Facebook Twitter Instagram Linkedin
Contact

Données Personnelles

Procédures de nullité et de déchéance auprès de l’INPI

Written by Dreyfus14/04/2020

Depuis le 1er avril 2020, il est possible d’intenter des actions en nullité et des actions en déchéance de marques directement auprès de l’INPI.

Parmi les nouveautés qui découlent de la transposition de la directive européenne 2015/2436 du 16 décembre 2015 rapprochant les législations des États membres sur les marques, dite « Paquet Marques » en droit français, les nouvelles procédures d’annulation et de déchéance de marques sont celles qui, sans aucun doute, viennent bouleverser le paysage du droit de la propriété industrielle en France.

La directive européenne a donc prévu une obligation pour les Etats membres de créer une procédure administrative de nullité et de déchéance, l’objectif étant de faciliter la contestation des titres et ainsi désencombrer les registres.

En France, depuis le 1eravril 2020, ces actions peuvent être instruites devant l’INPI, le droit français des marques se calquant ainsi de plus en plus sur le droit européen. Jusqu’ici, seul le juge judiciaire pouvait connaitre de ces litiges. Désormais, la compétence est partagée entre les TGI spécialisés et l’INPI.

 

Comment se répartissent les compétences entre l’INPI et les tribunaux judiciaires ?

La répartition des actions est fixée à l’article L.716-5 du Code de la propriété intellectuelle. Cet article donne compétence exclusive à l’INPI pour les demandes de déchéance lorsqu’elles sont faites à titre principal, les demandes de nullité à titre principal fondées sur un motif absolu ainsi que les demandes de nullité à titre principal fondée sur les motifs relatifs suivants :

 

– Un droit de marque

– Une dénomination sociale

– Une appellation d’origine ou un indication géographique

– Le nom d’une collectivité territoriale ou d’une entité publique.

 

Le juge judiciaire est exclusivement compétent, quant à lui, pour les demandes en nullité ou déchéance formées à titre reconventionnel, les demandes de nullité ou de déchéance quel que soit le motif lorsque la demande est connexe à une autre action relevant de sa compétence et enfin les demandes de nullité formées à titre principal sur les motifs relatifs suivants :

– Le droit d’auteur

– Un dessin et modèle

– Le droit de la personnalité.

Pour éviter toutes mesures dilatoires, il est prévu que l’autorité de la chose jugée attachée aux décisions du directeur de l’INPI et du tribunal judiciaire soient rendues entre les mêmes parties et pour les mêmes causes.

Il est important de noter que le législateur français est allé au-delà des dispositions de la directive européenne qui n’impose aux Etats membres d’attribuer une compétence aux offices qu’à l’égard de certains motifs de nullité (nullité fondée sur un des motifs absolus ou sur une marque antérieure similaire ou identique).

 

Quels sont les titres pouvant être contestés ?

Une demande en nullité ou en déchéance peut être formée à l’encontre d’une marque française enregistrée ou d’un marque internationale enregistrée désignant la France.

 

Comment se déroule la procédure auprès de l’INPI?

 

 

Tout comme la nouvelle procédure d’opposition en matière de marque, la procédure de nullité ou de déchéance respecte le principe du contradictoire. En effet, suite à la phase d’instruction, qui commence à compter du jour où l’action a été formée, et dès lors que l’action est considérée comme recevable, le titulaire dispose d’un délai de 2 mois pour présenter ses observations dans le cadre d’une action en nullité ou des preuves d’usage pour l’action en déchéance.

Le requérant a ensuite un mois pour les contester. Les parties peuvent effectuer jusqu’à trois échanges contradictoires écrits à l’issue desquels, et le cas échéant, une présentation orale des observations peut être demandée par l’une ou l’autre des parties mais également requise par l’INPI.

Selon le nombre d’échanges effectués, cette phase d’instruction peut durer entre deux et six mois. L’INPI dispose ensuite d’un délai maximum de 3 mois pour rendre sa décision.

Ainsi, la durée totale de la procédure devrait donc durer, au maximum, neuf mois à compter de la date de notification de l’action à la partie adverse, ce qui est bien plus rapide que l’action judiciaire jusqu’ici ouverte au requérant.

La suspension de la procédure peut être demandée conjointement par les parties pour une période de quatre mois renouvelable deux fois. Elle peut également être suspendue à l’initiative de l’INPI, notamment dans l’attente d’informations et d’éléments susceptibles d’avoir une incidence sur l’issue du litige ou de la situation des parties.

Enfin, aucun intérêt à agir ne doit être démontré, contrairement à la procédure judiciaire. Cela va donc permettre un plus grand nombre d’actions et donner jour à de nouvelles stratégies de libération des droits.

