Archives de Tag: CNIL

Cookies et autres traceurs : vers une plus grande protection des internautes ?

Récemment, le Figaro a été invité par la Commission nationale de l’informatique et des libertés (CNIL) à revoir sa politique de cookies tandis que la compagnie aérienne Vueling a quant à elle été sanctionnée par l’autorité espagnole au titre de sa politique de cookies. Ces affaires se multiplient et illustrent l’importance des pratiques des éditeurs de sites internet concernant le dépôt de cookies et autres traceurs.

1. À quoi servent les cookies ?

D’après la CNIL, un cookie est un « petit fichier informatique, un traceur, déposé et lu par exemple lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile et ce, quel que soit le type de terminal utilisé (ordinateur, smartphone, liseuse numérique, console de jeux vidéos connectés à Internet, etc.) » (voir le site de la CNIL).

Par ailleurs, d’un point de vue technique, bien qu’un cookie soit de composition simple, il en existe différentes variantes : cookies de modules sociaux de partage de contenus, cookies de pistage, cookies publicitaires tiers, cookies de mesure d’audience… Par ailleurs, d’autres techniques comme les identifications par calcul d’empreinte du terminal, les identifiants générés par les systèmes d’exploitation, les identifiants matériels (adresse MAC, numéro de série), sont également susceptibles de stocker des données personnelles. La multiplicité de ces traceurs les rend difficilement différentiables par l’internaute, ce qui peut parfois nuire à la compréhension de ce qui est accepté.

Initialement, les traceurs informatiques ont été créés dans le but faciliter la navigation de l’internaute en mémorisant ses préférences, en lui permettant d’effectuer des tâches sans avoir à saisir à nouveau des informations lorsqu’il navigue d’une page à une autre ou lorsqu’il visite le site ultérieurement. Aujourd’hui, les cookies et autres traceurs sont notamment utilisés par les sites de commerce électronique afin d’analyser les habitudes de navigation des internautes, de sorte qu’ils sont devenus des moyens pour définir le profil d’un internaute et donc des outils de ciblage publicitaire.

Ces traceurs sont logiquement appréhendés par le droit, en particulier par la directive européenne 2002/58/CE (dite e-privacy) modifiée par la directive européenne 2009/136/CE ainsi que par la loi informatique et libertés.

2. Quelle est la position de la CNIL?

Le 5 décembre 2013, la CNIL a adopté une recommandation (voir le texte de la recommandation) visant à guider les éditeurs de site web dans l’application de l’article 32-II de la loi informatique et libertés (aujourd’hui devenu l’article 82), dont il ressortait une double obligation : l’obligation d’informer la personne concernée de la finalité et des moyens de s’opposer aux cookies et l’obligation d’obtenir le consentement de la personne concernée. Cependant, le règlement général sur la protection des données (RGPD) est entré en vigueur, en modifiant notamment la conception du consentement et la CNIL a dû revoir sa position concernant les cookies.

Le 4 juillet 2019, la CNIL a adopté des lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 (voir la délibération de la CNIL). Dans ces nouvelles lignes directrices, la CNIL décide, d’une part, que la simple poursuite de la navigation sur un site ne peut plus être regardée comme une expression valide du consentement au dépôt de cookies et qu’il est nécessaire de mettre en place une action positive de l’internaute pour qu’il exprime son consentement. D’autre part, elle considère que les opérateurs qui exploitent des traceurs doivent être en mesure de prouver qu’ils ont bien recueilli le consentement. Il s’agit là d’une modification importante de la position de la CNIL.

Cependant, la CNIL a choisi de permettre une « période d’adaptation » qui s’achèvera 6 mois après la publication de la recommandation (laquelle est attendue pour le 1er trimestre 2020). Cette période de tolérance a fait l’objet d’intenses discussions devant le Conseil d’État (cf. ci-dessous n°4).

3. Quelle est la position de la Cour de justice de l’Union européenne ?

Dans un arrêt Planet49 rendu le 1er octobre 2019, la grande chambre de la Cour de justice de l’Union européenne (CJUE) a répondu à la demande de décision préjudicielle introduite par la Cour fédérale de justice allemande (voir l’intégralité de la décision). Dans cette affaire, la fédération allemande des organisations de consommateurs conteste l’utilisation par la société allemande Planet49 d’une case cochée par défaut par laquelle les internautes, souhaitant participer à des jeux promotionnels en lignes, expriment leur accord au placement de cookies.

