Accueil

Articles taggés avec ‘CNIL’

Newsletter juridique Fevrier 2010

Jeudi 1 avril 2010 par : Françoise Collin

NEWSLETTER JURIDIQUE

Février 2010

  1. 1.       Projet de loi d’Orientation et de Programmation pour la Sécurité Intérieure (AN 16/02/2010)

 Le projet de loi d’Orientation et de Programmation pour la Sécurité Intérieure (dit LOPPSI 2) présenté en conseil des ministres le 27 mai 2009[1], a été adopté après quelques amendements par l’Assemblée nationale le 16 février 2010.

 Ce projet de loi fixe les grandes orientations stratégiques de la politique de sécurité intérieure pour les années 2009-2013 et traite, notamment, de la cybercriminalité.

 Ce texte prévoit notamment d’introduire deux nouvelles incriminations relatives à l’usurpation d’identité sur internet.

 En effet, en l’état actuel du droit, l’usurpation d’identité ne peut être appréhendée qu’à travers l’article 434-23 du Code pénal qui dispose que « Le fait de prendre le nom d’un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales, est puni de cinq ans d’emprisonnement et de 75000 euros d’amende ».

 Ainsi, l’utilisation du nom d’un tiers n’est pénalement répréhensible qu’à condition que cette utilisation fasse peser un risque pénal sur la personne dont l’identité à été usurpée.

 La nouvelle loi permettrait de sanctionner plus largement l’usurpation d’identité en ligne, en incriminant le fait de faire usage, sur un réseau de communications électroniques, de l’identité d’un tiers ou de données de toute nature permettant de l’identifier :

-         en vue de troubler la tranquillité de cette personne ou d’autrui ;

-         ou en vue de porter atteinte à son honneur ou à sa considération. 

Ces délits seraient punis d’un an d’emprisonnement et de 15 000 € d’amende.

Le projet de loi prévoit également de mettre une nouvelle obligation à la charge des fournisseurs d’accès internet dans le cadre de la lutte contre la pédopornographie. Ceux-ci devront empêcher l’accès aux sites dont l’adresse leur aura été notifiée par l’autorité administrative, après accord de l’autorité judiciaire. Les modalités d’application de cette disposition devront être précisées par décret.

Enfin, parmi les nombreux articles du projet, il peut encore être noté des dispositions relatives à la modification du régime de la vidéosurveillance (rebaptisée « vidéoprotection »), et notamment l’extension des possibilités d’installation de la vidéosurveillance sur la voie publique ou des personnes autorisées à visionner les images, ou encore la possibilité pour les enquêteurs de recourir à la captation à distance de données informatiques dans les affaires de criminalité organisée.

  1. 2.       la cnil est vigilente et elle tient à le fait savoir ! (CNIL 22/02/2010)

 

Le 22 février 2010, la Cnil a publié en première page de son site internet un communiqué de presse relatif à des sanctions pécuniaires prononcée à l’encontre de deux études d’huissiers de Montpellier, il y a plus de sept mois, en juillet 2009.

Objectif du communiqué : rappeler que la Cnil veille au respect de la loi Informatique et Libertés et qu’un contrôle n’est pas une garantie contre un nouveau contrôle, au contraire, à lire la conclusion de ce communiqué de presse :

« Au-delà des faits constatés, cette affaire illustre ainsi la vigilance de la CNIL dans le cadre de ses pouvoirs de contrôle a posteriori. Elle rappelle aussi sa faculté de réaliser de nouveaux contrôles et, le cas échéant, de sanctionner les manquements persistants. Si un organisme mis en demeure peut échapper à une sanction, c’est à la condition que les modifications qu’il s’est engagé à effectuer soient réelles et concrètes ».

Autrement dit, un contrôle peut en appeler un autre !

  1. 3.       connexions internet et présomption de caractère professionnel (soc. 9/02/2010)

 

La Cour de cassation nous a déjà dit que les fichiers créés par le salarié à l’aide de l’outil informatique mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel (Soc. 21/10/2009, Soc. 8/12/2009, Soc. 15/12/2009), de même que les courriers électroniques non identifiés comme personnels par le salarié (Soc. 30/05/2007, soc. 17/06/2009).

Elle a également pu préciser que la mention des initiales ne suffit pas à identifier un fichier comme personnel, pas plus que le prénom du salarié (Soc. 21/10/2009, Soc. 8/12/2009).

La Cour de cassation nous avait également déjà indiqué que les connexions établies par un salarié sur des sites Internet pendant son temps de travail grâce à l’outil informatique mis à sa disposition par son employeur pour l’exécution de son travail sont présumées avoir un caractère professionnel de sorte que l’employeur peut les rechercher aux fins de les identifier, hors de sa présence (Soc. 9/07/2008).

La Haute juridiction vient de confirmer sa position relative aux connexions internet, dans un attendu de principe du 9 février dernier, en tout point identique à celui de juillet 2009. La Cour précise encore à cette occasion que « l’inscription d’un site sur la liste des « favoris » de l’ordinateur ne lui confère aucun caractère personnel ».

En l’espèce, un salarié avait été licencié pour faute grave pour avoir notamment utilisé son poste informatique pour accéder à des sites pornographiques répertoriés dans ses favoris.

 Ainsi se trouve ici encore consacré le pouvoir de contrôle de l’employeur sur les outils informatiques mis à disposition du salarié.

Les dossiers, fichiers, courriers électroniques, historiques de navigation, non expressément identifiés comme « personnel », peuvent être consultés par l’employeur, hors la présence du salarié, dès lors que ces éléments ont été créés durant le temps de travail du salarié, avec des outils professionnels.

 

Ces dossiers, fichiers, courriers électroniques, historiques de navigation, même expressément identifiés comme « personnel », peuvent également être consultés par l’employeur en présence du salarié, ou celui-ci dûment appelé, ou en présence d’un risque ou événement particulier, ces deux dernières notions devant encore être précisées.

