NTIC – Lettre d’actualité numéro 26

28 octobre 2019

Télécharger

PROPRIÉTÉ INTELLECTUELLE

Attention au dépôt de marque d’un nom de collectivité ou enregistrement de noms de domaine !

Sur le terrain des marques, l’article L.711-4 du CPI interdit d’adopter comme marque un signe portant atteinte à des droits antérieurs au nom, à l’image ou à la renommée d’une collectivité territoriale. Concernant les noms de domaine, l’article L.42-1 du CPCE prévoit que « les noms de domaine sont attribués et gérés dans l’intérêt général selon des règles non discriminatoires et transparentes, garantissant le respect de la liberté de communication, de la liberté d’entreprendre et des droits de propriété intellectuelle ». L’article L.42-2, 3° prévoit que « l’enregistrement ou le renouvellement des noms de domaine peut être refusé ou le nom de domaine supprimé lorsque le nom de domaine est :Com. 5 juin 2019, n°17-22132
Un arrêt de la chambre commerciale est venu confirmer une règle de principe en combinant les articles L.42-2 du Code des communications électroniques (« CPCE ») et l’article L.711-4 du CPI.

[…] 3° Identique ou apparenté à celui de la République française, d’une collectivité territoriale ou d’un groupement de collectivités territoriales ou d’une institution ou service public national ou local, sauf si le demandeur justifie d’un intérêt légitime et agit de bonne foi. »

Dans cette affaire, la société Dataxy, bureau d’enregistrement de noms de domaine, exerçait une activité de géoréférencement de sites en France. Elle était titulaire, depuis 2004, des noms de domaine « saoneetloire.fr » et « saone-et-loire.fr ». Elle a également déposé un 3e nom de domaine, « saône-et-loire.fr » en 2012. Le département de Saône-et-Loire lui a contesté l’attribution de ces noms de domaine et en a demandé le transfert en se prévalant notamment de sa marque semi- figurative française « Saône-et-Loire le département » enregistrée en 2011. L’AFNIC a refusé le transfert des noms de domaine « saone-et-loire.fr » et « saoneetloire.fr », mais a accueilli la demande portant sur le nom « saône-et-loire.fr », postérieure au dépôt de marque du département.

La société Dataxy a formé un recours en annulation, le département en profitant pour demander sur le fondement de la contrefaçon de marques, le transfert des deux autres noms de domaine qu’il n’avait pas obtenu.

Devant la Cour de cassation, Dataxy argumente que la dénomination peut être identique ou apparentée à celle d’une collectivité territoriale si le demandeur justifie d’un intérêt légitime et agit de bonne foi par rapport à l’activité commerciale effectivement exercée, ce que n’ont pas analysé les juges du fond. Elle invoque également exercer une activité commerciale de géoréférencement, totalement différente de l’activité de la collectivité territoriale. Le risque de confusion dans l’esprit du public était donc, selon elle, exclu puisqu’en outre, le département disposait de son propre nom de domaine « cg71 » depuis 1999 et qu’en sept ans, il n’avait été reporté aucun incident. Enfin, pour Dataxy, les documents produits établissent précisément que le géoréférencement était une offre de service déterminante pour justifier de son intérêt légitime et de la bonne foi de l’activité exercée et ne correspondait pas à une usurpation au détriment de la collectivité territoriale.

Pour la cour de cassation, « les règles gouvernant l’attribution des noms de domaine sur internet, qui respectent tant les principes de liberté de communication et de liberté d’entreprendre que les droits de propriété intellectuelle, n’ont ni pour objet ni pour effet de restreindre le droit du titulaire de marque d’interdire l’usage sans son consentement, dans la vie des affaires, d’un signe identique ou similaire à la marque, pour des produits ou services identiques ou similaires à ceux pour lesquels elle est enregistrée, si cet usage porte atteinte à la fonction essentielle de la marque, qui est de garantir aux consommateurs la provenance des produits ou des services, en raison d’un risque de confusion dans l’esprit du public, sauf les effets de l’intérêt légitime et de la bonne foi quant au renouvellement de l’enregistrement de noms de domaine sur internet ».

