Dans un jugement du 22 avril 2021, le tribunal judiciaire de Marseille a rappelé l’obligation du client, qui commande à un prestataire le développement d’un site, de vérifier son bon fonctionnement en procédant à son recettage. Une société avait commandé à un prestataire le développement d’un site web de vente de piluliers et d’un jeu d’enchères. Ce dernier lui a livré un site actif et lui a demandé de payer le solde. Il s’avère que le jeu fonctionnait mais avec certaines difficultés. Alors que le client avait validé le site sans effectuer de tests, le prestataire a néanmoins continué de résoudre les problèmes qui ne rendait pas le site inutilisable. Huit mois après la mise en ligne du site, le client l’a mis en demeure d’exécuter « entièrement et correctement » ses obligations. Le tribunal a considéré qu’en vertu des conditions générales du prestataire, il appartenait cependant au client de vérifier le bon fonctionnement du site internet réalisé par le prestataire en procédant à son recettage et d’effectuer des tests, d’autant qu’il avait les accès administrateur. Disposant de ces codes, il avait de fait la responsabilité du fonctionnement du site.

Pour avoir diffusé une vidéo à caractère pornographique sans l’autorisation de la personne qui y joue ainsi qu’une photo d’elle nue dans une position suggestive, la société de production a été condamnée à lui verser 12 000 € de dommages-intérêts en réparation de son préjudice moral, par un jugement du 31 mars 2021 du tribunal judiciaire de Paris.
En janvier 2017, une jeune femme a joué dans un film à caractère pornographique qui a été diffusé en ligne puis retiré du site, suite à un accord entre l’actrice et la société PinkDev. En novembre 2018, elle a constaté que la vidéo était diffusée sur un site depuis 2017 en étant intégrée en troisième partie d’une vidéo pornographique produite par la société HPG Prod. En outre, figurait sur la jaquette de présentation de la vidéo une photographie la représentant notamment nue en position suggestive. Elle considère qu’il y a eu atteinte à son droit à l’image. Le tribunal lui a donné gain de cause en prenant en compte le fait qu’elle avait conclu une convention d’autorisation de cession de son image avec la société Pinkdev mais pas avec la société HPG Production-Réalisation, qui a diffusé la vidéo litigieuse et la photo sur la jaquette. Pour le montant de l’atteinte à son droit moral, le tribunal a pris en considération la durée de la diffusion sur internet de la vidéo la mettant en scène, sans son autorisation, soit du 16 octobre 2017 au 13 février 2019, et du fait que son visage apparaît dès la plaquette de présentation de cet enregistrement.

Par un arrêt du 16 avril 2021, la cour d’appel de Paris a considéré qu’une société américaine qui vend des likes et des followers à des personnes situées en France sans facturer de TVA constitue un acte de concurrence. En conséquence, il la condamne à verser plus de 90 000 € à titre de dommages et intérêts en réparation du préjudice causé à son concurrent français dont le prix de la prestation était plus élevé en raison de la facturation de la TVA. Elle doit ajouter 10 000 € au titre du parasitisme pour avoir reproduit ses conditions générales et 6 000 € au titre de l’article 700. La cour l’a, en revanche, déboutée de sa demande d’interdire l’exploitation du site du fait de l’élargissement du marché à d’autres concurrents. Cela entraînerait une atteinte disproportionnée au principe de liberté du commerce et de l’industrie.
Depuis 2012, un acteur français, d’abord en son nom puis par le biais de sa société, proposait des services d’acquisition de followers en ligne au travers de deux sites Buyfollowers.fr et Buyfollowersbysms.fr. Puis le site Followerspascher.fr a proposé des services identiques mais à des prix plus bas que lui. Il l’a assigné en concurrence déloyale. Il lui reprochait de ne pas soumettre ses clients français à la TVA alors même qu’une société étrangère qui fournit un service électronique à un consommateur français doit s’acquitter du paiement de la TVA via le « mini-guichet unique » mis en place par la réglementation européenne.
Followerspascher est édité par une société de droit américain dont l’extension en « .fr » a été abandonnée au profit de celle en « .com ». Il est établi que la France représente près de 94% du trafic généré sur le site et que les annonceurs sont très majoritairement français. La cour rappelle qu’en vertu des articles 259B 12° et 259 D du code général des impôts, les prestations informatiques sont réputées situées en France lorsqu’elles sont fournies à des personnes non assujetties qui sont établies, ont leur domicile ou leur résidence en France. En conséquence, sont soumises à la TVA les prestations de services fournies par Followerspascher à des personnes assujetties et à des personnes non assujetties établies, ayant leur domicile ou résidence habituelle en France. Pour le calcul du préjudice, la cour va distinguer deux périodes différentes, celle de 2014 où les deux sociétés étaient dans une situation de concurrence oligopolistique et la période ultérieure avec l’arrivée sur le marché de concurrents de plus en plus nombreux qui a dilué l’avantage concurrentiel du fait de l’absence de facturation de la TVA.
.

