L’auteur d’un rançongiciel qui avait été condamné à 10 000 € d’amende et à six mois d’emprisonnement avec sursis a vu infirmée sa condamnation à verser plus de 325 000 € de dommages-intérêts à la société victime. Dans son arrêt du 30 juin 2021, la cour d’appel de Versailles a d’abord rejeté les demandes de réparation du préjudice moral de la société victime. Elle ne conteste pas le principe de la réparation du préjudice moral d’une personne morale. Cependant, elle rejette le principe de la réparation d’un préjudice d’affectation, notamment la réparation de l’anxiété provoquée par la demande de rançon, en rappelant qu’elle ne bénéficie qu’aux personnes physiques et non aux personnes morales. Sa demande aurait été acceptée si elle avait porté sur la dégradation concrète de sa réputation ou de son image auprès de ses clients, caractérisée par une quelconque diffusion dans les médias des faits dont elle avait été victime, portant atteinte à son activité et à son image ou par un détournement de clientèle. Quant au préjudice financier, la cour rejette les demandes de la société victime faute de preuves de la prise en charge financière des frais par la société.
Le 31 décembre 2018, la société Enablon recevait un courriel anonyme en anglais lui demandant le paiement d’une rançon d’un million d’euros sur différents comptes bitcoins, en apportait la preuve de la possession de données confidentielles de la société : comptes bancaires, liste de contacts, documents et extraits du code source de l’application principale de la société. Le paiement de la rançon devait être effectué avant le 15 janvier 2019, à défaut de quoi le pirate adresserait des spams aux partenaires, aux employés, aux concurrents avec toutes les données confidentielles en sa possession. Enablon a tout de suite réagi en notifiant l’atteinte aux données personnelles auprès de la Cnil, et a présenté des requêtes au tribunal afin d’identifier l’auteur de cette action. Cette mesure a permis d’identifier un ancien directeur technique de l’entreprise, de 2005 à 2015, dont les fonctions avaient pris fin suite à une rupture conventionnelle. Par ailleurs, une analyse du disque dur que cet employé utilisait lorsqu’il travaillait pour la société, avait démontré qu’un appareil nommé « Ianstarsolo » avait déjà été connecté à ce poste de travail, ce qui permettait de faire un lien entre cet ex-directeur technique et le rançonneur. Enablon a déposé plainte et le prévenu placé en garde à vue a reconnu l’ensemble des faits qui lui étaient reprochés.
Le décembre 2019, le tribunal correctionnel de Nanterre l’a condamné à six mois d’emprisonnement avec sursis et une amende de délictuelle de 10 000 € pour avoir accédé et s’être maintenu dans le système de traitement de données de son ancien employeur, pour avoir frauduleusement extrait des données et pour avoir tenté de commettre une extorsion de fonds. Par un jugement du 17 janvier 2020, le tribunal correctionnel statuant sur les intérêts civils l’a condamné à verser 10 000 € au titre du préjudice moral et 315 930 € au titre du préjudice matériel subi. Cette dernière somme comprenait 30 096 € de remboursement des frais et honoraires au titre des diligences liées à la procédure auprès de la Cnil, 27 300 € en remboursement de frais et honoraires au titre de la communication de crise, 53 393 € au titre des honoraires et frais liés à la recherche de preuves techniques et 205 139 € au titre des honoraires et des frais juridiques et de management. L’auteur du ransomware a fait appel de cette dernière décision portant sur les intérêts civils. Après avoir rejeté les demandes relatives au préjudice moral, la cour d’appel a remis en cause le jugement quant au préjudice financier. Le préjudice invoqué portait sur les frais engendrés par la demande de rançon et notamment les frais d’avocat. Mais la cour a considéré qu’Enablon n’avait pas apporté la preuve qu’elle avait supporté elle-même ces frais. Par ailleurs, les éléments justificatifs produits sont, selon la cour, insuffisants à établir la réalité du paiement allégué en l’absence d’éléments extrinsèques probants tel que le journal des achats portant des enregistrements des factures, les éléments de la banque portant le paiement des factures, etc.
