Newsletters
26.10.2017Bradley Joslove, Jean-Baptiste Belin

Newsletter Numérique & Réseaux n° 12 – Premier semestre 2017

Le département Numérique & Réseaux du cabinet Franklin a le plaisir de vous présenter la dernière édition de sa Newsletter consacrée aux actualités juridiques marquantes du premier semestre 2017 en France dans le secteur du droit des données personnelles, des contrats informatiques et des réseaux (internet et télécoms). Nous espérons que cette Newsletter contribuera à vous permettre d’anticiper certaines problématiques juridiques auxquelles votre entreprise pourrait être confrontée. Nous sommes à votre disposition pour toute assistance juridique dont vous pourriez avoir besoin.

DONNEES PERSONNELLES

I Le Conseil d’Etat interroge la CJUE sur l’application de la directive de 1995 aux exploitants de moteurs de recherche (Conseil d’État, Assemblée, 24/02/2017, 391000, publié au recueil Lebon)

Dans son célèbre arrêt Google Spain (CJUE, 13 mai 2014, Google Spain, aff. C-131/12) créant un droit à l’oubli applicable aux moteurs de recherche, la CJUE a considéré que Google devait être qualifié de responsable de traitement au sens de la directive 95/46/CE du 24 octobre 1995 lorsqu’il exerce son activité de moteur de recherche. A l’époque, l’avocat général et plusieurs commentateurs ont remarqué que les conséquences de cette qualification s’étendraient bien au-delà du droit à l’oubli puisqu’un responsable de traitement doit respecter nombre d’obligations au titre de la directive précitée (et bientôt au titre du GDPR) dont une partie semble impossible à respecter pour un moteur de recherche (voir à ce sujet l’article de Bradley Joslove et Adeline Jobard « Données personnelles – le droit à l’oubli : Google, ce colosse à la mémoire d’argile »).

Il semble aujourd’hui que la CJUE ait la possibilité de se prononcer sur le sujet puisque, dans une décision en date du 24 février 2017, le Conseil d’Etat lui a transmis plusieurs questions préjudicielles quant à l’application de la directive de 1995 aux moteurs de recherche. Par exemple, comment les règles limitant strictement le traitement des données personnelles (telles que les données relatives aux croyances religieux, aux opinions politiques ou encore à la vie sexuelle) s’appliquent aux activités d’un moteur de recherche ? Un moteur de recherche est-il un responsable de traitement comme un autre ou doit-il bénéficier d’un régime particulier ? Si oui, lequel ?

Il sera difficile de répondre aux questions soulevées par le Conseil d’Etat et l’on se demande si la CJUE avait suffisamment réfléchi aux conséquences de sa décision considérant que Google agissait en tant que responsable de traitement dans le cadre de ses activités de moteur de recherche. Lorsque la CJUE aura répondu aux questions précitées, d’autres viendront, et notamment celles transmises par le Conseil d’Etat en juillet 2017 sur la portée territoriale de la décision Google Spain de 2014 (le sujet sera étudié en détail dans la prochaine édition de notre newsletter).

II Le Conseil d’Etat précise la notion d’anonymisation de données personnelles (Conseil d’État, 10ème – 9ème chambres réunies, 08/02/2017, 393714)

Dans un arrêt du 8 février 2017, le Conseil d’Etat a confirmé le refus de la CNIL d’autoriser un dispositif de comptabilisation des flux de piétons sur la dalle du quartier d’affaires de La Défense, qui collectait les identifiants réseaux de terminaux mobiles puis appliquait une technique qualifiée d’anonymisation par le responsable de traitement.

Après analyse technique du dispositif, la CNIL avait jugé que la technique d’anonymisation ne permettait pas d’assurer une véritable anonymisation des données (délibération 2015-255 du 16 juillet 2015). Le Conseil d’Etat confirme la décision de la CNIL : une donnée ne peut pas être considérée comme anonyme quand « il demeure possible d’individualiser une personne ou de relier entre elles des données résultant de deux enregistrements qui la concernent ».

