RGPD – D Day!!!

RGPD – D Day!!!

Aujourd’hui est le jour tant attendu (ou redouté) par nombre de professionnels du marketing et plus généralement par toutes les personnes morales qui traitent des données personnelles à un moment ou un autre de leur processus client : inscription à une newsletter, création d’un compte client, carte de fidélité, achat sur internet… Tous sont concernés par l’entrée en application du Règlement européen n°2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR »).

Aujourd’hui est le grand jour, certes, mais pas la fin du monde si votre société ne s’est pas (encore) mise en conformité. Il n’est bien évidemment pas trop tard pour entamer ce processus dès lors que la démarche est sincère.

D’ailleurs, Madame Isabelle Falque-Pierrotin, Présidente de la Commission Nationale de l’Informatique et des Libertés, le « gendarme des données personnelles », l’a indiqué à plusieurs reprises dans les médias (ici dernièrement https://business.lesechos.fr/directions-numeriques/digital/big-data/0301653076185-isabelle-falque-pierrotin-presidente-de-la-cnil-rgpd-le-25-mai-ne-sera-pas-une-date-couperet-pour-les-sanctions-320930.php ), la date du 25 mai 2018 n’est pas une « date couperet ». La CNIL, consciente que toutes les entreprises ne seront pas prêtes à cette date, accompagnera avec clémence les différents acteurs dans une démarche de mise en conformité.

Petit rappel de vos obligations si vous n’avez pas débuté votre processus de mise en conformité :

1. Recensez vos traitements de données

Bien que l’obligation de tenir un registre de traitements ne soit obligatoire que pour les sociétés de plus de 250 salariés, il est fortement recommandé de constituer un tel registre afin d’avoir une vision d’ensemble de vos traitements et d’être en mesure d’apporter la preuve de votre conformité au RGPD en cas de contrôle de la CNIL (principe d’ « accountability »).

Vous devez en conséquence recenser :
– Les différents traitements de données personnelles,
– Les objectifs poursuivis par les traitements de données (par exemple : la gestion des clients et prospects, l’établissement de la paie des salariés, la gestion des candidatures…) ;
– Les catégories de données personnelles traitées ;
– Les différents acteurs (internes ou prestataires sous-traitants externes) qui traitent ces données ;
– La durée de conservation de ces données ;
– Les flux de données en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

L’établissement du registre des traitements est un bon moyen de vous interroger sur la pertinence des données :
– les données traitées sont-elles nécessaires à votre activité ?
– des données sensibles sont-elles traitées (données de santé, opinions syndicales, politiques, religieuses…) ?
– les données sont-elles conservées pour la seule durée pour laquelle vous en avez besoin ?
– les mesures de sécurité appropriées sont-elles mises en place ?
C’est également l’occasion d’améliorer vos pratiques, notamment en mettant en place une politique de durée de conservation des données et en minimisant la collecte de données.

2. Assurez le respect des droits des personnes

Le RGPD renforce les droits des personnes concernées notamment en terme d’information et d’accès aux données.
Il convient donc de vous interroger sur l’information des personnes concernées :
– les formulaires de contact, les conditions générales, les mentions légales comportent il des mentions d’information ? ;
– cette information est-elle claire, exhaustive et transparente ?

Pour mémoire, l’information doit viser les éléments suivants :
– quelle est la finalité du traitement ?
– sur quel fondement juridique êtes-vous autorisé à traiter les données ?
– qui accède aux données ?
– quelle est la durée de conservation des données ?
– quels sont les droits des personnes et comment les personnes concernées peuvent-elles les exercer ?
– les données sont-elles transférées hors de l’UE ?

La rédaction d’une politique de confidentialité peut vous permettre de renvoyer utilement les personnes concernées vers un document reprenant l’information de manière exhaustive.
Outre l’information des personnes, il convient que vous mettiez en place une procédure interne permettant aux personnes concernées d’exercer facilement et effectivement leurs droits : sur quelle boite e-mail est réceptionnée la demande d’accès ? Qui traite la demande ? Comment y répond-on ? Dans quel délai ?

