Lettre d’actualité juridique NTIC – Octobre 2016

Octobre 2016

Dans ce numéro : 

DROIT DE L’INFORMATIQUE

Redressement URSSAF suite à un mauvais paramétrage des règes TEPA et FILLON : quid de la responsabilité du prestataire informatique ?
En savoir plus

DROITS D’AUTEUR

Lien hypertexte et contrefaçon
En savoir plus

Jeux vidéo et droit d’auteur
En savoir plus

L’impression 3D : comment gérer les droits d’auteurs et la propriété industrielle ?
En savoir plus

DROIT DES AFFAIRES

Fraude au président et responsabilité de la banque
En savoir plus

DROIT PUBLIC

Marchés publics : la faute dans l’exécution du marché est parfois imputable à la personne publique
En savoir plus

Marché public et pénalités de retard, il n’est jamais trop tard
En savoir plus

Flash info : la facturation électronique étendue à vos clients publics à compter du 1er janvier 2017
En savoir plus

DROIT DE L’INTERNET

Neutralité du Net : La consécration européenne
En savoir plus

Internet : accès aux données d’identification
En savoir plus

E-commerce et clause abusive
En savoir plus

Wi-Fi ouvert et violation de droits d’auteur
En savoir plus


DROIT DE L’INFORMATIQUE

Tribunal de Commerce de Paris, 8ème Chambre, 28/09/2016, Infor France c/ Transports Perrier

Redressement URSSAF suite à un mauvais paramétrage des règes TEPA et FILLON : quid de la responsabilité du prestataire informatique ?

Une nouvelle fois le Tribunal de Commerce de Paris a été saisi de cette problématique.

Un client  a mis en place un nouveau système de paie. Il confie la prestation de paramétrage à son éditeur de logiciel.

Le client a fait l’objet d’un redressement « social » consécutif à des erreurs de paramétrage sur les lois TEPA et FILLON.

Le Tribunal considère que l’éditeur « ne peut être tenu responsable des conséquences des redressements opérés » alors que le client aurait  dû valider « toutes les étapes de la mise en place du progiciel ».

Enfin, le Tribunal a constaté que le client avait toute opportunité de modifier les paramétrages d’origine entre la mise en exploitation du logiciel et le contrôle URSSAF, ce qui rendait la preuve de l’origine des erreurs impossible.

La décision est conforme à la jurisprudence de la Cour d’Appel de Paris qui avait déjà débouté un utilisateur de sa demande en réparation de préjudice (CA Paris, 17/03/2010, n°08/10655, JBA PRESYS / CECCON).

DROITS D’AUTEUR

Lien hypertexte et contrefaçon

Y a-t-il contrefaçon par la mise en place d’un lien hypertexte renvoyant à des contenus contrefaisants ?

CJUE 8 septembre 2016 (Affaire C-160/15

La Cour de Justice de l’Union Européenne a rendu un arrêt très attendu dans l’affaire GS MEDIA contre Sanoma, sur le point de savoir si un lien hypertexte (i) placé sur un site internet et (ii) permettant l’accès à une œuvre publiée sur un autre site internet sans l’autorisation de son auteur, constitue ou non un acte de communication au public. En effet, aux termes de la Directive de 2001 sur les droits d’auteur, chaque acte de communication d’une œuvre au public doit être autorisé par le titulaire du droit d’auteur.

Prenant le contrepied des conclusions de l’avocat général, la Cour de Justice de l’Union Européenne a dégagé une solution et des critères d’appréciation du caractère condamnable ou non d’un tel acte aux bouleversements multiples.

En effet, la position de Cour dans son arrêt du 7 septembre dernier est la suivante :

Le placement d’un hyperlien sur un site internet vers des œuvres protégées par le droit d’auteur et publiées sans l’autorisation de l’auteur sur un autre site internet :

(i)   ne constitue pas une communication au public lorsque la personne qui place ce lien agit sans but lucratif et sans connaître l’illégalité de la publication de ces œuvres ;

(ii)  constitue un acte de communication au public :

(1) avéré, s’il est établi que la personne qui place l’hyperlien sait ou devait savoir que celui-ci donnait accès à une œuvre illégalement publiée (par exemple lorsque la personne a été avertie par les titulaires du droit d’auteur de l’illégalité) ou si le lien hypertexte permet aux utilisateurs de contourner des mesures de restriction prises par le site où se trouve l’œuvre protégée (par exemple, afin d’en restreindre l’accès à ses seuls abonnés) ;

(2) présumé, si le lien hypertexte est fourni dans un but lucratif (la Cour considérant, en pareil cas, qu’on attend de l’auteur du placement qu’il opère les vérifications nécessaires – la connaissance du caractère illégal de la publication sur l’autre site internet est ainsi être présumée, sauf preuve contraire).

