Un catholique qui voulait demander à se faire « débaptiser » et obtenir son retrait du registre des baptêmes s’est confronté au refus de l’Eglise qui considère qu’un baptême ne peut s’effacer, ou se « retirer ». Elle préfère mentionner en face de son nom que l’intéressé a « renié son baptême », tout en maintenant la ligne qui le concerne. Cette position n’est pas contraire au RGPD, selon le Conseil d’Etat. Dans sa décision du 2 février 2023, il a estimé qu’il « n’existe pas de motif légitime impérieux pour le traitement prévalant sur ses intérêts et ses droits et libertés, l’intérêt qui s’attache, pour l’Eglise catholique, à la conservation des données personnelles relatives au baptême figurant dans le registre, [qui] doit être regardé comme un motif légitime impérieux, prévalant sur l’intérêt moral du demandeur à demander que ces données soient définitivement effacées, eu égard, d’une part, à l’objet du registre des baptêmes et aux conditions dans lesquelles il est susceptible d’être consulté […], ainsi que, d’autre part, à la faculté ouverte à toute personne baptisée de faire apposer sur le registre une mention faisant état de sa décision de renoncer à tout lien avec la religion catholique.»
Un homme avait déposé une plainte auprès de la Cnil relative au refus opposé par l’association diocésaine d’Angers de faire droit à sa demande d’effacement et d’opposition au traitement de ses données. Par un courrier en date du 2 décembre 2021, la présidente de la Cnil l’avait informé de la clôture de sa plainte. Elle avait considéré que l’intéressé ne pouvait se prévaloir d’aucun des motifs d’effacement mentionnés au paragraphe 1 de l’article 17 du RGPD et que l’apposition en marge du registre d’une mention selon laquelle le baptisé ne reconnaissait pas la valeur de son baptême pouvait être regardée comme satisfaisant à l’exercice de son droit d’opposition fondé sur le paragraphe 1 de l’article 21 du RGPD. Cette décision de la Cnil a fait l’objet d’un recours en annulation pour excès de pouvoir devant le Conseil d’Etat.
Le Conseil d’Etat, qui a approuvé le raisonnement de la Cnil, commence par rappeler que les registres des baptêmes tenus par l’Eglise catholique sont destinés à conserver la trace d’un événement qui, pour elle, constitue l’entrée dans la communauté chrétienne. Et l’effacement définitif de l’enregistrement du baptême pourrait poser un problème si l’intéressé souhaitait réintégrer la communauté chrétienne et notamment se marier religieusement. Il juge ensuite que la mention de ses données personnelles sur le registre des baptêmes, relatives à l’état civil, à la filiation et aux coordonnées de la personne baptisée ne constitue pas un traitement illicite au regard des dispositions du d) du paragraphe 2 de l’article 9 du RGPD et que la conservation des données ainsi collectées durant une période ne s’achevant qu’après le décès de la personne concernée est nécessaire au regard des finalités de ce traitement. Il ne peut donc être fait droit à une demande d’effacement de ces données sur le fondement des dispositions des a) ou d) du paragraphe 1 de l’article 17 du RGPD. En outre, dès lors que la mention de ces données personnelles sur le registre des baptêmes n’est pas fondée sur le consentement de la personne baptisée au sens du a) du paragraphe 1 de l’article 6 de ce règlement, cité au point 5, notion reprise au a) du paragraphe 2 de l’article 9 du même texte, il ne peut davantage être fait droit à une demande d’effacement de ces données sur le fondement des dispositions du b) du paragraphe 1 de l’article 17 du RGPD relatives au retrait du consentement. Enfin, le Conseil d’Etat considère que le droit d’opposition prévu par l’article 21 du RGPD pouvait être satisfait, eu égard à la nature du registre des baptêmes tenu par l’Eglise catholique, par l’ajout d’une mention, en marge de ce registre, exprimant la volonté de l’intéressé de renoncer à tout lien avec l’Eglise catholique.

