Voici la liste des articles publiés par notre cabinet.

Par courrier du 25 février 2019, la présidente de la CNIL procède à la clôture de la mise en demeure prononcée le 30 octobre 2018 à l’encontre de la société Vectaury, laquelle propose des solutions de ciblage publicitaire à partir de la géolocalisation des téléphones portables des intéressés.

 

A l’issue d’une mission de vérification sur place, la CNIL avait, comme elle l’a fait à plusieurs reprises, considéré que le dispositif de géolocalisation mis en place était dépourvu de base légale au motif d’un consentement non valide des personnes concernées.

 

Pour rappel, le RGPD définit le consentement de la personne comme "toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair que des données à caractère personnel la concernant fassent l’objet d’un traitement". En l’espèce, la pré-acceptation par défaut de plusieurs finalités de traitement retenue par la société Vectaury ne lui permettait pas de répondre aux critères de validité du consentement prévus par le texte.

 

Tenue de mettre en place des mesures correctives au recueil du consentement des intéressés dans les trois mois de la mise en demeure de la CNIL, la société Vectaury a modifié la présentation de la fenêtre contextuelle de l’application, de sorte à permettre une information claire quant aux finalités de traitement envisagées, et mis en place des boutons dédiés tendant à un consentement informé, spécifique et univoque des personnes. Ainsi informée de ces nouvelles mesures, la CNIL a considéré que le recueil de consentement à des fins de publicité géolocalisée  était désormais conforme au RGPD.

 

Cette décision intervient quelques semaines après le prononcé par la CNIL d’une sanction pécuniaire record à l’encontre de la société Google LLC, en raison du manquement de base légale pour défaut de consentement valide.

 

Le consentement des personnes concernées, figurant au titre des six bases juridiques pouvant être envisagées pour asseoir la licéité d’un traitement, est particulièrement fragile. En effet, au-delà des conditions strictes au respect de sa validité, son retrait, possible à tout moment, a pour conséquence d’invalider la base légale du traitement de données qui lui serait ultérieur.

 

Ainsi, le recours à une autre base légale aura l’avantage d’éviter cette source d’instabilité.

 

Pour autant, le cabinet ITLAW Avocats formule plusieurs préconisations pour recueillir un consentement valide à savoir libre, spécifique, éclairé et univoque.

 

Tout responsable de traitement doit ainsi :

 

  • soigner le parcours utilisateur afin que ce dernier dispose d’une information claire et compréhensible sur la façon dont seront traitées ses données,

  • mettre en place un moyen de recueillir la volonté éclairée des intéressés de manière positive (exclure les cases pré-cochées),

  • veiller à ce que ce consentement soit spécifique (bannir les formules du type "tout accepter"),

  • conserver la preuve des consentements ainsi recueillis,

  • enfin, la France a fait le choix de fixer à 15 ans l’âge minimal pour exprimer un consentement valable en matière de traitement de données à caractère personnel dans le cadre des services de la société d’information. En deçà, la loi Informatique et Libertés impose le recueil du consentement conjoint de l’enfant et du titulaire de l’autorité parentale.

 

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance

 

#Protection des données personnelles

 

 

L’article L 442-6, I, 5° du Code de commerce dispose qu’ "Engage la responsabilité de son auteur et l’oblige à réparer le préjudice causé le fait, par tout producteur, commerçant, industriel ou personne immatriculée au répertoire des métiers […] de rompre brutalement, même partiellement, une relation commerciale établie, sans préavis écrit tenant compte de la durée de la relation commerciale et respectant la durée minimale de préavis déterminée, en référence aux usages du commerce, par des accords interprofessionnels […]".

 

Les particularités de ce texte sont les suivantes :

 

  • il est d’ordre public. Aussi il n’est pas possible d’y déroger contractuellement,

  • il s’applique à toute "relation commerciale établie". Peu importe l’existence d’un, plusieurs ou aucun contrat,

  • il vise uniquement à indemniser le non-respect d’un préavis informant son partenaire de la fin des relations commerciales.

 

La jurisprudence n’a eu de cesse de venir définir les conditions d’application de ce texte.

