Archives de catégorie Blog

Règlement Platform-to-Business (P2B) – Quelles obligations à l’égard des plateformes en ligne?

 

Compte tenu de l’évolution des pratiques commerciales des plateforme en ligne et leur rôle significatif dans l’économie numérique, le Règlement (UE) 2019/1150 du Parlement européen et du Conseil du 20 juin 2019 promouvant l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne ou le Règlement « Platform-to-Business » dit « P2B » est entré en application le 12 juillet 2020.

Les deux grands piliers du Règlement P2B

– Le Règlement P2B rééquilibre les relations entre les plateformes et les professionnels en prévoyant des obligations en matière de la transparence et de l’équité à la charge des plateformes. Il s’agit des obligations d’information et de transparence sur la motivation des raisons d’un déréférencement, d’une suspension d’accès des professionnels à la plateforme ou de résiliation de service[1], sur la garantie d’un délai raisonnable lors d’une modification des conditions générales ou de modalités, l’information sur les paramètres de classement et de référencement des offres en lignes[2], sur accès aux données[3], sur les restrictions sur l’offre de conditions différentes par d’autres moyens[4], sur les biens et services accessoires[5], sur le traitement différencié[6] et sur les clauses contractuelles particulières[7].

– Le Règlement P2B instaure des mécanismes alternatifs de règlement des litiges entre les plateformes en ligne et les professionnels pour mieux protéger ces dernières. Ces mécanismes concernent la mise en place par la plateforme d’un système interne de traitement des litiges, de favoriser la médiation ainsi que des actions collectives.

 

Le champ d’application du Règlement B2B

Au niveau européen, le Règlement P2B encadre notamment[8] les relations B2B entre les « plateformes en ligne »[9] et les professionnels « entreprises utilisatrices »[10], c’est-à-dire tout particulier qui agit dans le cadre de son activité commerciale ou professionnelle ou toute personne morale qui, par le biais des plateformes en ligne, offre des biens ou services aux consommateurs à des fins liées à son activité commerciale, industrielle, artisanale ou libérale de ces plateformes.

Au niveau national, la relation B2B est soumise au Code du commerce mais également au Code de la consommation[11].

Il convient de rappeler que le Règlement P2B ne s’applique pas dans la relation B2C entre les entreprises et les consommateurs utilisateurs de la Plateforme. La relation B2C est soumise au Code de la consommation au niveau national et au niveau européen à la Directive (UE) 2019/2161 du Parlement Européen et du Conseil du 27 novembre 2019 modifiant la directive 93/13/CEE du Conseil et les directives 98/6/CE, 2005/29/CE et 2011/83/UE du Parlement européen et du Conseil en ce qui concerne une meilleure application et une modernisation des règles de l’Union en matière de protection des consommateurs. Ces dispositions prévoient également une obligation renforcée de l’information et de la transparence vis-à-vis du consommateur ainsi qu’un système de médiation de la consommation à la charge de l’entreprise.

 

Règlement P2B : L’obligation de désigner des médiateurs entreprise

Le Règlement P2B[12] impose aux plateformes d’indiquer dans leurs conditions générales B2B au moins deux médiateurs avec lesquels ils sont prêts à prendre contact pour la résolution amiable de tout litige avec des professionnels qui utilisent leur plateforme en relation avec la fourniture des services d’intermédiation en ligne y compris des plaintes non-résolue dans le cadre du système interne de traitement des plaintes. Cette obligation de désignation ne s’applique pas aux petites[13] entreprises.

La médiation reste un processus volontaire au sens où les parties peuvent l’entamer ou y mettre fin à tout moment. A ce sujet, les plateformes ont également l’obligation de s’engager de bonne foi dans toute tentative de médiation[14]. Ces obligations doivent être fixées de façon à empêcher tout abus du système de médiation par les professionnels (entreprises utilisatrices)[15].

  • Sanction liée à la non-désignation des médiateurs

En ce qui concerne les sanctions liées à la non-désignation des médiateurs, le Règlement P2B renvoie[16] aux dispositions des États membres. Ainsi, en cas de non-conformité avec cette obligation la plateforme concernée risque une amende administrative dont le montant peut excéder 15 000 euros (pour une personne morale) en application de l’article L-641-4 du Code de la consommation[17].

  • Coûts liés à la médiation

Les plateformes en ligne devraient supporter une part raisonnable[18] du coût total de la médiation, compte tenu de tous les éléments pertinents dans chaque cas d’espèce en particulier de la validité des arguments des parties au litige, la conduite des parties et la taille et le poids financier des parties. Le médiateur devrait suggérer la proportion raisonnable dans chaque cas.

  • Critères à prendre en compte lors de choix des médiateurs

En application de l’article 12 al. 2 du Règlement P2B, les médiateurs désignés doivent répondent aux conditions suivantes :

  • Être impartiaux et indépendants,
  • Proposer des services de médiation abordables pour les entreprises utilisatrices,
  • Fournir leurs services dans la langue des conditions générales régissant la relation commerciale,
  • Être facilement accessible,
  • Être en mesure de fournir leurs services sans retard indu,
  • Avoir une compréhension suffisante des relations commerciale.
 
Pour toute question sur le Règlement P2B, veuillez nous contacter via contact@dpoinfo-avocats.fr

————————————

[1] L’article 4 du Règlement P2B.

[2] L’article 5 du Règlement P2B.

[3] L’article 9 du Règlement P2B.

[4] L’article 10 du Règlement P2B.

[5] L’article 6 du Règlement P2B.

[6] L’article 7 du Règlement P2B.

[7] L’article 8 du Règlement P2B.

[8] Le Règlement P2B encadre également la relation entre les moteurs de recherche avec les entreprises utilisatrices ou entités ayant recours à un site web.

[9] Les plateformes en ligne ou les « services d’intermédiation en ligne » sont définis selon l’article 2.2 du Règlement P2B comme « les services au sens de l’article 1.1-b de la directive 2015/1535 permettant aux entreprises utilisatrices d’offrir des biens ou services aux consommateurs, en vue de faciliter l’engagement de transactions directes entre les entreprises utilisatrices et des consommateurs. Ces services sont fournis aux entreprises utilisatrices offrant des biens ou services aux consommateurs. L’article 2.3 du Règlement P2B définit le fournisseur de services d’intermédiation en ligne comme « toute personne physique ou morale qui fournit, ou propose de fournir, des services d’intermédiation en ligne à des entreprises utilisatrices ».

[10] L’article 2.1 du Règlement P2B.

[11] L’article L.211-4 et l’article L.212-2 du Code de la consommation qui prévoient que les dispositions concernant les conditions générales des contrats et les clauses abusives sont également applicables aux contrats conclus entre des professionnels et des non-professionnels. Le terme « non-professionnel » est défini selon l’ordonnance précitée du 14 mars 2016 comme toute personne morale qui agit à des fins qui n’entrent pas dans le cadre de son activité commerciale, industrielle, artisanale, libérale ou agricole.

[12] L’article 12 et les considérants 40 et 42 du Règlement P2B.

[13] En application de l’article 2 al. 2 de la Recommandation 2003/361/CE : « une petite entreprise est définie comme une entreprise qui occupe moins de 50 personnes et dont le chiffre d’affaires annuel ou le total du bilan annuel n’excède pas 10 millions d’euros ».

[14] Le considérant 40 du Règlement P2B

[15] Le considérant 42 du Règlement P2B.

[16] Il prévoit dans son article 1-4 que « le Règlement est sans préjudice aux règles nationales interdisent ou sanctionnent les comportements unilatéraux ou les pratiques commerciales déloyales ».

[17] « Tout manquement aux obligations d’information mentionnées aux articles L. 616-1 et L. 616-2 est passible d’une amende administrative dont le montant ne peut excéder 3 000 euros pour une personne physique et 15 000 euros pour une personne morale dans les conditions prévues au chapitre II du titre II du livre V. ».

[18] L’article 12 al. 4 et le considérant 41 du Règlement P2B.

CEPD : Projet de lignes directrices 07/2020 sur les notions de responsable du traitement et de sous-traitant

Le Comité européen sur la protection des données (CEPD) a adopté le 2 septembre son projet de lignes directrices en anglais sur les notions de responsable du traitement et de sous-traitant. Une consultation publique est ouverte sur ces lignes directrices jusqu’au 19 octobre 2020.

