INTERNET
Rapport d’activité 2018 de l’Hadopi : quel est le bilan 2018, 10 ans après sa création ?
Cela fait dix ans que l’HADOPIa été créée (loi du 12 juin 2009) pour favoriser la diffusion et la protection de la création sur Internet.
Quelles ont été les actions de l’Autorité en 2018 ? Quelles propositions et réformes sont envisagées ?
La procédure de « réponse graduée » adoptée pour modifier le comportement des fraudeurs qui téléchargent illégalement a été déployée de manière massive. Cette procédure se décompose en trois phases d’avertissements adressés aux internautes :
- Envoi d’une première recommandation par voie électronique ;
- Envoi d’une deuxième recommandation en cas de nouvelles constatations des faits dans les 6 mois, par voie électronique et par LRAR ;
- Envoi d’une lettre de notification constatant la négligence caractérisée de l’internaute, par voie électronique et par LRAR.
A titre d’exemples, l’Autorité a traité cinquante à soixante-dix mille constats de mise à disposition illégale sur des réseaux pair à pair d’œuvres protégées par un droit d’auteur et ce, quotidiennement.
Précisément, elle a envoyé 1,19 millions de recommandations, 147 916 deuxièmes recommandations par courriel et lettres recommandées. Seuls 1 045 cas de fraudes ont été transmis au procureur de la République et 83 condamnations ont « abouti » (dont trois jugements pour délit de contrefaçon).
Quid des propositions de réforme soulevées par l’HADOPI ?
Depuis le 1ermars 2018, Denis Rapone est président de l’HADOPI. Selon lui, « les usages numériques et les techniques de piratage (…) ont évolué depuis 2009 tandis que notre arsenal juridique est resté le même depuis dix ans». Il évalue même la destruction de valeur liée au piratage dans les secteurs du cinéma et de l’audiovisuel à 1 milliard d’euros de pertes.
De fait, l’HADOPI doit voir ses missions évoluer au-delà de la seule lutte contre les atteintes commises en pair à pair ; le streaming et le live-streaming étant une réelle menace aujourd’hui.
L’HADOPI a ainsi formulé des propositions de réforme législative pour faire évoluer ses missions, notamment pour sensibiliser les usagers, responsabiliser les plateformes, parvenir au blocage rapide et pérenne des sites et services contrefaisants, accompagner et documenter les procédures judiciaires pour faciliter l’office du juge et ainsi permettre des décisions rapides.
Affaire à suivre.
Seuls les candidats inscrits sur la plateforme « Parcoursup » ont le droit de connaître les critères d’examen de leurs candidatures mis en place par les établissements de l’enseignement supérieur !
CE, 12 juin 2019, « Université des Antilles / Union nationale des étudiants de France »
Dans un arrêt rendu le 12 juin 2019, le Conseil d’Etat a jugé qu’une université pouvait refuser de communiquer à un syndicat étudiant les règles de traitement informatique des candidatures de la plateforme « Parcoursup ». Selon le Conseil d’Etat, cet accès est réservé uniquement aux candidats eux-mêmes.
En l’espèce, l’Union nationale des étudiants de France (UNEF) avait demandé à l’université des Antilles de communiquer les procédés algorithmiques et les codes sources qu’elle utilisait pour l’examen des candidatures qui lui étaient présentées sur la plateforme « Parcoursup ». L’université avait refusé de communiquer lesdits documents.
L’UNEF a donc porté l’affaire devant le Tribunal administratif de Guadeloupe. Par un jugement en date du 4 février 2019, le Tribunal administratif a jugé que l’université avait l’obligation de délivrer ces documents en vertu de l’article 311-1 du Code des relations entre le public et l’administration qui oblige les administrations à communiquer aux personnes qui en font la demande tout document administratif qui les concerne.
L’université a alors formé un pourvoi devant le Conseil d’Etat. Dans sa décision du 12 juin 2019, le Conseil a annulé le jugement du Tribunal administratif.
Le Conseil d’Etat rappelle que si, effectivement, il existe un principe de communication des documents administratifs en vertu de l’article susmentionné, la Loi du 8 mars 2018 d’orientation et de réussite des étudiants prévoit une règle spécifique pour les documents relatifs à « Parcoursup ».
En effet, cette Loi prévoit que l’établissement d’enseignement supérieur est tenu d’informer les candidats sur la mise en place de la sélection des candidatures lorsque qu’il reçoit des demandes supérieures à ses capacités d’accueil, et lorsque les intéressés en font la demande.
