Voici la liste des articles publiés par notre cabinet.

La CNIL a mis en demeure la société SINGLESPOT le 8 octobre 2018 de se mettre en conformité avec le RGPD.

C’est le 29 mai 2018, à savoir quelques jours après l’entrée en application du RGPD, qu’une délégation de la CNIL a effectué une mission de contrôle auprès de la société SINGLESPOT, de sorte à s’assurer qu’elle se conformait aux nouvelles dispositions relatives à la protection des données personnelles.

Cette société, spécialisée dans la programmation informatique, avait mis en œuvre un traitement portant création de segments d’audiences aux fins d’établir des profils de mobinautes pour leur adresser de la publicité ciblée sur leurs ordiphones. Le logiciel « SDK », ainsi déployé par ses soins, permettait la collecte des données de géolocalisation.

Le contrôle a permis de relever la présence, dans la base de données de la société, de 14 344 670 identifiants publicitaires, dont 5 529 383 associés à des données de géolocalisation. Chacun des identifiants publicitaires étant directement lié à l’ordiphone d’une personne ayant téléchargé l’application de l’un des partenaires de la société, les données des intéressés étaient directement transmises à SINGLESPOT, sans information spécifique ni recueil de leur consentement.

 

Après avoir retenu la qualification de responsable de traitement de la société SINGLESPOT du fait de son rôle actif dans la détermination des finalités et des moyens de ces traitements, la CNIL a relevé des manquements aux dispositions relatives à la protection des données à caractère personnel, à savoir : 

  • L’absence de base légale en raison du défaut de consentement conforme

La société avait mentionné dans le registre transmis à la CNIL que le traitement des données de géolocalisation aux fins de ciblage publicitaire était fondé sur le seul consentement des intéressés. La CNIL a considéré ce consentement non conforme car ni informé, ni spécifique, ni univoque. En conséquence, le traitement était dépourvu de base légale.

  • Un manquement à l’obligation de définir et de respecter une durée de conservation proportionnée à la finalité du traitement

La conservation des données de géolocalisation, pendant treize mois, et de la table de profils constitués à partir de données collectées, notamment lors des déplacements et visites des intéressés, bien après le terme du projet, a été considérée excessive par la CNIL.

  • Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données

L’autorité de contrôle a enfin relevé que le défaut de mots de passe suffisamment solides dans le compte administrateur et la réalisation de tests de développement à partir de données réelles, constituaient un manquement à l’obligation générale de sécurité et de confidentialité des données.

 

Relevant ces trois manquements, la CNIL a mis en demeure la société de mettre en place des mesures correctives adaptées dans un délai de trois mois.  Si la société ne fonde pas le traitement des données de géolocalisation à des fins de ciblage publicitaire sur une base légale, en l’espèce un consentement valide, elle doit supprimer l’ensemble desdites données collectées.

 

Les recommandations du cabinet ITLAW

Cette délibération n’est pas sans rappeler les délibérations 2018-022 et 2018-023 du 25 juin 2018 (lire notre article du 02/10), à l’occasion desquelles la CNIL relevait le défaut de base légale de traitements mis en œuvre par deux sociétés, en raison du consentement non conforme des intéressés au traitement de données de géolocalisation.

Cependant, au vu des réponses apportées très rapidement par TEEMO, l’une des deux sociétés, et des mesures correctives mises en place, à savoir le déploiement de bannières en amont de la collecte des données permettant de recueillir un consentement libre, spécifique et éclairé, l’information sur la possibilité de retirer à tout moment leur consentement et une information  complète, notamment sur les droits des intéressés et les durées de conservation des données, la présidente de la CNIL a décidé de procéder à la clôture de la procédure.

 

Aussi, face à une mise en demeure dont on rappellera qu’elle n’est pas une sanction de la CNIL, il est important de mettre en place, dans les meilleurs délais, des mesures correctives effectives et adaptées… et d’en informer la CNIL.

