Résultats de recherche pour: contrat informatique

Etre en conformité avec le RGPD et l’accountability

Le Règlement général sur la protection des données (« RGPD ») est le nouveau texte phare en matière de protection des données personnelles  en Europe. Prévu pour entrer en application le 25 mai 2018, le délai de mise en conformité est court et pourtant trop peu d’entreprises sont au courant des dispositions en la matière.

NOUVEAU : Utilisez nos services pour faire retirer un contenu lié à la protection des données ou de contrefaçon en passant par le formulaire !

Le droit européen a instauré un cadre juridique qui se veut « stable » pour l’ensemble de l’Union européenne. Le texte a pour objectif, comme le rappelle la CNIL, de renforcer le droit des personnes au regard du traitement de leurs données à caractère personnel, tout en responsabilisant les traitants et sous-traitants de ces données.

Me CAHEN Murielle, Avocat, peut être choisi par une société pour être Avocat agissant en tant que délégué à la protection des données .

L’avocat  délégué à la protection des données  a un rôle de conseil et de sensibilisation sur les nouvelles obligations du règlement (notamment en matière de conseil et, le cas échéant, de vérification de l’exécution des analyses d’impact).

« Privacy by Design » signifie littéralement que la protection des données personnelles doit être prise en compte dès la conception du produit ou du service.

Besoin de l’aide d’un avocat pour un problème de rgpd ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Entré en vigueur en mai 2018, le règlement général sur la protection des données (RGPD) fêtera bientôt ses cinq ans. Qu’importe votre situation, si vous collectez des données, une démarche de mise en conformité au règlement devra être initiée.

Afin d’en saisir les contours, cette démarche peut s’appuyer sur la désignation d’un délégué à la protection des données qui se chargera de mettre en œuvre la conformité au règlement européen sur la protection des données pour votre organisme.

La promulgation de ce règlement a permis d’harmoniser le cadre juridique pour l’ensemble de l’Union européenne. Ce texte a, dans un premier temps, permis de renforcer le droit des personnes au regard du traitement de leurs données à caractère personnel.

Dans un second temps, le RGPD a été conçu pour être un rempart face aux dérives et aux risques que les traitements de données peuvent représenter. Pour se faire, il introduit de nouvelles obligations et de nouvelles notions. On pensera par exemple à la notion d’accountability et de privacy by design qui ont pour objectif de responsabiliser les organismes afin de rendre plus effective la protection des données.

Les données sont aujourd’hui des sources de valeur considérable. Elles représentent non seulement des actifs pour les entreprises, mais elles sont également un moyen d’assurer la continuité de leurs activités. Comme le souligne l’ENISA, entre 2021 et 2022, on comptabilise environ une attaque par rançongiciel toutes les onze secondes sur l’ensemble des entreprises situées sur le territoire européen.

Au regard des dangers qui pèsent aujourd’hui sur les entreprises, l’ensemble des dispositions du texte se devront d’être comprises par ces dernières (I) afin d’organiser de manière rapide et efficace leur mise en conformité (II).

I. Le cadre juridique instauré par le RGPD , le régime d’accountability et Privacy by Design

Le texte européen entré en vigueur le 25 mai 2018, prévoit de nouvelles obligations pour les entreprises et, plus largement, tous traitants ou sous-traitants de données à caractère personnel (a). Le non-respect de ces obligations entraîne désormais des sanctions plus lourdes que par le passé (b), dans une volonté non dissimulée d’atteindre un cadre harmonisé.

A) Des obligations nouvelles pour les entreprises et en particulier l’accountability et le « Privacy by Design »

L’entrée en vigueur du texte en mai 2018 renouvelle le cadre de la protection des données et des relations entre ceux qui les fournissent et ceux qui les traitent.

Selon son article 3, ce règlement a vocation à s’appliquer aux entreprises qui traitent des données à caractère personnel, que celles-ci soient établies sur le territoire de l’Union européenne (principe d’établissement) ou non, dès lors que les données traitées concernent les personnes qui se trouvent sur le territoire de l’Union européen (principe de ciblage).

Ce texte insère de nouvelles notions telles que la « Privacy by Design ». Définie à l’article 25 du RGPD, cette notion correspond à la prise en considération de la protection des données dès la conception d’un traitement. Il s’agit aussi bien de la mise en œuvre de mesures techniques et organisationnelles appropriées, telles que la pseudonymisation. Ces mesures sont destinées à mettre en œuvre les principes relatifs à la protection des données.

Elles s’accompagnent des principes énoncés par le règlement, tel que le principe de minimisation des données (notamment pour les données sensibles). Ces mesures visent à assortir le traitement des garanties nécessaires afin de répondre aux exigences fixées par le règlement et tendent à assurer une protection effective des données de la personne concernée.

D’autres points essentiels du ressortent du Règlement, à commencer par la « consécration » du droit à l’oubli. Pour commencer, le texte amène la « consécration  » du droit à l’oubli  » , déjà soutenu par la Cour de justice de l’Union européenne dans l’arrêt Google Spain qui précisait qu’un traitement de données pouvait devenir « avec le temps incompatible avec la directive lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées » .

Les données devront être conservées aussi longtemps que nécessaire et leur accès, leur modification, leur restitution jusqu’à leur effacement sur la demande des individus concernés, devront être garantis.

De même, le texte prévoit que les entreprises devront veiller à ce que seules les données nécessaires à la finalité en cause soient collectées.

Également, les entreprises devront s’assurer du consentement éclairé et informé des individus quant à la collecte et au traitement de leurs données, consentement qu’elles devront pouvoir recueillir et prouver.

Ainsi, les organismes à l’origine d’un traitement de données tel que défini à l’article 4 du règlement, se devront de respecter et d’établir, le cas échéant, les durées de conservation des données. Une liste de mesures à prendre en compte lors de l’établissement d’un traitement de données est disponible à l’article 5.

Par ailleurs, les organismes devront répondre aux demandes d’exercice des droits des personnes concernées. Énoncés au chapitre III, ils devront lorsque la demande en sera faite, garantir l’accès, la modification, la restitution voire l’effacement des données de la personne concernée.

De plus, ils devront à chaque traitement s’assurer d’avoir recueilli le consentement de la personne concernée comme prévu aux articles 7 et 8 du Règlement.

Pour qu’un traitement de données soit considéré comme licite lorsque le consentement n’est pas demandé, l’organisme doit s’assurer d’être dans son bon droit en établissant l’existence d’une base légale conformément à l’article 6.

Pour commencer, le traitement peut intervenir dans le cadre d’une relation contractuelle ou d’une obligation légale.  Il peut également être considéré comme licite lorsqu’il vise l’intérêt général ou la sauvegarde des intérêts vitaux d’une personne. Enfin, il peut s’agir du recours au motif légitime, condition abstraite et très peu utilisée en pratique.

Dans le cas contraire, le traitement (la conservation, l’utilisation, la revente, l’analyse, etc.), n’est pas licite et peut par conséquent faire l’objet de sanction.

Enfin, le texte prévoit également des mesures concernant le respect du droit à la portabilité des données, la mise en place d’un cadre strict pour un tel transfert en dehors de l’Union ainsi que l’obligation pour les entreprises d’informer le propriétaire des données ainsi que la CNIL d’une violation grave des données ou d’un piratage , dans les 72 heures.

B) Des risques accrus pour les entreprises en cas de non-conformité

Depuis l’entrée en vigueur du RGPD de nombreuses formalités auprès de la CNIL ont disparu. En contrepartie, la responsabilité des organismes a été renforcée. Ils doivent en effet assurer une protection optimale des données à chaque instant.

La tâche revient également aux entreprises, en marge des obligations précitées, de veiller à ce que les données soient à tout moment et en tous lieux sécurisés contre les risques de perte, de vol, de divulgation ou contre toute autre compromission.

C’est notamment le cas lors du choix des prestataires informatiques. Les organismes ont un devoir de vigilance et d’information envers les personnes concernées (autrement dit, les personnes dont les données font l’objet d’un traitement).

« Privacy by Design » signifie littéralement que la protection des données personnelles doit être prise en compte dès la conception du produit ou du service.

Pour toute violation de ces dispositions, le texte prévoit notamment des amendes administratives, pouvant s’élever jusqu’à 20 millions d’euros « ?ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent? ».

C’est également l’entreprise qui devra indemniser toute personne lésée matériellement ou moralement par un traitement non conforme de ses données, cette fois-ci sans plafonnement.

Si tel n’est pas le cas, une mise en conformité rapide de votre organisme s’impose donc.
Le RGPD a en effet pour but d’unifier le cadre légal européen en la matière, et tend même à obliger les plus réticents à « jouer le jeu » : on sait que les grandes entreprises comme Google ou Facebook ont déjà été, à plusieurs reprises, rappelées à l’ordre par les CNIL européennes. Les dernières décisions rendues en la matière témoignent de la volonté de faire respecter ce règlement.

La CNIL est venue sanctionner de nombreuses entreprises depuis l’instauration du RGPD, en raison de leur manque de mise en conformité avec le règlement. La sanction la plus importante fut celle de Google, dans une décision du 21 janvier 2019 où la CNIL a prononcé une amende d’un montant total de 50 millions d’euros.

Cette décision fut confirmée par le Conseil d’État dans une décision du 19 juin 2020, qui considère que l’amende de 50 millions d’euros n’était pas disproportionnée.

Après avoir effectué le bilan de son action répressive, la CNIL affirme que l’année 2021 a été un record tant par le nombre de mesures adoptées que par le montant cumulé des amendes, qui atteignait 214 millions d’euros.

L’année 2022 a aussi été marquée par une importante réforme des mesures correctrices de la CNIL, ce qui lui permet d’envisager un traitement plus rapide des plaintes (toujours plus nombreuses) et donc des sanctions.

