Newsletter Contentieux Informatique et Cyber n°15

• 25 janvier 2023 : entrée en vigueur de la LOPMI !
• Conflits de recours devant les juridictions administratives et civiles en matière de violations du RGPD : pas de priorité de l’un par rapport à l’autre selon la CJUE
• Cookies : la CNIL sanctionne TIKTOK à hauteur de 5 millions d’euros
• Méthode AGILE : le client n’est pas fondé à se plaindre d’un dysfonctionnement après avoir signé le procès-verbal de recette
• La reprise d’efforts et d’investissements intellectuels, matériels et promotionnels dans la construction d’un site internet est constitutive d’un comportement de parasitisme
• Contentieux informatique : gare à la nullité de l’assignation pour absence de précision technique quant au litige exposé
  
  
  
  

25 janvier 2023 : entrée en vigueur de la LOPMI !

Loi n° 2023-22 du 24 janvier 2023 d'orientation et de programmation du ministère de l'intérieur

La loi d’orientation et de programmation du ministère de l’intérieur (LOPMI) entre donc en vigueur après une censure partielle par le Conseil Constitutionnel, portant sur deux dispositions relatives au régime applicable à l’enquête sous pseudonyme et sur la fonction d’assistant d’enquête de la police nationale et de la gendarmerie nationale.

La disposition qui a certainement fait couler le plus d’encre concerne l’article 5 de la loi, introduisant un nouvel article L. 12-10-1 du code des assurances permettant d’assurer le risque cyber résultant du paiement des rançons faisant suite aux attaques cyber.

Alors que devant l’Assemblée Nationale, le principe d’une assurabilité des rançons cyber avait finalement été accepté, à la condition qu’une plainte soit déposée « dans les 48 heures suivant le paiement de la rançon », devant le Sénat, le texte avait été légèrement modifié, conditionnant le remboursement par l’assureur de la rançon « au dépôt d’une pré-plainte dans les 24 heures suivant l’attaque ».

La version définitive du texte adopté par le Parlement abandonne finalement la notion de « pré-plainte » et subordonne désormais la mise en œuvre de la garantie assurantielle au dépôt d’une « plainte de la victime devant les autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime ».

Il est en conséquence fort heureux que la version définitive du texte ait abandonné la notion de « pré-plainte » aux contours juridiques peu clairs, pour fixer le point de départ du délai à la connaissance de l’atteinte, dès lors que l’on sait que l’attaque peut ne se révéler que très tardivement, nombreuses cyber-attaques se réalisant sur un temps de plusieurs jours, les attaquants réalisant une série de tests des systèmes de sécurité et de prises de contrôle des comptes administrateurs clé, avant de parvenir à un déploiement des actes malveillants au soutien de la demande de rançon.

Conflits de recours devant les juridictions administratives et civiles en matière de violations du RGPD : pas de priorité de l’un par rapport à l’autre selon la CJUE

CJUE 12 janv. 2023, aff. C-132/21

Un arrêt récent de la Cour de Justice de l’Union Européenne (CJUE) permet d’éclairer la question de la priorité entre les différents recours possibles devant les juridictions administratives ou civiles en matière de violation des dispositions du Règlement Général de Protection des Données personnelles (RGPD).

La Cour était saisie d’une question préjudicielle des juridictions hongroises, dans le cadre d’un litige opposant un actionnaire d’une société reprochant à cette dernière un certain nombre de violation des dispositions du RGPD. L’autorité administrative locale avait rejeté les demandes de l’actionnaire, qui avaient cependant prospéré devant la juridiction civile, aboutissant à une décision définitive. Se posait donc la question de savoir si, le recours administratif étant encore pendant, la décision civile s’imposait devant les juridictions administratives et s’il existe une priorité de recours par rapport à l’autre.

La CJUE rappelle que le RGPD permet aux personnes concernées par une violation de données d’introduire un recours auprès d’une autorité de contrôle « sans préjudice de tout autre recours administratif ou juridictionnel » et vice versa. Dès lors, les recours introduits par les personnes concernées peuvent être simultanés et indépendants sans ordre de priorité de l’un sur l’autre.

En revanche se pose la question délicate de l’hypothèse dans laquelle les juridictions civiles et administratives rendraient des décisions contradictoires portant sur les mêmes faits. Sur ce point, la CJUE rappelle qu’il n’existe aucune obligation pour une juridiction d’être tenue par la décision, soit-elle définitive, d’une juridiction d’un ordre concurrent saisie de la même violation de données personnelles. Il appartient en conséquence aux Etats membres de prendre les mesures utiles pour éviter que la mise en œuvre de ces voies de recours concurrentes et indépendantes ne remette pas en cause l’effet utile et la protection effective des droits garantis par le RGPD.

