préjudice

RGPD : la question du consentement

Comme chacun sait, le 25 mai 2018, est une date butoir non seulement pour tous les acteurs du numérique, mais aussi et plus largement pour toutes les entreprises, leur mise en conformité au nouveau grand texte européen en matière de données personnelles devant être assurée d’ici là.

Le règlement général sur la protection des données (« RGPD », ou « GDPR » en anglais), à cette échéance, sera applicable dans tous les États membres de l’Union européenne. Et s’il est des notions essentielles au sein du texte, c’est bien celle du consentement.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de vie privée en passant par le formulaire !

En effet, le législateur a pu considérer que, compte tenu de l’importance grandissante des interactions numériques entre les personnes, la gestion des données en découlant devait être encadrée précisément, et que la question du consentement constitue effectivement le « cœur névralgique » de ce contrôle : «le consentement fait figure d’élément-clé de la conformité des traitements mis en œuvre puisqu’il s’agit du meilleur moyen pour que les personnes puissent contrôler les activités de traitement portant sur leurs données » .

Il importe donc, deux mois avant l’arrivée du RGPD, de prendre pleinement conscience de la portée des dispositions afférentes au consentement, en abordant successivement les obligations liées à la nature même du consentement requis (I) et les obligations relatives à sa valeur (II)

I. Les conditions relatives à la nature du consentement requis

Le caractère libre et éclairé (A), autant que le caractère express du consentement (B), sont de ces critères ayant été approfondis par le nouveau texte européen.

A) L’obligation d’un consentement libre et éclairé

Le règlement général sur la protection des données parle du consentement, comme d’une « manifestation de volonté libre […] ». Tout en reprenant le terme, déjà soutenu au sein des textes antérieurs, le législateur a cependant fait le choix d’un encadrement concis, au regard de ce principe.

Ainsi, le texte prévoit que la personne concernée dispose du droit de retirer son consentement quand elle le souhaite, aussi simplement qu’elle l’a accordé, et doit être informée de cette possibilité. Ce retrait ne remet pas en cause, pour autant, la licéité du traitement fondé sur le consentement précédemment donné, pour la période allant jusqu’au dit retrait.


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien


Par ailleurs, cette liberté signifie également que la personne ne doit pas être contrainte « d’abandonner » son consentement, notamment sous le joug du préjudice éventuel qui pourrait découler de son refus : « le consentement est présumé ne pas avoir été donné librement en cas de déséquilibre […] si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice » .

Le texte précise également que « le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel ».
Dans une décision du 21 janvier 2019, la CNIL vient sanctionner Google à hauteur de 50 millions d’euros, et va venir préciser la notion de consentement. La CNIL définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

>En l’espèce, le consentement a été qualifié d’équivoque, car le consentement était recueilli par défaut, il appartenait à l’utilisateur de faire une démarche active pour retirer son consentement. La CNIL va également préciser qu’en l’espèce, le consentement n’était pas éclairé, car les informations sur le traitement des données personnelles étaient « excessivement disséminées dans des documents distincts et qu’elle n’est, à ce titre, pas aisément accessible ».

Enfin, l’article 4 du RGPD fait part du caractère « éclairé et univoque » du consentement, quand la directive 95/46 parlait, elle, de « manifestation informée ».

B) L’obligation d’un consentement explicite

L’article 4 du Règlement, déjà cité, fait allusion au caractère « express » du consentement, en ce que celui-ci doit découler d’une décision « par laquelle une personne concernée accepte, par une déclaration ou par un acte positif clair » le traitement de ses données.

Cette formulation constitue une différence clef entre les « anciens textes » et celui à paraître, puisque la directive 95/46 omet toute mention en ce sens. A contrario, le RGPD souligne expressément « qu’il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité.

Attention, il convient de bien différencier la case cochée par défaut, de la case à cocher, qui constitue en soi l’expression d’un consentement express au sens du texte susvisé.

De même, l’acceptation d’un contrat ou de conditions générales ne rend pas compte d’un tel consentement éclairé, tandis qu’un accord donné par voie écrite, orale ou électronique vaudra acceptation, tant que le sens d’une telle action n’est pas ambiguë.

