Auteur : Maëliss Vincent-Moreau

Brexit et transfert de données personnelles vers la Grande-Bretagne
By Maëliss Vincent-Moreau

Brexit et transfert de données personnelles vers la Grande-Bretagne

Le Contrôleur Européen de la Protection des Données (CEPD) a adopté le 12/02/19 une note d’information sur le transfert de données vers la Grande Bretagne en cas d’absence d’accord sur le Brexit (« no deal Brexit »).

Le CPED confirme qu’au 30 mars 2019, sauf disposition d’adéquation adoptée par la Commission Européenne d’ici cette date, les transferts de données devront être encadrés par:

  • des clauses contractuelles standard,
  • des règles d’entreprise contraignantes (« BCR »),
  • un code de conduite,
  • d’éventuelles dérogations interprétées strictement.

Il convient donc de :

  • recenser les traitements de données concernés par un transfert vers la Grande Bretagne,
  • amender les contrats conclus avec des sociétés domiciliées en Grande-Bretagne afin de sécuriser les transferts de données personnelles vers ce pays qui deviendra un pays « tiers »,
  • mettre à jour la documentation interne (registre de traitements),
  • mettre à jour les mentions d’information à destination des personnes concernées par les traitements.
Parasitisme : Attention au copier/coller des mentions légales de concurrents
By Maëliss Vincent-Moreau

Parasitisme : Attention au copier/coller des mentions légales de concurrents

Dans un arrêt du 11 septembre 2018, la Cour d’appel de Rennes a jugé que la reproduction « mot à mot » de mentions légales par une société concurrente de la société ayant rédigé lesdites mentions légales était constitutive d’une faute.

Les juges de la Cour d’appel estiment que « les mentions légales peuvent se rédiger de plusieurs façons » et que les « mentions légales, de quelque nature qu’elles soient, sont en générales complexes à comprendre pour les non juristes et nécessitent pour être comprises de tous, un léger travail de simplification linguistique et de mise en exergue des éléments les plus significatifs, en fonction du type d’activité présenté par le site ».

Dès lors, « les recopier mot à mot a conduit la société fautive, qui exerce une activité concurrente de la société demanderesse, soit la création et l’hébergement de sites internet de campings et hôtels de plein air, de bénéficier sans bourse délier du travail réalisé par cette dernière ».

La société fautive a ainsi été condamnée à payer la somme de 2 500 euros à titre de dommages-intérêts.

De plus, la société a poussé le mauvais copier/coller jusqu’à recopier le numéro RCS de la société concurrente dans les mentions légales des sites internet qu’elle a réalisés pour ses clients. Or selon la Cour d’appel, « cette reproduction était interdite, d’une part car la société hébergeuse fautive ne pouvait plus elle-même être identifiée », et d’autre part « en raison du risque de confusion avec la société demanderesse en cas d’infraction ».

La société « copieuse » a ainsi été condamnée à payer la somme de 5 000 euros à titre de dommages-intérêts en raison de ce comportement fautif, « porteur en germe de nombreux ennuis pour son concurrent en cas de litige avec un client de l’un des campings ».

Cette solution s’inscrit dans la continuité de la jurisprudence en matière de parasitisme et/ou de concurrence déloyale, et notamment en cas de reproduction des Conditions Générales de Vente (CGV). La Cour d’appel de Paris a en effet déjà admis que la reprise de CGV, quasi-identiques, d’une société concurrente était constitutive d’une faute et avait condamné la société « copieuse » au versement de la somme de 10.000 euros sur le fondement du parasitisme économique (CA Paris, 24 septembre 2008, n°07/3336, Vente-privée /Kalypso).

Cette décision rappelle l’importance de rédiger des mentions légales et des conditions générales adaptées à son activité.

CA Rennes, 11 septembre 2018, n°15/09630

Par Yvan Jamois et Maëliss Vincent-Moreau[:en]Dans un arrêt du 11 septembre 2018, la Cour d’appel de Rennes a jugé que la reproduction « mot à mot » de mentions légales par une société concurrente de la société ayant rédigé lesdites mentions légales était constitutive d’une faute.

Les juges de la Cour d’appel estiment que « les mentions légales peuvent se rédiger de plusieurs façons » et que les « mentions légales, de quelque nature qu’elles soient, sont en générales complexes à comprendre pour les non juristes et nécessitent pour être comprises de tous, un léger travail de simplification linguistique et de mise en exergue des éléments les plus significatifs, en fonction du type d’activité présenté par le site ».

Dès lors, « les recopier mot à mot a conduit la société fautive, qui exerce une activité concurrente de la société demanderesse, soit la création et l’hébergement de sites internet de campings et hôtels de plein air, de bénéficier sans bourse délier du travail réalisé par cette dernière ».

La société fautive a ainsi été condamnée à payer la somme de 2 500 euros à titre de dommages-intérêts.

De plus, la société a poussé le mauvais copier/coller jusqu’à recopier le numéro RCS de la société concurrente dans les mentions légales des sites internet qu’elle a réalisés pour ses clients. Or selon la Cour d’appel, « cette reproduction était interdite, d’une part car la société hébergeuse fautive ne pouvait plus elle-même être identifiée », et d’autre part « en raison du risque de confusion avec la société demanderesse en cas d’infraction ».

La société « copieuse » a ainsi été condamnée à payer la somme de 5 000 euros à titre de dommages-intérêts en raison de ce comportement fautif, « porteur en germe de nombreux ennuis pour son concurrent en cas de litige avec un client de l’un des campings ».

