Par un arrêt du 16 avril 2021, la cour d’appel de Paris a considéré qu’une société américaine qui vend des likes et des followers à des personnes situées en France sans facturer de TVA constitue un acte de concurrence. En conséquence, il la condamne à verser plus de 90 000 € à titre de dommages et intérêts en réparation du préjudice causé à son concurrent français dont le prix de la prestation était plus élevé en raison de la facturation de la TVA. Elle doit ajouter 10 000 € au titre du parasitisme pour avoir reproduit ses conditions générales et 6 000 € au titre de l’article 700. La cour l’a, en revanche, déboutée de sa demande d’interdire l’exploitation du site du fait de l’élargissement du marché à d’autres concurrents. Cela entraînerait une atteinte disproportionnée au principe de liberté du commerce et de l’industrie.
Depuis 2012, un acteur français, d’abord en son nom puis par le biais de sa société, proposait des services d’acquisition de followers en ligne au travers de deux sites Buyfollowers.fr et Buyfollowersbysms.fr. Puis le site Followerspascher.fr a proposé des services identiques mais à des prix plus bas que lui. Il l’a assigné en concurrence déloyale. Il lui reprochait de ne pas soumettre ses clients français à la TVA alors même qu’une société étrangère qui fournit un service électronique à un consommateur français doit s’acquitter du paiement de la TVA via le « mini-guichet unique » mis en place par la réglementation européenne.
Followerspascher est édité par une société de droit américain dont l’extension en « .fr » a été abandonnée au profit de celle en « .com ». Il est établi que la France représente près de 94% du trafic généré sur le site et que les annonceurs sont très majoritairement français. La cour rappelle qu’en vertu des articles 259B 12° et 259 D du code général des impôts, les prestations informatiques sont réputées situées en France lorsqu’elles sont fournies à des personnes non assujetties qui sont établies, ont leur domicile ou leur résidence en France. En conséquence, sont soumises à la TVA les prestations de services fournies par Followerspascher à des personnes assujetties et à des personnes non assujetties établies, ayant leur domicile ou résidence habituelle en France. Pour le calcul du préjudice, la cour va distinguer deux périodes différentes, celle de 2014 où les deux sociétés étaient dans une situation de concurrence oligopolistique et la période ultérieure avec l’arrivée sur le marché de concurrents de plus en plus nombreux qui a dilué l’avantage concurrentiel du fait de l’absence de facturation de la TVA.
.

Par une décision du 13 avril 2021, le Conseil d’Etat a partiellement annulé le décret du 20 février 2020 qui avait créé l’application GendNotes de la gendarmerie nationale destinée à faciliter la prise de notes sur le terrain directement sur un smartphone ou une tablette et d’améliorer la conservation et la transmission des données vers d’autres traitements. Le Conseil n’a pas remis en cause la création de ce traitement mais a annulé son premier article relatif à l’exploitation ultérieure dans d’autres traitements dans la mesure où cette finalité ne satisfait pas à l’exigence d’une finalité « déterminée, explicite et légitime ».
La Ligue des droits de l’homme, l’Internet Society France, le Syndicat de la magistrature et le Syndicat des avocats de France, le Conseil national des barreaux, la Quadrature du Net, la LICRA et d’autres associations ont intenté un recours en annulation contre le décret du 20 février 2020 portant autorisation d’un traitement automatisé de données à caractère personnel dénommé Application mobile de prise de notes (GendNotes). Selon ces organisations, il portait une atteinte excessive au droit au respect de la vie privée et au droit corrélatif à la protection des données personnelles, sans prévoir les garanties appropriées à leur protection en termes de précision sur la finalité du traitement et sur la nature des données collectées, mais aussi en termes de durée de conservation des données, de contrôle des destinataires des données collectées et de sécurité.
GendNotes est utilisé dans le cadre des interventions et enquêtes diligentées par les militaires de la gendarmerie nationale, notamment à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique. Cette application a pour finalités, d’une part, de faciliter le recueil et la conservation des informations collectées par les gendarmes à l’occasion d’actions de prévention, d’investigations ou d’interventions « en vue de leur exploitation ultérieure dans d’autres traitements de données », notamment par le biais d’un système de pré-renseignement et, d’autre part, de faciliter la transmission de comptes rendus aux autorités judiciaires.
