Stop Covid: la CNIL rend son avis sur le projet d’application de tracing

Stop Covid: la CNIL rend son avis sur le projet d’application de tracing

Afin de lutter contre la pandémie de COVID-19 et encadrer au mieux le déconfinement, le Gouvernement français prévoit de déployer, sur la base du volontariat, l’application mobile « StopCovid ».

Cette application de « contact tracing » a pour objectif d’alerter les personnes l’ayant téléchargée du fait qu’elles ont été à proximité de personnes diagnostiquées positives au COVID-19 et disposant de la même application. L’application repose sur l’utilisation de la technologie « Bluetooth », sans recourir à une géolocalisation des individus.

Saisis par le Secrétaire d’Etat chargé du numérique, le 20 avril 2020, d’une demande d’avis relative aux conditions et modalités de l’éventuelle mise en œuvre de l’application « StopCovid », les membres du collège de la CNIL se sont prononcés le 24 avril 2020 sur la mise en place de cette application.

Tout en reconnaissant la situation sanitaire exceptionnelle à laquelle la France est confrontée, la CNIL rappelle qu’une application de portée nationale ne doit pas porter atteinte aux principes constitutionnels que sont la protection de la vie privée et la liberté de mouvement et « ne doit être justifiée que par la nécessité de répondre à un autre principe constitutionnel, à savoir la protection de la santé ».

La CNIL alerte sur le fait que « le recours à des formes inédites de traitement de données peut en outre créer dans la population un phénomène d’accoutumance propre à dégrader le niveau de protection de la vie privée et doit donc être réservé à certaines situations exceptionnelles ».

La CNIL confirme que l’application traitera des données personnelles. En effet, bien que les données soient pseudonymisées, elles sont rattachées à un numéro de téléphone portable. La mise en œuvre de l’application doit donc se faire conformément à la loi Informatique et Libertés de 1978 et au RGPD.

La CNIL estime le dispositif conforme au Règlement général sur la protection des données (RGPD) sous réserve que certaines conditions soient respectées.

  • Un usage volontaire de l’application

Si l’usage de l’application est volontaire (installation, utilisation, désinstallation de l’application), la CNIL précise que cela implique qu’il n’y ait aucune conséquence négative en cas de non-utilisation, en particulier pour l’accès aux tests et aux soins, mais également pour l’accès à certains services à la levée du confinement, tels que les transports en commun. Les utilisateurs de l’application ne devraient pas être non plus contraints de sortir en possession de leurs équipements mobiles et les institutions publiques ou les employeurs ou toute autre personne ne devraient pas subordonner certains droits ou accès à l’utilisation de cette application.

 

  • La base légale du traitement

l’existence d’une mission d’intérêt public de lutte contre l’épidémie de COVID-19.
La CNIL recommande que le recours à un dispositif volontaire de suivi de contact pour gérer la crise sanitaire actuelle dispose d’un fondement juridique explicite et précis dans le droit national : une loi ou une ordonnance devrait être prise à cet égard pour encadrer la mise en œuvre de l’application.

 

  • Une application conforme au principe de « privacy by design »

La CNIL reconnaît que l’application respecte le concept de protection des données dès la conception, car l’application utilise des pseudonymes et ne permettra pas de remontée de listes de personnes contaminées.

 

  • Les recommandations de la CNIL

La CNIL estime que l’application peut être déployée, conformément au RGPD, si son utilité pour la gestion de la crise est suffisamment avérée et si certaines garanties sont apportées.

En particulier, son utilisation doit être temporaire et les données doivent être conservées pendant une durée limitée. La CNIL recommande donc que l’impact du dispositif sur la situation sanitaire soit étudié et documenté de manière régulière, pour aider les pouvoirs publics à décider ou non de son maintien.

Dans son avis, la CNIL souligne que l’efficacité de l’application dépendra, notamment, de sa disponibilité dans les magasins d’application (appstore, playstore…), d’une large adoption par le public (une information claire devra être apportée aux utilisateurs) et d’un paramétrage adéquat.