L’arrêt a fait l’objet d’un pourvoi en cassation.

Par un jugement très motivé du 8 juillet 2021, le tribunal judiciaire de Paris a condamné l’éditeur du site Leparking.fr pour avoir extrait et réutilisé une partie quantitativement substantielle du contenu de la base de données du site d’annonces de véhicules d’occasion Lacentrale.fr. Le tribunal a estimé qu’il avait ainsi porté atteinte aux droits du producteur de bases de données, la société Groupe La Centrale, et qu’il devait lui verser 50 000 € de dommages-intérêts. Il lui est, par ailleurs, fait interdiction de procéder à toute extraction ou réutilisation d’une partie substantielle de la base de données de Lacentrale.fr, sous astreinte de 1 000 € par jour de retard à exécuter cette décision.
Lacentrale.fr reprochait à Leparking.fr, un moteur de recherche qui référence les annonces publiques de ventes d’automobiles, d’extraire et de réutiliser de manière substantielle sa base de données. Pour l’établir, il a fait dresser un constat d’huissier qui montre que le 1er août 2018, Leparking.fr reprenait les informations contenues dans 346.030 annonces publiées sur le site Lacentrale.fr, alors qu’au mois de décembre 2018, ce site recensait entre 324 748 et 355 189 annonces. Avant de considérer qu’il y a eu une atteinte au droit sui generis du producteur, le tribunal a commencé par vérifier que Lacentrale.fr avait bien la qualité de producteur au sens de l’article L. 341-1 du CPI. Il a jugé que la preuve avait été rapportée d’investissements substantiels, du point de vue tant qualitatif (présentation d’annonces finalisées, pratiques, complètes et vérifiées) que quantitatif (en raison du nombre très important d’annonces) pour l’obtention, la vérification et la présentation du contenu de sa base de données. Lacentrale.fr justifie en effet d’investissements à la fois financiers et humains notamment pour le développement d’un système de dépôt d’annonces, la conclusion de contrats de fourniture de services informatiques, la création de moyens de contrôle de l’exactitude des éléments des annonces transmises par le public afin d’assurer la fiabilité de l’information.
Le tribunal a ensuite déterminé s’il y avait extraction et réutilisation substantielle des données de la base. Il note que Leparking.fr centralise des annonces diffusées par des tiers par aspiration via des robots et constate qu’il diffuse la quasi-totalité des annonces de Lacentrale.fr. « Un tel comportement d’appropriation massive de données est de nature à remettre en cause les investissements substantiels, en termes de moyens humains, techniques et/ou financiers, consentis par la société Groupe La Centrale à l’obtention, à la vérification ou à la présentation du contenu de sa base de données », estime le tribunal qui conclut à l’atteinte aux droits du producteur.

Une transaction amiable intervenue entre un prestataire informatique et son client ne constitue pas ipso facto une preuve suffisante que le prestataire aurait commis une faute à l’égard de son client, a rappelé le tribunal de commerce de Créteil dans un jugement du 6 juillet 2021. Le tribunal a donc débouté le tiers-victime, dirigeant de la société cliente, de sa demande de réparation du non versement de sa rémunération en raison de l’échec du développement du site de sa société. Il ne démontre pas la faute commise par le co-contractant, ni le dommage ou le lien de causalité entre la faute et le dommage. Comme le rappelle le tribunal, ces trois conditions sont impératives pour constituer un préjudice, au sens de l’article 1240 du code civil.