À travers l’arrêt rendu par la CJUE souligne quatre points principaux :

  • le consentement que l’utilisateur d’un site internet doit donner pour le placement et la consultation de cookie sur son équipement n’est pas valablement donné au moyen d’une case cochée par défaut, que cet utilisateur doit décocher pour refuser de donner son consentement (opt out) ;
  • la solution est la même que les informations stockées ou consultées par les cookies constituent ou non des données à caractère personnel ;
  • le consentement de l’utilisateur doit être spécifique, de telle sorte que le fait pour l’utilisateur, d’activer le bouton de participation au jeu promotionnel ne suffit pas pour considérer qu’il a valablement donné son consentement au placement de cookies ; et  
  • le fournisseur de services doit donner à l’utilisateur des informations telles que la durée de fonctionnement des cookies ainsi que la possibilité ou non pour les tiers d’avoir accès à ces cookies.

L’arrêt de la CJUE confirme ainsi la nouvelle position de la CNIL sur le fond. Toutefois, la mise en œuvre par la CNIL d’une période de tolérance est l’objet d’un intense débat devant le Conseil d’Etat. 

4. Le plan d’action de la CNIL soutenu par le Conseil d’Etat

Dans son communiqué de presse du 28 juin 2019 (voir le texte du communiqué), la CNIL a annoncé laisser aux acteurs une période transitoire de 12 mois pendant laquelle, la poursuite de la navigation comme expression du consentement sera considérée comme acceptable. La CNIL précise ensuite, dans son communiqué du 18 juillet 2019 (voir le texte du communiqué), que cette période d’adaptation s’achèvera 6 mois après la publication de la future recommandation.

Les associations La Quadrature Du Net et Caliopen ont demandé au juge des référés du Conseil d’Etat d’ordonner la suspension de l’exécution de la décision de la CNIL, d’autoriser la « poursuite de la navigation » comme mode d’expression du consentement en matière de cookies et de traceurs en ligne jusque mi-2020. Elles considèrent que la création d’une période transitoire pendant laquelle la CNIL s’abstiendra de toute poursuite à l’encontre des acteurs viole le droit français et le droit de l’Union européenne en matière de droit des données à caractère personnel. Et que la décision attaquée porte atteinte de manière substantielle, directe et certaine aux intérêts qu’elle entend défendre.    

Dans sa décision du 16 octobre 2019 (voir l’intégralité de la décision), le Conseil d’État rappelle tout d’abord que la CNIL, qui est une autorité administrative indépendante, dispose d’un large pouvoir d’appréciation dans l’exercice de ses missions. Il juge ensuite que le délai laissé aux acteurs pour se conformer aux règles qui seront publiées à l’issue de la concertation n’est pas illégal puisqu’il permet aux acteurs de s’approprier ces nouvelles règles. Le Conseil d’Etat estime enfin que la stratégie de la CNIL ne méconnaît pas le droit au respect de la vie privée car elle contribue à remédier aux pratiques prohibées de publicité ciblée, et n’empêchera pas la Commission de réaliser des contrôles pendant cette période transitoire, en sanctionnant le cas échéant les manquements les plus graves à ce nouveau cadre juridique. Cet arrêt apporte également une précision procédurale importante : les communiqués de presse indiquant les prises de position de la CNIL peuvent faire l’objet d’un recours pour excès de pouvoir, à condition que les actes « revêtent le caractère de dispositions générales et impératives ou qu’ils énoncent des prescriptions individuelles dont ces autorités pourraient ultérieurement censurer la méconnaissance ».

Droit du Partage continuera naturellement à suivre ce sujet pour vous.

Poster un commentaire

Classé dans Evolution du cadre juridique, Union Européenne

L’action de groupe : arme efficace contre l’utilisation abusive des données personnelles ?

Les données à caractère personnel sont un sujet clé de la vie numérique et de l’économie digitale. A la suite d’un nombre non négligeable de scandales, leur protection a progressivement pris une dimension toute particulière.

On peut citer à titre d’exemple : le vol de données Uber ayant conduit la CNIL à infliger au géant américain une amende record de 50 millions d’euros ; ou encore l’affaire Cambridge Analytica, société de profilage politique, soupçonnée d’avoir compilé, au moyen d’un quizz de personnalité, les données personnelles de près de 87 millions d’utilisateurs Facebook.