Quels sont, selon le CEPD, les éléments qui qualifient un responsable du traitement ?

Le responsable du traitement est une personne (physique ou morale) qui détermine :

  • les finalités et les moyens du traitement (pourquoi et comment traiter les données personnelles – article 4-7 du RGPD),
  • les éléments essentiels liés au traitement (les données personnelles collectées, les catégories des personnes concernées, la communication ou non des données aux destinataires et le choix des destinataires, la durée de conservation des données, etc.).

Au-delà des éléments ci-dessus mentionnés :

  • le responsable du traitement poursuit d’autre(s) objectif(s) que son propre intérêt économique dans le traitement des données personnelles,
  • les activités de traitement peuvent être naturellement attachées au activité du responsable du traitement,
  • le responsable du traitement dispose d’une autonomie totale pour décider pourquoi et comment les données personnelles seront traitées,
  • le responsable du traitement peut confier le traitement des données à un sous-traitant externe qui traite les données pour son compte.

Les dispositions légales peuvent qualifier une personne physique ou morale en tant que responsable du traitement. En revanche, souvent cette qualification relève de l’analyse des éléments de fait et des circonstances de l’affaire.

Quels sont, selon le CEPD, les éléments qui qualifient un sous-traitant ?

Le sous-traitant est :

  • une personne (physique ou morale) qui traitent les données personnelles au nom et pour le compte du responsable du traitement en fonction de ses instructions (article 4-8 du RGPD). Le sous-traitant ne poursuit pas une finalité propre à lui.
  • une personne (physique ou morale) dont les activités de traitement sont contrôlées par le responsable du traitement afin d’assurer le respect des instructions et des termes du contrat qui les lie.
  • une personne qui ne poursuit d’autre objectif que son propre intérêt commercial pour fournir ses services de traitement des données.
  • une personne qui a été engagée pour effectuer des activités de traitement par une autre personne qui, à son tour, a été engagé pour effectuer des activités de traitement au nom et pour le compte d’une autre personne.

Le CEPD rappelle que tous les prestataires de service qui traitent des données personnelles dans le cadre de la prestation d’un service ne peuvent systématiquement pas être qualifiés comme sous-traitant au sens du Règlement général sur la protection des données dit “RGPD” par le simple fait qu’ils traitent les données personnelles dans le cadre de la prestation de leur service. Ainsi, dans l’hypothèse où le traitement des données effectué n’est pas l’objet principal ou primaire du service demandé, le fournisseur de service peut être qualifié comme un responsable du traitement indépendant et non un sous-traitant. De plus, la qualification d’un sous-traitant découle des activités concrètes d’une personne physique ou morale dans un contexte précis et ne pas de la nature de ses activités. Ainsi, une analyse de cas par cas s’impose. A titre d’exemple, le fournisseur d’un service de transport à destination des collaborateurs d’une autre entreprise, traitent les données personnelles des collaborateurs en tant qu’un responsable du traitement et non pas un sous-traitant.

Quid le cas de figure où le sous-traitant offre au responsable du traitement un service préalablement défini de manière spécifique ?

Selon le CEPD, dans ce cas de figure, le sous-traitant est tenu de présenter la description détaillée de son service au responsable du traitement. Ce dernier doit prendre la décision finale et approuver activement le moyen de traitement et de pouvoir demander des modifications si nécessaire. De plus, le sous-traitant ne peut pas modifier les éléments essentiels liés au traitement sans l’accord du responsable du traitement. A défaut, le sous-traitant risque d’être qualifié comme le responsable du traitement.

Le CEPD reconnaît une certaine marge de manœuvre pour le sous-traitant dans la détermination des moyens de traitement tant que cela ne touche pas des éléments essentiels liés au traitement. Au-delà de la marge de manœuvre tolérée, le sous-traitant peut être qualifié comme un responsable du traitement indépendant.

Quel est le niveau d’influence du responsable du traitement sur la finalité et les moyens d’un traitement (le “pourquoi” et le “comment”) ?

Pour déterminer ce niveau d’influence, une distinction doit se faire, selon le CEPD, entre les moyens essentiels et les moyens non-essentiels. Les “moyens essentiels” sont étroitement liés à la finalité et à la portée du traitement et sont traditionnellement et intrinsèquement réservé au responsable du traitement. comme rappelé ci-dessus, il s’agit à titre d’exemple les données personnelles qui sont traitées, la durée de traitement, les catégories des destinataires et des catégories des personnes concernées.

Les “moyens non essentiels” concernent des aspects plus pratiques de la mise en œuvre, tels que le choix d’un type particulier de matériel ou de logiciel ou les mesures de sécurité détaillées qui peuvent être laissées à l’appréciation du processeur.

Ainsi, le responsable du traitement peut décider de l’ensemble des moyens essentiels et non-essentiels liés au traitement. Toutefois, peuvent être laissés à l’appréciation du sous-traitant les moyens non-essentiels.

Peut-on qualifier une personne physique ou morale comme responsable du traitement simplement par des termes d’un contrat encadrant le traitement des données ?

D’après le CEPD, dans de nombreux cas, une analyse des termes contractuels existant entre les différentes parties contractuelles peut faciliter la qualification du responsable du traitement. Cependant, les termes du contrat ne sont pas déterminant dans tous les circonstances notamment lorsque les faits et les circonstances en disent autrement.

Comment qualifier un responsable conjoint ?

Les personnes physiques ou morales peuvent être amenées à déterminer conjointement les finalités et les moyens de traitement (article 4-7 du RGPD). Ainsi, le critère primordial pour déterminer une responsabilité conjointe de traitement est la participation conjointe de deux ou plusieurs entités dans la détermination des finalités et des moyens d’un traitement.

Selon le CEPD, la participation peut prendre la forme d’une décision commune prise par deux ou plusieurs entités ou résulter les décisions convergentes de deux ou plusieurs entités, lorsque les décisions se complètent et sont nécessaires pour que le traitement ait lieu de telle manière qu’ils aient un impact tangible sur la détermination des finalités et des moyens du traitement. Un critère important est que le traitement ne serait pas possible sans la participation des deux parties en ce sens que le traitement par chaque partie est inséparable, c’est-à-dire inextricablement lié. La participation conjointe doit inclure la détermination des finalités d’une part et la détermination des moyens d’autre part.

A titre d’exemple, dans le cadre d’une utilisation partagée d’une base de données par les entités appartenant d’un groupe d’entreprise alors que chaque entité détermine indépendamment de l’autre les éléments essentiels liés au traitement ne peut pas être suffisant pour qualifier une responsabilité conjointe de traitement. En effet, le seul facteur d’utiliser une base de données partagée ne détermine pas une qualification de responsable conjointe de traitement.

Pour plus d’information :

https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-072020-concepts-controller-and-processor_en

https://www.cnil.fr/fr/cepd-lance-consultation-publique-lignes-directrices-responsable-traitement-sous-traitant

Invalidation du Privacy Shield par la CJUE : quels alternatifs ?

Qu’est-ce que le Privacy Shield ?

Le Privacy Shield est le mécanisme mis en place par la décision de la Commission européenne en date du 12 juillet 2016 selon lequel les données personnelles des résidents européens (destinées à être transférées aux États-Unis, dans le cadre d’une relation contractuelle commerciale) bénéficieront d’une protection équivalente à celle prévue par le RGPD.

Dans quel contexte le Privacy Shield a été invalidé par la CJUE ?

Dans le cadre d’un litige opposant l’autorité de la protection des données irlandaise à Facebook et à Max Schrems au sujet d’une plainte introduite par celui-ci concernant le transfert de ses données personnelle par Facebook aux États-Unis, la Cour de justice de l’union européenne (CJUE) se prononce sur l’invalidation du Privacy Shield. Max Schrems avait déjà obtenu auprès de la CJUE le 6 Octobre 2015 l’invalidation du précédent mécanisme adopté par la Commission européenne sur le sujet du transfert des données personnelles aux États-Unis dit « Safe Harbor ».

