Brèves : du côté des données personnelles
Sephora condamnée pour non-respect du California Consumer Privacy Act (CCPA)
A retenir : les textes réglementant l’utilisation des données personnelles se multiplient partout dans le monde. En plus de respecter le RGPD, les entreprises doivent donc s’assurer de leur conformité avec les autres règlementations, pour peu qu’elles soient également présentes dans les pays concernés.
Dans le cas du CCPA, l’approche fondée sur la protection des droits du consommateur est légèrement différente de la logique de défense de la vie privée retenue par le RGPD.
L’amende de 1,2 millions de dollars à laquelle Sephora a été condamnée montre à elle-seule la nécessité de concevoir désormais sa conformité de façon mondiale.
Infogreffe condamnée à une amende de 250.000 € pour non-respect du RGPD
La CNIL a annoncé avoir sanctionné le GIE Infogreffe à hauteur de 250.000 €.
Après avoir effectué un contrôle suite à une plainte, l’autorité de contrôle a constaté qu’Infogreffe ne détruisait pas les données à l’issue du délai indiqué lors de la commande de prestations par les utilisateurs (36 mois à compter de la dernière commande).
Elle a également relevé des problèmes de sécurité liés à la gestion des mots de passe. Infogreffe transmettait ainsi en clair, par courriel, les mots de passe non temporaires permettant l’accès aux comptes et conservait également en clair, dans sa base de données, les mots de passe ainsi que les questions et réponses secrètes utilisées lors de la procédure de réinitialisation des mots de passe par les utilisateurs.
A noter que ce n’est pas la première fois que ce type de comportement est sanctionné. Les entreprises qui gèrent des plateformes auxquelles les utilisateurs peuvent se connecter, doivent par conséquent faire un effort tout particulier pour s’assurer que les modalités d’ouverture du compte utilisateur sont conformes aux prescriptions de la CNIL.
- Published in blog
Interdiction de l’utilisation de Google Analytics : les premières réponses de Google
Google Analytics est l’un des outils de mesures d’audience les plus utilisés par les gestionnaires de sites Internet. Les récentes recommandations et décisions de certaines autorités de protection des données de l’Union européenne rendent cependant son futur incertain.
La dernière mise en demeure en date, rendue mi-février 2022 par la Cnil, conclut en effet à l’obligation faite au destinataire de cette mise en demeure de mettre en conformité son traitement de données relatif à la fonctionnalité Google Analytics avec certains articles du RGPD, si nécessaire, en cessant de traiter des données à caractère personnel dans le cadre de la version actuelle de Google Analytics.
Sur la page de présentation de cette mise en demeure, la Cnil indique par ailleurs que : « d’autres procédures de mises en demeure ont été engagées par la CNIL à l’encontre de gestionnaires de sites utilisant Google Analytics. ».
La mise en demeure a été abondamment commentée et a soulevé de nombreuses questions parmi les utilisateurs de Google Analytics, soit la majorité des gestionnaires de sites Internet.
Face à ces inquiétudes, Google a été invité par l’Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP) à exprimer sa position, vendredi 4 mars 2022.
Pour rappel, la Cnil fait reproche aux utilisateurs de Google Analytics de ne pas se conformer aux conclusions de l’arrêt de la CJUE ayant invalidé le Privacy Shield (arrêt de la CJUE dit « Schrems II » du 16/07/2020).
Cet arrêt dispose en effet que les transferts de données vers des pays ne bénéficiant pas d’une décision d’adéquation (c’est-à-dire, une décision de la Commission européenne reconnaissant que la protection accordée aux données personnelles dans l’Etat destinataire est au moins équivalente à celle prévue par l’application du RGPD dans l’UE) doivent être encadrés par des garanties appropriées.
Dans le cas des Etats-Unis, une des difficultés ayant conduit à l’invalidation du Privacy Shield tenait en la possibilité pour les autorités publiques nationales d’accéder aux données une fois celles-ci arrivées sur leur territoire.
Après l’annulation du Privacy Shield, les transferts de données vers les Etats-Unis ont été encadrés par les clauses contractuelles type (CCT). Les entités utilisant les CCT sont cependant tenues de garantir que des mesures appropriées existent à destination pour protéger les données.
En leur absence, un tel transfert n’est possible que pour des données non personnelles.
Après vérification des données collectées et transférées par Google Analytics (adresse IP tronquée, metadata et identifiant unique de chaque visiteur), la Cnil considère que celles-ci sont, directement ou indirectement, identifiantes, et constituent donc des données personnelles.
Elle relève que ces transferts ne sont pas encadrés par des garanties appropriées, et qu’ils sont donc illégaux. Les mesures mises en œuvre par Google ne suffisent pas à exclure la possibilité d’accès des services de renseignements américains à ces données selon l’avis de la Cnil.
L’intervention de Google suite à cette décision et aux inquiétudes qu’elle a soulevées s’est articulée autour de trois axes : 1) le rappel du contexte, 2) une présentation de l’outil et des modifications pouvant y être apportées et 3) la politique de Google pour répondre aux décisions des autorités de contrôle.
Google recommande tout d’abord de procéder à un paramétrage fin de l’outil Google Analytics afin de réduire le périmètre des données collectées, de vérifier les durées de conservations sélectionnées et de pseudonymiser les adresses IP.