Cette solution s’inscrit dans la continuité de la jurisprudence en matière de parasitisme et/ou de concurrence déloyale, et notamment en cas de reproduction des Conditions Générales de Vente (CGV). La Cour d’appel de Paris a en effet déjà admis que la reprise de CGV, quasi-identiques, d’une société concurrente était constitutive d’une faute et avait condamné la société « copieuse » au versement de la somme de 10.000 euros sur le fondement du parasitisme économique (CA Paris, 24 septembre 2008, n°07/3336, Vente-privée /Kalypso).

Cette décision rappelle l’importance de rédiger des mentions légales et des conditions générales adaptées à son activité.

CA Rennes, 11 septembre 2018, n°15/09630

Par Yvan Jamois et Maëliss Vincent-Moreau

Preuve de l’usage sérieux d’une marque : focus sur l’affaire « Big Mac »
By Maëliss Vincent-Moreau

Preuve de l’usage sérieux d’une marque : focus sur l’affaire « Big Mac »

L’Office de l’Union Européenne pour la Propriété intellectuelle (EUIPO) a, dans une décision en date du 11 janvier 2019, fait droit à une demande de déchéance de la marque verbale de l’Union « BIG MAC » détenue par la société Mc Donald’s au motif que son titulaire ne rapportait la preuve de son usage sérieux pendant une période ininterrompue de cinq ans.

Il ne suffit pas d’enregistrer sa marque auprès des offices de propriété intellectuelle pour lui assurer une protection efficace. Encore faut-il l’exploiter pour les produits et services désignés dans l’enregistrement.

En effet, si pendant une période ininterrompue de cinq ans, la marque n’a pas fait l’objet d’un usage sérieux dans l’Union pour les produits ou les services pour lesquels elle est enregistrée, et qu’il n’existe pas de justes motifs pour le non-usage, le titulaire de la marque peut être déchu de ses droits, partiellement ou totalement si le non-usage concerne la totalité des produits et services pour lesquels la marque est enregistrée (article 58(1)(a) du Règlement UE 2017/1001 du 14 juin 2017 sur la marque de l’Union européenne).

En l’espèce, la chaîne de restauration rapide irlandaise SUPERMAC a formé, devant l’EUIPO, le 11 avril 2017, une demande en déchéance de la marque verbale de l’Union « BIG MAC » n°062638 pour tous les produits désignés dans l’enregistrement au motif que la marque n’avait pas fait l’objet d’un usage sérieux dans l’Union Européenne pour ces produits pendant une période ininterrompue de cinq années.

L’EUIPO a fait droit à la demande en déchéance de la marque « BIG MAC » dans une décision du 11 janvier 2019. La décision rendue dans cette affaire est intéressante car elle apporte des précisions sur la manière dont la preuve de l’usage sérieux d’une marque doit être rapportée.

Au cas présent, Mc Donald’s avait fourni :
– trois attestations de représentants de la société en Allemagne, France, et Grande Bretagne avec à l’appui le nombre de ventes de sandwichs Big Mac, ainsi que des exemples d’emballage du hamburger, des brochures promotionnelles et des menus ;
– des brochures et des impressions d’affiches publicitaires en allemand, français et anglais représentant des hamburgers Big Mac ainsi que des emballages du sandwich. Les brochures et posters faisaient apparaître le sandwich seul ou avec d’autres produits et la marque litigieuse était apposée en rapport avec les sandwichs ;
– des impressions du site internet wikipedia fournissant des informations sur le hamburger « Big Mac », son histoire, son contenu et son apport nutritionnel.

L’EUIPO a jugé insatisfaisantes les preuves d’usage fournies par Mc Donald’s pour établir l’usage continu de la marque pour les produits et services visés par la marque, sur le territoire de l’Union européenne et pour la période considérée.

L’EUIPO a ainsi considéré que les éléments de preuve concernaient majoritairement des sandwichs (et non l’ensemble des produits visés par la marque enregistrée) et certains territoires uniquement de l’UE (l’Allemagne, la France et la Grande Bretagne).

L’EUIPO retient que l’ensemble des éléments produits (attestations, brochures, extraits de sites internet) émanent du titulaire de la marque ce qui atténue leur force probante.

S’agissant spécifiquement des extraits de sites internet, l’EUIPO estime que « la seule présence d’une marque sur un site internet n’est pas, en soi, suffisant pour prouver un usage sérieux de la marque sauf à ce que le site internet mentionne également, le lieu, l’heure et l’étendue de l’usage ».

L’EUIPO note que la force probante d’un extrait de site internet peut être renforcée en communiquant les statistiques de trafic du site web (nombre de visiteurs, nombre de vue des pages concernées, pays de connexion des visiteurs…) et ce, en particulier lorsque le site permet de commander en ligne les produits considérés. Mc Donald’s n’a produit aucune de ces informations.

S’agissant des brochures et emballages qui reproduisent la marque litigieuse, l’EUIPO reproche à Mc Donald’s de ne pas avoir fourni d’informations sur la façon dont les brochures ont circulé, leurs destinataires, et si ces brochures ont eu un impact positif sur les ventes. L’EUIPO note également qu’aucun élément de « preuve indépendante » permet d’attester du nombre de produits emballés ayant été mis en vente ou vendus.
L’EUIPO en conclut que les éléments communiqués sont insuffisants pour étayer le contenu des attestations en termes de ventes et de chiffre d’affaires.

A l’analyse de cette décision, on retiendra que la preuve de l’usage sérieux d’une marque doit être rapportée par différents éléments de communication (brochures, communications, extraits de sites internet datés, attestations), lesquels doivent être impérativement contextualisés et étayés par des données statistiques (notamment pour les site internet) et comptables (nombre de ventes notamment).

