Filtering by Tag: Données à caractère personnel

Les manquements à la Loi Informatique & Libertés peuvent-ils constituer des actes de concurrence déloyale ?

La Cour d’appel de Paris a récemment eu à juger une affaire qui illustre de manière intéressante comment la législation relative à la protection des données à caractère personnel peut éventuellement être utilisée dans le cadre d’un litige entre concurrents.

De la même manière que des atteintes au droit de la consommation (par exemple des actes de publicité trompeuse) peuvent être exploitées comme arme contre un tiers dans le cadre d’un litige de concurrence déloyale, les règles protectrices des personnes physiques et de leurs données personnelles pourraient bien en effet servir vis-à-vis d’un opérateur économique qui ne les respecte pas.

L’argument fut en tout cas utilisé dans le cadre d’un litige opposant la société Allopneus à la société Centrale Pneus. La première reprochait notamment à la seconde d’avoir pillé sa base de données de réparateurs automobiles, d’avoir copié son site internet et d’avoir également commis des actes de concurrence déloyale à son encontre.

S’agissant précisément de la concurrence déloyale, Allopneus soutenait que le non respect de la Loi Informatique & Libertés du 6 janvier 1978 par Centrale Pneus caractérisait une déloyauté à son égard. Elle évoquait plus précisément la question des cookies, ces petits fichiers texte qui sont utilisés pour enregistrer certaines informations relatives, par exemple, à la navigation sur internet.

Selon Allopneus, Centrale Pneus utilisait des cookies sur son site mais sans recueillir le consentement des utilisateurs. A vrai dire, même à supposer qu’il s’agisse d’une faute, on voit mal en quoi cela cause un préjudice à un concurrent qui, lui, respecterait la législation applicable. Mais l’idée était en soi intéressante et, dans le cadre d’un procès, pourquoi se priver d’un bon argument ?

Toutefois, la Cour d’appel de Paris n’a guère eu l’occasion de trancher le débat. Dans son arrêt du 5 juillet 2019, elle a tout d’abord relevé, ce qui est exact, que l’utilisation des cookies n’est pas toujours soumise au consentement des utilisateurs - en tout cas dans l’état actuel du droit et des « recommandations » de la CNIL. En particulier, les cookies dits « techniques », qui permettent le bon fonctionnement d’un site, par opposition aux cookies publicitaires, par exemple, doivent simplement faire l’objet d’une information des utilisateurs, pas d’un recueil du consentement.

Or, dans cette affaire, la Cour a estimé qu’Allopneus ne justifiait pas du fait que des cookies « Ga » et « Gat » seraient en réalité des cookies de mesure d’audience, lesquels doivent impérativement être acceptés par les internautes. 

Ainsi, les juges ont considéré que « les éléments produits au débat ne permettent pas à suffisance de caractériser une faute et le jugement entrepris sera en conséquence confirmé en ce qu’il a rejeté la demande à ce titre ».

On le voit, l’arrêt ne ferme pas la porte à une condamnation sur ce fondement, à supposer toutefois que la preuve des agissements délictueux soit rapportée. Et pourtant, comme indiqué ci-dessus, il paraît difficile de considérer que le non respect de la législation relative à la protection des données personnelles puisse causer un préjudice direct au concurrent qui, lui, choisit de respecter la loi. 

S’il est exact que des actes de publicité trompeuse vont pouvoir vicier le consentement des consommateurs au moment d’un achat, par exemple, alors on peut en déduire qu’il s’agit d’une pratique malhonnête qui fait perdre des clients au concurrent respectueux des règles… Mais pour les données personnelles, cela semble plus difficile.

En tout cas, la Cour d’appel n’a pas dit que cela ne pourrait pas être le cas. A suivre, donc.  

Cookies : le Conseil d'Etat confirme l'obligation de recueil du consentement pour les cookies publicitaires.

Par un arrêt du 6 juin 2018, le Conseil d'Etat a confirmé la sanction de l'éditeur du site internet Challenges.fr pour non respect de la législation relative aux "cookies", ces petits fichiers qui sont déposés sur le dispositif de stockage d'un terminal informatique par les sites, dont certains peuvent avoir une finalité publicitaire.

Dans cette affaire, la CNIL avait reproché à la société Croque Futur de n'avoir pas suffisamment informé les internautes quant aux cookies utilisés sur le site Challenges.fr, ni avoir recueilli leur consentement en vue de la pose et du stockage de ces fichiers.

Le Conseil d'Etat a confirmé la sanction de la CNIL en rappelant les termes de la loi (en particulier la Loi Informatique & Libertés dans sa rédaction antérieure à la loi du 20 juin 2018 intégrant le RGPD) et en particulier l'obligation, qui pèse sur les éditeurs de sites internet, d'une "information claire et complète (...) sur les témoins de connexion ("cookies") qui sont susceptibles d'être déposés, notamment sous la forme de fichiers, sur leurs terminaux lorsqu'ils visitent un site".

