Plainte de la FTC contre Ring : Permettre aux collaborateurs d’accéder aux données des clients peut coûter cher!
La FTC a déposé une plainte contre une filiale d’Amazon pour ne pas avoir limité l’accès de ses salariés aux données personnelles de ses clients
La Federal Trade Commission (FTC) a accusé la société Ring, filiale d’Amazon, spécialisée dans la commercialisation et les services liés aux caméras de surveillance connectées, d’avoir illégalement espionné ses clients.

Le 31 mai 2023, la FTC l’agence publique américaine en charge de l’application du droit de la consommation et de la concurrence, a annoncé avoir déposé auprès de l’autorité compétente une proposition d’accord transactionnel concernant la société Ring, qui doit encore être homologuée.
L’accord prévoit notamment le paiement de 5.8 millions de dollars par Ring à ses clients.
Les manquements liés à l’accès aux données au sein de l’organisation
En l’espèce, la FTC reprochait dans une plainte à la société de ne pas avoir limité l’accès aux vidéos de ses clients, accessibles depuis les caméras connectées. Fait d’autant plus grave que la campagne publicitaire autour de ces produits était axée au tour de la sécurité apportée par la vidéo-surveillance (« protect your home » « bring protection inside ».)
Une absence totale de restriction à l’utilisation des données des utilisateurs
La FTC révèle en effet que tout employé ou prestataire de la société était autorisé à accéder aux vidéos enregistrées chez les clients. La FTC souligne que cet accès était évidemment non nécessaire et était complet, aucune mesure de restriction n’ayant été mise en place.
La plainte souligne notamment que des sous-traitants basés en Ukraine ont donc pu avoir un accès total aux vidéos enregistrées par les détenteurs de caméras Ring.
L’accès aux vidéos des clients n’était donc pas limité aux fonctions pour lesquelles il était nécessaire : le service support ou les équipes en charge de l’amélioration du produit.
A titre d’exemple, la FTC relève qu’un ingénieur en charge des réglages des projecteurs accompagnant les caméras aurait pu avoir accès si nécessaire à des vidéos d’utilisateurs installées en extérieur, mais certainement pas à celles tournées par des caméras installées dans une chambre.
Pire, aucune restriction technique n’empêchait le téléchargement, la sauvegarde ou le transfert de ces vidéos par les employés et collaborateurs de Ring. Il était même possible pour les collaborateurs de Ring de rechercher sur une base de données les vidéos enregistrées par les caméras, selon le nom donné à celles-ci. Cela a notamment permis à un employé de rechercher prioritairement des vidéos d’espaces « intimes » en utilisant le mot clé « bedroom » ou « bathroom ».
L’autorité américaine souligne que la filiale d’Amazon a échoué à mettre en place les mesures de sécurité les plus élémentaires. Cette imprudence a notamment permis à un employé de la société d’accéder à des milliers d’enregistrements de clientes dans leurs chambres ou salles de bain.
Un défaut de contrôle et de suivi de l’utilisation des données
Circonstance aggravante, une fois cette entorse à la règlementation relative au droit à la vie privée détectée, Ring a mis en place des restrictions concernant l’accès des vidéos par son personnel mais n’a pas été en mesure de garder la trace de ceux-ci et donc de déterminer s’ils étaient légitimes.
Ring même après avoir limité l’accès de son personnel à ses bases de données n’était donc aucunement en mesure de détecter une fuite ou un accès non-autorisé.
La FTC insiste sur l’absence de moyens techniques permettant de gérer les accès aux données sensibles
L’autorité ajoute dans sa plainte que Ring n’a ainsi « aucune idée » du nombre d’accès non autorisés ayant eu lieu.
La FTC indique que Ring a découvert les agissements de certains de ses collaborateurs uniquement par « chance » et qu’il est donc extrêmement probable que de nombreux incidents n’aient pas été détectés.
Ces révélations ne reposent effectivement que sur la vigilance des employés ayant rapporté à la direction ces atteintes à la vie privée, alors même qu’ils ne s’étaient pas vus confier cette mission.
La plainte relève également la légèreté d’un supérieur hiérarchique auquel un rapport avait été remonté par une employée concernant les accès à de très nombreuses vidéos par un ingénieur employé par Ring.
Le personnel de Ring ne bénéficiait d’aucune formation en lien avec les données sensibles des utilisateurs, et donc d’aucun mécanisme d’alerte ou de procédure de traitement des incidents.
Cela pourrait expliquer que les pratiques de l’entreprise se soient améliorés de manière très lente, la FTC considère que Ring a échoué à mettre en place des mesures de sécurité élémentaires de 2016 à 2020.
Enfin, la société n’a jamais clairement informé ses clients que la consultation des enregistrements par ses employés était possible, et a utilisé des termes vagues à ce sujet dans ses documents contractuels.
Les sanctions et mesures prévues par l’accord transactionnel
En supplément des mesures pécuniaires qui serviront au remboursement de clients, la FTC propose à la société Ring de mettre en place un programme de sécurité des données personnelles et de respect de la vie privée contraignant.
L’accord prévoit également la suppression de toutes les données qui étaient consultables de façon illicite, avant une certaine date et tous les travaux, notamment de développement et d’entraînement de technologie de reconnaissance faciale, associés.
La FTC souhaite ainsi clairement établir que la violation de la réglementation sur les données personnelles et la vie privée a un coût.
Source: FTC Says Ring Employees Illegally Surveilled Customers, Failed to Stop Hackers from Taking Control of Users’ Cameras
Adoption au Sénat du Projet de loi visant à sécuriser et réguler l’espace numérique
Le 5 juillet 2023, le Sénat a adopté en première lecture le projet de loi modifié visant à sécuriser et réguler l’espace numérique. Il sera présenté devant l’Assemblée nationale en septembre 2023.
Le projet de loi s’inscrit dans l’évolution rapide au niveau européen des dispositions visant à réguler les activités en ligne (avec, notamment, l’entrée en vigueur du Digitale Services Act (DSA) et du Digital Market Act (DMA)). Il intègre également certaine des recommandations formées dans les rapports sur la souveraineté numérique et la protection des mineurs face à la pornographie et aux fins de régulation des activités des influenceurs.

Les conditions de signalement de contenus illicites sont ainsi renforcées, ainsi que les obligations des éditeurs et hébergeurs en cas de saisine. Les sanctions en l’absence de traitement des notifications de contenus illicites sont également développées, conformément aux dispositions du DSA.
Le projet de loi vise également à limiter la possibilité pour les principaux acteurs du numérique de privilégier leurs propres services sur les plateformes qu’ils éditent, conformément aux principes du DMA.
Le projet de loi inclut par exemple des dispositions restreignant les frais de transfert pouvant être imposés par un hébergeur Cloud à ses clients lorsque ceux-ci souhaitent changer de fournisseur de services d’hébergement. Les frais pouvant être demandés devront se limiter aux frais de migration liés au changement de fournisseur et ne pourront donc plus atteindre les montants importants connus aujourd’hui.
Le projet de loi aborde également la question de l’absence de régulation des Jeux utilisant des Objets Numériques Monétisables (JONUM), dont le statut a fait l’objet de nombreux débats. La qualification des objets concernés, entre jeux d’argent et actifs numériques, ne semble pas encore totalement tranchée.
Le projet de loi prévoit cependant la possibilité pour le Gouvernement de prendre par ordonnance, dans un délai de quatre mois à compter de la publication de la loi, les mesures nécessaires pour réguler ces jeux.
Le projet de loi constitue donc un ensemble complexe, complémentant l’intégration au droit national de plusieurs des dispositions du DSA et du DMA.
L’Arcom devrait ainsi devenir le Coordinateur des services numériques en France. Il sera accompagné dans ses missions par l’Autorité de la concurrence et la Cnil, qui devraient également être désignées comme autorités compétentes responsables de la surveillance des fournisseurs de services intermédiaires et de l’exécution du DSA en France.
Source :
- Publié dans blog, Nouvelles technologies
Paquet numérique : ce qui vous attend !
Dire que l’on est désormais entré dans une économie basée sur la data, est devenu un lieu commun.
Avec l’arrivée de nouveaux acteurs, on assiste à l’émergence de nouvelles problématiques et à la survenance de nouveaux risques :

- le risque cyber et celui d’atteinte à la vie privée ;
- la généralisation des fake news ;
- les risques de manipulation via des commentaires mensongers ; ou encore
- la prise en compte de l’IA qui vient poser des questions qui relevaient jusque là du domaine de la science-fiction.
Le législateur européen s’est emparé de ces questions et a voté une série de textes regroupés sous l’appellation « Paquet numérique ».
Le cabinet Leben-Avocats a le plaisir de vous présenter une synthèse de ces différents textes. (Digital Service Act, Digital Governance Act, Digital Market Act, Data Act, IA Act, Cyber Resilience Act, NIS2…)
La synthèse, c’est par ici.
- Publié dans blog, Nouvelles technologies
Le point sur : le Digital Market Act
Par Eolia BUSATA et Henri LEBEN, avocats à la Cour
Le Digital Market Act (Règlement UE n°2022/1925 – DMA) a vocation à permettre de réguler le pouvoir des acteurs économiques en capacité de verrouiller l’accès aux marchés numériques dans l’Union européenne.
Le Règlement s’applique ainsi aux acteurs disposant de capacités de verrouillage ou de contrôle de leurs marchés, car ils constituent un point d’accès important des entreprises utilisatrices pour toucher leur clientèle, et qui sont alors qualifiés de « contrôleur d’accès » ou « gatekeepers ».
La qualification de contrôleurs d’accès sera appliquée automatiquement à toute entreprise qui, au cours des 3 dernières années, a :
• Réalisé 7,5 milliards d’euros au moins de CA annuel dans l’UE ou 75 milliards, d’euros ou plus de capitalisation boursière durant la dernière année ;
• Eté utilisée par au moins 45 millions d’utilisateurs finaux par mois et 10.000 professionnels par an ;
• Fourni un ou plusieurs services de plateforme essentiels dans au moins trois pays de l’UE, parmi lesquels : services d’intermédiation (comme les places de marché, les boutiques d’applications), moteurs de recherche, réseaux sociaux, messagerie en ligne, etc.
Une fois ces seuils atteints, les entreprises concernées devront s’identifier auprès de la Commission européenne dans le 2 mois de l’entrée en vigueur du DMA. Celle-ci étudiera alors la déclaration et procédera, si applicable, à la désignation de l’entreprise déclarante en tant que « contrôleur de marché ».
Les premières désignations sont donc attendues début septembre 2023.
La Commission pourra, dans tous les cas, désigner unilatéralement les entreprises qui remplissent les critères mais ne se signalent pas comme telles.
Par ailleurs, les entreprises dont l’activité est susceptible de les placer en position de domination de leur marché sans que cette position soit encore durable se verront attribuer le statut de « contrôleurs d’accès émergents ». Certaines des obligations applicables aux contrôleurs d’accès leur seront immédiatement applicables.