 

 

Odile Jami-Caston, Directrice du Pôle « Protection des données personnelles »

& Claudia Weber, Avocat Fondateur

ITLAW Avocats

www.itlaw.fr

 

La popularité de l’Internet des objets n’a de cesse de croître, les derniers chiffres publiés en la matière en témoigne :

  • 50 milliards d’objets connectés en 2017,
  • 52% des français possèdent au moins un objet connecté en 2017 (Sondage OpinionWaypour DistreeConnect),
  • 151 milliards de dollars : l’opportunité de marché qu’offrirait l’internet des objets aux fournisseurs de composants, équipements, logiciels et services en 2018, soit un bond de 37% par rapport à 2017 selon le cabinet IoT Analytics.

Un objet connecté peut se définir comme suit : « des objets qui captent, stockent, traitent et transmettent des données, qui peuvent recevoir et donner des instructions et qui ont pour cela la capacité à se connecter à un réseau d’information. On peut distinguer les objets mettables (wearable), mobiles, domestiques ou de loisir, d’infrastructure ou de productivité »[1]

Leurs particularités ? Un fonctionnement articulé entre un objet, son capteur et une plateforme permettant une analyse de donnée produite en quantité importante, en temps réel et personnalisée à l’utilisateur.

Cette singularité les rend particulièrement attractifs tant pour les particuliers que pour les entreprises.

Pourtant, l’utilisation ou la proposition d’utilisation de tels objets comportent de nouveaux enjeux et de nouveaux risques.

Quels sont les nouveaux risques et enjeux ?

  • Sécurité: Accès illégal aux informations stockées ou échangées : compromission des données qui transitent ou qui sont stockées par l’objet connecté ou encore perturbations du fonctionnement empêchant l’objet connecté de transmettre des données et de remplir son rôle pouvant ainsi créer des conséquences dommageables plus ou moins importantes en fonction de son rôle (santé, industrie, smart véhicule, smart city, etc…)
  • Économique: perte d’investissement, perte de données, atteinte à l’image de l’entreprise, fragilité des entreprises créatrices d’objets connectés
  • Atteinte aux personnes(à la vie privée directe et risque physique) : atteinte à la confidentialité des données directe ou indirecte (observation du comportement ou du déplacement de l’objet) notamment via le détournement de l’usage d’un objet en récupérant des données (ex: caméra et enceintes connectées)
  • Dépendance technologique

 

Comment sécuriser l’utilisation d’un objet connecté ?

L’IoT doit être envisagé au travers de son cycle de vie qui peut s’étendre sur des périodes de temps très variable ( de 3 mois à 100 ans).

 

 

  • dès l’étape de construction du projet: il faut (i) vérifier la légalité du projet IoT (analyser les droits fondamentaux, les règles spécifiques, identifier le cadre légal applicable…), (ii) lever les éventuels freins juridiques, notamment par la mise en œuvre de solutions techniques et juridiques (vérifier l’existence de demande d’autorisation nécessaire, par exemple la certification HDS en matière de santé…) et enfin (iii) gérer la conformité à la règlementation générale relative à la protection des données (RGPD) ;

 

  • pendant son exploitation: il faut sécuriser le projet (i) en interne, par l’élaboration d’une politique de sécurité, la sensibilisation et la formation aux risques notamment juridiques, l’élaboration d’une charte d’utilisation des IoT  s’ils sont utilisés par l’entreprise et (ii) en externe, par la rédaction des contrats et chaine de contrats pertinents avec chacun des prestataires et partenaires impliqué dans la mise en place de l’IoT (l’objet, son capteur, la plateforme et les réseaux), les CGV et CGU  pour l’utilisateur de l’objet connecté et (iv) globalement par la mise en œuvre d’une organisation adaptée et de bonnes pratiques (telle que la mise à jour régulière de sa politique de sécurité, un audit régulier du SI, des procédures spécifiques, etc…).

 

  • gérer la fin de vie de l’IoT; réversibilité, destruction, remplacement, etc…

 

Comment réagir à une atteinte à la sécurité ?

  • S’organiser pour mettre fin à l’atteinte sans délais : pour cela :
  • Mettre en place, en amont, une politique de gestion de crise, qui permettra d’investiguer rapidement et efficacement, il s’agit par exemple de définir les acteurs et actions nécessaires pour mobiliser sans délai les expertises et compétences pour corriger techniquement l’incident
  • Identifier et documenter précisément l’ensemble des caractéristiques de l’incident de sécurité
  • Préserver des preuves fiables de l’incident de sécurité par l’organisation d’un constat réalisé par un huissier de justice accompagner par une équipe d’experts techniques.

