Facebook Twitter Instagram Linkedin
Contact

Données Personnelles

Le pack CNIL de conformité « véhicules connectés » : un nouvel outil de protection des données personnelles

Written by Dreyfus05/01/2018

 

Véhicules connectés, conformité, CNIL, vie privée, RGPD.Après plusieurs mois de travaux débutés en mars 2016, le pack « véhicules connectés et données personnelles » publié en octobre dernier par la CNIL constitue une véritable « boite à outil » pour les professionnels du secteur automobile.

L’enjeu du pack de conformité

Grâce à ce référentiel, les professionnels du secteur automobile pourront intégrer la protection des données personnelles de leurs usagers, et dans le même temps, se conformer au Règlement général sur la protection des données (RGPD), qui sera applicable dès le 25 mai 2018.

Elaboré par la CNIL en concertation avec les acteurs tant publics que privés du secteur, ce pack s’applique aux véhicules disposant d’un système de communication avec l’extérieur. Si ce système de communication fournit aux usagers une multitude de nouveaux services, leur mise en place imposent une collecte considérable de données sur le conducteur et son interaction avec l’environnement routier.

Par ce référentiel, la CNIL cherche à sensibiliser les professionnels du secteur sur le caractère personnel de certaines données collectées, pour lesquelles une protection particulière est exigée au titre de la Loi Informatique et Libertés du 6 janvier 1978 et du RGPD.

La collecte de données personnelles

Ce pack intervient dans un objectif de protection, puisque ces collectes de données personnelles, définies comme toutes informations permettant d’identifier une personne physique, sont susceptibles de porter atteinte à la vie privée des usagers de ces véhicules connectés. En effet, on peut relever de nombreux risques inhérents à la connectivité des véhicules. A titre d’exemple, les données de géolocalisation recueillies révèlent les habitudes des usagers, et pourraient inciter des personnes malveillantes à s’introduire au sein de leurs domiciles en leurs absences.

Vers une utilisation responsable des données 

Afin de responsabiliser l’utilisation des données, la CNIL a différencié dans son pack trois options pour lesquelles des lignes directrices sont proposées aux professionnels bien que la première soit vivement encouragée par la Commission :

  • Les données collectées dans le véhicule restent dans celui-ci sans transmission au fournisseur de services ;
  • Les données collectées dans le véhicule sont transmises à l’extérieur pour fournir un service à la personne concernée ;
  • Les données sont transmises à l’extérieur pour déclencher une action automatique dans le véhicule.

En incitant les industriels à intégrer la protection des données personnelles des usagers des véhicules connectés qui produisent en moyenne 1 milliard d’octets de données par jour, ce guide assure une transparence et la maîtrise par les personnes de leurs données.

L’adaptation future du pack CNIL aux véhicules autonomes

Si ce texte anticipe l’avenir du secteur automobile, il a vocation à être modifié dans le futur afin de s’adapter cette fois, aux voitures autonomes qui produiront 30 000 fois plus d’octets de données par jour selon Le Monde. Cela s’explique puisqu’à terme, le véhicule autonome aura besoin de capter, analyser, comprendre son environnement en permanence, devenant par conséquent véritablement dépendant des données collectées.

Si le pack s’applique aujourd’hui expressément aux véhicules connectés, deux de ses obligations impactent considérablement le développement des véhicules autonomes : la protection des données dès la conception du produit régit par le principe du Privacy by design et la protection des données par défaut, encadrée par le principe du Security by default.

La conception de véhicules « ethics by design » en réponse à l’objectif de protection de vie privée des usagers

En effet, de graves conséquences sur la vie privée des utilisateurs peuvent résulter de l’usage de ces véhicules connectés. Ainsi, afin d’éviter tout manquement au principe de la protection de la vie privée et gagner la confiance des utilisateurs quant à l’usage de ces nouvelles technologies, des questions éthiques se posent et de nouveaux engagements s’imposent. Parmi ces engagements, les constructeurs automobiles et les fournisseurs de plateformes d’intelligence artificielle pourraient être liés par l’obligation de concevoir des véhicules considérés comme « ethics by design ».

Ayant vocation à évoluer selon l’application du RGPD, et selon les progrès de la technologie, nous vous recommandons d’engager la mise en conformité dès que possible. Doté d’un département dédié aux problématiques des données à caractère personnel et d’un département assorti de compétences techniques, Dreyfus & associés est le partenaire idéal pour vous accompagner dans cette démarche de sécurisation des données collectées.

Read More

France: Service public et traitement des données personnelles

Written by Dreyfus24/10/2017

monitor-1307227_1920

La loi Lemaire a été promulguée en France le 7 octobre 2016. Elle a pour but de libérer l’innovation et créer un cadre de confiance garantissant les droits des utilisateurs et protégeant leurs données personnelles. Un de ses objectifs est d’assurer en France un service public de la donnée. Ce service public est déjà entré en vigueur et ne cesse de s’améliorer. Cette notion de service public de la donnée arrive à l’ère où l’on parle de la donnée comme l’or noir du 21ème siècle. Il va permettre de mettre en place un cadre juridique à cette donnée.