Il sera intéressant de suivre l’évolution de cette décision qui fera très certainement l’objet d’un recours devant le Tribunal de l’Union Européenne (les parties disposant d’un délai de deux mois suivant la notification de la décision).[:en]L’Office de l’Union Européenne pour la Propriété intellectuelle (EUIPO) a, dans une décision en date du 11 janvier 2019, fait droit à une demande de déchéance de la marque verbale de l’Union « BIG MAC » détenue par la société Mc Donald’s au motif que son titulaire ne rapportait la preuve de son usage sérieux pendant une période ininterrompue de cinq ans.

Il ne suffit pas d’enregistrer sa marque auprès des offices de propriété intellectuelle pour lui assurer une protection efficace. Encore faut-il l’exploiter pour les produits et services désignés dans l’enregistrement.

En effet, si pendant une période ininterrompue de cinq ans, la marque n’a pas fait l’objet d’un usage sérieux dans l’Union pour les produits ou les services pour lesquels elle est enregistrée, et qu’il n’existe pas de justes motifs pour le non-usage, le titulaire de la marque peut être déchu de ses droits, partiellement ou totalement si le non-usage concerne la totalité des produits et services pour lesquels la marque est enregistrée (article 58(1)(a) du Règlement UE 2017/1001 du 14 juin 2017 sur la marque de l’Union européenne).

En l’espèce, la chaîne de restauration rapide irlandaise SUPERMAC a formé, devant l’EUIPO, le 11 avril 2017, une demande en déchéance de la marque verbale de l’Union « BIG MAC » n°062638 pour tous les produits désignés dans l’enregistrement au motif que la marque n’avait pas fait l’objet d’un usage sérieux dans l’Union Européenne pour ces produits pendant une période ininterrompue de cinq années.

L’EUIPO a fait droit à la demande en déchéance de la marque « BIG MAC » dans une décision du 11 janvier 2019. La décision rendue dans cette affaire est intéressante car elle apporte des précisions sur la manière dont la preuve de l’usage sérieux d’une marque doit être rapportée.

Au cas présent, Mc Donald’s avait fourni :
– trois attestations de représentants de la société en Allemagne, France, et Grande Bretagne avec à l’appui le nombre de ventes de sandwichs Big Mac, ainsi que des exemples d’emballage du hamburger, des brochures promotionnelles et des menus ;
– des brochures et des impressions d’affiches publicitaires en allemand, français et anglais représentant des hamburgers Big Mac ainsi que des emballages du sandwich. Les brochures et posters faisaient apparaître le sandwich seul ou avec d’autres produits et la marque litigieuse était apposée en rapport avec les sandwichs ;
– des impressions du site internet wikipedia fournissant des informations sur le hamburger « Big Mac », son histoire, son contenu et son apport nutritionnel.

L’EUIPO a jugé insatisfaisantes les preuves d’usage fournies par Mc Donald’s pour établir l’usage continu de la marque pour les produits et services visés par la marque, sur le territoire de l’Union européenne et pour la période considérée.

L’EUIPO a ainsi considéré que les éléments de preuve concernaient majoritairement des sandwichs (et non l’ensemble des produits visés par la marque enregistrée) et certains territoires uniquement de l’UE (l’Allemagne, la France et la Grande Bretagne).

L’EUIPO retient que l’ensemble des éléments produits (attestations, brochures, extraits de sites internet) émanent du titulaire de la marque ce qui atténue leur force probante.

S’agissant spécifiquement des extraits de sites internet, l’EUIPO estime que « la seule présence d’une marque sur un site internet n’est pas, en soi, suffisant pour prouver un usage sérieux de la marque sauf à ce que le site internet mentionne également, le lieu, l’heure et l’étendue de l’usage ».

L’EUIPO note que la force probante d’un extrait de site internet peut être renforcée en communiquant les statistiques de trafic du site web (nombre de visiteurs, nombre de vue des pages concernées, pays de connexion des visiteurs…) et ce, en particulier lorsque le site permet de commander en ligne les produits considérés. Mc Donald’s n’a produit aucune de ces informations.

S’agissant des brochures et emballages qui reproduisent la marque litigieuse, l’EUIPO reproche à Mc Donald’s de ne pas avoir fourni d’informations sur la façon dont les brochures ont circulé, leurs destinataires, et si ces brochures ont eu un impact positif sur les ventes. L’EUIPO note également qu’aucun élément de « preuve indépendante » permet d’attester du nombre de produits emballés ayant été mis en vente ou vendus.

L’EUIPO en conclut que les éléments communiqués sont insuffisants pour étayer le contenu des attestations en termes de ventes et de chiffre d’affaires.

A l’analyse de cette décision, on retiendra que la preuve de l’usage sérieux d’une marque doit être rapportée par différents éléments de communication (brochures, communications, extraits de sites internet datés, attestations), lesquels doivent être impérativement contextualisés et étayés par des données statistiques (notamment pour les site internet) et comptables (nombre de ventes notamment).

Il sera intéressant de suivre l’évolution de cette décision qui fera très certainement l’objet d’un recours devant le Tribunal de l’Union Européenne (les parties disposant d’un délai de deux mois suivant la notification de la décision).

Le contrat du coursier, travailleur indépendant, avec une plateforme de livraison requalifié en contrat de travail
By Maëliss Vincent-Moreau

Le contrat du coursier, travailleur indépendant, avec une plateforme de livraison requalifié en contrat de travail

La cour de cassation, dans un arrêt du 28 novembre 2018, a considéré qu’un coursier d’une plateforme de livraison de plats à domicile, travailleur indépendant, est un salarié de ladite plateforme.

La Cour de cassation retient notamment, pour caractériser l’existence effective d’un pouvoir de direction et de contrôle de l’exécution de la prestation caractérisant un lien de subordination, le fait que « l’application était dotée d’un système de géolocalisation permettant le suivi en temps réel par la société de la position du coursier et la comptabilisation du nombre total de kilomètres parcourus par celui-ci et, d’autre part, que la société Take Eat Easy disposait d’un pouvoir de sanction à l’égard du coursier ».