Parmi les mesures prévues par le règlement pour encadrer le pouvoir de marché des contrôleurs d’accès, beaucoup vont affecter l’organisation même des plateformes.
Les entreprises concernées devront notamment :
• Rendre également faciles l’abonnement et le désabonnement au services de plateforme essentielle qu’ils fournissent ;
• Permettre de désinstaller facilement leurs applications préinstallées (tels que des suites logicielles ou un navigateur) ;
• Rendre interopérables les fonctionnalités de base de leurs services de messagerie instantanée avec ceux de leurs concurrents ;
• Autoriser les vendeurs à promouvoir leurs offres et à conclure des contrats avec leurs clients en dehors des plateformes ;
• Donner aux vendeurs l’accès à leurs données de performance marketing ou publicitaire sur leur plateforme.
Les plateformes seront également tenues d’informer la Commission européenne de l’évolution de leur organisation, en lui notifiant notamment les acquisitions et fusions qu’elles réalisent.
Ces obligations s’accompagnent de la restriction de pratiques ayant pour objet de favoriser les services annexes proposés par les contrôleurs d’accès (auto préférence de leurs produits, installation automatique de leurs logiciels sur un appareil, exploitation des données des vendeurs sur la plateforme pour les concurrencer, obligation d’utiliser le système de paiement du contrôleur, etc.).
Une entité lésée par un contrôleur d’accès pourra s’appuyer sur la liste de ces obligations et interdictions pour demander des dommages et intérêts devant les juges nationaux. La liste prévue par le règlement pourra être complétée par la Commission, en fonction de l’évolution des pratiques des plateformes.
Les sanctions prévues portent sur des montants relativement élevés, et peuvent aller jusqu’à la mise en œuvre de mesures correctives comportementales ou structurelle par la Commission.
Pour nous contacter, c’est ici. (https://www.leben-avocats.com/contact/)
- Publié dans blog, Nouvelles technologies
Le point sur : le Digital Services Act
Par Eolia BUSATA et Henri LEBEN, avocats à la Cour
Le Digital Services Act (Règlement UE n°2022/2065 – DSA) a vocation à réguler les services en ligne au sein de l’Union européenne, en luttant contre les contenus illicites et en renforçant les obligations de contrôle interne des plateformes.
Le calendrier d’application du règlement est étendu, les premières mesures sont entrées en vigueur en novembre et d’autres suivront, jusqu’au 17 février 2024, date à laquelle l’ensemble des dispositions du Règlement seront applicables.
Le Règlement s’applique à tout intermédiaire ou fournisseur de services en ligne offrant ses services et produits sur le marché de l’UE, indépendamment de sa localisation géographique. Les entités concernées sont, notamment, les fournisseurs de services d’informatique en Cloud et d’accès à un Internet et la plupart des lieux d’achat et de vente en ligne (places de marché, boutiques d’application, réseaux sociaux, plateformes de voyage et d’hébergement, etc.).
Un statut particulier est conféré aux très grands opérateurs ayant un nombre mensuel moyen de destinataires actifs dans l’UE égal ou supérieur à 45 millions. Ce nombre pourra être réévalué en cas d’évolution de la population de l’Union de 5%.
Les très petites et petites entreprises (moins de 50 salariés et moins de 10 millions de CA annuel) qui n’atteignent pas 45 millions d’utilisateurs mensuels seront exemptées de certaines obligations.
Toutes les entreprises concernées devront désigner un point de contact unique (et un représentant légal pour les entités établies hors UE).
Le Règlement contient plusieurs obligations dont les principales sont :
• La lutte contre les contenus illicites : plusieurs mesures doivent être prévues dont la mise en place d’un outil permettant de signaler facilement les contenus illicites, mais également l’obligation pour les marketplaces de mieux s’informer sur leurs vendeurs (vérification de leur fiabilité, de leur identité, etc.),
Le règlement prévoit à ce titre la création du statut de « signaleurs de confiance » / « Trusted flaggers », c’est-à-dire, des entités reconnues pour leur expertise dans la détection et l’identification de contenus illicites, et leur indépendance. Elles seront désignées dans chaque Etat et leurs signalements devront être traités en priorité.
Un rapport annuel récapitulant leurs actions est à adresser au coordinateur national les ayant désignés.
• Transparence : les plateformes devront mettre en place un système interne de traitement des réclamations des utilisateurs (notamment dans les cas de suspension ou de résiliation des comptes sur les plateformes) et clarifier le fonctionnement des algorithmes utilisés pour recommander les contenus publicitaires.
Ce second point s’accompagne d’interdictions spécifiques : interdiction de la publicité ciblée à destination des mineurs, ou de celle basée sur des données sensibles, sauf consentement exprès des personnes.
Les très grandes plateformes, et les très grands moteurs de recherche, sont soumis à des obligations supplémentaires, y compris :
• La mise en place d’un système de recommandation de contenus non-fondé sur le profilage et d’un registre des publicités contenant diverses informations (qui a parrainé l’annonce, comment et pourquoi celle-ci cible tels individus…) ;
• Une obligation d’analyser annuellement les risques systémiques qu’elles créent (sur la haine et la violence en ligne, les droits fondamentaux, les processus électoraux, la santé publique…) et de prendre les mesures nécessaires pour atténuer ces risques (respect de codes de conduite, suppression des faux comptes, etc.) ;
• La réalisation d’audits annuels indépendants de réduction des risques, sous le contrôle de la Commission européenne.
Le contrôle de l’application du Règlement est confié, dans chaque Etat, à un « coordinateur des services numériques », rassemblés au niveau de l’UE dans un Comité européen des services numériques. Ces coordinateurs devront être déclarés au plus tard le 17 février 2024.
En France, cette mission est confiée à l’Arcom.
En cas de violation du règlement, les coordinateurs des services numériques et la Commission pourront prononcer des astreintes et des sanctions. Pour les très grandes plateformes et les très grands moteurs de recherche, la Commission pourra infliger des amendes pouvant aller jusqu’à 6% de leur chiffre d’affaires mondial.
En cas de violations graves et répétées au règlement, des interdictions d’activités sur le marché de l’UE pourront être prononcées.
De manière générale, le règlement a vocation à s’adapter à la taille et aux conséquences éventuelles de l’activité de l’entreprise sur le marché de l’UE.
En fonction de votre activité, une analyse au cas par cas des mesures qui vous sont applicables est donc nécessaire.
Pour faire le point avec nos équipes sur les obligations applicables à votre entreprise, c’est ici. (https://www.leben-avocats.com/contact/)
- Publié dans blog, Nouvelles technologies
Les œuvres générées par IA sont-elles protégeables par le droit d’auteur ?
Outre son côté passionnant, la réponse à cette question aura évidemment des conséquences économiques extrêmement importantes.
Pourra-t-on continuer à exploiter le droit d’auteur ? Des redevances devront-elles être payées ? Quelle répartition pour les œuvres créées en “partenariat” entre un humain et une Ai ?
Beaucoup de questions auxquelles le Bureau du Copyright américain a tenté de répondre, en publiant le 16 mars dernier un guide à destination des créateurs.
Pour le texte d’origine : cliquez ici (https://public-inspection.federalregister.gov/2023-05321.pdf)
Par Manon GASQUET et Henri LEBEN, avocats à la Cour
Le Copyright Office, l’autorité américaine en charge de l’enregistrement des œuvres de propriété intellectuelle, a publié le 16 mars 2023, un document précisant les conditions d’enregistrement et de protection d’œuvres composées d’éléments générés par Intelligence Artificielle (IA).
Le Copyright Office indique être conscient que de nombreuses autres questions sont soulevées par l’usage de ces technologies en matière de droit de propriété intellectuelle, tel que le sort des œuvres utilisées pour entrainer les logiciels.
Il s’attèle cependant en premier, à résoudre l’épineuse question de l’enregistrement, en tant qu’œuvres protégeables, des images, textes et sons produits par les IA dites « génératives ».
La nécessité d’un auteur humain
Le Copyright Office cite à titre d’exemple son refus d’enregistrer en tant qu’œuvre protégée A Recent Entrance to Paradise créée par une IA (« Creative Machine »), peu importe que celle-ci ait elle-même, été créée par un auteur bien réel.
En novembre 2018, le Copyright Office avait fait valoir que l’œuvre n’était pas protégeable à défaut d’avoir un auteur humain.
Cette position était d’ailleurs conforme à la jurisprudence de cette institution qui, par le passé, avait refusé de faire suite à des demandes singulières, telles que l’enregistrement d’œuvres ayant pour « auteur » un animal ou des « êtres célestes ».


Le Copyright office semblait cependant dernièrement s’être éloigné de cette jurisprudence, en autorisant l’enregistrement d’un roman graphique intitulé Zarya of the Dawn, dont l’auteure revendiquée, Kristina Kashtanova, certes humaine, s’était appuyée sur l’IA Midjourney pour réaliser les visuels de l’œuvre.
Midjourney est un générateur d’images qui permet de créer des illustrations à partir d’un texte descriptif rédigé par un utilisateur, en se basant sur l’intelligence artificielle.
Néanmoins, le Copyright Office est finalement revenu sur sa décision, estimant que l’auteure de l’œuvre pouvait uniquement revendiquer la paternité des éléments qu’elle avait effectivement créés, à savoir le texte, la composition, l’arrangement des éléments visuels et écrits, mais excluait donc les images générées par Midjourney.
Une appréciation au cas par cas
Le Copyright Office souligne toutefois la difficulté à appliquer ce critère et rappelle, que l’intervention de logiciels ou de procédés automatisés dans le processus créatif, n’est pas un phénomène nouveau.
En pratique, l’autorité indique que le bénéfice de l’enregistrement devra être décidé sur la base d’une évaluation spécifique, pour déterminer si la création est le fruit d’une intervention humaine suffisante pour être qualifiées d’œuvre protégeable.
Il est d’ailleurs rappelé que le principe même d’une IA générative, est que son utilisateur ne détient pas en principe le contrôle créatif ultime.
Pour illustrer son propos, le Copyright Office cite l’exemple d’un utilisateur d’une IA qui lui demanderait de générer « un poème sur le droit de la propriété intellectuelle à la façon de Shakespeare ».
En pratique, c’est l’IA qui déterminera le rythme du poème, les mots choisis dans les vers ainsi que la structure du texte. Une telle création n’est pas susceptible de protection.
En revanche, une modification suffisante de la création initiale de l’IA, ou un travail créatif important de la part de l’utilisateur sur la sélection ou l’arrangement de ces éléments, devrait pouvoir bénéficier d’un enregistrement auprès du Copyright Office.
Mais dans ce cas, seuls les éléments d’origine humaine seront protégés.