C’est donc non sans un certain opportunisme que la CJUE indique que, dans le cas présent, la juridiction administrative doit pouvoir rendre une décision de manière indépendante, tout en affirmant que des décisions contradictoires porteraient atteinte à une protection effective des droits des personnes et causeraient une certaine insécurité juridique.

Cookies : la CNIL sanctionne TIKTOK à hauteur de 5 millions d’euros

Délibération SAN-2022-027 du 29 décembre 2022

Le 29 décembre 2022, la CNIL a sanctionné le réseau social TIKTOK pour un montant total de 5 millions d’euros après un constat que les utilisateurs de « tiktok.com » ne pouvaient pas refuser les cookies aussi facilement que les accepter et qu’ils n’étaient pas informés de façon suffisamment précise des objectifs des différents cookies.

Il se trouve en effet qu’entre mai 2020 et juin 2022, la CNIL a en effet effectué plusieurs missions de contrôle en ligne sur le site web « tiktok.com » et sur pièces, c’est-à-dire sur la base de documents demandés à la société par la CNIL.

Sur la base des constatations effectuées lors des contrôles, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que les sociétés du groupe TIKTOK avaient manqué aux obligations prévues par l’article 82 de la loi Informatique et Libertés, qui prévoit que tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète de la finalité de tout action tendant à accéder à ses informations personnelles ainsi que des moyens dont il dispose pour s’y opposer.

Le montant de cette amende a été décidé au regard des manquements retenus, du nombre de personnes concernées – notamment des mineurs - et des nombreuses communications antérieures de la CNIL sur le fait qu’il doit être aussi simple de refuser les cookies que de les accepter.
En pratique, la CNIL constate que le réseau social, s’il proposait bien un bouton permettant d’accepter immédiatement les cookies, ne mettait pas en place de solution équivalente (bouton ou autre) pour permettre à l’internaute de refuser aussi facilement leur dépôt. Plusieurs clics étaient nécessaires pour refuser tous les cookies, contre un seul pour les accepter, ce qui revient en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton « Tout accepter ».

Point important également, la CNIL s’estime également territorialement compétente en application de l’article 3 de la loi Informatique et Libertés( dès lors que le recours aux cookies est effectué dans le « cadre des activités » de la société exploitant le réseau social qui dispose un établissement sur le territoire français, quand bien même celui-ci soit établi en Irlande.

Méthode AGILE : le client n’est pas fondé à se plaindre d’un dysfonctionnement après avoir signé le procès-verbal de recette

Cour d’Appel de Paris, pôle 5 – ch. 11, arrêt du 6 janvier 2023

Une société dont l’activité repose sur un écosystème d’applications web confie le développement d’applications mobiles et d’un site internet à un prestataire de service informatique. Les parties s’entendent pour réaliser leur projet selon la méthode AGILE, nécessitant donc que le client collabore en figeant ses besoins. Plusieurs devis fixant les prestations dues sont établis, laissant la direction artistique du projet à la société cliente.

Se plaignant d’une inexécution contractuelle, la société cliente agit alors en justice pour réclamer des dommages et intérêts en réparation du préjudice résultant de la perte de chance de lever des fonds et de se rapprocher d’un industriel du secteur.

En défense, le prestataire excipera de ce que, en raison de la méthode AGILE employée, la société cliente n’avait pas permis à la collaboration d’être fructueuse en raison des incessantes demandes de modifications et du retard dans l’expression de ses besoins.

La Cour rejette les demandes de la société cliente en considérant que le prestataire de service informatique avait assuré une réponse rapide à toutes ces demandes de modifications ne commettant donc aucun manquement à ses obligations contractuelles telles que définies dans les devis acceptés, peu importe les demandes récurrentes d’ajustement formulées par sa cliente.

La Cour d’appel rappelle que la société demanderesse a signé des procès-verbaux de recette attestant d’une livraison conforme, si bien qu’elle refuse de voir dans les échanges postérieurs à ces signatures de nouvelles obligations contractuelles, mais seulement des demandes additionnelles extérieures aux devis initialement acceptés.

Cela conforte donc l’importance des procès-verbaux de recette dans la limitation de la responsabilité des prestataires informatiques.

La reprise d’efforts et d’investissements intellectuels, matériels et promotionnels dans la construction d’un site internet est constitutive d’un comportement de parasitisme

Cour d’appel de Paris, pôle 5 – ch. 2, arrêt du 16 décembre 2022

Dans le cadre d’un litige opposant deux sociétés spécialisées dans le service d’étiquetage personnalisé de produits pour enfants, la Cour d’appel de Paris a eu l’occasion de revenir sur le comportement de parasitisme économique.

En l’espèce, une société reproche à une entreprise concurrente la reprise de divers éléments contenus sur son site internet : choix et ordre des rubriques du site, textes de présentation, gammes de produits et système de personnalisation.