La Cour de cassation rappelle par ailleurs que « l’existence d’une relation de travail ne dépend ni de la volonté exprimée par les parties ni de la dénomination qu’elles ont donnée à leur convention mais des conditions de fait dans lesquelles est exercée l’activité des travailleurs ».

Cass.Soc. 28 novembre 2018, N° de pourvoi: 17-20079[:en]La cour de cassation, dans un arrêt du 28 novembre 2018, a considéré qu’un coursier d’une plateforme de livraison de plats à domicile, travailleur indépendant, est un salarié de ladite plateforme.

La Cour de cassation retient notamment, pour caractériser l’existence effective d’un pouvoir de direction et de contrôle de l’exécution de la prestation caractérisant un lien de subordination, le fait que « l’application était dotée d’un système de géolocalisation permettant le suivi en temps réel par la société de la position du coursier et la comptabilisation du nombre total de kilomètres parcourus par celui-ci et, d’autre part, que la société Take Eat Easy disposait d’un pouvoir de sanction à l’égard du coursier ».

La Cour de cassation rappelle par ailleurs que « l’existence d’une relation de travail ne dépend ni de la volonté exprimée par les parties ni de la dénomination qu’elles ont donnée à leur convention mais des conditions de fait dans lesquelles est exercée l’activité des travailleurs ».

Cass.Soc. 28 novembre 2018, N° de pourvoi: 17-20079

La Cour de cassation précise les conditions de mise en place d’un système de géolocalisation des salariés
By Maëliss Vincent-Moreau

La Cour de cassation précise les conditions de mise en place d’un système de géolocalisation des salariés

Le 19 décembre 2018, la Chambre sociale de la Cour de cassation a rendu un arrêt intéressant sur la licéité des systèmes de géolocalisation des salariés. L’arrêt a été publié au Bulletin.

La société Médiapost (une filiale du groupe La Poste qui distribue des publicités ciblées en boîtes aux lettres) avait mis en place un système permettant d’enregistrer la localisation des distributeurs de courriers toutes les 10 secondes au moyen d’un boîtier mobile qu’ils portaient lors de leur tournée et qu’ils activaient eux-mêmes. La Fédération Sud PPT considérant que ce système de contrôle était illicite a assigné la société Médiapost.

Dans l’arrêt du 19 décembre 2018, la Cour de cassation casse l’arrêt de la Cour d’appel de Lyon qui s’est prononcée « sans caractériser que le système de géolocalisation mis en œuvre par l’employeur était le seul moyen permettant d’assurer le contrôle de la durée du travail de ses salariés ».

La Cour de cassation rappelle que conformément à l’article L.1121-1 du Code du travail, « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché », et précise que :

(i) l’utilisation d’un tel système de géolocalisation pour contrôler la durée du travail n’est licite que si ce contrôle ne peut être opéré par un autre moyen, fût-il moins efficace que la géolocalisation ;

(ii) la géolocalisation n’est pas justifiée lorsque le salarié dispose d’une liberté dans l’organisation de son travail.

Cet arrêt de la Cour de cassation confirme l’attention portée par les juridictions sur les systèmes de géolocalisation des salariés.

Il convient en pratique, avant toute mise en place, de considérer les alternatives aux systèmes de géolocalisation pour répondre aux finalités envisagées par ces derniers. À défaut, un tel système serait susceptible d’être considéré comme portant atteinte de manière disproportionnée aux libertés individuelles des salariés.

https://www.legifrance.gouv.fr/affichJuriJudi.do?oldAction=rechJuriJudi&idTexte=JURITEXT000037851013&fastReqId=817130270&fastPos=1

Par Yvan Jamois et Maëliss Vincent-Moreau

Publication du décret fixant les catégories de données diffusables et réutilisables sans anonymisation
By Maëliss Vincent-Moreau

Publication du décret fixant les catégories de données diffusables et réutilisables sans anonymisation

Le mouvement d’open data initié par la Loi pour une République numérique du 7 octobre 2016 se poursuit avec la publication, le 12 décembre 2018 au Journal Officiel, du Décret n°2018-1117 du 10 décembre 2018 relatif aux catégories de documents administratifs pouvant être rendus publics sans faire l’objet d’un processus d’anonymisation.

Le décret a été pris afin de parfaire l’application de l’article L. 312-1-2 du code des relations entre le public et l’administration, dans sa version résultant de l’article 6 de la Loi pour une République numérique.

Parmi les documents administratifs pouvant être rendus publics sans faire l’objet d’un processus d’anonymisation, il y a, notamment, :

  • les organigrammes, les annuaires des administrations et la liste des personnes inscrites à un tableau d’avancement ou sur une liste d’aptitude pour l’accès à un échelon, un grade ou un corps ou cadre d’emplois de la fonction publique ;
  • le répertoire national des associations et le répertoire des entreprises et de leurs établissements ;
  • les répertoires des professions réglementées et des activités professionnelles soumises à la règlementation: notaire, avocat, huissier de justice, architecte;
  • les résultats obtenus par les candidats aux examens et concours administratifs ou conduisant à la délivrance des diplômes nationaux ;
  • les documents nécessaires à l’information du public relatifs aux conditions d’organisation et d’exercice de la vie politique, notamment le répertoire des élus.

Le décret est disponible dans son intégralité ici : https://www.legifrance.gouv.fr/eli/decret/2018/12/10/2018-1117/jo/texte

RGPD – D Day!!!
By Maëliss Vincent-Moreau

RGPD – D Day!!!

[:fr]Aujourd’hui est le jour tant attendu (ou redouté) par nombre de professionnels du marketing et plus généralement par toutes les personnes morales qui traitent des données personnelles à un moment ou un autre de leur processus client : inscription à une newsletter, création d’un compte client, carte de fidélité, achat sur internet… Tous sont concernés par l’entrée en application du Règlement européen n°2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR »).