Par une décision du 13 avril 2021, le Conseil d’Etat a partiellement annulé le décret du 20 février 2020 qui avait créé l’application GendNotes de la gendarmerie nationale destinée à faciliter la prise de notes sur le terrain directement sur un smartphone ou une tablette et d’améliorer la conservation et la transmission des données vers d’autres traitements. Le Conseil n’a pas remis en cause la création de ce traitement mais a annulé son premier article relatif à l’exploitation ultérieure dans d’autres traitements dans la mesure où cette finalité ne satisfait pas à l’exigence d’une finalité « déterminée, explicite et légitime ».
La Ligue des droits de l’homme, l’Internet Society France, le Syndicat de la magistrature et le Syndicat des avocats de France, le Conseil national des barreaux, la Quadrature du Net, la LICRA et d’autres associations ont intenté un recours en annulation contre le décret du 20 février 2020 portant autorisation d’un traitement automatisé de données à caractère personnel dénommé Application mobile de prise de notes (GendNotes). Selon ces organisations, il portait une atteinte excessive au droit au respect de la vie privée et au droit corrélatif à la protection des données personnelles, sans prévoir les garanties appropriées à leur protection en termes de précision sur la finalité du traitement et sur la nature des données collectées, mais aussi en termes de durée de conservation des données, de contrôle des destinataires des données collectées et de sécurité.
GendNotes est utilisé dans le cadre des interventions et enquêtes diligentées par les militaires de la gendarmerie nationale, notamment à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique. Cette application a pour finalités, d’une part, de faciliter le recueil et la conservation des informations collectées par les gendarmes à l’occasion d’actions de prévention, d’investigations ou d’interventions « en vue de leur exploitation ultérieure dans d’autres traitements de données », notamment par le biais d’un système de pré-renseignement et, d’autre part, de faciliter la transmission de comptes rendus aux autorités judiciaires.
Le Conseil d’Etat constate cependant que le décret ne comporte aucune indication quant à la nature et à l’objet des traitements concernés ni quant aux conditions d’exploitation, dans ces autres traitements, des données collectées par GendNotes. « Il s’ensuit que la finalité consistant en une  » exploitation ultérieure dans d’autres traitements « , notamment par le biais d’un système de pré-renseignement, des données collectées ne satisfait pas à l’exigence d’une finalité  » déterminée, explicite et légitime  » énoncée au 2° de l’article 4 de la loi du 6 janvier 1978 cité au point 7 ». Le Conseil d’Etat en conclut que « le décret attaqué doit être annulé en ce qu’il assigne une telle finalité au traitement qu’il autorise, sans qu’il soit besoin de se prononcer sur les autres moyens des requêtes relatifs à la légalité du décret sur ce point ».
En revanche, les autres finalités de GendNotes consistant, d’une part, à faciliter le recueil et la conservation, pour la réalisation des missions que les lois et règlements leur confient, des informations collectées par les militaires de la gendarmerie nationale à l’occasion d’actions de prévention, d’investigations ou d’interventions et, d’autre part, à faciliter la transmission de comptes rendus aux autorités judiciaires, qui sont déterminées, explicites et légitimes, ne méconnaissent pas les dispositions de l’article 4 de la loi du 6 janvier 1978.

