L'actualité juridique numérique de la semaine – 19 mai 2025

Par Haas Avocats

Toutes les semaines, Gérard Haas et son équipe sélectionnent les informations les plus marquantes. Voici celles retenues :

Actualité 1 - Google Maps désactive les avis sur les établissements scolaires pour lutter contre les contributions « hors sujet » et « nuisibles »

Le Monde rapporte que Google a décidé de désactiver les avis sur les établissements scolaires dans Google Maps afin de prévenir les commentaires inappropriés et nuisibles.

Contexte

Google Maps permet aux utilisateurs de noter et commenter divers lieux, y compris les établissements scolaires. Cependant, de nombreux avis sur ces établissements étaient jugés hors sujet ou nuisibles, ce qui a conduit Google à prendre des mesures pour préserver l'intégrité de ces espaces numériques.

Résumé des faits

• Google désactivera les avis et notes sur les établissements d'enseignement général à partir de fin avril 2025, à l'échelle mondiale.
• Cette décision fait suite à la présence récurrente de contributions hors sujet, nuisibles et contraires aux politiques de Google.
• Des commentaires tels que « pitoyable collège » ou « professeurs horribles » ont été relevés sur des pages d'établissements parisiens.
• La mesure inclut la suppression des avis et notes déjà existants sur ces établissements.
• Le ministère de l'Éducation nationale français a salué cette initiative, qu'il avait sollicitée, pour protéger l'institution et ses personnels contre des critiques sans possibilité de réponse.

Impact juridique

Cette action de Google, bien qu'initiée par des préoccupations internes, répond également à une demande du ministère de l'Éducation nationale français. Elle soulève des questions sur la modération des contenus en ligne et la responsabilité des plateformes numériques dans la gestion des avis publics, notamment en ce qui concerne les institutions éducatives.

Lien vers l'article.

Actualité 2 - Fuites de données : quand Orange s’emmêle les pinceaux dans les pièces jointes

Le média Next.ink traite cette affaire avec un ton critique et informatif, en soulignant l'erreur interne d'Orange ayant conduit à une fuite de données personnelles, tout en rappelant les précédents incidents similaires impliquant l'opérateur.

Contexte
Le 5 avril 2025, lors d'une campagne de communication concernant le renvoi de matériel, Orange a commis une erreur en envoyant des courriels contenant des pièces jointes incorrectes à certains de ses clients.

Résumé des faits

• Des clients d'Orange ont reçu des courriels avec des pièces jointes contenant les données personnelles d'autres clients.
• Les informations divulguées incluent le nom, le prénom et l'adresse postale de facturation.
• Orange affirme qu'aucune donnée sensible, telle que les détails des appels, les coordonnées bancaires ou les mots de passe, n'a été compromise.
• L'opérateur qualifie l'incident d'« erreur ponctuelle » et assure avoir mis en place des mesures pour éviter sa récurrence.
• La CNIL a été informée de cette fuite, conformément aux obligations légales.
• Le nombre exact de clients affectés n'a pas été précisé par Orange

Impact juridique

Conformément au RGPD, les entreprises sont tenues de notifier toute violation de données personnelles à la CNIL dans un délai de 72 heures. Orange a respecté cette obligation en informant l'autorité compétente. Toutefois, l'absence de communication sur le nombre de clients impactés et les mesures correctives détaillées pourrait soulever des questions sur la transparence et la gestion de la sécurité des données par l'opérateur.

Lien vers l'article sur Next.

Actualité 3 - Affaire Thaler : confirmation de l’absence de protection par le copyright américain d’une œuvre présentée comme générée uniquement par l’intelligence artificielle

Dalloz Actualité traite cette décision judiciaire comme une confirmation claire de la position des autorités américaines sur l'absence de protection par le droit d’auteur pour les œuvres créées exclusivement par intelligence artificielle.

Contexte

Stephen Thaler, chercheur et inventeur, a soumis une œuvre intitulée « A Recent Entrance to Paradise » au Bureau du droit d’auteur des États-Unis (U.S. Copyright Office), affirmant qu'elle avait été générée uniquement par une intelligence artificielle nommée DABUS, sans intervention humaine. Il a demandé que le copyright soit attribué à l'IA elle-même, avec lui-même en tant que cessionnaire.