Dans le cas où le recours à ce dispositif serait adopté à l’issue du débat au Parlement, la CNIL émet des recommandations portant sur l’architecture et la sécurisation de l’application. Elle souligne que l’ensemble de ces précautions et garanties est de nature à favoriser la confiance du public dans ce dispositif, qui constitue un facteur déterminant de sa réussite et de son utilité.

La CNIL recommande également qu’une analyse d’impact soit menée avant toute mise en œuvre.

Enfin, la Commission demande à pouvoir se prononcer à nouveau après la tenue du débat au Parlement, afin d’examiner les modalités définitives de mise en œuvre du dispositif, s’il était décidé d’y recourir.

Pour prendre connaissance de la Délibération de la CNIL n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid » dans son intégralité : https://www.cnil.fr/sites/default/files/atoms/files/deliberation_du_24_avril_2020_portant_avis_sur_un_projet_dapplication_mobile_stopcovid.pdf

Contrôles de la CNIL en 2020, quelle stratégie ?

Contrôles de la CNIL en 2020, quelle stratégie ?

Le 12 mars 2020, la CNIL a publié sa stratégie de contrôle pour l’année 2020. La CNIL indique qu’en complément des contrôles faisant suite à des plaintes, à l’actualité ou à des mesures correctrices, elle va axer son action autour de trois thèmes principaux : (i) les données de santé, (ii) la géolocalisation pour les services de proximité et (iii) les cookies et autres traceurs.

La CNIL précise que plus d’une cinquantaine de contrôles seront réalisés autour de ces trois thèmes.

L’autorité de contrôle française annonce qu’elle va également poursuivre la coopération avec les autres autorités de protection des données européennes pour les traitements transfrontaliers.

(i) Les données de santé

Les données de santé sont des données sensibles au sens de l’article 9 du RGPD et font régulièrement la une de l’actualité. La CNIL cite ainsi le développement constant des nouvelles technologies (télémédecine, objets connectés) ainsi que les incidents de sécurité.

La CNIL annonce donc qu’une attention particulière sera portée sur les traitements concernant ce type de données, et notamment au regard des mesures de sécurité mises en œuvre par les professionnels de santé qui agissent en tant que responsable de traitement ou sous-traitant.

(ii) La géolocalisation pour les services de proximité

Actuellement, de nombreuses solutions se développent afin de faciliter la vie quotidienne des personnes. La CNIL prend pour exemple les applications relatives au transport permettant de connaître le meilleur moyen de transport ou itinéraire, lesquelles sont souvent associées à de la géolocalisation.

Or, la géolocalisation pose la question des risques d’atteinte à la vie privée des utilisateurs de ces applications.

La CNIL annonce ainsi que, lors de ses contrôles, elle portera une attention particulière à la proportionnalité des données collectées, leur durée de conservation, l’information délivrée aux personnes et les mesures de sécurité mises en œuvre.

(iii) Les cookies et autres traceurs

Le 4 juillet 2019, la CNIL a publié de nouvelles lignes directrices concernant les cookies et autres traceurs en application de l’article 82 de la loi n°78-17 du 6 janvier 1978 dite « Loi Informatique et Libertés » (délibération n°2019-093 du 4 juillet 2019).

Ces lignes directrices devaient être complétées par la publication, début avril 2020, de nouvelles recommandations.

Cependant, en raison de la crise du Covid-19, la CNIL a reporté sine die l’adoption de la version définitive des recommandations (cf. notre article sur le sujet).

La CNIL a précisé que les utilisateurs de cookies disposeront d’un délai de 6 mois pour adapter leur pratique de cookies et se mettre en conformité avec la nouvelle règlementation.

La CNIL repousse sine die l’adoption de nouvelles recommandations en matière de cookies

La CNIL repousse sine die l’adoption de nouvelles recommandations en matière de cookies

A la suite de l’entrée en vigueur du RGPD le 25 mai 2018, la CNIL a publié le 4 juillet 2019 de nouvelles lignes directrices concernant les cookies et autres traceurs en application de l’article 82 de la loi n°78-17 du 6 janvier 1978 dite « Loi Informatique et Libertés » (délibération n°2019-093 du 4 juillet 2019 : lien).