Par un arrêt très bien motivé du 21 décembre 2023, la cour d’appel de Paris rappelle quelles sont les données d’identification communicables par un hébergeur dans le cadre d’une procédure judiciaire. Meta demandait à ce que la communication ordonnée se limite aux « basic subscriber information » (BSI), à savoir les informations d’identification de base en sa possession, soit les noms des titulaires, la date de création du compte, une adresse électronique ou une adresse IP correspondant à la création du compte. Sur le fondement du décret du 20 octobre 2021, pris en application du II de l’article 6 de la LCEN, la cour d’appel a ordonné à Meta de ne communiquer à l’Association nationale de prévention en alcoologie et addictologie (Anfaa) que les noms et prénoms ou raison sociale des titulaires de comptes Instagram, les pseudos utilisés ainsi que les adresses email ou de comptes associés. La cour a expliqué qu’« il résulte de la combinaison de ces dispositions légales et réglementaires que les hébergeurs ne sont tenus de communiquer, pour les besoins des procédures pénales, que les informations relatives à l’identité civile de l’utilisateur et les « autres informations fournies par lui lors de la souscription du contrat ou de la création du compte » ainsi que « les informations relatives au paiement », à l’exclusion des données techniques permettant d’identifier la source de la connexion ou de celles relatives aux équipements terminaux utilisés, notamment l’adresse IP ». En l’espèce, l’Anfaa a sollicité la communication de données d’identification des auteurs de publications sur Instagram pour les besoins d’une procédure pénale, celle-ci souhaitant poursuivre les intéressés pour des faits d’infraction aux dispositions des articles L. 3323-2, L. 3323-4 à L. 3323-6, relatifs à la publicité des boissons alcooliques, prévues et réprimées par l’article L 3351-7 du code de la santé publique et hospitalière.
L’Anfaa avait relevé 19 comptes Instagram qui auraient posté des publicités illicites pour des boissons alcoolisées, en violation des dispositions sanctionnées pénalement par les articles L. 3323-2 et suivants du code de la santé publique. De plus, certaines publications litigieuses ne comportant pas la mention légale sanitaire de la loi Evin, (l’abus d’alcool est dangereux pour la santé), associant l’image de personnalités avec la consommation d’alcool dans des environnements festifs, joyeux et conviviaux, contreviennent aux dispositions de l’article L. 3323-4 du code de la santé publique. Par un jugement du 5 janvier 2023, le tribunal judiciaire de Paris avait ordonné à Meta de retirer les publications en cause, ce qu’elle a fait. Le tribunal lui avait également ordonné de communiquer à l’association les données destinées à identifier les éditeurs des comptes concernés. C’est sur ce point que Meta a fait appel du jugement.
Comme le tribunal judiciaire, la cour a reconnu qu’« il existe bien, par l’incitation non encadrée à consommer de l’alcool, un dommage, au sens de l’article L 6, I, 8 de la LCEN, porté à l’objet même de l’ANPAA et la demande de communication des éléments d’identification est particulièrement fondée, étant précisé que l’Anpaa justifie avoir tenté de contacter les titulaires des comptes mais qu’elle s’est heurté à des refus de retirer les dites publications ». Mais sur la demande de Meta, la cour a réduit l’étendue des données d’identification communicables en application du décret du 20 octobre 2021. Elle constate toutefois que « la société Meta ne s’oppose pas à communiquer, en outre, si elle les a conservées, les données relatives à l’identifiant de connexion au moment de la création du compte, à l’adresse IP de connexion du compte et à la date de création des comptes ».

Même si la cour d’appel de Grenoble infirme le jugement qui avait ordonné à la Banque Rhône Alpes de faire toutes diligences à ses frais auprès des autorités fiscales des Etats-Unis afin qu’elles procèdent à l’effacement total de ses déclarations FATCA impliquant à tort son client, elle condamne néanmoins la banque à verser à ce dernier 6 000 € pour l’indemniser de son préjudice moral. Par son arrêt du 19 décembre 2023, la cour d’appel a estimé que la banque avait commis une faute pour l’avoir inscrit dans un traitement FATCA tenu par la Direction générale des finances publiques (DGFIP), en ayant considéré à tort que Toronto, lieu de naissance du client, était situé aux Etats-Unis. Elle a jugé que son préjudice moral était constitué par la rectification de la déclaration FATCA tardive, de FATCA 1 à FATCA 3. La cour a en revanche rejeté les demandes du client relatives à l’effacement total des déclarations FATCA car elle considère que cette action ne revenait pas à la banque, qui l’a pourtant inscrite dans le traitement tenu par la DGFIP, mais à la DGFIP.