Aujourd’hui est le grand jour, certes, mais pas la fin du monde si votre société ne s’est pas (encore) mise en conformité. Il n’est bien évidemment pas trop tard pour entamer ce processus dès lors que la démarche est sincère.

D’ailleurs, Madame Isabelle Falque-Pierrotin, Présidente de la Commission Nationale de l’Informatique et des Libertés, le « gendarme des données personnelles », l’a indiqué à plusieurs reprises dans les médias (ici dernièrement https://business.lesechos.fr/directions-numeriques/digital/big-data/0301653076185-isabelle-falque-pierrotin-presidente-de-la-cnil-rgpd-le-25-mai-ne-sera-pas-une-date-couperet-pour-les-sanctions-320930.php ), la date du 25 mai 2018 n’est pas une « date couperet ». La CNIL, consciente que toutes les entreprises ne seront pas prêtes à cette date, accompagnera avec clémence les différents acteurs dans une démarche de mise en conformité.

Petit rappel de vos obligations si vous n’avez pas débuté votre processus de mise en conformité :

1. Recensez vos traitements de données

Bien que l’obligation de tenir un registre de traitements ne soit obligatoire que pour les sociétés de plus de 250 salariés, il est fortement recommandé de constituer un tel registre afin d’avoir une vision d’ensemble de vos traitements et d’être en mesure d’apporter la preuve de votre conformité au RGPD en cas de contrôle de la CNIL (principe d’ « accountability »).

Vous devez en conséquence recenser :
– Les différents traitements de données personnelles,
– Les objectifs poursuivis par les traitements de données (par exemple : la gestion des clients et prospects, l’établissement de la paie des salariés, la gestion des candidatures…) ;
– Les catégories de données personnelles traitées ;
– Les différents acteurs (internes ou prestataires sous-traitants externes) qui traitent ces données ;
– La durée de conservation de ces données ;
– Les flux de données en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

L’établissement du registre des traitements est un bon moyen de vous interroger sur la pertinence des données :
– les données traitées sont-elles nécessaires à votre activité ?
– des données sensibles sont-elles traitées (données de santé, opinions syndicales, politiques, religieuses…) ?
– les données sont-elles conservées pour la seule durée pour laquelle vous en avez besoin ?
– les mesures de sécurité appropriées sont-elles mises en place ?
C’est également l’occasion d’améliorer vos pratiques, notamment en mettant en place une politique de durée de conservation des données et en minimisant la collecte de données.

2. Assurez le respect des droits des personnes

Le RGPD renforce les droits des personnes concernées notamment en terme d’information et d’accès aux données.
Il convient donc de vous interroger sur l’information des personnes concernées :
– les formulaires de contact, les conditions générales, les mentions légales comportent il des mentions d’information ? ;
– cette information est-elle claire, exhaustive et transparente ?

Pour mémoire, l’information doit viser les éléments suivants :
– quelle est la finalité du traitement ?
– sur quel fondement juridique êtes-vous autorisé à traiter les données ?
– qui accède aux données ?
– quelle est la durée de conservation des données ?
– quels sont les droits des personnes et comment les personnes concernées peuvent-elles les exercer ?
– les données sont-elles transférées hors de l’UE ?

La rédaction d’une politique de confidentialité peut vous permettre de renvoyer utilement les personnes concernées vers un document reprenant l’information de manière exhaustive.
Outre l’information des personnes, il convient que vous mettiez en place une procédure interne permettant aux personnes concernées d’exercer facilement et effectivement leurs droits : sur quelle boite e-mail est réceptionnée la demande d’accès ? Qui traite la demande ? Comment y répond-on ? Dans quel délai ?

3. Sécurisez vos données

Il vous appartient, en tant que responsable de traitement, de sécuriser les données que vous traitez contre les risques d’intrusion, de perte et de piratage.
Cela implique de :
– mettre en place des mesures techniques et organisationnelles en interne afin de garantir au mieux la sécurité des données ;
– revoir les contrats avec vos sous-traitants afin de reporter sur ces derniers la même obligation de sécurisation des données et de notification d’éventuelles failles de sécurité.

Le Cabinet MVM Avocats est à votre disposition pour vous assister dans la mise en conformité de vos traitements au regard du RGPD.[:en]Aujourd’hui est le jour tant attendu (ou redouté) par nombre de professionnels du marketing et plus généralement par toutes les personnes morales qui traitent des données personnelles à un moment ou un autre de leur processus client : inscription à une newsletter, création d’un compte client, carte de fidélité, achat sur internet… Tous sont concernés par l’entrée en application du Règlement européen n°2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR »).

Aujourd’hui est le grand jour, certes, mais pas la fin du monde si votre société ne s’est pas (encore) mise en conformité. Il n’est bien évidemment pas trop tard pour entamer ce processus dès lors que la démarche est sincère.

D’ailleurs, Madame Isabelle Falque-Pierrotin, Présidente de la Commission Nationale de l’Informatique et des Libertés, le « gendarme des données personnelles », l’a indiqué à plusieurs reprises dans les médias (ici dernièrement https://business.lesechos.fr/directions-numeriques/digital/big-data/0301653076185-isabelle-falque-pierrotin-presidente-de-la-cnil-rgpd-le-25-mai-ne-sera-pas-une-date-couperet-pour-les-sanctions-320930.php ), la date du 25 mai 2018 n’est pas une « date couperet ». La CNIL, consciente que toutes les entreprises ne seront pas prêtes à cette date, accompagnera avec clémence les différents acteurs dans une démarche de mise en conformité.