Toutefois, la CNIL a indiqué que ces lignes directrices devaient être complétées par de nouvelles recommandations.

Début 2020, la CNIL a ainsi publié un projet de recommandations « Cookies et autres traceurs » concernant les modalités pratiques de recueil du consentement de l’internaute par les opérateurs utilisant des traceurs.

Ce projet de recommandations a été soumis à une consultation publique qui a pris fin le 25 février 2020. Une version définitive des recommandations devait être quant à elle publiée début avril 2020.

Cependant, en raison de la crise du Covid-19, la CNIL a décidé de reporter l’adoption de la version définitive des recommandations et aucune date n’a aujourd’hui été fixée par la CNIL.

La CNIL avait d’ores et déjà précisé en juillet 2019 que les éditeurs de sites internet faisant usage de cookies disposeraient d’un délai de six mois à compter de la publication de la nouvelle version des recommandations pour adapter leurs pratiques et se mettre en conformité avec la nouvelle règlementation.

Droit des marques : nouveau cadre.

Droit des marques : nouveau cadre.

L’ordonnance n°2019-1169 du 13 novembre 2019 relative aux marques de produits ou de services (ci-après, l’Ordonnance) est venue parfaire la transposition en droit français de la directive (UE) 2015/2436 du 16 décembre 2015. L’Ordonnance est entrée en vigueur le 11 décembre dernier concomitamment au décret d’application n°2019-1316 du 9 décembre 2019 relatif aux marques de produits ou de services. Ce dernier précise les modalités d’application de certaines dispositions de l’Ordonnance.

Ces textes modifient en profondeur le droit des marques et le Code de la propriété intellectuelle, notamment sur les points suivants :

Procédure d’opposition

L’ordonnance modifie la procédure d’opposition devant l’Institut national de la propriété intellectuelle (INPI).

De nouveaux droits antérieurs sont invocables dans le cadre d’une procédure d’opposition.

Le nouvel article L.712-4 du Code de la propriété intellectuelle établit une liste de droits antérieurs permettant à un titulaire de fonder une opposition à enregistrement d’une demande de marque. La procédure d’opposition n’est plus seulement permise aux titulaires de marques antérieures.
Les titulaires de dénominations sociales, noms commerciaux, enseignes et noms de domaine antérieurs peuvent désormais faire opposition à l’enregistrement d’une marque.

Dans le cadre d’un dépôt de marque, nous recommandons d’effectuer une recherche d’antériorités approfondie afin de connaître l’ensemble des antériorités, c’est-à-dire non seulement les marques antérieures mais également les dénominations sociales, noms commerciaux et noms de domaines antérieurs et ainsi limiter les risques d’opposition à l’enregistrement.
Nous recommandons par ailleurs aux titulaires de marques de mettre en place une veille des demandes de dépôts de marques similaires ou identiques à leurs signes.

L’Ordonnance modifie la procédure d’opposition devant l’INPI.

Le délai d’opposition reste de deux mois à compter de la publication de la demande de marque faisant l’objet de l’opposition au BOPI (Bulletin Officiel de la Propriété Industrielle). Toutefois, il est instauré un délai supplémentaire d’un mois suivant l’expiration de ce délai de deux mois pour communiquer à l’INPI l’argumentation à l’appui de l’opposition (exposé des moyens et pièces) (article R.712-14 du Code de la propriété intellectuelle).
En pratique, cela laisse plus de temps au déposant pour préparer le mémoire à l’appui de sa demande d’opposition.
Enfin, l’Ordonnance introduit l’obligation pour l’opposant de prouver un usage de la marque pour tous les produits et services servant de base à l’opposition s’il s’agit d’une marque antérieure enregistrée depuis plus de cinq ans, ou de justifier l’existence de justes motifs pour le non-usage (article L. 712-5-1 du Code de la propriété intellectuelle). Si l’opposant ne peut justifier d’un usage sérieux de ladite marque ou de justes motifs de non-usage, l’opposition fondée sur une marque antérieure enregistrée depuis plus de cinq ans sera rejetée.

