Comment utiliser des données accessibles sur Internet
Publier ou/et réutiliser des données librement accessibles en ligne : quelles règles s’appliquent en matière de protection des données à caractère personnel ?
La CNIL a publié le 12 juin 2024 sur son site internet des recommandations pour les diffuseurs publics et privés de données ouvertes ainsi que des recommandations pour les « réutilisateurs » de données publiées sur internet.
En effet, à chaque fois qu’un éditeur publie des données relatives à des personnes physiques sur son site internet (par exemple, un annuaire de professionnels) ou qu’une entreprise réutilise des données relatives à des individus librement accessibles en ligne (des chasseurs de têtes en recherche de profils sur Linkedin), les règles de protection des données à caractère personnel (i.e. le règlement (UE) 2016/679 (« RGPD ») et la loi n°78-17 (« Loi informatique et libertés »)) doivent être appliquées.
Ainsi, dans le but d’accompagner les diffuseurs et « réutilisateurs » dans leur mise en conformité au RGPD, la CNIL rappelle les principes gouvernant ces traitements, en les accompagnant de fiches méthodologiques et les illustrant de cas d’usage.
I. Les règles applicables aux diffuseurs de données ouvertes
Ces recommandations visent à encadrer les pratiques de mise à disposition du public de données personnelles. Elles s’adressent principalement aux administrations, entreprises, ou particuliers qui souhaitent diffuser des données accessibles en ligne.
Elles se déclinent en 6 fiches correspondant aux grands principes du RGPD.
- Fiche n°1 : qualification juridique des diffuseurs. Tout diffuseur de données personnelles doit au préalable s’interroger sur sa qualification au sens du RGPD, afin d’identifier ses obligations. La CNIL donne des exemples de responsabilités conjointes, distinctes et de sous-traitance. Elle fait un focus sur les licences de réutilisation de données et énonce que les diffuseurs de données peuvent choisir d’encadrer les réutilisations futures par le biais d’une licence. A ce titre, l’encadrement des finalités de réutilisation ne rend pas le diffuseur nécessairement responsable de traitement ou responsable conjoint, dès lors que le réutilisateur conserve un certain degré d’influence autonome sur ses traitements.
- Fiche n° 2 : base légale de son traitement. Les diffuseurs doivent s’assurer que la collecte et la mise à disposition des données reposent sur une base légale solide. Les bases légales envisageables pour la diffusion publique d’une base de données sont : i) l’obligation légale, ii) la mission d’intérêt public, iii) l’intérêt légitime, iv) le consentement. La CNIL propose une méthodologie permettant au diffuseur de données de choisir une base légale adaptée pour la diffusion des données au public.
- Fiche n°3 : information des personnes concernées. Les personnes doivent être informées de la diffusion de leurs données. L’information doit être complète, compréhensible et aisément accessible. La CNIL rappelle également les cas dans lesquels le diffuseur de données est dispensé de délivrer l’information aux personnes concernées, à savoir :
- lorsque la personne concernée a déjà obtenu les informations,
- lorsque les données n’ont pas été directement collectées auprès des personnes concernées et leur information se révèle impossible ou exigerait des efforts disproportionnés,
- ou lorsque le traitement est mis en œuvre aux fins d’expression universitaire, artistique ou littéraire, ou d’exercice, à titre professionnel, de l’activité de journaliste.
- Fiche n°4 : droits des personnes sur leurs données. Les personnes concernées doivent être en mesure d’exercer leurs droits. Les droits pouvant être exercés sont conditionnés suivant la base légale de traitement choisie (ex : si la base légale est le respect d’une obligation légale, le droit d’opposition ne peut être exercé, il pourra toutefois être exercé si le traitement repose sur l’intérêt légitime du diffuseur). La CNIL préconise par exemple de « permettre aux personnes concernées de s’opposer « d’emblée », au stade de leur information sur la mise en œuvre du traitement de diffusion, à certaines réutilisations de leurs données et communiquer sur ces oppositions auprès des éventuels réutilisateurs (p. ex. : publication d’un fichier d’opposition à la prospection commerciale, ou encore d’un « étiquetage » des informations en cause directement dans la base de données) ; et/ou de fournir, sur la plateforme de mise à disposition des données, un formulaire de contact, un numéro de téléphone et/ou une adresse de messagerie dédié(e) à l’exercice des droits ».
- Fiche n°5 : minimisation des données traitées. Les données diffusées doivent être pertinentes et limitées à ce qui est nécessaire pour l’objectif visé. Le principe de minimisation interdit de conserver des données personnelles « au cas où elles seraient utiles ». Cependant, la CNIL précise que dans le cas de l’open data, il est possible de mettre à disposition, et donc de conserver, des données en vue d’une utilisation incertaine par des tiers réutilisateurs. Cela n’est bien entendu envisageable que si la mise en ligne de la base de données est elle-même légale, notamment parce qu’elle répond à une obligation légale ou ne porte pas aux droits des personnes une atteinte disproportionnée. Le diffuseur de données devra alors se demander si l’anonymisation des données est obligatoire ou si elle est envisageable (i.e. lorsqu’elle est techniquement possible et qu’elle ne contrevient pas aux objectifs du traitement), dans la négative, il devra vérifier s’il existe des dispositions légales qui encadrent le champ des données à diffuser et s’y conformer et, dans la négative, il devra alors sélectionner les données pertinentes et non excessives par rapport à l’objectif poursuivi.
- Fiche n°6 : exactitude, sécurité et conservation limitée des données. Les diffuseurs de données peuvent réaliser une analyse d’impact (AIPD) afin de s’assurer que la diffusion des données respecte tous les principes de protection des données. La CNIL énonce ensuite une liste des actions à mettre en œuvre afin de se conformer aux obligations d’exactitude et de sécurité des données. Elle préconise notamment que les diffuseurs prévoient dans leurs conditions de réutilisation des données un renvoi à ses recommandations pour les réutilisateurs de données publiées sur internet.
Il est à noter que le Data Governance act, entré en application depuis septembre 2023 vient compléter ces règles lorsque les données diffusées sont des informations publiques détenues par le secteur public.
II. Les règles applicables aux réutilisateurs de données publiées sur internet
La réutilisation des données publiées sur internet constitue une pratique courante des entreprises, soit à des fins internes, notamment pour se renseigner sur un candidat, un contractant, un élu etc., soit dans le cadre de leur activité client (représentation d’intérêt, chasseur de tête, etc.).
Ces recommandations se déclinent en 6 fiches principes (sur le même modèle que la diffusion des données) auxquelles s’ajoutent 3 fiches pratiques.
Les recommandations s’adressent aux « réutilisateurs de tous types de données personnelles publiées sur Internet – données mises à disposition à des fins de réutilisation (open data) et autres données librement accessibles en ligne (ex. : sites d’information et blogs, sites commerciaux, informations partagées par des internautes sur les réseaux sociaux, …) – par des personnes physiques ou morale, publiques ou privées, collectant les données en vue d’une exploitation de celles-ci pour leur propre compte ».
- Fiche n°1 : qualification juridique des réutilisateurs. Le réutilisateur doit s’interroger au préalable sur sa qualification RGPD afin de déterminer les obligations qui lui sont applicables. La CNIL précise que dans le cadre de contrats d’adhésion, « le fait de recourir à un logiciel de traitement de données personnelles conçu par un autre acteur, et sur lequel son utilisateur ne peut qu’effectuer certains paramétrages (voire aucun), ne dispense pas ce dernier de sa qualité de responsable de traitement, dès lors que c’est lui qui a décidé d’utiliser telles et telles données personnelles avec ce logiciel, pour une certaine finalité ». Ainsi, le réutilisateur demeurera responsable de traitement (seul ou conjointement) quand bien même l’outil utilisé pour la réutilisation desdites données ne peut être paramétré.
- Fiche n° 2 : base légale de son traitement. Les réutilisateurs doivent déterminer la base légale de leur traitement des données avant d’utiliser des données personnelles. La CNIL rappelle que les bases légales envisageables pour la réutilisation d’une base de données sont : i) l’obligation légale, ii) la mission d’intérêt public, iii) l’intérêt légitime, iv) le consentement et propose une méthodologie permettant au responsable de traitement de choisir une base légale adaptée pour la réutilisation des données. A titre illustratif, il est considéré que l’intérêt légitime pourrait valablement fonder la collecte par un employeur de données publiées sur un réseau social professionnel afin de contacter un candidat potentiel, dès lors que les personnes concernées, en les partageant sur un tel site s’attendent raisonnablement à ce type de réutilisations ou que l’intérêt légitime pourrait fonder la rediffusion, par des sociétés spécialisées dans l’information légale et financière, des données d’entreprises diffusées par les administrations chargées de leur mise à disposition au public (INPI et INSEE). A l’inverse, l’intérêt légitime ne peut valablement fonder l’exploitation des coordonnées publiques des DPD / DPO, diffusées en open data par la CNIL à des fins de communication sur des sujets sans lien avec leur activité professionnelle (par exemple, des messages de prospection politique).
- Fiche n°3 : information des personnes concernées. Il est impératif d’informer les personnes dont les données sont réutilisées. L’information doit être complète, compréhensible et aisément accessible et mentionner la source des données réutilisées. La CNIL rappelle également les cas dans lesquels le responsable de traitement est dispensé de délivrer l’information aux personnes concernées à savoir :
- lorsque la personne concernée a déjà obtenu les informations,
- lorsque la fourniture des informations rendrait impossible ou compromettrait gravement la réalisation des objectifs poursuivis,
- lorsque l’information se révèle impossible ou exigerait des efforts disproportionnés. Le Conseil d’Etat a jugé que l’information d‘un grand nombre de personnes (25 millions) ne suffit pas à elle seule à qualifier l’exception d’efforts disproportionnés, compte tenu du caractère intrusif du traitement et de la détention des coordonnées. Ainsi, l’extraction par une entreprise des données de profils de réseaux sociaux (photos, établissements scolaires, employeurs, etc.) pour enrichir un service d’annuaire téléphonique ne pouvait légalement intervenir sans une information individuelle préalable (arrêt du 12 mars 2014, n° 353193)
- lorsque le traitement est mis en œuvre aux fins d’expression universitaire, artistique ou littéraire, ou d’exercice, à titre professionnel, de l’activité de journaliste.
- Ou dans les autres cas prévus par des dispositions légales constituant une mesure nécessaire et proportionnée pour garantir des objectifs d’intérêt public particulièrement importants (article 48 alinéa 4 de la Loi informatique et libertés).
- Fiche n°4 : droits des personnes sur leurs données. Les personnes concernées doivent pouvoir exercer leurs droits auprès des réutilisateurs de données. A titre d’exemple, la CNIL énonce que les courtiers en données (« data brokers ») spécialisés dans la collecte de données sur Internet, à des fins de commercialisation de celles-ci auprès d’entreprises ou de partis politiques, sont tenus de supprimer les informations se rapportant aux personnes qui en font la demande.
- Fiche n°5 : minimisation des données traitées. Seules les données adéquates pertinentes et limitées à ce qui est strictement nécessaire au regard des finalités poursuivies ne doivent être traitées. Lorsque cela est possible, le réutilisateur ne doit collecter parmi les données en accès libre que celles qui sont indispensables à la réalisation de l’objectif poursuivi et ne pas recueillir des données sensibles. Il doit procéder à leur anonymisation ou pseudonymisation lorsque cela ne compromet pas les objectifs du traitement. En cas de webscraping ou moissonnage des données, la CNIL recommande de définir, en amont de la mise en œuvre du traitement, des critères précis et pertinents de collecte, de limiter le risque de recueil de données sensibles et de supprimer toute donnée non pertinente, quel que soit son niveau de sensibilité, dès qu’elle est identifiée comme telle.
- Fiche n°6 : exactitude, sécurité et conservation limitée des données. Les diffuseurs de données peuvent procéder à a réutilisation d’une analyse d’impact (AIPD) afin de s’assurer que la réutilisation des données respecte tous les principes de protection des données. La CNIL énonce ensuite une liste des actions à mettre en œuvre afin de se conformer aux obligations d’exactitude et de sécurité des données. Elle préconise notamment de mettre en place des APIs afin d’assurer la mise à jour automatique des données depuis les sites de diffusion.
A la suite de ces fiches de principe, figurent trois fiches supplémentaires dédiées respectivement à :
- la réutilisation de données publiquement accessibles aux fins de diffusion d’annuaires de professionnels,
- la réutilisation de données publiquement accessibles à des fins de constitution ou d’enrichissement de fichiers destinés à la prospection commerciale, et
- la réutilisation de données publiquement accessibles à des fins de recherche scientifique (hors santé).
La CNIL adapte ainsi le raisonnement des fiches de principe à chacun de ces cas d’usage.
L’on peut ainsi se réjouir de la publication de ces recommandations qui permettent à chaque diffuseur et/ou réutilisateur de données de suivre pas à pas les étapes de la conformité de ces traitements.