 

  • Identifier ses obligations légales en matière de sécurité, notamment ce qui relève de la procédure de gestion de violation des données à caractère personnel qui doit être mise en place en interne ou encore de la procédure de notification aux personnes concernées ;

 

  • Définir une stratégie efficace de gestion du risque de l’entreprise, en particulier ; déterminer une stratégie de communication à destination des clients, partenaires et tiers avec pour objectif de préserver l’image de l’entreprise résultant de l’atteinte, envisager les différents recours judiciaires pour obtenir l’indemnisation du préjudice subi.

 

En conclusion, pour sécuriser vos projets IoT, nous vous recommandons notamment de :

  

  • Impliquer la direction générale dans le projet IoT, dès le début et pendant toute son exploitation,
  • Anticiper les risques notamment en pensant la sécurité en amont de la conception de votre projet IoT;
  • Sécuriser l’exploitation des IoT tant en interne qu’en externe, notamment :
  • Formaliser les procédures et politiques de sécurité adaptées,
  • Intégrer les clauses pertinentes dans les contrats avec ses partenaires et prestataires,
  • Rédiger les documents contractuels pertinents pour l’utilisation de l’IoT par les utilisateurs personnes physiques et/ou personnes morales,
  • Mettre en œuvre de bonnes pratiques efficaces, cohérentes et pragmatiques ;
  • Mettre en place une organisation fluide et efficace pour anticiper et gérer les différents risques.

 

[1] Le lexing du marketing – Mercator-publicitor

 

Claudia WEBER, Avocat Fondateur

& Marine HARDY, Avocat responsable des Pôles Innovations et Sécurité

ITLAW Avocats

 

 

La Cour de cassation a réaffirmé dans son arrêt du 11 juillet 2018 que lorsqu’un écrit est exigé pour la validité d’un acte juridique, il peut être établi et conservé sous forme électronique, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité.

 

La société AGT Unit dont le gérant est titulaire d’une licence d’agent sportif avait assigné la société ASSE Loire en paiement d’une commission, en vertu d’un mandat reçu pour négocier avec le club allemand de football de la ville de Dortmund pour le transfert d’un joueur.

La société ASSE Loire a fait valoir que le mandat en question ne respectait pas les règles imposées par l’article L.222-17 du code du sport. Ce dernier texte prévoit en effet que le contrat doit être écrit et contenir certaines mentions, toute convention contraire à ce texte étant réputée nulle et non écrite.

La Cour d’appel de Lyon a débouté la société mandataire de toutes ses demandes pour ne pas avoir produit l’écrit imposé par le code du sport.

Cet arrêt de la Cour de cassation vient rappeler qu’un contrat peut résulter de plusieurs documents distincts et que si un écrit est exigé, celui-ci peut être électronique. Il vient également préciser le statut de l’agent sportif.

Sur le premier point, la Cour de cassation censure à un double titre le raisonnement de la Cour d’appel de Lyon.

En premier lieu, les magistrats lyonnais avaient donné raison à la société ASSE Loire en affirmant que les courriels échangés pour la conclusion du mandat, qui ne regroupaient pas en un seul document les mentions obligatoires exigées par l’article L.222-17, n’étaient pas conformes à cet article.

La Cour de cassation a censuré cette première affirmation au motif que l’article L.222-17 du code du sport, s’il impose un contrat écrit, n’impose pas que ce contrat fasse l’objet d’un document unique. Elle précise que les juges du fond ont ajouté une condition à l’article L.222-17 en exigeant un document unique regroupant toutes les mentions obligatoires. On peut donc considérer qu’il est de principe qu’un contrat peut être constitué de documents distincts.

Certains textes le prévoient d’ailleurs expressément, comme l’article L.131-3 du code de la propriété intellectuelle qui vise la conclusion d’un contrat portant sur des droits d’auteur « par échange de télégrammes ».

En second lieu, la Cour d’appel avait retenu qu’un message électronique ne peut pas, par nature, constituer l’écrit concentrant les engagements des parties exigé par l’article L. 222-17.