Cette réforme témoigne de la volonté de donner plus de moyens à la CNIL et de durcir la répression cinq ans après l’entrée en application du RGPD.

Cette décision fut suivie de nombreuses autres amendes pour manquement au RGPD, mais jamais avec un montant aussi élevé. Ainsi dans une décision du 28 mai 2019, l’absence de contrôle des accès aux données conservées par un site internet fut sanctionnée à hauteur de 400 000 euros d’amende.

Dans une décision du 13 juin 2019, l’amende n’a pas dépassé 20 000 euros. Encore récemment, un manquement aux articles 32 et 33 du RGPD fut sanctionné par la CNIL à une amende de 3 000 euros. L’article 32 du RGPD prévoyant l’obligation d’assurer un niveau de sécurité adapté aux risques, en ayant recours à des mesures techniques et organisationnelles appropriées.

Une mise en conformité rapide des entreprises s’impose donc. Le RGPD a en effet pour but d’unifier le cadre légal européen en la matière, et tend même à obliger les plus réticents à « jouer le jeu », dans la lignée de la décision de la CNIL espagnole du 11 septembre dernier, qui a infligé à l’entreprise Facebook une amende administrative d’un montant de 1,2 million d’euros la collecte et le traitement (notamment à des fins publicitaires) de données sensibles sans le consentement des utilisateurs.

Mais il s’avère que les entreprises n’ont pas forcément conscience de la façon dont elles traitent leurs données, ni même plus généralement de l’intégralité des donnés qu’elles traitent et qui peuvent se trouver sur leurs bases de données .

Le RGPD ne doit pas être perçu comme une « obligation » qui s’impose aux entreprises, mais bel et bien comme un élément pour se démarquer du reste des prestataires. Repousser sa mise en conformité revient à repousser un gage de qualité.

Cette transition se doit donc d’être organisée, structurée efficacement, et plusieurs étapes méthodiques apparaissent efficaces dans le suivi de cet objectif.

II. Les étapes de la mise en conformité des entreprises aux nouvelles dispositions

Depuis l’entrée en vigueur de cette réglementation, il convient pour les entreprises et, plus largement, tout responsable de traitement ou sous-traitant de données à caractère personnel, d’initier si tel n’est pas le cas, un processus de mise en conformité. À cet égard, le délégué à la protection des données (A) jouera le rôle de celui en charge d’accompagner l’entreprise dans les différentes étapes (B) de cette transition.

A) Le délégué à la protection des données, « chef d’orchestre » de cette mise en conformité par rapport à l’accountability et le « Privacy by Design »

Même si elle n’est pas obligatoire pour tous les organismes, la désignation d’un pilote paraît essentielle au regard des tâches à accomplir par les entreprises dans le cadre de leur mise en conformité avec le RGPD.

On distingue plusieurs cas dans lesquels la désignation d’un délégué à la protection des données est obligatoire (article 37 du RGPD).

Ainsi la désignation est obligatoire pour les organismes publics et pour toute entreprise responsable du traitement de données sensibles ou de traitement à grande échelle doit désigner un délégué à la protection des données. Il peut s’agir par exemple des ministères, des collectivités territoriales ou encore des établissements publics. En avril 2022, ce sont vingt-deux communes qui ont été mises en demeure par la CNIL afin qu’elles désignent un délégué à la protection des données.

En outre, la désignation s’impose aussi pour les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle. Cela peut correspondre aux compagnies d’assurance ou aux banques pour leurs fichiers clients ou les fournisseurs d’accès internet.

Enfin, les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » (données biométriques, génétiques, relatives à la santé, la vie sexuelle, l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale) ou relatives à des condamnations pénales et infractions devront également procéder à la désignation d’un délégué à la protection des données.

Publié le 13 décembre 2016 par le G29, les lignes directrices concernant le régime du délégué permettent de caractériser cette idée de « grande échelle » sur des critères tels que le nombre de personnes concernées, le volume des données traitées, la durée de conservation et de traitement des données ou encore l’étendue géographique du traitement.

La désignation d’un pilote paraît essentielle au regard de la mise en conformité des entreprises avec le RGPD. Le délégué à la protection des données ( » DPO « ), au sein de l’entreprise, sera en charge de l’organisation des différentes missions à mener dans l’accomplissement d’un tel objectif.

La désignation de celui-ci est rendue obligatoire pour les organismes publics et pour toute entreprise responsable du traitement de données sensibles ou de traitement à grande échelle.

Néanmoins, la CNIL rappelle que si cette obligation n’incombe pas à certaines entreprises, il est « ?fortement recommandé? » d’effectuer une telle désignation, « le délégué (constituant) un atout majeur pour comprendre et respecter les obligations du règlement  » .

Il n’est en effet, pas toujours évident pour une personne étrangère à ce domaine de ne pas cerner les attentes ou les obligations qui découlent de la réglementation. Afin d’être désigné, le délégué doit nécessairement avoir des connaissances juridiques qui lui permettront de rendre intelligible la réglementation auprès de ses collaborateurs.

L’incendie du Datacenter d’OVH illustre parfaitement cette méconnaissance du droit des contrats informatiques. Outre la catastrophe s’abattant sur OVH, un grand nombre de clients avaient souscrit un contrat d’hébergement simple, laissant ces derniers sans possibilité de récupérer leurs données et causant parfois, d’importants préjudices (article avec Me Eric Barbry). La perte de données peut s’avérer fatale pour les plus petites structures, d’où l’importance d’établir un plan de reprise des activités. C’est pourquoi le délégué à la protection des données est un indispensable.

Il ne joue pas qu’un simple rôle de mise en conformité, il joue également un rôle de management des données ce qui permet à la société de comprendre les enjeux de la protection des données. Ce dernier incarne un véritable rôle de conseil, on pourrait presque parler d’un devoir d’information.

Comme le souligne l’article 38 du Règlement, le délégué à la protection des données doit être « associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel (5) ».

Précisé à l’article 39, ce « chef d’orchestre » aura la charge de l’organisation des différentes missions à mener dans l’accomplissement d’un tel objectifLe DPO n’a pas nécessairement à être membre de l’entreprise, puisqu’elle peut être liée avec lui sur la base d’un contrat de service. Il est soumis au secret professionnel ou à une obligation de confidentialité.

Le DPO devra jouer le rôle d’un coordinateur, à savoir comprendre et cerner les nouvelles obligations prévues par le texte, et guider le responsable du traitement en fonction.

Ceci étant, le délégué n’endosse pas la responsabilité d’une éventuelle non-conformité du traitant ou sous-traitant des données aux dispositions du Règlement?; il est fortement conseillé pour lui néanmoins de garder les traces de son travail par une documentation précise (notamment dans les cas où l’entreprise n’aurait pas suivi ses recommandations).

B) Les détails du processus de transition pour les entreprises

Une fois le DPO désigné, l’entreprise devra alors engager un processus de transition en trois étapes.

La première consiste à lister de manière précise et concise l’intégralité des données traitées, ainsi que les acteurs de ce traitement.

Pour ce faire, la tenue d’un registre des traitements peut être une solution : l’entreprise y consignera toutes les informations relatives aux traitements et aux traitants, à savoir la nature des données, leur provenance ou encore la manière dont elles sont traitées.

Cependant les registres de traitement sont allégés pour les entreprises de moins de 250 salariés.

Pour rappel, l’obligation de tenir un registre des traitements concerne tous les organismes, publics comme privés, et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.

Par la suite, il conviendra de prendre les mesures nécessaires pour garantir un traitement respectueux des nouvelles dispositions. Dans un premier temps, il conviendra de s’assurer que ces traitements s’appuient sur des bases légales toujours en vigueur et qu’ils respectent les droits des utilisateurs.

Dans un second temps, il s’agira de procéder à une vérification des mesures de sécurité déployées puis de s’assurer qu’ils respectent les principes liés à la transparence prévus par le texte.

À ce titre, une analyse d’impact sur la protection des données peut s’avérer pertinente : en effet ce type d’étude permet d’évaluer précisément les conséquences du traitement en vigueur dans l’entreprise sur la protection des données et le respect des droits des usagers.

Enfin, la dernière étape consistera pour l’entreprise en une consignation par écrit d’une documentation prouvant la conformité de l’entreprise à la nouvelle réglementation. Il s’agit du processus d’accountability qui se réalise au fur et à mesure de l’exécution des précédentes consignes. Ce processus permet de dresser l’état d’avancement de la mise en conformité en interne, de s’organiser plus facilement et d’assurer un respect en continu de la protection des données traitées.

L’accountability est une démarche permanente qui permet de prouver que le respect des règles fixées par le RGPD.

Pour lire une version plus complète sur la RGDP, cliquez

Sources :

(1) https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels
(2) http://www.ladn.eu/nouveaux-usages/etude-marketing/rgpd-entreprises-retard-lapplication-reglementation/
(3) Idem
(4)http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d0f130d531e9daf43fa64f7b82f3a43da182cc55.e34KaxiLc3eQc40LaxqMbN4PaNiMe0?text=&docid=152065&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=500062
(5) https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article37
(6) https://www.cnil.fr/fr/designer-un-pilote
(7) https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes
Décision CNIL 21 janvier 2019
https://www.cnil.fr/sites/default/files/atoms/files/san-2019-001_21-01-2019.pdf
Décision Conseil d’Etat, 19 juin 2020, n° 430810
https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2020-06-19/430810
Décision CNIL, 28 mai 2019, SAN-2019-005
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038552658/
Décision CNIL, 13 juin 2019, SAN-2019-006
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038629823/
Décision CNIL, 7 décembre 2020, SAN-2020-014
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042675720

Par Commerce electronique, internet-et-droit • Tags: , , , , , ,

Comment se défendre face au « revenge porn »?