Un Français né à Ottawa, capitale du Canada, avait reçu un courrier de sa banque, la Banque Rhône-Alpes, lui demandant de confirmer qu’il présentait bien des critères d’ « américanéïté », en raison de son lieu de naissance et l’informant qu’elle déclarait donc l’existence de son compte aux autorités fiscales américaines. Le Foreign Account Tax Compliance Act oblige en effet les établissements bancaires du monde entier à déclarer aux autorités fiscales des Etats-Unis tout client considéré comme contribuable américain. Dans ce cadre, un accord avait été conclu le 14 novembre 2013 entre les gouvernements français et américain imposant aux établissements bancaires français de déclarer à la DGFIP tout client considéré comme contribuable américain, à charge, pour Ia DGFIP de transférer les informations aux autorités fiscales des États-Unis. La banque française, croyant qu’Ottawa était situé aux Etats-Unis avait effectué une déclaration FATCA à la direction générale des finances publiques qui avait transféré les informations à ses homologues américains. Le client a téléphoné à sa banque pour lui confirmer qu’il était né à Ottawa, au Canada. Malgré cette démarche, la banque a maintenu sa déclaration outre-Atlantique. Il a ensuite demandé la rectification par la banque qui s’y est opposée affirmant qu’il existe des villes du nom d’Ottawa aux Etats-Unis et qu’il ne justifiait pas ne pas être né dans ces villes. Finalement, et après fourniture d’un extrait de naissance, la banque s’était exécutée pour 2018 mais pas pour les années antérieures.
Par un arrêt du 12 mars 2019, la cour d’appel de Grenoble avait confirmé l’effacement total ordonné en référé de toutes les données personnelles d’un client figurant indûment dans un traitement dans le cadre de la loi américaine FATCA. Et par un jugement du 7 février 2022, le tribunal judiciaire de Grenoble avait ordonné à la banque de faire toutes diligences à ses frais auprès des autorités fiscales des Etats-Unis afin qu’elles procèdent à l’effacement total des déclarations FATCA impliquant son client. Mais la cour d’appel a infirmé cette décision au motif que cette démarche relève de l’administration et non de la banque. Comme l’explique la cour, « l’accord FACTA prévoit seulement à la charge de l’institution financière ayant procédé à une déclaration FATCA 1 erronée auprès de la DGFIP de procéder au dépôt d’une déclaration rectificative « FATCA 3 » ; l’effacement des données transmises à l’administration fiscale française et aux services fiscaux américains ne relève pas des pouvoirs conférés par cet accord à la Banque qui de plus fort n’a pas accès aux fichiers de ces administrations, l’article 5 dudit accord précisant qu’en cas d’erreur constatée par les États-Unis, ceux-ci en réfèrent à l’administration fiscale française, qui se charge de contacter l’institution financière et, le cas échéant, d’appliquer les amendes prévues par sa législation, signifiant ainsi que les autorités fiscales de chacun des Etats sont seules compétentes pour échanger entre elles ».

Quelques jours avant l’ordonnance de référé du tribunal administratif de Lille, le tribunal administratif de Nice a été amené à se prononcer sur le recours à la reconnaissance faciale et à la vidéosurveillance algorithmique par cette ville. Par une ordonnance de référé du 23 novembre 2023, les juges ont conclu qu’aucune atteinte grave et manifestement illégale aux libertés fondamentales n’était en l’espèce caractérisée. En conséquence, ils rejettent les demandes de la Ligue des droits de l’homme, du Syndicat de la magistrature et de l’Union syndicale « Solidaires » au juge des référés d’enjoindre à la commune de Nice de cesser immédiatement l’usage du logiciel édité par la société Briefcam permettant la reconnaissance faciale et l’usage du logiciel de vidéosurveillance algorithmique Wintics ou, dans le cas où ledit logiciel ne serait pas utilisé, de ne pas le déployer.