 » Le parasitisme économique consistant à s’immiscer dans le sillage d’autrui afin de tirer profit, sans rien dépenser, de ses efforts et de son savoir-faire, il s’infère nécessairement un préjudice, fût-il seulement moral, de tels actes, même limités dans le temps « , a rappelé la Cour de cassation dans un arrêt du 17 mars 2021.
Dans cette affaire, le site abri-jardin.eu qui vendait des saunas en extérieur avait repris à l’identique, pour optimiser son référencement en ligne, les descriptifs techniques et les « avis du spécialiste » élaborés par son concurrent sauna-bien-être.com. Ce dernier l’a assigné en justice sur le fondement de la concurrence déloyale et du parasitisme. En appel, la cour avait rejeté ses demandes en raison de l’absence de perte de clientèle ou de chiffre d’affaires imputables au parasite et de lien de causalité entre l’attitude parasitaire et le préjudice dont le site se prévalait. La Cour de cassation a estimé que la cour d’appel de Versailles avait violé l’article 1240 du code civil.

Dans une décision du 2 avril 2021, le Conseil d’Etat a rappelé le large pouvoir d’appréciation de l’Autorité des marchés financiers et de l’Autorité de contrôle prudentiel et de résolution dans l’usage de leurs prérogatives, notamment pour ce qui est de l’enregistrement préalable obligatoire des prestataires de services sur actifs numériques. Les sociétés Blockchain Process Security, Digital Broker et Kamix, en attente de leur enregistrement, ne pouvaient pas exercer leur activité selon l’article L. 54-10-4 du code monétaire et financier, avaient rappelé les deux autorités dans un communiqué. Elles avaient ajouté que l’AMF pouvait publier une liste noire des prestataires non enregistrés, accompagnée d’une mise en garde du public, et le cas échéant demander en justice le blocage de l’accès aux sites dont l’activité n’est pas enregistrée. Le communiqué concluait qu’en tout état de cause, ces prestataires devraient suspendre toute activité promotionnelle et ne pas accepter de nouveaux clients avant d’être enregistrés.
Les trois sociétés ont intenté un recours devant le Conseil d’Etat pour obtenir l’annulation de ce communiqué et l’injonction de pouvoir continuer leur activité. Le Conseil a rejeté leurs demandes considérant qu’eu égard à leurs attributions et à leur pouvoir d’appréciation, « l’AMF et l’ACPR n’ont pas méconnu l’étendue de leur compétence en annonçant, par le communiqué attaqué, d’une part, qu’elles tiendraient compte au cas par cas de la situation des prestataires en cours d’enregistrement et, d’autre part, que l’AMF envisagera la publication d’une  » liste noire des prestataires non enregistrés  » accompagnée d’une mise en garde du public ».

Dans une ordonnance de référé du 10 mars 2021, le tribunal judiciaire de Toulouse rappelle que si la critique relève de la liberté d’expression, il n’en demeure pas moins que ce droit ne saurait légitimer des propos injurieux tenus sur Facebook à l’encontre d’un maire concernant le port obligatoire du masque. Il estime toutefois que l’outrance des propos peuvent s’expliquer par les troubles anxieux de son auteur à la perspective de contraintes supplémentaires et bien pesantes. Il le condamne donc à supprimer le commentaire injurieux et à verser au maire 300 € de dommages-intérêts et 1 000 € au titre de l’article 700 du code de procédure civile.
Le maire d’une commune de 10 000 habitants avait mis en place des mesures sanitaires dans le cadre de la pandémie et avait communiqué sur le port obligatoire du masque à ses administrés, informations qui avaient été relayées sur Facebook, par un groupe d’entraide de particuliers. Sur ce compte avait été publié un commentaire traitant notamment l’édile de « ptit toutou de X qui fellationne lui-même Macron ». Le maire a assigné l’auteur de ses propos sur le fondement de l’injure publique envers un citoyen chargé de service d’un mandat public. Le juge a estimé que le terme « petit toutou » était utilisé de manière méprisante pour illustrer la soumission. Il s’agit d’un commentaire outrageant destiné à remettre l’indépendance politique du maire, a-t-il expliqué. Le tribunal a considéré donc que le trouble manifestement illicite était caractérisé et il a ordonné la suppression du message injurieux.