Si la pratique du « double opt-in » est avancée par le G29 dans ses conclusions, elle demeure non seulement facultative, mais paraît également inefficace à certains égards : « ce double opt-in […] est lourd à mettre en place. Il est bien évidemment redouté notamment par les professionnels du marketing qui savent que la collecte d’un consentement impliquant deux actions positives d’un prospect ou d’un client est très illusoire », la plupart des utilisateurs étant peu enclins à communiquer deux fois leur consentement.
Un arrêt de la CJUE du 1er octobre a été rendu sur la notion de consentement explicite, et la CJUE est venue rappeler que le recueil du consentement doit être explicite avant tout traitement des données personnelles, ainsi le consentement doit être donné activement et expressément au site web par les utilisateurs. En l’espèce, la CJUE considère que le consentement recueilli n’est pas explicite, car la case était cochée par défaut, et l’utilisateur devait décocher cette case pour refuser de donner son consentement. Par ailleurs, la CJUE dispose dans cet arrêt que le consentement doit être spécifique ce qui n’est pas le cas en l’espèce, car le bouton de participation au jeu promotionnel « ne suffit pas pour considérer que l’utilisateur a valablement donné son consentement au placement de cookies. »

II. Les conditions relatives à la valeur du consentement requis

La valeur du consentement récolté dépendra principalement de deux facteurs : son fondement (A), qui caractérise sa nécessité, et sa matérialisation, nécessaire au responsable de traitement en matière de preuve (B).

 A) L’importance du fondement du traitement

Il paraît évident que tous les développements précédents, relatifs au consentement des personnes, s’appliquent avant-même la récolte des données personnelles en question.

Pour autant, il convient de distinguer les différentes situations sur la base desquelles le consentement est requis.

En effet, si l’article 6 du RGPD prévoit le régime général des dispositions relatives au consentement, l’article 7, en son paragraphe 4, dénote d’un régime particulier en ce que « au moment de déterminer si le consentement est déterminé librement, il y a lieu de tenir le plus grand compte de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat » .

Ainsi, et comme le rappelle assez justement le G29, « si le traitement n’est pas nécessaire à l’exécution du contrat, cette exécution ne peut être conditionnée par le consentement au traitement ».

À l’évidence, un traitement rendu obligatoire pour la bonne exécution d’un contrat n’implique donc pas le recueil du consentement quant à un tel traitement.

Il est essentiel de garder à l’esprit, par ailleurs, que le fondement de la licéité du traitement ne peut être modifié après que les données ont été recueillies et traitées. De fait, si un problème se pose quant à la conformité du traitement, il est impossible, pour le responsable de traitement , de basculer sur un autre régime pour justifier le traitement en question.

B) La charge de la preuve

La preuve, au regard de telles exigences, est primordiale. C’est le premier paragraphe de l’article 7 du RGPD qui en précise l’aménagement, en rappelant que « dans le cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant ».

Suivant ces dispositions, la charge de la preuve incombe donc au responsable de traitement, qui devra démontrer par des arguments convaincants le respect du consentement des personnes concernées par le traitement.

Cette dernière précision fait notamment écho aux traitements obligatoires pour la bonne exécution des contrats, où la preuve devra être jugée comme « suffisante ».

Pour autant, le texte ne donne pas plus d’indications concernant la forme de la preuve. Des avis sont cependant fournis par des institutions nationales, à l’image de l’autorité de protection des données du Royaume-Uni, l’« ICO » (« Information Commissionner’s Office ») , qui conseille de conserver toute trace relative aux personnes concernées, à la date et aux méthodes de consentement, etc.

D’un côté, cette souplesse pourrait inquiéter au sujet des éventuelles dérives relatives à la collecte et la réutilisation de ces données ; pour autant, est-il pertinent de cloisonner ce type de preuve, au risque d’une rigidité certaine du texte ?

Quoi qu’il en soit, ces dispositions sont encore à l’étude, et il conviendra d’en observer la pratique pour en comprendre réellement l’étendue. Rendez-vous le 25 mai prochain.