Le Conseil d’Etat constate cependant que le décret ne comporte aucune indication quant à la nature et à l’objet des traitements concernés ni quant aux conditions d’exploitation, dans ces autres traitements, des données collectées par GendNotes. « Il s’ensuit que la finalité consistant en une  » exploitation ultérieure dans d’autres traitements « , notamment par le biais d’un système de pré-renseignement, des données collectées ne satisfait pas à l’exigence d’une finalité  » déterminée, explicite et légitime  » énoncée au 2° de l’article 4 de la loi du 6 janvier 1978 cité au point 7 ». Le Conseil d’Etat en conclut que « le décret attaqué doit être annulé en ce qu’il assigne une telle finalité au traitement qu’il autorise, sans qu’il soit besoin de se prononcer sur les autres moyens des requêtes relatifs à la légalité du décret sur ce point ».
En revanche, les autres finalités de GendNotes consistant, d’une part, à faciliter le recueil et la conservation, pour la réalisation des missions que les lois et règlements leur confient, des informations collectées par les militaires de la gendarmerie nationale à l’occasion d’actions de prévention, d’investigations ou d’interventions et, d’autre part, à faciliter la transmission de comptes rendus aux autorités judiciaires, qui sont déterminées, explicites et légitimes, ne méconnaissent pas les dispositions de l’article 4 de la loi du 6 janvier 1978.

 » Le parasitisme économique consistant à s’immiscer dans le sillage d’autrui afin de tirer profit, sans rien dépenser, de ses efforts et de son savoir-faire, il s’infère nécessairement un préjudice, fût-il seulement moral, de tels actes, même limités dans le temps « , a rappelé la Cour de cassation dans un arrêt du 17 mars 2021.
Dans cette affaire, le site abri-jardin.eu qui vendait des saunas en extérieur avait repris à l’identique, pour optimiser son référencement en ligne, les descriptifs techniques et les « avis du spécialiste » élaborés par son concurrent sauna-bien-être.com. Ce dernier l’a assigné en justice sur le fondement de la concurrence déloyale et du parasitisme. En appel, la cour avait rejeté ses demandes en raison de l’absence de perte de clientèle ou de chiffre d’affaires imputables au parasite et de lien de causalité entre l’attitude parasitaire et le préjudice dont le site se prévalait. La Cour de cassation a estimé que la cour d’appel de Versailles avait violé l’article 1240 du code civil.

Dans une décision du 2 avril 2021, le Conseil d’Etat a rappelé le large pouvoir d’appréciation de l’Autorité des marchés financiers et de l’Autorité de contrôle prudentiel et de résolution dans l’usage de leurs prérogatives, notamment pour ce qui est de l’enregistrement préalable obligatoire des prestataires de services sur actifs numériques. Les sociétés Blockchain Process Security, Digital Broker et Kamix, en attente de leur enregistrement, ne pouvaient pas exercer leur activité selon l’article L. 54-10-4 du code monétaire et financier, avaient rappelé les deux autorités dans un communiqué. Elles avaient ajouté que l’AMF pouvait publier une liste noire des prestataires non enregistrés, accompagnée d’une mise en garde du public, et le cas échéant demander en justice le blocage de l’accès aux sites dont l’activité n’est pas enregistrée. Le communiqué concluait qu’en tout état de cause, ces prestataires devraient suspendre toute activité promotionnelle et ne pas accepter de nouveaux clients avant d’être enregistrés.
Les trois sociétés ont intenté un recours devant le Conseil d’Etat pour obtenir l’annulation de ce communiqué et l’injonction de pouvoir continuer leur activité. Le Conseil a rejeté leurs demandes considérant qu’eu égard à leurs attributions et à leur pouvoir d’appréciation, « l’AMF et l’ACPR n’ont pas méconnu l’étendue de leur compétence en annonçant, par le communiqué attaqué, d’une part, qu’elles tiendraient compte au cas par cas de la situation des prestataires en cours d’enregistrement et, d’autre part, que l’AMF envisagera la publication d’une  » liste noire des prestataires non enregistrés  » accompagnée d’une mise en garde du public ».