La juridiction administrative rappelle que l'information doit porter sur les finalités des cookies et sur les moyens de s'opposer à leur stockage. En outre, l'information n'est pas suffisante, puisque le consentement des internautes doit également être obtenu, à moins que le cookie n'ait qu'une finalité technique.

De manière intéressante, le Conseil d'Etat estime que le fonctionnement du site et son modèle économique (le financement par la publicité) ne justifient pas une dérogation à ces règles : "contrairement à ce que soutient la société, le fait que certains "cookies" ayant une finalité publicitaire soient nécessaires à la viabilité économique d'un site ne saurait conduire à les regarder comme "strictement nécessaires à la fourniture" du service de communication en ligne".

Le Conseil d'Etat valide la doctrine de la CNIL en considérant que l'information doit porter cookie par cookie et que le paramétrage du navigateur (qui permet d'accepter ou refuser les cookies) n'est pas un élément suffisant pour matérialiser le consentement des internautes, car il ne permet qu'une réponse globale et non pas au cas par cas, pour chaque fichier ou chaque finalité déterminés.

Enfin, une durée supérieure à 13 mois pour la conservation des cookies a été jugée trop longue eu égard à la finalité du traitement.

Le futur règlement ePrivacy, qui doit compléter le RGPD, devrait prévoir de nouvelles règles concernant les cookies et l'on sait que les discussions achoppent notamment sur la question du paramétrage des navigateurs. Les éditeurs de ces logiciels devraient anticiper cette question et permettre par exemple de s'opposer aux cookies publicitaires - étant précisé que certains (dont Safari) permettent déjà de s'opposer au suivi des internautes qui quittent un site (fonction "Do Not Track").

Dans cette affaire, la société éditrice du site Challenges.fr a été condamnée à une amende de 25.000 euros.

Les sanctions de la CNIL ne doivent pas être excessives.

La Commission Nationale de l'Informatique et des Libertés ("CNIL") dispose d'un pouvoir de sanction qui sera d'ailleurs bientôt renforcé, après l'intégration en droit interne du nouveau règlement européen sur la protection des données personnelles.

La CNIL en fait largement usage : les contrôles, les mises en demeure, ainsi que les sanctions financières se multiplient. Mais cela ne doit pas relever d'un arbitraire : les pouvoirs de la CNIL sont contrôlés par le juge administratif, comme en témoigne un arrêt du Conseil d'Etat du 28 septembre 2016.

Les faits de l’espèce étaient les suivants : le directeur d’un théâtre national rennais avait envoyé un e-mail aux abonnés de la newsletter de ce théâtre, non pour les tenir informés de l’actualité culturelle du lieu mais pour valoriser le bilan de la politique culturelle du maire de la ville. Certains destinataires de l’e-mail s’en étaient plaints et le théâtre avait reçu une sanction de la CNIL par une délibération du 12 février 2015, en raison du détournement de la finalité du traitement de données. Un traitement déclaré à des fins de prospection commerciale ne peut pas, en effet, être utilisé à des fins politiques.

Cette sanction, assortie d'une mesure de publication non anonyme sur le site de la CNIL et le site Legifrance, a été contestée par le théâtre devant la juridiction administrative. Sur le fond, la mesure a été confirmée par le Conseil d’Etat, de même que la sanction accessoire consistant à publier la décision sur internet.

En revanche, le Conseil d’Etat a reproché à la CNIL de n’avoir pas fixé de limite temporelle à cette publication. En cela, selon le juge administratif, la CNIL a manqué au principe de proportionnalité.

Ce principe de proportionnalité est énoncé par l’article 8 de la Déclaration des droits de l’homme et du citoyen de 1789, selon lequel « la loi ne doit établir que des peines strictement et évidemment nécessaires ». Ce principe s’applique également aux décisions de la CNIL : selon l’arrêt, « lorsque la CNIL prononce une sanction complémentaire de publication de sa décision de sanction, celle-là se trouve nécessairement soumise, et alors même que la loi ne le prévoirait pas expressément, au respect du principe de proportionnalité ». Le juge contrôle donc que les peines prononcées (quelle qu’en soit la nature, pénale ou administrative) soient équilibrées au regard de la faute. 

C’est précisément ce qui a été reproché à la CNIL dans l’arrêt du 28 septembre 2016 : en ne fixant pas de limite temporelle à la publication de la sanction, laquelle n'était pas anonyme mais laissait apparaître le nom du théâtre, la CNIL a prononcé une sanction « excessive ». Le juge a ainsi ordonné à la CNIL de fixer une durée de publication de la condamnation. L'Etat a également été condamné à payer 2.000 euros de frais de procédure au profit du théâtre.