Recommandations du Copyright Office
Le Copyright Office donne quelques recommandations sur la manière de renseigner une demande, lorsqu’une IA est impliquée :
• L’auteur d’un texte reprenant des parties de textes générés par IA devra faire porter sa demande de protection sur les éléments créés par lui uniquement.• Une personne ayant arrangé des textes d’origine humaine et non humaine devra fonder sa demande sur son travail de sélection, coordination et d’arrangement, en décrivant précisément quels éléments ont été générés par une IA.
• Le Copyright Office invite également les personnes dont la demande est en cours d’instruction à régulariser le cas échéant leurs demandes.
Et en France ?
Il convient tout d’abord de rappeler que la position du Copyright Office est susceptible d’évoluer en fonction de la jurisprudence des tribunaux américains qui ne manquera pas d’intervenir.
En France, le droit d’auteur est automatiquement attribué au créateur d’une œuvre qui reflète sa personnalité et son investissement intellectuel. Nul besoin donc de procéder à un enregistrement pour que ce droit existe. (Attention cependant à ne pas confondre existence du droit et preuve de l’existence…)
A ce jour, la Cour de cassation ne s’est pas prononcée sur la question de l’existence d’un droit d’auteur sur une œuvre générée par l’IA.
Il est donc difficile de répondre à la question de départ.
Une position envisageable pourrait cependant être de considérer que :
- L’IA est protégeable par le droit d’auteur en tant que logiciel ;
- L’œuvre créée par l’IA constitue une œuvre dérivée du logiciel protégé.
Il s’agit bien évidemment d’une approche purement prospective, et qui générera certainement encore beaucoup de questions.
Dans tous les cas, il reste possible de solliciter une IA pour savoir comment celle-ci envisage la protection des œuvres créées par son intermédiaire…
Pour savoir comment protéger vos œuvres : c’est ici. (https://www.leben-avocats.com/contact/)
Retrouvez l’intégralité du Copyright Registration Guidance: Works Containing Material Generated by Artificial Intelligence (https://public-inspection.federalregister.gov/2023-05321.pdf)
- Publié dans blog, Propriété intellectuelle
La Federal Trade Commission inflige des pénalités record à l’éditeur de Fortnite, Epic Games
Le 19 décembre 2022 La Federal Trade Commission (FTC), l’agence publique américaine en charge de l’application du droit de la consommation et de la concurrence, a annoncé avoir conclu un accord avec l’éditeur du jeux vidéo Fortnite, Epic Games.
La FTC avait déposé deux plaintes séparées à l’encontre de l’éditeur, la première était relative à la collecte d’information de mineurs de 13 ans et au paramétrage par défaut de la possibilité d’envoyer des messages écrits et vocaux. La seconde portait sur l’utilisation de pratiques commerciales trompeuses ayant pour effet de piéger l’utilisateur et de l’amener à effectuer des achats intégrés sans s’en rendre compte.
Epic Games et la FTC ont conclu un accord transactionnel dans lequel l’entreprise s’engage à payer la somme de 520 millions de dollars.
D’importants manquements à l’égard du droit à la vie privée des mineurs
L’éditeur s’est vu reprocher plusieurs comportements en contravention avec le droit à la vie privée des mineurs et en particulier le Children’s Online Privacy Protection Act (COPPA).
La plainte déposée par la FTC reprochait tout d’abord la collecte de données personnelles de mineurs de moins de 13 ans sans le consentement exprès de leurs parents.
Epic collecte en effet des données personnelles sur les joueurs de Fortnite, notamment par la création d’un compte gratuit. Toutefois, la création d’un compte n’était pas subordonnée à un âge minium avant septembre 2019.
La FTC mettait également en exergue les demandes déraisonnables d’Epic Games adressées aux parents ayant sollicité la suppression des données détenues ou du compte de leur enfant. En effet, certains parents ont par exemple dû fournir toutes les adresses IP utilisées par leur enfant pour se connecter au jeu, afin d’obtenir le traitement de leur demande de suppression.
Faits plus graves, l’autorité relève longuement les risques de conséquences désastreuses sur les enfants (harcèlement, harcèlement sexuel, menaces, exposition à des discours suicidaires…) du paramétrage par défaut des règles de confidentialité permettant d’échanger en direct avec d’autres joueurs, inconnus, par messages vocaux ou écrits.
La sévérité de la sanction de la FTC semble liée à l’inaction et à la mauvaise volonté d’Epic Game quant à ses obligations légales.
En effet, le public du jeu Fortnite est très jeune, ce que l’éditeur sait, en témoignent les sondages des utilisateurs et le marketing développé par l’entreprise (jeu pensé pour plaire aux enfants, distribution de produits dérivés tels que des jouets, des costumes d’halloween ou des vêtements pour enfant).
Pour autant, Epic Games semblait très réticente à mettre en place des mécanismes de sécuritéalors même que l’entreprise avait connaissance de nombreux et graves incidents et qu’elle avait été alertée par ses équipes internes.
Des pratiques commerciales trompeuses
Le second volet de la plainte de la FTC porte sur l’utilisation de « dark patterns » par Epic Games. Il s’agit de pratiques de design d’interfaces ayant pour but de piéger les utilisateurs pour qu’ils effectuent, de façon involontaire, un achat ou qu’ils ajoutent un service complémentaire à leur commande.
Si la création d’un compte joueur est gratuite, de nombreux achats intégrés sont possibles dans le jeu (cosmétiques, émoticônes…). Ces achats cumulés représenteraient 5,1 milliards de dollars de recettes pour l’année 2021.
De nombreuses plaintes de parents indiquent que ces achats peuvent être effectués sans aucune confirmation de la part du titulaire de la carte de crédit associée au compte. La possibilité de ne pas pré-enregistrer les informations liées à une carte de crédit sur le jeu à été mise en place uniquement en novembre 2018.
La rétention des informations bancaires, associée à la mise en place de dark patterns a eu pour conséquences la facturation de frais et d’achats non consentis aux parents de nombreux joueurs et aux joueurs eux-mêmes.
En effet, des pratiques telles que l’inversion de la fonction habituelle des boutons (valider et annuler par exemple), l’absence de confirmation de l’achat, ou l’agencement très rapproché des boutons permettant la visualisation de l’objet et de celui permettant l’achat, ont mené de très nombreux joueurs à effectuer des achats par accident, Epic Games débitant immédiatement le compte bancaire associé.
Les nombreuses demandes de clients et des équipes internes d’ajout d’un bouton de confirmation de paiement n’ont pas été prises en compte selon la FTC.
La possibilité d’annuler un achat, de certains objets uniquement, n’a été mise en place qu’en juin 2019. La FTC relève toutefois que cette possibilité était excessivement difficile à trouver.
Enfin, Epic Games est également accusée d’avoir désactivé les comptes des utilisateurs ayant contacté leurs banques en demandant le remboursement des frais indus, interdisant ainsi l’accès aux achats intégrés litigieux, mais également à ceux n’étant pas contestés.
• Une sanction record
Epic Games s’est vu infliger une amende d’un montant de 275 millions de dollars en raison de la violation des dispositions relatives à la vie privée des enfants et devra également payer un montant de 245 millions de dollars qui seront utilisés pour rembourser les achats des clients lésés.Sources :
Communiqué de la FTC :
https://www.ftc.gov/news-events/news/press-releases/2022/12/fortnite-video-game-maker-epic-games-pay-more-half-billion-dollars-over-ftc-allegations
Plainte relative aux manquements à l’égard de la vie privée :
https://www.ftc.gov/system/files/ftc_gov/pdf/2223087EpicGamesComplaint.pdf
Plainte relative aux pratiques commerciales trompeuses :
https://www.ftc.gov/system/files/ftc_gov/pdf/1923203EpicGamesComplaint.pdf
Accord transactionnel :
https://www.ftc.gov/system/files/ftc_gov/pdf/1923203EpicGamesACCO.pdf
- Publié dans blog, Jeux vidéo
Mise en œuvre d’un traitement ultérieur de données : les durées de conservation du traitement initial ne sont pas forcément applicables
Henri Leben
Leben Avocats
Il est fréquent désormais que des données personnelles collectées dans le cadre d’un premier traitement fassent l’objet d’un traitement ultérieur. C’est par exemple le cas des données du client créant son compte sur un site de e-commerce et qui seront utilisées pour préremplir son adresse de livraison ou de facturation.
L’article 6, point 4, du RGPD prévoit ainsi la possibilité de mettre en œuvre un second traitement sur des données collectées pour une première finalité.
Ce traitement dit « ultérieur » doit répondre à un certain nombre de critères pour être licite. L’analyse de la licéité du traitement envisagé est confiée au responsable de traitement.
Le responsable de traitement doit ainsi fonder son analyse sur le contexte du traitement, les attentes des personnes concernées, les conséquences possibles au traitement ainsi que l’existence de garanties appropriées afin de s’assurer que la finalité de ce second traitement est compatible avec celle du premier traitement.
Le traitement envisagé doit bien sûr respecter l’ensemble des dispositions du RGPD, au-delà des critères énoncés à l’article 6, point 4.
Dans un arrêt du 20 octobre 2022 (affaire C-77/21), la Cour de Justice a été amenée à se prononcer sur la compatibilité des finalités de deux traitements successifs, et sur les obligations du responsable de traitement quant au second traitement.
En l’espèce, la cour de Budapest-Capitale avait saisi la Cour de Justice de deux questions préjudicielles à la suite d’une décision de l’Autorité hongroise de protection des données.
La société Digi, l’un des principaux fournisseurs de services Internet et de télévision en Hongrie, avait été l’objet d’une défaillance technique ayant affecté le fonctionnement d’un de ses serveurs mi-2018.
Afin de traiter cette défaillance, Digi avait procédé à la copie des données d’environ un tiers de ses clients dans une base de données dite « de test ».
Fin 2019 un « pirate éthique » a signalé à Digi que les données de plus de trois cent mille de ses clients sur cette base étaient accessibles en ligne. Digi a conclu un accord ave le pirate, supprimé la base et notifié la violation à l’Autorité hongroise de protection des données.
Suite à cette notification, l’Autorité hongroise a prononcé une sanction contre Digi aux motifs que celle-ci n’aurait pas respecté l’obligation de limitation de la durée de traitement des données en conservant les données copiées dans la base de test sans aucune finalité.
Saisie par Digi, la juridiction de renvoi a souhaité poser deux questions préjudicielles auprès de la Cour de Justice, soit, telles que reformulées par la Cour :
- L’enregistrement et la conservation dans une base de données nouvellement créée de données personnelles conservées dans une autre base de données constituent-ils un « traitement ultérieur » au sens de l’article 6, point 4 ; et
- Dans l’hypothèse où le traitement ultérieur serait autorisé, les données peuvent-elles être conservées une fois la finalité du traitement ultérieur réalisée ?
La Cour établit tout d’abord que la finalité du traitement ultérieur telle que décrite par la Cour hongroise n’est pas identique à la finalité initiale, et qu’il est donc nécessaire d’analyse la compatibilité des finalités des deux traitements.