Petit rappel de vos obligations si vous n’avez pas débuté votre processus de mise en conformité :

1. Recensez vos traitements de données

Bien que l’obligation de tenir un registre de traitements ne soit obligatoire que pour les sociétés de plus de 250 salariés, il est fortement recommandé de constituer un tel registre afin d’avoir une vision d’ensemble de vos traitements et d’être en mesure d’apporter la preuve de votre conformité au RGPD en cas de contrôle de la CNIL (principe d’ « accountability »).

Vous devez en conséquence recenser :
– Les différents traitements de données personnelles,
– Les objectifs poursuivis par les traitements de données (par exemple : la gestion des clients et prospects, l’établissement de la paie des salariés, la gestion des candidatures…) ;
– Les catégories de données personnelles traitées ;
– Les différents acteurs (internes ou prestataires sous-traitants externes) qui traitent ces données ;
– La durée de conservation de ces données ;
– Les flux de données en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

L’établissement du registre des traitements est un bon moyen de vous interroger sur la pertinence des données :
– les données traitées sont-elles nécessaires à votre activité ?
– des données sensibles sont-elles traitées (données de santé, opinions syndicales, politiques, religieuses…) ?
– les données sont-elles conservées pour la seule durée pour laquelle vous en avez besoin ?
– les mesures de sécurité appropriées sont-elles mises en place ?
C’est également l’occasion d’améliorer vos pratiques, notamment en mettant en place une politique de durée de conservation des données et en minimisant la collecte de données.

2. Assurez le respect des droits des personnes

Le RGPD renforce les droits des personnes concernées notamment en terme d’information et d’accès aux données.

Il convient donc de vous interroger sur l’information des personnes concernées :
– les formulaires de contact, les conditions générales, les mentions légales comportent il des mentions d’information ? ;
– cette information est-elle claire, exhaustive et transparente ?

Pour mémoire, l’information doit viser les éléments suivants :
– quelle est la finalité du traitement ?
– sur quel fondement juridique êtes-vous autorisé à traiter les données ?
– qui accède aux données ?
– quelle est la durée de conservation des données ?
– quels sont les droits des personnes et comment les personnes concernées peuvent-elles les exercer ?
– les données sont-elles transférées hors de l’UE ?

La rédaction d’une politique de confidentialité peut vous permettre de renvoyer utilement les personnes concernées vers un document reprenant l’information de manière exhaustive.

Outre l’information des personnes, il convient que vous mettiez en place une procédure interne permettant aux personnes concernées d’exercer facilement et effectivement leurs droits : sur quelle boite e-mail est réceptionnée la demande d’accès ? Qui traite la demande ? Comment y répond-on ? Dans quel délai ?

3. Sécurisez vos données

Il vous appartient, en tant que responsable de traitement, de sécuriser les données que vous traitez contre les risques d’intrusion, de perte et de piratage.

Cela implique de :
– mettre en place des mesures techniques et organisationnelles en interne afin de garantir au mieux la sécurité des données ;
– revoir les contrats avec vos sous-traitants afin de reporter sur ces derniers la même obligation de sécurisation des données et de notification d’éventuelles failles de sécurité.

Le Cabinet MVM Avocats est à votre disposition pour vous assister dans la mise en conformité de vos traitements au regard du RGPD.[:]

Entrée en application du RGPD dans moins d’un mois – Conseils pratiques pour se mettre en conformité
By Maëliss Vincent-Moreau

Entrée en application du RGPD dans moins d’un mois – Conseils pratiques pour se mettre en conformité

[:fr]Le Règlement européen n°2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR ») entrera en application le 25 mai 2018.

Si votre société n’est pas prête, il est grand temps d’entamer un processus de mise en conformité.

 

1.Recensez vos traitements de données

Bien que l’obligation de tenir un registre de traitements ne soit obligatoire que pour les sociétés de plus de 250 salariés, il est fortement recommandé de constituer un tel registre afin d’avoir une vision d’ensemble de vos traitements et d’être en mesure d’apporter la preuve de votre conformité au RGPD en cas de contrôle de la CNIL (principe d’ « accountability »).

Vous devez en conséquence recenser :
– Les différents traitements de données personnelles,
– Les objectifs poursuivis par les traitements de données (par exemple : la gestion des clients et prospects, l’établissement de la paie des salariés, la gestion des candidatures…) ;
– Les catégories de données personnelles traitées ;
– Les différents acteurs (internes ou prestataires sous-traitants externes) qui traitent ces données ;
– La durée de conservation de ces données ;
– Les flux de données en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

L’établissement du registre des traitements est un bon moyen de vous interroger sur la pertinence des données :
– les données traitées sont-elles nécessaires à votre activité ?
– des données sensibles sont-elles traitées (données de santé, opinions syndicales, politiques, religieuses…) ?
– les données sont-elles conservées pour la seule durée pour laquelle vous en avez besoin ?
– les mesures de sécurité appropriées sont-elles mises en place ?

C’est également l’occasion d’améliorer vos pratiques, notamment en mettant en place une politique de durée de conservation des données et en minimisant la collecte de données.

2. Assurez le respect des droits des personnes

Le RGPD renforce les droits des personnes concernées notamment en terme d’information et d’accès aux données.
Il convient donc de vous interroger sur l’information des personnes concernées :
– les formulaires de contact comportent il des mentions d’information ? ;
– cette information est-elle claire, exhaustive et transparente ?

Pour mémoire, l’information doit viser les éléments suivants :
– quelle est la finalité du traitement ?
– sur quel fondement juridique êtes-vous autorisé à traiter les données ?
– qui accède aux données ?
– quelle est la durée de conservation des données ?
– quels sont les droits des personnes et comment les personnes concernées peuvent-elles les exercer ?
– les données sont-elles transférées hors de l’UE ?

