Ce qu’il ne fallait pas manquer (du 17 au 30 mai 2023)

FÉRAL partage régulièrement sur sa page Linkedin des réactions aux actualités juridiques qui ont marqué nos domaines d’activités. Tous les quinze jours, retrouvez un récap’ des informations qu’il ne fallait pas manquer. 

La CNIL prononce une sanction de 380 000 euros à l’encontre d’une société exploitant un site Internet et forum dédiés à la santé

Dans sa délibération du 11 mai 2023, la CNIL a notamment relevé les manquements suivants :

  • Politique de conservation : certaines durées de conservation excédaient les finalités pour lesquelles les donnéespersonnelles étaient traitées. La CNIL a notamment sanctionné la conservation, sans anonymisation, des données des utilisateurs dont le compte était inactif depuis plus de 3 ans.
  • Suivi et contrôle des activités du sous-traitant : le responsable de traitement n’avait pas suffisamment suivi l’exécution des obligations contractuelles de son sous-traitant ni suffisamment contrôlé la mise en œuvre de mesures techniques et organisationnelles pour assurer la conformité au RGPD.
  • Consentement : la société ne prévoyait aucun mécanisme de recueil explicite du consentement pour ses tests en ligne, alors que la participation des internautes impliquait le traitement de leurs données de santé. La société s’est mise en conformité au cours de la procédure de contrôle en conditionnant l’accès au test à une case à cocher.
  • Sécurité des données : les pages relatives aux tests collectant les données utilisaient le protocole de communication “HTTP” et non le protocole « HTTPS » ou équivalent, et les mots de passe des utilisateurs étaient conservés dans un format insuffisamment sécurisé.
  • Publicité ciblée : la société avait déposé des cookies soumis à consentement sur les terminaux des utilisateurs sans leur accord. Le mécanisme proposé a posteriori pour refuser le dépôt était insuffisant dès lors que les cookies déjà déposés demeuraient stockés sur les équipements.

Lire la délibération de la CNIL, n°SAN-2023-006 du 11 mai 2023

L’autorité de protection des données irlandaise (DPC) a prononcé une amende record de 1,2 milliard d’euros à l’encontre de Meta

Meta ne justifiait pas de garanties appropriées pour procéder au transfert de données personnelles d’utilisateurs européens vers les États-Unis dans le cadre de son service Facebook.

Depuis l’invalidation du Privacy Shield, la société recourait notamment aux clauses contractuelles types (CCT) de la Commission européenne pour fonder ses transferts. La DPC a considéré que l’utilisation de ses CCT et les mesures additionnelles mises en œuvre par Meta ne permettaient pas de limiter le risque d’atteinte aux droits et libertés fondamentales des européens, notamment en raison de l’accès aux données par les organismes gouvernementaux américains.

La DPC a en outre ordonné à Meta de :

  • Suspendre tout transfert transfrontalier de données à caractère personnel dans les 5 mois à compter de la notification de la décision ;
  • Mettre en conformité ses traitements de données avec le RGPD dans les 6 mois à compter de la notification de la décision, notamment en cessant de stocker des données personnelles d’utilisateurs européens aux Etats-Unis.

Ces interdictions pourraient cependant être remises en cause avec l’adoption du Transatlantic Data Privacy Framework attendue pour cet été.

Lire le communiqué de presse de la DPC du 22 mai 2023

Jeux vidéo : la commercialisation de manettes compatibles avec la console d’une société tierce est-elle illicite ?

Une société, éditrice d’une console de jeu, reprochait à une société concurrente de commercialiser une manette compatible qu’elle qualifiait de copie servile de sa propre manette.

La Cour d’appel de Paris a jugé que la société concurrente avait créé un risque de confusion entre les manettes de nature à caractériser des actes de concurrence déloyale. Pour cela, la Cour s’est fondée sur une combinaison d’éléments :

  • Les différences entre les manettes n’étaient pas perceptibles par le consommateur ou pouvaient être considérées par ce dernier comme une évolution du modèle commercialisé par l’éditrice de la console.
  • Les deux types de manettes étaient commercialisés dans les mêmes points de vente physique et en ligne et s’adressaient à une même clientèle, ce qui accroissait les chances que le consommateur soit induit en erreur.
  • La similarité entre les deux emballages et les mentions inscrites sur l’emballage des manettes litigieuses laissaient penser que ces manettes étaient celles de l’éditrice.

La Cour a en outre jugé que cette volonté de laisser croire au consommateur que les manettes provenaient de l’éditrice de la console était constitutive d’une pratique commerciale trompeuse au sens du Code de la consommation.

Lire l’arrêt de la Cour d’appel de Paris du 21 avril 2023 (n°15/14683)

Droit de rétractation : quelles sont les conséquences en cas de manquement du professionnel à son devoir d’information ?

Saisie d’une question préjudicielle, la Cour de justice de l’Union européenne (CJUE) s’est prononcée sur le point de savoir si le consommateur qui use de son droit de rétractation est redevable d’une indemnité au titre du service fourni en exécution du contrat hors établissement lorsque le professionnel a omis de l’informer de ce droit. La CJUE a ainsi précisé que :

  • Le consommateur qui exerce son droit de rétractation après l’exécution du contrat est exonéré de toute obligation de payer les prestations fournies, lorsque le professionnel ne lui a pas transmis les informations relatives à son droit de rétractation ;
  • Le professionnel qui omet d’informer le consommateur sur son droit de rétractation doit, en conséquence, assumer les coûts liés à l’exécution du contrat hors établissement pendant le délai de rétractation ;
  • La plus-value ainsi réalisée par le consommateur ne contrevient pas au principe de l’interdiction de l’enrichissement sans cause.

Lire l’arrêt de la CJUE du 17 mai 2023, affaire C-97/22

Ne manquez pas nos prochaines publications

Votre adresse email est traitée par FÉRAL afin de vous transmettre les publications et actualités du Cabinet. Vous pouvez vous désabonner à tout moment. Pour en savoir plus sur la manière dont sont traitées vos données et sur l’exercice de vos droits, veuillez consulter notre politique de protection des données personnelles.