Si cette décision laisse certains points en suspens tels que la définition de la notion de « but lucratif » (les blogs affichant des publicités ciblées et les sites vitrines d’un commerçant seront-ils considérés comme des sites poursuivant un but lucratif ?) et le degré de connaissance de l’illégalité du lien (preuve qui est d’ailleurs difficile à rapporter en pratique) qu’il appartiendra à la jurisprudence de préciser, elle invite les exploitants de site internet à la plus grande vigilance quant aux liens présents sur leur site.

Cet arrêt pourrait également impacter la législation française sur la responsabilité des intermédiaires techniques.

A suivre…

Jeux vidéo et droit d’auteur

Application de la jurisprudence CRYO dans le litige opposant F. RAYNAL à son ancien employeur ATARI

TGI Lyon, 3e chambre, 8 septembre 2016, n°05/08070

Le jeu vidéo « Alone in the Dark » est une œuvre de collaboration « complexe », composée notamment d’un gameplay original dont M. RAYNAL est l’unique auteur. En l’absence de contrat de cession de droits d’auteur et en dépit de la qualité de salarié de M. RAYNAL, le TGI de Lyon condamne ATARI pour contrefaçon des droits d’auteur de M. RAYNAL, l’éditeur ayant nié sa paternité sur le jeu vidéo Alone in the Dark et commercialisé le jeu et ses quatre suites, sans le rémunérer pour l’exploitation de ses droits patrimoniaux.

Cette décision, rendue dans une affaire emblématique, est l’occasion de revenir sur le cadre juridique relatif à la production de jeux vidéo en France aujourd’hui. Depuis le succès d’Alone in the Dark sorti en 1992, époque à laquelle le jeu vidéo était encore l’affaire d’artisans auteurs, le secteur s’est largement professionnalisé et industrialisé, avec des équipes projets de plusieurs centaines d’intervenants sur certains « blockbusters ». Mais depuis quelques années, le phénomène « indie », particulièrement vif en France, marque un retour en grâce des petites équipes « d’auteurs » dans le jeu vidéo. La décision RAYNAL est donc particulièrement d’actualité.

Cette décision est également novatrice puisque, pour la première fois à notre connaissance, la jurisprudence retient que le gameplay d’un jeu vidéo peut constituer une œuvre originale, donc susceptible d’exploitation exclusive par le titulaire des droits. Ainsi, cette approche, si elle se confirmait, offrirait un nouvel outil aux éditeurs de jeux vidéo à succès pour combattre l’apparition de « clones », ces jeux développés hâtivement dans l’espoir de surfer sur un succès, en en copiant à l’identique le gameplay mais employant un univers graphique et musical différent, par la voie de l’action en contrefaçon. Au risque de porter atteinte aux principes de reprise, d’inspiration et d’hommages, très présents dans la production videoludique, depuis son origine.

L’impression 3D : comment gérer les droits d’auteurs et la propriété industrielle ?

Publication du rapport du CSPLA sur l’impression 3D le 26 juillet 2016 : panorama et enjeux de la démocratisation de l’impression 3D.

Le Conseil supérieur de la propriété littéraire et artistique a créé une commission ad hoc chargée de se pencher pour la première fois sur les implications juridiques et économiques liées au développement de l’impression 3D, traditionnellement utilisée par les professionnels et, de plus en plus, par les particuliers via des plateformes en ligne.

Si le rapport conclut, de manière plutôt positive, que la démocratisation de l’impression 3D n’a pas eu à ce jour de conséquence désastreuse ou endémique eu égard à de possibles violations du droit d’auteur ou de la propriété intellectuelle, se pose néanmoins, à moyen terme, la question de la responsabilité des intermédiaires professionnels en matière de respect du droit d’auteur et, notamment, la question du statut des plateformes en ligne.

