Le juge français est compétent pour des actes de contrefaçon et de concurrence déloyale et parasitaire, commis sur Internet.

La société portugaise Each X Other est titulaire de deux marques verbales « EACH OTHER » l’une française et l’autre internationale visant notamment l’Union européenne. Après avoir constaté que les sociétés Levi Strauss exploitait le signe « MADE FOR EACH OTHER » pour présenter leur service de personnalisation de vestes en jean dans deux boutiques situées dans le 2e arrondissement de Paris, dans un bandeau sur son site internet, ainsi que sur les réseaux sociaux Instagram et Twitter, elle a assigné les sociétés Levi Strauss devant le tribunal de grande instance de Paris en contrefaçon de marques et concurrence déloyale et parasitaire.

Les sociétés Levi Strauss ont alors soulevé l’incompétence du TGI de Paris concernant ce litige. Le juge de la mise en état ayant retenu la compétence des juridictions françaises, les sociétés Levi Strauss ont alors interjeté appel de sa décision.

Dans un arrêt en date du 10 janvier 2020, la Cour d’appel de Paris va confirmer cette décision aux motifs suivants :

  • les règles de procédure applicables aux litiges portant sur une marque nationale et sur une marque européenne donnent notamment compétence aux juridictions de l’Etat membre dans lequel la marque est protégée ou celui dans lequel les faits ont été commis ;
  • s’agissant de faits commis sur internet, il convient, pour retenir la compétence des juridictions françaises, de vérifier que les sites et comptes litigieux sont accessibles aux consommateurs ou aux professionnels français auxquels ils sont destinés, peu important le fait que les publicités litigieuses ont été mises en ligne en dehors du territoire français.

En l’espèce, il a été constaté par ministère d’huissier que le site internet comme les pages des réseaux sociaux utilisant le signe « MADE FOR EACH OTHER » étaient accessibles depuis la France.

La Cour d’appel en a donc conclu que « si les pages incriminées du site internet et des comptes Twitter et Instagram litigieux sont rédigées en langue anglaise et que les prix sur ce site apparaissent en premier lieu en dollars pour une livraison aux États-Unis, cela ne suffit pas à retenir que lesdites pages ne sont pas destinées au public français auquel elles sont facilement accessibles, et qui reconnaît les visuels de vêtements Levi’s commercialisés en France, ainsi que le libellé ‘made for each other’ qui figure en bandeau sur les vitrines de deux boutiques Levi’s et ce d’autant que les fonctionnalités desdits comptes […] tout comme les onglets de bas de page […] sont rédigés en français. »

Le Conseil d’Etat valide le système d’authentification par reconnaissance faciale Alicem

En juillet 2019, la Quadrature du net, association de défense des libertés fondamentales dans l’environnement numérique, a intenté un recours en excès de pouvoir devant le Conseil d’Etat contre le décret autorisant le ministère de l’intérieur et l’Agence nationale des titres sécurisés (ANTS) à développer l’application pour smartphone ALICEM, application ayant pour objet d’attester de l’identité des usagers de téléservices publics ou partenaires via un système d’authentification passant par la reconnaissance faciale.

Le 4 novembre 2020, le Conseil d’Etat a rejeté ledit recours en annulation aux motifs que :

  • Aucun autre moyen d’authentifier l’identité de l’usager de manière entièrement dématérialisée avec le même niveau de garantie que la reconnaissance faciale n’existant à la date du décret, le recours au traitement de données biométriques peut donc être regardé comme exigé par la finalité du traitement ;
  • Les téléservices concernés étant également accessible par les usagers via le dispositif FranceConnect, sans traitement de reconnaissance faciale, leur consentement est donc librement recueilli et conforme au RGPD et à la Loi informatique et libertés ;
  • Les données collectées décrites dans le décret étant nécessaires à l’identification et à l’authentification du l’usager et n’étant pas communiquées aux fournisseurs de téléservices, elles sont adéquates et proportionnées à la finalité du traitement.

