Stop Covid: la CNIL rend son avis sur le projet d’application de tracing

Stop Covid: la CNIL rend son avis sur le projet d’application de tracing

Afin de lutter contre la pandémie de COVID-19 et encadrer au mieux le déconfinement, le Gouvernement français prévoit de déployer, sur la base du volontariat, l’application mobile « StopCovid ».

Cette application de « contact tracing » a pour objectif d’alerter les personnes l’ayant téléchargée du fait qu’elles ont été à proximité de personnes diagnostiquées positives au COVID-19 et disposant de la même application. L’application repose sur l’utilisation de la technologie « Bluetooth », sans recourir à une géolocalisation des individus.

Saisis par le Secrétaire d’Etat chargé du numérique, le 20 avril 2020, d’une demande d’avis relative aux conditions et modalités de l’éventuelle mise en œuvre de l’application « StopCovid », les membres du collège de la CNIL se sont prononcés le 24 avril 2020 sur la mise en place de cette application.

Tout en reconnaissant la situation sanitaire exceptionnelle à laquelle la France est confrontée, la CNIL rappelle qu’une application de portée nationale ne doit pas porter atteinte aux principes constitutionnels que sont la protection de la vie privée et la liberté de mouvement et « ne doit être justifiée que par la nécessité de répondre à un autre principe constitutionnel, à savoir la protection de la santé ».

La CNIL alerte sur le fait que « le recours à des formes inédites de traitement de données peut en outre créer dans la population un phénomène d’accoutumance propre à dégrader le niveau de protection de la vie privée et doit donc être réservé à certaines situations exceptionnelles ».

La CNIL confirme que l’application traitera des données personnelles. En effet, bien que les données soient pseudonymisées, elles sont rattachées à un numéro de téléphone portable. La mise en œuvre de l’application doit donc se faire conformément à la loi Informatique et Libertés de 1978 et au RGPD.

La CNIL estime le dispositif conforme au Règlement général sur la protection des données (RGPD) sous réserve que certaines conditions soient respectées.

  • Un usage volontaire de l’application

Si l’usage de l’application est volontaire (installation, utilisation, désinstallation de l’application), la CNIL précise que cela implique qu’il n’y ait aucune conséquence négative en cas de non-utilisation, en particulier pour l’accès aux tests et aux soins, mais également pour l’accès à certains services à la levée du confinement, tels que les transports en commun. Les utilisateurs de l’application ne devraient pas être non plus contraints de sortir en possession de leurs équipements mobiles et les institutions publiques ou les employeurs ou toute autre personne ne devraient pas subordonner certains droits ou accès à l’utilisation de cette application.

 

  • La base légale du traitement

l’existence d’une mission d’intérêt public de lutte contre l’épidémie de COVID-19.
La CNIL recommande que le recours à un dispositif volontaire de suivi de contact pour gérer la crise sanitaire actuelle dispose d’un fondement juridique explicite et précis dans le droit national : une loi ou une ordonnance devrait être prise à cet égard pour encadrer la mise en œuvre de l’application.

 

  • Une application conforme au principe de « privacy by design »

La CNIL reconnaît que l’application respecte le concept de protection des données dès la conception, car l’application utilise des pseudonymes et ne permettra pas de remontée de listes de personnes contaminées.

 

  • Les recommandations de la CNIL

La CNIL estime que l’application peut être déployée, conformément au RGPD, si son utilité pour la gestion de la crise est suffisamment avérée et si certaines garanties sont apportées.

En particulier, son utilisation doit être temporaire et les données doivent être conservées pendant une durée limitée. La CNIL recommande donc que l’impact du dispositif sur la situation sanitaire soit étudié et documenté de manière régulière, pour aider les pouvoirs publics à décider ou non de son maintien.

Dans son avis, la CNIL souligne que l’efficacité de l’application dépendra, notamment, de sa disponibilité dans les magasins d’application (appstore, playstore…), d’une large adoption par le public (une information claire devra être apportée aux utilisateurs) et d’un paramétrage adéquat.

Dans le cas où le recours à ce dispositif serait adopté à l’issue du débat au Parlement, la CNIL émet des recommandations portant sur l’architecture et la sécurisation de l’application. Elle souligne que l’ensemble de ces précautions et garanties est de nature à favoriser la confiance du public dans ce dispositif, qui constitue un facteur déterminant de sa réussite et de son utilité.

La CNIL recommande également qu’une analyse d’impact soit menée avant toute mise en œuvre.

