Règlement européen des données : le G29 publie des lignes directrices sur la fonction de délégué à la protection des données

Règlement européen des données : le G29 publie des lignes directrices sur la fonction de délégué à la protection des données

Le Règlement européen des données n°2016/679 du 27 avril 2016 généralise la fonction de délégué à la protection des données (« DPO » en anglais) à compter de Mai 2018. Le G 29, qui rassemble les autorités de protection des données de l’Union Européenne, a publié des lignes directrices et une FAQ le 13 décembre dernier sur la fonction de délégué à la protection des données.

Ces lignes directrices, uniquement disponibles en anglais à ce jour, ont pour objectif d’accompagner les responsables de traitement et les sous-traitants dans la mise en place de la fonction de délégué ainsi que d’assister ces délégués dans l’exercice de leurs missions.

Ce document apporte des précisions sur le texte du Règlement européen des données et notamment les cas dans lesquels la nomination d’un délégué à la protection des données est obligatoire.

Les lignes directrices précisent également le niveau d’expertise, les qualités professionnelles et les capacités du DPO. La CNIL a confirmé que les personnes désignées en tant que correspondant Informatique et Libertés (CIL) ont vocation à devenir délégués à la protection des données en 2018 sans que cela soit toutefois automatique.

Enfin, les lignes directrices contiennent des recommandations et des bonnes pratiques permettant aux professionnels de se préparer et de mettre en œuvre leurs obligations (quel rôle, quels moyens d’action…).

Il est nécessaire d’anticiper dès aujourd’hui la mise en place de la fonction de délégué au sein de votre entreprise afin d’être prêt en mai 2018.

Les lignes directrices du G 29 sont disponibles ici : http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf

La FAQ explicitant les lignes directrices sont accessibles ici : http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_annex_en_40856.pdf

 

Jouets connectés – l’association européenne de défense des consommateurs (BEUC) attire l’attention des consommateurs sur les risques de sécurité

Jouets connectés – l’association européenne de défense des consommateurs (BEUC) attire l’attention des consommateurs sur les risques de sécurité

Une poupée connectée figure sur la liste au Père Noël de vos enfants?

Soyez vigilants sur les risques de sécurité : l’association européenne de défense des consommateurs (BEUC) attire l’attention des consommateurs sur :
– les risques d’espionnage par le biais des connexions Bluetooth de la poupée : il est facilement possible de prendre le contrôle de la poupée via un téléphone à proximité et d’ainsi écouter et parler au travers de la poupée) ;
– l’utilisation des données personnelles qui est faite par les vendeurs de ces poupées : outre l’utilisation potentiellement commerciale des données, celles-ci sont transférées à la société américaine Nuance communications spécialisée dans la reconnaissance vocale qui se réserve le droit de partager les données avec des tiers ;
– le marketing ciblé de ces produits pré-programmés avec des messages publicitaires cachés.

Le communiqué de presse du BEUC est disponible ici (en anglais) : http://www.beuc.eu/publications/consumer-organisations-across-eu-take-action-against-flawed-internet-connected-toys/html

Droit des brevets – Une étude de l’INPI fait le point sur la rémunération des inventeurs salariés

Droit des brevets – Une étude de l’INPI fait le point sur la rémunération des inventeurs salariés

Une étude récente de l’Observatoire de la propriété industrielle fait le point sur les pratiques en matière de rémunération des inventeurs salariés en France.

Pour mémoire, en France, le versement d’une rétribution supplémentaire aux salariés inventeurs est obligatoire depuis la loi du 26 novembre 1990 et régie par l’article L 611-7 du Code de la propriété intellectuelle.

Pour que ce régime s’applique, deux conditions cumulatives doivent être remplies:

  • L’inventeur doit avoir le statut de salarié de sorte que les stagiaires et prestataires, notamment, en sont exclus;
  • L’invention doit être brevetable au sens de l’article L. 611-10 du Code de la propriété intellectuelle: l’invention doit être nouvelle, impliquer une activité inventive et être susceptible d’application industrielle.

Le Code de la propriété intellectuelle distingue trois catégories d’inventions de salariés:

  • L’invention de mission;
  • L’invention hors mission attribuable;
  • L’invention hors mission non attribuable.

