1. Accueil
  2. jurisactuubs

Articles de jurisactuubs

  • Placement de cookies et consentement

    Article publié le 6 janvier 2020

     

    Le 1er octobre 2019[1], la Cour de justice de l’Union européenne s’est prononcée sur la question du consentement des internautes au placement de cookies sur leurs équipements terminaux, dans un arrêt aussi attendu que sans surprise.

    Dans les faits, une société organisait un jeu promotionnel sur un site internet, dont la participation nécessitait pour les internautes de consentir au partage de leurs données avec des « sponsors et partenaires », ce en cochant une case. Une seconde mention, autorisant l’organisateur du jeu promotionnel à installer des cookies sur le disque dur des utilisateurs, était suivie d’une case cette fois cochée par défaut.

    Après une mise en demeure restée sans suite, la fédération allemande des organisations de consommateurs (Bundesverband der Verbraucherzentralen und Verbraucherverbände) a introduit, devant le tribunal régional de Francfort (Landgericht Frankfurt am Main), un recours tendant à ce que la société organisatrice cesse de solliciter les déclarations d’accord susmentionnées. Il y a été partiellement fait droit. La société a interjeté appel devant le tribunal régional supérieur de Francfort (Oberlandesgericht Frankfurt am Main), qui a estimé la demande de la fédération infondée, dans la mesure où l’utilisateur avait connaissance de la possibilité de décocher cette case, qui était par ailleurs suffisamment claire et donnait des informations sur les modalités d’utilisation des cookies, sans qu’il fut nécessaire de divulguer l’identité des tiers susceptibles d’avoir accès aux informations recueillies.

    Saisie par la fédération d’un recours en révision, la Cour fédérale de justice allemande (Bundesgerichtshof) a considéré que l’issue du litige dépendait de l’interprétation des dispositions combinées des textes applicables[2], et a décidé de surseoir à statuer et de poser deux questions préjudicielles à la CJUE.

    Lire la suite

  • Droit à l’effacement et précision sur les obligations de déréférencement des moteurs de recherche

    Article publié le 27 janvier 2023

     

    CJUE, gde ch., 8 décembre 2022, aff. C-460/20, TU et RE c/ Google

     

     

     

    Lire la suite

  • Loi pour une République numérique : une loi ambitieuse

    Article publié le 8 novembre 2016

     

    Le numérique est sans aucun doute l'avenir de notre République. La multiplication des datas, des réseaux et des usages numériques est un nouvel enjeu juridique, tant par la constante actualisation qu'elle demande que par la sécurité qu'elle nécessite. La loi n° 2016-1321 pour une République numérique, publiée au Journal Officiel le 8 octobre 2016, couvre un large champs d'application en trois axes. Le premier, « La circulation des données et du savoir » (Titre Ier), réglemente l'obligation de communication gratuite des données des organismes publics ou de certains opérateurs privés. Le deuxième, « La protection des droits dans la société numérique » (Titre II) s'attache à une meilleure protection des droits du citoyen. Le dernier, « L’accès au numérique » (Titre III), est consacré au libre accès du numérique. De ces trois axes transparaît la volonté de libérer l'innovation par l'affirmation du principe open data (c'est-à-dire la publication de bases de données pour créer un service public dit « de référence »), de garantir la protection des droits et des données des utilisateurs et enfin de promouvoir l'accessibilité à tous au numérique.

     

    Dans un premier temps, ladite loi favorise l'accès à l'information scientifique. L'open data impacte le secteur administratif et celui de la justice. En effet, il touche les délégations de services publics et les décisions émanant de juridictions administratives ou judiciaires. Le but recherché est de « faciliter l’accès au droit tant pour les justiciables que pour les professionnels et de créer de nouvelles applications et de nouveaux services en ligne » (Axelle Lemaire, secrétaire d'État auprès du ministre de l'Économie et des Finances, chargée du Numérique et de l'Innovation). Par ailleurs, cette loi met en place un TDM (Text and data mining) qui permet l'exploration de textes et de données. Ce mécanisme apparaît alors comme une atteinte au droit d'auteur. Pour pallier toute dérive ou abus de ce système, une exception strictement encadrée sera introduite, dont les conditions et surtout celle de l'utilisation du TDM seront fixées ultérieurement par décret.