Le revenge-porn est une pratique qui vient des Etats-Unis. Elle consiste à publier sur internet des images ou des vidéos pornographiques de son ex copain, ex-copine après une rupture amoureuse. Quels sont les recours si l’on est victime de cette pratique de la part de son ex ? Ce phénomène étant assez récent, que permet la loi en France ?

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Phénomène ayant pris une ampleur considérable ces dernières années avec l’omniprésence d’internet dans nos vies sociales , et la présence quasi systématique d’appareils photos intégrées dans les smartphones , le « revenge porn » ou la « pornodivulgation » , commence à être pris en considération par les législations à l’international, notamment aux États-Unis où de nombreux États ont légiféré à ce propos.

Originaire des États-Unis, la pratique a été interdite par la loi dans certains États dès 2004. Elle a pourtant été remise au bout du jour par le site « Is anyone up » créé en 2010 et fermé en 2012.

Besoin de l’aide d’un avocat pour un problème de revenge porn?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien

Afin de se prémunir de cette pratique, certains couples (américains) introduisent même des clauses sur l’utilisation des réseaux sociaux dans leur contrat de mariage.

En France, la pornodivulgation a été introduite dans le Code pénal à la suite de la promulgation de la loi pour une République numérique du 7 octobre 2016. Cette pratique constitue à présent un délit sévèrement sanctionné. Désormais condamné par l’article 226-2-1 du Code pénal, le Revenge porn n’a pas toujours fait l’objet de sanction par les juridictions pénales.

Dans un arrêt rendu le 16 mars 2016, la chambre criminelle de la Cour de cassation refusait, en vertu de l’article 111-4 du Code pénal, de procéder à une interprétation extensive de la loi pénale. Dans cette affaire, une jeune femme avait été photographiée par son ancien compagnon, à l’époque de leur vie commune, la représentant nue alors qu’elle était enceinte. Une fois séparer ce dernier avait diffusé la photographie sur internet.

La Cour d’appel avait relevé que le fait d’avoir accepté d’être photographiée ne signifie pas, compte tenu du caractère intime de la photographie, qu’elle avait donné son accord pour que celle-ci soit diffusée. Ce raisonnement emprunté à la logique civiliste de la protection de l’image n’a pas suffi à convaincre les juges de la haute juridiction.

La Cour de cassation a donc cassé l’arrêt au motif que « n’est pas pénalement réprimé le fait de diffuser, sans son accord, l’image d’une personne réalisée dans un lieu privé avec son consentement. »

Le fait de porter à la connaissance du public ou d’un tiers l’image d’une personne se trouvant dans un lieu privé n’était punissable que si la captation avait été réalisée sans le consentement de la personne concernée.

Or, la photo intime est souvent prise, ou obtenue avec le consentement de la personne concernée, mais diffusée sans son accord, et ceci pour lui nuire.

Cette interprétation stricte de la loi pénale a remué le monde politique, ce qui a conduit quelques mois après à l’adoption de la loi pour une République numérique. C’est l’article 67 de cette même loi qui a permis d’instaurer l’article 226-2-1 du Code pénal qui dispose :

Jusque-là ignoré de la loi pénale en France, le « revenge porn » est désormais un délit sévèrement sanctionné par le Code pénal. L’article 67 de la loi du 7 octobre 2016 a introduit un nouvel article 226-2-1 dans le Code pénal, la loi pour une République numérique, publiée le 7 octobre 2016 au Journal officiel qui dispose désormais :

« Lorsque les délits prévus aux articles 226-1 et 226-2 portent sur des paroles ou des images présentant un caractère sexuel prises dans un lieu public ou privé, les peines sont portées à deux ans d’emprisonnement et à 60 000 € d’amende. Est puni des mêmes peines le fait, en l’absence d’accord de la personne pour la diffusion, de porter à la connaissance du public ou d’un tiers tout enregistrement ou tout document portant sur des paroles ou des images présentant un caractère sexuel, obtenu, avec le consentement exprès ou présumé de la personne ou par elle-même, à l’aide de l’un des actes prévus à l’article 226-1 ».

Il est donc désormais possible d’intenter une procédure en cas d’images prises dans des lieux publics ou privés, avec ou sans le consentement des victimes, et diffusées sans son accord sur internet ou à des tiers. L’infraction peut cependant être caractérisée, quel que soit le moyen technique de diffusion employé (partage sur un réseau social, envoi par e-mail ou SMS).

C’est l’interprétation restrictive de la Cour de cassation de la notion de consentement.

Besoin de l’aide d’un avocat pour un problème de revenge porn?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien

La loi du 7 octobre 2016 sera complétée par la loi du 3 août 2018 portant sur le cyberharcèlement moral et le cyberharcèlement sexuel, qui prévoit deux infractions afin de sanctionner les personnes, qui se sont concertées ou non, qui cherchent à stigmatiser une ou plusieurs personnes identifiées et à leur nuire par des comportements répétés sur les réseaux sociaux. Ces comportements comprennent des actes portants atteinte l’identité, à l’intimité, à la dignité, à la réputation et à la tranquillité.

La Cour de cassation, avait ainsi estimé dans un avis rendu le 16 mars 2016 que l’atteinte à la vie privée n’était pas caractérisée si la photo avait été obtenue avec le consentement de la victime.

Or, la photo intime est souvent prise, ou obtenue avec le consentement de la personne concernée mais diffusée sans son accord, et ceci pour lui nuire. Il est donc désormais possible d’intenter une procédure en cas d’images prises dans des lieux publics ou privés, sans le consentement des victimes, et diffusées sur internet ou à des tiers.

Les victimes peuvent dans ce cas, déposer plainte dans un commissariat de police, ou déposer plainte devant le Procureur et ensuite devant un juge d’instruction si le diffuseur des images ou vidéos est inconnu, ou directement devant le tribunal correctionnel s’il est connu.

Finalement, la jurisprudence de l’arrêt du 16 mars 2016 s’est terminée avec la loi du 7 octobre 2016, qui a instauré l’article 226-2-1 du Code pénal, qui vient sanctionner le revenge porn à une peine de deux ans d’emprisonnement et à 60 000 € d’amende.

Cet article précise que « est puni des mêmes peines le fait, en l’absence d’accord de la personne pour la diffusion, de porter à la connaissance du public ou d’un tiers tout enregistrement ou tout document portant sur des paroles ou des images présentant un caractère sexuel, obtenu, avec le consentement exprès ou présumé de la personne ou par elle-même ». Ainsi, même si la captation avait été autorisée, la diffusion peut être sanctionnée pénalement, contrairement à ce qu’avait prévu l’arrêt du 16 mars 2016.

Quels actes sont assimilés à du « Revenge Porn » ?

La pornodivulgation peut prendre diverses formes.

Le Revenge porn intervient souvent à la suite d’une rupture mal vécue. L’auteur agit alors en « représailles » et cherche à culpabiliser et à humilier sa victime.

Dans certains cas, cette pratique est utilisée pour soutirer de l’argent. Ce phénomène est très répandu chez les célébrités notamment à travers la pratique de chantage à la sextape.

L’auteur de Revenge porn peut aussi « simplement » s’amuser à montrer les images à ses amis. Souvent, les images ou vidéos ont été obtenues dans une relation de confiance, avec l’accord de la victime.

Cette vengeance ou pornodivulgation, englobe à la fois les images et vidéos échangées, mais également les propos à caractère sexuel qu’on appelle aussi sexting. Même si l’on retient le plus souvent les images et vidéos, les échanges tenus dans un cadre privé tombent sous le coup de ce délit aggravé s’ils sont diffusés sans le consentement de l’intéressé.

Quel est le profil psychologique des personnes qui s’adonnent à ce genre de pratiques ? Dans quel cas font-elles ça ?

Les personnes qui diffusent, sans leur consentement, des photos intimes de leur victime, le font très souvent dans un but de vengeance immédiate, sans mesurer les conséquences graves que cela peut avoir sur la victime.

Il peut s’agir de personnes tout à fait normales, mais qui ont eu un moment d’égarement quand elles se sont senties rejetées par la victime, très souvent dans le cadre d’une rupture non désirée.

Que faire lorsque l’on est victime de Revenge porn ?

Dans un premier temps, il est conseillé d’effectuer des captures d’écran afin de matérialiser un dossier de preuve. Une plainte peut également être déposée auprès d’un commissariat de police ou d’une brigade de gendarmerie.

Lorsque l’identité de l’auteur est connue, il est également possible de signaler son profil auprès de la plateforme PHAROS. Mise en place le 16 juin 2009 par le Gouvernement français, elle permet de signaler des contenus et comportements en ligne illicites.

Des lignes téléphoniques ont également été mise en place. Il est possible de citer le 30 18. Ce numéro d’écoute est destiné aux jeunes victimes et/ou aux témoins de cyberharcèlement et de toutes formes de violences sur internet. Il peut s’agir de Revenge porn, de chantage à la webcam, d’usurpation d’identité, etc.

Sur quels autres fondements les victimes peuvent-elles faire condamner ces pratiques ?

Les victimes peuvent faire sanctionner la diffusion non consentie de leur image, tant sur le plan civil au regard du droit au respect de la vie privée, que sur le plan pénal, lorsque la diffusion porte atteinte à l’intimité de la vie privée.

Ainsi, l’article 9 du code civil, fondement français du droit au respect de la vie privée, permet aux victimes d’obtenir le prononcé d’une réparation financière et le retrait, sous astreinte, du contenu qui leur porte préjudice. Les juges considèrent qu’un individu a sur son image et sur l’utilisation qui en est faite un droit exclusif. Par conséquent, peu importe que des photographies soient prises avec le consentement des intéressés. Le consentement à la fixation n’emporte pas consentement à la diffusion.

Ces affaires peuvent-elles accélérer les demandes des victimes en faveur du droit à l’oubli sur internet ?