  1. 4.       Obligation de dénoncer les acheteurs d’articles contrefaits (TGI Grasse 26/01/2010)

 

Dans un jugement du 26 janvier 2010, le Tribunal de grande instance de Grace a condamné Madame L., vendeuse sur le site ebay deux sacs contrefaits de la marque Hermès, au versement de la somme de 5000 euros, prenant en compte les conséquences économiques négatives, dont le manque à gagner, subies par la partie lésée, les bénéfices réalisés par le contrefacteur et le préjudice moral causé au titulaire des droits.

Allant plus loin, le Tribunal a fait droit à la demande de la société Hermès « tendant à la remise par Madame L. de l’identité du vendeur et de tout document permettant de l’identifier, ainsi que de tout document relatif à l’achat des articles contrefaisant les marques de la société Hermès International ».

Cette injonction est fondée sur l’article L 716-7-1 Code de la propriété intellectuelle, qui a été créé par la loi n°2007-1544 du 29 octobre 2007 de lutte contre la contrefaçon, qui dispose que « si la demande lui en est faite, la juridiction saisie d’une procédure civile prévue au présent titre peut ordonner, au besoin sous astreinte, afin de déterminer l’origine et les réseaux de distribution des produits contrefaisants qui portent atteinte aux droits du demandeur, la production de tous documents ou informations détenus par le défendeur ou par toute personne qui a été trouvée en possession de produits contrefaisants ou qui fournit des services utilisés dans des activités de contrefaçon ou encore qui a été signalée comme intervenant dans la production, la fabrication ou la distribution de ces produits ou la fourniture de ces services.

La production de documents ou d’informations peut être ordonnée s’il n’existe pas d’empêchement légitime.

Les documents ou informations recherchés portent sur :

  1. Les nom et adresse des producteurs, fabricants, distributeurs, fournisseurs et autres détenteurs antérieurs des produits ou services, ainsi que des grossistes destinataires et des détaillants ;
  2. Les quantités produites, commercialisées, livrées, reçues ou commandées, ainsi que sur le prix obtenu pour les produits ou services en cause »

 

Alice COLLINalice.collin@collin-avocats.fr Françoise COLLINf.collin@collin-avocats.fr
Avocatswww.collin-avocats.fr Tel : 01 44 29 26 60  

 

[1] Voir Newsletter juridique Juillet 2009.

Tags: , , , , , ,
Publié dans ANDSI, Droit et Informatique | Aucun commentaire »

NEWSLETTER JURIDIQUE decembre 2009- janvier 2010

Lundi 1 février 2010 par : Françoise Collin

NEWSLETTER JURIDIQUE

Décembre 2009 – Janvier 2010

1. Projet de loi visant à renforcer la protection des consommateurs en matière de vente à distance (assemblée nationale 20/01/2010)

 L’assemblée nationale vient d’adopter un projet de loi visant à renforcer la protection des consommateurs en matière de vente à distance. Ce projet modifie le code de la consommation.

 Aux termes de l’article 1er du projet, l’article L141-1 du code de la consommation serait modifié afin permettre aux agents de l’autorité compétente en matière de concurrence et de consommation de recueillir les informations nécessaires pour apprécier la bonne exécution par un professionnel des obligations résultant du contrat conclu à distance, visée au quatrième alinéa de l’article L. 121-20-3 (responsabilité de plein droit du cybercommerçant).

 L’article 1er ajoute que « S’il apparaît, à l’issue des investigations menées, qu’un professionnel proposant la vente de biens ou la fourniture de services à distance est dans l’incapacité manifeste de respecter les obligations visées au précédent alinéa, générant ou susceptible de générer un préjudice financier pour le consommateur, l’autorité administrative chargée de la concurrence et de la consommation peut, après une procédure contradictoire, interdire à ce professionnel, sur tout ou partie des biens et services proposés, de réaliser toute prise de paiement avant la livraison intégrale du bien ou l’exécution effective du service, pendant une période ne pouvant excéder deux mois. Cette mesure peut être reconduite selon la même procédure pour des périodes supplémentaires dont chacune ne dépasse pas un mois. En cas d’inexécution par le professionnel de la mesure d’injonction, l’autorité administrative compétente ordonne le paiement d’une amende administrative au plus égale à 30 000 € et demande au juge d’ordonner, sous astreinte, toute mesure permettant d’en assurer l’exécution ».

 L’article 2 bis prévoit de faire passer de trente à quinze jours le délai de remboursement en cas de défaut d’exécution du contrat par un fournisseur résultant de l’indisponibilité du bien ou du service commandé. L’article 2 ter modifierait le taux d’intérêt dû en cas de dépassement de ce délai de remboursement : il serait désormais égal au double du taux légal en vigueur. Ce même taux serait également appliqué en cas de dépassement du délai de remboursement consécutif à l’exercice du droit de rétractation du consommateur.

 L’article 4 rendrait obligataire la présence des conditions contractuelles, applicables à la vente à distance sur la page d’accueil du site internet.

 D’autres dispositions du projet de loi renforcent les obligations d’information du cybercommerçant à l’égard du consommateur, modifient certaines dispositions du code de la consommation relatives au démarchage et aux contrats de services de communications électroniques.

 2. Le conseil d’Etat annule deux sanctions de la CNIL (CE 6/11/2009)

 Par deux arrêts en date du 6 novembre 2009, le Conseil d’Etat a annulé deux délibérations de la CNIL qui infligeait chacune une sanction de 30.000 euros à deux sociétés qui avaient l’objet de contrôles.

 En effet, depuis la réforme de la loi Informatique et Liberté de 2004, la CNIL a le pouvoir d’effectuer des contrôles relatifs au respect des dispositions de cette loi auprès des responsables de traitement. Ces contrôles peuvent être réalisés sur pièces ou sur place. Dans ce derniers cas, les membres de la CNIL ainsi que les agents de ses services habilités ont ainsi accès, de 6 heures à 21 heures aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre d’un traitement de données à caractère personnel.