En conclusion, l’introduction de ces nouvelles procédures administratives par la transposition du « Paquet Marques » en France met à disposition une procédure rapide et peu onéreuse, permettant d’agir contre une marque gênante enregistrée tout en évitant de passer par la voie judiciaire, bien plus contraignante.

 

Dreyfus peut vous assister pour ces nouvelles actions en annulation et en déchéance devant l’INPI. N’hésitez pas à nous contacter pour toute question ou toute information complémentaire.

Read More

CJUE : L’allègement de la charge de la preuve sur la portée territoriale de l’usage d’une marque

Written by Dreyfus07/04/2020

La CJUE a rendu une décision cruciale dans sa récente affaire Intassur le maintien des droits de propriété intellectuelle. Selon la Cour, il n’est pas impératif qu’une marque communautaire soit utilisée dans une partie substantielle de l’Union Européenne (UE) et son usage dans un seul État membre pourrait prouver son usage sérieux.

Dans l’affaire portée devant la CJUE pour la décision susmentionnée, le demandeur a déposé une demande de marque devant l’EUIPO, pour le signe « INTAS » et visant des produits en classes 5 et 10.

Par la suite, la partie en défense a formé opposition contre cette demande de marque en invoquant la similitude de celle-ci avec deux de leurs marques antérieures, comprenant la signe « INDAS » qui couvrent des produits dans ces mêmes classes.

Le demandeur a réclamé une preuve de l’usage de ces marques antérieures, ce que la défense a dûment rapporté. Sur cette base, l’opposition formée a été accueillie par l’EUIPO. Le demandeur a alors formé un recours auprès de l’EUIPO qui a été rejeté. Finalement, l’affaire a été portée devant la CJUE.

 

  • L’étendue territoriale de la notion d’usage sérieux

 

La CJUE a examiné la question de savoir si la preuve de l’usage d’une marque communautaire, dans un État membre, était suffisante pour démontrer son usage sérieux, conformément à l’article 47, paragraphe 2, du Règlement sur les marques communautaires.

Il est intéressant de noter que la CJUE a rejetél’argument selon lequel l’étendue territoriale de l’usage d’une marque communautaire ne peut être limitéeau territoire d’un seul État membre. La Cour a également rejeté l’argument selon lequel l’usage sérieux d’une marque communautaire nécessite que la marque soit utilisée dans une partie substantielle de l’UE.

Cependant, la CJUE admet toujours qu’il est raisonnable qu’une marque communautaire soit utilisée dans un territoire plus vaste que celui d’un État membre, afin de prouver son usage sérieux. Toutefois, la Cour souligne qu’il n’est pas toujours impératifque la marque soit utilisée dans une étendue géographique extensive, car l’usage sérieux est apprécié de manière globale. Cet usage sérieux dépend de toutes les caractéristiques des produits ou services concernés, et pas seulement de la portée géographique de l’usage.

La CJUE accepte que, dans certains cas, le marché des produits ou services couverts par une marque communautaire puisse être limité au territoire d’un seul État membre. Dans ce cas, la preuve d’un usage sérieux de la marque communautaire dans cet État peut satisfaire aux conditions d’un usage sérieux.

 

 

  • Évaluation de l’usage sérieux

La CJUE considère qu’il est impossible de déterminer, a priori, l’étendue territoriale requise afin d’évaluer si l’usage d’une marque communautaire est sérieux ou non. En revanche, une marque est présumée être utilisée de façon sérieuselorsqu’elle est utilisée conformément à :

– sa fonction essentielle de garantir l’origine des produits ou services concernés ;

– et dans le but de maintenir ou de créer des parts de marchédans l’UE.

 

Lors de l’évaluation de l’usage sérieux, les facteurs suivants doivent être pris en compte : les caractéristiques du marché en cause, la nature des produits ou des services protégés par la marque, l’étendue territoriale et quantitative, la fréquence et la régularité de l’usage.

 

 

  • Influence de la Décision

Il s’agit d’une interprétation importante de la CJUE concernant la charge de la preuve lorsqu’il s’agit de démontrer l’usage sérieux d’une marque communautaire. La Cour indique clairement que la portée territoriale n’est qu’un des nombreux facteurs à prendre en considération pour évaluer si la marque fait l’objet d’un usage sérieux ou non.

Cela ne signifie pas que l’étendue territoriale de l’usage de la marque n’a aucune importance. Toutefois, la CJUE affirme que l’étendue géographique de l’usage de la marque n’est pas le seul facteur à prendre en compte. Cette appréciation dépend de tous les faits et circonstances pertinents pour déterminer si l’usage commercial de la marque crée ou maintient des parts de marchépour les produits ou services concernés.