La Cour de cassation a réaffirmé conformément à l’article 1108-1 du code civil, que lorsqu’un écrit est exigé pour la validité d’un acte juridique, il peut être établi et conservé sous forme électronique dans les conditions prévues aux articles 1316-1 et 1316-4 du code civil.

Elle en conclut que la Cour d’appel ne pouvait pas retenir qu’un message électronique ne peut pas par nature constituer un écrit, sans rechercher au préalable si ce courriel remplissait les conditions imposées par les articles 1316-1 et 1316-4 du code civil.

Selon ces deux textes, pour que l’écrit électronique ait la même force probante que l’écrit papier, la personne dont il émane doit pouvoir être dûment identifiée et il doit être établi et conservé dans des conditions de nature à garantir son intégrité et pour que la signature électronique ait la même valeur qu’une signature traditionnelle, il doit être fait usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache.

Il appartiendra donc à la Cour de renvoi de rechercher si les mails en question satisfont à ces conditions.

Cette décision est toujours d’actualité, la teneur des articles 1108-1, 1316-1 et 1316-4 (devenus respectivement les articles 1174, 1366 et 1367 du code civil) n’ayant pas été changée par la réforme récente du droit des obligations.

Enfin, et pour ce qui concerne le statut d’agent sportif, en visant l’article 1108-1 du code civil, cet arrêt vient préciser la nature de l’écrit dont doit faire l’objet le mandat de l’agent : il s’agit d’un écrit conditionnant la validité de ce mandat, ce que ne précise pas expressément l’article L.222-17 du code du sport.

En conclusion, pour conclure un contrat par voie électronique, il est nécessaire d’utiliser un procédé de signature électronique tel que prévu à l’article 1316-4 du code civil et un archivage à valeur probatoire. 

(Cass. civ. 1, 11 juillet 2018, n° 17-10.458)

Jean-Christophe Ienné, Avocat directeur du Pôle Propriété Intellectuelle

& Pauline Vital, Avocat

ITLAW Avocats

www.itlaw.fr

La Cour de Justice de l’Union européenne (CJUE) est saisie d’une question préjudicielle aux termes de laquelle il lui est demandé de dire si une saveur peut être une œuvre de l’esprit et, en tant que telle, bénéficier de la protection du droit d’auteur. C’est l’occasion de faire le point sur la protection des saveurs et des odeurs en droit d’auteur et en droit des marques.

La protection des saveurs et des odeurs par le droit d’auteur pose des questions similaires. En France, la Cour de cassation refuse de manière constante la protection des odeurs par le droit d’auteur, notamment pour les parfums. C’est par exemple le cas de son arrêt du 10 décembre 2013. En revanche, la plus haute juridiction néerlandaise l’accepte. Pour ce qui concerne la protection des saveurs, la question ne semble pas avoir été posée à la Cour de cassation. Tout au plus certaines juridictions du fond écartent la possibilité de la protection d’une recette par le droit d’auteur, au motif qu’une recette est une simple méthode.

Aujourd’hui, la situation pourrait changer, suite à la question préjudicielle du 23 mai 2017 posée à la CJUE par la cour d’appel d’Arnhem-Leeuwarden (Hollande), relative à la qualification d’œuvre originale de la saveur d’un fromage. En attendant la décision de la Cour, l’avocat général a donné son avis.

Si la CJUE ouvre la voie à la protection des saveurs, les odeurs devraient logiquement en bénéficier.

L’affaire en cause : la contrefaçon du goût

Un litige opposant deux entreprises productrices de denrées alimentaires portant sur la saveur d’un fromage à tartiner est à l’origine de cette question posée à la CJUE. L’une de ces entreprises reproche à l’autre de commercialiser un fromage à la saveur similaire au sien, ce qui constituerait une atteinte aux droits d’auteur dont elle serait titulaire sur cette saveur. Bref il s’agit d’une affaire de contrefaçon d’un goût.

La CJUE devra donc trancher la question préjudicielle principale suivante : est-ce que le droit de l’Union s’oppose à ce que la saveur d’un produit alimentaire, en tant que création intellectuelle propre à son auteur, soit une œuvre protégée au titre du droit d’auteur ?

