“Vers la fin des pratiques d’audits des éditeurs ? “

La Cour d’appel de Paris vient de trancher une question juridique déterminante pour les éditeurs de logiciel en concluant que le non-respect des termes d’une licence de logiciel relève des règles de la responsabilité contractuelle et non pas de celles de la responsabilité délictuelle applicable à la contrefaçon prévues à l’article L335-3 du Code de la propriété intellectuelle (Arrêt du 19 mars 2021- Pôle 5 – chambre 2, n° 19/17493).

Cette jurisprudence s’inscrit dans la ligne de précédentes décisions des chambres spécialisées en propriété intellectuelle de la Cour d’appel de Paris.

Déjà en 2016, la 1ère chambre du Pôle 5 avait sanctionné l’éditeur, sur le terrain de la responsabilité contractuelle, pour mauvaise foi et déloyauté, en lui reprochant d’avoir profité de son droit d’audit pour faire pression sur sa cliente en exigeant indûment des régularisations de licences de logiciels concernant l’utilisation d’un logiciel fourni par l’éditeur et non compris dans le périmètre de la licence (Arrêt du 10 mai 2016 – Pôle 5 – chambre 1, n° 14/25055).

En 2018, la Cour d’appel de Paris avait également demandé à la CJUE de trancher cette épineuse question dans le cadre d’une question préjudicielle (Arrêt du 16 octobre 2018 – Pôle 5 – chambre 1, , n° 17/02679). La CJUE ne s’était pas prononcée considérant qu’elle ne pouvait trancher que les faits de l’espèce qui portaient sur des modifications apportées aux codes-sources. Elle avait rappelé que le titulaire des droits de propriété intellectuelle sur le logiciel bénéficiait des dispositions de la directive 2004/48/CE relatives au respect des droits de propriété intellectuelle, indépendamment du régime de responsabilité applicable selon le droit national (CJUE, n° C-666/18, Arrêt de la Cour, IT Development SAS contre Free Mobile SAS). L’affaire n’avait pas eu de suite, les parties s’étant désisté de leur appel.

Les conséquences pratiques sont importantes :

  • L’éditeur devra prouver la faute de sa cliente et du préjudice qu’elle a subi, alors qu’en matière de contrefaçon, la bonne ou mauvaise foi est indifférente et le préjudice n’a pas à être démontré.
  • Le référentiel des métriques de licence sera celui du contrat de licence et non celui du jour de l’audit.
  • Le prix des licences supplémentaires à régulariser sera celui convenu au contrat et non pas le prix public.
  • Les Tribunaux de commerce pourront se déclarer compétents sans renvoyer vers les Tribunaux judiciaires spécialisés en propriété intellectuelle.
  • La saisie contrefaçon ne sera pas autorisée.

Rappelons que la Cour d’appel d’Aix-en-Provence s’est également inscrite dans la voie des décisions plus favorables aux bénéficiaires des licences en considérant, sur le terrain délictuel de la contrefaçon, que le calcul du préjudice pour le paiement des redevances supplémentaires devaient avoir comme base le prix contractuel et non le prix public, qui aurait abouti à majorer le montant du préjudice (Arrêt du 5 mars 2020 Chambre 3-1, 5 mars 2020, n° 17/15324).

Cookies & autres traceurs : plus que quelques jours pour vous mettre en conformité

Le 31 mars 2021 au plus tard, toutes opérations de lecture et/ou d’écriture d’information dans l’équipement de l’utilisateur devront être conformes aux règles législatives applicables.

La délibération de la CNIL du 17 septembre 2020 les rappelle : 

  • interdiction de déposer des cookies sans consentement préalable de l’utilisateur (la personne concernée),
  • information préalable claire et complète de l’utilisateur sur les finalités de chaque cookie,
  • possibilité pour l’utilisateur de s’y opposer.

