Leboncoin reconnu producteur de bases de données

Suite à l’arrêt de rejet de la Cour de cassation du 28 février 2024, la décision de la cour d’appel du 19 avril 2023 qui avait écarté une demande de mainlevée d’une saisie-contrefaçon d’une base de données, sauf dans une limite temporelle, devient définitive. Cet arrêt, qui intervient dans un contentieux qui oppose les sociétés LBC France (Leboncoin) et Directannnonces concernant l’extraction non autorisée d’une base de données en renouvellement, apporte un éclairage en matière de revendication de droits de producteur de bases de données et de présomption de titularité.
Entreparticuliers.com propose aux particuliers depuis 2000 un service payant d’hébergement d’annonces essentiellement immobilières. Leboncoin.fr, qui a été ouvert en France en 2006, permet de diffuser gratuitement des annonces pour tous types de biens. Il est devenu le premier site français de petites annonces en ligne, notamment dans la catégorie « immobilier ». Pour maintenir un volume d’annonces, Entreparticuliers.com avait souscrit auprès du sous-traitant Directannonces un service de piges lui fournissant toutes les nouvelles annonces immobilières publiées par les particuliers en France, dont les annonces publiées sur Leboncoin.fr et reprises sur Entreparticuliers.com sans autorisation. Le premier a assigné le second en contrefaçon sur le fondement du droit d’auteur et du droit sui generis du producteur.
Comme le TGI de Paris, la cour d’appel avait reconnu, dans un arrêt du 2 février 2021, que Leboncoin.fr avait la qualité de producteur de base de données et bénéficiait en conséquence de la protection du contenu de la base. Selon elle, Leboncoin.fr justifiait de moyens substantiels consacrés à la constitution, la vérification et la présentation de la sous-base de données « immobilier », l’autorisant ainsi à invoquer la protection au titre des articles L. 341-1 et L. 342-5 du CPI. La cour a ainsi reconnu que Leboncoin avait consenti des investissements liés à la constitution de son contenu, en termes techniques, de communication ou de stockage.
À la suite de cet arrêt reconnaissant ses droits de producteur de base de données, la société LBC France (Leboncoin), a engagé une procédure en saisie-contrefaçon à l’encontre de la société Directannonces. Mais cette dernière a demandé la mainlevée de la mesure, contestant la qualité à agir de la société LBC France au motif que l’arrêt n’avait pas autorité de la chose jugée vis-à-vis des tiers, en attente de la décision de la Cour de cassation, qui vient de rejeter le pourvoi le 28 février 2024.
L’article L.332-2 du code de la propriété intellectuelle permet au tiers saisi de demander au président du tribunal judiciaire de prononcer la mainlevée d’une saisie-contrefaçon obtenue sur le fondement du droit sui generis de producteur de base de données ou du droit d’auteur. Pour obtenir cette mainlevée, Directannonces a commencé par remettre en question la qualité à agir de LBC. Mais la cour a rappelé que les preuves apportées par la société LBC de ses investissements financiers, humains et matériels avaient déjà été analysées par elle et avaient donné lieu à la décision de 2021. Elle en a conclu que LBC justifiait exploiter à la fois le site « leboncoin.fr», la sous-base de données «immobilier» ainsi que le site «avendrealouer.fr», et justifiait en conséquence d’une présomption de titularité de ses droits d’auteur. Elle était donc fondée à requérir, avant tout procès, une mesure de saisie-contrefaçon. Sur la disproportion de la mesure ordonnée, la cour a donné partiellement gain de cause à Directannonces, du fait de l’absence de limite temporelle à la saisie ordonnée, qui ne pouvait pas concerner l’activité de Directannonces avant la création de la société LBC. En conséquence, elle fait droit à la demande de mainlevée partielle présentée par la Directannonces et de cantonner la saisie contrefaçon.

