Le bénéfice des ASC ne peut être soumis à une condition d’ancienneté

Dans le cadre de ses attributions relatives à la gestion des activités sociales et culturelles (ASC), un CSE avait décidé d’instaurer un délai de carence pour en bénéficier, réservant ainsi le bénéfice des ASC aux seuls salariés ayant au moins 6 mois d’ancienneté.

Le rapport d’enquête d’un détective privé est une preuve utilisable par un employeur

Licenciement verbal : évitez de prévenir par téléphone le salarié

Le principe est connu : toute décision de l’employeur manifestant sa volonté irrévocable de mettre fin au contrat et intervenant avant la notification du licenciement s’analyse en un licenciement verbal privé, dès lors, de toute cause réelle et sérieuse.

Des informations – à l’évidence – non identifiantes qualifiées de données personnelles 

Des informations, même indirectement identifiantes, peuvent être qualifiées de données à caractère personnel, selon le RGPD[1]. Mais comment déterminer qu’une information identifie indirectement une personne physique ? Quels sont les critères à prendre en compte ? La Cour de Justice de l’Union Européenne a récemment apporté des nouveaux éclairages sur cette question[2].

Un employeur peut-il produire en justice des courriels reçus postérieurement au départ d’un salarié ?

La Cour d’appel de Douai a eu à apprécier, dans un arrêt du 28 mars 2024, la recevabilité et la licéité de courriers électroniques reçus par des salariés, postérieurement à leur départ de l’entreprise, et produits par leur ancien employeur à titre de preuve.

Un médecin agressé par un patient exaspéré : la faute inexcusable est reconnue ! 

Sous quelles conditions un médecin salarié, agressé physiquement par un patient, peut-il faire reconnaître la faute inexcusable de son employeur ?

Des messages, mêmes racistes et xénophobes, échangés via la messagerie professionnelle du salarié ne peuvent justifier un licenciement pour faute grave

L’envoi de messages à caractère raciste et xénophobe par un salarié, via sa messagerie professionnelle, justifie-t-il son licenciement pour faute grave ?

La diffusion de musiques lors d’obsèques donne lieu à versement de redevances à la SACEM

Par un jugement en date du 31 janvier 2024, le Tribunal judiciaire de Paris a condamné l’Omnium de gestion et de financement (OGF), propriétaire des Pompes Funèbres Générales, pour contrefaçon des droits d’auteurs. La SACEM (Société des auteurs, compositeurs et éditeurs de musique) faisait grief à l’OGF de diffuser sans autorisation des œuvres musicales protégées lors d’obsèques.

Attendre 25 jours pour engager des poursuites prive l’employeur d’invoquer la faute grave

Par un arrêt du 20 mars 2024, la Cour de cassation nous donne une illustration de la règle selon laquelle la faute grave suppose pour l’employeur de réagir rapidement. Sauf circonstances particulières, un délai de 25 jours pour engager la procédure de licenciement apparaît trop long et retire dès lors toute gravité à la faute reprochée.

Des propos dénigrants justifient un licenciement, malgré un rappel à l’ordre préalable

Par un arrêt du 20 mars 2024, la Cour de cassation nous apporte des précisions sur deux notions parfois délicates à appréhender : d’une part, l’abus du salarié dans sa liberté d’expression ; d’autre part, celle de « rappel à l’ordre », non constitutif ici d’une sanction disciplinaire.

La procédure disciplinaire n’exclut pas la possibilité de liquider ses droits à la retraite

Dans cet arrêt, un salarié, cadre dirigeant et mandataire social en sa qualité de dirigeant est révoqué de son mandat et mis à pied à titre conservatoire avant d’être convoqué à un entretien préalable au licenciement pour faute grave.

L’employeur, qui communique les données personnelles de son salarié, doit l’en informer

L’autorité de contrôle italienne a sanctionné un employeur qui avait transmis à une banque les données personnelles de son salarié sans l’en informer.

Les professionnels de santé peuvent uniquement accéder aux dossiers médicaux de leurs patients

L’autorité de contrôle chypriote a sanctionné un professionnel de santé ayant eu accès à un dossier médical qui n’était pas celui de son patient.

Attention à l’arrière-plan de vos photographies : l’exception domestique ne s’applique pas toujours

L’autorité de contrôle maltaise a sanctionné un couple qui avait transmis en justice une photographie dans laquelle apparaissait, en arrière-plan, une personne et son enfant.  

Le nouveau cadre du contentieux de logiciels : exception au principe de non-cumul et approche « méthodique » de l’originalité

Par un arrêt en date du 8 décembre 2023 (n°21/19696), la Cour d’appel de Paris confirme la position de la Cour de cassation, exprimée dans un arrêt du 5 octobre 2022. Dans cet arrêt, la Cour de cassation clos la saga jurisprudentielle sur le fondement d’une action résultant du non-respect d’une licence de logiciel, en permettant l’action sur le fondement de la responsabilité contractuelle et délictuelle.

La démonstration de l’originalité du logiciel, préalable à toute demande en condamnation pour contrefaçon

L’affaire portée devant le CA de Nancy opposait un développeur, d’abord indépendant puis devenu salarié du client, un courtier en assurance, a développé pour celui-ci, un logiciel de tarification des primes d’assurances.

Le dispositif français de protection des mineurs face à l’industrie pornographique à l’épreuve du droit européen

Issu de la section 5 « De la mise en péril des mineurs » de la loi n°92-684 du 22 juillet 1992, l’article 227-24 du Code pénal érige depuis plus de 30 ans en délit le fait de permettre à des mineurs l’accès à des contenus pornographiques. Par plusieurs lois promulguées depuis 2020, le Législateur tend à renforcer la protection des mineurs en ligne. Cet affutage de l’arsenal juridique français est aujourd’hui tancé par les engagements européens de la France.

Les contours du préjudice du client, en cas d’échec de livraison d’un site internet non conforme aux attentes

Dans une affaire opposant un client à un prestataire, le client avait confié au prestataire la réalisation d’un site de rencontre. En l’espèce, les parties s’étaient accordées, par contrat, sur un prix global de 31.500€.

Les dysfonctionnements du logiciel ne suffisent pas à prononcer la nullité du contrat

Dans un arrêt du 17 janvier 2024 (n°22/02668)la Cour d’appel de Nancy rappelle qu’en l’absence de démonstration probante des dysfonctionnements du logiciel, ces derniers sont constitutifs, ni d’une erreur sur les qualités essentielles de la prestation, cause de nullité du contrat (i), ni d’une inexécution suffisamment grave du prestataire justifiant la résolution du contrat (ii).

Fondement d’une action résultant du non-respect d’une licence de logiciel : une solution désormais établie

Par un arrêt en date du 14 février 2024 (n°22/18071[1]), la Cour d’appel de Paris est venue confirmer la fin d’une saga sur la question du fondement juridique à une action en réparation du préjudice résultant du non-respect des termes d’une licence logicielle. C’est arrêt est également intéressant en ce qu’il contient des développements complets sur la caractérisation des actes de contrefaçon d’une licence libre GNU-GPL.

Dans un contrat informatique, le défaut d’équivalence des prestations réciproques n’est pas une cause de nullité du contrat

Dans une affaire opposant une société spécialisée dans le conseil aux entreprises en stratégie digitale à son cocontractant, la Cour d’appel de Caen est venue rappeler le principe selon lequel le défaut d’équivalence des prestations réciproques n’est pas une cause de nullité du contrat.

Le partage des règles de responsabilité dans un projet informatique conduit en Méthode Agile

La faute du Prestataire s’apprécie avec un degré de sévérité accru dans le cadre d’un projet en méthode dite « agile » où la collaboration du Client conditionne (encore plus que dans un projet classique) la bonne fin des prestations.

Les limites de l’exception d’inexécution fondé sur l’absence de communication de documents contractuels

Dans une affaire opposant une société spécialisée conseil en informatique à son sous-traitant chargé de réaliser des missions d’assistance technique, la Cour d’appel de Paris vient préciser les limites de l’exception d’inexécution lorsque le sous-traitant n’a pas communiqué les documents prévus par le code du travail et le contrat.

L’exigence renforcée du devoir d’expertise et de conseil de « l’ensemblier informatique »

Dans cette affaire, une société exploitant un complexe de loisir (bowling, karting etc.) a fait appel, en 2017, à un prestataire spécialisé dans la refonte des SI et l’intégration de progiciel pour déployer un nouvel ERP.

La preuve de l’originalité, la clé de la protection par le droit d’auteur des logiciels d’intelligence artificielle

Une société ayant pour activité l'édition d'une gamme de logiciels spécialisés dans la gestion de la fixation des prix ('pricing') et le traitement de données à des fins-marketing, exploite trois logiciels.

Litige employeur / salarié : une preuve obtenue de façon illicite est-elle utilisable ?

La Cour de cassation, dans un arrêt du 14 février 2024, a considéré que les images issues d’un dispositif de vidéosurveillance illicite pouvaient néanmoins être admises en tant que preuves dans le cadre d’une procédure de licenciement.

Sanction simplifiée : une procédure utilisée par la CNIL pour contrôler les DPO

Dans une publication du 12 mars 2024, la CNIL est revenue sur quinze sanctions qu’elle a prononcées dans le cadre de la procédure de « sanction simplifiée ». Elle insiste notamment sur l’utilisation de cette procédure pour contrôler les DPO.

Le secret médical peut-il être levé pour les besoins de la défense ? (DSIH, mars 2024)

Nombre de collaborateurs, salariés notamment dans des établissements de santé, ont accès, dans le cadre leurs fonctions, à des documents contenant des données médicales de patients. Ces informations sont protégées par le secret médical. Mais, le jour où survient un litige entre l’un de ces salariés et son employeur, ce secret médical peut-il être levé ? En d’autres termes, un salarié peut-il utiliser, comme moyen de preuve, des documents couverts par le secret médical dans le cadre d’un litige prud’homal, n’intéressant donc pas le patient concerné ?

Prospection commerciale : l’achat de données auprès d’un courtier et la question de la base légale

Le 31 janvier 2024, la CNIL a prononcé à l’encontre de la société FORIOU une amende de 310 000 € pour avoir réalisé de la prospection commerciale par téléphone sans base légale valable.

Entrepôts de données de santé et cloud non-souverain sont-ils compatibles ? (La Veille Acteurs de Santé, mars 2024)

Le Health Data Hub a récemment été autorisé à recourir à l’hébergeur Microsoft pour un entrepôt de données de santé portant le nom « EMC2 »*. Est-ce que cela signifie qu’il est désormais possible d’héberger des entrepôts de données de santé sur des cloud non-souverains ? Les enjeux associés à cette problématique sont considérables. Aussi, les débats associés à une telle autorisation ne cessent de proliférer.

IA et Santé : vers une réforme de la loi « Informatique et Libertés » pour faciliter l’innovation et la recherche ? (DSIH, mars 2024)

La Commission de l’IA (Intelligence artificielle) préconise la suppression des procédures d’autorisation préalable d’accès aux données de santé et la réduction des délais de réponse de la CNIL. Retour sur ce rapport tant attendu, qui a été présenté mercredi dernier au Président Emmanuel Macron.

Le dispositif français de protection des mineurs face à l’industrie pornographique à l’épreuve du droit européen

Issu de la section 5 « De la mise en péril des mineurs » de la loi n°92-684 du 22 juillet 1992, l’article 227-24 du Code pénal érige depuis plus de 30 ans en délit le fait de permettre à des mineurs l’accès à des contenus pornographiques. Par plusieurs lois promulguées depuis 2020, le Législateur tend à renforcer la protection des mineurs en ligne. Cet affutage de l’arsenal juridique français est aujourd’hui tancé par les engagements européens de la France.

Est-il possible de recourir à une plateforme de mise en relation pour vendre en ligne des médicaments ?

Alors que les plateformes de mise en relation ne cessent de fleurir et ce, dans de nombreux domaines, le secteur pharmaceutique n’a pas échappé à cette tendance. Compte tenu de la règlementation stricte applicable à la vente de médicaments, la licéité du recours à de telles plateformes pour ce type de vente interroge. En particulier, une telle pratique est-elle compatible avec l’interdiction de la vente en ligne de médicaments non soumis à prescription médicale par une personne n’ayant pas la qualité de pharmacien ?

Le consentement, une base légale parfois inadaptée (Expertises, Mars 2024)

Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les autorités nationales de contrôle au niveau européen et les juridictions européennes.

Communication orale de données personnelles et RGPD

Une communication orale de données à caractère personnel constitue-t-elle un traitement de données à caractère personnel soumis au RGPD ? La CJUE a récemment répondu par l’affirmative, sous réserve du respect de certaines conditions.

Sécurité des dossiers patient informatisés : la Cnil met la pression sur les établissements de santé (La Veille – Acteurs de santé, mars 2024)

Dans une communication récente, la CNIL a mis en avant l’insuffisance des mesures mises en œuvre par les établissements de santé visant à garantir la sécurité de leurs dossiers patients informatisés (DPI). Le grief principal est le suivant : trop de personnel au sein de ces organismes aurait accès aux données de santé des patients. Les enjeux éthiques et juridiques sont énormes. Des mesures d’amélioration sont proposées par la CNIL, valables pour toutes les structures de soins où de nombreuses personnes ont accès aux dossiers des patients.

TREETS, le come-back ?

Par un jugement en date du 20 décembre 2023, le Tribunal judiciaire de Paris a rejeté les demandes en nullité et en concurrence déloyale formulées par le titulaire d’une ancienne marque non-exploitée depuis 30 ans à l’encontre du nouveau titulaire de la marque.

Quand l’éthique s’invite dans les services numériques de santé intégrant l’IA (DSIH, mars 2024)

L’Agence du Numérique en Santé (ANS) vient de publier un référentiel éthique pour les services numériques de santé intégrant l’IA. Ce référentiel s’adresse aux éditeurs-fournisseurs d’un SI embarquant un module d’IA, mais aussi aux professionnels de santé et aux patients utilisateurs.

Le responsable du traitement doit correctement qualifier les demandes d’exercice des droits

L’autorité de contrôle autrichienne a sanctionné un responsable du traitement qui a interprété une demande de droit d’accès comme une demande d’effacement.

Droit d’accès aux images de vidéosurveillance : attention aux délais de conservation raccourcis

L’autorité de contrôle grecque a sanctionné une banque pour n’avoir pas correctement répondu à une demande d’exercice des droits, aboutissant à une suppression des données.

La transmission de données personnelles au mauvais époux est une violation de données

L’autorité de contrôle grecque a sanctionné une banque pour avoir transmis des données personnelles à l’épouse de son client.

Le droit d’accès dans le viseur du CEPD

Le CEPD a annoncé que le thème de sa troisième action coordonnée 2024 est le droit d’accès. Créé en 2020, l’action coordonnée vise à « faciliter [entre les autorités de contrôle] des actions conjointes […], allant de la sensibilisation et la collecte d’informations conjointes à des opérations répressives ciblées et coordonnées et des enquêtes conjointes ».

Un entrepôt de données de santé peut-il être hébergé par Microsoft ? (DSIH, Février 2024)

Pour mémoire, la CNIL a publié un référentiel relatif « aux traitements de données à caractère personnel mis en œuvre à des fins de création d’entrepôts de données de santé dans le domaine de la santé » (le « Référentiel »). Ce Référentiel concerne uniquement les entrepôts de données de santé « nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable de traitement ».

Les établissements de santé dans le collimateur de la CNIL (DSIH, février 2024)

La CNIL a diligenté treize contrôles entre 2020 et 2024 auprès d’établissements de santé[1]. Résultat : les mesures mises en œuvre par ces derniers pour garantir la sécurité du dossier patient informatisé (DPI) sont insuffisantes. Plusieurs d’entre eux ont fait l’objet de mise en demeure de prendre des mesures adaptées. La CNIL prévoit des mesures correctrices contre d’autres établissements en 2024.

Un organisme de contrôle médical peut-il traiter les données de santé de ses propres salariés ? (DISH, janvier 2024)

Lorsqu’un organisme de contrôle médical traite des données de santé d’un de ses salariés afin d’évaluer les capacités de travail dudit salarié, la licéité d’un tel traitement au regard du RGPD interroge. Comment effectivement gérer cette double « casquette » de l’organisme, à la fois responsable de traitement agissant dans le cadre de sa mission de contrôle médical, et également employeur de la personne concernée par le traitement ? Un tel traitement peut-il être autorisé ? N’y-a-t-il pas conflit d’intérêts ? Le consentement du salarié concerné pour procéder à un tel traitement est-il requis ? Comment assurer le respect du secret médical au sein de l’organisme, en particulier vis-à-vis de l’équipe travaillant avec le salarié concerné ?

Les déclinaisons du droit à l’oubli (Expertises, Février 2024)

Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les autorités nationales de contrôle au niveau européen et les juridictions européennes.

Photographies intimes : pas de droit d’accès si la personne n’est pas identifiable

L’autorité de contrôle croate a validé le raisonnement d’un responsable du traitement qui n’a pas fait droit à une demande de droit d’accès au motif que la prétendue personne concernée n’était pas identifiable.

L’IA doit respecter le RGPD, même si sa finalité est « positive »

L’autorité de contrôle danoise a considéré que la municipalité de Copenhague ne disposait pas d’une base légale valable pour développer et utiliser un système d’intelligence artificielle.

L’urgence médicale ne peut pas passer outre le RGPD

L’autorité de contrôle italienne a sanctionné un pneumologue pour avoir, sous prétexte de l’urgence, transmis à un tiers des données de santé.

Le personnel doit être formé à répondre aux demandes d’exercice des droits

L’autorité de contrôle roumaine a sanctionné un responsable du traitement qui n’avait pas formé son personnel à répondre aux demandes d’exercice des droits.

Nouvelles techniques de « traçage » : les lignes directrices du CEPD

Le 14 novembre 2023, le CEPD a édicté de nouvelles lignes directrices 2/2023 sur le champ d’application technique de l’article 5(3) de la directive « ePrivacy », afin de prendre en compte l’émergence de nouvelles techniques de traçage.

Certification HDS : un nouveau « nouveau projet de référentiel »

Le nouveau projet de référentiel HDS a fait l’objet de nouvelles modifications.

Les limites du droit à l’effacement (Expertises, Janvier 2024)

Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les autorités nationales de contrôle au niveau européen et les juridictions européennes. Ce mois-ci, il se penche sur le bien-fondé d'une demande portant sur des données archivées.

De l’originalité des photographies prises lors de courses automobiles représentant « la vie autour du circuit »

Par un arrêt du 5 décembre 2023, la Cour d’appel de Rennes vient reconnaître l’originalité de photographies prises durant la course “des 24 heures du Mans”.

Commercialisation de produits cosmétiques d’occasion et usage illicite de la marque

Selon la Cour de cassation, la règle de l’épuisement des droits du titulaire d’une marque n’est pas absolue et le titulaire d’une marque peut s'opposer à tout nouvel acte de commercialisation, dès lors qu’il justifie de motifs légitimes. La vente de produits d’occasion, d’autant plus lorsqu’il s’agit de produits de luxe, ne doit pas être préjudiciable à l’activité même du titulaire de la marque.

Demandes de droit d’accès abusives, stop ou encore ? (Expertises, Décembre 2023)

Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les autorités nationales de contrôle au niveau européen et les juridictions européennes. Ce mois-ci, il se penche sur la question de savoir si une demande de droit d'accès repose sur une autre motivation que celle d'apprécier la licéité d'un traitement doit ou non être considérée comme abusive.

Informer de la fermeture d’une clinique, oui. Mais pas n’importe comment…

L’autorité de contrôle italienne (lien) a rappelé que les panneaux d’information n’ont, en principe, pas à contenir de données personnelles, et encore moins de données sensibles (GPDP Italie 8 juin 2023)

Etudes cliniques : l’existence d’un tableau de concordance empêche toute anonymisation ?

L’autorité de contrôle italienne (lien) est venue préciser la notion d’anonymisation et a considéré que des données ne sont correctement anonymisées (i) qu’après avoir été agrégées et (ii) une fois le tableau de concordance entre le nom des patients et le code d’identification détruit (GPDP Italie, 18 juillet 2023).

La photocopie d’une carte d’identité est parfois insuffisante

L’autorité de contrôle italienne (lien) a considéré que, pour procéder à l’activation d’une ligne téléphonique, l’opérateur téléphonique ne peut pas se contenter d’une simple photocopie d’une carte d’identité : il doit vérifier l’identité réelle du client (GPDP Italie, 14 septembre 2023)

Check-in à l’hôtel : la photocopie d’une carte d’identité est surabondante

L’autorité de contrôle espagnole (lien) a rappelé que le fait pour un hôtel de photocopier les papiers d’identité de ses clients est contraire au principe de minimisation (AEPD, Espagne, 18 octobre 2023).

Droit d’accès : Peut-il être utilisé pour vérifier le bon déroulé du traitement… Médical ?

Dans un arrêt du 26 octobre 2023, la Cour de justice de l’Union européenne (CJUE) a répondu à la question suivante : le droit d’accès permet-il à la personne concernée d’obtenir gratuitement une copie de son dossier médical, y compris lorsque cette demande n’est pas motivée par un des objectifs visés par le RGPD, et lorsqu’une disposition de droit national prévoit le remboursement des couts engendrés par cette communication ?