 

Dans un arrêt en date du 17 janvier 2019 [1], la cour d’appel de Paris est venue préciser que l’augmentation unilatérale et injustifiée de ses tarifs par le fournisseur pouvait caractériser une rupture brutale sanctionnée par l’article L 442-6 du Code de commerce précité. 

 

En l’espèce, la société J. (le distributeur) s’approvisionnait auprès de la société S. (le fournisseur) depuis 2008. Les parties avaient convenu de fixer annuellement les prix.

 

En 2014, le fournisseur a décidé d’augmenter unilatéralement ses prix de 25 % à 30 % par rapport à ceux pratiqués jusqu'alors. N'acceptant pas l'augmentation de tarif, le distributeur a cessé d’émettre des commandes en 2015.

 

Dès lors, la cour d’appel a considéré qu' « une augmentation unilatérale, sans préavis et hors de toute proportion, des tarifs jusqu'alors consentis à un partenaire commercial est constitutive d'une rupture brutale de la relation établie ».

 

En effet, la cour d’appel a relevé que le fournisseur "[n'] apportait aucune justification objective à la hausse brutale de ses prix, la seule attestation de son expert-comptable (…) ne présentant pas de caractère probant en l'absence de justification des prix facturés par ses propres fournisseurs et de la marge brute réalisée. Qu’en tout état de cause la hausse du prix de la levure, matière première utilisée par S., ne peut justifier l’augmentation du prix pratiqué avec J. notifiée seulement douze jours après avoir accepté avec le distributeur un prix de xx".

 

Aussi, la rupture brutale est imputable au fournisseur dans la mesure où l’absence de commande du distributeur n’était "qu’une réaction aux exigences comminatoires et disproportionnées de son fournisseur".

 

Au regard de l’ancienneté de la relation commerciale (6 ans) et de de la spécificité du produit concerné, la cour d’appel a retenu que le délai de préavis aurait dû être de huit mois.

 

La rupture de la relation commerciale peut résulter de la résiliation unilatérale d’un contrat à durée indéterminée ou déterminée. Elle peut également revêtir de nombreuses formes. Tel est le cas par exemple d’une réduction significative du courant d’affaires, d'un changement d'organisation dans le mode de distribution d'un fournisseur.

 

Marine Hardy, avocat, responsable des pôles Innovations et Sécurité et Pauline Vital, avocat

 

[1] Cour d’appel de Paris, 17 janvier 2019, RG n°16/23339

 

 

#Droit des contrats

 

 

 

L’article 10 de la Convention européenne des droits de l’homme garantit le droit à la liberté d’expression. Ce droit n’est toutefois pas sans limites et peut-être soumis à certaines restrictions, notamment pour empêcher la divulgation d’informations confidentielles. C’est le cas de la disposition du Code de commerce qui assure la confidentialité des échanges intervenant dans le cadre d’une mesure de prévention des difficultés des entreprises en amont de l’ouverture d’une procédure collective.

 

Les sociétés du groupe Consolis, en difficulté financière, avaient obtenu la désignation d’un mandataire ad hoc chargé de rechercher un rapprochement avec les créanciers du groupe, de manière à prévenir une procédure de redressement judiciaire.

 

L’article L611-15 du Code de commerce prévoit qu’une telle procédure est confidentielle, afin de ne pas fragiliser la société qui y a recours.

 

La société Mergermarket Limited édite le site d’informations Debtwire, spécialisé dans le suivi de l’endettement des entreprises et accessible à ses seuls abonnés. Plusieurs articles ont été mis en ligne sur ce site, rendant compte de manière détaillée du déroulement des réunions intervenues et divulguant, notamment, de nombreuses données chiffrées et nominatives concernant la situation d’endettement des sociétés du groupe Consolis.

 

Le groupe Consolis a assigné la société éditrice devant le juge des référés aux fins obtenir le retrait de l’ensemble des articles contenant des informations confidentielles, ainsi que l’interdiction de publier d’autres articles similaires.

 

Statuant sur renvoi après cassation, la cour d’appel de Paris a fait droit à la demande des sociétés du groupe Consolis. La société éditrice s’est de nouveau pourvue en cassation.