Lire la suite

Meta condamnée à filtrer toute publicité comportant les marques Barrière

Par une ordonnance de référé-rétractation du 24 avril 2024, le tribunal judiciaire de Paris a ordonné à la société Meta Plateforms Ireland Ltd de procéder, à l’avenir, à des mesures de filtrage de toute publicité qui porterait atteinte aux droits des marques du Groupe de casino Barrière. Cette décision rejette ainsi la demande de rétractation de Meta formée contre une ordonnance sur requête du 11 janvier dernier qui lui avait déjà ordonné de procéder à des mesures de filtrage.
Le groupe Barrière qui possède 32 casinos dans le monde avait fait constater par un commissaire de justice la diffusion sur Facebook, Instagram et Messenger de près de 2 400 publicités reproduisant sans autorisation ses marques, pour annoncer le lancement d’une application de jeux de casinos en ligne avec promesses de gains d’argent, provenant de centaines de profils. Barrière avait signalé à Meta ses publicités illicites qui lui a répondu qu’elles avaient été rendues inaccessibles. Quinze annonces restaient cependant actives. Le 11 janvier 2024, par une ordonnance sur requête, le tribunal de Paris a ordonné à Meta de mettre en œuvre tout moyen de nature à prévenir les publicités illicites sur ses plateformes en filtrant les contenus répondant aux critères définis dans l’ordonnance et de conserver les données concernant les publicités litigieuses et les informations sur leurs annonceurs. Et le 20 janvier suivant, Meta faisait assigner la société Barrière en référé-rétractation
Meta a d’abord fait valoir que l’ordonnance devait être rétractée, en remettant en cause la dérogation au principe du contradictoire. Mais le tribunal a rejeté cet argument au motif que cette dérogation se justifiait par la vraisemblable contrefaçon des marques du groupe Barrière et l’exposition des consommateurs à des tentatives massives de fraudes. Ensuite, sur les mesures de filtrage proprement dites, Meta invoquait le fait qu’une telle mesure serait subordonnée à la démonstration des actes de contrefaçon commis par elle en tant qu’intermédiaire, selon l’article L. 716-4-6 du CPI. A quoi le tribunal rétorque d’abord que le texte exige une vraisemblance de contrefaçon, ce qui est le cas en l’espèce. Et en tant qu’intermédiaire dont les services sont utilisés, Meta invoque son immunité en tant qu’hébergeur ayant réagi après que les faits litigieux ont été porté à sa connaissance. Pour le tribunal, « Meta a agi en qualité d’intermédiaire au sens de l’article L716-4-6 du code de la propriété intellectuelle et peut de ce fait se voir ordonner des mesures provisoires destinées à faire cesser toute atteinte ou à prévenir une atteinte imminente aux droits de propriété intellectuelle de la requérante, sans que sa responsabilité n’ait à être démontrée par la requérante ni qu’il soit utile d’établir si la société Meta a eu un rôle actif ou passif dans le déroulement des faits litigieux et si elle doit être considérée comme agissant en qualité d’hébergeur ou d’éditeur au sens de la LCEN et de la directive e-commerce ».
Meta faisait par ailleurs valoir que les mesures de filtrages ordonnées équivalaient à une obligation générale de surveillance. Or, le tribunal rappelle que les « standards publicitaires » de Meta indiquent que les publicités sont examinées de manière automatique pour vérifier leur conformité aux politiques du groupe. Par conséquent, celui-ci organise un filtrage automatisé et systématique des publicités pour les jeux d’argent. Le tribunal en conclut que « d’une part, la société Meta n’est soumise à aucune appréciation autonome des contenus illicites puisqu’utilisant un système automatisé aux fins d’identification et de désactivation des publications non conformes à ses standards et qu’elle possède ainsi des moyens techniques afin de prévenir la diffusion des publicités litigieuses. D’autre part, il ne lui est pas imposé de procéder à une surveillance généralisée de la totalité ou de la quasi-totalité des informations qu’elle stocke mais de surveiller et rechercher parmi les publicités assurant la promotion de jeux d’argent et de hasard en ligne celles contenant les marques Barrière visées dans l’injonction qui apparaît ainsi limitée au regard de son objet et, tel que précisé ci-après, au regard de sa durée et de sa portée territoriale. Au vu de ces différents éléments et de la diffusion massive de publicités portant atteinte aux droits de la société Barrière, les mesures de filtrage automatisé des publications contrefaisantes spécifiquement identifiées apparaissent nécessaires et proportionnées et ne constituent pas une charge extraordinaire pour la société Meta ».