Enfin, la Commission demande à pouvoir se prononcer à nouveau après la tenue du débat au Parlement, afin d’examiner les modalités définitives de mise en œuvre du dispositif, s’il était décidé d’y recourir.

Pour prendre connaissance de la Délibération de la CNIL n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid » dans son intégralité : https://www.cnil.fr/sites/default/files/atoms/files/deliberation_du_24_avril_2020_portant_avis_sur_un_projet_dapplication_mobile_stopcovid.pdf

Droit des marques : nouveau cadre.

Droit des marques : nouveau cadre.

L’ordonnance n°2019-1169 du 13 novembre 2019 relative aux marques de produits ou de services (ci-après, l’Ordonnance) est venue parfaire la transposition en droit français de la directive (UE) 2015/2436 du 16 décembre 2015. L’Ordonnance est entrée en vigueur le 11 décembre dernier concomitamment au décret d’application n°2019-1316 du 9 décembre 2019 relatif aux marques de produits ou de services. Ce dernier précise les modalités d’application de certaines dispositions de l’Ordonnance.

Ces textes modifient en profondeur le droit des marques et le Code de la propriété intellectuelle, notamment sur les points suivants :

Procédure d’opposition

L’ordonnance modifie la procédure d’opposition devant l’Institut national de la propriété intellectuelle (INPI).

De nouveaux droits antérieurs sont invocables dans le cadre d’une procédure d’opposition.

Le nouvel article L.712-4 du Code de la propriété intellectuelle établit une liste de droits antérieurs permettant à un titulaire de fonder une opposition à enregistrement d’une demande de marque. La procédure d’opposition n’est plus seulement permise aux titulaires de marques antérieures.
Les titulaires de dénominations sociales, noms commerciaux, enseignes et noms de domaine antérieurs peuvent désormais faire opposition à l’enregistrement d’une marque.

Dans le cadre d’un dépôt de marque, nous recommandons d’effectuer une recherche d’antériorités approfondie afin de connaître l’ensemble des antériorités, c’est-à-dire non seulement les marques antérieures mais également les dénominations sociales, noms commerciaux et noms de domaines antérieurs et ainsi limiter les risques d’opposition à l’enregistrement.
Nous recommandons par ailleurs aux titulaires de marques de mettre en place une veille des demandes de dépôts de marques similaires ou identiques à leurs signes.

L’Ordonnance modifie la procédure d’opposition devant l’INPI.

Le délai d’opposition reste de deux mois à compter de la publication de la demande de marque faisant l’objet de l’opposition au BOPI (Bulletin Officiel de la Propriété Industrielle). Toutefois, il est instauré un délai supplémentaire d’un mois suivant l’expiration de ce délai de deux mois pour communiquer à l’INPI l’argumentation à l’appui de l’opposition (exposé des moyens et pièces) (article R.712-14 du Code de la propriété intellectuelle).
En pratique, cela laisse plus de temps au déposant pour préparer le mémoire à l’appui de sa demande d’opposition.
Enfin, l’Ordonnance introduit l’obligation pour l’opposant de prouver un usage de la marque pour tous les produits et services servant de base à l’opposition s’il s’agit d’une marque antérieure enregistrée depuis plus de cinq ans, ou de justifier l’existence de justes motifs pour le non-usage (article L. 712-5-1 du Code de la propriété intellectuelle). Si l’opposant ne peut justifier d’un usage sérieux de ladite marque ou de justes motifs de non-usage, l’opposition fondée sur une marque antérieure enregistrée depuis plus de cinq ans sera rejetée.

Une fois la marque enregistrée, nous vous recommandons de documenter l’usage de la marque pour les différents produits et services pour lesquels la marque est enregistrée afin d’obtenir des éléments de preuve de cet usage, ou le cas échéant du non-usage, dans l’hypothèse de contentieux ultérieurs devant l’INPI ou les tribunaux judiciaires (anciennement Tribunal de grande instance).