Une question sur le RGPD et les données personnelles? N’hésitez pas à nous contacter.
- Publié dans blog, Données personnelles
Valeur économique et Parasitisme
Parasitisme : le simple fait de commercialiser des produits qui évoquent ceux de son concurrent n’est pas en soi fautif.
La Cour de cassation a rappelé dans un important arrêt rendu le 26 juin dernier, à l’occasion d’un contentieux qui opposait Maisons du Monde à Auchan, les conditions dans lesquelles le parasitisme peut s’appliquer.
En l’espèce, Maisons du monde reprochait à Auchan d’avoir commercialisé des tasses et des bols comportant des images de type vintage, qui évoquaient un tableau qu’elle distribuait elle-même dans ses magasins.
Pour rappel, le parasitisme consiste pour un opérateur économique à se placer dans le sillage d’un autre, afin de tirer indument profit de ses efforts et de son savoir-faire, de la notoriété acquise ou des investissements consentis.
L’action en parasitisme est d’autant plus intéressante pour la victime du comportement déloyal, qu’elle ne nécessite pas de démontrer l’existence d’un risque de confusion et qu’elle est ouverte même en l’absence d’un droit de propriété intellectuelle.
Maisons du monde, considérant que les images reproduites sur les ustensiles commercialisés par Auchan évoquaient les tableaux dont elle assurait la distribution, a estimé être en droit d’engager une action en parasitisme.
Selon elle, elle n’avait qu’à démontrer l’existence d’un simple « risque d’évocation » ainsi que le détournement de ses investissements.
Dans sa décision du 26 juin 2024, la Cour de cassation lui donne cependant tort, en apportant des précisions importantes sur la notion de parasitisme.
La cour indique ainsi qu’il appartient à celui qui se prétend victime d’actes de parasitisme, d’identifier la « valeur économique individualisée » qu’il invoque, ainsi que la volonté de l’auteur du parasitisme de se placer dans son sillage.
L’action en parasitisme dépend par conséquent de la capacité de la victime de démontrer qu’elle est légitime à revendiquer l’existence d’une « valeur économique individualisée ».
La Cour ne donne cependant pas d’indication permettant de préciser la nature d’une telle valeur. Par contre, elle explique de manière extrêmement pédagogique les éléments permettant d’écarter la notion de « valeur économique ».
Ainsi, elle rappelle que le savoir-faire et les efforts humains et financiers nécessaires pour caractériser l’existence d’une valeur économique, ne peuvent se déduire de la seule longévité et du succès de la commercialisation du produit.
Elle rappelle également que les idées étant de libre parcours, le seul fait de reprendre en le déclinant un concept mis en œuvre par un concurrent, ne constitue pas en soi un acte de parasitisme.
La Haute juridiction prend également soin de justifier que les juges du fond ont correctement caractérisé l’absence de valeur économique.
Elle souligne ainsi que la Cour d’appel a relevé que l’image revendiquée par Maisons du monde était disponible en droit libre sur Internet. En outre, les décors des tasses et bol commercialisés par la société Auchan, n’étaient pas des copies serviles des clichés litigieux.
Enfin, la Cour relève que la toile commercialisée par Maisons du monde l’a été sur une période limitée, que l’image n’a jamais été mise en avant comme emblématique de la collection Vintage d’Auchan, tout n’étant pas caractéristique également des produits distribués par Maisons du Monde.
La Cour souligne également que Maisons du monde ne détenait aucun droit de propriété intellectuelle sur les images litigieuses. Cette dernière précision peut d’ailleurs surprendre dans la mesure où si Maisons du Monde avait été titulaire des droits d’auteur afférents au tableau, le fondement de son action aurait été la contrefaçon et non le parasitisme.
Pour toutes ces raisons, la Cour de cassation estime que le parasitisme n’est pas caractérisé.
Cette décision est particulièrement intéressante dans la mesure où les praticiens ont longtemps considéré que le parasitisme constituait le recours ultime pour poursuivre un concurrent indélicat en l’absence de droit de propriété intellectuelle.
La Cour de cassation vient cependant rappeler que si la victime du comportement préjudiciable peut engager des poursuites en parasitisme sans avoir à se prévaloir d’un quelconque droit de propriété intellectuelle, elle doit néanmoins caractériser l’existence d’une « valeur économique individualisée ».
Nul doute que cette notion de « valeur économique » fera l’objet d’un contentieux nourri dans les années à venir.
Pour tout savoir sur les actions à votre disposition, n’hésitez pas à nous contacter.
- Publié dans blog, Propriété intellectuelle
RGPD et détective privé: l’impossible cohabitation?
Un enquêteur privé condamné pénalement pour avoir effectué, sur demande d’un employeur, des recherches sur des salariés et candidats, à partir de données librement accessibles sur internet.
L’utilisation quotidienne par des milliards d’utilisateurs, des réseaux sociaux, sites internet, et plateformes, et la publication de contenus librement accessibles, crée une manne d’informations accessibles à tous.
Dans ce contexte, nombreuses sont les personnes qui exploitent ou réutilisent ces données à des fins diverses, plus ou moins licites (preuve d’une violation d’une clause de non-concurrence, évaluation des tiers dans le cadre de la loi Sapin II, recherches de nouveaux candidats, preuve de fraude fiscale, escroquerie, etc.). Dans certains cas, elles ont recours aux services de sociétés ou de personnes spécialisées (détective privé, société d’OSINT, etc.).
Récemment, la Cour de cassation s’est prononcée sur ce sujet, à la suite d’un dépôt de plainte d’un syndicat, et plus spécifiquement sur la réutilisation de données librement accessibles en ligne par un détective privé dans le cadre d’une relation employeur/employés.
Suivant les faits repris par l’arrêt de cassation, la société était susceptible de faire procéder à des enquêtes sur ses salariés, candidats à l’embauche, clients ou prestataires. Pour ce faire, elle a fait appel aux services d’un détective privé.
Une enquête préliminaire et une information judiciaire ont été ouvertes sur les pratiques de la société. Le détective privé a été renvoyé devant le tribunal correctionnel des chefs de collecte déloyale de données à caractère personnel et complicité, complicité de détournement de la finalité d’un fichier, pour des faits commis « courant 2009, 2010, 2011 et jusqu’au 11 juillet 2012, en tout cas […] depuis temps non couvert par la prescription ».
Le prévenu a été condamné en première instance, puis en appel à un an d’emprisonnement avec sursis et 20 000 euros d’amende (Cour d’appel de Versailles, 9e chambre, en date du 27 janvier 2023).
La Cour d’appel de Versailles a estimé que :
« Le moyen de collecte de ces données est considéré comme déloyal dans les rapports employeur/employé dès lors que, issues de la capture et du recoupement d’informations diffusées sur des sites publics tels que sites web, annuaires, forums de discussion, réseaux sociaux, sites de presse régionale, comme le prévenu l’a lui-même exposé lors de ses interrogatoires, de telles données ont fait l’objet d’une utilisation sans rapport avec l’objet de leur mise en ligne et ont été recueillies à l’insu des personnes concernées, ainsi privées du droit d’opposition institué par la loi informatique et liberté ».
Celui-ci a donc formé appel de la décision et le ministère public a formé un appel incident.
L’enquêteur a violé la réglementation relative aux données personnelles
Au soutien de son pourvoi, le prévenu énonce, en premier lieu, que « ne constitue pas un traitement déloyal de données à caractère personnel le fait, pour un enquêteur privé, de recenser des informations rendues publiques par voie de presse ou des informations diffusées publiquement par une personne sur un réseau social (données en open source) » et que la Cour d’appel a violé l’article 226-18 du Code pénal.
En second lieu, il estime que les juges d’appel n’ont pas assez motivé les faits reprochés et caractérisé leur caractère déloyal.
En troisième lieu, il conteste l’étendue des faits sur lesquels la Cour d’appel s’est prononcée, eu égard à ceux figurant dans sa saisine.
La Cour de cassation casse l’arrêt d’appel sur ce troisième moyen au motif que :
« L‘ordonnance du juge d’instruction ne renvoyant le prévenu devant le tribunal correctionnel que pour les faits commis de courant 2009 jusqu’au 11 juillet 2012, la cour d’appel ne pouvait, sauf à ce que l’intéressé accepte expressément d’être jugé sur les faits antérieurs, ce qui n’a pas été le cas, considérer qu’elle était saisie des faits commis avant l’année 2009 ».
Cependant, c’est le motif de rejet du premier moyen du pourvoi qui a retenu toute notre attention.
En effet, la Cour de cassation estime que :
« Le fait que les données à caractère personnel collectées par le prévenu aient été pour partie en accès libre sur internet ne retire rien au caractère déloyal de cette collecte, dès lors qu’une telle collecte, de surcroît réalisée à des fins dévoyées de profilage des personnes concernées et d’investigation dans leur vie privée, à l’insu de celles-ci, ne pouvait s’effectuer sans qu’elles en soient informées ».
L’on comprend ainsi que les traitements de données librement accessibles en ligne ne peuvent être réalisés que si :
- Les personnes concernées sont informées et, en conséquence, en mesure de pouvoir exercer leurs droits (notamment de s’opposer au traitement si la base légale du traitement est l’intérêt légitime)
- Les finalités de ces traitements ultérieurs sont compatibles avec les finalités initiales du traitement.
La fin des détectives privés?
Abstraction faîte des règles applicables en matière de loyauté de la preuve, cette position se comprend au regard des dispositions du RGPD relatives à l’obligation d’information des personnes faisant l’objet d’un traitement et à l’exigence d’une base légale nécessaire à sa mise en œuvre.
Néanmoins, en pratique cette décision pourrait sonner le glas de la profession de détective privé. En effet, elle implique que le détective privé informe systématiquement les personnes sur lesquelles il enquête, alors même que le secret des investigations et la discrétion sont l’essence même de sa profession.
En outre, le RGPD lui-même prévoit une exception à l’obligation d’information en cas de collecte indirecte, lorsque l’information « est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement ».
En l’espèce, le régime applicable était celui issu du Code pénal et non du RGPD. Néanmoins, la Cour suprême aurait peut-être dû s’inspirer de l’exception prévue par le règlement européen, pour tenter de dégager une solution moins radicale.
Source: Arrêt du 30 avril 2024
Filtrage, Image des enfants, Mauvaise application du RGPD: les news du mois de mai
Obligation pour les réseaux sociaux de mettre en place des mesures de filtrage des publicités illicites
Le 24 avril 2024, le Tribunal judiciaire de Paris a confirmé une ordonnance, par laquelle il a été ordonné à un réseau social de prévenir la publication de contenus litigieux en utilisant des filtres automatisés.
Cette mesure vise à protéger les droits de propriété intellectuelle de la société Barrière, en ciblant spécifiquement les publicités contrefaisantes, notamment l’utilisation sans son autorisation de la marque « Barrière » pour promouvoir une activité de jeux en ligne qu’elle estime illégale sur Facebook et Instagram. Le Président du Tribunal judiciaire de Paris a également soutenu que cette obligation de mesures provisoire n’était pas susceptible de porter atteinte à l’interdiction de soumettre un hébergeur à une obligation générale de surveillance. En effet, cette obligation de filtrage étant temporaire et limitée géographiquement au territoire de l’Union européenne, elle ne s’apparente pas à une obligation générale de surveillance.
Le réseau social a ainsi été enjoint de mettre en œuvre des mesures provisoires pour faire cesser ou prévenir toute atteinte à des droits de propriété intellectuelle.
Source: Tribunal judiciaire de Paris RG n°24/02349
Le respect du droit à l’image des enfants : entrée en vigueur d’une nouvelle loi
Face à la multiplication des contenus partagés par les parents sur leurs enfants, la loi nº2024-120 du 19 février 2024 visant à garantir le respect du droit à l’image des enfants a été promulguée.
Cette nouvelle réglementation vient limiter les atteintes à la vie privée des mineurs et répond notamment à plusieurs préoccupations. En effet, il est particulièrement difficile de contrôler la diffusion des images de mineurs sur internet et la diffusion de ces images peut, à long terme, leur porter préjudice.
Pour respecter le droit à l’image des enfants, la loi introduit la notion de vie privée dans l’autorité parentale, impose l’accord des deux parents pour diffuser des images de l’enfant, permet la délégation de l’autorité parentale en cas d’usage abusif et donne compétence à la CNIL pour intervenir en cas d’atteinte aux droits et libertés des mineurs.
Cette nouvelle législation marque un pas important vers la protection de la vie privée des enfants à l’ère numérique, en renforçant le cadre juridique autour de l’utilisation de leur image par les parents.
Source: Légifrance
Amende de 856 000 euros prononcée par l’Autorité de protection des données personnelles finlandaise
L’autorité de protection des données personnelles finlandaise a condamné Verkkokauppa.com Oyj à une amende de 856 000 € pour violation du Règlement général sur la protection des données (RGPD).