Lire la suite

La Poste condamnée pour contrefaçon de logiciel

Par un arrêt du 8 décembre 2023, la cour d’appel de Paris a condamné La Poste pour contrefaçon de logiciel. Cette dernière doit indemniser le prestataire, titulaire des droits, à hauteur de 291 128 € en réparation de son préjudice patrimonial. La Poste avait mis en ligne sur le play store de Google son application de caisse incorporant les développements de la société LMB sans lui demander son autorisation alors qu’elle n’avait qu’un droit d’usage.
La Poste voulait se développer dans le domaine de l’e-commerce et s’est rapprochée de LMB qui commercialisait un logiciel de caisse Roversash pour le développement d’une application de caisse s’appuyant sur sa solution. Quatre contrats successifs ont été conclus. Le dernier précisait que la documentation et les codes sources de Rovercash appartenaient à LMB et que La Poste s’engageait à ne pas exploiter la solution développée sans l’accord du prestataire. Suite à la mise en ligne du logiciel, ce dernier a assigné La Poste en contrefaçon.
La Poste commence par invoquer le principe du non-cumul des responsabilités délictuelle et contractuelle qui interdit au créancier d’une obligation contractuelle de se prévaloir, contre le débiteur de cette obligation, des règles de la responsabilité délictuelle. Mais la cour a estimé fondée l’action en contrefaçon en se basant sur un arrêt de la Cour de justice de l’UE qui rappelle que la violation d’une clause d’un contrat de licence d’un programme d’ordinateur, portant sur des droits de propriété intellectuelle du titulaire des droits d’auteur de ce programme, relève de la notion d’ « atteinte aux droits de propriété intellectuelle », au sens de la directive 2004/48. La Poste conteste ensuite l’originalité de Rovercash, condition de la protection par le droit d’auteur. LMB a démontré qu’elle avait procédé à des choix dans l’écriture du code et dans la composition, donc dans la forme d’expression du programme, « traduisant ainsi un effort personnalisé du programmateur dépassant la mise en œuvre d’une logique automatique et contraignante. Ainsi que l’a relevé le tribunal, si certains de ces choix pris individuellement peuvent ne pas être originaux, ils traduisent toutefois, ainsi combinés, des choix arbitraires et spécifiques ».
Sur l’exploitation non autorisée du logiciel, La Poste s’est défendue en expliquant avoir voulu tester la solution en conditions réelles. Or, le 4ème contrat prévoyait que le droit d’usage du logiciel Rovercash n’était consenti que dans le cadre d’une phase de test, limité à un nombre précis d’utilisateurs (500) et non dans le cadre d’une commercialisation. Pour cela, il aurait fallu conclure un nouveau contrat et le paiement de licences additionnelles. Faute d’un tel accord, les actes de contrefaçon du logiciel Rovercash sont caractérisés, a jugé la cour d’appel confirmant le jugement de première instance.