Les inventions hors mission non attribuables appartenant au salarié qui est libre de les exploiter comme il le souhaite, seules les inventions de mission et inventions hors mission attribuable font l’objet d’une rémunération supplémentaire: il s’agit d’une rétribution supplémentaire pour les inventions de mission et du versement d’un juste prix pour les inventions hors mission attribuable.

L’étude révèle que:

  • parmi les entreprises qui disposent d’un système de rémunération des inventions de salariés, 60% ont mis en place un système de primes forfaitaires et près de 40% ont conçu un système qui comprend à la fois le versement de primes forfaitaires et d’une rétribution liée à l’exploitation de l’invention.
  • Les primes forfaitaires sont versées en plusieurs fois, à des moments clés de la vie de l’invention.
  • Un inventeur salarié reçoit en moyenne un montant forfaitaire de 2 200€ pour une invention, mais ce montant peut atteindre 11 000€ selon les critères et le mode de calcul retenus.

L’intégralité de l’étude est disponible ici: https://www.inpi.fr/fr/la-remuneration-des-inventions-de-salaries

 

Marques – Droit de Mc Donald’s consacré pour l’utilisation du préfixe « Mc » ou « Mac » pour des produits alimentaires ou des boissons

Marques – Droit de Mc Donald’s consacré pour l’utilisation du préfixe « Mc » ou « Mac » pour des produits alimentaires ou des boissons

Selon le Tribunal de l’Union Européenne, la renommée des marques de Mc Donald’s permet de faire échec à l’enregistrement, pour les produits alimentaires ou les boissons, de marques combinant le préfixe « Mac » ou « Mc » avec le nom d’un produit alimentaire ou d’une boisson.

Le Tribunal estime que l’usage sans juste motif de « MACCOFFEE » (marque de l’Union enregistrée pour des produits alimentaires et des boissons par une société de Singapour) tire indûment profit de la renommée des marques de McDonald’s : « En raison notamment de la combinaison de l’élément « mac » avec le nom d’une boisson dans la marque MACCOFFEE, le public pertinent peut associer cette dernière à la famille de marques « Mc » de McDonald’s et établir mentalement un lien entre les marques en conflit. »

 Le Tribunal confirme la décision de nullité de la marque « MACCOFFEE ».

(Tribunal de l’UE 5 juillet 2016, Affaire T-518/13 Future Enterprises/EUIPO).

Les ayants droit d’une personne décédée peuvent-ils accéder aux données personnelles du défunt?

Les ayants droit d’une personne décédée peuvent-ils accéder aux données personnelles du défunt?

Le Conseil d’Etat a récemment jugé que les héritiers ne bénéficient pas des droits d’accès aux données personnelles de la personne décédée.

Dans cette affaire, les héritiers d’une salariée de la Banque de France avaient demandé à son employeur la liste des appels téléphoniques passés par la défunte depuis son poste professionnel le mois précédant son décès, dans le but de déterminer le nombre et la durée des échanges qu’elle avait eus avec le corps médical avant son décès. La Banque de France ayant refusé, les ayants droit avaient saisi la CNIL qui n’a pas donné suite à leur requête.

Le Conseil d’Etat a rejeté le recours en excès de pouvoir au motif que, si l’article 39 de la loi du 6 janvier 1978 accorde aux personnes concernées justifiant de leur identité le droit d’accéder à leurs données personnelles, les ayants droit ne peuvent être considérés comme telles.

Le Conseil d’Etat fait donc une interprétation stricte de la notion de « personne concernée », définie à l’article 2 de la loi comme « celle à laquelle se rapportent les données qui font l’objet du traitement ».

Conseil d’État, 10ème – 9ème ch. réunies, décision du 8 juin 2016

Fuite de données personnelles: il est indifférent que les personnes impactées n’aient pas subi de préjudice

Fuite de données personnelles: il est indifférent que les personnes impactées n’aient pas subi de préjudice

Dans une délibération du 26 avril 2016, la CNIL a sanctionné la société RICARD pour défaut de sécurité de ses données clients (avertissement public).

