Parution de la lettre JTTIL 204 – Février 2020

JTTIL 204

Voici un résumé de ce qui s’est passé ces dernières semaines (à retrouver dans notre JurisTendances Télécoms Informatique & Libertés JTTIL 204) :

  • Municipales 2020 : une plateforme de signalement
  • Licence Creative Commons et paiement de la rémunération équitable
  • Relèvement du seuil des petits marchés publics à 40 000 euros
  • La neutralité du web menacée par le futur traité de l’ONU
  • Modification des sources d’un logiciel sous licence et contrefaçon
  • Accident du taxi autonome Uber : la NTSB rend ses conclusions
  • La 3D confrontée à la problématique des données personnelles
  • Les nouveaux outils de conformité Informatique et libertés
  • Les textes et jurisprudence clés du mois en matière de :
    • Cyberhaine, reconnaissance faciale, cookies, piratage informatique, crédit d’impôt recherche et innovation, géolocalisation, IA et ressources humaines, etc.

A signaler également la parution de la 3e édition de notre ouvrage aux éditions Francis Lefebvre :

De même, restez au cœur de l’actualité légale et jurisprudentielle avec nos programmes 2020 :

JurisTendances Télécoms Informatique & Libertés (JTTIL 204), Février 2020.

  • Les lettres JurisTendances Télécoms Informatique & Libertés sont mis en ligne gratuitement. Pour recevoir la lettre JTTIL et rester au cœur de l’actualité législative et jurisprudentielle des technologies : inscription en ligne.
  • Les professionnels du droit des technologies avancées Lexing Alain Bensoussan – Avocats présentent et analysent chaque mois l’actualité. N’hésitez pas à nous suivre également sur nos réseaux sociaux et notre site internet



E-book : la revente soumise à autorisation des ayants-droit

e-bookLe 19 décembre 2019, la CJUE a jugé que la revente d’un e-book constituait une nouvelle communication au public soumise à autorisation des ayants-droit.

Le e-book : communication au public ou distribution ?

Tout a commencé par une initiative de Tom Kabinet qui avait mis en place un marché virtuel du e-book sous forme d’un « club de lecture », permettant à ses utilisateurs la revente des ebooks, selon un processus similaire à la revente des livres d’occasion et sans accord préalable des éditeurs. Deux associations, ayant pour objet la défense des intérêts des éditeurs néerlandais, considérant que cela constituait une atteinte au droit d’auteur, ont attaqué la plateforme.

Se fondant sur une évolution technologique des formes d’exploitation du livre, Tom Kabinet faisait valoir l’épuisement des droits par première mise sur le marché du e-book, appliquant au livre diffusé sous vecteur numérique les règles applicables aux traditionnels ouvrages papier. Saisie du litige, la Cour de justice de l’Union européenne devait trancher la question suivante afin de déterminer le régime juridique de la vente de e-books : la fourniture par téléchargement, pour un usage permanent, d’un e-book, relève-t-elle du droit de distribution – lequel permet seul d’invoquer l’épuisement des droits – ou de communication au public ? (1)

Pour mémoire, l’article 3 de la directive 2001/29 du 22 mai 2001 sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information (2), « Droit de communication d’œuvres au public et droit de mettre à la disposition du public d’autres objets protégés » prévoit que :

« 1. Les États membres prévoient pour les auteurs le droit exclusif d’autoriser ou d’interdire toute communication au public de leurs œuvres, par fil ou sans fil, y compris la mise à la disposition du public de leurs œuvres de manière que chacun puisse y avoir accès de l’endroit et au moment qu’il choisit individuellement ».

Cette communication au public se distingue de la distribution, prévu à l’article 4, et définie comme « toute forme de distribution au public, par la vente ou autrement, de l’original de leurs œuvres ou de copies de celles‑ci ». Or, seule cette dernière permet, comme le prévoir expressément la directive, d’invoquer l’épuisement des droits en cas de première vente.

Appréciant le mode de diffusion, afin de qualifier le droit d’auteur en cause, la Cour a rappelé la volonté du législateur de distinguer distribution électronique et distribution matérielle d’œuvres. La Cour s’inscrit dans la continuité de la directive du 22 mai 2001 sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information qui vise à permettre la rémunération appropriée des auteurs pour l’utilisation de leurs œuvres.