La société Booktrip qui commercialise des séjours touristiques a conclu un contrat de prestation informatique avec la société CFD Technologies pour développer son site internet. Mais CFD a pris du retard et le site s’est avéré inexploitable. Booktrip a donc fait appel à une autre société pour redévelopper le site. Finalement un accord amiable est intervenu entre les deux parties incluant une clause de confidentialité. Toutefois le dirigeant de Booktrip, très investi dans le projet, a néanmoins assigné CFD en réparation de son préjudice consistant en l’absence de rémunération qu’il aurait dû percevoir de Booktrip pendant la première année d’exploitation. Il soutient qu’il aurait dû recevoir 36 000 € mais le tribunal constate qu’il ne produit aucun élément de preuve sur le fait que cette rémunération ait été convenue ni sur son montant. Quant au versement d’une indemnité transactionnelle, le tribunal rappelle qu’elle ne vaut pas reconnaissance de responsabilité. Sur la faute, il n’établit pas non plus que les retards d’exécution du logiciel commandé seraient imputables à des manquements techniques de CFD ni à son absence d’implication dans le projet. Enfin, le dirigeant n’apporte pas la preuve que l’absence de versement des 36 000 € par Booktrip serait à chercher dans le retard du développement du site donc dans les manquements allégués de CFD envers Booktrip et non d’autres éléments de l’exploitation ou la gestion de Booktrip.

Par un jugement du 29 juin 2021, la 17e chambre correctionnelle du tribunal judiciaire de Paris a condamné un homme pour cyberharcèlement à 5 000 € d’amende avec sursis. Il doit, en outre, verser 5 000 € de dommages-intérêts à la victime ainsi que 3 000 € au titre de l’article 700 du code de procédure civile. Le tribunal a constaté un lien de causalité entre l’avalanche de messages reçus et la dégradation des conditions de santé psychique de la victime. En effet, l’article 222-33-2-2 du code pénal punit le fait de harceler une personne par des propos ou comportements répétés ayant pour objet ou pour effet une dégradation de ses conditions de vie se traduisant par une altération de sa santé physique ou mentale. Les peines prévues sont de 15 000 € d’amende ou un an d’emprisonnement et la peine est doublée lorsque ces faits ont été commis par l’utilisation d’un service de communication au public en ligne.
Cette affaire s’inscrit dans un contexte assez banal d’infidélité dans un couple. Une femme vivait depuis cinq ans en concubinage avec un homme qui a connu une liaison fugace et clandestine avec une autre femme. Par la suite, la femme en couple a reçu sur son compte Instagram d’un compte intitulé Émilie Paris1 des messages lui apprenant qu’elle avait était été trompée. Dans le même temps, ces informations étaient partagées publiquement avec des captures d’écran de SMS intimes échangés entre elle et son concubin. Elle a également reçu des messages électroniques de la même teneur à partir d’une adresse électronique Émilie Paris1. Elle a déposé plainte sans qu’aucune suite n’ait été donnée à son affaire mais elle a quand même obtenu la suppression par Instagram des messages provenant du compte incriminé. Quelques temps après, elle recevait d’un compte Facebook au nom de X des messages dans lesquels l’homme en question s’accusait des faits qu’elle subissait. Elle a obtenu sur requête les identifiants de connexion de l’utilisateur de l’adresse électronique en question qui s’avérait correspondre à la même personne que le titulaire du compte Facebook. Monsieur X a reconnu avoir envoyé ces messages multiples via Instagram et via la messagerie électronique. Il avait été en couple avec la maîtresse du partenaire de la victime et n’avait pas supporté leur séparation. Il voyait dans le couple de la victime la cause du délitement de son union. La femme cyberharcelée a fait l’objet d’une dépression pendant six mois, en raison de l’assaut de ces messages.

« Le droit à la protection des données personnelles ne peut en effet être interprété comme un droit à faire disparaître à première demande des contenus médiatiques publiés sur internet, indépendamment d’un abus de la liberté d’expression et des règles de procédure destinées à protéger cette liberté fondamentale, dans la mesure où ils constituent un vivier d’informations à disposition des internautes devant pouvoir faire des recherches y compris sur des évènements passés », estime le tribunal judiciaire dans un jugement du 30 juin 2021. En conséquence, il a jugé que le droit à l’oubli ne pouvait pas empêcher le journal 20 Minutes de diffuser un article rapportant une condamnation pénale vieille de plus de 10 ans d’un ex-responsable d’un club sportif. Il a ainsi débouté les demandes de ce dernier de suppression et d’anonymisation de l’article fondées sur le droit à l’effacement des données personnelles et à l’opposition à leur traitement.