Aussi souvent appelé « droit à l’oubli », le droit au déréférencement était déjà prévu par la Directive 95/46/CE, et est aujourd’hui intégré au Règlement général à la protection des données. Ce droit a été renforcé par les dispositions de l’article 17 du RGPD, et a notamment été étendu aux mineurs (article 40 de loi informatique et libertés modifié par l’article 63 de la loi pour une République numérique de 2016).

Il est ainsi prévu par le règlement que « La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais ».

Le droit au déréférencement permet de lutter contre la publication de données à caractère personnel qui porte atteinte aux droits fondamentaux de la personne ou à sa vie privée. Il permet de faire supprimer un ou plusieurs résultats fournis par un moteur de recherche à l’issue d’une requête effectuée à partir de l’identité (nom et prénom) d’une personne.

Cela correspond à l’idée selon laquelle un individu peut avoir commis une faute à un moment de sa vie, sans pour autant être marqué par celle-ci pour l’éternité.

Il n’est pas nécessaire de passer par la case tribunal afin de demander le retrait d’un résultat sur un moteur de recherche. Depuis la décision de la CJUE en date du 13 mai 2014, les moteurs de recherche se sont dotés de formulaire de demande de désindexation afin de prendre directement en charge ses demandes.

Chaque demande de déréférencement est appréciée au cas par les moteurs de recherche. Pour ce faire, les moteurs de recherches procèdent à une mise en balance entre les atteintes aux droits fondamentaux, au respect de la vie privée et à la protection des données que sont susceptibles de provoquer les traitements de données, par rapport au droit à l’information et au droit de la presse.

Ainsi, un cas de Revenge porn peut tout à fait être pris en compte dans le cadre d’une demande de droit à l’oubli ou de droit à l’image protégé par le droit à la vie privée (article 9 du Code civil, ordonnance de référé du 12/05/2017 TGI Paris), pour demander le déréférencement d’URL.

De plus, dans une décision du 20 novembre 2018, le Revenge porn fut sanctionnée sur le fondement de l’article 9 du Code civil, portant sur le droit à la vie privée. En effet, il a été considéré que la diffusion des photographies à caractère sexuel, portait atteinte à l’honneur et à la considération de la personne.

Il vous est donc possible de demander aux moteurs de recherche de déréférencer un résultat qui porterait atteinte à votre vie privée et qui ne présenterait aucun intérêt pour l’information du public, critères que le Revenge porn remplit.

Sources :

http://www.lexpress.fr/actualite/societe/revenge-porn-la-vengeance-des-ex_1628679.html#
http://www.france24.com/fr/20141203-porn-revenge-porno-vengeur-photos-nue-sexe-publication-facebook-condamnation-prison-justice/
http://www.village-justice.com/articles/Publication-non-consentie-photos,17744.html
http://www.enquete-debat.fr/archives/observatoire-de-la-delation-site-porno-jemevenge-com
LOI n° 2016-1321 du 7 octobre 2016 pour une République numérique
https://www.legifrance.gouv.fr/loda/id/JORFTEXT000033202746/
LOI n° 2018-703 du 3 août 2018 renforçant la lutte contre les violences sexuelles et sexistes
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000037284450
TGI de Bobigny, ch.5/sec.3, jugement contentieux du 20 novembre 2018
https://www.legalis.net/jurisprudences/tgi-de-bobigny-ch-5sec-3-jugement-contentieux-du-20-novembre-2018/
Cour de cassation, criminelle, Chambre criminelle, 16 mars 2016, 15-82.676 : https://www.legifrance.gouv.fr/juri/id/JURITEXT000032263441/
https://www.education.gouv.fr/non-au-harcelement/faire-face-au-sexting-non-consenti-et-au-revenge-porn-325394
https://www.gouvernement.fr/actualite/harcelement-agressions-violences-trois-numeros-pour-aider-les-enfants-en-danger
https://en.wikipedia.org/wiki/Is_Anyone_Up%3F

Par Contenu-d-un-site, internet-et-droit • Tags: , ,

CLOUD COMPUTING ET RISQUES JURIDIQUES

Le Cloud Computing a fait émerger, en dépit de son caractère récent, une foule de questions notamment sur les avantages, mais surtout sur les risques liés à ce Cloud Computing. Alors doit-on se méfier ou au contraire approuver le Cloud ?

Le monde est fait de révolutions industrielles et de « modes » 1990 : le PC Windows, 2000 : Internet dans les entreprises, et… 2010 : le Cloud Computing !

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Le Cloud Computing ou « l’informatique dans les nuages », fait référence à une technique de service informatique qui permets aux utilisateurs tiers d’accéder aux ressources Internet d’un hébergeur, sans être contraints d’acquérir ou de louer le matériel informatique ou le logiciel ou encore de conclure des contrats de maintenance et de prestation de services y afférents. Plus précisément, cette technologie permet d’utiliser la puissance de serveurs informatiques à distance par l’intermédiaire d’un réseau.

Le National Institute of Standards and Technology (NIST) définit le cloud computing comme étant « l’accès via un réseau de télécommunications, à la demande et en libre-service, à des ressources informatiques partagées configurables ».

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Les multiples utilisateurs peuvent partager certaines données, générer automatiquement leurs propres fichiers et communiquer en ligne avec des tiers auxquels ils auront préalablement autorisé l’accès auxdites données, et ce, grâce à un système d’authentification (mot de passe et codes d’authentification. Mais l’usage de cet outil novateur que constitue le Cloud Computing contient, en son sein, des risques juridiques liés à la protection des données qu’il permet de traiter.

Dans ce sens, le début de la première initiative s’était concrétisé par le partenariat entre les entreprises Intel, Hewlett Packard et Yahoo! fin juillet 2008 dans le but de promouvoir la recherche dans ce domaine du Cloud Computing. On parlait alors de « cloud computing test bed », ayant pour objectif de créer un « environnement distribué » à l’échelle mondiale, permettant notamment la recherche sur les logiciels et le matériel informatique, ainsi que la centralisation de données.

Ensuite, le gouvernement américain suivait cette ligne en lançant le 22 novembre 2010 sa politique de « cloud prioritaire ».

Aujourd’hui, les services de cloud computing, qui déjà lancés par un certain nombre de sociétés dont Amazon et Google, et même Microsoft avec sa plateforme cloud Azure qui répond déjà aux attentes des développeurs, pourraient bien révolutionner l’informatique des entreprises.

Le cloud computing, permettant désormais d’externaliser l’utilisation de la mémoire ainsi que les capacités de calcul d’ordinateurs et de serveurs répartis dans le monde entier, offre en effet aux entreprises une formidable puissance informatique s’adaptant de surcroît à la demande. Mais le cloud computing présente également un certain nombre de risques juridiques dont il convient de se prémunir dans le cadre d’un contrat adapté.

Les dépenses mondiales en services de cloud computing devraient augmenter de 23 % en 2023, selon un récent rapport de CanalysLes réalités de la dégradation des conditions macroéconomiques et de la récession imminente ont entraîné un ralentissement du volume et du rythme de la migration vers le cloud au quatrième trimestre, notamment de la part des entreprises, qui ont généralement des charges de travail plus importantes.

Il s’agit d’une technique qui diffère des contrats classiques d’outsourcing aux termes desquels un prestataire tiers sera en charge du traitement technique des données (données personnelles comprises).

Le droit français et la majorité des lois nationales relatives à la protection des données personnelles au sens de la directive n° 95/46/CE du 24 octobre 1995, considèrent en principe ce prestataire tiers (hébergeur du système de Cloud Computing) comme un sous-traitant des données agissant conformément aux instructions d’un responsable du traitement des données.

Le RGPD, dans son article 28, impose l’existence d’un contrat liant le responsable de traitement, à savoir le client, et le sous-traitant qui n’est autre que le prestataire de services de cloud.

Néanmoins, il peut s’avérer que cette qualification peut s’avérer plus complexe comme ses conséquences sur le plan contractuel. L’affaire Swift, concernant une société de droit belge, qui assure le transfert de fonds internationaux à des établissements financiers, témoigne de cette complexité.

La société Swift prétendait qu’elle était le sous-traitant des données en question lorsqu’elle exportait des données personnelles et des données financières hors de l’Union européenne dans le cadre d’opérations financières. Et la Justice belge a en effet considéré que les établissements financiers impliqués dans ces opérations étaient les responsables des données personnelles en question et que Swift devait ainsi être considéré comme sous-traitant de ces données de fait et délégué desdits établissements financiers. Cette affaire révèle assez clairement les risques juridiques qu’entretient l’innovation du Cloud Computing.

Enfin, le cloud permet à l’entreprise de s’affranchir des contraintes traditionnelles (la bonne appréciation du nombre de serveurs, de la capacité nécessaire) et d’avoir une approche modulaire en fonction des besoins. Sur le plan juridique, on se rapproche du cas dans lequel une entreprise déciderait d’externaliser tout ou partie de son système d’information.

Une démarche prudente consiste en l’appréhension des risques et la prise des mesures nécessaires à la garantie la continuité du service, la sécurité des données, la qualité du service, la réversibilité… Finalement, la question liée à la confidentialité doit rester une préoccupation centrale. Ces différents sujets sont très similaires à ceux de l’outsourcing. Donc, dans l’ensemble, des réponses existent déjà et pourraient être mises en œuvre.

Il conviendra donc d’exposer ce qu’est le concept de cloud computing (1), pour ensuite définir et se prémunir des risques juridiques liés à son utilisation (2).

I. Qu’est-ce que le cloud computing ?

Il convient de définir le cloud computing (A), ainsi que ses avantages (B).

A) La définition du cloud computing

Le cloud computing présente un concept récent permettant d’utiliser de la mémoire et des capacités de calcul d’ordinateurs et de serveurs répartis dans le monde entier et liés par un réseau tel Internet. Le cloud computing permet ainsi de disposer, à la demande, de capacités de stockage et de puissance informatique sans disposer matériellement de l’infrastructure correspondante.