Retenant que la communication au public « couvre les actes de transmission interactive à la demande », la Cour en conclut qu’en l’espèce, c’est le droit de communication qui s’applique, et impose donc l’accord des ayants-droit s’agissant de la revente de e-books. La règle de l’épuisement des droits n’a dès lors pas vocation à s’appliquer aux e-books.

Telle n’est pas le cas pour les copies matérielles qui relèvent pour leur part, comme le rappelle la Cour, du droit de distribution.

Qu’en est-il des logiciels ?

Cette victoire pour les éditeurs de e-book pourrait-elle avoir des implications pour d’autres types de biens dématérialisés comme les logiciels ? Dans un arrêt du 3 juillet 2012 UsedSoft GmbH c/ Oracle International Corp (3), la CJUE avait admis la légalité de la revente des licences de logiciels d’occasion distribués par téléchargement à partir d’un site internet, en vertu de la règle de l’épuisement des droits de distribution. Rappelons qu’en matière de logiciel, la directive 2009/24/CE du 23 avril 2009 concernant la protection juridique des programmes d’ordinateur (4) est venu préciser en son article 4 que « La première vente d’une copie d’un programme d’ordinateur dans la Communauté par le titulaire du droit ou avec son consentement épuise le droit de distribution de cette copie dans la Communauté, à l’exception du droit de contrôler des locations ultérieures du programme d’ordinateur ou d’une copie de celui-ci », autorisant de fait la revente de logiciels d’occasion.

Pour la CJUE, c’est la nature même de l’œuvre et de sa protection qui justifie cette différence de solution. D’abord, parce que les logiciels sont régis par une réglementation spécifique, laquelle aurait précisément pour but une telle assimilation entre copie matérielle et immatérielle. Ensuite, parce que d’un point de vue économique et fonctionnel, la transmission en ligne d’un logiciel équivaut à une remise matérielle, ce qui n’est pas le cas pour le livre.

À la suite de la décision du TGI de Paris du 17 septembre 2019 (5) dans le litige opposant l’éditeur de jeux vidéo VALVE à UFC-Que choisir, et à l’annonce de l’éditeur de jeux vidéo de faire appel de la décision, la CJUE pourrait bientôt avoir l’occasion de préciser sa jurisprudence en ce qui concerne la revente de programmes informatiques.

Marie Soulez
Lexing Département Propriété intellectuelle contentieux

(1) CJUE 19-12-2019, Aff. C-263/18, Nederlands Uitgeversverbond et Groep Algemene Uitgevers c/ Tom Kabinet Internet
(2) Directive 2001/29/CE du Parlement européen et du Conseil du 22 mai 2001 sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information
(3) CJUE 3-07-2012, Aff. C-128/11, UsedSoft GmbH c/ Oracle International Corp
(4) Directive 2009/24/CE du Parlement européen et du Conseil du 23 avril 2009 concernant la protection juridique des programmes d’ordinateur (version codifiée)
(5) TGI Paris 17-09-2019, n° 16-01008, UFC c/ Valve.




Le Crédit d’impôt recherche et la loi de finances pour 2020

loi de finances pour 2020La loi de finances pour 2020 a apporté des modifications non-négligeables au régime du crédit d’impôt recherche (CIR) (CGI, art. 244 Quater B) applicables aux dépenses engagées et aux déclarations déposées à compter du 1er janvier 2020.

Ces modifications concernent pour l’essentiel :

  • Le montant des dépenses de fonctionnement ;
  • L’aménagement des règles relatives à l’externalisation des opérations de recherche et développement ;
  • Les nouvelles obligations documentaires ;
  • La limitation dans le temps du crédit d’impôt innovation ;
  • Les rapports d’évaluation sur le CIR.

Le montant des dépenses de fonctionnement

Les dépenses de fonctionnement a prendre en considération pour le calcul du CIR étaient jusqu’alors égales à 50% des dépenses de personnel.

A compter du 1er janvier 2020, le taux forfaitaire de 50% est abaissé à 43%.

