En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookie.
J'accepte.En savoir plus, paramétrer et ou s'opposer à ces cookies.
 
 

Les avocats du net

 
 


 

Actualités

lundi 23 juillet 2018
Facebook Viadeo Linkedin

Caudalie peut interdire la distribution de ses produits sur les plateformes tierces

 

Le contentieux entre Caudalie et 1001pharmacies.com prend fin avec l’arrêt du 13 juillet 2018 de la cour d’appel de Paris qui estime que l’interdiction de revente en ligne des produits Caudalie sur une plateforme telle que le site en cause ne constitue pas une restriction de concurrence caractérisée. En conséquence, l’ordonnance de référé du 31 décembre 2014 est confirmée. Le tribunal de commerce de Paris avait jugé que le réseau de distribution sélective de Caudalie étant licite, le trouble invoqué par la plateforme en ligne était dénué de caractère illicite. La cour d’appel s’est ainsi prononcée sur renvoi après un arrêt du 13 septembre 2017 de la Cour de cassation qui avait annulé le premier arrêt en référé de la cour d’appel de Paris du 2 février 2016. Cette dernière avait considéré que l’interdiction de principe de recourir à des plateformes en ligne, des pure players, pour vendre ses produits cosmétiques, était susceptible de constituer une restriction de concurrence caractérisée, exclue du bénéfice de l’exemption communautaire caractérisée, visée à l’article L. 442-6 1 6° du code de commerce. Mais la cour suprême lui a reproché de s’être ainsi déterminée sans expliquer en quoi les décisions auxquelles elle se référait étaient de nature à écarter l’existence d’un trouble manifestement illicite résultant de l’atteinte au réseau de distribution sélective de la société Caudalie, alors même que la licéité avait été admise par la décision du 8 mars 2007 du Conseil de la concurrence.
En l’espèce, les produits Caudalie sont vendus par un réseau de distribution sélective structuré par deux contrats : un pour la vente en pharmacie et l’autre pour la vente sur internet. Il est expressément prévu que « seul un distributeur agréé disposant d’un point de vente physique en respectant l’ensemble des critères de sélectivité sera en droit de vendre en ligne les produits Caudalie sur son site internet ». Seule la commercialisation via un site propre d’un pharmacien distributeur est donc possible, à l’exclusion des plateformes ou places de marché.
Pour reconnaître la licéité du réseau de Caudalie, la cour de Paris s’appuie sur l’arrêt de la CJUE Coty Germany du 6 décembre 2017 qui précise qu’un tel réseau se justifie pour préserver l’image de luxe des produits en vente pour autant que le choix des revendeurs s’opère en fonction de critères objectifs de caractère qualitatif. La cour d’appel commence par admettre qu’il s’agit de produits cosmétiques de luxe. Puis elle reconnaît que l’interdiction de vente via des plateformes tierces apparaît proportionnée à l’objectif de préserver l’image de luxe de ces produits. Il s’avère notamment que les conditions de présentation sur 1001pharmacies.com sont de nature à porter atteinte à l’image de luxe que Caudalie peut légitimement vouloir protéger.

 
jeudi 19 juillet 2018
Facebook Viadeo Linkedin

Le logiciel de suivi des pilotes d’Air France conforme à la loi de 1978

 

La Cour de cassation a estimé que le logiciel d’Air France de suivi de l’activité de ses pilotes est conforme à la loi Informatique et libertés malgré quelques manquements mineurs constatés : la collecte des données a été opérée de manière loyale, le traitement n’a pas été détourné de sa finalité et la compagnie n’y a pas traité de données de santé, données sensibles s’il en est. L’arrêt de la Cour de cassation du 13 juin 2018 a ainsi confirmé l’arrêt de la cour d’appel, suite à un recours en référé du Syndicat des pilotes d’Air France (SPAF) qui réclamait la cessation de l’application.
Air France avait mis en œuvre un outil informatique « Main Courante divisions de vol » pour l’encadrement des pilotes afin de suivre l’activité journalière de la flotte et un passage des consignes entre les cadres de permanence sur les sites de Roissy et d’Orly, comportant les événements liés à l’exploitation et les demandes particulières des pilotes. Cette application qui a été étendue à l’ensemble de la flotte et qui a été rebaptisée Fidèle a été déclarée à la Cnil. Suite à une plainte du SPAF, la Cnil a procédé à un contrôle sur place et elle a clôturé le dossier après avoir constaté qu’Air France s’était conformée à ses préconisations. Mais considérant que le fichier était illicite au regard de la loi, notamment parce que le dispositif serait utilisé à des fins disciplinaires ne correspondant pas aux finalités pour lesquelles il avait été déclaré, le syndicat a assigné Air France en référé.
La Cour de cassation a d’abord relevé que la compagnie avait respecté le principe de collecte loyale des données en informant les personnes concernées de l’existence du traitement, de ses finalités, des destinataires et des droits des personnes, par le biais d’un mémo papier, également disponible sur un intranet dédié. Par ailleurs, la Cour a refusé de considérer que la compagnie avait détourné la finalité de l’application à des fins de gestion illicite du personnel. Si deux utilisations litigieuses ont pu être constatées, cela n’est pas suffisant pour démontrer l’illicéité de l’application. La Cour constate par exemple que seul un événement est inscrit dans l’application et non ses conséquences disciplinaires qui font l’objet d’un traitement distinct par un autre service. Par ailleurs, aucune donnée portant sur d’éventuelles sanctions n’y figure. La Cour note aussi qu’aucun rapprochement n’est effectué entre les données de l’application et celles permettant de gérer les dossiers professionnels des pilotes, notamment pour la prise de décisions dans le déroulement de leur carrière.
Enfin, la Cour estime qu’il n’y a pas eu de traitement de données sensibles. Pour elle, les données relatives aux arrêts de travail ne faisant pas apparaître le motif de l’absence, elles ne peuvent être considérées comme des données de santé.