En 2009, le journal 20 Minutes avait publié sur son site internet un article concernant la condamnation d’un ancien responsable du Racing Club de Paris pour abus de confiance et abus de bien sociaux par le tribunal correctionnel de Nanterre, décision partiellement infirmée en 2011. En 2019, la personne concernée a mis en demeure le journal de supprimer l’article, ou à tout le moins de l’anonymiser pour qu’il ne soit plus indexé par les moteurs de recherche, se fondant sur le droit au déréférencement et le droit d’opposition figurant dans le RGPD. Le quotidien a mis à jour son article, mais a refusé de retirer l’article ou de l’anonymiser. N’ayant pas donné suite aux demandes réitérées de l’ex-responsable du club, il a été assigné en justice.
Le tribunal a procédé à la mise en balance du droit à la protection des données personnelles et des autres droits fondamentaux pour faire primer le droit à l’information. Il rappelle que pour l’article 17 concernant le droit au déréférencement ou « droit à l’oubli » et l’article 21 relatif au droit d’opposition du RGPD, les éditeurs de presse bénéficient d’un régime dérogatoire prenant en compte le caractère essentiel de leur activité pour la préservation de la liberté d’expression et d’information. L’activité de presse n’est pas assimilable à celle d’un moteur de recherche, qui est de publier de l’information et non de la repérer, rappelle le tribunal. Ainsi les principes de droit à l’oubli interprétés par la CJUE dans l’affaire Google Spain ou par la Cour de cassation ne peuvent pas s’appliquer en l’espèce. Et concernant la demande d’anonymisation de l’article, le tribunal estime que cette mesure « serait de nature, compte tenu de son objet étroitement lié à la condamnation et aux circonstances de son prononcé, à faire perdre pour le public tout intérêt à l’article en cause, et excéderait dès lors les restrictions pouvant être apportées à la liberté de la presse ». Quant à l’objection du caractère ancien de l’information, le tribunal explique qu’en « mettant en ligne leurs archives via un site internet permettant la consultation d’articles plus anciens, est aussi de participer à la formation de l’opinion démocratique et de permettre au public, à cette fin, d’être informé non seulement des évènements d’actualité, mais aussi d’informations plus anciennes conservant une pertinence au regard du sujet d’intérêt général évoqué dans l’article en cause, tel que cela a déjà été indiqué ». Il en conclut que « l’article ne constitue pas, contrairement à ce que soutient le demandeur, une atteinte disproportionnée au droit au respect de sa vie privée qui serait de nature à remettre en cause ce constat dès lors d’une part que la condamnation pénale évoquée dans l’article a déjà été prononcée en audience publique et a fait l’objet de divers articles de presse, ce qui est de nature à relativiser l’atteinte éventuellement portée par son rappel dans l’article, qu’il n’est d’autre part pas justifié d’une diffusion importante dudit article. »

Par un jugement du 31 mai 2021, le tribunal de commerce de Paris a condamné un site internet de billetterie pour avoir indûment prétendu à la gratuité de son service. Il a considéré que « les différentes étapes pour valider le paiement du billet par le client peuvent en effet induire ce dernier en erreur car la modification de la somme du don proposé par défaut ne peut se faire qu’après avoir bien compris le fonctionnement ». Il est donc condamné à verser 5 000 € de dommages-intérêts à son concurrent pour concurrence déloyale du fait de pratiques commerciales trompeuses.
