Auteur/autrice : Maëliss Vincent-Moreau

Dessin communautaire: le Tribunal de l’Union Européenne confirme l’annulation de l’enregistrement du dessin de Crocs
By Maëliss Vincent-Moreau

Dessin communautaire: le Tribunal de l’Union Européenne confirme l’annulation de l’enregistrement du dessin de Crocs

[:fr]Dans un jugement du 14 mars 2018, le Tribunal de l’UE a confirmé l’annulation de l’enregistrement du dessin de Crocs du fait que celui-ci a été divulgué au public avant son enregistrement.

Le Règlement (CE) no 6/2002 du Conseil du 12 décembre 2001 sur les dessins ou modèles communautaires prévoit la protection d’un dessin ou modèle communautaire dans la mesure où il est nouveau et présente un caractère individuel. Ainsi, un dessin ne peut être considéré comme nouveau s’il a été divulgué au public antérieurement à la période de douze mois précédant la date de priorité revendiquée. Le Règlement prévoit toutefois une exception si le demandeur rapporte la preuve que la divulgation ne pouvait raisonnablement être connue des milieux spécialisés opérant dans l’Union européenne.

En l’espèce, le dessin a été enregistré comme dessin communautaire le 8 février 2005 en revendiquant la priorité d’une demande de brevet des Etats Unis déposée le 28 mai 2004. La société française GIFI Diffusion a introduit auprès de l’EUIPO une demande en nullité du dessin prétendant que le dessin n’était pas nouveau et qu’il aurait été divulgué avant mai 2003 (c’est-à-dire antérieurement à la période de douze mois précédant la date de priorité revendiquée aux Etats-Unis).

L’EUIPO a déclaré la nullité du dessin, considérant que celui-ci avait été divulgué avant le 28 mai 2003 et qu’en conséquence il était dépourvu de nouveauté (Décision du 6 juin 2016). L’EUIPO a retenu que la divulgation avait eu lieu au moyen i) de l’exposition sur le site Internet de Crocs ii) d’une exposition lors d’un salon nautique à Fort Lauderdale en Floride (États-Unis), et iii) de la disponibilité à la vente des sabots auxquels avait été appliqué le dessin (Affaire T-651/16 Crocs, Inc./EUIPO).

Le Tribunal de l’UE a estimé que Crocs n’avait pas démontré que la divulgation ne pouvait raisonnablement être connue des milieux spécialisés opérant dans l’Union européenne et a confirmé l’annulation du dessin communautaire.

http://curia.europa.eu/juris/document/document.jsf?text=&docid=200246&pageIndex=0&doclang=fr&mode=req&dir=&occ=first&part=1&cid=520607[:en]Dans un jugement du 14 mars 2018, le Tribunal de l’UE a confirmé l’annulation de l’enregistrement du dessin de Crocs du fait que celui-ci a été divulgué au public avant son enregistrement.

Le Règlement (CE) no 6/2002 du Conseil du 12 décembre 2001 sur les dessins ou modèles communautaires prévoit la protection d’un dessin ou modèle communautaire dans la mesure où il est nouveau et présente un caractère individuel. Ainsi, un dessin ne peut être considéré comme nouveau s’il a été divulgué au public antérieurement à la période de douze mois précédant la date de priorité revendiquée. Le Règlement prévoit toutefois une exception si le demandeur rapporte la preuve que la divulgation ne pouvait raisonnablement être connue des milieux spécialisés opérant dans l’Union européenne.

En l’espèce, le dessin a été enregistré comme dessin communautaire le 8 février 2005 en revendiquant la priorité d’une demande de brevet des Etats Unis déposée le 28 mai 2004. La société française GIFI Diffusion a introduit auprès de l’EUIPO une demande en nullité du dessin prétendant que le dessin n’était pas nouveau et qu’il aurait été divulgué avant mai 2003 (c’est-à-dire antérieurement à la période de douze mois précédant la date de priorité revendiquée aux Etats-Unis).

L’EUIPO a déclaré la nullité du dessin, considérant que celui-ci avait été divulgué avant le 28 mai 2003 et qu’en conséquence il était dépourvu de nouveauté (Décision du 6 juin 2016). L’EUIPO a retenu que la divulgation avait eu lieu au moyen i) de l’exposition sur le site Internet de Crocs ii) d’une exposition lors d’un salon nautique à Fort Lauderdale en Floride (États-Unis), et iii) de la disponibilité à la vente des sabots auxquels avait été appliqué le dessin (Affaire T-651/16 Crocs, Inc./EUIPO).