Le détaillant en ligne finlandais a en effet manqué à l’obligation de nécessité du traitement en demandant aux clients de créer un compte avant d’effectuer des achats en ligne. La société finlandaise a également été condamnée pour divers manquements relatifs aux durées de conservations des données, notamment en conservant les informations des comptes clients pour une durée indéterminée. En effet, seule la demande de suppression des données formulées par le client pouvait mettre fin à la période de conservation.
La société a ainsi été condamnée, pour l’ensemble de ses manquements à une amende, dont le montant a été calculé sur le chiffre d’affaires annuel de cette dernière, mais également à définir une période de conservation appropriée pour les données des comptes clients et corriger ses procédures exigeant que les clients créent un compte avant d’effectuer un achat en ligne.
Verkkokauppa a déclaré qu’elle ferait appel de la décision devant le Tribunal administratif.
Une question sur ces news? Consulter nos offres ou contactez-nous.
- Publié dans blog, Données personnelles
Violation de licence de logiciel open source : Orange condamnée pour contrefaçon de logiciel
La Cour d’appel de Paris (CA Paris, 14 février 2024 nº 22/18071) a condamné Orange pour contrefaçon de logiciel à raison de la violation de la licence GNU GPL v.2.
- Rappel des faits
La société Entr’Ouvert a développé le logiciel LASSO (Liberty Alliance Single Sign On) qu’elle exploite depuis mars 2004.
Le logiciel LASSO permet la mise en place d’un système d’authentification unique, afin que l’internaute ne s’identifie qu’une seule fois pour accéder à plusieurs services ou sites en ligne, évitant ainsi d’avoir autant d’identifiants que de services en ligne.
La société Entr’Ouvert a fait le choix de diffuser le logiciel LASSO sous la licence libre GNU GPL version 2, ou sous licence commerciale en contrepartie du paiement de redevances si l’utilisation du logiciel LASSO est incompatible avec la licence GNU GPL.
En 2005, Orange a remporté un appel d’offre en vu de la conception et la réalisation d’une partie du portail « Mon Service Public » : Orange devait fournir une solution informatique de gestion d’identités et des moyens d’interface à destination des fournisseurs de services.
La plateforme logicielle dite Identité Management Plateform (« IDMP ») développée par Orange intégrait le logiciel LASSO dans sa version GNU GPL v.2 sous licence libre.
La société Entr’Ouvert, estimant que la mise à disposition du logiciel LASSO par Orange dans le cadre du projet « Mon Service Public » n’était pas conforme aux dispositions de la licence libre, a fait assigner Orange en contrefaçon de droits d’auteur et parasitisme.
- Contexte : la licence libre GNU GPL version 2
La licence GNU General Public License (GPL) est l’une des licences les plus célèbres dans le domaine du logiciel libre et open source. Elle vise à permettre à l’auteur d’un logiciel de garantir la liberté de l’utiliser, le modifier et le distribuer.
Dans le cadre de ce litige, la version 2 de cette licence était applicable. Depuis le 29 juin 2007, la version 3 est communément utilisée.
Contrairement aux licences commerciales classiques qui imposent souvent des restrictions sur l’utilisation et la redistribution du logiciel, la licence GNU GPL favorise la liberté en exigeant notamment que toute distribution du logiciel sous cette licence soit accompagnée du code source et que les œuvres dérivées soient également distribuées sous licence GNU GPL.
- Contrefaçon à raison de la violation de la licence GNU GPL
3.1. La contrefaçon comme fondement
Dans le cadre de cette affaire, la Cour d’Appel de Paris (CA Paris, 19 mars 2021 2024 nº 11/07081) avait préalablement considéré qu’en fondant sa demande sur la violation de dispositions contractuelles, la société Entr’Ouvert était irrecevable à agir sur le fondement délictuel de la contrefaçon. Elle avait cependant condamné Orange au titre du parasitisme, considérant que Orange « a, sans bourse délier, utilisé le savoir-faire, le travail et les investissements de la société Entr’Ouvert ».
Mais la Cour de cassation a partiellement cassé cet arrêt, considérant que la violation d’un contrat de licence pouvait être attaqué sur le terrain de la contrefaçon (Cour de cassation, civile, Chambre civile 1, 5 octobre 2022, 21-15.386).
Reprenant la décision de la Cour de cassation et citant l’arrêt de la CJUE C-666/18 du 18 décembre 2019 IT Development c/ Free Mobile, la Cour d’appel rappelle ainsi que « la violation d’une clause d’un contrat de licence d’un programme d’ordinateur, portant sur des droits de propriété intellectuelle du titulaire des droits d’auteur de ce programme, relève de la notion d’« atteinte aux droits de propriété intellectuelle », au sens de la directive 2004/48, et que, par conséquent, ledit titulaire doit pouvoir bénéficier des garanties prévues par cette directive, indépendamment du régime de responsabilité applicable selon le droit national ».
En d’autres termes, en cas d’atteinte portée à ses droits d’auteur par la violation des termes de la licence de son logiciel, le titulaire est fondé à agir en contrefaçon.
Il appartient alors au titulaire d’apporter les preuves nécessaires à une action en contrefaçon de droit d’auteur, à savoir l’originalité de son logiciel et la violation de ses droits de propriété intellectuelle.
3.2. Les actes constitutifs de la violation de la licence
En l’espèce, après avoir apporté la preuve de l’originalité de son logiciel LASSO, la société Entr’Ouvert a invoqué la violation des articles 2, 3, 4 et 10 du contrat de licence GNU GPL v.2, qu’il est possible de résumer ainsi :
- Article 2 : autorise les modifications du logiciel et la distribution de ces modifications à condition de respecter certaines exigences, notamment de munir les fichiers modifiés d’un avis de modification bien visible et que tout logiciel dérivé contenant le logiciel d’origine soit concédé comme un tout, à titre gratuit, sous licence GNU GPL ;
- Article 3 : autorise la distribution du logiciel sous forme de code objet ou exécutable à condition de l’accompagner de la distribution de l’intégralité du code source ou d’une proposition écrite de fournir le code source ;
- Article 4 : interdit de copier, modifier, concéder en sous-licence ou distribuer le logiciel sauf selon les conditions expressément prévues par la licence GNU GPL ;
- Article 10 : l’intégration du logiciel sous licence GNU GPL dans d’autres logiciels libres dont les conditions de distribution sont différentes nécessite l’autorisation de l’auteur.
Dans cette affaire, la Cour d’Appel de Paris a retenu que Orange avait bien violé ces 4 dispositions de la licence GNU GPL v.2 :
- En ayant procédé à des modifications du logiciel LASSO sur lequel est fondé IDMP et en ne concédant pas IDMP comme un tout gratuit auprès de l’Etat, Orange a violé l’article 2 de la licence ;
- En n’ayant pas communiqué le code source de LASSO alors que Orange a bien « distribué » la bibliothèque LASSO en ayant vendu, livré et transféré à l’Etat l’ouvrage IDMP fondé sur LASSO, Orange a violé l’article 3 de la licence ;
- En copiant, modifiant et distribuant LASSO sans respecter l’ensemble des conditions du contrat de licence GNU GPL, Orange a violé l’article 4 de la licence ;
- En incorporant LASSO dans la plateforme IDMP, dont les conditions de distribution sont différentes de la licence GNU GPL, et sans obtenir l’autorisation de la société Entr’Ouvert, Orange a violé l’article 10 de la licence.
Par ailleurs, l’examen du code source a permis de démontrer que la distribution d’IDMP s’est faite uniquement sous le nom de « France Telecom » alors que deux versions de LASSO ont été utilisés. La Cour d’Appel a donc également retenu une violation du droit moral de la société Entr’Ouvert.
Partant, la Cour d’Appel de paris, complétant la condamnation pour parasitisme devenue définitive, a considéré que Orange a commis des actes de contrefaçon du logiciel LASSO par violation du contrat de licence GNU GPL v2 en ses articles 2, 3, 4 et 10 et non-respect de son droit moral.
Pour exploiter le logiciel LASSO comme elle l’a fait, Orange aurait dû conclure un contrat de licence commerciale avec la société Entr’Ouvert.
- Publié dans blog, Nouvelles technologies
Espace numérique : que prévoit le projet de loi ?
En l’espace de plusieurs décennies, l’environnement numérique, initialement conçu comme un espace ouvert propice au progrès, au développement et au partage inconditionnel de connaissances, a fait face à la multiplication de contenus illicites et préjudiciables.
La nécessité d’une régulation plus rigoureuse de cet espace numérique s’est alors imposée.
Dans ce contexte, le 17 octobre 2023, l’Assemblée nationale a adopté, après proposition du Sénat, un projet de loi visant à sécuriser et réguler l’espace numérique.
Ce projet doit encore être soumis à l’examen d’une Commission Mixte Paritaire, chargée d’affiner les dispositions encore en discussion.
Parmi les multiples thématiques abordées par ce projet de loi, on peut citer la protection des citoyens dans l’environnement numérique, les Jonum ainsi que les nouveaux pouvoirs envisagés pour les autorités nationales.
Ce projet de loi témoigne ainsi d’une prise de conscience quant à la nécessité d’adapter la régulation de l’espace numérique.
- La protection des citoyens dans l’environnement numérique
Le projet de loi propose, dans son article 6, l’instauration d’un filtre de cybersécurité destiné au grand public, visant à restreindre les pratiques d’hameçonnage en ligne considérées comme constitutives d’escroquerie.
L’hameçonnage en ligne est précisément défini dans le projet de loi comme “le fait de mettre en ligne ou de diriger l’utilisateur vers une interface dont les caractéristiques sont de nature à créer une confusion avec l’interface en ligne d’un service existant et d’inciter ainsi l’utilisateur de cette interface, à son préjudice ou au préjudice d’un tiers, à fournir des données personnelles ou à verser une somme d’argent.”
Pour atteindre cet objectif, le gouvernement prévoit la mise en place d’un système d’alerte qui sera activé lorsque les utilisateurs s’apprêtent à accéder à un site malveillant suite à la réception d’un message frauduleux.
Cette mesure vise à protéger les citoyens contre toute tentative d’accès frauduleux à leurs données personnelles ou bancaires, en recueillant les signalements des victimes dans une base de données consultable par les autorités administratives.
De surcroît, le texte renforce les sanctions pour les infractions graves en ligne telles que le cyber-harcèlement, la pédopornographie ou encore le proxénétisme.
Ainsi, de tels agissements peuvent entraîner la suspension ou le bannissement de l’auteur sur les plateformes en ligne. Les fournisseurs qui ne bloqueront pas le compte faisant l’objet d’une suspension seront également passibles d’une amende de 75 000 euros,.
L’accent est également mis sur la protection des mineurs en ligne, avec des mesures renforcées, notamment de l’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM), pour lutter contre l’accès des enfants aux sites pornographiques.
Enfin, le projet de loi prévoit des sanctions plus sévères pour contrer la désinformation provenant de médias étrangers soumis à des sanctions européennes, notamment visées par l’article 215 du Traité sur le fonctionnement de l’Union européenne.
Le projet de loi prévoit que l’ARCOM sera compétente pour mettre en demeure, dans un délai de 72 heures, les personnes, dont l’activité est d’éditer un service de communication au public en ligne et les fournisseurs de services d’hébergement, de retirer les contenus ou de faire cesser la diffusion des contenus provenant de médias étrangers soumis à des sanctions européennes.
En cas de non-respect de la mise en demeure, l’ARCOM pourrait ordonner le blocage du site concerné et imposer une amende pouvant atteindre 4% du chiffre d’affaires de l’opérateur.
- Les Jonum
Les Jonum, une convergence inédite entre les jeux vidéo et les jeux d’argent et de hasard, font actuellement face à un vide juridique et à une absence de régulation dans le cadre législatif français.
Dans ce contexte, et afin de pouvoir les encadrer, le projet de loi envisage dès lors d’autoriser, à titre expérimental et pour une durée de trois ans à compter de la promulgation de la présente loi, les jeux à objets numériques monétisables.
Les Jonum, également désignés comme des jeux à objets numériques monétisables, consistent essentiellement en des jeux en ligne proposant l’achat d’objets numériques nécessaires à la participation et à la progression dans le jeu.
La particularité de ces objets numériques réside dans leur identification par un certificat garantissant leur authenticité, ainsi que leur monétisation, permettant leur revente sur la plateforme de l’éditeur du jeu ou sur une place de marché secondaire.
L’Assemblée nationale, lors de sa première lecture, a envisagé un nouveau cadre de régulation spécifique à ces jeux, distinct de celui régissant les jeux d’argent et de hasard, ainsi que celui des jeux vidéo.