Le cloud computing est la prestation de services informatiques (comme des logiciels, des bases de données, des serveurs et des réseaux) sur Internet. Cela signifie que les utilisateurs finaux peuvent accéder aux logiciels et aux applications, peu importe où ils se trouvent. Pour les utilisateurs, le « Cloud » est synonyme de connexion permanente à des applications web, au stockage de données, au traitement et à d’autres ressources informatiques.

L’infrastructure du fournisseur est ainsi totalement autonome et déconnectée de celle du client, ce qui permet à ce dernier de s’affranchir de tout investissement préalable (homme ou machine). L’accès aux données et aux applications peut ainsi se faire à partir de n’importe quel périphérique connecté, le plus souvent au moyen d’un simple navigateur Internet.

Il existe également des clouds computing publics qui constituent des services partagés auxquels toute personne peut accéder à l’aide d’une connexion Internet et d’une carte de paiement, sur une base d’utilisation sans abonnement. Ce sont donc des infrastructures virtualisées que se partagent plusieurs utilisateurs.

Les clouds privés (ou d’entreprise), quant à eux, ils tendent à reprendre le même modèle de distribution des clouds computing publics, à la différence qu’ils sont détenus et gérés de manière privée, l’accès pouvant être limité à une seule entreprise ou à une partie de celle-ci. Ces derniers peuvent ainsi apparaître comme plus sûrs en termes de sécurité, de stabilité, de confidentialité et de persistance des données.

Globalement, le cloud computing constitue une nouvelle forme d’informatique à la demande, à géométrie variable, que l’on pourrait classer d’un point de vue juridique, au croisement des services d’externalisation, et des services ASP et SaaS.

En effet, les services d’externalisation (ou « outsourcing ») consistent à confier la totalité d’une fonction ou d’un service à un prestataire externe spécialisé, pour une durée pluriannuelle. Grâce à de tels contrats, le client peut s’exonérer des contraintes de gestion et de maintenance d’un système informatique.

Les services « ASP » (pour « Application Service Provider ») dérivent des contrats d’outsourcing. Sauf que dans les contrats ASP, le client ne fait que louer un droit d’accès et d’utilisation du système informatique auprès du prestataire. Le client dispose ainsi d’un accès à distance à des applications sur un serveur extérieur, ce qui le dispense d’acquérir lui-même une infrastructure informatique, des licences d’utilisation de progiciels etc.

Les services SaaS (pour « Software As A Service »), sont quant à eux des dérivés des contrats ASP dont ils constituent une forme particulière (application personnalisée), en externalisant le système informatique du client, auquel celui-ci à accès exclusivement par Internet.

B) Les apports du cloud computing

L’adoption du Cloud a été rapide et globale. A l’origine, les trois principes raison qui envoient les entreprises à adopter les services Cloud sont : la flexibilité de la fourniture des services, les équipements géographiques et l’offre.

En effet, le Cloud computing offre la possibilité d’étendre le système d’information d’une entreprise à la simple demande de celle-ci, en fonction de l’utilisation attendue (pics d’activité, pics de fréquentation, etc.).

Les services fournis dans le cadre du cloud computing sont vastes. L’entreprise peut notamment bénéficier d’une capacité de traitement de l’information (sans acquérir des ordinateurs et ressources nécessaires), d’infrastructures informatiques (de type réseaux), de capacités de stockage et d’archivage (sans avoir à se doter de serveurs spécifiques) mais aussi d’applications informatiques (sans avoir à acquérir les licences correspondantes).

Ainsi, le cloud computing permet, sans investissement majeur en termes d’infrastructure et de dépenses en capitaux, de bénéficier d’un service à moindre coût fondé sur la consommation, de type « pay-per-use », et par suite d’optimiser la gestion des coûts d’une entreprise.

De ce fait, le prix d’un tel service est calculé en fonction de la consommation effective d’une entreprise, tout comme pour l’utilisation du gaz ou de l’électricité. L’entreprise achète en quelque sorte la possibilité d’utiliser de la puissance informatique sur demande.

Au-delà du service en lui-même, les avantages du cloud computing, résident donc d’une part dans la simplicité et la rapidité de mise en œuvre dudit service, et d’autre part dans la grande flexibilité liée à l’offre sur demande que celui-ci permet.

Enfin, il convient de noter que techniquement, il est possible de mettre n’importe quelle application dans un cloud computing. Néanmoins, ses usages principaux concerneront essentiellement le management lié aux nouvelles technologies, la collaboration, les applications personnelles ou d’entreprise, le développement ou le déploiement des applications et enfin les capacités serveurs et de stockage.

A titre d’illustration, Microsoft a investi des centaines de millions de dollars cette année pour construire et améliorer les centres de données (le dernier, ouvert à Chicago, compte 300000 serveurs !) qui rendent ses ambitions de cloud computing possibles. Malgré la crise économique, Microsoft a investi 9 milliards de $ en R&D, 10 % de plus que l’année dernière, et les spécialistes prédisent déjà que le géant américain, malgré les critiques faites à son encontre, sera l’acteur le plus prééminent et le plus rentable en la matière.

Le cloud computing constitue donc un service mutualisé et virtualisé, dont le coût varie uniquement en fonction de l’utilisation effective, qu’il conviendra d’encadrer spécifiquement sur un plan juridique.

 

II . Les risques juridiques liés à l’utilisation du cloud computing

Les principaux risques juridiques du cloud computing sont inhérents aux données (A). Il convient de s’en prémunir dans des contrats sécurisés (B).

A) La sécurité et la sécurisation des données

Le cloud computing se base sur l’hypothèse selon laquelle la majeure partie de l’informatique s’effectue sur une machine souvent distante qui diffère de celle en cours d’utilisation. Les données recueillies lors de ce processus sont stockées et traitées par des serveurs distants (aussi connus sous le nom de « serveurs Cloud »), ce qui signifie que l’appareil qui accède au Cloud est moins sollicité.

Ces serveurs libèrent la mémoire et la puissance de calcul des ordinateurs personnels puisque ce sont eux qui hébergent les logiciels, les plates-formes et les données. Les utilisateurs accèdent aux services Cloud de manière sécurisée : il leur suffit d’utiliser les identifiants transmis par le fournisseur de cloud computing.
Comme le cloud computing implique d’héberger la charge de travail de l’ordinateur d’un utilisateur sur une machine différente, le Cloud est donc accessible partout et disponible dès lors qu’une connexion Internet l’est également.

Certaines sociétés ont leur propre infrastructure Cloud pour conserver les données utilisateur (Google dispose par exemple de ses propres serveurs, tout comme Salesforce). Toutefois, un Cloud peut aussi consister en un nombre restreint d’ordinateurs. Ainsi, il existe des Clouds publics et privés, qui peuvent être autohébergés ou hébergés par un tiers. Pour les Clouds privés, les utilisateurs doivent disposer de plates-formes ou de sessions appropriées (comme un navigateur web ou un compte en ligne) pour pouvoir accéder aux serveurs et aux données qu’ils contiennent.

La mise en place de services de cloud computing n’est pas sans risques, notamment au regard de la sécurité et de sécurisation des données. En effet, l’accès aux données et aux applications est réalisé entre le client et la multiplicité des serveurs distants. Ce risque se trouve donc amplifié par la mutualisation des serveurs et par la délocalisation de ceux-ci.

L’accès aux services induira donc des connexions sécurisées et une authentification des utilisateurs. Se posera alors le problème de la gestion des identifiants et celui des responsabilités (accès non autorisé, perte ou vol d’identifiants, niveau d’habilitation, démission ou licenciement, etc.).

Il existe également un risque de perte de données qu’il conviendra de prendre en considération, d’évaluer et d’anticiper dans le cadre de procédures de sauvegarde adaptées (stockage dans des espaces privés, en local, en environnement public, etc.). De même, il existe également des risques au regard de la confidentialité des données (fuites), vu le nombre de serveurs et la délocalisation de ceux-ci.

De surcroît, la réalisation des services de cloud computing étant assurée par un prestataire externe, celle-ci comporte des risques au regard de la qualité de service obtenue, et de la propriété et de l’intégrité des données et/ou applications confiées, risques qu’il conviendra donc de prévoir contractuellement.

En outre, la mise en place de ce type de service peut parfois s’avérer onéreuse. Il existe en effet des risques financiers liés aux outils de contrôle servant à évaluer la consommation du cloud computing, et sa facturation. Il conviendra ainsi de définir contractuellement une unité de mesure du stockage, et des ressources informatiques utilisées, ou encore du nombre d’utilisateurs actifs, afin que cela reste avantageux pour l’entreprise concernée.

Finalement, la mise en place de services de cloud computing fait naître pour l’entreprise un certain nombre de risques au regard des données personnelles et des formalités imposées par la CNIL. Ces risques sont aggravés en cas de transfert de données hors de l’Union européenne (UE). La rédaction de contrats de cloud computing devra donc également prendre en considération ces problématiques.

En effet, le contrat doit tenir compte de ces contraintes, d’autant que le fait de confier ses données à un sous-traitant n’exonère pas le responsable du traitement de ses obligations. Cette question prend une ampleur particulière, car les serveurs sont délocalisés et le client n’a pas à connaître la localisation des serveurs.

Cependant, la loi impose, pour les transferts de données à caractère personnel hors de l’Union européenne, des formalités d’autorisation. Il est donc prudent d’imposer au prestataire de cloud computing soit un engagement de maintenir ses serveurs au sein de l’Union européenne, soit de veiller à être bien informés dans le cas d’un transfert hors Union européenne.