Nouvelles actions devant l’INPI

De nouvelles actions peuvent être effectuées devant l’INPI : les procédures en nullité ou en déchéance de la marque seront de la compétence exclusive de l’INPI lorsqu’elles sont engagées à titre principal (article L.716-5 du Code de la propriété intellectuelle).
L’Ordonnance simplifie ces procédures afin d’éviter d’engager une action devant les tribunaux judiciaires compétents.
Par exception, les dispositions relatives aux nouvelles procédures administratives en déchéance et en nullité de marque sont entrées en vigueur le 1er avril 2020.
Depuis le 1er avril 2020, l’INPI est exclusivement compétent pour connaître des demandes :

  • fondées à titre principal sur un motif absolu de refus (art. L. 711-2),
  • formées sur un motif relatif lié aux signes distinctifs et territoriaux (art. L. 711-3, 1° à 5°, 9° et 10°),
  • fondées sur tous les motifs de déchéance.

Les tribunaux judiciaires conservent leur compétence exclusive pour les demandes :

  • en nullité, lorsqu’elles sont fondées sur une atteinte à un droit d’auteur, un droit sur les dessins et modèles ou un droit de la personnalité (art. L. 711-3, 6° à 8°),
  • en nullité et déchéance, lorsqu’elles sont connexes à toute autre demande relevant de leur compétence,
  • en nullité et déchéance, quand des mesures probatoires ou provisoires ou conservatoires ont été ordonnées pour faire cesser une atteinte à un droit de marques et que ces mesures sont en cours d’exécution avant une action au fond (art. L. 716-5).

Ces nouvelles actions devant l’INPI viennent compléter la procédure d’opposition et sont désormais à envisager lors de la défense d’un signe antérieur face à l’enregistrement et l’utilisation d’une marque identique ou similaire postérieure

Allègement des procédures de dépôt de marques au regard de leur représentation graphique

L’Ordonnance procède à un allègement de l’exigence de représentation graphique (article L.711-1 du Code de la propriété intellectuelle). Il suffit désormais que le signe puisse être « représenté dans le registre national des marques de manière à permettre à toute personne de déterminer précisément et clairement l’objet de la protection conférée à son titulaire ».

Cette rédaction ouvre ainsi la possibilité de déposer différents types de signes par de nouveaux moyens techniques tels que des sons ou des vidéos.

Dans le cadre du dépôt d’un nouveau type de signe, nous recommandons de déterminer avec un conseil compétent en droit des marques les modalités de représentation autorisées par l’INPI afin que ledit signe soit accepté à l’enregistrement.

Contrefaçon

Les dispositions relatives à l’action en contrefaçon relèvent désormais des articles L. 716-4 et suivants. Le Code de la propriété intellectuelle modifié élargit la liste des personnes autorisées à agir en contrefaçon. L’action peut être intentée, sans l’autorisation du titulaire de la marque, par les licenciés non exclusifs et les personnes habilitées à faire usage d’une marque collective ou de garantie. Le contrat ou le règlement d’usage peut cependant prévoir le contraire (art. L. 716-4-2). Les fins de non-recevoir sont précisées (art. L. 716-4-3 à L. 716-4-5).

Le Cabinet MVM AVOCATS vous assiste dans le dépôt et l’enregistrement de vos signes à titre de marque, notamment dans le cadre de recherches d’antériorités et de défense de droit de marques (action en opposition, action en nullité ou déchéance de marque, saisie-contrefaçon, contrefaçon de marque, concurrence déloyale).

Motifs de refus à enregistrement

L’Ordonnance procède à un élargissement des motifs de refus à l’enregistrement d’une marque (article L.711-2 du Code de la propriété intellectuelle). Ainsi, les indications géographiques, les appellations d’origine ou les marques consistant en la dénomination d’une variété végétale antérieure ne peuvent être valablement enregistrées.

Nous recommandons d’effectuer une recherche permettant d’identifier les signes antérieurs mentionnés ci-dessus pouvant empêcher l’enregistrement d’une marque, et ce avant tout dépôt de marque

Jouets connectés – Mise en garde de la CNIL sur leur sécurisation

Jouets connectés – Mise en garde de la CNIL sur leur sécurisation

Comme tous les ans à l’approche de Noël, la CNIL rappelle quelques conseils sur les jouets connectés et en particulier leur sécurisation.

La CNIL recommande notamment de:
– vérifier que le jouet ne permet pas à n’importe qui de s’y connecter (vérifier que son appairage avec un smartphone ou sur Internet nécessite un bouton d’accès physique au jouet ou l’usage d’un mot de passe) ;
– changer le paramétrage par défaut du jouet (mot de passe, code PIN, etc.) ;
– sécuriser l’accès au compte en ligne attaché au jouet par un mot de passe fort et différent de vos autres comptes ;
– vérifier que l’objet dispose d’un voyant lorsqu’il est en écoute ou en transmission d’informations sur Internet ;
– en dire le moins possible au moment de l’inscription : par exemple, donner une date de naissance aléatoire si le système a besoin de déterminer un âge ;
– créer une adresse mail spécifique pour les jouets utilisés par l’enfant ;
– utiliser au maximum des pseudonymes au lieu du nom/prénom.

