Jouets connectés – Mise en garde de la CNIL sur leur sécurisation

Jouets connectés – Mise en garde de la CNIL sur leur sécurisation

Comme tous les ans à l’approche de Noël, la CNIL rappelle quelques conseils sur les jouets connectés et en particulier leur sécurisation.

La CNIL recommande notamment de:
– vérifier que le jouet ne permet pas à n’importe qui de s’y connecter (vérifier que son appairage avec un smartphone ou sur Internet nécessite un bouton d’accès physique au jouet ou l’usage d’un mot de passe) ;
– changer le paramétrage par défaut du jouet (mot de passe, code PIN, etc.) ;
– sécuriser l’accès au compte en ligne attaché au jouet par un mot de passe fort et différent de vos autres comptes ;
– vérifier que l’objet dispose d’un voyant lorsqu’il est en écoute ou en transmission d’informations sur Internet ;
– en dire le moins possible au moment de l’inscription : par exemple, donner une date de naissance aléatoire si le système a besoin de déterminer un âge ;
– créer une adresse mail spécifique pour les jouets utilisés par l’enfant ;
– utiliser au maximum des pseudonymes au lieu du nom/prénom.

L’intégralité des conseils de la CNIL est à retrouver ci-dessous:
https://www.cnil.fr/fr/jouets-connectes-quels-conseils-pour-les-securiser

Annulation de procès-verbaux d’achat réalisés par des stagiaires du cabinet de la société requérante

Annulation de procès-verbaux d’achat réalisés par des stagiaires du cabinet de la société requérante

Dans un litige opposant la société CHRISTIAN DIOR COUTURE à ZARA (INDITEX et FASHION RETAIL) relatif à la contrefaçon d’une paire de lunettes de soleil (protégée au titre du droit d’auteur et du dessin et modèle communautaire non enregistré), la Cour d’appel de Paris a confirmé l’annulation de deux procès-verbaux d’achats réalisés par deux stagiaires au sein du Cabinet de la société requérante.

Les juges ont estimé que « l’absence d’indication dans le procès-verbal de constat d’achat tant en ligne qu’en magasin de la qualité de stagiaire du cabinet du conseil de la société Dior constitue une violation du principe de loyauté dans l’administration de la preuve qui affecte la validité de chacun des deux procès-verbaux de constat d’achat ».

Cour d’appel de Paris, Pôle 5 – chambre 2, 18 octobre 2019, n° 18/08962

Agents immobiliers : la CNIL rappelle les conditions de collecte et conservation des pièces justificatives pour l’accès au logement

Agents immobiliers : la CNIL rappelle les conditions de collecte et conservation des pièces justificatives pour l’accès au logement

La CNIL expose avoir, dans le cadre de son contrôle annuel 2018, procédé à plusieurs vérifications auprès d’agences immobilières pour vérifier les conditions de mises en œuvre des traitements relatifs à la collecte et la conservation des pièces justificatives demandées pour l’accès au logement locatif privé.

Si la nature des documents collectés par les agences immobilières est relativement conforme à la liste du Décret de 2015, la CNIL a constaté des manquements récurrents relatifs à :

  • l’information des personnes concernées quant à leurs droits d’accès et de rectification notamment. Cette information doit se faire au moment de la collecte des données personnelles et peut par exemple s’effectuer par le biais de mentions sur les formulaires d’information ;
  • la durée de conservation des données et notamment des pièces justificatives transmises lors du dépôt d’un dossier de location. Celles-ci doivent être détruites dès lors qu’elles ne sont plus utiles pour la décision d’attribution du logement ou être archivées avec un accès restreint afin de se conformer à ses obligations légales ;
  • aux mesures de sécurité physiques et logiques mises en place compte tenu notamment de la nature des données transmises qui révèlent la situation personnelle et financière des personnes.

Pour mémoire, la CNIL a prononcé le 28 mai 2019 une sanction financière de 400.000 euros à l’encontre de la société SERGIC spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière pour avoir insuffisamment protégé les données des utilisateurs de son site web et mis en œuvre des modalités de conservation des données inappropriées.

La CNIL avait notamment constaté que le site que la société édite et qui permet notamment aux candidats à la location d’un bien de télécharger les pièces justificatives nécessaires à la constitution de leur dossier était insuffisamment sécurisé.