Lire la suite

Orange condamné à 800 000 € pour non-respect de la licence GPL

Par un arrêt du 14 février 2024, la cour d’appel de Paris a condamné pour contrefaçon Orange pour ne pas avoir respecté les termes de la licence GNU GPL v2. Orange doit verser à Entr’Ouvert 500 000 € en réparation des conséquences économiques négatives subies, 150 000 euros au titre des bénéfices réalisés par les sociétés Orange et Orange Business Services et 150 000 € au titre du préjudice moral. La cour considère qu’Entr’Ouvert a d’abord subi un préjudice économique lié au manque à gagner sur le marché public Mon.service-public.fr « puisque si les sociétés Orange avaient respecté le contrat de licence et conclu une licence payante, elles auraient dû lui verser une redevance ». Par ailleurs, la cour relève que l’exploitation gratuite du logiciel Lasso par Orange a généré nécessairement des bénéfices pour ce marché public de grande ampleur qui a perduré pendant 7 ans, outre les retombées en termes d’image, ce portail ayant été primé. « Cette exploitation leur a permis de profiter d’économies d’investissement, puisqu’en exploitant gratuitement le logiciel Lasso qui leur permettait de remplir les standards de sécurité exigés par l’ADAE, les sociétés Orange ont pu économiser des frais de recherches et développement ».
La cour d’appel intervient sur renvoi après un arrêt de la Cour de cassation du 5 octobre 2022 qui avait cassé et annulé la décision de la cour d’appel du 19 mars 2021. Celle-ci avait déclaré irrecevable Entr’Ouvert à agir en contrefaçon de logiciel au titre de la violation du contrat de licence liant les parties, se fondant sur le principe du non-cumul des responsabilités délictuelle et contractuelle. La Cour de cassation a estimé que dans le cas d’une d’atteinte portée à ses droits d’auteur, le titulaire, ne bénéficiant pas des garanties prévues aux articles 7 et 13 de la directive 2004/48 s’il agit sur le fondement de la responsabilité contractuelle, est recevable à agir en contrefaçon.
Fin 2005, Orange avait répondu à un appel d’offre de l’Agence pour le gouvernement de l’administration électronique relatif à la mise en place du portail Mon service public, pour la fourniture d’une solution informatique de gestion d’identité. Orange avait proposé une solution comprenant l’interfaçage d’une plateforme IDMP avec la bibliothèque logicielle Lasso éditée par la société Entr’ouvert, sous licence GNU GPL. Mais celle-ci a reproché à Orange notamment la violation des clauses du contrat de licence du programme Lasso, portant sur ses droits de propriété intellectuelle en tant que titulaire revendiqué de droits d’auteur sur ce programme et a donc assigné Orange sur le fondement de la contrefaçon alléguée de ses droits.
La cour d’appel a commencé par demander à Entr’Ouvert de faire la démonstration de l’originalité du logiciel Lasso. Sur la base des éléments apportés, elle a conclu qu’il « est original dans sa composition, son architecture et son expression au regard des apports intellectuels et personnalisés qu’il comporte et matérialise et qu’il est donc le résultat de choix créatifs et arbitraires, allant au-delà de la simple mise en oeuvre d’une logique automatique et contraignante. Il est donc éligible à la protection par le droit d’auteur ».
La cour a ensuite examiné les trois violations du contrat de licence GNU GPL v2 invoquées par Entr’Ouvert. D’abord, la cour considère qu’Orange avait violé l’article 2 du contrat de licence, en procédant à des modifications de Lasso sur lequel est fondé IDMP, en ne concédant pas IDMP comme un tout gratuit auprès de l’Etat. Ensuite, elle juge qu’Orange n’a pas davantage respecté l’article 3 en ne communiquant pas le code source modifié. Enfin, la cour constate qu’Orange a copié, modifié et distribué Lasso sans respecter l’ensemble des conditions du contrat de licence, notamment l’article 4. Elle estime aussi que Lasso a été incorporé dans la plate-forme IDMP, dont les conditions de distribution sont différentes et sans demander l’autorisation à la société Entr’Ouvert, ce qui constitue également une violation de l’article 10 du contrat de licence. La cour en conclut que les actes d’Orange sont constitutifs de contrefaçon.