Résumé des faits

• Le Bureau du droit d’auteur a rejeté la demande, arguant que seule une œuvre créée par un être humain peut bénéficier de la protection du droit d’auteur.
• Stephen Thaler a contesté cette décision devant les tribunaux.
• Le 18 août 2023, le tribunal fédéral du district de Columbia a confirmé la décision du Bureau, déclarant que le droit d’auteur américain ne protège pas les œuvres créées sans intervention humaine.
• Le juge a souligné que la loi américaine sur le droit d’auteur exige une « paternité humaine » pour qu'une œuvre soit protégée.
• Thaler a fait appel de cette décision, mais la cour d’appel a confirmé le jugement initial, réaffirmant l’exigence d’une création humaine pour la protection par le droit d’auteur.

Impact juridique

Cette affaire confirme la position des autorités américaines selon laquelle les œuvres générées uniquement par intelligence artificielle, sans intervention humaine, ne sont pas éligibles à la protection par le droit d’auteur. Cela a des implications significatives pour les créateurs et les entreprises utilisant l'IA, soulignant la nécessité d'une contribution humaine substantielle pour bénéficier de la protection juridique. Cette décision pourrait également influencer les débats internationaux sur la reconnaissance des œuvres générées par l'IA dans le cadre du droit d’auteur.

Lien vers l'article sur Dalloz Actualité.

Actualité 4 - Coiffeur, masseur, traiteur... Airbnb propose désormais des services à domicile

BFMTV présente l'annonce d'Airbnb comme une diversification stratégique visant à concurrencer les hôtels en offrant des services à domicile et des expériences de luxe.

Contexte

Airbnb, principalement connue pour la réservation de logements, cherche à élargir son offre en intégrant des services à domicile tels que des soins de beauté, des massages et des repas préparés par des chefs. Cette initiative vise à renforcer sa compétitivité face aux hôtels traditionnels qui proposent déjà de tels services.

Résumé des faits

• Le 14 mai 2025, Airbnb a annoncé l'ajout de services à domicile sur son application, incluant des prestations de beauté, de bien-être et de restauration.
• Ces services seront disponibles dans 260 villes initialement, avec une expansion prévue par la suite.
• Airbnb introduit également des expériences de luxe nommées "Airbnb Originals", telles que des rencontres avec des célébrités ou des activités exclusives.
• L'application mettra en avant les logements, les services et les expériences, avec des recommandations personnalisées pour les utilisateurs.
• Cette diversification vise à réduire la dépendance d'Airbnb à la seule réservation de logements et à augmenter la fréquentation de l'application.

Impact juridique

L'intégration de services à domicile par Airbnb pourrait soulever des questions réglementaires, notamment en ce qui concerne la conformité des prestataires aux normes locales de santé et de sécurité, ainsi que la fiscalité applicable à ces nouveaux services. De plus, les autorités locales pourraient examiner l'impact de cette expansion sur le marché du travail et la concurrence avec les entreprises locales offrant des services similaires.

Lien vers l'article sur BFM.

Actualité 5 - Abus des droits en matière de protection des données : décisions de la Cour administrative suprême autrichienne suite à l'arrêt de la CJUE du 9 janvier 2025

Le média Lexology, par le biais de l'article rédigé par le cabinet Schoenherr, analyse les répercussions de l'arrêt de la Cour de justice de l'Union européenne (CJUE) du 9 janvier 2025 sur la gestion des plaintes abusives en matière de protection des données par les autorités autrichiennes.

Contexte

L'article examine les décisions récentes de la Cour administrative suprême autrichienne (VwGH) concernant des demandes manifestement infondées ou excessives adressées aux autorités de protection des données. Ces décisions font suite à l'arrêt de la CJUE du 9 janvier 2025 (affaire C-416/23, Österreichische Datenschutzbehörde), qui clarifie les conditions dans lesquelles une autorité de contrôle peut refuser de traiter une plainte en vertu de l'article 57(4) du RGPD.

Résumé des faits

• La CJUE a statué que les autorités de contrôle peuvent refuser de traiter une plainte si elles peuvent démontrer l'existence d'une intention abusive de la part du plaignant, en tenant compte de toutes les circonstances pertinentes du cas individuel.
• Suite à cet arrêt, la VwGH a annulé six décisions de la Cour administrative fédérale autrichienne (BVwG) pour ne pas avoir suffisamment examiné les motivations des plaignants et l'éventuelle intention abusive derrière leurs plaintes.
• La VwGH a souligné l'importance d'établir des constatations factuelles concernant l'intention du plaignant avant de rejeter une plainte comme étant manifestement infondée ou excessive.
• Ces décisions mettent en évidence la nécessité pour les autorités de protection des données de mener une analyse approfondie des circonstances de chaque plainte afin de déterminer si elle est abusive.