 Suite à ces contrôles, la CNIL peut prononcer les sanctions prévues à l’article 45 de la loi, et notamment : avertissement, mise en demeure de faire cesser le manquement constaté à la loi Informatique et Libertés, sanctions pécuniaires jusqu’à 150.000 euros ou 300.000 € en cas de manquement réitéré dans les 5 ans, injonction de cesser le traitement, publication de ses décisions, etc.

 En l’espèce, les sociétés concernées avaient fait l’objet de contrôles sur place suite à des plaintes émanant de particuliers faisant état de l’absence de prise en compte, par ces sociétés, de leurs demandes de ne plus faire l’objet de démarchage téléphonique.

 Après s’être rendu au siège de ces sociétés, la CNIL a mis en demeure ces sociétés de cesser d’utiliser une base de données non mise à jour et de prendre toutes mesures de nature à garantir qu’il soit systématiquement et immédiatement tenu compte du droit d’opposition exercé par toute personne concernée à recevoir de la prospection commerciale.

 Constatant que le système de gestion des demandes d’opposition à l’utilisation du numéro de téléphone à des fins commerciales mis en place par ces sociétés ne garantissait pas la prise en compte effective et rapide de l’ensemble des demandes d’opposition, la CNIL leur a infligé à chacune une sanction de 30 000 euros et leur a enjoint de cesser d’utiliser le traitement de prospection commerciale tant qu’une nouvelle procédure efficace des demandes de radiation n’aurait pas été mise en place.

 Ces décisions ont été contestées par ces sociétés et annulées par le Conseil d’état au motif que les responsables des locaux ayant fait l’objet des contrôles sur place qui ont permis aux membres de la CNIL de constater les manquements sanctionnés n’ont pas été informés de leur droit de s’opposer à ces visites.

 En effet, l’article 44 de la loi reconnait un droit d’opposition au bénéfice de l’entreprise contrôlée, sans pour autant le préciser : « II. – En cas d’opposition du responsable des lieux, la visite ne peut se dérouler qu’avec l’autorisation du président du tribunal de grande instance dans le ressort duquel sont situés les locaux à visiter ou du juge délégué par lui. »

 Le Conseil d’Etat rappelle donc ici à la CNIL qu’il s’agit d’une garantie essentielle en contrepartie des pouvoirs qui lui sont accordés et que « une telle garantie ne présente néanmoins un caractère effectif que si le responsable des locaux ou le représentant qu’il a désigné à cette fin a été préalablement informé de son droit de s’opposer à la visite et mis à même de l’exercer », ce qui n’avait pas été le cas en l’espèce.

 Par un communiqué de presse, la CNIL a indiqué prendre acte de ces décisions et procédé dorénavant « à l’information des personnes faisant l’objet d’un contrôle sur place de l’ensemble des éléments prévus à l’article 44 de la loi et notamment : de leur droit à s’opposer à ce contrôle et dans cette hypothèse, de la possibilité pour le président de la CNIL de saisir le président du tribunal de grande instance compétent afin que celui-ci autorise, par ordonnance, la mission de contrôle, y compris en faisant appel à la force publique ».

 3.  Photos à caractère pornographique et licenciement abusif (soc. 8/12/2009)

 Un salarié est licencié par son employeur après que ce dernier ait découvert, lors d’un contrôle des postes informatiques, en la présence du salarié et d’un huissier de justice, que celui-ci conservait sur le disque dur de son poste informatique des images à caractère pornographique et zoophile. 

 Le salarié saisi la juridiction prud’homale d’une demande de paiement de dommages-intérêts pour rupture abusive de son contrat de travail. Obtenant qu’en partie satisfaction, le litige est porté devant la cour d’appel de Rennes

 La cour d’appel retient qu’il y avait bien eu une faute du salarié dans le mesure où la présence de photographies à caractère pornographiques, qui portent atteinte à la dignité humaine, dans le disque dur de l’ordinateur du salarié accessible par tout utilisateur, établissent le détournement par le salarié du matériel mis à sa disposition en violation des notes de service, ce qui constitue un risque de favoriser un commerce illicite en portant atteinte à l’image de marque de l’employeur.

 Non répond la cour de cassation par son arrêt du 8 décembre 2009 :

 -         les photos à caractère pornographique n’ont pas de caractère délictueux ;

 -          la preuve n’est pas rapportée que l’utilisation personnelle de l’ordinateur professionnel avait nuit à la bonne qualité de la prestation de travail du salarié ;

 -          la preuve n’est pas rapportée que le salarié avait effectivement eu connaissance des nombreuses notes de service réglementant l’usage de l’outil informatique ;

 -          la faute résulte d’une violation des obligations découlant du contrat de travail ou des relations de travail ; or ne constitue pas une faute l’utilisation passive de l’outil informatique à des fins personnelles de façon limitée, sans aucune répercussion sur la bonne exécution de la prestation de travail.

 La cour de cassation juge donc que le licenciement intervenu était sans cause réelle et sérieuse.

 Cependant, il est à noter que cet arrêt n’est pas publié et qu’il s’agit d’un cas d’espèce et non d’un arrêt de principe.

 4.  fournisseur d’accès internet et obligation de résultat (civ. 19/11/2009)

Un fournisseur d’accès internet peut-il être dégagé de son obligation de fournir tous les services inclus dans son offre « triple play » (télé, internet, téléphone) en raison de défaillances techniques émanant d’un tiers ?

Non répond la Cour de cassation dans son arrête du 19 novembre 2009, le fournisseur d’accès est tenu d’une obligation de résultat quant aux services offerts.

Il ne peut s’exonérer de sa responsabilité à l’égard de son client en raison d’une défaillance technique, hormis le cas de force majeure, c’est-à-dire d’un événement présentant un caractère imprévisible lors de la conclusion du contrat et irrésistible au moment de son exécution.