La décision de sanction est disponible ici :
https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038552658&fastReqId=119744754&fastPos=1

Vidéosurveillance des salariés: la CNIL sanctionne une TPE pour manquement à la réglementation (20.000 €)

Vidéosurveillance des salariés: la CNIL sanctionne une TPE pour manquement à la réglementation (20.000 €)

La CNIL a prononcé, le 13 juin 2019, une sanction financière de 20.000 € à l’encontre d’une société de traduction (employant 9 salariés) qui filmait les postes de travail de ses salariés en continu.

Aucune information satisfaisante n’avait été délivrée aux salariés. Par ailleurs, les postes informatiques n’étaient pas sécurisés par un mot de passe et les traducteurs accédaient à une messagerie professionnelle partagée avec un mot de passe unique.

Dans son communiqué, la CNIL prend soin de préciser que la sanction et sa publication sont motivées par le fait que la société de traduction, malgré une mise en demeure, n’a pas pris les mesures afin de se mettre en conformité.

https://www.cnil.fr/fr/uniontrad-company-20-000-euros-damende-pour-videosurveillance-excessive-des-salaries

Adidas se voit refuser la protection à titre de marque de l’UE des (pourtant fameuses) trois bandes

Adidas se voit refuser la protection à titre de marque de l’UE des (pourtant fameuses) trois bandes

Après l’affaire BigMac, Adidas se voit refuser la protection à titre de marque des (pourtant fameuses) trois bandes.

Le Tribunal de l’Union Européenne a, dans un arrêt du 19 juin 2019, confirmé la nullité de la marque de l’Union d’Adidas qui consiste en trois bandes parallèles appliquées dans n’importe quelle direction.

Le Tribunal de l’Union Européenne a notamment jugé que les formes d’usage qui s’écartent des caractéristiques essentielles de la marque, comme son schéma de couleurs (bandes noires sur fond blanc) ne peuvent pas être prises en compte. Tel est le cas s’agissant des signes pour lesquels le schéma de couleurs était inversé (bandes blanches sur fond noir) dont Adidas s’est prévalu.

Le Tribunal a également confirmé la décision de l’EUIPO qui a estimé qu’Adidas n’avait pas prouvé que la marque en cause avait été utilisée dans l’ensemble du territoire de l’Union et qu’elle avait acquis, dans l’ensemble de ce territoire, un caractère distinctif à la suite de l’usage qui en avait été fait. Adidas n’avait fourni des éléments de preuve d’usage pertinents pour cinq Etats membres seulement.

https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-06/cp190076fr.pdf

Programme des contrôles de la CNIL : en 2019, l’accent est mis sur la conformité des différents acteurs au RGPD

Programme des contrôles de la CNIL : en 2019, l’accent est mis sur la conformité des différents acteurs au RGPD

La CNIL communique chaque année sur son programme de contrôles. La CNIL, qui s’était jusqu’à présent abstenue de sanctionner le non-respect des obligations nouvelles du RGPD (adopté en Avril 2016 et entré en application en Mai 2018), indique que la période de transition (et partant de souplesse dont elle a fait preuve) s’achèvera en 2019.

Ainsi, la CNIL axera en 2019 ses contrôles sur les thématiques issues de l’entrée en application du RGPD et, en particulier :

  • le respect des droits des personnes. La CNIL s’assurera que les nouveaux droits tels que la portabilité des données sont mis en œuvre mais également qu’une réponse claire et complète est apportée aux personnes, dans le respect des délais prévus par les textes (pour mémoire dans un délai maximum d’un mois suivant la réception de la demande). ;
  • le traitement des données des mineurs. S’agissant d’un public vulnérable, la CNIL attachera une attention particulière aux traitements de données de mineurs. Pour rappel, les traitements de données relatives à des mineurs de moins de 15 ans nécessitent d’obtenir le consentement de leur représentant légal ;
  • la répartition des responsabilités entre responsable de traitements et sous-traitants. La CNIL s’attachera à vérifier que les contrats de sous-traitance sont effectivement mis en œuvre entre responsables de traitement et sous-traitants.