Le Conseil d’Etat conclut que l’université des Antilles pouvait légalement refuser de communiquer à l’UNEF, qui n’était pas candidat, les informations relatives à la procédure informatique de sélection des étudiants.
En outre le Conseil d’Etat rappelle qu’en vertu du nouveau Décret en date du 26 mars 2019, les universités ont désormais l’obligation de porter connaissance aux candidats les critères généraux de l’évaluation des candidatures des étudiants, sans que ces derniers n’en fassent la demande.
Orange a manqué à ses obligations contractuelles : Orange est responsable de la fiabilité de sa base de données Setiar Setiar vis à vis des autres opérateurs
Tribunal de Grande Instance, Jugement du 18 mars 2019
Le TGI d’Aix-en-Provence a récemment jugé qu’Orange avait manqué à ses obligations contractuelles par un jugement du 18 mars 2019. Les juges ont considéré qu’Orange était responsable de la fiabilité des informations contenues dans sa base de données Setiar, base de données créée originellement par France Télecom qui permet aux opérateurs de connaître l’état des lignes en vue de la réattribution de lignes inactives.
Un artisan exerce une activité qui nécessite l’usage effectif et continu de l’ensemble des services souscrits auprès de l’opérateur Orange et qui permet, notamment, la gestion électronique de documents, leur numérisation, leur hébergement, leur maintenance et leur archivage pour le compte des clients.
En l’espèce, l’artisan avait souscrit en 2012 un contrat auprès d’Orange lui donnant accès à une ligne fixe standard, une ligne support, un service de télécopie et d’Internet. En 2015, il a souscrit l’offre « Open Pro Partage » afin de regrouper en une seule facture et un seul service tous ses contrats. À ce titre, une garantie de rétablissement de la ligne dans les 8 heures ouvrables après enregistrement du dérangement pour les lignes analogiques a été prévue dans le contrat.
Le 30 août 2016, les services d’Orange ont été interrompus et n’ont été rétablis que le 22 septembre 2016, soit trois semaines plus tard, privant ainsi l’artisan de l’utilisation d’Internet, de ses mails et de sa ligne commerciale. En effet, SFR avait effectué une demande de dégroupage dans le cadre d’une demande d’abonnement d’une cliente le 23 août 2016. La base de données Setiar comportant une erreur, la ligne de l’artisan a été réattribuée malencontreusement à un nouveau client, occasionnant l’écrasement de la ligne de l’artisan et donc l’interruption des services Orange.
Ainsi, le tribunal rappelle que la société Orange est soumise à une obligation de résultat quant aux services offerts et ne peut s’exonérer de sa responsabilité à l’égard de son client, en raison de l’intervention d’un tiers puisque « La société Orange a manqué à son obligation de fiabilité des informations contenues dans la base de données Setiar et a mise à la disposition de l’opérateur SFR une information erronée à l’origine de la coupure ».
L’artisan, victime d’une interruption de service, n’a pas vu ses services rétablis dans le délai de 8 heures prévu au contrat, Orange n’a donc pas répondu à ses obligations contractuelles.
Alors que l’artisan sollicitait la somme de 205 065 euros TTC au titre des commandes passées par ses clients, l’artisan obtient seulement 12 000 euros en réparation du dommage subi (23 jours d’interruption) pour défaut de justificatif et 2 000 euros au titre de l’article 700 du Code de procédure civile en plus du remboursement des factures d’Orange correspondant à la période d’interruption des services.
DONNÉES PERSONNELLES
Les moteurs de recherche peuvent-ils traiter des données relatives aux infractions ? La Cour de cassation demande à la CJUE de se prononcer
Cour de cassation, première chambre civile, Arrêt du 5 juin 2019
La Cour a rendu un arrêt par lequel elle a posé une question préjudicielle à la CJUE sur le point de savoir si l’exploitant d’un moteur de recherche était soumis à l’interdiction de traiter des catégories particulières de données, au sens de l’article 8 de la directive du 24 octobre 1995, ainsi que des données relatives aux infractions, aux condamnations pénales et aux mesures de sûreté.
Un particulier exerçant la profession d’expert-comptable et de commissaire aux comptes a été déclaré coupable d’escroquerie et de tentative d’escroquerie par jugement du tribunal correctionnel de Metz, confirmé par un arrêt de la Cour d’appel de Metz rendu le 9 octobre 2013.
Par la suite, ce particulier a demandé à la société Google LLC de supprimer des liens redirigeant vers deux comptes rendus d’audience relatant cette condamnation pénale, publiés sur le site internet du journal « Le Républicain lorrain ».