Pour une version plus détaillée sur le RGDP et le consentement, cliquez sur les mots RGDP et consentement

SOURCES :
http://www.avistem.com/fr/le-rgpd-en-focus-focus-2-le-recueil-du-consentement
http://www.privacy-regulation.eu/fr/r43.htm
https://cnpd.public.lu/content/dam/cnpd/fr/actualites/national/2017/10/séances-information–gdpr/gdpr-info-sessions-fr-11h05-consentement.pdf
https://www.cnil.fr/fr/reglement-europeen/lignes-directrices
http://www.privacy-regulation.eu/fr/r32.htm
https://fr.mailjet.com/rgpd/consentement/
http://www.privacy-regulation.eu/fr/7.htm
https://ico.org.uk/media/about-the-ico/consultations/2013551/draft-gdpr-consent-guidance-for-consultation-201703.pdf

Délibération, 21 janvier 2019, SAN-2019-001
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038032552/
CJUE, 1er octobre 2019, C-673/17
https://curia.europa.eu/juris/document/document.jsf;jsessionid=CA644C7436D43DA19729CD95998C7383?text=&docid=218462&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=6352664

Plagiat d’un site internet

Le plagiat est défini par le dictionnaire Larousse comme étant un « Acte de quelqu’un qui, dans le domaine artistique ou littéraire, donne pour sien ce qu’il a pris à l’œuvre d’un autre »(1).

Le terme juridique traduisant le plagiat est la contrefaçon (articles L335-2 et suivant du code de propriété intellectuelle(2)).

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Dans l’arrêt rendu le 7 mars 2017 par la première chambre de la Cour d’appel de Paris, les juges opèrent une analyse minutieuse des demandes d’indemnisation relatives au plagiat d’un site internet d’une entreprise par son concurrent.

En l’espèce, la Sarl Sound Strategy, spécialiste dans la communication sonore de l’entreprise, propose depuis 2009 des messages vocaux destinés à l’accueil téléphonique des PME via son site internet www.studio-lowcost.com. Ce site permet au client d’accéder à des enregistrements standards ou personnalisés. Son dirigeant et actionnaire majoritaire M.X a découvert que l’entreprise du second associé M.Y, qui se trouve être dirigeant et actionnaire majoritaire de Sas Concepson, dispose d’un site internet concurrent www.myphonestudio.com analogue au sien.

La société Sound Strategy  a assigné le 25 avril 2014 la société Concepson  devant le tribunal de commerce de Paris en concurrence déloyale et parasitisme.


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien


Elle avait par ailleurs demandé une indemnisation à hauteur de 73.742 euros à titre de préjudice économique ainsi que d’ordonner à la défenderesse de publier sur la page de son site pendant une durée d’un mois à compter de la signification de la décision un encadré avec les mentions  » Condamnation de la société Concepson pour concurrence déloyale parasitaire …  »

Nous allons procéder à l’analyse de décision de la cour d’appel (II) après avoir étudié les préjudices retenus en première instance (I).

I- Préjudice économique et concurrence déloyale parasitaire

A- Les éléments constitutifs d’une action en concurrence déloyale et parasitisme :

En l’absence de droit privatif, la règle est de recourir au droit commun afin de se faire indemniser le préjudice subi. L’action issue de ce droit commun et relative au règlement des litiges commerciaux entre deux concurrents est l’action en concurrence déloyale ou encore le parasitisme.

Ces deux actions nécessitent en vertu des articles 1240 et 1241 du code civil (ancien article 1382 et 1383), la réunion de trois éléments à savoir une faute, un préjudice et un lien de causalité entre les deux.

Une décision du 6 décembre 2019 va venir définir le parasitisme comme « Les actes de concurrence parasitaire, qui peuvent être définis comme l’ensemble des comportements par lesquels un agent économique s’immisce dans le sillage d’un autre afin de tirer profit, sans rien dépenser, de ses efforts et de son savoir-faire, engagent la responsabilité de leur auteur. ». Le TGI de Nancy rappelle également dans cette décision que le parasitisme est caractérisé par une faute et un risque de confusion dans l’esprit de la clientèle.

La concurrence déloyale est, elle, définie dans un arrêt du 12 février 2020 comme des actes créant un avantage concurrentiel pour son auteur, au détriment de ses concurrents. Par cet arrêt, la Cour de cassation consacre également la présomption du préjudice dans les cas de concurrence déloyale.

B- Les rappels des juges du fond

Les juges du fond ont relevé le fait que les sites internet des deux concurrents présentaient des similitudes et que contrairement à la demanderesse, la Sas Concepcon ne rapportait pas la preuve des investissements nécessaires à la conception d’un tel site web. De ce fait, elle s’est rendue coupable de concurrence déloyale parasitaire.
Le jugement de première instance rendu par le tribunal de Paris, le 28 septembre 2015 avait donc retenu la responsabilité civile délictuelle de la Sas Concepcon et l’a condamné au paiement de la somme de 5.000 euros à titre de dommages et intérêts.