La rédaction d’une politique de confidentialité peut vous permettre de renvoyer utilement les personnes concernées vers un document reprenant l’information de manière exhaustive.

Outre l’information des personnes, il convient que vous mettiez en place une procédure interne permettant aux personnes concernées d’exercer facilement et effectivement leurs droits : sur quelle boite e-mail est réceptionnée la demande d’accès? Qui traite la demande ? Comment y répond-on ? Dans quel délai ?

3. Sécurisez vos données

Il vous appartient, en tant que responsable de traitement, de sécuriser les données que vous traitez contre les risques d’intrusion, de perte et de piratage.

Cela implique de :
– mettre en place des mesures techniques et organisationnelles en interne afin de garantir au mieux la sécurité des données ;
– revoir les contrats avec vos sous-traitants afin de reporter sur ces derniers la même obligation de sécurisation des données et de notification d’éventuelles failles de sécurité.[:en]Le Règlement européen n°2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR ») entrera en application le 25 mai 2018.

Si votre société n’est pas prête, il est grand temps d’entamer un processus de mise en conformité.

 

1.Recensez vos traitements de données

Bien que l’obligation de tenir un registre de traitements ne soit obligatoire que pour les sociétés de plus de 250 salariés, il est fortement recommandé de constituer un tel registre afin d’avoir une vision d’ensemble de vos traitements et d’être en mesure d’apporter la preuve de votre conformité au RGPD en cas de contrôle de la CNIL (principe d’ « accountability »).
Vous devez en conséquence recenser :
– Les différents traitements de données personnelles,
– Les objectifs poursuivis par les traitements de données (par exemple : la gestion des clients et prospects, l’établissement de la paie des salariés, la gestion des candidatures…) ;
– Les catégories de données personnelles traitées ;
– Les différents acteurs (internes ou prestataires sous-traitants externes) qui traitent ces données ;
– La durée de conservation de ces données ;
– Les flux de données en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

L’établissement du registre des traitements est un bon moyen de vous interroger sur la pertinence des données :
– les données traitées sont-elles nécessaires à votre activité ?
– des données sensibles sont-elles traitées (données de santé, opinions syndicales, politiques, religieuses…) ?
– les données sont-elles conservées pour la seule durée pour laquelle vous en avez besoin ?
– les mesures de sécurité appropriées sont-elles mises en place ?

C’est également l’occasion d’améliorer vos pratiques, notamment en mettant en place une politique de durée de conservation des données et en minimisant la collecte de données.

2. Assurez le respect des droits des personnes

Le RGPD renforce les droits des personnes concernées notamment en terme d’information et d’accès aux données.

Il convient donc de vous interroger sur l’information des personnes concernées :
– les formulaires de contact comportent il des mentions d’information ? ;
– cette information est-elle claire, exhaustive et transparente ?

Pour mémoire, l’information doit viser les éléments suivants :
– quelle est la finalité du traitement ?
– sur quel fondement juridique êtes-vous autorisé à traiter les données ?
– qui accède aux données ?
– quelle est la durée de conservation des données ?
– quels sont les droits des personnes et comment les personnes concernées peuvent-elles les exercer ?
– les données sont-elles transférées hors de l’UE ?

La rédaction d’une politique de confidentialité peut vous permettre de renvoyer utilement les personnes concernées vers un document reprenant l’information de manière exhaustive.

Outre l’information des personnes, il convient que vous mettiez en place une procédure interne permettant aux personnes concernées d’exercer facilement et effectivement leurs droits : sur quelle boite e-mail est réceptionnée la demande d’accès? Qui traite la demande ? Comment y répond-on ? Dans quel délai ?

3. Sécurisez vos données

Il vous appartient, en tant que responsable de traitement, de sécuriser les données que vous traitez contre les risques d’intrusion, de perte et de piratage.

Cela implique de :
– mettre en place des mesures techniques et organisationnelles en interne afin de garantir au mieux la sécurité des données ;
– revoir les contrats avec vos sous-traitants afin de reporter sur ces derniers la même obligation de sécurisation des données et de notification d’éventuelles failles de sécurité.[:]

Dessin communautaire: le Tribunal de l’Union Européenne confirme l’annulation de l’enregistrement du dessin de Crocs
By Maëliss Vincent-Moreau

Dessin communautaire: le Tribunal de l’Union Européenne confirme l’annulation de l’enregistrement du dessin de Crocs

[:fr]Dans un jugement du 14 mars 2018, le Tribunal de l’UE a confirmé l’annulation de l’enregistrement du dessin de Crocs du fait que celui-ci a été divulgué au public avant son enregistrement.

Le Règlement (CE) no 6/2002 du Conseil du 12 décembre 2001 sur les dessins ou modèles communautaires prévoit la protection d’un dessin ou modèle communautaire dans la mesure où il est nouveau et présente un caractère individuel. Ainsi, un dessin ne peut être considéré comme nouveau s’il a été divulgué au public antérieurement à la période de douze mois précédant la date de priorité revendiquée. Le Règlement prévoit toutefois une exception si le demandeur rapporte la preuve que la divulgation ne pouvait raisonnablement être connue des milieux spécialisés opérant dans l’Union européenne.

En l’espèce, le dessin a été enregistré comme dessin communautaire le 8 février 2005 en revendiquant la priorité d’une demande de brevet des Etats Unis déposée le 28 mai 2004. La société française GIFI Diffusion a introduit auprès de l’EUIPO une demande en nullité du dessin prétendant que le dessin n’était pas nouveau et qu’il aurait été divulgué avant mai 2003 (c’est-à-dire antérieurement à la période de douze mois précédant la date de priorité revendiquée aux Etats-Unis).

