Newsletter Contentieux Informatique et IT n°5

Arrêté du 26 juin 2020 relatif aux plaintes par voie électronique

Issus de l’arrêté du 26 juin 2020 relatif aux plaintes par voie électronique publié le 2 juillet 2020, les articles A 1er-I et 1-1-2 de la partie Arrêtés du Code de procédure pénale permettent désormais de déposer une plainte ou d’effectuer un signalement, sur le site « www.service-public.fr », par le biais du « traitement harmonisé des enquêtes et des signalements pour les e-escroqueries » (THESEE), mis en œuvre par la direction générale de la police nationale.

Trois infractions en ligne sont concernées :

• Les escroqueries
• Le chantage
• L’extorsion connexe à l'infraction d'entrave au fonctionnement d'un système de traitement automatisé de données ou à l'infraction d'accès frauduleux à un système de traitement automatisé de données.

A noter : Ces dispositions, qui reposent sur le décret d’application de l’article 15-3-1 du Code de procédure civile issu de la loi du 23 mars 2019 de programmation 2018-2022 et de réforme pour la justice, renvoyant à des arrêtés le soin de fixer la liste des infractions concernés par les plaintes en ligne, permettront notamment de soulager les services territoriaux de la prise d'un grand nombre de plaintes.

Conseil Constitutionnel 18 juin 2020, DC n°2020-801

Le Conseil constitutionnel a, aux termes de sa décision du 18 juin 2020, vidé de sa substance l’essentiel du texte de la proposition de loi portée par la députée Madame Laetitia Avia, en censurant ses dispositions phares en ce qu’elles portent une atteinte à l’exercice de la liberté d’expression et de communication qui n'est pas adaptée, nécessaire et proportionnée au but poursuivi de lutte contre les abus de la liberté d'expression et de communication qui contreviennent gravement à l'ordre public et aux droits des tiers.

S’agissant de la disposition exigeant des plateformes et moteurs de recherche en ligne de retirer en une heure les contenus terroristes ou relevant de la pédopornographie, sur demande du ministère de l’Intérieur et sous peine d’un an de prison et 250.000 euros d’amende, le Conseil constitutionnel l’a censurée pour les raisons suivantes :

• La détermination du caractère illicite des contenus reposait sur la seule appréciation de l'administration.
• L'engagement d'un éventuel recours contre la demande de retrait n’était pas suspensif et le délai d'une heure laissé à l'éditeur ou l'hébergeur pour retirer ou rendre inaccessible le contenu visé ne lui permettait pas d'obtenir une décision du juge avant d'être contraint de le retirer.

S’agissant de la disposition imposant aux plateformes de retirer en 24 heures les contenus se raccrochant manifestement à une série d’infractions dites haineuses ou les contenus pornographiques simplement accessibles aux mineurs sous peine d’une amende de 250.000 euros d’amende, le Conseil constitutionnel l’a censurée pour les motifs suivants :

• L'opérateur devrait examiner tous les contenus qui lui sont signalés, aussi nombreux soient-ils, afin de ne pas risquer d'être sanctionné.
• Compte tenu des difficultés d'appréciation du caractère manifeste de l'illicéité des contenus signalés, le délai imparti de 24 heures était particulièrement bref.
• Aucune cause d’exonération de responsabilité spécifique n’était prévue.

A noter : Les principales dispositions de la proposition de loi contre la haine en ligne ont été censurées en ce qu’elles portaient une atteinte disproportionnée à l’exercice de la liberté d’expression et de communication et risquaient de conduire à un retrait des contenus signalés, qu’ils soient ou non illicites.

Tribunal Judiciaire de Paris, 5 juin 2020, RG n°19-005405

Les faits Un locataire avait sous-loué son logement à un particulier par l’intermédiaire de la plateforme en ligne exploitée par AIRBNB, en violation de l’interdiction qui lui en était faite sans l’accord écrit du bailleur.

Le bailleur, après avoir obtenu d’AIRBNB le relevé des transactions relatif aux sous-locations de son appartement effectuées par le locataire, a assigné ce dernier et AIRBNB devant le Tribunal d’instance de Paris aux fins de les voir condamner in solidum à réparer son préjudice résultant notamment de l’appropriation par le locataire des sous-loyers perçus à titre de fruits civils.

La décision : Le Tribunal, se référant aux conditions générales du site, a relevé le caractère actif de la démarche d’AIRBNB dans la mise en relation voyageurs et des hôtes et son immixtion dans le contenu déposé par ces derniers sur sa plateforme.

Puis, suivant une lecture a contrario de l’article 6-I.2 alinéa 1er de la loi du 21 juin 2004 pour La Confiance Dans l’Economie Numérique, la Cour a jugé que cette société exerçait une activité d’éditeur et non pas de simple hébergeur à l’égard des hôtes qui ont recours à son site et qu’en cette qualité, elle avait commis une faute en s’abstenant de toute vérification.