Pour autant face à ces situations les moyens mis à disposition des individus pour assurer effectivement le contrôle et la protection de leurs données à caractère personnel paraissent insuffisants.

1. Quid de l’action de groupe en France ?

De manière générale, l’action de groupe se définit comme « une action judiciaire diligentée par un représentant d’un groupe, désigné par la loi, afin que ledit groupe, suite au dommage de masse causé par les manquements d’un professionnel, puisse obtenir une réparation judiciaire » [1]. En d’autres termes, elle permet à un titulaire, spécialement déterminé par la loi, d’agir afin d’obtenir réparation des préjudices subis par un groupe de personnes aux torts d’un seul et même protagoniste.

A l’aube des années 1980, en l’absence d’instrument juridique en mesure de prendre acte et de sanctionner « les litiges de masse », la doctrine française commence à réfléchir à l’introduction de l’action de groupe en droit français[2]. Cependant, fort des dissensions et alternances politiques, le gouvernement français a longtemps craint l’introduction d’un tel mécanisme[3].

L’action de groupe a finalement été consacrée pour la première fois par la loi du 17 mars 2014 relative à la consommation, dite « loi Hamon ». Elle a ensuite été étendue à diverses sphères du droit, notamment en droit de la santé[4], en droit de l’environnement[5], en matière de discrimination au travail[6], ainsi qu’en matière de données personnelles.

2. Quel est le cadre juridique français de l’action de groupe en matière de données personnelles ?

  • De la demande de cessation à l’action en réparation

L’action de groupe en matière de données personnelles a été introduite en France par la loi du 18 novembre 2016 de modernisation de la justice du XXIe siècle. Celle-ci a introduit dans la loi du 6 janvier 1978 dite « Informatique et Libertés » (LIL)[7], l’article 43 ter (désormais abrogé en raison d’une version plus récente du texte). L’objectif était de permettre aux personnes victimes de manquements aux obligations de protection des données personnelles, d’en demander la cessation devant la juridiction compétente.

Après la réforme législative du 20 juin 2018 relative à la protection des données personnelles, le champ de cette action de groupe a été élargie. Cette réforme insère dans la LIL un nouvel article 37[8], permettant d’une part de demander la cessation du manquement, et / ou d’autre part « d’engager la responsabilité de la personne ayant causé le dommage afin d’obtenir réparation des préjudices matériels ou moraux subis ».

Conformément à l’article 37 de la LIL, lu en combinaison avec les articles 60 et suivants de la loi du 18 novembre 2016 de modernisation de la justice du XXIe siècle, cette action de groupe peut être respectivement portée devant la juridiction civile[9] ou la juridiction administrative[10] compétente. Le demandeur à l’action doit en informer la Cnil, afin que celle-ci puisse présenter des observations.

Il s’agit là de modifications opérées sous l’impulsion du droit de l’Union européenne et notamment du Règlement général sur la protection des données à caractère personnel du 27 avril 2016 dit « RGPD ». L’action de groupe est effectivement prévue par le RGPD, qui permet aux personnes physiques ayant subi un dommage matériel ou moral du fait de la violation d’obligations posées par le Règlement, d’obtenir réparation du préjudice subi.

  • Les conditions de l’action

Le fait générateur de l’action de groupe en matière de données personnelles est restreint : l’action ne peut être exercée que « lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature » aux dispositions du RGPD ou à celles de la loi du 20 juin 2018 relative aux données personnelles (LIL, art. 37 II).

Par ailleurs, en vertu de l’article 37 IV. de la LIL, seuls peuvent exercer une telle action :

  • « Les associations régulièrement déclarées depuis cinq ans au moins ayant dans leur objet statutaire la protection de la vie privée ou la protection des données à caractère personnel» ;
  • « Les associations de défense des consommateurs représentatives au niveau national et agréées, lorsque le traitement de données à caractère personnel affecte des consommateurs» ;
  • « Les organisations syndicales de salariés ou de fonctionnaires représentatives ou les syndicats représentatifs de magistrats de l’ordre judiciaire, lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre».

Il est important de noter, que l’action de groupe doit être précédée d’une mise en demeure en vue de faire cesser le manquement ou de réparer le(s) préjudice(s) subi(s). Ce n’est qu’à l’issue de l’expiration d’un délai de 4 mois, à compter de la réception de la mise en demeure, que l’action de groupe pourra être introduite devant la juridiction compétente[11].