 

 

Par conséquent, la CJUE affirme que l’appréciation du caractère sérieux de l’usage d’une marque fait l’objet d’une appréciation globale. La portée territoriale de l’usage n’est qu’un facteur de cette appréciation, en outre des autres facteurs mentionnés dans cet article. Cette interprétation entraînera certainement des changements dans la vision stricte selon laquelle l’usage sérieuxd’une marque communautaire ne peut être prouvé en démontrant son utilisation dans un seul État membre. Cela devrait alléger la charge de la preuve pour les titulaires de marques.

Read More

La Cour Suprême de la Fédération de Russie a adopté la Résolution No. 10/2019 et ainsi apporté des précisions bienvenues en matière de noms de domaine

Written by Dreyfus20/09/2019

La Cour Suprême russe a adopté le 23 avril dernier la Résolution n° 10/2019, clarifiant par la même occasion les dispositions de la Partie 4 du Code civil russe relative aux droits de propriété intellectuelle, et donc aux noms de domaine, objets du présent article.

 

Parmi les précisions apportées, la Cour Suprême russe a notamment décidé que les tribunaux de commerce étaient compétent pour statuer sur les litiges relatifs aux signes distinctifs (à l’exception toutefois des appellations d’origine), que la partie concernée soit une personne individuelle, un entrepreneur privé ou une société. Auparavant, les tribunaux de commerce et les tribunaux de droit commun étaient compétents en fonction de l’identité des titulaires des droits de propriété intellectuelle.

Par ailleurs, s’agissant de l’obtention des informations relatives à l’identité des réservataires de noms de domaine russes, il est de plus en plus difficile de récupérer ces informations.

En effet, bien qu’effectuer une demande de divulgation de l’identité des réservataires de noms de domaine auprès des bureaux d’enregistrement soit possible, obtenir les informations escomptées est devenu de plus en plus compliqué sans une action judiciaire puisque beaucoup de bureaux d’enregistrement refusent de dévoiler ces informations en se réfugiant derrière la législation applicable ou en demandant des documents supplémentaires.

La Résolution n° 10/2019 précise que ces informations peuvent être obtenues par le biais d’un tribunal en déposant une demande de divulgation des données personnelles lors d’une action judiciaire. Cependant, cela est compliqué quand l’identité des réservataires des noms de domaine est inconnue. Une des solutions serait d’engager une action judiciaire à l’encontre des bureaux d’enregistrement et de déposer par la suite une demande de divulgation des données personnelles. Il serait alors possible de substituer le défendeur.

En outre, en ce qui concerne les violations des droits de marques par la réservation et l’usage d’un nom de domaine, la Cour Suprême russe a déclaré que la violation d’une marque était caractérisée en cas d’utilisation d’un nom de domaine pour des produits et services similaires à ceux désignés par la marque en question, et dans certains cas encore, par la réservation du nom de domaine uniquement. Il faut tenir compte des fins de la réservation du nom de domaine afin de juger si une atteinte à une marque est caractérisée.

Enfin, la Cour Suprême russe apporte diverses précisions supplémentaires. Par exemple, une réclamation pécuniaire peut être déposée contre l’utilisateur actuel d’un nom de domaine. En outre, il est possible de demander des mesures provisoires en matière de noms de domaine. Enfin, elle a aussi affirmé que pour les affaires concernant des noms de domaine, sont recevables les preuves consistant en des captures d’écran imprimées de sites Internet dans lesquelles sont clairement affichées l’adresse des sites Internet en question, l’heure à laquelle les captures d’écran ont été réalisées et si elles ont été vérifiées par les parties à la procédure.

 

Ces précisions sont les bienvenues. Nous vous informerons de tout développement ultérieur à ce sujet. Dreyfus est spécialiste de la stratégie de protection et de défense des noms de domaines et peut trouver des solutions adaptées à vos besoins. N’hésitez pas à nous contacter.

