Voici la liste des articles publiés par notre cabinet.

L’actualité se fait régulièrement l’écho de nombreux incidents de sécurité impliquant des fuites de données personnelles vers des tiers non autorisés.

Parmi les plus récentes, une fuite de données chez un fournisseur d’équipements de gendarmes impliquant l’accès aux bases de données recensant les commandes passées par les militaires sur le site dédié (nom, date de naissance, lieu de résidence), ou encore chez un prestataire informatique de la société Yves Rocher portant sur les données de 2,5 millions de clients principalement établis au Canada (noms, coordonnées, date de naissance, historique des commandes).

Pour rappel, lorsqu’une société a recours à un prestataire et que cela implique un accès aux données personnelles, elle doit s’assurer que son prestataire présente des garanties suffisantes, notamment en termes de sécurité. Elle doit aussi gérer ses relations avec le prestataire auquel elle confie ses données dans le cadre d’un acte juridique ou d’un contrat (art.28 du RGPD). Il s’agit, pour le responsable de traitement, de ne pas exposer les personnes dont il traite les données à des préjudices tels que l’usurpation d’identité ou la diffusion d’informations sensibles ou confidentielles.

Au-delà des engagements du prestataire, ce contrat permet d’organiser les rôles respectifs des parties et de documenter avec précision l’objet, la durée, la nature et la finalité des opérations de traitement réalisées pour le compte du client.

Ce point est crucial en matière de responsabilité en ce que l’article 82§2 du RGPD prévoit qu’« un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le règlement qui incombent spécifiquement aux sous-traitants  ou qu’il a agi en-dehors des instructions licites du responsables du traitement ou contrairement à celles-ci ».

En cas d’incident de sécurité, c’est souvent le sous-traitant qui identifiera en premier lieu le « data breach » dont il est tenu d’informer son client « dans les meilleurs délais après en avoir pris connaissance ». Cette célérité permettra au responsable de traitement, lui-même tenu de notifier à la CNIL dans les 72 heures après en avoir eu connaissance, de mettre en place au plus vite les mesures correctives appropriées.

Au regard de ces obligations légales et des risques encourus, il est important que le responsable de traitement s’assure réellement, lors de la phase précontractuelle, des garanties que présente son prestataire notamment en matière de sécurité, puis, en cours d’exécution du contrat, du maintien de toutes ces garanties et de leurs mises en œuvre concrète, le tout devant être documenté avec soin. Il doit « garder la main » quant au respect par son prestataire des engagements de performance en matière de sécurité informatique et des garanties organisationnelles qui en découlent.

Indépendamment d’éventuelles sanctions administratives, parfois importantes, comme le rappellent de récentes délibérations de la CNIL, des actions en responsabilité pourraient être engagées.

Il ne vous reste plus qu’à mettre en place une politique contractuelle et un process de contractualisation en phase avec ces nouvelles exigences !

 

Claudia WEBER, avocat fondateur et Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance

La marque constituée par une couleur ou une combinaison de couleurs est une marque comme une autre. Le dépôt d’une telle marque demande toutefois une attention particulière.

 

Après la décision Louboutin qui a confirmé la validité de la marque consistant en une couleur appliquée sur la semelle d’une chaussure à talon haut, la Cour de Justice de l’Union Européenne apporte quelques précisions sur l’appréciation du caractère distinctif et sur le respect de l’exigence de représentation graphique pour les marques de couleur. (CJUE, C-578/17, 27 mars 2019)

 

Les juges européens précisent que malgré leur singularité, les marques de couleurs ne doivent pas être traitées différemment des autres marques en ce qui concerne l’appréciation de leur distinctivité. Dès lors, l’Office de la propriété intellectuelle compétent est dans l’obligation d’analyser in concreto et de façon globale, le caractère distinctif du signe déposé et ne peut pas refuser son enregistrement au seul motif que ce signe n’aurait pas acquis de caractère distinctif par l’usage.

 

Par ailleurs, la Cour retient que pour satisfaire à l’exigence de représentation graphique, l’objet et l’étendue de la protection demandée doivent être clairement et précisément déterminés. Par conséquent, pour être recevable une demande d’enregistrement ne doit pas présenter de contradiction dont la conséquence est de rendre impossible la détermination exacte de l’objet et de l’étendue de la protection sollicitée. En l’occurrence, il existait dans la demande d’enregistrement une contradiction entre le signe présenté sous la forme d’un dessin figuratif et la description verbale portant sur une protection concernant uniquement deux couleurs. Une telle contradiction doit conduire au refus de l’enregistrement de la marque.