Selon la CJUE, les données transférées aux États-Unis initialement dans le cadre d’une relation commerciale sont susceptibles d’être ensuite traitées par les autorités américaines à des fins de sécurité nationale mais également de maintien de l’ordre public (la section 702 du FISA et l’Executive Order 12333) et de conduite des affaires étrangères. La CJUE confirme dans son arrêt C‑311/18 que le droit américain et notamment les dispositifs permettant l’accès des autorités américaines aux données personnelles entraînent des limitations de la protection des données (voir le considérant 111 de l’arrêt de la Cour). En l’absence d’une protection adéquate la CJUE prononce l’invalidation du Privacy Shield dans son arrêt C‑311/18 – « SCHREMS II ».

Quelle est la conséquence de l’arrêt C‑311/18 ?

A l’issue de l’arrêt de la CJUE, les transferts des données personnelles basés sur le Privacy Shield ne sont plus valides et sont considérés comme « illégaux ». L’invalidation est immédiatement applicable et il n’y aucun délai de grâce pendant lequel l’organisme privé peut continuer à transférer des données aux États-Unis sur cette base.

Les organismes qui continuent à transférer illégalement s’exposent à des amendes pouvant atteindre 20 millions d’euros ou 4 % de leur chiffre d’affaires mondial. L’autorité de contrôle compétente a le pouvoir également d’interdire ou de suspendre le transfert en application de l’article 58-2 sous f et J du RGPD.

Quels sont les mécanismes alternatifs permettant le transfert des données personnelles aux États-Unis ?

En l’absence du Privacy Shield, les organismes souhaitant continuer à transférer les données personnelles aux États-Unis doivent mettre en place des dispositifs alternatifs assurant une protection équivalente :

  • Les clauses contractuelles types

La CJUE valide dans son arrêt C‑311/18 la décision 2010/87/CE du 5 février 2010 de la Commission européenne relative aux clauses contractuelles types dit « CCT ». Ces clauses prévoient les mécanismes permettant de suspendre ou d’interdire les transferts des données personnelles en cas de violation de ces clauses ou d’impossibilité de les respecter. Elles ne lient pas les autorités américaines.

En effet, les parties contractantes (l’organisme exportateur et le destinataire des données établi aux États-Unis) ont l’obligation de vérifier, préalablement à tout transfert, en prenant en compte les circonstances du transfert et les mesures supplémentaires qu’ils sont prêts à mettre en place, si un niveau de protection adéquate sera respecté dans le pays tiers concerné. Il s’agit dans la mesure du possible et à titre d’exemple de chiffrer les données, de les rendre indirectement identifiant (pseudonymisation), etc. Ces mesures supplémentaires sont destinées à garantir que la législation américaine n’affecte pas le niveau de protection adéquate exigé pour le transfert des données. Nous attendons l’analyse approfondie de la décision par le CEPD notamment sur les mesures supplémentaires destinées à mettre en place. Par ailleurs, l’importateur des données est tenu d’informer sa partie contractante (l’exportateur des données) de toute incapacité à se conformer aux clauses types de protection des données et, le cas échéant, à toute mesure complémentaire à celles prévues par les clauses. Cette information permet à l’exportateur de suspendre et/ou de résilier le contrat.

A l’issue de l’évaluation des risques et au regard du contexte du transfert et des mesures supplémentaires mises en place assurant une protection adéquate, les deux parties peuvent conclure les CCT. A défaut d’une telle protection, le transfert devra être suspendu voire interdit. Compte tenu des circonstances particulières liées à chaque transfert, une analyse au cas par cas s’impose.

  • Les BCR 

Le recours à des éventuelles règles d’entreprise contraignantes dit « BCR » nécessitera également une évaluation préalable des circonstances du transfert et les risques compromettant une protection adéquate des données personnelles.

  • Les dérogations prévues à l’article 49 du RGPD

A défaut des mécanismes ci-dessus mentionnés, le transfert peut être basé sur l’une des dérogations prévues à l’article 49 du RGPD à savoir le consentement explicite de la personne concernée, la nécessité de l’exécution d’un contrat entre la personne concernée et le responsable de traitement ou un contrat conclu dans l’intérêt de la personne concernée, le motif d’intérêt public, la sauvegarde des intérêts vitaux, etc.

En l’absence des des garanties approprié en application de l’article 46 du RGPD et des mesures supplémentaires assurant une protection adéquate, voire des dérogations au titre de l’article 49, le transfert des données personnelles aux États-Unis restera interdit.

Pour plus d’information :

http://curia.europa.eu/juris/document/document.jsf?text=&docid=204046&pageIndex=0&doclang=FR&mode=req&dir=&occ=first&part=1&cid=10446492

http://curia.europa.eu/juris/document/document.jsf;jsessionid=DCD13618339D85FDCE939B334C479822?text=&docid=228677&pageIndex=0&doclang=FR&mode=req&dir=&occ=first&part=1&cid=9860084

https://edpb.europa.eu/news/news/2020/european-data-protection-board-publishes-faq-document-cjeu-judgment-c-31118-schrems_fr

https://edpb.europa.eu/our-work-tools/our-documents/muu/statement-court-justice-european-union-judgment-case-c-31118-data_en

https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-premieres-questions-reponses-du-cepd

Faire supprimer un contenu problématique en ligne

Vous contestez un contenu diffamatoire, injurieux ou tout simplement problématique vous concernant sur internet?

DIA vous accompagne dans la suppression de ce contenu par la rédaction d’un lettre de mise en demeure à destination de l’éditeur ou de l’hébergeur du site.

Comment nous procédons ?

1- Nous vous demandons de remplir un formulaire nous permettant d’avoir les informations nécessaires à la rédaction de la lettre de mise en demeure. A titre d’exemple, votre nom, votre prénom, votre adresse postale, votre adresse mail, les URLs problématiques, votre demande exacte (le formulaire reste confidentiel).

2- A partir du moment où votre demande est validée, nous vous demandons de régler la prestation juridique (un montant forfaitaire de 150 euros HT).

3- Nous vous envoyons le projet de lettre de mise en demeure d’avocat.

Nous restons à votre disposition pour toute question : contact@dpoinfo-avocats.fr

CEPD: Lignes directrices sur le traitement des données de santé – COVID-19

Le Comité Européen de la Protection des Données (CEPD/EDPB) adopte des lignes directrices (en anglais) sur le traitement des données de santé durant la période de crise sanitaire de coronavirus (COVID-19). Les points clés concernant ces lignes directrices sont les suivants:

  1. Le Règlement général sur la protection des données (RGPD) prévoit des règles particulières concernant le traitement des données de santé (pour la recherche scientifique) qui sont également applicables au contexte de la pandémie CIVID-19.
  2. Chaque État membre peut adopter des lois spécifiques en application de l’article 9-2-i et 9-2-j du RGPD permettant le traitement des données de santé à des fins de recherche scientifique. Il convient d’indiquer que le traitement des données de santé doit être basé sur l’une des bases légales prévues à l’article 6-1 du RGPD. Cependant, les conditions et l’étendu des règles applicables varient en fonction des dispositions nationales.
  3. Les dispositions nationales basées sur l’article 9-2-i et 9-2-j du RGPD doivent être interprétées à la lumière des principes relatifs à la protection des données (article 5 du RGPD) ainsi qu’au regard de la jurisprudence de la Cour de Justice de l’Union Européenne (CJUE). En particulier, les dérogations et limitations relatives à la protection des données en application de l’article 9-2-j et l’article 89-2 du RGPD s’appliquent lorsqu’elles sont strictement nécessaires.
  4. Compte tenu des risques relatifs au traitement des données dans le contexte du COVID-19 l’accent doit être mis sur le respect des articles 5-1-f du RGPD (principe d’intégrité et confidentialité des données), 32-1 du RGPD (l’obligation du responsable du traitement et le sous-traitant pour le respect de la sécurité des données) et 89-1 du RGPD (garanties appropriées relatives au traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques). Si nécessaire une analyse d’impact relative au traitement des données personnelles doit être mise en place conformément à l’article 35 du RGPD.
  5. Une durée de conservation des données doit être mise en place. Cette durée doit être proportionnée au regard de la finalité poursuivie et de la durée de la recherche scientifique. Les dispositions nationales peuvent prévoir des durées légales de conservation des données.
  6. La crise sanitaire actuelle ne peut suspendre voire limiter la possibilité pour les personnes concernées d’exercer leurs droits en application des articles 12 à 22 du RGPD. Cependant, l’article 89-2 prévoit la possibilité pour les législations nationales de limiter certains droits des personnes concernées.
  7. Concernant le transfert hors l’espace économique européen (EEE), en l’absence d’une décision d’adéquation (l’article 45-3 du RGPD) ou des garanties appropriées (l’article 46 du RGPD), les autorités publiques et les entités privées peuvent s’appuyer sur l’article 49 du RGPD. Les dérogations prévues dans l’article 49 du RGPD n’ont qu’un caractère exceptionnel.