En effet, les plateformes d’échange de fichiers 3D en ligne considèrent actuellement bénéficier de la responsabilité limitée du statut d’hébergeur issu de la directive du 8 juin 2000 sur le commerce électronique, par opposition avec le statut d’éditeur. Dans la mesure où il pour l’instant malaisé de se prononcer sur l’implication de ces acteurs en terme de contrôle des fichiers 3D échangés sur ces plateformes, la clarification de leur statut se posera nécessairement à l’avenir de manière plus pressante.

Il est également primordial, à terme, qu’une offre légale d’impression 3D, au moyen de sociétés gestion de droits, se développe afin que le particulier à l’initiative d’une impression 3D d’une œuvre puisse la réaliser en toute légalité, moyennant rétribution de l’auteur.

Si la commission conclut au caractère prématuré d’une intervention législative, il convient néanmoins de rester vigilant à la multiplication des atteintes aux droits de propriété intellectuelle et aux préjudices significatifs engendrés pour les auteurs, en envisageant notamment un mécanisme de compensation équitable en leur faveur.

DROIT DES AFFAIRES

Fraude au président et responsabilité de la banque

CA Paris, 14 avril 2016, n°14/23355

Dans cette affaire, les escrocs se sont fait passer pour le dirigeant et ont demandé par email à la comptable de l’entreprise d’effectuer en urgence un virement de 100 000 €

Le mail louait les compétences de la comptable, choisie pour sa discrétion, et faisait état d’un rachat de société à Chypre, strictement confidentiel.

Elle a donc envoyé un ordre de virement en signant « pour ordre » du dirigeant.

Avant d’effectuer le virement, la banque a contacté par téléphone la société deux fois afin d’obtenir la signature de la main du dirigeant puis pour se voir confirmer par la comptable l’opération.

Evidemment, une fois la fraude détectée, le véritable dirigeant a porté plainte et la société s’est retournée contre sa banque, laquelle a été condamnée pour avoir manqué à ses obligations de vigilance et de contrôle.

Fondement : L.561-10-2 CMF par lequel les banques « effectuent un examen renforcé de toute opération particulièrement complexe ou d’un montant inhabituellement élevé ou ne paraissant pas avoir de justification économique ou d’objet licite.

Dans ce cas, ces personnes se renseignent auprès du client sur l’origine des fonds et la destination de ces sommes ainsi que sur l’objet de l’opération et l’identité de la personne qui en bénéficie ».

La banque avait pourtant demandé des ordres de virement signés de la main du dirigeant et appelé la société pour confirmation.

Mais les juges ont estimé qu’elle aurait dû vérifier l’authenticité des ordres directement avec le dirigeant, et non pas avec le comptable. En outre, la signature de l’ordre était manifestement différente de celle du dirigeant.

Aucune faute de la société n’ayant été retenue (nous sommes dans le cadre d’une responsabilité de plein droit), la banque a été condamnée à rembourser à sa cliente les 100 000 euros virés frauduleusement.

DROIT PUBLIC

Marchés publics : la faute dans l’exécution du marché est parfois imputable à la personne publique

Marchés publics : l’extension du périmètre des prestations et le défaut de définition des besoins constituent une faute lourde du maître d’ouvrage qui ne peut pas résilier le marché aux torts et frais et risques du titulaire

TA Paris, 12 juil. 2016, n° 142210/3-1

Suite à la résiliation du marché de mise en œuvre de l’outil de gestion des référentiels de l’Opérateur National de Paie (ONP) à ses torts et frais et risques, la société MICROPOLE a sollicité, auprès du Tribunal administratif de Paris, l’indemnisation de son préjudice subi en raison de cette résiliation abusive.

Si le juge administratif reconnait des manquements de MICROPOLE, il retient néanmoins également une faute commise par l’ONP. Il estime, en effet, que l’extension du périmètre des prestations par le pouvoir adjudicateur traduit de la part de ce dernier une définition particulièrement insuffisante de ses besoins qui a participé, de façon substantielle, à l’allongement de la durée du marché.

En outre, le Tribunal constate que MICROPOLE n’a pas respecté les prescriptions du marché sur le formalisme des modalités à suivre par le titulaire pour invoquer des manquements de l’ONP. Toutefois, le juge administratif décide que le manquement de l’ONP est d’une telle gravité qu’il constitue une faute lourde et que, à ce titre, ces dispositions du marché peuvent être écartées.

