Voici la liste des articles publiés par notre cabinet.

L’actualité récente relatant le fait que la CNIL estime le SMS diffusé par Laurent Wauquiez aux lycéens utilisateurs du Pass’Région et ayant accepté la réception d’ informations ou « bons plans » liés aux dispositifs régionaux, comme une communication institutionnelle, invite à se pencher à nouveau sur le détournement de la finalité des traitements.

 

Le principe fondamental de la protection des données personnelles, selon lequel la collecte de données doit être réalisée  « pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités » est le fil conducteur qui permettra d’apprécier, notamment, la pertinence des informations collectées ainsi que leur durée de conservation.

 

Comme elle l’a démontré à plusieurs reprises, la CNIL, saisie de plainte, procède à une analyse pragmatique du contexte dans lequel les données personnelles sont traitées et a été amenée à sanctionner l’Office public de l’habitat de Rennes pour avoir utilisé ses fichiers d’usagers pour des finalités incompatibles avec les finalités initiales. (lien vers notre article à ce sujet)

 

Il convient donc, pour les responsables de traitements, de s’assurer de l’utilisation des données dans le respect de leur finalité initiale et, en cas de nouvelle finalité envisagée, de l’asseoir sur une base juridique qui lui est propre, de procéder à une nouvelle information des intéressés et de mettre à jour le registre de leurs  activités de traitements.

 

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance 

Dans la foulée de la sanction à plus de 200 millions d’euros à l’encontre de British Airways, l’ICO envisage d’infliger une sanction de 110 millions d’euros au groupe hôtelier Marriott, à la suite du piratage des données de près de 339 millions de clients !

 

L’enquête menée par l’autorité de contrôle  britannique, « chef de file » dans la procédure comme le prévoit le RGPD pour les traitements « transfrontaliers », aurait identifié que le groupe Marriott n’aurait pas accompli les diligences de sécurité requises lors de l’acquisition du groupe hôtelier Starwood.

 

Là encore, le grand nombre de personnes concernées et la sensibilité particulière des données portant notamment sur plus de 5,25 millions de numéros de passeport non chiffrés, ont pesé dans l’évaluation de la sanction.

 

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance & Mathieu Vincens

C’est dans un premier temps la banque roumaine Unicredit Bank qui, le 27 juin 2019, s’est vuinfliger par l’autorité de contrôle roumaine une amende d’un montant de 130 000 euros : l’enquête diligentée par l’ANSPDCP, à la suite d’une violation des données concernant 337 042 personnes,a amené l’institution inspectrice à considérer que la banque n’avait pas  « mis en œuvre des mesures techniques et organisationnelles appropriées, tant pour la détermination des moyens de traitement, que pour les opérations de traitement elles-mêmes… ».

Elle a ensuite prononcé une sanction d’un montant de 15 000 euros le 8 juillet 2019 à un opérateur d’hôtel de Bucarest, « World Trade Center Bucarest », pour divulgation de données à caractère personnel de 46 de ses clients.

Par cette dernière décision qui concerne un très faible nombre de personnes, l’autorité de contrôle roumaine donne le ton : il n’y a pas de petit incident de sécurité !

 

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance

Après le refus de la Cour de justice européenne de protéger les saveurs au titre du droit d’auteur, une proposition de loi relative à la protection des recettes et créations culinaires relance le débat.

 

Cette proposition de loi, enregistrée à la Présidence de l’Assemblée nationale le 30 avril 2019, part du constat suivant : « la protection des recettes de cuisine repose sur peu de textes juridiques et il n’y est fait référence ni dans le code de la propriété intellectuelle, ni dans le code de la consommation ». Selon la proposition de loi, cette absence de protection « pose un réel problème pour l’ensemble des professionnels, à la fois pour les cuisiniers qui ne peuvent pas protéger leurs créations culinaires, pour les restaurateurs qui peuvent faire face à une concurrence déloyale, mais aussi pour les clients qui n’ont pas de garantie sur la nature et la qualité du plat qu’ils ont dans leur assiette, particulièrement dans les zones touristiques ».

La proposition s’attache à compléter le Code du patrimoine, en définissant un véritable droit de propriété intellectuelle sur les recettes de cuisine, dans le cadre plus large de la protection et de la promotion du patrimoine culinaire français.

 

La situation actuelle : absence de protection des recettes culinaires

La jurisprudence refuse explicitement de protéger les recettes culinaires par le droit d’auteur, au motif que ces dernières ne constitueraient pas une œuvre de l’esprit. Un jugement représentatif du tribunal de grande instance de Paris du 30 septembre 1997 affirme ainsi que « si les recettes de cuisine peuvent être protégées dans leur expression littéraire, elles ne constituent pas en elles-mêmes une œuvre de l’esprit », car elles s’analysent « comme une succession d’instructions, une méthode ».

De même, le droit des brevets exclut du champ de la brevetabilité les « principes et méthodes ».

En l’état actuel du droit, il n’est donc possible de protéger une création culinaire que de manière indirecte et partielle, au travers de son expression littéraire, si celle-ci satisfait à la condition d’originalité, voire de son aspect esthétique (dressage de l’assiette). Le droit de la concurrence déloyale peut également être mobilisé.