L’EUIPO a déclaré la nullité du dessin, considérant que celui-ci avait été divulgué avant le 28 mai 2003 et qu’en conséquence il était dépourvu de nouveauté (Décision du 6 juin 2016). L’EUIPO a retenu que la divulgation avait eu lieu au moyen i) de l’exposition sur le site Internet de Crocs ii) d’une exposition lors d’un salon nautique à Fort Lauderdale en Floride (États-Unis), et iii) de la disponibilité à la vente des sabots auxquels avait été appliqué le dessin (Affaire T-651/16 Crocs, Inc./EUIPO).

Le Tribunal de l’UE a estimé que Crocs n’avait pas démontré que la divulgation ne pouvait raisonnablement être connue des milieux spécialisés opérant dans l’Union européenne et a confirmé l’annulation du dessin communautaire.

http://curia.europa.eu/juris/document/document.jsf?text=&docid=200246&pageIndex=0&doclang=fr&mode=req&dir=&occ=first&part=1&cid=520607[:en]Dans un jugement du 14 mars 2018, le Tribunal de l’UE a confirmé l’annulation de l’enregistrement du dessin de Crocs du fait que celui-ci a été divulgué au public avant son enregistrement.

Le Règlement (CE) no 6/2002 du Conseil du 12 décembre 2001 sur les dessins ou modèles communautaires prévoit la protection d’un dessin ou modèle communautaire dans la mesure où il est nouveau et présente un caractère individuel. Ainsi, un dessin ne peut être considéré comme nouveau s’il a été divulgué au public antérieurement à la période de douze mois précédant la date de priorité revendiquée. Le Règlement prévoit toutefois une exception si le demandeur rapporte la preuve que la divulgation ne pouvait raisonnablement être connue des milieux spécialisés opérant dans l’Union européenne.

En l’espèce, le dessin a été enregistré comme dessin communautaire le 8 février 2005 en revendiquant la priorité d’une demande de brevet des Etats Unis déposée le 28 mai 2004. La société française GIFI Diffusion a introduit auprès de l’EUIPO une demande en nullité du dessin prétendant que le dessin n’était pas nouveau et qu’il aurait été divulgué avant mai 2003 (c’est-à-dire antérieurement à la période de douze mois précédant la date de priorité revendiquée aux Etats-Unis).

L’EUIPO a déclaré la nullité du dessin, considérant que celui-ci avait été divulgué avant le 28 mai 2003 et qu’en conséquence il était dépourvu de nouveauté (Décision du 6 juin 2016). L’EUIPO a retenu que la divulgation avait eu lieu au moyen i) de l’exposition sur le site Internet de Crocs ii) d’une exposition lors d’un salon nautique à Fort Lauderdale en Floride (États-Unis), et iii) de la disponibilité à la vente des sabots auxquels avait été appliqué le dessin (Affaire T-651/16 Crocs, Inc./EUIPO).

Le Tribunal de l’UE a estimé que Crocs n’avait pas démontré que la divulgation ne pouvait raisonnablement être connue des milieux spécialisés opérant dans l’Union européenne et a confirmé l’annulation du dessin communautaire.

http://curia.europa.eu/juris/document/document.jsf?text=&docid=200246&pageIndex=0&doclang=fr&mode=req&dir=&occ=first&part=1&cid=520607

 [:]

RGPD : La CNIL explique sa ligne de conduite dans les prochains mois
By Maëliss Vincent-Moreau

RGPD : La CNIL explique sa ligne de conduite dans les prochains mois

[:fr]Le 19 février 2018, la CNIL a publié sur son site des lignes explicitant la façon dont elle va intervenir dans les prochains mois à l’approche puis après l’entrée en application du RGPD.

Il convient de retenir, notamment, que:

– La CNIL travaille à l’élaboration d’une liste des traitements obligatoirement soumis à analyse d’impact et une liste des traitements pour lesquels, au contraire, aucune analyse n’est requise. Ces listes permettront aux responsables de traitement de savoir plus aisément s’ils sont ou non soumis à cette obligation.

– S’agissant de sa politique de contrôle, la CNIL indique qu’elle continuera à vérifier le respect des dispositions déjà en vigueur (notamment information et consentement) et qu’elle accompagnera les acteurs dans la compréhension des nouvelles obligations (analyse d’impact…).

– La CNIL n’exigera pas des responsables de traitement qu’ils effectuent immédiatement des analyses d’impact pour leurs traitements en cours à la date d’entrée en application du RGPD. En revanche, les responsables devront se mettre en conformité dans un délai maximal de trois ans pour les traitements présentant un risque élevé.

Le communiqué est à retrouver dans son intégralité ici: https://www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periode-transitoire[:en]Le 19 février 2018, la CNIL a publié sur son site des lignes explicitant la façon dont elle va intervenir dans les prochains mois à l’approche puis après l’entrée en application du RGPD.

Il convient de retenir, notamment, que:

– La CNIL travaille à l’élaboration d’une liste des traitements obligatoirement soumis à analyse d’impact et une liste des traitements pour lesquels, au contraire, aucune analyse n’est requise. Ces listes permettront aux responsables de traitement de savoir plus aisément s’ils sont ou non soumis à cette obligation.

– S’agissant de sa politique de contrôle, la CNIL indique qu’elle continuera à vérifier le respect des dispositions déjà en vigueur (notamment information et consentement) et qu’elle accompagnera les acteurs dans la compréhension des nouvelles obligations (analyse d’impact…).

– La CNIL n’exigera pas des responsables de traitement qu’ils effectuent immédiatement des analyses d’impact pour leurs traitements en cours à la date d’entrée en application du RGPD. En revanche, les responsables devront se mettre en conformité dans un délai maximal de trois ans pour les traitements présentant un risque élevé.

Le communiqué est à retrouver dans son intégralité ici: https://www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periode-transitoire[:]