Elle procède également à une première définition juridique des Jonum, les décrivant comme des ” jeux proposés par l’intermédiaire d’un service de communication au public en ligne qui permettent l’obtention, reposant sur un mécanisme faisant appel au hasard, par les joueurs majeurs ayant consenti un sacrifice financier, d’objets numériques monétisables, à l’exclusion de l’obtention de tout gain en monnaie ayant cours légal, sous réserve que ces objets ne puissent être cédés à titre onéreux, directement ou indirectement par l’intermédiaire de toute personne physique ou morale, ni à l’entreprise de jeux qui les a émis, ni à une personne physique ou morale agissant de concert avec elle.”
Par conséquent, toute entité morale souhaitant proposer au public ce type de jeux doit obligatoirement déclarer son offre à l’Autorité nationale des jeux, conformément à l’article 15 du projet de loi.
En outre, les entreprises opérant dans le secteur des jeux à objets numériques monétisables doivent prendre toutes les mesures nécessaires pour prévenir le jeu excessif ou pathologique, assurer l’intégrité, la fiabilité et la transparence des opérations de jeu, prévenir les activités frauduleuses et criminelles, ainsi que le blanchiment de capitaux et le financement du terrorisme.
Enfin, un rapport rendant compte des résultats de cette expérimentation et évaluant la pertinence de sa poursuite devra être présenté au Parlement six mois avant la fin de l’expérimentation.
- Les nouveaux pouvoirs des autorités nationales
Le projet de loi vise à ajuster le cadre juridique français pour incorporer les dispositions du règlement sur les services numériques (Digital Services Act – DSA) et du règlement sur les marchés numériques (Digital Markets Act – DMA), deux textes européens imposant de nouvelles obligations aux grandes entreprises du secteur numérique.
En vertu du DSA, l’ARCOM est désignée comme le “coordinateur des services numériques” en France.
La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) est chargée de surveiller le respect des obligations des fournisseurs de places de marché.
Parallèlement, la Commission nationale de l’informatique et des libertés (CNIL) aura pour mission de vérifier la conformité des plateformes par rapport aux limitations en matière de profilage publicitaire, notamment en ce qui concerne l’interdiction pour les mineurs ou l’utilisation de données sensibles.
Concernant le DMA, l’Autorité de la concurrence et le ministère de l’Economie seront habilités à mener des enquêtes, recueillir des informations et collaborer avec la Commission européenne sur les pratiques des contrôleurs d’accès, notamment dans le cadre du “réseau européen de concurrence”.
Reste à voir si la Commission Mixte Paritaire valide les propositions de l’Assemblée nationale !
Source : Projet de loi visant à sécuriser et réguler l’espace numérique
https://www.assemblee-nationale.fr/dyn/16/textes/l16t0175_texte-adopte-seance#
nement concurrentiel équitable.
- Publié dans blog, Nouvelles technologies
Sony condamnée à 13 millions d’euros par l’Autorité de la concurrence : Pratiques anticoncurrentielles dans le secteur des consoles de jeux vidéo
Les pratiques anticoncurrentielles persistent dans le monde des affaires, et l’Autorité de la concurrence en France demeure vigilante pour garantir un environnement concurrentiel équitable.
L’abus de position dominante, en particulier, est rigoureusement encadré pour prévenir toute distorsion de la concurrence, notamment par l’article 102 du Traité sur le fonctionnement de l’Union européenne mais également en droit interne à l’article L420-2 du Code de commerce.
L’Autorité de la concurrence en France joue un rôle clé en veillant au respect de la concurrence et à la compétitivité des marchés sur le territoire national mais également en sanctionnant les entreprises qui ont recours à des pratiques déloyale portant atteinte à la libre concurrence sur le marché.
Dans une décision récente du 20 décembre 2023 (décision n°23-D-14), l’Autorité de la concurrence s’est prononcée sur la conformité de pratiques dans le secteur des consoles statiques de jeux vidéo de huitième génération et des accessoires de contrôle de compatibilité avec la console PlayStation 4.
En l’espèce, la société Subsonic, un fabricant français de manettes de jeux vidéo, avait saisi en 2016 l’Autorité de la concurrence de différentes pratiques mises en œuvre par le groupe Sony.
Les services d’instructions ont relevé en 2019 des préoccupations de concurrence concernant deux pratiques pour quatre sociétés du groupe Sony, à savoir :
Le déploiement, à compter de novembre 2015, d’un dispositif de contre-mesures techniques visant à affecter le bon fonctionnement des manettes de jeux tierces que le groupe Sony présumait contrefaisantes ;
Le refus d’adhésion au programme officiel d’octroi de licences du groupe Sony pour certaines entreprises souhaitant commercialiser des manettes de jeux compatibles avec la console PlayStation 4.
En effet, Sony a conçu et commercialise depuis 2013 la console PlayStation 4, console de huitième génération, ainsi qu’une manette pour cette dernière, appelée DualShock 4, dont un exemplaire est vendu avec la console.
D’autres opérateurs commercialisent des manettes sur le marché mais le modèle conçu et commercialisé par Sony reste la manette de référence pour les utilisateurs de ladite console.
Pour qu’une pratique dite anticoncurrentielle soit caractérisée, notamment en matière d’abus de position dominante, une position dominante sur un marché pertinent doit être établie.
L’Autorité de la concurrence a retenu que le marché pertinent en l’espèce était le marché national amont de la fourniture de manettes de jeux conçues pour la console Playstation 4.
De plus, les parts de marché en France de 2015 à 2020 des manettes commercialisées par Sony et spécialement conçues pour la PlayStation 4 dépassent très largement 50 %, ce taux ne comprenant pas les manettes DualShock 4 vendues avec la console.
Ainsi, l’Autorité de la concurrence a affirmé que ce résultat est un indice très fort d’une position dominante sur ce marché, les parts de marché étant extrêmement élevées.
Rappelons que Sony est titulaire de divers brevets sur les manettes pour PlayStation 4.
Néanmoins, aucun jugement en France n’a qualifié les manettes des fabricants concurrents de contrefaçon de brevet.
De plus, les brevets sur lesquels Sony fondait des droits de propriété intellectuelle ont expiré ou étaient sur le point d’expirer.
Ainsi, les brevets, tombés dans le domaine public, ne permettaient pas de justifier d’après l’Autorité de la concurrence la mises en place des pratiques visées dans l’affaire.
En outre, certains fabricants tiers produisent des manettes pour la console PlayStation 4 licenciées par Sony dans le cadre de son programme de partenariat Official Licensed Product (ci-après « OLP »). Ce programme permet à ces fabricants d’utiliser le logo et la marque de Sony sur leurs produits, mais également de bénéficier d’un numéro unique d’identification au même titre que les manettes Sony.
Cependant, toutes les manettes concurrentes ne sont pas nécessairement licenciées par Sony, telles que les manettes fabriquées par Subsonic.
Rapidement, Sony a constaté que des manettes contrefaisantes circulaient sur le marché.
En effet, les contrefacteurs pirataient et utilisaient les clés d’identification et de cryptage des manettes contrefaites afin de cloner leur numéro d’identification unique pour les associer aux manettes contrefaisantes.
Afin de lutter contre la contrefaçon de ses droits de propriété intellectuelle, Sony a développé un dispositif de contre-mesures techniques permettant la déconnexion automatique et systématique des manettes ne disposant pas d’un numéro unique d’identification, ces dernières étant considérées comme contrefaisantes pour Sony.
Néanmoins, toutes les manettes ne disposant pas d’un numéro unique d’identification ne sont pas pour autant contrefaisantes. C’est notamment le cas des manettes tierces non licenciées.
Par conséquent, aussi bien les manettes de fabricants tiers non contrefaisantes que les manettes contrefaisantes se retrouvaient affectées par le dispositif technique de contre-mesures mis en œuvre par Sony et étaient ainsi déconnectées.
Il est à noter qu’il n’existe pas à ce jour d’autre possibilité pour obtenir un numéro d’identification individuel unique contrôlé par Sony et ainsi éviter les contre-mesures techniques que d’adhérer au programme de licence OLP.
Cependant, en parallèle des actions controversées de contre-mesures techniques, Sony n’offrait pas la possibilité à tout fabricant, de manière équitable, d’accéder au programme OLP, garantissant l’octroi de licences et de numéros d’identification uniques.
En effet, l’Autorité de la concurrence a souligné que les critères d’accès au programme OLP de Sony restaient opaques pour certains des fabricants intéressés, notamment Subsonic, la communication de ces derniers étant à l’appréciation discrétionnaire de Sony.
Finalement, le déploiement d’un dispositif de contre-mesures techniques en combinaison avec le refus discrétionnaire d’octroyer des licences aux fabricants de manettes tierces non licenciées, a non seulement impacté négativement l’image de marque des concurrents, mais a également freiné leur expansion sur le marché susceptible de les évincer.
En effet, les fabricants tiers non licenciés, tout comme les utilisateurs finaux, n’étaient pas avertis des déconnexions à venir mais également que l’achat de ces manettes pouvaient engendrer des déconnexions intempestives.
Par conséquent, l’Autorité de la concurrence a considéré que les pratiques mises en œuvre par Sony était largement et en tout état de cause disproportionnées permettant ainsi de les qualifier de pratiques anticoncurrentielles.
La décision de l’Autorité de la concurrence condamnant Sony pour ces pratiques opaques souligne, en outre, l’importance de la transparence dans les politiques d’octroi de licences pour assurer une concurrence équitable.
Partant, l’Autorité de la concurrence a condamné solidairement trois filiales et la société mère du groupe Sony à une amende totale de 13 527 000 euros pour des pratiques anticoncurrentielles, notamment pour abus de position dominante sur le marché de la fourniture de manettes de jeux vidéo pour consoles PlayStation 4, pendant une période de quatre ans.
Cette décision est susceptible d’appel.
Source : Décision n° 23-D-14 du 20 décembre 2023 relative à des pratiques mises en œuvre dans les secteurs des consoles statiques de jeux vidéo de huitième génération et des accessoires de contrôle compatibles avec la console PlayStation 4
23d14.pdf (autoritedelaconcurrence.fr)
- Publié dans blog, Jeux vidéo
Plainte de la FTC contre Ring : Permettre aux collaborateurs d’accéder aux données des clients peut coûter cher!
La FTC a déposé une plainte contre une filiale d’Amazon pour ne pas avoir limité l’accès de ses salariés aux données personnelles de ses clients
La Federal Trade Commission (FTC) a accusé la société Ring, filiale d’Amazon, spécialisée dans la commercialisation et les services liés aux caméras de surveillance connectées, d’avoir illégalement espionné ses clients.
Le 31 mai 2023, la FTC l’agence publique américaine en charge de l’application du droit de la consommation et de la concurrence, a annoncé avoir déposé auprès de l’autorité compétente une proposition d’accord transactionnel concernant la société Ring, qui doit encore être homologuée.
L’accord prévoit notamment le paiement de 5.8 millions de dollars par Ring à ses clients.
Les manquements liés à l’accès aux données au sein de l’organisation
En l’espèce, la FTC reprochait dans une plainte à la société de ne pas avoir limité l’accès aux vidéos de ses clients, accessibles depuis les caméras connectées. Fait d’autant plus grave que la campagne publicitaire autour de ces produits était axée au tour de la sécurité apportée par la vidéo-surveillance (« protect your home » « bring protection inside ».)
Une absence totale de restriction à l’utilisation des données des utilisateurs
La FTC révèle en effet que tout employé ou prestataire de la société était autorisé à accéder aux vidéos enregistrées chez les clients. La FTC souligne que cet accès était évidemment non nécessaire et était complet, aucune mesure de restriction n’ayant été mise en place.
La plainte souligne notamment que des sous-traitants basés en Ukraine ont donc pu avoir un accès total aux vidéos enregistrées par les détenteurs de caméras Ring.
L’accès aux vidéos des clients n’était donc pas limité aux fonctions pour lesquelles il était nécessaire : le service support ou les équipes en charge de l’amélioration du produit.
A titre d’exemple, la FTC relève qu’un ingénieur en charge des réglages des projecteurs accompagnant les caméras aurait pu avoir accès si nécessaire à des vidéos d’utilisateurs installées en extérieur, mais certainement pas à celles tournées par des caméras installées dans une chambre.
Pire, aucune restriction technique n’empêchait le téléchargement, la sauvegarde ou le transfert de ces vidéos par les employés et collaborateurs de Ring. Il était même possible pour les collaborateurs de Ring de rechercher sur une base de données les vidéos enregistrées par les caméras, selon le nom donné à celles-ci. Cela a notamment permis à un employé de rechercher prioritairement des vidéos d’espaces « intimes » en utilisant le mot clé « bedroom » ou « bathroom ».
L’autorité américaine souligne que la filiale d’Amazon a échoué à mettre en place les mesures de sécurité les plus élémentaires. Cette imprudence a notamment permis à un employé de la société d’accéder à des milliers d’enregistrements de clientes dans leurs chambres ou salles de bain.