I. La mise à disposition des données

Désormais il s’agit donc d’un service public comme un autre. Il a une existence physique, une définition et se retrouve sur data.gouv.fr/référence.
Ce service regroupe 4 dimensions que sont :
– Les producteurs de données (administrations) ;
– Les diffuseurs de données ;
– Les utilisateurs de données (personnes privées et publiques/acteurs qui vont réutiliser ces données) ; et
– La mission Etalab qui pilote la mise en place de ce service public.

Actuellement, 9 bases de données sont comprises dans le service public. Elles sont donc désormais publiées et accessibles à tous et sont les suivantes :
– BAN : base adresse nationale ;
– Base Sirene des entreprises et de leurs établissements ;
– COG : code officiel géographique ;
– PCI : plan cadastral informatisé ;
– RPG : registre parcellaire graphique ;
– Référentiel de l’organisation administrative de l’Etat ;
– RGE : référentiel à grande échelle ;
– RNA : répertoire national des associations ; et
– ROME : répertoire opérationnel des métiers et des emplois.

Certains ont pu objecter le fait que ces données étaient déjà disponibles avant la création de ce service public. En revanche, la publication était éparse et peu connue. Grâce à la création d’un service public dédié aux données, la mission française Etalab espère assurer la pérennité de ces données, leur sécurité économique et la sécurité des investissements des producteurs de données. De plus, il devrait ressortir de ce service public une garantie de stabilité et de visibilité de ces bases.
En tant que juriste on ne peut que remarquer l’absence des données juridiques. Cette question a été débattu lors de l’adoption de la loi. Il avait été conclu que ces données n’étaient pas encore prêtes à être publiées, sous-entendant qu’elles le seront un jour et qu’une base juridique n’est pas exclue.

II. Le service public de la donnée et les droits de propriété intellectuelle

Auparavant, la loi du 17 juillet 1978 relative à la liberté d’accès aux documents administratifs et à la réutilisation des informations publiques posait les premières bases de cette donnée publique qui était fondée sur 2 piliers :
– L’accès aux documents administratifs ; et
– L’utilisation des informations qui y figurent.

Désormais, la loi française Lemaire ajoute le principe de réutilisation de ces données qui découle de l’accès à ces données. Sans accès aux données aucune réutilisation n’est possible. A l’opposé de l’accès, l’utilisation et la réutilisation des données, on retrouve les droits de propriété intellectuelle. En effet, qui dit ouverture des données entend liberté. Au contraire, un droit de propriété intellectuelle sous-entend monopole d’exploitation et un accès retreint. Il semble donc que le service public de la donnée et les droits de propriété intellectuelle soient trop différents pour être conciliables.
Cette opposition va encore plus loin avec la loi Lemaire qui impose une publication des données. Jusqu’à présent les données étaient accessibles sur demande de l’administré. Désormais, la logique est inversée puisque l’administration est directement obligée de publier les données.
C’est dans ce contexte que les droits de propriété intellectuelle surgissent. En effet, lorsque les données étaient accessibles sur demande individuelle, le risque de violation d’un droit était moindre. Au contraire, le risque de reproduction et de représentation est beaucoup plus important lorsque les données sont spontanément publiées et accessibles à tous.
La loi a tout de même prévu une limite. L’article 11 de la loi Lemaire prévoit en effet : « Sous réserve de droits de propriété intellectuelle détenus par des tiers, les droits des administrations […] ne peuvent faire obstacle à la réutilisation du contenu des bases de données que ces administrations publient ». Ainsi, la réutilisation des données présentes sur les bases de données dont le service public est responsable n’est pas absolue.
Concernant les droits de propriété intellectuelle, la doctrine est unanime pour dire que seuls les droits d’auteurs sont susceptibles d’être entendus dans la réserve formulée, qui n’inclut donc ni les marques, ni les brevets.

Il s’agit ensuite d’établir quels titulaires de droit d’auteur peut se prévaloir de cette réserve. Dans l’hypothèse où l’administration pourrait s’opposer à la réutilisation sur le fondement de ses propres droits de propriété intellectuelle, le droit de réutilisation serait obsolète et sans intérêt. En toute logique, la jurisprudence considère qu’il s’agit des droits de tiers à l’administration.
Dans le même sens, la loi française précise que les administrations ne peuvent pas non plus se prévaloir de leurs droits de producteur de bases de données pour faire obstacle à la réutilisation des données contenues dans ces bases.

III. Conflit entre le service public et la protection des données personnelles

Lorsque l’on parle d’open data, on fait référence à l’ouverture des données. Il existe donc une opposition naturelle entre l’open data et la protection des données personnelles. Dans le but de concilier les deux, la loi pour l’économie numérique fait une distinction entre vie privée et données à caractère personnel.
– Vie privée : la position primaire du législateur est de favoriser l’open data mais toujours dans le respect de la vie privée. Par principe un document portant atteinte à la vie privée ne peut pas être communicable à tous.
– Donnée à caractère personnel : il n’existe pas de principe d’interdiction et de communication. Le législateur procède autrement. Il dit qu’il est possible de publier des documents qui comportent des données à caractère personnel et les liste. Un décret est attendu pour lister tous les documents qui pourront être publiés sans avoir besoin de faire l’objet d’un traitement avant publication.

