Auteurs
Philippe Glaser

Philippe Glaser

Associé

Read More
Julia Kalfon

Julia Kalfon

Counsel

Read More
Auteurs
Philippe Glaser

Philippe Glaser

Associé

Read More
Julia Kalfon

Julia Kalfon

Counsel

Read More

16 octobre 2020

Newsletter Contentieux Informatique et IT

  • In-depth analysis
  • Publication par la CNIL de lignes directrices modificatives et d’une recommandation sur l’usage des cookies et autres traceurs
  • Interdiction de la collecte massive des données de connexions internet et de localisation
  • Une atteinte à la vie privée comme preuve licite d’un manquement contractuel
  • Commentaires négatifs en ligne et diffamation
  • Consécration du principe d’accès à un internet ouvert
  • >Validation européenne du régime d’autorisation des locations de courte durée en ligne

Publication par la CNIL de lignes directrices modificatives et d’une recommandation sur l’usage des cookies et autres traceurs>

Délibération CNIL n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices

Le 17 septembre 2020, la CNIL a adopté ses lignes directrices modificatives, publiées le 1er octobre 2020, ajustant ses lignes directrices du 4 juillet 2019 portant sur l’usage des cookies et autres traceurs, aux fins d’éclairer les utilisateurs de traceurs sur les modalités de recueil du consentement de l’internaute.

La CNIL confirme les principes suivants notamment :

S’agissant du consentement des utilisateurs

  • La simple poursuite de la navigation sur un site ne peut être considérée comme une expression valide du consentement.
  • Les personnes doivent consentir au dépôt de traceurs par un acte positif clair.
  • Les utilisateurs doivent être en mesure de retirer leur consentement à tout moment.

Quant à l’information des personnes avant le consentement, ces dernières doivent

  • être informées des finalités des traceurs et des conséquences d’une acceptation ou d’un refus de traceurs.
  • être informées de l’identité de tous les acteurs utilisant les traceurs.
  • Les organismes exploitant des traceurs doivent être en mesure de fournir la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.
  • Certains traceurs sont exemptés de consentement (tels que ceux destinés à l’authentification auprès d’un service ou à garder en mémoire le contenu d’un panier d’achat, la liste fournie par la CNIL n’étant pas limitative).

En outre, elle tire les conséquences de l’invalidation par le Conseil d’Etat de l’interdiction de la pratique dite des « cookies walls » (qui consiste à bloquer l’accès à un site internet ou à une application en cas de refus des cookies ou traceurs présents) en précisant que, sous réserve de la licéité de cette pratique, qui doit être appréciée au cas par cas, l’information fournie à l’utilisateur doit indiquer les conséquences de ses choix, notamment l’impossibilité d’accéder au contenu ou au service en l’absence de consentement.

Par ailleurs, elle recommande que l’interface de recueil du consentement comprenne un bouton « tout accepter » mais également un bouton « tout refuser » et que, lorsque des traceurs permettent un suivi sur des sites autres que celui visité, le consentement soit recueilli sur chacun des sites concernés.

Enfin, la CNIL invite les acteurs concernés à s’assurer de la conformité de leurs pratiques aux exigences du RGPD et de la Directive européenne du 12 juillet 2002 n°2002/58/CE dite « vie privée et communications électroniques » avant la fin du mois de mars 2021.

Interdiction de la collecte massive des données de connexions internet et de localisation

Cour de Justice de l’Union Européenne, Grande Chambre, 6 octobre 2020, n°C-511/18, C-512/18, C-520/18, C-623/17

Les faits : Le Conseil d’Etat, saisi de recours introduits par La Quadrature du Net, le fournisseur d’accès internet French Data Network et la Fédération des fournisseurs d’accès à Internet associatifs tendant à l’abrogation de divers décrets, avait décidé de surseoir à statuer et d’interroger la Cour de Justice de l’Union Européenne (« CJUE ») sur le point de savoir si l’obligation de conservation généralisée et indifférenciée des données de connexion internet et de conversations téléphoniques imposée aux fournisseurs doit être considérée, au regard de la Directive « vie privée et communications électroniques », comme une ingérence justifiée par le droit à la sûreté.