Jean-Christophe Ienné, avocat, directeur du pôle Propriété intellectuelle & industrielle, Médias & Audiovisuel et Internet

Le 12 juillet dernier, le Comité Européen relatif à la Protection des Données (CEPD) a lancé une consultation publique sur son projet de lignes directrices portant sur la vidéosurveillance. Prenant en compte le potentiel d’intrusion de ces dispositifs pour les droits et libertés des personnes, le CEPD propose différentes orientations et s’empare notamment du sujet de la reconnaissance faciale qui fait débat dans plusieurs pays.

Ainsi, en est-il en France suite à l’annonce à l’automne dernier d’une expérimentation portant sur un tel dispositif par la région PACA pour contrôler les accès à deux établissements scolaires de Nice et de Marseille.

Au-delà de nos frontières, la ville de San Francisco en Californie a adopté, en mai 2019, l’interdiction pour la police d’utiliser la reconnaissance faciale. Le 15 août dernier, la présidente de l’autorité de contrôle britannique (ICO), faisait part de l’ouverture d’une enquête à propos de l’utilisation des dispositifs de reconnaissance faciale utilisés dans la Gare de King’s Cross, ou encore, le 21 août, l’autorité Suédoise (Datainspektionen) annonçait avoir prononcé une sanction à l’encontre d’un lycée qui avait recours à un tel dispositif pour s’assurer de la présence des élèves.

Dans une note de juillet 2019, l’Office parlementaire d’évaluation des choix scientifiques et technologiques, chargé d’informer le Parlement français sur les enjeux des choix technologiques, a relevé que de tels dispositifs de reconnaissance faciale étaient susceptibles d’être à l’origine d’erreurs d’appréciation de et ainsi de biaiser les analyses de leurs utilisateurs.

Mettant cependant en avant certains avantages qu’offrent ces technologies utilisées à bons escient en matière de sécurité, le CEPD rappelle, dans ses lignes directrices, que la vidéosurveillance ne doit pas être déployée de manière disproportionnée et doit être écartée lorsqu’il existe d’autres moyens d’atteindre les objectifs attendus.

S’agissant de la base juridique des traitements ainsi déployés, le recours à l’intérêt légitime du responsable de traitement sera fréquemment mis en avant, sous réserve qu’il ne repose pas sur une justification « fictive ou théorique » mais sur un risque direct et immédiat. La mise en balance des intérêts respectifs du responsable de traitement et des personnes concernées sera appréciée au cas par cas, notamment au regard de l’importance de l’ingérence du traitement pour les droits et libertés des intéressés.

Si l’exploitation des images de vidéosurveillance à des fins de reconnaissance des individus implique le traitement de données biométriques considérées comme particulièrement sensibles, le CEPD envisage les conditions d’un consentement valide. Il rappelle, dans l’hypothèse du déploiement d’un tel dispositif dans un espace ouvert au public, les difficultés à recueillir le consentement de toutes les personnes entrant dans le champ de prise de vue du dispositif. Le CEPD se prononce enfin sur l’attention particulière qui doit être apportée à l’information, celle-ci pouvant être déclinée en différentes étapes, à savoir un simple panneau permettant, dans un premier temps aux intéressés d’identifier la zone surveillée, complété par un renvoi vers des mentions plus fournies.

La consultation se poursuit jusqu’au 9 septembre prochain.

 

Les associations demandaient la suspension de la décision de la CNIL en invoquant la condition d’urgence au regard de l’ « atteinte grave et immédiate aux intérêts qu’elles ont pour objet de défendre  » .

Le 14 aout dernier, le juge des référés rejette cette demande de suspension estimant que la proximité de l’audience sur l’examen du dossier au fond exclut de retenir l’urgence liée aux intérêts des requérants « pour justifier la suspension immédiate de la décision de la CNIL ».

C’est en effet le 30 septembre prochain que  le Conseil d’Etat examinera au fond le recours contre la décision de la CNIL qui annonce une période transitoire dans l’application des nouvelles règles en matière de recueil du consentement à l’installation de « cookies et traceurs ».

