La clause attribuant compétence à des tribunaux californiens dans un contrat conclu avec un consommateur français est abusive (Facebook)

La clause attribuant compétence à des tribunaux californiens dans un contrat conclu avec un consommateur français est abusive (Facebook)

La Cour d’appel de Paris a jugé, le 12 février 2016, que la clause attributive de compétence (tribunaux du comté de Santa Clara, Californie) contenue dans les CGU de Facebook est abusive et donc réputée nulle et non écrite.

En conséquence, le TGI de Paris est compétent pour juger le litige qui oppose le réseau social à un internaute qui avait vu son compte désactivé après la mise en ligne de la reproduction du tableau de Courbet « L’origine du monde ».

http://www.legalis.net/spip.php?page=breves-article&id_article=4908

 

Quelles obligations du responsable de traitement de données personnelles en cas de sous-traitance ? Focus sur l’obligation de sécurité

Quelles obligations du responsable de traitement de données personnelles en cas de sous-traitance ? Focus sur l’obligation de sécurité

[:fr]

Le Conseil d’Etat a confirmé, dans une décision du 30 décembre 2015, la délibération de sanction d’Orange par la CNIL pour manquement à ses obligations de sécurité dans le cadre de ses relations avec ses sous-traitants en date du 7 août 2014.

On se souvient qu’en avril 2014, à la suite d’une intrusion illicite sur le serveur d’un sous-traitant de Gutenberg, le prestataire d’emailing d’Orange, 1,3 million de données personnelles d’abonnés ou de prospects d’Orange avaient fuité. Conformément à ses obligations d’opérateur télécom, Orange avait notifié l’incident à la CNIL, laquelle avait procédé à un contrôle dans les locaux de la société Orange et de ses prestataires. A l’issue de la procédure, la formation restreinte de la CNIL avait estimé que la société avait manqué à son obligation d’assurer la sécurité et la confidentialité des données à caractère personnel de ses clients prévue par l’article 34 de la loi dite Informatique et Libertés et avait prononcé à son encontre un avertissement public, décision que le Conseil d’Etat a donc confirmé.

Dans sa décision du 30 décembre 2015, le Conseil d’Etat rappelle l’obligation de sécurité des données à la charge du responsable de traitement y compris lorsque les données sont confiées à des sous-traitants (art. 34 de la loi du 6 janvier 1978).

Pourtant, en l’espèce, Orange avait introduit une obligation de sécurité dans le contrat à la charge de son prestataire et de ses sous-traitants.

Alors quels enseignements retirer de cette décision ?

La responsabilité de la sécurité des données incombe au responsable de traitement, quand bien même celui-ci confierait à un prestataire ou un sous-traitant ses données.

Il ne suffit pas, pour le responsable de traitement, d’introduire une obligation de sécurité dans le contrat à la charge de son prestataire et de ses sous-traitants, encore faut-il « prendre des mesures positives destinées à assurer [soi-même] que la sécurité des données soit préservée ».

En l’espèce, la CNIL a retenu qu’Orange n’avait pas procédé à un audit de sécurité avant d’utiliser la solution technique de son prestataire pour l’envoi de campagnes d’emailing alors que cette mesure lui aurait permis d’identifier ladite faille. La CNIL avait également reproché à Orange d’avoir utilisé des moyens de communication non sécurisés pour transférer à ses prestataires des données à caractère personnel.

Enfin, le responsable de traitement doit veiller à ce que les consignes de sécurité prévues dans le contrat avec son prestataire soient répercutées au prestataire secondaire.

https://www.legifrance.gouv.fr/affichJuriAdmin.do?oldAction=rechJuriAdmin&idTexte=CETATEXT000031861287&fastReqId=693947000&fastPos=2

[:en]

Le Conseil d’Etat a confirmé, dans une décision du 30 décembre 2015, la délibération de sanction d’Orange par la CNIL pour manquement à ses obligations de sécurité dans le cadre de ses relations avec ses sous-traitants en date du 7 août 2014.

On se souvient qu’en avril 2014, à la suite d’une intrusion illicite sur le serveur d’un sous-traitant de Gutenberg, le prestataire d’emailing d’Orange, 1,3 million de données personnelles d’abonnés ou de prospects d’Orange avaient fuité. Conformément à ses obligations d’opérateur télécom, Orange avait notifié l’incident à la CNIL, laquelle avait procédé à un contrôle dans les locaux de la société Orange et de ses prestataires. A l’issue de la procédure, la formation restreinte de la CNIL avait estimé que la société avait manqué à son obligation d’assurer la sécurité et la confidentialité des données à caractère personnel de ses clients prévue par l’article 34 de la loi dite Informatique et Libertés et avait prononcé à son encontre un avertissement public, décision que le Conseil d’Etat a donc confirmé.

Dans sa décision du 30 décembre 2015, le Conseil d’Etat rappelle l’obligation de sécurité des données à la charge du responsable de traitement y compris lorsque les données sont confiées à des sous-traitants (art. 34 de la loi du 6 janvier 1978).

Pourtant, en l’espèce, Orange avait introduit une obligation de sécurité dans le contrat à la charge de son prestataire et de ses sous-traitants.

Alors quels enseignements retirer de cette décision ?

La responsabilité de la sécurité des données incombe au responsable de traitement, quand bien même celui-ci confierait à un prestataire ou un sous-traitant ses données.

