DONNÉES PERSONNELLES  : AMENDE RECORD PRONONCÉE PAR LA CNIL A L’ENCONTRE DE GOOGLE (CNIL, délibération de la formation restreinte, 21 janvier 2019, n°SAN-2019-001)

D’une part, la CNIL relève que les informations fournies par Google aux utilisateurs sur les traitements en cause ne sont pas suffisamment accessibles car elles sont disséminées dans plusieurs documents, dont les titres ne sont pas toujours explicites et auxquels on ne peut accéder qu’en procédant à plusieurs clics.

D’autre part, elle considère, au terme d’une appréciation in concreto tenant compte notamment du caractère particulièrement massif et intrusif des traitements opérés par Google, que ces informations ne sont pas suffisamment claires, ni compréhensibles. La CNIL relève notamment que la description des finalités poursuivies et des données collectées dans les documents susvisés est trop générique et vague pour que les utilisateurs comprennent suffisamment bien la façon dont leurs données sont traitées et combinées. Par ailleurs, certaines informations (sur les durées de conservation notamment) sont manquantes.

La CNIL estime que des informations claires et simples doivent être délivrées au moment de la création du compte Google, de manière à ce que les utilisateurs aient, dès le début du processus du collecte de leurs données, une vision d’ensemble du nombre et de la portée des traitements réalisés par Google (quand bien même ces informations ne seraient pas exhaustives à ce stade).

Par ailleurs, la CNIL constate un manquement de Google à son obligation de disposer d’une base légale pour les traitements qu’elle réalise à des fins de publicité ciblée.

En effet, le consentement, qui constitue, selon Google, le fondement légal de ce traitement, n’est pas valablement recueilli par cette société.

D’abord, la CNIL relève, pour les raisons l’ayant conduit à constater un manquement de Google à son obligation de transparence et d’information, que le consentement des utilisateurs n’est pas suffisamment éclairé.

Ensuite, la CNIL estime que le consentement des utilisateurs n’est pas spécifique et univoque.

En effet, elle constate que lors de la création d’un compte Google, l’utilisateur a la possibilité de modifier certains paramètres associés à son compte en cliquant sur le bouton « Plus d’options » (1), ou de ne pas le faire, et de cocher une case d’opt-in par laquelle il accepte les conditions d’utilisation de Google et le traitement de ses données selon les modalités décrites dans les règles de confidentialité de Google (2). Lorsqu’il clique sur l’onglet « Plus d’options », l’utilisateur accède à des cases pré-cochées par lesquelles il accepte par défaut le traitement de ses données pour différentes finalités, dont la publicité ciblée.

Dans ce premier cas de figure (1), le consentement ne peut être considéré comme valablement recueilli car il ne se manifeste pas par un acte positif (opt-in : case à cocher ou équivalent pour consentir au traitement) mais par un opt-out (une case à décocher pour s’opposer au traitement).

Dans le second cas de figure (2), l’utilisateur consent en bloc à l’ensemble des traitements de ses données mis en oeuvre par Google (dont ceux réalisés à des fins de publicité ciblée), ce qui est contraire à l’exigence d’un consentement spécifique pour chaque traitement. Toutefois, la CNIL admet que l’utilisateur puisse consentir de manière mutualisée au traitement de ses données pour différentes finalités proches, à la condition qu’il ait eu la possibilité, au préalable, de donner un consentement spécifique pour chacune des finalités de traitement, en le manifestant par un acte positif clair et sans avoir à réaliser d’action particulière pour accéder à ce paramétrage (donc sans avoir, en l’occurrence, à cliquer sur le lien « Plus d’options »).

Enfin, la CNIL précise que les règles applicables aux cookies, notamment publicitaires, résultant de sa recommandation du 5 décembre 2013 sont désormais inopérantes en sorte que le consentement en matière de publicité ciblée ne peut être recueilli selon les modalités visées dans cette recommandation.

En conséquence, la CNIL condamne la société Google LLC à une amende historique de 50 millions d’euros et à la publicité de sa délibération. En revanche, Google n’est pas condamnée à procéder à l’effacement des données collectées en violation de la réglementation.