Read More

Menaces liées à la cybercriminalité

Written by Dreyfus06/09/2018

 

Menaces liées à la cybercriminalitéCompte tenu de l’importance du sujet des cybercriminalités, le ministère de l’intérieur a publié en mai 2018 un deuxième rapport de réponse dédié aux cybermenaces. Comme le ministre l’affirme, il s’agit d’un panorama riche et approfondi des phénomènes cyber et des réponses actuellement apportées par le ministère. Ce rapport est composé de trois parties principales :

  • Enjeux stratégiques liés aux cybermenaces
  • Usages, phénomènes et perception de la menace
  • Les actions du ministère de l’intérieur pour la gestion des cyber-menaces

Dans la première partie concernant les enjeux stratégiques liés aux cybermenances, trois enjeux sociétaux, économiques et juridiques ont été identifiés. Quant aux enjeux sociétaux, il s’agit de l’emploi d’internet à des fins terroristes (Crowdsourcing des activités de terroristes), l’évolution des usages des technologies de l’information et des communications comme les forums de discussion et les crypto-monnaies, les trafics illicites sur les Darknets (web profond) à travers d’utilisation de plus en plus accrue des outils de chiffrement et d’anonymisation.

Les enjeux économiques concernent entre outres, le développement du marché de la cybersécurité, ainsi que le contre-ingérence économique. A titre d’exemple, pour les organisations, les atteintes motivées par l’appât du gain, le sabotage, l’espionnage ou l’ingérence économique ont des incidences financières et réputationnelles remarquables.

Quant aux enjeux juridiques et normatifs des cybermenaces l’évolution du cadre français, l’impact des directives (NIS) et règlements européens (RGPD) et de la jurisprudence de la CJUE sur la lutte contre les cybermenaces (arrêt 21 décembre 2016), les travaux du Conseil de l’Europe, l’Assemblée générale des Nations Unies et le groupe G7, ainsi que la coopération internationale, compte tenu de la dimension internationale de la cybercriminalité, ont été énumérés dans le rapport.

Dans la deuxième partie concernant usages, phénomènes et perception de la menace, trois facteurs de la vulnérabilité, l’ingénierie sociale et les logiciels malveillants ont été identifié en tant que trois vecteurs principaux de diffusions des attaques telles qu’attaque ciblée et attaques en profondeur, détournement et vol de données, dénis de services, défiguration et les attaques téléphoniques.

L’internet avec un taux de pénétration de 87% en France et 54% dans le monde a été identifié comme le support principal, notamment à travers des smartphones et des tablettes, et désormais les objets connectés et les espaces intelligents, à des fins de terroristes, des escroqueries, d’extorsions de fonds, de fraude à la carte bancaire, des marchés criminels en ligne, des atteintes aux mineurs, de contrefaçon des œuvres de l’esprit et finalement d’atteinte à la démocratie. L’étude menée sur l’ensemble des faits portés à la connaissance de la gendarmerie montre une tendance globale en hausse de 30 % par rapport à 2016 ; plus de 60 % du total de ces infractions sont des escroqueries liées à Internet.

Dans la troisième partie concernant les actions du ministère de l’intérieur, trois actions principales de prévention et protection, d’enquête et d’innovation ont été envisagées. L’actions de prévention vise le grand public, la sensibilisation du monde économique, l’intelligence économique territoriale ainsi que la protection des systèmes d’information du ministère. La protection peut être garantie par le transfert de risque par le biais de l’assurance dont la couverture du risque cyber commence à se développer, même si les actifs intangibles ne peuvent encore être assurés de façon standardisée. Quant à l’action d’enquête au-delà de l’accueil des victimes d’actes de cybercriminalité, des services spécialisés comme investigation si possible sous pseudonyme, formation et coopération ont été envisagés.

En ce qui concerne l’action d’innovation, six axes principaux ont été identifiés : il s’agit de recherche et développement (outils d’investigation et d’analyse numérique (forensics) ainsi que projet de recherche académique), partenariat public-privé (Travaux de la filière industrie de sécurité, Cercles de réflexion), Transformation numérique : mieux signaler, mieux communiquer autour du cyber (Projet Néo PN/GN), Brigade numérique de la Gendarmerie, La mise en place du réseau des référents cybermenaces zonaux, Communication de crise : Système Alerte d’Information des Populations (SAIP) et Médias Sociaux en Gestion d’Urgence (MSGU)), mieux appréhender les phénomènes de masse (Projet Thésée, Projet Perceval), aider à la remédiation à travers des plateformes d’assistance aux victimes de cyber-malveillance, identité numérique.

A l’ère de l’économie numérique et face à la transformation numérique, la cybersécurité constitue un enjeu crucial à la fois pour les consommateurs adoptant davantage des pratiques d’achat et d’usage en ligne notamment les mineurs ainsi que pour les secteurs privé (notamment le secteur bancaire et financier, ainsi que le secteur de la santé) et public. La stratégie de la lutte contre les cybermenaces doit être l’affaire de tous (le secteur public, privé et les individus). Il convient ainsi de renforcer la capacité collective à prévenir et lutter contre le terrorisme…

Read More

RGPD : des réactions déjà vives

Written by Dreyfus02/07/2018

RGPD : des réactions déjà vives

Alors que les questionnements fusaient au sujet de la mise en œuvre du RGPD à l’approche de son entrée en application le 25 mai 2018, les premières réactions relatives à sa mise en conformité émergent.