Procédure simplifiée : retour de la CNIL sur ses 10 dernières sanctions

Depuis le début d’année 2022, la CNIL a la possibilité d’engager des poursuites selon une procédure simplifiée (également appelée « sanction simplifiée »). Dans un article publié sur son site le 7 novembre 2023, la CNIL (1) est revenue sur dix nouvelles décisions prises et (2) en a profité pour annoncer qu’elle utilisera cette procédure pour contrôler les traitements relatifs à la géolocalisation et la vidéosurveillance des salariés.

Le défaut de collaboration du client entraine l’absence de responsabilité du prestataire en cas de dysfonctionnement du site internet d’un client

La récente décision du tribunal de commerce rappelle qu’il n’est pas toujours opportun pour un client de se tourner vers les juges pour obtenir la réparation du préjudice qu’il estime avoir subi du fait de son prestataire en informatique, notamment lorsqu’il est susceptible d’avoir failli à son obligation de collaboration. Effectivement le « coût » du projet que le client cherche à récupérer devant le juge peut rapidement être dépassé par le montant des frais de procédure.

Internet et les enfants – Les parents-influenceurs dans le viseur du Législateur

Le renforcement de la protection du droit à l'image des enfants en ligne, initiée par la loi du 19 octobre 2020, s'est avéré essentiel face à la tendance croissante à exposer excessivement les mineurs sur les réseaux sociaux, les exposant ainsi au jugement de tiers et aux risques de cyberharcèlement, voire dans le pire des cas, à une exploitation par des réseaux pédopornographiques.

Conformité de pratique de facturation d’un abonnement à une plateforme (run) malgré l’échec de la prestation de déploiement (build)

La Commission d'examen des pratiques commerciales (CEPC) était interrogée par un professionnel sur la conformité de la pratique d’une société informatique consistant à adresser au client plusieurs factures annuelles forfaitaires sur le fondement d’un contrat d’abonnement, au titre de prestations dont ce dernier ne bénéficiera pas, faute de déploiement de la plateforme permettant la délivrance de ces prestations.

Application d’une hausse significative du prix après renouvellement tacite du contrat d’achat de licence

La Commission d'examen des pratiques commerciales (CEPC) était interrogée par une entreprise sur la conformité de la pratique consistant à appliquer, après le renouvellement par tacite reconduction d’un contrat d’achat de licence conclu annuellement avec un intégrateur, portant sur un logiciel fourni par un éditeur, un tarif « public » représentant une augmentation significative du prix par rapport à l’année précédente.

Les limites du contentieux informatique en référé

En référé, demander une provision, c’est oui (encore faut-il que la qualité du créancier soit incontestable) mais demander la résiliation du contrat, c’est non, la décision excédant les pouvoirs du juge de l’urgence. Obtenir une expertise judiciaire reste conditionné.

L’encadrement du sous-traitant dans les projets informatiques : formalisez vos griefs !

Le client, insatisfait de la mission confiée à son sous-traitant qu’il considère avoir du compenser et qui lui aurait porté préjudice dans la réalisation du projet du client final, ne peut obtenir d’indemnisation, faute de pouvoir rapporter la preuve des griefs invoqués, dans un contexte contractuel trop peu explicite, le sous-traitant n’ayant notamment pas été formellement associé aux négociations avec le client final.

L’obligation contractuelle de moyens n’est pas un frein à la condamnation du prestataire informatique

Le client ayant adressé un cahier des charges à son prestataire, base du devis accepté, le prestataire connaissait les contraintes de son client. En l’absence de délivrance conforme dans les délais attendus, le manquement du prestataire à ses obligations contractuelles, fussent-elles de moyens compte tenu de la marge d’aléa tenant compte du rôle du client dans sa participation au projet, peut être démontré s’il ne justifie pas d’une préparation suffisante de sa proposition ni d’avoir déployé ses meilleurs moyens.  

La dégradation des relations contractuelles : un critère pris en compte pour diminuer le montant du préjudice économique subi

Dans le cadre d’un contentieux informatique, le client qui accepte de modifier par avenant les conditions contractuelles devra assumer sa décision de poursuite et régler ses factures. Le prestataire lui ne pourra faire valoir un préjudice de perte de chance de futures missions, la collaboration pouvant difficilement être envisagée de manière pérenne entre les parties.

Du contentieux des contrats de proof of concept (PoC)

Cet arrêt, centré sur le contrat particulier visant l’appréciation de la faisabilité d’un projet informatique, permet de revenir sur les conditions d’application de l’obligation d’information et de conseil du prestataire, certes essentielle, mais dont la réalisation est corrélée à l’exécution de l’obligation de collaboration du client.

Droit à l’oubli : une arme pour anonymiser des articles de presse

L’éditeur du quotidien belge « Le Soir » a été condamné par les juridictions belges à anonymiser, au nom du droit à l’oubli, un article qui avait été numérisé sur le site. Dans son arrêt du 4 juillet 2023, la CEDH a rejeté le recours du quotidien et validé le raisonnement des juridictions belges.

L’utilisation de la marque d’un concurrent à titre de mot-clé et dans le code source d’un site internet

Selon la Cour de cassation, le titulaire d'une marque ne peut pas interdire à un concurrent de faire de la publicité pour des produits ou des services identiques à ceux pour lesquels la marque est enregistrée à partir d'un mot-clé sélectionné dans le cadre d'un service de référencement sur internet, ni reproduire cette marque dans le code source du site internet, dès lors qu’il n’existe pas de risque de confusion entre les produits et services concernés aux yeux de l’internaute moyen.

Le linge basque constitue une indication géographique protégée

La Cour de cassation vient confirmer la décision rendu par la Cour d'appel de Bordeaux, pour qui le linge basque est bien protégé par une indication géographique. Pour la chambre commerciale, un produit doit être caractérisé par l’une des caractéristiques suivantes pour être éligible à une appellation géographique protégée : un savoir-faire traditionnel ou une réputation qui peuvent être attribués essentiellement à cette zone géographique.

Un employeur peut-il utiliser la messagerie professionnelle d’un ex-salarié ? (Expertises, Novembre 2023)

Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les autorités nationales de contrôle au niveau européen et les juridictions européennes. Ce mois-ci, il se penche sur la problématique de l'envoi d'un courriel depuis la messagerie électronique professionnelle d'un ancien salarié ayant récemment quitté ses fonctions.

L’étroite collaboration entre le client et le prestataire d’une solution informatique est la clé de voute d’un projet réussi

L’étroite collaboration entre le client et le prestataire d’une solution informatique est la clé de voute d’un projet réussi, c’est ce qu’a récemment rappelé la Cour d’appel de Rennes.

Confirmation de la décision rendue le 8 février 2022 venant conditionner la validité d’une cession à titre gratuit à la conclusion d’un acte notarié

Cette ordonnance du 12 avril 2023 vient confirmer la précédente décision rendue par le Tribunal judiciaire ayant conclu à la nullité d’une cession de droits de propriété intellectuelle à titre gracieux faute d’être entérinée par acte notarié.

Pratiques restrictives de concurrence : mea culpa et revirement de jurisprudence de la Cour de cassation

Par un arrêt du 18 octobre 2023 (n° 21-15378) la chambre commerciale de la Cour de cassation a opéré un revirement de jurisprudence et considéré que pour contester la compétence d’une juridiction à connaître d'une demande reconventionnelle fondée sur une pratique restrictive de concurrence, il faut soulever une exception d’incompétence et non une fin de non-recevoir : explications.

La présence de données personnelles sur des panneaux d’information est contraire au RGPD

L’autorité de contrôle italienne a sanctionné une autorité sanitaire qui, par inadvertance, avait laissé présentes des données personnelles sur un panneau d’information affiché à l’entrée d’un hôpital.

Droit d’accès : rejet d’une demande abusive

Un tribunal allemand a qualifié une demande de droit d’accès d’abusive, considérant que cette dernière n’avait pas pour objectif de vérifier la légalité du traitement, mais avait pour unique objectif de vérifier l’augmentation des cotisations d’un contrat d’assurance.

Sanction du responsable du traitement qui n’a pas limité les accès aux données de santé aux seuls employés ayant besoin d’en connaître

L’autorité de protection des données danoise a sanctionné la région du Sjælland pour n’avoir pas limité l’accès à des données de santé aux seuls employés ayant besoin d’en connaitre dans le cadre de leurs missions.

Prospection commerciale, information des personnes, violation de données : GROUPE CANAL + sanctionné par la CNIL à une amende de 600.000 €

La CNIL a sanctionné la société GROUPE CANAL + pour divers manquements relatifs à la prospection commerciale, à l’information des personnes et aux obligations en matière de  violation de données.

Diffusion sur les réseaux sociaux d’une vidéo non consentie (Expertises, Octobre 2023)

Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les autorités nationales de contrôle au niveau européen et les juridictions européennes. Ce mois-ci, il se penche sur la problématique de la diffusion de vidéos sur les réseaux sociaux, enregistrées et publiées sans le consentement de la personne concernée.

Résiliation : respectez la philosophie du contrat ou attention aux conséquences !

Dans le cadre d’une obligation de moyens du prestataire, résilier le contrat pour faute impose au client de pouvoir justifier ses griefs et rapporter la preuve de la gravité des manquements contractuels commis. A défaut la rupture sera jugée infondée et le prestataire pourra prétendre à une indemnisation, le client n’ayant pas respecté la « philosophie du contrat » et la collaboration prévue.

Déréférencement : quand le Conseil d’Etat déjuge la CNIL

Par une décision du 20 avril 2023, le Conseil d’Etat a enjoint à la CNIL à mettre en demeure Google de déréférencer un article relatant la condamnation pénale d’un homme.

Entrepôts de données de santé : Synthèse et enjeux (DSIH, octobre 2023)

Les 21 et 22 septembre 2023 s’est tenu le Salon-Congrès City Healthcare à la Cité des congrès de Nantes, consacré au numérique en santé. Cette 8e édition, organisée sous le haut patronage du ministre de la Santé et de la Prévention, était présidée par le Dr Lise Alter, directrice générale de l’Agence de l’innovation en santé.

IA génératives & droit d’auteur : la protection des auteurs passera-t-elle par une gestion collective des œuvres et la taxation des exploitants de l’IA ?

Les députés français s’emparent du sujet brulant des IA génératives et de leur encadrement par le droit d’auteur, dans l’objectif d’endiguer les risques de paupérisation des artistes et de dévalorisation de leurs œuvres. Que penser de cette proposition de loi, qui instaurerait un nouveau système de gestion collective des droits et une taxe des sociétés exploitant les systèmes d’IA ?

Parution des décrets venant préciser la contrepartie financière versée aux inventeurs et développeurs non-salariés, ni agents publics, accueillis par un établissement de recherche en cas d’invention ou de logiciel

Les décrets du 11 août 2023 viennent préciser les modalités de cette contrepartie financière, selon le type de création et la situation concernée.

Sanction de SAF LOGISTICS par la CNIL : un formulaire de mobilité interne un peu trop étoffé

Le 18 septembre 2023, la CNIL a sanctionné la société SAF LOGISTICS, qui traitait, dans le cadre d’opérations de mobilités internes, des données personnelles de salariés allant au-delà des besoins du traitement.

Du sort spécifique des atteintes au droit moral de l’auteur d’une œuvre in situ

Cet arrêt du 9 juin 2023 donne à la Cour d’appel de Paris l’occasion de rappeler la spécificité des œuvres in situ, éminemment dépendantes de leur lieu d’installation et de leur environnement.

Proposition de loi portant réforme de la preuve de l’originalité de l’œuvre

Le 6 juillet 2023 dernier, une proposition de loi a été déposée au Sénat afin de réformer le régime de la preuve de l’originalité de l’œuvre en droit d’auteur.

IA génératives & propriété intellectuelle : Quelles sont les actualités outre-Atlantique ?

Cette rentrée de septembre 2023 est l’occasion de revenir sur les dernières actualités américaines en matière d’IA génératives et de copyright : absence de protection des résultats générés, nouvelles actions collectives, et émergence d’une nouvelle tendance contractuelle en matière de garantie de jouissance paisible des résultats produits sont au programme.

IA génératives & jouissance paisible des contenus générés : une tendance à la sécurisation ?

Face à la multiplication des actions en justice, certains éditeurs d’IA génératives commencent à modifier leurs pratiques et offrent à leurs clients des garanties de jouissance paisible sur les résultats générés. Le montant des condamnations prononcées à l’encontre des clients, pour contrefaçon, voire des frais de défense, seraient, in fine, pris en charge par les éditeurs.

RGPD : Un laboratoire d’analyses médicales invoque sa qualité de sous-traitant pour se dédouaner de toute responsabilité (DSIH, septembre 2023)

Un patient s’est plaint du non-respect, par un laboratoire d’analyses médicales, de ses obligations au titre du RGPD. En défense, le laboratoire invoquait sa qualité de sous-traitant pour expliquer l’absence d’analyse impact et d’information des patients. Était-ce une bonne stratégie ? 

Messagerie électronique : lors du départ d’un salarié, l’employeur doit désactiver le compte

L’autorité de contrôle italienne a sanctionné un employeur qui n’avait pas supprimé le compte de messagerie d’un ancien salarié.

SIM swapping : Orange sanctionnée pour défaut de base légale

L’opérateur téléphonique Orange a été sanctionné pour avoir traité les données personnelles d’un client sans base légale, ce qui a engendré une usurpation d’identité de ce dernier.

Le principe d’exactitude permet de réexaminer une sanction disciplinaire

L’Ordre des pharmaciens belge a été sanctionné sur le fondement du principe d’exactitude pour n’avoir pas réexaminé une sanction disciplinaire

Sanction d’un laboratoire d’analyses médicales

En sanctionnant un laboratoire d’analyses médicales, l’autorité de contrôle belge est venue clarifier ou rappeler certains principes du RGPD.

L’avis CNIL sur le décret dédié à la vidéoprotection dans le cadre des JO

Le 15 juin 2023, la CNIL a rendu un avis portant sur le projet de décret organisant les traitements algorithmiques des images qui seront collectées par les caméras installées sur des aéronefs, dans le cadre des jeux Olympiques.

Le principe de minimisation cède-t-il face au droit à la preuve d’une discrimination ?

Dans un arrêt du 6 juillet 2023, la Cour d’appel de Paris a fait application du principe de minimisation pour déterminer dans quelle mesure un employeur peut communiquer les données personnelles de ses salariés à un autre salarié qui s’estime victime de discrimination.

Application aux traitements réalisés par des particuliers (Expertises, Septembre 2023)

Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les autorités nationales de contrôle au niveau européen et les juridictions européennes. Ce mois-ci, il se penche sur la problématique de l'application du RGPD aux traitements "domestiques" réalisés par des personnes physiques.

Mise à jour du référentiel CNIL « alertes professionnelles »

Le 6 juillet dernier, la CNIL a mis à jour son référentiel « alertes professionnelles », à la suite de la transposition par la France de la directive européenne sur la protection des personnes qui signalent des violations du droit de l’Union.

Les Etats-Unis, de nouveau reconnus pays « adéquat »

Par une décision du 10 juillet 2023, la Commission Européenne a reconnu, pour la troisième fois, les Etats-Unis comme garantissant un niveau de protection adéquat pour le transfert de données à caractère personnel.

Editeurs de site internet : est-il opportun de vous opposer à l’utilisation de vos données à des fins d’entrainement des IA ?

Le Syndicat national des l’édition (SNE) a publié une clause type, permettant aux éditeurs de s’opposer à la fouille de textes et de données sur internet. L’occasion de revenir sur l’entraînement des IA au moyen de contenus diffusés sur Internet et la manière de s’y opposer.

Obtenir sa copie d’examen via le droit d’accès ? (Expertises, Juillet 2023)

Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les autorités nationales de contrôle au niveau européen et les juridictions européennes. Ce mois-ci, il se penche sur la problématique de l'efficacité d'une demande de droit d'accès exercée par un étudiant aux fins d'obtenir la communication d'une copie de sa copie d'examen.

CJUE : la question de la révocation du DPO et la notion de conflit d’intérêts (La Semaine Juridique, Juillet 2023)

Dans deux arrêts du 9 février dernier, la CJUE a donné des indications précieuses concernant la question de la révocation du DPO et la notion de conflit d'intérêts.

Droit d’accès : l’employeur doit-il communiquer l’identité des salariés ayant consulté les données de la personne concernée ?

Dans un arrêt du 22 juin 2023, la CJUE s’est prononcée sur les limites du droit d’accès en confirmant qu’on ne peut, en principe, pas d’obtenir l’identité des personnes ayant consulté ses données.

Elle découvre les condamnations pénales de son conjoint sur un site internet et le quitte. Il demande réparation auprès du site internet

La Cour de cassation italienne a effectué une mise en balance entre le droit à l’oubli et l’intérêt légitime du public à la connaissance d’un fait en prenant position pour ce dernier.

La restitution d’un dossier par l’avocat ne peut pas passer par le droit d’accès

L’autorité de contrôle belge s’est déclarée incompétente pour ordonner la restitution d’un dossier de procédure judiciaire par un avocat à la plaignante.

La réponse d’un médecin à un commentaire sur internet ne doit pas révéler de données personnelles

Une autorité de contrôle allemande a sanctionné un médecin qui, en répondant à un commentaire négatif sur internet, a dévoilé les données personnelles d’un de ses patients.

L’employeur n’a pas à informer le personnel du motif du licenciement d’autres salariés

L‘autorité de contrôle belge a prononcé un avertissement à l’encontre d’un employeur qui a indiqué au personnel que des salariées avaient été licenciées « pour faute grave ».

Le droit d’accès ne permet pas d’obtenir l’identité des personnes ayant consulté les données

Dans un arrêt du 22 juin 2023, la CJUE s’est prononcée sur les limites du droit d’accès en confirmant qu’on ne peut, en principe, pas d’obtenir l’identité des personnes ayant consulté ses données.

Cookies et publicités ciblées sur le web : Critéo condamnée à une amende de 40 millions d’euros.

La CNIL a prononcé une amende de 40 millions d’euros à l’encontre de la société de reciblage publicitaire Critéo pour de nombreux manquements au RGPD.

La sanction CNIL que la société de voyance aurait pu prédire

Le 8 juin 2023, la CNIL a prononcé une sanction à l’égard de KG COM, en raison de multiples manquements, dont : un défaut de notification d’une violation de données, une atteinte au principe de minimisation et un traitement de données sensibles sans consentement.

Premier pas de la Commission européenne sur le partage de données dans le secteur automobile, enfin !

Le 27 mai 2010 a été adopté le règlement UE n°461/2010 concernant l’application de l’article 101 §3 TFUE à des accords verticaux et de pratiques certifiées dans le secteur automobile.

Utilisation de l’IA générative en entreprise : quelles recommandations pour vos salariés ?

Face aux risques que posent les IA génératives de textes, d’images, de vidéos, et de codes informatiques, les entreprises commencent à édicter des lignes directrices et codes de bonne conduite à destination de leurs salariés.

L’employeur ne peut invoquer le RGPD pour s’opposer à une demande de communication de pièces

Dans son arrêt du 1er juin 2023, la Cour de cassation s’est prononcée sur la possibilité, pour des salariés s’estimant discriminés, de demander en référé la communication des bulletins de paie de leurs collègues de travail.

Transferts de données aux Etats-Unis : Meta condamnée à une amende record de 1,2 milliards d’euros

L’autorité de contrôle irlandaise a prononcé une amende d’1,2 milliards d’euros à l’encontre de Meta, pour avoir transféré des données personnelles aux Etats-Unis.

Dossier médical : obligation de conservation et de transmission en cas de demande d’exercice des droits

L’autorité de contrôle hongroise a sanctionné un médecin pour (i) n’avoir pas indiqué l’adresse permettant aux personnes concernées d’exercer leurs droits et (ii) n’avoir pas gardé le dossier médical d’une patiente.

La transmission d’un jugement non anonymisé par un avocat viole le RGPD

L’autorité de contrôle espagnole a considéré que le transfert d’un jugement non anonymisé sans le consentement des parties était dépourvu de base légale.

Quand le juge perd un clé USB, c’est le tribunal qui est sanctionné

L’autorité de contrôle polonaise a sanctionné un tribunal pour n’avoir pas mis en œuvre une mesure technique permettant de bloquer l’usage des supports de stockage externes.

Les signatures des représentants syndicaux ne doivent pas apparaître sur les documents affichés  

L‘autorité de contrôle espagnole a sanctionné un employeur pour avoir publié un procès-verbal contenant les signatures de représentants syndicaux.

Droit à l’image : la responsabilité délictuelle s’applique lorsque le contrat est expiré

Par un jugement du 17 mai 2023, le Tribunal judiciaire de Paris a fait application du principe de non-cumul des responsabilités contractuelle et extracontractuelle en ce qui concerne le droit à l’image.

Encore faut-il collaborer pour être coauteur d’une œuvre audiovisuelle !

Par un arrêt du 29 mars 2023, la Cour de cassation se penche sur l’appréciation de la présomption de cotitularité dont bénéficient les auteurs d’une œuvre audiovisuelle, ainsi que sur la notion d’œuvre de collaboration, par opposition à une œuvre composite.