Le Tribunal de l’UE a estimé que Crocs n’avait pas démontré que la divulgation ne pouvait raisonnablement être connue des milieux spécialisés opérant dans l’Union européenne et a confirmé l’annulation du dessin communautaire.

http://curia.europa.eu/juris/document/document.jsf?text=&docid=200246&pageIndex=0&doclang=fr&mode=req&dir=&occ=first&part=1&cid=520607

 [:]

RGPD : La CNIL explique sa ligne de conduite dans les prochains mois
By Maëliss Vincent-Moreau

RGPD : La CNIL explique sa ligne de conduite dans les prochains mois

[:fr]Le 19 février 2018, la CNIL a publié sur son site des lignes explicitant la façon dont elle va intervenir dans les prochains mois à l’approche puis après l’entrée en application du RGPD.

Il convient de retenir, notamment, que:

– La CNIL travaille à l’élaboration d’une liste des traitements obligatoirement soumis à analyse d’impact et une liste des traitements pour lesquels, au contraire, aucune analyse n’est requise. Ces listes permettront aux responsables de traitement de savoir plus aisément s’ils sont ou non soumis à cette obligation.

– S’agissant de sa politique de contrôle, la CNIL indique qu’elle continuera à vérifier le respect des dispositions déjà en vigueur (notamment information et consentement) et qu’elle accompagnera les acteurs dans la compréhension des nouvelles obligations (analyse d’impact…).

– La CNIL n’exigera pas des responsables de traitement qu’ils effectuent immédiatement des analyses d’impact pour leurs traitements en cours à la date d’entrée en application du RGPD. En revanche, les responsables devront se mettre en conformité dans un délai maximal de trois ans pour les traitements présentant un risque élevé.

Le communiqué est à retrouver dans son intégralité ici: https://www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periode-transitoire[:en]Le 19 février 2018, la CNIL a publié sur son site des lignes explicitant la façon dont elle va intervenir dans les prochains mois à l’approche puis après l’entrée en application du RGPD.

Il convient de retenir, notamment, que:

– La CNIL travaille à l’élaboration d’une liste des traitements obligatoirement soumis à analyse d’impact et une liste des traitements pour lesquels, au contraire, aucune analyse n’est requise. Ces listes permettront aux responsables de traitement de savoir plus aisément s’ils sont ou non soumis à cette obligation.

– S’agissant de sa politique de contrôle, la CNIL indique qu’elle continuera à vérifier le respect des dispositions déjà en vigueur (notamment information et consentement) et qu’elle accompagnera les acteurs dans la compréhension des nouvelles obligations (analyse d’impact…).

– La CNIL n’exigera pas des responsables de traitement qu’ils effectuent immédiatement des analyses d’impact pour leurs traitements en cours à la date d’entrée en application du RGPD. En revanche, les responsables devront se mettre en conformité dans un délai maximal de trois ans pour les traitements présentant un risque élevé.

Le communiqué est à retrouver dans son intégralité ici: https://www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periode-transitoire[:]

Maëliss Vincent-Moreau
By Maëliss Vincent-Moreau

Maëliss Vincent-Moreau

Maëliss Vincent-Moreau, fondatrice du cabinet MVM Avocats, est avocate au Barreau de Paris.

Avant de prêter le serment d’Avocat en 2006, Maëliss a occupé la fonction de juriste international pendant trois ans dans une société prestataire dans le domaine pharmaceutique. Elle a ensuite exercé comme avocate pendant 7 ans dans les départements propriété intellectuelle et nouvelles technologies de deux structures reconnues pour leur exigence et leur expertise en droit des affaires (PwC Avocats et Aramis). Elle a enfin travaillé près de 3 ans comme juriste internationale au sein d’Europ Assistance Holding avant de fonder son Cabinet en Janvier 2016.

Maëliss assiste ses clients tant en conseil qu’en contentieux, en droit des affaires et droit des contrats ainsi que dans les domaines des nouvelles technologies (informatique, protection des données à caractère personnel), de la propriété intellectuelle et des médias (droits d’auteur, dessins et modèles, marques et noms de domaine).