Aujourd’hui il existe une harmonisation entre le droit de communication d’un document à une personne et le droit de publication. Dès lors qu’un document est communicable, il peut être publié.

En conclusion, le débat entre la publication des données et la protection des données à caractère personnel est toujours d’actualité. Il est important d’avoir conscience qu’il existe des restrictions de publications des données à caractère personnel, mais également de données portant atteinte à un droit de propriété intellectuelle. Dotée d’un département Nouvelles Technologies, Dreyfus & associés peut vous assister aussi bien sur des questions de droit de propriété intellectuelle, mais aussi de données personnelles et NTIC.

Read More

Mai 2018, gestion des risques et données personnelles : il faut se préparer

Written by Dreyfus05/10/2017

 

imageLa protection des données à caractère personnel est un sujet d’inquiétude grandissante pour les consommateurs dont les données sont collectées. Le nouveau Règlement Général sur la Protection des Données (RGPD, Règlement 2016/679 du 27 avril 2016) entre en vigueur le 25 mai 2018. Ses nouvelles dispositions mettent en place de nouvelles obligations assorties de sanctions lourdes pouvant atteindre plusieurs millions d’euros. Le G29 a clarifié certaines de ces obligations. En particulier, il est à présent obligatoire de documenter les démarches mises en place pour se mettre en conformité, de tenir un registre ou encore de désigner un Délégué à la Protection des Données dans certains cas.

Afin de se conformer, un audit permettant d’établir une cartographie précise de l’ensemble des traitements des données au sein de l’entreprise est conseillé.

Tout le monde est concerné, que ce soit les grands comptes ou les start-up. Votre entreprise est concernée : par son site internet, ses réseaux sociaux, ses programmes de fidélités, par les fichiers clients et prospects ou par la gestion des campagnes marketing. En effet, le règlement a vocation à s’appliquer au traitement de toute donnée à caractère personnel d’une personne se trouvant sur le territoire de l’Union Européenne.

Un plan d’action en 3 étapes semble le plus approprié :

  • 1ère étape : cartographier les traitements des données personnelles

Il s’agit d’identifier les traitements des données collectées au sein de l’entreprise : les catégories de données personnelles traitées, les objectifs poursuivis par les opérations de traitement de données, les acteurs traitant ces données, et enfin les flux en précisant leur origine et leur destination.

  • 2ème étape : procéder à un audit de conformité

Grâce à la première étape, un bilan et des recommandations personnalisés pourront être établis. À partir de ces informations, vous aurez une vision globale des démarches à effectuer pour que votre entreprise soit conforme aux prescriptions du règlement.

  • 3ème étape : accountability – mise en conformité

Enfin, il conviendra d’établir un plan d’action basé sur les résultats de la cartographie et de l’audit. Un Conseil en propriété industrielle pourra notamment vous aidez à pallier les éventuelles lacunes de votre protection actuelle : la tenue d’un registre, la désignation d’un Délégué à la Protection des Données, le droit à la portabilité des données etc.

Ce plan d’action pourra également être accompagné d’un audit de sécurité.

Compte tenu de l’importance des changements, nous recommandons d’engager la mise en conformité dès que possible. Doté à présent d’un département dédié aux problématiques des données à caractère personnel et d’un département assorti de compétences techniques, Dreyfus & associés est le partenaire idéal pour vous accompagner dans cette démarche de transition.

Read More

Les conséquences du Règlement Général pour la Protection des Données sur le fonctionnement des WHOIS

Written by Dreyfus07/09/2017

 

Les conséquences du Règlement Général pour la Protection des Données sur le fonctionnement des WHOISA partir du 25 mai 2018 le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur, et remplacera la Directive Européenne 95/46/CE sur la protection des données qui harmonise les droits relatifs à la protection des données. Les consommateurs sont de plus en plus concernés par la protection de leurs données personnelles. Avec la constante évolution des nouvelles technologies et l’augmentation importante du nombre de données collectées, la Directive de 1995 méritait d’être modernisée. Une des adaptations concerne les bases WHOIS. En effet, le RGPD apporte des éléments nouveaux concernant leur fonctionnement.

La base de données WHOIS permet d’obtenir le nom et les coordonnées d’un titulaire d’un nom de domaine. L’ICANN souhaite remplacer ces bases de données pour un nouveau système dénommé « Registration Directory Service (RDS) ». Ce nouvel outil aura une approche différente concernant le stockage et la publication des données se trouvant habituellement dans le WHOIS. D’un côté les autorités judiciaires et les professionnels du droit désirent obtenir plus d’accès à ces informations dans le but de réduire la cybercriminalité, et d’un autre côté les groupes de protection des données et de la vie privée préfèreraient obtenir plus de restrictions dans la divulgation de ces informations pour protéger l’identité des utilisateurs internet.

Cependant, le RGPD tranchera et établira les normes applicables. Pour ce faire, il impose des obligations qui pèsent sur les entreprises, les bureaux d’enregistrement et les offices d’enregistrement (registres). Un point de préoccupation existe concernant la compatibilité entre le RDS et le RGPD. En effet, si un bureau d’enregistrement ou un office d’enregistrement se conforme aux normes prévues par l’ICANN, il est probable qu’il sera en violation du nouveau règlement RGPD. Les WHOIS vont probablement devoir être gérés de façon différente, mais la question se pose de savoir s’il convient de se conformer aux normes édictées par l’ICANN ou celles prévues par le RGPD ? Les deux textes prévoient des sanctions en cas de violation. Celles envisagées par le RGPD sont toutefois plus importantes que les amendes imposées par l’ICANN. Certains bureaux d’enregistrement et offices d’enregistrement en ont déduit qu’il fallait mieux être en violation du RDS que du RGPD.