Il convient de distinguer entre les données personnelles telles que définies par le Règlement général sur la protection des données (RGPD) et les données commerciales non personnelles. Le RGPD, dans son article 4, définit les données personnelles comme toute information relative à une personne physique identifiée ou identifiable de manière directe ou indirecte par référence à des éléments qui lui sont propres. Sachant que les données à caractère personnel sont protégées par ce règlement, les données commerciales, quant à elles, sont régies par les dispositions de la loi n° 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires et plus précisément en vertu l’article L151-1 du Code de commerce. (1)

B) Les précautions juridiques nécessaires à la rédaction d’un contrat de cloud computing

Il conviendra d’un point de vue général de mettre en place, pour pallier les risques précédemment évoqués, comme dans le cadre de tout projet d’externalisation, une convention de niveau de service, également appelée « SLA » (pour « Service Level Agreement »), permettant au client d’obtenir du prestataire une qualité de service convenue contractuellement.

En outre, la convention pourra comporter des indications quant aux attentes du client relatives à la réalisation des obligations du prestataire et notamment instaurer un système de malus ou de pénalités.

Il s’avère primordial de contractualiser un plan de réversibilité permettant d’assurer le transfert des services à d’autres prestataires, et ce, pour assurer une pérennité des services de cloud computing.

Plus particulièrement, il conviendra de prévoir les facteurs déclencheurs de cette réversibilité (carence du prestataire, libre choix du client après un certain nombre d’années), les conditions de cette réversibilité (simple discontinuité du service, ou arrêt total du service) et enfin le coût de celle-ci.

Il sera préconisé de prévoir la réplication des données sur plusieurs sites distants ou l’obligation de résultat de restauration des données dans des délais contractuels définis afin de palier leur perte. L’accord de Cloud Computing devra aussi stipuler une garantie de paiement d’une indemnité aux personnes physiques concernées par les données personnelles, en cas de traitement illicite ou de perte de ces dernières.

Le contrat prendra soin de préciser que l’ensemble des traitements ne seront opérés par l’hébergeur que sur instructions et contrôle des utilisateurs, c’est-à-dire sans prise d’initiative sans instructions expresses des utilisateurs considérés comme responsables de traitements.

En ce qui concerne l’intégrité et de la confidentialité des données, il pourra être prévu une clause d’audits externes, chargés d’une mission de contrôle acceptée par l’hébergeur du service. Notons aussi qu’il conviendra de s’assurer de la bonne rédaction de la clause de responsabilité du contrat, et d’encadrer tout particulièrement la traçabilité, l’accès frauduleux, l’atteinte à l’intégrité, voire la perte de données sensibles.

Mais s’agissant plus particulièrement les données sensibles que sont les données personnelles, le client pourra exiger que celles-ci restent localisées sur des serveurs exclusivement situés dans l’UE et prévoir les moyens de contrôle de cette obligation.

Le client s’exonérera ainsi d’un ensemble de formalités CNIL liées au transfert de données personnelles en dehors de l’UE. Pour se prémunir, il pourra aussi stipuler une interdiction pour l’hébergeur de regrouper, ou de stocker sur des serveurs identiques, un fichier de données avec d’autres fichiers comportant des données dites sensibles (par exemple : des fichiers comportant des informations bancaires et financières).

Enfin, nouveau modèle d’intégration de services informatiques, utilisables à la demande via Internet, reposant sur l’hébergement et l’accès à distance, attractif pour les entreprises, le cloud computing reste complexe à maîtriser.

Naturellement le bénéficiaire du cloud computing aura intérêt à s’assurer que le contrat de cloud comporte une clause intuitu personae, à encadrer autant que possible les conséquences de la disparition de son cocontractant.

Il conviendra par conséquent pour les entreprises de mettre en place un cadre contractuel adapté. L’encadrement juridique est en effet primordial pour prévenir les risques liés à ce service, qui, d’ici 2020, permettra aux entreprises de faire migrer l’essentiel de leurs applications dans les « nuages ».

Cela étant, il est intéressant d’évoquer le Cloud Act (Clarifying Lawful Overseas Use of Data Act) qui avait été adopté, le 8 mars 2018, par le Congrès américain. Ce Cloud Act permet aux agences de renseignement américaines ou aux forces de l’ordre d’obtenir les informations stockées dans les serveurs des opérateurs de télécoms et des fournisseurs de services de Cloud computing.

En effet, les prestataires de services sont obligés de communiquer « les contenus de communications électroniques et tout enregistrement ou autre information relative à un client ou abonné, qui sont en leur possession ou dont ils ont la garde ou le contrôle, que ces communications, enregistrements ou autres informations soient localisés à l’intérieur ou à l’extérieur des États-Unis ». (2)

Suivant l’exemple américain, les instances européennes ont entamé le travail sur un Cloud Act européen ayant pour objectif l’établissement d’un cadre juridique permettant d’instaurer une souveraineté de l’Union européenne sur son propre cloud. Ces mesures se justifient par les difficultés de mises en œuvre inhérentes au recours au cloud. Comme l’a formulé Frédéric Forster : « Si le recours au cloud a la particularité d’être aisé et convivial, il ne se heurte toutefois pas à des difficultés juridiques de mise en œuvre, voire à des convoitises dont il est évidemment indispensable qu’elles soient régulées et coordonnées ». (3)

Pour lire une version plus complète de cet article sur les risques juridiques du cloud computing, cliquez

Sources

Par internet-et-droit • Tags: , , , ,

Comment protéger un nom de domaine ?

La question de la protection du nom de domaine est sur toutes les lèvres tant son importance pour les entreprises est fondamentale pour leurs activités économiques.

NOUVEAU : Pour évaluer efficacement tous les risques juridiques liés aux noms de domaine, vous pouvez utiliser le service d’audit de nom de domaine mis en place par le cabinet Murielle-Isabelle CAHEN : cliquez !

Dénué de définition légale, le nom de domaine peut être défini comme une « adresse » qui permet de retrouver facilement, d’identifier, et d’authentifier l’émetteur d’un site Internet sans devoir apprendre par cœur des séries de chiffres difficiles à mémoriser.
Les noms de domaine disposent soit d’un suffixe ou extension générique (.com, .net, .org, .gouv), soit d’un suffixe géographique (.fr., .eu). Ils sont également composés d’un ou plusieurs termes. Le préfixe « www. » ne fait pas partie du nom de domaine.

Que ce soit lors de la création d’une entreprise ou le lancement d’une marque, le choix d’une adresse internet adéquate, dit nom de domaine, se pose immédiatement. Après vérification de sa disponibilité puis enregistrement auprès d’un prestataire, il est nécessaire de bien le protéger.

Avec le développement du commerce électronique, le nom de domaine joue un rôle dans la vie économique, commerciale et sociale, identifiant et désignant les personnes, les entreprises et les différents établissements présents sur le Web, ainsi que les produits et les services qu’ils offrent aux internautes.
Le nom de domaine étant assez proche de la marque, la démarche de recherche d’antériorité est la même (notamment grâce au site de l’Institut national de la propriété industrielle ). Au-delà de la vérification que le nom de domaine n’est pas déjà enregistré, il faut également veiller à ce que le signe choisi ne porte pas atteinte à d’autres droits, comme, notamment, une marque ou un nom de famille.

Si la marque s’acquiert par l’enregistrement effectué par l’INPI, la dénomination sociale s’acquiert par l’enregistrement au registre du commerce et des sociétés, le nom commercial et l’enseigne s’acquièrent par l’usage, le nom de domaine s’acquiert par l’enregistrement auprès d’un organisme chargé de l’enregistrement.
Par ailleurs, la réservation du nom de domaine ne lui confère pas une protection au titre de la propriété intellectuelle, le nom de domaine ne correspondant pas à une marque, qui est un titre de propriété intellectuelle protégé après son dépôt.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Toutefois, parce qu’il constitue pour les entreprises un identifiant distinctif sur le réseau sous lequel celles-ci peuvent communiquer et s’attacher une clientèle, on pourrait dire que la réservation préalable supposerait une protection du nom de domaine contre toutes atteintes dont il serait l’objet. En effet, il faut relever que même lorsque la création n’est pas protégée par un droit de propriété intellectuelle, les tiers ne peuvent pour autant, sous prétexte de l’absence de protection, exploiter l’innovation ou la création en invoquant le principe, pourtant exact, suivant lequel « les idées sont de libre parcours ».

En outre, avant d’enregistrer un nom de domaine, il faut vérifier sa disponibilité. A cet effet, des outils de recherche sont disponibles sur les sites des organismes chargés de l’enregistrement . La demande s’effectue auprès d’un bureau d’enregistrement qui est une société prestataire de service accréditée par l’AFNIC . Le nom de domaine choisi sera protégé, selon la charte de nommage de l’AFNIC. Aussi est-il bon de rappeler que la protection du nom de domaine sera valable pour une période d’un an à compter de son enregistrement et devra donc être prolongée pour pouvoir bénéficier de la protection au titre des signes distinctifs. Il en existe environ 400 en France.

Un nouveau règlement européen qui porte sur les noms de domaine comportant l’extension .eu a vu le jour. Il s’agit du règlement nº 517/2019 du 19 mars 2019 dit règlement EURID et qui entre en vigueur le 14 mai 2020.

Ce règlement introduit une extension européenne réservée aux citoyens européens et aux personnes établies dans l’Union européenne.

Ce texte européen prévoit des principes fondamentaux qui régissent l’enregistrement, le blocage, la révocation et le transfert des noms de domaine s’agissant de l’extension .eu. Toutefois, cette protection européenne qu’il institue demeure dépendante, à titre complétif, du droit national des États membres auxquelles elle renvoie à cette fin. (1)

Il est nécessaire de vérifier que le nom que vous prévoyez d’enregistrer ne soit pas trop proche de celui d’un de vos concurrents afin que cela ne prête pas à confusion avec votre entreprise ou site web. Vous pouvez en quelques clics vérifier la disponibilité d’un nom de domaine. Si le nom rêvé est déjà pris, et que les coordonnées de son titulaire actuel sont accessibles en ligne, n’hésitez pas à entrer en contact avec lui pour entamer des négociations.