INFRACTIONS DE PRESSE EN LIGNE : LA CRÉATION D’UN LIEN HYPERTEXTE VERS UN MESSAGE DIFFAMATOIRE NE PEUT ENTRAINER LA RESPONSABILITÉ AUTOMATIQUE DE SON CRÉATEUR  (CEDH, 4ème Section, Magyar Zeti Zrt v. Hungary)

Par l’arrêt rapporté, la CEDH contribue à préciser le régime juridique des liens hypertexte renvoyant vers une ressource illicite : un tel lien peut-il engager la responsabilité de son créateur et, dans l’affirmative, à quelles conditions ?

En l’occurrence, les juridictions nationales hongroises avaient retenu la responsabilité de l’exploitant d’un site web d’information, qui avait publié, au sein d’un article relatif à un fait divers, un lien hypertexte permettant d’accéder à une vidéo mise en ligne par un tiers sur Youtube, en lien avec ce fait divers, dont le contenu fut postérieurement jugé diffamatoire.

Selon le droit national hongrois, tel qu’interprété par les juridictions nationales, la création d’un tel lien constituait une « dissémination » de propos diffamatoires contenus dans la vidéo, entraînant à ce titre la responsabilité objective, autrement dit automatique, de l’auteur de cette dissémination.

La CEDH juge que cette responsabilité automatique constitue une restriction disproportionnée à la liberté d’expression invoquée par l’exploitant du site Web. A cette occasion, elle édicte, sous forme d’une liste de principes, un véritable régime de responsabilité des liens hypertexte.

En synthèse, elle juge que si un journaliste (donc un professionnel de l’information), créateur d’un lien vers un message diffamatoire, cautionne le message en cause de manière explicite et non équivoque, alors le lien s’analyse comme une nouvelle publication dudit message et engage, comme tel, la responsabilité de son créateur. De la même manière, la création du lien engage la responsabilité du journaliste si celui-ci connaissait le caractère illicite du message et a créé le lien de mauvaise foi. Exceptionnellement, la responsabilité du journaliste peut encore être engagée s’il pouvait raisonnablement connaître le caractère illicite du message au regard de l’éthique professionnelle et des diligences de vérification que l’on peut attendre dans le cadre d’un journalisme responsable.

A contrario, et sous réserve de l’hypothèse où le message aurait été jugé diffamatoire par une décision de justice interdisant sa publication avant la création du lien, ce lien ne doit pas s’analyser en une publication du message en cause et la responsabilité de son créateur ne saurait être engagée.

Lorsque la responsabilité du journaliste créateur du lien est susceptible d’être engagée, celui-ci doit pouvoir invoquer toutes les défenses dont pourrait arguer le « publicateur » initial du message illicite.

Dans tous les cas, l’appréciation doit être effectuée in concreto au regard des circonstances de l’espèce, telle que la situation s’est présentée au créateur du lien au moment de sa création, et non a posteriori.

Enfin et corrélativement, tout régime de responsabilité objective à raison de l’utilisation de liens hypertexte est, pour la CEDH, par principe contraire à la Convention EDH, et les principes ainsi énoncés par la Cour valent pour les personnes physiques comme les personnes morales.

La CEDH justifie ces solutions notamment par le caractère essentiel des liens hypertexte dans le fonctionnement du Web, l’importance de ce dernier pour la liberté d’expression dans le monde contemporain, et le constat qu’il ne serait pas raisonnable d’exiger des créateurs de liens qu’ils effectuent au préalable des vérifications systématiques et substantielles quant à la licéité de la ressource reliée.

Le régime ainsi proposé assez proche, au fond, de celui adopté par la CJUE en matière de liens renvoyant vers des œuvres contrefaisantes dans l’arrêt GS Média, auquel la CEDH fait d’ailleurs référence dans la décision rapportée.

CONCURRENCE DÉLOYALE : DÉFENSE DE LA COLLECTIVITÉ DES MÉDECINS (Cass. civ. 1ère, 12 déc. 2018, n° 17-27415, publié au Bulletin)

Par l’arrêt commenté, rendu dans une affaire dans laquelle le Conseil national de l’ordre des médecins (CNOM) exerçait, dans l’intérêt de la collectivité des médecins, une action en concurrence déloyale contre la société Groupon, spécialisée dans la promotion sur internet d’évènements et d’offres de prestations de services à des tarifs promotionnels, la Cour de cassation décide qu’une disposition légale spéciale peut conférer à une entité un intérêt à agir, notamment en concurrence déloyale, pour la défense de la collectivité des professionnels d’un secteur, par-delà les intérêts particuliers de professionnels déterminés.