Les dépenses de personnel retenues pour le calcul des dépenses de fonctionnement sont les dépenses de personnel afférentes aux chercheurs et techniciens de recherche directement et exclusivement affectés aux opérations de recherche ainsi qu’aux rémunérations supplémentaires et justes prix alloués aux salariés auteurs d’une invention résultant d’opérations de recherche.

Lorsque ces dépenses de personnel se rapportent à des personnes titulaires d’un doctorat ou d’un diplôme équivalent, elles sont prises en compte pour le double de leur montant pendant les vingt-quatre premiers mois suivant leur premier recrutement à condition que le contrat de travail de ces personnes soit à durée indéterminée et que l’effectif du personnel de recherche salarié de l’entreprise ne soit pas inférieur à celui de l’année précédente.

Cependant, dans ce dernier cas, les dépenses de fonctionnement sont fixées forfaitairement à 200% des dépenses de personnel (calculées sur la base du salaire non doublé) et comme l’ensemble des dispositions relatives à l’embauche du jeune docteur, cette majoration n’a lieu que pendant les vingt-quatre premiers mois suivant leur premier recrutement, à la double condition que le contrat de travail soit à durée indéterminée et que l’effectif du personnel de recherche salarié de l’entreprise ne soit pas inférieur à celui de l’année précédente.

Les opérations externalisées confiées à des sous-traitants

Actuellement, les dépenses exposées pour la réalisation d’opérations de recherche confiées à des sous-traitants (organismes publics ou assimilés, organismes de recherches privés, experts scientifiques ou techniques) peuvent être intégrées dans la base de calcul du CIR à la condition qu’ils bénéficient d’un agrément.

Cependant, à compter du 1er janvier 2020, les dépenses de recherche confiées aux organismes sous-traitants publics ou privés agréés ne pourront être prise en compte par le donneur d’ordre qu’à la condition d’être réalisées directement par ces organismes ou le cas échéant confiés par ces derniers à des sous-traitants (organismes public ou privés, experts) eux-mêmes agréés (sous-traitance en cascade).

Les nouvelles obligations documentaires

L’obligation de produire l’état annexé à la déclaration du CIR sur la nature des travaux de recherche en cours avait été étendue par la loi de finances pour 2019 aux entreprises ayant plus de 2 M€ de dépenses éligibles au CIR.

Cependant, l’administration, dans ses commentaires au Bofip, avait limité, au cours de l’année 2019, cette obligation d’information aux seules entreprises réalisant au moins 100 M€ de dépenses éligibles au CIR.

Il est rappelé que cet état annexé à la déclaration du CIR, dont l’absence est sanctionnée par une amende fiscale de 1 500 euros, doit notamment décrire la nature des travaux de recherche en cours, l’état d’avancement de ces travaux, les moyens matériels et humains, directs ou indirects qui y sont consacrés, la part de titulaires d’un doctorat financés par ces dépenses.

La loi de finances pour 2020 a supprimé cette obligation d’information pour les entreprises ayant moins de 100 M€ de dépenses éligibles au CIR.

En revanche, la loi de finances pour 2020 crée une nouvelle obligation d’information allégée pour les entreprises dont les dépenses ouvrant droit au CIR sont supérieures à 10 M€ et inférieures ou égales à 100 M€.

Cette nouvelle obligation d’information allégée porte spécifiquement sur les titulaires d’un doctorat au sujet desquels il conviendra de préciser :

  • la part de titulaires de doctorat financés par les dépenses éligibles au CIR ou recrutés sur leur base ;
  • le nombre d’équivalents temps plein correspondant et
  • leur rémunération moyenne.

L’absence de dépôt de cet état est sanctionnée par la pénalité de droit commun de 150 euros.

Ces nouvelles dispositions devraient s’appliquer aux déclarations déposées à compter du 1er janvier 2020, au titre des dépenses de recherche exposées en 2019.

La limitation dans le temps du crédit d’impôt innovation

En attendant une évaluation du crédit d’impôt innovation (CII) en vue de son éventuelle prorogation, ce crédit d’impôt sera maintenu pour les dépenses exposées jusqu’au 31 décembre 2022.