 Tandis que beaucoup d’entreprises espéraient une entrée en vigueur du règlement dans des conditions clémentes de la part des autorités de contrôle des Etats membres, les associations de consommateurs étaient, contre toute attente, au pied levé lors de l’entrée en vigueur du texte. Elles ont rapidement profité d’opportunités que leur offraient certains articles du RGPD de reprendre la maitrise de leurs données personnelles. Notamment, l’article 77 qui énonce que « toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle (…) si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement. ». Les plaintes individuelles ainsi que les actions de groupes abondent.

Dès le 25 mai 2018, jour de l’entrée en application du RGPD, Facebook, Google, Instagram, WhatsApp ont fait l’objet de plaintes pour non-conformité au RGPD déposées auprès de différentes autorités nationales par Maximilian Schrems, avocat autrichien et activiste de la protection des données personnelles. Trois jours après, l’association « La quadrature du Net », disant réunir plus de 12 000 plaignants, a lancé de mêmes plaintes contre Amazon, Google, Facebook, LinkedIn, et Apple. Des plaintes fondées sur la non-conformité aux conditions fixées par le RGPD pour l’obtention du consentement des consommateurs dans la collecte de leurs données personnelles. Selon les attaquants, le consentement à la collecte et l’utilisation des données personnelles n’est pas cédé librement. Il serait plutôt question d’une politique du « tout ou rien », une acceptation forcée à défaut de quoi les consommateurs ne peuvent pas utiliser les services visés. Les grandes entreprises profiteraient ainsi de leur situation de domination. Ces plaintes pourraient coûter cher aux entreprises puisque les amendes pour infraction au RGPD peuvent représenter jusqu’à 4% du chiffre d’affaire mondial de l’entreprise.

La façon dont ces plaintes seront traitées et de quelle manière les peines seront appliquées reste en suspens. Les différentes autorités nationales de protection des données personnelles seront amenées à travailler ensemble pour aboutir à une décision unique concernant chacune des entreprises. Les prochaines décisions seront donc décisives et sont très largement attendues.

Read More

Le face ID d’Apple face au RGPD

Written by Dreyfus07/05/2018

Parallèlement à une législation toujours plus stricte, les nouvelles technologies sollicitent de manière accrue nos données personnelles, souvent à caractère sensible.

 

La reconnaissance faciale

La reconnaissance faciale est une innovation aujourd’hui largement utilisée par les grands groupes de la Tech, tels que Samsung ou Hauwai. Apple reste néanmoins la société ayant indéniablement reçu le plus grand écho lors de la sortie de son nouvel iPhone X en novembre 2017 en présentant sa technologie de face ID, qui permet de déverrouiller son téléphone portable sans effort. Pour ce faire, cette innovation se base sur des mesures extrêmement précises des dimensions du visage de l’utilisateur. Ces données biométriques permettent ensuite de le détecter en toute circonstance, quelle que soit sa position.

A la fois pratique et ludique, cette technologie permet cependant de se questionner sur la compatibilité d’un tel traitement de données par la firme à la pomme avec les législations en vigueur et à venir et tout particulièrement le Règlement général sur les données personnelles (RGPD) qui entrera en application le 25 mai 2018. Ce dernier tendant en effet à être de plus en plus stricte vis-à-vis des entreprises collectant des données personnelles, il est ainsi intéressant d’analyser si un recueil de telles données biométriques ne puisse pas être remis en question par le règlement.

 

Le traitement des données sensibles

En effet, contrairement à la directive sur les données personnelles antérieurement applicable, le RGPD spécifie que les données biométriques entrent dans le champ des « données sensibles » (article 9 du règlement). Le considérant n° 51 du RGPD les définit en tant que données « traitées selon un mode technique spécifique permettant l’identification ou l’authentification unique d’une personne physique ». Bien que cette définition reste relativement vague, il est fort à parier que les juges feront rentrer la reconnaissance faciale dans une telle catégorie de données personnelles. Une telle qualification dispose d’une grande importance, dans la mesure où le RGPD interdit en principe une telle collecte, sauf si ce recueil remplit les conditions énoncées à l’article 9-2. Elle est en effet tolérée si « la personne concernée a donné son consentement explicite au traitement de ces données (…) pour une ou plusieurs finalités spécifiques ».