Lire la suite

Pas d’effacement du registre des baptêmes au nom du RGPD

Un catholique qui voulait demander à se faire « débaptiser » et obtenir son retrait du registre des baptêmes s’est confronté au refus de l’Eglise qui considère qu’un baptême ne peut s’effacer, ou se « retirer ». Elle préfère mentionner en face de son nom que l’intéressé a « renié son baptême », tout en maintenant la ligne qui le concerne. Cette position n’est pas contraire au RGPD, selon le Conseil d’Etat. Dans sa décision du 2 février 2023, il a estimé qu’il « n’existe pas de motif légitime impérieux pour le traitement prévalant sur ses intérêts et ses droits et libertés, l’intérêt qui s’attache, pour l’Eglise catholique, à la conservation des données personnelles relatives au baptême figurant dans le registre, [qui] doit être regardé comme un motif légitime impérieux, prévalant sur l’intérêt moral du demandeur à demander que ces données soient définitivement effacées, eu égard, d’une part, à l’objet du registre des baptêmes et aux conditions dans lesquelles il est susceptible d’être consulté […], ainsi que, d’autre part, à la faculté ouverte à toute personne baptisée de faire apposer sur le registre une mention faisant état de sa décision de renoncer à tout lien avec la religion catholique.»
Un homme avait déposé une plainte auprès de la Cnil relative au refus opposé par l’association diocésaine d’Angers de faire droit à sa demande d’effacement et d’opposition au traitement de ses données. Par un courrier en date du 2 décembre 2021, la présidente de la Cnil l’avait informé de la clôture de sa plainte. Elle avait considéré que l’intéressé ne pouvait se prévaloir d’aucun des motifs d’effacement mentionnés au paragraphe 1 de l’article 17 du RGPD et que l’apposition en marge du registre d’une mention selon laquelle le baptisé ne reconnaissait pas la valeur de son baptême pouvait être regardée comme satisfaisant à l’exercice de son droit d’opposition fondé sur le paragraphe 1 de l’article 21 du RGPD. Cette décision de la Cnil a fait l’objet d’un recours en annulation pour excès de pouvoir devant le Conseil d’Etat.
Le Conseil d’Etat, qui a approuvé le raisonnement de la Cnil, commence par rappeler que les registres des baptêmes tenus par l’Eglise catholique sont destinés à conserver la trace d’un événement qui, pour elle, constitue l’entrée dans la communauté chrétienne. Et l’effacement définitif de l’enregistrement du baptême pourrait poser un problème si l’intéressé souhaitait réintégrer la communauté chrétienne et notamment se marier religieusement. Il juge ensuite que la mention de ses données personnelles sur le registre des baptêmes, relatives à l’état civil, à la filiation et aux coordonnées de la personne baptisée ne constitue pas un traitement illicite au regard des dispositions du d) du paragraphe 2 de l’article 9 du RGPD et que la conservation des données ainsi collectées durant une période ne s’achevant qu’après le décès de la personne concernée est nécessaire au regard des finalités de ce traitement. Il ne peut donc être fait droit à une demande d’effacement de ces données sur le fondement des dispositions des a) ou d) du paragraphe 1 de l’article 17 du RGPD. En outre, dès lors que la mention de ces données personnelles sur le registre des baptêmes n’est pas fondée sur le consentement de la personne baptisée au sens du a) du paragraphe 1 de l’article 6 de ce règlement, cité au point 5, notion reprise au a) du paragraphe 2 de l’article 9 du même texte, il ne peut davantage être fait droit à une demande d’effacement de ces données sur le fondement des dispositions du b) du paragraphe 1 de l’article 17 du RGPD relatives au retrait du consentement. Enfin, le Conseil d’Etat considère que le droit d’opposition prévu par l’article 21 du RGPD pouvait être satisfait, eu égard à la nature du registre des baptêmes tenu par l’Eglise catholique, par l’ajout d’une mention, en marge de ce registre, exprimant la volonté de l’intéressé de renoncer à tout lien avec l’Eglise catholique.

Lire la suite

Limitation de l’étendue des données d’identification communicables par Meta

Par un arrêt très bien motivé du 21 décembre 2023, la cour d’appel de Paris rappelle quelles sont les données d’identification communicables par un hébergeur dans le cadre d’une procédure judiciaire. Meta demandait à ce que la communication ordonnée se limite aux « basic subscriber information » (BSI), à savoir les informations d’identification de base en sa possession, soit les noms des titulaires, la date de création du compte, une adresse électronique ou une adresse IP correspondant à la création du compte. Sur le fondement du décret du 20 octobre 2021, pris en application du II de l’article 6 de la LCEN, la cour d’appel a ordonné à Meta de ne communiquer à l’Association nationale de prévention en alcoologie et addictologie (Anfaa) que les noms et prénoms ou raison sociale des titulaires de comptes Instagram, les pseudos utilisés ainsi que les adresses email ou de comptes associés. La cour a expliqué qu’« il résulte de la combinaison de ces dispositions légales et réglementaires que les hébergeurs ne sont tenus de communiquer, pour les besoins des procédures pénales, que les informations relatives à l’identité civile de l’utilisateur et les « autres informations fournies par lui lors de la souscription du contrat ou de la création du compte » ainsi que « les informations relatives au paiement », à l’exclusion des données techniques permettant d’identifier la source de la connexion ou de celles relatives aux équipements terminaux utilisés, notamment l’adresse IP ». En l’espèce, l’Anfaa a sollicité la communication de données d’identification des auteurs de publications sur Instagram pour les besoins d’une procédure pénale, celle-ci souhaitant poursuivre les intéressés pour des faits d’infraction aux dispositions des articles L. 3323-2, L. 3323-4 à L. 3323-6, relatifs à la publicité des boissons alcooliques, prévues et réprimées par l’article L 3351-7 du code de la santé publique et hospitalière.
L’Anfaa avait relevé 19 comptes Instagram qui auraient posté des publicités illicites pour des boissons alcoolisées, en violation des dispositions sanctionnées pénalement par les articles L. 3323-2 et suivants du code de la santé publique. De plus, certaines publications litigieuses ne comportant pas la mention légale sanitaire de la loi Evin, (l’abus d’alcool est dangereux pour la santé), associant l’image de personnalités avec la consommation d’alcool dans des environnements festifs, joyeux et conviviaux, contreviennent aux dispositions de l’article L. 3323-4 du code de la santé publique. Par un jugement du 5 janvier 2023, le tribunal judiciaire de Paris avait ordonné à Meta de retirer les publications en cause, ce qu’elle a fait. Le tribunal lui avait également ordonné de communiquer à l’association les données destinées à identifier les éditeurs des comptes concernés. C’est sur ce point que Meta a fait appel du jugement.
Comme le tribunal judiciaire, la cour a reconnu qu’« il existe bien, par l’incitation non encadrée à consommer de l’alcool, un dommage, au sens de l’article L 6, I, 8 de la LCEN, porté à l’objet même de l’ANPAA et la demande de communication des éléments d’identification est particulièrement fondée, étant précisé que l’Anpaa justifie avoir tenté de contacter les titulaires des comptes mais qu’elle s’est heurté à des refus de retirer les dites publications ». Mais sur la demande de Meta, la cour a réduit l’étendue des données d’identification communicables en application du décret du 20 octobre 2021. Elle constate toutefois que « la société Meta ne s’oppose pas à communiquer, en outre, si elle les a conservées, les données relatives à l’identifiant de connexion au moment de la création du compte, à l’adresse IP de connexion du compte et à la date de création des comptes ».