Par une ordonnance de référé du 12 mars 2021, le Conseil d’Etat a refusé d’ordonner la suspension du partenariat avec la société Doctolib concernant l’hébergement des données de santé auprès d’une société américaine, au motif qu’il serait incompatible avec le règlement général sur la protection des données (RGPD). Il estime qu’au vu des garanties apportées, « le niveau de protection des données de prise de rendez-vous dans le cadre de la campagne de vaccination contre la Covid-19 ne peut être regardé comme manifestement insuffisant au regard du risque de violation du règlement général de protection des données invoqué par les requérants ».
Dans le cadre de la campagne de vaccination contre la covid-19, le ministère des Solidarités et de la Santé a confié la gestion des rendez-vous de vaccination sur internet à différents prestataires dont la société Doctolib. Pour les besoins de l’hébergement de ses données, Doctolib a fait appel à la société de droit luxembourgeois AWS Sarl, filiale de la société américaine Amazon Web Services Inc. AWS est certifiée « hébergeur de données de santé » en application de l’article L. 1111-8 du code de la santé publique. Amazon certifie que les données traitées sont hébergées dans des data centers situés en France et en Allemagne et que le contrat conclu avec Doctolib ne prévoit pas de transfert de données pour des raisons techniques aux Etats-Unis. L’association InterHop ainsi que d’autres requérants à l’initiative du recours font valoir que, du fait de sa qualité de filiale d’une société de droit américain, la société AWS pourrait faire l’objet de demandes d’accès à certaines données de santé par les autorités américaines, dans le cadre de programmes de surveillance fondés sur l’article 702 de la loi américaine FISA ou sur l’executive order 12333. Ils invoquent l’arrêt de la CJUE dit Schrems II qui juge qu’il faut vérifier le niveau de protection assuré lors du traitement des données en prenant en considération non seulement les stipulations contractuelles convenues entre le responsable du traitement et son sous-traitant, mais aussi, en cas de soumission de ce sous-traitant au droit d’un Etat tiers, les éléments pertinents du système juridique de celui-ci. Pour refuser la demande des requérants, le Conseil d’Etat commence par rappeler que Doctolib ne collecte pas de données de santé sur d’éventuels motifs médicaux d’éligibilité à la vaccination, les personnes intéressées se bornant, au moment de la prise de rendez-vous, à certifier sur l’honneur qu’elles entrent dans la priorité vaccinale, qui est susceptible de concerner des adultes de tous âges sans motif médical particulier. Ces données sont supprimées au plus tard dans un délai de trois mois à compter de la date de rendez-vous, et chaque personne concernée ayant créé un compte sur la plateforme pour les besoins de la vaccination pouvant le supprimer directement en ligne. Par ailleurs, un addendum complémentaire conclu par les deux sociétés instaure une procédure précise en cas de demandes d’accès par une autorité publique aux données traitées pour le compte de Doctolib prévoyant notamment la contestation de toute demande générale ou ne respectant pas la règlementation européenne. Le Conseil d’Etat ajoute que les données hébergées par AWS sont sécurisées par le biais d’une procédure de chiffrement reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des tiers.

Par un arrêt du 19 mars 2021, la cour d’appel de Paris confirme le jugement du 21 septembre 2019 du TGI de Paris qui avait conclu qu’une licence portant sur un logiciel libre est un contrat et qu’en conséquence, les manquements à l’une de ses stipulations relèvent du droit de la responsabilité contractuelle. Pour la cour d’appel, « l’action en contrefaçon formée par la société Entr’Ouvert qui agit, en première instance, comme en appel, sur le seul fondement délictuel doit être déclarée irrecevable dès lors que comme indiqué elle se fonde sur le contrat de licence qui lie les parties et se prévaut de la violation des clauses de ce contrat ». Cet arrêt s’inscrit dans le cadre de l’arrêt de la CJUE du 18 décembre 2019 qui conforte le principe de non-cumul des responsabilités contractuelles et extracontractuelles, tout en permettant de faire application des garanties offertes par la directive européenne en matière d’atteinte à un droit de propriété intellectuelle. La cour d’appel rappelle que « lorsque le fait générateur d’une atteinte à un droit de propriété intellectuelle résulte d’un acte de contrefaçon, alors l’action doit être engagée sur le fondement de la responsabilité quasi-délictuelle prévue à l’article L.335-3 du code de la propriété intellectuelle. En revanche lorsque le fait générateur d’une atteinte à un droit de propriété intellectuelle résulte d’un manquement contractuel, le titulaire du droit ayant consenti par contrat à son utilisation sous certaines réserves, alors seule une action en responsabilité contractuelle est recevable par application du principe de non-cumul des responsabilités ».
Fin 2005, Orange avait répondu à un appel d’offre de l’Agence pour le gouvernement de l’administration électronique relatif à la mise en place du portail Mon service public, pour la fourniture d’une solution informatique de gestion d’identité. Orange avait proposé une solution comprenant l’interfaçage d’une plateforme IDMP avec la bibliothèque logicielle Lasso éditée par la société Entr’ouvert, sous licence GNU GPL. Or, cette dernière a estimé qu’Orange n’avait pas respecté les termes de cette licence et l’a assignée en contrefaçon après avoir fait procéder à une saisie-contrefaçon. Entre’ouvert considérait en effet que l’atteinte portée au droit d’auteur relevait du régime de la contrefaçon. Pour le tribunal de Paris, « il apparaît ainsi que la société Entr’ouvert poursuit en réalité la réparation d’un dommage généré par l’inexécution par les sociétés défenderesses d’obligations résultant de la licence et non pas la violation d’une obligation extérieure au contrat de licence ».