En faisant attention à remplir rigoureusement de telles conditions, Apple pourrait en effet effectuer ces traitements de données, à condition que, tel qu’autorisé par l’article 9-3 dudit règlement, l’Etat européen dans lequel le traitement est effectué ne prévoit pas de dispositions plus contraignantes.

La firme devra en outre s’atteler à répondre aux exigences de l’article 35 dudit règlement. En effet, concernant les données collectées avec le recours à de nouvelles technologies qui représenteraient un risque élevé pour les droits et liberté de personnes physiques, le RGPD exige que les entreprises effectuent une analyse détaillée les concernant. A travers sa collecte de données biométriques via son iPhone X, la firme se trouve de fait confrontée à une telle obligation. L’analyse visée devra notamment comporter une description systématique des opérations de traitement envisagées, une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ainsi qu’une une évaluation des risques pour les droits et libertés des personnes concernées.

Concernant les potentiels risques, Apple avait déjà communiqué sur le degré de sécurisation accrue qu’il accordait à ce type de données : en effet, la firme ne conserve pas les données biométriques de l’utilisateur sur un serveur externe dans la mesure où celles-ci sont chiffrées et verrouillées dans le processeur du smartphone via le Secure Enclave (espace de stockage ultra sécurisé). Cependant un tel degré de sécurité avait été remis en cause par une polémique ayant éclaté il y a quelques mois. L’American Civil Liberties Union (ACLU), équivalent de la CNIL aux Etats-Unis, avait averti sur le fait qu’Apple  partagerait ces données biométriques avec des développeurs d’applications tiers. Le partage de données en ce qui concerne la reconnaissance faciale permettrait aux développeurs d’ajouter de nouvelles fonctionnalités sur leurs applications. Même si Apple leur interdisait d’utiliser les données pour faire de la publicité ou du marketing, des experts en sécurité avait soulevé le fait qu’un risque subsistait, quand à une utilisation frauduleuse des données par les développeurs, les détournant de leur utilisation présupposée.

 

Le face ID, conforme au RGPD ?

 

Apple devra donc prendre au sérieux les enjeux du RGPD en assurant à la fois un consentement explicite et éclairé des utilisateurs quant aux traitement de leurs données, une haute sécurisation de celles-ci ainsi qu’un usage strictement proportionné au but poursuivi des images collectées. L’innovation de la firme à travers son face ID est en effet un exemple typique de l’usage accru de données de plus en plus sensibles à travers les nouvelles technologies. C’est d’ailleurs bien ce que l’Union européenne avait compris lors de ses réflexions sur le RGPD. Quand bien même à ce stade, de simples suppositions concernant l’alignements des entreprises de la high-tech avec cette législation peuvent être faites, il faudra rester bien attentif à l’interprétation des juges concernant le traitement de ce type de données.

L’innovation de la firme à travers son face ID est en effet un exemple typique de l’usage accru de données de plus en plus sensibles à travers les nouvelles technologies. C’est d’ailleurs bien ce que l’Union européenne avait compris lors de ses réflexions sur le RGPD. Quand bien même à ce stade, de simples suppositions concernant l’alignements des entreprises de la high-tech avec cette législation peuvent être faites, il faudra rester bien attentif à l’interprétation des juges concernant le traitement de ce type de données.

Read More

Sensibiliser son équipe : une étape essentielle dans la mise en place du RGPD

Written by Dreyfus11/04/2018

Sensibiliser son équipe : une étape essentielle dans la mise en place du RGPDSi la plupart des responsables ont désormais compris l’enjeu du règlement général sur la protection des données (RGPD) qui entrera en application le 25 mai 2018, la mise en œuvre de ses dispositions reste difficile à appréhender. A deux mois de son application, il est impératif pour les entreprises de sensibiliser leurs équipes sur les objectifs du règlement et surtout, sur la façon de les mettre en pratique.

1.La cartographie des risques

Afin de mettre en œuvre son plan de conformité, l’entreprise doit commencer par recenser les traitements de données personnelles, l’ensemble des flux informatiques et manuels pour déterminer d’où provient chaque traitement, par qui est-il effectué, et enfin, sa finalité. Cette cartographie de la donnée permettra in fine, de définir les enjeux et les risques propres à l’entreprise. Dans ce cadre, la CNIL propose des exemples de fiche de registre afin d’orienter les équipes de travail sur les actions à mener.

  1. Une feuille de route adressée à son équipe de travail

Une fois la cartographie établie, l’équipe doit prioriser ses actions en rédigeant une feuille de route comprenant :

– une méthode assurant la gestion des risques identifiés préalablement par l’équipe de travail

– la sensibilisation des opérationnels au sein de l’entreprise

– la mise en place d’une nouvelle gouvernance

– la création d’un processus de gestion des traitements afin d’assurer la conformité de l’entreprise en continue.