Un accord de confidentialité en lien avec une invention devient-il caduc à compter de la publication de la demande de brevet correspondante ?

La Cour de cassation a calmé les velléités de la Cour d’appel qui avait conclu à la caducité d’un accord de confidentialité en lien avec une invention, du fait de la publication et du caractère public du brevet d’invention correspondant.

Méthode Agile et responsabilité du prestataire informatique

Le prestataire IT, à qui il appartient de mener les investigations nécessaires à la définition des besoins, et qui les a manifestement sous-estimés, manque à son devoir d'information, de conseil et de mise en garde. Son organisation et ses erreurs ayant ajouté aux retards, le glissement du calendrier et du prix qui a résulté de ces manquements, et finalement, l'absence de délivrance lui est imputable, peu important que le contrat soit signé en « méthode Agile » avec une obligation de collaboration du client renforcée.

Le prestataire IT doit mener les investigations techniques nécessaires avant de s’engager

Le prestataire informatique, à qui était confiée la conception d’une application et qui n'a pas sollicité de son client l’accès aux éléments techniques avant la rédaction de la proposition du contrat, a manqué à son devoir de conseil, en qualité de professionnel spécialiste de ces applications, son client n’ayant aucune compétence en cette matière pour connaître la possibilité de reprise ou non de l'application existante.

Consultations abusives de données à des fins privées (Expertises, Juin 2023)

Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les autorités nationales de contrôle au niveau européen et les juridictions européennes. Ce mois-ci, il se penche sur la problématique des traitements réalisés à des fins privées par des personnes ayant un accès légitime à une base de données dans le cadre de leurs fonctions.

IA et Données Personnelles : La Cnil publie sa feuille de route sur les IA génératives

La protection des données personnelles est un enjeu majeur pour l’ensemble des concepteurs et utilisateurs des systèmes d’IA.

Le rapport d’activité 2022 de la CNIL

Comme chaque année, la CNIL a publié un rapport retraçant son activité au cours de l’année écoulée, soit, en l’occurrence, 2022.

Recherches médicales : et si le RGPD ne s’appliquait (finalement) pas au promoteur de l’étude ? (DSIH, Juin 2023)

Dans une affaire récente[1], le Tribunal de l’Union Européenne a considéré que les données transmises à un destinataire ne peuvent être considérées comme des données personnelles que sous réserve que ce destinataire dispose des « moyens légaux et réalisables en pratique » lui permettant d’accéder aux informations supplémentaires nécessaires à la réidentification des personnes concernées détenues par le transmetteur desdites données. Une telle décision pourrait avoir un écho très fort dans le domaine de la recherche. Explications…    

Dispositifs médicaux numériques pris en charge par l’assurance maladie : retour sur le nouveau référentiel

Un nouveau référentiel d’interopérabilité et de sécurité des dispositifs médicaux numériques a été publié au Journal Officiel du 3 mars 2023 (arrêté du 22 février 2023). Celui-ci concerne un plus grand nombre de dispositifs médicaux numériques que le référentiel qu’il remplace.

Caméras augmentées : adoption de la loi olympique et tournant quant à l’utilisation de l’IA à des fins sécuritaires

Les caméras augmentées font leur entrée dans l’espace public, sous couvert de la nécessité de protéger et sécuriser les abords des grands évènements sportifs lors de la Coupe du Monde de Rugby et les JO 2024 à venir. Il s’agit de l’une des mesures phares de la Loi relative aux Jeux Olympiques et Paralympiques de 2024, définitivement adoptée à l’Assemblée Nationale le 11 avril et par le Sénat le 12 avril 2023.

L’inquiétude grandissante des entreprises européennes face au projet de règlement « Data Act »

Le projet de règlement européen sur les données « Data Act », envisagé par l’exécutif européen, pour faciliter l’accès et le partage de données, en particulier celles générées par les appareils connectés, suscite l’inquiétude de nombreuses entreprises européennes, notamment SAP et SIEMENS en Allemagne, lesquelles y voient une menace pour la compétitivité européenne et la sécurité des données de l’union.

Le dossier médical à l’épreuve du droit (DSIH, mai 2023)

Par un arrêt du 11 avril 2023, la Cour administrative d’appel de Paris a statué sur la licéité d’un traitement de données à caractère personnel relatif au dossier médical d’un patient. Cette décision est particulièrement éclairante sur les contours des droits et obligations des parties prenantes : la personne concernée/le patient, d’une part, et le responsable du traitement/l’établissement ou le professionnel de santé, d’autre part.

Et si l’anonymisation était (finalement) possible ?

Le Tribunal de l’Union Européenne (TUE) a annulé une décision du CEPD qui recommandait au Conseil de Résolution Unique (CRU) de modifier sa « déclaration de confidentialité ».

L’insuffisance de conformité est sanctionnée au même titre que l’inexistence de conformité

Par une délibération du 11 mai 2023, la CNIL a prononcé une amende de 380 000 euros à l’encontre de Doctissimo, reprochant à cette dernière de nombreux manquements au RGPD.

Nouvelles mises en demeure de sites pornographiques par l’ARCOM

Dans le cadre de sa mission de protection de l’enfance, l’ARCOM a mis en demeure des éditeurs de sites pornographiques de prendre toute mesure de nature à se conformer à leurs obligations en termes de restriction d’accès des mineurs.

La représentation d’un torse d’homme sous forme de flacon ne saurait faire l’objet d’un monopole !

Dans une affaire opposant le titulaire des droits sur le flacon de parfum « LE MALE » de Jean-Paul Gaultier à une société commercialisant des flacons de parfum représentant également un tronc masculin sans bras, la Cour d’appel de Lyon confirme le jugement de première instance venant rejeter les actions en contrefaçon de dessins et modèles et contrefaçon de marque.

Le préjudice de perte de chance d’un prestataire doit s’apprécier au regard de probabilités de gain suffisamment concrètes

Lorsqu’on résilie un contrat pour faute, il convient, a minima, de préciser la faute qu’on reproche à son cocontractant… Au-delà de ce rappel de bon sens, cet arrêt donne quelques indications fort utiles sur le calcul du préjudice de perte de chance d’un prestataire, en matière d’échec de projets informatique.

Les « gatekeepers » ou « contrôleurs d’accès », acteurs au centre de la réglementation sur les marchés numériques

Le Digital Markets Act (DMA) est entré en vigueur le 2 mai 2023, et vise à rétablir un équilibre entre les plus grandes plateformes opérant un contrôle quasi monopolistique sur l’accès au marché numérique, appelées « gatekeepers », et les entreprises utilisatrices.

Quelques précisions bien utiles sur les règles de calcul des préjudices en cas de contentieux informatique

Un client avait conclu avec un éditeur un contrat portant sur la conception et l’acquisition de progiciels destinés à la gestion globale de sa production industrielle. Arguant de graves défaillances, ce client avait finalement mis un terme aux relations contractuelles le 6 janvier 2012.

CJUE : Le droit d’accès et la remise de documents

Dans un arrêt du 4 mai 2023, la Cour de justice de l’Union européenne (CJUE) a indiqué que, pour répondre de façon satisfaisante à une requête au titre du droit d’accès au sens du RGPD, il peut être nécessaire d’adresser à la personne concernée la copie d’extraits de documents, voire de documents entiers.

L’application du principe de minimisation à un média (Expertises, Mai 2023)

Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les autorités nationales de contrôle au niveau européen et les juridictions européennes. Ce mois-ci, il se penche sur la problématique de la licéité de la publication par un média d'un enregistrement audio de la déclaration faite devant un juge par une victime anonyme de viols.

Violation de données : la notion de « courte période d’enquête »

L’Autorité de contrôle norvégienne a sanctionné un responsable du traitement pour avoir attendu 3 mois entre la prise de connaissance de l’impact de l’incident sur des données personnelles et la notification de cet incident.

Régime de la séparation des biens : traiter les données personnelles de l’autre époux est illicite

L’Autorité de contrôle andalouse a sanctionné une municipalité pour avoir traité les données personnelles d’un homme afin de lui saisir sa pension au titre de dettes contractées par sa femme alors que le couple était marié sous le régime de la séparation des biens.

Clôture obligatoire de la messagerie électronique d’un collaborateur en cas de départ

Une société a été sanctionnée par l’Autorité de contrôle italienne pour avoir accédé à la messagerie électronique d’un ancien collaborateur et transféré les courriels reçus par celui-ci vers un autre compte de messagerie.

La CNIL a débuté sa campagne de contrôle des DPO

Le 4 mai 2023, la CNIL a annoncé avoir débuté sa campagne de contrôle des DPO.

Droit au déréférencement : de nouvelles précisions du Conseil d’Etat

Par un arrêt du 20 avril dernier, le Conseil d’Etat, appliquant un récent arrêt de la CJUE, donne des éclairages sur les critères à prendre en compte cas de demande de déréférencement de liens renvoyant à des articles de presse relatant des condamnations pénales.

Transfert de données personnelles UE / Etats-Unis : un cadre toujours insuffisant pour le Parlement européen

Le 13 avril dernier, la commission des libertés civiles (« LIBE ») du Parlement européen a adopté un projet résolution concernant la décision d’adéquation des Etats-Unis. Celui-ci invite la Commission à ne pas adopter ce projet de résolution…

L’adoption par la Commission européenne d’une proposition de règlement de l’UE sur la cybersolidarité 

Le 18 avril dernier, la Commission européenne a adopté une proposition de règlement sur la cybersolidarité visant au renforcement des capacités européennes en matière de cybersécurité.

Le rapport d’activité du CEPD pour 2022

Le Comité européen pour la protection des données personnelles (CEPD) a publié, le 17 avril 2023, son rapport d’activité retraçant les actions réalisées au cours de l’année 2022.

L’utilisation du fichier SIRENE par les douanes est illicite

Constatant l’utilisation illicite d’un fichier recensant des informations sur les passagers des navires contrôlés, la CNIL a mis en demeure le Ministère de l’Economie, auquel les douanes sont rattachées, de se mettre en conformité.

Dispositifs médicaux : la prise en charge anticipée peut démarrer !

Un décret publié le 31 mars dernier précise les modalités d’application de la prise en charge anticipée par l’assurance maladie des dispositifs médicaux numériques à visée thérapeutique et des activités de télésurveillance.

Data : cadre juridique, perspectives et enjeux – Paroles d’experts (IEEPI, Avril 2023)

Conformité de Chat GPT au RGPD : le compte-à-rebours est lancé !  

Les IA génératives sont dans la tourmente : après plusieurs actions en violation des droits de propriété intellectuelle et en parasitisme introduites par des auteurs à l’encontre des éditeurs d’IA génératives d’image, elles se voient désormais reprochées une atteinte au RGPD.

IA & justice : l’« avocat robot » sera-t-il, bientôt, à même de vous défendre ?

L’intelligence artificielle se développe dans tous les domaines, notamment dans le secteur juridique. Les services d’aide à la résolution des petits litiges comme à la rédaction de contrats se multiplient.

Google Ads ne peut plus référencer les vendeurs de billets de spectacle non autorisés

Par un arrêt du 29 mars 2023, la cour d’appel de Paris (i) a condamné Google à 300 000 € de dommages et intérêts et (ii) lui a interdit de permettre l’achat de mots clés « achat/vente, billets/tickets et spectacle/concert » sur Google Ads.

Le projet de loi relatif à la programmation militaire (2024-2030)

Attaques contre les réseaux de communication ukrainiens, suspension du site internet de l’Assemblée nationale… Comme en témoigne l’omniprésence des cyberattaques dans l’actualité récente, le domaine de la cybersécurité s’est graduellement imposé comme un enjeu stratégique de sécurité nationale.

L’ACPR a publié en ce mois d’avril un document de réflexion sur la DeFi.

Dans l'univers de la finance décentralisée que l'on appelle également « DeFi » pour « decentralised Finance », l'autorité de contrôle prudentiel et de résolution - l’« ACPR » - a publié ce mois-ci un document de réflexion visant à étudier les risques de la finance décentralisée, que l’autorité requalifie dès sont titre de finance « désintermédiée ».

Réutilisation de données et changement de finalité : test de compatibilité (Expertises, Avril 2023)

Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les autorités nationales de contrôle au niveau européen et les juridictions européennes.

Sécurité des données personnelles : le nouveau guide pratique de la CNIL

5 ans après la publication de son guide sur la sécurité des données personnelles, la CNIL vient de publier une nouvelle version.

Le rapport d’activité annuel du GIP ACYMA sur l’évolution de la cyber malveillance

Le rapport d’activité publié à l’issue ce premier quinquennat d’existence permet d’apprécier l’évolution rapides des pratiques cyber malveillantes.

Escroquerie de vacanciers : Abritel condamnée à rembourser une partie du prix

Par un jugement du 21 février 2023, le Tribunal judiciaire de Paris a condamné Abritel à payer des dommages et intérêts à des vacanciers victimes d’escroquerie sur son site.

Double peine pour un hôpital : ransomware et sanction de l’autorité de contrôle

L’autorité de contrôle irlandaise a sanctionné un hôpital qui avait subi une attaque par ransomware, pour n’avoir pas mis en œuvre les mesures techniques et organisationnelles adéquates.

Prévention d’une fraude : pas de partage de données personnelles avec une autre société

L’autorité de contrôle suédoise a prononcé un rappel à l’ordre à l’encontre d’une société pour avoir partagé des données personnelles avec une autre société dans un objectif de prévention d’une fraude sans l’avoir mentionné dans sa politique de confidentialité.

Profiler une personne pour déterminer son risque de complication en cas de covid est illicite

L’autorité de contrôle italienne a sanctionné une agence sanitaire italienne pour avoir établi un profil de risque de patients en cas de contraction de la covid-19 en méconnaissance de nombreux principes du RGPD.

Pas de données personnelles dans une thèse de médecine

Un médecin a été sanctionné par l’autorité de contrôle italienne pour avoir publié dans sa thèse, accessible sur internet, des données non anonymisées.

En cas de reproduction de paroles de chansons sans autorisation des ayants-droits, l’exception de courte citation coupe court à toute condamnation en contrefaçon

Pour la Haute juridiction, la reproduction dans un ouvrage biographique de plus de 131 extraits de chansons d’un auteur-compositeur est éligible à l’exception de courte citation et ne porte pas atteinte au droit moral de l’auteur-compositeur, ce qui exclut une condamnation pour contrefaçon.

Doctrine obtient la condamnation des éditeurs juridiques pour procédure abusive

Par un jugement du 23 février 2023, le Tribunal de commerce de Paris a débouté les principaux éditeurs juridiques français de leur action face à Doctrine.

Feuille de route de la direction interministérielle du numérique : la nécessité de placer le numérique au profit de l’Etat

Le 9 mars 2023, la direction interministérielle du numérique dite « DINUM », en tant que direction de l'administration publique française chargée de coordonner les actions des administrations en matière de systèmes d'information, a présenté sa nouvelle feuille de route en matière de numérique public.

Requête « 145 » : Le droit à la protection des données n’est pas absolu

La Cour de cassation a rendu une décision admettant qu’une salariée puisse demande communication, sur le fondement de l’article 145 du Code de procédure civile, des bulletins de salaire de ses collègues masculins, aux fins de preuve dans le cadre d’une action en discrimination.

Wish, condamnée à une amende de 3 millions d’euros pour pratiques commerciales trompeuses, mais à nouveau référencée

La plateforme e-commerce Wish, a été condamnée par le Tribunal Correctionnel de Paris le 10 mars 2023 pour pratiques commerciales trompeuses.

Hébergeur/éditeur de contenus : le contrat prime sur la LCEN

Le mécanisme contractuel de réaction à l’identification d’un contenu manifestement illicite n’a pas à se calquer sur le dispositif prévu par la Loi pour la Confiance dans l’Economie Numérique.

Irrégularité d’un jugement qui s’est fondé sur un pré-rapport d’expertise 

Un expert judiciaire a communiqué un pré-rapport d’expertise, mentionnant que ce document aurait valeur de rapport définitif en l’absence de dires des parties dans un délai de huit semaines. A la suite de ce pré-rapport, deux parties ont présenté, dans le délai sus-indiqué, des dires auquel l’expert n’a pas répondu.

Les thématiques de contrôles de la CNIL pour 2023

Comme chaque année, la CNIL a publié ses « thématiques prioritaires », qui orientent sa politique de contrôle sur des sujets à fort enjeu pour le public et permettent d’évaluer la conformité de secteurs ciblés.

Le programme de travail du CEPD pour 2023-2024

Dans un document adopté le 14 février 2023 et publié le 22 février sur son site internet, le CEPD a partagé son programme de travail pour les années 2023 et 2024.

Le DPO dans le viseur du CEPD

Le CEPD a annoncé que le thème de son « cadre d’action coordonné » 2023 était « la désignation et la position des DPO ».

Recherches médicales : rappel à l’ordre de la CNIL (DSIH, mars 2023)

La présidente de la CNIL a rappelé à deux organismes procédant à des recherches médicales leurs obligations légales.

Un constructeur ne peut agir en garantie avant d’être lui-même assigné aux fins de paiement ou d’exécution de l’obligation en nature

Depuis un arrêt du 16 janvier 2020 (Cass. 3e Civ, 16 janv. 2020, n° 18-25915), le Cour de cassation considérait d’une part, que le recours d'un constructeur contre un autre constructeur ou son sous-traitant relevait des dispositions de l'article 2224 de Code civil et, partant, se prescrivait par cinq ans à compter du jour où le premier avait connu ou aurait dû connaître les faits lui permettant de l'exercer,

La garantie décennale est attachée à la qualité de propriétaire et ne peut être mise en œuvre par l’usufruitier

La société Giovellina, usufruitière d’un ouvrage, a confié la réalisation de la charpente métallique et du revêtement dudit ouvrage à la société Bastia charpentes armatures (la société BCA).

Le maire a le pouvoir d’ordonner la démolition d’une construction illégale

Depuis la loi dite « Engagement et proximité » du 27 décembre 2019, le Code de l’urbanisme permet au maire d’intervenir directement pour faire cesser les infractions aux règles d’urbanisme, et ce, sans nécessité de solliciter l’intervention du juge.

Modification du Code de la commande publique au 1^er janvier 2023

Le décret n° 2022-1683 du 28 décembre 2022  vient apporter quelques modifications au Code de la commande publique, certaines d’entre elles ayant un impact dans les projets de construction avec maîtrise d’ouvrage publique.

Une image d’un « comic book » créée par une IA est-elle une œuvre protégeable par le droit d’auteur ?

En matière de propriété intellectuelle et plus spécifiquement de droit d’auteur, il est intéressant de présenter ici une notification du bureau américain d’enregistrement des droits d’auteur datée du 21 février 2023 ( United States Copyright Office de Washington DC)  à l’encontre d’une autrice d’un comics book, c’est-à-dire d’une bande dessinée[1]. Cette bande dessinée s’appelle Zarya of the Dawn.

La Haute juridiction ouvrirait-elle une brèche vers la brevetabilité des logiciels ?

A titre liminaire, rappelons que l’obtention d’un brevet sur une invention octroie à son titulaire un droit exclusif d’exploitation de l’invention, qui lui permet d’interdire aux tiers d’utiliser celle-ci sans son autorisation préalable.

Vers la mise en place d’un cadre juridique contraignant pour les influenceurs et le marketing d’influence

A l’automne 2022, deux nouvelles propositions de loi tendant à encadrer le marché de l’influence ont été déposées à l’Assemblée Nationale, tandis que la DGCCRF publiait le 23 janvier 2023 dernier les résultants alarmants de son enquête sur le marketing d’influence.

Sécurité numérique et protection des données en première ligne de la transformation numérique des TPE PME en 2023

L’association française pour le nommage Internet en coopération « AFNIC ». C’est le gestionnaire des noms de domaine internet en .FR. Elle accompagne notamment PME et TPME à maximiser leur présence en ligne. L’AFNIC enquête chaque année, depuis 5 ans sur les pratiques de ce type d’entreprises.

L’acte III du déploiement de la « e-carte vitale »

Crée en 1998, la carte vitale constitue l’un des principaux outils pratiques mobilisés par les assurés. Dans le prolongement du virage en santé numérique porté par le gouvernement et l’Assurance maladie, la carte vitale électronique fait l’objet d’une expérimentation depuis 2019 dans 4 puis 10 départements français.

Décision d’adéquation concernant les Etats-Unis : les réticences du Parlement européen

Le Parlement européen a adopté une résolution au sujet du projet de décision d’adéquation concernant les transferts de données personnelles vers les Etats-Unis. Pour le Parlement, les garanties avancées par les Etats-Unis sont largement insuffisantes.

Décision d’adéquation concernant les Etats-Unis : l’avis du CEPD

Le 28 février 2023, le CEPD a rendu son avis sur le projet de décision d’adéquation de la Commission européenne concernant les Etats-Unis.

Non-conformité au RGPD d’un enregistrement obtenu de manière illicite

L’autorité de contrôle italienne a sanctionné un conservatoire national pour avoir utilisé, dans le cadre d’une procédure disciplinaire, un enregistrement obtenu de manière illicite.

Transfert d’un rapport médical au mauvais destinataire par le sous-traitant

L’autorité de contrôle italienne a sanctionné un hôpital pour avoir transféré un rapport médical au mauvais destinataire.