Sa formation dans des structures exigeantes, son expérience et sa culture d’entreprise lui permettent d’appréhender les problématiques juridiques quotidiennes de ses clients tout en adoptant une démarche pragmatique.

Maëliss a travaillé dans des environnements internationaux et conseille tant des sociétés françaises qu’étrangères. Elle travaille en français et en anglais.

Maëliss est diplômée d’un DEA en droit des Contrats de l’Université de Lille 2 et d’un Master 2 Professionnel en Droit des créations numériques des Universités de Paris I et Paris XI.

Maëliss est membre de l’Association Internationale des Jeunes Avocats (AIJA).

Sécurité des données personnelles: la CNIL met à disposition un nouveau guide
By Maëliss Vincent-Moreau

Sécurité des données personnelles: la CNIL met à disposition un nouveau guide

[:fr]La CNIL a mis à disposition ce jour un nouveau guide de la sécurité des données personnelles.

Pour mémoire, le Règlement européen n° 2016/679, dit « RGPD » (dont l’entrée en application est prévue le 26 Mai 2018), renforce les obligations de sécurité à la charge du responsable de traitement. Ainsi, l’article 32 du RGPD dispose que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Ce guide, qui a pour objet d’aider les responsables de traitement dans leur mise en conformité, rappelle les précautions élémentaires qui devraient être mises en œuvre de façon systématique.

https://www.cnil.fr/fr/un-nouveau-guide-de-la-securite-des-donnees-personnelles[:en]La CNIL a mis à disposition ce jour un nouveau guide de la sécurité des données personnelles.

Pour mémoire, le Règlement européen n° 2016/679, dit « RGPD » (dont l’entrée en application est prévue le 26 Mai 2018), renforce les obligations de sécurité à la charge du responsable de traitement. Ainsi, l’article 32 du RGPD dispose que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Ce guide, qui a pour objet d’aider les responsables de traitement dans leur mise en conformité, rappelle les précautions élémentaires qui devraient être mises en œuvre de façon systématique.

https://www.cnil.fr/fr/un-nouveau-guide-de-la-securite-des-donnees-personnelles[:]

La CNIL prononce une sanction de 100.000 euros à l’encontre de DARTY pour défaut de sécurité des données de ses clients dans le cadre du SAV
By Maëliss Vincent-Moreau

La CNIL prononce une sanction de 100.000 euros à l’encontre de DARTY pour défaut de sécurité des données de ses clients dans le cadre du SAV

[:fr]La formation restreinte de la CNIL a prononcé, le 8 janvier 2018, une sanction de 100 000 euros à l’encontre de la société DARTY pour ne pas avoir suffisamment sécurisé les données de clients ayant effectué une demande en ligne de service après-vente (article 34 de la Loi Informatique et Libertés).

Lors d’un contrôle en ligne réalisé en mars 2017, les équipes de la CNIL ont constaté qu’une défaillance de sécurité permettait d’accéder librement à l’ensemble des demandes et des données renseignées par les clients de la société, via un formulaire en ligne de demande de service après-vente. Plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients étaient potentiellement accessibles. Bien que la faille ait été notifiée à la société, celle-ci n’était toujours pas corrigée lors du contrôle sur place réalisé quinze jours plus tard par la CNIL.

La CNIL a considéré que le simple fait que la société fasse appel à un prestataire sous-traitant ne la décharge pas de son obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement.

La CNIL vient préciser les obligations du responsable de traitement en matière de sécurisation des données personnelles. Afin de se conformer à ses obligations au titre de l’article 34 de la Loi Informatique et Libertés, le responsable de traitement doit, d’une part, procéder à des tests de vulnérabilité de ses outils et, d’autre part, désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires.

La CNIL estime qu’en l’espèce, la société aurait dû s’assurer préalablement que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients.

Par ailleurs, la société aurait dû, en sa qualité de responsable de traitement, procéder de façon régulière à la revue des formulaires permettant d’alimenter l’outil de gestion des demandes de service après-vente.

 

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000036403140&fastReqId=306045536&fastPos=1[:en]La formation restreinte de la CNIL a prononcé, le 8 janvier 2018, une sanction de 100 000 euros à l’encontre de la société DARTY pour ne pas avoir suffisamment sécurisé les données de clients ayant effectué une demande en ligne de service après-vente (article 34 de la Loi Informatique et Libertés).