  1. L’information de l’individu en cas de collecte de données personnelles à partir de sources externes

S’il est possible de traiter de données collectées auprès de sources externes telles que les bases de données publiques, les réseaux sociaux, les listes de prospects, les dispositions du règlement doivent être respectées. Cependant, l’entreprise devra faire valoir un intérêt légitime au recueil de ces données au titre de l’article 47 du RGPD. Cet intérêt légitime peut être avancé lorsque :

  • Le traitement des données a lieu dans le cadre d’une relation client
  • Le traitement est opéré à des fins marketing
  • Le traitement prévient la fraude ou assure la sécurité du réseau des systèmes informatiques
  1. Le choix de l’individu relativement à la collecte de ses données personnelles

Afin de pouvoir traiter les données personnelles, l’entreprise doit permettre à l’individu de fournir son consentement et ce, expressément au titre de l’article 7 du RGPD. En pratique, les cases pré-cochées seront exclues au bénéfice d’une disposition exclusivement consacrée au consentement de l’individu et ce, pour chaque donnée personnelle collectée. Cela permet de limiter la sur-collecte de donnée ; par exemple recueillir la date de naissance exacte de l’individu ne sera plus autorisé si l’année de naissance suffit à répondre à la finalité du traitement, tout comme son lieu de résidence exact si le pays suffit. Face à ces exigences, l’entreprise devra s’adapter et ne conserver que les données strictement nécessaires. Par ailleurs, si l’individu souhaite modifier ou même supprimer ses données personnelles, cette manipulation doit être facilement réalisables, ce qui suppose de rendre flexible son système de collecte de données personnelles.

  1. S’assurer de la conformité des sous-traitants

Si les détenteurs directs des données personnelles sont visés par le règlement, ce dernier s’applique aussi aux sous-traitants et vendeurs dès lors qu’ils disposent d’un accès à ces données. En effet, ces derniers doivent attester de leur conformité avec le RGPD. Pour se faire, les entreprises devront insérer dans les contrats, s’ils sous-traitent les données collectées, des clauses types relative à la protection des données attestant de leur conformité au RGPD.

  1. Quels sont les outils de travail des collaborateurs visés par le RGPD ?

Par définition, le RGPD s’applique lorsque

  • Le traitement est effectué par des « moyens automatisés »
  • Lorsque les données « font partie d’un système de classement ou sont destinées à faire partie d’un système de classement » bien que le traitement ne soit pas réalisé par des moyens automatisés stricto sensu.

En ce qui concerne le premier cas, les équipes de travail devront seulement procéder aux conversions des documents sous format numérique. En ce qui concerne le second cas, les équipes de travail doivent entendre par système de classement « tout ensemble structuré de données personnelles qui est accessible selon des critères spécifiques ». En pratique, tous les documents papiers non organisés comme les documents en vrac sur une imprimante, sur un bureau ne sont pas soumis au RGPD. A contrario, dès lors que ces documents papiers sont organisés par les collaborateurs de manière à être accessibles selon des critères définis, le RGPD s’appliquera. A titre d’exemple, seront soumis au RGPD les fichiers placés dans un classeur indexé par nom, les rapports de dépenses triés par fonction et triés en interne ou encore les dossiers du département des ressources humaines.

Au regard des changements futurs, nous préconisons d’engager la mise en conformité dès que possible. Doté à présent d’un département dédié aux problématiques des données à caractère personnel et d’un département assorti de compétences techniques, Dreyfus & associés est le partenaire idéal pour vous accompagner dans cette démarche de transition.

Read More

Le projet de loi relatif à la protection des données personnelles

Written by Dreyfus10/04/2018

Le projet de loi relatif à la protection des données personnellesL’adoption du « paquet européen de protection des données » le 27 avril 2016 a lancé au sein des Etats membres un mouvement de réforme des législations nationales sur les données personnelles. C’est notamment l’entrée en vigueur du Règlement Général sur la Protection des Données 2016/679 (http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR)  (« RGPD ») qui vient marquer une avancée notable en la matière. C’est dans l’optique de l’application de ce règlement que le gouvernement français a rendu public le 13 décembre 2017 le « Projet de loi relatif à la protection des données personnelles » venant adapter la Loi informatique et libertés au RGPD ( http://www.legifrance.gouv.fr/affichLoiPreparation.do?idDocument=JORFDOLE000036195293&type=general&typeLoi=proj&legislature=15).