Google a annoncé que la future version de Google Analytics, Google Analytics 4, serait paramétrée par défaut sur certains de ces points. La version actuelle nécessite cependant un paramétrage manuel.
Ces mesures doivent être mises en place et vérifiées auprès des opérationnels de chaque utilisateur, afin de limiter les données transférées.
Enfin, Google a indiqué avoir envoyé une lettre détaillant les mesures mises en œuvre à différentes autorités de contrôle ainsi qu’à l’EDPB (Comité européen de la protection des données).
Cette lettre est accompagnée d’un livre blanc détaillant les mesures de protection mises en œuvre par Google et du détail des configurations possibles dans l’outil Google Analytics.
Les représentantes de Google ont précisé que l’argumentation soumise aux autorités de contrôle insiste sur l’absence, au cours des quinze dernières années, de demande d’accès aux données de la part des autorités des Etats-Unis.
Les représentantes de Google ont également insisté sur la nécessité d’une décision politique s’agissant des transferts de données UE-USA, qui seule permettra de mettre fin aux incertitudes liées aux transferts de données depuis, déjà, l’invalidation du Safe Harbour en 2015.
Cette solution est très attendue.
La décision de la Cnil ne peut en effet être réduite à la situation de Google Analytics.
L’ensemble des entreprises traitant des données personnelles de ressortissants de l’Union européenne, et qui transfèrent ces données vers les Etats-Unis, sont susceptibles d’être visés par une mise en demeure similaire, et leurs clients responsables de traitement avec eux.
Par extension, sont également concernées les entreprises qui transfèrent des données personnelles vers un Etat dont les autorités publiques nationales peuvent accéder aux données une fois celles-ci arrivées sur leur territoire.
Sources :
https://www.cnil.fr/sites/default/files/atoms/files/med_google_analytics_anonymisee.pdf
- Published in Non classifié(e)
La cession de droit de PI à titre gratuit est-elle une donation ?
C’est ce qu’a affirmé le tribunal judiciaire de Paris dans son jugement en date du 8 février 2022. Cette décision vient bouleverser le droit contractuel en matière de cessions de droit.
Dans cette affaire, deux individus avaient conclu une cession à titre gratuit, suite au développement d’antennes radio placées dans des colliers de chiens de chasse, sur les dessins et modèles, marques de ces produits.
Leurs produits ont dans un premier temps été commercialisés par des sociétés dont ils étaient tous deux associés. Suite à différents évènements, l’un des associés a quitté le capital de la première société, tandis que la deuxième société a fait l’objet d’une liquidation.
Le deuxième associé a par la suite créé une nouvelle entreprise à laquelle il a cédé ses droits sur la marque et sur les dessins et modèles sans l’accord du cotitulaire et ensuite concédé une licence sur les marques et modèles à une autre société tiers.
L’ancien associé ayant quitté les deux sociétés a dénoncé la cession, tout en demandant la nullité du contrat de cession.
L’argument principal va être que la cession ayant été consentie sans contrepartie financière, il s’agit d’une donation qui doit être consentie par acte authentique en vertu de l’article 931 du Code civil, à savoir :
« Tous actes portant donation entre vifs seront passés devant notaires dans la forme ordinaire des contrats ; et il en restera minute, sous peine de nullité. »
Dans un premier temps, le Tribunal cite les deux seules exceptions à l’acte authentique comme étant :
- La donation manuelle, par la remise de la chose
- La donation dissimulée ou indirecte.
Le Tribunal note que le contrat prévoyait une cession à titre gratuit, ce qui se traduit en une « donation non dissimulée et portant sur des droits incorporels, comme tels insusceptibles de remise physique ».
Le Tribunal judiciaire de Paris a validé l’analyse, tout en indiquant que le code de la propriété intellectuelle ne déroge pas à l’obligation posée par l’article 931 du Code civil.
À ce titre, le fait que l’acte ait été conclu sous seing privé entraine sa nullité.
Quelle portée de cette solution ?
Dans un premier temps, il semble important de rappeler qu’il s’agit d’un jugement de première instance susceptible d’appel.
Il n’est pas dit à ce stade que cette décision fasse jurisprudence. Cependant, elle invite à la prudence dans la rédaction de vos futures clauses de cession de droits et à envisager de fixer un véritable montant pour vous prémunir du risque de nullité si l’acte n’est pas passé devant notaire.
- Published in blog, Propriété intellectuelle
Suite de l’affaire Epic vs Apple
Si vous n’avez pas lu notre article concernant l’affaire EPIC vs APPLE nous vous invitons à le découvrir ici.
Pour rappel, le litige entre EPIC et APPLE trouve sa source dans la politique de monétisation d’Apple. En effet, Apple prélève tous les revenus générés par les développeurs et oblige ceux-ci à passer par le système propriétaire d’Apple pour les achats-in app. Il s’agit d’un moyen de rémunération important pour Apple puisque celle-ci prélevait 30% de commission.
Dans le cadre de la décision de la juge Yvonne Gonzalez Rogers en charge du procès entre Apple et Epic Games, il a été décidé que Apple devrait laisser les développeurs utiliser un système de paiement alternatif dans l’App Store à compter du 9 décembre 2021.
