des comptes Twitter et Instagram litigieux sont rédigées en langue anglaise et que les prix sur ce site apparaissent en premier lieu en dollars pour une livraison aux États-Unis, cela ne suffit pas à retenir que lesdites pages ne sont pas destinées au public français auquel elles sont facilement accessibles, et qui reconnaît les visuels de vêtements Levi’s commercialisés en France, ainsi que le libellé ‘made for each other’ qui figure en bandeau sur les vitrines de deux boutiques Levi’s et ce d’autant que les fonctionnalités desdits comptes […] tout comme les onglets de bas de page […] sont rédigés en français. »

Le Conseil d’Etat valide le système d’authentification par reconnaissance faciale Alicem

En juillet 2019, la Quadrature du net, association de défense des libertés fondamentales dans l’environnement numérique, a intenté un recours en excès de pouvoir devant le Conseil d’Etat contre le décret autorisant le ministère de l’intérieur et l’Agence nationale des titres sécurisés (ANTS) à développer l’application pour smartphone ALICEM, application ayant pour objet d’attester de l’identité des usagers de téléservices publics ou partenaires via un système d’authentification passant par la reconnaissance faciale.

Le 4 novembre 2020, le Conseil d’Etat a rejeté ledit recours en annulation aux motifs que :

  • Aucun autre moyen d’authentifier l’identité de l’usager de manière entièrement dématérialisée avec le même niveau de garantie que la reconnaissance faciale n’existant à la date du décret, le recours au traitement de données biométriques peut donc être regardé comme exigé par la finalité du traitement ;
  • Les téléservices concernés étant également accessible par les usagers via le dispositif FranceConnect, sans traitement de reconnaissance faciale, leur consentement est donc librement recueilli et conforme au RGPD et à la Loi informatique et libertés ;
  • Les données collectées décrites dans le décret étant nécessaires à l’identification et à l’authentification du l’usager et n’étant pas communiquées aux fournisseurs de téléservices, elles sont adéquates et proportionnées à la finalité du traitement.

La Quadrature du net a considéré que « cette interprétation de la notion de « consentement libre et éclairé » méconnaît non seulement celle de la CNIL mais aussi celle du comité européen de la protection des données » et critique « l’arbitraire de cette décision. »

L’importance du cahier des charges dans les projets en méthode Agile

Après avoir confié à un prestataire informatique le développement en méthode Agile de deux applications sous iOS et de son site internet, la société Oopet a mis en jeu la responsabilité contractuelle dudit prestataire et saisi le Tribunal de commerce de Paris d’une demande de remboursement des factures payées et de paiement de dommages et intérêts.

Par un jugement en date du 7 octobre 2020, le Tribunal de commerce de Paris a estimé que la responsabilité du prestataire ne pouvait être engagée car :

  • aucune expression de besoins n’a été formalisée dans un cahier des charges alors même que « les obligations qui pèsent sur le fournisseur d’un système d’information, y compris un site web, dépendent des besoins et objectifs spécifique du client, à condition qu’il les exprime précisément ce qui n’est pas le cas en l’espèce »,
  • le prestataire n’était pas contractuellement tenu de de procéder à des tests des livrables,
  • le client a prononcé sans réserve la recette des applications développées et a procédé au paiement des factures relatives au développement des applications.

En conséquence, le Tribunal a débouté la société Oopet de l’ensemble de ses prétentions et l’a condamnée au paiement de 5.000 € au titre des frais de procédure prévus par l’article 700 du Code de procédure civile.

Pour prendre connaissance du jugement, cliquez ici.

Achat de mots-clés pour la publication d’Ads : Google doit vérifier que l’activité est licite

Pour lutter contre l’augmentation artificielle des prix des billets de spectacle, la Loi n°2012-348 du 12 mars 2012 tendant à faciliter l’organisation des manifestations sportives et culturelles a créé l’article 313-6-2 du Code pénal. Cet article dispose que le fait de vendre ou de fournir les moyens de vendre des billets, quels qu’en soient la forme et le support, « pour une manifestation sportive, culturelle ou commerciale ou un spectacle vivant, de manière habituelle et sans l’autorisation du producteur, de l’organisateur ou du propriétaire des droits d’exploitation de cette manifestation ou de ce spectacle est puni de 15 000 € d’amende. »

C’est sur ce fondement que le Syndicat national des producteurs, diffuseurs, festivals et salles de spectacle musical et de variété (Prodiss) a reproché à Google la présence sur son moteur de recherche d’annonces publicitaires ou « Ads » de vente de billets de spectacle par des sites non autorisés par les producteurs. En l’absence de solution transactionnelle possible, Prodiss a donc assigné les sociétés Google France et Google Ireland Ltd devant le Tribunal judiciaire de Paris afin qu’elles empêchent la promotion de cette activité illicite via le service Google Ads.

Le Tribunal a estimé qu’il n’était « pas contestable qu’en fournissant ce publicitaire à des professionnels […] dépourvus de l’autorisation [susmentionnée], la société Google Ireland a engagé sa responsabilité à l’égard de ces producteurs ou organisateurs » via le développement d’un marché parallèle néfaste. Il a donc enjoint à Google Ireland de subordonner l’achat des mots clés « achat (ou vente), billets (ou tickets) et spectacle (ou concert) » sur Google Ads, en vue de la publication d’une annonce publicitaire à destination du public français, à la justification d’une autorisation écrite du producteur concerné par l’annonce. Cette injonction a été assortie d’une astreinte de 1.000 euros par annonce émanant d’une personne non autorisée, applicable à l’expiration d’un délai d’un mois suivant la signification de la décision.

Par ailleurs, le Tribunal a considéré que les entreprises de production et d’organisation de spectacles avaient subi un préjudice d’image qui devait être réparé mais, ce préjudice n’étant pas équivalent aux gains générés par l’activité de Google Ads, il a été estimé à la somme de 40.000 €.

Pour lire le jugement

Application « TousAntiCovid » et RGPD

L’application « TousAntiCovid » est venue remplacer l’application « StopCovid », outil de traçage des cas contacts utilisé dans le cadre de la lutte contre le coronavirus. Cette nouvelle application reprend le même protocole que l’ancienne et repose sur une démarche volontaire de recherche de cas contact via Bluetooth, sans géolocalisation des utilisateurs. Elle propose également de nouvelles fonctionnalités notamment via la diffusion d’informations sur la circulation du virus, sur les lieux de test ou un lien vers l’attestation de déplacement dérogatoire à remplir par toute personne pendant cette période de confinement.

Pour rappel, la CNIL s’était prononcée sur « StopCovid » par deux fois en avril et en mai 2020. Toutefois, sa saisine pour le déploiement de « TousAntiCovid » n’était pas nécessaire puisque le traitement des données personnelles n’a subi aucune modification substantielle.

La CNIL précise néanmoins qu’elle « reste mobilisée afin de s’assurer du respect de la vie privée des utilisateurs de l’application », notamment pour effectuer de nouveaux contrôles en cas d’évolutions significatives de l’application, et publiera d’ici la fin de l’année un nouvel avis sur les conditions de mise en œuvre des traitements liés à l’épidémie.

Pour plus d’information.