La Cour hongroise retient en effet que le traitement initial consistait en la collecte de données aux fins de la conclusion et de l’exécution de contrats d’abonnement avec des clients particuliers tandis que le traitement ultérieur porte sur la réalisation de tests et la correction d’erreurs (conformément à la position de l’Autorité hongroise).
Digi soutenait que le traitement ultérieur avait pour finalité de garantir l’accès aux données des abonnés jusqu’à ce que les erreurs soient corrigées, et que cette finalité était identique à celle du traitement initial. Cette interprétation a été écartée.
La Cour de Justice retient cependant que la finalité du traitement ultérieur présente un lien concret avec l’exécution des contrats conclus avec les clients. Elle relève par ailleurs que la décision de renvoi ne contient aucun élément permettant d’aller contre la compatibilité du traitement ultérieur avec le traitement initial (absence de données sensibles ou de conséquences dommageables identifiées).
Dès lors, en application des critères listés à l’article 6, point 4 du RGPD, la Cour de Justice retient la complémentarité des finalités des traitements et renvoie la vérification des garanties appropriées à la juridiction hongroise.
Pour autant, la Cour de Justice relève que le traitement ultérieur viole le RGPD.
En effet, la possibilité de mettre en place un traitement ultérieur n’écarte pas ces données du bénéfice des autres dispositions du RGPD, dont l’obligation de limiter la durée de traitement à la réalisation de la finalité.
En conservant les données dans la base de test au-delà de la durée nécessaire à la réalisation de tests et à la correction d’erreurs, Digi a violé l’obligation de définir une durée appropriée de conservation des données.
Cet arrêt rappelle que si la mise en œuvre d’un traitement ultérieur de données doit donner lieu à la vérification de la compatibilité de la finalité envisagée avec la finalité première du traitement initial, cette vérification ne doit pas faire oublier la nécessité de mettre en place l’ensemble des mesures nécessaires à la licéité d’un traitement : minimisation des données, contrôle des accès, exercice des droits des personnes, limitation des durées de conservation, etc.
Source : https://curia.europa.eu/juris/document/document.jsf;jsessionid=4BD1E9D0D41D621089AEA68F502EDABE?text=&docid=267405&pageIndex=0&doclang=fr&mode=req&dir=&occ=first&part=1&cid=27154
Les éditeurs de jeux doivent rémunérer les contributeurs
Henri Leben
Leben Avocats
On a beaucoup parlé de la récente décision de la Cour d’appel de Paris rendue dans l’affaire qui opposait la société Valve (Steam) à l’UFC Que Choisir. L’arrêt rendu le 21 octobre 2022 a en effet tranché que Valve pouvait légitimement interdire à ses utilisateurs la « revente » des jeux mis à disposition sur sa plateforme. Il s’agit donc indéniablement d’une victoire pour la société américaine, qui conserve ainsi le contrôle de ses utilisateurs.
Plusieurs autres questions ont cependant été abordées, dont celle du régime applicable aux contenus générés par les joueurs. Sur cette question, la Cour d’appel a jugé que la cession automatique des contributions des joueurs à l’éditeur du jeu (Valve), ne pouvait intervenir que contre rémunération. Cette décision déclare ainsi illicite une clause standard prévue dans la plupart des conditions générales des plateformes de distribution, selon laquelle le joueur qui génère un contenu à partir d’un jeu vidéo, le met automatiquement à disposition de l’éditeur et des autres joueurs, sans percevoir de contrepartie.
En l’espèce, la clause critiquée prévoyait que :
« Certains jeux et applications disponibles sur Steam (les « Applications compatibles avec le Workshop ») vous permettent de créer du Contenu Généré par l’Utilisateur à partir d’une Application compatible avec le Workshop ou à l’aide de celle-ci, et de soumettre ce Contenu Généré par l’Utilisateur (une « Contribution au Workshop ») sur une ou des pages Web Steam Workshop ».
(…)
« Les Contributions au Workshop sont considérées comme des Souscriptions. A ce titre, vous convenez que les Souscripteurs auprès desquels votre Contribution au Workshop est distribuée bénéficieront des mêmes droits d’utilisation de votre Contribution (…).
Sauf disposition contraire dans les Conditions Spécifiques d’une Application, vous convenez que l’appréciation de Valve vis-à-vis de vos Contributions au Workshop représente votre entière compensation à ce titre, et que vous ne bénéficiez d’aucun autre droit ou compensation dans le cadre des droits accordés à Valve et à d’autres Souscripteurs».
L’UFC Que Choisir estimait que cette clause violait plusieurs dispositions relatives aux cessions de droit d’auteur, et constituait une clause abusive.
La Cour d’appel de Paris ne partage cependant pas complètement l’analyse de l’UFC relative aux dispositions applicables en matière de cession de droits.
Elle retient néanmoins que dès lors que la clause litigieuse, « ne mentionne aucune rémunération de l’auteur du ‘contenu généré par l’utilisateur’ notamment lorsque ce contenu est incorporé dans une œuvre dérivée, et ne mentionne pas de manière suffisamment claire les droits qui lui sont conférés » elle n’est pas conforme « aux dispositions du code de la propriété intellectuelle prévoyant la rémunération de l’auteur ».
Les conditions générales de Valve sont ainsi réputées violer les dispositions du Code de la propriété intellectuelle relatives à la juste rémunération de l’auteur.
La Cour rappelle également qu’est considérée comme abusive, une clause « qui a pour objet ou pour effet de créer, au détriment du consommateur, un déséquilibre significatif entre les droits et obligations des parties au contrat ».
Pour la Cour, dès lors que la cession de l’auteur du User Generated Content ne repose pas sur une contrepartie, l’abus est caractérisé :
« Aussi, les considérations précitées de la clause 6 A et B qui n’exposent pas de manière transparente le fonctionnement concret du mécanisme de rémunération de l’auteur de contenus sont de nature à porter une atteinte grave à la situation juridique du consommateur en restreignant le contenu de ses droits ou une entrave à l’exercice de ceux-ci, et sont de nature à créer un déséquilibre significatif entre les droits et obligations des parties au détriment du consommateur ou du non-professionnel. La clause 6 A et B sera donc réputée non-écrite ».
De manière intéressante en défense, Valve faisait valoir qu’en pratique les cessions de Contenus Générés par un utilisateur faisaient l’objet d’une rémunération, soumise aux conditions spécifiques de l’application utilisée pour créer le contenu.
La clause de cession « automatique » prévue par ses conditions générales constituait ainsi une espèce de clause balaie destinée à être appliquée dans de très rares cas. Autrement dit, aucun abus n’aurait été commis à l’encontre des joueurs.
La Cour d’appel souligne cependant que le fait que des contreparties aient pu être proposées, n’enlève rien au caractère illicite et abusif de la clause.
Si l’industrie a pu crier victoire au regard de la décision relative à l’interdiction des « reventes » de jeux dématérialisés, l’obligation de rémunérer les Generated Content Users pourrait s’avérer problématique pour de nombreux éditeurs.
A noter cependant que la Cour ne précise pas la nature de la rémunération due à l’auteur du Contenu Généré. Il paraît par conséquent tout à fait possible de considérer que la rémunération puisse prendre la forme d’avantages consentis au joueur (bonus, add-on, etc.).
Bien évidemment, il paraît également légitime de rémunérer correctement un joueur dont la contribution participe fortement au succès du jeu.
Enfin, on peut s’interroger sur la transposition de la décision de la Cour d’appel à des jeux dont le fonctionnement nécessite par nature, que les joueurs contribuent au développement du jeu et puissent accéder aux contenus créés par les autres joueurs.
Il n’est pas dit notamment que le raisonnement développé par la Cour soit applicable aux jeux de type bac à sable où la cession des contenus fait partie du Gameplay.
Quoi qu’il en soit, l’arrêt rendu par la Cour d’appel doit impérativement être pris en compte par les éditeurs de jeux et les plateformes, et une relecture de leurs conditions générales doit être menée à l’aune de cette décision.
- Publié dans blog, Jeux vidéo
Réserver la marque de son concurrent comme mot clé sur un service de référencement n’est pas interdit…mais peut être sanctionné.
On connaît la jurisprudence désormais bien établie selon laquelle, l’achat d’un mot-clé identique à la marque d’un concurrent dans le cadre d’une campagne de référencement payant, n’est pas répréhensible en soi.
C’est ainsi qu’il est devenu courant pour de nombreux opérateurs de réserver comme mot clé sur le service Google adWords la marque de leur concurrent. Bien que cette pratique permette dans les faits d’exploiter la notoriété de son concurrent, la jurisprudence estime qu’elle n’est pas en soi répréhensible.
Il n’empêche que plusieurs décisions récentes semblent vouloir revenir, ou tout au moins, limiter la portée de cette jurisprudence. C’est ainsi que la société Carré Blanc, spécialisée dans la distribution de linge de maison a attaqué la plateforme Amazon, après avoir constaté que le nom de sa marque apparaissait dans les annonces affichées par Amazon suite à sa réservation comme mot clé.
Saisi du contentieux, le tribunal judiciaire de Paris a estimé que dès lors que la marque apparaissait également dans le titre de l’annonce, le risque de confusion entre le site de Carré Blanc et le site d’Amazon, ne pouvait être écarté :
« Il s’ensuit que le titulaire d’une marque est habilité à interdire à un annonceur de faire, à partir d’un mot clé identique ou similaire à ladite marque que cet annonceur a, sans le consentement dudit titulaire, sélectionné dans le cadre d’un service de référencement sur internet, de la publicité pour des produits ou des services identiques à ceux pour lesquels ladite marque est enregistrée, lorsque ladite publicité fait usage de la marque de manière visible et ne permet pas ou permet seulement difficilement à l’internaute moyen de savoir si les produits ou les services visés par l’annonce proviennent du titulaire de la marque ou d’une entreprise économiquement liée à celui-ci, ou au contraire d’un tiers ».
Le tribunal souligne en outre que cette pratique est d’autant plus préjudiciable, que le site d’Amazon ne proposait pas de produits Carré Blanc.
Le tribunal se voit donc contraint de rappeler que :
« le fait, pour un distributeur, d’annoncer la vente de produits d’une marque alors qu’il n’en détient pas ou en détient un nombre d’exemplaires insuffisant pour répondre à la demande normale de la clientèle, afin d’attirer cette dernière et lui proposer des produits d’une autre marque, constitue la pratique prohibée dite « de la marque d’appel».
Les annonceurs doivent donc se montrer prudents dans le choix des mots clés réservés et dans la rédaction des annonces publicitaires qu’ils diffusent sur les sites de référencement.
Décision : Tribunal judiciaire de Paris du 10 juin 2022 CARRE BLANC EXPANSION et autre / AMAZON EU et autre.