Dans une ordonnance de référé du 10 mars 2021, le tribunal judiciaire de Toulouse rappelle que si la critique relève de la liberté d’expression, il n’en demeure pas moins que ce droit ne saurait légitimer des propos injurieux tenus sur Facebook à l’encontre d’un maire concernant le port obligatoire du masque. Il estime toutefois que l’outrance des propos peuvent s’expliquer par les troubles anxieux de son auteur à la perspective de contraintes supplémentaires et bien pesantes. Il le condamne donc à supprimer le commentaire injurieux et à verser au maire 300 € de dommages-intérêts et 1 000 € au titre de l’article 700 du code de procédure civile.
Le maire d’une commune de 10 000 habitants avait mis en place des mesures sanitaires dans le cadre de la pandémie et avait communiqué sur le port obligatoire du masque à ses administrés, informations qui avaient été relayées sur Facebook, par un groupe d’entraide de particuliers. Sur ce compte avait été publié un commentaire traitant notamment l’édile de « ptit toutou de X qui fellationne lui-même Macron ». Le maire a assigné l’auteur de ses propos sur le fondement de l’injure publique envers un citoyen chargé de service d’un mandat public. Le juge a estimé que le terme « petit toutou » était utilisé de manière méprisante pour illustrer la soumission. Il s’agit d’un commentaire outrageant destiné à remettre l’indépendance politique du maire, a-t-il expliqué. Le tribunal a considéré donc que le trouble manifestement illicite était caractérisé et il a ordonné la suppression du message injurieux.

Par une ordonnance de référé du 12 mars 2021, le Conseil d’Etat a refusé d’ordonner la suspension du partenariat avec la société Doctolib concernant l’hébergement des données de santé auprès d’une société américaine, au motif qu’il serait incompatible avec le règlement général sur la protection des données (RGPD). Il estime qu’au vu des garanties apportées, « le niveau de protection des données de prise de rendez-vous dans le cadre de la campagne de vaccination contre la Covid-19 ne peut être regardé comme manifestement insuffisant au regard du risque de violation du règlement général de protection des données invoqué par les requérants ».
Dans le cadre de la campagne de vaccination contre la covid-19, le ministère des Solidarités et de la Santé a confié la gestion des rendez-vous de vaccination sur internet à différents prestataires dont la société Doctolib. Pour les besoins de l’hébergement de ses données, Doctolib a fait appel à la société de droit luxembourgeois AWS Sarl, filiale de la société américaine Amazon Web Services Inc. AWS est certifiée « hébergeur de données de santé » en application de l’article L. 1111-8 du code de la santé publique. Amazon certifie que les données traitées sont hébergées dans des data centers situés en France et en Allemagne et que le contrat conclu avec Doctolib ne prévoit pas de transfert de données pour des raisons techniques aux Etats-Unis. L’association InterHop ainsi que d’autres requérants à l’initiative du recours font valoir que, du fait de sa qualité de filiale d’une société de droit américain, la société AWS pourrait faire l’objet de demandes d’accès à certaines données de santé par les autorités américaines, dans le cadre de programmes de surveillance fondés sur l’article 702 de la loi américaine FISA ou sur l’executive order 12333. Ils invoquent l’arrêt de la CJUE dit Schrems II qui juge qu’il faut vérifier le niveau de protection assuré lors du traitement des données en prenant en considération non seulement les stipulations contractuelles convenues entre le responsable du traitement et son sous-traitant, mais aussi, en cas de soumission de ce sous-traitant au droit d’un Etat tiers, les éléments pertinents du système juridique de celui-ci. Pour refuser la demande des requérants, le Conseil d’Etat commence par rappeler que Doctolib ne collecte pas de données de santé sur d’éventuels motifs médicaux d’éligibilité à la vaccination, les personnes intéressées se bornant, au moment de la prise de rendez-vous, à certifier sur l’honneur qu’elles entrent dans la priorité vaccinale, qui est susceptible de concerner des adultes de tous âges sans motif médical particulier. Ces données sont supprimées au plus tard dans un délai de trois mois à compter de la date de rendez-vous, et chaque personne concernée ayant créé un compte sur la plateforme pour les besoins de la vaccination pouvant le supprimer directement en ligne. Par ailleurs, un addendum complémentaire conclu par les deux sociétés instaure une procédure précise en cas de demandes d’accès par une autorité publique aux données traitées pour le compte de Doctolib prévoyant notamment la contestation de toute demande générale ou ne respectant pas la règlementation européenne. Le Conseil d’Etat ajoute que les données hébergées par AWS sont sécurisées par le biais d’une procédure de chiffrement reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des tiers.