Après une ordonnance de référé du TGI de Paris du 6 avril 2018 condamnant Google à supprimer une fiche Google My Business et une ordonnance du TGI de Paris du 12 avril 2019 prévoyant le contraire, un jugement très motivé du tribunal judiciaire de Paris du 9 mars 2021 a rejeté la demande d’un dentiste de supprimer sa fiche. Le tribunal considère qu’il n’établit pas que le traitement de sa fiche professionnelle Google My Business est illicite. Le dentiste est condamné à verser 2 500 € à Google LLC et 2 500 € à Google France au titre de l’article 700 du code de procédure civile.
Le 11 septembre 2017, un dentiste a adressé à Google LLC et à Google France une demande de suppression de sa fiche sur Google My Business, de toute fonction permettant d’utiliser ses données personnelles, de le noter et de donner un avis à son sujet, ainsi que de tout avis le concernant. Le 6 octobre 2017, Google lui a notifié sa décision de ne pas faire droit à la suppression de cette fiche et des nouveaux avis, les plus anciens ayant été effectivement supprimés. Le tribunal commence par relever que les données traitées sont incontestablement des données à caractère personnel. Elles ne portent pas sur la sphère privée mais uniquement sur des aspects élémentaires de son activité professionnelle. En l’occurrence, ce sont des données publiques qui figurent sur le site web du dentiste mais aussi dans des annuaires universels des abonnés téléphoniques dont les Pages Jaunes, en outre dans plusieurs annuaires médicaux spécialisés, notamment Doctolib.
Pour le tribunal, la violation alléguée relative à la collecte de ses données n’est pas démontrée. Le tribunal constate par ailleurs que ces données sont nécessairement dans le domaine public dès lors que leur publicité est exigée par la loi, au sein du Répertoire des entreprises et de leurs établissements et du Répertoire partagé des professionnels de santé. Il en conclut que sa fiche professionnelle Google ne porte pas atteinte au droit fondamental à la protection des données à caractère personnel du dentiste. Procédant à la balance des droits, le tribunal ajoute que l’impact éventuel de cette fiche sur la jouissance de ce droit est faible et qu’il ne saurait prévaloir sur la liberté d’expression et d’information de Google et des internautes. Or, les finalités de cette fiche consistent justement dans la mise à disposition gratuite des internautes d’informations élémentaires relatives à l’exercice de sa profession et dans la constitution d’un forum potentiel pour ses patients désirant « poster » des avis sur leur expérience. Ces finalités sont donc déterminées et explicites.
S’agissant des avis en ligne et de leur publication sur un forum, le tribunal relève que la finalité d’information du consommateur est légitime, dès lors qu’il existe des moyens de protection des droits de la personnalité contre d’éventuelles dérives tenant à des propos dépassant les limites admissibles de la liberté d’expression. La suppression définitive d’une fiche professionnelle ou le maintien de sa suppression, parce qu’elle contient des avis possiblement attentatoires aux droits du dentiste, contreviendrait au principe de la liberté d’expression, alors même qu’il lui est loisible d’agir spécifiquement contre les personnes à l’origine d’avis qu’il estimerait contraires à ses droits.
Quant à l’effacement des données, le tribunal rappelle que, selon l’article 17 al. 3 du RGPD, on ne peut invoquer l’effacement de données que celui-ci est « nécessaire à l’exercice du droit à la liberté d’expression et d’information ». Ce qui est bien le cas en l’espèce, dans la mesure où les informations en cause sont pour la plupart des informations dont la loi exige la publicité.