La commune de Nice affirme avoir utilisé Briefcam, à titre expérimental, lors de la coupe d’Europe de football de 2016 et lors du carnaval de Nice édition 2019, mais ne l’utilise plus actuellement. Par ailleurs, elle prétend n’avoir jamais activé la licence permettant de procéder à de la reconnaissance faciale au moyen de ce logiciel. En revanche, elle a eu recours à la reconnaissance faciale, à titre expérimental, lors du carnaval de Nice édition 2019, au moyen de la solution Anyvision éditée par la société Confidentia. Enfin, elle ne nie pas avoir passé un marché pour l’acquisition d’un « logiciel de vidéosurveillance augmentée », dénommé Wintics, non édité par la société Briefcam, en vue de l’utiliser dans le cadre de l’expérimentation prévue par la loi du 19 mai 2023 (pour les jeux olympiques et paralympiques 2024). Mais elle affirme que ce logiciel n’est pas encore déployé, les procédures légales et réglementaires préexistantes à son déploiement étant en cours.
Le tribunal conclut que « à supposer même que la commune soit dotée d’un tel logiciel (Briefcam), lequel comporterait d’autres fonctionnalités que celle permettant la reconnaissance faciale, il n’est pas établi que la simple détention de ce logiciel impliquerait, dans tous les cas, que les informations recueillies par le système de vidéoprotection de la commune puissent conduire, au bénéfice d’un autre usage que celui qui ne mettrait pas en œuvre la reconnaissance faciale, à rendre les personnes auxquelles elles se rapportent identifiables ».

Par une ordonnance de référé du 22 novembre 2023, le tribunal administratif de Caen a enjoint à la communauté de communes Cœur Côte Fleurie (comprenant notamment Deauville-Trouville) d’effacer les données à caractère personnel issues de l’usage du logiciel de vidéosurveillance algorithmique Briefcam, à l’exception d’un seul exemplaire du fichier, dans sa dernière version à la date de la présente ordonnance, qui sera placé sous séquestre auprès de la Commission nationale informatique et libertés. Le juge des référés a considéré que le dispositif de caméras augmentées de BriefCam utilisé par la communauté de communes porte une atteinte grave et manifestement illégale au respect de la vie privée. Il constate que le recours à un tel système qui intervient en dehors de tout cadre légal ou réglementaire et qui a pour objet de simplifier l’exploitation du contenu de vidéosurveillance et d’accélérer le temps d’identification des menaces de sécurité, permet d’identifier des personnes physiques en fonction de leurs caractéristiques propres. Il note par ailleurs qu’il n’est pas établi ni même allégué que d’autres moyens moins intrusifs au regard de la vie privée ne pouvaient être mis en œuvre afin de préserver l’ordre public.
Ce dispositif d’analyse vidéo a été mis en place en 2016 afin de transformer la vidéo brute en source de renseignements exploitables, en réduisant le temps d’identification des menaces de sécurité et un communiqué de l’intercommunalité informe qu’il s’appuie quotidiennement sur Briefcam pour faire progresser les enquêtes. Mais il a fallu la publication d’un article sur le site Disclose le 14 novembre 2023 pour que le public apprenne son existence. Il révèle que les caméras augmentées couplées au logiciel de vidéosurveillance algorithmique Briefcam permettent, d’une part, d’identifier des personnes physiques en fonction de leurs caractéristiques propres (taille, couleur de peau, couleur de cheveux, âge, sexe, couleur des vêtements et apparence, manière de se mouvoir) et, d’autre part, de les suivre de manière automatisée. Comme l’explique le guide des technologies de sûreté 2022 versé au dossier, le logiciel Briefcam constitue une plateforme complète d’analyse de contenu vidéo qui s’intègre dans les systèmes de vidéosurveillance existants et permet d’exploiter le contenu de vidéosurveillance en simplifiant la consultation de ces systèmes et leur exploitation. Selon ce document, cette plateforme, « basée sur une combinaison unique de la technologie brevetée de Vidéo Synopsis et deep learning » permet entre autres d’accélérer les enquêtes en résumant des heures de vidéos en quelques minutes, avec plus de trente filtres de classification d’objets.
Comme le rappelle la Cnil et le tribunal, la loi Informatique et libertés n’autorise pas le déploiement dans l’espace public par l’Etat ou les collectivités publiques de caméras intelligentes ou augmentées qui permettent de repérer de manière automatique des comportements contraires à l’ordre public ou des infractions. À noter que la communauté de communes Cœur Côte Fleurie n’a pas présenté d’observation en défense et n’était pas représentée.