Lors d’un contrôle en ligne réalisé en mars 2017, les équipes de la CNIL ont constaté qu’une défaillance de sécurité permettait d’accéder librement à l’ensemble des demandes et des données renseignées par les clients de la société, via un formulaire en ligne de demande de service après-vente. Plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients étaient potentiellement accessibles. Bien que la faille ait été notifiée à la société, celle-ci n’était toujours pas corrigée lors du contrôle sur place réalisé quinze jours plus tard par la CNIL.

La CNIL a considéré que le simple fait que la société fasse appel à un prestataire sous-traitant ne la décharge pas de son obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement.

La CNIL vient préciser les obligations du responsable de traitement en matière de sécurisation des données personnelles. Afin de se conformer à ses obligations au titre de l’article 34 de la Loi Informatique et Libertés, le responsable de traitement doit, d’une part, procéder à des tests de vulnérabilité de ses outils et, d’autre part, désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires.

La CNIL estime qu’en l’espèce, la société aurait dû s’assurer préalablement que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients.

Par ailleurs, la société aurait dû, en sa qualité de responsable de traitement, procéder de façon régulière à la revue des formulaires permettant d’alimenter l’outil de gestion des demandes de service après-vente.

 

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000036403140&fastReqId=306045536&fastPos=1[:]

RGPD : La CNIL rend son avis relatif au projet de loi relatif à la protection des données
By Maëliss Vincent-Moreau

RGPD : La CNIL rend son avis relatif au projet de loi relatif à la protection des données

[:fr]La CNIL a pris connaissance du projet de loi relatif à la protection des données personnelles et a publié son avis.

Ce texte permettra la mise en œuvre du Règlement européen 2016/679 du 27 avril 2016 dit « RGPD » et de la Directive européenne 2016/680 du même jour, applicable aux fichiers de la sphère pénale, applicable elle aussi en mai 2018.

La CNIL regrette notamment le calendrier trop tardif retenu pour l’examen du texte ainsi que le risque important de manque de lisibilité des nouvelles dispositions. La loi adoptée consisterait en des modifications « a minima » et renverrait à l’adoption ultérieure d’une ordonnance refondant plus profondément la réglementation.

https://www.cnil.fr/fr/la-cnil-publie-son-avis-sur-le-projet-de-loi-relatif-la-protection-des-donnees-personnelles

 [:en]La CNIL a pris connaissance du projet de loi relatif à la protection des données personnelles et a publié son avis.

Ce texte permettra la mise en œuvre du Règlement européen 2016/679 du 27 avril 2016 dit « RGPD » et de la Directive européenne 2016/680 du même jour, applicable aux fichiers de la sphère pénale, applicable elle aussi en mai 2018.

La CNIL regrette notamment le calendrier trop tardif retenu pour l’examen du texte ainsi que le risque important de manque de lisibilité des nouvelles dispositions. La loi adoptée consisterait en des modifications « a minima » et renverrait à l’adoption ultérieure d’une ordonnance refondant plus profondément la réglementation.

https://www.cnil.fr/fr/la-cnil-publie-son-avis-sur-le-projet-de-loi-relatif-la-protection-des-donnees-personnelles

 [:]

Enceintes connectées : la CNIL publie un guide des bonnes pratiques
By Maëliss Vincent-Moreau

Enceintes connectées : la CNIL publie un guide des bonnes pratiques

[:fr]Une enceinte intelligente trônera-t-elle sous votre sapin cette année ? Accessoires high-tech en vogue, l’utilisation de ces enceintes n’est pas sans risque pour la sécurité des données des utilisateurs.

Dotées d’un haut-parleur et d’un micro qui intègre un assistant vocal, les enceintes connectées répondent aux questions, communiquent la météo, le cours de la Bourse, lancent la musique, mettent à jour l’agenda… Seulement, pour effectuer toutes ces tâches, l’enceinte, en veille permanente, enregistre des conversations et stockent des informations dans le cloud.

La CNIL a publié le 5 décembre 2017 un guide de bonnes pratiques afin de sensibiliser à l’usage de tels appareils, notamment en présence d’enfants dans le foyer.