 

Par ailleurs, des pirates informatiques peuvent tenter d’accéder à la gestion de votre nom de domaine afin de modifier les serveurs de noms, le titulaire ou encore le bureau d’enregistrement auquel il est rattaché… Votre site peut alors subir un « défaçage » (modification) de ses pages, en général la page d’accueil, ou votre adresse email être utilisée à des fins malveillantes.

5 conseils pour éviter ces attaques :

  1. Enregistrer et gérer vous-même le nom de domaine ou assurez-vous que votre prestataire vous indique bien comme titulaire, avec vos coordonnées à jour. Ainsi, vous en gardez la maîtrise et serez prévenu de tout renouvellement nécessaire. Votre prestataire pourra agir, lui, en tant que contact technique.
  2. Mettre en place le renouvellement automatique et contrôler votre moyen de paiement pour éviter que votre nom de domaine ne soit enregistré par quelqu’un d’autre après son expiration. Pour les extensions génériques géographiques comme le .fr, vous pouvez enregistrer votre nom pour une période allant jusqu’à 10 ans.
  3. Utiliser un mot de passe unique et robuste pour la gestion de votre nom de domaine, complété d’une double authentification (réception d’un code unique sur votre mobile ou action à effectuer sur une application mobile) pour sécuriser l’accès à votre interface de gestion.
  4. Sécuriser l’adresse e-mail de gestion du nom de domaine.
  5. Limiter le nombre de personnes ayant accès à la gestion du nom de domaine et les sensibiliser aux risques de social engineering (stratégie des cybercriminels pour manipuler des personnes par la persuasion). Il s’agit, par exemple, d’éviter qu’un collaborateur puisse donner accès au nom de domaine ou fasse des modifications non souhaitées.

Et si votre site internet représente un canal stratégique réalisant un fort chiffre d’affaires, il existe 2 services complémentaires pour le protéger :

  • Activer le protocole de sécurisation DNSSEC sur votre nom de domaine pour protéger de bout en bout les données authentifiées. Cela prévient les risques de cache poisoning, l’empoisonnement des serveurs DNS qui permet de détourner le trafic d’un site.
  • Protéger le nom de domaine avec une solution de verrouillage au plus haut niveau de sécurité (celui du registre, soit l’Afnic pour le .fr par exemple) avec un service de registry lock comme .FR Lock. Cela vous protège notamment du hijacking (piratage du nom de domaine) en rendant impossible toutes les opérations et les mises à jour pouvant affecter le bon fonctionnement du nom de domaine à votre insu.

Ces services peuvent être souscrits auprès de votre bureau d’enregistrement.

Pour aller plus loin, voici 2 bonnes pratiques pour rassurer vos clients en ligne et leur donner confiance en votre site web et vos communications :

  • Installer un certificat SSL sur le nom de domaine, une sécurité indispensable pour les sites de commerce en ligne. Un certificat SSL (Secure Sockets Layer) garantit que la transaction est sécurisée et cryptée de bout en bout.
  • Paramétrer les adresses e-mail de l’entreprise avec votre nom de domaine pour les échanges avec vos clients. Le libellé de l’e-mail est un indice rassurant pour les utilisateurs quand le nom de l’entreprise qu’ils connaissent est clairement identifiable.

Cependant, il conviendrait de se poser la question de savoir si l’enregistrement du nom de domaine confère la pleine jouissance à son acquéreur. Le cas échéant, quelles sont les actions à mener pour protéger un nom de domaine ?
Il nous reviendra d’analyser les conditions d’opposabilité du nom de domaine aux tiers (I) avant d’exposer les mécanismes de protection (II).

I) Les conditions d’opposabilité du nom de domaine

Si le principe du « premier arrivé, premier servi » assure à la personne qui réserve un nom de domaine la titularité dudit nom de domaine, la simple réservation d’un nom de domaine ne lui confère aucun droit.

La jurisprudence dorénavant bien établie exige en effet deux conditions cumulatives pour qu’un nom de domaine confère à son titulaire des droits opposables aux tiers : le nom de domaine doit être exploité de manière effective (A) et il ne doit pas être purement générique ou descriptif des produits ou services proposés sur le site internet correspondant (B).

A) Exploitation effective du nom de domaine

L’exploitation du nom de domaine est une condition préalable de sa protection. La réservation de nom de domaine ne confère aucun droit à son titulaire avant l’exploitation effective de ce nom de domaine. Il s’agit d’une formalité technique, qui n’implique aucune définition des catégories de biens ou de services qui seront proposés par le site Internet correspondant.

La protection du nom de domaine à ce titre suppose son exploitation effective. Le Tribunal de Grande Instance de Nanterre précise qu’un nom de domaine internet peut également constituer une antériorité au sens de l’article L. 711-4 du code de la propriété intellectuelle , sa protection résultant de l’usage qui en est fait, en pratique, de son exploitation effective (Tribunal de Grande Instance de Nanterre, 2e chambre, 4 novembre 2002, n° 01/07878).

Il convient de noter que l’article L. 711-4 du code de la propriété intellectuelle a été abrogé par l’ordonnance n° 2019-1169 du 13 novembre 2019 transposant directive 2015/2435 du « Paquet Marques ».

Cela dit, l’article L. 711-3 tel que modifié par ladite ordonnance dispose que : « Ne peut être valablement enregistrée et, si elle est enregistrée, est susceptible d’être déclarée nulle une marque portant atteinte à des droits antérieurs ayant effet en France, notamment (…) 4º  (…) un nom de domaine, dont la portée n’est pas seulement locale, s’il existe un risque de confusion dans l’esprit du public ». En d’autres termes, il s’agit d’une reconnaissance de la qualité d’antériorité au nom de domaine. (2)

Dans le même sens, la jurisprudence a également décidé dans un arrêt en date du 14 janvier 2003 que si le nom de domaine « pere-noel.com » peut être rangé dans la catégorie des signes distinctifs susceptibles d’être protégés, encore faut-il que son titulaire en démontre une exploitation effective et antérieure à la date du dépôt de la marque Pere-noel.com et Pere-noel.fr (Tribunal de Grande Instance de Lons-le-Saunier, 14 janvier 2003, n° 01/00509).

La Cour d’appel d’Aix-en-Provence, dans un arrêt datant du 4 juillet 2019, énonce que : « Un nom de domaine constitue un signe distinctif » (3).

De surcroît, dans un arrêt datant du 15 janvier 2019, la Cour d’appel de Paris, à son tour, rajoute que : « le nom de domaine et l’enseigne, au regard de leur valeur commerciale, constituent des signes distinctifs bénéficiant d’une protection juridique autonome contre l’usage postérieur d’un signe identique ou similaire par un tiers non autorisé en vertu du droit commun de la responsabilité civile » (4).

D’un autre côté, la Cour d’appel, dans un arrêt récent du 28 février 2020, sur la base d’une comparaison faite entre l’activité du titulaire du nom de domaine « lovelyfamily.fr » et les secteurs d’activités visés par le dépôt de la marque « Lovely Family » ainsi qu’en se fondant sur une observation selon laquelle le consommateur d’attention moyenne pourrait être amené considérer la marque comme une déclinaison des identifiants antérieurs, avait considéré que le nom de domaine « lovelyfamily.fr » constituait une antériorité opposable à la marque « Lovely Family ». (5)

Cela implique, en corollaire, que l’usage d’un nom de domaine soit considéré en lui-même comme une antériorité opposable aux tiers désireux d’employer ultérieurement le même signe à des fins commerciales. Et c’est ainsi, d’ailleurs, que les juridictions du fond commencent à voir les choses. En particulier, dans une espèce où un nom de domaine avait été enregistré par une société avant qu’une autre entreprise ne dépose le même signe comme marque, le Tribunal de grande instance du Mans, le 29 juin 1999, a annulé l’enregistrement de la marque pour indisponibilité du signe en raison de l’antériorité du nom de domaine. Décision inaugurale, elle témoigne bien du souci désormais affiché par les juges de protéger directement le nom de domaine en faisant prévaloir les droits de son attributaire sur ceux acquis postérieurement par le déposant d’une marque.

C’est au regard de l’ensemble de ces conditions de protection du nom de domaine que certains auteurs arguent que la protection dont bénéficie le titulaire d’un nom de domaine « est un droit autonome qui, formellement, naît de l’enregistrement du nom de domaine auprès des autorités compétentes, mais qui s’acquiert, substantiellement, par son usage sur le réseau ».

Besoin de l’aide d’un avocat pour un problème de nom de domaine ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien

Exemple concret de jurisprudence : Cour de cassation (com.), 5 juin 2019, n° 17-22.132, Dataxy c/ Département de Saône-et-Loire.

En l’espère, la chambre commerciale approuve la cour d’appel qui a constaté que la reprise du signe « saône et loire » pour des services similaires était de nature à créer un risque de confusion dans l’esprit du consommateur, en laissant accroire à une origine commune des services offerts. Elle a pu en déduire que la société requérante ne démontrait pas une exploitation des noms de domaine litigieux afin d’offrir des services en rapport avec le territoire du département de Saône-et-Loire, et que celle-ci n’avait aucun intérêt légitime à obtenir le renouvellement à son bénéfice des enregistrements correspondants.

B) L’inopposabilité des noms de domaine génériques

Au-delà de la première condition d’exploitation du nom de domaine, la jurisprudence impose comme deuxième condition d’opposabilité aux tiers que le nom de domaine soit distinctif, en d’autres termes, qu’il ne soit pas générique ou purement descriptif des produits ou services proposés sur le site internet accessible depuis ce nom de domaine.

Bien qu’il ne conditionne pas l’enregistrement d’un nom de domaine, le caractère distinctif influe en effet sur sa protection . Le nom de domaine est protégé, en France, sur le fondement de l’action en concurrence déloyale, elle-même issue de l’action en responsabilité délictuelle de droit commun.