La Quadrature du net a considéré que « cette interprétation de la notion de « consentement libre et éclairé » méconnaît non seulement celle de la CNIL mais aussi celle du comité européen de la protection des données » et critique « l’arbitraire de cette décision. »

L’importance du cahier des charges dans les projets en méthode Agile

Après avoir confié à un prestataire informatique le développement en méthode Agile de deux applications sous iOS et de son site internet, la société Oopet a mis en jeu la responsabilité contractuelle dudit prestataire et saisi le Tribunal de commerce de Paris d’une demande de remboursement des factures payées et de paiement de dommages et intérêts.

Par un jugement en date du 7 octobre 2020, le Tribunal de commerce de Paris a estimé que la responsabilité du prestataire ne pouvait être engagée car :

  • aucune expression de besoins n’a été formalisée dans un cahier des charges alors même que « les obligations qui pèsent sur le fournisseur d’un système d’information, y compris un site web, dépendent des besoins et objectifs spécifique du client, à condition qu’il les exprime précisément ce qui n’est pas le cas en l’espèce »,
  • le prestataire n’était pas contractuellement tenu de de procéder à des tests des livrables,
  • le client a prononcé sans réserve la recette des applications développées et a procédé au paiement des factures relatives au développement des applications.

En conséquence, le Tribunal a débouté la société Oopet de l’ensemble de ses prétentions et l’a condamnée au paiement de 5.000 € au titre des frais de procédure prévus par l’article 700 du Code de procédure civile.

Pour prendre connaissance du jugement, cliquez ici.

Achat de mots-clés pour la publication d’Ads : Google doit vérifier que l’activité est licite

Pour lutter contre l’augmentation artificielle des prix des billets de spectacle, la Loi n°2012-348 du 12 mars 2012 tendant à faciliter l’organisation des manifestations sportives et culturelles a créé l’article 313-6-2 du Code pénal. Cet article dispose que le fait de vendre ou de fournir les moyens de vendre des billets, quels qu’en soient la forme et le support, « pour une manifestation sportive, culturelle ou commerciale ou un spectacle vivant, de manière habituelle et sans l’autorisation du producteur, de l’organisateur ou du propriétaire des droits d’exploitation de cette manifestation ou de ce spectacle est puni de 15 000 € d’amende. »

C’est sur ce fondement que le Syndicat national des producteurs, diffuseurs, festivals et salles de spectacle musical et de variété (Prodiss) a reproché à Google la présence sur son moteur de recherche d’annonces publicitaires ou « Ads » de vente de billets de spectacle par des sites non autorisés par les producteurs. En l’absence de solution transactionnelle possible, Prodiss a donc assigné les sociétés Google France et Google Ireland Ltd devant le Tribunal judiciaire de Paris afin qu’elles empêchent la promotion de cette activité illicite via le service Google Ads.

Le Tribunal a estimé qu’il n’était « pas contestable qu’en fournissant ce publicitaire à des professionnels […] dépourvus de l’autorisation [susmentionnée], la société Google Ireland a engagé sa responsabilité à l’égard de ces producteurs ou organisateurs » via le développement d’un marché parallèle néfaste. Il a donc enjoint à Google Ireland de subordonner l’achat des mots clés « achat (ou vente), billets (ou tickets) et spectacle (ou concert) » sur Google Ads, en vue de la publication d’une annonce publicitaire à destination du public français, à la justification d’une autorisation écrite du producteur concerné par l’annonce. Cette injonction a été assortie d’une astreinte de 1.000 euros par annonce émanant d’une personne non autorisée, applicable à l’expiration d’un délai d’un mois suivant la signification de la décision.

Par ailleurs, le Tribunal a considéré que les entreprises de production et d’organisation de spectacles avaient subi un préjudice d’image qui devait être réparé mais, ce préjudice n’étant pas équivalent aux gains générés par l’activité de Google Ads, il a été estimé à la somme de 40.000 €.