Pour apprécier le fondement délictuel du comportement de parasitisme, la Cour d’appel s’appuie notamment sur les efforts et investissements intellectuels, matériels ou promotionnels qui ont été fournis par la société demanderesse et repris par la société en cause.

A l’appui, la Cour souligne entre autres les importants investissements en graphisme et en prestations informatiques fournis par la société demanderesse, la singularité de présentation de son site internet qui ne répond à aucune tendance de marché dans ce domaine, ses nombreux échanges avec des prestataires pour la création et l’évolution d’un site désormais connu des internautes, le tout créant une véritable valeur économique individualisée.

C’est finalement bien la reprise de ces efforts, et non pas le simple constat des similitudes entre les différents éléments constitutifs des sites internet, qui caractérise la pratique déloyale constitutive du comportement de parasitisme.

Il peut être intéressant par ailleurs de noter que le fait que la société poursuivie ait procédé à des investissements financiers dans son projet de site internet n’est pas exclusif de ses agissements fautifs, d’autant plus qu’il est ici démontré que les investissements en question n’ont pas été entièrement dédiés à la conception de son site.

Contentieux informatique : gare à la nullité de l’assignation pour absence de précision technique quant au litige exposé
Tribunal judiciaire de Nanterre, 1ère ch., ordonnance du 14 décembre 2022

Dans le cadre d’un litige opposant un éditeur de logiciel à un client, se plaignant d’actes de contrefaçon de droits d’auteurs sur le logiciel développé, une assignation plutôt classique est délivrée à l’encontre du défendeur à comparaître devant le Tribunal judiciaire de Nanterre.
En défense, le client introduit un incident visant à faire constater la nullité de l’assignation pour défaut de présentation claire et précise des contours de la contrefaçon alléguée.

Après avoir rappelé que le logiciel n’est protégé par le droit d’auteur que si la forme de son expression est originale, le juge chargé de trancher cet incident considère que dans le cadre d’une action en contrefaçon d’un logiciel, il est indispensable d’analyser le code source du logiciel en question pour définir les éléments et les enchainements logiques qui, en son sein, sont le siège de l’originalité alléguée.

Le juge de la mise en état estime donc que la demanderesse à l’action doit, non pas caractériser l’originalité de l’œuvre en débat, mais identifier l’œuvre opposée et « déterminer objectivement les éléments subjectifs » qui la caractérisent pour « permettre un débat contradictoire à la fois pertinent et loyal lui interdisant d’ajuster l’assiette des droits qu’elle revendique aux moyens opposés tant dans le cadre d’une fin de non-recevoir que dans celui d’une défense au fond ».

Autrement dit, être en mesure d’avoir bien compris le sujet technique de fond dès le premier acte introductif d’instance.
En l’occurrence, le juge estime que la demanderesse n’accomplissait pas valablement cet exercice, dès lors qu’elle se limitait à produire, en annexe de son assignation, une pièce qui identifiait clairement les versions des logiciels en question mais qui ne contenait « aucun développement permettant d’identifier les caractéristiques dont l’originalité conditionne l’existence des droits ».

Dans le cadre de l’incident soulevé par la demanderesse, la société en demande produisait alors un rapport d’expert privé, venant présenter de façon plus technique le logiciel en cause.

Le Tribunal rejette cependant cette pièce.

Il considère en effet que non seulement elle est produite dans le cadre de l’incident, de sorte qu’elle ne peut pas venir régulariser la nullité encourue de l’assignation (laquelle ne peut être régularisée que par des conclusions au fond, et non pas d’incident), mais surtout que cette note ne décrivait pas suffisamment le contenu de l’architecture technique ou des choix de programmation retenus. Le Tribunal relève même que la note de l’expert ne fait que « compliquer en réalité le débat » sans « permettre le moindre contrôle à ses relecteurs » en se limitant à livrer son analyse personnelle.
Cette appréciation est surprenante dans la mesure où il est pourtant habituel pour les plaideurs dans des affaires de contentieux informatiques d’appuyer leur demande au moyen d’un rapport établi par un expert privé.

L’assignation est cependant jugée nulle dès lors qu’elle ne contient pas ces développements techniques (dans son corps et dans ses annexes), étant en conséquence affectée d’un vice de forme qui cause aux défendeurs un grief « évident » tenant à l’impossibilité de se défendre utilement faute de détermination préalable du périmètre et de l’assiette des droits opposés.

Face à cette appréciation bien sévère, les demandeurs aux actions en contrefaçon et, plus généralement, dans le cadre de tout litige de nature technique auront bien intérêt à bien « expliciter » les moyens en fait et en droit au soutien de leur demande, sous peine de voir leur assignation annulée pour vice de forme.

Reste à voir si cette appréciation sera suivie en jurisprudence.