FLASH ACTU AOÛT SEPTEMBRE 2020

DONNÉES PERSONNELLES :  LA CJUE INVALIDE LA DÉCISION “PRIVACY SHIELD” ET REMET EN CAUSE LES TRANSFERTS DE DONNÉES PERSONNELLES DE L’UNION EUROPÉENNE VERS LES ÉTATS-UNIS  (CJUE, 16 juillet 2020, aff. C-311/18, Data Protection Commissionner / Facebook Ireland Ltd et Maximilien Schrems)

Après celle relative au « Safe Harbor » en 2015, c’est au tour de la décision de la Commission Européenne dite « Privacy Shield », considérant que les Etats-Unis assuraient un niveau de protection adéquat des données personnelles transférées depuis l’Union européenne, d’être invalidée par la CJUE.

Dans le cadre d’une plainte introduite par un ressortissant autrichien visant à interdire le transfert de ses données personnelles par Facebook Ireland à sa société mère aux Etats-Unis, le commissaire à la protection des données en Irlande a saisi la cour suprême irlandaise afin que cette dernière interroge la CJUE sur la validité de ce transfert.

Ce transfert étant, en l’espèce, fondé sur des clauses types de protection de données adoptées par la Commission européenne dans une décision dite « CPT », la Cour était en particulier interrogée sur l’adéquation au niveau de protection requis par le RGPD de cette décision « CPT ».

Elle était aussi saisie de la validité de la décision dite « BPD » instaurant le « Privacy Shield », par laquelle la Commission avait considéré que les entreprises américaines adhérant aux engagements résultant de ce document offraient un niveau de protection adéquat au regard du droit européen.

Au préalable, la Cour détermine les critères d’appréciation du niveau de protection requis par le RGPD dans le cadre d’un transfert de données à caractère personnel vers un pays tiers, autrement dit le référentiel à l’aune duquel doit être mesuré ce niveau de protection. Elle juge, à cet égard, que les garanties appropriées requises au profit des personnes concernées par le transfert doivent être de nature à assurer que celles-ci bénéficient « d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union » par le RGPD, lu à la lumière de la Charte des droits fondamentaux de l’Union européenne.

Ensuite, la Cour juge valide la décision « CPT » dans la mesure, notamment, où celle-ci prévoit des mécanismes effectifs permettant d’assurer que le transfert vers un pays tiers de données personnelles soit suspendu ou interdit lorsque le destinataire du transfert ne respecte pas lesdites clauses ou se trouve dans l’incapacité de les respecter. La Cour précise toutefois qu’il incombe en particulier au responsable de traitement de vérifier, au-delà des garanties issues des clauses contractuelles types, que le droit du pays destinataire des données ne remet pas en cause lesdites garanties. Si tel est le cas, il ne doit pas mettre en œuvre le transfert ou doit le suspendre et, s’il le maintient, c’est sous réserve de l’avis de l’autorité de contrôle compétente, qui peut ordonner sa suspension.

Dans la mesure où, par ailleurs, la CJUE constate dans la décision rapportée que le Gouvernement américain, par hypothèse non lié par des clauses contractuelles types, traite les données de citoyens européens de manière non conforme au droit de l’Union, les transferts de données personnelles vers les Etats-Unis opérés dans le cadre de clauses contractuelles types paraissent en l’état non conformes à ce droit, nonobstant la validation par la Cour de Justice de la décision CPT.

Autrement dit, les clauses contractuelles types, qui ne lient que l’entité, en l’occurrence américaine, destinataire des données, ne suffisent pas à rendre le transfert de données personnelles vers cette entité conforme au droit européen, si le droit du pays où cette dernière est établie permet par ailleurs des pratiques – en l’occurrence la surveillance de masse, par les agences de renseignement américaines, s’imposant à l’entité destinataire et qui violent le droit européen.

Enfin, la Cour déclare invalide la décision « BPD », ayant créé le « Privacy Shield ». Selon elle, cette décision n’assure pas le niveau de protection requis par le RGPD dès lors qu’il n’existe aucune limitation à la mise en œuvre des programmes américains de surveillance et de renseignement précités, qui permettraient de considérer qu’ils sont limités à ce qui est strictement nécessaire, autrement dit qu’ils sont proportionnés à leur but. En outre, dans certains cas, les citoyens européens ne disposent d’aucun recours juridictionnel effectif pour contester le traitement de leurs données personnelles par les agences de renseignement américaines (NSA, FBI et CIA). Cette annulation prend effet immédiatement.