Par une ordonnance de référé du 29 novembre 2023, le tribunal administratif de Lille a estimé que la ville de Roubaix n’utilisait pas la fonction de reconnaissance faciale de son logiciel de vidéoprotection Briefcam. D’après les explications fournies par la ville, il s’avère que la fonction de détection faciale était désactivée, qu’elle ne pourrait être activée que par une reconfiguration du système et uniquement en utilisant un compte administrateur dont ne dispose pas la commune de Roubaix. Par ailleurs, la ville n’a émis aucune demande d’activation de cette fonction. En conséquence, le tribunal déboute la Ligue des droits de l’homme, le Syndicat de la magistrature et l’Union syndicale « Solidaires » de leurs demandes visant à ce que le tribunal enjoigne à la commune de Roubaix de cesser immédiatement l’usage du logiciel Briefcam et de mettre sous séquestre auprès de la Cnil la version du logiciel utilisée.
Par un arrêté du 5 novembre 2019, le préfet du Nord a reconduit pour une durée de cinq ans l’autorisation précédemment délivrée à la commune de Roubaix, par son arrêté du 27 avril 2010, d’installer un système de vidéoprotection. Ce système comporte 470 caméras fixes, réparties sur douze périmètres, et pilotées depuis un centre de supervision urbain (CSU). Sa police municipale indique utiliser le logiciel Briefcam uniquement pour procéder, a posteriori, à une recherche de plaques d’immatriculation, sur réquisition judiciaire. Et le CSU n’a, dans ce cadre, eu recours à ce logiciel qu’à 23 reprises au cours de l’année écoulée. Elle précise d’ailleurs qu’elle n’utilise pas non plus ce logiciel à des fins de vidéoverbalisation car elle dispose, pour la lecture courante des plaques d’immatriculation et la constatation des infractions au stationnement, d’un lecteur automatique de plaques d’immatriculation (LAPI). La Cnil, de son côté, avait procédé à un contrôle du système le 20 avril dernier, et n’avait constaté aucun manquement.

Le 27 novembre 2023, le tribunal de commerce de Paris a condamné une société de services informatiques spécialisée en « accessibilité numérique » à verser 17 500 € de dommages et intérêts et 10 000 € au titre de l’article 700 du CPC à un concurrent pour avoir tenu des propos dénigrants à son sujet. Le tribunal a considéré que la teneur des deux tweets qui lui étaient reprochés dépassaient les limites de la libre critique en raison de leur absence de nuance, de mesure ou de base factuelle suffisante. Les juges consulaires ont ainsi jugé que « les propos litigieux ont porté atteinte à l’image commerciale de la société visée et revêtent donc un caractère fautif ».
La société Koena avait posté deux tweets relatifs à la solution d’accessibilité numérique de son concurrent Facil’iti qui, selon elle, ne permettait pas de rendre accessible son site aux personnes en situation de handicap, ne répondait pas aux besoins de ces internautes ou n’était pas conforme au Référentiel général d’amélioration de l’accessibilité (RGAA). Elle avait également organisé un appel à témoignages sur les réseaux sociaux destiné à discréditer la solution de son concurrent. Facil’iti a donc demandé à Koena de retirer ses messages. Face au refus de cette dernière, elle l’a assignée devant le tribunal de commerce de Paris pour dénigrement.
Le tribunal a commencé par rappeler que le dénigrement consiste à répandre à l’encontre d’un concurrent des informations malveillantes à son propos ou à celui de ses produits ou services dans le but de nuire, peu important que la divulgation de cette information soit exacte dès lors qu’elle jette le discrédit. Le juge retient que Koena a exprimé publiquement une opinion péjorative et estime que le fait d’utiliser le terme « mensonger » atteste d’une absence de neutralité et de mesure. Il considère par ailleurs que les propos en cause ne reposent pas sur une base factuelle suffisante. Koena affirmait ainsi que la solution ne répondait pas aux besoins des internautes en situation de handicap, sans nuance au regard de la multiplicité des handicaps possibles susceptibles d’affecter la capacité des personnes à interagir sur le web. Koena reprochait également à son adversaire de ne pas être conforme au RGAA alors que la notion « d’accessibilité numérique » serait réservée, selon elle, aux seuls opérateurs qui respectent le RGAA. Or, le tribunal rappelle « l’absence de toute définition juridique des termes « accessibilité numérique » malgré une dizaine de pages consacrées par Koena à cette question, l’usage de ce terme n’étant pas réservé aux seuls opérateurs économiques d’importance assujettis au RGAA ». A noter que ce référentiel n’est imposé qu’à l’Etat, aux collectivités locales et aux entreprises d’une certaine taille. Le tribunal en conclut que le terme « accessibilité numérique » « n’est pas en soi de nature à justifier une tromperie dès lors que la communication n’est pas trompeuse, que ce terme n’est pas réservé aux seuls acteurs d’importance tenus de respecter 106 critères du RGAA, dont le Tribunal rappelle qu’il s’agit d’une liste de bonnes pratiques afin de remplir un objectif d’accessibilité et qu’il ne constitue pas la seule méthode pour y parvenir ».