Par un arrêt du 19 mars 2021, la cour d’appel de Paris confirme le jugement du 21 septembre 2019 du TGI de Paris qui avait conclu qu’une licence portant sur un logiciel libre est un contrat et qu’en conséquence, les manquements à l’une de ses stipulations relèvent du droit de la responsabilité contractuelle. Pour la cour d’appel, « l’action en contrefaçon formée par la société Entr’Ouvert qui agit, en première instance, comme en appel, sur le seul fondement délictuel doit être déclarée irrecevable dès lors que comme indiqué elle se fonde sur le contrat de licence qui lie les parties et se prévaut de la violation des clauses de ce contrat ». Cet arrêt s’inscrit dans le cadre de l’arrêt de la CJUE du 18 décembre 2019 qui conforte le principe de non-cumul des responsabilités contractuelles et extracontractuelles, tout en permettant de faire application des garanties offertes par la directive européenne en matière d’atteinte à un droit de propriété intellectuelle. La cour d’appel rappelle que « lorsque le fait générateur d’une atteinte à un droit de propriété intellectuelle résulte d’un acte de contrefaçon, alors l’action doit être engagée sur le fondement de la responsabilité quasi-délictuelle prévue à l’article L.335-3 du code de la propriété intellectuelle. En revanche lorsque le fait générateur d’une atteinte à un droit de propriété intellectuelle résulte d’un manquement contractuel, le titulaire du droit ayant consenti par contrat à son utilisation sous certaines réserves, alors seule une action en responsabilité contractuelle est recevable par application du principe de non-cumul des responsabilités ».
Fin 2005, Orange avait répondu à un appel d’offre de l’Agence pour le gouvernement de l’administration électronique relatif à la mise en place du portail Mon service public, pour la fourniture d’une solution informatique de gestion d’identité. Orange avait proposé une solution comprenant l’interfaçage d’une plateforme IDMP avec la bibliothèque logicielle Lasso éditée par la société Entr’ouvert, sous licence GNU GPL. Or, cette dernière a estimé qu’Orange n’avait pas respecté les termes de cette licence et l’a assignée en contrefaçon après avoir fait procéder à une saisie-contrefaçon. Entre’ouvert considérait en effet que l’atteinte portée au droit d’auteur relevait du régime de la contrefaçon. Pour le tribunal de Paris, « il apparaît ainsi que la société Entr’ouvert poursuit en réalité la réparation d’un dommage généré par l’inexécution par les sociétés défenderesses d’obligations résultant de la licence et non pas la violation d’une obligation extérieure au contrat de licence ».

Après une ordonnance de référé du TGI de Paris du 6 avril 2018 condamnant Google à supprimer une fiche Google My Business et une ordonnance du TGI de Paris du 12 avril 2019 prévoyant le contraire, un jugement très motivé du tribunal judiciaire de Paris du 9 mars 2021 a rejeté la demande d’un dentiste de supprimer sa fiche. Le tribunal considère qu’il n’établit pas que le traitement de sa fiche professionnelle Google My Business est illicite. Le dentiste est condamné à verser 2 500 € à Google LLC et 2 500 € à Google France au titre de l’article 700 du code de procédure civile.