Un défaut de contrôle et de suivi de l’utilisation des données
Circonstance aggravante, une fois cette entorse à la règlementation relative au droit à la vie privée détectée, Ring a mis en place des restrictions concernant l’accès des vidéos par son personnel mais n’a pas été en mesure de garder la trace de ceux-ci et donc de déterminer s’ils étaient légitimes.
Ring même après avoir limité l’accès de son personnel à ses bases de données n’était donc aucunement en mesure de détecter une fuite ou un accès non-autorisé.
La FTC insiste sur l’absence de moyens techniques permettant de gérer les accès aux données sensibles
L’autorité ajoute dans sa plainte que Ring n’a ainsi « aucune idée » du nombre d’accès non autorisés ayant eu lieu.
La FTC indique que Ring a découvert les agissements de certains de ses collaborateurs uniquement par « chance » et qu’il est donc extrêmement probable que de nombreux incidents n’aient pas été détectés.
Ces révélations ne reposent effectivement que sur la vigilance des employés ayant rapporté à la direction ces atteintes à la vie privée, alors même qu’ils ne s’étaient pas vus confier cette mission.
La plainte relève également la légèreté d’un supérieur hiérarchique auquel un rapport avait été remonté par une employée concernant les accès à de très nombreuses vidéos par un ingénieur employé par Ring.
Le personnel de Ring ne bénéficiait d’aucune formation en lien avec les données sensibles des utilisateurs, et donc d’aucun mécanisme d’alerte ou de procédure de traitement des incidents.
Cela pourrait expliquer que les pratiques de l’entreprise se soient améliorés de manière très lente, la FTC considère que Ring a échoué à mettre en place des mesures de sécurité élémentaires de 2016 à 2020.
Enfin, la société n’a jamais clairement informé ses clients que la consultation des enregistrements par ses employés était possible, et a utilisé des termes vagues à ce sujet dans ses documents contractuels.
Les sanctions et mesures prévues par l’accord transactionnel
En supplément des mesures pécuniaires qui serviront au remboursement de clients, la FTC propose à la société Ring de mettre en place un programme de sécurité des données personnelles et de respect de la vie privée contraignant.
L’accord prévoit également la suppression de toutes les données qui étaient consultables de façon illicite, avant une certaine date et tous les travaux, notamment de développement et d’entraînement de technologie de reconnaissance faciale, associés.
La FTC souhaite ainsi clairement établir que la violation de la réglementation sur les données personnelles et la vie privée a un coût.
Source: FTC Says Ring Employees Illegally Surveilled Customers, Failed to Stop Hackers from Taking Control of Users’ Cameras
Adoption au Sénat du Projet de loi visant à sécuriser et réguler l’espace numérique
Le 5 juillet 2023, le Sénat a adopté en première lecture le projet de loi modifié visant à sécuriser et réguler l’espace numérique. Il sera présenté devant l’Assemblée nationale en septembre 2023.
Le projet de loi s’inscrit dans l’évolution rapide au niveau européen des dispositions visant à réguler les activités en ligne (avec, notamment, l’entrée en vigueur du Digitale Services Act (DSA) et du Digital Market Act (DMA)). Il intègre également certaine des recommandations formées dans les rapports sur la souveraineté numérique et la protection des mineurs face à la pornographie et aux fins de régulation des activités des influenceurs.
Les conditions de signalement de contenus illicites sont ainsi renforcées, ainsi que les obligations des éditeurs et hébergeurs en cas de saisine. Les sanctions en l’absence de traitement des notifications de contenus illicites sont également développées, conformément aux dispositions du DSA.
Le projet de loi vise également à limiter la possibilité pour les principaux acteurs du numérique de privilégier leurs propres services sur les plateformes qu’ils éditent, conformément aux principes du DMA.
Le projet de loi inclut par exemple des dispositions restreignant les frais de transfert pouvant être imposés par un hébergeur Cloud à ses clients lorsque ceux-ci souhaitent changer de fournisseur de services d’hébergement. Les frais pouvant être demandés devront se limiter aux frais de migration liés au changement de fournisseur et ne pourront donc plus atteindre les montants importants connus aujourd’hui.
Le projet de loi aborde également la question de l’absence de régulation des Jeux utilisant des Objets Numériques Monétisables (JONUM), dont le statut a fait l’objet de nombreux débats. La qualification des objets concernés, entre jeux d’argent et actifs numériques, ne semble pas encore totalement tranchée.
Le projet de loi prévoit cependant la possibilité pour le Gouvernement de prendre par ordonnance, dans un délai de quatre mois à compter de la publication de la loi, les mesures nécessaires pour réguler ces jeux.
Le projet de loi constitue donc un ensemble complexe, complémentant l’intégration au droit national de plusieurs des dispositions du DSA et du DMA.
L’Arcom devrait ainsi devenir le Coordinateur des services numériques en France. Il sera accompagné dans ses missions par l’Autorité de la concurrence et la Cnil, qui devraient également être désignées comme autorités compétentes responsables de la surveillance des fournisseurs de services intermédiaires et de l’exécution du DSA en France.
Source :
- Publié dans blog, Nouvelles technologies
Paquet numérique : ce qui vous attend !
Dire que l’on est désormais entré dans une économie basée sur la data, est devenu un lieu commun.
Avec l’arrivée de nouveaux acteurs, on assiste à l’émergence de nouvelles problématiques et à la survenance de nouveaux risques :
- le risque cyber et celui d’atteinte à la vie privée ;
- la généralisation des fake news ;
- les risques de manipulation via des commentaires mensongers ; ou encore
- la prise en compte de l’IA qui vient poser des questions qui relevaient jusque là du domaine de la science-fiction.
Le législateur européen s’est emparé de ces questions et a voté une série de textes regroupés sous l’appellation « Paquet numérique ».
Le cabinet Leben-Avocats a le plaisir de vous présenter une synthèse de ces différents textes. (Digital Service Act, Digital Governance Act, Digital Market Act, Data Act, IA Act, Cyber Resilience Act, NIS2…)
La synthèse, c’est par ici.
- Publié dans blog, Nouvelles technologies
Le point sur : le Digital Market Act
Par Eolia BUSATA et Henri LEBEN, avocats à la Cour
Le Digital Market Act (Règlement UE n°2022/1925 – DMA) a vocation à permettre de réguler le pouvoir des acteurs économiques en capacité de verrouiller l’accès aux marchés numériques dans l’Union européenne.
Le Règlement s’applique ainsi aux acteurs disposant de capacités de verrouillage ou de contrôle de leurs marchés, car ils constituent un point d’accès important des entreprises utilisatrices pour toucher leur clientèle, et qui sont alors qualifiés de « contrôleur d’accès » ou « gatekeepers ».
La qualification de contrôleurs d’accès sera appliquée automatiquement à toute entreprise qui, au cours des 3 dernières années, a :
• Réalisé 7,5 milliards d’euros au moins de CA annuel dans l’UE ou 75 milliards, d’euros ou plus de capitalisation boursière durant la dernière année ;
• Eté utilisée par au moins 45 millions d’utilisateurs finaux par mois et 10.000 professionnels par an ;
• Fourni un ou plusieurs services de plateforme essentiels dans au moins trois pays de l’UE, parmi lesquels : services d’intermédiation (comme les places de marché, les boutiques d’applications), moteurs de recherche, réseaux sociaux, messagerie en ligne, etc.
Une fois ces seuils atteints, les entreprises concernées devront s’identifier auprès de la Commission européenne dans le 2 mois de l’entrée en vigueur du DMA. Celle-ci étudiera alors la déclaration et procédera, si applicable, à la désignation de l’entreprise déclarante en tant que « contrôleur de marché ».
Les premières désignations sont donc attendues début septembre 2023.
La Commission pourra, dans tous les cas, désigner unilatéralement les entreprises qui remplissent les critères mais ne se signalent pas comme telles.
Par ailleurs, les entreprises dont l’activité est susceptible de les placer en position de domination de leur marché sans que cette position soit encore durable se verront attribuer le statut de « contrôleurs d’accès émergents ». Certaines des obligations applicables aux contrôleurs d’accès leur seront immédiatement applicables.
Parmi les mesures prévues par le règlement pour encadrer le pouvoir de marché des contrôleurs d’accès, beaucoup vont affecter l’organisation même des plateformes.
Les entreprises concernées devront notamment :
• Rendre également faciles l’abonnement et le désabonnement au services de plateforme essentielle qu’ils fournissent ;
• Permettre de désinstaller facilement leurs applications préinstallées (tels que des suites logicielles ou un navigateur) ;
• Rendre interopérables les fonctionnalités de base de leurs services de messagerie instantanée avec ceux de leurs concurrents ;
• Autoriser les vendeurs à promouvoir leurs offres et à conclure des contrats avec leurs clients en dehors des plateformes ;
• Donner aux vendeurs l’accès à leurs données de performance marketing ou publicitaire sur leur plateforme.
Les plateformes seront également tenues d’informer la Commission européenne de l’évolution de leur organisation, en lui notifiant notamment les acquisitions et fusions qu’elles réalisent.
Ces obligations s’accompagnent de la restriction de pratiques ayant pour objet de favoriser les services annexes proposés par les contrôleurs d’accès (auto préférence de leurs produits, installation automatique de leurs logiciels sur un appareil, exploitation des données des vendeurs sur la plateforme pour les concurrencer, obligation d’utiliser le système de paiement du contrôleur, etc.).
Une entité lésée par un contrôleur d’accès pourra s’appuyer sur la liste de ces obligations et interdictions pour demander des dommages et intérêts devant les juges nationaux. La liste prévue par le règlement pourra être complétée par la Commission, en fonction de l’évolution des pratiques des plateformes.
Les sanctions prévues portent sur des montants relativement élevés, et peuvent aller jusqu’à la mise en œuvre de mesures correctives comportementales ou structurelle par la Commission.
Pour nous contacter, c’est ici. (https://www.leben-avocats.com/contact/)
- Publié dans blog, Nouvelles technologies
Le point sur : le Digital Services Act
Par Eolia BUSATA et Henri LEBEN, avocats à la Cour
Le Digital Services Act (Règlement UE n°2022/2065 – DSA) a vocation à réguler les services en ligne au sein de l’Union européenne, en luttant contre les contenus illicites et en renforçant les obligations de contrôle interne des plateformes.
Le calendrier d’application du règlement est étendu, les premières mesures sont entrées en vigueur en novembre et d’autres suivront, jusqu’au 17 février 2024, date à laquelle l’ensemble des dispositions du Règlement seront applicables.
Le Règlement s’applique à tout intermédiaire ou fournisseur de services en ligne offrant ses services et produits sur le marché de l’UE, indépendamment de sa localisation géographique. Les entités concernées sont, notamment, les fournisseurs de services d’informatique en Cloud et d’accès à un Internet et la plupart des lieux d’achat et de vente en ligne (places de marché, boutiques d’application, réseaux sociaux, plateformes de voyage et d’hébergement, etc.).
Un statut particulier est conféré aux très grands opérateurs ayant un nombre mensuel moyen de destinataires actifs dans l’UE égal ou supérieur à 45 millions. Ce nombre pourra être réévalué en cas d’évolution de la population de l’Union de 5%.
Les très petites et petites entreprises (moins de 50 salariés et moins de 10 millions de CA annuel) qui n’atteignent pas 45 millions d’utilisateurs mensuels seront exemptées de certaines obligations.
Toutes les entreprises concernées devront désigner un point de contact unique (et un représentant légal pour les entités établies hors UE).
Le Règlement contient plusieurs obligations dont les principales sont :
• La lutte contre les contenus illicites : plusieurs mesures doivent être prévues dont la mise en place d’un outil permettant de signaler facilement les contenus illicites, mais également l’obligation pour les marketplaces de mieux s’informer sur leurs vendeurs (vérification de leur fiabilité, de leur identité, etc.),
Le règlement prévoit à ce titre la création du statut de « signaleurs de confiance » / « Trusted flaggers », c’est-à-dire, des entités reconnues pour leur expertise dans la détection et l’identification de contenus illicites, et leur indépendance. Elles seront désignées dans chaque Etat et leurs signalements devront être traités en priorité.
Un rapport annuel récapitulant leurs actions est à adresser au coordinateur national les ayant désignés.
• Transparence : les plateformes devront mettre en place un système interne de traitement des réclamations des utilisateurs (notamment dans les cas de suspension ou de résiliation des comptes sur les plateformes) et clarifier le fonctionnement des algorithmes utilisés pour recommander les contenus publicitaires.
Ce second point s’accompagne d’interdictions spécifiques : interdiction de la publicité ciblée à destination des mineurs, ou de celle basée sur des données sensibles, sauf consentement exprès des personnes.