Apple a demandé la suspension de la décision à deux reprises. Une première ordonnance redue le 9 novembre a rejeté la demande. La société a fait appel de la décision en soutenant qu’il s’agit de la première fois que des liens directs seraient disponibles dans l’application et que cette situation présente de véritables risques pour la sécurité et la confidentialité des utilisateurs.
Apple a finalement réussi à obtenir la suspension de l’injonction en faisant appel de la décision de la juge. La cour d’appel compétente devra entre temps rassembler les éléments nécessaires pour prendre définitivement position.
En parallèle aux Pays-Bas, l’autorité de la concurrence néerlandaise a enjoint à Apple d’ouvrir son système de paiement aux applications disponibles sur l’App Store. Cette décision intervient à la suite d’une enquête menée par l’autorité de la concurrence sur les pratiques d’Apple.
L’autorité de la concurrence a considéré qu’Apple abuse d’une position dominante sur le marché en obligeant les développeurs à n’utiliser que son système de paiement.
Apple avait jusqu’au 15 janvier 2022 pour se mettre en conformité et laisser les applications proposer leur propre système de paiement. À défaut, l’autorité de concurrence a prévu qu’Apple payerait une pénalité de 5 millions d’euros par semaine avec un maximum de 50 millions d’euros. Évidemment, Apple a fait appel de la décision.
D’autres enquêtes ont lieu un peu partout en Europe. Le dossier est donc loin d’être fini.
- Published in blog, Propriété intellectuelle
Le parasitisme : efficace et pas cher ?
Le slogan bien connu de la MAAF « Efficace et pas chère, c’est la MAAF que je préfère …. C’est la MAAF » s’inspirait de la chanson parodique « C’est la ouate », qui connut son heure de gloire dans les années 80.
La référence à la chanson « C’est la ouate » était faite avec l’autorisation du titulaire des droits, Universal Music Publishing, avec lequel la MAAF avait signé un contrat.
Après avoir été renouvelé deux fois, ce contrat est arrivé à son terme en 2019.
La MAAF a fait évoluer son slogan, devenu « Rien à faire c’est la MAAF qu’il/elle préfère » et « C’est la MAAF que je préfère ».
Estimant que ce nouveau slogan constituait une contrefaçon de la chanson « C’est la ouate » et caractérisait des actes de parasitisme, ses auteurs ont saisi le tribunal judiciaire de Paris.
Le tribunal judiciaire a cependant rejeté leurs demandes.
De manière classique en matière de contrefaçon, le tribunal a d’abord recherché à vérifier l’originalité de la phrase « de toutes les matières, c’est la ouate qu’elle préfère » sur laquelle l’action était fondée.
Le tribunal reconnait l’originalité de la phrase, au motif que la structure, le rythme, la mélodie et le choix des rimes traduisent bien la personnalité des auteurs, et est donc susceptible de protection.
Le tribunal estime cependant que la seule reprise des termes « C’est la MAAF/ouate qu’elle préfère », sans aucun autre élément et sans la mélodie, n’est pas suffisante pour caractériser la contrefaçon.
S’agissant du parasitisme, le tribunal estime dans le même sens que la simple utilisation d’un slogan qui reprend les seuls mots « c’est la (…) qu’il/elle préfère » sans être associé à la mélodie, ne peut être sanctionné.
Il convient de noter que l’appréciation du tribunal est en partie due au fait que la MAAF a réussi à démontrer que son nouveau slogan avait nécessité de nombreux investissements, et répondait à une volonté de changer son image.
Par conséquent, le Tribunal estime que la MAAF n’a pas cherché à continuer à se placer dans le sillage de la chanson « C’est la Ouate ».
Comme bien souvent, la solution retenue par les juges paraît dépendre en grande partie de la capacité des parties à démontrer la volonté, ou l’absence de volonté, de détourner un slogan.
Il s’agit ainsi d’une appréciation nécessairement marquée par une certaine subjectivité, tout comme l’est l’appréciation du risque de confusion.
Il n’est donc pas impossible que le résultat de l’action aurait été différent devant une autre juridiction.
Source :
Jugement du Tribunal judiciaire de Paris en date du 21 janvier 2022, à retrouver sur : Legalis
- Published in blog, Propriété intellectuelle
Quels sont les droits du sous-traitant sur les données collectées pour le compte du responsable de traitement ?
La Cnil a rappelé dans une publication du 12 janvier 2021 les conditions à respecter pour qu’un sous-traitant puisse réutiliser les données de ses clients.
Il est en effet fréquent que, dans le cadre d’une prestation de services, un sous-traitant collecte et traite des quantités importantes de données pour le compte du client, responsable de traitement.
Or, les données ainsi traitées pourraient avoir un intérêt pour le sous-traitant, quel que soit son secteur d’activité.
Une entreprise amenée à traiter des données pourrait ainsi souhaiter évaluer l’efficacité de ses techniques de vente, la performance de ses équipes commerciales ou les réactions des personnes dont elle traite les données.
Si un tel usage peut sembler naturel à un sous-traitant en raison de la disponibilité des données concernées, il est strictement encadré.