De manière plus générale, la CNIL vérifiera le respect des nouvelles obligations et nouveaux droits issus du RGPD (analyse d’impact, portabilité des données, tenue d’un registre des traitements et des violations).

Précisions du Conseil d’Etat sur l’exercice du droit d’opposition

Précisions du Conseil d’Etat sur l’exercice du droit d’opposition

Le Conseil d’Etat a rendu, le 18 mars 2019, une décision intéressante sur la notion de motif légitime en matière de droit d’opposition à l’utilisation des données à caractère personnel prévu à l’article 38 de la loi n°78-17 du 6 janvier 1978 dite « Informatique et Libertés ».

Il convient de préciser que cette décision a été rendue sur le fondement de la règlementation applicable avant l’entrée en vigueur du Règlement européen pour la protection des données n°2016/679 du 27 avril 2016 dit « RGPD ».

En effet, l’article 38 de la loi Informatique et libertés prévoit que « toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

L’article 21 du RGPD prévoit quant à lui que « la personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions ».

A noter que la loi Informatique et Libertés sera modifiée par l’ordonnance n°2018-1125 du 12 décembre 2018 qui devrait entrer en vigueur au plus tard le 1er juin 2019. Le droit d’opposition visé à l’article 56 de la loi Informatique et Libertés modifiée (anciennement l’article 38) renverra directement à l’article 21 du RGPD : « Le droit d’opposition s’exerce dans les conditions prévues à l’article 21 du règlement (UE) 2016/679 du 27 avril 2016 ».

En l’espèce, Madame B. a souhaité s’opposer à l’enregistrement et à la conservation des données personnelles relatives à ses enfants, scolarisés dans une école primaire publique, dans la « base élèves premier degré » (BE1D) et la « base nationale élève » (BNIE).

Face au refus de l’inspecteur d’académie, directeur des services départementaux de l’éducation nationale, de faire droit à sa demande ainsi qu’au rejet du recours hiérarchique par la suite, Madame B. a introduit une action auprès des juridictions administratives compétentes en la matière.

Le Conseil d’Etat précise ainsi que le droit pour toute personne physique de s’opposer pour des motifs légitimes à ce que des données personnelles la concernant fassent l’objet d’un traitement « est subordonné à l’existence de raisons légitimes tenant de manière prépondérante à sa situation particulière ».

Le Conseil d’Etat confirme la décision de la Cour administrative d’appel qui a jugé que  la requérante ne justifiait pas de motifs légitimes de nature à justifier cette opposition, cette dernière se bornant à invoquer des craintes d’ordre général concernant notamment la sécurité du fonctionnement de la base, sans faire état de considérations qui lui seraient propres ou seraient propres à ses enfants.

Le Conseil d’Etat rappelle ainsi que de simples considérations générales ne suffisent pas à s’opposer au traitement de ses données personnelles et qu’il convient de justifier de motifs propres pour s’opposer à la collecte et au traitement de ses données personnelles.

Cette décision va dans le sens de la loi Informatique et Libertés telle que modifiée afin d’intégrer les dispositions du RGPD : le droit d’opposition doit être justifié pour des raisons tenant à la situation particulière de la personne concernée par le traitement des données personnelles.

Décision du Conseil d’Etat du 18 mars 2019, n°406313

L’examen approfondi de la notion de directeur de publication par les juges

L’examen approfondi de la notion de directeur de publication par les juges

Tout service de communication au public par voie électronique est tenu d’avoir un directeur de la publication (article 93-2 de la loi du 29 juillet 1982), c’est-à-dire une personne responsable du contenu éditorial.

Les services de communication au public en ligne tels que les sites internet doivent également mentionner l’identité du directeur de publication au sein des mentions légales (article 6 III de la loi du 21 juin 2004 pour la confiance dans l’économie numérique, dite « LCEN »).

De récentes décisions ont rappelé l’importance de la notion du directeur de publication :

  • Jugement du 12 novembre 2018 du TGI de Pau (Ch. Correctionnelle)
    Selon les articles 93-2 et 3 de la loi du 29 juillet 1982 sur la communication audiovisuelle, le responsable des infractions commises par « un service de communication au public par voie électronique est le directeur de la publication, défini comme la personne physique qui fournit le service ».
    Se fondant sur les articles ci-dessus mentionnés, le Tribunal de grande instance de Pau a estimé, dans le cas d’une publication sur Facebook, que le titulaire d’un compte Facebook devait être qualifié de directeur de la publication du compte qu’il avait créé et dont il avait les codes d’accès.
    Le titulaire d’un compte Facebook a ainsi été condamné à 1 000 € d’amende pour injure publique.