La CNIL recommande ainsi de :
– Encadrer les interactions des enfants avec ce type d’appareils (rester dans la pièce, éteindre le dispositif lorsqu’on n’est pas avec eux) ;
– Couper le micro / éteindre l’appareil lorsque l’on ne s’en sert pas où lorsqu’on ne souhaite pas pouvoir être écouté ;
– Avertir des tiers/invités de l’enregistrement potentiel des conversations (ou couper le micro lorsqu’il y a des invités)
– Vérifier que l’enceinte est bien réglée par défaut pour filtrer les informations à destination des enfants.

La CNIL alerte les utilisateurs sur le fait que les informations collectées par l’appareil sont susceptibles de venir enrichir leur profil publicitaire.

La recommandation de la CNIL est disponible dans son intégralité ici : https://www.cnil.fr/fr/enceintes-intelligentes-des-assistants-vocaux-connectes-votre-vie-privee

 [:en]Une enceinte intelligente trônera-t-elle sous votre sapin cette année ? Accessoires high-tech en vogue, l’utilisation de ces enceintes n’est pas sans risque pour la sécurité des données des utilisateurs.

Dotées d’un haut-parleur et d’un micro qui intègre un assistant vocal, les enceintes connectées répondent aux questions, communiquent la météo, le cours de la Bourse, lancent la musique, mettent à jour l’agenda… Seulement, pour effectuer toutes ces tâches, l’enceinte, en veille permanente, enregistre des conversations et stockent des informations dans le cloud.

La CNIL a publié le 5 décembre 2017 un guide de bonnes pratiques afin de sensibiliser à l’usage de tels appareils, notamment en présence d’enfants dans le foyer.

La CNIL recommande ainsi de :
– Encadrer les interactions des enfants avec ce type d’appareils (rester dans la pièce, éteindre le dispositif lorsqu’on n’est pas avec eux) ;
– Couper le micro / éteindre l’appareil lorsque l’on ne s’en sert pas où lorsqu’on ne souhaite pas pouvoir être écouté ;
– Avertir des tiers/invités de l’enregistrement potentiel des conversations (ou couper le micro lorsqu’il y a des invités)
– Vérifier que l’enceinte est bien réglée par défaut pour filtrer les informations à destination des enfants.

La CNIL rappelle par ailleurs aux utilisateurs que les informations collectées par l’appareil sont susceptibles de venir enrichir leur profil publicitaire.

La recommandation de la CNIL est disponible dans son intégralité ici : https://www.cnil.fr/fr/enceintes-intelligentes-des-assistants-vocaux-connectes-votre-vie-privee

 [:]

Jouets connectés: la CNIL met en demeure la société fabriquant la poupée Cayla et le robot « I-QUE » pour défaut de sécurité et défaut d’information
By Maëliss Vincent-Moreau

Jouets connectés: la CNIL met en demeure la société fabriquant la poupée Cayla et le robot « I-QUE » pour défaut de sécurité et défaut d’information

[:fr]Noël et sa liste de cadeaux plus ou moins technologiques…

L’an dernier, nous avions relayé l’alerte lancée par l’association européenne de défense des consommateurs (BEUC) sur le défaut de sécurité de plusieurs jouets connectés.

Un an plus tard, la CNIL a rendu publique une mise en demeure à l’encontre d’une société de droit Hong-Kongais qui fabrique une poupée et un robot connecté.

Après vérifications en janvier, mars et novembre 2017, la CNIL a relevé plusieurs manquements à la loi Informatique et Libertés.

  • La CNIL a notamment constaté l’absence de sécurisation des jouets : une personne possédant un dispositif équipé d’un système de communication Bluetooth peut se connecter, à l’insu des enfants et des propriétaires des jouets, et avoir accès aux discussions échangées voire diffuser des sons ou propos via le jouet. La CNIL estime ainsi qu’un tel jouet méconnait l’article 1er de la loi Informatique et Libertés selon lequel l’Informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

 

  • Les contrôleurs de la CNIL ont également constaté que la société fabricante collecte de nombreuses informations personnelles sur les enfants et leur entourage notamment dans le cadre d’un formulaire de l’application « My Friend Cayla App » mais également directement auprès du jouet (voix, contenu des conversations échangées avec le jouet), ces dernières étant transférées auprès d’un prestataire de service situé hors de l’Union européenne. Or, les utilisateurs des jouets n’ont pas été informés des traitements ainsi mis en œuvre ni du transfert des données hors UE.