 

La société Mergermarket soutenait que ses publications répétées relevaient de l’exercice de la liberté d’expression garanti par l’article 10 de la Convention de sauvegarde des droits de l’homme. Si ce texte garantit la liberté d’expression, il n’en fait pas un droit absolu. Il précise donc les conditions dans lesquelles cette liberté peut être restreinte, qui sont les suivantes :

  • la restriction doit être prévue par la loi ;
  • elle doit être "strictement nécessaire dans une société démocratique", c’est-à-dire proportionnée au but à atteindre ;
  • elle doit avoir pour objet l’une des finalités prévues par le texte, notamment "empêcher la divulgation d’informations confidentielles".

 

Dans son arrêt du 13 février 2019 n°17-18.049, la chambre commerciale de Cour de cassation a constaté que les articles litigieux divulguaient des informations couvertes par la confidentialité prévue par l’article L. 611-15 du Code de commerce et que ces articles

 

"n’étaient pas de nature à nourrir un débat d’intérêt général sur les difficultés d’un grand groupe industriel et ses répercussions sur l’emploi et l’économie nationale, mais tendaient principalement à satisfaire les intérêts de ses abonnés, public spécialisé dans l’endettement des entreprises, et que leur publication risquait de causer un préjudice considérable aux sociétés du groupe Consolis  ainsi qu’aux parties appelées à la procédure de prévention amiable et de compromettre gravement son déroulement et son issue".

 

La Cour a donc validé la décision de la Cour d’appel d’ordonner le retrait des articles litigieux.

 

Il est toutefois possible de s’interroger sur le fait de savoir si l’article L. 611-15 du Code de commerce constitue bien en l’espèce une restriction pertinente prévue par la loi, dans la mesure où ce texte impose une obligation de confidentialité à "toute personne qui est appelée à la procédure de conciliation ou à un mandat ad hoc ou qui, par ses fonctions, en a connaissance" et où la société Mergermarket n’est pas l’une de ces personnes.

 

Quoi qu’il en soit, pour la Cour de cassation, l’article L.611-15 du Code de commerce constitue bel et bien une restriction prévue par la loi au sens de l’article 10.2 de la Convention européenne des droits de l’homme. Dès lors, les informations couvertes par la confidentialité ne pourraient être diffusées qu’à la condition que celles-ci contribuent à l'information légitime du public sur une question d’intérêt général.

 

Tel n’est pas le cas en l’espèce, puisque le site Debtwire est un site commercial qui diffuse des informations à ses abonnés, contre rémunération. C’était donc en réalité la poursuite de son activité commerciale que la société Mergermarket entendait sanctuariser sous couvert de liberté d’expression.
 

Jean-Christophe Ienné, avocat, directeur des pôles Propriété intellectuelle & industrielle, Médias & Audiovisuel et Internet et Pauline Vital, avocat

 

#Propriétés intellectuelles

 

Par voie de communiqué de presse, le 4 février 2019, Azur Drones annonçait "Pour la première fois, la Direction générale de l’aviation civile (DGAC), l’autorité régissant l’usage des drones en France, vient d’homologuer un système de drone automatisé sans télépilote, ouvrant la voie à de nouveaux usages."

L’autorisation au profit d’Azur Drones de la DGAC est inédite puisque les drones utilisés par la société Azur Drones fonctionneraient sans télépilote via "un système de drone automatisé".

Pour mémoire, la loi n° 2016-1428 du 24 octobre 2016 "relative au renforcement de la sécurité de l’usage des drones civils » a notamment modifié certaines dispositions du Code des transports créant un cadre juridique pour l’utilisation des drones civils qui sont considérés comme des aéronefs  « circulant opérés sans personne à bord".

Ainsi, l’article L.6214-1 de ce Code définit le télépilote comme "la personne qui contrôle manuellement les évolutions d'un aéronef circulant sans personne à bord ou, dans le cas d'un vol automatique, la personne qui est en mesure à tout moment d'intervenir sur sa trajectoire ou, dans le cas d'un vol autonome, la personne qui détermine directement la trajectoire ou les points de passage de cet aéronef."