 
vendredi 13 juillet 2018
Facebook Viadeo Linkedin

Anonyme sur internet, un militaire tenu par l’obligation de réserve

 

Un capitaine de la gendarmerie ne peut pas s’exprimer sur internet, même sous couvert d’anonymat, de manière outrancière et irrévérencieuse sur l’action du gouvernement et la politique étrangère et de défense. Dans sa décision du 27 juin 2018, le Conseil d’Etat a estimé que « ces faits, même s’ils ont été commis en dehors du service et sans utiliser les moyens du service et si l’intéressé ne faisait pas état de sa qualité de militaire, sont constitutifs d’une violation de l’obligation de réserve à laquelle sont tenus les militaires à l’égard des autorités publiques, même en dehors du service et fût-ce sous couvert d’anonymat ». Il a donc jugé que la sanction disciplinaire qui avait été infligée à cet officier, un blâme, n’était pas disproportionnée.
Le code de la défense rappelle que si les militaires jouissent de tous les droits et libertés reconnus aux citoyens, l’exercice de certains d’entre eux en est interdit ou restreint. Il affirme que toutes les opinions sont libres mais qu’elles doivent être exprimées « en dehors du service et avec la réserve exigée par l’état militaire, quel que soit le mode d’expression ». L’article R. 434-12 du code de la sécurité intérieure précise par ailleurs qu’« en tout temps, dans ou en dehors du service, y compris lorsqu’il s’exprime à travers les réseaux de communication électronique sociaux, il s’abstient de tout acte, propos ou comportement de nature à nuire à la considération portée à la police nationale et à la gendarmerie nationale ».

 
jeudi 12 juillet 2018
Facebook Viadeo Linkedin

Les activités prosélytes des témoins de Jéhovah soumises à la protection des données personnelles

 

