Mise en demeure par la CNIL de se conformer à la loi Informatique et Libertés

Décision du 30 juin 2016

Le 10 juillet 2015, la société Microsoft Corporation lançait la commercialisation de son nouveau système d’exploitation dénommé « Windows 10 ». A la suite de ce lancement, des journalistes et hommes politiques ont alerté la CNIL sur l’existence d’une potentielle collecte massive de données personnelles des utilisateurs du logiciel.

 

La CNIL a mené 7 constats en ligne entre le 11 avril et le 29 juin 2016.

Suite à ces vérifications, la CNIL a fait état de plusieurs manquements à la loi Informatique et Libertés :

– l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données n’aurait pas été respectée : Microsoft Corporation propose un système de télémétrie, qui ne peut être désactivé, et qui vise à améliorer les services en résolvant notamment les problèmes liés à l’utilisation du logiciel. La CNIL constate cependant que la majorité des données collectées par Microsoft Corporation dans le cadre de ce service n’est pas « directement nécessaire au fonctionnement du système d’exploitation », ce qui constitue un manquement à l’article 6-3 de la loi du 6 janvier 1978, qui dispose que les données collectées doivent être « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs » ;

– sur l’obligation d’informer les personnes : chaque personne dont les données sont transférées dans un pays non membre de la Communauté européenne doit notamment être informée, en vertu de l’article 32-I de la loi Informatique et Libertés et du décret d’application du 20 octobre 2005, de la nature des données transférées et de la finalité du transfert envisagé. Or, la CNIL constate que ces informations ne sont pas fournies aux utilisateurs du logiciel Windows 10, ce qui constitue un manquement à l’article précité ;

– sur les dispositions de l’article 32-II de la loi Informatique et Libertés telles qu’interprétées par la CNIL dans sa délibération n°2013-378 du 5 décembre 2013. En effet, la CNIL a relevé que Microsoft Corporation installe des cookies sur le terminal des utilisateurs de son logiciel Windows 10, sans obtenir préalablement leur consentement. La Commission constate en outre que les informations dispensées aux utilisateurs ne sont pas satisfaisantes, ces cookies étant installés sans que les utilisateurs ne soient informés de leur finalité et sans qu’un mécanisme valable d’opposition ne soit mis en œuvre par Microsoft Corporation ;

– sur l’obligation d’assurer la sécurité des données : tout utilisateur de Windows 10 dispose de la faculté de créer un code PIN constitué de 4 chiffres permettant l’ouverture de la session et l’accès « à tous les services en ligne de Microsoft, et notamment à sa boite de messagerie ainsi qu’à son compte Microsoft qui recense les achats ». La CNIL constate que ce mot de passe peut être constitué de 4 chiffres identiques, et que l’authentification n’est pas suspendue dans la durée après 20 tentatives infructueuses de connexion. La CNIL considère que la sécurité et la confidentialité des données des utilisateurs ne sont pas assurées, et que ces faits constituent un manquement à l’article 34 de la loi Informatique et Libertés ;

– sur l’obligation d’accomplir les formalités préalables à la mise en œuvre des traitements de lutte contre la fraude et d’exclusion : la Déclaration de confidentialité de Microsoft Corporation précise que, dans un but de sécurité et de lutte contre la fraude, elle peut supprimer des contenus et des communications. Par lettre du 30 mai 2016 adressée à la CNIL, Microsoft précise en outre qu’elle se réserve « le droit d’interdire à des utilisateurs qui se livrent à des actes de fraude » d’utiliser ses services. Or, la CNIL constate que Microsoft Corporation n’a effectué aucune demande d’autorisation, alors que l’article 25 de la loi Informatique et Libertés soumet à autorisation tout traitement susceptible d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat ;

– sur l’obligation de disposer d’une base légale pour transférer des données à caractère personnel hors de l’Union Européenne :la CNIL relève que la Déclaration de confidentialité de Microsoft Corporation énonce notamment que les données recueillies peuvent être stockées et traitées aux Etats-Unis, conformément aux principes du « Safe Harbor ». Or, la CNIL rappelle qu’il n’était plus possible à l’époque des faits de procéder à un transfert de données personnelles vers les Etats-Unis sur la base du Safe Harbor, suite à la décision de la CJUE du 6 octobre 2015 (sauf adoption de Clauses contractuelles types, ou, au sein d’une entreprise ou d’entreprises d’un même groupe, de règles internes d’entreprise (BCR)).