L’intégralité des conseils de la CNIL est à retrouver ci-dessous:
https://www.cnil.fr/fr/jouets-connectes-quels-conseils-pour-les-securiser

Annulation de procès-verbaux d’achat réalisés par des stagiaires du cabinet de la société requérante

Annulation de procès-verbaux d’achat réalisés par des stagiaires du cabinet de la société requérante

Dans un litige opposant la société CHRISTIAN DIOR COUTURE à ZARA (INDITEX et FASHION RETAIL) relatif à la contrefaçon d’une paire de lunettes de soleil (protégée au titre du droit d’auteur et du dessin et modèle communautaire non enregistré), la Cour d’appel de Paris a confirmé l’annulation de deux procès-verbaux d’achats réalisés par deux stagiaires au sein du Cabinet de la société requérante.

Les juges ont estimé que « l’absence d’indication dans le procès-verbal de constat d’achat tant en ligne qu’en magasin de la qualité de stagiaire du cabinet du conseil de la société Dior constitue une violation du principe de loyauté dans l’administration de la preuve qui affecte la validité de chacun des deux procès-verbaux de constat d’achat ».

Cour d’appel de Paris, Pôle 5 – chambre 2, 18 octobre 2019, n° 18/08962

Agents immobiliers : la CNIL rappelle les conditions de collecte et conservation des pièces justificatives pour l’accès au logement

Agents immobiliers : la CNIL rappelle les conditions de collecte et conservation des pièces justificatives pour l’accès au logement

La CNIL expose avoir, dans le cadre de son contrôle annuel 2018, procédé à plusieurs vérifications auprès d’agences immobilières pour vérifier les conditions de mises en œuvre des traitements relatifs à la collecte et la conservation des pièces justificatives demandées pour l’accès au logement locatif privé.

Si la nature des documents collectés par les agences immobilières est relativement conforme à la liste du Décret de 2015, la CNIL a constaté des manquements récurrents relatifs à :

  • l’information des personnes concernées quant à leurs droits d’accès et de rectification notamment. Cette information doit se faire au moment de la collecte des données personnelles et peut par exemple s’effectuer par le biais de mentions sur les formulaires d’information ;
  • la durée de conservation des données et notamment des pièces justificatives transmises lors du dépôt d’un dossier de location. Celles-ci doivent être détruites dès lors qu’elles ne sont plus utiles pour la décision d’attribution du logement ou être archivées avec un accès restreint afin de se conformer à ses obligations légales ;
  • aux mesures de sécurité physiques et logiques mises en place compte tenu notamment de la nature des données transmises qui révèlent la situation personnelle et financière des personnes.

Pour mémoire, la CNIL a prononcé le 28 mai 2019 une sanction financière de 400.000 euros à l’encontre de la société SERGIC spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière pour avoir insuffisamment protégé les données des utilisateurs de son site web et mis en œuvre des modalités de conservation des données inappropriées.

La CNIL avait notamment constaté que le site que la société édite et qui permet notamment aux candidats à la location d’un bien de télécharger les pièces justificatives nécessaires à la constitution de leur dossier était insuffisamment sécurisé.

La décision de sanction est disponible ici :
https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038552658&fastReqId=119744754&fastPos=1

Vidéosurveillance des salariés: la CNIL sanctionne une TPE pour manquement à la réglementation (20.000 €)

Vidéosurveillance des salariés: la CNIL sanctionne une TPE pour manquement à la réglementation (20.000 €)

La CNIL a prononcé, le 13 juin 2019, une sanction financière de 20.000 € à l’encontre d’une société de traduction (employant 9 salariés) qui filmait les postes de travail de ses salariés en continu.

Aucune information satisfaisante n’avait été délivrée aux salariés. Par ailleurs, les postes informatiques n’étaient pas sécurisés par un mot de passe et les traducteurs accédaient à une messagerie professionnelle partagée avec un mot de passe unique.