 

  • Arrêt de la Cour de cassation (Crim.) du 22 janvier 2019 n° 18-81779
    En l’espèce, un site internet mentionnait comme directeur de la publication une personne condamnée à la réclusion criminelle à perpétuité, et comme directeur adjoint un homme condamné à trente ans de prison.
    La Cour d’appel de Paris avait constaté que ces personnes étaient dans l’impossibilité d’assumer leurs responsabilités de directeur de publication et de directeur adjoint du fait de leur incarcération et de leur absence de connexion à internet. Ils ne pouvaient notamment pas faire droit aux demandes d’exercice du droit de réponse qui leur étaient adressées conformément à l’obligation qui ressort de l’article 6 IV de la LCEN : le directeur de la publication est « tenu d’insérer dans les trois jours de leur réception les réponses de toute personne nommée ou désignée dans le service de communication au public en ligne sous peine d’une amende de 3 750 Euros, sans préjudice des autres peines et dommages-intérêts auxquels l’article pourrait donner lieu ».
    De plus, une enquête avait permis de déterminer que l’éditeur du service de communication au public en ligne était effectivement le président de l’association.
    L’obligation de l’article 6 III de la LCEN n’a donc pas été respectée et la mention du directeur de publication était fausse.
    Le président de l’association a été condamné à une peine de trois mois de prison avec sursis et de 5.000 € d’amende, la Cour de cassation a en effet rejeté le pourvoi contre l’arrêt de la cour d’appel de Paris du 18 janvier 2018 qui a confirmé le jugement du 14 mars 2017 du TGI de Paris prononçant la condamnation.
    Il s’agit d’une condamnation particulièrement sévère au regard des obligations de la LCEN et l’identification du directeur de publication. Cependant, la Cour d’appel rappelle que le président de l’association avait déjà été condamné à plusieurs reprises à des peines d’amende.
Brexit et transfert de données personnelles vers la Grande-Bretagne

Brexit et transfert de données personnelles vers la Grande-Bretagne

Le Contrôleur Européen de la Protection des Données (CEPD) a adopté le 12/02/19 une note d’information sur le transfert de données vers la Grande Bretagne en cas d’absence d’accord sur le Brexit (« no deal Brexit »).

Le CPED confirme qu’au 30 mars 2019, sauf disposition d’adéquation adoptée par la Commission Européenne d’ici cette date, les transferts de données devront être encadrés par:

  • des clauses contractuelles standard,
  • des règles d’entreprise contraignantes (« BCR »),
  • un code de conduite,
  • d’éventuelles dérogations interprétées strictement.

Il convient donc de :

  • recenser les traitements de données concernés par un transfert vers la Grande Bretagne,
  • amender les contrats conclus avec des sociétés domiciliées en Grande-Bretagne afin de sécuriser les transferts de données personnelles vers ce pays qui deviendra un pays « tiers »,
  • mettre à jour la documentation interne (registre de traitements),
  • mettre à jour les mentions d’information à destination des personnes concernées par les traitements.
Parasitisme : Attention au copier/coller des mentions légales de concurrents

Parasitisme : Attention au copier/coller des mentions légales de concurrents

Dans un arrêt du 11 septembre 2018, la Cour d’appel de Rennes a jugé que la reproduction « mot à mot » de mentions légales par une société concurrente de la société ayant rédigé lesdites mentions légales était constitutive d’une faute.

Les juges de la Cour d’appel estiment que « les mentions légales peuvent se rédiger de plusieurs façons » et que les « mentions légales, de quelque nature qu’elles soient, sont en générales complexes à comprendre pour les non juristes et nécessitent pour être comprises de tous, un léger travail de simplification linguistique et de mise en exergue des éléments les plus significatifs, en fonction du type d’activité présenté par le site ».

