Voici la liste des articles publiés par notre cabinet.

Par une délibération en date du 18 Juillet 2017, la CNIL a prononcé une sanction pécuniaire d’un montant de 40 000 € à l’encontre de la société HERTZ FRANCE suite à une violation des données de ses clients due à une négligence de son prestataire.

Informée le 15 octobre 2016 par l’éditeur du site internet ZATAZ, spécialisé dans la sécurité informatique et après vérification en ligne, la CNIL a prévenu la société HERTZ de l’existence de ladite violation. Aussitôt alertée, cette dernière en a informé son prestataire en charge du développement du site internet qui a procédé dans les 4 heures aux modifications nécessaires pour faire cesser cette faille de sécurité.

Les contrôles opérés par la CNIL ont révélé que :

-    les données de plus de 35 000 personnes avaient été affectées ;

-    la faille était due à « la suppression involontaire d’une ligne de code lors du remplacement de l’un des serveurs » ;

-    aucun cahier des charges n’avait été imposé par la société HERTZ à son sous-traitant lors de la réalisation du site ;

-    le niveau global de sécurité constaté chez le sous-traitant était insuffisant.

Si la CNIL a tenu compte de la réactivité dont a fait preuve la société HERTZ et son prestataire dans le traitement de l’incident, ainsi que des audits spontanés ultérieurement effectués chez le prestataire, elle a néanmoins considéré que la société HERTZ avait manqué à son obligation de sécurisation des données en faisant preuve de négligence dans le suivi des actions de son sous-traitant.

En conséquence, et au regard du nombre important de personnes concernées par cette violation, la Commission a prononcé une amende de 40 000 € et rendu publique sa décision de sanction.

Cette affaire a été l’occasion pour la CNIL de faire usage pour la première fois de ses pouvoirs de sanction renforcés par la loi pour une République numérique, l’autorisant notamment désormais à prononcer des sanctions pécuniaires sans mise en demeure préalable. Avant cette loi, seul un avertissement aurait pu être prononcé dans un tel cas.

En conclusion, nous recommandons :

  • aux responsables du traitement de veiller à bien contractualiser leurs relations avec leurs sous-traitants en vue notamment de soumettre ces derniers à des standards spécifiques en matière de sécurisation des données et de notification des incidents. 
  • aux sous-traitants, et notamment prestataires informatiques, de bien prendre en compte la protection des données dès la conception de leurs services ou produits et par défaut et de mettre en place des mesures permettant de garantir une protection optimale des données, conformément à leurs nouvelles obligations issues du Règlement européen de protection des données (RGPD).

A noter qu’à compter de l’entrée en application du RGPD le 25 Mai 2018, le sous-traitant pourra également voir sa propre responsabilité directement engagée et faire l’objet de sanctions administratives de la CNIL.

Depuis plusieurs années de grands éditeurs lancent des audits, parfois agressifs, auprès de leurs clients pour des montants parfois particulièrement déraisonnables. S’il parait légitime pour l’éditeur de vérifier que son client respecte bien les termes de la licence concédée, il ne doit pour autant pas abuser de ce droit ni de sa position d’éditeur.

Quelles sont les limites de ces audits ?

Souvent les éditeurs utilisent l’audit comme un moyen de pression visant par exemple à obtenir la souscription de nouvelles licences ou de nouveaux produits/services.

En 2016, la Cour d’Appel de Paris a considéré qu’Oracle avait agi « avec mauvaise foi et déloyauté » envers l’AFPA[1], relevant qu’Oracle avait entendu « profiter de son droit contractuel de procéder à un audit pour faire pression et obtenir la souscription de nouvelles licences …».

Oracle a été condamné au paiement de la somme 100 000 euros en réparation des « nombreuses perturbations dans le fonctionnement [de l’AFPA] engendrées par la forte mobilisation de ses équipes détournées du champ de ses missions habituelles » et de « l’atteinte à l’image » de l’AFPA ainsi générée.

L’éditeur peut-il exiger l’exécution de scripts ?

L’exécution de script qui consiste à installer un outil tiers sur le système d’information pour procéder au comptage des licences installées sur les systèmes d’information est très intrusive et fait peser sur le licencié des risques techniques mais aussi des risques en matière de confidentialité.

En 2014, les juges ont confirmé[2] qu’Oracle n’avait pas le droit de contraindre Carrefour à exécuter les scripts sur son système d’information en particulier pour les raisons suivantes :

-         aucune disposition contractuelle ou légale n’imposait à Carrefour une telle pratique ;

-         les scripts ne constituent pas une mesure d’instruction légalement admissible au sens des articles 145 du Code de procédure civile et L. 332-1-1 du Code de la propriété intellectuelle.

Aussi, une entreprise n'est pas, a priori, tenue d'exécuter des scripts dans son système d’information si aucune clause contractuelle ne l’y oblige.