En définitive, la décision du 16 juillet dernier remet en cause les transferts de données personnelles vers les Etats-Unis, que seul un nouvel accord entre les instances européennes et le gouvernement américain ou une évolution du droit américain relatif au renseignement paraissent de nature à légitimer à nouveau.

DIFFAMATION : L’INSERTION D’UN LIEN HYPERTEXTE VERS UN CONTENU DIFFAMATOIRE PEUT CONSTITUER UNE NOUVELLE PUBLICATION DE CELUI-CI EN FONCTION DE SES MODALITÉS ET DE SON CONTEXTE  (Cass.Crim. 1er septembre 2020, n°19-84.505)

Par l’arrêt rapporté, la Cour de cassation, à la suite de la CEDH, précise les conditions dans lesquelles l’insertion d’un lien hypertexte vers un contenu diffamatoire est susceptible de constituer une publication autonome de ce contenu et ainsi d’entraîner la responsabilité (en l’occurrence pénale) du créateur de ce lien.

Une élue locale avait inséré sur son compte Facebook un lien vers une page web contenant deux textes émanant chacun d’une association « rivale » de l’autre. Le premier de ces textes insinuait que la partie civile, membre de l’association rivale, avait commis un viol, et le second contestait la teneur du premier en portant la même accusation à l’encontre de deux membres de l’association à l’origine de ce premier texte. L’élue locale avait assorti le lien d’un commentaire déplorant ce débat et renvoyant « dos à dos » ses protagonistes.

Le tribunal correctionnel puis la Cour d’appel l’ont jugée coupable de la diffamation contenue dans le premier texte (l’insinuation d’avoir commis un viol), au motif que l’insertion du lien hypertexte constituait un nouvel acte de publication dudit texte, dont l’auteur de cette insertion doit répondre.

Au visa de l’article 10 de la Convention européenne de sauvegarde des droits de l’homme et en citant la CEDH (arrêt Magyar Jeti Zrt c. Hongrie, 4 décembre 2018), la Cour de cassation censure cette solution, au motif, en substance, que l’insertion d’un lien vers un contenu diffamatoire ne peut entraîner la responsabilité pénale de son auteur que si ce dernier a approuvé ce contenu en connaissance de cause (au cas contraire, elle porterait une atteinte disproportionnée à la liberté d’expression).

En droit interne, poursuit-elle, cette exigence se traduit par une appréciation in concreto des éléments dits « extrinsèques » au texte litigieux, qui doivent être pris en compte pour décider de son caractère diffamatoire, appréciation que la Cour de cassation laisse au pouvoir souverain des juges du fond.

Néanmoins, selon la Haute juridiction, la décision de ces derniers doit la mettre en mesure, dans ses motifs, de vérifier que cette appréciation a été effectuée conformément aux exigences de l’article 10 de la Convention EDH.

Or, en l’espèce, l’arrêt d’appel n’avait pas examiné ces fameux éléments extrinsèques, concrètement les modalités et le contexte du lien hypertexte, et en particulier le sens du second texte vers lequel renvoyait le lien et le commentaire qu’avait fait la prévenue de ces deux textes.

Il est donc cassé pour ce motif, qui confirme que, quel que soit l’autre droit ou liberté en cause, la Cour de cassation entend opérer un contrôle léger de l’appréciation par les juges du fond, in concreto, de la balance des intérêts entre la liberté d’expression et les droits ou libertés venant la limiter.

INTERNET : L’OFFRE COMMERCIALE D’UN FOURNISSEUR D’ACCÈS AYANT POUR CONSÉQUENCE DE RÉDUIRE OU RALENTIR L’ACCÈS À CERTAINES APPLICATIONS OU SERVICES EST CONTRAIRE AU DROIT EUROPÉEN  (CJUE, Grande Chambre, 15 septembre 2020, Telenor, aff. C-807/18 et C-39/19)

Le Règlement (UE) 2015/2120 du 25 novembre 2015 établissant des mesures relatives à l’accès à un internet ouvert, en son article 3, premier alinéa, prohibe en substance les accords, pratiques commerciales ou mesures de blocage ou ralentissement du trafic Internet susceptibles de porter atteinte au droit des utilisateurs finals à accéder à tout type d’informations, de contenus, d’applications ou de services, quelles que soient notamment leur origine et leur destination.