Pour mémoire, la CNIL dispose depuis mars 2014 d’un pouvoir de constatation en ligne prévu à l’article 44 de la loi Informatique et Libertés. C’est à l’occasion d’un contrôle en ligne du site internet de la société RICARD que la CNIL a constaté que plusieurs milliers de données contenus dans les répertoires du site web, dont les nom, prénom, date de naissance, adresses postale et électronique, numéros de téléphone et des informations relatives aux cartes bancaires des clients étaient accessibles. Trois mois plus tard, malgré la notification que lui avait fait parvenir la CNIL, les agents assermentés ont constaté que la faille n’avait pas été corrigée sur le site.

La formation restreinte de la CNIL a estimé que la société n’avait pas pris toute mesure utile de nature à garantir la sécurité et la confidentialité des données collectées ce que la société contestait affirmant avoir eu recours à des professionnels reconnus dans le secteur de l’hébergement de son site web et de la gestion de son contenu. La CNIL rappelle à nouveau, au visa de l’article 35 de la loi Informatique et Libertés, que « l’existence d’une relation de sous-traitance n’est pas de nature à exonérer le responsable de traitement de ses obligations au regard des données collectées et traitées pour son compte ».

La société a également tenté de s’exonérer de sa responsabilité en arguant qu’aucune des personnes impactées par les fuites de données n’avait subi de préjudice, argument que la CNIL a rejeté, le manquement étant caractérisé.

https://www.cnil.fr/fr/la-societe-ricard-sanctionnee-pour-defaut-de-securite-des-donnees-de-ses-clients

https://www.cnil.fr/sites/default/files/atoms/files/deliberation-formation-restreinte-avertissment-public-ricard_ananonymisee.pdf

Les objets connectés dans le viseur de la CNIL pour les prochains « Sweep Days » (Mai 2016)

Les objets connectés dans le viseur de la CNIL pour les prochains « Sweep Days » (Mai 2016)

Le 12 avril 2016, la CNIL a annoncé que, dans le cadre des « Sweep Days » du mois de Mai 2016, ses contrôles porteraient sur la conformité des objets connectés à la réglementation de protection des données à caractère personnel.

Ainsi, la CNIL, tout comme ses homologues internationaux, effectuera des tests d’objets connectés en matière de santé, bien-être (« quantified-self ») et habitat (caméras connectées notamment) afin d’évaluer la qualité de l’information délivrée, le niveau de sécurité des flux de données et le degré de contrôle de l’utilisateur sur l’exploitation de ses données.

Dans le cas où ces tests révèleraient des non-conformités, la CNIL pourra procéder à des audits plus formels, lesquels sont susceptibles de déboucher sur des mises en demeure et des sanctions.

Les résultats de cette opération sont attendus à l’automne 2016.

https://www.cnil.fr/fr/operation-internet-sweep-day-une-premiere-mondiale-visant-apprecier-le-niveau-dinformation-des-0

 

Contrefaçon de droits d’auteur et dessin et modèle communautaire: condamnation de Mango au préjudice d’Isabel Marant

Contrefaçon de droits d’auteur et dessin et modèle communautaire: condamnation de Mango au préjudice d’Isabel Marant

Le Tribunal de grande instance de Paris a condamné, dans un jugement du 25 mars 2016, la société MANGO :

– au paiement de 20.000 € à titre de dommages et intérêts pour contrefaçon de dessin et modèle communautaire et contrefaçon de droits d’auteur au préjudice de la créatrice Isabel Marant et de la société de production qui commercialise ses produits. La société Mango a vendu dans ses magasins et sur son site internet 294 paires de bottines pour un chiffre d’affaires de 37.800 €. Les juges ont retenu le caractère original des bottines qui conjuguent les codes d’une « chaussure élégante de soirée » avec des brides « s’attachant par des scratchs d’aspect plus inspiré par l’univers du sportswear ou des chaussures professionnels, l’ensemble conférant aux bottines en cause une physionomie propre qu’on ne retrouve dans aucune des antériorités produites » ;

– au paiement de 10.000 € en réparation de son préjudice moral (atteinte au droit d’auteur de la créatrice). Les juges relèvent que les modifications apportées au modèle initial entraînent une « dénaturation par affadissement de la création »;

– au paiement de 8.000 € au titre de l’article 700 du Code de procédure civile.

http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=4962

Rapport d’activité 2015 de la CNIL : une augmentation de 20% des contrôles et de 50% des mises en demeure

Rapport d’activité 2015 de la CNIL : une augmentation de 20% des contrôles et de 50% des mises en demeure

La CNIL a rendu public le 8 avril 2016 son rapport d’activité pour l’année 2015.