Elle rappelle que les principes du CPCE n’ont ni pour objet, ni pour effet de restreindre le droit du titulaire d’une marque d’interdire l’usage, dans la vie des affaires, d’un signe identique ou similaire à sa marque, pour des produits ou services identiques ou similaires à ceux pour lesquels elle est enregistrée. Dans les faits, la reprise du signe « saône et loire », conjuguée à l’identité ou la similarité des services couverts, était de nature à créer un risque de confusion dans l’esprit du consommateur moyen normalement informé et raisonnablement attentif et avisé, en laissant accroire à une origine commune des services offerts […].  La cour d’appel,  […] avait donc « souverainement retenu que la société Dataxy ne démontrait pas une exploitation des noms de domaine litigieux afin d’offrir des services en rapport avec le territoire du département de Saône-et-Loire, et a pu décider que cette société n’avait aucun intérêt légitime à obtenir l’enregistrement et le renouvellement à son bénéfice des enregistrements correspondants ».

 

DONNÉES PERSONNELLES

Intégrer un bouton « J’aime » sur son site internet = potentiel partage de responsabilité avec Facebook

CJUE 29 juillet 2019 – Affaire C-40/17

Par un très attendu arrêt du 29 juillet dernier, la CJUE a tranché sur la responsabilité en matière de données personnelles des gestionnaires de site internet insérant des boutons « J’aime ».

Les faits étaient simples : l’exploitant d’un site de vente en ligne, à l’instar de nombreux sites internet, a inséré un bouton « J’aime » sur son site permettant le transfert de données personnelles des visiteurs dudit site à Facebook et ce, peu important que le visiteur clique ou non sur ledit bouton et/ou ait ou non un compte Facebook. Une association de consommateurs allemande a considéré que l’éditeur du site ne respectait pas la règlementation relative à la protection des données faute d’informer les personnes concernées d’un tel traitement et de recueillir leur consentement. Le gestionnaire du site considérait, quant à lui, ne pas avoir enfreint la réglementation notamment parce qu’il ignorait les traitements des données transmises à Facebook et n’a pas d’influence sur ceux-ci.

L’affaire a été portée devant les juridictions allemandes qui ont interrogé la CJUE sur la responsabilité d’un tel gestionnaire de site au regard de la Directive 95/46/CE sur la protection des données (abrogée par le RGPD) applicable alors aux faits.

Pour les juges européens, il convient de distinguer les traitements de données opérés via le module social « J’aime » en deux catégories :

  • d’une part, ceux effectués par Facebook après transmission des données via le site qui ne semblent pas pouvoir relever de la responsabilité du gestionnaire du site : en effet, a priori, le gestionnaire ne détermine ni les moyens, ni les finalités de telles opérations ;
  • d’autre part, ceux consistant en la collecte et la communication à Facebook des données qui semblent, quant à eux, relever d’une responsabilité conjointe du gestionnaire du site avec Facebook si ces derniers déterminent bien conjointement les moyens et finalités de ces opérations.

S’il appartient à la juridiction du fond de faire les appréciations d’espèce pour confirmer ces points, la CJUE a précisé qu’il lui semblait que l’insertion du bouton « J’aime » permettait à l’éditeur du site d’optimiser ses actions publicitaires de sorte qu’il apparaît avoir accepté, à tout le moins implicitement, la collecte et la transmission de données de son site à Facebook.

Le cas échéant, le gestionnaire est alors coresponsable de traitement de données des visiteurs de son site et a l’obligation de fournir les informations imposées par la règlementation au moment de la collecte de ces données (identité, finalité du traitement).

A noter que si l’arrêt de la CJUE a été rendu au visa de la Directive 95/46 CE, la solution pourrait tout à fait s’appliquer à l’ère du RGPD qui a même renforcé certaines obligations à ce titre (notamment en exigeant la conclusion d’un contrat entre coresponsables de traitement).

Quoiqu’il en soit, cet arrêt vient à nouveau préciser la responsabilité des éditeurs de site internet qui utilisent des outils de réseaux sociaux (rappelons la coresponsabilité d’un gestionnaire d’une page fan Facebook retenue par la CJUE le 5 juin 2018).

L’application de cet arrêt par les tribunaux et cours locaux sera particulièrement intéressante à suivre…

 

La fiche Google My Business : consécration de la liberté d’expression, droit fondamental qui surpasse le RGPD !

Ordonnance de référé rendue le 11 juillet 2019

Par une ordonnance de référé rendue le 11 juillet 2019, le Président du Tribunal de grande instance de Paris a débouté une dentiste de sa demande visant à obtenir la suppression de sa fiche entreprise Google My Business. En revanche, le juge des référés a accueilli sa demande visant à obtenir les éléments d’identification des personnes auteurs des avis litigieux.