En pratique, la bannière « cookies » doit laisser trois options à l’utilisateur : « tout accepter », «  tout refuser » ou « paramétrer » l’acceptation ou le refus pour chaque cookie assortie de sa finalité et de sa durée de rétention.

La Cnil n’a pas attendu cette date pour frapper et avait déjà lourdement sanctionné les sociétés Google LLC et Google Ireland Limited d’une amende record de 100 millions d’euros (voir notre actualité du 14 décembre 2020 sur notre site internet : poggi-avocats.com).

Cette décision ayant été assortie d’une astreinte très élevée par jour de retard, les sociétés Google ont demandé au juge des référés du Conseil d’Etat de suspendre son exécution au motif que :

  • La Cnil n’était pas compétente pour prononcer une telle injonction, cette compétence appartenant à l’autorité de contrôle de l’établissement principal du traitement en application du mécanisme dit du « guichet unique » prévu par l’article 56 du RGPD, soit l’autorité de contrôle Irlandaise,
  • Le montant de l’astreinte était trop élevé, soit 100 000 euros par jour de retard,
  • Le délai pour s’exécuter était trop réduit, soit jusqu’au 7 mars 2021.

Dans sa décision du 4 mars 2021, le Conseil d’état vient de rejeter cette requête pour trois raisons :

  • Le mécanisme du « guichet unique » prévu par le RGPD ne s’applique pas en matière de cookies. C’est l’article 15 bis de la directive  « ePrivacy » qui fixe  la compétence des autorités de contrôle des états membres,
  • Les articles 16 et 20 de la LIL autorisent la formation restreinte de la Cnil a prononcé toutes sanctions en cas de non respect des obligations découlant du RGPD et de la LIL et notamment, une astreinte dont le montant ne peut excéder 100 000 euros par jour de retard à compter de la date fixée,
  • Le délai de 3 mois est « raisonnable, compte tenu des moyens techniques dont disposent les sociétés Google et de la capacité d’adaptation dont elles se prévalent.

L’arsenal juridique est en place pour que la CNIL frappe vite et fort.

Workshop Agora DSI/CIO 10 Mars 17h à 18h « Comprendre les métriques des contrats SAAS »

Workshop Agora DSI/CIO du 10 Mars de 17h à 18h sur le thème « Comprendre les métriques des contrats SAAS »

POGGI AVOCATS IT anime un workshop en visioconférence organisé par son partenaire Agora DSI/CIO dans le cadre des sessions digitales de l’IT  sur le thème : « Comprendre les métriques des contrats SAAS ».

Pour en parler, nous serons avec Robert Eusebe, DSI de Ingerop, qui partagera son retour d’expérience.  

Il se déroulera en direct depuis le plateau TV Agora Managers et en visioconférence Teams afin de pouvoir interagir.  

Si vous souhaitez y participer, merci de m’adresser un email à aspoggi@poggiavocats.com en mettant en copie Julien Merali jmerali@agoramanagers.fr. Ce dernier est le General Manager de l’Agora DSI et vous fera parvenir une invitation Outlook comprenant les liens de connexion. 

iOS 14 d’Apple, une menace pour les modèles économiques des solutions de ciblage publicitaire

Vous êtres éditeur, développeur ou utilisateur d’application Apple ?

Intéressez-vous à la version iOS 14 d’Apple qui menace les modèles économiques des solutions de ciblage publicitaire.

  1. Elle  durcit les règles en matière de protection de la vie privée dans un souci de plus grande transparence.

Apple a créé une nouvelle rubrique consacrée à l’information des utilisateurs sur l’utilisation de leurs données personnelles.

Tout développeur de l’ application est contraint de compléter et de mettre à jour la fiche de l’application disponible sur l’App Store en précisant :

  • les données collectées par l’application (et notamment si les données collectées permettent le traçage de l’utilisateur) ;
  • les données collectées par les partenaires tiers via l’ application (les outils d’analyse type Google, les outils de tracking des réseaux sociaux, les réseaux publicitaires, les SDK tiers ..) ; 
  • La Politique de Confidentialité de l’éditeur de l’ application.
  1. Elle intègre une nouvelle fonctionnalité dite « AppTrackingTransparency » au profit de l’utilisateur.