La Cour considère que tel n’est pas le cas si la ligne téléphonique et les équipements présents dans le nœud de raccordement de l’abonné (NRA) ne permettent pas techniquement de recevoir la télévision, peu important que la société Free n’ait aucun pouvoir sur les équipements du NRA et que les raccordements nécessaires à l’accès aux services de la réception de la télévision appartiennent à la société France Telecom, ces éléments n’étant ni imprévisibles lors de la conclusion du contrat, ni irrésistibles au moment de son exécution. Au contraire, puisque Free avait elle-même informé son abonné que télévision et le débit étaient fonction des caractéristiques de sa ligne téléphonique et des équipements présents dans le nœud de raccordement de l’abonné (NRA).

5. le service Google Suggest devant la Cour d’appel de Paris (CA Paris 9/12/2009)

 Google Suggest est un outil internet associé à la barre de recherche du moteur de recherche de Google.

 Cet outil, une fois activée par l’internaute, lui suggère automatiquement des termes de recherches en fonction des premières lettres saisies dans la barre de recherche.

 En février 2009, la société Direct Energie constatait que lors de la saisie du nom « direct energie » Google Suggest suggérait en premier lieu « direct energie arnaque ». Direct Energie assigna alors la société Google, en référé, et demandait la suppression de ces termes de l’outil Google Suggest.

 Par ordonnance du 7 mai 2009, le Président du Tribunal de commerce de Paris faisait droit à la demande de Direct Energie et ordonnait à Google de supprimer le terme « direct energie arnaque » des suggestions proposées par le logiciel Google Suggest sur le site accessible à l’adresse www.google.fr.

 Google interjetait appel de cette décision. La Cour d’appel de Paris, amenée à statuer à nouveau sur le litige, a infirmé la décision du Tribunal de commerce. Si la Cour reconnait, tout comme le Tribunal, que ladite suggestion, sans avertissement préalable informant l’internaute du mode d’établissement de cette liste, est fautive et engendre un préjudice pour Directe Energie, elle diverge quant aux mesures de réparation à prescrire.

  En se fondant sur la liberté d’expression, la Cour estime que des mesures autres que la suppression pure et simple des termes proposés par le logiciel Google Suggest existent : la mention sur la page d’accueil du moteur de recherche d’une information destinée à l’internaute et permettant à celui-ci de comprendre comment est établie la liste des suggestions (i.e. liste des 10 requêtes les plus populaires déjà tapées par les internautes qui commencent par les mêmes lettres ou mots) suffit .

 6. contrôle des fichiers informatiques des salariés (soc. 8/12/2009 + soc 15/12/2009)

 Dans la droite lignée de son arrêt du 21 octobre 2009[1], la chambre sociale de la Cour de cassation vient de reprendre, dans un arrêt du 8 décembre 2009, le même attendu de principe « attendu que les fichiers créés par le salarié à l’aide de l’outil informatique mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, sauf si le salarié les identifie comme étant personnels, de sorte que l’employeur est en droit de les ouvrir hors la présence de l’intéressé », pour décider que le fichier nommé « Alain », ne permettaient pas, par son intitulé, d’identifier qu’il s’agissait d’un fichier personnel et qu’il était donc permis à l’employeur de l’ouvrir en l’absence du salarié. 

 La Cour fait ici encore une interprétation stricte de ce qu’il faut entendre par « identifié comme personnel » : la mention des initiales ne suffit pas à identifier un fichier comme personnel, pas plus que le prénom du salarié. Ainsi, seule la mention « personnel » en toutes lettres, voire le terme « perso », doit être retenu par l’employeur comme fixant la limite de son droit d’accès aux fichiers informatiques de ses salariés.

 Il en va naturellement de même concernant des fichiers intitulés « essais divers, essais divers B, essais divers restaurés ». Ces fichiers pouvaient être ouverts par l’employeur hors de la présence de l’intéressé. (Cour de cassation, chambre sociale, 15 décembre 2009).

 7.  gagner mais perdre… (TGI Strasbour 15/12/2009) 

C’est de la sorte qu’un couple pourrait résumer son action judiciaire contre eBay et le vendeur d’un robot-ménager sur ce site de courtage en ligne. N’ayant jamais reçu le robot-ménager payé 845,06 € le couple acheteur décidait de poursuivre le vendeur et eBay devant le Tribunal de grande instance de Strasbourg, et demandait à celui-ci de condamner solidairement le vendeur et eBay à leur payer 845,06 € représentant le prix payé, 10 000 € à titre de dommages-intérêts et 800 € en application de l’article 700 du Code de Procédure Civile (remboursement des frais d’avocat).

 Le vendeur, non comparaissant, ne justifiait donc pas avoir exécuté son obligation de livraison, fût condamné à restituer le prix perçu. Le couple obtient donc gain de cause sur sa demande principale. Il est en revanche débouté quant à sa demande de versement de dommages et intérêts, faute de preuve d’un quelconque préjudice.

 Quant à la responsabilité d’eBay dans ce litige, le Tribunal l’examine à la lumière du régime de responsabilité des hébergeurs posé par la loi du 21 juin 2004 pour la confiance en l’économie numérique.

 Comme le tribunal le relève, « en vertu des articles 6-1.2 et 6-1.7 de la dite loi, les hébergeurs “ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d’un destinataire de ces services si elles n’avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l’accès impossible” et que les personnes morales en question (6-1.7) “ne sont pas soumises à une obligation générale de surveiller les informations qu’elles transmettent ou stockent, ni à une obligation générale de rechercher des faits ou des circonstances révélant des activités illicites”.

 Cette loi retient donc le principe de l’immunité civile et pénale des hébergeurs mais la subordonne à deux conditions : que ceux-ci n’aient pas eu connaissance de contenus illicites et qu’ils aient agi promptement dès l’instant où ils en ont été informés.

 Or, d’une part, la société eBay n’a à aucun moment hébergé des informations ou des activités illicites, notamment pas en ce qui concerne les caractéristiques du produit objet du litige.