Par un jugement du 6 octobre 2023 du tribunal judiciaire de Lille, une banque en ligne a été condamnée à réparer le préjudice financier subi par une cliente victime d’une escroquerie en ligne car elle a manqué à son devoir de vigilance, en validant plusieurs ordres de virement sans vérifier les capacités financières et les connaissances de sa cliente pour se dispenser de lui apporter une information. En conséquence, la banque est tenue d’indemniser le préjudice subi, lié à la perte de chance de ne pas avoir conservé les fonds.
En l’espèce, une femme avait été contactée par un pseudo « conseiller » d’une plateforme en ligne spécialisée dans l’acquisition de parts SCPI dénommée « INFOSCPI ». Via son interface en ligne, elle avait donné instruction à sa banque Monobanq de procéder à un virement de 30 000 € au profit d’un compte à la banque Portugaise Banco BPI pour l’ « achat de parts de SCPI ». Le virement a été validé par son conseiller en ligne et deux mois plus tard, la cliente a donné instruction de procéder à un premier virement de 50 000 € au profit d’un compte à la banque Espagnole Banco Sabadell, puis à un second de 40 000 € au profit d’un compte auprès de la banque hongroise Optbank. Informée par l’Autorité des marchés financiers de l’éventualité d’une escroquerie commise à son préjudice, et en l’absence de réponse à ses demandes de restitution de fonds adressées sur la plateforme InfoScpi, celle-ci étant désactivée, la cliente de Monabanq a déposé plainte, mais cette dernière a été classée sans suite. Elle a donc mis en demeure Monabanq de réparer la somme de 120 000 € investie à perte. Après la contestation par la banque de toute violation de son devoir de conseil et de son obligation de vigilance, la cliente l’a assignée devant le tribunal judiciaire de Lille en responsabilité contractuelle et indemnisation du préjudice financier.
Le tribunal commence par rappeler que la banque est tenue à l’égard de ses clients non avertis à un devoir de mise en garde. Par ailleurs, elle doit justifier avoir vérifié les capacités financières et les connaissances de son client pour se dispenser de lui apporter une information spécifique et assurer à son égard son devoir de vigilance. La société Monabanq ne justifiant pas avoir contacté sa cliente au sujet des opérations concernées autrement qu’en exécutant les ordres de virement sollicités, le tribunal estime qu’elle a nécessairement commis un manquement à son devoir de vigilance, sans que la légèreté supposée de la victime n’ait eu un caractère exonérateur de sa propre responsabilité. Il conclut qu’elle doit réparer le préjudice financier, lié à la perte de chance de ne pas avoir conservé les fonds.
En cas de perte de chance, la réparation du dommage ne peut qu’être partielle. Toutefois, si le manquement à un devoir de vigilance ne peut donner lieu qu’à réparation d’une perte de chance, l’indemnisation ne peut être du montant des sommes investies. Monabanq est condamnée à payer 50 % des sommes à titre de réparation de la perte de chance de ne pas investir ses fonds à perte, soit 60 000 € assortie des intérêts au taux légal à compter de ce jour.

Non seulement, on n’est jamais sûr de gagner un procès contre son prestataire informatique, mais la procédure peut coûter bien plus cher que le contrat objet du litige. C’est l’expérience vécue par une société qui a été condamnée à verser 5 000 € à son prestataire, au titre des frais qu’elle a engagés pour se défendre et au dépens, sommes auxquelles s’ajoutent ses propres dépenses de défense. Le contrat portait sur la migration de son site pour un montant inférieur à 8 000 €. Dans son jugement du 4 octobre 2023, le tribunal de commerce a débouté le client de toutes ses demandes.