Concrètement, dès lors que l’application collecte des données personnelles, l’App Store envoient une « invitation » à chaque utilisateur pour lui demander son autorisation de partage et de suivi pour l’application.

L’utilisateur a la possibilité d’accepter ou de refuser la collecte et le partage de certaines données.

Si l’utilisateur refuse, ses données resteront confidentielles. Il peut aussi consentir ou refuser d’être tracé en ligne et désactiver son suivi à tout moment.

À mesure que de plus en plus d’utilisateurs désactiveront le suivi sur les appareils iOS 14, les interactions avec l’application et les audiences personnalisées fondées sur l’activité dans votre application ou sur votre site web risquent de décliner.

Facebook a déjà réagi en menaçant de porter plainte contre Apple pour pratique anticoncurrentielles tout en proposant d’ores et déjà des solutions de contournement.

Une convention de preuve écartée en raison d’un déséquilibre significatif dans les droits et obligations des parties.

Cour d’appel de Paris, Pôle 5 – chambre 5, 7 janvier 2021, n° 18/17376

Pratique restrictive de concurrence et déséquilibre significatif dans les droits et obligations des parties : une convention de preuve stipulant que seul le système d’information du fournisseur fait foi entre les parties déclarée inopposable.

Une société de vente à distance avait conclu avec La Poste plusieurs contrats, incluant des conditions générales de vente, pour la distribution de colis à ses clients. Suite à des retards, elle a assigné La Poste devant le tribunal de commerce de Paris notamment pour le non-respect des délais garantis. Débouté de ses demandes, elle a interjetée appel.

L’appelante soutenait que des clauses relatives à la preuve créaient un déséquilibre significatif dans les droits et obligations des parties et devaient lui être déclarées inopposables. La demande était fondée sur l’article L.442-6, I, 2° du Code de commerce (désormais L.442-1,I,2° du même code), qui dispose qu’« engage la responsabilité de son auteur et l’oblige à réparer le préjudice causé le fait (…) de soumettre ou de tenter de soumettre un partenaire commercial à des obligations créant un déséquilibre significatif dans les droits et obligations des parties

La Cour d’appel rappelle d’abord que « l’existence d’un contrat d’adhésion ne suffit pas à caractériser la preuve de l’absence de pouvoir réel de négociation » et a considéré que la soumission ou la tentative de soumission se déduit de la démonstration de « l’absence de négociation effective, ou de l’usage de menaces ou de mesures de rétorsion visant à forcer l’acceptation impliquant cette absence de négociation effective ».

L’impossibilité effective de négociation s’infère de :

  • « clauses [] quasiment identiques dans tous les contrats conclus par la société cliente et se retrouvent dans l’ensemble des contrats souscrits par des entreprises avec La Poste » ;
  • « la puissance de La Poste dans le secteur de l’acheminement des colis ».

La Cour rappelle ensuite qu’en cas d’existence d’obligations créant un déséquilibre significatif, « la preuve doit être apportée par la partie qui s’en prétend victime ». Ce déséquilibre  peut se déduire « d’une absence totale de réciprocité ou de contrepartie à une obligation, ou encore d’une disproportion importante entre les obligations respectives des parties ». La Cour précise que « les clauses sont appréciées dans leur contexte, au regard de l’économie de la relation contractuelle ».

En l’espèce, les clauses litigieuses stipulaient que « les différentes informations fournies par le système d’information de La Poste issues des flashages des colis, par La Poste, lors des différentes étapes d’acheminement […] font foi entre les Parties pour déterminer l’occurrence ou non d’un retard ».