 D’autre part, antérieurement aux faits litigieux, elle ne disposait d’aucun élément d’information qui lui aurait permis de suspendre le compte de M. W. puisqu’il bénéficiait auprès des internautes d’une opinion de fiabilité de 97,40 %.

 En revanche, dès qu’elle a eu connaissance des faits litigieux, elle a procédé, le 2 juin 2006, à la suspension provisoire dudit compte avant de procéder à sa radiation définitive le 23 août 2006.

 Eu égard à la date à laquelle est intervenu le paiement, soit le 16 mai 2006, il ne peut en conséquence être reproché à la société eBay de ne pas avoir réagi assez rapidement et d’avoir ainsi failli à son obligation de réagir face à des comportements illégaux.

 Le Tribunal dégage donc eBay de toute responsabilité par le Tribunal, et décide dès lors de ne mettre aucun frais à sa charge :

 -         Les frais de procédure sont intégralement répartis entre le couple demandeur et le vendeur,

-         Les frais d’avocat de ces derniers restent à leur charge,

-         Et les frais d’avocat d’eBay sont remboursés, à hauteur de 1000 euros par le couple.

 Bilan pour les demandeurs : remboursement du mixeur 845,06 euros et versement de 1000 euros à eBay !

 

 

Alice COLLIN

 

Françoise COLLIN

alice.collin@collin-avocats.fr

 

f.collin@collin-avocats.fr

 

Avocats

www.collin-avocats.fr 

15 rue Margueritte 75017 PARIS

TEL : 01 44 29 26 60  

 

 

[1] v. Newsletter juridique novembre 2009 : le fichier du salarié intitulé « JM » pouvait effectivement être ouvert puisqu’il « n’était pas identifié comme personnel ».

Tags: , , , , ,
Publié dans ANDSI, Droit et Informatique | Aucun commentaire »

Newsletter Juridique Novembre 2009

Lundi 28 décembre 2009 par : Françoise Collin

NEWSLETTER/ NOVEMBRE 2009

29/11/2009

 

 

 

NEWSLETTER JURIDIQUE

Novembre 2009

 

 

 

 

  1. une Ligne d’alerte professionnelle suspendue par le juge des référé

 

Par un jugement du 5 novembre 2009, le Tribunal de Grande Instance de Caen a considéré que le dispositif d’alerte professionnelle mis en place par la société Benoist Girard, filiale de la société américaine Stryker, créait un trouble manifestement illicite à défaut de consultation régulière du CHSCT[1]  sur ce dispositif, et suspendu cette ligne d’alerte jusqu’à ce qu’il soit statué au fond sur la conformité du dispositif avec la loi française et notamment la loi Informatique et Libertés du 6 janvier 1978 modifiée.

 

En effet, ces lignes d’alerte constituent des traitements automatisés de données à caractère personnel dès lors qu’elles permettent et ont pour objet de recueillir des données à caractère personnel (celles des utilisateurs de la ligne qui ne sont pas anonymes, ainsi que celles des personnes dénoncées).

 

Or, depuis la loi américaine dite « Sarbanes Oxley » de juillet 2002, les sociétés américaines cotées sur le marché boursier aux Etats-Unis doivent mettre en place des systèmes de contrôles internes au sein du groupe y compris leurs filiales étrangères, et notamment des moyens de dénonciation des fraudes ou des malversations comptables ou financières dont ils auraient connaissance à l’occasion de leurs fonctions.

 

En 2005, la CNIL a ainsi adopté un document d’orientation définissant les conditions que doivent remplir les dispositifs d’alerte professionnelle pour être conformes à la loi  informatique et libertés modifiée, ainsi qu’une décision d’autorisation unique des dispositifs conformes aux orientations retenues par elle[2].

 

En l’espèce, le comité d’entreprise, le CHSCT, et le syndicat CFDT considérait que le dispositif mis en place n’était pas conforme aux modalités légales de traitement des données collectées, « notamment s’agissant de l’absence d’information de la personne concernée, de l’impossibilité pour elle de s’opposer et de faire supprimer des informations la concernant ».

 

Le Président du Tribunal saisi en référé conclu que « sans qu’il y ait lieu dans le cadre de cette instance en référé de trancher le débat de fond quant à la compatibilité du dispositif d’alerte professionnel mis en œuvre au sein de la société Benoist Girard via le site internet Ethics Point avec les dispositions de la loi informatique et libertés, il convient de constater que les éléments apportés sont insuffisants pour justifier de l’évidence de sa conformité » et ordonne donc en conséquence la suspension du dispositif d’alerte.

 

 

  1. Le droit à l’oubli, dans l’air du temps numérique

 

27 mai 2009 : rapport d’information sur la vie privée à l’heure des mémoires numériques[3].                             12 juin 2009 : avis du groupe de l’article 29 sur les réseaux sociaux[4]. 6 novembre 2009 : dépôt au Sénat d’une proposition de loi « visant à mieux garantir le droit à la vie privée à l’heure du numérique »[5]. 12 novembre 2009 : atelier sur « le droit à l’oubli numérique » organisé par Mme Kosciusko-Morizet, secrétaire d’Etat à l’économie numérique[6]. 27 novembre 2009 : publication du secrétaire général de la CNIL « pas de liberté sans droit à l’oubli dans la société numérique »[7] .En parallèle, annonces de Google et Microsoft quant à la modification de leurs pratiques vers une plus grande transparence ; adoption d’une charte « Réseaux sociaux, Internet, vie privée et recrutement ».

 

Pas de doute, en cette fin d’année le droit à l’oubli est dans l’esprit de tous …Avec l’avènement des réseaux sociaux et plus globalement des sites de partage web 2.0, la vie et l’image privée se retrouve sur la toile, de manière peu contrôlable et sans possibilité de faire supprimer et déréférencer le tout.