Ainsi, Microsoft Corporation dispose d’un délai de 3 mois à compter de la notification de la décision pour conformer son logiciel Windows 10 à la loi Informatique et Libertés.

La CNIL estime que la gravité de ces atteintes à la loi Informatique et Libertés, la taille de l’entreprise concernée et l’importance du nombre de personnes concernées (plus de 10 millions en France) justifient la publication de la mise en demeure adressée à Microsoft Corporation.

Antoine JACQUEMART
Téléchargez cet article au format .pdf

Ayant eu connaissance d’une campagne publicitaire nationale visant à faire la promotion des chaussures de la marque KICKERS et reprenant, au sein de ses visuels, les termes « FOREVER YOUNG », il a assigné le distributeur des produits KICKERS en France.

 

Ses demandes ayant été rejetées par le tribunal de grande instance de Rennes, la société BRUNO SAINT HILAIRE, a formé appel de la décision et la Cour d’appel de Rennes, saisie du litige, permet ainsi d’enrichir la jurisprudence déjà fournie sur la protection des slogans publicitaires par le droit des marques.

 

La validité des dépôts de slogans à titre de marque a parfois été contestée, en raison de leur nature évocatrice. Malgré cela, les tribunaux sont souvent réticents à considérer qu’un slogan ne peut, per se, être déposé en tant que marque, l’article L711-1 du Code de la propriété intellectuelle listant parmi les signes pouvant être déposés en tant que marque les « dénominations sous toutes les formes » dont notamment les « assemblages de mots ».

 

Cependant, même déposé, il peut souvent s’avérer difficile pour les titulaires de ces marques d’obtenir une protection sur le fondement du droit des marques, comme l’illustre notamment cet arrêt.

 

En l’espèce, si la validité du dépôt en tant que marque du signe Image de la marquen’était pas contestée ici, le litige portait sur la réalité de l’usage.

 

L’article L714-5 du Code de la propriété intellectuelle énonce en effet qu’ « encourt la déchéance de ses droits le propriétaire de la marque qui, sans juste motif, n’en a pas fait un usage sérieux, pour les produits et services visés dans l’enregistrement, pendant une période ininterrompue de cinq ans ».

 

La société BRUNO SAINT HILAIRE, à qui était opposée l’absence d’usage sérieux du signe Image de la marque, avait soutenu qu’elle utilisait sa marque, en produisant des « photographies de 4 personnes portants des vêtements et chaussures avec la mention Forever Y au-dessus de la marque Saint Hilaire », ou encore « la présentation d’un homme habillé sur un solex devant un panneau où figure les mêmes éléments et alors qu’il constitue un stand publicitaire (…) ». Elle reconnaissait néanmoins que ce signe était utilisé comme concept, ce qu’indiquait d’ailleurs son site : « Forever Y, c’est tout un état d’esprit… avoir confiance en soi, se sentir bien et libre, oser passer à l’acte… être Forever Y ».

 

La Cour d’appel de Rennes a estimé que le signe n’était dès lors pas utilisé dans une fonction d’identification de l’origine des produits, et a prononcé la déchéance de la marque à compter du 1er décembre 2013.

 

 

Si la contrefaçon n’était pour autant pas de facto écartée à ce stade, les actes argués de contrefaçon datant de septembre 2010, la contestation de l’usage effectif à titre de marque a s’est avérée efficace.

 

La Cour d’appel note que le signe FOREVER YOUNG avait été utilisé « dans le cadre des 40 ans de la marque KICKERS », « au sein d’une phrase écrite en langue anglaise, traduite ensuite en langue française », de manière descriptive « de la marque KICKERS éternellement jeune ». Elle estime, par conséquent et de manière plutôt cohérente avec la déchéance prononcée, que là aussi, ces mots étaient utilisés à titre d’expression courante et non à titre de marque. Aucun usage du signe à titre de marque n’ayant été réalisé antérieurement au 1er décembre 2013, la demande sur le fondement de la contrefaçon a par conséquent été rejetée.

 

Sur les demandes formées sur le fondement de la concurrence déloyale, la Cour confirme également le jugement, en estimant que la société BRUNO SAINT HILAIRE ne justifiait pas d’investissement ou de travail particulier pour développer le « concept » FOREVER YOUNG, dont la « valeur économique individualisée » n’était, selon la Cour, pas démontrée.

 

Antoine JACQUEMART