C’est que l’on appelle parfois le principe de « neutralité du Net », qui vise à éviter l’instauration d’un internet à plusieurs vitesses, qui varieraient précisément en fonction de la nature, de l’origine ou encore de la destination des contenus ou services.

Était en cause, dans le litige au principal, la conformité à cet article 3 de deux offres groupées d’un important fournisseur d’accès Internet hongrois, la société Telenor.

Ces offres consistaient en un forfait garantissant à ses bénéficiaires un certain volume de données pendant une période déterminée, l’usage de certaines applications ou services explicitement identifiés (de réseaux sociaux pour une offre, d’écoute de musique en ligne pour la seconde) n’étant pas comptabilisé dans le calcul de ce volume. Et, une fois ledit volume dépassé, les deux offres en cause permettaient à leurs bénéficiaires de continuer à utiliser sans limitation ces applications ou services spécifiques, tandis que l’usage des autres se voyait bloqué ou ralenti.

La Cour de justice décide que ces offres sont incompatibles d’une part avec l’alinéa 2 de l’article 3 du Règlement 2015/2120, dès lors qu’elles limitent l’exercice du droit des utilisateurs finals à accéder à tous types d’informations, de contenus, d’applications ou de services et, d’autre part, à l’alinéa 3 du même texte, dès lors qu’elles sont fondées sur des considérations commerciales. L’alinéa 3 de l’article 3 permet en effet, par exception au principe énoncé à l’alinéa 1er, la mise en place par les fournisseurs d’accès de mesures de ralentissement et de blocage visant à répondre à des finalités déterminées, telle que notamment la préservation de l’intégrité du réseau, mais ces mesures ne peuvent être alors fondées sur des raisons commerciales.

Les offres en cause au principal sont donc jugées non conformes au droit européen sur deux fondements proches, mais distincts et indépendants. En les condamnant, la Cour de Justice donne pour la première fois un contenu concret au principe de neutralité du Net.

MARQUES : NEUTRALISATION DES SIMILITUDES VISUELLES ET AUDITIVES PAR DES DIFFÉRENCES CONCEPTUELLES, MÊME LORSQUE LE SIGNE CONNU EST SECOND  (CJUE, 17 septembre 2020, Messi, aff. C-449/18 P)

Saisie à une époque où les pourvois n’étaient pas encore l’objet d’un filtrage, actuellement mis en œuvre de manière drastique, la Cour de justice a rendu un intéressant arrêt relatif à cette règle jurisprudentielle désormais bien connue selon laquelle des différences conceptuelles entre les signes peuvent, au stade de l’appréciation globale du risque de confusion, neutraliser des similitudes visuelles et/ou auditives, mêmes fortes, pour autant que l’un des signes a, pour le public pertinent, une signification claire et déterminée, de telle sorte que ce public est susceptible de la saisir directement, tandis que l’autre signe a une signification différente ou n’en a pas. Approuvant le Tribunal, la Cour en avait fait une première application spectaculaire dans une affaire Picasso/Picaro en 2006 (C-361/04 P).

En l’espèce, le dépôt d’une marque de l’Union européenne semi-figurative incluant le nom « Messi », par le célèbre joueur de football, pour désigner vêtements et articles de sport, avait suscité une opposition sur le fondement d’une marque verbale de l’Union européenne antérieure Massi, enregistrée pour des produits identiques et similaires.

Annulant la décision de la chambre de recours, le Tribunal avait, pour les mêmes motifs que dans l’affaire Picasso/Picaro, considéré que les différences conceptuelles entre les signes, résultant de la très grande notoriété du déposant et de la perception que le public pertinent avait en conséquence du signe incluant son nom, neutralisaient les incontestables, et même fortes, similitudes visuelles et phonétiques entre les signes et excluaient en conséquence le risque de confusion.

Son analyse est approuvée par la Cour. Celle-ci indique d’abord que la réputation du joueur est telle qu’il n’est pas plausible que le consommateur, mis en présence du signe « Messi » pour des vêtements et articles de sport, fasse abstraction de la signification de ce signe comme faisant référence au nom du célèbre joueur de football et que c’est donc bien, nécessairement, à l’égard de l’ensemble du public pertinent que le Tribunal s’est prononcé.