Dans son communiqué, la CNIL prend soin de préciser que la sanction et sa publication sont motivées par le fait que la société de traduction, malgré une mise en demeure, n’a pas pris les mesures afin de se mettre en conformité.

https://www.cnil.fr/fr/uniontrad-company-20-000-euros-damende-pour-videosurveillance-excessive-des-salaries

Adidas se voit refuser la protection à titre de marque de l’UE des (pourtant fameuses) trois bandes

Adidas se voit refuser la protection à titre de marque de l’UE des (pourtant fameuses) trois bandes

Après l’affaire BigMac, Adidas se voit refuser la protection à titre de marque des (pourtant fameuses) trois bandes.

Le Tribunal de l’Union Européenne a, dans un arrêt du 19 juin 2019, confirmé la nullité de la marque de l’Union d’Adidas qui consiste en trois bandes parallèles appliquées dans n’importe quelle direction.

Le Tribunal de l’Union Européenne a notamment jugé que les formes d’usage qui s’écartent des caractéristiques essentielles de la marque, comme son schéma de couleurs (bandes noires sur fond blanc) ne peuvent pas être prises en compte. Tel est le cas s’agissant des signes pour lesquels le schéma de couleurs était inversé (bandes blanches sur fond noir) dont Adidas s’est prévalu.

Le Tribunal a également confirmé la décision de l’EUIPO qui a estimé qu’Adidas n’avait pas prouvé que la marque en cause avait été utilisée dans l’ensemble du territoire de l’Union et qu’elle avait acquis, dans l’ensemble de ce territoire, un caractère distinctif à la suite de l’usage qui en avait été fait. Adidas n’avait fourni des éléments de preuve d’usage pertinents pour cinq Etats membres seulement.

https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-06/cp190076fr.pdf

Programme des contrôles de la CNIL : en 2019, l’accent est mis sur la conformité des différents acteurs au RGPD

Programme des contrôles de la CNIL : en 2019, l’accent est mis sur la conformité des différents acteurs au RGPD

La CNIL communique chaque année sur son programme de contrôles. La CNIL, qui s’était jusqu’à présent abstenue de sanctionner le non-respect des obligations nouvelles du RGPD (adopté en Avril 2016 et entré en application en Mai 2018), indique que la période de transition (et partant de souplesse dont elle a fait preuve) s’achèvera en 2019.

Ainsi, la CNIL axera en 2019 ses contrôles sur les thématiques issues de l’entrée en application du RGPD et, en particulier :

  • le respect des droits des personnes. La CNIL s’assurera que les nouveaux droits tels que la portabilité des données sont mis en œuvre mais également qu’une réponse claire et complète est apportée aux personnes, dans le respect des délais prévus par les textes (pour mémoire dans un délai maximum d’un mois suivant la réception de la demande). ;
  • le traitement des données des mineurs. S’agissant d’un public vulnérable, la CNIL attachera une attention particulière aux traitements de données de mineurs. Pour rappel, les traitements de données relatives à des mineurs de moins de 15 ans nécessitent d’obtenir le consentement de leur représentant légal ;
  • la répartition des responsabilités entre responsable de traitements et sous-traitants. La CNIL s’attachera à vérifier que les contrats de sous-traitance sont effectivement mis en œuvre entre responsables de traitement et sous-traitants.

De manière plus générale, la CNIL vérifiera le respect des nouvelles obligations et nouveaux droits issus du RGPD (analyse d’impact, portabilité des données, tenue d’un registre des traitements et des violations).

Brexit et transfert de données personnelles vers la Grande-Bretagne

Brexit et transfert de données personnelles vers la Grande-Bretagne

Le Contrôleur Européen de la Protection des Données (CEPD) a adopté le 12/02/19 une note d’information sur le transfert de données vers la Grande Bretagne en cas d’absence d’accord sur le Brexit (« no deal Brexit »).

Le CPED confirme qu’au 30 mars 2019, sauf disposition d’adéquation adoptée par la Commission Européenne d’ici cette date, les transferts de données devront être encadrés par:

  • des clauses contractuelles standard,
  • des règles d’entreprise contraignantes (« BCR »),
  • un code de conduite,
  • d’éventuelles dérogations interprétées strictement.

Il convient donc de :

  • recenser les traitements de données concernés par un transfert vers la Grande Bretagne,
  • amender les contrats conclus avec des sociétés domiciliées en Grande-Bretagne afin de sécuriser les transferts de données personnelles vers ce pays qui deviendra un pays « tiers »,
  • mettre à jour la documentation interne (registre de traitements),
  • mettre à jour les mentions d’information à destination des personnes concernées par les traitements.