Pour lire le jugement

Application « TousAntiCovid » et RGPD

L’application « TousAntiCovid » est venue remplacer l’application « StopCovid », outil de traçage des cas contacts utilisé dans le cadre de la lutte contre le coronavirus. Cette nouvelle application reprend le même protocole que l’ancienne et repose sur une démarche volontaire de recherche de cas contact via Bluetooth, sans géolocalisation des utilisateurs. Elle propose également de nouvelles fonctionnalités notamment via la diffusion d’informations sur la circulation du virus, sur les lieux de test ou un lien vers l’attestation de déplacement dérogatoire à remplir par toute personne pendant cette période de confinement.

Pour rappel, la CNIL s’était prononcée sur « StopCovid » par deux fois en avril et en mai 2020. Toutefois, sa saisine pour le déploiement de « TousAntiCovid » n’était pas nécessaire puisque le traitement des données personnelles n’a subi aucune modification substantielle.

La CNIL précise néanmoins qu’elle « reste mobilisée afin de s’assurer du respect de la vie privée des utilisateurs de l’application », notamment pour effectuer de nouveaux contrôles en cas d’évolutions significatives de l’application, et publiera d’ici la fin de l’année un nouvel avis sur les conditions de mise en œuvre des traitements liés à l’épidémie.

Pour plus d’information.

Health Data Hub : le Conseil d’Etat demande à Microsoft des garanties supplémentaires

Health Data Hub est une plateforme permettant de regrouper les données de santé françaises pour favoriser la recherche médicale dont l’hébergement a été confié à Microsoft.

Plusieurs associations et professionnels s’inquiétant du potentiel transfert des données de santé par Microsoft vers les Etats-Unis à la suite de l’arrêt Schrems II ont saisi le Conseil d’Etat d’un recours demandant la suspension de la plateforme.

Pour rappel, dans son arrêt Schrems II du 16 juillet 2020, la Cour de justice de l’Union européenne a invalidé l’accord de « Privacy Shield » passé entre la Commission européenne et la Chambre du commerce américaine pour légaliser les transferts de données personnelles vers les Etats-Unis aux motifs que la législation américaine ne permet pas de garantir une protection des données personnelles équivalente à celle du RGPD.

La CNIL, invitée à produire ses observations, a regretté que l’hébergeur choisi soit soumis au droit américain et puisse donc être tenu de communiquer des données aux agences de renseignement gouvernementales américaines et a donc demandé le remplacement de Microsoft par un autre prestataire.

Dans son ordonnance du 13 octobre 2020, le Conseil d’État a reconnu l’existence d’un risque de transfert de données issues du Health Data Hub vers les États-Unis malgré les garanties importantes déjà apportées. Compte tenu de l’utilité de Health Data Hub pour la gestion de la crise sanitaire et de la volonté exprimée par le Gouvernement de la transférer sur des plateformes françaises ou européennes, il ne prononce pas l’interruption immédiate de la plateforme.

Toutefois, dans l’attente de ce changement de prestataire, le Conseil d’Etat :

  • demande le renforcement des clauses du contrat avec Microsoft et la mise en place de mesures additionnelles de sécurité pour renforcer la protection des données hébergées sur le Health Data Hub ;
  • désigne la CNIL pour
    • instruire les demandes d’autorisation des projets de recherche sur le Health Data Hub dans le cadre de la crise sanitaire et veiller à ce que le recours à la plateforme soit techniquement nécessaire,
    • conseiller les autorités publiques sur les garanties appropriées.

Plus d’informations ici.

COVID-19 et les cahiers de rappel des restaurants: les recommandations de la CNIL

La CNIL fournit ses recommandations en matière de tenue d’un « cahier de rappel » par les établissements de restauration, conséquence directe du renforcement des mesures sanitaires dans les zones d’alerte maximale.

1. Données collectées

La collecte doit être limitée aux seules données nécessaires, sans qu’aucune pièce justificative ne puisse être exigée, à savoir :

  • l’identité de la personne (nom/prénom)
  • un moyen de contact (numéro de téléphone)
  • la date et l’heure d’arrivée de la personne

2. Finalité du traitement

Le traitement mis en œuvre doit avoir pour seule finalité la transmission des informations aux autorités sanitaires (CPAM, ARS…) pour faciliter la recherche des cas contacts le cas échéant et ne peut servir à des fins commerciales.  