Une dentiste parisienne avait constaté l’existence d’une fiche Google My Business comportant ses coordonnées professionnelles et des avis sur son activité qu’elle jugeait dénigrants et insultants.

Elle a assigné en référé Google Ireland Limited (ci-après désignée « Google ») afin qu’il lui soit enjoint, sous astreinte :

  • A titre principal, de supprimer ses données personnelles de tous les produits et services de la marque Google (et donc de sa fiche entreprise) ;
  • A titre subsidiaire, supprimer les avis incriminés insultants et dénigrants ;
  • En toute hypothèse, de communiquer les données d’identification des auteurs des avis incriminés.

Sur la demande de suppression de la fiche entreprise Google My Business, le juge des référés a rappelé les dispositions du préambule du RGPD qui affirment que le droit à la protection des données à caractère personnel n’est pas un droit absolu et doit être mis en balance avec d’autres droits fondamentaux.

A cet égard, il relève que :

  • La fiche entreprise ne porte pas atteinte au droit fondamental à la protection des données à caractère personnel de la demanderesse dès lors que ces données ne relèvent pas de la sphère privée ;
  • Le traitement opéré par Google poursuit des finalités légitimes permettant un accès rapide par des internautes à des informations pratiques sur les professionnels de santé ;
  • L’identification de chaque professionnel concerné, sur un forum où les internautes postent leurs avis, relève d’un intérêt légitime d’information du consommateur. Le juge rappelle à cette occasion que les droits de la personnalité des professionnels en cause sont protégés par la possibilité de signaler les propos dépassant les limites admissibles de la liberté d’expression ;
  • La suppression pure et simple de la fiche de la demanderesse contreviendrait au principe de la liberté d’expression, alors même qu’elle dispose de la possibilité d’agir spécifiquement contre les personnes à l’origine d’avis.

En conséquence, celui-ci a estimé que la demanderesse « ne peut exiger l’effacement de données traitées dans le cadre de la fiche entreprise dans la mesure où ce traitement est “nécessaire à l’exercice de la liberté d’expression et d’information” », qui, nous le rappelons, est l’une des exceptions prévues au droit à l’effacement par l’article 17 du RGPD.

Compte tenu de ces éléments, le juge des référés a considéré que le caractère illicite du traitement n’était pas démontré et qu’il n’y avait pas eu de la part de Google de refus manifestement injustifié d’interruption du traitement des données personnelles.

Ainsi, en l’absence de démonstration d’un trouble manifestement illicite et compte tenu de l’existence de contestations sérieuses élevées en défense, la demande portant sur l’effacement des données a été rejetée.

Concernant la demande de suppression des avis litigieux, le juge des référés n’y a pas fait droit dès lors qu’il a considéré que ces avis n’excédaient pas les limites admissibles de la liberté d’expression, à l’exception d’avis qualifiés d’injurieux, mais qui avaient déjà été supprimés par Google au moment de l’instance.

En revanche, le juge des référés a ordonné à Google de communiquer à la demanderesse l’ensemble des données en sa possession permettant l’identification des personnes ayant écrit les avis litigieux afin qu’elle puisse engager « des procédures pour l’indemnisation du préjudice causé par les commentaires “ insultants et dénigrants” ».

 

DROIT AUDIOVISUEL

Réforme de l’audiovisuel public

La réforme de l’audiovisuel se concrétise autour de deux grands axes : le regroupement du service public dans une holding (hors Arte et TV5) et une fusion entre le CSA et l’Hadopi.

Le ministre de la Culture a lancé de nouvelles consultations au sein du secteur audiovisuel, en vue de boucler un projet de loi qu’il doit présenter cet automne pour être voté en janvier 2020. Il a ainsi  a dévoilé les principales mesures de la réforme de l’audiovisuel.

Cette réforme vise notamment à adapter la réglementation et la régulation du secteur aux enjeux du numérique, qui ont bouleversé profondément les usages des Français en matière de consommation de la télévision et introduit une nouvelle concurrence féroce pour les chaînes du PAF.

A ce titre, les chaînes du PAF réclament un assouplissement des contraintes réglementaires afin que les disparités de normes avec les plateformes comme Netflix disparaissent et ainsi « rétablir une forme d’équité des règles du jeu ».