 

Le droit à l’oubli est pourtant bien inscrit dans la loi informatique et libertés du 6 janvier 1978. Ainsi, l’article 6 stipule que : « Elles [les données à caractère personnel]  sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ». Le non respect de cette disposition et d’ailleurs sanctionné pénalement, par rien de moins que cinq ans d’emprisonnement et de 300 000 Euros d’amende[8].

 

Ce droit à l’oubli est cependant compliqué à mettre en œuvre dans la pratique, même lorsque l’on ne s’appelle pas Google, eBay ou Facebook, puisque c’est au responsable de traitement  de déterminer, pour chacun des traitements qu’il met en œuvre, la durée de conservation des données personnelles, sans autre consigne que le respect de « la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées » ! C’est alors à chacun de réfléchir en fonction, comme l’indique la CNIL, de la nature de l’organisme qui met en œuvre le traitement, de l’objectif de celui-ci et de la nature des données utilisées.

 

Les durées de prescriptions sont naturellement de précieuses lignes directrices, tout comme les délibérations de la Cnil, mais cela ne suffit pas à obtenir toutes les réponses de nature à garantir le responsable du traitement qu’il n’est pas en infraction avec cet article 6 de la loi Informatique et libertés.

 

Nous n’avons malheureusement pas de réponse globale à apporter ici, mais il nous semble urgent que juristes et DSI (re)regardent d’un œil attentif les pratiques mises en œuvre au sein de leur entreprise quant aux politiques d’effacement des données personnelles, et que, de l’autre œil, ils suivent attentivement  l’avenir réservé à la proposition de loi « visant à mieux garantir le droit à la vie privée à l’heure du numérique ». 

Notons à ce titre, que ce projet de loi envisage de modifier la loi Informatique et libertés et prévoit notamment que le responsable du traitement doit délivrer, avant tout traitement de données, une information spécifique, claire et accessible qui devra désormais porter sur  la durée de conservation des données et la possibilité pour la personne concernée d’exercer ses droits de suppression, d’accès et de rectification par voie électronique, dès lors que le responsable du traitement dispose d’un site Internet.

 

De même, il est envisagé de créer une obligation à la charge du responsable de traitement disposant d’un site Internet d’y créer une rubrique spécifique, claire, accessible et permanente reprenant les mentions obligatoires d’informations des personnes prévues au I de l’article 32, complété comme indiqué ci-dessus.

 

D’autres mesures permettraient également « de donner une plus grande effectivité au droit à l’oubli numérique, évoqué dans le rapport d’information précité :

 

-        la possibilité de demander à la CNIL, pour les traitements déclarés auprès d’elle, la durée de conservation des données ;

-        la possibilité de saisir plus facilement et plus efficacement qu’aujourd’hui les juridictions civiles en cas d’impossibilité pour les personnes d’exercer leur droit à la suppression des données. »

 

  1. contrôle des fichiers informatiques des salariés

 

Après avoir aligné le régime de contrôle par l’employeur, des fichiers informatiques des salariés identifiés comme « personnel » à celui retenu pour les emails[9], la Chambre sociale de la Cour de cassation vient réaffirmer le principe selon lequel « les fichiers créés par le salarié à l’aide de l’outil informatique mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, sauf si le salarié les identifie comme étant personnels, en sorte que l’employeur est en droit de les ouvrir hors la présence de l’intéressé ».

 

L’intérêt de cette affaire réside dans l’interprétation faite par la Cour de cassation des termes « identifié comme personnel ».

 

En l’espèce, un employeur soupçonnant un de ses salariés de vouloir créer une structure concurrente et procéder au débauchage de salariés, avec l’aide d’une entreprise concurrente, a fait réaliser un constat d’huissier sur le contenu de l’ordinateur portable professionnel de ce salarié, hors sa présence.

 

L’huissier accède au sein du disque local à un fichier nommé « JM », initiales dudit salarié, comportant deux sous-répertoires, l’un intitulé « personnel » et l’autre portant le nom de la fameuse société concurrente, et reproduit ensuite les documents trouvés dans ce second sous-répertoire.

 

Muni des preuves de la culpabilité de son salarié, l’employeur le licencie pour faute lourde, puis se retrouve assigné en demande de paiement de diverses indemnités au titre de la rupture du contrat de travail, au motif que le constat ne pouvait être retenu comme mode de preuve, dès lors que le répertoire « JM » devait être considéré comme personnel et ne pouvait donc être ouvert par l’huissier, hors la présence du salarié et en l’absence de risque ou événement particulier.

 

L’argumentation du salarié est suivie en première instance puis en appel. Mais par son arrêt du 21 octobre 2009[10], la chambre sociale casse la décision d’appel et considère que le fichier « JM » pouvait effectivement être ouvert puisqu’il « n’était pas identifié comme personnel ».

 

Ainsi, la Cour fait une interprétation stricte de ce qu’il faut entendre par « identifié comme personnel » : la mention des initiales ne suffit pas à identifier un fichier comme personnel. Sans doute l’utilisation du prénom et/ou du nom de famille ne suffira pas non plus à faire tomber le fichier dans le régime des fichiers personnels.  Ainsi, seule la mention « personnel » en toutes lettres, voire le terme « perso », doit être retenu par l’employeur comme fixant la limite de son droit d’accès aux fichiers informatiques de ses salariés.

 

Voilà qui devrait simplifier la vie des employeurs et DSI. Cependant une information claire des salariés sur ce point est plus que recommandée, notamment au sein des chartes d’utilisation des outils informatiques.

 

Enfin, reste la question de savoir si les règles de consultation des courriers électroniques des salariés vont suivre une fois encore celles des fichiers informatiques, et comment imposer cette identification stricte des messages aux personnes extérieures à l’entreprise qui envoient des email aux salariés sur leur boite professionnelle.

 

  1. premiere application de l’article 27 de la loi HADOPI I

 

L’article 27 de la loi HADOPI I du 21 juin 2009[11] avait discrètement modifié l‘article 93-3 de la loi n° 82-652 du 29 juillet 1982 sur la communication audiovisuelle afin d’atténuer le régime de responsabilité pénale du directeur de publication d’un site internet, en le rapprochant singulièrement de celui de l’hébergeur défini par l’article 6 de la Loi pour la confiance en l’économie numérique du 21 juin 2004.