Cette décision consacre donc une définition restrictive de l’anonymisation. Les responsables de traitement devront faire preuve de prudence lors de la mise en place de dispositifs d’anonymisation en vérifiant que les techniques déployées empêchent toute ré-identification des personnes concernées. Dans le cas contraire, les techniques d’anonymisation jugées insuffisantes par la CNIL devraient être considérées comme des techniques de pseudonymisation, avec les conséquences suivantes : pas d’allégement des obligations juridiques à la charge des responsables de traitement mais une diminution du risque d’atteinte à la vie privée, ce qui est un atout dans le cadre de l’ « accountability » prônée par le GDPR.

III. Un email issu d’une messagerie professionnelle non déclarée à la CNIL est une preuve licite (Cour de cassation, chambre sociale, 1er juin 2017, 15-23.522, publié au bulletin)

Dans un arrêt en date du 1er juin 2017, la Cour de cassation a considéré qu’un email issu d’une messagerie professionnelle d’un salarié pouvait valablement être utilisé en justice par l’employeur, alors même que le système de messagerie électronique n’avait pas fait l’objet d’une déclaration simplifiée auprès de la CNIL.

En l’espèce, la messagerie professionnelle était une messagerie excluant tout contrôle individuel de l‘activité des salariés, qui était donc soumise à une déclaration simplifiée. Or, par nature, les traitements bénéficiant d’une déclaration simplifiée sont les traitements ne portant pas atteinte à la vie privée ou aux libertés des personnes.

Pour l’heure, cette solution ne concerne que les messageries électroniques professionnelles qui relèvent du régime de la déclaration simplifiée. Elle semble difficilement transposable aux messageries électroniques professionnelles qui relèvent du régime de la déclaration normale puisqu’elles contrôlent nécessairement l’activité des salariés, ce qui caractérise un risque élevé d’atteinte à la vie privée des salariés.

INFORMATIQUE

IV La création par l’ANSSI et son homologue allemand d’un label commun

L’ANSSI et son homologue allemand ont lancé le label ESCloud pour créer un socle de confiance dans le domaine du cloud. Le label ESCloud repose sur un ensemble de règles organisationnelles et techniques permettant d’attester du sérieux de la démarche des États en matière de cybersécurité, de la rigueur des prestataires sélectionnés et du traitement et stockage des données dans l’Union européenne.

Le label ESCloud coexiste avec les labels français et allemand : être labellisé SecNumCloud (en France) ou C5 (en Allemagne) permettra d’obtenir le label ESCloud. Ce mécanisme de certification, qui ne concerne pour le moment que la France et l’Allemagne, devrait prochainement s’étendre à l’Europe.

V La condamnation d’IBM à plus de 6,6 millions d’euros suite à l’échec d’un projet d’intégration (Cour de cassation, chambre commerciale, 29 mars 2017, 15-16.010, inédit)

Dans une décision en date du 29 mars 2017, la Cour de cassation a confirmé l’arrêt rendu par la Cour d’appel de Bordeaux qui avait condamné IBM à payer plus de 6,6 millions d’euros à son client la MAIF pour la dérive d’un projet informatique (Cour d’appel de Bordeaux, 1ère chambre civile – section B, 29 janvier 2015).

A l’issue de près de dix ans de procédure, IBM est donc déclaré unique responsable pour l’échec d’un projet d’intégration contractualisé au forfait avec obligation de résultat, et finalement jamais délivré malgré une importante dérive calendaire et financière face à laquelle la MAIF a fini par résilier le contrat la liant avec IBM.

La stratégie d’IBM, qui invoquait une forte implication du client dans l’exécution du projet et des arbitrages opérationnels pour tenter de diminuer sa responsabilité, n’a pas été payante puisque la primauté des termes du contrat initial, qui étaient très engageants pour IBM, a été affirmée par les juges. Un des mérites de cette affaire est de rappeler aux clients et prestataires, s’il en était besoin, qu’il est primordial de bien négocier son contrat pour minimiser les risques encourus en cas d’échec de projet.