Qu’en est-il des licences dites « d’accès indirects » ?

Certains éditeurs tentent d’imposer le paiement d’une redevance considérable au titre d’accès qualifiés « d’indirects » pour tout accès aux fonctionnalités des progiciels de l’éditeur ou aux données traitées par ceux-ci, par le biais d’une plateforme ou d’une application tierce telles que les applications CRM, BI ou encore en matière d’e-commerce.

En 2016, dans une décision très médiatique, DIAGEO/SAP[3], les juges de la Haute Cour de justice Anglaise, en interprétant les différentes définitions contractuelles, en déduisent que les clients finaux n’entrent pas dans le périmètre des licences qui ont été payées par DIAGEO et ont ainsi estimé que l’accès par des utilisateurs tiers, par le biais d’applications tierces, ouvrait droit à 64 millions d’euros de licences supplémentaires.

Cette décision est dépourvue d’effet jurisprudentiel en France et devrait avoir une issue différente en France compte tenu notamment du droit applicable en matière de propriété intellectuelle, à la propriété des données et des règles d’interprétations des contrats en droit français.

En conclusion, il est recommandé de :

-         négocier et sécuriser en amont vos contrats de licence et notamment les définitions d’utilisateurs, d’usage mais aussi les clauses d’audit pour anticiper les problématiques liées :

  • à la qualification des différents utilisateurs / tiers utilisant, accédant à vos plateformes de manière directe ou « indirecte »,
  • aux méthodes d’audit et leurs conséquences.

-         dès l’annonce d’un audit, piloter le dossier avec l’aide de spécialistes juridiques, techniques mais aussi financiers, pour vous assurer de la légalité des procédures d’audit mises en place mais aussi des conclusions formulées par l’éditeur, qui sont rarement en conformité avec le contrat et avec les lois françaises, en particulier le code de la propriété intellectuelle;

-         négocier les demandes formulées par l’éditeur suite à l’audit, qu’il s’agisse de régularisations de licences ou d’achat de nouvelles licences/nouveaux produits.



[1] CA Paris, 10 mai 2016, n° 14/25055, Oracle Corporation, Oracle International Corporation, Oracle France c/ Association nationale pour la formation professionnelle des adultes

[2] TGI Nanterre, ord. Référé, 12 juin 2014

[3] Haute Cour de justice anglaise, 16 février 2017

L’employeur peut-il surveiller les communications internet de ses salariés ?

C’était la question posée dans l’arrêt rendu le 12 janvier 2016 devant la CEDH. En l’espèce un salarié roumain avait été engagé en qualité d’ingénieur en charge des ventes. Afin de répondre aux diverses demandes des clients et sur demande de son employeur, l’employé avait ouvert un compte « Yahoo Messenger ».

L’employé fut informé par la suite que ses communications avaient été surveillées durant une certaine période. Ces communications avaient révélé l’utilisation d’internet à des fins personnelles durant ses heures de travail violant ainsi le règlement intérieur l’entreprise. L’employeur procéda par la suite au licenciement de l’employé pour violation du règlement intérieur de l’entreprise.

L’employé contesta la décision au motif que l’employeur, en consultant ses communications, avait agi en violation de ses droits à la correspondance.

Le Tribunal de première instance considéra que l’employeur s’était conformé à la procédure de licenciement et l’avait tenu informé du règlement interne de l’entreprise.

Après avoir été débouté de sa demande en appel, l’employé constitua un recours devant la CEDH invoquant la nullité du licenciement en raison que celui-ci reposait sur une violation de sa vie privée.

La question posée devant la Cour était la suivante : la surveillance de communications électroniques à partir d’un compte de messagerie professionnel viole-t-elle l’article 8 de la convention des droits de l’homme ?

La CEDH estime que l’intrusion de l’employeur est légitime et raisonnable dans la mesure où il pensait analyser des documents de travail, la Cour rejette donc les prétentions de l’employée.

Cette décision vient tempérer la portée de l’arrêt « Nikon » qui retenait qu’un employeur ne pouvait pas prendre connaissance de messages personnels d’un employé sans porter atteinte à la vie privée de celui-ci et au principe du secret des correspondances quand bien même une utilisation à des fins privées avaient été proscrites par le règlement de l’entreprise.

Par principe, tout fichier ou outil présent dans le cadre du lieu de travail est présumé professionnel. L’employeur peut donc y accéder librement, sauf mention claire de « personnel » ou encore « privé ».  Dans ce cas, l’employeur ne pourra pas avoir accès aux documents sans l’accord du salarié.