La société Trustweb qui édite un service de billetterie pour les associations avait mis en demeure la société Helloasso de cesser ses pratiques trompeuses en supprimant toute référence à la gratuité de ses services sur son site. Trustweb propose aux organisateurs d’événements de lui déléguer la vente de billets via sa plateforme, la rémunération du service reposant sur le client final qui doit s’acquitter du prix du billet, d’une commission obligatoire et de frais fixes. Helloasso, qui propose des services concurrents, a opté pour un modèle économique différent fondé sur la gratuité du service pour les associations et la participation volontaire des clients par des dons. Le tribunal explique que la gratuité revendiquée sur le site internet d’Helloasso est un élément essentiel de son positionnement sur le marché de la billetterie électronique pour les associations. Si le don est proposé par défaut, le tribunal de commerce relève que les parcours clients d’Helloasso pour parvenir à la gratuité de son service est de nature à tromper la vigilance d’un consommateur d’attention moyenne. En effet, cela suppose d’avoir bien compris le fonctionnement du site et d’être particulièrement vigilant. Le tribunal donne gain de cause à Trustweb sur ce point et lui octroie 5 000 € de dommages-intérêts et 1 500 € au titre de l’article 700 du CPC. Il le déboute cependant de sa demande de modification de la présentation du site Helloasso.com comme « un service de billetterie en ligne gratuit », du fait qu’un don valorisé à zéro n’empêche pas un utilisateur d’obtenir son billet.

Par un arrêt du 22 juin 2021, la Cour de justice de l’Union européenne a rendu un arrêt qui détermine dans quelles conditions les exploitants de plateforme en ligne, tels que YouTube, peuvent voir leur responsabilité engagée du fait des contenus mis en ligne sans autorisation par les utilisateurs. Se fondant sur la directive de 2001 sur le droit d’auteur, la Cour estime que ces plateformes ne font pas en principe, elles-mêmes, une communication au public des contenus protégés par le droit d’auteur que leurs utilisateurs mettent illégalement en ligne. Toutefois, on peut, selon elle, considérer qu’elles ont contribué à donner au public accès à ces contenus dans certaines conditions. L’arrêt énonce les cas pour lesquels ces plateformes peuvent être jugées comme ayant procédé illégalement à la communication publique des contenus protégés. La Cour se prononce sur le fondement de la directive relative au commerce électronique et rappelle qu’un exploitant d’une telle plateforme peut être exclu du bénéfice de l’exonération de responsabilité si elle avait connaissance des activités illicites de ses utilisateurs.
La décision répond aux questions préjudicielles posées par la Cour fédérale de justice de l’Allemagne, dans le cadre de deux litiges qui ont été joints dans cette procédure. La première affaire concerne un producteur de musique qui avait poursuivi YouTube, et sa représentation légale Google, au sujet de la mise en ligne sur cette plateforme de plusieurs phonogrammes sur lesquels il détient des droits ; cette mise en ligne avait été effectuée par des utilisateurs YouTube sans son autorisation. La deuxième affaire concerne Elsevier au sujet de la mise en ligne sur la plateforme d’hébergement et de partage de fichiers Uploaded de différents ouvrages sur lesquels elle a des droits exclusifs.
La première question posée était de savoir si l’exploitant d’une plateforme de partage vidéo ou d’hébergement et de partage fichier sur laquelle des utilisateurs peuvent mettre illégalement à la disposition du public des contenus protégés, effectue lui-même une communication publique de ces contenus au sens de la directive 2001 sur le droit d’auteur. La Cour répond par la négative, « à moins qu’il ne contribue, au-delà de la simple mise à disposition de la plateforme, à donner au public accès à de tels contenus en violation du droit d’auteur. Tel est notamment le cas lorsque cet exploitant a concrètement connaissance de la mise à disposition illicite d’un contenu protégé sur sa plateforme et s’abstient de l’effacer ou d’en bloquer l’accès promptement, ou lorsque ledit exploitant, alors même qu’il sait ou devrait savoir que, d’une manière générale, des contenus protégés sont illégalement mis à la disposition du public par l’intermédiaire de sa plateforme par des utilisateurs de celle-ci, s’abstient de mettre en œuvre les mesures techniques appropriées qu’il est permis d’attendre d’un opérateur normalement diligent dans sa situation pour contrer de manière crédible et efficace des violations du droit d’auteur sur cette plateforme, ou encore lorsqu’il participe à la sélection de contenus protégés communiqués illégalement au public, fournit sur sa plateforme des outils destinés spécifiquement au partage illicite de tels contenus ou promeut sciemment de tels partages, ce dont est susceptible de témoigner la circonstance que l’exploitant a adopté un modèle économique incitant les utilisateurs de sa plateforme à procéder illégalement à la communication au public de contenus protégés sur celle-ci. »
Concernant l’exonération de responsabilité figurant dans la directive relative au commerce électronique, la Cour estime, sans surprise, que l’exploitant d’une telle plateforme relève du champ d’application de cette disposition, « pourvu que cet exploitant ne joue pas un rôle actif de nature à lui conférer une connaissance ou un contrôle des contenus téléversés sur sa plateforme. ». Elle en conclut que pour être exclu du bénéfice de cette exonération, « un tel exploitant doit avoir connaissance des actes illicites concrets de ses utilisateurs afférents à des contenus protégés qui ont été téléversés sur sa plateforme. ».