TELECOMMUNICATIONS

VI La fin des frais d’itinérance dans l’Union européenne

Depuis le 15 juin 2017, les opérateurs de télécommunications ne peuvent plus facturer de frais d’itinérance (surcoût lors de l’utilisation d’un appareil mobile à l’étranger) dans l’Union européenne. Il s’agit de la première étape du chantier européen de création d’un marché unique du numérique entrepris par la commission européenne depuis 2015. La prochaine étape sera l’application, en 2018, de la portabilité des contenus qui permettra aux européens temporairement présents dans un autre État que leur État habituel de résidence de continuer à bénéficier de leur contenu en ligne tel que leur abonnement Netflix ou encore TF1 replay par exemple.

VII. La soumission d’une chaine YouTube à la régulation du CSA (Assemblée plénière du 9 novembre 2016)

Dans une décision du 9 novembre 2016, le CSA s’est reconnu compétent pour contrôler l’activité d’une chaîne YouTube au titre de la loi du 30 septembre 1986 modifiée qui lui confère une mission de contrôle sur les services de médias audiovisuels à la demande (SMAD) (replay, vidéo à la demande, etc.).

Si les plateformes bénéficient du statut d’intermédiaire technique qui semble interdire de les faire entrer dans la catégorie des SMAD, il en va autrement des chaînes YouTube, qui sont éditées par leur exploitant et, à ce titre, ne peuvent bénéficier du statut d’intermédiaire technique. C’était précisément le cas en l’espèce, le CSA ayant vraisemblablement considéré que, hormis son mode de diffusion (sur Youtube), la chaîne possédait toutes les caractéristiques d’un SMAD, puisqu’elle présentait un catalogue de contenus organisés par un professionnel, dans le cadre d’une activité économique et constituait une offre entièrement autonome de tout autre service.

Cette décision est une première qui pourrait ouvrir la voie à un contrôle accru du CSA sur les contenus accessibles via l’internet.

LOI APPLICABLE / JURIDICTION COMPETENTE

VIII. La compétence des juridictions françaises pour juger des sites internet étrangers (Cour de cassation, chambre commerciale, 5 juillet 2017, 14-16.737, publié au bulletin)

Dans un arrêt du 5 juillet 2017, la Cour de cassation a étendu la compétence des juridictions françaises à l’action en responsabilité d’un distributeur français agréé contre des sites internet étrangers proposant des produits à la vente en violation d’un réseau de distribution sélective.

Dans cette affaire, la Cour de cassation avait saisi la CJUE d’une question préjudicielle (Cour de cassation, chambre commerciale, 10 novembre 2015, 14-16.737, inédit) relative à l’interprétation de l’article 5.3 du règlement n°44/2001, qui dispose qu’une personne domiciliée sur le territoire d’un État membre peut, en matière délictuelle, être attraite dans un autre État membre devant le tribunal du lieu où le fait dommageable s’est produit ou risque de se produire. La CJUE a considéré que le lieu où le dommage s’est produit ou risque de se produire au sens de cet article est celui de l’Etat membre où le droit en question est protégé et où le distributeur prétend subir une baisse de vente (CJUE, 21 décembre 2016, aff. C-618/15).

Suite aux précisions de la CJUE, la Cour de cassation énonce que les juridictions françaises sont compétentes dans le cas d’espèce, même si les sites en question ne visent pas le public de France car le droit français protège l’interdiction de revente hors réseau de distribution sélective et que c’est sur le territoire français que le distributeur prétend subir un dommage matérialisé par une réduction de ses ventes.

Pour plus d’informations sur ces sujets, contactez le département Numérique et Réseaux du cabinet Franklin  :
Bradley Joslove ou Jean-Baptiste Belin
Si vous ne souhaitez plus être abonné à cette newsletter, indiquez-le nous par retour de courriel afin que vos coordonnées soient supprimées de notre base de données. Le contenu de cette newsletter est purement informatif.
Cette newsletter ne constitue pas un avis ou une opinion juridique concernant des faits ou des circonstances précis.
Le contenu de la newsletter a pour seul but d’apporter des informations générales.
© 2017 Franklin.
Tous droits réservés.