L’utilisation illégale de données de santé dans un article de blog spécialisé

L’autorité de contrôle roumaine a condamné un cabinet dentaire pour avoir publié, dans un article de blog spécialisé, les données de santé de l’un de ses patients sans son consentement.

WhatsApp : interdiction d’inviter un tiers dans un groupe de discussion sans le recueil préalable de son consentement

L’autorité de contrôle espagnole a sanctionné un syndicat de copropriétaires pour avoir ajouté un agent d’entretien à un groupe WhatsApp sans son consentement.

Sécuriser les données de santé, c’est déjà sécuriser leur envoi… (Expertises, Mars 2023)

Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les autorités nationales de contrôle au niveau européen et les juridictions européennes.

CSE et expert du CSE : à chacun son information utile !

Par un arrêt du 18 janvier 2023, la Cour d’appel de Paris rappelle que le droit à l’information du CSE, notamment lorsque celui-ci a recours à un expert, n’est pas absolu et se trouve encadré notamment par deux limites, trop peu rappelées en jurisprudence.

Révocation du DPO : ce que dit la CJUE

Dans deux arrêts du 9 février 2023, la CJUE a répondu à des questions préjudicielles et a donné des indications sur l’interprétation des règles encadrant la révocation du DPO et les conflits d’intérêt.

Téléphone et forfait avec engagement : un crédit trompeur constitutif d’une concurrence déloyale

Par un jugement du 9 février 2023, le Tribunal de commerce de Paris a condamné Bouygues Telecom à payer à Free la somme de 308 millions d’euros pour violation des règles de crédit à la consommation et concurrence déloyale en raison d’une communication trompeuse.

URSSAF & abus de droit : le contrôleur doit aller jusqu’au bout de la procédure, à peine de nullité du redressement

Aux termes de trois arrêts rendus le 16 février 2023, la Cour de cassation rappelle que lorsque l’URSSAF écarte un acte juridique, en raison de son caractère fictif ou frauduleux, celle-ci se place nécessairement sur le terrain de l’abus de droit dont elle doit, dès lors, respecter les règles de procédure, sous peine de nullité du contrôle.

Dénigrer son employeur sur LinkedIn peut coûter cher, même après son licenciement

La Cour d’appel de Reims confirme, dans un arrêt du 11 janvier 2023, que tout employeur peut faire condamner un ancien salarié dans l’hypothèse où celui-ci dénigre l’entreprise sur les réseaux sociaux.

Faute inexcusable : le recours préalable auprès de la CPAM reste facultatif

Par un arrêt du 6 janvier 2023, la Cour d’appel de Paris rappelle que la tentative préalable de conciliation prévue en matière de faute inexcusable reste facultative et ne saurait être prescrite à peine d’irrecevabilité de l’action contentieuse.

Covid-19 et données personnelles : un nouveau décret

Publié au Journal Officiel le 16 février dernier et entrant en vigueur le même jour, le décret n°2023-99 du 15 février 2023[1] apporte des modifications sur les traitements de données à caractère personnel en lien avec la Covid-19.

L’affaire « LUSHA » : des limites au RGPD ?

Par une décision du 20 décembre 2022, la CNIL a considéré que le RGPD ne s’appliquait pas à un traitement de données personnelles de citoyens européens réalisé, sans leur consentement, par une société américaine. Une telle décision, suffisamment rare pour être soulignée, nécessite quelques explications.

Le délai pour contester son licenciement ne court pas dès lors que le salarié, gravement malade, est empêché d’agir

Quel sort réserver à l’action du salarié intentée plus de deux ans après son licenciement au motif que ses problèmes de santé l’empêchaient de pouvoir agir auparavant ? Dans un arrêt du 25 janvier 2023, la Cour de cassation juge, de manière surprenante, que l’action du salarié introduite, dans ces conditions, plus de deux ans après son licenciement n’est pas prescrite.

Barème Macron : la Cour de cassation persiste et signe

Par un arrêt du 1er février 2023, la Cour de cassation rappelle à l’ordre les juges du fond quant au respect du Barème édicté à l’article L.1235-3 du code du travail, dit « Barème Macron ».

Renouvellement et période d’essai : les mails peuvent prouver l’accord du salarié

Pour renouveler la période d’essai d’un salarié, l’employeur doit s’assurer que cette faculté est prévue par un accord de branche étendu et par le contrat de travail, mais également obtenir l’accord du salarié concerné.

Cyber Resilience Act : une nouvelle définition des produits critiques et hautement critiques ?

La proposition de règlement européen sur la cyber-résilience (également appelé « Cyber Resilience Act »), initialement présentée par la Commission européenne le 15 septembre 2022, a récemment fait l’objet d’une modification dans le cadre du texte de compromis.

La pseudonymisation et le risque d’atteinte au secret médical (DSIH, février 2023)

Un centre hospitalier peut-il être contraint, en application du Code des relations entre le public et l’administration, de communiquer des documents contenant des données de santé pseudonymisées ? C’est à cette question que le Conseil d’Etat a dû répondre, dans un arrêt du 8 février 2023.

Incendie des Data Centers d’OVH : neutralisation de la force majeure et de la limitation de responsabilité

Le 26 janvier 2023, le Tribunal de commerce de Lille a condamné OVH à indemniser l’un de ses clients à la suite de l’incendie déclaré au sein de l’un de ses datacenters en mars 2021, après avoir neutralisé la force majeure et la limitation de responsabilités invoquée par l’hébergeur des données pour s’exonérer et/ou  limiter sa responsabilité.

L’intermédiaire de distribution étranger opérant à l’étranger peut être soumis au régime français de l’agent commercial

Dans cet arrêt du 11 janvier 2023, la Chambre commerciale de la Cour de cassation réaffirme la conception extensive du statut français de l’agent commercial retenue dans la lignée de la jurisprudence européenne et précise son champ d’application matériel et temporel

Résolution d’un contrat : la restitution en valeur de prestations réalisées doit inclure la TVA

Lorsqu’il est mis fin à un contrat avec effet rétroactif, que signifie, pour les parties, être remis « en l’état antérieur » à sa conclusion ? Comment déterminer le montant des restitutions ?

Une illustration (rare) d’un refus des juges de prononcer une expertise judiciaire en matière de contentieux informatique complexe

Ici, une société spécialisée dans le négoce de fruits et légumes avait choisi de s’équiper d’un progiciel permettant de gérer sa production agricole. Une proposition commerciale de 317K€ avait été adressée par le prestataire et validée par le client en mars 2018, date à laquelle les opérations d’implémentation ont visiblement démarré.

Le partage de responsabilité en cas d’échec de projet informatique

En l’espèce, une société spécialisée dans l’aménagement de locaux commerciaux avait confié à un prestataire informatique le soin de lui fournir une solution informatique de gestion achats-ventes-stocks et de comptabilité, de déployer le logiciel, de former les utilisateurs et d’assurer la maintenance du logiciel une fois l’installation terminée.

En avant-vente, il ne suffit pas de répondre aux questions du futur client !

Il appartient au prestataire informatique, en exécution de son obligation d'information et de conseil, de se renseigner sur l'activité de son client afin de lui proposer un matériel et des services adaptés. A défaut d’avoir averti son client ....

Contrat informatique : résiliation aux torts exclusifs du client justifiée

L’éditeur d’un progiciel résilie à bon droit le contrat d’utilisation de son client qui ne payait plus les factures de redevances dans la mesure où ce dernier ne rapporte pas la preuve de l’absence de de délivrance conforme.

La clause contractuelle de résiliation anticipée appliquée strictement

Une société ayant pour activité la production et commercialisation de produits de beauté et matériel médical souhaite consolider la totalité de l'information de son groupe en un système intégré. Elle décide d'implanter un ERP et se rapproche d’une prestataire informatique.

Sanctions CNIL : Bilan 2022

Comme chaque année, la CNIL a publié le bilan annuel de son action répressive. Elle y indique une « confirmation des tendances de 2021 », que ce soit par le nombre de sanctions et de mises en demeure, ou par le montant cumulé des amendes.

Assignation en contrefaçon : attention à la définition et à la présentation des caractéristiques originales des logiciels !

Assignation en contrefaçon : attention à la définition et à la présentation des caractéristiques originales des logiciels dont la contrefaçon est alléguée sous peine de nullité de l’assignation !

Sécurité : limiter les risques d’accès non autorisés aux données (Expertises, Février 2023)

Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les autorités nationales de contrôle au niveau européen et les juridictions européennes.

Entrepôt de données de santé hospitaliers en France : un rapport de la HAS

A la fin de l’année 2022, la Haute Autorité de Santé (« HAS ») a rendu public un rapport sur les entrepôts de données de santé hospitaliers en France. Ce rapport met en exergue à la fois le développement et l’hétérogénéité de ces entrepôts de données, mais également les points à améliorer pour favoriser leur utilisation au niveau national. 

Données biométriques et génétiques : pas de collecte systématique de toute personne mise en examen

Dans un arrêt du 26 janvier dernier, la CJUE s’est prononcée sur la légalité de la collecte de données biométriques et génétiques dans le cadre d’une procédure pénale et, plus particulièrement, s’agissant de personnes mises en examen.

Publicités personnalisées par défaut : sanction de la société Apple

Par une délibération du 29 décembre 2022, la CNIL a prononcé une amende de 8 millions d’euros à l’encontre de la société Apple pour avoir activé, par défaut, les « Publicités personnalisées » sur ses systèmes d’exploitation.

L’accès aux images de vidéosurveillance doit être restreint

L’autorité de contrôle roumaine a condamné un hypermarché pour n’avoir pas empêché un de ses salariés d’accéder aux images de vidéosurveillance.

Un fournisseur d’électricité sanctionné pour le traitement de données inexactes

L’autorité de contrôle italienne a sanctionné un fournisseur d’électricité pour avoir classé à tort un client comme « en retard de paiement » et ce, en raison de l’utilisation de données manifestement inexactes.

Sanction d’une agence immobilière pour n’avoir pas retiré l’annonce d’un bien immobilier déjà vendu

L’autorité de contrôle belge a prononcé un avertissement à l’encontre d’une agence immobilière qui, après la vente d’un bien immobilier, a laissé l’annonce sur son site en dépit de l’exercice, par le nouvel acquéreur, de ses droits à l’effacement et d’opposition.

Communication illicite de l’employeur

L’autorité de contrôle danoise a sanctionné un employeur qui a informé ses clients du licenciement d’un de ses salariés ayant commis des infractions pénales dans le cadre de l’exercice de ses fonctions.

Illicéité de l’accès aux courriels d’un ancien salarié

L’autorité de contrôle norvégienne a sanctionné un employeur pour avoir mis en place un transfert automatique des courriels d’un ancien salarié sans l’en informer.

« Souriez, vous êtes mieux filmé », des caméras augmentées aux Jeux olympiques et paralympiques 2024 

En prévision de Olympiades de Paris 2024 un projet de loi ambitionne de mettre en œuvre un cadre légal expérimental en matière de sécurité, de transports et de lutte antidopage s’appuyant sur des caméras dites « augmentées 

Responsabilité limitée du prestataire informatique en cas de mauvais paramétrage – le client doit faire le contrôle préalable !

Par un arrêt du 13 janvier 2023, la Cour d’Appel de Paris a réduit les dommages et intérêts infligés à un prestataire informatique au double motif que le client était également responsable et que ce dernier a partiellement renoncé à recouvrer le trop-perçu des primes d’ancienneté.

Assurance cyber : l’indemnisation par les assureurs est conditionnée par un dépôt de plainte

La Loi d’orientation et de programmation du ministère de l’intérieur (LOMPI) n°2023-22 a été adoptée le 24 janvier 2023. Elle encadre l’assurabilité des cyber-risques.

L’inexécution d’un contrat, même non fautive (COVID oblige !), justifie sa résolution

Peu importe la cause de l’inexécution d’un contrat : qu’elle soit ou non fautive, elle peut motiver sa résolution judiciaire, à la demande d’une partie, voire des restitutions…

Créations salariées :  un assouplissement jurisprudentiel dans la rédaction du contrat de travail ?

Point d’attention lors de la rédaction et négociation de vos contrats de travail : la cession des œuvres réalisées dans le cadre du contrat de travail, au fur et à mesure de leur réalisation, et sans autre contrepartie que le salaire, serait valable.

Google s’engage à plus de transparence envers les consommateurs

A la suite d’un dialogue engagé en 2021 avec le réseau de coopération en matière de protection des consommateurs (CPC), Google a pris l’engagement d’apporter des modifications à plusieurs de ses produits et services.

Meta, en avance sur la future réglementation européenne ?

A partir de février 2023, seuls l’âge et la géolocalisation pourront être utilisés par Facebook et Instagram dans le ciblage publicitaire des 13-17 ans. En agissant de la sorte, l’entreprise américaine anticipe les futures règles européennes.

L’échantillonnage : une valse à quatre temps périlleuse pour l’Urssaf

Dans un arrêt rendu le 5 janvier 2023, la Cour de cassation rappelle que le contrôle par échantillonnage suit une procédure stricte en quatre étapes que l’URSSAF doit scrupuleusement suivre, sous peine de voir le redressement annulé.

La mise en demeure de l’URSSAF doit préciser la nature des cotisations appelées, sous peine de nullité

La Cour d’appel d’Aix en Provence rappelle que les mises en demeure adressées par l’URSSAF doivent répondre à un formalisme précis, en particulier quant à l’indication de la nature des cotisations.

L’avis de contrôle adressé par l’URSSAF doit éclairer utilement le cotisant sur ses droits, à peine de nullité du contrôle

Cette décision de cour d’appel vient rappeler le contenu de l’avis de contrôle devant être préalablement adressé au cotisant avant tout contrôle (hors celui inopiné, visant à rechercher des infractions de travail dissimulé).

Jetons de présence perçus par des tiers : ils restent assujettis au forfait social

Aux termes d’un arrêt rendu le 13 octobre 2022, la deuxième chambre civile s’intéresse au régime social des jetons de présence attribués aux administrateurs salariés mais perçus non par ces derniers mais par un tiers.

La lettre d’observations de l’URSSAF n’a pas à préciser le détail des calculs pour chaque chef de redressement

Un arrêt de la deuxième chambre civile, rendu le 13 octobre 2022, rappelle que certains griefs sont inopérants à l’égard de la lettre d’observations transmise par l’inspecteur URSSAF à la suite de son contrôle.

LFSS 2023 : les pouvoirs de contrôle de l’URSSAF renforcés, les sanctions du travail illégal adaptées

La nouvelle loi de financement de la sécurité sociale vient d’une part renforcer les pouvoirs de l’agent de contrôle de l’URSSAF et, d’autre part, adapter les sanctions pouvant être prononcées à l’encontre du donneur d’ordre manquant à son obligation de vigilance.

Le relevé de carrière : un document à la force probante variable

Quel est la force probante du relevé de carrière ? Celui-ci peut-il donner lieu à recours de l’assuré ? Telles sont les questions, relativement inédites, soulevées par cette décision rendue par la deuxième chambre civile de la Cour de cassation le 1er décembre 2022.

La maladie professionnelle face au changement d’employeur : le compte est bon ?  

Par un arrêt rendu le 1er décembre 2022, la deuxième chambre civile rappelle qu’en cas de succession d’employeurs, c’est à la CARSAT qui impute les conséquences financières d’une maladie professionnelle sur le compte du dernier employeur de démontrer que ce dernier a exposé le salarié au risque de la maladie.

Faute inexcusable : la réparation intégrale du préjudice des victimes   

Aux termes de deux arrêts largement publiés, l’Assemblée plénière de la Cour de cassation élargit le champ des préjudices réparables des salariés victimes d’AT/MP. Seulement le préjudice, mais tout le préjudice !

Secret médical et RGPD : comment protéger le dossier médical du patient contre les accès non-autorisés ? (DSIH, Février 2023)

Les professionnels de santé sont tenus au respect du secret médical, y compris entre eux s’ils n’appartiennent pas à une même équipe de soins.

Contrôle URSSAF, AT/MP : cette année, n’hésitez pas à contester !

« Attendu pour toutes ces raisons que la mise en demeure ne respecte pas les obligations imposées par l’article R.244-1 du code de la sécurité sociale comprenant notamment celle pour le débiteur de connaître l’étendue ...

Elections professionnelles et données personnelles : la CNIL rappelle les règles

Aux termes d’un questions-réponses daté du 24 octobre 2022, la CNIL rappelle les principes applicables en matière de collecte et d’utilisation des données personnelles des électeurs par les employeurs et les prestataires de solution de vote électronique lors de l’organisation des élections professionnelles.

La réunion organisée par l’employeur à la suite d’un droit d’alerte pour atteinte aux droits des personnes s’impute sur le crédit d’heures de délégation

Dans un arrêt du 9 novembre 2022, la Cour de cassation revient sur la manière de traiter le temps passé par les membres du CSE à l’exercice de leur droit d’alerte en cas d’atteinte aux droits des personnes. La solution est claire : il s’impute sur leur crédit d’heures de délégation.

Coemploi : une preuve toujours difficile mais pas impossible à rapporter

Bien que la notion de co-emploi ait nettement reculé au cours des dernières années, un arrêt du 23 novembre 2022 rappelle que cette notion n’a pour autant pas totalement disparu et ne doit pas être négligée notamment au sein des groupes de sociétés.

Elections au CSE : les conditions légales d’électorat et d’éligibilité sont réécrites

La loi Marché du travail redéfinit la participation des cadres dirigeants (et assimilés) aux élections professionnelles.

Organisation et durée du travail chez Syntec : la Fédération œuvre à la flexisécurité

Marqués par l’innovation sociale et sociétale, quatre accords signés le 13 décembre 2022 entérinent de nouveaux droits pour les salariés de la branche.

Sur la nouvelle présomption de démission en cas d’abandon de poste du salarié

La loi sur le marché du travail a créé une présomption de démission lorsque le salarié abandonne volontairement son poste et ne reprend pas le travail après avoir été mis en demeure de justifier son absence et de reprendre son poste par lettre recommandée ou par lettre remise en main propre contre décharge, dans le délai fixé par l’employeur

Cybersécurité & Directive NIS 2 – Votre entreprise y sera-t-elle soumise ?

La Directive de 2016 sur la sécurité des réseaux et des systèmes d’information dite « NIS 1 » (pour « Network and Information System Security ») a été abrogée par la directive NIS 2, publiée au JOUE le 27 décembre 2022. 

Loyauté de la preuve : précisions sur la production en justice par l’employeur de l’agenda électronique du salarié

La Cour de cassation rappelle, au visa des articles 9 du code civil et L.1121-1 du Code du travail, que l’employeur peut avoir accès, hors la présence du salarié, aux dossiers et fichiers créés grâce à l’outil informatique mis à disposition dès lors qu’ils ne sont pas expressément identifiés comme étant personnels.

CDD et signature manuscrite numérisée : la Cour de cassation persiste et « e-signe »

Dans un arrêt du 14 décembre 2022, la Cour de cassation juge que la signature manuscrite numérisée du gérant d’une société apposée sur un CDD est recevable et valide, au regard des textes imposant que le contrat soit signé.

La validité d’une déclaration d’inaptitude au poste…sans étude de poste

Dans un arrêt du 7 décembre 2022, la Cour de cassation juge valable l’avis d’inaptitude rendu par le médecin du travail sans que n’ait été réalisée au préalable une étude de poste du salarié déclaré inapte.

Licenciement économique d’un salarié protégé : l’administration ne doit pas apprécier le choix de gestion

Dans un arrêt du 15 novembre 2022, le Conseil d’Etat précise les limites du contrôle de l’administration dans le cadre de l’examen d’une demande d’autorisation de licenciement d’un salarié protégé, à la suite du refus de ce dernier ...

Licenciement économique et reclassement : s’en tenir à la volonté du salarié peut coûter cher à l’employeur

Aux termes d’un arrêt rendu le 7 décembre 2022, la Cour de cassation indique quelle portée peut-on donner aux souhaits de reclassement du salarié menacé de licenciement économique.

Altercation entre salariés : l’employeur n’est pas nécessairement responsable

L’employeur est-il responsable, au titre de son obligation de sécurité, d’une altercation survenue entre deux collègues de travail ?

Dénonciation de faits de harcèlement moral : faut-il aller en…quête(r) ?

L’employeur a-t-il obligation d’enquêter dès lors que des faits susceptibles de harcèlement moral sont portés à sa connaissance ?

Interdire un type de coiffure aux seuls hommes est discriminatoire : Samson obtient justice !

Dans un arrêt du 23 novembre 2022, la Cour de cassation se prononce sur l’interdiction faite à un steward d’adopter une coiffure pourtant autorisée aux femmes.

Temps de trajet des salariés itinérants & astreintes : la Cour de cassation s’aligne sur la CJUE

Opérant un revirement de jurisprudence, la Cour de cassation vient juger, dans un arrêt du 23 novembre 2022, que lorsque le salarié commercial se rend à la disposition de son employeur ...

La RSE : cette année, il faut se mettre au vert (et pas que… !)