----------------

Par Claudia WEBER - ITLAW Avocats 

Un site internet de ventes privées spécialisé dans la décoration, westwing.fr avait proposé à la vente des tapis de la marque « Un amour de tapis » en accord avec la marque. Une nouvelle vente de tapis a été organisée par le site internet, proposant 74 tapis de la marque « Un amour de tapis » sans l’autorisation de la marque, à l’adresse « westwing.fr/un-amour-de-tapis-choisissez-votre-classique ». Une annonce commerciale de cette opération reproduisant le nom de la marque a été diffusée sur le moteur de recherche Bing.

La société propriétaire de la marque « Un amour de tapis » a assigné le site westwing.fr pour contrefaçon de marque et concurrence parasitaire.

Elle se fondait sur :

-          le fait que « la reproduction à l’identique de sa marque pour désigner des tapis ou de l’imitation par reproduction, pour désigner d’autres produits visés à l’enregistrement, générant un risque de confusion, dans l’adresse URL de son adversaire (westwing.fr) constitue une contrefaçon de marque ».

-          le fait que « la reproduction de la marque dans l’annonce publicitaire diffusée par le moteur de recherche Bing et dans le nom de domaine de la page de renvoi a entrainé pour le consommateur un risque de confusion ».

-          et reprochait également à westwing d’avoir inséré la marque dans les balises méta dans le code source de la page web pour favoriser le référencement sur le moteur de recherche.

Le TGI de Paris a reconnu dans ce jugement du 29 janvier 2016 que l’utilisation de la marque verbale « Un amour de tapis » dans l’URL renvoyant à la page sur laquelle se déroule la vente en ligne constitue un cas de contrefaçon.         

Le TGI a considéré que :

-          contrairement à ce qu’avançait la défense « les tirets entre chaque mot » ne constituent que des différences insignifiantes ».

-          la reprise de la marque dès la page de résultat dans Bing pour proposer des produits identiques ou similaires à ceux couverts par la marque et la reproduction du signe dans le lien permettant de rediriger l’internaute était contrefaisante.

-          Ces usages sont de nature à « créer un risque de confusion dans l’esprit de l’internaute, qui lors d’une recherche pourrait attribuer aux produits, une origine commune ».

Le tribunal a en revanche rejeté les demandes relatives à la contrefaçon pour l’insertion du signe dans les balises méta dans le code source de la page web, destinés à favoriser le référencement sur le moteur de recherche. Il a été jugé que cette pratique ne peut être considérée comme « un usage contrefaisant de la marque, dès lors que le signe n’est pas utilisé dans le code source pour désigner des produits et services et n’est d’ailleurs pas accessible à l’internaute qui a consulté le moteur de recherche en saisissant la marque en cause ». 

-------------------------

Par Claudia WEBER - ITLAW Avocats

Le site Aquarelle.com reprochait à son concurrent Réseau fleuri d’avoir repris sur son site internet des photos représentant ses compositions les plus emblématiques afin de vendre quatre types de bouquets identiques aux siens.

La société Aquarelle a saisi le Tribunal de Grande Instance de Paris afin de voir sanctionnées les pratiques de son concurrent sur le fondement de l’atteinte au droit d’auteur et du parasitisme.

Dans une décision du 29 janvier 2016, le TGI de Paris a rejeté les demandes de la société Aquarelle sur le fondement de :

  • L’absence de caractère original

-          La décision retient le caractère banal de ces photographies : le photographe ayant pris ses photos a appliqué « un simple savoir-faire technique sans parti pris esthétique ni choix arbitraire qui leur donneraient une apparence propre, permettant ainsi à chacune de porter l’empreinte de la personnalité de leur auteur ».

-          Le tribunal remarque que « le choix des sujets, à savoir les bouquets est déterminé par le site et le cadre est imposé au photographe par des impératifs techniques pour mettre en valeur les biens à vendre, de manière à ce que l’acheteur puisse reconnaitre le bouquet une fois reçu ».

-          De plus, les juges du fond ont considéré que « de tels clichés se retrouvent sur « d’autres sites de ce genre ».        

  • La non-réunion des conditions de la concurrence parasitaire

-          La concurrence parasitaire doit être appréciée au regard du principe de la liberté du commerce, qui implique « qu’un produit qui ne fait pas l’objet d’un droit de propriété intellectuelle puisse être librement copié sous certaines conditions tenant à l’absence de faute par la création d’un risque de confusion dans l’esprit de la cliente sur l’origine du produit, circonstance attentatoire à un exercice loyal et paisible du commerce ».

-          Le tribunal estime que « la seule reprise de photographies banales, dépourvues de composition, qui s’avèrent similaires, mais non identiques, à celles utilisées aussi par d’autres fleuristes, ne permet davantage de retenir un usage contraire à la libre concurrence économique ».

-          La décision retient que « la société Aquarelle ne justifie pas d’investissements importants qui fonderaient une attitude parasitaire, ni ne démontre pas le risque de confusion pour le public ». 

----------------------

Par Claudia WEBER - ITLAW Avocats