 

Une simple lecture de ces deux articles suffit à faire apparaitre leur ressemblance :

 

-        Article 6 I 3° de la loi du 21 juin 2004 : 3. « Les personnes visées au 2 [hébergeur de contenus] ne peuvent voir leur responsabilité pénale engagée à raison des informations stockées à la demande d’un destinataire de ces services si elles n’avaient pas effectivement connaissance de l’activité ou de l’information illicites ou si, dès le moment où elles en ont eu connaissance, elles ont agi promptement pour retirer ces informations ou en rendre l’accès impossible ».

 

-        Article 93-3, alinéa 5, de la loi du 29 juillet 1982 : « Lorsque l’infraction résulte du contenu d’un message adressé par un internaute à un service de communication au public en ligne et mis par ce service à la disposition du public dans un espace de contributions personnelles identifié comme tel, le directeur ou le codirecteur de publication ne peut pas voir sa responsabilité pénale engagée comme auteur principal s’il est établi qu’il n’avait pas effectivement connaissance du message avant sa mise en ligne ou si, dès le moment où il en a eu connaissance, il a agi promptement pour retirer ce message. »

 

Pour mémoire, le régime de responsabilité du directeur de publication en matière d’infraction de presse est celui de la responsabilité en cascade édicté par l’article 93-3 de la loi du 29 juillet 1982 précitée. Ainsi, en cas d’infractions de presse (diffamation, injure par exemple) commises en ligne, le directeur de la publication[12] est poursuivi comme auteur principal, lorsque le message incriminé a fait l’objet d’une fixation préalable à sa communication au public. A défaut, l’auteur, et à défaut de l’auteur, le producteur est poursuivi comme auteur principal.

 

Cette notion de la fixation préalable avant la communication au public, c’est-à-dire de modération à priori des messages, a notamment était utilisée par la jurisprudence comme frontière de distinction entre le régime de responsabilité de l’éditeur du site et le régime de responsabilité dérogatoire de l’hébergeur, pour les sites 2.0. offrant des services tels que les blogs ou les forums.

 

Or le nouvel alinéa 5 de l’article 93-3 de la loi du 29 juillet 1982 ne distingue pas selon que selon que les espaces public de contributions personnelles des internautes font ou non l’objet d’une modération a priori.

 

Ce sont ces éléments qui ont notamment été relevés par le Tribunal de grande instance de Paris, dans une décision du 9 octobre 2009[13] opposant une présentatrice télé à l’éditeur d’un site de contributions personnelles relatifs aux « potins de stars ».

 

Le directeur de publication dudit site web se voit ainsi appliquer le nouveau régime de responsabilité issu de la loi de loi HADOPI en raison de la présence de messages à caractère injurieux et diffamatoires à l’encontre de la présentatrice, celui-ci ne pouvant nier avoir eu effectivement connaissance de certains messages.

 

En effet, celui-ci avait remis en ligne les messages litigieux, après les avoir retirés dans un premier temps, suite à une injonction faite par l’hébergeur du site en raison de diligences accomplies auprès de ce dernier par la partie civile. Pour ces messages, le Tribunal retient donc la responsabilité du directeur de publication.

 

A l’inverse, et toujours en application du nouvel article 27 de la loi HADOPI, le Tribunal exclut la responsabilité du prévenu pour les autres messages supprimés après les diligences auprès de l’hébergeur, et non remis en ligne, la preuve n’étant pas rapporté « avec le degré de certitude requis en matière pénale que Carl Z. aurait, en sa qualité de directeur de la publication, eu effectivement connaissance desdits messages avant leur mise en ligne ou que, préalablement requis d’une requête en suppression, il n’aurait pas agi promptement », seules circonstances pour lesquelles un directeur de publication peut désormais voir sa responsabilité recherchée à raison d’un message adressé par un internaute et mis à la disposition du public dans un espace de contributions personnelles identifié comme tel, ce qui est précisément le cas des fils de discussion en cause ».  

 

La question centrale de ces affaires web 2.0 reste donc toujours et encore celle de la preuve, preuve de la connaissance des faits, hier par l’hébergeur et aujourd’hui par le directeur de publication.

 

  1. service de presse en ligne : le décret nouveau est arrivé

 

La loi dite « HADOPI I » du 12 juin 2009 avait introduit, au sein de la loi n°86-897 du 1 août 1986 portant réforme du régime juridique de la presse, la définition d’un service de presse en ligne, afin que ces services bénéficient notamment des avantages fiscaux jusqu’ici réservés aux seules publications imprimées.

 

Un tel service s’entend ainsi depuis la loi HADOPI de « tout service de communication au public en ligne édité à titre professionnel par une personne physique ou morale qui a la maîtrise éditoriale de son contenu, consistant en la production et la mise à disposition du public d’un contenu original, d’intérêt général, renouvelé régulièrement, composé d’informations présentant un lien avec l’actualité et ayant fait l’objet d’un traitement à caractère journalistique, qui ne constitue pas un outil de promotion ou un accessoire d’une activité industrielle ou commerciale ».

 

Cette définition fait donc clairement la distinction entre les sites internet fournis à titre professionnel dans le cadre d’activités journalistiques des autres sites de communication non professionnels (sites perso, blogs, etc.) ou un site marchand ou vitrine d’une société industrielle ou commerciale.

 

La loi prévoyait également l’adoption d’un décret pour la définition des conditions dans lesquelles un service de presse en ligne peut être reconnu, en vue, notamment, de bénéficier des avantages qui s’y attachent.