Lire la suite

FATCA : effacement des données d’un client transférées à tort aux USA et indemnisation

Même si la cour d’appel de Grenoble infirme le jugement qui avait ordonné à la Banque Rhône Alpes de faire toutes diligences à ses frais auprès des autorités fiscales des Etats-Unis afin qu’elles procèdent à l’effacement total de ses déclarations FATCA impliquant à tort son client, elle condamne néanmoins la banque à verser à ce dernier 6 000 € pour l’indemniser de son préjudice moral. Par son arrêt du 19 décembre 2023, la cour d’appel a estimé que la banque avait commis une faute pour l’avoir inscrit dans un traitement FATCA tenu par la Direction générale des finances publiques (DGFIP), en ayant considéré à tort que Toronto, lieu de naissance du client, était situé aux Etats-Unis. Elle a jugé que son préjudice moral était constitué par la rectification de la déclaration FATCA tardive, de FATCA 1 à FATCA 3. La cour a en revanche rejeté les demandes du client relatives à l’effacement total des déclarations FATCA car elle considère que cette action ne revenait pas à la banque, qui l’a pourtant inscrite dans le traitement tenu par la DGFIP, mais à la DGFIP.
Un Français né à Ottawa, capitale du Canada, avait reçu un courrier de sa banque, la Banque Rhône-Alpes, lui demandant de confirmer qu’il présentait bien des critères d’ « américanéïté », en raison de son lieu de naissance et l’informant qu’elle déclarait donc l’existence de son compte aux autorités fiscales américaines. Le Foreign Account Tax Compliance Act oblige en effet les établissements bancaires du monde entier à déclarer aux autorités fiscales des Etats-Unis tout client considéré comme contribuable américain. Dans ce cadre, un accord avait été conclu le 14 novembre 2013 entre les gouvernements français et américain imposant aux établissements bancaires français de déclarer à la DGFIP tout client considéré comme contribuable américain, à charge, pour Ia DGFIP de transférer les informations aux autorités fiscales des États-Unis. La banque française, croyant qu’Ottawa était situé aux Etats-Unis avait effectué une déclaration FATCA à la direction générale des finances publiques qui avait transféré les informations à ses homologues américains. Le client a téléphoné à sa banque pour lui confirmer qu’il était né à Ottawa, au Canada. Malgré cette démarche, la banque a maintenu sa déclaration outre-Atlantique. Il a ensuite demandé la rectification par la banque qui s’y est opposée affirmant qu’il existe des villes du nom d’Ottawa aux Etats-Unis et qu’il ne justifiait pas ne pas être né dans ces villes. Finalement, et après fourniture d’un extrait de naissance, la banque s’était exécutée pour 2018 mais pas pour les années antérieures.
Par un arrêt du 12 mars 2019, la cour d’appel de Grenoble avait confirmé l’effacement total ordonné en référé de toutes les données personnelles d’un client figurant indûment dans un traitement dans le cadre de la loi américaine FATCA. Et par un jugement du 7 février 2022, le tribunal judiciaire de Grenoble avait ordonné à la banque de faire toutes diligences à ses frais auprès des autorités fiscales des Etats-Unis afin qu’elles procèdent à l’effacement total des déclarations FATCA impliquant son client. Mais la cour d’appel a infirmé cette décision au motif que cette démarche relève de l’administration et non de la banque. Comme l’explique la cour, « l’accord FACTA prévoit seulement à la charge de l’institution financière ayant procédé à une déclaration FATCA 1 erronée auprès de la DGFIP de procéder au dépôt d’une déclaration rectificative « FATCA 3 » ; l’effacement des données transmises à l’administration fiscale française et aux services fiscaux américains ne relève pas des pouvoirs conférés par cet accord à la Banque qui de plus fort n’a pas accès aux fichiers de ces administrations, l’article 5 dudit accord précisant qu’en cas d’erreur constatée par les États-Unis, ceux-ci en réfèrent à l’administration fiscale française, qui se charge de contacter l’institution financière et, le cas échéant, d’appliquer les amendes prévues par sa législation, signifiant ainsi que les autorités fiscales de chacun des Etats sont seules compétentes pour échanger entre elles ».