En outre, la publicité « segmentée » ou « adressée » fera son apparition avec ce projet de loi. Cette forme de publicité ciblée, différenciera le téléspectateur, en fonction de l’âge, la catégorie sociale ou le lieu géographique.

Autre mesure, le projet de loi tranche en faveur d’une fusion entre le CSA et l’Hadopi  « pour créer une autorité unique de régulation des contenus audiovisuels ». Cela « permettrait de donner plus de légitimité et de moyens à la lutte contre le piratage ». Cela empêcherait également que des téléspectateurs soient privés de certaines chaînes à cause de bras de fer avec des opérateurs de télécoms (Litige Free / Orange contre BFMTV).

Par ailleurs, la création d’une holding supervisant les différentes entreprises de l’audiovisuel public est désormais actée. Seront toutefois exclues la chaîne franco-allemande Arte et la chaîne francophone TV5 Monde. Cette holding devrait donc regrouper finalement France Télévisions, Radio France, France Médias Monde et l’Institut national de l’audiovisuel.

Enfin, le projet de loi consacrera le changement du mode de désignation des dirigeants de l’audiovisuel public, qui seront désormais choisis par les conseils d’administration des sociétés concernées.

 

On ne badine pas avec les droits de France Télévisions !

Cour de Cass. 1ère civ., 4 juillet 2019, n° RG 16-13.092

La Cour de cassation confirme la condamnation de la société Playmédia pour contrefaçon des droits d’auteur et des droits voisins de France Télévisions, ainsi que pour concurrence déloyale, du fait de la diffusion de ses programmes sans son autorisation.

La société Playmédia reprochait à l’arrêt rendu le 2 février 2016 par la Cour d’appel de Paris de l’avoir condamnée à payer 1,5 million de dommages et intérêts à la société France Télévisions en réparation de l’atteinte portée à ses droits voisins d’entreprise de communication audiovisuelle, à ses droits d’auteur et droits voisins de producteur sur les programmes dont elle est productrice, ainsi que des actes de concurrence déloyale distincts.

Playmédia se prévalait, en effet, de l’article 34-2 de la loi n° 86-1067 du 30 septembre 1986 sur la liberté de communication, lequel prévoit une obligation de diffusion mise à la charge des distributeurs de services de communication audiovisuelle sur un réseau n’utilisant pas de fréquences terrestres assignées par le CSA (obligation du « must carry »). En application de cet article, Playmédia demandait à la Haute juridiction d’enjoindre France Télévisions de conclure avec elle un contrat l’autorisant à diffuser des programmes de France Télévisions.

La Cour de cassation n’est pas sensible à cet argument et refuse à Playmédia le bénéfice du statut de « must carry », au motif que «l’article 34-2 de la loi n° 86-1067 du 30 septembre 1986 ne visait que les seuls services sur abonnement, la cour d’appel (…) a estimé (…) qu’il ressortait des pièces produites aux débats que la société Playmédia ne proposait pas à l’internaute la souscription à un abonnement, mais n’exigeait qu’une simple inscription, entièrement anonyme, pour créer un compte sur son site ». Playmédia reprochait également à l’arrêt d’appel de l’avoir condamnée pour contrefaçon des droits voisins d’entreprise de communication audiovisuelle dont est titulaire France Télévisions,  au motif qu’elle utilisait la technique des liens profonds et de la transclusion (ou « framing »), qui lui permettrait de se prévaloir de l’exception posée par la jurisprudence BestWater de la Cour de justice de l’Union européenne du 21 octobre 2014. En effet, dans cette décision, la CJUE a exceptionnellement autorisé l’intégration de vidéos sur un site tiers sans autorisation, dès lors qu’il ne s’agissait pas d’un acte de communication au public, « faute de public nouveau ».

Malheureusement pour la société Playmédia, cet argument n’est pas suivi par la Cour de cassation, qui s’en tient ainsi aux termes de l’article L. 216-1 du CPI qui « soumet à l’autorisation de l’entreprise de communication audiovisuelle la reproduction et la télédiffusion de ses programmes ». La Cour de cassation confirme ainsi la décision de la Cour d’appel qui avait retenu que la société France Télévisions bénéficiait, en sa qualité d’entreprise de communication audiovisuelle, du droit exclusif d’autoriser la mise à la disposition du public en ligne de ses programmes et des œuvres.

La Cour confirme également la condamnation de Playmédia pour concurrence déloyale au titre de la diffusion en différé de des programmes de France Télévisions, du fait de la confusion entretenue par Playmédia sur son site ; ces actes étant « distincts de ceux relatifs à la diffusion en direct des programmes qu’elle sanctionnait au titre de la contrefaçon ».