3. Quelles sont les actions en cours ?

Alors même que les scandales portant sur l’utilisation massive et abusive des données à caractère personnel se multiplient, la France compte à ce jour un nombre restreint d’actions de groupe :

  • Internet Society France (ISOC France) c/ Facebook :

En novembre 2018, l’ONG annonçait vouloir engager la première action de groupe indemnitaire en matière de données personnelles[12].

Par une lettre de mise en demeure, l’ISOC France a alerté la plateforme de sept « atteintes récurrentes aux libertés et à la vie privée » de ses utilisateurs. L’internet Society reproche notamment au géant américain de collecter des données sensibles (l’orientation sexuelle, les opinions politiques et les croyances religieuses), de ne pas demander le consentement libre et éclairé des utilisateurs Facebook et WhatsApp ou encore l’absence de sécurisation efficace des données personnelles[13].

En l’absence de réponse, l’ONG a décidé de porter l’affaire devant les tribunaux français. Selon l’Agence France Presse (AFP), l’ISOC France a déclaré vouloir introduire une assignation devant le tribunal de grande instance de Paris au cours du mois de septembre 2019[14].

  • UFC-Que choisir c/ Google:

Le 26 juin dernier, UFC-Que choisir a introduit une action de groupe contre le géant de l’internet, pour collecte et exploitation de données utilisateurs contraires aux obligations posées par le RGPD.

Cette action concerne principalement les utilisateurs de produits Android. L’association pointe notamment du doigt le processus de création de compte : « nous considérons que le consentement des utilisateurs n’est pas obtenu de façon légale, notamment au travers de cases pré-cochées camouflées ». Selon elle, les utilisateurs n’auraient pas conscience de « l’intrusion massive » dans leur vie privée notamment au travers des données de géolocalisation et à fortiori de la finalité de cette collecte.

L’organisme a assigné Facebook devant le Tribunal de grande instance de Paris et est en attente d’une décision sur la responsabilité de Google dans le cadre de la collecte et du traitement des données personnelles de ses utilisateurs.

Droit du Partage continuera naturellement à suivre ce sujet pour vous.

[1] S. GUINCHARD, CHAINAIS et FERRAND, Procédure civile. Droit interne et droit de l’Union européenne, 2014, coll. Précis, Dalloz, n° 404

[2] Commission de refonte du droit de la consommation, sous la direction de J. CALAIS-AULOY, 1985

[3] Action de groupe – Sonia BEN HADJ YAHIA – Juin 2015, n°2 et suivants

[4] Article 184 de la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé

[5] Article L142-3-1 du code de l’environnement.

[6] Articles L.1134-6 à L.1134-10 du Code du travail.

[7] La loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle est venu modifier la loi Libertés et Informatiques.

[8] Article 37 de la  LOI n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

[9] Article 60 de la Loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle.

[10] Article 85 de la Loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle.

[11] Article 64 de la Loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle.

[12] Communiqué de l’ISOC France en date du 9 novembre 2018.

[13] Lettre recommandée avec accusé de réception adressée à Facebook France, Facebook Ireland LTD, Facebook Inc.

[14] Article de presse en date du 26 mars 2019 rédigé par l’AFP et publié sur CB News.

Poster un commentaire

Classé dans Evolution du cadre juridique, Union Européenne

RGPD, la première sanction prononcée par la CNIL concerne Google

Nous vous l’avions annoncé dans notre précédent article (voir notre article sur les enjeux de l’année 2019) : les premières sanctions prononcées sur le fondement du Règlement général sur la protection des données personnelles (« RGPD ») devaient intervenir en 2019. Ce pronostic vient de se réaliser car le géant américain Google a été condamné à payer une amende de 50 millions d’euros (voir le texte complet de la délibération de la CNIL concernant Google).

Parmi ses nombreux services, Google a conçu un système d’exploitation pour les smartphones appelé « Android » qui compte plus de 27 millions d’utilisateurs en France. Pour l’utiliser, un compte utilisateur doit être créé, ce qui implique un traitement de données à caractère personnel, lequel est naturellement soumis aux conditions du RGPD.

Les associations de défense et de représentation des droits et libertés fondamentaux dans l’espace numérique « None Of Your Business » (« NOYB ») et la Quadrature Du Net (« QDN »), qui soutenaient que le RGPD n’était pas respecté par Google, sont à l’origine de la procédure ouverte par la CNIL concernant Google.