En revanche, il n’est pas possible de protéger la saveur de cette création par un droit de propriété intellectuelle existant et ce, tant au titre du droit français qu’au titre du droit européen : la Cour de justice de l'Union européenne par un arrêt du 13 novembre 2018 a en effet refusé la protection du droit d'auteur à une saveur au motif qu’elle ne peut être qualifiée d’« œuvre » au sens de la directive 2001/29 CE du 22 mai 2001 sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information (CJUE, 13  nov. 2018, aff. C 310/17).

(lire notre article dans la newsletter n° 40)

 

La proposition de loi

La proposition a pour objet d’introduire dans le Code du patrimoine un dispositif de protection des recettes et créations culinaires. Il est tout d’abord proposé la création de l’institut national de la création culinaire, sur le modèle de l’Institut national de la propriété industrielle, qui aurait pour missions, en autres, de « centraliser, diffuser toutes informations nécessaires pour la protection des créations culinaires ainsi que d’engager toutes actions de sensibilisation et de formation dans ce domaine » et d’examiner, de délivrer et d’enregistrer les demandes des cuisiniers qui voudraient se voir conférer un titre de propriété intellectuelle, qui prendrait la forme d’un certificat.

Seraient éligibles à la protection « les créations culinaires nouvelles impliquant une activité créatrice démontrant un caractère gustatif propre », à l’exclusion des denrées alimentaires. Ainsi, la création culinaire devrait : 

•    être nouvelle, étant précisé qu’une création culinaire serait considérée comme nouvelle si elle n’était pas comprise dans l’état de l’art culinaire ;

•    impliquer une activité créatrice : elle serait considérée comme impliquant une activité créatrice si, pour un homme de métier, elle ne découlerait pas de manière évidente de l’état de l’art culinaire ;

•    avoir un caractère gustatif propre : pour cela, elle devrait donner une impression d’ensemble non déjà goûtée. 
Les critères de la protection apparaissent largement inspirés du droit des brevets et du droit des dessins et modèles.

La durée de la protection d’une création culinaire par un certificat de création culinaire serait de vingt ans à compter de la date de dépôt. 

La procédure d’enregistrement du certificat définie par la proposition s’inspire largement de la procédure d’enregistrement des marques (examen des conditions de fond et de forme de la demande, procédure d’opposition, publication dans un bulletin officiel…).

La proposition définit le régime de ce certificat de création culinaire en conférant à son titulaire un droit exclusif d’exploitation et des droits moraux, à savoir un droit de divulgation, un droit au nom, un droit au respect de la création culinaire. 

Le titre serait sanctionné par une action civile et une action pénale.

Cette proposition de loi s’inspire largement des droits de propriété intellectuelle existants, tant pour les critères de protection, pour la procédure d’examen, pour la définition des droits conférés que pour le régime de protection, empruntant parfois au droit d’auteur, parfois au droit des brevets ou des dessins et modèles et parfois au droit des marques. L’opportunité de la création d’un tel droit reste à être évaluée, au regard de son intérêt effectif et du coût de sa mise en place. Elle doit être examinée prochainement par la commission des Affaires culturelles.

 

Jean-Christophe Ienné, avocat, directeur des pôles Propriété intellectuelle & industrielle, Médias & Audiovisuel et Internet 

 

Le 8 avril 2019, le Contrôleur européen à la protection des données (EDPS), autorité de contrôle de la conformité des institutions européennes aux règles applicables à la protection des données, a annoncé ouvrir une enquête sur les contrats d’utilisation des logiciels Microsoft. 


Créé par le règlement 2001/45, remplacé par le règlement 2018/1725 du 11 décembre 2018, l’EDPS fournit des avis sur les politiques et les législations relevant de la protection des données à caractère personnel, contrôle les instances nationales et collabore avec elles. Ce contrôleur s’est en outre vu confier le secrétariat du Comité européen à la protection des données (CEPD) qui remplace le groupe dit du « G29 » et réunit les représentants des différentes autorités de contrôle en matière de protection des données des Etats membres. 


La nécessité d’aider à l’analyse et à l’évaluation de la sécurité des traitements de données est à l’origine de la démarche du gouvernement néerlandais de procéder au contrôle de la conformité des contrats proposés par Microsoft. Il s’agit de doter les institutions publiques, fréquentes utilisatrices des logiciels et solutions proposés par Microsoft, d’outils utiles à la réalisation des analyses d’impact relatives à la protection des données prévues à l’article 35 du RGPD.


Cette nécessaire évaluation a ainsi permis d’identifier plusieurs risques au regard des droits et libertés des personnes concernées, plus spécifiquement en raison de l’absence de documentation quant aux réglages des dispositifs de télémétrie des données et à la collecte possible, par Microsoft, du libellé de l’objet des courriels envoyés par les utilisateurs des logiciels de l’éditeur américain.


A la suite de cette étude, la société Microsoft s’est engagée à apporter les modifications appropriées pour parvenir à la mise en conformité au RGPD d’ici au mois de mai 2019. 


Dans un « esprit de coopération », l’EDPS a pris le relais de cette démarche à l’échelon de l’Union européenne et a annoncé, dans un communiqué de presse, que « toutes les institutions de l'UE utilisant les applications Microsoft étudiées dans le présent rapport sont susceptibles de faire face à des problèmes similaires à ceux rencontrés par les autorités publiques nationales, notamment en ce qui concerne les risques accrus pour les droits et libertés des personnes ».

 

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance & Mathieu Vincens, juriste