Il conclut que le retard et les difficultés du marché sont imputables tant à des fautes du titulaire qu’au comportement de l’ONP, et que la résiliation aux torts et frais et risques de MICROPOLE était disproportionnée, de telle sorte que cette société est fondée à demander réparation de son préjudice.

Marché public et pénalités de retard, il n’est jamais trop tard

Le Conseil d’Etat accepte l’application de pénalités de retard réclamées à un prestataire près de sept ans après la prise de possession de l’ouvrage

CE, 20 juin 2015, Sociétés Eurovia Haute-Normandie et Colas Ile-de-France, n° 376235

Dans cet arrêt du Conseil d’Etat, publié aux Tables, le Conseil d’Etat adopte une position très stricte à l’encontre du prestataire d’une personne publique quant à l’application des pénalités.

En l’espèce, un marché de travaux avait été confié par la Métropole Rouen Normandie à un groupement d’entreprises.

Alors que la prise de possession de l’ouvrage avait eu lieu le 9 février 2001, le décompte général définitif de ce marché, faisant application de pénalités, a été notifié au groupement le 10 décembre 2007, soit près de 7 années après ladite prise de possession.

Suite au recours du groupement en contestation de l’application de ces pénalités de retard, la Haute juridiction administrative a statué sur plusieurs questions.

Dans le cadre d’un premier arrêt, le Conseil d’Etat a précisé que la prise de possession de l’ouvrage par le maître d’ouvrage ne correspond pas nécessairement à la date d’achèvement des travaux et ne met pas fin, en tant que telle, à l’application des pénalités de retard.

Saisi d’un second pourvoi dans cette affaire, le Conseil d’Etat a indiqué :

(i)      d’une part que l’application de pénalités de retard près de sept ans après la prise de possession de l’ouvrage ne méconnaissait pas le principe de loyauté des relations contractuelles,

(ii)      d’autre part qu’il refusait de modérer le montant des pénalités appliquées, estimant que des pénalités dont la somme équivaut à 26% du montant du marché n’ont pas de caractère excessif.

Flash info  : la facturation électronique étendue à vos clients publics à compter du 1er janvier 2017

D’ici 2020, toutes les factures entre l’Etat et ses fournisseurs seront dématérialisées.

L’obligation de facturation électronique va être mise en place de façon progressive, conformément à l’ordonnance du 26 juin 2014.

Le calendrier de mise en place de cette obligation pour les émetteurs de factures à destination de l’Etat, des collectivités territoriales et de leurs établissements publics respectifs est le suivant :

  • 1er janvier 2017 : obligation pour les grandes entreprises (plus de 5 000 salariés) et les personnes publiques ;
  • 1er janvier 2018 : obligation pour les entreprises de taille intermédiaire (250 à 5 000 salariés);
  • 1er janvier 2019 : obligation pour les petites et moyennes entreprises (10 à 250 salariés) ;
  • 1er janvier 2020 : obligation pour les très petites entreprises (moins de 10 salariés).

C’est la plateforme dématérialisée Chorus Factures qui permet de aux fournisseurs et prestataires de l’Etat de transmettre leurs factures par voie électronique.

DROIT DE L’INTERNET

Neutralité du Net : La consécration européenne

Publication du rapport du régulateur européen sur la neutralité du Net le 30 aout 2016.

La neutralité du Net peut être définie comme le principe garantissant l’égalité de traitement de tous les flux de données sur Internet de manière à ce que les données soient traitées de manière identique, les contenus circulent et se chargent sans discrimination, toutes les personnes se connectant au réseau sont sur un pied d’égalité. Seuls les critères techniques impactent l’accès et le débit.

Ce principe exclut par exemple toute discrimination à l’égard de la source, de la destination ou du contenu de l’information transmise sur le réseau. Les utilisateurs ne feront face à aucune gestion du trafic Internet qui aurait pour effet de limiter leur accès aux applications et services distribués sur le réseau. Les flux d’information ne sont ni bloqués, ni dégradés, ni favorisés par les opérateurs de télécommunications, qui achemineront dans les mêmes conditions toutes les données de tous les clients.