- Publié dans blog, Propriété intellectuelle
Garantie légale de conformités des services et biens numériques
Contenus numériques : mettez-vous en conformité avant le 1er octobre 2022
Publication du décret relatif aux garanties légales applicables aux contenus et services numériques
Issue de la transposition de deux directives, l’ordonnance n°2021-1247 relative à la garantie légale de conformité pour les biens, les contenus numériques et les services numériques créait les bases de l’application aux contenus et services numériques des garanties légales de conformité et des vices cachées.
Afin de compléter les dispositions déjà détaillées au sein de l’ordonnance, le décret n°2022-946 du 29 juin 2022 apporte des précisions quant à l’application pratique de ces règes et à leur formalisme.
Le décret précise ainsi les modalités d’exécution par les différents acteurs de leurs obligations, et notamment :
- Les informations obligatoires s’agissant de l’identité du professionnel ;
- Les informations obligatoires s’agissant de la portée des mises à jour des contenus numériques ;
- Le formalisme de l’encadré à intégrer aux conditions générales qui récapitule les engagements en matière de garanties du vendeur.
Le décret entre en vigueur au 1er octobre 2022.
- L’identification du professionnel :
Conformément à ce qui s’appliquait déjà en matière de garanties légales, les professionnels fournissant des contenus et services numériques sont tenus d’informer les consommateurs, dans leurs conditions générales, des éléments nécessaires à l’identification du professionnel répondant des garanties légales : raison sociale, adresse, informations de contact (téléphonique et email), modalités de traitement des réclamations, etc.
- Mise à jour des contenus numériques :
Les contenus et services numériques pouvant faire l’objet de mises à jour, le producteur de biens contenant des éléments numériques, et le vendeur, sont tenus de :
• Pour le producteur, informer :
o Le vendeur professionnel de la durée au cours de laquelle les mises à jour logicielles fournies par lui restent compatibles avec les fonctionnalités du bien ; et
o Le consommateur, de façon lisible et compréhensible, des caractéristiques essentielles de chaque mise à jour des éléments numériques du bien, notamment de l’espace de stockage qu’elle requiert, de son impact sur les performances du bien et de l’évolution des fonctionnalités qu’elle comporte.
• Pour le vendeur, mettre les informations communiquées par le producteur à dispositions du consommateur. Le vendeur met ces informations à la disposition du consommateur.
Afin de leur permettre de répondre à ces obligations, le décret précise notamment que le producteur de biens contenant des éléments numériques est tenu d’informer le vendeur, sans frais :
• Des logiciels du bien faisant l’objet des mises à jour, y compris les mises à jour de sécurité ;
• De la durée de fourniture de ces mises à jour ou la date à laquelle cette fourniture prend fin.
En cas de modification de ces informations, le producteur en informe le vendeur, et lui communique les conséquences éventuelles.
Ces informations doivent être communiquées par le vendeur au consommateur. Le cas échéant, il peut communiquer au consommateur la référence d’un site ou d’une application éditée par le producteur et détaillant les informations ainsi fournies.
Le producteur doit en effet communiquer au consommateur les caractéristiques essentielles des mises à jour du produit ou service numérique (notamment : objet de la mise à jour – répond-elle à une exigence de sécurité ou sert-elle à faire évoluer les fonctionnalités du bien -, versions du logiciel/ système d’exploitation ou pilote concerné par la mise à jour, l’espace de stockage requis par la mise à jour ainsi que les conséquences de la mise à jour sur les performances du bien).
Ces informations doivent être communiquées avant la mise à jour, et devraient rester disponibles postérieurement.
- Information des consommateurs quant à l’exercice des garanties légales de conformité s’agissant de contenus numériques :
L’article D.211-2 du code la consommation impose au professionnel d’insérer dans ses conditions générales de vente de biens un encadré détaillant les garanties fournies ainsi que leurs modalités d’exercice et leurs caractéristiques. Cette disposition est similaire à celle déjà en vigueur s’agissant de la vente de biens.
Les modèles d’encadrés figurent aux annexes des articles D. 211-3 et D. 211-4 du code de la consommation et doivent être choisis selon que les biens et services numériques sont fournis de manière ponctuelle ou continue, ou bien en complément d’un contrat de vente de biens.
Les principales différences entre ces modèles sont décrites dans le tableau suivant :
Vente de biens comportant des éléments numériques | Fourniture ponctuelle de contenus ou services numériques / Opérations de fourniture distinctes | Fourniture continue de contenus ou services numériques | |
Garantie légale de conformité | |||
Durée d’exercice | 2 ans A compter de la délivrance du bien | 2 ans A compter de la fourniture du contenu | Durée de la fourniture prévue au contrat |
Preuve à fournir | Existence du défaut de conformité | Existence du défaut de conformité pour la 1ère année Existence du défaut de conformité + date d’apparition de celui-ci pour la 2nde année | Existence du défaut de conformité |
Mises à jour | Obligation de fourniture de toutes les mises à jour nécessaires au maintien de la conformité du bien. | Idem | Idem Pour la durée de fourniture prévue au contrat |
Délai de réparation ou de remplacement | Trente jours suivant sa demande, sans frais et sans inconvénient majeur pour lui. | Sans retard injustifié suivant sa demande, sans frais et sans inconvénient majeur pour lui. | Idem |
Prolongation de la garantie légale de conformité en cas de réparation | 6 mois en sus de la garantie initiale | N/A | N/A |
Prolongation de la garantie légale de conformité en cas de remplacement du bien imposé par le vendeur | Deux ans à compter de la date de remplacement du bien. | N/A | N/A |
Réduction du prix d’achat ou remboursement contre restitution si le professionnel : | 1° refuse de réparer / remplacer le bien; 2° La réparation ou le remplacement du bien intervient après un délai de 30 jours; 3° La réparation ou le remplacement du bien occasionne un inconvénient majeur pour le consommateur; 4° La non-conformité du bien persiste en dépit de la tentative de mise en conformité du vendeur. | N/A | N/A |
Réduction du prix d’achat sans restitution ou remboursement contre restitution intégrale si le professionnel : | N/A | 1° refuse de mettre l’élément numérique en conformité; 2° La mise en conformité est retardée de manière injustifiée; 3° La mise en conformité ne peut intervenir sans frais imposés au consommateur; 4° La mise en conformité occasionne un inconvénient majeur pour le consommateur; 5° La non-conformité persiste en dépit de la tentative de mise en conformité du professionnel. | Idem |
Réduction du prix d’achat ou remboursement immédiat contre restitution si le défaut de conformité est particulièrement grave ? | Oui Le consommateur n'est alors pas tenu de demander la réparation ou le remplacement du bien au préalable. | N/A | N/A |
Réduction du prix d’achat sans restitution ou remboursement immédiat contre restitution si le défaut de conformité est particulièrement grave ? | N/A | Oui Le consommateur n'est alors pas tenu de demander la réparation ou le remplacement du bien au préalable. | Idem |
Suspension de la durée de garantie | Pour toute période d'immobilisation du bien en vue de sa réparation ou de son remplacement. Jusqu'à la délivrance du bien remis en état. | En cas d’intervention, suspension pour la durée nécessaire à la fourniture d’un élément de nouveau conforme. | Idem |
Garantie des vices cachés | |||
Durée d’exercice | 2 ans à compter de la découverte du défaut. | Idem | Idem |
Indemnisation | Réduction de prix si le bien est conservé OU Remboursement intégral contre renonciation au bien. | Idem | Idem |
Par ailleurs, lorsque le contrat de vente du bien prévoit la fourniture d’éléments numériques de manière continue pendant une durée supérieure à deux ans, la garantie légale est applicable à ce contenu numérique ou ce service numérique tout au long de la période de fourniture prévue.
Enfin, tout vendeur qui fait obstacle de mauvaise foi à la mise en œuvre de la garantie légale de conformité encourt une amende civile d’un montant maximal de 300 000 euros, qui peut être porté jusqu’à 10 % du chiffre d’affaires moyen annuel.
Contrairement aux modèles précédents, cet encadré tient compte de la durée de fourniture des services et doit être adapté en conséquence.
Points restant à clarifier :
L’ordonnance n° 2021-1247 relative à la garantie légale de conformité a créé à la charge des professionnels une obligation d’information spécifique lorsque le consommateur fournit un avantage en contrepartie de la fourniture du contenu numérique, en complément ou en remplacement d’un prix.
Cette obligation impose au professionnel de détailler dans ses conditions générales la nature de l’avantage reçu en lieu et place du prix. Il doit notamment préciser dans des termes « clairs et compréhensibles, le modèle économique faisant apparaitre l’incidence pour lui de cet avantage sur ses revenus ou son bénéfice économique » (article R. 211-5 du Code de la consommation).
Le décret n’apporte cependant pas d’éléments spécifiques sur la nature des informations à communiquer.
S’agissant des données personnelles, il se limite à préciser que le professionnel qui conduirait un traitement de données personnelles dans le cadre de la fourniture de cet avantage est tenu d’expliciter dans ses conditions générales les modalités d’exploitation de ces données à des fins publicitaires ou commerciales.
Au vu du développement des modèles dits « gratuits » où la fourniture du service ou du contenu numérique n’entraine pas de contrepartie financière immédiate de la part du consommateur, la nature exacte des informations à communiquer aux consommateurs devra faire l’objet de la plus vive attention.
Source : https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045978303
- Publié dans blog, Nouvelles technologies
Brèves : du côté des données personnelles
Sephora condamnée pour non-respect du California Consumer Privacy Act (CCPA)
A retenir : les textes réglementant l’utilisation des données personnelles se multiplient partout dans le monde. En plus de respecter le RGPD, les entreprises doivent donc s’assurer de leur conformité avec les autres règlementations, pour peu qu’elles soient également présentes dans les pays concernés.
Dans le cas du CCPA, l’approche fondée sur la protection des droits du consommateur est légèrement différente de la logique de défense de la vie privée retenue par le RGPD.
L’amende de 1,2 millions de dollars à laquelle Sephora a été condamnée montre à elle-seule la nécessité de concevoir désormais sa conformité de façon mondiale.
Infogreffe condamnée à une amende de 250.000 € pour non-respect du RGPD
La CNIL a annoncé avoir sanctionné le GIE Infogreffe à hauteur de 250.000 €.
Après avoir effectué un contrôle suite à une plainte, l’autorité de contrôle a constaté qu’Infogreffe ne détruisait pas les données à l’issue du délai indiqué lors de la commande de prestations par les utilisateurs (36 mois à compter de la dernière commande).
Elle a également relevé des problèmes de sécurité liés à la gestion des mots de passe. Infogreffe transmettait ainsi en clair, par courriel, les mots de passe non temporaires permettant l’accès aux comptes et conservait également en clair, dans sa base de données, les mots de passe ainsi que les questions et réponses secrètes utilisées lors de la procédure de réinitialisation des mots de passe par les utilisateurs.