Il est rappelé que le CII vise plus particulièrement les dépenses d’innovation exposées par les PME au titre de la réalisation d’opérations de conception de prototypes de nouveaux produits ou d’installations pilotes de même nature.

Les rapports d’évaluation sur le CIR

Afin de mener à bien une réflexion sur les améliorations pouvant être apportées au CIR, le Gouvernement devra remettre au Parlement deux rapports.

Un premier rapport, avant le 30 septembre 2020, sur les points suivants :

  • l’application du seuil de 100 millions d’euros au niveau d’un groupe de sociétés afin d’évaluer les éventuels risques de répartition artificielle des dépenses ouvrant droit au CIR entre sociétés membres du même groupe en indiquant les moyens existants ou envisageables pour lutter contre d’éventuels abus ;
  • les abus constatés dans le cadre de vérifications en matière de dépenses de personnel incluses dans l’assiette du CIR ;
  • les modalités pratiques de mise en œuvre des dispositifs relatifs à la sous-traitance.

Un second rapport, avant le 30 septembre 2021, sur les points suivants :

  • les modalités de prise en compte des dépenses de fonctionnement des rémunérations des jeunes docteurs ;
  • les évolutions susceptibles d’être apportées au champ des dépenses retenues dans l’assiette du CIR notamment à travers leur cantonnement à certaines catégories d’entreprises ou, le cas échéant, à leur prise en compte pour la moitié de leur montant effectif.

Pierre-Yves Fagot, avocat
Lexing Pôle droit de l’entreprise




La réforme du droit des marques en France (1ère partie)

réforme du droit des marquesLes premières dispositions de la réforme du droit des marques en France sont entrées en vigueur le 11 décembre 2019. Il s’agit de la réforme la plus importante dans le domaine de la protection et de la défense des marques depuis de nombreuses années, qui a un impact juridique significatif pour les titulaires de marques françaises, tant en droit matériel qu’en droit procédural.

Une réforme du droit des marques s’inscrivant dans un processus d’harmonisation européenne

La réforme du droit des marques en France s’inscrit dans un processus plus global de réforme du droit des marques au sein de l’Union européenne, amorcé par la Commission européenne en 2008.

Ce processus a conduit à l’adoption de textes réformant le système de la marque de l’Union européenne administrée par l’Office de l’Union européenne pour la propriété intellectuelle (EUIPO) (1), ainsi que de la directive (UE) 2015/2436 fixant de nouvelles règles d’harmonisation des législations nationales des Etats membres de l’Union européenne en droit des marques (2).

La directive (UE) 2015/2436, entrée en vigueur le 12 janvier 2016, devait initialement être transposée en droit interne par les Etats membres dans un délai de trois ans, soit au plus tard le 14 janvier 2019, pour une partie de ses dispositions et au plus tard le 14 janvier 2023 pour une autre partie de ses dispositions.

En France, l’article 201 de la loi PACTE (3), promulguée le 22 mai 2019, a autorisé le gouvernement à transposer cette directive par voie d’ordonnance dans un délai de six mois à compter de sa promulgation, c’est-à-dire au plus tard le 22 novembre 2019.

Entrées en vigueur et dispositions transitoires

L’ordonnance de transposition n°2019-1169 du 13 novembre 2019 a été publiée au JORF du 14 novembre 2019 (4) et son décret d’application au JORF du 10 décembre 2019 (5).

Ces deux textes ont été complétés par un arrêté du 9 décembre 2019 relatif aux redevances de procédures de l’Institut national de la propriété industrielle (INPI) également paru au JORF du 10 décembre 2019 (6) et deux décisions 2019-157 et 2019-158 du Directeur de l’INPI du 11 décembre 2019 (7)(8).

La plupart des nouvelles dispositions sont entrées en vigueur le 11 décembre 2019, à l’exception notable toutefois de celles relatives aux nouvelles procédures administratives en nullité et en déchéance, qui entreront en vigueur le 1er avril 2020 et sous réserve des dispositions transitoires visées à l’article 15 de l’ordonnance de transposition.

Le présent article présente les premières principales modifications introduites par la réforme du droit des marques. Il sera suivi d’un second article qui en abordera d’autres.