CNIL – Publication du référentiel gestion des ressources humaines

CNIL publie le référentiel gestion RH relatif aux traitements courants de gestion du personnel, tels que le recrutement, la gestion administrative du personnel, la rémunération ou encore la mise à disposition des salariés d’outils de travail.

Ce référentiel, adopté à la suite d’une consultation publique, constitue un cadre de référence permettant à un organisme, public ou privé, de mettre en conformité ses traitements de données personnelles en matière de gestion des ressources humaines.

Dans le périmètre de son champ d’application, il a vocation à remplacer les recommandations, dispenses, normes simplifiées et packs de conformité produits par la CNIL avant l’entrée en application du RGPD.

Le champ d’application du référentiel est plus large que celui de l’ancienne norme simplifiée NS 46 car il couvre le processus de recrutement mais également la gestion de la paye.

Prospection directe

Qu’est-ce que la prospection directe?

L’envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l’image d’une personne vendant des biens ou fournissant des services.

Quels sont les moyens d’une prospection directe?

  • Par email ;
  • Par téléphone ;
  • Par sms/mms ;
  • Par automate d’appel ;
  • Par télécopie.

Quelle est la règle applicable à la prospection directe?

L’article 34-5 du Code des postes et des communications électroniques qui transpose la directive e-privacy 2002/58 s’applique à tout type de la prospection directe.

La règle est que la prospection directe est interdit sans l’accord préalable et explicite de la personne concernée.

A titre d’exemple, les personnes physiques ne doivent pas recevoir de mail de prospection sans avoir donné leur consentement préalable et explicite au moment de la collecte de mail (par exemple via des cases à cocher).

Dans tous les cas, le message envoyé par mail doit obligatoirement préciser l’identité de l’annonceur.

Quelles sont les exceptions applicables à cette règle?

  • la personne prospectée est déjà le client de l’entreprise et la prospection concerne des produits ou services analogues à ceux déjà fournis par l’entreprise.
  • La prospection n’est pas de nature commerciale (caritative par exemple)

Retrait du consentement et droit d’opposition à la prospection directe

Lorsque la prospection directe est basée sur le consentement du destinataire, ce dernier doit être en mesure de retirer son consentement.

Lorsque la prospection bénéficie de la dérogation du consentement, le destinataire doit pouvoir s’opposer au traitement de ses données.

Le retrait du consentement ou l’opposition à la prospection doit se faire de manière simple et gratuite (par exemple via un lien pour se désinscrire à la réception de nouvelles sollicitations par mail).

Quelle est la durée de conservation des données relatives à une prospection commerciale?

La durée de conservation à 3 ans maximum à compter de la dernière action positive du “prospect” (NS-048).

Y a t-il un régime dérogatoire lié à la relation B2B?

Lorsque la prospection directe vise uniquement la relation B2B, un consentement explicite préalable n’est pas requis. Cependant, une information préalable s’impose. Le professionnel visé par la prospection directe dispose également d’un droit d’opposition.

Y a t-il un régime dérogatoire lié au moyen d’une prospection?

Dans une relation B2C, lorsque la prospection se fait via courrier ou par téléphone, le consentement explicite n’est pas requis. Ainsi, la prospection peut être basée sur l’opt-out.

CNIL : Projet de référentiel de certification « formation à la protection des données »

En mars 2020, la CNIL publie un projet de Référentiel comportant la liste des exigences applicables à un prestataire de formation en matière de protection des données en vue d’obtenir la certification de sa prestation.

Ces exigences constituent trois catégories suivantes :

  • Exigences générales ;
  • Exigences relatives à l’information du public sur les formations proposées ;
  • Exigences relatives à l’identification des besoins et à l’atteinte des objectifs de formation ;
  • Exigences relatives à la conception des formations ;
  • Exigences relatives à la préparation et à l’adaptation des formations aux apprenants ;
  • Exigences relatives aux conditions de réalisation des formations ;
  • Exigences relatives aux compétences des intervenants ;
  • Exigences relatives au recueil des appréciations et la prise en compte des demandes et réclamations

Le projet du Référentiel est accompagné d’une annexe sur le Référentiel général d’aptitudes et de compétences.

Ce Référentiel comporte de trois exigences principales suivantes :

  • Exigences relatives à la présentation des principes et des définitions;
  • Exigences relatives à la présentation des conditions de licéité des traitements ;
  • Exigences relatives à la présentation des droits des personnes à l’égard des traitements de données à caractère personnel.

Secret médical

En application de la loi informatique et libertés dans sa dernière version, le secret médical est opposable concernant des informations relatives à un traitement nécessaire aux finalités suivantes:

  • la médecine préventive,
  • la recherche médicale,
  • les diagnostics médicaux,
  • l’administration de soins,
  • la gestion de service de santé.

La communication des données personnelles médicales relatives aux finalités ci-dessus mentionnées ne peut se faire que sous l’autorité et en présence d’un médecin.

Protection de votre nom de domaine

DIA vous accompagne dans la protection de votre nom de domaine.

Qu’est-ce qu’un nom de domaine?

Le nom de domaine est l’identifiant unique d’un site internet. Il est composé d’une chaine de caractères (lettres ou chiffres) et d’une extension.

Comment se fait la réservation d’un nom de domaine?

La règle applicable pour la réservation d’un nom de domaine est celui du “premier arrivé, le premier servi”. Les offices d’enregistrement de noms de domaine ne font aucune recherche d’antériorité a priori pour vérifier l’éventuel conflit d’un nom de domaine avec les droits antérieurs. La réservation se fait uniquement par rapport à la disponibilité technique d’un nom de domaine.

Cependant, pour certains noms de domaine, il existe des conditions d’éligibilité à la réservation du nom de domaine qui s’imposent au demandeur de réservation. A titre d’exemple, pour certaines extensions géographiques comme “.fr” et “.eu”, il conviendra de justifier d’un lieu de résidence dans la pays concerné.

Pourquoi protéger votre nom de domaine?

Compte tenu du rôle d’internet en tant qu’un vecteur de communication incontournable les noms de domaine correspondant aux marques, aux noms commerciaux, aux dénominations sociales ainsi qu’au autres actifs commerciaux doivent être protégés pour éviter toute confusion et toute éventuelle atteinte à l’image de l’entreprise

Comment nous vous accompagnons dans la protection de votre nom de domaine?

  • Conseil en réservation des noms de domaine correspondant à vos actifs commerciaux auprès des offices nationaux et/ou internationaux relatifs à l’enregistrement et à la gestion de noms de domaine ;
  • Conseil dans la mise en place d’une stratégie défensive de réservation des noms de domaines sous les principales extensions génériques, ainsi que sous l’extension sectorielle correspondant à son domaine d’activité afin d’empêcher des cas de cybersquatting ;
  • Conseil pour diminuer le risque d’opposition, réserver des noms de domaine distinctifs qui ne sont pas génériques ;
  • Accompagnement dans la recherche d’antériorité avant de procéder à la réservation du nom de domaine. Cela permet de ne pas réserver les noms de domaines en conflit avec les droits tiers ;
  • Accompagnement dans la procédure de récupération des noms de domaines portant atteinte à vos droits antérieurs ;
  • Accompagnement dans le transfère de votre nom de domaine ;
  • Accompagnement dans la gestion de votre portefeuille noms de domaine;
  • Accompagnement dans l’action judiciaire à l’encontre des titulaires de noms de domaine entravant vos droits antérieurs.

Quels sont les droits dont dispose un titulaire d’un nom de domaine sur son nom de domaine?

La seul réservation d’un nom de domaine ne confère pas de droit à son titulaire. Pour revendiquer des droits sur un nom de domaine:

  • le nom de domaine doit être distinctif permettant d’identifier l’activité présentée du titulaire du nom de domaine;
  • le nom de domaine doit être exploité de manière régulière et effective.