Au regard de l’atteinte à la vie privée constatée, de la particulière vulnérabilité du public concerné et de la nécessité d’informer les personnes de cette absence de sécurisation, la Présidente de la CNIL a mis en demeure la société GENESIS INDUSTRIES LIMITED de se conformer à la loi française dans un délai de deux mois. Le Bureau de la CNIL a décidé de rendre publique cette mise en en demeure.

A noter : Le Règlement européen 2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR ») qui entrera en application le 25 mai 2018 renforce l’obligation d’information à la charge du responsable de traitement (information claire et précise notamment sur l’utilisation qui sera faite des données) ainsi que les modalités de recueil du consentement.
Lorsque la personne concernée est un mineur de moins de 16 ans (le RGPD laisse la possibilité aux Etats membres d’abaisser à 13 ans cet âge), le responsable de traitement doit s’efforcer raisonnablement de vérifier que le consentement est donné par le titulaire de l’autorité parentale, compte tenu des moyens technologiques disponibles.

Par ailleurs, le Règlement impose au responsable de traitement de notifier les violations de données à caractère personnel à la CNIL et d’informer la personne concernée de toute violation de ses données lorsque celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. Cette information doit être claire et simple. Le Règlement prévoit des dérogations à cette information individuelle, notamment lorsque cette communication exigerait des efforts disproportionnés, auquel cas, il devrait être procédé à une communication publique.

Enfin, le RGPD accroit sensiblement les sanctions en cas de non-conformité : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Les décisions de la CNIL sont disponibles ici : https://www.cnil.fr/sites/default/files/atoms/files/deliberation-med-2017-295.pdf

https://www.cnil.fr/sites/default/files/atoms/files/decision-med-2017-073.pdf

 [:en]Noël et sa liste de cadeaux plus ou moins technologiques…

L’an dernier, nous avions relayé l’alerte lancée par l’association européenne de défense des consommateurs (BEUC) sur le défaut de sécurité de plusieurs jouets connectés.

Un an plus tard, la CNIL a rendu publique une mise en demeure à l’encontre d’une société de droit Hong-Kongais qui fabrique une poupée et un robot connecté.

Après vérifications en janvier, mars et novembre 2017, la CNIL a relevé plusieurs manquements à la loi Informatique et Libertés.

  • La CNIL a notamment constaté l’absence de sécurisation des jouets : une personne possédant un dispositif équipé d’un système de communication Bluetooth peut se connecter, à l’insu des enfants et des propriétaires des jouets, et avoir accès aux discussions échangées voire diffuser des sons ou propos via le jouet. La CNIL estime ainsi qu’un tel jouet méconnait l’article 1er de la loi Informatique et Libertés selon lequel l’Informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

 

  • Les contrôleurs de la CNIL ont également constaté que la société fabricante collecte de nombreuses informations personnelles sur les enfants et leur entourage notamment dans le cadre d’un formulaire de l’application « My Friend Cayla App » mais également directement auprès du jouet (voix, contenu des conversations échangées avec le jouet), ces dernières étant transférées auprès d’un prestataire de service situé hors de l’Union européenne. Or, les utilisateurs des jouets n’ont pas été informés des traitements ainsi mis en œuvre ni du transfert des données hors UE.

Au regard de l’atteinte à la vie privée constatée, de la particulière vulnérabilité du public concerné et de la nécessité d’informer les personnes de cette absence de sécurisation, la Présidente de la CNIL a mis en demeure la société GENESIS INDUSTRIES LIMITED de se conformer à la loi française dans un délai de deux mois. Le Bureau de la CNIL a décidé de rendre publique cette mise en en demeure.

A noter : Le Règlement européen 2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR ») qui entrera en application le 25 mai 2018 renforce l’obligation d’information à la charge du responsable de traitement (information claire et précise notamment sur l’utilisation qui sera faite des données) ainsi que les modalités de recueil du consentement.
Lorsque la personne concernée est un mineur de moins de 16 ans (le RGPD laisse la possibilité aux Etats membres d’abaisser à 13 ans cet âge), le responsable de traitement doit s’efforcer raisonnablement de vérifier que le consentement est donné par le titulaire de l’autorité parentale, compte tenu des moyens technologiques disponibles.