La Cnil rappelle ainsi que l’utilisation ultérieure par un sous-traitant pour son propre compte des données collectées est conditionnée au respect de deux critères cumulatifs :
- Le responsable du traitement lui en a donné l’autorisation écrite ;
- Le responsable de traitement s’est assuré que cette réutilisation est compatible avec le traitement initial
Conformément aux dispositions du RGPD, le traitement réalisé par le sous-traitant sur les données doit en effet toujours correspondre aux instructions du client responsable de traitement. Le sous-traitant n’est, sauf dispositions légales spécifiques, pas autorisé à utiliser ces données pour d’autres usages.
Comme souvent en matière de données personnelles, l’accessibilité du matériau source n’emporte pas la légalité de son utilisation.
Le sous-traitant qui souhaite utiliser les données traitées en cette qualité pour son propre compte doit obtenir une autorisation du responsable de traitement. Cet accord matérialise au demeurant le changement de statut du sous-traitant qui devient responsable du traitement des données visées dans l’autorisation.
Pour autant, le responsable de traitement ne peut pas autoriser le traitement des données par le sous-traitant sans s’être assuré que cette réutilisation est compatible avec le traitement initial qu’il a lui-même mis en œuvre.
Le traitement de données ultérieur réalisé par le sous-traitant n’a en effet par définition pas la même finalité que celle pour laquelle les données ont initialement été collectées.
Dès lors, la délivrance de l’autorisation est conditionnée à la vérification par le responsable de traitement de la compatibilité entre le traitement initial et le traitement ultérieur envisagé.
La Cnil rappelle dans son communiqué que cette analyse doit se fonder sur plusieurs critères :
- Existe-t-il un lien entre les finalités pour lesquelles les données personnelles ont été collectées et les finalités du traitement ultérieur envisagé ?
- Quel est le contexte de la collecte initiale ?
- Quelles sont les données et les personnes concernées ?
- Quelles pourraient être les conséquences du traitement ultérieur pour les personnes concernées ?
- Quelles sont les garanties mises en place pour protéger les droits et libertés des personnes ?
En fonction des conclusions de l’analyse réalisée par le responsable de traitement, celui-ci choisira ou non d’autoriser le sous-traitant à traiter les données.
Le sous-traitant est lui-même encouragé à prendre connaissance de cette analyse et à réfléchir à sa pertinence. En cas d’erreur, l’entreprise concernée se trouverait en situation de réaliser un traitement de données sans base légale.
Sa responsabilité pourrait alors être engagée, l’exposant à de nombreuses conséquences, dont une procédure initiée par la Cnil, des sanctions administratives et la communication au public de ce manquement.
L’autorisation ne peut ainsi être délivrée par un responsable de traitement initial qu’au cas par cas, en fonction des caractéristiques du traitement envisagé par le sous-traitant.
La Cnil insiste à ce titre sur l’impossibilité d’intégrer dans le contrat entre le client et son prestataire une autorisation générale de réutilisation ultérieure des données de tous les traitements confiés au sous-traitant.
Une fois ces vérifications établies et les parties étant parvenues à une décision, plusieurs actions resteront nécessaires à la conformité du traitement ultérieure.
D’une part, le responsable du traitement initial doit informer les personnes concernées de la transmission de leurs données et des droits qu’elles peuvent mettre en œuvre (droit d’opposition au traitement ultérieur notamment). Le sous-traitant, sur instruction du responsable de traitement, peut procéder à cette information.
D’autre part, le sous-traitant devenu responsable de traitement est tenu au respect d’un certain nombre de dispositions spécifiques, y compris celles applicables lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée.
En cas de doute sur la réalisation de l’analyse de compatibilité et sur les obligations respectives du sous-traitant et du responsable de traitement, il est recommandé de se faire accompagner par un spécialiste.
- Published in blog, Propriété intellectuelle
L’enregistrement d’une marque similaire à une marque antérieure ne constitue plus systématiquement un acte de contrefaçon
Le dépôt d’une marque est un acte essentiel pour la protection des droits du déposant.
Il est fréquent que le dépôt survienne avant toute utilisation de la marque, à la fois parce que le développement d’une marque accompagne souvent le lancement des produits et services qu’elle sert à identifier, mais également parce que tout usage d’une marque non protégée est susceptible de donner lieu à un dépôt ultérieur par un tiers mal intentionné.
Le dépôt d’une marque similaire à une marque antérieure a par ailleurs longtemps constitué un acte susceptible d’une condamnation en contrefaçon pour le déposant postérieur.
Deux arrêts récents de la Cour de cassation (arrêts du 13 octobre 2021, pourvois n°19-20.504 et 19-20.959) viennent cependant de remettre en question cette jurisprudence jusque-là constante dans les arrêts de la Cour.
Dans le premier pourvoi, une société titulaire de la marque [XPOD] demandait la nullité de la marque postérieure [Z POD] et la condamnation en contrefaçon de la société l’ayant déposée. La Cour d’appel lui a donné droit s’agissant de la nullité de la marque, mais a rejeté la demande de condamnation en contrefaçon. La société s’est alors pourvue en cassation.
Le second pourvoi est intervenu suite au dépôt par les anciens propriétaires d’un fonds de commerce de plusieurs marques auprès de l’Inpi. L’acquéreur du fonds, qui comprenait plusieurs éléments incorporels – marques, enseigne et nom commercial – soutenait que les marques déposées par son vendeur étaient similaires à celles incluses dans le fonds de commerce. Pour l’acquéreur, ce dépôt constituait dès lors une violation des droits acquis lors de la cession.