La Fédération Syntec en donne un bon exemple puisque celle-ci est parvenue, le 13 décembre 2022, à conclure quatre accords de branche qu’elle qualifie de « socialement et sociétalement innovants

Droit d’accès : précisions de la CJUE sur les informations relatives aux destinataires des données personnelles

Dans un arrêt rendu le 12 janvier dernier, la CJUE a tranché l’épineuse question de savoir si le responsable de traitement doit, dans le cadre d’une demande de droit d’accès, communiquer l’identité exacte des destinataires des données qu’il traite ou bien seulement les catégories de ces destinataires.

Les précisions des autorités de contrôles sur les pratiques en matière de cookie

Plusieurs autorités de contrôle européennes compétentes en matière de protection des données ont formé un groupe de travail et rendu un rapport afin de se prononcer sur plusieurs pratiques en matière de bandeau cookies.

La certification HDS : une condition de validité des contrats informatiques (DSIH, Janvier 2023)

Le défaut de certification HDS peut coûter cher aux éditeurs de logiciel qui sont dans l’incapacité de démontrer la certification HDS de leur hébergeur, dès lors que la prestation offerte aux clients prévoit ou implique l’hébergement de données de santé.

L’autorité irlandaise contrainte à condamner Meta à 390 millions d’euros d’amende

Suite à un désaccord entre plusieurs autorités de contrôle européenne, le Comité européen à la protection des données (CEPD) a rédigé trois décisions contraignantes, concernant Facebook, Instagram et WhatsApp, que l’autorité de contrôle irlandaise a été amenée à prononcer.

Relation B to B : validité et opposabilité des conditions générales accessibles via un lien hypertexte

Dans son arrêt du 24 novembre 2022, la Cour de Justice de l’Union européenne a fait preuve d’une souplesse certaine pour retenir, dans les relations « B to B », l’opposabilité d’une clause attributive de juridiction figurant dans des conditions générales accessible en ligne via un lien hypertexte.

La Cour de cassation confirme : l’appropriation d’informations d’un concurrent via un ancien salarié est un acte de concurrence déloyale

L’appropriation, par une société, d’informations confidentielles d’un concurrent apportées par un ancien salarié constitue un acte de concurrence déloyale ...

Traitements des données personnelles dans le cadre des dons de gamètes : des précisions données par décret

Publié le 27 août 2022 et applicable depuis le 1er septembre 2022, un décret « relatif à l’accès aux données non identifiantes et à l’identité du tiers donneur » a précisé les modalités de mise en œuvre du droit d’accès aux origines ...

Cookies : sanction de Microsoft pour non-respect des règles de recueil du consentement

Le 19 décembre 2022, la CNIL a prononcé une amende de 60 millions d’euros à l’encontre de Microsoft pour avoir manqué à l’obligation de recueil du consentement en matière de cookies et pour ne pas avoir mis en place, sur le moteur de recherche « Bing », un système permettant de refuser les cookies aussi simplement que de les accepter.

Le DPO : dans l’œil du cyclone ? – Partie 2 (Expertises, Janvier 2023)

Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les autorités nationales de contrôle au niveau européen et les juridictions européennes.

Le secret médical : pas de partage systématique entre professionnels de santé rappelle le Conseil d’Etat

Par un arrêt du 15 novembre 2022, le Conseil d’Etat a rappelé la suprématie du secret médical lequel ne peut être divulgué même entre deux médecins, sans le consentement du patient concerné, que dans des cas très limités.

Amazon peut-il être contrefacteur de la marque Louboutin ?

La question posée à la Cour était de savoir si Amazon avait fait un usage non autorisé du signe enregistré par Christian Louboutin en publiant les annonces de vendeurs tiers faisant un usage contrefaisant du signe litigieux.

Le non-respect du RGPD qualifié de concurrence déloyale

Dans le cadre d’un contentieux relatif à la contrefaçon de marques et de brevets, une société a fait grief à une autre de ne pas respecter la législation relative à la protection des données, engendrant, selon elle, des actes de concurrence déloyale.

Envoi d’une invitation à une personne décédée

L’autorité de contrôle italienne a sanctionné une région pour n’avoir pas respecté le principe d’exactitude en envoyant une invitation à une personne décédée.

Le renvoi vers un outil d’accès à distance aux données personnelles est suffisant

L’autorité de contrôle espagnole a rejeté la plainte du client d’une banque en considérant que le droit d’accès de ce dernier était satisfait dès lors que la banque l’a renvoyé vers un système d’accès à distance de ses données personnelles.

La perte d’un diplôme, par une école, est constitutive d’un manquement à la sécurité

L’autorité de contrôle croate a mis en demeure une école de prendre les mesures techniques et organisationnelles appropriées dans le but de prévenir toute nouvelle perte de document, après avoir constaté que l’école avait égaré le diplôme de master d’un ancien étudiant.

Conservation des données de connexion afin de lutter contre la criminalité grave : la CJUE confirme et renforce sa position

Dans un arrêt du 17 novembre 2022, la CJUE s’est à nouveau prononcée sur la question de la légalité de la conservation généralisée et indifférenciée des données de connexion à des fins de lutte contre la criminalité grave. Retour sur une décision qui ne laisse pas de place au doute.

Décret n°2022-1567 relatif à la conservation des contenus retirés ou rendus inaccessibles par les opérateurs de plateforme en ligne soumis à des obligations renforcées en matière de lutte contre la diffusion publique de contenus illicites

Dans la mesure où les services des opérateurs ...

Actes de concurrence déloyale dans le monde d’édition de logiciel : la garantie d’éviction attachée à la vente est limitée dans le temps !

La garantie légale d’éviction à laquelle sont tenus les cédants des titres d’une société doit nécessairement être limitée dans le temps pour ne pas ...

Vers des agréments obligatoires auprès de l’AMF ?

Dans le monde des « PSAN » et alors que, jusqu’à ce jour, deux façons d’exercer légitimement leurs activités coexistent en France, le Sénateur Hervé Maurey, a présenté le 12 décembre dernier un amendement visant à modifier l’article 54-10-4 du Code monétaire et financier visant à rendre obligatoire en France l’agrément.

Le Conseil d’Etat veille à ce que les auteurs aient effectivement droit, d’emblée, à une rémunération appropriée

Le Conseil d'État a annulé l'ordonnance du 12 mai 2021 portant transposition de la directive sur le droit d'auteur et les droits voisins dans le marché unique numérique du 17 avril 2019 ...

Le DPO : dans l’œil du cyclone ? – Partie 1 (Expertises, Décembre 2022)

Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les autorités nationales de contrôle au niveau européen et les juridictions européennes.

RPPS et FINESS : une récente modification du cadre règlementaire

Deux arrêtés publiés au Journal officiel du 1er octobre 2022 sont venus modifier le cadre règlementaire applicable, d’une part, au Répertoire Partagé des Professionnels intervenant dans le système de Santé (« RPPS »), concernant donc les personnes physiques, et, d’autre part, au répertoire national des établissements sanitaires et médico-sociaux et sociaux (« FINESS »), relatif ainsi aux personnes morales.

Les Etats-Unis, bientôt reconnus pays « adéquat »

La Commission européenne a annoncé, le 13 décembre 2022, avoir lancé le processus d’adoption d’une décision d’adéquation visant à régulariser les transferts de données personnelles de l’Union européenne vers les Etats-Unis.

Confirmation par le Conseil Constitutionnel de la conformité du pouvoir nouveau d’injonction numérique de la DGCCRF

La loi n° 2020-1508 du 3 décembre 2020 (DDADUE) portant diverses dispositions d’adaptation au droit de l’Union européenne en matière économique et financière a modifié ...

Refus des valeurs « fun & pro » de l’entreprise : un licenciement nul…aux conséquences financières possiblement limitées

Est-ce licite de licencier un salarié pour sa critique de la politique « fun and pro » de l’entreprise ? La Cour de cassation répond par la négative. Quels sont les faits ?

Microsoft 365 dans le viseur des autorités de contrôle allemandes

Le comité des autorités de protection des données allemandes a entamé des discussions avec Microsoft afin d’obtenir de cette dernière qu’elle améliore la conformité de ses services Microsoft 365 au RGPD.

Amende CNIL de 800.000 € à l’encontre de DISCORD

Le 10 novembre 2022, la CNIL a condamné la société DISCORD INC. au paiement d’une amende administrative de 800.000 €, pour avoir notamment manqué à ses obligations en matière de « Privacy by default » et de conduite d’une analyse d’impact.

L’UE prévoit de renforcer la cybersécurité des produits numériques matériels et logiciels

Le 15 septembre 2022, la Commission Européenne a présenté son projet de règlement « Cyber résilience Act ». L’objectif de ce texte est clair : il s’agit de renforcer le niveau de sécurité des objets connectés et des produits numériques.

Contrat informatique : le client mécontent, fondé à résilier sans appliquer la clause résolutoire

Une société lance un appel d'offres pour la mise en place d'un système d'information des ressources humaines (SIRH) et retient l'offre d’un prestataire spécialisé. Le client, quelques mois après la signature du contrat, fait part à son fournisseur de son mécontentement,...

La cession globale d’œuvres futures, une clause valable dans la majorité des contrats ?

Une clause de cession globale d’œuvres futures serait valable dans un pacte d’actionnaire, celui-ci ne faisant pas partie des contrats listés au premier alinéa de l’article L 131-2 du Code de la propriété intellectuelle selon la Cour d’appel de Montpellier (arrêt du 18 octobre 2022).

Un fournisseur d’énergie sanctionné pour avoir transféré les données personnelles d’un client

L’autorité de contrôle espagnole a sanctionné un fournisseur d’énergie pour avoir transféré à un inconnu les factures d’une cliente sans le consentement de cette dernière.

L’interdiction, pour un recruteur, de se renseigner sur la situation financière d’un candidat sans son consentement

L’autorité de contrôle espagnole a sanctionné un recruteur qui s’est renseigné sur la situation financière d’un candidat sans son consentement.

Le profilage d’une personne pour en déduire son état de santé est sanctionnable

L’autorité de contrôle anglaise a prononcé une amende à l’encontre de EasyLife pour avoir profilé des individus sans leur consentement afin d’en déduire leur état de santé.

Certification HDS : vers un nouveau référentiel

Le 2 novembre dernier, l’Agence numérique en santé a publié un nouveau projet de référentiel de certification HDS.  Certaines nouvelles exigences proposées ne seront pas sans incidence sur l’activité d’hébergement de données de santé

EHDS et réutilisation des données de santé : des cas d’usage concrets à l’essai (DSIH, novembre 2022)

Le Conseil d’Etat dresse les limites de la protection du DPO

Dans une décision du 21 octobre 2022, le Conseil d’Etat a statué sur une décision de la CNIL ayant rejeté la demande d’un DPO concernant l’exercice de son droit d’accès et de ses fonctions en qualité de DPO.

Défaut de base légale : Clearview condamnée à 20 millions d’euros d’amende

Le 17 octobre 2022, la CNIL a prononcé à l’encontre de la société américaine Clearview une amende administrative de 20 millions d’euros, pour défaut de base légale et non prise en compte satisfaisante des demandes d’exercice des droits des personnes concernées.

La digitalisation de l’acte de cautionnement

Alors que l'ancien droit prévoyait une impossibilité de conclure certaines sûretés personnelles, dont certains actes de cautionnement, par voie électronique, il est désormais possible, depuis le 1er janvier 2022, de conclure tous les actes de cautionnement de manière électronique, qu'ils soient consentis pour des besoins professionnels ou non professionnels.

Règlement DSA publié : quel délai pour se mettre en conformité ?

Comme annoncé (voir notre article), le DSA a été publié au Journal Officiel de l’Union européenne le 27 octobre dernier et entre en vigueur ce mercredi 16 novembre.

Entrepôts de données dans le domaine de la santé, la check-list de la CNIL (DSIH, 14 Novembre 2022)

Le 28 septembre dernier, l’autorité française de protection des données a publié une « check-list » visant à aider les responsables du traitement à vérifier facilement ...

BtoC : enregistrements audio des conversations des clients (Expertises, Octobre 2022)

Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les autorités nationales de contrôle au niveau européen et les juridictions européennes.

Traitement de données pour une finalité « compatible » : les précisions de la CJUE

La CJUE s’est récemment prononcée sur la notion de finalité « compatible » d’un traitement de données réalisé sans le consentement des personnes concernées et ce, afin d’apprécier la légalité d’un tel traitement.

L’EHDS : stratégie, objectifs et préoccupations (Expertises, Octobre 2022)

La proposition de règlement sur l'espace européen des données de santé ou l'EHDS (pour « European Health Data Space »), qui s'inscrit dans le cadre de la stratégie européenne pour les données, a suscité déjà des réactions des « Cnil » européennes. Retour sur une proposition de texte particulièrement novatrice en termes de data.

Traitement de données personnelles de mineurs : une amende historique pour Instagram

Le 15 septembre 2022, l’autorité de contrôle irlandaise (Data Protection Commission) a sanctionné Instagram pour avoir traité les données personnelles de mineurs en contradiction avec le RGPD.

EHDS et réutilisation des données de santé : des cas d’usage concrets à l’essai (DSIH, Novembre 2022)

Le mois dernier, cinq cas d’usage ont été sélectionnés par la Commission européenne pour la version test de l’espace européen des données de santé (« EHDS ») s’agissant de « l’utilisation secondaire » des données de santé. Ces cas « pilotes » permettent d’apprécier plus concrètement les tenants et aboutissants de la proposition de règlement européen sur l’EHDS.

Violation de données : des nouvelles lignes directrices du CEPD ?

Le 18 octobre dernier, le CEPD a publié et soumis à consultation publique des nouvelles lignes directrices sur la notification des violations de données à caractère personnel. En réalité, il s’agit d’une simple mise à jour des exigences concernant la notification d’une violation de données par un organisme non établi dans l’UE.

Dispositifs médicaux et cybersécurité : des recommandations de l’ANSM

Le 23 septembre 2022, l’ANSM a publié des recommandations sur la « cybersécurité des dispositifs médicaux intégrant du logiciel au cours de leur cycle de vie ».            

Transfert de données personnelles en dehors du cadre professionnel

Dans son rapport annuel 2021 sur la protection des données, l’autorité de contrôle Berlinoise a indiqué avoir infligé des amendes à 3 chiffres à l’encontre de deux employés qui s’étaient transférés des données personnelles pour des finalités extra-professionnelles.

Le profilage opéré par une banque doit se fonder sur le consentement de ses clients

L’autorité de contrôle de Basse-Saxe a constaté que de nombreuses banques détournaient l’utilisation de données personnelles de leurs clients, initialement traitées de manière licite, afin d’effectuer du profilage publicitaire illicite.

Règlement DSA : la procédure d’adoption touche à sa fin

Ce mois-ci, le DSA a été approuvé définitivement par le Conseil de l’UE puis signé par ce dernier et le Parlement européen, marquant ainsi la fin d’un long processus d’adoption et le début d’une nécessaire mise en conformité pour de nombreuses plateformes.

Faute grossière de l’architecte qui présente un dossier de permis de construire non conforme au Plan Local d’Urbanisme

Les consorts [G] ont confié à un architecte une mission partielle d’obtention de permis de construire. Par arrêté du 10 août 2017, la demande de permis de construire a été rejetée au motif du non-respect des articles 6 et 13 du PLU, outre l’incohérence des documents fournis.

La clause d’exclusion de solidarité ne peut bénéficier à l’architecte dont la faute est à l’origine de l’entier dommage

M. et Mme [B] ont confié à M. [E], architecte, une mission de maîtrise d’œuvre pour la rénovation de leur bien. Le contrat contenait une clause limitative de responsabilité stipulant que l’architecte "ne pourra être tenu responsable ni solidairement ni in solidum des fautes commises par d’autres intervenants à l’opération visée ci-dessus".

La clause de saisine préalable de l’ordre des architectes ne s’applique pas lorsque sa responsabilité est recherchée sur le fondement de la responsabilité décennale

Une société d’architecture, assurée auprès d’une compagnie d’assurance bien connue de la place, s’est vue confier une mission de maîtrise d'œuvre en vue de la rénovation de la maison d'habitation individuelle de Mme [Y].

Application de la prescription décennale à l’action en responsabilité contractuelle du Maître d’ouvrage contre les constructeurs et leurs sous-traitants 

Dans le cadre de la construction d'un musée, la Vendée a été condamnée à verser à l’entreprise titulaire du lot de travaux « Charpente métallique », la somme de 660.218,26 euros en raison de surcoûts ...

Le Maître d’ouvrage public peut déduire le montant des travaux équivalents aux réserves non levées mentionnées au sein du Décompte Général Définitif

En matière de marché public, le décompte général définitif (appelé « DGD ») est le document qui vient clore financièrement le marché à la fin du chantier.

Point de départ du délai biennal de garantie des vices cachés en cas d’action récursoire contre le fournisseur : la date d’assignation en référé expertise prévaut

Par contrat signé en 2004, un M. [X] a confié à une entreprise générale la construction d’un bâtiment. Pour effectuer les travaux, l’entreprise générale a acquis auprès d’un fournisseur, des plaques de fibre ciment, elles-mêmes acquises auprès d’un fabriquant.

Distinction des régimes du recours récursoire et de l’appel en garantie par l’assureur

Une SCI est propriétaire d’un local commercial dans un immeuble soumis au statut de la copropriété. Après un incendie, le syndicat des copropriétaires a fait réaliser des travaux de reconstruction, faisant intervenir des maîtres d’œuvre et une entreprise générale.

L’erreur d’implantation d’une construction constitue un désordre de nature décennale

Par contrat du 9 février 2009, les Epoux « R » ont confié la construction d'une maison d'habitation à une entreprise générale, assurée en responsabilité civile décennale auprès d’une compagnie d’assurance notoirement connue, et ont souscrit, auprès de ce même assureur, une police d’assurance dommages-ouvrage.

Mises en demeure de désigner un DPO : le bilan

En mai 2022, la CNIL avait annoncé avoir adressé des mises en demeure à des communes de plus de 20.000 habitants n’ayant pas encore désigné de DPO, afin qu’elles remédient à cette situation. Dans une publication d’octobre 2022, la CNIL dresse un premier bilan de ces mises en demeure.

Analyse de l’état émotionnel des appelants – IA (Expertises, Septembre 2022)

Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les autorités nationales de contrôle au niveau européen et les juridictions européennes.

L’appropriation d’informations confidentielles d’un concurrent apportées par un ancien salarié constitue un acte de concurrence déloyale

En l’absence de clause de non-concurrence, une société conserve la possibilité d’agir contre son ancien salarié et/ou son nouvel employeur, sur le terrain de la concurrence déloyale.

Un entretien éprouvant avec son responsable hiérarchique peut échapper à la qualification d’accident du travail

Dans un arrêt du 13 juillet dernier, la Cour d’appel de Rouen a rejeté la qualification d’accident du travail d’un malaise d’une salariée intervenu à la suite d’un entretien professionnel éprouvant avec son responsable hiérarchique.

En l’absence de contestation de la mise en demeure, il est toujours possible de contester le redressement via l’opposition à contrainte !

Les différentes étapes d’un redressement URSSAF aboutissent en principe à la mise en demeure de cette dernière d’avoir à régler les sommes dues. Et en principe, cette mise en demeure doit obligatoirement être contestée dans les 2 mois devant la commission de recours amiable, à peine de forclusion.

Le redressement URSSAF est nul dès lors qu’il se fonde, même partiellement, sur les déclarations du dirigeant dont le consentement n’a pas été préalablement recueilli

A mesures extrêmes, contrôle extrême. Dans les hypothèses de recherche et de constat d’infractions en matière de travail dissimulé ou illégal, les agents de contrôle peuvent entendre qui ils souhaitent.

Avantage en nature véhicule & URSSAF : la Cour de cassation laisse le bénéfice du doute à l’entreprise

Aux termes de plusieurs arrêts rendus le 22 septembre dernier, la deuxième chambre civile vient bousculer le contentieux entourant l’évaluation de l’avantage en nature résultant de la mise à disposition d’un véhicule. En jeu, bien évidemment, la force probatoire des attestations de salariés…

Avantage en nature véhicule & URSSAF : la preuve diabolique ?

L’URSSAF redresse (trop) systématiquement les employeurs ayant choisi d’évaluer l’avantage en nature véhicule à 9 ou 30% tout en mettant une carte de carburant à disposition des salariés. Peut-on renverser la tendance ?

Expertise CSE : choisissez bien votre fondement, sinon il vous en coûte !

Dans une affaire jugée le 21 septembre dernier, la Cour de cassation juge que la délibération du CHSCT de recourir à une expertise peut être annulée dès lors que ses termes ne permettent pas de définir si elle repose sur un risque grave ou sur un projet important.

La condamnation pénale sur le fondement d’une preuve illicite peut fonder la sanction disciplinaire

Dans une affaire jugée le 21 septembre dernier, la Cour de cassation décide que si la preuve obtenue de manière illicite est irrecevable devant le juge prud’homal, il en va différemment si celle-ci a, au préalable, fondé une condamnation pénale.

La nouvelle possibilité de rachat des JRTT 

Il est désormais possible pour tout salarié (ou presque) de renoncer à ses JRTT, moyennant finance. Autrement dit, de monétiser leurs jours de repos.