 

C’est chose faite depuis le 29 octobre 2009[14]. Ce décret prévoit onze conditions à remplir afin d’obtenir la reconnaissance du statut de service de presse en ligne :

 

« 1° Le service de presse en ligne satisfait aux obligations du 1 du III de l’article 6 de la loi du 21 juin 2004 ; [mentions légales impératives relative à l’identification de l’éditeur du site]

2° Le service de presse en ligne répond aux obligations fixées à l’article 93-2 de la loi du 29 juillet 1982 ; [dispositions relatives à la désignation du directeur de publication]

3° Le service de presse en ligne est édité à titre professionnel ;

4° Le service de presse en ligne offre, à titre principal, un contenu utilisant essentiellement le mode écrit, faisant l’objet d’un renouvellement régulier et non pas seulement de mises à jour ponctuelles et partielles. Tout renouvellement doit être daté ;

5° Le service de presse en ligne met à disposition du public un contenu original, composé d’informations présentant un lien avec l’actualité et ayant fait l’objet, au sein du service de presse en ligne, d’un traitement à caractère journalistique, notamment dans la recherche, la vérification et la mise en forme de ces informations ;

6° Le contenu publié par l’éditeur du service de presse en ligne présente un caractère d’intérêt général quant à la diffusion de la pensée : instruction, éducation, information, récréation du public ;

7° Le contenu publié par l’éditeur ne doit pas être susceptible de choquer l’internaute par une représentation de la personne humaine portant atteinte à sa dignité et à la décence ou présentant la violence sous un jour favorable ;

8° Le service de presse en ligne n’a pas pour objet principal la recherche ou le développement des transactions d’entreprises commerciales, industrielles, bancaires, d’assurances ou d’autre nature, dont il serait en réalité l’instrument de publicité ou de communication, et n’apparaît pas comme étant l’accessoire d’une activité industrielle, artisanale, commerciale ou de prestation de service autre que la mise à disposition du public d’informations ayant fait l’objet d’un traitement à caractère journalistique. Dans tous les cas, ne peuvent être reconnus comme des services de presse en ligne les services de communication au public en ligne dont l’objet principal est la diffusion de messages publicitaires ou d’annonces, sous quelque forme que ce soit ;

9° L’éditeur a la maîtrise éditoriale du contenu publié à son initiative ;

10° Sur les espaces de contribution personnelle des internautes, l’éditeur met en œuvre les dispositifs appropriés de lutte contre les contenus illicites. Ces dispositifs doivent permettre à toute personne de signaler la présence de tels contenus et à l’éditeur de les retirer promptement ou d’en rendre l’accès impossible ;

11° Pour les services de presse en ligne présentant un caractère d’information politique et générale, l’éditeur emploie, à titre régulier, au moins un journaliste professionnel au sens de l’article L. 7111-3 du code du travail ».

 

 

 

 

Alice COLLIN

Françoise COLLIN 

alice.collin@collin-avocats.fr

 

f.collin@fcollin-avocat.com

 

Avocats

www.collin-avocats.fr

15 rue Margueritte 75017 PARIS

TEL : 01 44 29 26 60

 

Page 7

F.Collin – Avocat

 

[1]               Comité d’hygiène, de sécurité et des conditions de travail.

[2]               Autorisation unique n°AU-004 – Délibération n° 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle.

[3]               http://www.senat.fr/noticerap/2008/r08-441-notice.html.

[4]               http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2009/wp163_en.pdf

[5]               http://www.senat.fr/leg/ppl09-093.pdf

[6]               http://www.strategie.gouv.fr/article.php3?id_article=1072

[7]               http://www.cnil.fr/la-cnil/actu-cnil/article/article/2/pas-de-liberte-sans-droit-a-loubli-dans-la-societe-numerique/

[8]               Article 226-20 Code pénal : « Le fait de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement, par la demande d’autorisation ou d’avis, ou par la déclaration préalable adressée à la Commission nationale de l’informatique et des libertés, est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi. »

[9] Cass. Soc. 17/06/2009, v. Newsletter juridique août 2009.

[10] Pourvoi n°07-43877.

[11]               Loi n° 2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur internet

[12]               Dont la désignation est impérative pour tous les sites internet en vertu de l’article 6 III 1° de la LCEN et de l’article 92-2 de la loi du 29 juillet 1982.

[13]               TGI Paris, 17e Chambre, affaire n°0802523039, Carl Z. c/ Claire C.

Tags: , , , ,
Publié dans ANDSI, Droit et Informatique | Les commentaires sont fermés

Ha! La CNIL !

Mardi 14 octobre 2008 par : Valérie Humery

Notre réunion de septembre à l’ANDSI portait sur le thème des 30 ans de la CNIL ! L’occasion de faire un point précis sur les nouvelles réglementations en vigueur … Pas sur que toute notre assemblée soit parfaitement au fait et irréprochable dans ses déclarations à la CNIL . Maintenant plus d’excuses , nous savons …

La réunion a été formidable , animée , vivante et captivante … ce qui n’est jamais gagné sur un sujet de droit ..  nos intervenantes ont été parfaites , adaptant leurs discours à notre assemblée de DSI . Un grand merci et bravo pour nos invitées  Françoise Collin , Diane Wallon-Toussaint ( notre photo) avocates à la cour et spécialistes dans le droit informatique, droit de la propriété intellectuelle, droit des affaires , droit des marchés public .Pour toutes questions n’hésitez pas à leur demander conseil , adresses mails f.collin@fcollin-avocat.com ;dwalon@winlex.fr Françoise Collin et Diane Wallon

Apres cette réunion enrichissante , comme à notre habitude , la soirée s’est poursuivie par l’apéro et le diner , moment d’échanges priviligié entre DSI … c’est toujours un vrai plaisir … regardez nos mines réjouies ! Bon une petite critique quand même … Il faudrait mélanger d’avantage les générations …..

réunion Septembre 2008Reunion Septembre 2008Réunion Septembre 2008Reunion Septembre 2008Réunion Septembre 2008Reunion Septembre 2008

Tags: , ,
Publié dans ANDSI, Vie de l'association | Aucun commentaire »