Le 11 septembre 2017, un dentiste a adressé à Google LLC et à Google France une demande de suppression de sa fiche sur Google My Business, de toute fonction permettant d’utiliser ses données personnelles, de le noter et de donner un avis à son sujet, ainsi que de tout avis le concernant. Le 6 octobre 2017, Google lui a notifié sa décision de ne pas faire droit à la suppression de cette fiche et des nouveaux avis, les plus anciens ayant été effectivement supprimés. Le tribunal commence par relever que les données traitées sont incontestablement des données à caractère personnel. Elles ne portent pas sur la sphère privée mais uniquement sur des aspects élémentaires de son activité professionnelle. En l’occurrence, ce sont des données publiques qui figurent sur le site web du dentiste mais aussi dans des annuaires universels des abonnés téléphoniques dont les Pages Jaunes, en outre dans plusieurs annuaires médicaux spécialisés, notamment Doctolib.
Pour le tribunal, la violation alléguée relative à la collecte de ses données n’est pas démontrée. Le tribunal constate par ailleurs que ces données sont nécessairement dans le domaine public dès lors que leur publicité est exigée par la loi, au sein du Répertoire des entreprises et de leurs établissements et du Répertoire partagé des professionnels de santé. Il en conclut que sa fiche professionnelle Google ne porte pas atteinte au droit fondamental à la protection des données à caractère personnel du dentiste. Procédant à la balance des droits, le tribunal ajoute que l’impact éventuel de cette fiche sur la jouissance de ce droit est faible et qu’il ne saurait prévaloir sur la liberté d’expression et d’information de Google et des internautes. Or, les finalités de cette fiche consistent justement dans la mise à disposition gratuite des internautes d’informations élémentaires relatives à l’exercice de sa profession et dans la constitution d’un forum potentiel pour ses patients désirant « poster » des avis sur leur expérience. Ces finalités sont donc déterminées et explicites.
S’agissant des avis en ligne et de leur publication sur un forum, le tribunal relève que la finalité d’information du consommateur est légitime, dès lors qu’il existe des moyens de protection des droits de la personnalité contre d’éventuelles dérives tenant à des propos dépassant les limites admissibles de la liberté d’expression. La suppression définitive d’une fiche professionnelle ou le maintien de sa suppression, parce qu’elle contient des avis possiblement attentatoires aux droits du dentiste, contreviendrait au principe de la liberté d’expression, alors même qu’il lui est loisible d’agir spécifiquement contre les personnes à l’origine d’avis qu’il estimerait contraires à ses droits.
Quant à l’effacement des données, le tribunal rappelle que, selon l’article 17 al. 3 du RGPD, on ne peut invoquer l’effacement de données que celui-ci est « nécessaire à l’exercice du droit à la liberté d’expression et d’information ». Ce qui est bien le cas en l’espèce, dans la mesure où les informations en cause sont pour la plupart des informations dont la loi exige la publicité.