Ces problématiques ont été étudiées lors de la Conférence de Johannesburg par l’ICANN. Il a été décidé de mettre en place un groupe de travail ad hoc pour déterminer de quelles manières sont utilisés les WHOIS. Le but est de récolter ce que l’ICANN dénomme « expériences d’utilisateurs » dans le but d’évaluer le degré de conformité des bases WHOIS avec le RGPD. Grâce à ce groupe de travail, l’ICANN pourra harmoniser ses normes RDS et faciliter le travail des bureaux et offices d’enregistrement dans la gestion des bases de données WHOIS.

Une solution devra préférablement être trouvée d’ici mai 2018. Dans le cas contraire, les bureaux et offices d’enregistrement seront en difficultés pour se conformer avec les deux outils que sont le RDS et le RGPD. Dreyfus & associés est spécialisé depuis de nombreuses années dans le droit des noms de domaine. Concernant les bases de données WHOIS, ou désormais RDS, nous pouvons vous aider à déterminer le meilleur moyen d’identifier le titulaire d’un nom de domaine pour vous permettre de faire cesser l’atteinte à vos droits.

Read More

Rencontre avec Jean-Gabriel Ganascia

Written by Dreyfus31/07/2017

 

intelligence artificielle

Le cabinet Dreyfus & associés a eu l’honneur d’accueillir le 15 juin 2017 Monsieur Jean-Gabriel Ganascia, professeur à l’Université Pierre-et-Marie-Curie, spécialiste en intelligence artificielle et président du comité d’éthique du CNRS, afin de nous présenter son dernier ouvrage « Le Mythe de la singularité. Faut-il craindre l’intelligence artificielle ? » paru aux éditions du Seuil.

 

Jean-Gabriel Ganascia s’est penché sur la question de l’utilisation des intelligences artificielles en ligne. Dans ses conclusions, il a expliqué que l’utilisation de robots pour des tâches qui nécessitent l’appréciation subjective d’un être humain ne serait pas un gage parfait d’efficacité. En effet, selon lui, l’intervention de l’Homme sera toujours nécessaire. Certaines tâches ne pourront jamais être exclusivement réalisées par des intelligences artificielles. Par exemple, s’agissant de la modération des propos discriminatoires et des incitations à la haine en ligne, comment un robot pourrait-il différencier un propos sérieux d’un propos ironique ? Sa démonstration entre parfaitement dans sa justification d’un « Mythe de la singularité », qui sous-entend que les intelligences artificielles ne seraient pas un danger pour l’Homme et ne viendront jamais les remplacer.

Une interview très intéressante de Jean-Gabriel Ganascia est disponible à partir de ce lien :

http://www.lemonde.fr/sciences/article/2017/07/04/pour-le-numerique-une-reflexion-ethique-approfondie-est-necessaire_5155371_1650684.html.

C’est dans le cadre de la présentation de l’association Respect Zone (http://www.respectzone.org) qui promeut le respect d’autrui sur Internet et à laquelle il apporte son soutien, que Jean-Gabriel Ganascia est venu nous exposer son ouvrage. En effet, les problématiques sociales traitées par cette association répondent aux questions scientifiques liées aux intelligences artificielles.

Le cabinet Dreyfus & associés, sensibilisé aux questions et aux problématiques soulevées par les NTIC, est ainsi fier d’avoir adopté le label Respect Zone. Respect Zone lutte contre la cyber-violence, le harcèlement, le racisme, l’antisémitisme, le sexisme, l’homophobie, l’apologie du terrorisme et la stigmatisation des handicaps. Elle propose un label éthique, sans frais, accessible pour tous ceux qui souhaitent adhérer au principe du respect sur Internet et à la charte Respect Zone.

Le site de l’association est disponible à cette adresse : http://www.respectzone.org.

Read More

Brexit : Comment se préparer aux conséquences ?

Written by Dreyfus08/07/2016

 

In ou Out ?  La majorité des Britanniques (51,9%) s’est prononcée le 23 juin dernier en faveur de la sortie de l’Union Européenne (UE).  L’impact du Brexit reste encore flou mais nous savons aujourd’hui qu’il aura des conséquences indéniables sur les droits de propriété intellectuelle en Europe.

Il est important de garder à l’esprit que ce référendum n’a qu’une valeur consultative. Le référendum n’indique ni quand, ni comment le Royaume-Uni devra quitter l’UE. Par conséquent, cette sortie ne sera pas immédiate.

C’est l’article 50 du traité de l’Union Européenne qui donne la possibilité à un Etat membre de sortir de l’UE. Ce dernier prévoit que l’Etat membre souhaitant quitter l’UE devra notifier son intention au Conseil européen. C’est après cette notification que l’UE et le Royaume-Uni négocieront ensemble les modalités de retrait ainsi que le cadre de leurs futures relations. Cet article prévoit également un compte à rebours d’une durée de deux ans suivant la notification au Conseil européen après lequel les traités cesseront d’être applicables.  Le Royaume-Uni ne devrait ainsi pas quitter l’UE de façon effective avant la fin de l’année 2018.