A noter que ce n’est pas la première fois que ce type de comportement est sanctionné. Les entreprises qui gèrent des plateformes auxquelles les utilisateurs peuvent se connecter, doivent par conséquent faire un effort tout particulier pour s’assurer que les modalités d’ouverture du compte utilisateur sont conformes aux prescriptions de la CNIL.
- Publié dans blog
La cession de droit de PI à titre gratuit est-elle une donation ?
C’est ce qu’a affirmé le tribunal judiciaire de Paris dans son jugement en date du 8 février 2022. Cette décision vient bouleverser le droit contractuel en matière de cessions de droit.
Dans cette affaire, deux individus avaient conclu une cession à titre gratuit, suite au développement d’antennes radio placées dans des colliers de chiens de chasse, sur les dessins et modèles, marques de ces produits.
Leurs produits ont dans un premier temps été commercialisés par des sociétés dont ils étaient tous deux associés. Suite à différents évènements, l’un des associés a quitté le capital de la première société, tandis que la deuxième société a fait l’objet d’une liquidation.
Le deuxième associé a par la suite créé une nouvelle entreprise à laquelle il a cédé ses droits sur la marque et sur les dessins et modèles sans l’accord du cotitulaire et ensuite concédé une licence sur les marques et modèles à une autre société tiers.
L’ancien associé ayant quitté les deux sociétés a dénoncé la cession, tout en demandant la nullité du contrat de cession.
L’argument principal va être que la cession ayant été consentie sans contrepartie financière, il s’agit d’une donation qui doit être consentie par acte authentique en vertu de l’article 931 du Code civil, à savoir :
« Tous actes portant donation entre vifs seront passés devant notaires dans la forme ordinaire des contrats ; et il en restera minute, sous peine de nullité. »
Dans un premier temps, le Tribunal cite les deux seules exceptions à l’acte authentique comme étant :
- La donation manuelle, par la remise de la chose
- La donation dissimulée ou indirecte.
Le Tribunal note que le contrat prévoyait une cession à titre gratuit, ce qui se traduit en une « donation non dissimulée et portant sur des droits incorporels, comme tels insusceptibles de remise physique ».
Le Tribunal judiciaire de Paris a validé l’analyse, tout en indiquant que le code de la propriété intellectuelle ne déroge pas à l’obligation posée par l’article 931 du Code civil.
À ce titre, le fait que l’acte ait été conclu sous seing privé entraine sa nullité.
Quelle portée de cette solution ?
Dans un premier temps, il semble important de rappeler qu’il s’agit d’un jugement de première instance susceptible d’appel.
Il n’est pas dit à ce stade que cette décision fasse jurisprudence. Cependant, elle invite à la prudence dans la rédaction de vos futures clauses de cession de droits et à envisager de fixer un véritable montant pour vous prémunir du risque de nullité si l’acte n’est pas passé devant notaire.
- Publié dans blog, Propriété intellectuelle
Quels sont les droits du sous-traitant sur les données collectées pour le compte du responsable de traitement ?
La Cnil a rappelé dans une publication du 12 janvier 2021 les conditions à respecter pour qu’un sous-traitant puisse réutiliser les données de ses clients.
Il est en effet fréquent que, dans le cadre d’une prestation de services, un sous-traitant collecte et traite des quantités importantes de données pour le compte du client, responsable de traitement.
Or, les données ainsi traitées pourraient avoir un intérêt pour le sous-traitant, quel que soit son secteur d’activité.
Une entreprise amenée à traiter des données pourrait ainsi souhaiter évaluer l’efficacité de ses techniques de vente, la performance de ses équipes commerciales ou les réactions des personnes dont elle traite les données.
Si un tel usage peut sembler naturel à un sous-traitant en raison de la disponibilité des données concernées, il est strictement encadré.
La Cnil rappelle ainsi que l’utilisation ultérieure par un sous-traitant pour son propre compte des données collectées est conditionnée au respect de deux critères cumulatifs :
- Le responsable du traitement lui en a donné l’autorisation écrite ;
- Le responsable de traitement s’est assuré que cette réutilisation est compatible avec le traitement initial
Conformément aux dispositions du RGPD, le traitement réalisé par le sous-traitant sur les données doit en effet toujours correspondre aux instructions du client responsable de traitement. Le sous-traitant n’est, sauf dispositions légales spécifiques, pas autorisé à utiliser ces données pour d’autres usages.
Comme souvent en matière de données personnelles, l’accessibilité du matériau source n’emporte pas la légalité de son utilisation.
Le sous-traitant qui souhaite utiliser les données traitées en cette qualité pour son propre compte doit obtenir une autorisation du responsable de traitement. Cet accord matérialise au demeurant le changement de statut du sous-traitant qui devient responsable du traitement des données visées dans l’autorisation.
Pour autant, le responsable de traitement ne peut pas autoriser le traitement des données par le sous-traitant sans s’être assuré que cette réutilisation est compatible avec le traitement initial qu’il a lui-même mis en œuvre.
Le traitement de données ultérieur réalisé par le sous-traitant n’a en effet par définition pas la même finalité que celle pour laquelle les données ont initialement été collectées.
Dès lors, la délivrance de l’autorisation est conditionnée à la vérification par le responsable de traitement de la compatibilité entre le traitement initial et le traitement ultérieur envisagé.
La Cnil rappelle dans son communiqué que cette analyse doit se fonder sur plusieurs critères :
- Existe-t-il un lien entre les finalités pour lesquelles les données personnelles ont été collectées et les finalités du traitement ultérieur envisagé ?
- Quel est le contexte de la collecte initiale ?
- Quelles sont les données et les personnes concernées ?
- Quelles pourraient être les conséquences du traitement ultérieur pour les personnes concernées ?
- Quelles sont les garanties mises en place pour protéger les droits et libertés des personnes ?
En fonction des conclusions de l’analyse réalisée par le responsable de traitement, celui-ci choisira ou non d’autoriser le sous-traitant à traiter les données.
Le sous-traitant est lui-même encouragé à prendre connaissance de cette analyse et à réfléchir à sa pertinence. En cas d’erreur, l’entreprise concernée se trouverait en situation de réaliser un traitement de données sans base légale.
Sa responsabilité pourrait alors être engagée, l’exposant à de nombreuses conséquences, dont une procédure initiée par la Cnil, des sanctions administratives et la communication au public de ce manquement.
L’autorisation ne peut ainsi être délivrée par un responsable de traitement initial qu’au cas par cas, en fonction des caractéristiques du traitement envisagé par le sous-traitant.
La Cnil insiste à ce titre sur l’impossibilité d’intégrer dans le contrat entre le client et son prestataire une autorisation générale de réutilisation ultérieure des données de tous les traitements confiés au sous-traitant.
Une fois ces vérifications établies et les parties étant parvenues à une décision, plusieurs actions resteront nécessaires à la conformité du traitement ultérieure.
D’une part, le responsable du traitement initial doit informer les personnes concernées de la transmission de leurs données et des droits qu’elles peuvent mettre en œuvre (droit d’opposition au traitement ultérieur notamment). Le sous-traitant, sur instruction du responsable de traitement, peut procéder à cette information.
D’autre part, le sous-traitant devenu responsable de traitement est tenu au respect d’un certain nombre de dispositions spécifiques, y compris celles applicables lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée.
En cas de doute sur la réalisation de l’analyse de compatibilité et sur les obligations respectives du sous-traitant et du responsable de traitement, il est recommandé de se faire accompagner par un spécialiste.
- Publié dans blog, Propriété intellectuelle
Le parasitisme : efficace et pas cher ?
Le slogan bien connu de la MAAF « Efficace et pas chère, c’est la MAAF que je préfère …. C’est la MAAF » s’inspirait de la chanson parodique « C’est la ouate », qui connut son heure de gloire dans les années 80.
La référence à la chanson « C’est la ouate » était faite avec l’autorisation du titulaire des droits, Universal Music Publishing, avec lequel la MAAF avait signé un contrat.
Après avoir été renouvelé deux fois, ce contrat est arrivé à son terme en 2019.
La MAAF a fait évoluer son slogan, devenu « Rien à faire c’est la MAAF qu’il/elle préfère » et « C’est la MAAF que je préfère ».
Estimant que ce nouveau slogan constituait une contrefaçon de la chanson « C’est la ouate » et caractérisait des actes de parasitisme, ses auteurs ont saisi le tribunal judiciaire de Paris.
Le tribunal judiciaire a cependant rejeté leurs demandes.
De manière classique en matière de contrefaçon, le tribunal a d’abord recherché à vérifier l’originalité de la phrase « de toutes les matières, c’est la ouate qu’elle préfère » sur laquelle l’action était fondée.
Le tribunal reconnait l’originalité de la phrase, au motif que la structure, le rythme, la mélodie et le choix des rimes traduisent bien la personnalité des auteurs, et est donc susceptible de protection.
Le tribunal estime cependant que la seule reprise des termes « C’est la MAAF/ouate qu’elle préfère », sans aucun autre élément et sans la mélodie, n’est pas suffisante pour caractériser la contrefaçon.
S’agissant du parasitisme, le tribunal estime dans le même sens que la simple utilisation d’un slogan qui reprend les seuls mots « c’est la (…) qu’il/elle préfère » sans être associé à la mélodie, ne peut être sanctionné.
Il convient de noter que l’appréciation du tribunal est en partie due au fait que la MAAF a réussi à démontrer que son nouveau slogan avait nécessité de nombreux investissements, et répondait à une volonté de changer son image.
Par conséquent, le Tribunal estime que la MAAF n’a pas cherché à continuer à se placer dans le sillage de la chanson « C’est la Ouate ».
Comme bien souvent, la solution retenue par les juges paraît dépendre en grande partie de la capacité des parties à démontrer la volonté, ou l’absence de volonté, de détourner un slogan.
Il s’agit ainsi d’une appréciation nécessairement marquée par une certaine subjectivité, tout comme l’est l’appréciation du risque de confusion.
Il n’est donc pas impossible que le résultat de l’action aurait été différent devant une autre juridiction.
Source :
Jugement du Tribunal judiciaire de Paris en date du 21 janvier 2022, à retrouver sur : Legalis
- Publié dans blog, Propriété intellectuelle
Suite de l’affaire Epic vs Apple
Si vous n’avez pas lu notre article concernant l’affaire EPIC vs APPLE nous vous invitons à le découvrir ici.
Pour rappel, le litige entre EPIC et APPLE trouve sa source dans la politique de monétisation d’Apple. En effet, Apple prélève tous les revenus générés par les développeurs et oblige ceux-ci à passer par le système propriétaire d’Apple pour les achats-in app. Il s’agit d’un moyen de rémunération important pour Apple puisque celle-ci prélevait 30% de commission.
Dans le cadre de la décision de la juge Yvonne Gonzalez Rogers en charge du procès entre Apple et Epic Games, il a été décidé que Apple devrait laisser les développeurs utiliser un système de paiement alternatif dans l’App Store à compter du 9 décembre 2021.
