Voici la liste des articles publiés par notre cabinet.

Par un arrêt du 15 décembre 2011, le Tribunal de grande instance de Paris revient notamment sur la question très débattue de la qualification d’hébergeur des sites Internet sur lesquels des utilisateurs publient des contenus.

Est ici mis en cause, le site Internet www.shopping.com, géré par la société Shopping Epinions International (SEI) qui propose à des e commerçants de publier des annonces sur leurs produits que les internautes pourront retrouver par le biais du moteur de recherche du site Internet.

A l’origine de cette affaire, une annonce disponible sur le site internet www.shopping.com pour des chaussures de la marque Ypson’s Paris, portant la mention « Si vous aimez Weston, elles sont pour vous »  et qui apparaissait en tapant le mot « Weston » dans le moteur de recherche du site internet www.shopping.com.

Constat d’huissier en poche la société J.M Weston assigne la société SEI notamment sur le fondement de la contrefaçon de sa marque. Au cours de cette instance se posa inévitablement la question de savoir si la société SEI devait être considérée comme hébergeur ou comme éditeur de son site Internet.

Cette question est cruciale dans la mesure où la LCEN [1] prévoit que :
-    les hébergeurs ne peuvent pas être responsables pour la mise à disposition de contenus qu’ils stockent à la demande des utilisateurs de leur service, sauf, notamment, à avoir eu connaissance de caractère illicite de ces contenus et à ne pas avoir agit promptement pour rendre l’accès à ces contenus impossible.

Les hébergeurs bénéficient donc d’un régime de responsabilité plus favorable que les éditeurs de sites Internet à qui s’appliquent le régime de responsabilité de droit commun et qui sont en conséquence responsables des contenus accessibles sur leurs sites Internet, même lorsque ces contenus sont publiés par des tiers.

Le Tribunal de grande instance de Paris juge que la société SEI ne peut pas être qualifiée d’hébergeur du site Internet www.shopping.com et doit être qualifié d’éditeur, dans la mesure où :
-    Elle effectue un tri dans les informations renseignées par les commerçants, et où
-    Les conditions générales du site Internet prévoyaient que Shopping.com se réservait le droit de modifier, adapter et utiliser le contenu renseigné par les e commerçants.

Le Tribunal dans une démarche concrète confirme donc que la possibilité  de sélectionner, adapter et modifier les contenus renseignés par les utilisateurs d’un site Internet est un critère majeur pour exclure la qualification d’hébergeur au sens de la LCEN.

Si vous gérez un site Internet sur lesquels des utilisateurs peuvent publier des informations, soyez prudents quant :
-    aux contrôles que vous opérerez sur les données publiées par vos utilisateurs, et quant
-    à la rédaction des CGV de votre site Internet.

Pensez-y !

D’autres questions très intéressantes sont abordées dans cette décision et sur lesquelles nous ne manquerons pas de revenir dans un prochain article …

Claudia WEBER, avocat associé et Clémentine BEHAR, avocat
ITLAW Avocats - www.itlaw.fr

[1] Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique

Le 14 décembre 2011, la Cour d’Appel de Paris a condamné Google Inc. et son directeur de la publication pour "injures publiques" à l’encotre d’une société lyonnaise.

Dans cette affaire, les plaignants avaient remarqué, en 2010, que lorsqu’un internaute tapait le nom de la société dans la barre centrale du moteur de recherche, celui-ci lui proposait automatiquement d’y ajouter le mot "escroc".

Ils avaient alors demandé à Google de supprimer cet affichage automatique.
Google avait répliqué que les suggestions de recherche étaient automatisées, et reflétaient simplement les recherches les plus couramment tapées par les internautes.

Cet argument est invalidé par la Cour d’Appel au motif que Google peut tout à fait intervenir manuellement.

En effet :
-    Google applique notamment des règles strictes et ne rencontre aucune difficulté à exclure d’emblée les contenus pornographiques, violents ou incitant à la haine, et ce, même dans sa fonctionnalité « Google Suggest ».
-    Google avait également un temps désactivé la fonction « Google Instant » pour supprimer l’emploi de suggestions incitant au téléchargement illégal

La Cour en déduit donc « qu’un tri préalable peut être effectué entre les requêtes enregistrées dans la base de données. »

Les autres arguments utilisées pour la défense de Google, tels la méconnaissance de la requête litigieuse, ou encore la liberté d’expression fondée sur l’article 10 de la CEDH, ont été tout autant réfutés par les juges, qui estiment que faciliter l’accès à des textes équivalents à de simples prises de partie ne peut pas bénéficier de cette disposition.