Ce projet de loi met en avant la volonté, contenue dans le règlement européen, d’accentuer l’influence des autorités de contrôle nationales compétentes en matière de données personnelles.  A cet effet, de nombreux changements relatifs aux pouvoirs et à l’organisation de la CNIL (http://www.cnil.fr/)  sont prévus.  On relève, le renforcement de son rôle, notamment à travers l’extension de ses pouvoirs en matière de « soft law » et de sanction. Certaines modifications concernent également son pouvoir d’investigation et sa coopération avec d’autres autorités de contrôle de l’UE. En ce sens on constate que la CNIL pourra désormais assortir ses conclusions d’une demande de question préjudicielle à la Cour de Justice de l’Union européenne en vue d’apprécier la validité de la décision d’adéquation de la Commission européenne ainsi que de tous les actes pris par la Commissions européenne autorisant ou approuvant les garanties appropriées dans le cadre des transferts de données. En outre, on constate l’élargissement de son champ d’action par le biais de sa capacité à demander au Conseil d’Etat ( http://www.google.fr/search?q=conseil+d%27%C3%A9tat&rlz=1C1CHBD_frFR778FR778&oq=conseil+d%27&aqs=chrome.0.69i59j0j69i57j0l3.1759j1j4&sourceid=chrome&ie=UTF-8) d’ordonner la suspension ou la cessation du transfert de données en cause, le cas échéant sous astreinte.

Par ailleurs, le projet de loi établit une procédure spécifique pour le traitement des données issues du domaine de la santé. Si cette catégorie de traitement inclut la recherche médicale et l’évaluation des soins, elle exclut cependant, dès lors qu’ils relèvent des dispositions sur les données sensibles, les traitements « nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de service de santé ». Aussi, conformément au RGPD, le projet de loi met en place une interdiction de principe de traiter des données dites « sensibles », de traiter des données génétiques et biométriques aux fins d’identifier une personne physique de manière unique. Il va en revanche plus loin que l’article 9.2 du RGPD en prévoyant la possibilité, pour l’administration et les employeurs d’utiliser des données biométriques à des fins de contrôle d’accès aux lieux de travail, appareils et applications. De plus, le projet de loi limite à seulement certaines catégories de personne l’utilisation des données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes à seulement certaines catégories de personnes. Une exception est, en revanche, prévue lorsque ce type de données est utilisé dans le but d’exercer une action en justice en tant que victime, mis en cause, ou pour le compte de ceux-ci et de faire exécution la décision rendue. Enfin, il a été prévu, en matière procédurale, que les personnes concernées pourront être représentées individuellement par toute organisation ou association habilitée à procéder à des actions de groupe dans le cadre de réclamation ou d’action à l’encontre de la CNIL.

Bien que le projet de loi s’inscrive dans la lignée du RGPD, on relève, néanmoins, quelques divergences entre les deux textes. En effet, si le RGPD supprime les formalités préalables auprès des autorités de contrôle, sous réserve de quelques exceptions, le projet de loi, lui, les conserve auprès de la CNIL pour les données de santé dans certains domaines. De surcroît, il conserve également un niveau élevé d’autorisation pour les traitements pour le compte de l’Etat, dont l’utilisation de données biométriques ou génétiques à titre d’indentification et de contrôle d’identité. Les traitements nécessitant l’utilisation du numéro de sécurité sociale (NIR) seront également autorisés dans le cadre d’un décret en Conseil d’Etat, pris après avis motivé et publié de la CNIL qui déterminera les catégories de responsables de traitement et les finalités de ces traitements. L’utilisation des NIR sera également autorisée à titre dérogatoire pour les besoins de statistiques nationales, de relations électroniques avec l’administration française et de recherche scientifique. Par conséquent, le projet de loi s’avère plus inflexible à cet égard.

On regrette l’absence de précisions du projet de loi quant à la nomination du Délégué à la Protection des Données (« DPO ») ou encore quant à l’âge requis concernant le consentement des mineurs, aspects pour lesquels était pourtant prévue une certaine marge de manœuvre aux Etats membres.

En conclusion, au vu de ces quelques décalages, il est certain que, même après l’adoption de la loi, certaines modifications soient encore nécessaires pour rendre la loi française d’autant plus compatible avec le RGPD. On tiendra cependant à mesurer l’impact de ces divergences dans la mesure ou le règlement européen demeure d’application directe.

Read More
Contact
Inscrivez-vous à notre newsletter et restez informés sur les enjeux de la propriété intellectuelle et de l’économie numérique !
Facebook Twitter Instagram Linkedin

© 2024 Dreyfus – Création Agence Peach