Pour un devis gratuit ou pour toute autre question, veuillez nous envoyer un mail à l’adresse contact@dpoinfo-avocats.fr ou remplir le formulaire ci-dessous:

Contactez-nous:

(FR) Les données collectées et traitées via ce formulaire sont nécessaires à la gestion de votre demande par DPOINFO. Pour toute information concernant le traitement de vos données personnelles et vos droits, veuillez consulter notre politique de confidentialité. (EN) Personal data collected via this form is necessary for the management of your request. It is recorded and used by DPOINFO. For any information regarding the processing of your personal data and your rights see our Data Policy.

Dépôt de marque en France

DIA vous accompagne dans le dépôt de votre marque en France.

Qu’est-ce qui est une marque?

La marque est un signe distinctif (dénomination, semi-figuratif, figuratif, sonore, etc.) permettant de distinguer des produits et des services.

La fonction essentielle de la marque est de garantir au consommateur l’origine du produit et/ou du service.

Quelles sont les conditions de dépôt et de protection d’une marque?

Pour pouvoir protéger une marques, les conditions cumulatives suivantes doivent être remplies:

  • distinctivité: la marque doit identifier des produits et services pour lesquels le déposant souhaite l’enregistrer. Cependant, elle ne doit pas être exclusivement la représentation du produit désigné de manière générique ou usuelle. Elle doit être différente des autres signes distinctifs au point de ne pas prêter à confusion dans l’esprit du public. Les signes descriptifs ne sont pas distinctifs. Sauf si elle souligne des caractères propres qui le distingue d’un usage courant de langage.
  • disponibilité: la marque ne doit pas porter atteintes, par reproduction ou par imitation, aux droits antérieurs à son enregistrement pour les produits et services identiques ou similaires. Une recherche d’antériorité s’impose pour identifier les éventuelles signes identiques et/ou similaires.
  • licéité: la marque déposée doit être licite. Elle ne doit pas illicite ou porter atteinte à l’ordre public et aux bonnes mœurs.
  • non déceptivité: la marque ne doit pas tromper le public sur la nature, la qualité ou l’origine géographique du produit.

Quelle est la procédure de dépôt d’une marque en France auprès de l’INPI?

  1. identification des produits ou services pour lesquels la marque sera déposée en fonction de la classification internationale de Nice. La protection obtenue sera limitée aux produits et/ou services désignés. En cas d’oubli des produits et/ou services, il n’est pas possible de l’ajouter au dossier de dépôt initial. Ainsi, il faut procéder à un nouveau dépôt pour des produits et/ou services manquants ;
  2. recherche de disponibilité des produits et/ou services identifiés;
  3. dépôt en ligne de la marque sur le site de l’INPI et paiement de frais de dépôt (certaines rectification seront facturées moyennant le paiement d’une taxe de 104 euros);
  4. accusé de réception du dépôt adressée au déposant via email par l’INPI (date et n° de dépôt);
  5. Publication, par l’INPI, du dépôt de la demande d’enregistrement au Bulletin officiel de la propriété intellectuelle (BOPI);
  6. examen du dossier du dépôt par l’INPI (la forme et le fond) dans un délai de 6 à 8 mois et communication de ses éventuelles objections et/ou des observations ou oppositions des tiers;
  7. publication de l’enregistrement de la marque au BOPI;
  8. Envoi par l’INPI d’une certification d’enregistrement de la marque au titulaire de la marque.

Tout dossier incomplet ou imprécis pourra entraîner, lors de l’examen du dépôt, un retard ou un rejet de la demande. La marque enregistrée est protégée pour une durée de 10 ans indéfiniment renouvelable.

Une fois enregistrée, la marque bénéficie d’une protection de 10 ans renouvelable indéfiniment.

Compte tenu des subtilités liées au dépôt d’une marque, il est conseillé de vous accompagner par des services d’un avocat spécialiste du sujet.

Pour un devis gratuit ou pour toute autre question, veuillez nous envoyer un mail à l’adresse contact@dpoinfo-avocats.fr ou remplir le formulaire ci-dessous:

Contactez-nous:

(FR) Les données collectées et traitées via ce formulaire sont nécessaires à la gestion de votre demande par DPOINFO. Pour toute information concernant le traitement de vos données personnelles et vos droits, veuillez consulter notre politique de confidentialité. (EN) Personal data collected via this form is necessary for the management of your request. It is recorded and used by DPOINFO. For any information regarding the processing of your personal data and your rights see our Data Policy.

Procédure d’opposition d’une marque devant l’INPI

DIA accompagne des titulaires de droits antérieurs dans la procédure d’opposition devant l’institut national de la propriété intellectuelle.

Lors d’une demande d’enregistrement de marque devant les offices de propriété intellectuelle français (l’INPI) ou européen (l’EUIPO), les titulaires de droits antérieurs ont droit de former une opposition à l’enregistrement de la marque s’ils considèrent que ceci porte atteinte à ses droits.

Le délai pour faire l’opposition est de deux mois à compter de la publication de la demande d’enregistrement au BOPI (pour les marques françaises), à l’OMPI (pour les marques internationales).

Cette opposition se fait par le titulaire des droits antérieurs ou par son mandataire via une procédure administrative devant l’office de propriété intellectuelle concernée.

Le titulaire des droits d’antérieurs justifie dans son mémoire les raisons relatives à cette opposition (risque de confusion, atteinte au nom, à l’image etc.).

L’opposition sera ensuite notifiée par l’office de propriété intellectuelle concerné au déposant d’enregistrement pour formuler d’éventuelles observations en réponse à l’opposition.

Le déposant doit présenter des éléments écartant l’opposition tels que l’absence de risque de confusion, ou atteinte au nom et à l’image. Il peut demander à l’opposant des éléments prouvant l’exploitation de la marque par ce dernier durant les cinq dernières années.

L’office de propriété intellectuelle publiera ensuite dans un délai de 6 mois sa décision.

La décision de l’office de propriété intellectuelle peut fair l’objet d’un recours devant le Cour d’appel compétent en cas de contestation.

Si l’opposition est confirmée, la demande d’enregistrement de marque est refusée.

Désormais, avec la réforme 2019 de droit de marque, les titulaires de droits antérieurs sur toute signe distinctive (nom commercial, nom de domaine, enseigne, etc.) peuvent effectuer une action d’opposition directement devant l’INPI.

Pour un devis gratuit ou pour toute autre question, veuillez nous envoyer un mail à l’adresse contact@dpoinfo-avocats.fr ou remplir le formulaire ci-dessous:

Contactez-nous:

(FR) Les données collectées et traitées via ce formulaire sont nécessaires à la gestion de votre demande par DPOINFO. Pour toute information concernant le traitement de vos données personnelles et vos droits, veuillez consulter notre politique de confidentialité. (EN) Personal data collected via this form is necessary for the management of your request. It is recorded and used by DPOINFO. For any information regarding the processing of your personal data and your rights see our Data Policy.

Données biométriques

Quelle est la définition des données biométriques?

Les données personnelles résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques.

A quelle catégorie de données personnelles appartiennent les données biométriques?

Les données biométriques font partie des catégories particulières des données (données sensibles). Le traitement des données sensibles est par défaut interdit. Cette interdiction fait l’objet de quelques dérogations (consentement de la personne concernée, nécessaire aux fins de l’exécution des obligations et des droits propres au responsable de traitement, intérêt public, intérêt vital de la personne concernée, etc.).

Quels sont les cas d’usage des données biométriques?

Le traitement des données biométriques est en particulier pour l’authentification biométrique

  • Contrôle d’accès à l’entrée et dans les locaux
  • Contrôle d’accès à des appareils et applications informatiques.

Les applications de mobiles relatives aux services publics (Ameli, mutuelle) ou privés (banques, les opérateurs de télécommunication) font l’usage davantage à une authentification biométrique.

les smart phones sont équipés de dispositif d’empreinte digital. L’empreinte digital est enregistré dans la téléphone.

Les applications ci-dessus mentionnées réutilisent sous le consentement du titulaire d’empreinte ces données bimétriques afin d’authentifier l’utilisateur de l’application lors de la connexion à sont compte personnel par smartphone.

Quelles sont les données personnelles collectées?