Après que la société Google LLC lui a opposé une fin de non-recevoir, le particulier a assigné cette dernière en référé, en se fondant sur son droit d’opposition, aux fins de déréférencement desdits liens.
Le particulier fait ici grief à l’arrêt d’avoir rejeté sa demande de déréférencement, alors même que l’article 9 de la loi n°78-17 du 6 janvier 1978, dans sa rédaction applicable en l’espèce, restreignait la mise en œuvre des traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté, à une liste de personnes limitativement énumérées, parmi lesquelles ne figurent pas les exploitants de moteur de recherche.
La Cour de cassation a indiqué que le Conseil d’Etat a, par décision du 24 février 2017, renvoyé à la CJUE un certain nombre de questions préjudicielles, parmi lesquelles :
« Eu égard aux responsabilités, aux compétences et aux possibilités spécifiques de l’exploitant d’un moteur de recherche, l’interdiction faite aux autres responsables de traitement de traiter des données relevant des paragraphes 1 et 5 de l’article 8 de la directive du 24 octobre 1995, sous réserve des exceptions prévues par ce texte, est-elle également applicable à cet exploitant en tant que responsable du traitement que constitue ce moteur ? »
D’autres questions étaient également posées par le Conseil d’Etat, notamment sur le point de savoir si, en cas de réponse positive à cette première question, l’exploitant d’un moteur de recherche devait faire systématiquement droit aux demandes de déréférencement portant sur des liens menant vers des pages web qui traitent de telles données.
A l’inverse, en cas de réponse négative à la première question, le Conseil d’Etat s’est interrogé sur le point de savoir quelles exigences spécifiques l’exploitant d’un moteur de recherche devait satisfaire, compte tenu de ses responsabilités, de ses compétences et de ses possibilités. De plus, le Conseil d’Etat a interrogé la CJUE afin de savoir si, lorsqu’un exploitant de moteur de recherche constate que des pages web vers lesquelles mènent les liens dont le référencement est demandé comportent des données dont la publication, sur lesdites pages, est illicite, les dispositions de la directive du 24 octobre 1995 doivent-elles être interprétées en ce sens :
- qu’elles imposent à l’exploitant d’un moteur de recherche de supprimer ces liens de la liste des résultats affichés à la suite d’une recherche effectuée à partir du nom du demandeur ?
- ou qu’elles impliquent seulement qu’il prenne en compte cette circonstance pour apprécier le bien-fondé de la demande de déréférencement ?
- ou que cette circonstance est sans incidence sur l’appréciation qu’il doit porter ?
La Cour de cassation, en conséquence, a sursis à statuer sur le pourvoi jusqu’au prononcé de la décision de la CJUE dans l’affaire en cause (référence : C-136/17).
Lien vers la décision de la Cour de cassation :
Données personnelles et données non personnelles : quelles règles respecter ? Quarante-deux pays, dont la France, adoptent les nouveaux Principes de l’OCDE sur l’intelligence artificielle
Communication de la Commission au Parlement européen et au Conseil – Lignes directrices relatives au règlement concernant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne, 29 mai 2019
La Commission européenne vient de publier des lignes directrices visant à mieux appréhender l’interaction entre, d’une part, le récent règlement européen sur les données à caractère non personnel et, d’autre part, le RGPD.
Dans ce « guide », la Commission revient sur la définition de donnés non personnelles, par opposition aux données personnelles au sens du RGPD, en distinguant deux catégories :
- les données qui au départ ne concernaient pas une personne physique identifiée ou identifiable ;
- les données qui étaient initialement des données à caractère personnel mais qui ont ensuite été rendues anonymes.
La Commission précise ensuite les règles à appliquer en présence d’ensembles de « données mixtes » : le règlement relatif au libre flux des données à caractère non personnel s’applique aux données à caractère non personnel de l’ensemble et le RGDP aux données personnelles.
Elle fixe toutefois une limite : si les deux types de données sont « inextricablement liés » (i.e. la séparation entre les deux serait impossible ou considérée comme économiquement inefficace ou techniquement impossible par le responsable de traitement), il faut respecter le RGPD pour toutes les données de l’ensemble. Il en va de même pour les traitements de données concernant la santé (la frontière étant floue entre les deux types de données traitées, par exemple, dans le cadre d’une application de santé).
Ces lignes directrices détaillent également le champ d’application du règlement : sont concernés uniquement les traitements (i) fournis en tant que services aux utilisateurs résidant ou disposant d’un établissement dans l’Union, par un fournisseur de services établi, ou non, dans l’Union ; ou (ii) effectués par une personne physique ou morale résidant ou disposant d’un établissement dans l’Union pour ses propres besoins. Par exemple, pour un fournisseur de services cloud établi au Japon proposant ses services à des clients européens, et dont les capacités et toutes les activités de traitement sont menées dans ce pays : le règlement sur les données non personnelles ne s’appliquera pas, mais le RGPD devra être respecté si des données personnelles font partie de l’ensemble concerné (nommant pour le transfert des données).