L’Inpi ayant rejeté les demandes d’enregistrement des marques ultérieures, l’acquéreur du fonds a sollicité la condamnation en contrefaçon du vendeur. Face au refus de la Cour d’appel, il s’est pourvu en cassation.
La Cour de cassation a rejetté les deux demandes en condamnation en contrefaçon en reconnaissant s’écarter de sa jurisprudence ordinaire. Elle a motivé ses décisions par plusieurs références à la jurisprudence de la Cour de Justice de l’Union Européenne (CJUE).
Les critères servant à qualifier la contrefaçon sont semblables dans la jurisprudence la CJUE et de la Cour de cassation, le signe contrefaisant devant :
- Être utilisé dans la vie des affaires ;
- En l’absence du consentement du titulaire de la marque antérieure ;
- Pour des produits ou services identiques ou similaires à ceux désignés par la marque antérieure ; et
- Créer un risque de confusion dans l’esprit du public du fait de son utilisation (portant en conséquence atteinte à la fonction essentielle de la marque, à savoir, l’identification de l’origine des produits ou services proposés).
La différence principale entre la pratique de la Cour de cassation et celle de la CJUE reposait jusqu’à présent sur la définition retenue de la notion « d’utilisation dans la vie des affaires ».
La Cour de cassation considérait en effet que : « le dépôt à titre de marque d’un signe contrefaisant constitue à lui seul un acte de contrefaçon, indépendamment de son exploitation ».
Au contraire, dans une lecture plus stricte du terme « utilisation », la CJUE ne considérait pas qu’un dépôt de marque, même lorsqu’il donne lieu à enregistrement, constitue un acte de contrefaçon.
A la suite des pourvois susmentionnés, la Cour de cassation a indiqué renoncer à sa précédente jurisprudence, issue de l’interprétation des articles L. 713-2, L. 713-3 et L. 716-1 du Code de la propriété intellectuelle dans leur ancienne rédaction.
La Cour de cassation indique dès lors dans les deux pourvois que : « la demande d’enregistrement d’un signe en tant que marque, même lorsqu’elle est accueillie, ne caractérise pas un usage pour des produits ou des services, au sens de la jurisprudence de la CJUE, en l’absence de tout début de commercialisation de produits ou services sous le signe. ».
En conclusion, la Cour de cassation semble désormais appliquer le principe issu du droit européen selon lequel le dépôt d’une marque ne peut à lui seul constituer un acte de contrefaçon.
La rédaction des deux pourvois conduit à penser qu’il ne s’agit pas d’arrêts d’espèce, mais bien d’une transformation en profondeur et pérenne de la pratique de la Cour.
Sources :
- Published in blog, Propriété intellectuelle
Condamnation à 3 millions d’euros pour contrefaçon de codes sources
Par un jugement en date du 23 septembre 2021, le tribunal judiciaire de Marseille a condamné à plus de 3 millions d’euros une société éditeur de logiciel, son fondateur et certains de ses salariés pour contrefaçon de logiciel par reproduction non autorisée des codes sources et concurrence déloyale. La décision rappelle les critères d’originalité du logiciel avant d’établir la contrefaçon, ainsi que la qualification de concurrence déloyale en cas de débauchage massif.
La société GENERIX a acquis la société INFOLOG qui a développé le logiciel INFOLOG WMS (devenu CGS WMS).
Peu de temps après, le responsable du support de la société GENERIX a quitté la société afin de créer sa propre entreprise ACSEP, ayant la même activité que son ancien employeur.
Plusieurs employés GENERIX ont par la suite rejoint la société ACSEP ainsi que certains clients.
La société GENERIX a par la suite été informée du fait qu’ACSEP serait en possession des codes sources du logiciel GCS WMS
La société GENERIX a obtenu une ordonnance judiciaire afin de réaliser des analyses internes pour évaluer les codes sources de la société ACSEP. Les rapports ont révélé que les programmes sources exploités par les deux sociétés étaient identiques à 98 %.
La société GENERIX a assigné la société ACSEP en contrefaçon et concurrence déloyale.
Sur la contrefaçon du logiciel
Dans un premier temps, le Tribunal rappelle que les logiciels sont considérés comme des œuvres de l’esprit au sens du Code de la propriété intellectuelle. À ce titre, le code source est une forme d’expression du logiciel et doit par conséquent être protégé par le droit d’auteur.
Le Tribunal a ensuite vérifié l’originalité du logiciel ainsi que la titularité des droits. La société GENERIX a fourni des certificats de dépôt antérieurement soumis à l’Agence pour la Protection des Programmes ainsi que des factures de commercialisation du logiciel permettant d’attester de la titularité du logiciel.
Concernant l’originalité du logiciel, la société GENERIX a su démontrer les choix opérés dans le développement du logiciel. Le Tribunal a notamment retenu l’analyse poussée des besoins métiers par GENERIX.
Des échanges d’emails ont également pu confirmer que la société ACSEP avait demandé et obtenu le transfert des codes sources du logiciel à une salariée encore en poste.
