logo BeeLighted Avocats
MENU
Fermer
Menu
Connexion
FERMER

Par un arrêt du 12 janvier 2023, la Cour d’appel de Grenoble prononce la nullité d’un contrat de création d’un site web pour non-conformité à la Loi Informatique et Libertés (LIL).

En l’espèce, une société d’optique a conclu un contrat avec une société de création de site web pour la création d’un site web vitrine, ainsi que pour son installation et sa maintenance. En parallèle la société d’optique s’engage à payer des loyers à la société Leasecom (société de location de financement des équipements des entreprises).

Lorsque la société d’optique a arrêté de payer ses loyers, la société Leasecom l’a assignée devant le Tribunal de commerce qui condamne la société d’optique. Cette dernière interjette appel de cette décision et la Cour d’appel de Grenoble se prononce uniquement au regard du prisme du droit des données personnelles en ce qui concerne le contrat conclu avec le prestataire créateur du site web vitrine.

En effet, la société d’optique reproche au prestataire d’avoir violé les dispositions concernant la collecte et l’utilisation des données personnelles de ses utilisateurs.

Les constats (par huissier) et pris en compte par la Cour d’appel sont les suivants :

Ainsi, la Cour d’appel considère que le prestataire n’a pas informé la société d’optique d’un élément essentiel concernant le site et la réalisation de la prestation.

De plus, concernant la question de la responsabilité, la Cour estime que la société d’optique, bien que responsable des traitements au sens de la LIL et du RGPD, n’est pas spécialisée en protection des données personnelles et n’a pas les connaissances requises pour constater ces violations lors de la prestation.

La cour retient donc la responsabilité du prestataire informatique qui avait, lui, l’obligation d’informer la société d’optique quant à l’installation illégal de cookies. Elle annule donc le contrat pour erreur sur une qualité essentielle du contrat portant sur le site internet, avant d’infirmer par la même occasion, le jugement du Tribunal de commerce de Grenoble.

Le prestataire informatique est condamné à restituer à la société d’optique le prix de la prestation et lui payer la somme de 5 000 euros sur le fondement de l’article 700 du Code de procédure civile ainsi que les dépens.

Consultez l’intégralité de la décision : 12 janvier 2023 Cour d’appel de Grenoble RG n° 21/03701

Le 2 mars 2023 La Cour de Justice de l’Union Européenne (CJUE) a rendu un arrêt répondant aux questions préjudicielles de la Cour Suprême Suédoise sur l’interprétation des articles 5 et 6 du RGPD mis en balance avec l’administration de la preuve dans le cadre d’une procédure juridictionnelle civile.

La Cour retient que l’article 6 du RGPD, dans ses paragraphes 3 et 4 relatifs aux missions d’intérêt public défini par le de l’Union ou par le droit national de l’état membre, s’applique dans le cadre d’une procédure juridictionnelle civile.

De plus, cette procédure juridictionnelle fait partie d’exceptions à laquelle figure (article 23) « la protection de l’indépendance de la justice et des procédures judiciaires », cet objectif devant, ainsi que l’a observé la Commission européenne dans ses observations écrites, être compris comme visant la protection de l’administration de la justice contre des ingérences internes ou externes mais encore la bonne administration de la justice.

En revanche, elle rappelle qu’il est nécessaire d’analyser cette balance et de pondérer aux cas par cas afin de prendre en compte les intérêts de la personne concernée, le principe de minimisation des données et le principe de proportionnalité entre l’administration de la preuve et la protection des données personnelles.

En conclusion, la CJUE fait prévaloir l’administration de la preuve à la protection des données personnelles, si celle-ci est correctement prévue dans le cadre de la législation nationale de l’état membre.

Quelques jours plus tard, le 8 mars, c’est au tour de la Cour de Cassation de rendre une décision similaire.

En effet dans la même veine, la Cour de cassation rappelle que le droit à la protection des données n’est pas un droit absolu et qu’il doit être mis en balance si nécessaire.