Impact juridique

Les décisions de la VwGH, éclairées par l'arrêt de la CJUE, renforcent le cadre juridique permettant aux autorités de protection des données de rejeter les plaintes abusives, à condition qu'une intention abusive soit démontrée. Cela souligne l'importance d'un équilibre entre la protection des droits des personnes concernées et la prévention des abus du système de protection des données.

Lien vers l'article sur la source.

Actualité 6 - Éducation nationale : la CNIL publie deux guides pratiques sur les violations de données

La CNIL publie deux guides pratiques pour aider les établissements scolaires à mieux comprendre et gérer les violations de données personnelles.

Contexte

Les établissements scolaires du premier et second degrés traitent de nombreuses données personnelles (inscriptions, environnements numériques de travail, suivi médical, etc.). Bien que ces établissements soient exposés à des incidents de sécurité, la CNIL n’a été notifiée que d’une trentaine de violations de données par an en moyenne au cours des cinq dernières années. Ce chiffre semble sous-estimé, en raison de difficultés à identifier une violation de données, d'une méconnaissance des démarches à suivre et de la complexité des responsabilités dans le traitement des données.

Résumé des faits

La CNIL a publié deux guides pratiques destinés aux délégués à la protection des données (DPO), aux directeurs d’école, aux chefs d’établissement et au personnel administratif. Ces guides visent à aider à comprendre ce qu’est une violation de données personnelles et à réagir efficacement en cas d’incident.

Ils s’appuient sur cinq situations types :

• Vol ou perte de matériel (ordinateur, clé USB, etc.)
• Envoi d’informations à la mauvaise personne
• Erreur de manipulation par un utilisateur
• Vol d’identifiants ou de mots de passe
• Cyberattaques ou intrusions informatiques

Pour chaque cas, les guides proposent :

• Des exemples concrets
• Des clés pour analyser la situation
• Les actions à entreprendre rapidement
• Des bonnes pratiques pour éviter que cela se reproduise

Impact juridique

Le Règlement général sur la protection des données (RGPD), notamment ses articles 33 et 34, impose aux organismes de garantir la sécurité des données qu’ils traitent. En cas de violation de données :

• L’incident doit être analysé et documenté
• Si l’incident constitue un risque pour la vie privée des personnes concernées, il doit être notifié à la CNIL.
• En cas de risque élevé, les personnes concernées doivent être informées.

Ces guides pratiques visent à renforcer la conformité des établissements scolaires aux obligations du RGPD en matière de sécurité des données personnelles.

Lien vers l'article sur la CNIL.

Actualité 7 – Punie pour démarchage illégal, Canal+ contestait la décision devant le Conseil d'État, qui la renvoie vers l'Europe

Le média Clubic aborde cette actualité en analysant les implications juridiques du litige opposant Canal+ à la CNIL, mettant en lumière les enjeux liés au consentement en matière de données personnelles.

Contexte

En octobre 2023, la Commission nationale de l'informatique et des libertés (CNIL) a infligé une amende de 600 000 euros à Canal+ pour des pratiques de démarchage électronique jugées non conformes au Règlement général sur la protection des données (RGPD). La chaîne a contesté cette sanction devant le Conseil d'État, qui a décidé de saisir la Cour de justice de l'Union européenne (CJUE) pour clarifier certaines questions juridiques.

Résumé des faits

• Canal+ a été sanctionnée pour avoir démarché électroniquement près de 3,9 millions de personnes en 2021 sans consentement valable.
• Les données utilisées provenaient de fournisseurs d'accès internet (FAI) partenaires, qui avaient obtenu un consentement générique de leurs clients pour partager leurs informations avec des "partenaires", sans spécifier Canal+.
• La CNIL a également relevé d'autres manquements, tels qu'une politique de confidentialité imprécise lors de la création de comptes MyCanal, des réponses tardives aux demandes d'accès aux données, un stockage insuffisamment sécurisé des mots de passe des employés, et une fuite de données non signalée exposant les informations d'abonnés pendant cinq heures.
• Canal+ a contesté l'amende, arguant que le consentement obtenu par les FAI était suffisamment éclairé.
• Le 5 mai 2025, le Conseil d'État a décidé de porter l'affaire devant la CJUE, posant des questions sur la validité du consentement dans le cadre du RGPD.