     

    Dans un deuxième temps, cette loi est synonyme d'avancée pour les consommateurs de l'Internet. De nombreuses mesures sont relatives aux particuliers. Tout d'abord, l'article L100 du Code des postes et des communications électroniques a été créé. Cet article dresse le cadre juridique des lettres recommandées électroniques en clarifiant ses conditions d'utilisation pour augmenter la confiance de l'utilisateur à son égard et favoriser son développement. Autre avancée de la loi ; la consécration de la neutralité de l'Internet. Ce principe garantit la non-discrimination d'accès au réseau des utilisateurs. En matière de protection des données personnelles, le consommateur pourra récupérer toutes ses données personnelles à n'importe quel moment et les transférer à un tiers conformément au droit à la portabilité des données. L'accent est également mis sur la loyauté des plate-formes et l'information des consommateurs. Ainsi, le consommateur doit se voir délivrer une information loyale, claire et transparente, sont pris en compte ici les avis en ligne, principal vecteur d’information des consommateurs, dont la transparence des critères est un objectif de la loi. De plus, la loi réaffirme le principe du secret des correspondances privées, que ce soit les identités des correspondants, sa dénomination ou son contenu. Ladite loi facilite également la mort numérique (suppression de toutes données personnelles lors du décès de la personne concernée), et le droit à l'oubli pour les mineurs ayant posté des données dites problématiques durant leur minorité.

     

    Dans un troisième et dernier temps, cette loi soutient l'accès pour tous au numérique en consacrant un droit au maintien de la connexion internet pour les personnes les plus démunies et en renforçant la couverture numérique du territoire français.

     

    Cette loi apparaît comme ambitieuse par les domaines variés qu'elle entend réglementer et par les mesures concrètes qu'elle aborde. Non seulement cette loi actualise notre République en terme de numérique, mais sa rédaction s'est faite de manière originale. Grâce à une plate-forme de consultation en ligne, les citoyens ont pu activement et directement participer à l'élaboration du projet de loi. Abordant des sujets qui les concernaient, cette loi a été façonnée conformément aux attentes et aux besoins des internautes. Il ne reste maintenant qu'à attendre l'élaboration des décrets d'application, qui, selon Axelle Lemaire, devraient être pris dans les 6 mois suivants la promulgation de la loi.

     

    Lucie TALET

     

    Sources :

     

    - Loi pour une République numérique du 7 oct. 2016, JO 8 oct,

    - Stéphane PREVOST, « Loi pour une République numérique, loi pour l'avenir », Dalloz actualité, Edition 25 octobre 2016

    - Vincent LECOCQ, - « La loi pour la République numérique améliore la protection de la vie privée en ligne », Edition Francis Lefebvre, 26 octobre 2016.

    - - « Les particuliers pourront refuser de recevoir des recommandés électroniques », Edition Francis Lefebvre, 19 octobre 2016.

     - - « Loi République numérique : des avancées pour les consommateurs », Edition Francis Lefebvre, 24 octobre 2016.

  • Droit du numérique : les adresses IP sont maintenant des données à caractère personnel

    Article publié le 1er décembre 2016

     

    Le 03 novembre 2016, la première chambre civile de la Cour de cassation a eu l’occasion de se prononcer sur le droit du numérique, en reconnaissant que les adresses IP sont des données à caractère personnel.

                En l’espèce, des sociétés appartenant au même groupe ont constaté des connexions d’ordinateurs extérieurs au groupe sur leur réseau informatique interne. Les ordinateurs extérieurs utilisaient les codes d’accès des administrateurs du site. Une ordonnance du juge des requêtes, faisant injonction à divers fournisseurs d’accès à internet de leur communiquer les identités des titulaires d’adresses IP litigieuse, a été obtenue.

                Néanmoins, une société concurrente a saisi le président du tribunal de commerce en rétractation de l’ordonnance, en invoquant le fait que la conservation de telles données devait faire l’objet d’une déclaration auprès de la CNIL, et que la mesure sollicitée était donc illicite.