Frais de transport domicile / lieu de travail : 2022 & 2023 sous l’angle de la RSE

Aux termes des dernières lois estivales et afin de supporter la forte hausse du prix des carburants, le législateur vient encourager pour les années 2022 et 2023, la prise en charge par l'employeur des frais de déplacement entre la résidence habituelle et le lieu de travail.

La collecte de données sur la séropositivité d’un patient est illicite si elle a pour but de refuser des soins

L’autorité de contrôle italienne a été saisie d’une plainte d’un patient reprochant à son dentiste de lui avoir fait remplir un questionnaire de santé préalable. Après avoir indiqué sa séropositivité dans ledit questionnaire, le patient s’est vu refuser les soins.

Autorité de la concurrence : un nouveau gendarme du RGPD ?

Le 20 septembre dernier, l’avocat général près la CJUE a conclu qu’une autorité de la concurrence peut, dans certaines conditions, examiner la conformité de pratiques commerciales avec le RGPD.

Consultation ponctuelle et récurrente du CSE : plus besoin de bien articuler ?

Dans un arrêt rendu le 21 septembre, la Cour de cassation prend enfin position sur l’articulation, nécessaire ou non, d’une consultation ponctuelle sur un projet déterminé avec la consultation récurrente sur les orientations stratégiques de l’entreprise.

Réunions du CSE : sous certaines conditions, les membres peuvent décider d’aborder un point non fixé à l’ordre du jour

En principe, l’élaboration de l’ordre du jour de la réunion du CSE se fait conjointement entre le secrétaire et l’employeur.

Les dossiers médicaux des patients ne doivent pas être accessibles à tous les professionnels de santé

L’autorité de contrôle italienne a sanctionné un établissement de santé pour avoir permis aux professionnels de santé non impliqués dans le processus de traitement d’accéder aux dossiers médicaux des patients.

Fiches Google My business : un traitement illicite ?

Le tribunal judiciaire de Chambéry, dans une décision du 15 septembre 2022, a condamné Google à supprimer une fiche Google My Business, en raison du défaut d’intérêt légitime de Google à traiter les données de la personne concernée.

ACCOR condamnée à 600.000 € d’amende pour plusieurs manquements

Dans une décision du 3 août 2022, la CNIL a condamné la société ACCOR au paiement d’une amende de 600.000 €, notamment pour avoir procédé à des opérations de prospection commerciale sans recueillir le consentement des personnes concernées et avoir méconnu les droits conférés auxdites personnes par le RGPD.

CYBERATTAQUES : LA REPONSE (INADEQUATE ?) DU MINISTERE DE L’ECONOMIE

Aux termes d’un rapport sur le marché de la cyber-assurance, le Ministère de l’Economie a annoncé son intention d’insérer, dans le cadre d’un projet de loi, la possibilité, pour les entreprises, d'être indemnisées par leur assureur en cas d'attaque informatique par rançongiciel.

Véhicules à délégation de conduite, on avance !

Le 1er septembre 2022 entraient en vigueur plusieurs textes faisant avancer le développement des véhicules à délégation de conduite en France et en Europe.

De courts contrats précaires, hors champ du reclassement selon le juge administratif 

En principe, tout poste vacant et disponible doit être proposé au titre du reclassement du salarié déclaré inapte, y compris les postes qui seraient disponibles en CDD.

Tickets restaurant & Télétravail : le juge administratif prend position 

Alors que les juges judiciaires se déchirent autour du droit des télétravailleurs aux tickets restaurant, la plus haute juridiction administrative vient de trancher en faveur des fonctionnaires en situation de télétravail.

Prudence en cas de déréférencement d’un fournisseur d’un réseau de distribution

La Cour de cassation rappelle que la société chapeautant un réseau de distribution peut se voir imputer la faute tirée de la rupture brutale, par les membres du réseau, des relations commerciales établies ...

Covid-19 : le droit commun s’applique et impose le paiement des loyers commerciaux

Par trois arrêts du 30 juin 2022, accompagnés d’un communiqué explicatif, la Cour de cassation tranche en faveur des bailleurs et affirme que l’état d’urgence sanitaire ne permet pas de caractériser la perte de la chose louée, ...

Garantie d’actif et de passif : attention à sa rédaction ainsi qu’à l’endroit où elle est insérée 

La Cour d’appel de Paris a récemment dénié tout effet à une garantie d’actif et de passif insérée dans un protocole d’accord antérieur à la cession visant à préparer celle-ci, à défaut d’avoir été reprise dans l’acte de cession.

Invalidation du plafond d’indemnisation stipulé dans un contrat d’adhésion

Dans un arrêt du 15 juin 2022, la Cour d’appel de Limoges répute non-écrite une clause limitative de responsabilité stipulée dans un contrat de services informatiques au motif que ...

Données sensibles : éclairages de la CJUE

Par un arrêt rendu le 1er août dernier, la CJUE a apporté des précisions sur la notion de « données sensibles » au sens du RGPD. Retour sur cette décision aux conséquences pratiques non négligeables.

INFOGREFFE sanctionné pour non-respect d’une « précaution élémentaire de sécurité »

Saisie d’une plainte d’une personne indiquant que l’organisme INFOGREFFE lui avait transmis son mot de passe par téléphone en donnant simplement son nom, la CNIL a sanctionné l’organisme pour non-respect de l’obligation de sécurité et non-respect du principe de limitation de la conservation.

Quand le détournement de finalité fait échec au droit d’accès (Expertises, Septembre 2022)

Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les autorités nationales de contrôle au niveau européen et les juridictions européennes.

Traitement de l’orientation sexuelle des candidats aux dons du sang : la France condamnée par la Cour européenne des droits de l’homme

La France a été condamnée par la Cour européenne des droits de l’homme, dans le cadre de la collecte et du traitement de données révélant l’orientation sexuelle des candidats aux dons du sang.

Une violation dont le responsable du traitement a été informé par la CNIL n’a pas à être notifiée à cette dernière

Le 22 juillet 2022, le Conseil d’Etat a rendu un arrêt, selon lequel un responsable du traitement, averti par la CNIL de l’existence d’une violation de données, n’a pas à notifier ladite violation à la CNIL.

Espace européen des données de sante : avis des CNIL européennes

Le 12 juillet dernier, le Comité européen sur la protection des données (« CEPD ») et le Contrôleur européen des données ont rendu un avis conjoint sur la proposition de règlement sur l’espace européen des données de santé du 3 mai dernier dit « EHDS ».

Essais cliniques : bientôt un guide concernant notamment la protection des données personnelles sur CTIS

Le 8 septembre dernier, la consultation publique relative au projet d’orientations de l’Agence européenne des médicaments relatif aux données personnelles et aux données commerciales confidentielles téléchargés/publiés sur CTIS est arrivée à son terme.

Caméras intelligentes : position de la CNIL sur leur déploiement

Le 19 juillet 2022, la CNIL a publié sa position sur les conditions de déploiement des caméras dites « intelligentes » (ou augmentées) dans les espaces publics, précisant le régime juridique applicable à ces dispositifs et les risques associés.

Sites internet et sécurité : 15 mises en demeure de la CNIL

Le 8 juillet dernier, la CNIL a annoncé avoir mis en demeure 15 sites internet pour « des défauts de chiffrement des données ou de gestion et de sécurisation de comptes d’utilisateurs ».

Pas de risque pour les droits et libertés lors de la transmission d’un courriel à 16 personnes sans l’utilisation de la fonction « copie cachée »

Une autorité administrative flamande chargée de l’aide au logement des jeunes a transmis un courrier électronique à 16 parents en n’utilisant pas la fonction copie cachée, donnant ainsi accès aux adresses électroniques des autres destinataires.

La perte d’un certificat de travail constitue une violation de données

Alertée par la préfecture de police, l’autorité de contrôle polonaise a effectué un contrôle auprès d’un employeur suspecté de ne pas avoir respecté, vis-à-vis de ses salariés, la réglementation relative à la protection des données à caractère personnel.

Sous-traitance ultérieure : un sous-traitant sanctionné pour n’avoir pas informé le responsable du traitement

L’autorité italienne de contrôle a sanctionné un sous-traitant qui n’avait pas (i) informé le responsable du traitement de l’intervention d’un sous-traitant ultérieur ni (ii) encadré juridiquement ladite relation.

Conflit d’intérêts : le directeur d’une société ne peut pas être DPO

L’autorité berlinoise de protection des données a annoncé avoir sanctionné une clinique pour avoir nommé son directeur comme DPO.

Commande publique et RGPD : un guide dédié de la CNIL

Le 2 juin dernier, la CNIL a publié un guide consacré à « la responsabilité des acteurs dans le cadre de la commande publique » éclairant quant à la responsabilité des différents acteurs (responsable de traitement, sous-traitant, responsable conjoint) dans ce contexte particulier.

Markets in Crypto Assets : l’accord provisoire du Parlement Européen et le Conseil de l’UE

Le 30 juin dernier un accord provisoire a été conclu entre le Parlement Européen et le Conseil de l’UE sur le fameux règlement MiCA ...

L’Autorité de la Concurrence poursuit son enquête sectorielle sur l’informatique en nuage (« cloud ») par une consultation publique

Par un communiqué de presse du 13 juillet 2022, l’Autorité de la Concurrence indique ouvrir, jusqu’au 19 septembre 2022, une consultation publique visant à recueillir l’avis de toutes les parties prenantes du secteur de l’informatique en nuage (« cloud ») sur le fonctionnement concurrentiel de ce secteur.

Contrat informatique : les délais sont-ils soumis à une obligation de résultat du prestataire ?

Le seul décalage du calendrier, lorsque le délai est indicatif et ne relève pas contractuellement expressément d’une obligation de résultat, ne peut être constitutif d'une inexécution contractuelle ...

Géolocalisation des véhicules : la CNIL inflige une amende à UBEEQO 

Dans sa délibération du 7 juillet 2022, la CNIL sanctionné UBEEQO pour avoir géolocalisé des véhicules de location en infraction au principe de minimisation et pour n’avoir pas respecté les principes de limitation de la conservation et d’information des personnes.

Les pratiques commerciales trompeuses sont applicables aux relations entre professionnels

Un loueur de photocopieurs a proposé à ses clients de baisser fortement le montant du loyer en reversant au bout de 20 mois de location une « participation commerciale », mais utilisait une rédaction ambiguë du contrat pour ne pas verser ladite participation.

Rapport de mission du CSPLA (Conseil Supérieur de la Propriété Intellectuelle et Artistique) sur les jetons non fongibles (« JNF » en français ou « NFT » en anglais)

Le 12 juillet 2022 dernier, le Ministère Cuture et de la Communication a présenté les résultats de cette mission commandée le 21 novembre 2021.

Responsabilité du fait des produits défectueux : position de la CJUE sur la notion de « producteur »

Par un arrêt du 7 juillet dernier, la CJUE a apporté des éclairages sur la notion de « producteur » au sens de la Directive de 1985 relative à la responsabilité du fait des produits défectueux (« la Directive »).

IA et Santé : le Parlement Européen souligne les risques et lacunes de la règlementation

Le service de recherche du Parlement Européen a publié, en juin 2022, une étude « Artificial intelligence in healthcare: Applications, risks, and ethical and societal impacts ».

Google Analytics : la CNIL publie des « Questions-Réponses » pour clarifier la situation

La CNIL a publié des « Questions-Réponses » sur son site afin de répondre aux questions relatives (i) aux mises en demeure, (ii) à l’utilisation de Google Analytics et (iii) aux solutions alternatives.

IA et reconnaissance biométrique : le Sénat au rapport

Le recours aux technologies de reconnaissance faciale dans l’espace public est de plus en fréquent, en France comme à l’étranger, ce qui soulève de nombreuses questions quant à la préservation des droits et libertés individuels.

Le règlement UE n°2022/720 du 10 mai 2022, un règlement d’exemption des restrictions verticales

Le 10 mai 2022, le règlement UE n°2022/720 portant sur l’exemption des restrictions verticales est entré en vigueur.

Un accord a été trouvé au sein des institutions de l’UE en matière de lutte contre le blanchissement de capitaux

Le 29 juin le Conseil de l’UE et le Parlement Européen ont confirmé leur accord provisoire pour amender le Règlement Européen Transfert de fonds ...

Les nouvelles dispositions sur la transparence des revenus générés par l’exploitant d’une œuvre dans le cadre d’une cession/sous-cession

De nouvelles dispositions sont entrées en vigueur le 7 juin 2022, dont l’intérêt est de renforcer la protection des auteurs et artistes-interprètes dans l’utilisation, notamment, des plateformes de partage de contenus en ligne.

IA : le Défenseur des droits appelle à placer le principe de non-discrimination au cœur de la règlementation européenne

Le Défenseur des droits a publié le 21 juin 2022 un avis intitulé « Pour une IA européenne protectrice et garante du principe de non-discrimination ». Cet avis a été réalisé conjointement avec Equinet, réseau européen des organismes de promotion de l’égalité, dont il est membre.

Data Governance Act et Data Act : avis de la CNIL et de ses homologues

Le 13 juillet dernier, la CNIL est revenue sur les avis du Comité européen à la protection des données (« CEPD ») et du Contrôleur européen à la protection des données relativement au Data Governance Act (« DGA ») et au Data Act.

A vos marques : plus d’usage sérieux, plus de marques !

Le 8 juin dernier, le Tribunal de l’Union Européenne a rendu un arrêt rappelant l’importance de faire un usage sérieux de ses marques.

La suppression de l’accès à un logiciel, dans un contexte de différend commercial, peut constituer un acte de rétorsion de nature à justifier des mesures d’urgence

Dans le cadre de négociations commerciales (et notamment en période de renouvellement de licences), il n’est pas rare de voir des éditeurs faire pression sur leurs clients, en coupant (ou en menaçant de couper) les accès aux logiciels.

L’élu du CSE qui ne prend pas toutes les précautions pour sécuriser une information confidentielle encourt une sanction

Une salariée détenant plusieurs mandats de représentant du personnel, dont celui de membre du comité d’entreprise européen, avait fait l’objet d’un avertissement de la part de son employeur.

AT/MP : à l’employeur de renverser la présomption d’imputabilité d’un arrêt de travail discontinu consécutif à un accident du travail !

Une CPAM avait pris en charge au titre de la législation professionnelle les arrêts de travail consécutifs à l’accident d’un salarié. L’employeur contestait l’imputabilité à l’accident du travail des arrêts et soins prescrits jusqu’au 20 septembre 2018, date de guérison de la victime.

Procédure en faute inexcusable : n’oubliez pas la Caisse !

En cas de reconnaissance d’une faute inexcusable de l’employeur, les compléments de rente AT/MP ainsi que les indemnités complémentaires au titre des préjudices subis sont obligatoirement versés, en premier lieu par la CPAM.

Être membre de la Direction et entretenir une relation amoureuse avec le représentant syndical de l’entreprise caractérise une faute grave 

Un salarié occupait les fonctions de responsable de site. Il est licencié pour faute grave au motif qu’il était le compagnon, d’une salariée de l’entreprise, laquelle détenait différents mandats de représentation syndicale et de représentation du personnel.

Référencement de solutions numériques dans le catalogue « Mon espace santé » : les critères dévoilés

Un arrêté du 23 juin 2022, publié le 5 juillet 2022, vient préciser les critères applicables aux services et outils numériques qui souhaitent être référencés au catalogue « Mon espace santé ».

Collectivités territoriales : la CNIL a mis demeure 22 communes de désigner un DPO

Le 31 mai dernier, ce ne sont pas moins de 22 mises en demeure de la CNIL qui ont été publiées, enjoignant autant de communes à désigner un DPO dans le délai de 4 mois.

Dépeindre négativement son collègue de travail constitue un motif de licenciement

Le salarié jouit, dans l’entreprise et en dehors de celle-ci, de sa liberté d’expression. Cette liberté n’est toutefois pas sans limite, comme l’illustre cet arrêt de la Cour de cassation.

Centres de santé et publicité : la position du Conseil constitutionnel

Le 3 juin dernier, le Conseil constitutionnel a déclaré conforme à la Constitution l’interdiction de publicité des centres de santé.

Le Data Governance Act : entré en vigueur et bientôt applicable !

Le règlement européen sur la gouvernance des données est entré en vigueur le 23 juin dernier. Applicable à compter du 24 septembre 2023, ce texte est particulièrement riche quant aux mécanismes et processus pour partager davantage de données dans l’UE.  

DPO et licenciement : éclairages de la CJUE

Par un arrêt rendu le 22 juin dernier, la CJUE a apporté des précisions sur les possibilités de licenciement du Délégué à la Protection des Données (DPO).

TotalEnergies condamnée à une amende de 1 million d’euros

Par une délibération SAN-2022-011 du 23 juin 2022, la CNIL a sanctionné la société TotalEnergies pour divers manquements au RGPD et notamment le non-respect : (i) des règles de prospection commerciale, (ii) de l’information des personnes concernées et (iii) des modalités d’exercice des droits des personnes, particulièrement les droits d’accès et d’opposition.

Inopposabilité des CGV et responsabilité du prestataire

L’arrêt revient sur des éléments clés du droit des contrats, éclairant des problématiques récurrentes dans la vie des affaires : Le prestataire (i) qui se prévaut de l’application de ses CGV ne peut se contenter d’établir qu’elles ont été adressées au client, (ii) ne peut s’exonérer de sa responsabilité pour force majeure en cas de maladie d’un collaborateur, même en cas de compétence très spécifique, le caractère d’imprévisibilité faisant défaut.

Logiciel obsolète et maintenance dégradée, attention à l’acceptation tacite !

Lorsque l’éditeur informe son client de la réduction du périmètre de la maintenance du fait de l’obsolescence de son logiciel, tout en augmentant le montant de la redevance, le paiement de la facture par le client vaut acceptation de ce qui constitue une nouvelle offre, les conditions générales annexées à la facture déterminant les nouvelles conditions contractuelles.

L’appréciation de l’originalité d’une œuvre relève du débat au fond et ne constitue pas une fin de non-recevoir

En l’espèce, la société SUCRE SALE, éditeur de la photothèque rassemblant des photographies culinaires commercialisées notamment sur son site internet www.photocuisine.fr, a assigné en contrefaçon une société ayant utilisé, sans son autorisation, une photographie d’un tiramisu à la pomme.

L’intérêt des constats d’huissiers et des certificats de conformité de logiciel en matière d’expertise informatique

Dans cette affaire, un spécialiste de la maroquinerie a souhaité faire évoluer son parc informatique en vue d’améliorer la cohérence de ses logiciels d’exploitation.

Validité et force probante d’un procès-verbal de constat d’achat

Le 6 avril dernier, la cour d’appel de Paris a rendu un arrêt validant un procès-verbal de constat d’achat réalisé, alors que l’acte d’achat avait été réalisé par un stagiaire travaillant pour le cabinet d’avocats mandaté par la demanderesse (CA Paris, ch 1, 6 avril 2022, n° 20/17307).

Le clic de trop !

Le litige concernait une société allemande propriétaire d'un hôtel réservable via Booking et un client qui contestait les frais d'annulation de réservation qui lui avaient été facturés.

Condamnation de Google à une amende de 2 millions d’euros pour des pratiques commerciales abusives

Lancée en 2008, GOOGLE Play est une boutique en ligne, qui permet la distribution d’applications qui s’appuient sur les fonctionnalités spécifiques d’Android et des terminaux sur lesquels le système d’exploitation est installé.

Revendeurs en ligne : des obligations d’information précisées par la CJUE !

Par un arrêt du 5 mai dernier, la CJUE a apporté des précisions éclairantes sur l’étendue de l’obligation d’information des revendeurs en ligne relativement à la garantie des produits qu’ils proposent à la vente.

Attention aux clauses de cession de droits à titre gracieux, sous peine de nullité du contrat !

Dans cette affaire, deux associés de sociétés avaient déposé une marque et des dessins et modèles d’antennes permettant la réception des données de balise dans les colliers de chiens de chasse. À la suite du départ d’un des associés, est régularisé un contrat de cession de droits à titre gratuit des marques et des modèles susvisés, au bénéfice de la nouvelle société d’un des deux associés.

Cookies : la sanction d’Amazon confirmée par le Conseil d’Etat

Le 27 juin 2022, le Conseil d’Etat a confirmé la sanction d’un montant de 35 millions d’euros prononcée par la CNIL à l’égard d’Amazon, en raison d’un dépôt de cookies dépourvus de consentement et d’information satisfaisante.

La pratique du « Cookie wall » autorisée par la CNIL sous conditions

La CNIL a émis, le 16 mai 2022, une publication indiquant dans quelles conditions la pratique du « cookie wall » pouvait être rendue conforme au cadre légal et règlementaire applicable.

Vols de token NFT dans la communauté du Web 3.0 : comment réagir ?

Ces derniers mois, dans la communauté du Web 3.0, nous avons constaté de nombreux vols de token NFT par des individus non identifiés. Quels peuvent être les recours juridiques face à ce type de vols digitaux ?

Deuxième volet de l’avant-projet de reforme des contrats spéciaux

A la mi-mai dernier, et à la suite d’une première publication relative aux contrats portant sur une chose, la Chancellerie a publié la seconde partie de l’avant-projet de réforme des contrats spéciaux. Quelques points forts concernant les contrats d’entreprise peuvent être relevés.