Les très grandes plateformes, et les très grands moteurs de recherche, sont soumis à des obligations supplémentaires, y compris :
• La mise en place d’un système de recommandation de contenus non-fondé sur le profilage et d’un registre des publicités contenant diverses informations (qui a parrainé l’annonce, comment et pourquoi celle-ci cible tels individus…) ;
• Une obligation d’analyser annuellement les risques systémiques qu’elles créent (sur la haine et la violence en ligne, les droits fondamentaux, les processus électoraux, la santé publique…) et de prendre les mesures nécessaires pour atténuer ces risques (respect de codes de conduite, suppression des faux comptes, etc.) ;
• La réalisation d’audits annuels indépendants de réduction des risques, sous le contrôle de la Commission européenne.
Le contrôle de l’application du Règlement est confié, dans chaque Etat, à un « coordinateur des services numériques », rassemblés au niveau de l’UE dans un Comité européen des services numériques. Ces coordinateurs devront être déclarés au plus tard le 17 février 2024.
En France, cette mission est confiée à l’Arcom.
En cas de violation du règlement, les coordinateurs des services numériques et la Commission pourront prononcer des astreintes et des sanctions. Pour les très grandes plateformes et les très grands moteurs de recherche, la Commission pourra infliger des amendes pouvant aller jusqu’à 6% de leur chiffre d’affaires mondial.
En cas de violations graves et répétées au règlement, des interdictions d’activités sur le marché de l’UE pourront être prononcées.
De manière générale, le règlement a vocation à s’adapter à la taille et aux conséquences éventuelles de l’activité de l’entreprise sur le marché de l’UE.
En fonction de votre activité, une analyse au cas par cas des mesures qui vous sont applicables est donc nécessaire.
Pour faire le point avec nos équipes sur les obligations applicables à votre entreprise, c’est ici. (https://www.leben-avocats.com/contact/)
- Publié dans blog, Nouvelles technologies
Les œuvres générées par IA sont-elles protégeables par le droit d’auteur ?
Outre son côté passionnant, la réponse à cette question aura évidemment des conséquences économiques extrêmement importantes.
Pourra-t-on continuer à exploiter le droit d’auteur ? Des redevances devront-elles être payées ? Quelle répartition pour les œuvres créées en “partenariat” entre un humain et une Ai ?
Beaucoup de questions auxquelles le Bureau du Copyright américain a tenté de répondre, en publiant le 16 mars dernier un guide à destination des créateurs.
Pour le texte d’origine : cliquez ici (https://public-inspection.federalregister.gov/2023-05321.pdf)
Par Manon GASQUET et Henri LEBEN, avocats à la Cour
Le Copyright Office, l’autorité américaine en charge de l’enregistrement des œuvres de propriété intellectuelle, a publié le 16 mars 2023, un document précisant les conditions d’enregistrement et de protection d’œuvres composées d’éléments générés par Intelligence Artificielle (IA).
Le Copyright Office indique être conscient que de nombreuses autres questions sont soulevées par l’usage de ces technologies en matière de droit de propriété intellectuelle, tel que le sort des œuvres utilisées pour entrainer les logiciels.
Il s’attèle cependant en premier, à résoudre l’épineuse question de l’enregistrement, en tant qu’œuvres protégeables, des images, textes et sons produits par les IA dites « génératives ».
La nécessité d’un auteur humain
Le Copyright Office cite à titre d’exemple son refus d’enregistrer en tant qu’œuvre protégée A Recent Entrance to Paradise créée par une IA (« Creative Machine »), peu importe que celle-ci ait elle-même, été créée par un auteur bien réel.
En novembre 2018, le Copyright Office avait fait valoir que l’œuvre n’était pas protégeable à défaut d’avoir un auteur humain.
Cette position était d’ailleurs conforme à la jurisprudence de cette institution qui, par le passé, avait refusé de faire suite à des demandes singulières, telles que l’enregistrement d’œuvres ayant pour « auteur » un animal ou des « êtres célestes ».
Le Copyright office semblait cependant dernièrement s’être éloigné de cette jurisprudence, en autorisant l’enregistrement d’un roman graphique intitulé Zarya of the Dawn, dont l’auteure revendiquée, Kristina Kashtanova, certes humaine, s’était appuyée sur l’IA Midjourney pour réaliser les visuels de l’œuvre.
Midjourney est un générateur d’images qui permet de créer des illustrations à partir d’un texte descriptif rédigé par un utilisateur, en se basant sur l’intelligence artificielle.
Néanmoins, le Copyright Office est finalement revenu sur sa décision, estimant que l’auteure de l’œuvre pouvait uniquement revendiquer la paternité des éléments qu’elle avait effectivement créés, à savoir le texte, la composition, l’arrangement des éléments visuels et écrits, mais excluait donc les images générées par Midjourney.
Une appréciation au cas par cas
Le Copyright Office souligne toutefois la difficulté à appliquer ce critère et rappelle, que l’intervention de logiciels ou de procédés automatisés dans le processus créatif, n’est pas un phénomène nouveau.
En pratique, l’autorité indique que le bénéfice de l’enregistrement devra être décidé sur la base d’une évaluation spécifique, pour déterminer si la création est le fruit d’une intervention humaine suffisante pour être qualifiées d’œuvre protégeable.
Il est d’ailleurs rappelé que le principe même d’une IA générative, est que son utilisateur ne détient pas en principe le contrôle créatif ultime.
Pour illustrer son propos, le Copyright Office cite l’exemple d’un utilisateur d’une IA qui lui demanderait de générer « un poème sur le droit de la propriété intellectuelle à la façon de Shakespeare ».
En pratique, c’est l’IA qui déterminera le rythme du poème, les mots choisis dans les vers ainsi que la structure du texte. Une telle création n’est pas susceptible de protection.
En revanche, une modification suffisante de la création initiale de l’IA, ou un travail créatif important de la part de l’utilisateur sur la sélection ou l’arrangement de ces éléments, devrait pouvoir bénéficier d’un enregistrement auprès du Copyright Office.
Mais dans ce cas, seuls les éléments d’origine humaine seront protégés.
Recommandations du Copyright Office
Le Copyright Office donne quelques recommandations sur la manière de renseigner une demande, lorsqu’une IA est impliquée :
• L’auteur d’un texte reprenant des parties de textes générés par IA devra faire porter sa demande de protection sur les éléments créés par lui uniquement.• Une personne ayant arrangé des textes d’origine humaine et non humaine devra fonder sa demande sur son travail de sélection, coordination et d’arrangement, en décrivant précisément quels éléments ont été générés par une IA.
• Le Copyright Office invite également les personnes dont la demande est en cours d’instruction à régulariser le cas échéant leurs demandes.
Et en France ?
Il convient tout d’abord de rappeler que la position du Copyright Office est susceptible d’évoluer en fonction de la jurisprudence des tribunaux américains qui ne manquera pas d’intervenir.
En France, le droit d’auteur est automatiquement attribué au créateur d’une œuvre qui reflète sa personnalité et son investissement intellectuel. Nul besoin donc de procéder à un enregistrement pour que ce droit existe. (Attention cependant à ne pas confondre existence du droit et preuve de l’existence…)
A ce jour, la Cour de cassation ne s’est pas prononcée sur la question de l’existence d’un droit d’auteur sur une œuvre générée par l’IA.
Il est donc difficile de répondre à la question de départ.
Une position envisageable pourrait cependant être de considérer que :
- L’IA est protégeable par le droit d’auteur en tant que logiciel ;
- L’œuvre créée par l’IA constitue une œuvre dérivée du logiciel protégé.
Il s’agit bien évidemment d’une approche purement prospective, et qui générera certainement encore beaucoup de questions.
Dans tous les cas, il reste possible de solliciter une IA pour savoir comment celle-ci envisage la protection des œuvres créées par son intermédiaire…
Pour savoir comment protéger vos œuvres : c’est ici. (https://www.leben-avocats.com/contact/)
Retrouvez l’intégralité du Copyright Registration Guidance: Works Containing Material Generated by Artificial Intelligence (https://public-inspection.federalregister.gov/2023-05321.pdf)
- Publié dans blog, Propriété intellectuelle
La Federal Trade Commission inflige des pénalités record à l’éditeur de Fortnite, Epic Games
Le 19 décembre 2022 La Federal Trade Commission (FTC), l’agence publique américaine en charge de l’application du droit de la consommation et de la concurrence, a annoncé avoir conclu un accord avec l’éditeur du jeux vidéo Fortnite, Epic Games.
La FTC avait déposé deux plaintes séparées à l’encontre de l’éditeur, la première était relative à la collecte d’information de mineurs de 13 ans et au paramétrage par défaut de la possibilité d’envoyer des messages écrits et vocaux. La seconde portait sur l’utilisation de pratiques commerciales trompeuses ayant pour effet de piéger l’utilisateur et de l’amener à effectuer des achats intégrés sans s’en rendre compte.
Epic Games et la FTC ont conclu un accord transactionnel dans lequel l’entreprise s’engage à payer la somme de 520 millions de dollars.
D’importants manquements à l’égard du droit à la vie privée des mineurs
L’éditeur s’est vu reprocher plusieurs comportements en contravention avec le droit à la vie privée des mineurs et en particulier le Children’s Online Privacy Protection Act (COPPA).
La plainte déposée par la FTC reprochait tout d’abord la collecte de données personnelles de mineurs de moins de 13 ans sans le consentement exprès de leurs parents.
Epic collecte en effet des données personnelles sur les joueurs de Fortnite, notamment par la création d’un compte gratuit. Toutefois, la création d’un compte n’était pas subordonnée à un âge minium avant septembre 2019.
La FTC mettait également en exergue les demandes déraisonnables d’Epic Games adressées aux parents ayant sollicité la suppression des données détenues ou du compte de leur enfant. En effet, certains parents ont par exemple dû fournir toutes les adresses IP utilisées par leur enfant pour se connecter au jeu, afin d’obtenir le traitement de leur demande de suppression.
Faits plus graves, l’autorité relève longuement les risques de conséquences désastreuses sur les enfants (harcèlement, harcèlement sexuel, menaces, exposition à des discours suicidaires…) du paramétrage par défaut des règles de confidentialité permettant d’échanger en direct avec d’autres joueurs, inconnus, par messages vocaux ou écrits.
La sévérité de la sanction de la FTC semble liée à l’inaction et à la mauvaise volonté d’Epic Game quant à ses obligations légales.
En effet, le public du jeu Fortnite est très jeune, ce que l’éditeur sait, en témoignent les sondages des utilisateurs et le marketing développé par l’entreprise (jeu pensé pour plaire aux enfants, distribution de produits dérivés tels que des jouets, des costumes d’halloween ou des vêtements pour enfant).
Pour autant, Epic Games semblait très réticente à mettre en place des mécanismes de sécuritéalors même que l’entreprise avait connaissance de nombreux et graves incidents et qu’elle avait été alertée par ses équipes internes.
Des pratiques commerciales trompeuses
Le second volet de la plainte de la FTC porte sur l’utilisation de « dark patterns » par Epic Games. Il s’agit de pratiques de design d’interfaces ayant pour but de piéger les utilisateurs pour qu’ils effectuent, de façon involontaire, un achat ou qu’ils ajoutent un service complémentaire à leur commande.
Si la création d’un compte joueur est gratuite, de nombreux achats intégrés sont possibles dans le jeu (cosmétiques, émoticônes…). Ces achats cumulés représenteraient 5,1 milliards de dollars de recettes pour l’année 2021.
De nombreuses plaintes de parents indiquent que ces achats peuvent être effectués sans aucune confirmation de la part du titulaire de la carte de crédit associée au compte. La possibilité de ne pas pré-enregistrer les informations liées à une carte de crédit sur le jeu à été mise en place uniquement en novembre 2018.
La rétention des informations bancaires, associée à la mise en place de dark patterns a eu pour conséquences la facturation de frais et d’achats non consentis aux parents de nombreux joueurs et aux joueurs eux-mêmes.
En effet, des pratiques telles que l’inversion de la fonction habituelle des boutons (valider et annuler par exemple), l’absence de confirmation de l’achat, ou l’agencement très rapproché des boutons permettant la visualisation de l’objet et de celui permettant l’achat, ont mené de très nombreux joueurs à effectuer des achats par accident, Epic Games débitant immédiatement le compte bancaire associé.
Les nombreuses demandes de clients et des équipes internes d’ajout d’un bouton de confirmation de paiement n’ont pas été prises en compte selon la FTC.
La possibilité d’annuler un achat, de certains objets uniquement, n’a été mise en place qu’en juin 2019. La FTC relève toutefois que cette possibilité était excessivement difficile à trouver.
Enfin, Epic Games est également accusée d’avoir désactivé les comptes des utilisateurs ayant contacté leurs banques en demandant le remboursement des frais indus, interdisant ainsi l’accès aux achats intégrés litigieux, mais également à ceux n’étant pas contestés.