Il en ressort que la CNIL, dans le cadre de ses missions de contrôle et de sanction, a réalisé 510 contrôles en 2015, en augmentation de 20% par rapport à l’année précédente. 70% de ces missions concernaient le secteur privé.

Sur les 510 contrôles réalisés, 155 l’ont été en ligne. Pour mémoire, c’est la loi relative à la consommation, dite « loi Hamon » du 17 mars 2014 qui a donné à la CNIL la possibilité d’effectuer des contrôles en ligne, lui permettant de constater à distance, depuis un ordinateur connecté à internet, des manquements à la loi Informatique et Libertés. Ces constatations sont relevées dans un procès-verbal adressé aux organismes concernés et leur sont opposables. La CNIL peut ainsi facilement et rapidement vérifier la conformité des mentions d’information figurant sur les formulaires en ligne, ou des modalités de recueil de consentement des internautes en matière de prospection électronique.

L’année 2015 est également marquée par une hausse du nombre de mises en demeure (93 soit une augmentation de 50 % par rapport à 2014). Il est intéressant de noter que la grande majorité des mises en demeure fait suite à des missions de contrôle (92 % des décisions) dont certaines consécutives à des plaintes reçues.

Le rapport de la CNIL liste les sanctions prononcées en 2015 et notamment les sanctions pécuniaires prononcées à l’encontre de la société OPTICAL CENTER le 5 novembre 2015 (évoquée ici : http://mvm-avocat.fr/cnil-defaut-de-securite-et-confidentialite-des-donnees-sanction-pecuniaire-de-50-000-e-et-publicite-de-la-decision-optical-center/ ), l’avertissement public prononcé à l’encontre de la société PROFIL SENIORS le 21 décembre 2015 (détaillée ici : http://mvm-avocat.fr/externalisation-de-traitements-de-donnees-a-letranger-pas-de-transfert-de-donnees-hors-ue-sans-lautorisation-prealable-de-la-cnil/ ) ainsi que la décision du Conseil d’Etat du 30 décembre 2015 (société ORANGE évoquée ici : http://mvm-avocat.fr/obligations-responsable-de-traitement-matiere-de-traitance-de-donnees-a-caractere-personnel/ ).

Pour prendre connaissance dans le détail du rapport de la CNIL : https://www.cnil.fr/sites/default/files/atoms/files/cnil-36e_rapport_annuel_2015.pdf

CGV et défaut de conformité : à partir du 18 mars 2016, le délai est désormais de deux ans (au lieu de six mois) au bénéfice du consommateur.

CGV et défaut de conformité : à partir du 18 mars 2016, le délai est désormais de deux ans (au lieu de six mois) au bénéfice du consommateur.

La loi relative à la consommation dite « Loi Hamon » du 17 mars 2014 a renforcé les droits des consommateurs et notamment augmenté le délai de présomption du défaut de conformité de six mois à deux ans à compter de la délivrance du bien et ce, à partir du 18 mars 2016. Autrement dit, le consommateur n’a pas à apporter la preuve du dysfonctionnement du produit acheté et ce, pendant deux ans.

Pour mémoire, l’arrêté du 18 décembre 2014 relatif aux informations contenues dans les conditions générales de vente en matière de garantie légale a renforcé l’obligation d’information du vendeur à l’égard du consommateur. Ainsi, les conditions générales de vente doivent mentionner dans un encadré :

– les nom et adresse du vendeur garant de la conformité des biens au contrat ;

– la garantie relative au défaut de conformité et aux défauts cachés dont bénéficie le consommateur ;

– le délai de deux ans à compter de la délivrance du bien pour agir ;

– le choix dont bénéficie le consommateur entre la réparation ou le remplacement du bien ;

– le fait que le consommateur est dispensé de rapporter la preuve de l’existence du défaut de conformité du bien durant les six mois suivant la délivrance du bien. Ce délai est porté à vingt-quatre mois à compter du 18 mars 2016.

N’oubliez pas de mettre à jour vos CGV !