16 octobre 2020
Délibération CNIL n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices
Le 17 septembre 2020, la CNIL a adopté ses lignes directrices modificatives, publiées le 1er octobre 2020, ajustant ses lignes directrices du 4 juillet 2019 portant sur l’usage des cookies et autres traceurs, aux fins d’éclairer les utilisateurs de traceurs sur les modalités de recueil du consentement de l’internaute.
La CNIL confirme les principes suivants notamment :
En outre, elle tire les conséquences de l’invalidation par le Conseil d’Etat de l’interdiction de la pratique dite des « cookies walls » (qui consiste à bloquer l’accès à un site internet ou à une application en cas de refus des cookies ou traceurs présents) en précisant que, sous réserve de la licéité de cette pratique, qui doit être appréciée au cas par cas, l’information fournie à l’utilisateur doit indiquer les conséquences de ses choix, notamment l’impossibilité d’accéder au contenu ou au service en l’absence de consentement.
Par ailleurs, elle recommande que l’interface de recueil du consentement comprenne un bouton « tout accepter » mais également un bouton « tout refuser » et que, lorsque des traceurs permettent un suivi sur des sites autres que celui visité, le consentement soit recueilli sur chacun des sites concernés.
Enfin, la CNIL invite les acteurs concernés à s’assurer de la conformité de leurs pratiques aux exigences du RGPD et de la Directive européenne du 12 juillet 2002 n°2002/58/CE dite « vie privée et communications électroniques » avant la fin du mois de mars 2021.
Les faits : Le Conseil d’Etat, saisi de recours introduits par La Quadrature du Net, le fournisseur d’accès internet French Data Network et la Fédération des fournisseurs d’accès à Internet associatifs tendant à l’abrogation de divers décrets, avait décidé de surseoir à statuer et d’interroger la Cour de Justice de l’Union Européenne (« CJUE ») sur le point de savoir si l’obligation de conservation généralisée et indifférenciée des données de connexion internet et de conversations téléphoniques imposée aux fournisseurs doit être considérée, au regard de la Directive « vie privée et communications électroniques », comme une ingérence justifiée par le droit à la sûreté.
La décision : Selon la CJUE, le droit de l’Union s’oppose à ce qu’une réglementation nationale impose à un fournisseur de services de communications électroniques la transmission ou la conservation généralisée et indifférenciée de données relatives au trafic et à la localisation des personnes à des fins de lutte contre les infractions en général ou de sauvegarde de la sécurité nationale.
Elle a toutefois relevé qu’une obligation de conservation généralisée peut être autorisée par la loi, sous réserve des conditions et garanties contre les risques d’abus suivantes :
A retenir : Par cette décision attendue, la CJUE écarte toute collecte généralisée et indifférenciée des données de connexion et de localisation, tout en admettant des dérogations encadrées et motivées par l’existence d’une menace pour la sécurité nationale.
Cour de cassation, Chambre sociale, 30 septembre 2020, RG n°19-12058
Les faits : Un employé d’une enseigne de vêtements avait été licencié pour faute, son employeur lui reprochant d’avoir manqué à son obligation contractuelle de confidentialité, après la publication d’une information confidentielle sur son compte Facebook.
Contestant son licenciement, l’employé avait saisi la juridiction prud’homale de diverses demandes qui ont été rejetées aux termes d’un jugement confirmé en appel.
La décision : La Cour de cassation a approuvé la Cour d’appel qui a estimé, après avoir relevé que la publication litigieuse avait été spontanément adressée à l’employeur par un courriel d’un autre salarié de l’entreprise, autorisé à accéder comme « ami » sur le compte privé Facebook concerné, que ce procédé d’obtention de preuve n’était pas déloyal.
Elle a en outre jugé que le droit à la preuve peut justifier la production d’éléments portant atteinte à la vie privée, à condition que cette production soit indispensable à l’exercice de ce droit et que l’atteinte soit proportionnée au but poursuivi.
A retenir : Une atteinte à la vie privée d’un salarié par l’utilisation de messages publiées sur son compte privé Facebook est justifiée si elle est indispensable à l’exercice du droit à la preuve ainsi qu’à la défense d’un intérêt légitime, en l’espèce, la confidentialité des affaires de l’employeur.
Tribunal Judiciaire de Marseille, Juge des Référés, Ordonnance du 23 septembre 2020 N° RG 20/01515
Les faits : Un chirurgien-dentiste, estimant diffamatoire un avis publié sur sa fiche consultable en ligne « GoogleMyBusiness » par la sœur de l’une de ses patientes, qui avait agi sur instruction de cette dernière, a assigné ces deux personnes aux fins de suppression de ladite publication sous astreinte et de condamnation au paiement d’une provision.