Cette somme, relative au préjudice économique, a été évaluée par les juges du fond après la prise en compte des éléments communiqués par la Sarl Sound Strategy alors que cette dernière en avait réclamé 73.742 euros en réparation du préjudice économique. De ce fait, elle fait appel devant la Cour d’appel de Paris.

Dans l’arrêt de 2020 dont on a parlé plus tôt, la Cour de cassation va déterminer les modalités de calcul du montant de l’indemnité pour concurrence déloyale. Elle comprend donc le montant de l’économie injustement réalisée par l’auteur de la concurrence déloyale. On peut rapprocher cela de l’article L.331-1-4, 3° du Code de la Propriété intellectuelle qui prévoit que le calcul des dommages et intérêts comprend le montant des bénéfices réalisés par le contrefacteur.

II- Une solution insuffisante :

A- La reconnaissance d’un préjudice distinct des investissements de conception :

Tout d’abord, la cour d’appel de Paris dans son arrêt 7 mars 2017 confirme le jugement de la première instance sur les actes de concurrence déloyale parasitaire.
Ensuite, concernant la somme demandée au titre de réparation de préjudice, elle reproche à la demanderesse de ne pas avoir rapporté la preuve d’une éventuelle baisse du chiffre d’affaires.

La cour d’appel rappelle que  » le préjudice résultat d’actes de concurrence parasitaire doit être évalué selon les règles du droit commun de la responsabilité civile délictuelle fondé sur les articles 1240 et 1241 nouveaux (anciennement 1382 et 1383) du code civil en ce sens que e préjudice doit être réparé dans son intégralité, sans toutefois excéder le montant de ce préjudice  »

L’allocation de dommage et intérêt est proportionnelle au préjudice subi et ne tient pas compte des coûts de développement du site internet même si cela constitue une économie réalisée par la défenderesse.

Concernant la demande de réparation du préjudice moral, la cour d’appel accueille la demande de la demanderesse même si cette demande n’était pas formulée devant les juges du fonds. La Cour d’appel considère  » qu’il infère d’un acte de concurrence déloyale un trouble commercial constitutif de préjudice, fût-il seulement moral,… « . De ce fait, le préjudice moral existe depuis le début et le fait d’en demander la réparation revient à la même demande initiale à savoir la réparation du préjudice issu de l’action en concurrence déloyale parasitaire de son concurrent.

Pour évaluer le montant du préjudice moral, la cour d’appel se réfère à la dévalorisation que site a subi du fait de cette pratique parasitaire qui a eu pour conséquence de le banaliser et lui faire perdre sa visibilité sur la toile. Elle a condamné la défenderesse au paiement de la somme de 5.000 euros au titre de préjudice moral.

Un arrêt du 21 mars 2018 a repris la formule de cet arrêt de 2017 pour retenir la concurrence déloyale, quand le préjudice n’est que moral et non physique “le préjudice s’infère nécessairement d’un acte de concurrence déloyal, générateur d’un trouble commercial, fût-il seulement moral”.

B- Solution non protectrice :

Les montants alloués au titre d’indemnisation pour préjudice moral et pour préjudice économique ne sont pas dissuasifs. La Sarl avait engagé des frais pour la conception du site web qui s’élève à 23.920 euros, somme que son concurrent n’avait pas engagée.

C’est décevant de ne pas avoir retenu la condamnation de la défenderesse à l’affichage du bandeau précisant sa condamnation sur la page d’accueil du site internet, cette mesure aurait était plus dissuasive qu’une simple réparation d’autant plus minime.

Pour lire une version plus complète de cet article sur le plagiat, cliquez sur le lien

Sources
(1) http://www.larousse.fr/dictionnaires/francais/plagiat/61301
(2) https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006069414&idArticle=LEGIARTI000006279172
TGI de Nancy, pôle civil – sec. 7 civile, jugement du 6 décembre 2019
https://www.legalis.net/jurisprudences/tgi-de-nancy-pole-civil-sec-7-civile-jugement-du-6-decembre-2019/
Civ., 21 mars 2018, n° 17-14.582
https://www.legifrance.gouv.fr/juri/id/JURITEXT000036779556
Cass. com., 12 févr. 2020, n° 17–31614
https://www.legifrance.gouv.fr/juri/id/JURITEXT000041620381?init=true&page=1&query=17-31614&searchField=ALL&tab_selection=all