Une fois la marque enregistrée, nous vous recommandons de documenter l’usage de la marque pour les différents produits et services pour lesquels la marque est enregistrée afin d’obtenir des éléments de preuve de cet usage, ou le cas échéant du non-usage, dans l’hypothèse de contentieux ultérieurs devant l’INPI ou les tribunaux judiciaires (anciennement Tribunal de grande instance).

Nouvelles actions devant l’INPI

De nouvelles actions peuvent être effectuées devant l’INPI : les procédures en nullité ou en déchéance de la marque seront de la compétence exclusive de l’INPI lorsqu’elles sont engagées à titre principal (article L.716-5 du Code de la propriété intellectuelle).
L’Ordonnance simplifie ces procédures afin d’éviter d’engager une action devant les tribunaux judiciaires compétents.
Par exception, les dispositions relatives aux nouvelles procédures administratives en déchéance et en nullité de marque sont entrées en vigueur le 1er avril 2020.
Depuis le 1er avril 2020, l’INPI est exclusivement compétent pour connaître des demandes :

  • fondées à titre principal sur un motif absolu de refus (art. L. 711-2),
  • formées sur un motif relatif lié aux signes distinctifs et territoriaux (art. L. 711-3, 1° à 5°, 9° et 10°),
  • fondées sur tous les motifs de déchéance.

Les tribunaux judiciaires conservent leur compétence exclusive pour les demandes :

  • en nullité, lorsqu’elles sont fondées sur une atteinte à un droit d’auteur, un droit sur les dessins et modèles ou un droit de la personnalité (art. L. 711-3, 6° à 8°),
  • en nullité et déchéance, lorsqu’elles sont connexes à toute autre demande relevant de leur compétence,
  • en nullité et déchéance, quand des mesures probatoires ou provisoires ou conservatoires ont été ordonnées pour faire cesser une atteinte à un droit de marques et que ces mesures sont en cours d’exécution avant une action au fond (art. L. 716-5).

Ces nouvelles actions devant l’INPI viennent compléter la procédure d’opposition et sont désormais à envisager lors de la défense d’un signe antérieur face à l’enregistrement et l’utilisation d’une marque identique ou similaire postérieure

Allègement des procédures de dépôt de marques au regard de leur représentation graphique

L’Ordonnance procède à un allègement de l’exigence de représentation graphique (article L.711-1 du Code de la propriété intellectuelle). Il suffit désormais que le signe puisse être « représenté dans le registre national des marques de manière à permettre à toute personne de déterminer précisément et clairement l’objet de la protection conférée à son titulaire ».

Cette rédaction ouvre ainsi la possibilité de déposer différents types de signes par de nouveaux moyens techniques tels que des sons ou des vidéos.

Dans le cadre du dépôt d’un nouveau type de signe, nous recommandons de déterminer avec un conseil compétent en droit des marques les modalités de représentation autorisées par l’INPI afin que ledit signe soit accepté à l’enregistrement.

Contrefaçon

Les dispositions relatives à l’action en contrefaçon relèvent désormais des articles L. 716-4 et suivants. Le Code de la propriété intellectuelle modifié élargit la liste des personnes autorisées à agir en contrefaçon. L’action peut être intentée, sans l’autorisation du titulaire de la marque, par les licenciés non exclusifs et les personnes habilitées à faire usage d’une marque collective ou de garantie. Le contrat ou le règlement d’usage peut cependant prévoir le contraire (art. L. 716-4-2). Les fins de non-recevoir sont précisées (art. L. 716-4-3 à L. 716-4-5).

Le Cabinet MVM AVOCATS vous assiste dans le dépôt et l’enregistrement de vos signes à titre de marque, notamment dans le cadre de recherches d’antériorités et de défense de droit de marques (action en opposition, action en nullité ou déchéance de marque, saisie-contrefaçon, contrefaçon de marque, concurrence déloyale).