Les fournisseurs d’accès (FAI) mettent en avant la nécessité de gestion du trafic, la qualité de service, et l’innovation, qui serait empêchée par la régulation, pour remettre en cause ce principe.

Les FAI souhaitent proposer des tarifs, forfaits, options (le prix payé permettant d’influer sur la rapidité de navigation) ou pour s’associer avec des fournisseurs de contenus et les favoriser (tel format ou qualité ne serait pas disponible pour tous).

Les défenseurs de la neutralité du Net stigmatisent quant à eux un « Internet à la carte » hiérarchisant les internautes et les producteurs, aboutissant à un internet à deux vitesses, et demandent notamment l’interdiction de priorisation de la bande passante en fonction du tarif.

Alors qu’aux Etats-Unis où le débat est plus ancien qu’en Europe, la Federal Communications Commission (FCC), le régulateur des telecoms, avait pris position dès 2004, les FAI ont entamé une bataille judiciaire et contesté les décisions. La FCC s’est encore prononcée pour la neutralité le 26 février 2015, considérant Internet comme un « bien public » et donnant pouvoir à la Commission de faire appliquer la neutralité sur l’ensemble du territoire.

En Europe, le Parlement a introduit le 27 octobre 2015 pour la première fois dans le droit de l’Union les grands principes découlant de la neutralité : traitement égal et non-discrimination du trafic et droit de tous de diffuser et accéder à toute information.

Les règles de mise en application restaient à préciser et des zones à éclaircir, la granularité des mesures pouvant permettre de diminuer la portée de la Neutralité.

Par exemple la pratique du « zero rating » (le fait pour un opérateur de ne pas bloquer ou facturer la bande passante consommée par une application ou vers un cloud spécifique, ou ne pas la décompter du forfait) n’est pas interdite explicitement.

A l’été 2016 le Body of European Regulators for Electronic Communications (BEREC), le régulateur européen (entité regroupant les régulateurs des télécoms des Etats) (ou ORECE en français) a lancé une consultation publique en ligne, clôturée le 18 juillet 2016, qui a connu un franc succès avec plus de 500 000 contributions, notamment de la société civile, alors que les opérateurs faisaient pression pour obtenir des mesures légères, permettant des aménagements, la régulation étant présentée par exemple comme frein au développement de la 5G.

Le 30 aout 2016 le BEREC a publié son rapport donnant les lignes directrices destinées à guider les régulateurs nationaux dans la mise en œuvre du règlement 2015/2120 du 25 novembre 2015. Il consacre sans détour la neutralité du Net “les fournisseurs d’accès à Internet doivent traiter tout type de trafic de façon égale, sans discrimination, restriction ou ingérence, indépendamment de l’expéditeur ou du receveur, du contenu échangé, des applications ou services fournis et des terminaux utilisés.”

Le BEREC a en grande partie comblé les manques du Règlement.

Pour reprendre l’exemple du zero rating, la pratique n’est pas formellement proscrite par le BEREC, mais les conditions fixées sont tellement strictes qu’il devient très difficile pour un opérateur d’y avoir recours.

Les régulateurs nationaux (et donc l’ARCEP en France) pourront prendre des sanctions contre les FAI ne respectant pas la règle et dégradent la qualité d’accès à des services ou favorisent indûment un type de services par rapport à d’autres.

L’ARCEP s’en est félicité et a déclaré :

« La version finale publiée aujourd’hui comporte des précisions visant à répondre aux interrogations et propositions portées par les contributeurs lors de la consultation publique.

Les lignes directrices donnent aux régulateurs nationaux une feuille de route claire dans l’application du règlement. Les régulateurs sont amenés à jouer un rôle de gardien de la neutralité du net, en veillant à son respect par les opérateurs et en sanctionnant le cas échéant leurs écarts de conduite. Comme le prévoit le règlement, certaines pratiques (services spécialisés, zero rating) ne sont proscrites que pour autant qu’elles conduisent à contourner le principe de neutralité du net, et feront l’objet d’analyses au cas par cas. Les lignes directrices se veulent  » robustes vis-à-vis de l’avenir  » ( » future proof « ) et le BEREC reste à l’écoute des acteurs pour favoriser l’innovation. »

Prochaine étape : 1er rapport annuel des autorités nationales sur la neutralité le 30 juin 2017.