Impact juridique

Cette affaire soulève des questions fondamentales sur la notion de consentement éclairé dans le cadre du RGPD. La CJUE devra déterminer si un consentement générique donné à un FAI pour partager des données avec des "partenaires" non spécifiés est suffisant pour permettre à une entreprise comme Canal+ de démarcher ces clients. La décision de la CJUE pourrait avoir des répercussions importantes sur les pratiques de démarchage et de traitement des données personnelles au sein de l'Union européenne.

Lien vers l'article sur Clubic.

Actualité 8 - Tentative d'enlèvement de proches d'un dirigeant de société de cryptomonnaie à Paris

Le Parisien rapporte une tentative d'enlèvement en plein jour visant la fille et le petit-fils d'un entrepreneur dans le secteur des cryptomonnaies, soulignant une série d'attaques similaires en France.

Contexte

Le 13 mai 2025, une tentative d'enlèvement a eu lieu dans le 11e arrondissement de Paris, ciblant la fille et le petit-fils d'un dirigeant d'une société de cryptomonnaie. Cet incident s'inscrit dans une série d'attaques récentes visant des personnalités liées au secteur des actifs numériques en France.

Résumé des faits

• Trois hommes masqués ont tenté d'enlever une femme et son enfant de deux ans sur la rue Pache, dans le 11e arrondissement de Paris.
• Le père de l'enfant est intervenu, forçant les assaillants à fuir.
• Le véhicule des ravisseurs a été retrouvé abandonné à proximité.
• La victime est identifiée comme la fille d'un dirigeant d'une plateforme de cryptomonnaie.
• Cet événement fait suite à deux autres enlèvements en France cette année, visant des individus liés au secteur des cryptomonnaies.

Impact juridique

Ces incidents soulèvent des préoccupations juridiques concernant la sécurité des professionnels du secteur des cryptomonnaies. Les autorités françaises ont intensifié leurs efforts pour lutter contre ces crimes, procédant à plusieurs arrestations. Ces affaires pourraient conduire à des renforcements législatifs en matière de protection des personnes exposées et de régulation du secteur des actifs numériques.

Lien vers l'article sur Le Parisien.

Actualité 9 - Concurrence : comment Microsoft remanie Teams pour éviter une lourde amende en Europe

Les Échos analysent les concessions de Microsoft visant à répondre aux préoccupations de la Commission européenne concernant l'intégration de Teams à sa suite Office, dans le but d'éviter une amende significative.

Contexte

En 2020, Slack, propriété de Salesforce, a déposé une plainte auprès de la Commission européenne, accusant Microsoft d'abus de position dominante en intégrant Teams à sa suite Office 365. Cette intégration aurait conféré à Microsoft un avantage concurrentiel déloyal sur le marché des outils de communication professionnelle. Une plainte similaire a été déposée en 2023 par l'entreprise allemande Alfaview. Face à ces accusations, la Commission européenne a ouvert une enquête pour évaluer les pratiques de Microsoft en matière de concurrence.

Résumé des faits

• Microsoft a initialement proposé de dissocier Teams de sa suite Office 365 en 2023, offrant Office sans Teams pour 2 euros de moins et Teams seul pour 5 euros par mois.
• Suite aux critiques jugeant ces mesures insuffisantes, Microsoft a élargi l'écart de prix et amélioré l'interopérabilité avec les produits concurrents.
• La Commission européenne a lancé un "test de marché" pour recueillir les avis des concurrents et des clients sur les nouvelles propositions de Microsoft.
• Les engagements de Microsoft incluent une séparation de Teams et Office pendant sept ans et une meilleure interopérabilité, comme l'intégration de Zoom dans Outlook.
• Microsoft espère que ces mesures permettront de clore l'enquête sans amende, qui pourrait atteindre jusqu'à 10 % de son chiffre d'affaires mondial.

Impact juridique

Les engagements proposés par Microsoft pourraient devenir juridiquement contraignants pour une durée de dix ans, sous réserve de leur acceptation par la Commission européenne. En cas de non-respect, Microsoft s'expose à des sanctions financières pouvant atteindre 10 % de son chiffre d'affaires mondial. Cette affaire illustre la vigilance accrue de l'Union européenne envers les pratiques des grandes entreprises technologiques et souligne l'importance du respect des règles de concurrence sur le marché numérique.

Lien vers l'article sur Les Echos (abonnement requis).

Rendez-vous la semaine prochaine pour un nouveau point sur l’actualité du droit du numérique.

***

Si vous souhaitez bénéficier d’un accompagnement personnalisé : le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.