Il ne suffit pas, pour le responsable de traitement, d’introduire une obligation de sécurité dans le contrat à la charge de son prestataire et de ses sous-traitants, encore faut-il « prendre des mesures positives destinées à assurer [soi-même] que la sécurité des données soit préservée ».

En l’espèce, la CNIL a retenu qu’Orange n’avait pas procédé à un audit de sécurité avant d’utiliser la solution technique de son prestataire pour l’envoi de campagnes d’emailing alors que cette mesure lui aurait permis d’identifier ladite faille. La CNIL avait également reproché à Orange d’avoir utilisé des moyens de communication non sécurisés pour transférer à ses prestataires des données à caractère personnel.

Enfin, le responsable de traitement doit veiller à ce que les consignes de sécurité prévues dans le contrat avec son prestataire soient répercutées au prestataire secondaire.

https://www.legifrance.gouv.fr/affichJuriAdmin.do?oldAction=rechJuriAdmin&idTexte=CETATEXT000031861287&fastReqId=693947000&fastPos=2

[:]

Réforme du droit des contrats, du régime général et de la preuve des obligations: l’Ordonnance n°2016-131 du 10 février 2016 est parue au JO

Réforme du droit des contrats, du régime général et de la preuve des obligations: l’Ordonnance n°2016-131 du 10 février 2016 est parue au JO

Les textes relatifs au droit des obligations sont pour l’essentiel demeurés inchangés depuis le Code Napoléonien, promulgué il y a deux siècles. Considérant que ces textes n’étaient plus adaptés à la société et devaient être réformés, le ministère de la justice a, sur le fondement d’une habilitation issue de la loi du 16 février 2015, élaboré un avant-projet d’ordonnance, qui a ensuite été soumis à une consultation publique sur internet du 28 février au 30 avril 2015.

Aboutissement de ces discussions, l’Ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations est parue au Journal Officiel du 11 février 2016.

L’objectif poursuivi par l’ordonnance est de rendre plus lisible et plus accessible le droit des contrats, du régime des obligations, et de la preuve. En d’autres termes, « de le moderniser, pour faciliter son accessibilité et sa lisibilité, tout en conservant l’esprit du code civil, à la fois favorable à un consensualisme propice aux échanges économiques et protecteur des plus faibles » (Rapport au Président).

En attendant une analyse plus approfondie des dispositions de l’Ordonnance dont l’entrée en vigueur est fixée au 1er octobre 2016, on peut déjà noter que l’ordonnance modifie le plan actuel du Code civil en restructurant intégralement les titres. Elle consacre des mécanismes juridiques de la vie courante qui étaient jusque-là absents du Code civil (tel est le cas de l’offre ou de la promesse unilatérale de contrat) tout en codifiant, à droit constant, la jurisprudence développée depuis deux cents ans.

Le texte est disponible ici: https://www.legifrance.gouv.fr/jo_pdf.do?id=JORFTEXT000032004939

Le rapport au Président de la République relatif à l’ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations est disponible ici:

https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=370D8F53424EBDE9D2FA2865EDBD05F8.tpdila13v_2?cidTexte=JORFTEXT000032004539&dateTexte=&oldAction=rechJO&categorieLien=id&idJO=JORFCONT000032003864

Perte d’agrément du revendeur autorisé de logiciel – Condamnation de l’éditeur pour concurrence déloyale (125.000 euros)

Perte d’agrément du revendeur autorisé de logiciel – Condamnation de l’éditeur pour concurrence déloyale (125.000 euros)

La chambre commerciale de la Cour de cassation est venue préciser les relations entre éditeurs de logiciels et revendeurs autorisés.

Dans une décision du 5 janvier 2016, les juges de la Haute Cour ont rejeté le pourvoi d’un éditeur de logiciel contre une décision de la Cour d’appel de Colmar le condamnant à verser 125.000 euros à son ancien revendeur agréé à titre de dommages intérêts pour concurrence déloyale.

En l’espèce, un revendeur autorisé de logiciels qui vendait également des prestations d’assistance et de maintenance à ses clients s’est vu retirer son agrément par l’éditeur. Ce dernier a cru bon de s’adresser directement aux clients de son ancien revendeur pour les informer de ce retrait d’agrément. De nombreux clients ayant, à la suite de cette communication, dénoncé les contrats de maintenance et d’assistance avec l’ancien revendeur, celui-ci a assigné l’éditeur de logiciel en paiement de dommages-intérêts pour concurrence déloyale.

Les juges de la Cour de cassation, tout en reconnaissant l’importance que pouvait revêtir l’agrément de la société revendeuse (« [l’agrément] donnait des garanties de soutien et de contrôle »), ont retenu que l’éditeur avait commis une faute en prenant directement contact avec la clientèle du revendeur. Les juges ont estimé que les contrats d’assistance et de maintenance n’engageaient que le revendeur avec ses propres clients indépendamment de l’agrément de l’éditeur d’autant que « le contrat d’agrément lui-même ne prévoyait rien de particulier quant aux effets de sa résiliation à l’égard des clients du centre anciennement agréé ».

Cette décision reconnaît au revendeur sa clientèle propre lorsqu’il fournit des prestations d’assistance et de maintenance du logiciel en sus de ses activités de distribution de licences. Elle souligne par ailleurs l’importance de prévoir dans le contrat entre l’éditeur et le revendeur autorisé les conséquences du retrait d’agrément, et en particulier, en termes de communication avec les clients.

(Cass.Com. 5 janvier 2016, N° de pourvoi: 13-22563, Orditech c/ Sage)