La Cour d’appel relève que le « système d’information de La Poste prévaut sur tout autre élément de preuve […] » alors même qu’en dépend « […] la mise en jeu de sa responsabilité contractuelle […] ». Ces clauses « font dépendre le point de départ du délai d’acheminement d’un colis exclusivement de son enregistrement dans le système d’information de La Poste alors même que La Poste s’engage au respect de délais d’acheminement minimum ». La Cour d’appel juge que si « un tel système probatoire était admis, il en résulterait que celui sur lequel pèsent les obligations de résultat de ponctualité et de délivrance des colis contrôlerait seul le respect de ses propres obligations ».

La Cour conclut que ces clauses « créent un déséquilibre significatif dans les droits et obligations des parties sans que la société La Poste ne rapporte la preuve de la compensation de ce déséquilibre par d’autres clauses du contrat ». La Cour relève à cet égard que « le traitement à grande échelle de la distribution de colis et la maîtrise des coûts induits par un tel type de traitement ne peut justifier que le système d’information permettant un tel traitement puisse être seul retenu à titre de preuve ».

La Cour d’appel déclare en conséquence les clauses litigieuses inopposables à la société cliente.

La compétence du Tribunal de commerce de Paris confirmée en matière de dénigrement et parasitisme

Assignée par la société Viaticum pour des faits de dénigrement et de parasitisme, TripAdvisor a contesté la compétence du Tribunal de commerce de Paris :

  • A titre principal car ses conditions générales d’utilisation stipulait que « le droit interne de l’Etat du Massachusetts permettait de déterminer le tribunal spécialement compétent »
  • A titre subsidiaire car le tribunal judiciaire de Paris était seul compétent dans les litiges relatifs à la loi du 29 juillet 1881 sur la liberté de la presse

Dans son jugement en date du 27 avril 2020, le Tribunal de commerce a rejeté les demandes de TripAdvisor et s’est déclaré compétent, jugement dont TripAdvisor a interjeté appel.

Par un arrêt du 6 janvier 2021, la Cour d’appel de Paris a confirmé le jugement du Tribunal de commerce :

  • En ce qu’il a déclaré nulle la clause attributive de compétence territoriale des CGU de TripAdvisor. En effet, en vertu de l’article 46 du Code de procédure civile, la société Viaticum pouvait librement saisir la juridiction du lieu dans lequel le dommage avait été subi. En l’espèce, les actes de dénigrement et de parasitisme ayant été subis au lieu du siège social de la société, en France, cette dernière pouvait saisir la juridiction française.
  • En ce qu’il a estimé le Tribunal de commerce compétent. En effet, les demandes de la société Viaticum étant relatives à des actes de dénigrement et de parasitisme et non de diffamation, les dispositions relatives à la loi du 29 juillet 1881 sur la liberté de la presse ne s’appliquaient pas.

Elle a par ailleurs condamné Tripadvisor à verser 7.000 euros à la société Viaticum au titre de l’article 700 du code de procédure civile ainsi qu’aux dépens.

La CNIL sanctionne l’absence de preuve du consentement en matière de prospection commerciale

Alertée par l’association SIGNAL SPAM sur le comportement de la société PERFOMECLIC, TPE dont l’activité est l’envoi de prospection commerciale par courrier électronique pour le compte d’annonceurs, la CNIL a effectué des contrôles et constaté de nombreux manquements aux obligations en vigueur en matière de prospection commerciale.

La société PERFOMECLIC n’a notamment pas pu prouver l’existence d’un consentement valable des personnes prospectées par ses soins, ce qui constitue donc un manquement à l’obligation de recueillir le consentement des personnes avant l’envoi de courriels de prospection.

La CNIL a également relevé des manquements :

  • au principe de minimisation des données, certaines données conservées n’étant pas nécessaires dans le cadre d’une activité de prospection par email, comme le numéro de téléphone ;
  • en matière de durée de conservation des données, la société conservant des données de prospects pendant plus de trois ans à compter de la simple ouverture des courriels de prospection sans une autre action de la part des personnes concernées (par exemple sans clic sur un des liens présents dans les courriels de prospection) ;
  • à l’obligation d’informer correctement les personnes ;
  • au droit d’opposition des personnes, la société ne permettant pas aux personnes démarchées de s’opposer de manière effective à l’utilisation de leurs données ;
  • à l’encadrement contractuel des relations avec un sous-traitant, en raison de l’absence de clauses obligatoires dans le contrat conclu entre la société et son prestataire d’hébergement.