  • identité : nom, prénom, photographie et gabarit de la caractéristiques biométriques, clé biométrique, n° d’authentification ou n° de support individuel, coordonnés
  • vie professionnelle: n° de matricule interne, corps ou service d’appartenance, grade, nom de l’employeur
  • accès aux locaux: porte utilisée, zones et plage horaire d’accès autorisées, date et heure d’entrée et de sortie

Quelles sont les modalités et durées de conservation des données biométriques?

Les caractéristiques biométriques doivent être conservées sous la forme d’un gabarit chiffré irréversible ne permettant pas de recalculer la donnée biométrique d’origine

Quelles sont les mesures de sécurité à mettre en place concernant les données biométriques?

La CNIL dans son règlement type relatif aux traitements des données biométriques pour l’authentification biométrique recommande des mesures de sécurité suivantes:

  • mesures relatives à la sécurité des données: cloisonner les données, chiffrer les données biométriques, associer un code d’intégrité aux données (signature ou hachage), interdire tout accès externe à la donnée biométrique (match on card, Hardware Security Module), effectuer le conrôle d’accès via la fonction de hachage (comparaison entre l’échantillon calculé et le gabarit d’enrolement), veiller à l’effectivité de l’effacement des données à l’issue de la durée de conservation)
  • mesures relatives à l’organisation: responsabilisation des personnes, gestion d’accès physique ou logique, notifier les personnes concernées en cas d’accès non autorisé à leurs données
  • mesures relatives aux matériels: utiliser les matériels certifiés, garantir la traçabilité du cycle de vie des du matériel
  • mesures relatives aux logiciels: tenir un logiciel à jour équipé d’un antivirus
  • mesures relatives aux canaux d’information: sécuriser les canaux d’information.

Mécanisme de guichet unique

DIA vous accompagne dans la procédure de demande de désignation de guichet unique pour vos traitements transfrontaliers.

Face à des traitements transfrontaliers (lorsqu’un responsable de traitement est établi dans plusieurs États membre ou ses traitements concernent les personnes concernées dans plusieurs États membres), le responsable de traitement ou le sous-traitant bénéficie d’une seule autorité de contrôle comme l’autorité chef de file (l’administration centrale ou guichet unique en matière de protection des données). Cette autorité prendra des décisions applicables à l’ensemble des États membres concernés.

Comment identifier l’autorité chef de file?

L’autorité chef de file sera celle de l’établissement principal du responsable de traitement ou le sous-traitant. A défaut d’un établissement principal, l’autorité relative à l’établissement où se déroulera l’essentiel des activités du responsable de traitement ou du sous-traitant sera considéré comme l’autorité chef de file.

Pour un devis gratuit ou pour toute autre question, veuillez nous envoyer un mail à l’adresse contact@dpoinfo-avocats.fr ou remplir le formulaire ci-dessous:

Contactez-nous:

(FR) Les données collectées et traitées via ce formulaire sont nécessaires à la gestion de votre demande par DPOINFO. Pour toute information concernant le traitement de vos données personnelles et vos droits, veuillez consulter notre politique de confidentialité. (EN) Personal data collected via this form is necessary for the management of your request. It is recorded and used by DPOINFO. For any information regarding the processing of your personal data and your rights see our Data Policy.

Traitement des données post mortem

En application de la loi informatique et libertés dans sa dernière version, le responsable de traitement informe la personne concernée de son droit de définir des directives relatives au sort des données après sa mort.

Selon la loi, la personne concernée peut définir des directives générales et particulières relatives à la conservation, à l’effacement et à la communication de ses données personnelles après sa mort.

Les directives générales peuvent être enregistrées auprès d’un tiers de confiance certifié par la CNIL. Les références des directives générales et le tiers de confiances sont inscrites dans un registre unique. Un décret du Conseil d’État définit les modalités et l’accès à ce registre unique. Ce décret sera adopté après l’avis motivé et publié de la CNIL.

Les directives particulières relatives aux traitement des données post mortem sont enregistrées auprès du responsable de traitement concerné. Les directives particulières font l’objet du consentement spécifique de la personne concernée et ne peuvent pas résulter des conditions générales d’utilisation.

Les directives peuvent être modifiées ou révoquées à tout moment.

Toute clause contractuelle limitant les prérogatives liées à ce droit est réputée non écrite.



Exercice des droits sur la protection des données

DIA vous accompagne dans l’exercice de vos droits relatifs au traitement de ses données personnelles auprès de responsable du traitement ou du sous-traitant.

En effet, le demandeur d’exercice de droits peut exercer ses droits par un mandataire.

En application du décret de la loi informatique et liberté du 30 mai 2019, la personne concernée peut exercer ses droits par l’intermédiaire d’un mandataire. Ainsi, la demande sera présentée par une personne spécialement mandaté à cet effet par la personne concernée.

Lors de la présentation de la demande par un mandataire, celui-ci justifie de:

  • son identité;
  • l’identité du mandant (demandeur);
  • son mandat;
  • la durée du mandat;
  • l’objet précis du mandat;
  • le cas échéant si le mandataire est destinataire de la réponse du responsable de traitement ou du sous-traitant.

Pour un devis gratuit ou pour toute autre question, veuillez nous envoyer un mail à l’adresse contact@dpoinfo-avocats.fr ou remplir le formulaire ci-dessous:

Contactez-nous:

(FR) Les données collectées et traitées via ce formulaire sont nécessaires à la gestion de votre demande par DPOINFO. Pour toute information concernant le traitement de vos données personnelles et vos droits, veuillez consulter notre politique de confidentialité. (EN) Personal data collected via this form is necessary for the management of your request. It is recorded and used by DPOINFO. For any information regarding the processing of your personal data and your rights see our Data Policy.

Justificatif d’identité lors de l’exercice des droits

Lors de l’exercice des droits, le responsable de traitement doit pouvoir authentifier le demandeur pour s’assurer que la personne concernée est à l’origine de la demande. Ainsi, la personne concernée doit justifier son identité lors de l’exercice de ses droits. La justification de l’identité peut se faire par tout moyen sous réserve qu’elle soit suffisante afin d’authentifier le demandeur.

Autrement dit, les données collectées afin d’identifier la personne concernée doivent respecter le principe de minimisation des données. Dans ce sens, lorsque le responsable de traitement a des doutes raisonnables sur l’identité de la personne concernée, il peut demander des informations supplémentaires nécessaires à la finalité poursuivie qui est dans un premier temps l’authentification de la personne concernée.

Les moyens de justification d’identité peut être divers en fonction du contexte, à titre d’exemple, les données d’identité numériques, la photocopie d’un titre d’identité portant la signature de la personne concernée;

Conséquences pour le responsable de traitement ou le sous-traitant d’une violation des données

Quelle est la définition de la violation des données?

Une violation de la sécurité entrainant de manière accidentale ou illicite la perte, l’altération et la divulgation non-autorisée des données personnelles.

Quelles sont les conséquences pour le responsable de traitement ou le sous-traitant d’une violation des données?

  • Réparation du dommage matériel ou moral causé à la personne concernée du fait d’une violation des données suite à une action de réparation déposée par la personne concernée auprès des juridictions compétente.
  • Sanction administrative pouvant s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire annuel mondiale, le montant le plus élevé étant retenu, et cela suite à un contrôle de l’autorité de contrôle compétente.

Représentant du responsable de traitement ou du sous-traitant

Quelle est la définition de “représentant” au sens du RGPD?

La personne physique ou morale établie dans l’union européenne désignée par le responsable de traitement ou le sous-traitant par écrit qui les représente en ce qui concerne leurs obligations respectives.

Dans quels cas le responsable de traitement ou le sous-traitant doivent désigner un représentant?

Lorsque le responsable de traitement ou le sous-traitant n’est pas établi dans l’Union européenne mais il offre de biens ou de services aux personnes qui se trouvent dans l’Union ou il suit le comportement de ces personnes, il doit désigner un représentant.

Quelles sont les dérogations à l’obligation de désigner un représentant?

  • Lorsque les traitements sont occasionnels et n’impliquent pas un traitement à grand échelle des catégories particulières de données ou relatif aux infractions pénales,
  • les organismes publics.

Quelle est la fonction du représentant?

