FÉRAL partage régulièrement sur sa page Linkedin des réactions aux actualités juridiques qui ont marqué nos domaines d’activités. Tous les quinze jours, retrouvez un récap’ des informations qu’il ne fallait pas manquer.
Restriction à l’accès aux données de connexion dans le cadre des procédures pénales
Dans un arrêt du 25 octobre 2022, la Cour de cassation a précisé sa jurisprudence du 12 juillet 2022 relative à l’accès aux données de connexion dans le cadre d’une procédure pénale.
La Cour a ainsi jugé que la commission rogatoire rédigée en des termes généraux ne permet pas d’établir que les officiers de police judiciaire aient effectivement été autorisés par le magistrat instructeur à accéder aux données de connexion du mis en cause, et ce notamment en l’absence de fixation de la durée et du périmètre de cette commission rogatoire.
Or, il ressort des quatre arrêts du 12 juillet 2022 que l’accès aux données de connexion doit se faire sous le contrôle effectif d’une juridiction, et donc d’un juge d’instruction, ou d’une autorité administrative indépendante.
L’accès aux données de connexion était donc irrégulier.
Une telle irrégularité peut entrainer la nullité des actes litigieux sous réserve qu’un grief soit établi par le requérant.
La preuve de ce grief suppose la démonstration de trois éléments :
- L’accès a porté sur des données irrégulièrement conservées ;
- La finalité ayant motivé l’accès aux données doit être moins grave que celle ayant justifié leur conservation (hors hypothèse de la conservation rapide) ;
- L’accès a dépassé les limites de ce qui était strictement nécessaire.
Lire l’arrêt de la Cour de cassation du 25 octobre 2022 (n°21-87.397)
La CNIL prononce une sanction de 800 000 euros à l’encontre de la société DISCORD INC
Dans sa délibération du 10 novembre 2022, la CNIL a relevé les manquements suivants :
- Durée de conservation : la société n’avait aucune politique écrite de conservation des données et conservait les données d’utilisateurs français qui n’avaient pas utilisé leur compte depuis plus de cinq ans.
- Obligation d’information : absence d’information sur la durée précise de conservation des données personnelles collectées, et les critères permettant de la déterminer.
- Security/Privacy by default : cliquer sur le bouton « X » situé en haut à droite de l’écran ne permettait pas de fermer l’application, mais la mettant seulement en arrière-plan. L’utilisateur pouvait ainsi légitimement penser qu’il n’était plus entendu, aurait dû en être informé.
- Sécurité des données : des mots de passe composés uniquement de six caractères (lettres et chiffres) étaient acceptés, ce qui n’est pas considéré par la CNIL comme suffisamment robuste.
- Analyse d’impact : aucune analyse d’impact n’avait été effectuée par la société. Or, selon la CNIL, cela était nécessaire au vu « du volume de données traitées par la société et de l’utilisation de ses services par des mineurs ».
Le montant de l’amende a été fixé au vu de ces manquements et du nombre d’utilisateurs concernés, mais également en tenant en compte des efforts de mise en conformité en cours de procédure de la société et de son business model qui ne repose pas sur l’exploitation de données personnelles.
Lire la délibération de la CNIL, n°SAN-2022-020 du 10 novembre 2022
Le Conseil d’État reconnait le droit à une « rémunération appropriée » pour les auteurs
Conformément à la directive européenne sur le droit d’auteur et les droits voisins dans le marché unique numérique, la France devait transposer dans son corpus législatif le droit des auteurs et artistes interprètes à une « rémunération appropriée et proportionnelle ».
L’ordonnance de transposition avait toutefois seulement prévu une rémunération complémentaire lorsque la rémunération proportionnelle initialement prévue se révélait insuffisante.
Constatant cette mauvaise transposition, le Conseil d’État a en partie annulé cette ordonnance, considérant qu’elle ne reconnaissait pas aux auteurs le droit à une « rémunération appropriée » d’emblée.
Lire la décision du Conseil d’État du 15 novembre 2022 (n°454477)
Le refus de communiquer le code de déverrouillage d’un téléphone portable peut constituer un délit
Dans un arrêt du 7 novembre 2022, la Cour de cassation a admis que le code de déverrouillage d’un téléphone portable puisse être qualifié de « convention secrète de déchiffrement d’un moyen de cryptologie ».
Elle a en conséquence jugé que le refus de communiquer ce code peut constituer l’infraction de « refus de remettre une convention secrète de déchiffrement ».
Le détenteur d’un téléphone susceptible d’avoir été utilisé pour préparer ou commettre une infraction peut donc être tenu de fournir aux enquêteurs son code de déverrouillage sous peine de sanction pénale.
Lire l’arrêt de la Cour de cassation du 7 novembre 2022 (n°21-83.146)