La décision : Selon la CJUE, le droit de l’Union s’oppose à ce qu’une réglementation nationale impose à un fournisseur de services de communications électroniques la transmission ou la conservation généralisée et indifférenciée de données relatives au trafic et à la localisation des personnes à des fins de lutte contre les infractions en général ou de sauvegarde de la sécurité nationale.

Elle a toutefois relevé qu’une obligation de conservation généralisée peut être autorisée par la loi, sous réserve des conditions et garanties contre les risques d’abus suivantes :

  • Existence d’une menace grave pour la sécurité nationale réelle et actuelle ou prévisible
  • Conservation pour une durée limitée au strict nécessaire
  • Contrôle effectif par une juridiction ou une entité administrative indépendante dont la décision est contraignante.

A retenir : Par cette décision attendue, la CJUE écarte toute collecte généralisée et indifférenciée des données de connexion et de localisation, tout en admettant des dérogations encadrées et motivées par l’existence d’une menace pour la sécurité nationale.

Une atteinte à la vie privée comme preuve licite d’un manquement contractuel

Cour de cassation, Chambre sociale, 30 septembre 2020, RG n°19-12058

Les faits : Un employé d’une enseigne de vêtements avait été licencié pour faute, son employeur lui reprochant d’avoir manqué à son obligation contractuelle de confidentialité, après la publication d’une information confidentielle sur son compte Facebook.

Contestant son licenciement, l’employé avait saisi la juridiction prud’homale de diverses demandes qui ont été rejetées aux termes d’un jugement confirmé en appel.

La décision : La Cour de cassation a approuvé la Cour d’appel qui a estimé, après avoir relevé que la publication litigieuse avait été spontanément adressée à l’employeur par un courriel d’un autre salarié de l’entreprise, autorisé à accéder comme « ami » sur le compte privé Facebook concerné, que ce procédé d’obtention de preuve n’était pas déloyal.

Elle a en outre jugé que le droit à la preuve peut justifier la production d’éléments portant atteinte à la vie privée, à condition que cette production soit indispensable à l’exercice de ce droit et que l’atteinte soit proportionnée au but poursuivi.

A retenir : Une atteinte à la vie privée d’un salarié par l’utilisation de messages publiées sur son compte privé Facebook est justifiée si elle est indispensable à l’exercice du droit à la preuve ainsi qu’à la défense d’un intérêt légitime, en l’espèce, la confidentialité des affaires de l’employeur.

Commentaires négatifs en ligne et diffamation

Tribunal Judiciaire de Marseille, Juge des Référés, Ordonnance du 23 septembre 2020 N° RG 20/01515 

Les faits : Un chirurgien-dentiste, estimant diffamatoire un avis publié sur sa fiche consultable en ligne « GoogleMyBusiness » par la sœur de l’une de ses patientes, qui avait agi sur instruction de cette dernière, a assigné ces deux personnes aux fins de suppression de ladite publication sous astreinte et de condamnation au paiement d’une provision.

La décision : Le Tribunal a donné gain de cause au praticien, en relevant que ce dernier était totalement identifié, que l’avis comportait des allégations et des imputations de faits portant atteinte à son honneur et à sa considération spécialement formulées à cet effet dans le cadre d’un conflit en cours, et qu’il avait manifestement été émis par son auteur sur instruction et incitation du patient.

Consécration du principe d’accès à un internet ouvert

Cour de Justice de l’Union Européenne, Grande Chambre, 15 septembre 2020 C-807/18 et C-39/19

Les faits : Un fournisseur de services d’accès à internet hongrois proposait à ses clients deux offres groupées proposant un accès à « tarif nul » pour certains services et applications, le trafic de données généré par ces derniers n’étant pas décompté du volume de données acheté et ces clients pouvant, une fois épuisé ce volume de données, continuer à utiliser sans restrictions ces applications, alors que les applications et services autres que celles relevant du « tarif nul » se voyaient appliquer des mesures de blocage ou de ralentissement du trafic.