La cour d’appel de Paris a condamné, le 18 juin 2021, la chaîne de radio-télévision belge francophone RTBF pour avoir utilisé sans autorisation 18 secondes de la chanson Badminton du groupe Astonvilla pour la promotion de l’émission The Voice Belgique sur Facebook. Elle doit verser 4 000 € de réparation aux auteurs de la chanson pour atteinte à leur droit moral et 10 000 € au producteur pour son préjudice patrimonial.
En 2016, la RTBF avait intégré un extrait de la chanson Badminton du groupe français Astonvilla dans la bande-annonce de l’émission musicale The Voice Belgique et l’avait diffusée sur sa page Facebook. Les auteurs-compositeurs et la société de production du groupe, qui n’avaient pas donné leur autorisation, ont assigné devant le TGI de Paris la RTBF et la société de production de l’émission en vue de l’indemnisation sur le fondement de la violation des droits d’auteur. La cour d’appel a jugé que la RTBF avait porté atteinte au droit moral des auteurs et de l’éditeur. D’abord, cette diffusion porte atteinte à l’œuvre du fait que ces derniers n’ont pas donné l’autorisation d’utiliser un extrait de leur chanson pour promouvoir une émission dont la philosophie est très éloignée de leurs convictions politiques. D’autre part, l’autorisation générale donnée à la RTBF et à la Sabam pour utiliser le répertoire de la Sacem n’inclut pas le but d’autopromotion de ses émissions. Ensuite, la RTBF a porté atteinte à leur droit de paternité, faute d’avoir cité leur nom alors que rien n’interdisait de le mentionner sur la page Facebook. La cour a également reconnu une atteinte aux droits patrimoniaux du producteur. En revanche, elle juge irrecevables les demandes des auteurs et de l’éditeur dont l’action en défense de ces droits appartient à la Sabam ou à la Sacem.
Par un arrêt du 17 novembre 2017, la cour d’appel de Paris avait conclu à la compétence des juridictions françaises pour connaître d’un litige de contrefaçon de droit d’auteur sur la page Facebook de l’émission The Voice diffusée sur la télévision belge. La cour d’appel avait simplement relevé que le site était parfaitement accessible en France.

Dans un arrêt du 15 juin 2021, la Cour de justice de l’Union européenne a précisé les conditions d’exercice des autorités de contrôle qui ne sont pas chefs de file au sens du RGPD, dans le cadre d’un traitement de données personnelles transfrontalier. Elle estime que, sous certaines conditions, l’autorité de contrôle d’un État membre peut exercer son pouvoir de porter toute violation du RGPD devant la juridiction de cet état ou d’ester en justice en ce qui concerne ce traitement transfrontalier alors qu’elle n’est pas autorité chef de file.