• Une sanction record
Epic Games s’est vu infliger une amende d’un montant de 275 millions de dollars en raison de la violation des dispositions relatives à la vie privée des enfants et devra également payer un montant de 245 millions de dollars qui seront utilisés pour rembourser les achats des clients lésés.Sources :
Communiqué de la FTC :
https://www.ftc.gov/news-events/news/press-releases/2022/12/fortnite-video-game-maker-epic-games-pay-more-half-billion-dollars-over-ftc-allegations
Plainte relative aux manquements à l’égard de la vie privée :
https://www.ftc.gov/system/files/ftc_gov/pdf/2223087EpicGamesComplaint.pdf
Plainte relative aux pratiques commerciales trompeuses :
https://www.ftc.gov/system/files/ftc_gov/pdf/1923203EpicGamesComplaint.pdf
Accord transactionnel :
https://www.ftc.gov/system/files/ftc_gov/pdf/1923203EpicGamesACCO.pdf
- Publié dans blog, Jeux vidéo
Mise en œuvre d’un traitement ultérieur de données : les durées de conservation du traitement initial ne sont pas forcément applicables
Henri Leben
Leben Avocats
Il est fréquent désormais que des données personnelles collectées dans le cadre d’un premier traitement fassent l’objet d’un traitement ultérieur. C’est par exemple le cas des données du client créant son compte sur un site de e-commerce et qui seront utilisées pour préremplir son adresse de livraison ou de facturation.
L’article 6, point 4, du RGPD prévoit ainsi la possibilité de mettre en œuvre un second traitement sur des données collectées pour une première finalité.
Ce traitement dit « ultérieur » doit répondre à un certain nombre de critères pour être licite. L’analyse de la licéité du traitement envisagé est confiée au responsable de traitement.
Le responsable de traitement doit ainsi fonder son analyse sur le contexte du traitement, les attentes des personnes concernées, les conséquences possibles au traitement ainsi que l’existence de garanties appropriées afin de s’assurer que la finalité de ce second traitement est compatible avec celle du premier traitement.
Le traitement envisagé doit bien sûr respecter l’ensemble des dispositions du RGPD, au-delà des critères énoncés à l’article 6, point 4.
Dans un arrêt du 20 octobre 2022 (affaire C-77/21), la Cour de Justice a été amenée à se prononcer sur la compatibilité des finalités de deux traitements successifs, et sur les obligations du responsable de traitement quant au second traitement.
En l’espèce, la cour de Budapest-Capitale avait saisi la Cour de Justice de deux questions préjudicielles à la suite d’une décision de l’Autorité hongroise de protection des données.
La société Digi, l’un des principaux fournisseurs de services Internet et de télévision en Hongrie, avait été l’objet d’une défaillance technique ayant affecté le fonctionnement d’un de ses serveurs mi-2018.
Afin de traiter cette défaillance, Digi avait procédé à la copie des données d’environ un tiers de ses clients dans une base de données dite « de test ».
Fin 2019 un « pirate éthique » a signalé à Digi que les données de plus de trois cent mille de ses clients sur cette base étaient accessibles en ligne. Digi a conclu un accord ave le pirate, supprimé la base et notifié la violation à l’Autorité hongroise de protection des données.
Suite à cette notification, l’Autorité hongroise a prononcé une sanction contre Digi aux motifs que celle-ci n’aurait pas respecté l’obligation de limitation de la durée de traitement des données en conservant les données copiées dans la base de test sans aucune finalité.
Saisie par Digi, la juridiction de renvoi a souhaité poser deux questions préjudicielles auprès de la Cour de Justice, soit, telles que reformulées par la Cour :
- L’enregistrement et la conservation dans une base de données nouvellement créée de données personnelles conservées dans une autre base de données constituent-ils un « traitement ultérieur » au sens de l’article 6, point 4 ; et
- Dans l’hypothèse où le traitement ultérieur serait autorisé, les données peuvent-elles être conservées une fois la finalité du traitement ultérieur réalisée ?
La Cour établit tout d’abord que la finalité du traitement ultérieur telle que décrite par la Cour hongroise n’est pas identique à la finalité initiale, et qu’il est donc nécessaire d’analyse la compatibilité des finalités des deux traitements.
La Cour hongroise retient en effet que le traitement initial consistait en la collecte de données aux fins de la conclusion et de l’exécution de contrats d’abonnement avec des clients particuliers tandis que le traitement ultérieur porte sur la réalisation de tests et la correction d’erreurs (conformément à la position de l’Autorité hongroise).
Digi soutenait que le traitement ultérieur avait pour finalité de garantir l’accès aux données des abonnés jusqu’à ce que les erreurs soient corrigées, et que cette finalité était identique à celle du traitement initial. Cette interprétation a été écartée.
La Cour de Justice retient cependant que la finalité du traitement ultérieur présente un lien concret avec l’exécution des contrats conclus avec les clients. Elle relève par ailleurs que la décision de renvoi ne contient aucun élément permettant d’aller contre la compatibilité du traitement ultérieur avec le traitement initial (absence de données sensibles ou de conséquences dommageables identifiées).
Dès lors, en application des critères listés à l’article 6, point 4 du RGPD, la Cour de Justice retient la complémentarité des finalités des traitements et renvoie la vérification des garanties appropriées à la juridiction hongroise.
Pour autant, la Cour de Justice relève que le traitement ultérieur viole le RGPD.
En effet, la possibilité de mettre en place un traitement ultérieur n’écarte pas ces données du bénéfice des autres dispositions du RGPD, dont l’obligation de limiter la durée de traitement à la réalisation de la finalité.
En conservant les données dans la base de test au-delà de la durée nécessaire à la réalisation de tests et à la correction d’erreurs, Digi a violé l’obligation de définir une durée appropriée de conservation des données.
Cet arrêt rappelle que si la mise en œuvre d’un traitement ultérieur de données doit donner lieu à la vérification de la compatibilité de la finalité envisagée avec la finalité première du traitement initial, cette vérification ne doit pas faire oublier la nécessité de mettre en place l’ensemble des mesures nécessaires à la licéité d’un traitement : minimisation des données, contrôle des accès, exercice des droits des personnes, limitation des durées de conservation, etc.
Source : https://curia.europa.eu/juris/document/document.jsf;jsessionid=4BD1E9D0D41D621089AEA68F502EDABE?text=&docid=267405&pageIndex=0&doclang=fr&mode=req&dir=&occ=first&part=1&cid=27154
Les éditeurs de jeux doivent rémunérer les contributeurs
Henri Leben
Leben Avocats
On a beaucoup parlé de la récente décision de la Cour d’appel de Paris rendue dans l’affaire qui opposait la société Valve (Steam) à l’UFC Que Choisir. L’arrêt rendu le 21 octobre 2022 a en effet tranché que Valve pouvait légitimement interdire à ses utilisateurs la « revente » des jeux mis à disposition sur sa plateforme. Il s’agit donc indéniablement d’une victoire pour la société américaine, qui conserve ainsi le contrôle de ses utilisateurs.
Plusieurs autres questions ont cependant été abordées, dont celle du régime applicable aux contenus générés par les joueurs. Sur cette question, la Cour d’appel a jugé que la cession automatique des contributions des joueurs à l’éditeur du jeu (Valve), ne pouvait intervenir que contre rémunération. Cette décision déclare ainsi illicite une clause standard prévue dans la plupart des conditions générales des plateformes de distribution, selon laquelle le joueur qui génère un contenu à partir d’un jeu vidéo, le met automatiquement à disposition de l’éditeur et des autres joueurs, sans percevoir de contrepartie.
En l’espèce, la clause critiquée prévoyait que :
« Certains jeux et applications disponibles sur Steam (les « Applications compatibles avec le Workshop ») vous permettent de créer du Contenu Généré par l’Utilisateur à partir d’une Application compatible avec le Workshop ou à l’aide de celle-ci, et de soumettre ce Contenu Généré par l’Utilisateur (une « Contribution au Workshop ») sur une ou des pages Web Steam Workshop ».
(…)
« Les Contributions au Workshop sont considérées comme des Souscriptions. A ce titre, vous convenez que les Souscripteurs auprès desquels votre Contribution au Workshop est distribuée bénéficieront des mêmes droits d’utilisation de votre Contribution (…).
Sauf disposition contraire dans les Conditions Spécifiques d’une Application, vous convenez que l’appréciation de Valve vis-à-vis de vos Contributions au Workshop représente votre entière compensation à ce titre, et que vous ne bénéficiez d’aucun autre droit ou compensation dans le cadre des droits accordés à Valve et à d’autres Souscripteurs».
L’UFC Que Choisir estimait que cette clause violait plusieurs dispositions relatives aux cessions de droit d’auteur, et constituait une clause abusive.
La Cour d’appel de Paris ne partage cependant pas complètement l’analyse de l’UFC relative aux dispositions applicables en matière de cession de droits.
Elle retient néanmoins que dès lors que la clause litigieuse, « ne mentionne aucune rémunération de l’auteur du ‘contenu généré par l’utilisateur’ notamment lorsque ce contenu est incorporé dans une œuvre dérivée, et ne mentionne pas de manière suffisamment claire les droits qui lui sont conférés » elle n’est pas conforme « aux dispositions du code de la propriété intellectuelle prévoyant la rémunération de l’auteur ».
Les conditions générales de Valve sont ainsi réputées violer les dispositions du Code de la propriété intellectuelle relatives à la juste rémunération de l’auteur.
La Cour rappelle également qu’est considérée comme abusive, une clause « qui a pour objet ou pour effet de créer, au détriment du consommateur, un déséquilibre significatif entre les droits et obligations des parties au contrat ».
Pour la Cour, dès lors que la cession de l’auteur du User Generated Content ne repose pas sur une contrepartie, l’abus est caractérisé :
« Aussi, les considérations précitées de la clause 6 A et B qui n’exposent pas de manière transparente le fonctionnement concret du mécanisme de rémunération de l’auteur de contenus sont de nature à porter une atteinte grave à la situation juridique du consommateur en restreignant le contenu de ses droits ou une entrave à l’exercice de ceux-ci, et sont de nature à créer un déséquilibre significatif entre les droits et obligations des parties au détriment du consommateur ou du non-professionnel. La clause 6 A et B sera donc réputée non-écrite ».
De manière intéressante en défense, Valve faisait valoir qu’en pratique les cessions de Contenus Générés par un utilisateur faisaient l’objet d’une rémunération, soumise aux conditions spécifiques de l’application utilisée pour créer le contenu.
La clause de cession « automatique » prévue par ses conditions générales constituait ainsi une espèce de clause balaie destinée à être appliquée dans de très rares cas. Autrement dit, aucun abus n’aurait été commis à l’encontre des joueurs.
La Cour d’appel souligne cependant que le fait que des contreparties aient pu être proposées, n’enlève rien au caractère illicite et abusif de la clause.
Si l’industrie a pu crier victoire au regard de la décision relative à l’interdiction des « reventes » de jeux dématérialisés, l’obligation de rémunérer les Generated Content Users pourrait s’avérer problématique pour de nombreux éditeurs.
A noter cependant que la Cour ne précise pas la nature de la rémunération due à l’auteur du Contenu Généré. Il paraît par conséquent tout à fait possible de considérer que la rémunération puisse prendre la forme d’avantages consentis au joueur (bonus, add-on, etc.).
Bien évidemment, il paraît également légitime de rémunérer correctement un joueur dont la contribution participe fortement au succès du jeu.
Enfin, on peut s’interroger sur la transposition de la décision de la Cour d’appel à des jeux dont le fonctionnement nécessite par nature, que les joueurs contribuent au développement du jeu et puissent accéder aux contenus créés par les autres joueurs.
Il n’est pas dit notamment que le raisonnement développé par la Cour soit applicable aux jeux de type bac à sable où la cession des contenus fait partie du Gameplay.
Quoi qu’il en soit, l’arrêt rendu par la Cour d’appel doit impérativement être pris en compte par les éditeurs de jeux et les plateformes, et une relecture de leurs conditions générales doit être menée à l’aune de cette décision.
- Publié dans blog, Jeux vidéo
Réserver la marque de son concurrent comme mot clé sur un service de référencement n’est pas interdit…mais peut être sanctionné.
On connaît la jurisprudence désormais bien établie selon laquelle, l’achat d’un mot-clé identique à la marque d’un concurrent dans le cadre d’une campagne de référencement payant, n’est pas répréhensible en soi.
C’est ainsi qu’il est devenu courant pour de nombreux opérateurs de réserver comme mot clé sur le service Google adWords la marque de leur concurrent. Bien que cette pratique permette dans les faits d’exploiter la notoriété de son concurrent, la jurisprudence estime qu’elle n’est pas en soi répréhensible.
Il n’empêche que plusieurs décisions récentes semblent vouloir revenir, ou tout au moins, limiter la portée de cette jurisprudence. C’est ainsi que la société Carré Blanc, spécialisée dans la distribution de linge de maison a attaqué la plateforme Amazon, après avoir constaté que le nom de sa marque apparaissait dans les annonces affichées par Amazon suite à sa réservation comme mot clé.