Une société avait confié à un prestataire la migration d’un site d’e-commerce mutualisé vers un site dédié ainsi que son référencement payant. Mais les performances du site n’ont pas été améliorées et cette migration a entraîné l’endommagement du module et la corruption d’un certain nombre de données qui avait entraîné une détérioration du référencement naturel. Le tribunal a conclu que la lenteur du système n’était pas imputable à Yatéo dont le contrat d’un faible montant ne couvrait pas cet aspect et qui avait proposé sans succès un « audit de lenteur de front ». Le tribunal relève par ailleurs que l’hébergeur avait constaté que les disques n’étaient pas assez performants pour cette activité. Concernant l’endommagement du module et la détérioration du référencement, le tribunal a estimé que ces dysfonctionnements n’étaient pas davantage imputables au prestataire. Ce dernier n’avait pas été investi d’une mission portant sur le référencement naturel. Par ailleurs, le client avait refusé la proposition d’assistance du prestataire. Selon les juges, celui-ci a respecté ses engagements et n’a pas manqué à son obligation d’information et de conseil.

L’ordonnance de référé du 11 août 2023 du tribunal judiciaire de Paris vient préciser, de manière très motivée, le cadre dans lequel les hébergeurs doivent communiquer les données d’identification qu’ils détiennent. L’article 145 du code de procédure civile impose qu’une telle mesure soit légitime et proportionnée au but poursuivi, dans le respect des articles 6 II de la LCEN, L 34-1 du code des postes et des communications électroniques et du décret du 20 octobre 2021. Dans une affaire d’harcèlement sur LinkedIn, le tribunal juge que ces conditions sont remplies.
Dans cette affaire, une cadre d’une société avait été la cible depuis plus d’un an de messages s’en prenant à sa personne ou à son apparence physique, publiés sous pseudonyme, sur son compte professionnel LinkedIn, en mode public, en commentaire de ses publications, ou en mode privé. Elle avait donc sollicité le tribunal pour qu’il ordonne à LinkedIn de livrer les données permettant d’identifier les titulaires des comptes à l’origine de ces messages. Cette requête avait été rejetée au motif qu’il ne pouvait pas être fait exception au principe du contradictoire. Elle a donc assigné LinkedIn en référé pour obtenir ces données.
Sur le motif légitime invoqué, le tribunal rappelle qu’« il ne s’agit pas ici de vérifier si le délit invoqué est constitué mais d’apprécier si l’action pénale pour les besoins de laquelle la mesure d’instruction est sollicitée sur le fondement de l’article 145 du code de procédure civile est, ou pas, manifestement vouée à l’échec ». Après analyse des douze messages malveillants envers une personne en un an, le tribunal a estimé que ces éléments étaient crédibles et démontraient que le litige potentiel n’était manifestement pas voué à l’échec. Le tribunal a conclu que la victime de cyberharcèlement « justifie d’un motif légitime, l’identification de la personne ou des personnes à l’origine des messages qu’elle dénonce étant le préalable nécessaire à l’engagement d’une procédure pénale sur citation directe, le fait que d’autres voies procédurales s’offrent à elle pour agir sur le plan pénal n’affectant en rien la légitimité de sa démarche ». Le tribunal a par ailleurs considéré que LinkedIn, hébergeur des messages tant publics que privés, devait communiquer les données d’identification des titulaires des comptes à l’origine des messages pouvant être qualifiés de cyberharcèlement, prévu au titre de l’article 222-333-2-2 du code pénal. S’agissant d’une infraction punie d’une peine maximale de deux ans de prison, le tribunal a considéré que la communication des données était proportionnée à l’atteinte alléguée. « Outre qu’elle est légalement admissible, cette mesure apparaît proportionnée aux intérêts antinomiques en présence, le droit de la preuve de la demanderesse, exercé pour la défense d’un droit en justice ne portant pas une atteinte disproportionnée au droit à la vie privée de la ou des personnes dont les données d’identification lui seraient communiquées en vue d’un usage procédural licite ».