A suivre…

Internet : accès aux données d’identification 

TGI de Meaux, ordonnance de référé du 10 août 2016, France Sécurité / NC Numéricable

Par ordonnance du 10 août 2016, Le TGI de Meaux a rejeté la demande en référé d’une société visant à ce qu’un fournisseur d’accès à internet (FAI) communique l’identité de l’auteur d’emails frauduleux, à partir de l’adresse IP identifiée par le demandeur.

Dans le cadre d’un appel d’offre pour la fourniture d’équipements de sécurité lancé par la société Airbus Hélicopters, la société France Sécurité, alors titulaire du marché qui arrivait à expiration, est sollicitée par messagerie électronique par une personne se présentant comme employée d’Airbus aux fins de communication par France Sécurité de sa proposition commerciale confidentielle. Suspectant une fraude, France Sécurité obtient confirmation d’Airbus que les emails n’émanent pas de ses collaborateurs et parvient à identifier l’adresse IP de l’auteur de la fraude, ainsi que son FAI, la société Numéricable.

La société dépose plainte contre X auprès du Procureur de la République. En parallèle, elle fait assigner devant le juge des référés du TGI de Meaux le FAI Numéricable, au visa de l’article 145 CPC, aux fins que lui soient communiquées les données d’identification de l’abonné auquel a été attribuée l’adresse IP identifiée.

Aux termes de l’article 145 CPC, le juge des référés peut ordonner des mesures d’instruction avant tout procès à la double condition de (1) caractériser un intérêt légitime à l’établissement de la preuve de faits, et (2) que la mesure demandée soit conforme à la loi.

En l’espèce, le Tribunal constate l’existence d’un motif légitime consistant « à voir identifier, [à partir d’une adresse IP], l’éventuel auteur d’une infraction pénale en même temps que d’actes de déloyauté commerciale ». En revanche, le Tribunal a considéré que la mesure sollicitée n’était pas conforme à la loi, au double visa de la loi Informatique et Liberté et de l’article L.34-1 du Code des postes et des communications électroniques.

(1) Le Tribunal considère en effet que l’opération de collecte de l’adresse IP de l’auteur des messages frauduleux mise en œuvre par la demanderesse constitue un traitement d’une donnée à caractère personnel, en vue d’obtenir l’identification de l’auteur d’une infraction pénale. Un tel traitement nécessite une autorisation préalable de la CNIL, or, la demanderesse ne justifie pas d’une telle autorisation. Dès lors, la mesure sollicitée est illicite au regard de la loi Informatique et Liberté.

(2) Ne s’en tenant pas au motif précédant qui aurait suffi à motiver sa décision, le TGI poursuit par une interprétation restrictive de l’article 6 de la LCEN, selon laquelle l’identification de l’auteur d’échanges de correspondances électroniques par son FAI ne relève pas du champ d’application de la LCEN mais du champ plus restreint de l’article L.34-1 CPCE.

Or, cet article ne permet la communication d’informations d’identification que pour les besoins de la recherche, de l’indentification et de la poursuite des infractions pénales ou d’un manquement à l’obligation de sécurisation de leur connexion à internet par les abonnés, à destination de l’autorité judiciaire ou de la HADOPI exclusivement.

Le Tribunal en déduit que l’article L.34-1 CPCE ne lui permet pas d’ordonner la communication de ces éléments d’identification au demandeur personne privée, ce qui reviendrait selon lui à se substituer au juge pénal.

Cette décision semble remettre en cause l’équilibre souhaité par le législateur français et européen en matière de responsabilité sur internet, qui confère au FAI une responsabilité atténuée, en contrepartie de sa collaboration pour la conservation de données, qu’il est dans l’obligation de produire sur injonction d’une « autorité judiciaire », qu’elle soit civile ou pénale. C’est cet équilibre qu’avait rappelé le TGI de Paris, statuant en référé, dans une ordonnance du 30 janvier 2013 condamnant le FAI Bouygues Telecom pour avoir refusé de communiquer des données d’identification dans une affaire similaire.

Nous suivrons donc ce sujet afin de déterminer si la décision du TGI de Meaux constitue un cas isolé ou révèle une inflexion de la jurisprudence en matière d’accès aux données d’identification des abonnés à internet.