De plus le code de procédure civile ainsi que la Convention de sauvegarde des droits de l’homme et des libertés fondamentales prévoient que le droit à la preuve peut justifier la production d’éléments portant atteinte à la vie personnelle à la condition que cette production soit indispensable à l’exercice de ce droit et que l’atteinte soit proportionnée au but poursuivi.

Ainsi, la Cour approuve l’arrêt qui ordonne la production de document portant atteinte à la vie personnelle d’autres personnes, après avoir relevé que cette communication était indispensable à l’exercice du droit à la preuve, prenant en compte la minimisation des données en occultant certaines données personnelles non-utile à l’affaire et proportionnée aux buts poursuivis (défense de l’intérêt légitime de la personne concernée dans l’affaire, l’égalité de traitement entre les hommes et les femmes en matière d’emploi et de travail).

Consultez ici les décisions : Cour de cassation, Chambre sociale, 8 mars 2023, 21-12.492 ; ECLI:EU:C:2023:145 ARRÊT DE LA COUR (troisième chambre) 2 mars 2023

You need to be logged in to view this content. Veuillez . Not a Member? Nous Rejoindre
You need to be logged in to view this content. Veuillez . Not a Member? Nous Rejoindre

Par une décision du 21 octobre 2022, publié au recueil Lebon et sur son site début février, le Conseil d’Etat (CE) dans ses 10e et 9e chambres réunies, rend sa décision relative à la demande, par une DPO, d’annuler une décision de la CNIL rendu en sa défaveur.

En l’espèce, la DPO requiert l’annulation d’une décision de la CNIL du 8 octobre 2021 par laquelle la présidente de la Commission a clôturé sa plainte relative aux conditions d’exercice des fonctions de DPO au sein de sa société et à l’exercice de son droit d’accès à ses données personnelles.

Concernant les reproches de la DPO contre la CNIL, le Conseil d’Etat rappelle dans sa décision les caractéristiques de la Commission ainsi que ses missions notamment son indépendance, son large pouvoir d’appréciation lorsqu’elle doit traiter d’une plainte relative aux droits garantis par la loi à une personne concernée.

La CNIL a donc le pouvoir de décider si elle donne suite à la plainte ou non, sous le contrôle du juge de l’excès de pouvoir.

Concernant l’exercice du droit d’accès à ses données personnelles, le CE confirme l’effectivité nécessaire de ce droit.

Cependant, la décision de la CNIL concernant une plainte fondée sur la méconnaissance d’un tel droit relève d’une décision administrative individuelle défavorable qui doit être nécessairement motivée.

En l’occurrence, la décision de la CNIL, de ne pas donner suite à la plainte de la DPO concernant son droit d’accès, comporte une motivation : « l’énoncé des considérations en droit et en fait qui en constituent le fondement ».

Concernant le non-respect de l’employeur des conditions d’exercice de la fonction de DPO, la décision de la CNIL sur ce point ne revêt les conditions d’une décision administrative individuelle nécessitant une motivation.

Par ailleurs, le Conseil d’Etat rappelle que pour protéger l’indépendance du DPO celui-ci ne doit pas subir une décision qui mettrait fin à ses fonctions, un désavantage ou une sanction lorsque cela serait lié à l’exercice de ses missions.

En revanche, le Conseil d’Etat rappelle bien que ces considérations ne font pas obstacle au licenciement d’un DPO qui « ne posséderait plus les qualités professionnelles requises pour exercer ses missions ou qui ne s’acquitterait pas de celles-ci conformément aux dispositions du RGPD ».

Ainsi, le Conseil d’Etat confirme que le RGPD, dans son article 38, ne fait pas obstacle au licenciement d’un DPO à « raison de manquements aux règles internes à l’entreprise applicables à tous ses salariés, sous réserve que ces dernières ne soient pas incompatibles avec l’indépendance fonctionnelle qui lui est garantie par le RGPD ».

Enfin, il confirme que la DPO disposait de moyens et de conditions d’exercice raisonnables pour réaliser ses missions de DPO.