3. Durée de conservation des données

La durée de conservation des données est fixée à 14 jours conformément aux préconisations du ministère des Solidarités et de la Santé. 

4. Sécurité des données

La sécurité des données passe notamment par leur confidentialité : seules les personnes devant en avoir connaissance doivent pouvoir y accéder (ex : le gérant qui transmet les données aux autorités sanitaires, le serveur qui recueille les données).

La CNIL distingue deux cas de figure :

  • le formulaire papier, qui doit être individuel ou par tablée s’il est mis à disposition du client ou bien doit faire l’objet d’une collecte par le restaurateur lui-même, afin qu’aucun client ne puisse avoir accès aux données des autres. Ce « cahier de rappel » papier doit ensuite être conservé dans un lieu sécurisé.
  • le formulaire électronique, dont le stockage doit être protégé par un mot de passe fort (comportant des majuscules, des minuscules, des chiffres et des caractères spéciaux) et sur un matériel entreposé dans un lieu sécurisé.

5. Information des personnes concernées

Comme pour tout traitement de données personnes, les personnes concernées doivent bénéficier d’une information exhaustive et transparente sur le traitement au moment de la collecte de ses données en intégrant une mention d’information :

  • soit sur le formulaire papier ou électronique
  • soit sur un panneau d’affichage dans l’établissement

Cette mention d’information doit notamment comprendre :

  • l’identité et les coordonnées de l’établissement ;
  • la finalité de la collecte des données (transmission des informations aux autorités sanitaires pour faciliter le traçage des cas contacts) ;
  • la durée de conservation des données (14 jours) ;
  • les droits dont dispose la personne concernée (accès ou rectification des données, effacement sous conditions…) ;
  • les destinataires des données, notamment les autorités sanitaires.

Pour aider les établissements soumis à cette obligation, un modèle de mention d’information est mis à disposition par la CNIL sur son site.

La CNIL prend également en compte les entreprises non soumises au protocole sanitaire qui voudraient néanmoins mettre en place un « cahier de rappel » en fournissant un modèle distinct de mention d’information et en fixant des conditions spécifiques :

  • qu’il soit nécessaire c’est-à-dire qu’il réponde à un besoin identifié ;
  • qu’il soit soumis au consentement de chaque personne.

Pour rappel, pour être valide, le consentement doit être libre, ce qui signifie, rappelle la CNIL que le responsable de traitement ne peut pas refuser l’accès à son établissement si la personne refuse de communiquer ses données.

Invalidation du Privacy Shield : la réponse de la Chambre de commerce américaine

La Chambre de commerce américaine a publié fin septembre un livre blanc sur les transferts de données personnelles entre l’UE et les Etats-Unis postérieurs à l’arrêt Schrems II invalidant le Privacy Shield.

Ce livre blanc a pour objectif de fournir aux entreprises européennes des informations sur la protection des données personnelles par le droit américain pour leur permettre de mener à bien l’analyse au cas par cas de la validité des transferts de données vers les Etats-Unis, telle que demandée par la Cour de justice dans son arrêt.

Ainsi, la Chambre de commerce américaine rappelle que :

  • la plupart des entreprises américaines ne sont pas concernées par les demandes de communication de données en provenance des agences de renseignement gouvernementales qui n’ont aucun intérêt pour les données commerciales ordinaires comme les données relatives aux employés, aux clients, ou aux ventes ;
  • Schrems II ne conclut pas que la protection de la vie privée par la loi américaine n’est pas conforme au RGPD mais que les informations connues par la Commission européenne en 2016 sur ce pan de la législation américaine n’étaient pas suffisantes pour valider le Privacy Shield.

En conséquence, la Chambre de commerce recommande aux entreprises européennes ayant recours aux clauses contractuelles types de prendre en compte toutes les informations disponibles à ce jour sur la législation américaine protégeant les données à caractère personnel. A ce titre, elle détaille les informations qu’elle juge pertinente sur le sujet concernant les deux lois américaines citées par la Cour de justice dans son arrêt : le Foreign Intelligence Surveillance Act « FISA » 702 et l’Executive Order 12333.