Contrat « évolutif » de location de matériel informatique : la Cour de cassation relève le vice de perpétuité

Dans une affaire où deux sociétés avaient conclu un contrat de location d’équipements informatiques avec une option d’échange technologique (dite « TRO » pour « Technnology Refresh Option »), la Cour de cassation a censuré le jugement de la Cour d’appel ayant jugé le contrat valide.

L’urgence et la protection de la santé ne prévalent pas sur la protection des données personnelles

Dans une décision rendue le 10 mars 2022, l’autorité de contrôle italienne a sanctionné un hôpital pour avoir traité des données de santé sans le consentement du patient.

L’employeur doit désactiver les droits d’accès des anciens salariés

Dans une décision du 26 avril 2022, l’autorité de contrôle danoise a rappelé que l’employeur, responsable du traitement, doit désactiver les droits d’accès de ses anciens salariés.

Interdiction d’exiger la fourniture de la date de naissance pour l’achat de billets de spectacle

Dans une décision du 8 mars 2022, l’autorité de contrôle islandaise a considéré qu’un responsable du traitement ne pouvait pas collecter la date de naissance lors de l’achat d’un billet de spectacle en vertu du principe de minimisation.

Le droit d’accès ne s’étend pas à la communication du contenu des documents

Dans une décision du 17 mai 2022, un tribunal néerlandais a rappelé que le droit d’accès ne permet pas d’obtenir une copie du document.

Echec au droit d’accès – les données étaient supprimées

Par un arrêt du 12 mai 2022, la Cour d’appel de Paris a considéré que la suppression de données personnelles, conformément à la politique de durée de conservation, faisait échec au droit d’accès.

Le défaut de vigilance du donneur d’ordre peut coûter : second acte !

Le donneur d’ordre, dont la solidarité financière est en jeu, peut invoquer les irrégularités du redressement opéré à l'encontre de son cocontractant du chef du travail dissimulé.

IA et contractualisation : Le groupe Crédit Agricole, Derriennic Associés et LDPM finalisent leur guide de bonnes pratiques

Paris, le 23 juin 2022. Le cabinet d’avocats Derriennic Associés, reconnu comme l’un des principaux acteurs du droit des nouvelles technologies, le Groupe Crédit Agricole, acteur incontournable de la banque et de l’assurance en Europe, et Le Droit Pour Moi, ...

L’employeur peut-il récupérer les données effacées par un salarié ? (Expertises, Juin 2022)

Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les autorités nationales de contrôle au niveau européen et les juridictions européennes.

Appréciation stricte des difficultés économiques ou quand 4 doit être égal à 4 !

Par un arrêt du 1er juin 2022, la Cour de cassation apporte des précisions sur les modalités d’appréciation des difficultés économiques au sens de l’article L1233-3,1° du code du travail.

L’INRS met en garde : trop de visio peut être synonyme de maux

Les nouvelles technologies peuvent nuire à la santé, c’est ce que rappelle l’INRS.

RGPD et emails : une arme à double tranchant pour le salarié !

La tentation est grande d’invoquer le RGPD pour obtenir des preuves à l’appui de ses demandes prud’homales… Une telle action est parfois vouée à l’échec !

Quand la dispense de reclassement dispense de CSE ! 

La Cour de cassation a enfin tranché : en cas de dispense expresse de reclassement par le médecin du travail, l’employeur n’a pas l’obligation de consulter les représentants du personnel.

Redressement URSSAF : l’important, c’est de tout contester

En l’espèce, à la suite d'un contrôle, l'URSSAF avait retenu 21 chefs de redressement à l'encontre de la SA Total Raffinage Distribution (TRD.SA). La société contestait ce redressement en adressant un recours auprès de la CRA mais en argumentant seulement sur deux chefs de redressement...

Projet de réforme du droit des contrats spéciaux : évolution de la vente et du bail

Le 22 avril dernier, le Ministère de la justice a publié une première partie de l’avant-projet de réforme des contrats spéciaux. Ce premier volet a trait aux contrats qui portent sur une chose. Quelques points forts peuvent être relevés notamment sur les contrats de vente et de bail.

Extension de la responsabilité pénale de la société absorbante pour des infractions de l’absorbée

La Cour de cassation précise son revirement de jurisprudence consacrant la responsabilité pénale de la société absorbante pour des faits commis par la société absorbée ...

Les relations établies avec les filiales d’une même entité ne sont pas nécessairement continues

Dans un arrêt du 16 mars 2022, la Chambre commerciale de la Cour de cassation saisit l’occasion de rappeler les conditions dans lesquelles il doit être considéré qu’une relation commerciale établie s’est poursuivie entre deux partenaires, cette fois-ci entre un opérateur et plusieurs filiales appartenant au même groupe.

IA et Santé : Bonnes pratiques pour une « éthique by design » des solutions d’Intelligence artificielle en santé

La Délégation ministérielle au Numérique en Santé du Ministère des Solidarités et de la Santé (DNS) a publié le 31 mai 2022 ses recommandations de bonnes pratiques pour intégrer l’éthique dès la phase de conception et de développement des solutions d’Intelligence Artificielle en Santé.

Expertise CSE & documents à fournir : l’esprit de synthèse n’est pas toujours recommandé

Au cas d’espèce, un expert avait été désigné par le CSE dans le cadre de la consultation annuelle sur la politique sociale. L’expert avait sollicité de l’employeur la communication de plusieurs informations tenant notamment aux promotions, à la qualification et aux mesures d’égalité homme-femme.

Espagne – Sanction d’un employeur divulguant les données personnelles de son ancienne salariée

Dans une décision rendue le 28 avril 2022, l’autorité de contrôle espagnole a considéré qu’un employeur ne peut pas relater sur internet les conditions de départ de l’entreprise d’une ancienne salariée en l’identifiant nommément.

Allemagne – Pas de droit d’accès si la demande est disproportionnée

Dans une décision rendue le 28 mars 2022, une autorité de contrôle allemande a considéré qu’il est possible, dans certaines situations, de refuser de répondre favorablement à une demande de droit d’accès, notamment lorsque la demande est disproportionnée.

Incidents de sécurité dans le secteur de la santé : rapport 2021

L’Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur de la santé vient de publier son rapport pour l’année 2021. Il en ressort que le nombre d’incidents signalés a presque doublé par rapport 2020. Focus sur quelques chiffres clés.

Pologne – Sanction d’une société et de son sous-traitant pour n’avoir pas mis en œuvre les mesures de sécurité appropriées

Dans une décision rendue le 19 janvier 2022, l’autorité polonaise de contrôle a sanctionné un responsable du traitement et son sous-traitant pour n’avoir pas mis en œuvre les mesures de sécurité appropriées.

Italie – Mentions RGPD non conforme

Dans une décision rendue le 13 janvier 2022, l’autorité italienne de contrôle a condamné une société pour n’avoir pas respecté le droit à l’information prévu à l’article 12 du RGPD.

Pays-bas – Exercice des droits et pièce d’identité ne font pas bon ménage

Dans une décision rendue le 14 janvier 2022, l’autorité néerlandaise de contrôle a sanctionné une entreprise qui exigeait systématiquement un justificatif d’identité pour permettre aux personnes concernées d’exercer leurs droits.  

Italie – Un organisme gouvernemental condamné pour avoir diffusé des données personnelles dans un communiqué de presse

Dans une décision rendue le 13 janvier 2022, l’autorité italienne de contrôle a condamné un organisme gouvernemental pour avoir publié, sur son site internet, un communiqué de presse relatant l’existence d’une sanction disciplinaire à l’égard d’un directeur d’hôpital.

Services numériques de santé : publication du référentiel d’identification électronique

Le 1er avril dernier, le référentiel de sécurité relatif à l’identification électronique pour des services numériques de santé exigé par le Code de la santé publique a été publié.

L’engagement d’une procédure de licenciement pour faute grave peut être différé si le salarié est absent de l’entreprise

En principe, la faute grave est celle qui rend impossible le maintien du salarié dans l’entreprise et la mise en œuvre de la procédure de licenciement doit intervenir dans un délai restreint après que l’employeur a eu connaissance des faits reprochés.

Le cabinet Derriennic Associés récompensé cette semaine dans le classement du magazine Le Point !

L’institut indépendant Statista organisait cette année le 4ème palmarès du magazine Le Point auquel ont participé près de 19.000 avocats et juristes d’entreprise. Le cabinet Derriennic Associés confirme sa notoriété et l’excellence de son expertise en se hissant dans la spécialité « Droit des nouvelles technologies, de l’informatique et de la communication ».

Jingle de la publicité MAAF Assurance, la justice a tranché : ni contrefaçon, ni acte de parasitisme !

L'équipe Derriennic décrypte une décision de justice originale relative à la reprise partielle d'un tube des 80's dans une publicité très populaire.

LEGAL 500 EMEA: LE CABINET DERRIENNIC ASSOCIES TOUJOURS INCONTOURNABLE AU CLASSEMENT 2022

Après Chambers et Décideurs 2022 où il se distingue comme un des meilleurs cabinets français en NTIC et données personnelles mais également dans la catégorie Blockchain, le cabinet Derriennic est heureux d’annoncer qu’il reste un acteur incontournable du droit des NTIC dans le classement LEGAL 500 EMEA.

IA et Responsabilité : la nécessaire adaptation du régime de responsabilité des produits défectueux

Le 22 février 2022, le Comité Européen de la protection des données (CEPD – EUPD) a interpellé la Commission Européenne sur la nécessité d’adapter la Directive Produits Défectueux aux enjeux de l’intelligence artificielle.

Prospection commerciale : la CNIL adresse trois mises en demeure

Dans un communiqué publié le 7 avril 2022, la CNIL a annoncé avoir mis en demeure trois organismes en raison du non-respect des règles en matière de prospection commerciale.

Un cyberscore pour les plateformes numériques

Le code de la consommation a été modifié par une loi du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinées au grand public.

Conservation généralisée des données de connexion : nouveau rappel à l’ordre de la CJUE

Dans un arrêt rendu le 5 avril dernier, la Cour de Justice de l’Union Européenne (CJUE) a invalidé, une nouvelle fois, une règlementation nationale, imposant une obligation de conservation généralisée « des données relatives au trafic et des données de localisation ».

Droit d’effacement : une banque française tenue de transmettre la demande aux autorités fiscales américaines

Par jugement du 7 février 2022, le Tribunal judiciaire de Grenoble a estimé qu’une banque saisie d’une demande d’effacement était tenue de transmettre celle-ci aux autorités fiscales américaines, ces dernières s’étant vues communiquées des données personnelles dans le cadre de la règlementation FACTA.

CLASSEMENTS 2022 : LE CABINET DERRIENNIC ASSOCIÉS CONSERVE SON LEADERSHIP AU CLASSEMENT CHAMBERS ET SE DISTINGUE AVEC 4 LABELS DECIDEURS MAGAZINE

Le cabinet Derriennic Associés, spécialiste des NTIC, est heureux d’annoncer qu’il conserve son leadership au sein des principaux classements récompensant les qualités, les compétences et la réputation des professionnels du droit.

Nouvel encadrement pour l’exploitation des données : le Data Act

Le 23 février 2022, la Commission européenne a publié une proposition de règlement sur « l’harmonisation des règles d’accès et d’utilisation équitable des données » autrement dénommé « Data Act ». Ce texte, s’inscrit dans le cadre créé par les textes fondateurs du marché unique numérique.

Transfert de données personnelles vers les Etats-Unis : un accord de principe trouvé

Après un an de négociations, la Présidente de la Commission européenne et le Président des Etats-Unis ont fait part, le 25 mars dernier, d’un accord trouvé pour encadrer les transferts de données personnelles entre l’UE et les Etats-Unis.

Allemagne – Arrêt de la CJUE : le cloud peut être assujetti à la redevance copie privée !

Un arrêt de la CJUE confirme aujourd’hui que les États membres de l’Union européenne peuvent appliquer la redevance « copie privée » aux services de stockage cloud tant que l’équilibre entre la rémunération des auteurs et la juste participation des utilisateurs est respecté. Me Pierre-Yves Margnoux, avocat associé au sein du Cabinet Derriennic, commente cette décision dans une interview accordée à la revue EURACTIV.

Espagne – Amazon sanctionnée pour avoir exigé de ses chauffeurs des certificats d’absence de casier judiciaire

Dans une décision rendue le 2 février 2022, l’autorité espagnole de contrôle a sanctionné Amazon pour avoir traité des données relatives aux condamnations pénales de ses employés sans base légale.

Italie – Sanction d’une société italienne pour n’avoir pas fourni au plaignant la transcription d’appels téléphoniques

Dans une décision rendue le 16 décembre 2021, l’autorité italienne de contrôle a estimé que la fourniture de transcription d’appels téléphoniques doivent être fournies aux personnes concernées en vertu du droit d’accès.

Finlande – Sanction d’une clinique médicale pour n’avoir pas respecté le droit d’accès

Dans une décision rendue le 26 décembre 2022, l’autorité finlandaise de contrôle a condamné une clinique médicale pour n’avoir pas respecté le droit d’accès d’un patient.

Irlande – Meta Platforms condamnée à une amende de 17 millions pour non-respect du RGPD

Dans une décision rendue le 15 mars 2022, l’autorité irlandaise de contrôle a infligé à Meta Platforms (anciennement Facebook) une amende de 17 millions d’euros.

Italie – Clearview condamnée à payer 20 millions pour non-respect du RGPD

Dans une décision rendue le 15 mars 2022, l’autorité italienne de contrôle a condamné l’entreprise américaine Clearview AI à payer une amende de 20 millions d’euros.

Condamnation d’une banque : le DPO était « juge et partie » ! (Expertises, Mars 2022)

Un DPO peut-il être en situation de conflit d'intérêts? Comment se prémunir de ce risque éventuel ?... La Chambre de résolution des litiges de l'autorité belge de protection de données a condamné une banque pour non-respect des dispositions de l'article 38 (6) du RGPD. Un article rédigé par Maitre Alexandre FIEVEE dans la revue Expertises ( Mars 2022)

Création d’une procédure simplifiée de sanction de la CNIL

La loi n°2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure a créé un article 22-1 de la loi « Informatique et Libertés » prévoyant une procédure simplifiée d’engagement de poursuites par le Président de la CNIL. Cette procédure simplifiée visant à « fluidifier et simplifier l’action répressive » de la CNIL pourra être mise en œuvre uniquement dans certains cas.

Production de nouvelles pièces devant le juge du contrôle URSSAF : après l’heure, ce n’est plus l’heure !

Arrêts du 7 janvier 2022 (RG 16/15552) et 11 mars 2022 (RG n°19/00967) La survenance d’un contrôle URSSAF n’est pas chose facile à appréhender. Bien que périlleux et chronophage, l’exercice est d’importance pour l’entreprise qui, au regard des dernières jurisprudences, ne doit aucunement négliger la phase dite « contradictoire » du contrôle. Car c’est bien à ce moment-là qu’il faut produire les justificatifs quant aux points de redressement envisagés par l’URSSAF.

La transparence financière des syndicats : le nerf de la guerre, à vif !

Arrêt du 2 février 2022 (21-60.046) – Cour de Cassation – Chambre sociale Depuis 2008, le code du travail énonce les conditions cumulatives que doivent remplir les organisations syndicales pour être reconnues représentatives, au rang desquelles l’audience électorale. Si celle-ci ou encore le nombre d’adhérents sont régulièrement discutés aux fins de contester la désignation d’un délégué syndical, beaucoup négligent le critère de la transparence financière, également applicable aux syndicats non représentatifs s’ils souhaitent désigner un représentant de section syndicale (RSS).

Précisions du Ministère du Travail sur l’index d’égalité hommes-femmes

Depuis le 1er mars 2022, les entreprises de 50 salariés et plus ont l’obligation de publier leur index de l’égalité professionnelle sur leurs sites internet et de transmettre leurs résultats au Ministère du Travail.

Covid-19, obligation vaccinale et suspension du contrat : lorsque certains conseils prud’homaux ont eu leur dose !

Très attendues, les décisions des premiers juges sur la validité de la « sanction », instaurée par le Gouvernement, de suspension du contrat de travail en cas de défaut de vaccination du personnel de santé, se prononcent en faveur des salariés. Elles se révèlent toutefois, mais sans surprise, davantage polémiques que juridiques.

PSE & catégories professionnelles : un canevas difficile à broder !

Arrêt de la C.A.A de Versailles, 17 décembre 2021, n°21VE02669 La détermination des catégories professionnelles est essentielle lors de la mise en œuvre d’un plan de sauvegarde de l’emploi. L’arrêt du 17 décembre 2021 attire l’attention en ce qu’il vient rappeler que le nombre de catégories professionnelles « unipersonnelles » (qui ne ciblent qu’un seul poste) est un indice important pour vérifier que les catégories ont été régulièrement déterminées.

Clause de non-concurrence et rupture conventionnelle : un couple à ménager !

Arrêt de la Cass. Soc. – 26 janvier 2022 – nº 20/15.755 Par un arrêt du 26 janvier 2022, la Cour de cassation vient préciser l’articulation entre la rupture conventionnelle et la date à laquelle la clause de non-concurrence doit être levée par l’employeur.

Requalification d’un contrat de prestation de service en contrat de travail : quel salaire de référence ?

Cour de cassation, chambre sociale, 2 février 2022, n°18-23.425 Par un arrêt du 2 février 2022, la Cour de cassation se prononce sur le salaire de référence à retenir en cas de requalification d’un contrat de prestation de service en contrat de travail.

Forfait-jours ne signifie pas liberté absolue du salarié

Cour de cassation, chambre sociale, 2 février 2022, n°20-15.744 Par un arrêt rendu le 2 février, la Cour de cassation précise que le dispositif du forfait annuel en jours n’est pas incompatible avec certaines contraintes organisationnelles imposées par l’employeur.

Entretien annuel d’évaluation et reproches : quand évaluer devient sanctionner !

Par un arrêt rendu le 2 février, la Cour de cassation confirme le raisonnement de la cour d’appel de Besançon qui a jugé que le principe « non bis in idem » s’opposait à ce que des griefs, déjà formulés par l’employeur dans le compte-rendu d’entretien annuel d’évaluation d’un salarié, soient de nouveau invoqués à l’appui d’un licenciement pour motif disciplinaire. Cour de cassation, chambre sociale, 2 février 2022, n°20-13.833

Nouvelles jurisprudences sur le « préjudice nécessaire »

Par deux arrêts rendus en janvier dernier, la chambre sociale de la Cour de cassation donne de nouvelles illustrations de sa jurisprudence dite « du préjudice nécessaire ».

Droit d’accès d’un salarié à l’enregistrement vidéo de son accident du travail

Dans un arrêt du 15 février 2022, la Cour d’appel de Nîmes a condamné un employeur qui avait refusé de communiquer à un salarié l’enregistrement vidéo de son accident du travail.

Loi sur l’empreinte environnementale du numérique

Par le biais de cette loi s’inscrivant dans le sillage de la loi « anti-gaspillage » le législateur entend modifier durablement les habitudes de consommation des citoyens.

Protection des consommateurs et pratiques commerciales trompeuses et illicites

L’Ordonnance n°2021-1734 du 22 décembre 2021 transpose la directive de l’Union Européenne 2019/2161 du 27 novembre 2019 relative à une meilleure application et une modernisation des mesures de l'Union en matière de protection des consommateurs. Les mesures qu’elle édicte, applicables à compter du 28 mai 2022, poursuivent le développement de la protection du consommateur tout en adaptant les règles à la transformation numérique.

Entrée en vigueur des obligations incombant aux plateformes en ligne en matière de lutte contre les contenus haineux illicites

L’objectif poursuivi est de lutter plus efficacement contre ces contenus et encadrer les activités de modération.

Juridiction compétente en matière de dénigrement sur Internet : de nouvelles précisions de la CJUE

CJUE 21 décembre 2021 (Affaire C-251/20 Gtflix Tv) Le litige opposait deux sociétés, l’une tchèque (Gtflix TV), l’autre hongroise (DR), qui produisent des contenus audiovisuels pour adultes.

Liberté d’expression versus vie privée : précisions de la CEDH sur la portée du droit à l’oubli

Par un arrêt du 25 novembre dernier, la Cour Européenne des Droits de l’Homme (« CEDH ») s’est pour la première fois prononcée sur la mise en balance du droit à la liberté d’expression et la condamnation civile d’un journaliste pour refus prolongé de désindexer des données sensibles relatives à des particuliers.

IA et RH : New-York restreint le recours à l’IA dans les processus de recrutement

À compter du 1er janvier 2023, les employeurs de la ville de New York ne pourront plus utiliser librement les systèmes d'intelligence artificielle dans les décisions d'embauche et de promotion. Il ne s’agit pas d’une interdiction absolue, mais davantage d’un encadrement à des fins de transparence et de lutte contre les discriminations.

IA et PI : la fouille de données facilitée

Avec le développement de l’intelligence artificielle et des technologies de crawling / scraping de sites web, les autorités communautaires ont jugé nécessaire de clarifier le régime applicable à la fouille de textes et de données (Text and Data Mining).

Précisions sur la réception : la résiliation du contrat ne vaut pas recette tacite… même si le contrat dit le contraire !