Aucune convention n’ayant eu lieu entre les deux sociétés, rien ne justifiait que celle-ci soit en possession des codes sources.
Le Tribunal de Marseille a condamné la société ACSEP, son fondateur ainsi que deux de ses salariés à :
- Plus deux millions d’euros de dommages-intérêts au titre du manque à gagner du fait de la résiliation de plusieurs contrats par des clients de GENERIX ;
- 814 000 € au titre des économies réalisées notamment en R&D ;
- Et 50 000 € en réparation du préjudice moral par la dévalorisation de son savoir-faire et la banalisation de son œuvre.
Les dommages et intérêts ont été fixés sur la base de l’article L331-3 du Code de la propriété intellectuelle, la société GENERIX a pu démontrer grâce à des lettres de résiliations de contrats entre 2011 et 2015, soit à la même époque que la survenance des actes de contrefaçon, avoir eu une perte de chiffre d’affaire de 3.128.937,40 €. En appliquant les taux de marges associés aux prestations, il est ressorti un préjudice total de 2.054.806, 06 €.
Le tribunal a également ordonné la cessation de toute reproduction et utilisation des codes sources, ainsi que leur suppression et la désinstallation du progiciel GCS WMS, sous astreinte de 1 000 € par jour de retard, pendant un délai maximal de deux ans.
Sur la concurrence déloyale
Pour démontrer la concurrence déloyale, il est nécessaire de prouver qu’il existe une pratique ayant pour objet de créer une confusion dans l’esprit du consommateur.
La société ACSEP a débauché au moins neuf salariés de la société GENERIX. Le Tribunal a considéré que le débauchage massif de ses salariés a eu pour effet de déstabiliser la société GENERIX.
Le Tribunal a également constaté que la société ACSEP faisait usage de marques déposées par la société GENERIX dans certains de ses supports. Il a été relevé que les supports en question émanaient, eux aussi, de la société GENERIX et que seul le logo de la société GENERIX avait été remplacé par celui de la société ACSEP.
La société ACSEP a été condamnée à verser 30 000 €. Le Tribunal a ordonné la cession de l’utilisation des marques déposées par GENERIX et tout autre document ou supports émanant de la société GENERIX sous astreinte de 500 € par jour de retard.
Source :
- Published in blog, Propriété intellectuelle
Que retenir de la décision Epic Games c./ Apple ?
Le différend opposant Apple à Epic Games a connu une première réponse dans le cadre du jugement rendu le 10 septembre 2021 par le tribunal californien en charge de l’affaire.
L’origine du différend
Le différend opposant Apple à Epic s’est formé suite au refus d’Epic de se conformer aux conditions générales d’utilisation de l’App Store.
Les conditions générales d’Apple à destination des développeurs interdisent notamment toute transaction in-app en dehors de l’écosystème Apple, ce qui rend par exemple impossible l’intégration de mécanismes de paiement propre aux développeurs dans leurs applications.
Apple prélève par ailleurs une commission de 30% sur chaque transaction réalisée au travers des applications ainsi distribuées. A date, environ 70% du chiffre d’affaires de l’App Store est issu des transactions in-app.
Epic, qui distribue ses jeux sous iOS sur l’App Store, et notamment Fortnite, a entamé en parallèle le développement de sa propre boutique en ligne.
La boutique en ligne d’Epic comprend un mécanisme de paiement, normalement inaccessible aux utilisateurs de jeux Epic sous iOS.
Courant 2020, Epic a cependant introduit une mise à jour sur Fortnite permettant aux utilisateurs d’accéder à son propre service de paiement, sur son propre site, et contournant ainsi la commission imposée par Apple.
En réponse, Apple a retiré en aout 2020 Fortnite des jeux accessibles sur l’App Store.
Le contentieux devant les tribunaux
Suite au retrait de Fortnite de l’App Store, Epic Games a déposé une plainte accusant Apple d’abuser de sa position dominante et de se livrer à des pratiques anti-concurrentielles en limitant les modes de paiement accessibles sur ses applications. Epic soutenait qu’Apple se trouvait ainsi en violation des lois antitrust fédérales et de l’Etat de Californie.
Apple a répondu en demandant des dommages et intérêts correspondant aux pertes subies à défaut du paiement de sa commission sur les transactions réalisées depuis l’introduction de la mise à jour sur Fortnite sous iOS.
Apple et Epic ont toutes les deux proposé au tribunal une définition différente du marché pertinent sur lequel évaluer les pratiques d’Apple. Epic soutient ainsi qu’Apple est en situation de monopole sur (i) son propre système de distribution d’applications et (ii) son propre mécanisme de collecte des paiements in-apps, sur les appareils équipés de son propre système d’exploitation.
En réponse, Apple soutient que le marché pertinent est celui jeux vidéo distribués de manière dématérialisée.
L’importance donnée par Apple et Epic à la question du marché pertinent est central au regard de la législation des Etats-Unis. En droit de la concurrence, les pratiques dénoncées comme anti-concurrentielles doivent être évaluées selon le marché sur lequel elles auraient lieu. Selon la nature du marché retenu, des pratiques similaires peuvent donc être sanctionnées ou au contraire, considérées comme respectant les principes du droit de la concurrence.