Motifs de refus à enregistrement

L’Ordonnance procède à un élargissement des motifs de refus à l’enregistrement d’une marque (article L.711-2 du Code de la propriété intellectuelle). Ainsi, les indications géographiques, les appellations d’origine ou les marques consistant en la dénomination d’une variété végétale antérieure ne peuvent être valablement enregistrées.

Nous recommandons d’effectuer une recherche permettant d’identifier les signes antérieurs mentionnés ci-dessus pouvant empêcher l’enregistrement d’une marque, et ce avant tout dépôt de marque

(Mise à jour) [COVID-19] Extension des délais devant les Offices de propriété intellectuelle

(Mise à jour) [COVID-19] Extension des délais devant les Offices de propriété intellectuelle

La crise sanitaire du Covid-19 et les différents confinements impactent les procédures de dépôts de titres de propriété industrielle.

Afin de faire face aux mesures exceptionnelles prises par les Etats dans la lutte contre le coronavirus, certains délais de procédure devant les offices de propriété intellectuelle ont été étendus.

L’Office de l’Union Européenne de la Propriété Intellectuelle a décidé (décision n°EX-20-3 du directeur exécutif du 16 mars 2020) que :

  • les délais expirant entre le 9 mars 2020 et le 30 avril 2020 et affectant toutes les parties devant l’Office sont prorogés jusqu’au 1er mai 2020.

Le 1er mai 2020 étant un jour férié, les délais sont en pratique prorogés au 4 mai 2020.

En France, l’ordonnance n°2020-306 du 25 mars 2020 étend tous les délais qui expirent dans la période située entre le 12 mars et un mois après la fin de l’état d’urgence sanitaire. Ces délais sont ainsi reportés à :

  • un mois après la fin de cette période si le délai initial était d’un mois ;
  • deux mois après la fin de cette période si le délai initial était de deux mois ou plus.

Ces reports concernent donc les délais devant l’INPI prévus par le Code de la propriété intellectuelle et notamment les délais :

  • pour procéder à l’opposition à l’enregistrement d’une marque ;
  • pour procéder au renouvellement d’une marque ;
  • pour effectuer des observations ou répondre à une notification de l’INPI dans le cadre d’une procédure déjà initiée.

Toutefois, ces reports ne concernent pas les délais prévus par des accords internationaux ou des textes européens, et notamment le délai de priorité pour une extension internationale d’une marque.

 

Le Cabinet MVM Avocats reste joignable à ses coordonnées habituelles pour toute demande de précision.

Jouets connectés – Mise en garde de la CNIL sur leur sécurisation

Jouets connectés – Mise en garde de la CNIL sur leur sécurisation

Comme tous les ans à l’approche de Noël, la CNIL rappelle quelques conseils sur les jouets connectés et en particulier leur sécurisation.

La CNIL recommande notamment de:
– vérifier que le jouet ne permet pas à n’importe qui de s’y connecter (vérifier que son appairage avec un smartphone ou sur Internet nécessite un bouton d’accès physique au jouet ou l’usage d’un mot de passe) ;
– changer le paramétrage par défaut du jouet (mot de passe, code PIN, etc.) ;
– sécuriser l’accès au compte en ligne attaché au jouet par un mot de passe fort et différent de vos autres comptes ;
– vérifier que l’objet dispose d’un voyant lorsqu’il est en écoute ou en transmission d’informations sur Internet ;
– en dire le moins possible au moment de l’inscription : par exemple, donner une date de naissance aléatoire si le système a besoin de déterminer un âge ;
– créer une adresse mail spécifique pour les jouets utilisés par l’enfant ;
– utiliser au maximum des pseudonymes au lieu du nom/prénom.