Distinctif, assimilé à un nom commercial ou une enseigne, le titulaire du nom de domaine pourra empêcher sur le terrain de la responsabilité civile, tout autre dépôt d’un nom quasi identique, dans la même extension. Il sera protégé comme un nom commercial sur la base des mêmes critères. (Cour d’Appel Paris, 14e chambre A, 25 mai 200, n° 2005-280879).

Par ailleurs, tous les noms de domaine ne s’apparentent pas à des signes distinctifs, en ce sens que certains d’entre eux, par leur caractère descriptif ou générique, ne permettent pas d’identifier l’origine des produits ou services auxquels ils sont associés. Si l’absence de distinctivité d’un signe ne fait pas obstacle à son exploitation, son titulaire ne pourra pas, néanmoins, se prévaloir de la protection du droit des marques ou du droit de la concurrence déloyale.

Le déposant d’un nom de domaine a donc tout intérêt à choisir un terme distinctif au regard de l’objet de son site s’il souhaite, une fois le nom enregistré, pouvoir se défendre contre l’usage par des tiers d’un signe postérieur identique ou similaire.

par des tiers d’un signe postérieur identique ou similaire.

Deux affaires relatives aux noms de domaines génériques ont marqué la jurisprudence.

Com.20 février 2007, n° 328

Absence de faute dans l’usage, à titre de nom de domaine d’un nom commun compris dans une marque (Com. 23 janv. 2007)

Avec cet arrêt de rejet, la Cour de cassation confirme les bonnes dispositions des juridictions en faveur des titulaires de noms de domaines génériques

Com. 23 janvier 2007, n°77 F-D

Absence de préjudice du propriétaire d’une marque renommée constituée d’un nom commun du fait de son emploi dans un nom de domaine (Com. 20 févr. 2007)

La société Décathlon avait échoué dans son action en justice en France contre les exploitants polonais d’un site accessible par le nom « decathlon.pl » (CA Paris, 15 déc. 2004, Juriscom.net,

Le terme decathlon figurait dans le contenu du site litigieux, ainsi que des dessins humoristiques à caractère vulgaire ou à connotation sexuelle, accompagnés de légendes en langue polonaise, tournant en dérision des sportifs pratiquant des épreuves du décathlon. Selon la demanderesse, cela était de nature à engager la responsabilité de ses adversaires qui, soutenait-elle, portaient atteinte à sa marque notoire, ainsi qu’à sa dénomination sociale et à son enseigne.

II) Protection des noms de domaines

Si les marques doivent rester très vigilantes quant à l’usurpation ou au détournement par des internautes cherchant à exploiter leur attractivité, le nom de domaine quant à lui, sauf à ce qu’il soit déposé en tant que marque, ne bénéficie pas en lui-même d’une protection par la propriété intellectuelle. Il faut ainsi agir sur le terrain de la concurrence déloyale (A), de l’action en contrefaçon (B) ou du parasitisme (C).

A) L’action en concurrence déloyale

Il ne fait aucun doute que le nom de domaine est protégé, en droit positif, par la théorie de la concurrence déloyale, laquelle ne constitue qu’une application de l’article 1240 du Code civil.

L’action en concurrence déloyale produit les mêmes effets civils que l’action en contrefaçon : interdiction d’exploiter le signe litigieux et indemnisation du préjudice subi sous forme de dommages-intérêts.

Cependant, depuis la loi n° 2008-3 du 3 janvier 2008 pour le développement de la concurrence au service des consommateurs, modifiée par l’ordonnance n° 2016-301 du 14 mars 2016 l’article L. 121-2 du Code de la consommation peut également servir de fondement à l’action visant à protéger le nom de domaine. Désormais, une pratique commerciale est trompeuse « Lorsqu’elle crée une confusion avec un autre bien ou service, une marque, un nom commercial ou un autre signe distinctif d’un concurrent ».

Cette définition est essentielle, puisque l’article L. 121-2 est assorti de sanctions pénales (article L. 132-2 du Code de la consommation anciennement article 121-6 du même code  et s’applique également « aux pratiques qui visent les professionnels ».

La protection du nom de domaine est donc assurée, outre par la concurrence déloyale, par les pratiques commerciales trompeuses.

Ce chevauchement n’a toutefois que peu de portée en droit civil. Quel que soit son fondement, l’action obéit toujours au droit commun de la prescription ainsi qu’aux mêmes règles de compétence juridictionnelle. L’action peut simplement être fondée soit sur l‘article 1240 du Code civil , soit sur l’article L. 121-2 du Code de la consommation.

Dans cette deuxième hypothèse, elle peut alors être exercée par un consommateur isolé, une association de consommateurs ou même un concurrent qui ne serait pas victime de la confusion.

En droit pénal, le texte semble plus protecteur, car l’article L. 121-2 du Code de la consommation va cependant plus loin en interdisant certains actes de concurrence déloyale contrairement au texte, qui en matière civile interdit les pratiques commerciales qui créent « une confusion » avec un signe distinctif.

En ce qui concerne le droit de l’Union européenne, le règlement 2019/517 concernant la mise en œuvre et le fonctionnement du nom de domaine de premier niveau .eu, énonce dans son considérant 19 qu’un « nom de domaine identique ou qui prête à confusion avec un nom pour lequel un droit est établi par le droit de l’Union ou le droit national et qui a été enregistré sans droits ou en l’absence d’un intérêt légitime au nom devrait, en principe, être révoqué et, le cas échéant, transféré au titulaire légitime. Lorsqu’il a été constaté qu’un tel nom de domaine a été utilisé de mauvaise foi, il devrait toujours être révoqué ».

La Cour d’appel de Paris, dans un arrêt rendu le 17 décembre 2019, l’affaire portait sur une radio M Développement qui était titulaire de la marque « MFM – Montmartre » ainsi que de la marque « MFM », de la marque française semi-figurative en couleur MFM et de divers noms de domaine, notamment mfmradio.fr. Radio Madras FM, une autre radio, qui émet principalement aux Antilles, avait utilisé la marque « MFM » et a fait enregistrer les noms de domaine mfmradio.fm et mfmtv.tv.

La Cour d’appel de Paris a confirmé la décision du tribunal judiciaire, rendue le 9 février 2017, qui avait énoncé que l’utilisation d’une marque déposée antérieurement pour l’émission d’une radio est interdite et constitue un acte de concurrence déloyale alors même que cette émission de radio se fasse en Outremer et ne concurrence pas de façon directe la radio possédant la marque, émettant en métropole. (6)

B) L’action en contrefaçon

La contrefaçon est l’atteinte portée à un droit de propriété intellectuelle. Une action en justice permet de la sanctionner et d’y mettre un terme, l’action en contrefaçon.

L’enregistrement d’une marque (ou de ses déclinaisons) en tant que nom de domaine est de mauvaise foi lorsque son auteur avait connaissance de la marque et de l’intérêt légitime du tiers à l’enregistrement de celle-ci en tant que nom de domaine. Celui-ci peut être sanctionné sur le terrain de la contrefaçon s’il y a une redirection vers des sites de produits identiques ou concurrents et de la concurrence déloyale pour atteinte au nom commercial, au nom de domaine et à la dénomination sociale (Tribunal de Grande Instance de Paris, 28 juin 2012).

De surcroît, dans l’affaire mentionnée ci-dessus (CA Paris, pôle 5, ch. 1, 17 déc. 2019), la Cour d’appel avait considéré que la diffusion par le biais des box internet des actes de promotion et d’exploitation de la télévision numérique MFM TV était constitutive de contrefaçon de la marque MFM et de dépôt frauduleux de la marque MFM TV.

On peut tout de même, dans les deux affaires, s’interroger sur la condamnation pour contrefaçon de l’auteur de l’enregistrement du nom de domaine dans la mesure où il ne commercialise pas les produits ou services en cause. Lorsque le titulaire du nom de domaine commercialise aussi des produits similaires, la contrefaçon est retenue.

L’article 716-6 alinéa 2 du Code de la propriété intellectuelle prévoit la possibilité de l’ouverture d’une action en contrefaçon en précisant « mais aussi à l’encontre « des intermédiaires dont il utilise les services ». Cette formulation permet donc d’introduire une action à l’encontre du registrar afin d’obtenir le gel du nom de domaine voire la radiation du nom de domaine contrefaisant, ou encore son transfert au profit du demandeur.

C) Action parasitaire

À défaut d’être éligible à une protection par un droit de propriété intellectuelle, spécialement si l’originalité du site n’est pas suffisamment prononcée, le propriétaire du site n’est pas dépourvu de moyen de défense en cas de copie à l’identique ou quasiment à l’identique, par le concepteur d’un autre site, des éléments qui constituent ses caractéristiques spécifiques.
C’est sur le terrain des agissements parasitaires ou du parasitisme que le propriétaire peut se placer pour en contester l’imitation servile par un tiers qui tirerait profit du travail réalisé par le primoconcepteur. Rappelons que le parasitisme consiste, pour un opérateur économique, à se placer dans le sillage d’une entreprise en profitant indûment des investissements consentis ou de sa notoriété. Ainsi conçu, c’est un moyen de relayer, sur le fondement de la responsabilité civile, l’absence de droit de propriété intellectuelle sur une réalisation.

La Cour de cassation, notamment, en fait application pour sanctionner l’imitation des éléments caractéristiques d’un parfum quand on sait qu’elle n’admet pas que celui-ci soit protégé par le droit d’auteur (Cassation Commerciale, 4 février 2014, n° 13-11.044).

Pour lire une version plus complète de cet article sur les noms de domaine, cliquez sur le lien

SOURCES :

Sources :

Par internet-et-droit • Tags: , , ,

«< 5 6 7 8 9 >»

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

© Murielle Cahen Cabinet d’avocats Paris 2024
Powered by WordPressThemify WordPress Themes