« Business as usual » en matière de propriété intellectuelle pour les deux années à venir

Il est important de retenir qu’aucun changement immédiat n’est à prévoir : ni perte de droits, ni action immédiate à engager. En effet, durant toute la période des négociations, les titres de propriété intellectuelle européens (marque européenne, dessin et modèle communautaire et brevet européen) maintiendront le même niveau de protection.

Que faire après la sortie effective du Royaume-Uni ?

Brevets :

L’OEB, qui est en charge de l’examen des demandes et de la délivrance des brevets européens fonctionne indépendamment de l’UE. Il est possible pour des pays non-membres de l’UE (ex : Suisse) de faire partie de l’OEB, ce qui devrait permettre au Royaume-Uni de conserver sa place au sein de l’OEB. Ainsi, des brevets européens désignant le Royaume-Uni pourront continuer à être délivrés.

Par ailleurs, la mise en place de la Juridiction Unifiée du Brevet (JUB), prévue début 2017 devrait encore être retardée. En effet, la mise en place de la JUB nécessite la ratification du règlement par 13 Etats signataires, dont obligatoirement la France, l’Allemagne et le Royaume-Uni. Etant donné qu’être membre de l’UE est l’une des conditions à la participation du brevet Européen à effet unitaire et de la JUB, la sortie du Royaume-Uni de l’UE rend cette mise en place complexe.

Marques européennes et dessins et modèles communautaires (DMC) :

Le règlement CE 40/94 du 20 décembre 1993 instituant la marque européenne (à l’époque « marque communautaire ») ainsi que le règlement CE n° 6/2002 du 12 décembre 2001 instituant les DMC n’ont pas prévu l’hypothèse dans laquelle un Etat membre quitterait l’UE.

Les marques européennes et les DMC en vigueur avant que le Royaume-Uni ne quitte officiellement l’UE continueront à couvrir le Royaume-Uni.

Une fois le Royaume-Uni sorti de l’UE, les marques et dessins et modèles enregistrés par le biais de l’EUIPO seront impactés mais sans que nous ayons connaissance aujourd’hui ni de la teneur exacte de ces mutations ni du moment où celles-ci prendront effet. Les nouvelles marques européennes et DMC déposés auprès de l’EUIPO n’auront plus leur valeur actuelle puisqu’ils ne couvriront plus le Royaume-Uni. Pour bénéficier de la même protection, il faudra être titulaire d’un titre européen (alors hors Royaume-Uni) et d’un titre national britannique. Il faudra pour cela procéder à l’enregistrement d’une marque européenne auprès de l’EUIPO ainsi qu’à l’enregistrement d’une marque britannique (ce dernier pourra se faire soit pas le biais d’un enregistrement national auprès de l’IPO, soit par l’enregistrement d’une marque internationale).

Toujours est-il qu’il est également possible que le Royaume-Uni trouve un accord de façon à ce que les marques européennes et les DMC en vigueur avant le Brexit continuent à être valables sur le territoire du Royaume-Uni.

Droit d’auteur :

Dans la mesure où le droit d’auteur est très peu harmonisé en Europe et qu’aucun enregistrement ne soit nécessaire à la protection, aucun changement n’est à prévoir. Les Britanniques continueront à être liés par la Convention de Berne ainsi que par la Convention Universelle sur le droit d’auteur, mais l’interprétation de la loi conformément au droit européen reste à confirmer.

Par ailleurs, il faudra être vigilant concernant les contrats liés au droit d’auteur lorsque le Royaume-Uni quittera effectivement l’UE (voir ci-dessous).

Contrats :

Il convient dès à présent de revenir sur chaque contrat conclu, en particulier les contrats de licence existants, pour examiner les clauses relatives au territoire et voir si elles mentionnent l’UE. Il faudra alors déterminer s’il s’agit de l’UE telle qu’elle était constituée au jour de la conclusion du contrat ou s’il s’agit de l’UE hors Royaume-Uni afin de s’assurer que ces contrats correspondent toujours à l’intention initiale des co-contractants.

Les accords à venir dans les deux prochaines années devront mentionner clairement ce qui est entendu par « Union européenne ».

Protection des données :

Alors que le Règlement sur la protection des données vient d’être adopté par le Parlement Européen le 27 avril dernier, il pourrait ne pas s’appliquer sur le territoire britannique. Nous ne savons pas à l’heure actuelle de quelle manière le Royaume-Uni décidera d’organiser la circulation des données mais des accords spécifiques entre le Royaume-Uni et les pays membres de l’Union Européenne sur ce sujet sont envisageables.

Les noms de domaine en .eu :

Pour déposer un nom de domaine en .eu, il est nécessaire de justifier d’une adresse sur le territoire de l’Union Européenne (ou en Islande, au Liechtenstein ou en Norvège), ce qui atteste l’assujettissement aux lois et normes commerciales européennes. La sortie du Royaume-Uni de l’Union Européenne pourrait donc avoir un impact pour les titulaires britanniques de noms de domaine en .eu.