Apple a demandé la suspension de la décision à deux reprises. Une première ordonnance redue le 9 novembre a rejeté la demande. La société a fait appel de la décision en soutenant qu’il s’agit de la première fois que des liens directs seraient disponibles dans l’application et que cette situation présente de véritables risques pour la sécurité et la confidentialité des utilisateurs.
Apple a finalement réussi à obtenir la suspension de l’injonction en faisant appel de la décision de la juge. La cour d’appel compétente devra entre temps rassembler les éléments nécessaires pour prendre définitivement position.
En parallèle aux Pays-Bas, l’autorité de la concurrence néerlandaise a enjoint à Apple d’ouvrir son système de paiement aux applications disponibles sur l’App Store. Cette décision intervient à la suite d’une enquête menée par l’autorité de la concurrence sur les pratiques d’Apple.
L’autorité de la concurrence a considéré qu’Apple abuse d’une position dominante sur le marché en obligeant les développeurs à n’utiliser que son système de paiement.
Apple avait jusqu’au 15 janvier 2022 pour se mettre en conformité et laisser les applications proposer leur propre système de paiement. À défaut, l’autorité de concurrence a prévu qu’Apple payerait une pénalité de 5 millions d’euros par semaine avec un maximum de 50 millions d’euros. Évidemment, Apple a fait appel de la décision.
D’autres enquêtes ont lieu un peu partout en Europe. Le dossier est donc loin d’être fini.
- Publié dans blog, Propriété intellectuelle
L’enregistrement d’une marque similaire à une marque antérieure ne constitue plus systématiquement un acte de contrefaçon
Le dépôt d’une marque est un acte essentiel pour la protection des droits du déposant.
Il est fréquent que le dépôt survienne avant toute utilisation de la marque, à la fois parce que le développement d’une marque accompagne souvent le lancement des produits et services qu’elle sert à identifier, mais également parce que tout usage d’une marque non protégée est susceptible de donner lieu à un dépôt ultérieur par un tiers mal intentionné.
Le dépôt d’une marque similaire à une marque antérieure a par ailleurs longtemps constitué un acte susceptible d’une condamnation en contrefaçon pour le déposant postérieur.
Deux arrêts récents de la Cour de cassation (arrêts du 13 octobre 2021, pourvois n°19-20.504 et 19-20.959) viennent cependant de remettre en question cette jurisprudence jusque-là constante dans les arrêts de la Cour.
Dans le premier pourvoi, une société titulaire de la marque [XPOD] demandait la nullité de la marque postérieure [Z POD] et la condamnation en contrefaçon de la société l’ayant déposée. La Cour d’appel lui a donné droit s’agissant de la nullité de la marque, mais a rejeté la demande de condamnation en contrefaçon. La société s’est alors pourvue en cassation.
Le second pourvoi est intervenu suite au dépôt par les anciens propriétaires d’un fonds de commerce de plusieurs marques auprès de l’Inpi. L’acquéreur du fonds, qui comprenait plusieurs éléments incorporels – marques, enseigne et nom commercial – soutenait que les marques déposées par son vendeur étaient similaires à celles incluses dans le fonds de commerce. Pour l’acquéreur, ce dépôt constituait dès lors une violation des droits acquis lors de la cession.
L’Inpi ayant rejeté les demandes d’enregistrement des marques ultérieures, l’acquéreur du fonds a sollicité la condamnation en contrefaçon du vendeur. Face au refus de la Cour d’appel, il s’est pourvu en cassation.
La Cour de cassation a rejetté les deux demandes en condamnation en contrefaçon en reconnaissant s’écarter de sa jurisprudence ordinaire. Elle a motivé ses décisions par plusieurs références à la jurisprudence de la Cour de Justice de l’Union Européenne (CJUE).
Les critères servant à qualifier la contrefaçon sont semblables dans la jurisprudence la CJUE et de la Cour de cassation, le signe contrefaisant devant :
- Être utilisé dans la vie des affaires ;
- En l’absence du consentement du titulaire de la marque antérieure ;
- Pour des produits ou services identiques ou similaires à ceux désignés par la marque antérieure ; et
- Créer un risque de confusion dans l’esprit du public du fait de son utilisation (portant en conséquence atteinte à la fonction essentielle de la marque, à savoir, l’identification de l’origine des produits ou services proposés).
La différence principale entre la pratique de la Cour de cassation et celle de la CJUE reposait jusqu’à présent sur la définition retenue de la notion « d’utilisation dans la vie des affaires ».
La Cour de cassation considérait en effet que : « le dépôt à titre de marque d’un signe contrefaisant constitue à lui seul un acte de contrefaçon, indépendamment de son exploitation ».
Au contraire, dans une lecture plus stricte du terme « utilisation », la CJUE ne considérait pas qu’un dépôt de marque, même lorsqu’il donne lieu à enregistrement, constitue un acte de contrefaçon.
A la suite des pourvois susmentionnés, la Cour de cassation a indiqué renoncer à sa précédente jurisprudence, issue de l’interprétation des articles L. 713-2, L. 713-3 et L. 716-1 du Code de la propriété intellectuelle dans leur ancienne rédaction.
La Cour de cassation indique dès lors dans les deux pourvois que : « la demande d’enregistrement d’un signe en tant que marque, même lorsqu’elle est accueillie, ne caractérise pas un usage pour des produits ou des services, au sens de la jurisprudence de la CJUE, en l’absence de tout début de commercialisation de produits ou services sous le signe. ».
En conclusion, la Cour de cassation semble désormais appliquer le principe issu du droit européen selon lequel le dépôt d’une marque ne peut à lui seul constituer un acte de contrefaçon.
La rédaction des deux pourvois conduit à penser qu’il ne s’agit pas d’arrêts d’espèce, mais bien d’une transformation en profondeur et pérenne de la pratique de la Cour.
Sources :
- Publié dans blog, Propriété intellectuelle
Condamnation à 3 millions d’euros pour contrefaçon de codes sources
Par un jugement en date du 23 septembre 2021, le tribunal judiciaire de Marseille a condamné à plus de 3 millions d’euros une société éditeur de logiciel, son fondateur et certains de ses salariés pour contrefaçon de logiciel par reproduction non autorisée des codes sources et concurrence déloyale. La décision rappelle les critères d’originalité du logiciel avant d’établir la contrefaçon, ainsi que la qualification de concurrence déloyale en cas de débauchage massif.
La société GENERIX a acquis la société INFOLOG qui a développé le logiciel INFOLOG WMS (devenu CGS WMS).
Peu de temps après, le responsable du support de la société GENERIX a quitté la société afin de créer sa propre entreprise ACSEP, ayant la même activité que son ancien employeur.
Plusieurs employés GENERIX ont par la suite rejoint la société ACSEP ainsi que certains clients.
La société GENERIX a par la suite été informée du fait qu’ACSEP serait en possession des codes sources du logiciel GCS WMS
La société GENERIX a obtenu une ordonnance judiciaire afin de réaliser des analyses internes pour évaluer les codes sources de la société ACSEP. Les rapports ont révélé que les programmes sources exploités par les deux sociétés étaient identiques à 98 %.
La société GENERIX a assigné la société ACSEP en contrefaçon et concurrence déloyale.
Sur la contrefaçon du logiciel
Dans un premier temps, le Tribunal rappelle que les logiciels sont considérés comme des œuvres de l’esprit au sens du Code de la propriété intellectuelle. À ce titre, le code source est une forme d’expression du logiciel et doit par conséquent être protégé par le droit d’auteur.
Le Tribunal a ensuite vérifié l’originalité du logiciel ainsi que la titularité des droits. La société GENERIX a fourni des certificats de dépôt antérieurement soumis à l’Agence pour la Protection des Programmes ainsi que des factures de commercialisation du logiciel permettant d’attester de la titularité du logiciel.
Concernant l’originalité du logiciel, la société GENERIX a su démontrer les choix opérés dans le développement du logiciel. Le Tribunal a notamment retenu l’analyse poussée des besoins métiers par GENERIX.
Des échanges d’emails ont également pu confirmer que la société ACSEP avait demandé et obtenu le transfert des codes sources du logiciel à une salariée encore en poste.
Aucune convention n’ayant eu lieu entre les deux sociétés, rien ne justifiait que celle-ci soit en possession des codes sources.
Le Tribunal de Marseille a condamné la société ACSEP, son fondateur ainsi que deux de ses salariés à :
- Plus deux millions d’euros de dommages-intérêts au titre du manque à gagner du fait de la résiliation de plusieurs contrats par des clients de GENERIX ;
- 814 000 € au titre des économies réalisées notamment en R&D ;
- Et 50 000 € en réparation du préjudice moral par la dévalorisation de son savoir-faire et la banalisation de son œuvre.
Les dommages et intérêts ont été fixés sur la base de l’article L331-3 du Code de la propriété intellectuelle, la société GENERIX a pu démontrer grâce à des lettres de résiliations de contrats entre 2011 et 2015, soit à la même époque que la survenance des actes de contrefaçon, avoir eu une perte de chiffre d’affaire de 3.128.937,40 €. En appliquant les taux de marges associés aux prestations, il est ressorti un préjudice total de 2.054.806, 06 €.
Le tribunal a également ordonné la cessation de toute reproduction et utilisation des codes sources, ainsi que leur suppression et la désinstallation du progiciel GCS WMS, sous astreinte de 1 000 € par jour de retard, pendant un délai maximal de deux ans.
Sur la concurrence déloyale
Pour démontrer la concurrence déloyale, il est nécessaire de prouver qu’il existe une pratique ayant pour objet de créer une confusion dans l’esprit du consommateur.
La société ACSEP a débauché au moins neuf salariés de la société GENERIX. Le Tribunal a considéré que le débauchage massif de ses salariés a eu pour effet de déstabiliser la société GENERIX.
Le Tribunal a également constaté que la société ACSEP faisait usage de marques déposées par la société GENERIX dans certains de ses supports. Il a été relevé que les supports en question émanaient, eux aussi, de la société GENERIX et que seul le logo de la société GENERIX avait été remplacé par celui de la société ACSEP.
La société ACSEP a été condamnée à verser 30 000 €. Le Tribunal a ordonné la cession de l’utilisation des marques déposées par GENERIX et tout autre document ou supports émanant de la société GENERIX sous astreinte de 500 € par jour de retard.
Source :
- Publié dans blog, Propriété intellectuelle
Que retenir de la décision Epic Games c./ Apple ?
Le différend opposant Apple à Epic Games a connu une première réponse dans le cadre du jugement rendu le 10 septembre 2021 par le tribunal californien en charge de l’affaire.
L’origine du différend
Le différend opposant Apple à Epic s’est formé suite au refus d’Epic de se conformer aux conditions générales d’utilisation de l’App Store.