 

FRAUDE AU PRÉSIDENT

Désormais, il faut s’attendre à un régime de co-responsabilité entre la banque et la victime !

CA Paris. 19 juin 2019, n°17-11234

La Cour d’appel de Paris a fait application d’une jurisprudence désormais beaucoup plus sévère pour les victimes de fraudes, qu’elles soient informatiques ou non.

La société FAVEX a été victime d’une fraude au président, classiquement exécutée : une série d’emails était envoyée depuis une adresse usurpant l’identité du président de la société, demandant de transférer 426 734 euros dans le cadre d’une OPA. La salariée, comptable, s’exécute et procède au virement en ligne. Le responsable de l’agence CIC, banque de la société, appelle pour vérifier ce virement et se voit malheureusement confirmer le virement par la salariée. Le lendemain, le fraudeur essaie de réitérer l’opération pour 756 098 euros, mais cette fois-ci, la salariée et le responsable d’agence du CIC alertent le président et le directeur général, qui se trouvaient être tous les deux en vacances. Cette tentative est donc avortée.

La société porte alors plainte à la gendarmerie de Saint-Tropez et se retourne contre le CIC en le mettant en demeure de lui rembourser la somme perdue, ce qu’il refuse. La société assigne donc la banque sur le fondement de son obligation générale de vigilance, lui imposant de mettre en garde sa cliente sur une opération suspecte et de lui demander de confirmer l’ordre lorsqu’il paraît anormal.

Le Tribunal de commerce de Paris la déboute et un appel est interjeté. La Cour d’appel commence par rappeler que les fraudes au président sont maintenant notoires, le mode opératoire étant toujours le même : « une entrée en contact par voie de courriers électronique (d’une qualité rédactionnelle approximative) avec le responsable comptable, dont il est loué les exceptionnelles qualités professionnelles, auquel il est demandé une absolue discrétion, s’agissant d’une opération de la plus haute d’importance ». Cette opération est, pour le coup, bien réelle. Cela suppose donc pour le fraudeur de recueillir des informations confidentielles et précises.

Il est demandé ensuite au comptable de traiter l’affaire avec tel cabinet d’avocat spécialement (mais prétendument) en charge de ladite opération, le tout le plus souvent lors d’une période de congés de fin d’année ou d’été, pendant lesquelles la vigilance des entreprises et des banques serait possiblement moins serrée.

La cour confirme le tribunal qui a, de manière pertinente, pointé les fautes de la société ayant fait preuve de légèreté en ne relevant pas les incongruités de la demande notamment :

  • Un mail à 6h du matin par un président en vacances en Floride,
  • Une OPA par l’intermédiaire d’un soi-disant cabinet d’avocat avec lequel la société n’avait aucune relation,
  • Un virement d’un montant inhabituel et pour une destination où la société n’avait aucune activité.

Pour la Cour, l’ordre de virement aurait dû attirer l’attention dans la mesure où il a été émis en pleine période estivale, peu propice à des opérations d’une telle envergure. Mais la Cour va également relever les fautes de la banque qui, au regard de ces éléments douteux révélant une possible fraude au président dont le mécanisme est bien connu, ne pouvait se contenter d’une simple vérification auprès de la comptable, ou tout autre personne désignée par elle.

Même si la convention prévoyait que cette vérification avec la comptable suffisait, une prise de contact avec le dirigeant s’imposait. Si la vérification auprès de la comptable était aussi louable que pertinente dans son principe, il est regrettable que la banque ne soit pas allée au bout de sa démarche, restée superficielle en ce que le CIC n’a pas pris de précautions particulières pour vérifier la régularité pleine et entière de l’ordre de virement.

Ces insuffisances ont donc participé à la survenance du dommage et la cour conclut à un partage de responsabilité à 80% pour la société et 20% pour la banque. C’est donc un arrêt dans la droite ligne de la Cour de cassation, qui depuis 2018 est beaucoup plus stricte dans l’appréciation des propres fautes des victimes de fraude.

Rappelons qu’auparavant, les probabilités de se voir rembourser par la banque étaient assez hautes, mais l’on considère désormais que les mécanismes de phishing ou de fraude au président sont bien connus et que la faute de la victime doit bien lui être opposable.

DERRIENNIC ASSOCIES