Toutefois, l’EURid, le registre en charge de la gestion du .eu et .ею (.eu en alphabet cyrillique) a confirmé dans un communiqué qu’il n’y aurait aucun changement immédiat à prévoir tant que le processus de départ n’était pas lancé. De plus, pour certains, cela ne devrait pas poser de problème particulier dans la mesure où les grandes entités auront la possibilité d’enregistrer des noms de domaines en .eu par le biais de filiales se trouvant sur le territoire de l’UE et des solutions devraient être trouvées dans les mois à venir pour les petites entreprises et les particuliers.

Titres nationaux :

Les titres nationaux britanniques ne seront pas affectés par le Brexit, qu’il s’agisse de l’acquisition ou de l’exercice des droits sur les marques, dessins et modèles et brevets.

Conseils pratiques :

Au vu des conséquences incertaines, il est pour l’heure essentiel de procéder à une analyse du portefeuille de titres de propriété intellectuelle de votre société et d’établir une stratégie concernant les titres existants ainsi que pour les dépôts à venir.

Pour les marques existantes indispensables à votre activité, pensez dès à présent à déposer une marque britannique auprès de l’Intellectual Property Office en plus de votre marque européenne existante. Il en va de même, pour tout nouveau dépôt de marque européenne.

Effectuer un dépôt national n’est ni très couteux, ni très long mais offre un droit de priorité et garantit donc une meilleure protection dans l’hypothèse où le marque européenne ne s’appliquerait plus au Royaume-Uni.

Si dans la cas contraire la marque européenne continuait à s’appliquer au Royaume-Uni, le dépôt national permettrait alors de revendiquer l’ancienneté de façon à ce que la marque européenne inclue la marque antérieure nationale.

Dreyfus & associés se propose de vous assister en considérant la meilleure stratégie de valorisation et de protection de vos droits.

Lisez aussi Les conséquences du Brexit sur les marques et les brevets

Read More

France : les bonnes pratiques à adopter pour encadrer le BYOD

Written by Dreyfus09/07/2015

 

Comme vous le savez, le « BYOD » est un acronyme pour « Bring Your Own Device ». Concrètement il s’agit d’une pratique émergeante en entreprise qui consiste, pour les salariés, à utiliser leurs équipements informatiques personnels de type ordinateur portable, tablette ou encore smartphone, pour des besoins professionnels. Ces appareils peuvent ainsi être utilisés pour avoir accès à certaines informations ou applications professionnelles comme des bases de données client, des messageries.

Ce phénomène récent qui nous vient principalement des Etats-Unis commence à se propager en France. Si la majorité des entreprises restent encore méfiantes face à cette pratique, il faut savoir que la France est tout de même l’un des pays européens le plus tourné vers le BYOD.

Or la méfiance des entreprises n’est pas sans fondement. En effet, accepter qu’un salarié utilise son ordinateur personnel pour avoir accès au système d’informations de l’entreprise peut engendrer des risques importants en termes de sécurité. Il n’est pas rare par exemple que l’équipement personnel du salarié soit dépourvu de protection adaptée de sorte que son utilisation pourra permettre à des virus de s’introduire dans le système informatique de l’entreprise. En outre les risques de divulgation de données confidentielles sont importants.

L’employeur étant seul maître de son système d’information c’est à lui de décider s’il souhaite interdire ou au contraire organiser et contrôler le BYOD. En aucun cas un salarié ne peut imposer l’utilisation de ses appareils personnels dans le cadre de son activité professionnelle.

Dès lors que l’employeur décide d’autoriser cette pratique encore faut-il l’organiser, ce qui implique un minimum de contrôle des terminaux personnels des salariés. Or ce contrôle ne doit pas pour autant porter une atteinte disproportionnée à la vie privée du salarié.

Pour cette raison, la Commission nationale de l’informatique et des libertés française (CNIL) a émis une fiche pratique le 19 février 2015 sur les bonnes pratiques à adopter pour concilier sécurité des données de l’entreprise et protection de la vie privée des salariés.

Tout d’abord la CNIL rappelle que les outils informatiques personnels des salariés pour une utilisation professionnelle ne doivent pas être le seul mode d’accès des salariés au système d’information de l’entreprise. En effet, l’employeur a l’obligation de fournir les moyens nécessaires à l’exécution de leur tâches à ses salariés et cette utilisation ne doit donc être que subsidiaire. Il s’agit davantage d’un plus destiné à faciliter les choses pour le salarié.

La CNIL rappelle ensuite que l’employeur demeure responsable de la sécurité des données personnelles y compris lorsqu’elles sont stockées sur des terminaux personnels dès lors qu’il en a autorisé l’utilisation. C’est donc à lui de se prémunir contre les risques de sécurité, d’abord en les identifiant puis en formalisant les mesures nécessaires dans une politique de sécurité et en sensibilisant les salariés à ces risques.

Enfin et surtout, afin d’assurer la protection de la vie privée du salarié, l’employeur ne peut pas prendre n’importe quelle mesure. Il ne saurait donc accéder à des éléments relevant de la vie privée du salarié stockés sur le terminal.