Ces lignes apportent également des précisions sur les exigences de localisation des données à caractère personnel et les codes de bonne conduite attendus pour faciliter le changement de fournisseurs cloud.
A suivre…
INTELLIGENCE ARTIFICIELLE
Deuxième atelier AFNOR sur au cabinet DERRIENNIC ASSOCIES : les bonnes pratiques en matière de contractualisation
Le second atelier sur l’intelligence artificielle s’est tenu le 17 juin 2019 dans les locaux du cabinet DERRIENNIC ASSOCIES avec l’AFNOR et les participants du groupe d’entreprises sur la définition des bonnes pratiques en matière de contractualisation de l’intelligence artificielle.
Le thème de travail pour cet atelier était alors la sécurité dans les contrats portant sur l’exploitation de l’intelligence artificielle. Le prochain atelier est prévu pour le 23 septembre 2019.
CONTRAT INFORMATIQUE
Attention à la résiliation anticipée par le client, laquelle est à ses risques et perils !
Cour d’appel de Paris, Pôle 5, Chambre 11, Arrêt du 28 juin 2019, Répertoire Général n° 15/24198
La résiliation anticipée d’un CDD ne peut être justifiée que par des manquements graves aux obligations contractuelles, cette résiliation ayant lieu alors aux risques et périls de la partie qui a mis fin au contrat. Cet arrêt éclaire, d’une part, sur la qualification de « manquement grave » dans le contexte d’une double obligation de résultat sur le respect des délais et de livraison conforme et, d’autre part, sur les causes exonératoires à cette obligation et, enfin, sur les conséquences d’une résiliation fautive.
Une société industrielle signe, avec une société éditrice de solutions informatiques spécifiques, un contrat de fourniture d’un an renouvelable, aux termes duquel l’éditeur s’engage à développer et fournir un logiciel de gestion de batteries répondant à certaines spécifications pour un montant de 140 000 euros, livrable selon un planning prédéfini. Le contrat fait l’objet de différents avenants mais le client annonce la fin de la collaboration, faisant état du non-respect des délais et des anomalies sur le code. L’éditeur assigne le client en soutenant que la résiliation est fautive, que les honoraires correspondant aux prestations exécutées sont dus et que le client utilise sans droit le code développé.
Par jugement du 20 novembre 2015, le TGI de Paris :
- déclare la rupture unilatérale non fondée et condamne le client à régler le solde entre les sommes restant dues au prestataire et son préjudice. En effet, si les manquements contractuels de ce dernier ne justifiaient pas la résiliation anticipée du contrat, jugée fautive, ils conduisent à prendre en compte le préjudice subi par le client. Le TGI va ainsi retenir des factures à payer les sommes versées à des sociétés tierces aux fins de correction, mais pas l’entier coût du prestataire de remplacement et des équipes du client, ce dernier ayant résilié à ses risques et périls ;
- rejette la demande de réparation fondée sur le non-respect des droits de propriété intellectuelle, le contrat ne subordonnant pas le transfert des droits à la fin du contrat et au paiement de l’ensemble des sommes dues.
Les deux parties relèvent appel de la décision : le prestataire demande le paiement intégral des prestations réalisées (123 000 euros) et la réparation de son préjudice découlant de l’usage du logiciel en violation de ses droits d’auteur (500 000 euros), alors que le client sollicite le paiement de dommages intérêts (146 000 euros).
La Cour d’appel va reprendre les arguments du TGI et confirmer le jugement en ce qu’il avait considéré la résiliation fautive et rejeté la demande relative aux droits d’auteur. Pour autant, la Cour n’en tire pas les mêmes conclusions en termes de condamnation du client.
Les juges rappellent que la résiliation anticipée d’un CDD n’est pas possible (article 1212 du code civil), mais que néanmoins cette rupture peut être justifiée par des manquements graves d’une partie à ses obligations contractuelles, cette résiliation ayant lieu alors aux risques et périls de la partie qui a mis fin au contrat selon la jurisprudence de la Cour de cassation.
En l’espèce, en application du contrat, le prestataire était tenu à une obligation de résultat concernant une livraison conforme et un calendrier précis ; le débiteur d’une obligation de résultat est tenu de remplir ses obligations, sauf cas de force majeure ou faute du créancier.