De façon intéressante, la Cour a précisé ensuite qu’il convient de distinguer renommée d’une marque et notoriété du nom composant une marque. Car si la première peut favoriser l’existence d’un risque de confusion, la seconde peut, au contraire, en raison de différences conceptuelles entre les signes résultant de cette notoriété, exclure ce risque. Or, la marque semi-figurative Messi était assurément, non une marque renommée, mais une marque composée d’un nom – en l’occurrence, patronymique – connu du public concerné.

Enfin, la Cour devait trancher la question de savoir si cette règle de l’incidence de différences conceptuelles sur l’appréciation globale du risque de confusion s’applique seulement lorsque le signe doté d’une signification claire est, comme dans l’affaire Picasso/Picaro par exemple, celui qui compose la marque antérieure. Très logiquement, la Cour répond par la négative. Dès lors que ce n’est pas la renommée de la marque antérieure qui est prise en compte, mais la différence de signification des signes du fait de la signification particulière de l’un d’eux, il importe peu que ce dernier soit le signe litigieux (pt 86).

Legal notice – website Passa Varet Avocats

The website www.passa-varet.legal is published by:
Passa Varet Avocats
Publication director: Vincent Varet
SELARL (limited liability company formed by persons carrying on a professional activity) with share capital of 15 015 €
RCS : 802 395 301
Registred office : 12 rue Tronchet – 75008 PARIS
Tél. : + 33 1 44 701 710
Fax. : + 33 1 44 701 711

Hosting provider:
OVH
SAS (simplified joint-stock company) with share capital of 10 069 020 €
RCS Lille Métropole 424 761 419 00045
Registred office: 2 rue Kellermann - 59100 Roubaix - France

Copyright

The Website, its structure and content are and remain the exclusive property of Passa Varet Avocats.
TAny reproduction, communication to the public or distribution, in whole or in part, of any kind whatsoever, is prohibited.

Limitation of liability

Passa Varet Avocats reserves the right to modify, update or delete the information and other content published on the Site at any time and without prior notice; it makes no warranty, express or implied, regarding information and content.
The user is solely responsible for the use he or she makes of the Site, as well as for this information and content.
Passa Varet Avocats cannot be held liable for any damage whatsoever, resulting directly or indirectly from the use of the Site. Passa Varet Avocats also assumes no responsibility for the hypertext links included in the Site and referring to external resources, as well as for these external resources themselves.
Any hypertext link to the Site is subject to the prior and express agreement of Passa Varet Avocats.

Creation and webdesign

Design and production :MakeitPro
Photographs : Théo Delhaste (http://www.theodelhaste.photo)
Texts : Passa Varet Avocats

Legal notice – website Passa Varet Avocats

The website www.passa-varet.legal is published by:
Passa Varet Avocats
Publication director: Vincent Varet
SELARL (limited liability company formed by persons carrying on a professional activity) with share capital of 15 015 €
RCS : 802 395 301
Registred office : 12 rue Tronchet – 75008 PARIS
Tél. : + 33 1 44 701 710
Fax. : + 33 1 44 701 711

Hosting provider:
OVH
SAS (simplified joint-stock company) with share capital of 10 069 020 €
RCS Lille Métropole 424 761 419 00045
Registred office: 2 rue Kellermann - 59100 Roubaix - France

Copyright

The Website, its structure and content are and remain the exclusive property of Passa Varet Avocats.
TAny reproduction, communication to the public or distribution, in whole or in part, of any kind whatsoever, is prohibited.

Limitation of liability

Passa Varet Avocats reserves the right to modify, update or delete the information and other content published on the Site at any time and without prior notice; it makes no warranty, express or implied, regarding information and content.
The user is solely responsible for the use he or she makes of the Site, as well as for this information and content.
Passa Varet Avocats cannot be held liable for any damage whatsoever, resulting directly or indirectly from the use of the Site. Passa Varet Avocats also assumes no responsibility for the hypertext links included in the Site and referring to external resources, as well as for these external resources themselves.
Any hypertext link to the Site is subject to the prior and express agreement of Passa Varet Avocats.

Creation and webdesign

Design and production :MakeitPro
Photographs : Théo Delhaste (http://www.theodelhaste.photo)
Texts : Passa Varet Avocats