3. Sécurisez vos données

Il vous appartient, en tant que responsable de traitement, de sécuriser les données que vous traitez contre les risques d’intrusion, de perte et de piratage.
Cela implique de :
– mettre en place des mesures techniques et organisationnelles en interne afin de garantir au mieux la sécurité des données ;
– revoir les contrats avec vos sous-traitants afin de reporter sur ces derniers la même obligation de sécurisation des données et de notification d’éventuelles failles de sécurité.

Le Cabinet MVM Avocats est à votre disposition pour vous assister dans la mise en conformité de vos traitements au regard du RGPD.

MVM Avocat a co-animé un atelier auprès de 10 entrepreneurs sélectionnés par LMI Innovation

MVM Avocat a co-animé un atelier auprès de 10 entrepreneurs sélectionnés par LMI Innovation

Le 24 mars 2017, Maëliss Vincent-Moreau a animé avec Romain Franzetti (Cabinet MF2A http://www.mf2a.com/ ) un atelier auprès de dix entrepreneurs dynamiques aux projets très divers sélectionnés par l’association LMI Innovation.

La matinée de formation visait à attirer l’attention des start-upers sur les moyens de sécuriser leur projet au cours des différentes étapes de vie et de croissance de leur entreprise : protection de leurs droits incorporels (droit d’auteur, marque, brevet, logiciels), contractualisation avec leurs clients et partenaires (accords de confidentialité, CGV, clauses contractuelles), conformité des traitements de données à caractère personnel avec la loi Informatique et Libertés.

Romain Franzetti a quant à lui développé les aspects juridiques liés à la sécurisation du projet d’entreprise lors de sa création (statuts, pacte d’associés) et son essor (levée de fonds).

 

LMI Innovation est une association loi 1901 fondée en 1983 par la CCI Grand Lille. Spécialisée, depuis l’origine, dans l’accompagnement des entreprises à potentiel de développement, LMI Innovation finance des créateurs d’entreprises innovantes dans le Nord-Pas-de-Calais.

http://www.lmi-innovation-creation.fr/

 

Dynamisme du e-commerce français en 2016 – L’occasion de faire le point sur les obligations des sites web marchands

Dynamisme du e-commerce français en 2016 – L’occasion de faire le point sur les obligations des sites web marchands

La FEVAD a présenté le 26 janvier 2017 les chiffres de l’activité e-commerce de l’année 2016.

Avec 72 milliards d’euros dépensés en ligne par les Français en 2016, soit une progression de 14,6% sur un an, et plus d’un milliard de transactions enregistrées, l’e-commerce confirme son dynamisme. En 2016, le nombre d’e-commerçants a augmenté de 12% pour franchir la barre des 200 000 sites marchands actifs en France.

C’est l’occasion de rappeler qu’un site e-commerce doit, notamment, :

  • comporter les mentions légales obligatoires d’un site internet (article 19 de la loi pour la confiance dans l’économie numérique du 21 juin 2004).
  • mettre à disposition des conditions générales de vente. Le Code de commerce impose en effet aux commerçants qui contractent avec des professionnels (B2B) de communiquer leurs CGV à ceux qui en font la demande (article L. 441-6 du Code de commerce). Dans le cadre des relations B2C, la loi impose au professionnel de communiquer au consommateur, préalablement au contrat de vente de biens ou à la fourniture de services, les caractéristiques essentielles du bien ou du service, son prix, les délais de livraison, les informations relatives à l’identité du professionnel et à ses activités (coordonnées postales, téléphoniques et électroniques) ainsi que, s’il y a lieu, celles relatives aux garanties légales, à l’existence et aux modalités de mise en œuvre des garanties et aux autres conditions contractuelles (article L. 111-1 du Code de la consommation). En pratique, ces informations figureront dans les conditions générales de vente.
  • se conformer à la réglementation sur la conclusion des contrats en ligne (« double clic » notamment) ainsi qu’au droit de la consommation. A cet égard, nous rappelons que le droit de rétractation du consommateur a été porté à 14 jours à compter de la réception du bien pour les contrats qui incluent une livraison par la loi dite « Hamon » du 17 mars 2014.
  • respecter les obligations de collecte et de traitement des données à caractère personnel : les fichiers clients doivent faire l’objet d’une déclaration préalable à la CNIL et il appartient au responsable de traitement de sécuriser l’accès aux données personnelles.