L’autorité hongroise des communications et des médias avait rendu deux décisions enjoignant le fournisseur d’accès de mettre fin à ces offres dans la mesure où elles ne respectaient pas l’obligation de traitement égal et non discriminatoire du trafic prévue par le Règlement européen du 25 novembre 2015 n°2015/2120 établissant des mesures relatives à l’accès à un internet ouvert.

Saisie de recours formés à l’encontre de ces décisions, la Cour de Budapest-Capitale a interrogé la CJUE à titre préjudiciel sur l’interprétation et l’application du Règlement.

La décision : La CJUE, se prononçant pour la première fois sur l’application du principe d’accès à un internet ouvert, a commencé par relever que les droits garantis aux utilisateurs de services d’accès à internet ont vocation à être exercés sans limitation.

Elle a ensuite souligné que la souscription à des offres groupées est susceptible de limiter l’exercice des droits des utilisateurs en ce qu’elle est de nature à amplifier l’utilisation des applications et services privilégiés et ainsi à raréfier l’utilisation des autres applications et services disponibles.

La Cour a en conséquence jugé qu’en l’espèce, la limitation des services par les mesures de blocage du trafic est incompatible avec le principe d’accès à un internet ouvert dans la mesure où elle n’est pas justifiée par des différences objectives entre les exigences techniques en matière de qualité de service de certaines catégories spécifiques de trafic, le fait qu’elle soit fondée sur des considérations d’ordre commercial étant indifférent.

A retenir : Interprétant pour la première fois le principe dit de « Neutralité du Net » la CJUE juge que l’adoption par un fournisseur d’accès de mesures qui privilégieraient l’utilisation de certains services au détriment d’autres contrevient à ce principe.

Validation européenne du régime d’autorisation des locations de courte durée en ligne

Cour de Justice de l’Union Européenne, 22 septembre 2020, n°C-724/18 et C-727/18

Les faits : Deux propriétaires avaient mis en location, de manière répétée et pour des courtes durées à l’usage d’une clientèle de passage, leur studio via le site internet « airbnb.fr », sans autorisation préalable de la mairie.>

Le Juge des référés du Tribunal de grande instance de Paris, suivi par la Cour d’appel de Paris, avait ordonné le retour des studios à leur usage d’habitation et condamné les propriétaires au paiement d’une amende, sur le fondement de l’article L. 631-7 du Code de la construction et de l’habitation suivant lequel le changement d’usage des locaux destinés à l’habitation est soumis à autorisation préalable dans les communes de plus de 200 000 d’habitants, et dans celles de trois départements limitrophes de Paris, et le fait de louer un local meublé destiné à l’habitation, de manière répétée, pour de courtes durées, à une clientèle de passage qui n’y élit pas domicile, constitue un tel changement d’usage.

La Cour de cassation, saisie de pourvois, a interrogé la CJUE à titre préjudiciel sur la conformité de ce régime au regard de la Directive 2006/123/CE relative aux services dans le marché intérieur.

La décision : La CJUE, après avoir qualifié les activités en cause de service au sens de la Directive, a relevé que le régime d’autorisation doit être justifié par une raison impérieuse d’intérêt général et que l’objectif poursuivi par ce régime ne peut pas être réalisé par une mesure moins contraignante.

La Cour a ainsi jugé la réglementation française conforme au droit de l’Union en retenant qu’elle est :

  • fondée sur la nécessité de ne pas aggraver la pénurie de logements destinés à la location de longue durée et de répondre à la dégradation des conditions d’accès au logement ainsi qu’à l’exacerbation des tensions sur les marchés immobiliers, qui constitue une raison impérieuse d’intérêt général
  • circonscrite à une activité spécifique de location et limitée dans sa portée géographique, de sorte qu’elle est proportionnée à l’objectif poursuivi.>

A retenir : Donnant raison à la Ville de Paris, la CJUE valide ainsi le régime d’autorisation préalable de la location de courtes durées à une clientèle de passage dans la mesure où il répond à une raison impérieuse d’intérêt général et est proportionné à cet objectif.

Call To Action Arrow Image

Latest insights in your inbox

Subscribe to newsletters on topics relevant to you.

Subscribe
Subscribe