En conclusion, la Chambre de commerce précise qu’il existe de nombreuses autres lois qui permettent d’assurer un accès aux données proportionné, sous contrôle et garantissant des recours possibles en cas de violation des droits des personnes.

Ce livre blanc étant issu de la Chambre de commerce américaine, sa position est nécessairement orientée mais il permet néanmoins aux entreprises européennes traitant des données personnelles faisant l’objet de transferts vers les Etats-Unis d’avoir des débuts de réponse, dans l’attente d’une position définitive des autorités de contrôle et du CEPD.

RGPD : Sanction de 35 millions d’euros à l’encontre de H&M

Le 1er octobre dernier, l’autorité de contrôle d’Hambourg a rendu publique une sanction financière prononcée à l’encontre d’une filiale allemande du groupe H&M d’un montant historique de plus de 35 millions d’euros pour une violation grave du RGPD.

En effet, depuis 2014, cette filiale du groupe collectait des données extrêmement détaillées sur la vie privée de ses employés, notamment sur les raisons de leurs absences qu’elles concernent des problématiques familiales, leurs croyances religieuses ou un arrêt maladie.  Une partie de ces données était ensuite stockée sous un format numérique, accessible à plus de 50 managers et utilisée pour prendre des décisions concernant leur évolution ou leurs conditions de travail au sein de l’entreprise.

L’autorité de contrôle a découvert ces agissements en octobre 2019 à la suite d’une erreur de configuration qui a rendu les données litigieuses accessibles à l’ensemble de l’entreprise.

H&M s’est empressée de prendre diverses mesures correctrices pour remédier à la situation et a présenté ses excuses aux employés concernés avant de leur proposer une compensation financière. L’autorité de contrôle a encouragé cette attitude mais a néanmoins décrété que le montant de l’amende était adapté à la gravité du manquement constaté et avait également pour but de dissuader les entreprises de porter atteinte à la vie privée de leurs employés.

Pour prendre connaissance de la décision, cliquez ici.

Durcissement des règles applicables aux Cookies et autres traceurs

La CNIL a publié ce 1er octobre 2020 ses lignes directrices modificatives et sa recommandation concernant les cookies et autres traceurs.

En effet, le 19 juin dernier, le Conseil d’Etat avait annulé une partie des lignes directrices de la CNIL en estimant que l’interdiction générale relative à la pratique des « cookie walls » était trop contraignante et allait au-delà de ce qu’il est légalement possible de faire dans le cadre de lignes directrices.

Le 17 septembre 2020, la CNIL a donc adopté des lignes directrices modificatives ainsi qu’une version définitive de la recommandation pratique sur le sujet. Cette évolution des règles applicables a pour but de donner aux internautes un  meilleur contrôle sur les cookies et traceurs en ligne via l’affirmation de certains principes plus contraignants :

  • un nécessaire acte positif de l’utilisateur pour recueillir son consentement
  • des modalités de refus des cookies et traceurs qui soient aussi simples que les modalités d’acceptation
  • un renforcement de l’information de l’utilisateur

S’agissant des « cookie walls », la CNIL a estimé, dans le prolongement de ses premières lignes directrices, que  « le  fait  de  subordonner  la  fourniture  d’un  service  ou  l’accès  à  un  site  web  à l’acceptation  d’opérations  d’écriture  ou  de  lecture  sur  le  terminal  de  l’utilisateur (pratique dite de «cookie wall») est susceptible de porter atteinte, dans certains cas, à la liberté du consentement ».

La CNIL fixe le délai de mise en conformité aux nouvelles règles à six mois, soit au plus tard fin mars 2021. Pendant cette période, la CNIL accompagnera les acteurs concernés et prendra en compte les difficultés qu’ils rencontrent mais réaffirme qu’elle n’hésitera pas à poursuivre certains manquements « notamment en cas d’atteinte particulièrement grave au droit au respect de la vie privée ».