Les conditions générales d’Apple à destination des développeurs interdisent notamment toute transaction in-app en dehors de l’écosystème Apple, ce qui rend par exemple impossible l’intégration de mécanismes de paiement propre aux développeurs dans leurs applications.
Apple prélève par ailleurs une commission de 30% sur chaque transaction réalisée au travers des applications ainsi distribuées. A date, environ 70% du chiffre d’affaires de l’App Store est issu des transactions in-app.
Epic, qui distribue ses jeux sous iOS sur l’App Store, et notamment Fortnite, a entamé en parallèle le développement de sa propre boutique en ligne.
La boutique en ligne d’Epic comprend un mécanisme de paiement, normalement inaccessible aux utilisateurs de jeux Epic sous iOS.
Courant 2020, Epic a cependant introduit une mise à jour sur Fortnite permettant aux utilisateurs d’accéder à son propre service de paiement, sur son propre site, et contournant ainsi la commission imposée par Apple.
En réponse, Apple a retiré en aout 2020 Fortnite des jeux accessibles sur l’App Store.
Le contentieux devant les tribunaux
Suite au retrait de Fortnite de l’App Store, Epic Games a déposé une plainte accusant Apple d’abuser de sa position dominante et de se livrer à des pratiques anti-concurrentielles en limitant les modes de paiement accessibles sur ses applications. Epic soutenait qu’Apple se trouvait ainsi en violation des lois antitrust fédérales et de l’Etat de Californie.
Apple a répondu en demandant des dommages et intérêts correspondant aux pertes subies à défaut du paiement de sa commission sur les transactions réalisées depuis l’introduction de la mise à jour sur Fortnite sous iOS.
Apple et Epic ont toutes les deux proposé au tribunal une définition différente du marché pertinent sur lequel évaluer les pratiques d’Apple. Epic soutient ainsi qu’Apple est en situation de monopole sur (i) son propre système de distribution d’applications et (ii) son propre mécanisme de collecte des paiements in-apps, sur les appareils équipés de son propre système d’exploitation.
En réponse, Apple soutient que le marché pertinent est celui jeux vidéo distribués de manière dématérialisée.
L’importance donnée par Apple et Epic à la question du marché pertinent est central au regard de la législation des Etats-Unis. En droit de la concurrence, les pratiques dénoncées comme anti-concurrentielles doivent être évaluées selon le marché sur lequel elles auraient lieu. Selon la nature du marché retenu, des pratiques similaires peuvent donc être sanctionnées ou au contraire, considérées comme respectant les principes du droit de la concurrence.
Le tribunal californien en charge de l’affaire a finalement considéré que le marché pertinent est celui des transactions internes aux jeux mobiles.
Par un jugement rendu le 10 septembre 2021, le tribunal a écarté l’abus de position dominante au regard des lois fédérales en vigueur aux Etats-Unis et prononcé deux mesures :
- L’interdiction faite à Apple d’empêcher l’installation in-app de mécanismes de paiement complémentaires aux siens ;
- La condamnation d’Epic Games au paiement d’une indemnité égale à 30% des sommes collectées directement par Epic Games dans Fortnite sur iOS, entre aout 2020 et la date du jugement.
Concrètement, Apple doit à l’avenir permettre aux développeurs d’inclure dans leurs applications des liens qui dirigeront les utilisateurs vers des mécanismes d’achat tiers à ceux d’Apple.
Les développeurs devront également être en mesure de communiquer auprès des utilisateurs concernant l’existence de ces modes alternatifs de paiement.
Apple dispose de 90 jours à compter du jugement pour se conformer à l’injonction du tribunal.
Ses suites
La plainte déposée par Epic fait partie d’un ensemble de plaintes et d’interrogations récurrentes sur la position d’Apple sur le marché du jeu vidéo mobile pour les jeux et équipements sous iOS.
Cette question n’est pas complètement traitée dans le jugement du 10 septembre. Le tribunal indique en effet simplement qu’Epic a échoué dans son obligation de prouver le caractère monopolistique de la position d’Apple, et les pratiques illégales conséquentes.
La définition du marché retenu, bien plus importante en termes de transactions et de personnes concernées que celle proposée par Epic, explique notamment la conclusion du tribunal, sans écarter la possibilité d’une réévaluation en cas de modification de la législation fédérale en la matière.
Epic ayant annoncé son intention de faire appel du jugement, il est probable que la position d’Apple fera l’objet de nouvelles discussions dans les mois et années à venir.
- Publié dans blog, Propriété intellectuelle
La CNIL fait le point sur les alternatives aux cookies
Le 21 octobre dernier, la CNIL a publié un article intitulé « Alternatives aux cookies tiers : quelles conséquences en matière de consentement ? »
Pour rappel, cela fait maintenant un an que la Cnil a remanié ses Lignes directrices « cookies et autres traceurs » qui formalisent la distinction entre les cookies pour lesquels le dépôt sur le terminal de l’utilisateur peut avoir lieu sans recueil préalable de consentement, et ceux pour lesquels le consentement doit être recueilli.
Les cookies concernés sont à la fois les cookies « tiers » (c’est-à-dire, ceux déposés sur des domaines différents de celui du site principal. Ces cookies ont pour fonction de permettre à des tiers de voir quelles pages ont été visitées par un utilisateur sur le site principal et de collecter des informations sur les utilisateurs à des fins publicitaires, tels que le bouton « j’aime » affichés sur un ensemble de sites tiers par certains réseaux sociaux) et les cookies « internes » (c’est-à-dire, les cookies déposés par le site consulté par l’utilisateur).
Les traceurs exemptés du recueil du consentement correspondent notamment aux traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs, à ceux destinés à l’authentification auprès d’un service ou encore, aux traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu.
Certains traceurs de mesure d’audience sont également concernés, sous réserve d’avoir pour finalité exclusive la mesure d’audience, aux conditions suivantes :
- Répondre à différents besoins strictement nécessaires au fonctionnement et aux opérations d’administration courante ;
- Être mise en œuvre pour le compte exclusif de l’éditeur du site / de l’application ;
- Produire des données statistiques anonymes.
Sont explicitement exclus les cookies permettant la mise en œuvre du suivi global de la navigation des personnes concernées sur plusieurs sites et applications et ceux permettant que les données personnelles collectées soient recoupées avec d’autres traitements ou transmises à des tiers.
La Cnil a également publié la liste des traceurs qui, sous réserve d’en faire un usage strictement nécessaire au fonctionnement et aux opérations d’administration courante du site web ou de l’application, sont identifiés comme pouvant être configurés pour rentrer dans le périmètre de l’exemption au recueil de consentement.
Cette liste, régulièrement actualisée, est accessible en suivant ce lien : https://www.cnil.fr/fr/cookies-solutions-pour-les-outils-de-mesure-daudience.
Un an après la publication de ces nouvelles Lignes directrices, la Cnil a pris acte de l’utilisation grandissante par les acteurs du secteur d’alternatives aux cookies « tiers » pour le ciblage publicitaire.
Les cookies « tiers » font en effet l’objet d’un encadrement de plus en plus strict de la part des navigateurs, et d’une surveillance de la part des autorités de contrôle telles que la Cnil.
D’autres solutions ont donc été développées par les éditeurs, ne reposant pas sur le dépôt de cookies :
- Données issues des cookies « internes » : désigne le recours aux cookies internes qui peuvent renvoyer des données via des appels d’URL sur le domaine du publicitaire, ou via des techniques de délégation ;
- Empreinte numérique du navigateur (fingerprinting) : désigne la méthode permettant d’identifier l’utilisateur de façon unique en utilisant les caractéristiques techniques de son navigateur (taille de l’écran, système d’exploitation, etc.). Cette méthode requière la collecte de suffisamment d’informations pour distinguer les utilisateurs entre eux ;
- Authentification unique (SSO – Single Sign-On) : désigne la connexion à plusieurs services au travers d’un compte et d’une authentification uniques. Le compte peut ainsi être utilisé comme un traceur des activités de l’utilisateur au cours de sa navigation ;
- Identifiants uniques : désigne les identifiants permettant de suivre un utilisateur grâce à l’utilisation d’une donnée hachée, elle-même collectée au cours de la navigation de l’utilisateur sur le site ;
- Ciblage par cohorte : désigne la pratique consistant à cibler un groupe d’utilisateurs aux comportements similaires et non plus un utilisateur de manière individuelle, en attribuant à ce groupe un identifiant unique et persistant.
La Cnil rappelle que cette pratique a d’abord été développée par certains opérateurs tels que Google afin de : « reproduire les possibilités actuelles des cookies dans le cadre de la publicité ciblée, tout en tentant de mettre en œuvre des limitations afin de diminuer l’intrusive de ces pratiques. ».
La Cnil recommande de conduire une analyse sur les conséquences pour les droits et libertés des personnes concernées de cette pratique, en insistant notamment sur les risques de réidentification individuelle et l’importance du respect du principe de minimisation des données.
La Cnil rappelle que ces solutions demeurent toutes soumises aux dispositions du Règlement n°2016/679 (le « RGPD ») ainsi qu’aux dispositions issues de la transposition de la Directive « vie privée et communications électroniques » (dite « ePrivacy »).
La Cnil rappelle également que, quand bien même ces solutions ne constitueraient pas des cookies au sens habituel du terme, elles : « reposent toutes sur l’accès à l’équipement terminal de l’utilisateur (…) pour accéder à des informations déjà stockées dans cet équipement (…) ou pour y inscrire des informations, au même titre que pour les cookies. ».
A ce titre, et conformément à la réglementation, la Cnil rappelle que : « les opérations, nécessaires à la constitution d’un profil individuel ou de groupe et à la fourniture de publicité ciblée, requièrent le consentement préalable de l’utilisateur, qu’il y ait ou non traitement de données personnelles, dans la mesure où elles ne font pas directement partie du service directement demandé par l’utilisateur ».
La Cnil en conclut que les dispositions des Lignes directrices « cookies et autres traceurs » ont vocation à s’appliquer à l’ensemble des solutions alternatives aux cookies telles que décrites ici. Ses opérations de contrôle porteront donc sur la conformité de ces solutions aux dispositions issues des Lignes directrices.
Les éditeurs de ces solutions doivent en conséquence s’assurer qu’elles respectent le principe de protection de la vie privée dès la conception (principe du privacy by design) et notamment, qu’elles :
- Intègrent des moyens permettant aux utilisateurs de garder le contrôle de leurs données ;
- Permettent aux utilisateurs d’exercer facilement leurs droits.
Enfin, la Cnil insiste sur la nécessité pour les acteurs du secteur de s’assurer qu’ils ne traitent pas de données dites « sensibles » ou « particulières ».
La Cnil rappelle en conclusion l’importance pour l’ensemble des acteurs de ce secteur, responsable de traitement et sous-traitant, de tenir compte de leurs rôles et responsabilités respectifs.