Cette loi est complétée par des arrêtés et décrets fixant les modalités d’utilisation de ce type d’appareil en matière notamment :

  • d’enregistrement des aéronefs (décret n° 2018-882 du 11 octobre 2018 relatif à l’enregistrement des aéronefs civils circulant sans personne à bord, arrêté du 19 octobre 2018 relatif à l’enregistrement des aéronefs civils circulant sans personne à bord),

  • de formation des télépilotes (arrêté du 18 mai 2018 relatif aux exigences applicables aux télépilotes qui utilisent des aéronefs civils circulant sans personne à bord à des fins autres que le loisir),

  • de signalement des drones : lumineux, électronique ou numérique.

 

Enfin, l’article L 6131-1 du Code des transports vient préciser que "l'exploitant d'un aéronef est responsable de plein droit des dommages causés par les évolutions de l'aéronef ou les objets qui s'en détachent aux personnes et aux biens à la surface. La responsabilité de l'exploitant ne peut être atténuée ou écartée que par la preuve de la faute de la victime."

 

Ainsi, comme l’a précisé Azur Drones : "Les drones Skeyetech peuvent ainsi voler en France au-dessus de sites privés [usines, entrepôts, centrales électriques…], hors vue directe, de jour comme de nuit, en agglomération, sous la simple supervision d’un téléopérateur. Ce téléopérateur étant dispensé des formations normalement exigées pour les télépilotes (arrêté DGAC du 18 mai 2018), le système Skeyetech peut être opéré directement par un agent de sécurité, pour déclencher des missions de levées de doutes ou des rondes préprogrammées."

Marine Hardy, avocat, responsable des pôles Innovations et Sécurité

 

#Innovations

 

 

Arrêt de la Cour d’appel de Grenoble du 12 mars 2019

Obligation pour la banque d’effacer intégralement toutes les données personnelles de son client relatives à la procédure à l’origine de la transmission erronée

Obligation pour la banque de faire toutes  diligences à ses frais auprès des autorités fiscales américaines afin qu’elles procèdent à l’effacement des données du client des déclarations FACTA

 

Une disposition du code fiscal américain, le Foreign Account Tax Compliance Act (FATCA), oblige les banques des pays tiers ayant signé un accord avec le département du trésor des Etats-Unis de lui communiquer tous les comptes détenus par des citoyens américains.

C’est dans ce contexte que la Banque Rhône-Alpes, pensant que l’un de ses clients, né à Ottawa, relevait de cette procédure de déclaration, a transféré les données de ce dernier aux autorités fiscales américaines.
 
Le client, né à Ottawa au Canada, ayant eu connaissance de son enregistrement erroné dans le traitement FACTA, demande à la banque française d’effectuer les corrections requises, ce à quoi elle procède à compter de la confirmation du lieu de naissance de l’intéressé.

Or, le client souhaite l’effacement complet de ses données enregistrées dans le fichier FATCA depuis 2005.

Il obtient satisfaction par une ordonnance de référé du tribunal de grande instance de Grenoble du 4 juillet 2018 qui ordonne également à la Banque Rhône Alpes de veiller à ce que les autorités fiscales des Etats-Unis effacent à leur tour les données de l’intéressé de ses déclarations FATCA. La banque fait appel de la décision.
La cour d’appel de Grenoble, dans un arrêt du 12 mars 2019, reconnait le droit fondamental dont dispose l’intéressé d’obtenir l’effacement définitif de toutes les données le concernant du ficher FATCA et confirme en tous points l’obligation faite à la banque :

  • d’effacer toutes les données personnelles du client figurant indûment dans un traitement FATCA,

  • de faire toutes les diligences à ses frais auprès des autorités fiscales américaines afin qu’elles procèdent à l’effacement des déclarations FATCA de ce dernier.

Cette dernière obligation incombant à tout responsable de traitement à l’origine de la transmission de données personnelles à un tiers, relève des dispositions de l’article 40 de la loi du 6 janvier 1978 dans sa version modifiée au terme duquel, « si une donnée a été transmise à un tiers, le responsable du traitement doit accomplir les diligences nécessaires utiles afin de lui notifier les opérations qu’il a effectuées ». Ce « droit de suite » contribue à garantir l’efficacité et l’effectivité du droit de rectification ou d’effacement des données des personnes concernées.

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance

#Protection des données