La collecte de données personnelles effectuée par les membres d’une communauté religieuse dans le cadre d’une activité de prédication de porte-à-porte constitue bien un traitement de données personnelles au sens de la directive européenne, selon l’arrêt du 10 juillet 2018 de la Cour de justice de l’UE. Elle a estimé qu’il ne s’agissait pas d’un traitement pour l’exercice d’une activité purement personnelle ou domestique, ce qui aurait eu pour incidence de l’exclure du champ de la protection des données personnelles. La Cour a par ailleurs considéré qu’une communauté religieuse est co-responsable de traitement avec ses membres prédicateurs quand celui-ci est effectué « par ces derniers dans le cadre d’une activité de prédication de porte-à-porte organisée, coordonnée et encouragée par cette communauté, sans qu’il soit nécessaire que ladite communauté ait accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ces traitements. »
Cette affaire concerne la communauté des témoins de Jéhovah à qui la commission de protection des données de Finlande avait fait interdiction de collecter ou de traiter des données issues de son activité prosélyte de porte-à-porte effectuée par ses membres, sans que les conditions légales de traitement soient respectées. Le tribunal administratif d’Helsinki avait infirmé cette décision. Suite à un pourvoi de l’autorité de contrôle, la cour administrative suprême finlandaise avait posé trois questions préjudicielles à la CJUE.
La Cour a d’abord relevé que si la liberté de conscience religieuse est consacrée à l’article 10 de la Charte de l’UE, cet article n’a pas pour effet de conférer un caractère exclusivement personnel ou privé à l’activité de prédication en cause. Selon la Cour, l’activité telle que pratiquée en l’espèce dépasse la sphère privée d’un membre prédicateur d’une communauté religieuse, exception prévue par l’article 3 al. 2 de la directive. Elle constate que l’objet de cette activité est de répandre la foi de la communauté des témoins de Jéhovah auprès de personnes qui n’appartiennent pas au foyer des membres prédicateurs. Elle est donc dirigée à l’extérieur de la sphère privée de ces membres. Par ailleurs, certaines données étaient transmises aux paroisses de cette communauté pour s’insérer dans leurs listes de personnes ne voulant plus recevoir de visites desdits membres. Ces derniers rendent ainsi ces données accessibles à un nombre potentiellement indéfini de personnes.
La Cour finlandaise se demandait également s’il s’agissait, en l’espèce, d’un fichier. Pour la CJUE, cette notion « couvre un ensemble de données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte, comportant des noms et des adresses ainsi que d’autres informations concernant les personnes démarchées, dès lors que ces données sont structurées selon des critères déterminés permettant, en pratique, de les retrouver aisément aux fins d’une utilisation ultérieure. Pour qu’un tel ensemble relève de cette notion, il n’est pas nécessaire qu’il comprenne des fiches, des listes spécifiques ou d’autres systèmes de recherche. ».
Enfin, la communauté des témoins de Jéhovah remettait en cause le fait d’être co-responsable de traitement avec ses membres. La CJUE considère que : « une communauté religieuse comme étant responsable, conjointement avec ses membres prédicateurs, des traitements de données à caractère personnel effectués par ces derniers dans le cadre d’une activité de prédication de porte-à-porte organisée, coordonnée et encouragée par cette communauté, sans qu’il soit nécessaire que ladite communauté ait accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ces traitements. ». La directive prévoit que le responsable du traitement est celui qui détermine, seul ou conjointement, les finalités du traitement. Comme le relève la Cour, cette collecte de données et les traitements ultérieurs servent la réalisation d’un objectif de la communauté visant à diffuser la foi. Si les membres décident quelles données exactes font l’objet de la collecte et de quelles manières ils procèdent à leur traitement, ces actions sont néanmoins effectuées dans le cadre de l’activité de prédication, forme d’action essentielle de cette communauté organisée, coordonnée et encouragée par elle.

 
vendredi 06 juillet 2018
Facebook Viadeo Linkedin

FACTA : effacement des données d’un client indûment transférées aux USA

 

Quand une banque française croit qu’Ottawa se trouve aux Etats-Unis, cela peut avoir des conséquences fâcheuses pour un client qui se retrouve fiché, à tort, par les autorités fiscales américaines. Par une ordonnance de référé du 4 juillet 2018, le TGI de Grenoble a ordonné à la Banque Rhône-Alpes l’effacement total de toutes les données personnelles d’un client figurant par erreur dans un traitement dans le cadre de la loi américaine FACTA. Le Foreign Account Tax Compliance Act oblige les établissements bancaires du monde entier à déclarer aux autorités fiscales des Etats-Unis tout client considéré comme contribuable américain. Le tribunal a également ordonné à la banque de faire toutes les diligences à ses frais auprès des autorités fiscales américaines afin qu’elles procèdent à l’effacement de ses déclarations FACTA concernant le ressortissant français.
Un Français né à Ottawa, capitale du Canada, avait reçu un courrier de sa banque, la Banque Rhône-Alpes, lui demandant de confirmer qu’il présentait bien des critères d’ « américanéïté », en raison de son lieu de naissance et l’informant qu’elle déclarait donc l’existence de son compte aux autorités fiscales américaines. Le client a téléphoné à sa banque pour lui confirmer qu’il était né à Ottawa, au Canada. Malgré cette démarche, la banque a maintenu sa déclaration outre-Atlantique. Il a ensuite demandé la rectification par la banque qui s’y est opposée affirmant qu’il existe des villes du nom d’Ottawa aux Etats-Unis et qu’il ne justifiait pas ne pas être né dans ces villes. Finalement, et après fourniture d’un extrait de naissance, la banque s’est exécutée pour 2017 mais pas pour les années antérieures.
Se fondant sur les articles 39 et 40 de la loi Informatique et libertés, le client a assigné sa banque pour obtenir l’effacement des données en cause. Il s’agit d’un traitement automatisé de données personnelles qui avait été déclaré à la Cnil en tant que tel par la Banque Rhône-Alpes. La Commission avait par ailleurs autorisé la Direction générale des finances publiques à mettre en œuvre un traitement FATCA.