                La cour d’appel de Rennes, par un arrêt du 28 avril 2015, rejette la demande de rétractation formée par la société concurrente. En effet, les juges du fond retiennent qu’une adresse IP est constituée d’une série de chiffres se rapportant non-pas à un utilisateur mais à un ordinateur et qu’ainsi, cette donnée ne constituait pas une donnée même indirectement nominative. Le fait de conserver les adresses IP des ordinateurs ayant été utilisés pour se connecter sans autorisation sur le réseau information de l’entreprise, ne constituait pas un traitement de données à caractère personnel. En conséquence la demande de déclaration auprès de la CNIL n’avait pas lieu d’être.

                La question qui se posait dans cette affaire était de savoir si les adresses IP étaient des données à caractère personnel.

    Il est important de rappeler que la notion de données personnelles est définie à l’article 2 de la loi du 6 janvier 1978 dite informatique et liberté modifiée par la loi du 6 août 2004. Il s’agit de « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».

                La CNIL, la définit également comme étant « toute information identifiant directement ou indirectement une personne physique ». La CNIL rajoutait dans une de ses délibérations du 3 mai 2001 n°01-018 que l’adresse IP « permet d’identifier tout ordinateur connecté au réseau (et donc la personne physique titulaire de la ligne) et ses heures de connexions » et doit, en conséquence, être considérée comme une donnée à caractère personnel.

               Le 03 novembre 2016, la première chambre civile casse et annule l’arrêt des juges du fond pour violation des articles 2 et 22 de la loi n°78-17 du 6 janvier 1978 relative à l’information, aux fichiers et aux libertés.

                Les juges de la première chambre civile observent en effet que les adresses IP étant des données permettant d’identifier indirectement une personne physique, sont dès lors des données à caractère personnel. Ainsi, leur collecte constitue un traitement de données à caractère personnel et doit donc faire l’objet d’une déclaration préalable auprès de la CNIL.

                La décision des juges du fond était pourtant conforme à la jurisprudence en la matière et donc peu étonnante. En effet, elle allait dans le même sens qu’un arrêt de la 13e chambre correctionnelle de la cour d’appel de Paris du 15 mai 2007, qui retenait que l’adresse IP « ne constituait en rien une donnée indirectement nominative relative à la personne dans la mesure où elle ne se rapporte qu’à une machine et non à l’individu qui utilise la machine ».

                Cette solution n’était cependant pas en accord avec la position de la CJUE, laquelle observait qu’une adresse IP est une donnée à caractère personnel (notamment dans un autre arrêt très récent de la troisième chambre du 24 novembre 2011 et de la deuxième chambre du 19 octobre 2016).

                La Cour de cassation semble donc, par cette décision, revenir sur la jurisprudence en la matière.

                En conclusion, si l’adresse IP est considérée comme une donnée personnelle cela implique qu’elle bénéficie des dispositions protectrices prévues pour protéger les personnes physiques et que les sanctions prévues notamment par l’article L.226-16 du Code pénal lui soient applicables. Il faudra donc recourir à la CNIL pour obtenir les adresses IP dans ce genre de situation.

                Le règlement du 27 avril 2016 du Parlement Européen et du Conseil, dont l’entrée en vigueur est prévue en 2018, semble aller dans le sens d’une harmonisation de la législation pour les Etats membres, ce qui est souhaitable.

    Jordy SASSUS-BOURDA

    Sources :

    Arrêt de la 1ère chambre civile de la Cour de cassation 03 novembre 2016 n°15-22.595.

    Loi n°78-17 du 6 janvier 1978 modifiée par la loi n°2004-801 du 6 août 2004.

    Arrêt de la troisième chambre CJUE du 24 novembre 2011 Scarlet Extended SA contre Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM) ECLI:EU:C:2011:771.

    Arrêt de la deuxième chambre CJUE du 19 octobre 2016 Patrick Breyer contre Bundesrepublik Deutschland ECLI:EU:C:2016:779.

    Arrêt de la Cour d’appel de Paris 13ème chambre, section A-15 mai 2007.

    Délibération de la CNIL n°01-018 du 03 mai 2001.

    Règlement du 27 avril 2016 du Parlement Européen et du Conseil.

    Zahra Redba,  « L’adresse IP est-elle une donnée à caractère personnel ? ». 24 septembre 2015-Village De la Justice.

    Thierry Vallat, avocat au barreau de Paris « Pour l’avocat général de la CJUE, l’adresse IP dynamique est une donnée personnelle ». 14 mai 2016-Overblog.