De plus, les juges ont retenu la mauvaise foi de Google, en considérant que suite aux dénonciations effectuées par la société plaignante Google n’a pris aucune mesure pour supprimer les termes litigieux et n’a prévu « aucun avertissement de nature à atténuer la force de cet outrage».

La cour, confirme ainsi les sanctions prononcées par le Tribunal de Grande Instance de Paris en date du 18 mai 2011, à savoir : (i) Un euro symbolique de dommage intérêt, (ii) prendre toute mesure pour supprimer les suggestions litigieuses apparaissant sur le site à la saisie sur le moteur de recherche Google par les internautes, sous astreinte de 2500 € par jour et par site concerné visé par cette décision ainsi que (iii) 10 000 euros au titre de l’article 700.

Claudia Weber, avocat associé et Camille Lecharny, avocat
ITLAW Avocats - www.itlaw.fr

En matière d'hébergement des données de santé confié par des établissements ou professionnels médicaux à des prestataires informatiques tiers, le code de la santé publique fixe une obligation d'agrément à la charge de ces derniers.

En effet, "Les professionnels de santé (…)peuvent déposer des données de santé à caractère personnel, recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées à cet effet.[...]" (Article L.1111-8 du code de la santé publique)

La demande d'agrément du prestataire hébergeur est adressée au Ministre de la santé et doit être accompagnée d'éléments justifiant des mesures de protection prévues dans le cadre du traitement et du stockage des données de santé.

Compte tenu du caractère hautement sensible des données ainsi hébergées il est rappelé que les dispositions de l'article 34 de la loi du 6 janvier 1978 dite "Informatique et libertés" relative à l'obligation de sécurité et de confidentialité doivent être respectées. En effet, le responsable de traitement est tenu de prendre "toutes les précautions utiles" afin d'empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès. Ces dispositions s'appliquent également aux sous-traitants agissant pout le compte du responsable de traitement (article 35 de la loi de 1978).

En l'espèce, la demande d'agrément demandé par l’hébergeur a été accordée par le Ministre de la santé notamment en raison de l'utilisation annoncée par l'hébergeur d'un outil de cryptage des données dit "chiffrage fort" qui devait permettre de limiter l'accès aux données à la personne concernée et aux seuls professionnels de santé.

Or, la CNIL a effectué un contrôle auprès de cet hébergeur. Il est alors apparu que les données de santé ne faisaient pas l'objet du cryptage annoncé dans la demande d'agrément, et qu'en conséquence les administrateurs de cet hébergeur disposaient d'un accès à ces données. Pourtant le cryptage annoncé devait également protéger le secret médical vis-à-vis de toute personne, y compris salarié de l’hébergeur mais non professionnel de santé.

Cet avertissement de la CNIL rappelle aux organismes et sociétés intervenant dans le monde médical que le secret médical est absolu et que l’accès aux données des patients est très réglementé.

Pensez à mettre en place les mesures permettant de respecter cet accès limité aux données à caractère personnel, surtout si vous œuvrez dans le domaine médical !

Pour cela plusieurs axes. Nous recommandons en particulier de :
-    mettre en place une politique de protection des données ou une Charte informatique, afin de sensibiliser d'avantage les personnes ayant à traiter des données et ce d'autant plus lorsqu'il est question de données sensibles comme les données de santé.
-    renforcer les contrats de travail en particulier avec le personnel non profesionnel de santé
-    renforcer les contrats avec vos prestataires et notamment les hébergeurs afin d’y intégrer une clause sur le respect des obligations en terme de sécurité et de confidentialité

Claudia Weber, avocat associé et Eloïse Urbain, avocat
ITLAW Avocats - www.itlaw.fr

La consultation sur le Cloud computing ouverte par la Commission nationale de l'informatique et des libertés (CNIL) le 17 octobre 2011 à l'attention des acteurs et des professionnels du secteur des nouvelles technologies, s'est achevée le 17 novembre dernier.

En prévision de l'expansion de cette solution informatique, la Commission Générale de terminologie et de néologie, a défini le Cloud computing ou "informatique en nuage" comme un "Mode de traitement des données d'un client, dont l'exploitation s'effectue par l'internet, sous la forme de services fournis par un prestataire."[1]

La CNIL propose d’utiliser les critères suivants pour retenir l’existence d’une solution de Cloud Comptuing (et à terme y appliquer peut être une réglementation particulière): simplicité d'un service à la demande, extrême flexibilité, accès "léger", virtualisation des ressources et le paiement "à l'usage".

Outre le fait de poser les premiers jalons d’une définition du Cloud computing par le biais de ce « faisceau d'indices », l'intérêt majeur de cette consultation réside dans la réflexion lancée sur :

  • la redéfinition des rôles respectifs du client (responsable du traitement) et du prestataire (sous-traitant dans le cadre du traitement), en particulier en ce qui concerne les mesures de sécurité mises en œuvre,
  • le développement d’outils de régulation adaptés cette solution.