Civ. 3ème 8 décembre 2021, n°20-21349 Un ensemble de particuliers, co-propriétaires, font réaliser des travaux sur leurs biens. Mécontents du travail du premier entrepreneur, ils résilient le contrat qui les lie à l’occasion d’une assemblée générale et engagent un nouveau prestataire pour terminer les travaux. Ils assignent cependant l’assureur du premier maître d’œuvre, la Mutuelle des architectes français (MAF) en réparation des préjudices liés à ses manquements.

La sauvegarde non-contradictoire d’un logiciel peut parfaitement être prise en compte par un expert judiciaire

Cour d'appel de Paris, Pôle 1 - chambre 5, ordonnance du 23 décembre 2021, n° 21/18036 Dans le cadre d’un projet d’intégration d’ERP, un client a constaté un certain nombre de dysfonctionnements affectant son système informatique et a donc assigné son prestataire en résolution du contrat ainsi que le prestataire en charge de financer l’investissement (l’arrêt ne le précise pas mais il s’agissait très probablement d’obtenir la caducité de ce contrat de financement).

La clause limitative de responsabilité à hauteur du prix du contrat est valide !

Une société lance un appel d’offres pour le renouvellement de son système d’information et après réception d’une proposition technique et commerciale, retient un prestataire informatique avec lequel elle contractualise en 2015.

Dévolution des droits de propriété intellectuelle sur les actifs obtenus par des auteurs de logiciels ou inventeurs non-salariés ni agents publics accueillis par une personne morale réalisant de la recherche

Ordonnance n° 2021-1658 du 15 décembre 2021 L’ordonnance du 15 décembre 2021 vient combler un vide juridique concernant la dévolution des droits de propriété intellectuelle afférents aux logiciels et inventions réalisés par des non-salariés ou des personnes qui ne sont pas des agents publics, essentiellement des stagiaires, des doctorants étrangers ou des personnes en VIE (Volontariat International en Entreprise), dans le cadre de leurs travaux de recherches, au bénéfice de la personne morale les accueillant.

L’invention de mission créée par un salarié appartient à son employeur qui est libre d’en disposer

Cour de cassation, Chambre commerciale, Arrêt nº 7 du 5 janvier 2022, Pourvoi nº 19-22.030 La qualification d’invention de mission emporte, pour la personne morale employeur du salarié qui l’a réalisée, droit au titre de propriété industrielle (brevet) sur cette dernière. L’employeur est ainsi libre d’en disposer et de le céder à un tiers.

Le Conseil d’Etat définit les contours du droit d’accès

Dans une décision rendue le 24 février 2022, le Conseil d’Etat est venu définir les contours du droit d’accès.

Le nouveau plan stratégique 2022-2024 de la CNIL

La CNIL a fixé 3 nouveaux axes prioritaires afin de faire face aux nouveaux enjeux en termes de protection des données à caractère personnel.  Plusieurs constats – l’accroissement des risques pour la vie privée en raison (i) de la « numérisation croissante de la vie économique et sociale » et (ii) de la « survenance de la pandémie », mais aussi « l’omniprésence des grands services du numérique », ont amené la CNIL à définir de nouvelles orientations pour la période 2022-2024. Ces orientations sont déclinées en 3 axes prioritaires.

Allemagne – Sanction d’une entreprise pour ne pas avoir supprimé les métadonnées de photographies

Un citoyen allemand a découvert que de nombreuses coordonnées GPS d’utilisatrices d’une marketplace (proposant à la vente des sous-vêtements portés) étaient accessibles en ligne.

Allemagne – Interdiction d’exiger la signature de la personne concernée qui exerce ses droits

La société ABIS, filiale de la Deutsche Post, exigeait que les demandes d’exercice des droits effectuées par les personnes concernées soient signées de manière manuscrite et transmises par courrier, fax, ou en pièce jointe à un courriel. Cette exigence était justifiée par la nécessité, selon ABIS, d’identifier la personne exerçant ses droits.

Espagne – Sanction d’un employeur pour avoir transmis à un tiers non autorisé les données d’un salarié AEPD

Un salarié a déposé une plainte, devant l’autorité de contrôle espagnole, après avoir constaté que son employeur (une société de construction immobilière) avait adressé à son client (une entreprise publique de logements sociaux) des données personnelles le concernant, dont des données de santé (arrêt maladie pour cause de COVID).

Sécurité : sanction d’une université pour défaut de test UODO (Pologne)

En mai 2020, l'université de technologie de Varsovie a notifié à l’autorité de contrôle polonaise une violation de données. La notification indiquait qu'une personne inconnue et non autorisée avait téléchargé, à partir du réseau informatique de l’université, une base de données contenant les données personnelles d’environ 5000 personnes (étudiants et professeurs). ( Pologne)

Non-conformité du transfert de données Google Analytics aux Etats-Unis selon l’autorité autrichienne de contrôle

Par une décision du 22 décembre 2021, l’autorité de contrôle autrichienne a estimé que le transfert hors UE de données à caractère personnel opéré par solution Google Analytics est contraire au RGPD.

2022 : l’année de la « cyber-résilience » ?

Face à l’augmentation exponentielle du nombre de cyber-attaques contre les réseaux d’entreprises (+68% en moyenne en 2021), il devient vital en 2022 pour les sociétés européennes d’intégrer dans leur stratégie un écosystème préventif dit « cyber-résilient ».

Actualité européenne : Panorama de quelques décisions rendues par des autorités nationales de contrôle

Focus sur quatre décisions rendues par les autorités européennes de contrôle

IA et brevets : l’intelligence artificielle peut-elle être inventeur ?

De plus en plus de créations sont générées par des systèmes d’intelligence artificielle. Peuvent-elles pour autant être protégées au titre du droit des brevets ? L’Afrique du Sud et l’Australie ont répondu par l’affirmative : une IA peut être inventeur et son propriétaire sera titulaire du brevet. Si cette conclusion n’est, pour l’heure, pas partagée par la communauté internationale, les positions pourraient être amenées à évoluer, compte tenu des enjeux économiques qu’elles impliquent, en termes d’attractivité comme de compétitivité.

Actualité européenne : Panorama de quelques décisions rendues par des autorités nationales de contrôle

Focus sur quatre décisions rendues par les autorités européennes de contrôle

Et si votre prestataire informatique défaillant n’est pas l’entité signataire du contrat ?

Tribunal de commerce de Rennes, 14 octobre 2021 Le client voulant faire reconnaitre la responsabilité de son prestataire informatique défaillant est bien fondé à poursuivre la société qui, bien que non signataire du contrat, a la qualité de mandataire apparent. Il obtiendra satisfaction, la mauvaise exécution étant établie, notamment du fait du défaut du devoir d’explication et de conseil, mais sans pour autant que le Tribunal ne fasse droit à sa demande de résiliation judiciaire.

Décompiler un logiciel pour corriger des erreurs : possible pour la CJUE !

CJUE, 6 octobre 2021, C-13/20 Dans une décision très attendue du 6 octobre dernier, la CJUE apporte des éclairages précieux sur la portée du droit de corriger les erreurs et du droit de décompilation d’un logiciel dont peut bénéficier l’utilisateur légitime.

Le pouvoir limité du juge des référés dans l’appréciation des dispositions d’un contrat informatique

Cour d'appel de Colmar, Chambre 1 a, 20 septembre 2021, n° 20/03613 L’appréciation des dispositions d’un contrat informatique, du moins pour ce qui est de savoir si le client est bienfondé à exiger la remise des codes sources post-résiliation, peut poser des difficultés au juge des référés…

La condamnation d’un élu pour maintien de contenus illicites sur son « mur » Facebook ne viole pas la Convention des Droits de l’Homme

CEDH 2 sept. 2021, Sanchez c/ France, n° 45581/15 Les juridictions françaises n’ont pas porté une atteinte disproportionnée à la liberté d’expression en condamnant, pour provocation à la haine raciale, un élu qui avait mis six semaines à supprimer des messages de haine publiés, par un tiers, sur son mur Facebook.

Distribution de licences de logiciels : attention à l’application de la législation sur les agents commerciaux !

CJUE 16 septembre 2021 C-410/19 Par un arrêt rendu le 16 septembre dernier, la CJUE a qualifié la commercialisation de certaines licences de logiciel de « vente de marchandises » soumise à la directive relative aux agents commerciaux.

Legide : Une solution blockchain de protection des créations et des innovations crée par la Chambre des Huissiers de Justice de Paris et IBM

« Legide, c’est l’alliance de la sécurité juridique et technologique, au profit des créateurs » souligne Nicolas Dessard, Huissier de Justice et audiencier à la Cour de cassation. « Une solution de confiance qui s’appuie sur une technologie de rupture, la blockchain, pour apporter une réponse innovante et agile ».

Un pas de plus vers le brevet unitaire européen et la juridiction unifiée du brevet

L’Allemagne qui a levé ses dernières réticences sur le brevet unitaire européenne va rejoindre le projet de « coopération renforcée » aux côtés de 24 autres pays européens. Le brevet unitaire européen ainsi que la Juridiction Unifiée du Brevet (JUB) devraient voir le jour d’ici la fin de l’année 2022.

Utilisation de l’IA par la police et la justice : le Parlement Européen contre la surveillance de masse

L’intelligence artificielle offre de grandes possibilités dans les secteurs répressifs et judiciaires. Le Parlement Européen exprime néanmoins sa vive inquiétude quant à l’utilisation de ces technologies par les autorités policières et judiciaires dans les affaires pénales, dans une résolution du 6 octobre 2021 sur l’intelligence artificielle (« IA ») en droit pénal (2020/2016(INI).

La cyber-assurance : retour sur les propositions du rapport parlementaire permettant d’améliorer la prise en compte des risques cyber en France

Le rapport « la cyber-assurance », déposé à l’Assemblée Nationale par la députée de la Loire, Madame Valéria FAURE-MUNTIAN, soumet 20 propositions, dont certaines sont qualifiées de « pavé dans la mare ».

Nouvelle loi contre le piratage audiovisuel adoptée le 29 septembre 2021

Après avoir été admis en première lecture au Sénat le 20 mai 2021, modifié par l’Assemblée nationale le 23 juin 2021, le projet de la loi relatif à la communication audiovisuelle et à la souveraineté culturelle a fait l’objet d’un débat en commission mixte paritaire avant d’être adopté définitivement le 29 septembre 2021.

La seule captation d’une image sans consentement ouvre droit à réparation

Cour de cassation, 1ère chambre civile, 2 juin 2021, n° 20-13.753 Il ressort des articles 9 du Code civil et 8 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales que le droit dont la personne dispose sur son image porte sur sa captation, sa conservation, sa reproduction et son utilisation et que la seule constatation d’une atteinte ouvre droit à réparation.

Se distinguer de la concurrence, élément de preuve de l’originalité

Lorsque la question de l'originalité de l'œuvre logicielle rencontre celle de l'étendue de l'obligation contractuelle, la 3ème chambre, 3ème section du tribunal judiciaire de Paris dans un jugement du 6 juillet 2021, n°18/01602 n'hésite pas à considérer l'originalité comme une différenciation de l'offre effectuée par les concurrents.

Vente de robot équipé d’un logiciel – renvoyer à la documentation du produit : totalement insuffisant !

Cour d'appel d'Angers, Chambre commerciale A, Arrêt du 31 août 2021, Répertoire général nº 20/00511 

Lutte contre la haine en ligne et le blocage des sites miroirs

La nouvelle loi n°2021-1109 confortant le respect des principes de la République a été promulguée le 24 août 2021 et fait suite aux évènements ayant conduit à l’assassinat de Samuel Paty.

La responsabilité d’un homme politique des commentaires publiés sur sa page Facebook

La Cour Européenne des Droits de l’Homme valide la possibilité de sanctionner pénalement un internaute qui n’a pas retiré un commentaire manifestement illicite déposé sur le mur de son compte Facebook dont l’accès était ouvert au public.

Tee-shirt « Jihad, je suis une bombe » : la condamnation pour apologie de crimes d’atteintes volontaires à la vie ne constitue pas une atteinte disproportionnée à la liberté d’expression

CEDH 2 sept. 2021, Z. B. c/ France, n° 46883/15

Violation d’une clause de non-concurrence par un ancien salarié : compétence du juge des référés commercial

Cour de cassation, Chambre commerciale, 9 juin 2021, n° 19-14.485, F-P

Résiliation du contrat au tort du prestataire malgré la mise en production du logiciel par le client

Cour d'appel de Paris, Pôle 5, Chambre 11, Arrêt du 17 septembre 2021, Répertoire général nº 19/03566

Saisie-contrefaçon : singularités de la demande de mainlevée – procédure à ne pas mettre entre toutes les mains…

La Cour de cassation a clarifié la distinction entre les saisies autorisées en droit commun et les saisies-contrefaçon autorisées en matière de contrefaçon de logiciel. La Cour de cassation a également précisé les pouvoirs dont dispose le juge lorsqu’il procède au contrôle de telles mesures.

Options « à tarif nul » : la CJUE se prononce une nouvelle fois sur le principe de la neutralité du net

Dans un arrêt du 2 septembre dernier, la Cour de Justice de l’Union Européenne (CJUE) interprète pour la deuxième fois le règlement européen (UE) 2015/2120 établissant des mesures relatives à l’accès à un internet ouvert et consacrant le principe de la neutralité du net et ce, toujours en faveur de celui-ci.

AOP : une protection étendue par les Juges européens

Par un arrêt rendu le 9 septembre dernier, la Cour de Justice de l’Union européenne (CJUE) a interprété largement le droit de l’Union en matière de protection des produits bénéficiant d’une Appellation d’Origine Protégée (AOP).

Clause attributive de juridiction : transmission électronique du contrat et opposabilité de la clause – une avancée dangereuse

Entre professionnels, apposer sa signature sur un document contractuel contenant un lien hypertexte renvoyant à une clause attributive de juridiction, suffit à la rendre opposable.

Entretien professionnel : « En cas de non-respect, l’employeur doit abonder spontanément le CPF du salarié »

Sabine Saint-Sans, avocate associée au cabinet Derriennic Associés, revient sur la sanction prévue en cas de non-respect par l'entreprise de ses obligations en matière d'entretien professionnel.

Actualité européenne : Panorama de quelques décisions rendues par des autorités nationales de contrôle

Focus sur quatre décisions rendues par les autorités de contrôles européennes.

L’obligation de délivrance conforme de l’éditeur de logiciel

L’éditeur a l'obligation de s'assurer que le progiciel réponde aux besoins de son client qu'il aura analysés et l’obligation de délivrance ne pourra être considérée comme exécutée que si le progiciel a été installé, testé et mis en production, la recette attestant que le progiciel répond aux besoins du client. Pour autant, l’absence de recette n’est pas ipso facto une démonstration de l'inexécution.

Cookies : la CNIL poursuit les contrôles

Après avoir initié une première série de mises en demeure en mai, puis une deuxième en juillet, la CNIL dresse un bilan de sa dernière campagne et annonce vouloir effectuer de nouveaux contrôles.

Amazon condamnée à une amende record de 746 millions d’euros

Amazon a été condamnée, par une décision de l’autorité de contrôle luxembourgeoise, à payer une amende 746 millions d’euros pour traitements illicites.

Amende de 1 750 000 € pour conservation prolongée des données et défaut d’information

Le 20 juillet 2021, la CNIL a prononcé une amende administrative d’un montant de 1 750 000 € à l’encontre de la SGAM AG2R LA MONDIALE, pour manquements (i) à l’obligation de conserver les données à caractère personnel pour une durée n’excédant pas celle nécessaire au regard des finalités du traitement, et (ii) à l’obligation d’informer les personnes concernées.

Actualité européenne : Panorama de quelques décisions rendues par des autorités nationales de contrôle

Focus sur quatre décisions rendues par les autorités de contrôles européennes.

Droit d’accès d’un salarié : L’employeur doit-il communiquer la copie des courriels ? (Expertises, Juillet 2021)

Ce mois-ci, la question porte sur l’exercice du droit d’accès d’un salarié (ou ancien salarié). Son nom et son adresse électronique figurent dans un nombre considérable de courriels. L’employeur doit-il extraire de la messagerie électronique professionnelle dudit salarié l’intégralité de ces courriers et les lui communiquer ?

Deux nouveaux jeux de clauses contractuelles types !

Par deux décisions d’exécution du 4 juin 2021, publiées le 7 juin 2021, la Commission européenne a adopté : - des clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers à l’Union Européenne (« UE ») ; - des clauses contractuelles types entre les responsables de traitement et les sous-traitants situés au sein de l’UE.

Responsable de traitement – sous-traitant : Le CEPD adopte ses lignes directrices

Le Comité européen de la protection des données (« CEPD ») a adopté, le 7 juillet 2021 des lignes directrices sur les notions de responsable du traitement et de sous-traitant (accessibles ici).

Surveillance constante d’un salarié travaillant seul : un moyen de preuve inopposable

La Cour de cassation, dans un arrêt du 23 juin 2021, a estimé que la surveillance constante d’un salarié, par un dispositif de vidéosurveillance, aux fins d’assurer le respect des règles d’hygiène et de sécurité, était attentatoire à la vie personnelle de ce salarié et disproportionnée au but recherché.

Code de conduite : le tout premier outil de conformité européen approuvé par la CNIL

Le 9 février 2021, le Cloud Infrastructure Service Providers Europe (CISPE) a publié le tout premier code de conduite européen dédié aux fournisseurs de services d’infrastructures cloud, sous-traitants de données à caractère personnel. Par une délibération n° 2021-065 du 3 juin 2021, la CNIL a approuvé ce code de conduite.

RGPD – Le Royaume-Uni reconnu « pays adéquat »

La Commission européenne a adopté, le 28 juin 2021, une décision d’adéquation reconnaissant que le niveau de protection des données personnelles au Royaume-Uni est substantiellement équivalent à celui garanti par le droit de l’Union européenne.

La CNIL se positionne sur la monétisation des données personnelles

La CNIL a publié, le 31 mai dernier, sur son site internet un article qui traite des questions éthiques et juridiques de la monétisation des données personnelles, notamment en ce qui concerne les cookies walls qui bloquent l’accès au site internet tant que l’utilisateur n’a pas consenti au placement de cookies ou payé pour accéder au contenu.

Les obligations de résultat du prestataire informatique tempérées

Cour d'appel de Caen, 2ème Chambre civile, Arrêt du 22 avril 2021, Répertoire général nº 19/00629

La responsabilité du prestataire informatique en cas de cyberattaque

Cour d'appel d’Aix-en-Provence, Arrêt du 25 mars 2021, Répertoire général nº 18/05350.

Adoption de l’ordonnance visant à transposer la directive européenne « droit d’auteur et droits voisins »

L’ordonnance transposant les dispositions des articles 17 à 23 de la directive 2019/790 du Parlement européen et du Conseil du 17 avril 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique a été adoptée le 12 mai 2021 en Conseil des ministres.

L’autorité de la concurrence sanctionne l’échange d’informations entre deux candidats à un appel d’offre

L’autorité de la concurrence a sanctionné un groupe pour des échanges d’informations lors d’un appel d’offre de la communauté urbaine de Lille pour la maintenance et la transformation des installations de gestion technique de ses bâtiments.

Quelle durée de conservation des messageries électroniques professionnelles ? (Expertises, Juin 2021)

La question de la durée de conservation de la messagerie électronique n’est pas aisée, mais devient fondamentale lorsqu’un salarié quitte l’entreprise.

Reclassement de salariés : le compte-rendu d’entretien doit être objectif

Mettant notamment en cause le caractère objectif des données retranscrites dans un compte rendu, un employé a contesté le traitement de ses données par un cabinet de consultants diligenté par son employeur, dans le cadre d’une restructuration.

Le logo déposé par Huawei n’est pas un plagiat du logo de Chanel

La société Chanel a assigné en justice Huawei, lui reprochant d’avoir plagié son logo. Le Tribunal de l’Union Européenne a rejeté les accusations, estimant qu’aucun plagiat n’était caractérisé en l’espèce.

Jeff Koons de nouveau condamné pour contrefaçon

La Cour d’appel de Paris confirme la condamnation pour contrefaçon de l’artiste contemporain Jeff Koons, qui avait réalisé une sculpture inspirée d’une photographie publicitaire sans l’accord de l’auteur.

Assurance responsabilité professionnelle : l’opposabilité par l’assureur de la condamnation judiciaire de l’assuré

Cass. civ. 3ème, 18 mars 2021, n° 20-13.915, P

Le client est tenu de vérifier le bon fonctionnement du site qu’il a commandé

Dans un jugement du 22 avril 2021, le tribunal judiciaire de Marseille a rappelé l’obligation du client, qui commande à un prestataire le développement d’un site, de vérifier son bon fonctionnement en procédant à son recettage.

Un nouveau pas pour la règlementation européenne de l’IA

Communiqué de presse 21 avril 2021 « Une Europe adaptée à l'ère du numérique : La Commission propose de nouvelles règles et actions en faveur de l'excellence et de la confiance dans l'intelligence artificielle »

Quelques principes probatoires en matière de création de site internet et de référencement en ligne

Cet arrêt, rendu par la Cour d’appel de Montpellier, a été l’occasion pour les juges de procéder à un certain nombre de rappels, notamment concernant la preuve de la conformité d’un site internet et des prestations de référencement en ligne.