L’action du CNOM pour la défense de la profession médicale en général est reconnue recevable en application des dispositions combinées de l’article 31 du Code de procédure civile et des articles L. 4121-2 et L. 4122-1 du Code de la santé publique confiant au CNOM une mission de défense des intérêts de cette profession. Par le jeu de telles dispositions, l’action en concurrence déloyale peut ainsi, comme l’action répressive, tendre à la défense de l’intérêt collectif d’une profession.

Sur le fond, la Cour de cassation approuve la cour d’appel d’avoir considéré que la société Groupon avait commis des actes de concurrence déloyale à l’égard de la profession médicale en publiant, à la demande de tiers, des offres d’achat relatives à des prestations médicales qui « portaient atteinte à l’image de la profession en assimilant l’activité médicale à une activité commerciale ».

 

 

 

 

 

 

 

Legal notice – website Passa Varet Avocats

The website www.passa-varet.legal is published by:
Passa Varet Avocats
Publication director: Vincent Varet
SELARL (limited liability company formed by persons carrying on a professional activity) with share capital of 15 015 €
RCS : 802 395 301
Registred office : 12 rue Tronchet – 75008 PARIS
Tél. : + 33 1 44 701 710
Fax. : + 33 1 44 701 711

Hosting provider:
OVH
SAS (simplified joint-stock company) with share capital of 10 069 020 €
RCS Lille Métropole 424 761 419 00045
Registred office: 2 rue Kellermann - 59100 Roubaix - France

Copyright

The Website, its structure and content are and remain the exclusive property of Passa Varet Avocats.
TAny reproduction, communication to the public or distribution, in whole or in part, of any kind whatsoever, is prohibited.

Limitation of liability

Passa Varet Avocats reserves the right to modify, update or delete the information and other content published on the Site at any time and without prior notice; it makes no warranty, express or implied, regarding information and content.
The user is solely responsible for the use he or she makes of the Site, as well as for this information and content.
Passa Varet Avocats cannot be held liable for any damage whatsoever, resulting directly or indirectly from the use of the Site. Passa Varet Avocats also assumes no responsibility for the hypertext links included in the Site and referring to external resources, as well as for these external resources themselves.
Any hypertext link to the Site is subject to the prior and express agreement of Passa Varet Avocats.

Creation and webdesign

Design and production :MakeitPro
Photographs : Théo Delhaste (http://www.theodelhaste.photo)
Texts : Passa Varet Avocats

Legal notice – website Passa Varet Avocats

The website www.passa-varet.legal is published by:
Passa Varet Avocats
Publication director: Vincent Varet
SELARL (limited liability company formed by persons carrying on a professional activity) with share capital of 15 015 €
RCS : 802 395 301
Registred office : 12 rue Tronchet – 75008 PARIS
Tél. : + 33 1 44 701 710
Fax. : + 33 1 44 701 711

Hosting provider:
OVH
SAS (simplified joint-stock company) with share capital of 10 069 020 €
RCS Lille Métropole 424 761 419 00045
Registred office: 2 rue Kellermann - 59100 Roubaix - France

Copyright

The Website, its structure and content are and remain the exclusive property of Passa Varet Avocats.
TAny reproduction, communication to the public or distribution, in whole or in part, of any kind whatsoever, is prohibited.

Limitation of liability

Passa Varet Avocats reserves the right to modify, update or delete the information and other content published on the Site at any time and without prior notice; it makes no warranty, express or implied, regarding information and content.
The user is solely responsible for the use he or she makes of the Site, as well as for this information and content.
Passa Varet Avocats cannot be held liable for any damage whatsoever, resulting directly or indirectly from the use of the Site. Passa Varet Avocats also assumes no responsibility for the hypertext links included in the Site and referring to external resources, as well as for these external resources themselves.
Any hypertext link to the Site is subject to the prior and express agreement of Passa Varet Avocats.

Creation and webdesign

Design and production :MakeitPro
Photographs : Théo Delhaste (http://www.theodelhaste.photo)
Texts : Passa Varet Avocats