Dans un arrêt du 2 mars 2021, la Cour de justice de l’UE apporte des précisions importantes en matière de conservation des données de trafic et de localisation par les fournisseurs de services de communications électroniques, ainsi que de leur accès par les autorités nationales à des fins de lutte contre la criminalité, dans le cadre d’une instruction pénale. Elle se prononce sur la portée de l’article 15, § 1 de la directive « vie privée et communications électroniques », qui permet aux États membres de limiter la portée des droits des personnes sous réserve que la mesure soit « nécessaire, appropriée et proportionnée, au sein d’une société démocratique, pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État – la défense et la sécurité publique, ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ou d’utilisations non autorisées du système de communications électroniques ». Dans cet arrêt, elle juge donc que la directive, lue à la lumière de la Charte, s’oppose à une réglementation nationale permettant l’accès des autorités publiques à des données relatives au trafic ou à des données de localisation, susceptibles de fournir des informations sur les communications effectuées par un utilisateur d’un moyen de communication électronique ou sur la localisation des équipements terminaux qu’il utilise et de permettre de tirer des conclusions précises sur sa vie privée, à des fins de prévention, de recherche, de détection et de poursuite d’infractions pénales, sans que cet accès soit limité à des procédures visant à la lutte contre la criminalité grave ou à la prévention de menaces graves contre la sécurité publique. Selon la Cour, la durée de la période pour laquelle l’accès à ces données est sollicité et la quantité ou la nature des données disponibles pour une telle période n’ont pas d’incidence à cet égard. A cet effet, la Cour précise qu’en vertu de cette directive, des mesures législatives ne peuvent imposer aux fournisseurs de services de communications électroniques, à titre préventif, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation. En conséquence, seuls les objectifs de lutte contre la criminalité grave ou de prévention de menaces graves pour la sécurité publique sont de nature à justifier l’accès des autorités publiques à un ensemble de données relatives au trafic ou de données de localisation, de nature à tirer des conclusions précises sur la vie privée des personnes concernées, sans que d’autres facteurs tenant à la proportionnalité d’une demande d’accès, tels que la durée de la période pour laquelle l’accès est sollicité à de telles données, puissent avoir pour effet que l’objectif de prévention, de recherche, de détection et de poursuite d’infractions pénales en général soit susceptible de justifier un tel accès. Par ailleurs, la Cour a considéré que cette même directive s’oppose à une réglementation nationale donnant compétence au ministère public pour autoriser l’accès d’une autorité publique aux données relatives au trafic et aux données de localisation afin de mener une instruction pénale. Pour satisfaire à l’exigence de proportionnalité, une telle réglementation devrait prévoir des règles claires et précises sur la portée et l’application de la mesure en cause et imposant des exigences minimales. Ainsi les personnes concernées pourraient isposer de garanties suffisantes permettant de protéger efficacement ces données contre les risques d’abus.

Le fait qu’une condamnation pénale soit publique et qu’elle concerne l’activité professionnelle d’une personne n’implique pas qu’on puisse en faire état sur une page d’un site internet consacrée à cette personne. En rejetant les demandes de la personne qui avait été condamnée « sans rechercher, comme il le lui incombait au regard de l’atteinte portée à la vie privée de M. X, si la publication en cause s’inscrivait dans un débat d’intérêt général, justifiant la reproduction des condamnations pénales le concernant, la cour d’appel n’a pas donné de base légale à sa décision », a estimé la Cour de cassation dans un arrêt du 17 février 2021. La Cour a ainsi rappelé la nécessaire mise en balance qui doit être effectuée en prenant en considération la contribution de la publication incriminée à un débat d’intérêt général, la notoriété de la personne visée, l’objet du reportage, le comportement antérieur de la personne concernée, le contenu, la forme et les répercussions de ladite publication. Il s’agit de concilier l’article 8 de la convention européenne des droits de l’homme sur le respect à la vie privée et l’article 10 protégeant la liberté d’expression.
Le représentant légal d’une société spécialisée dans la supplémentation nutritionnelle avait été déclaré coupable, par arrêt du 18 mars 2009, devenu définitif, des faits d’exercice illégal de la pharmacie, commercialisation de médicaments sans autorisation de mise sur le marché et, par arrêt du 4 mai 2011, de fraude fiscale et d’omission d’écritures en comptabilité, cette condamnation ayant été annulée par décision du 11 avril 2019 de la cour de révision et de réexamen des condamnations pénales. Il avait découvert qu’une page lui était consacrée sur le site internet, Psiram.com, qui faisait état de ces deux condamnations pénales. Le site comportait également un lien hypertexte pour consulter l’avis de décès de son père publié sur le site Dansnoscoeurs.fr. Le faire-part de décès de son père avait été publié sur internet par la famille. Pour la Cour de cassation, « cette seule circonstance ne permettait pas d’écarter l’existence d’une atteinte à la vie privée consécutive à l’utilisation du faire-part dans la publication en cause ». Pour ce motif lié à la publication du faire-part du décès et celui concernant la publication relative aux condamnations pénales, la Cour de cassation casse et annule l’arrêt du 25 septembre 2019 de la cour d’appel de Paris.