Par ailleurs, le Règlement impose au responsable de traitement de notifier les violations de données à caractère personnel à la CNIL et d’informer la personne concernée de toute violation de ses données lorsque celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. Cette information doit être claire et simple. Le Règlement prévoit des dérogations à cette information individuelle, notamment lorsque cette communication exigerait des efforts disproportionnés, auquel cas, il devrait être procédé à une communication publique.

Enfin, le RGPD accroit sensiblement les sanctions en cas de non-conformité : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Les décisions de la CNIL sont disponibles ici : https://www.cnil.fr/sites/default/files/atoms/files/deliberation-med-2017-295.pdf
https://www.cnil.fr/sites/default/files/atoms/files/decision-med-2017-073.pdf[:]

Le RGPD en 10 questions
By Maëliss Vincent-Moreau

Le RGPD en 10 questions

Le Règlement européen 2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR ») entrera en application le 25 mai 2018.

D’application immédiate (il n’est pas nécessaire que le législateur français adopte une loi pour le transposer), le RGPD pose un nouveau cadre de règles et vient en particulier renforcer les droits des personnes concernées par des traitements de données.

200 jours avant son entrée en application, il est temps de démystifier le RGPD et de faire le point sur les changements que le Règlement opère dans le traitement des données personnelles.

1- Le RGPD : Révolution ou continuité ?

Non, le RGPD n’est pas une révolution ! Il reprend les principes et préceptes existants tout en renforçant les droits des personnes physiques (information et consentement) et en imposant aux responsables de traitement de prendre en compte les aspects de protection des données personnelles dès la conception des produits et services (« privacy by design »). La sévérité des sanctions en cas de non-conformité (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial) est, en revanche, une vraie révolution.

2 - A qui s’applique le RGPD ?

Peu de chances d’ « échapper » au RGPD, les responsables de traitement sont concernés par le Règlement dès lors que :
- Des données à caractère personnel font l’objet d’un traitement sur le territoire de l’Union européenne ;
- Le responsable de traitement ou le sous-traitant sont établis sur le territoire de l’Union européenne ;
- Les personnes concernées par le traitement sont des citoyens ou ressortissants européens.

3 - Qu’est-ce que le concept d’ « accountability » ?

L’une des notions phare du RGPD est le concept d' « accountability » selon lequel un responsable de traitement doit être en mesure d’attester et donc de démontrer à son autorité de contrôle qu’il se conforme à la réglementation applicable en matière de protection des données personnelles. En pratique, le régime des déclarations préalables à toute mise en œuvre d’un traitement auprès de la CNIL devrait disparaître pour être remplacé par un registre de traitements que l’entreprise tiendra à disposition de la CNIL en cas de contrôle. Cela implique que l’ensemble des traitements soient listés (et les flux de données cartographiés) et que le registre soit mis à jour régulièrement.

4 - Quelles sont les modifications en termes d’information et de consentement des personnes ?

La loi du 6 janvier 1978 dite « Loi Informatique et libertés » imposait déjà au responsable de traitement d’informer la personne physique de ses droits et de recueillir son consentement préalablement au traitement des données.
Le RGPD renforce l’obligation d’information à la charge du responsable de traitement (information claire et précise notamment sur l’utilisation qui sera faite des données) ainsi que les modalités de recueil du consentement. Le consentement doit être libre, spécifique, éclairé et univoque. Autrement dit, le consentement ne peut se déduire d’une case pré-cochée ou d’une absence d’action. L’utilisateur peut le révoquer à tout moment.
Lorsque la personne concernée est un mineur de moins de 16 ans (le RGPD laisse la possibilité aux Etats membres d’abaisser à 13 ans cet âge), le RGPD dispose que le responsable de traitement doit s'efforcer raisonnablement de vérifier que le consentement est donné par le titulaire de l’autorité parentale, compte tenu des moyens technologiques disponibles.
Il convient donc de mettre en place et de documenter les mesures techniques et organisationnelles appropriées afin de prouver que les principes mentionnés ci-dessus ont été pris en compte lors de la collecte des données personnelles.

5 - En quoi consiste une analyse d’impact ?