La décision : Le Tribunal a donné gain de cause au praticien, en relevant que ce dernier était totalement identifié, que l’avis comportait des allégations et des imputations de faits portant atteinte à son honneur et à sa considération spécialement formulées à cet effet dans le cadre d’un conflit en cours, et qu’il avait manifestement été émis par son auteur sur instruction et incitation du patient.
Cour de Justice de l’Union Européenne, Grande Chambre, 15 septembre 2020 C-807/18 et C-39/19
Les faits : Un fournisseur de services d’accès à internet hongrois proposait à ses clients deux offres groupées proposant un accès à « tarif nul » pour certains services et applications, le trafic de données généré par ces derniers n’étant pas décompté du volume de données acheté et ces clients pouvant, une fois épuisé ce volume de données, continuer à utiliser sans restrictions ces applications, alors que les applications et services autres que celles relevant du « tarif nul » se voyaient appliquer des mesures de blocage ou de ralentissement du trafic.
L’autorité hongroise des communications et des médias avait rendu deux décisions enjoignant le fournisseur d’accès de mettre fin à ces offres dans la mesure où elles ne respectaient pas l’obligation de traitement égal et non discriminatoire du trafic prévue par le Règlement européen du 25 novembre 2015 n°2015/2120 établissant des mesures relatives à l’accès à un internet ouvert.
Saisie de recours formés à l’encontre de ces décisions, la Cour de Budapest-Capitale a interrogé la CJUE à titre préjudiciel sur l’interprétation et l’application du Règlement.
La décision : La CJUE, se prononçant pour la première fois sur l’application du principe d’accès à un internet ouvert, a commencé par relever que les droits garantis aux utilisateurs de services d’accès à internet ont vocation à être exercés sans limitation.
Elle a ensuite souligné que la souscription à des offres groupées est susceptible de limiter l’exercice des droits des utilisateurs en ce qu’elle est de nature à amplifier l’utilisation des applications et services privilégiés et ainsi à raréfier l’utilisation des autres applications et services disponibles.
La Cour a en conséquence jugé qu’en l’espèce, la limitation des services par les mesures de blocage du trafic est incompatible avec le principe d’accès à un internet ouvert dans la mesure où elle n’est pas justifiée par des différences objectives entre les exigences techniques en matière de qualité de service de certaines catégories spécifiques de trafic, le fait qu’elle soit fondée sur des considérations d’ordre commercial étant indifférent.
A retenir : Interprétant pour la première fois le principe dit de « Neutralité du Net » la CJUE juge que l’adoption par un fournisseur d’accès de mesures qui privilégieraient l’utilisation de certains services au détriment d’autres contrevient à ce principe.
Cour de Justice de l’Union Européenne, 22 septembre 2020, n°C-724/18 et C-727/18
Les faits : Deux propriétaires avaient mis en location, de manière répétée et pour des courtes durées à l’usage d’une clientèle de passage, leur studio via le site internet « airbnb.fr », sans autorisation préalable de la mairie.>
Le Juge des référés du Tribunal de grande instance de Paris, suivi par la Cour d’appel de Paris, avait ordonné le retour des studios à leur usage d’habitation et condamné les propriétaires au paiement d’une amende, sur le fondement de l’article L. 631-7 du Code de la construction et de l’habitation suivant lequel le changement d’usage des locaux destinés à l’habitation est soumis à autorisation préalable dans les communes de plus de 200 000 d’habitants, et dans celles de trois départements limitrophes de Paris, et le fait de louer un local meublé destiné à l’habitation, de manière répétée, pour de courtes durées, à une clientèle de passage qui n’y élit pas domicile, constitue un tel changement d’usage.
La Cour de cassation, saisie de pourvois, a interrogé la CJUE à titre préjudiciel sur la conformité de ce régime au regard de la Directive 2006/123/CE relative aux services dans le marché intérieur.
La décision : La CJUE, après avoir qualifié les activités en cause de service au sens de la Directive, a relevé que le régime d’autorisation doit être justifié par une raison impérieuse d’intérêt général et que l’objectif poursuivi par ce régime ne peut pas être réalisé par une mesure moins contraignante.
La Cour a ainsi jugé la réglementation française conforme au droit de l’Union en retenant qu’elle est :
A retenir : Donnant raison à la Ville de Paris, la CJUE valide ainsi le régime d’autorisation préalable de la location de courtes durées à une clientèle de passage dans la mesure où il répond à une raison impérieuse d’intérêt général et est proportionné à cet objectif.
par Philippe Glaser et Leonardo Pinto
par Philippe Glaser et Leonardo Pinto
par Philippe Glaser