Les textes actuels ne donnent pas une réponse claire et peuvent s’interpréter de différentes manières. Par exemple, la Convention de Berne pour la protection des œuvres littéraires et artistiques prévoit une liste d’œuvres susceptibles de bénéficier de la protection du droit d’auteur qui n’est pas limitative. Elle n’écarte toutefois pas la possibilité pour les saveurs et les odeurs d’entrer dans son champ d’application.

De même, la Directive 2001/29 du 22 mai 2001 sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information ne s’oppose pas à une telle protection.

Mais alors, quelles conditions devraient être remplies pour admettre le bénéfice de la protection d’une saveur donnée ? Comment prouver dans le cadre d’une procédure, que telle saveur est une œuvre protégée par le droit d’auteur ? Cela concerne-t-il uniquement la recette, ou le goût en tant que tel ou les deux ?

Les mêmes questions se posent pour les odeurs.

Dans l’affaire soumise à la CJUE, l’avocat général a déposé ses conclusions le 25 juillet 2018. Il considère que « la saveur d’un produit alimentaire ne constitue pas une « œuvre » au sens de la directive 2001/29 ».

Pour arrive à cette conclusion, il relève que” la possibilité d’identifier, avec suffisamment de précision et d’objectivité, une œuvre et, par conséquent, l’étendue de sa protection par le droit d’auteur, est impérative afin de respecter le principe de la sécurité juridique dans l’intérêt du titulaire du droit d’auteur et, plus particulièrement, des tiers qui peuvent être exposés à des actions judiciaires, notamment des actions pénales ou en contrefaçon, pour violation du droit d’auteur” et qu’en l’espèce, “ le fait que les saveurs elles-mêmes soient éphémères, volatiles et instables milite, (à mon avis), contre leur identification précise et objective ainsi que, par conséquent, leur qualification en tant qu’œuvres aux fins du droit d’auteur.”

Un tel raisonnement pourrait à l’évidence être transposé aux odeurs.

Il appartient désormais à la CJUE de se prononcer sur cette question.

Et en droit des marques ?

Les saveurs et les odeurs intéressent également le droit des marques.

A l’heure actuelle, l’enregistrement de marques olfactives ou gustatives ne fait pas l’objet d’une acceptation unanime.

Ainsi, au Royaume-Uni, la demande enregistrement présentée par la société Chanel pour l’odeur de son parfum « N° 5 » a été rejetée au motif que la fragrance du parfum constitue l’essence même du produit, si bien que cette odeur est descriptive du produit auquel elle s’applique.

Toutefois, on peut relever l’existence de quelques marques olfactives comme, par exemple, le cas de l’odeur d’herbe fraîchement coupée appliquée à des balles de tennis (aux Pays-Bas) et la fragrance florale rappelant les roses appliquée à des pneus ou encore une forte odeur de bière amère appliquée à des fléchettes (Royaume-Uni), l’OHMI étant néanmoins en désaccord en ce qui concerne ces deux derniers enregistrements.

On peut relever également plusieurs tentatives infructueuses d’enregistrement de marques gustatives, comme la demande d’enregistrement à titre de marque présentée par un laboratoire pharmaceutique d’un goût de fraises artificielles (marque communautaire) ou d’un goût d’orange (USA) appliqués à des médicaments.

Une des difficultés de l’enregistrement d’une marque olfactive ou gustative tient au fait que la marque doit pouvoir faire l’objet d’une représentation graphique pour être enregistrée. Pour cela, le déposant doit pouvoir décrire précisément, s’il s’agit d’une marque gustative, le goût en question.

Cependant, la situation est susceptible d’évoluer en raison de l’évolution de la règlementation, notamment la suppression prochaine de l’exigence de représentation graphique des marques mise en place par la Directive 2015/2436 et le Règlement (UE) 2015/2424. Ainsi, la réforme dite « Paquet Marques » prévoit pour l’enregistrement d’une marque olfactive, notamment, la possibilité de fournir un échantillon de l’odeur, tout en maintenant la description graphique. Une part de subjectivité vient donc s’ajouter à la demande d’enregistrement d’une marque olfactive.