Le tribunal californien en charge de l’affaire a finalement considéré que le marché pertinent est celui des transactions internes aux jeux mobiles.
Par un jugement rendu le 10 septembre 2021, le tribunal a écarté l’abus de position dominante au regard des lois fédérales en vigueur aux Etats-Unis et prononcé deux mesures :
- L’interdiction faite à Apple d’empêcher l’installation in-app de mécanismes de paiement complémentaires aux siens ;
- La condamnation d’Epic Games au paiement d’une indemnité égale à 30% des sommes collectées directement par Epic Games dans Fortnite sur iOS, entre aout 2020 et la date du jugement.
Concrètement, Apple doit à l’avenir permettre aux développeurs d’inclure dans leurs applications des liens qui dirigeront les utilisateurs vers des mécanismes d’achat tiers à ceux d’Apple.
Les développeurs devront également être en mesure de communiquer auprès des utilisateurs concernant l’existence de ces modes alternatifs de paiement.
Apple dispose de 90 jours à compter du jugement pour se conformer à l’injonction du tribunal.
Ses suites
La plainte déposée par Epic fait partie d’un ensemble de plaintes et d’interrogations récurrentes sur la position d’Apple sur le marché du jeu vidéo mobile pour les jeux et équipements sous iOS.
Cette question n’est pas complètement traitée dans le jugement du 10 septembre. Le tribunal indique en effet simplement qu’Epic a échoué dans son obligation de prouver le caractère monopolistique de la position d’Apple, et les pratiques illégales conséquentes.
La définition du marché retenu, bien plus importante en termes de transactions et de personnes concernées que celle proposée par Epic, explique notamment la conclusion du tribunal, sans écarter la possibilité d’une réévaluation en cas de modification de la législation fédérale en la matière.
Epic ayant annoncé son intention de faire appel du jugement, il est probable que la position d’Apple fera l’objet de nouvelles discussions dans les mois et années à venir.
- Published in blog, Propriété intellectuelle
La CNIL fait le point sur les alternatives aux cookies
Le 21 octobre dernier, la CNIL a publié un article intitulé « Alternatives aux cookies tiers : quelles conséquences en matière de consentement ? »
Pour rappel, cela fait maintenant un an que la Cnil a remanié ses Lignes directrices « cookies et autres traceurs » qui formalisent la distinction entre les cookies pour lesquels le dépôt sur le terminal de l’utilisateur peut avoir lieu sans recueil préalable de consentement, et ceux pour lesquels le consentement doit être recueilli.
Les cookies concernés sont à la fois les cookies « tiers » (c’est-à-dire, ceux déposés sur des domaines différents de celui du site principal. Ces cookies ont pour fonction de permettre à des tiers de voir quelles pages ont été visitées par un utilisateur sur le site principal et de collecter des informations sur les utilisateurs à des fins publicitaires, tels que le bouton « j’aime » affichés sur un ensemble de sites tiers par certains réseaux sociaux) et les cookies « internes » (c’est-à-dire, les cookies déposés par le site consulté par l’utilisateur).
Les traceurs exemptés du recueil du consentement correspondent notamment aux traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs, à ceux destinés à l’authentification auprès d’un service ou encore, aux traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu.
Certains traceurs de mesure d’audience sont également concernés, sous réserve d’avoir pour finalité exclusive la mesure d’audience, aux conditions suivantes :
- Répondre à différents besoins strictement nécessaires au fonctionnement et aux opérations d’administration courante ;
- Être mise en œuvre pour le compte exclusif de l’éditeur du site / de l’application ;
- Produire des données statistiques anonymes.
Sont explicitement exclus les cookies permettant la mise en œuvre du suivi global de la navigation des personnes concernées sur plusieurs sites et applications et ceux permettant que les données personnelles collectées soient recoupées avec d’autres traitements ou transmises à des tiers.
La Cnil a également publié la liste des traceurs qui, sous réserve d’en faire un usage strictement nécessaire au fonctionnement et aux opérations d’administration courante du site web ou de l’application, sont identifiés comme pouvant être configurés pour rentrer dans le périmètre de l’exemption au recueil de consentement.
Cette liste, régulièrement actualisée, est accessible en suivant ce lien : https://www.cnil.fr/fr/cookies-solutions-pour-les-outils-de-mesure-daudience.
Un an après la publication de ces nouvelles Lignes directrices, la Cnil a pris acte de l’utilisation grandissante par les acteurs du secteur d’alternatives aux cookies « tiers » pour le ciblage publicitaire.
Les cookies « tiers » font en effet l’objet d’un encadrement de plus en plus strict de la part des navigateurs, et d’une surveillance de la part des autorités de contrôle telles que la Cnil.