Dès lors, « les recopier mot à mot a conduit la société fautive, qui exerce une activité concurrente de la société demanderesse, soit la création et l’hébergement de sites internet de campings et hôtels de plein air, de bénéficier sans bourse délier du travail réalisé par cette dernière ».

La société fautive a ainsi été condamnée à payer la somme de 2 500 euros à titre de dommages-intérêts.

De plus, la société a poussé le mauvais copier/coller jusqu’à recopier le numéro RCS de la société concurrente dans les mentions légales des sites internet qu’elle a réalisés pour ses clients. Or selon la Cour d’appel, « cette reproduction était interdite, d’une part car la société hébergeuse fautive ne pouvait plus elle-même être identifiée », et d’autre part « en raison du risque de confusion avec la société demanderesse en cas d’infraction ».

La société « copieuse » a ainsi été condamnée à payer la somme de 5 000 euros à titre de dommages-intérêts en raison de ce comportement fautif, « porteur en germe de nombreux ennuis pour son concurrent en cas de litige avec un client de l’un des campings ».

Cette solution s’inscrit dans la continuité de la jurisprudence en matière de parasitisme et/ou de concurrence déloyale, et notamment en cas de reproduction des Conditions Générales de Vente (CGV). La Cour d’appel de Paris a en effet déjà admis que la reprise de CGV, quasi-identiques, d’une société concurrente était constitutive d’une faute et avait condamné la société « copieuse » au versement de la somme de 10.000 euros sur le fondement du parasitisme économique (CA Paris, 24 septembre 2008, n°07/3336, Vente-privée /Kalypso).

Cette décision rappelle l’importance de rédiger des mentions légales et des conditions générales adaptées à son activité.

CA Rennes, 11 septembre 2018, n°15/09630

Par Yvan Jamois et Maëliss Vincent-Moreau[:en]Dans un arrêt du 11 septembre 2018, la Cour d’appel de Rennes a jugé que la reproduction « mot à mot » de mentions légales par une société concurrente de la société ayant rédigé lesdites mentions légales était constitutive d’une faute.

Les juges de la Cour d’appel estiment que « les mentions légales peuvent se rédiger de plusieurs façons » et que les « mentions légales, de quelque nature qu’elles soient, sont en générales complexes à comprendre pour les non juristes et nécessitent pour être comprises de tous, un léger travail de simplification linguistique et de mise en exergue des éléments les plus significatifs, en fonction du type d’activité présenté par le site ».

Dès lors, « les recopier mot à mot a conduit la société fautive, qui exerce une activité concurrente de la société demanderesse, soit la création et l’hébergement de sites internet de campings et hôtels de plein air, de bénéficier sans bourse délier du travail réalisé par cette dernière ».

La société fautive a ainsi été condamnée à payer la somme de 2 500 euros à titre de dommages-intérêts.

De plus, la société a poussé le mauvais copier/coller jusqu’à recopier le numéro RCS de la société concurrente dans les mentions légales des sites internet qu’elle a réalisés pour ses clients. Or selon la Cour d’appel, « cette reproduction était interdite, d’une part car la société hébergeuse fautive ne pouvait plus elle-même être identifiée », et d’autre part « en raison du risque de confusion avec la société demanderesse en cas d’infraction ».

La société « copieuse » a ainsi été condamnée à payer la somme de 5 000 euros à titre de dommages-intérêts en raison de ce comportement fautif, « porteur en germe de nombreux ennuis pour son concurrent en cas de litige avec un client de l’un des campings ».

Cette solution s’inscrit dans la continuité de la jurisprudence en matière de parasitisme et/ou de concurrence déloyale, et notamment en cas de reproduction des Conditions Générales de Vente (CGV). La Cour d’appel de Paris a en effet déjà admis que la reprise de CGV, quasi-identiques, d’une société concurrente était constitutive d’une faute et avait condamné la société « copieuse » au versement de la somme de 10.000 euros sur le fondement du parasitisme économique (CA Paris, 24 septembre 2008, n°07/3336, Vente-privée /Kalypso).

Cette décision rappelle l’importance de rédiger des mentions légales et des conditions générales adaptées à son activité.

CA Rennes, 11 septembre 2018, n°15/09630

Par Yvan Jamois et Maëliss Vincent-Moreau