A retenir : Le rôle actif d’une plateforme de mise en relation et son immixtion dans le contenu qui y est déposé lui confèrent la qualité d’éditeur et non de simple hébergeur, de sorte qu’elle engage sa responsabilité en cas d’exercice d’une activité illicite commise par son intermédiaire.

Tribunal Judiciaire de Paris 9 juin 2020, RG n°16-09799

Les faits : L’association de consommateurs UFC-Que Choisir ayant relevé que les conditions générales d’utilisation de deux services dits de « streaming » fournis par la société Apple, iTunes et Apple Music, comportaient des clauses illicites ou abusives concernant la collecte et l'usage des données personnelles des utilisateurs, a assigné cette dernière aux fins de faire constater leur caractère abusif et/ou illicite, les faire supprimer et/ou modifier et réparer le préjudice causé à l’intérêt collectif des consommateurs.

La décision : Le Tribunal Judiciaire de Paris, relevant l’absence de clarté et de compréhensibilité des clauses, ainsi qu’une atteinte aux règles relatives à la protection des données personnelles et à la propriété intellectuelle, a déclaré réputées non écrites en raison de leur caractère illicite ou abusif plusieurs de ces clauses, notamment celles :

• Permettant l’exonération de responsabilité d’Apple,
• Réservant à Apple la possibilité de modifier les conditions du service et de disponibilité du contenu,
• Laissant à Apple le choix de déterminer quelles données reçoivent la qualité de donnée personnelle susceptible de protection,
• N’identifiant pas les finalités et l’utilisation qui sera faite des données personnelles,
• Ne précisant pas la durée de conservation des données collectées ni les bases légales du traitement et modalités d’opposition,
• Lui conférant un droit d’utilisation à titre gratuit de tous les éléments générés par l’utilisateur, y compris ceux protégés par le droit d’auteur.

En revanche, le Tribunal a refusé de faire droit à la demande de suppression des clauses querellées.

Conseil d’Etat, Section contentieux, 10ème et 9ème ch. réunies, 19 juin 2020, RG n°430810

Les faits : Suivant délibération en date du 21 Juin 2019, la CNIL, saisie de deux plaintes déposées par des associations qui reprochaient à Google des manquements à ses obligations d’information et de transparence, avait, après avoir vérifié la conformité des traitements opérés par cette dernière à partir des données personnelles des utilisateurs du système d’exploitation Android à la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et au RGPD, prononcé une sanction d’un montant de 50 millions d’euros à l’encontre de Google.

Cette dernière a saisi le Conseil d’Etat d’un recours en annulation de cette délibération, soutenant que la CNIL aurait commis des erreurs de droit en retenant :

• un manquement à ses obligations de transparence et d’information ; et
• que le consentement sur lequel se fonde Google pour les traitements aux fins de personnalisation de la publicité n’était pas valablement recueilli.

La décision : Le Conseil d’Etat a approuvé la décision de la CNIL et confirmé la sanction prononcée, en relevant que :

• L’approche retenue par Google pour informer les utilisateurs est de nature, par l’éparpillement de l’information qu’elle organise, à nuire à l’accessibilité et à la clarté de celle-ci, caractérisant ainsi une violation des obligations d’information et de transparence prévues par le RGPD.
• les modalités du recueil du consentement ne répondent pas aux exigences du RGPD qui requièrent un acte positif clair.

Cour de Justice de l’Union Européenne 9 juillet 2020, C-249/19

Les faits : Un distributeur de films établi en Allemagne, après d’être vu refuser par YouTube de lui fournir des informations relatives à des utilisateurs (adresses courriel, numéros de téléphone et adresses IP) ayant mis en ligne plusieurs films issus de son catalogue, en violation de ses droits exclusifs d’exploitations, avait saisi la Cour fédérale de justice allemande aux fins de la voir ordonner de lui fournir les adresses courriel et IP concernées.

Cette dernière a interrogé la CJUE sur le point de savoir si ces informations sont couvertes par l’article 8, paragraphe 2, sous a), de la directive 2004/48/CE du 29 avril 2004 relative au respect des droits de propriété intellectuelle, suivant lequel les autorités judiciaires compétentes peuvent ordonner la communication des « noms et adresses » de certaines catégories de personnes ayant un rapport avec des services portant atteinte à un droit de propriété intellectuelle.

La décision : La Cour a jugé que cette directive n’oblige pas les autorités judiciaires à ordonner à Youtube de fournir l’adresse courriel, l’adresse IP ou le numéro de téléphone de l’utilisateur ayant mis en ligne le film litigieux, rappelant que la référence aux « adresses » vise uniquement l’adresse postale