La Cour intervient dans le cadre d’un litige qui a opposé Facebook à l’autorité de contrôle belge, l’Autorité de protection des données (ADP) qui agit en tant que successeur légal du président de la CPVP (Commission de Protection de la Vie Privée). Le 11 septembre 2015, ce dernier avait intenté une action en cessation à l’égard de Facebook concernant une violation grave et à grande échelle en matière de collecte d’informations sur le comportement de navigation tant des détenteurs d’un compte Facebook que des non détenteurs de comptes au moyen de cookies, de modules sociaux tels que les boutons « j’aime », « partager » ou encore de pixels. Par un jugement du 16 février 2018, le tribunal de première instance de Bruxelles s’était déclaré compétent pour statuer sur l’action en cessation contre Facebook Irland, Inc. et Belgium et avait déclaré irrecevable la demande d’intervention volontaire présentée par la CPVP. Sur le fond, il avait jugé que le réseau social n’informait pas suffisamment les internautes belges de la collecte de données les concernant et de leur usage. Il avait également considéré que le consentement donné par les internautes n’était pas valable. Le 2 mars 2018, Facebook a interjeté appel de ce jugement et la cour d’appel de Bruxelles s’est déclarée compétente uniquement concernant l’action en cessation à l’égard de Facebook Belgium. Avant de statuer sur le fond du litige principal, la cour d’appel a interrogé la CJUE sur la question de savoir si l’APD dispose de la qualité pour agir, au sens du RGPD.
En vertu de l’article 56 1) du RGPD, l’autorité de contrôle du lieu de l’établissement principal est compétente en tant qu’autorité de contrôle chef de file dans le cadre d’un traitement transfrontalier. La première question posée à la Cour portait sur le fait de savoir si une autorité de contrôle qui n’est pas chef de file peut exercer le pouvoir de porter toute violation du RGPD devant des juridictions de l’Etat membre ou le cas échéant ester en justice. La Cour a répondu en précisant les conditions dans lesquelles elle peut intervenir. Elle rappelle que le RGPD consacre la compétence de principe de l’autorité chef de file mais que cette dernière ne peut s’affranchir d’un dialogue indispensable ainsi que d’une coopération loyale et efficace avec les autres autorités de contrôle concernées. Dans le cadre de cette coopération, elle ne peut ignorer les points de vue des autres autorités concernées et que toute objection pertinente formulées par l’une d’entre elles a pour effet de bloquer, à tout le moins temporairement, l’adoption du projet de décision de l’autorité de contrôle chef de file. A la seconde question posée qui portait sur le fait de savoir si une autorité de contrôle qui n’est pas chef de file peut intervenir à condition que le responsable de traitement transfrontalier dispose d’un établissement principal sur le territoire de cet État membre, la Cour a répondu par la négative.
Il a ensuite été demandé à la Cour de se prononcer sur la question de savoir si la juridiction de renvoi est compétente pour examiner une action en cessation à l’égard de Facebook Belgium compte tenu du fait que le siège social européen du groupe Facebook est situé en Irlande et que Facebook Irland est la responsable de la collecte et du traitement de données à caractère personnel pour l’ensemble du territoire de l’Union européenne. Facebook Belgium a été créée pour permettre l’entretien de relations avec les institutions de l’Union européenne et accessoirement pour promouvoir les activités publicitaires et marketing du groupe pour les personnes en Belgique. La Cour relève d’une part que Facebook Belgium génère une partie substantielle de ses revenus grâce à la publicité diffusée sur le réseau social qui est destinée à assurer en Belgique la promotion et la vente d’espaces publicitaires, ce qui sert à rentabiliser les services de Facebook. D’autre part, l’activité de lobbying auprès des institutions de l’UE constitue un point de contact avec elles afin d’établir une politique de traitement de données. La Cour conclut que les activités de Facebook Belgium doivent être considérées comme étant indissociablement liées au traitement de données à caractère personnel en cause au principal et donc doivent être regardées comme étant effectuées dans le cadre des activités d’un établissement du responsable de traitement.
Par ailleurs lorsqu’une action de contrôle est intentée avant la date d’entrée en vigueur du règlement, une action en justice peut être maintenue sur le fondement de la directive européenne pour la protection des données, laquelle demeure applicable en ce qui concerne les infractions relatives aux règles qu’elle prévoit commises jusqu’à la date à laquelle la directive a été abrogée. Cette action peut en outre être intentée par cette autorité pour les infractions commises après la date d’entrée en vigueur du RGPD, pour autant que ce soit dans l’une des situations précisées par la Cour, ou si le règlement confère à cette même autorité une compétence pour adopter une telle décision constatant de telles violations.