En termes de formalités, la CNIL précise qu’aucune déclaration spéciale n’est nécessaire en cas de recours au BYOD, la déclaration normale de gestion du personnel ou la désignation d’un correspondant informatique et liberté suffit.

En conclusion, l’employeur qui choisit d’autoriser le BYOD doit à tout prix veiller à assurer la balance entre la sécurité de son système d’information d’un côté et la protection de la vie privée de ses salariés de l’autre par le biais de mesures proportionnées.

Read More

France : la Commission des clauses abusives émet des recommandations à l’égard des fournisseurs de services de réseaux sociaux

Written by Dreyfus02/06/2015

 

fb_iconLes réseaux sociaux sont essentiellement encadrés par leurs propres règles juridiques édictées au sein de leurs Conditions Générales d’Utilisation (CGU). Les CGU des réseaux sociaux, dont celles de Facebook en première ligne, sont l’objet de vives critiques. D’une part, elles ont tendance à changer régulièrement, et ce de manière unilatérale, et d’autre part, nombreuses de leurs clauses paraissent abusives. En décembre dernier la Commission des clauses abusives s’est emparée du sujet dans sa recommandation n°2014-02 du 3 décembre 2014 relative aux contrats proposés par les fournisseurs de services de réseaux sociaux.

Cette commission, placée sous l’autorité du ministre chargé de la consommation, émet des recommandations afin de supprimer ou de modifier des clauses qui ont pour objet ou pour effet de créer un déséquilibre significatif entre les droits et obligations des parties au contrat, au détriment du non-professionnel ou du consommateur. Lors de litiges entre des consommateurs et un professionnel il est ainsi de plus en plus courant que les juges du fond s’inspirent de ces recommandations. En effet, certaines recommandations émises à l’égard des clauses contenues dans les contrats de téléphonie mobile ont par exemple été reprises par des juges pour les déclarer abusives. S’agissant des réseaux sociaux, elle a émis une quarantaine de recommandations, dont la majorité concerne la protection de la vie privée et des données personnelles. Ainsi la commission recommande que soient éliminées des contrats proposés par les fournisseurs de service de réseautage social les clauses ayant pour objet ou pour effet :

  • S’agissant de la lisibilité du contrat : « de ne proposer au consommateur ou au non-professionnel qu’un contrat rédigé dans une langue étrangère au public visé» ou « d’opérer des renvois excessifs entre les différents documents contractuels proposés au consommateur ou au non-professionnel ».
  • S’agissant de la formation du contrat : « de ne pas prévoir le consentement exprès des représentants légaux des mineurs non émancipés pour le traitement des données à caractère personnel » ou « d’affirmer que les services de réseautage social sont gratuits».
  • S’agissant des données personnelles : « de prévoir, sans respecter les dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, un consentement implicite au traitement par le professionnel des données à caractère personnel des consommateurs ou des non-professionnels » ou « de prévoir le transfert à l’étranger des données à caractère personnel sans préciser vers quels Etats a lieu ce transfert et sans exiger le consentement exprès du consommateur ou du non-professionnel lorsqu’il est légalement requis, ou en déduisant ce consentement de l’acceptation des conditions générales d’utilisation du service ».
  • S’agissant des droits de propriété intellectuelle : « de conférer au fournisseur du service un droit d’utilisation portant sur les contenus générés par le consommateur ou le non-professionnel, dès lors que ces contenus sont protégés par le droit d’auteur, sans formuler de précision suffisante concernant les contenus visés, les droits conférés et les exploitations autorisées » ou « de conférer au professionnel un droit d’utilisation à titre gratuit sur le contenu généré par l’utilisateur consommateur ou non-professionnel, sans le préciser de manière claire et apparente».
  • S’agissant de la modification des CGU : « de conférer au professionnel le droit de modifier unilatéralement le site ou les conditions générales d’utilisation hors les cas prévus par l’article R. 132-2-1, IV et V du code de la consommation».

Parmi ces propositions, non exhaustives, on peut également évoquer celle portant sur l’élimination des clauses élusives de responsabilité. A cet égard, la clause attributive de compétence au profit des tribunaux du comté de Santa Clara en Californie dans les conditions générales de Facebook a été déclarée abusive dans une ordonnance du TGI Paris du 5 mars 2015. Ladite clause, réputée nulle et non écrite, permet alors au juge français de s’emparer du litige opposant le réseau social à un internaute qui avait vu son compte désactivé suite à la mise en ligne de la reproduction du tableau de Courbet « L’origine du monde ». Ainsi, à l’instar des contrats de téléphonie mobile, les juges pourront s’appuyer sur ces recommandations, en cas de litiges à venir sur ces questions. Les titulaires ne peuvent que se réjouir de ces dispositions et de cette jurisprudence qui permet de mieux défendre leurs droits en France.

Read More

Réseaux sociaux, USA : interdiction faite aux employeurs d’exiger des salariés la divulgation du mot de passe de leurs comptes pour y accéder

Written by Dreyfus04/12/2014

L’Etat de Rhode Island a récemment promulgué une nouvelle loi concernant la protection de la vie privée des employés sur les réseaux sociaux. Cette nouvelle loi interdit aux employeurs de demander aux salariés, lors d’entretien d’embauche ou pendant le temps de travail selon le cas, de divulguer le mot de passe de leurs comptes des réseaux sociaux.