Cette décision de sanction mérite des commentaires sur les points essentiels.

1/ La compétence de la CNIL : pour Google, la CNIL aurait dû transmettre les plaintes reçues à l’autorité de protection des données irlandaise (la Data Protection Commission) qui serait l’autorité chef de file en raison la localisation de son établissement principal en Irlande. (i.e : désigner une autorité chef de file permet aux organismes mettant en œuvre des traitements transfrontaliers de bénéficier du mécanisme du « guichet unique » et de disposer ainsi d’un seul interlocuteur pour toutes leurs activités de traitement sur le territoire de l’Union Européenne).

En se fondant sur l’article 4 (16) et le considérant 36 du RGPD, la CNIL a considéré que la société Google Irlande Ltd n’était pas « l’établissement principal » de la société Google LLC dès lors qu’il n’est pas établi qu’elle dispose d’un pouvoir décisionnel quant aux traitements visés (c’est-à-dire, la capacité de détermination des finalités et des moyens du traitement).

En l’absence d’établissement principal permettant l’identification d’une autorité chef de file, la CNIL est compétente pour traiter les plaintes

2/ Les manquements aux obligations de transparence et d’information :  toute personne qui fait l’objet d’un traitement de données personnelles doit se faire transmettre une information claire, précise et accessible sur l’existence ainsi que les modalités du traitement. Il était reproché à Google de ne pas avoir fourni à ses utilisateurs une telle information.

Pour Google, le document intitulé « Règles de confidentialité et conditions d’utilisation » offre « une bonne vue d’ensemble des traitements mis en œuvre ». La société explique également que l’information des personnes doit s’apprécier de façon globale et qu’ainsi, en plus des divers documents mis à disposition, l’information est transmise par le biais d’autres modalités (messages électroniques adressés à l’utilisateur créant son compte l’informant de la possibilité de modifier les paramètres, mise en place d’un dashboard, fenêtre pop-up etc…) ou fait l’objet d’une rubrique dédiée (par exemple, Google indiquait que les informations relatives à la durée de conservation des données figuraient dans la rubrique « Exporter et supprimer vos informations » au sein des « Règles de confidentialité ». ).

Bien que saluant les progrès et efforts réalisés par Google ces dernières années, la CNIL considère que les exigences de transparence et d’information du RGPD ne sont pas respectées. Elle relève notamment que l’architecture générale de l’information choisie par le géant américain nécessite une démarche positive de l’utilisateur pour prendre connaissance d’informations complémentaires, qu’il devra ensuite recouper et comparer afin de comprendre quelles données sont collectées en fonction des différents paramètres choisis. La CNIL retient que l’exigence d’une information « aisément accessible » visée par le RGPD n’est pas atteinte… La formation restreinte a donc estimé que « la multiplication des actions nécessaires, combinée à un choix de titres non explicites ne satisfait pas aux exigences de transparence et d’accessibilité de l’information ».

3/ La base juridique du traitement : la nécessité d’avoir une « base juridique » (c’est-à-dire, un des fondements juridiques limitativement énumérés par le RGPD) est un autre grand principe auquel il ne peut être dérogé. Il était reproché à la société américaine de ne pas valablement recueillir le consentement des personnes concernées, sur lequel elle se fondait pour les traitements de personnalisation de la publicité, celui-ci devant présenter certaines caractéristiques.

Pour Google, le consentement des utilisateurs est suffisamment éclairé, spécifique et univoque.

La CNIL n’est pas de cet avis et retient que le consentement (i) n’est pas éclairé (notamment car l’information préalable est « excessivement disséminée »), (ii) n’est pas spécifique et univoque (notamment car le consentement n’est pas donné par le biais d’un acte positif par lequel la personne consent spécifiquement et distinctement au traitement de ses données à des fins de personnalisation de la publicité par rapport aux autres finalités de traitement puisque la case était masquée et pré-cochée par défaut, la possibilité de paramétrer ne suffisant pas à lever l’irrégularité) et (iii) n’est pas libre (notamment car l’utilisateur se voit contraint d’ « accepter en bloc » l’ensemble des traitements de données à caractère personnel mis en œuvre).