Par un jugement très motivé du 23 avril 2021, le tribunal correctionnel de Nancy a condamné un hébergeur et son représentant légal pour complicité de fourniture de moyens de contrefaçon par reproduction, pour contrefaçon par représentation ou diffusion et par mise à disposition d’œuvres de l’esprit sans autorisation des auteurs. Ils étaient poursuivis pour ne pas avoir promptement empêché l’accès à des informations stockées sur leurs serveurs, à la demande d’un tiers, susceptibles de constituer des actes de contrefaçon d’œuvres de l’esprit et de vidéogrammes. L’hébergeur, personne morale, a été condamné à une peine principale de 100 000 € d’amende et le dirigeant social à une peine d’emprisonnement d’un an de prison avec sursis et 20 000 € d’amende ainsi qu’au versement de dommages-intérêts aux ayants droit.
La société DStorage, créée en 2009, exploite le site Internet 1fichier.com qui propose des services de stockage de fichiers sur ses propres serveurs avec une possibilité de diffusion de liens de téléchargement pour les abonnés. Les agents assermentés de la Fédération nationale des éditeurs de films (FNEF), de la Société civile des producteurs phonographiques (SCPP) et de la SACEM et SDRM ont constaté la présence de liens pointant vers des fichiers hébergés vers DStorage reproduisant sans autorisation des œuvres de leurs ayants droit. Ces dernières ont adressé des notifications de retrait de ces contenus à DStorage, sans succès. L’hébergeur considérait que la procédure de notification instaurée par la LCEN ne s’appliquait qu’aux seuls contenus manifestement illicites et non aux contenus contrefaisants violant un droit de propriété intellectuelle. Les ayants droit ont porté plainte pour contrefaçon par reproduction et représentation. Un expert informatique saisi par le ministère public pour analyser les données de téléchargement de fichiers notifiés fournis sur réquisition par DStorage a permis de déterminer que 3 478 fichiers notifiés avaient fait l’objet de 7 277 381 téléchargements.
Le tribunal commence par se prononcer sur les notifications. Il considère que sont manifestement illicites les informations stockées par DStorage à la demande de ses utilisateurs et notifiées par les parties civiles et dont la connaissance effective de ce caractère apparaît pleinement établi au sens du 3. du I. de l’article 6 de la LCEN. Le caractère manifestement illicite, selon le tribunal, découle notamment du nom des fichiers eux-mêmes mais également des liens pointant vers des fichiers litigieux diffusés par des sites notoirement connus pour être des fermes de liens. Pour chacun des faits portés à sa connaissance, le juge va déterminer si le l’hébergeur a réagi dans un délai prompt estimé à 7 jours, en se livrant à une appréciation in concreto pour conclure que l’hébergeur a engagé sa responsabilité pénale en n’empêchant pas leur accès.
Il va ensuite procéder à la qualification pénale des faits reprochés à l’hébergeur. Il considère qu’en maintenant le lien de téléchargement actif et en conservant le fichier sur ses serveurs, l’hébergeur fournit à l’internaute le moyen de commettre une contrefaçon par reproduction. L’intention complice, c’est-à-dire la connaissance du caractère contrefaisant de l’activité, résulte de la connaissance présumée du caractère contrefaisant de l’activité, par l’application du 5 du I de l’article 6 de la LCEN. Il retient donc la culpabilité de DStorage en requalifiant les faits en complicité par fourniture de moyens de stockage des serveurs lui appartenant et le maintien des liens permettant l’accès à ces moyens de stockage, de contrefaçon par reproduction. La qualité de coauteur de l’infraction de contrefaçon par représentation, diffusion, communication et de mise à disposition du public des œuvres de l’esprit et des vidéogrammes est donc retenue et ce à compter de la date de notification, plus sept jours.