L’entrée en vigueur de cette loi était devenue primordiale face aux dérives de plus en plus importantes des employeurs. En effet, de nombreux employeurs exigeaient le mot de passe des comptes des réseaux sociaux des candidats à l’embauche et allaient jusqu’à faire pression pour accéder par exemple à leur profil Facebook. Il est certes désormais courant que les employeurs effectuent des recherches sur les candidats pour obtenir tous types d’informations, mais ils ne peuvent avoir accès qu’à des contenus dits « publics ». En demandant le mot de passe aux candidats, les employeurs souhaitaient en réalité accéder à l’intégralité des contenus dits « privés », paramétrés pour ne pas apparaître aux yeux de tous, et ainsi accéder à des informations très intéressantes comme s’ils étaient proche de l’intéressé. Ces contenus privés peuvent par exemple être des photos, des messages et autres échanges personnels avec d’autres membres du réseau social. De même, la nouvelle loi interdit à l’employeur de contraindre un salarié à l’ajouter en contact, c’est-à-dire en « ami » pour le réseau social Facebook, pour que celui-ci puisse indirectement accéder au compte.

Il existe toutefois une exception qui permet à l’employeur d’accéder à un ou plusieurs compte(s) des réseaux sociaux de son employé en sa présence, sous certaines conditions. En effet, un employé pourra être forcé à fournir ses identifiants ainsi que son mot de passe seulement lorsqu’une enquête l’exige, à savoir en cas de violation des règles du droit du travail. Néanmoins, la loi ne précise pas les circonstances dans lesquelles l’employeur peut raisonnablement déclencher cette exception. On peut toutefois évoquer le cas du harcèlement, un acte répréhensible par le droit du travail, et qui peut justement se matérialiser au travers d’échanges sur les réseaux sociaux.

A ce jour, sept Etats ont déjà édicté des lois similaires aux Etats-Unis, notamment dans l’Illinois et en Louisiane, et le mouvement n’est pas prêt de s’estomper. En effet, de telles lois sont en cours de promulgation dans 28 autres Etats. Doit-on s’attendre à de telles dispositions en Europe ?

Read More

Santé connectée – la CNIL s’inquiète

Written by Dreyfus04/09/2014

note1La Commission Nationale de l’Informatique et des Libertés (CNIL) a rendu public son rapport d’activité pour l’année 2013. Au cœur de sa réflexion pour 2014, le « chantier du bien-être » inquiète la Commission qui veut mesurer l’impact sur la vie privée des nouvelles pratiques numériques de santé.

Bracelets,  montres, balances connectés : la santé connectée envahit depuis peu les étals des magasins spécialisés. Ces objets permettent de recueillir un maximum de données sur leurs utilisateurs. Par exemple, le rythme cardiaque, le nombre de pas effectués par jour, la qualité du sommeil ou la tension artérielle sont aisément recueillis. Et selon le rapport de la CNIL, cela ne fait que débuter. A l’horizon 2017, un utilisateur de smartphone sur deux aura installé au moins une application dédiée au bien-être et à la santé. Pour ne citer qu’elle, la société Apple devrait présenter dans le courant de l’année l’application Healthbook (littéralement « carnet de santé ») qui sera installée par défaut sur tous les terminaux vendus.

Ce phénomène de bien-être numérique, dit également quantified self, est intéressant à plusieurs égards. Il faut noter que les données sont produites par les utilisateurs. Pourtant, même si ces données touchent à l’intimité, les utilisateurs ont une large tendance à les partager.

Mais la CNIL s’inquiète de la frontière ténue entre le bien-être et la santé. En effet, les données de santé sont considérées comme sensibles et font l’objet d’une réglementation renforcée. L’article 8 de la loi Informatique et Libertés du 6 juillet 1978 pose le principe d’une interdiction de la collecte et du traitement de ces données. Ce principe est néanmoins assorti de nombreuses exceptions, qui ont permis à cette tendance d’émerger.

La Commission s’inquiète par ailleurs de la sécurisation et de l’utilisation des données par les sociétés qui les collectent. Le rapport indique que les utilisateurs ont l’impression d’avoir un rapport direct avec ces données, « puisqu’ils en sont à l’origine », alors que les entreprises pourraient les céder, ou les utiliser à des fins non connues par les utilisateurs.

Le rapport relève enfin que cette pratique du quantified self pourrait s’imposer. Certains assureurs américains considèreraient comme suspects leurs clients qui ne se mesurent pas, et refuseraient de les indemniser en cas de dommage. Pour la CNIL, le chantier de la santé connectée ne fait donc que débuter et les risques sont nombreux. Nul doute pourtant que la Commission, appuyée par le G29 et par la Commissaire européenne Viviane Reding, aura à cœur de protéger ces données très personnelles.

Dreyfus peut vous aider à protéger au mieux vos données et à gérer votre présence sur internet. N’hésitez pas à nous contacter pour tout renseignement.

Read More
Contact
Inscrivez-vous à notre newsletter et restez informés sur les enjeux de la propriété intellectuelle et de l’économie numérique !
Facebook Twitter Instagram Linkedin

© 2024 Dreyfus – Création Agence Peach