[ci-dessous notre brève du lundi 19 août 2019]

 

Les traceurs en ligne, dont les « cookies », se trouvent au cœur des préoccupations, non seulement des acteurs de la publicité ciblée, mais aussi des défenseurs de la protection des données personnelles

C’est ainsi qu’un recours a été porté devant le Conseil d’Etat contre la décision de la CNIL annonçant une période transitoire dans l’application des nouvelles règles en matière de recueil du consentement à l’installation de « cookies et traceurs ».

On rappellera que les conditions strictement posées par le RGPD quant à la validité du recueil du consentement remettent en cause les pratiques telles qu’elles résultaient de la recommandation adoptée par la CNIL par délibération n° 2013-378 du 5 décembre 2013, aux termes de laquelle la poursuite de la navigation sur un site internet vaut consentement.

C’est ainsi qu’à la fin du mois de juin dernier, l’autorité de contrôle de protection des données française annonçait son plan d’action en matière de cookies dont le socle est la délibération n°2019-093 du 4 juillet 2019 portant de nouvelles lignes directrices.

S’en est suivie une communication de la CNIL en date du 18 juillet annonçant que ses lignes directrices seront suivies d’une nouvelle recommandation soumise à consultation publique en amont de son adoption définitive et de sa publication au premier trimestre 2020.  Ce n’est qu’à l’issue d’une période d’adaptation de six mois après sa publication que la CNIL procèdera à des vérifications pour s’assurer de leur respect par les acteurs qui disposeront ainsi d’un délai supplémentaire pour intégrer les nouvelles règles. 

Estimant que ce délai supplémentaire conduit à la survivance de règles qui ne sont plus conformes à l’état du droit, les associations Caliopen et la Quadrature du net, outre un recours en annulation, ont engagé un référé-suspension contre ce qu’elles considèrent comme la décision de la CNIL d’autoriser la « poursuite de la navigation  comme mode d’expression du consentement en matière de cookies et de traceurs en ligne jusqu’à mi-2020 […] ». 

L’audience s’est tenue le 14 août dernier,

A suivre de près…

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance & Mathieu Vincens, juriste

 

Les traceurs en ligne, dont les « cookies », se trouvent au cœur des préoccupations, non seulement des acteurs de la publicité ciblée, mais aussi des défenseurs de la protection des données personnelles

C’est ainsi qu’un recours a été porté devant le Conseil d’Etat contre la décision de la CNIL annonçant une période transitoire dans l’application des nouvelles règles en matière de recueil du consentement à l’installation de « cookies et traceurs ».

On rappellera que les conditions strictement posées par le RGPD quant à la validité du recueil du consentement remettent en cause les pratiques telles qu’elles résultaient de la recommandation adoptée par la CNIL par délibération n° 2013-378 du 5 décembre 2013, aux termes de laquelle la poursuite de la navigation sur un site internet vaut consentement.

C’est ainsi qu’à la fin du mois de juin dernier, l’autorité de contrôle de protection des données française annonçait son plan d’action en matière de cookies dont le socle est la délibération n°2019-093 du 4 juillet 2019 portant de nouvelles lignes directrices.

S’en est suivie une communication de la CNIL en date du 18 juillet annonçant que ses lignes directrices seront suivies d’une nouvelle recommandation soumise à consultation publique en amont de son adoption définitive et de sa publication au premier trimestre 2020.  Ce n’est qu’à l’issue d’une période d’adaptation de six mois après sa publication que la CNIL procèdera à des vérifications pour s’assurer de leur respect par les acteurs qui disposeront ainsi d’un délai supplémentaire pour intégrer les nouvelles règles. 

Estimant que ce délai supplémentaire conduit à la survivance de règles qui ne sont plus conformes à l’état du droit, les associations Caliopen et la Quadrature du net, outre un recours en annulation, ont engagé un référé-suspension contre ce qu’elles considèrent comme la décision de la CNIL d’autoriser la « poursuite de la navigation  comme mode d’expression du consentement en matière de cookies et de traceurs en ligne jusqu’à mi-2020 […] ». 

L’audience s’est tenue le 14 août dernier,

A suivre de près…

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance & Mathieu Vincens, juriste