Le communiqué de la FEVAD est disponible ici : http://www.fevad.com/bilan-2016-e-commerce-france-cap-70-milliards-a-ete-franchi/

CGV et défaut de conformité : à partir du 18 mars 2016, le délai est désormais de deux ans (au lieu de six mois) au bénéfice du consommateur.

CGV et défaut de conformité : à partir du 18 mars 2016, le délai est désormais de deux ans (au lieu de six mois) au bénéfice du consommateur.

La loi relative à la consommation dite « Loi Hamon » du 17 mars 2014 a renforcé les droits des consommateurs et notamment augmenté le délai de présomption du défaut de conformité de six mois à deux ans à compter de la délivrance du bien et ce, à partir du 18 mars 2016. Autrement dit, le consommateur n’a pas à apporter la preuve du dysfonctionnement du produit acheté et ce, pendant deux ans.

Pour mémoire, l’arrêté du 18 décembre 2014 relatif aux informations contenues dans les conditions générales de vente en matière de garantie légale a renforcé l’obligation d’information du vendeur à l’égard du consommateur. Ainsi, les conditions générales de vente doivent mentionner dans un encadré :

– les nom et adresse du vendeur garant de la conformité des biens au contrat ;

– la garantie relative au défaut de conformité et aux défauts cachés dont bénéficie le consommateur ;

– le délai de deux ans à compter de la délivrance du bien pour agir ;

– le choix dont bénéficie le consommateur entre la réparation ou le remplacement du bien ;

– le fait que le consommateur est dispensé de rapporter la preuve de l’existence du défaut de conformité du bien durant les six mois suivant la délivrance du bien. Ce délai est porté à vingt-quatre mois à compter du 18 mars 2016.

N’oubliez pas de mettre à jour vos CGV !

Reproduction du site internet et des conditions générales de vente d’un concurrent : sanctions sur le fondement du parasitisme

Reproduction du site internet et des conditions générales de vente d’un concurrent : sanctions sur le fondement du parasitisme

Les juridictions connaissent régulièrement d’affaires opposant titulaires de sites internet qui estiment que leur site et/ou leurs conditions générales de vente ont été reproduits et leurs concurrents. La décision la plus fameuse a opposé la société Vente Privée.com à l’un de ses concurrents. Par un arrêt du 24 septembre 2008, la Cour d’appel de Paris avait condamné le concurrent à verser 10.000 € de dommages et intérêts à Vente Privée.com sur le fondement du parasitisme (CA Paris Cour d’appel de Paris 4ème chambre, section A du 24 septembre 2008).

Le Tribunal de commerce de Paris a récemment ré-affirmé que la reproduction du site internet et des conditions générales de vente d’un concurrent constitue un acte de parasitisme susceptible de donner lieu à réparation.

En l’espèce, le titulaire du site litigieux, pour demander le rejet des accusations de parasitisme, arguait de la banalité supposée du site demandeur (« ni original ni précurseur ») et du fait que le contenu des conditions générales de vente « s’articule toujours autour de formules conventionnelles reprises sur les sites internet marchands ».

Ces arguments ont été balayés par le Tribunal de commerce de Paris qui a jugé que « l’existence sur le marché de sites ressemblant à celui de [la demanderesse] ou de la banalité supposée de son concept ne sont pas de nature à démontrer l’absence de parasitisme alors que le seul fait de s’inspirer de la valeur économique [de la demanderesse] qui a réalisé des investissements suffit à dénoter un agissement parasitaire ». Après examen, le Tribunal retient par ailleurs que les conditions générales de la défenderesse s’inspirent de celles de la demanderesse, plusieurs paragraphes étant servilement copiés, d’autres reprenant certaines phrases ou alinéas.

Le Tribunal a condamné la société exploitant le site concurrent à réparer le préjudice subi par la demanderesse à hauteur de 5 000 euros. (Tribunal de Commerce de Paris, 15ème chambre, jugement du 28 septembre 2015, disponible sur Legalis.net http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=4756 )