Recenser les traitements permet d’identifier les traitements comportant un risque élevé pour les droits et libertés des personnes compte tenu de leur nature, de leur portée, du contexte et des finalités du traitement. Dans une telle hypothèse, le responsable de traitement devra conduire une analyse d’impact sur la vie privée (« privacy impact assessment » ou « PIA ») afin d’identifier les risques probables d’atteinte aux droits des personnes, leur gravité, et les mesures adoptées ou devant être adoptées pour sécuriser le traitement.

6 - Est-ce obligatoire de nommer un Data Protection Officer ?

Le Data Protection Officer (« DPO »), ou Délégué à la Protection des Données, vise à remplacer l’actuel Correspondant Informatique et Libertés (« CIL »).
La désignation d’un DPO par le responsable de traitement sera obligatoire dans un certain nombre d’hypothèses :
- si le responsable de traitement appartient au secteur public ;
- Si son activité principale l’amène à réaliser un suivi régulier et systématique des personnes à grande échelle ;
- Si son activité principale l’amène à traiter à grande échelle des données particulières ou relatives à des condamnations pénales ou à des infractions.
Dans les autres cas, la désignation du DPO ne sera pas obligatoire, mais toutefois fortement recommandée pour s’assurer de la conformité au RGPD.

7 - Le droit à la portabilité des données, c’est nouveau ?

Le RGPD consacre le droit à la portabilité des données, et permet ainsi aux personnes concernées par les traitements de récupérer l’ensemble de leurs données fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers (par exemple, le transfert d’une playlist Spotify vers Deezer)
Ce droit a déjà été introduit en droit français par la loi pour une République numérique du 7 octobre 2016 aux articles L.224-42-1 à L.224-42-4 du Code de la consommation. Toutefois, dans l’attente d’un décret d’application, les modalités d’application de ce texte restent à préciser.

8 - Quel est le périmètre de l’obligation de notifier une faille de sécurité ?

Jusqu’ici applicable aux seuls fournisseurs de services de communications électroniques, le Règlement généralise l'obligation de notifier les violations de données à caractère personnel à la CNIL. Ainsi, toute violation de sécurité entrainant la destruction, la perte, l'altération, la divulgation des données à caractère personnel traitées devra être notifiée auprès de la CNIL dans les meilleurs délais et, si possible, dans un délai de 72 heures au plus tard après la prise de connaissance de la violation. En cas de sous-traitance du traitement des données, il convient donc d’imposer au prestataire une obligation de notification similaire au responsable de traitement.
En outre, le responsable du traitement doit informer la personne concernée de toute violation de ses données à caractère personnel lorsque celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. Cette information doit être claire et simple. Le Règlement prévoit des dérogations à cette information individuelle, notamment lorsque cette communication exigerait des efforts disproportionnés, auquel cas, il devrait être procédé à une communication publique.

9 - Quel est l’impact du RGPD sur les sous-traitants ?

Le RGPD renforce la responsabilité du sous-traitant dans le traitement des données du responsable de traitement. Ainsi, le sous-traitant devra notamment s’engager par écrit à n’agir que sur instructions documentées du client, informer régulièrement son client, garantir la confidentialité et la sécurité des données, justifier des mesures organisationnelles et techniques prises.
Si le sous-traitant manque à ses obligations ou les outrepasse, il sera susceptible d’engager sa propre responsabilité (ou conjointement avec le responsable de traitement) et d’être condamné au versement de dommages et intérêts puisque le Règlement pose le principe selon lequel toute victime d'une non-conformité « a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ».
Au regard de ce qui précède, il est important de prêter une attention particulière à la rédaction des clauses « données personnelles » et « responsabilité » dans les contrats de sous-traitance.

10 - Comment se mettre en conformité ?

Faites le point sur les traitements de données personnelles de votre société :
quelles données sont collectées, comment les consentements sont-ils recueillis,
quelles informations sont communiquées aux personnes concernées,
comment sont traitées ces données (utilisation, hébergement, transfert à l’étranger, archivage, suppression…),
Interrogez-vous sur l’obligation, ou le cas échéant l’opportunité, de nommer un Data Protection Officer. Si un CIL a déjà été nommé au sein de la société, définissez ses futures missions en tant que DPO,
Revoyez les processus internes pour vous assurer de leur conformité au RGPD,
Listez vos contrats sous-traitants et revoyez-les afin de vous assurer de leur conformité au RGPD.