D’autres solutions ont donc été développées par les éditeurs, ne reposant pas sur le dépôt de cookies :
- Données issues des cookies « internes » : désigne le recours aux cookies internes qui peuvent renvoyer des données via des appels d’URL sur le domaine du publicitaire, ou via des techniques de délégation ;
- Empreinte numérique du navigateur (fingerprinting) : désigne la méthode permettant d’identifier l’utilisateur de façon unique en utilisant les caractéristiques techniques de son navigateur (taille de l’écran, système d’exploitation, etc.). Cette méthode requière la collecte de suffisamment d’informations pour distinguer les utilisateurs entre eux ;
- Authentification unique (SSO – Single Sign-On) : désigne la connexion à plusieurs services au travers d’un compte et d’une authentification uniques. Le compte peut ainsi être utilisé comme un traceur des activités de l’utilisateur au cours de sa navigation ;
- Identifiants uniques : désigne les identifiants permettant de suivre un utilisateur grâce à l’utilisation d’une donnée hachée, elle-même collectée au cours de la navigation de l’utilisateur sur le site ;
- Ciblage par cohorte : désigne la pratique consistant à cibler un groupe d’utilisateurs aux comportements similaires et non plus un utilisateur de manière individuelle, en attribuant à ce groupe un identifiant unique et persistant.
La Cnil rappelle que cette pratique a d’abord été développée par certains opérateurs tels que Google afin de : « reproduire les possibilités actuelles des cookies dans le cadre de la publicité ciblée, tout en tentant de mettre en œuvre des limitations afin de diminuer l’intrusive de ces pratiques. ».
La Cnil recommande de conduire une analyse sur les conséquences pour les droits et libertés des personnes concernées de cette pratique, en insistant notamment sur les risques de réidentification individuelle et l’importance du respect du principe de minimisation des données.
La Cnil rappelle que ces solutions demeurent toutes soumises aux dispositions du Règlement n°2016/679 (le « RGPD ») ainsi qu’aux dispositions issues de la transposition de la Directive « vie privée et communications électroniques » (dite « ePrivacy »).
La Cnil rappelle également que, quand bien même ces solutions ne constitueraient pas des cookies au sens habituel du terme, elles : « reposent toutes sur l’accès à l’équipement terminal de l’utilisateur (…) pour accéder à des informations déjà stockées dans cet équipement (…) ou pour y inscrire des informations, au même titre que pour les cookies. ».
A ce titre, et conformément à la réglementation, la Cnil rappelle que : « les opérations, nécessaires à la constitution d’un profil individuel ou de groupe et à la fourniture de publicité ciblée, requièrent le consentement préalable de l’utilisateur, qu’il y ait ou non traitement de données personnelles, dans la mesure où elles ne font pas directement partie du service directement demandé par l’utilisateur ».
La Cnil en conclut que les dispositions des Lignes directrices « cookies et autres traceurs » ont vocation à s’appliquer à l’ensemble des solutions alternatives aux cookies telles que décrites ici. Ses opérations de contrôle porteront donc sur la conformité de ces solutions aux dispositions issues des Lignes directrices.
Les éditeurs de ces solutions doivent en conséquence s’assurer qu’elles respectent le principe de protection de la vie privée dès la conception (principe du privacy by design) et notamment, qu’elles :
- Intègrent des moyens permettant aux utilisateurs de garder le contrôle de leurs données ;
- Permettent aux utilisateurs d’exercer facilement leurs droits.
Enfin, la Cnil insiste sur la nécessité pour les acteurs du secteur de s’assurer qu’ils ne traitent pas de données dites « sensibles » ou « particulières ».
La Cnil rappelle en conclusion l’importance pour l’ensemble des acteurs de ce secteur, responsable de traitement et sous-traitant, de tenir compte de leurs rôles et responsabilités respectifs.
Leben Avocats est fier d’avoir été sélectionné par la EDHEC BUSINESS SCHOOL pour participer à l’élaboration de son référentiel de compétences du juriste augmenté 2.0.
Leben Avocats est fier d’avoir été sélectionné par la EDHEC BUSINESS SCHOOL pour participer à l’élaboration de son référentiel de compétences du juriste augmenté 2.0.
- Published in Nouvelles technologies
Leben-Avocats participe au lancement d’une nouvelle plateforme de Dropshipping
Leben-Avocats participe au lancement d’une nouvelle plateforme de Dropshipping
- Published in Nouvelles technologies
Décision de l’Autorité de la Concurrence sur la Playstation – Sony : retrouvez notre commentaire de la décision.
Décision de l’Autorité de la Concurrence sur la Playstation – Sony : retrouvez notre commentaire de la décision.
- Published in Jeux vidéo
Leben Avocats participe au Virtual Games Meetup et présente les principaux dispositifs de la loi Avia
Leben Avocats participe au Virtual Games Meetup et présente les principaux dispositifs de la loi Avia
- Published in Nouvelles technologies
Le cabinet assiste une entreprise dans la procédure de Notification d’une faille de sécurité devant la CNIL.
Le cabinet assiste une entreprise dans la procédure de Notification d’une faille de sécurité devant la CNIL.
- Published in Privacy
Nos avocats obtiennent la condamnation d’un ancien concessionnaire pour un montant de 400.000 € de dommages et intérêts pour violation de sa clause de non concurrence et non paiement des redevances dues.
Nos avocats obtiennent la condamnation d’un ancien concessionnaire pour un montant de 400.000 € de dommages et intérêts pour violation de sa clause de non concurrence et non paiement des redevances dues.
- Published in Réseaux de distribution
Nos avocats interviennent sur le thème « IA et données personnelles » dans le cadre de la 14ème université des DPO.
Nos avocats interviennent sur le thème « IA et données personnelles » dans le cadre de la 14ème université des DPO.
- Published in Privacy