L’intégralité des conseils de la CNIL est à retrouver ci-dessous:
https://www.cnil.fr/fr/jouets-connectes-quels-conseils-pour-les-securiser

Annulation de procès-verbaux d’achat réalisés par des stagiaires du cabinet de la société requérante

Annulation de procès-verbaux d’achat réalisés par des stagiaires du cabinet de la société requérante

Dans un litige opposant la société CHRISTIAN DIOR COUTURE à ZARA (INDITEX et FASHION RETAIL) relatif à la contrefaçon d’une paire de lunettes de soleil (protégée au titre du droit d’auteur et du dessin et modèle communautaire non enregistré), la Cour d’appel de Paris a confirmé l’annulation de deux procès-verbaux d’achats réalisés par deux stagiaires au sein du Cabinet de la société requérante.

Les juges ont estimé que « l’absence d’indication dans le procès-verbal de constat d’achat tant en ligne qu’en magasin de la qualité de stagiaire du cabinet du conseil de la société Dior constitue une violation du principe de loyauté dans l’administration de la preuve qui affecte la validité de chacun des deux procès-verbaux de constat d’achat ».

Cour d’appel de Paris, Pôle 5 – chambre 2, 18 octobre 2019, n° 18/08962

Agents immobiliers : la CNIL rappelle les conditions de collecte et conservation des pièces justificatives pour l’accès au logement

Agents immobiliers : la CNIL rappelle les conditions de collecte et conservation des pièces justificatives pour l’accès au logement

La CNIL expose avoir, dans le cadre de son contrôle annuel 2018, procédé à plusieurs vérifications auprès d’agences immobilières pour vérifier les conditions de mises en œuvre des traitements relatifs à la collecte et la conservation des pièces justificatives demandées pour l’accès au logement locatif privé.

Si la nature des documents collectés par les agences immobilières est relativement conforme à la liste du Décret de 2015, la CNIL a constaté des manquements récurrents relatifs à :

  • l’information des personnes concernées quant à leurs droits d’accès et de rectification notamment. Cette information doit se faire au moment de la collecte des données personnelles et peut par exemple s’effectuer par le biais de mentions sur les formulaires d’information ;
  • la durée de conservation des données et notamment des pièces justificatives transmises lors du dépôt d’un dossier de location. Celles-ci doivent être détruites dès lors qu’elles ne sont plus utiles pour la décision d’attribution du logement ou être archivées avec un accès restreint afin de se conformer à ses obligations légales ;
  • aux mesures de sécurité physiques et logiques mises en place compte tenu notamment de la nature des données transmises qui révèlent la situation personnelle et financière des personnes.

Pour mémoire, la CNIL a prononcé le 28 mai 2019 une sanction financière de 400.000 euros à l’encontre de la société SERGIC spécialisée dans la promotion immobilière, l’achat, la vente, la location et la gestion immobilière pour avoir insuffisamment protégé les données des utilisateurs de son site web et mis en œuvre des modalités de conservation des données inappropriées.

La CNIL avait notamment constaté que le site que la société édite et qui permet notamment aux candidats à la location d’un bien de télécharger les pièces justificatives nécessaires à la constitution de leur dossier était insuffisamment sécurisé.

La décision de sanction est disponible ici :
https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000038552658&fastReqId=119744754&fastPos=1

Vidéosurveillance des salariés: la CNIL sanctionne une TPE pour manquement à la réglementation (20.000 €)

Vidéosurveillance des salariés: la CNIL sanctionne une TPE pour manquement à la réglementation (20.000 €)

La CNIL a prononcé, le 13 juin 2019, une sanction financière de 20.000 € à l’encontre d’une société de traduction (employant 9 salariés) qui filmait les postes de travail de ses salariés en continu.

Aucune information satisfaisante n’avait été délivrée aux salariés. Par ailleurs, les postes informatiques n’étaient pas sécurisés par un mot de passe et les traducteurs accédaient à une messagerie professionnelle partagée avec un mot de passe unique.

Dans son communiqué, la CNIL prend soin de préciser que la sanction et sa publication sont motivées par le fait que la société de traduction, malgré une mise en demeure, n’a pas pris les mesures afin de se mettre en conformité.

https://www.cnil.fr/fr/uniontrad-company-20-000-euros-damende-pour-videosurveillance-excessive-des-salaries