E-commerce et clause abusive

Précisions concernant le caractère abusif d’une clause relative à la loi applicable au traitement de données à caractère personnel dans le cadre de CGV en matière de e-commerce

CJUE 28 juillet 2016 Amazon EU Sàrl c. Verein für Konsumenteninformation (affaire C-191/15).

La Cour de justice de l’Union européenne, est venue, par le présent arrêt, apporter des précisions importantes en matière droit de la consommation, ainsi qu’en droit des données personnelles, en se penchant sur l’application d’une clause de droit applicable contenue dans les conditions générales de vente de la filiale européenne d’Amazon, dont le siège est situé au Luxembourg, aux consommateurs autrichiens.

« une clause figurant dans les conditions générales de vente d’un professionnel, qui n’a pas fait l’objet d’une négociation individuelle, selon laquelle la loi de l’État membre du siège de ce professionnel régit le contrat conclu par voie de commerce électronique avec un consommateur est abusive pour autant qu’elle induise ce consommateur en erreur en lui donnant l’impression que seule la loi de cet État membre s’applique au contrat, sans l’informer du fait qu’il bénéficie également, (…) de la protection que lui assurent les dispositions impératives du droit qui serait applicable en l’absence de cette clause».

« un traitement de données à caractère personnel effectué par une entreprise de commerce électronique est régi par le droit de l’État membre vers lequel cette entreprise dirige ses activités s’il s’avère que cette entreprise procède au traitement des données en question dans le cadre des activités d’un établissement situé dans cet État membre ».

En l’espèce, la clause litigieuse stipulait que le droit luxembourgeois s’appliquait auxdites conditions générales de vente, lesquelles régissait les contrats de vente électroniques conclus entre les consommateurs autrichiens et Amazon Europe.

Le raisonnement de la Cour se déroule en plusieurs étapes.

Elle relève tout d’abord que les conditions générales de vente visées peuvent être qualifiées de contrat d’adhésion en ce qu’elles ne sont pas susceptibles de faire l’objet d’une négociation (définition qui rejoint celle donnée par le nouvel article 1110 du Code civil issu de la réforme du droit des contrats). Dès lors, une telle clause est susceptible de devenir abusive lorsqu’elle entraine, nonobstant l’exigence de bonne foi qui régit tout contrat, un déséquilibre significatif entre les droits et obligations des parties au détriment du consommateur.

Ce faisant, la Cour précise que le caractère abusif d’une telle clause peut découler de sa formulation. Celle-ci doit donc être rédigée de manière claire et compréhensible, suivant les prescriptions données par le droit de l’Union. Cette exigence lie d’autant plus les professionnels que ceux-ci sont investis d’un devoir d’information à l’égard du consommateur. Ainsi, une telle stipulation contractuelle ne peut avoir pour effet d’induire ce dernier en erreur, en lui donnant l’impression qu’il ne peut bénéficier de la protection que lui confère son droit national, et notamment des dispositions plus favorables dont il bénéficie a minima, lui faisant croire que seul le droit désigné dans cette clause est applicable au contrat qu’il a souscrit. Ce n’est donc pas la désignation du droit luxembourgeois qui rend en l’espèce la clause attributive de compétence abusive, mais l’absence d’information relative aux règles impératives de son pays de résidence, auxquelles il ne peut être dérogé par convention.

Enfin, confrontée à un dernier conflit de lois cette fois relatif au droit des données à caractère personnel, la Cour prend le soin de développer la notion d’établissement, qu’elle avait d’ores et déjà défini dans sa jurisprudence Weltimmo (CJUE, 1er octobre 2015, affaire C-230/14). Cette notion revêt une importance particulière puisque le traitement de données effectué dans le cadre des activités d’un établissement est régi par le droit de l’Etat membre sur le territoire duquel il est situé. La Cour précise qu’au-delà du fait que la notion d’établissement s’étende à toute activité réelle et effective, si minime soit-elle, elle ne requiert pas pour s’appliquer, que le responsable de traitement (en l’espèce Amazon Eu), possède une filiale ou une succursale dans l’Etat de la personne concernée par le traitement.