Le représentant agit pour le compte du responsable de traitement ou du sous-traitant en tant que point de contacte par les autorités de contrôle ou les personnes concernées en plus ou à la place du responsable de traitement ou de sous-traitant pour toutes les questions relatives au traitement aux fins d’assurer le respect du RGPD.

Le représentant agit au nom du responsable de traitement ou du sous-traitant pour en ce qui concerne leurs obligations en application du RGPD.

Le représentant coopère avec les autorités de contrôle compétentes en ce qui concerne toute action entreprise pour assurer le respect du RGPD.

Le représentant accomplit ses tâches conformément au mandat reçu du responsable de traitement ou du sous-traitant.

Le représentant peut-il faire l’objet d’une action en justice ?

Le représentant peut faire l’objet d’une action en justice dans le cadre de sa fonction. En revanche, la désignation du représentant est sans préjudice d’action en justice qui pourrait être intentée contre le responsable de traitement ou le sous-traitant en cas d’une violation des données personnelles. En effet, la désignation du représentant ne porte pas atteinte aux obligations du responsable de traitement ou du sous-traitant.

En revanche, le représentant peut faire l’objet de procédures coercitives en cas de non-respect du RGPD par le responsable de traitement ou de sous-traitant.

Comment se fait la désignation d’un représentant?

Le représentant devrait être expressément désigné par un mandat écrit du responsable de traitement ou du sous-traitant pour agir en son nom.

Recherche de disponibilité lors du dépôt d’une marque

Pour pouvoir déposer et protéger un signe distinctive, elle doit remplir trois conditions suivantes: distinctivité, disponibilité et licéité.

Une marque est disponible lorsqu’elle ne porte pas atteinte aux droits antérieurs.

Pour vérifier le respect du critère de disponibilité, une recherche et une analyse d’antériorité exhaustive (à l’identique ou similaire) est indispensable. Cette recherche porte sur l’ensemble des signes identiques ou similaires telles que marques françaises ou européennes, les dénomination sociales et les noms commerciaux, les noms de domaine sur les différentes extensions (.fr, .com, .net, etc.).

La présence des marques antérieures à l’identique pour les produits et/ou services identiques présente un obstacle absolu au dépôt de la marque.

Il convient d’indiquer que la qualité de la recherche et de l’analyse d’antériorité pourrait empêcher le rejet de la demande du dépôt (dans certains offices de propriété intellectuelles), une action d’opposition à l’enregistrement de la marque ou une action en contrefaçon marque postérieurement à l’enregistrement de la marque.


Droit à la portabilité

En application du RGPD, la personne concernée a le droit de récupérer les données personnelles la concernant qu’elle a fourni à un responsable du traitement dans un format lisible par une machine et de les communiquer à un autre responsable du traitement. A titre d’exemple, la personne concerner peut récupérer et transférer l’historique de ses communications lors du changement d’un prestataire de service de communication au public en ligne à un autre.

  • Le responsable du traitement peut-il faire obstacle à la communication des données?

Le responsable du traitement auquel les données ont été communiqué initialement ne peut pas faire obstacle à la communication des données.

  • Quel est le double objectif poursuivi par le droit à la portabilité?

Renforcer le droit à l’autodétermination informationnelle au niveau européen de la personne concernée[1] par plus de contrôle et une mobilité numérique accrue offerte à celle-ci.

Faciliter la libre circulation des données[2] par une transmission directe[3] des données d’un responsable de traitement à un autre ; Améliorer ainsi le fonctionnement du marché en équilibrant le rapport de concurrence entre différents fournisseurs de service dans le cadre du marché unique numérique[4].

  • Quelles sont les conditions d’exercice du droit à la portabilité?

Le droit à la portabilité n’existe que pour les traitements fondés sur un contrat dont elle est partie contractante ou sur le consentement des personnes concernées.

Le droit à la portabilité s’applique uniquement sur les données personnelles faisant l’objet d’un traitement automatisé [5]

  • Quel est le format de la communication des données?

Le format des données joue un rôle important dans la bonne transmission des données et dans la réutilisation des données à la fois par les autres responsables du traitement et la personne concernée.

Les données doivent être communiquées dans un format structuré, couramment utilisé et lisible par un machine. Selon la CNIL, le format de données doit être adapté au type de données concernées en privilégiant des formats ouverts interopérables comme CSV et JSON.

Selon l’avis du G29, les acteurs de l’industrie et les associations professionnelles peuvent travailler sur un ensemble de standards et formats interopérables pour respecter ces prérequis du droit à la portabilité. Concernant le format, un haut niveau d’abstraction s’avère nécessaire. En outre, les métadonnées doivent être les plus précises possibles. Selon le G29, « lorsque les données collectées auprès du consommateur ne peuvent pas être récupérées dans un standard ouvert et aisément réutilisable, le fournisseur de service de communication au public en ligne en informe le consommateur de façon claire et transparente. Le cas échéant, il l’informe des modalités alternatives de récupération de ces données et précise les caractéristiques techniques du format du fichier de récupération, notamment son caractère ouvert et interopérable ».

  • Quelle est la limite du droit à la portabilité?

Le droit à la portabilité concerne aussi les données collectées de manière automatique, notamment des données de comportement d’un individu lors de l’utilisation d’un service en ligne, comme par exemple l’historique des transactions ou Access log.

Les données dérivées ou les inférées issues de traitements complémentaires sortent du champ d’application du droit à la portabilité. Ces données comprennent les DCP générées par l’activité de la personne concernée à travers un fournisseur de services (responsable du traitement). L’exemple donné par le G29 est le résultat à l’issue d’algorithmes de traitement de données comme le crédit, l’état de santé, le profilage.

  • Quels est l’enjeu lié à l’application du droit à la portabilité?

Les données qui font l’objet de l’exercice du droit à la portabilité peuvent comprendre des données de tiers. Cela concerne notamment les données de communication que ce soit par le service de messagerie ou de téléphone, données de transactions bancaires, etc. Certes, la présence des données de tiers ne peut pas justifier un rejet de la demande. À cet égard, une condition importante visée par l’article 20-4 du RGPD est que le droit à la portabilité ne doit pas porter atteinte aux droits et libertés de tiers.   

Selon le G29 sur le droit à la portabilité, et afin de prévenir le risque sur les tiers, le nouveau responsable du traitement destinataire des données est tenu de procéder au traitement des données a priori pour la même finalité qu’initialement définie. Il ne doit traiter ces données que dans la mesure où elles sont gardées sous le seul contrôle de la personne concernée à l’origine de la demande de portabilité, et qu’elles ne sont gérées pour des besoins purement personnels du nouveau responsable du traitement. Un tel traitement serait susceptible d’être considéré comme illégal, en particulier si les tiers concernés ne sont pas informés et ne peuvent exercer leurs droits en tant que personnes concernées.

À cet égard, il est préconisé par le G29 que tous les responsables du traitement (les parties «expéditrice» et «réceptrice») devraient mettre en place des outils permettant aux personnes concernées de sélectionner les données pertinentes. En outre, ils devraient mettre en œuvre des mécanismes de consentement pour d’autres personnes concernées, afin de faciliter la transmission des données dans les cas où ces parties sont disposées à consentir.

  • Quelles sont les bonnes pratiques qui peuvent être adoptées par les responsable du traitement pour l’exercice du droit à la portabilité?

Mettre en place les infrastructures techniques et pratiques comme des interfaces (API) pour permettre l’exercice du droit à la portabilité[6].

Assurer l’exercice du droit à la portabilité le plus rapidement possible, sans jamais excéder un délai de deux mois[7].

Vérifier l’identité des demandeurs et la légitimité de la portabilité demandée.

S’assurer que les démarches à effectuer ne découragent pas les personnes concernées et ne leur occasionnent pas de frais[8].

Mettre au point des formats interopérables permettant la portabilité des données[9].


[1] Considérant 68 du RGPD.

[2] G29, WP 242, guide sur le droit à la portabilité, 13 décembre 2016, op. cit., p. 4.

[3] Article 20-2 du RGPD sous réserve que cette transmission soit techniquement possible, considérant 68 du RGPD.

[4] G29, WP 242, guide sur le droit à la portabilité, op. cit., p. 3.

[5] Considérant 68 du RGPD.

[6] API (application programming interfaces), G29, WP 242, guide sur le droit à la portabilité, 13 décembre 2016, op. cit., p. 3.