Le 7 décembre 2020, la CNIL a donc sanctionné la société PERFORMECLIC pour ces manquements. Prenant en compte la taille et la situation financière de la société, la sanction prononcée se compose de :

  • une amende de 7.300 euros
  • une injonction à se mettre en conformité dans un délai de 2 mois sous astreinte de 1 000 euros par jour de retard
  • la publicité de la décision.

Pour en savoir plus…

La CNIL prononce des sanctions records à l’encontre de Google et d’Amazon pour violation de la règlementation sur les cookies

Le 7 décembre 2020, la formation restreinte de la CNIL a prononcé des sanctions pour violation de la règlementation sur les cookies à l’encontre de :

Entre décembre 2019 et mai 2020, la CNIL a effectué des contrôles en ligne sur les sites google.fr et amazon.fr qui ont permis de révélé trois typologies de violations de Loi Informatique et Libertés :

  • Dépôt de cookies sans consentement préalable de l’utilisateur

Des cookies à finalité publicitaire étaient automatiquement déposés sur l’ordinateur de l’internaute, sans action de sa part, ce comportement n’étant pas compatible avec l’obligation de recueil préalable du consentement de l’utilisateur.

  • Défaut d’information des utilisateurs

Pour les deux sites, aucune information claire et complète relative aux cookies n’était fournie à l’utilisateur par le bandeau d’information s’affichant en pied de page ni, pour le site google.fr, sur la page apparaissant lorsqu’il cliquait sur le bouton « Consulter maintenant ».

  • Pour le site google.fr, un cookie publicitaire demeurait actif même après avoir activé le mécanisme d’opposition à la personnalisation des annonces.

Selon la CNIL, le montant important des sanctions prononcées est justifié non seulement au regard de la gravité des manquement constatés mais également de leur portée puisqu’ils ont affecté des millions de consommateurs et des bénéfices élevés qu’ils ont indirectement générés soit via des services de publicité (pour les sociétés Google) soit en permettant d’augmenter considérablement la visibilité des produits commercialisés par Amazon.

Bien que le dépôt automatique des cookies sans consentement ait entretemps cessé, les nouveaux bandeaux d’information s’affichant sur les pages google.fr et amazon.fr ne permettaient toujours pas aux utilisateurs résidant en France de comprendre les finalités pour lesquelles les cookies sont utilisés et ne les informaient pas du fait qu’ils pouvaient refuser ces cookies.

C’est pourquoi la CNIL a également adopté des injonctions sous astreinte afin que les sociétés Google et Amazon procèdent à une information des personnes conforme à la loi Informatique et Libertés dans un délai de 3 mois à compter de la notification de sa décision. A défaut, elles s’exposeront au paiement d’une astreinte de 100.000 euros par jour de retard.

Cybermalveillance.gouv.fr publie son étude nationale 2020

Cybermalveillance.gouv.fr est un dispositif national créé fin 2017 dont les missions sont :

  • d’assister les victimes d’actes de cybermalveillance,
  • de sensibiliser les publics aux risques numériques,
  • d’observer les menaces numériques en France.

Il a publié le 3 décembre dernier son étude nationale sur l’exposition aux risques des internautes. Cette étude met notamment en avant l’importance des actes de cybermalveillance puisque 90% des internautes sondés ont déjà été victimes au moins une fois d’un acte de cybermalveillance. le top 3 des menaces cyber en 2020 sont :

  • le phishing (70% des personnes sondées) ;
  • les demandes d’argent d’une personne usurpant l’identité d’un proche (52% des personnes sondées) ;
  • les virus informatiques (52% des personnes sondées).