Saisi du contentieux, le tribunal judiciaire de Paris a estimé que dès lors que la marque apparaissait également dans le titre de l’annonce, le risque de confusion entre le site de Carré Blanc et le site d’Amazon, ne pouvait être écarté :
« Il s’ensuit que le titulaire d’une marque est habilité à interdire à un annonceur de faire, à partir d’un mot clé identique ou similaire à ladite marque que cet annonceur a, sans le consentement dudit titulaire, sélectionné dans le cadre d’un service de référencement sur internet, de la publicité pour des produits ou des services identiques à ceux pour lesquels ladite marque est enregistrée, lorsque ladite publicité fait usage de la marque de manière visible et ne permet pas ou permet seulement difficilement à l’internaute moyen de savoir si les produits ou les services visés par l’annonce proviennent du titulaire de la marque ou d’une entreprise économiquement liée à celui-ci, ou au contraire d’un tiers ».
Le tribunal souligne en outre que cette pratique est d’autant plus préjudiciable, que le site d’Amazon ne proposait pas de produits Carré Blanc.
Le tribunal se voit donc contraint de rappeler que :
« le fait, pour un distributeur, d’annoncer la vente de produits d’une marque alors qu’il n’en détient pas ou en détient un nombre d’exemplaires insuffisant pour répondre à la demande normale de la clientèle, afin d’attirer cette dernière et lui proposer des produits d’une autre marque, constitue la pratique prohibée dite « de la marque d’appel».
Les annonceurs doivent donc se montrer prudents dans le choix des mots clés réservés et dans la rédaction des annonces publicitaires qu’ils diffusent sur les sites de référencement.
Décision : Tribunal judiciaire de Paris du 10 juin 2022 CARRE BLANC EXPANSION et autre / AMAZON EU et autre.
- Publié dans blog, Propriété intellectuelle
Garantie légale de conformités des services et biens numériques
Contenus numériques : mettez-vous en conformité avant le 1er octobre 2022
Publication du décret relatif aux garanties légales applicables aux contenus et services numériques
Issue de la transposition de deux directives, l’ordonnance n°2021-1247 relative à la garantie légale de conformité pour les biens, les contenus numériques et les services numériques créait les bases de l’application aux contenus et services numériques des garanties légales de conformité et des vices cachées.
Afin de compléter les dispositions déjà détaillées au sein de l’ordonnance, le décret n°2022-946 du 29 juin 2022 apporte des précisions quant à l’application pratique de ces règes et à leur formalisme.
Le décret précise ainsi les modalités d’exécution par les différents acteurs de leurs obligations, et notamment :
- Les informations obligatoires s’agissant de l’identité du professionnel ;
- Les informations obligatoires s’agissant de la portée des mises à jour des contenus numériques ;
- Le formalisme de l’encadré à intégrer aux conditions générales qui récapitule les engagements en matière de garanties du vendeur.
Le décret entre en vigueur au 1er octobre 2022.
- L’identification du professionnel :
Conformément à ce qui s’appliquait déjà en matière de garanties légales, les professionnels fournissant des contenus et services numériques sont tenus d’informer les consommateurs, dans leurs conditions générales, des éléments nécessaires à l’identification du professionnel répondant des garanties légales : raison sociale, adresse, informations de contact (téléphonique et email), modalités de traitement des réclamations, etc.
- Mise à jour des contenus numériques :
Les contenus et services numériques pouvant faire l’objet de mises à jour, le producteur de biens contenant des éléments numériques, et le vendeur, sont tenus de :
• Pour le producteur, informer :
o Le vendeur professionnel de la durée au cours de laquelle les mises à jour logicielles fournies par lui restent compatibles avec les fonctionnalités du bien ; et
o Le consommateur, de façon lisible et compréhensible, des caractéristiques essentielles de chaque mise à jour des éléments numériques du bien, notamment de l’espace de stockage qu’elle requiert, de son impact sur les performances du bien et de l’évolution des fonctionnalités qu’elle comporte.
• Pour le vendeur, mettre les informations communiquées par le producteur à dispositions du consommateur. Le vendeur met ces informations à la disposition du consommateur.
Afin de leur permettre de répondre à ces obligations, le décret précise notamment que le producteur de biens contenant des éléments numériques est tenu d’informer le vendeur, sans frais :
• Des logiciels du bien faisant l’objet des mises à jour, y compris les mises à jour de sécurité ;
• De la durée de fourniture de ces mises à jour ou la date à laquelle cette fourniture prend fin.
En cas de modification de ces informations, le producteur en informe le vendeur, et lui communique les conséquences éventuelles.
Ces informations doivent être communiquées par le vendeur au consommateur. Le cas échéant, il peut communiquer au consommateur la référence d’un site ou d’une application éditée par le producteur et détaillant les informations ainsi fournies.
Le producteur doit en effet communiquer au consommateur les caractéristiques essentielles des mises à jour du produit ou service numérique (notamment : objet de la mise à jour – répond-elle à une exigence de sécurité ou sert-elle à faire évoluer les fonctionnalités du bien -, versions du logiciel/ système d’exploitation ou pilote concerné par la mise à jour, l’espace de stockage requis par la mise à jour ainsi que les conséquences de la mise à jour sur les performances du bien).
Ces informations doivent être communiquées avant la mise à jour, et devraient rester disponibles postérieurement.
- Information des consommateurs quant à l’exercice des garanties légales de conformité s’agissant de contenus numériques :
L’article D.211-2 du code la consommation impose au professionnel d’insérer dans ses conditions générales de vente de biens un encadré détaillant les garanties fournies ainsi que leurs modalités d’exercice et leurs caractéristiques. Cette disposition est similaire à celle déjà en vigueur s’agissant de la vente de biens.
Les modèles d’encadrés figurent aux annexes des articles D. 211-3 et D. 211-4 du code de la consommation et doivent être choisis selon que les biens et services numériques sont fournis de manière ponctuelle ou continue, ou bien en complément d’un contrat de vente de biens.
Les principales différences entre ces modèles sont décrites dans le tableau suivant :
Vente de biens comportant des éléments numériques | Fourniture ponctuelle de contenus ou services numériques / Opérations de fourniture distinctes | Fourniture continue de contenus ou services numériques | |
Garantie légale de conformité | |||
Durée d’exercice | 2 ans A compter de la délivrance du bien | 2 ans A compter de la fourniture du contenu | Durée de la fourniture prévue au contrat |
Preuve à fournir | Existence du défaut de conformité | Existence du défaut de conformité pour la 1ère année Existence du défaut de conformité + date d’apparition de celui-ci pour la 2nde année | Existence du défaut de conformité |
Mises à jour | Obligation de fourniture de toutes les mises à jour nécessaires au maintien de la conformité du bien. | Idem | Idem Pour la durée de fourniture prévue au contrat |
Délai de réparation ou de remplacement | Trente jours suivant sa demande, sans frais et sans inconvénient majeur pour lui. | Sans retard injustifié suivant sa demande, sans frais et sans inconvénient majeur pour lui. | Idem |
Prolongation de la garantie légale de conformité en cas de réparation | 6 mois en sus de la garantie initiale | N/A | N/A |
Prolongation de la garantie légale de conformité en cas de remplacement du bien imposé par le vendeur | Deux ans à compter de la date de remplacement du bien. | N/A | N/A |
Réduction du prix d’achat ou remboursement contre restitution si le professionnel : | 1° refuse de réparer / remplacer le bien; 2° La réparation ou le remplacement du bien intervient après un délai de 30 jours; 3° La réparation ou le remplacement du bien occasionne un inconvénient majeur pour le consommateur; 4° La non-conformité du bien persiste en dépit de la tentative de mise en conformité du vendeur. | N/A | N/A |
Réduction du prix d’achat sans restitution ou remboursement contre restitution intégrale si le professionnel : | N/A | 1° refuse de mettre l’élément numérique en conformité; 2° La mise en conformité est retardée de manière injustifiée; 3° La mise en conformité ne peut intervenir sans frais imposés au consommateur; 4° La mise en conformité occasionne un inconvénient majeur pour le consommateur; 5° La non-conformité persiste en dépit de la tentative de mise en conformité du professionnel. | Idem |
Réduction du prix d’achat ou remboursement immédiat contre restitution si le défaut de conformité est particulièrement grave ? | Oui Le consommateur n'est alors pas tenu de demander la réparation ou le remplacement du bien au préalable. | N/A | N/A |
Réduction du prix d’achat sans restitution ou remboursement immédiat contre restitution si le défaut de conformité est particulièrement grave ? | N/A | Oui Le consommateur n'est alors pas tenu de demander la réparation ou le remplacement du bien au préalable. | Idem |
Suspension de la durée de garantie | Pour toute période d'immobilisation du bien en vue de sa réparation ou de son remplacement. Jusqu'à la délivrance du bien remis en état. | En cas d’intervention, suspension pour la durée nécessaire à la fourniture d’un élément de nouveau conforme. | Idem |
Garantie des vices cachés | |||
Durée d’exercice | 2 ans à compter de la découverte du défaut. | Idem | Idem |
Indemnisation | Réduction de prix si le bien est conservé OU Remboursement intégral contre renonciation au bien. | Idem | Idem |
Par ailleurs, lorsque le contrat de vente du bien prévoit la fourniture d’éléments numériques de manière continue pendant une durée supérieure à deux ans, la garantie légale est applicable à ce contenu numérique ou ce service numérique tout au long de la période de fourniture prévue.
Enfin, tout vendeur qui fait obstacle de mauvaise foi à la mise en œuvre de la garantie légale de conformité encourt une amende civile d’un montant maximal de 300 000 euros, qui peut être porté jusqu’à 10 % du chiffre d’affaires moyen annuel.
Contrairement aux modèles précédents, cet encadré tient compte de la durée de fourniture des services et doit être adapté en conséquence.
Points restant à clarifier :
L’ordonnance n° 2021-1247 relative à la garantie légale de conformité a créé à la charge des professionnels une obligation d’information spécifique lorsque le consommateur fournit un avantage en contrepartie de la fourniture du contenu numérique, en complément ou en remplacement d’un prix.
Cette obligation impose au professionnel de détailler dans ses conditions générales la nature de l’avantage reçu en lieu et place du prix. Il doit notamment préciser dans des termes « clairs et compréhensibles, le modèle économique faisant apparaitre l’incidence pour lui de cet avantage sur ses revenus ou son bénéfice économique » (article R. 211-5 du Code de la consommation).
Le décret n’apporte cependant pas d’éléments spécifiques sur la nature des informations à communiquer.
S’agissant des données personnelles, il se limite à préciser que le professionnel qui conduirait un traitement de données personnelles dans le cadre de la fourniture de cet avantage est tenu d’expliciter dans ses conditions générales les modalités d’exploitation de ces données à des fins publicitaires ou commerciales.
Au vu du développement des modèles dits « gratuits » où la fourniture du service ou du contenu numérique n’entraine pas de contrepartie financière immédiate de la part du consommateur, la nature exacte des informations à communiquer aux consommateurs devra faire l’objet de la plus vive attention.
Source : https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045978303
- Publié dans blog, Nouvelles technologies
Brèves : du côté des données personnelles
Sephora condamnée pour non-respect du California Consumer Privacy Act (CCPA)
A retenir : les textes réglementant l’utilisation des données personnelles se multiplient partout dans le monde. En plus de respecter le RGPD, les entreprises doivent donc s’assurer de leur conformité avec les autres règlementations, pour peu qu’elles soient également présentes dans les pays concernés.
Dans le cas du CCPA, l’approche fondée sur la protection des droits du consommateur est légèrement différente de la logique de défense de la vie privée retenue par le RGPD.
L’amende de 1,2 millions de dollars à laquelle Sephora a été condamnée montre à elle-seule la nécessité de concevoir désormais sa conformité de façon mondiale.
Infogreffe condamnée à une amende de 250.000 € pour non-respect du RGPD
La CNIL a annoncé avoir sanctionné le GIE Infogreffe à hauteur de 250.000 €.
Après avoir effectué un contrôle suite à une plainte, l’autorité de contrôle a constaté qu’Infogreffe ne détruisait pas les données à l’issue du délai indiqué lors de la commande de prestations par les utilisateurs (36 mois à compter de la dernière commande).
Elle a également relevé des problèmes de sécurité liés à la gestion des mots de passe. Infogreffe transmettait ainsi en clair, par courriel, les mots de passe non temporaires permettant l’accès aux comptes et conservait également en clair, dans sa base de données, les mots de passe ainsi que les questions et réponses secrètes utilisées lors de la procédure de réinitialisation des mots de passe par les utilisateurs.
A noter que ce n’est pas la première fois que ce type de comportement est sanctionné. Les entreprises qui gèrent des plateformes auxquelles les utilisateurs peuvent se connecter, doivent par conséquent faire un effort tout particulier pour s’assurer que les modalités d’ouverture du compte utilisateur sont conformes aux prescriptions de la CNIL.
- Publié dans blog
- 1
- 2