Nouvelle condition de représentation du signe de la marque

L’exigence de représentation graphique du signe de la marque, qui était jusqu’alors la première condition formelle d’enregistrement d’une marque française, est supprimée.

Ainsi, désormais le signe d’une marque française pourra être représenté « sous n’importe quelle forme appropriée au moyen de la technologie communément disponible, et donc pas nécessairement par des moyens graphiques, du moment que cette représentation offre des garanties satisfaisantes à cette fin », avec pour seule condition que la représentation soit « claire, précise, distincte, facilement accessible, intelligible, durable et objective » (nouvel art. R.711-1 du Code de la propriété intellectuelle).

Cette modification tient compte des évolutions techniques qui élargissent les moyens de représentation d’un signe. Par exemple, les sons peuvent désormais être représentés sous forme de fichiers électroniques et non plus exclusivement sous forme de représentation graphique (partition musicale ou sonogramme).

De nouvelles catégories des marques apparaissent : les marques de position, les marques de motifs, les marques de mouvement, les marques multimédia, les marques hologrammes.

En revanche, la possibilité de demander l’enregistrement de marques gustatives ou olfactives ou tactiles fait encore débat et il est peu probable au regard de l’état de la jurisprudence que l’on puisse déposer valablement de tels signes à titre de marque.

Une importance particulière doit être portée à la représentation du signe, car comme le souligne expressément la décision n°2019-157 du Directeur de l’INPI « la représentation de la marque définit l’objet de l’enregistrement » (Art. 4, al. 2, Décision n°2019-157 précitée), de sorte qu’une représentation qui ne serait pas claire est susceptible de conduire au rejet de la demande ou à l’annulation de la marque enregistrée.

En outre, il convient dès à présent de tenir compte de la décision  Hartwall de la CJUE du 27 mars 2019 qui a considéré qu’en cas de contradiction entre la reproduction du signe et la catégorie de marque indiquée, la demande d’enregistrement doit être rejetée pour absence de clarté et de précision du signe déposé (CJUE Aff. C-578/17, 27-3-2019, Hartwall).

La décision n°2019-157 du Directeur de l’INPI précise expressément que « la représentation de la marque définit l’objet de l’enregistrement » (Art. 4, al. 2, Décision n°2019-157 précitée).

Interprétation littérale des produits et services désignés

Intégrant l’orientation donnée par la Cour de justice de l’Union européenne dans son arrêt IP Translator du 19 juin 2012 (09), le nouvel article R.712-3-1 du Code de la propriété intellectuelle qui rappelle l’exigence déjà existante de désigner les produits et services « avec suffisamment de clarté et de précision pour permettre à toute personne de déterminer, sur cette seule base, l’étendue de la protection », précise que « l’utilisation de termes généraux, y compris les indications générales figurant dans les intitulés de classe de la classification de Nice, est interprétée comme incluant tous les produits ou les services relevant clairement du sens littéral de l’indication ou du terme ».

En d’autres termes, et à la lumière de l’arrêt précité IP Translator, il convient d’interpréter les produits et services revendiqués, dans le sens clairement littéral de leur désignation. A cet égard, il conviendra de veiller à la décision à venir de la Cour de justice de l’Union européenne dans l’affaire C-371/18 qui doit résoudre la question de savoir si une marque dont la liste des produits et services est rédigée dans des termes imprécis est susceptible d’être annulée totalement ou partiellement.

Modification de la procédure d’opposition

La procédure administrative d’opposition à l’enregistrement d’une marque française devant l’INPI subit par ailleurs de profondes modifications.

Les oppositions déposées à l’encontre des demandes de marques françaises déposées à compter du 11 décembre 2019 pourront se fonder sur d’autres droits qu’une marque antérieure protégée en France, une marque antérieure notoirement connue, le nom d’une collectivité territoriale ou une indication géographique protégeant les produits industriels ou commerciaux (IGPIA) (anc. art. L.712-4 du CPI).