Viennent ensuite les emails d’un interlocuteur prétendant avoir piraté leur ordinateur ou webcam, le piratage du compte de messagerie ou de réseau social, le cyberharcèlement et la fraude à la carte bancaire.

L’étude de Cybermalveillance.gouv.fr se penche également sur les réactions des internautes face aux actes de cybermalveillance rencontrés et révèle que la plupart des sondés n’ont rien fait de particulier, sauf pour la fraude à la carte bancaire où 84% ont contacté leur banque mais seulement 26% ont déposé plainte.

Cela s’explique notamment par l’absence de connaissance des solutions à leur disposition puisque la moitié des répondants affirme ne pas savoir à qui s’adresser en cas de problème. Sur les noms d’organismes cités spontanément, on retrouve le Gouvernement ou .gouv.fr (8%) et la CNIL (5%) avant Cybermalveillance.gouv.fr (1,6%).

Toutefois, 43% des internautes déclarent avoir entendu parler de la plateforme d’assistance www.cybermalveillance.gouv.fr, notamment via leurs recherches sur Internet (pour 31 % des répondants) ou la presse (15%).

Bien que 80% des personnes interrogées se disent suffisamment informées sur les risques liés à Internet, les résultats de l’étude encouragent à poursuivre la sensibilisation sur les risques numériques notamment pour leur donner les bons réflexes en cas d’attaque et les aider à mieux comprendre les risques pour s’en prémunir.

A ce titre, le dispositif www.cybermalveillance.gouv.fr mène plusieurs actions en :

  • mettant à disposition gratuitement un kit de sensibilisation accessible au grand-public ainsi que des ressources et contenus de sensibilisation (vidéos de sensibilisation, mémos, fiches réflexes et pratiques…) ;
  • publiant des articles d’actualité et des alertes sur ses réseaux sociaux dès qu’une nouvelle malveillance est identifiée ;
  • recensant la liste des 43 cybermalveillances traitées dans son outil de diagnostic en ligne.

Pour retrouver les résultats de l’étude.

La CNIL prononce des sanctions à l’encontre du groupe Carrefour pour un total de 3 millions d’euros

Entre mai et juillet 2019, la CNIL a été saisie de plusieurs plaintes visant les sociétés Carrefour France et Carrefour Banque qui ont déclenché un contrôle des traitements de données personnelles effectués par ces sociétés.

La CNIL a constaté de nombreux manquements notamment :

  • L’utilisation des cookies qui étaient déposés sur le terminal des utilisateurs avant le recueil de leur consentement ;
  • L’obligation d’information des personnes concernées : la CNIL a jugé que les informations fournies par le groupe Carrefour étaient difficilement accessibles, peu claires et parfois incomplètes (durée de conservation, transferts de données hors UE et bases légales) ;
  • Le respect des droits des personnes concernées : la demande systématique d’un justificatif d’identité n’était pas justifiée, le délai d’un mois pour répondre aux demandes était régulièrement dépassé ou les demandes n’étaient pas traitées, notamment en matière d’opposition à la prospection commerciale par SMS ou par email ;
  • L’obligation de traiter les données de manière loyale : certaines données étaient transmises par Carrefour Banque à Carrefour Fidélité en contradiction totale avec l’information transmise aux personnes concernées au moment du recueil de leur consentement pour effectuer le transfert ;
  • Les durées de conservation des données : certaines durées étaient trop importantes (4 ans après le dernier achat des clients) et elles n’étaient pas respectées, ce qui a donné lieu à la conservation des données de plus de vingt-huit millions de clients inactifs depuis cinq à dix ans.

Les sociétés s’étant entretemps mises en conformité aucune injonction n’a été prononcée par la CNIL mais elle a néanmoins sanctionné la société CARREFOUR FRANCE d’une amende de 2.250.000 euros et la société CARREFOUR BANQUE d’une amende de 800.000 euros.

Pour lire la décision de la CNIL.