Elle distingue alors un critère essentiel, et c’est là tout l’intérêt de cette décision, qui est celui de l’installation « stable », ce qui implique que le seul fait qu’un site soit accessible dans un Etat ne permet pas d’en déduire l’existence d’un établissement. En l’espèce, le site étant accessible aux consommateurs autrichiens par l’intermédiaire du site allemand de la société, le traitement effectué sur leurs données personnelles devrait a priori être régit par le droit allemand. La Cour renvoie cependant à la juridiction autrichienne le soin de se prononcer sur ce point.

Une décision qui invite les sociétés de e-commerce à la plus grande prudence lors de la rédaction de leurs conditions générales de vente.

Wi-Fi ouvert et violation de droits d’auteur

Mise à disposition du public d’un réseau Wi-Fi ouvert et anonyme et violations de droits d’auteur : entre absence de responsabilité et obligation de sécurisation du fournisseur

CJUE 15 septembre 2016 Tobias Mc Fadden c. Sony Music Entertainment Germany GmBH (affaire C-484/14).

« une mesure consistant à sécuriser la connexion à Internet au moyen d’un mot de passe peut dissuader les utilisateurs de cette connexion de violer un droit d’auteur ou des droits voisins, pour autant que ces utilisateurs soient obligés de révéler leur identité afin d’obtenir le mot de passe requis et ne puissent donc pas agir anonymement, ce qu’il appartient à la juridiction de renvoi de vérifier ».

La Cour de justice de l’Union européenne a été saisie d’une question préjudicielle suite à la violation de droits d’auteurs détenus par Sony sur une œuvre musicale. Celle-ci avait été permise par la connexion d’un tiers au réseau Wi-Fi gratuit, ouvert et anonyme, proposé par un commerçant, soucieux d’attirer vers lui une nouvelle clientèle. Bien que l’exploitant du magasin n’ait pas lui-même commis ladite violation, la juridiction de renvoi s’interrogeait sur le fait de savoir si, en vertu de la directive sur le commerce électronique du 8 juin 2000, il pouvait à tout le moins se voir imputer une responsabilité indirecte.

La question est épineuse, puisque cette directive exclut la responsabilité des prestataires intermédiaires pour une activité illicite initiée par un tiers, en l’espèce la violation de droits d’auteurs, dans le cas où leur prestation se borne à un simple transport des informations. Cependant, cette exclusion ne peut jouer qu’à la condition que soient réunis trois conditions cumulatives : le prestataire ne doit pas être à l’origine de la transmission, ne doit pas opérer de sélection quant à son destinataire, et enfin, doit s’abstenir de sélectionner ou modifier les informations contenues dans ladite transmission.

En l’espèce, la Cour estime que cette mise à disposition d’un réseau Wi-Fi dans le but d’attirer de nouveaux clients peut être qualifiée de service de la société de l’information, tel que visé par la directive. Cependant, en tant qu’acteur passif des transmissions s’y déroulant, le fournisseur ne peut être tenu responsable des violations de droits d’auteur commises par ce biais. Il n’est donc pas tenu d’indemniser leur titulaire.

Elle poursuit cependant, et ce contre l’avis rendu par l’avocat général dans le cadre de cette affaire (allant, il faut le préciser, à contrecourant de la position jurisprudentielle de la Cour), en relevant que cette directive ne s’oppose pas à ce que le fournisseur soit enjoint par les autorités ou juridictions nationales, après saisine du titulaire des droits d’auteur violés, de prendre des mesures nécessaires à faire cesser ou prévenir de tels faits délictueux. De tels outils devraient permettre d’assurer un juste équilibre entre des intérêts divergents, en préservant à la fois le droit fondamental à la protection de la propriété intellectuelle, le droit à la liberté d’entreprise et le droit à la liberté d’information.

Ainsi, la Cour estime que la sécurisation d’un tel réseau au moyen d’un mot de passe est de nature à dissuader ses utilisateurs de commettre de tels actes, seulement dans le cas où ces derniers se voient contraints de révéler leur identité aux fins de l’obtenir.

La solution, si elle se trouve être favorable pour les fournisseurs de réseaux publics, l’est en revanche bien moins pour les utilisateurs. Il faudra également attendre sa réception en France pour en connaître les impacts, dans un contexte où se trouvent consacrés le droit au déréférencement ou encore la mort numérique, dans la loi pour une République Numérique, publiée au journal officiel le 8 octobre 2016.