En matière de droit des marques, l’évolution va donc dans le sens d’une ouverture à ces dépôts de marques peu conventionnelles même si de nombreuses difficultés persistent, notamment lorsqu’il sera question d’un litige en contrefaçon par exemple (l’appréciation du risque de confusion devrait être rendue plus délicate et soumise à un degré accru de subjectivité).

La prise en compte de telle marques nécessitera à l’évidence de revoir bon nombre des pratiques actuelles relatives au dépôt (comment décrire une odeur ou une saveur, comment conserver des échantillons et les rendre accessibles au public dans le cadre d’une recherche d’antériorité ?), à l’examen, à l’appréciation de la validité de la marque (qu’est-ce qu’une marque olfactive déceptive, contraire à l’ordre public et aux bonnes mœurs ?) et à l’appréciation de la contrefaçon.

Jean-Christophe Ienné, Avocat directeur du Pôle Propriété Intellectuelle

& Eugénie Richard, Avocat 

ITLAW Avocats

www.itlaw.fr

 

Le conseil constitutionnel a censuré les dispositions de la loi relative à l’avenir professionnel définissant le contenu de la charte déterminant les conditions et modalités d’exercice de la responsabilité sociale des plateformes de mise en relation par voie électronique.

 

La loi travail du 08 août 2016 a créé un embryon de statut des travailleurs indépendants recourant, pour l'exercice de leur activité professionnelle, à une ou plusieurs plateformes de mise en relation par voie électronique.

Ce statut avait pour objet de donner aux travailleurs indépendants qui recourent à des plates-formes électroniques pour obtenir des missions courtes et répétées, comme des livraisons de repas, le transport de passagers (Deliveroo, Uber…) un certain nombre de droits familiers des salariés.

Il s’inscrivait dans le cadre des relations parfois houleuses pouvant exister entre ces plates-formes et ces travailleurs indépendants (manifestations répondant à des baisses unilatérales des tarifs, demandes de requalification de la relation en relation de travail…) et entre ces plates-formes et les organismes sociaux tels que les URSSAF (redressements de cotisations sociales).

Cette loi a créé un titre IV (articles L7341-1 et suivants) au livre III de la septième partie du code du travail, partie qui constitue une sorte de terra incognita du droit du travail.

Il a pour objet d’accorder aux travailleurs indépendants « recourant, pour l'exercice de leur activité professionnelle, à une ou plusieurs plateformes de mise en relation par voie électronique définies à l'article 242 bis du code général des impôts » un certain nombre de droits.

Ces travailleurs indépendants se sont vu reconnaitre certains droits habituellement réservés aux personnes bénéficiant d’un contrat de travail comme :

              -  l’accès à la formation,

              -  l’accès à une assurance accident du travail,

              -  la validation des acquis de l’expérience,

              - la liberté syndicale et le droit de cesser de manière concertée de fournir des prestations de services.

La loi relative à l’avenir professionnel votée le 1er août 2018 est venue compléter ce statut en ajoutant à l’article L7341-1 du code du travail plusieurs alinéas précisant que ces plateformes peuvent établir une charte déterminant les conditions et modalités d’exercice de leur responsabilité sociale, définissant leurs droits et obligations ainsi que ceux des travailleurs avec lesquels elles sont en relation.

Le texte précisait qu’une telle charte ne peut « caractériser l’existence d’un lien de subordination juridique entre la plateforme et les travailleurs », précision un peu étrange pour un texte inséré dans le code du travail.

Le conseil constitutionnel a censuré ces dispositions, issues d’un amendement introduit en première lecture, dans sa décision 2018 – 769 DC rendue le 4 septembre 2018 (lire)

Cette censure n’est pas motivée par des raisons de fond mais par le fait que la disposition en cause résulte d’un cavalier législatif, sans lien « même indirect, avec les dispositions qui figuraient dans le projet de loi ».

Ce n’est donc que partie remise.

 

Jean-Christophe Ienné, Avocat directeur du Pôle Propriété Intellectuelle, Media et audiovisuel

& Claudia Weber, Avocat fondateur

ITLAW Avocats

www.itlaw.fr