Lire la suite

Pas de reconnaissance faciale à Nice, à ce jour

Quelques jours avant l’ordonnance de référé du tribunal administratif de Lille, le tribunal administratif de Nice a été amené à se prononcer sur le recours à la reconnaissance faciale et à la vidéosurveillance algorithmique par cette ville. Par une ordonnance de référé du 23 novembre 2023, les juges ont conclu qu’aucune atteinte grave et manifestement illégale aux libertés fondamentales n’était en l’espèce caractérisée. En conséquence, ils rejettent les demandes de la Ligue des droits de l’homme, du Syndicat de la magistrature et de l’Union syndicale « Solidaires » au juge des référés d’enjoindre à la commune de Nice de cesser immédiatement l’usage du logiciel édité par la société Briefcam permettant la reconnaissance faciale et l’usage du logiciel de vidéosurveillance algorithmique Wintics ou, dans le cas où ledit logiciel ne serait pas utilisé, de ne pas le déployer.
La commune de Nice affirme avoir utilisé Briefcam, à titre expérimental, lors de la coupe d’Europe de football de 2016 et lors du carnaval de Nice édition 2019, mais ne l’utilise plus actuellement. Par ailleurs, elle prétend n’avoir jamais activé la licence permettant de procéder à de la reconnaissance faciale au moyen de ce logiciel. En revanche, elle a eu recours à la reconnaissance faciale, à titre expérimental, lors du carnaval de Nice édition 2019, au moyen de la solution Anyvision éditée par la société Confidentia. Enfin, elle ne nie pas avoir passé un marché pour l’acquisition d’un « logiciel de vidéosurveillance augmentée », dénommé Wintics, non édité par la société Briefcam, en vue de l’utiliser dans le cadre de l’expérimentation prévue par la loi du 19 mai 2023 (pour les jeux olympiques et paralympiques 2024). Mais elle affirme que ce logiciel n’est pas encore déployé, les procédures légales et réglementaires préexistantes à son déploiement étant en cours.
Le tribunal conclut que « à supposer même que la commune soit dotée d’un tel logiciel (Briefcam), lequel comporterait d’autres fonctionnalités que celle permettant la reconnaissance faciale, il n’est pas établi que la simple détention de ce logiciel impliquerait, dans tous les cas, que les informations recueillies par le système de vidéoprotection de la commune puissent conduire, au bénéfice d’un autre usage que celui qui ne mettrait pas en œuvre la reconnaissance faciale, à rendre les personnes auxquelles elles se rapportent identifiables ».