Concernant le planning, il est impossible de contester que le prestataire ne l’a pas respecté. Si l’expert a retenu des causes partagées pour expliquer le retard (conclusion d’avenants entraînant une charge supplémentaire de travail, livraison tardive par le client, définition tardive ou imprécise de certaines spécifications), ces causes ne revêtent pas le caractère de force majeure, soit d’extériorité, d’irrésistibilité et d’imprévisibilité. Cependant, le seul défaut du respect du calendrier ne constitue pas, en lui-même, un manquement grave justifiant la rupture anticipée, alors que le contrat prévoyait comme sanction du retard, non pas la résiliation, mais des pénalités de retard qui étaient de nature à indemniser le client des préjudices subis.
Concernant l’obligation de livrer un logiciel conforme, il résulte de l’expertise judiciaire que le logiciel comportait des anomalies et il convient d’apprécier si ces anomalies sont suffisantes pour être qualifiées de manquements graves. Or, le respect d’une obligation de délivrance conforme doit s’apprécier à la lumière de la durée globale du contrat, de telle sorte qu’il ne peut être imputé à un débiteur l’inexécution avant son terme si le bénéfice du terme lui aurait permis d’apporter des modifications utiles pour satisfaire à son obligation de délivrance conforme. En l’espèce, le client a résilié par anticipation alors que des anomalies auraient été corrigées si le processus de développement et la recette avaient été à leur terme et la cause était partagée dans les non-conformités fonctionnelles du logiciel en raison notamment de la non-précision des spécifications. En conséquence, les manquements du prestataire ne peuvent être qualifiés de manquements graves justifiant une rupture anticipée du contrat à durée déterminée.
Concernant les montants réclamés, la Cour va considérer que le solde impayé (calculé à 80 000 euros) est intégralement dû par le client en raison de la résiliation fautive du contrat à ses risques et périls. Le client ayant commis une faute en résiliant le CDD, sa demande de réparation de son préjudice qui découle de cette résiliation (emploi de son personnel, interventions de prestataires extérieurs), sera déboutée.
COMMERCE ELECTRONIQUE
La société Doctipharma condamnée pour participer au commerce électronique de médicament
Cour de cassation, chambre commerciale, Arrêt du 19 juin 2019, Répertoire générale n°18-12.292
La Cour de cassation a récemment conclu à l’illicéité d’une plateforme de vente mettant en relation des officines de pharmacie et des acheteurs en ligne.
En l’espèce, il s’agit du site internet Doctipharma sur lequel les internautes peuvent acquérir, à partir de sites d’officines de pharmacies, des produits parapharmaceutiques et des médicaments sans ordonnance.
L’association Union des Groupements de Pharmaciens d’Officine (l’UDGPO) a assigné la plateforme, mais également son hébergeur, Pictime, en invoquant que le procédé de vente en ligne proposé aux officines permettait à Doctipharma de participer au commerce électronique de médicaments sans avoir la qualité de pharmacien.
L’UDGPO demande, d’une part, la cessation, sous astreinte, des activités de vente, d’hébergement des données, ainsi que de publication des pages proposant la vente de médicaments et, d’autre part, que la décision soit assortie de mesures de publicité judiciaire.
La Cour d’appel a infirmé le jugement après avoir relevé que les commandes de médicaments, qui ne transitent que par la plate-forme créée par Doctipharma, en tant que support technique des sites des pharmaciens d’officine, sont reçues et traitées par les pharmaciens eux-mêmes, et cela sans que Doctipharma intervienne autrement dans leur traitement, puisque le site litigieux permet de mettre directement en contact des clients et des pharmaciens d’officine.
Pour la Cour d’appel, le site internet était donc licite.
Cependant, la Cour de cassation est venue casser l’arrêt en estimant que la vente au public de tous médicaments, produits et objets mentionnés à l’article L. 4211-1 du Code de la santé publique était interdite, dès lors qu’elle passait par l’intermédiaire de personnes non titulaires d’un diplôme de pharmacien.
Aussi, il est interdit aux pharmaciens de recevoir des commandes de ces mêmes produits par l’entremise habituelle de courtiers ou d’intermédiaires.
Doctipharma mettait en relation des pharmaciens et des clients pour la vente de médicaments et avait donc un rôle d’intermédiaire entre eux, de sorte qu’elle participait au commerce électronique de vente de médicaments, bien que n’étant pas pharmacien.
Aussi, même si la plateforme ne permette qu’une mise en relation technique des parties, elle a été déclarée interdite en ce qu’elle participait, au sens large, au commerce électronique.