Le Conseil d’Etat décide donc de rejeter la requête de la DPO et la condamne au paiement de 1 000 euros au titre de l’article L .761-1 du code de justice administrative.

Consultez ici la décision du Conseil d’Etat : Décision n°459254 du Conseil d’Etat du 21 octobre 2022

Toujours en pleine négociation avec les Etats-Unis, le sujet des transferts de données vers des pays tiers à l’UE présente encore un enjeu majeur pour le législateur et les autorités de contrôle européennes.

Le 14 février dernier, le CEPD a ainsi adopté deux documents comprenant des Lignes Directrices sur le mécanisme à mettre en œuvre pour opérer des transferts de données personnelles vers un pays tiers ou une organisation internationale.

Le premier document identifie les critères cumulatifs permettant de considérer une opération de traitement comme un transfert :

Lorsque ces critères sont remplis, alors le transfert des données sera soumis aux dispositions du Chapitre V du RGPD (nécessité d’une décision d’adéquation, niveau de protection des données équivalent à celui du RGPD, certifications, …).

Le second document, quant à lui, vient compléter les Lignes Directrices sur les critères de certification, publiées en 2018, et aborde en détails le processus à suivre pour obtenir la certification permettant le transfert de données personnelles vers un pays tiers ou une organisation internationale, conformément au chapitre V du RGPD, à savoir :

Désormais fortement encadrés, les transferts de données personnelles hors UE nécessitent une étude spécifique dans les prochains mois afin d’identifier précisément les éventuels impacts sur vos pratiques.

Consultez ici les Lignes Directrices du CEPD : edpb_guidelines_05-2021-on the interplay between art 3 and chapter V_GDPR ; edpb_guidelines_07_2022-on certification as a tool for tranfers

Le 22 février dernier, la CNIL a remis sur la table le sujet de l’« e-carte Vitale » qui reste bien en évidence sous sa surveillance. Lancée depuis 2019 en tant qu’expérimentation dans 4 départements, le dispositif sera officiellement proposé à tous les assurés sociaux à la fin 2025.

Dans cette perspective, l’expérimentation s’élargie territorialement et se met en place sur toute la France depuis le 1er janvier 2023.

Pour résumer, l’« e-carte Vitale », version dématérialisée du support physique, reste un dispositif facultatif.

Ce dispositif disponible comme application a pour objectif de simplifier l’accès et les droits des personnes concernées en ayant une meilleure gestion de leurs données, documents, remboursements et dépenses de santé.  Cet accès permettra également de se connecter à d’autres plateformes d’institutions comme le permet FranceConnect mais cette fois dans le secteur de la santé.

Cette e-carte vitale contiendra des données importantes telles que : remboursements des soins, prises en charge en cas d’hospitalisation, identifications de l’assuré et ses ayants droit (nom, prénom, n° de sécurité sociale, adresse postale, adresse mail).

Le texte encadrant cette expérimentation a fait l’objet de plusieurs avis de la CNIL et globalement la Commission attire l’attention notamment sur les points suivants :

Le projet de déploiement est donc très bien engagé mais reste sous la surveillance de la CNIL qui le rappelle fortement par ce communiqué.

Consultez ici le communiqué de la CNIL : Carte Vitale électronique : quelles conséquences pour les personnes ?

You need to be logged in to view this content. Veuillez . Not a Member? Nous Rejoindre

Le 31 janvier, la CNIL a publié un communiqué de presse faisant état de son bilan de l’année 2022. Elle précise à cette occasion que les tendances de 2021 se sont confirmées en 2022.

Pour résumer en quelques chiffres :

-> 21 sanctions prononcées dont 13 rendues publiques

-> manquements fréquents : défaut d’information, non-respect des droits des personnes, défaut de coopération avec la CNIL

-> un tiers des décisions sanctionnent un défaut de sécurisation des données

-> 4 sanctions concernent une mauvaise gestion des cookies

-> 3 sanctions concernent la prospection commerciale

La CNIL met aussi en exergue sa coopération avec ses homologues européens dans plusieurs affaires, notamment l’affaire META

Au cours de l’année 2022, la CNIL a également envoyé de nombreuses mises en demeures (147) pour différents sujets de mise en conformité dont notamment

->obligation de désigner un DPO,

-> prospection commerciale,

-> transmission de données à des partenaires commerciaux,

-> transfert de données vers les Etats-Unis,

-> sécurisation des données,

-> … etc.