Lire la suite

Effacement de données issues de vidéosurveillance algorithmique

Par une ordonnance de référé du 22 novembre 2023, le tribunal administratif de Caen a enjoint à la communauté de communes Cœur Côte Fleurie (comprenant notamment Deauville-Trouville) d’effacer les données à caractère personnel issues de l’usage du logiciel de vidéosurveillance algorithmique Briefcam, à l’exception d’un seul exemplaire du fichier, dans sa dernière version à la date de la présente ordonnance, qui sera placé sous séquestre auprès de la Commission nationale informatique et libertés. Le juge des référés a considéré que le dispositif de caméras augmentées de BriefCam utilisé par la communauté de communes porte une atteinte grave et manifestement illégale au respect de la vie privée. Il constate que le recours à un tel système qui intervient en dehors de tout cadre légal ou réglementaire et qui a pour objet de simplifier l’exploitation du contenu de vidéosurveillance et d’accélérer le temps d’identification des menaces de sécurité, permet d’identifier des personnes physiques en fonction de leurs caractéristiques propres. Il note par ailleurs qu’il n’est pas établi ni même allégué que d’autres moyens moins intrusifs au regard de la vie privée ne pouvaient être mis en œuvre afin de préserver l’ordre public.
Ce dispositif d’analyse vidéo a été mis en place en 2016 afin de transformer la vidéo brute en source de renseignements exploitables, en réduisant le temps d’identification des menaces de sécurité et un communiqué de l’intercommunalité informe qu’il s’appuie quotidiennement sur Briefcam pour faire progresser les enquêtes. Mais il a fallu la publication d’un article sur le site Disclose le 14 novembre 2023 pour que le public apprenne son existence. Il révèle que les caméras augmentées couplées au logiciel de vidéosurveillance algorithmique Briefcam permettent, d’une part, d’identifier des personnes physiques en fonction de leurs caractéristiques propres (taille, couleur de peau, couleur de cheveux, âge, sexe, couleur des vêtements et apparence, manière de se mouvoir) et, d’autre part, de les suivre de manière automatisée. Comme l’explique le guide des technologies de sûreté 2022 versé au dossier, le logiciel Briefcam constitue une plateforme complète d’analyse de contenu vidéo qui s’intègre dans les systèmes de vidéosurveillance existants et permet d’exploiter le contenu de vidéosurveillance en simplifiant la consultation de ces systèmes et leur exploitation. Selon ce document, cette plateforme, « basée sur une combinaison unique de la technologie brevetée de Vidéo Synopsis et deep learning » permet entre autres d’accélérer les enquêtes en résumant des heures de vidéos en quelques minutes, avec plus de trente filtres de classification d’objets.
Comme le rappelle la Cnil et le tribunal, la loi Informatique et libertés n’autorise pas le déploiement dans l’espace public par l’Etat ou les collectivités publiques de caméras intelligentes ou augmentées qui permettent de repérer de manière automatique des comportements contraires à l’ordre public ou des infractions. À noter que la communauté de communes Cœur Côte Fleurie n’a pas présenté d’observation en défense et n’était pas représentée.

Lire la suite

Pas de reconnaissance faciale à Roubaix

Par une ordonnance de référé du 29 novembre 2023, le tribunal administratif de Lille a estimé que la ville de Roubaix n’utilisait pas la fonction de reconnaissance faciale de son logiciel de vidéoprotection Briefcam. D’après les explications fournies par la ville, il s’avère que la fonction de détection faciale était désactivée, qu’elle ne pourrait être activée que par une reconfiguration du système et uniquement en utilisant un compte administrateur dont ne dispose pas la commune de Roubaix. Par ailleurs, la ville n’a émis aucune demande d’activation de cette fonction. En conséquence, le tribunal déboute la Ligue des droits de l’homme, le Syndicat de la magistrature et l’Union syndicale « Solidaires » de leurs demandes visant à ce que le tribunal enjoigne à la commune de Roubaix de cesser immédiatement l’usage du logiciel Briefcam et de mettre sous séquestre auprès de la Cnil la version du logiciel utilisée.
Par un arrêté du 5 novembre 2019, le préfet du Nord a reconduit pour une durée de cinq ans l’autorisation précédemment délivrée à la commune de Roubaix, par son arrêté du 27 avril 2010, d’installer un système de vidéoprotection. Ce système comporte 470 caméras fixes, réparties sur douze périmètres, et pilotées depuis un centre de supervision urbain (CSU). Sa police municipale indique utiliser le logiciel Briefcam uniquement pour procéder, a posteriori, à une recherche de plaques d’immatriculation, sur réquisition judiciaire. Et le CSU n’a, dans ce cadre, eu recours à ce logiciel qu’à 23 reprises au cours de l’année écoulée. Elle précise d’ailleurs qu’elle n’utilise pas non plus ce logiciel à des fins de vidéoverbalisation car elle dispose, pour la lecture courante des plaques d’immatriculation et la constatation des infractions au stationnement, d’un lecteur automatique de plaques d’immatriculation (LAPI). La Cnil, de son côté, avait procédé à un contrôle du système le 20 avril dernier, et n’avait constaté aucun manquement.

Lire la suite