[7] Rapport du CGREF, « Entreprise : clé d’application réussite du GDPR », http://www.cigref.fr/entreprise-cle-application-reussie-gdpr-livrable-cigref-afai-tech-in-france, p. 59.

[8] Idem.

[9] Considérant 68 du RGPD.

Transfert des données hors l’UE

Dans le cas de transferts de données personnelles vers un pays « non adéquat », l’organisme n’a pas besoin d’autorisation de la CNIL dans les cas suivants :

  • Consentement de la personne concernée ;
  • Recours aux/Conclusion des clauses contractuelles types adoptées par la Commission Européenne;
  • Conclusion des clauses contractuelles spécifiques ;
  • Mise en place des règles d’entreprise contraignantes (BCR).

En revanche, les clauses contractuelles non types/ spécifiques pourront apporter des garanties suffisantes sous réserve qu’elles aient fait l’objet d’un contrôle/examen de la CNIL dans le cadre d’une demande d’autorisation.

Collecte directe des données

Lorsque les données personnelles sont collectées directement auprès des personnes concernées, la collecte est qualifié de “directe” (formulaire en ligne, souscription d’un contrat).

Selon la CNIL, la collecte est aussi qualifiée “directe” lorsqu’elle se fait via des dispositifs ou des technologies d’observation de l’activité des personnes (vidéosurveillance, analyse de la navigation sur Internet, géolocalisation et analyse pour la mesure d’audience).

Protection des mots de passe

La CNIL a adopté deux délibérations n°2017-012 en 2017 portant des recommandations concernant les mots de passe dans l’objectif d’apporter une plus grande confiance dans les services du numérique basés sur l’authentification par mot de passe.

  • Quelle sont la taille et la complexité exigées pour le mot de passe? Selon la CNIL, elles peuvent différer en fonction des mesures de sécurité complémentaires prévues:
  • Mot de passe seul:

Si l’authentification repose uniquement sur un identifiant et un mot de passe, la taille de mot de passe doit être au minimum 12 caractère comportant des majuscules, des minuscules, des chiffres et des caractères spéciaux.

  • Mot de passe et restriction d’accès au compte:

Si l’authentification prévoit une restriction de l’accès au compte (temporisation ou blocage d’accès après plusieurs échecs), la taille de mot de passe doit être au minimum 8 caractères comportant au moins 3 de 4 catégories de caractères (majuscules, minuscules, chiffres et caractères spéciaux)

  • Mot de passe et information complémentaire:

Si l’authentification prévoit une information complémentaire, la taille du mot de passe doit être au minimum 5 caractères.

  • Mot de passe et matériel détenu par la personne:

Si l’authentification s’appuie sur un matériel détenu par la personne (cartes SIM, cartes à puce et dispositifs contenant un certificat électronique déverouillable par mot de passe (token)), la taille du mot de passe doit être au minimum 4.

  • Quelles sont les modalités de l’authentification?

Selon la CNIL, la fonction de l’authentification doit être sûre. Lorsque l’authentification n’a pas lieu en local, une mesure de contrôle de l’identité du serveur d’authentification doit être mise en place au moyen d’un certificat d’authentification de de serveur. De plus, il est recommandé que le canal de communication entre le serveur d’authentifié et le client soit chiffré à l’aide d’une fonction de chiffrement sûre. De plus, la sécurité des clés privés doit être assurée.

  • Quelles sont les modalités de conservation des mots de passe?

La CNIL recommande que le mot de passe ne doit jamais être stocké en claire. Elle recommande qu’il soit transformé au moyen d’une fonction cryptographique non réversible et sûre.

  • Quelles sont les modalités de renouvellement du mot de passe et de la notification à la personne?

Selon la CNIL, le renouvellement du mot de passe doit être systématique en cas de compromission de celui-ci. Dans tous les cas, le mot de passe ne doit jamais être communiqué à l’utilisateur en claire notamment par l’e-mail. Le renouvellement peut être périodique en fonction de la complexité du mot de passe. Le renouvellement peut être également sur demande du mot de passe.

Droit à l’information sur le traitement de ses données personnelles

La personne concernée par le traitement a le droit d’être informée sur le traitement de ses données personnelles et d’avoir le contrôle sur ses données.

A cet égard, le responsable du traitement a une obligation de transparence vis-à-vis des personnes concernées lors de traitement de leurs données personnelles. Cette obligation de transparence impose une information transparente, concise, complète, précise, compréhensible et aisément accessible (articles 12 à 14 du RGPD).

Selon la CNIL, les modalités de présentation de cette information doivent être adaptées au contexte. Il convient de distinguer la collecte directe de celle indirecte. En cas de collecte directe le responsable du traitement informe la personne concernée au moment de la collecte (ex. mention d’information au pied du formulaire de collecte en ligne). L’information en cas de collecte indirecte se fait dans les meilleurs délais.

Le respect de l’obligation de transparence impose une information régulière en cas de modification substantielle ou d’événement particulier.

Les informations communiquées à la personne concernée sont, dans tous les cas, les suivantes:

  • identification et coordonnées de responsable du traitement;
  • finalités du traitement;
  • base légal du traitement;
  • caractère obligatoire ou facultatif du recueil des données;
  • destinataires ou catégroies de destinataires;
  • durée de conservation des données,
  • droits des personnes concernées y compris de droit d’introduire une réclamation auprès de la CNIL;
  • coordonnées du DPO (si applicable)

Selon les cas, les intérêts légitimes poursuivis par le responsable du traitement si le traitement est basé sur l’intérêt légitime, l’existence d’un transfert des données, l’existence d’une prise de décision automatisée ou d’un profilage, le droit du retrait du consentement si le traitement est basé sur le consentement.

En cas de collecte indirecte des données, les catégories des données et la source des données vont aussi être communiquée à la personne concernée

Pour plus d’information sur le site de la CNIL..

EDPS: Preliminary Opinion on Data Protection & Scientific Research

European Data Protection Supervisor (EDPS) has published on 6th of januery a preliminary opinion on data protection related to scientific research.

Generally, there is an established ethical framework governing the particular field of health science, medical research and clinical trials. The interaction between the GDPR and the ethical framework is being discussed by European Data Protection Board (EDPB).

A special data protection regime is applying to the protection of scientific and research data. This spcecial regime have not any impact to the application of the principles rgeariding the personal data protection such as data minimization, transparency, lawfulness, purpose limitation.

However some derogation apply to the controler obligations which include presomption of compatibility of processing of scientific researh puroposes of data collected in commercial and other contexts provided appropriate safeguards are in place. This derigation is based on the assumption that the resaerch following the ethical framework serves the public interests.

For more information, the opinion is available on the EDPB website.


CEPD: Lignes directrices sur la base légale liée à l’exécution du contrat

Le CEPD a adopté le 9 octobre, la version finale des lignes directrices sur le champ d’application de l’article 6-1-b du RGPD (sur la base légale d’exécution de contrat) dans le contexte des services en ligne tels que les réseaux sociaux, le e-commerce ou les agences de voyages en ligne.

CNIL: Publication d’une liste des traitements pour lesquels une analyse n’est pas requise

Le RGPD prévoit que les autorités de protection des données peuvent établir une liste des traitements pour lesquels une analyse d’impact relative à la protection des données n’est pas obligatoire. La CNIL a adopté sa liste définitive le 12 septembre dernier, après avoir soumis un projet au Comité européen de la protection des données.

Droit d’accès indirecte à ses données

En application du RGPD, la personne concernée peut exercer directement, sans intermédiaire d’un tiers, son droit d’accès à ses données personnelles auprès du responsable du traitement. Cependant, dans certains cas, l’exercice de ce droit peut être limité à un droit d’accès indirect par l’intervention de l’autorité de la protection des données (la CNIL en France). À cet égard, pour avoir accès à certains fichiers d’intérêt public (à titre d’exemple les fichiers concernant la sûreté de l’État, la défense ou la sécurité publique) tels que les fichiers de police, de gendarmerie, le fichier de renseignement, FICOBA, le fichier d’autres administrations comme l’administration fiscale, la CNIL doit être contactée en premier lieu. l’exercice d’un droit d’accès indirect n’entraine pas le droit à la communication des données, sauf en cas d’accord du responsable du traitement concerné.