Consultez ici le communiqué de la CNIL : la CNIL présente le bilan 2022 de son action répressive

Le 15 décembre 2022, la Cour d’appel de Nîmes a rendu une décision concernant un contrat d’abonnement à un logiciel de télétransmission de feuilles de soins aux caisses et mutuelles dont l’éditeur ne bénéficiait pas de la certification HDS.

En l’espèce, une infirmière libérale ayant souscrit à cet abonnement a constaté que son éditeur ne bénéficiait pas de la certification HDS. En effet, ce dernier sous-traite, depuis plusieurs années, l’hébergement des données à OVH qui n’a reçu que très récemment l’agrément à l’hébergement de données de santé.

L’éditeur du logiciel de télétransmission fonde sa défense sur le fait qu’il n’héberge pas les données de santé mais qu’il les achemine vers une société tierce.

Or, et comme le rappelle la Cour d’appel, d’une part, un éditeur d’un logiciel de télétransmission doit être agréé s’il héberge des données de santé. S’il sous-traite cet hébergement, son sous-traitant doit être lui-même agréé. D’autre part, la Cour déduit que la télétransmission de données de santé est indissociable de leur hébergement sur un support physique de stockage de données. 

Par conséquent, l’éditeur devait être en mesure de fournir un hébergement conforme aux règles de protection des données de santé à caractère personnel. Ainsi, la Cour d’appel décide que le contrat est illicite et prononce sa nullité.

Cette décision ayant pour effet d’obliger l’éditeur à rembourser à l’utilisateur l’intégralité des redevances qu’il a perçues, nous ne saurons que trop recommander aux OCAM et à leurs différents sous-traitants (concentrateurs TP, sociétés de Cloud, gestionnaires délégués, …) de vérifier la qualification HDS des plateformes de stockage auxquelles ils ont recours. 

En effet, cette décision interroge sur les possibilités de remise en cause des différentes conventions qui peuvent être conclues à l’occasion d’une opération d’assurance santé y compris les contrats d’assurance eux-mêmes. 

Consultez ici l’intégralité de la décision : CA Nîmes, 15 décembre 2022, n°21/01215

COLLECTIVES / Confirmation de jurisprudence sur le maintien des garanties de prévoyance
ASSURANCE AUTO / Application du taux majoré de TCA pour certaines garanties accessoires
SOCIAL / Renforcement des obligations de l’employeur en cas d’épisodes de chaleur intense
CSRD / Propositions d’allègement du champ d’application au niveau européen
CNIL / Recommandations sur le recours à la base légale de l’intérêt légitime dans le développement de l’IA
INTÉRÊT LÉGAL / Nouveaux taux au second semestre 2025
Accès libre
CNIL / Lancement du projet PANAME en collaboration avec l’ANSSI
IJSS / Nouveau formulaire papier obligatoire pour la prescription des arrêts de travail
Accès libre
GEL DES AVOIRS / Vers une surveillance financière accrue
BLOCTEL / Nouvelle sanction d’un courtier en assurances pour démarchage abusif
Accès libre
1 9 10 11 12 13 269
Bureau de Tours
(cabinet principal)
2 rue du Commerce
37000 TOURS
Bureau de La Rochelle
(cabinet secondaire)
32 quai Louis Durand
17000 LA ROCHELLE
Bureau de Paris
(cabinet secondaire)
19 rue Bergère
75009 PARIS
Vous souhaitez recevoir des informations de la part du cabinet beeLighted
Contactez-nous
Pour nous joindre, un numéro unique : 02 47 66 37 13
Et une seule adresse e-mail : contact@beelighted-avocats.fr
Suivez-nous
Mentions LégalesPolitique de protection des donnéesPolitique des cookies (EU)
Top cross