Par ailleurs, la consultation CNIL aborde la question cruciale de la régulation du Cloud computing.

L'élaboration d'outils de régulation, tels que la certification, apparaît essentielle en termes de garantie de sécurité et de confidentialité des données.

Et ce d'autant plus au regard de la particularité de cette solution, laquelle entraine un éparpillement des données sur différents serveurs à travers le monde. Le client (responsable de traitement) perd, à ce stade, la maîtrise de la localisation de ses données, de sorte que la question de l'encadrement des transferts va se poser.

A ce jour, on constate, à la lecture de la consultation et de l'appréhension de la solution Cloud que les outils de régulation actuels ne suffisent pas à englober l'ensemble des risques et problématiques liées aux flux transfrontières.

La consultation CNIL des acteurs concernées était donc un préalable nécessaire à la démocratisation de cette solution dans notre environnement.

Nous avons eu la chance de participer à cette consultation et vous tiendrons informé de la suite ...

Claudia WEBER, avocat associé
IT
LAW Avocats
- www.itlaw.fr

[1] JORF n°0129 du 6 juin 2010 page 10453 texte n° 42

L'affaire remonte à mars 2008, lorsque Monsieur Olivier M. constate qu'un article et des photographies le concernant ont été publiés sur le site gala.fr et qu'au surplus des liens commerciaux renvoient vers cet article grâce au service Google AdWords.

Après avoir attrait devant le Tribunal de grande instance de Paris, la société d'édition Prisma Press et Google France, puis la Google Ireland LTD, une ordonnance de sursis à statuer est rendue le 9 décembre 2009 en raison d'un renvoi préjudiciel adressé à la Cour de justice de l'Union européenne.

En effet, ce renvoi opéré par la Cour de cassation intéresse directement cette affaire puisqu'il porte sur l'interprétation de l'article 14 de la directive 2000/31/CE, relatif au régime allégé des hébergeurs.

La question cruciale est en l'espèce de déterminer si Google a la qualité d'hébergeur ou d'éditeur vis-à-vis de son service "AdWords". En effet, dans le premier cas, il bénéficie d'un régime allégé subordonnant sa responsabilité à la connaissance de ce contenu illicite et à défaut de prompt retrait [1]. Tandis que la responsabilité de l'éditeur est engagée de plein droit.

1- Contenu de la décision du 23 mars 2010 de grande chambre de la CJUE [2]:

La Cour énonce que le régime allégé de l'article 14 s'applique aux services du prestataire "purement technique, automatique et passif" et pour lesquels il "n'a pas la connaissance ni le contrôle des informations transmises et stockées". Elle retient que la détermination de l'ordre des liens et le caractère payant du service ne permettent d'établir qu'il y a contrôle ou connaissance du contenu. Par contre, l'intervention du prestataire, en l'espèce Google, sur les messages commerciaux peut lui faire perdre le bénéfice de la qualification d'hébergeur en ce qu'elle peut supposer la connaissance du contenu par ce dernier. A ce titre, elle laisse au juge national le soin de vérifier le rôle et les actions du prestataire dans la mise en œuvre de son service afin d'en tirer les conséquences.

2- Contenu de la décision du Tribunal de grande instance de Paris du 14 novembre 2011 [3]:

Le juge français se fonde sur le rôle de Google dans l'ordre d'apparition des liens commerciaux pour relever une action de celui-ci qui n'entre pas dans la définition de l'hébergeur. Notamment, la décision relève que Google propose à ses clients de transmettre leurs messages publicitaires pour leurs mots clés 3 jours avant leurs diffusions. A cet élément, s'ajoute le fait que Google indique dans ses conditions générales des services de publicité qu'il peut "rejeter ou retirer toutes publicités, messages publicitaires et/ou cible quelle qu'en soit la raison."

De ce fait, le juge présume la connaissance ou le contrôle par Google du contenu et retient la responsabilité de Google. Le juge français semble par cet arrêt entendre très restrictivement la définition d'hébergeur et rappeler au géant de l'Internet que ce statut n'est pas acquis pour tous les services.

Attention à la rédaction de vos conditions générales…. elles peuvent se retourner contre vous !


[1] Article 14 de la directive 2000/31/CE du 8 juin 2000 directive sur le commerce électronique

[2] Arrêt de la CJUE (grande chambre) du 23 mars 2010, C-236/08 à C-238/08

[3] TGI Paris, 17ème chambre, 14 novembre 2011, Olivier M. / Prisma Press, Google