4/ La sanction : pour Google, la sanction consistant en une mise en demeure aurait représenté la mesure correctrice la plus adéquate. Pour justifier le montant de son amende (50 millions d’euros), la CNIL souligne que les manquements relevés à l’encontre de Google sont graves (il s’agit des dispositions dont la méconnaissance est la plus sévèrement sanctionnée en vertu de l’article 83 du RGPD). En effet, elle estime que ces traitements de données, clés dans le modèle économique de Google et générant des avantages considérables, ont une « ampleur considérable compte tenu de la place prépondérante qu’occupe le système d’exploitation Android». Elle relève par ailleurs que les manquements de Google perdurent au jour où la CNIL statue. Tout cela justifie la sanction pécuniaire qui se trouve doublée d’une sanction complémentaire de publicité (légitimée par la place prépondérante occupée par la société sur le marché des systèmes d’exploitation et de l’intérêt que représente la décision pour l’information du public). Et c’est peut-être là que se trouve la véritable sanction pour Google…

La QDN et NOYB, mandatés par près de 10.000 personnes, se félicitent d’avoir obtenu la première amende majeure depuis l’entrée en vigueur du RGPD, illustrant ainsi la mise en œuvre du nouvel arsenal répressif institué par celui-ci. Bien que la somme de 50 millions d’euros puisse paraître colossale, elle est à relativiser par rapport au maximum encouru (4% du chiffre d’affaires annuel global du précédent exercice).

Google, considérant que la sanction n’est pas justifiée au regard des efforts déjà déployés pour se conformer aux exigences du RGPD, a décidé d’exercer une voie de recours devant le Conseil d’État.

La bataille judiciaire continue et les prochaines décisions (à la fois de la CNIL et du Conseil d’État) seront intéressantes à étudier.

Droit du Partage continuera naturellement à suivre ces sujets pour vous.

Poster un commentaire

Classé dans Transport de personnes

« Je ne dois pas vendre mes fichiers clients sans les avoir déclarés »

Vous écrirez dix fois « Je ne dois pas vendre mes fichiers clients sans les avoir préalablement déclarés à la CNIL »

La chambre commerciale de la Cour de cassation a rendu le 25 juin 2013 un arrêt limpide sur l’importance de la protection des données personnelles dans la conduite des activités commerciales[1].

Un acheteur de fichier client avait agi en nullité de la vente d’un fichier client dont il s’est porté acquéreur au motif que ce fichier de clients n’avait pas été préalablement déclaré à la CNIL. La cour d’appel de Rennes avait rejeté cette demande au motif que la loi « Informatique et Libertés » du 6 janvier 1978[2] ne prévoyait pas que l’absence d’une telle déclaration était sanctionnée par la nullité.

La juridiction suprême a prononcé la cassation de l’arrêt de la Cour d’appel de Rennes au motif que les fichiers clients non déclarés doivent être considérés comme des choses « hors du commerce » au sens de l’article 1128 du Code civil et que toute convention portant sur une telle chose doit donc être frappée de nullité.

Le fait que la décision soit publiée, courte et prononcée au visa de l’article 1128 du Code civil peut sans aucun doute laisser penser que la Cour de cassation a voulu édicter là un principe fort et envoyer par là même un message aux acteurs, de plus en plus nombreux, qui se consacrent d’une manière ou d’une autre au traitement de fichiers clients, les collectent et les vendent.

Chers acteurs de la nouvelle économie, vous êtes donc tous concernés car la vente de fichiers clients n’est sans doute pas la seule concernée par la nullité en l’absence de déclaration préalable. Il pourrait s’agir de la location, du prêt ou de l’apport en société de ces fichiers clients. Et plus généralement, il s’agit de tout contrat qui porte sur un fichier client.

Cette décision appelle donc deux commentaires : d’abord elle montre un regain d’intérêt par la jurisprudence pour la notion de « choses hors du commerce » au sens du Code civil et ensuite elle annonce l’entrée du droit et d’un contentieux important sur les conventions portant sur des fichiers clients.

La prudence s’impose donc. Affaire à suivre !

***

Soyez nombreux à réagir, votre participation est notre valeur ajoutée ! Vous pouvez nous soumettre les questions que vous souhaitez voir traitées  sur droitdupartage(at)gmail.com ou réagir dans les commentaires.


[1] Cour de cassation, civile, Chambre commerciale, 25 juin 2013, 12-17.037, Publié au bulletin

[2] Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Poster un commentaire

Classé dans Evolution du cadre juridique, Obligations et responsabilité des plateformes, Transport de personnes