Ces nouveaux fondements sont principalement :

  • une marque antérieure jouissant d’une renommée qui désigne des produits et services non identiques et non similaires ;
  • une dénomination sociale ou une raison sociale ;
  • un nom commercial, une enseigne, un nom de domaine, dont la portée n’est pas seulement locale,
  • le nom, l’image ou la renommée d’un établissement public de coopération intercommunal (par exemple une métropole au sens du code général des collectivité territoriales);
  • le nom d’une entité publique (nouvel art. L.712-4 du CPI).

En outre, le titulaire de plusieurs droits antérieurs pourra désormais déposer une seule opposition visant plusieurs droits, alors qu’auparavant il devait déposer autant d’oppositions que de droits antérieurs invoqués (nouvel art. L.712-4-1 du CPI).

Toute la procédure d’opposition est revisitée :

  • jusqu’à présent, l’acte d’opposition devait nécessairement être accompagné des mémoires et pièces à l’appui de l’opposition ;
  • désormais, l’opposant disposera d’un délai d’un mois à compter de l’expiration du délai d’opposition pour déposer ses pièces et mémoires (nouvel art. R.712-14, al. 4 – Voir également la décision n°2019-158 du Directeur de l’INPI) ;
  • les parties à la procédure pourront s’échanger jusqu’à 3 jeux d’écriture et de pièces durant la phase d’instruction, qui commence à compter de l’expiration du délai d’un mois suivant l’expiration du délai d’opposition (nouvel art. R.712-16-1 du CPI) ;
  • les parties peuvent solliciter conjointement la suspension de la phase d’instructions pour une durée de 4 mois renouvelable une fois (nouvel art. R.712-17, al. 1, 4°, du CPI) ;
  • à la fin de la phase d’instruction, l’INPI entendra les parties si elles ont demandé, durant la phase d’instruction, à être entendues oralement, et rendra sa décision dans un délai de 3 mois à compter de la fin de la phase d’instructions ;
  • la phase d’instruction est automatiquement clôturée dès qu’une partie n’a pas présenté d’observations dans le délai qui lui était imparti.

Comme dans la procédure d’opposition antérieure :

  • le délai d’opposition est toujours de 2 mois à compter de la publication du dépôt de la demande d’enregistrement de la marque française au Bulletin officiel de la propriété industrielle (nouveaux art. L.712-4 et R.712-8 du CPI),
  • la procédure d’opposition une procédure contradictoire ;
  • c’est dans ses premières observations en réponse que le titulaire de la demande de la marque contestée doit le cas échéant inviter l’opposant à produire des preuves d’usage de la marque antérieure invoquée (nouvel art. R.712-6-1 al 2, 1° du CPI).

Renforcement de l’obligation d’usage sérieux dans le cadre de la procédure d’opposition

Dernier élément abordé dans le présent article sur la réforme du droit des marques, le renforcement des pouvoirs d’appréciation de l’INPI en matière des preuves d’usages sérieux des marques antérieures invoquées dans le cadre des procédures d’opposition.

Au préalable il convient de rappeler, et ce principe reste inchangé, que le titulaire d’une marque française qui n’utilise pas sa marque de manière sérieuse, durant une période ininterrompue de cinq ans, peut être déclaré déchu de ses droits, sauf s’il justifie de justes motifs (nouvel art. L.714-5 du CPI).

Dans le cadre de la nouvelle procédure d’opposition, en cas de demande de preuves d’usage de la marque antérieure par le titulaire d’une marque contestée, l’opposant doit désormais apporter la preuve de l’usage de sa marque, enregistrée depuis plus de cinq ans, pour l’ensemble des produits et services invoqués au soutien de son opposition pour que l’opposition soit examinée au regard de l’intégralité de ces produits et services.

Si la preuve d’usage sérieux de la marque antérieure invoquée par l’opposant est apportée pour seulement une partie des produits et services, seuls ces produits et services seront pris en compte aux fins de comparaison avec les produits et services revendiqués par la marque contestée et visés dans l’opposition (nouvel art. L.712-5-1 du CPI).

Jusqu’alors, il suffisait à l’opposant de rapporter la preuve de l’usage pour au moins l’un des produits ou services invoqués et revendiqués par sa marque antérieure pour que l’INPI poursuive l’examen de l’opposition et ce, au regard de tous les produits et services invoqués et revendiqués par la marque antérieure opposée (Anc. art. R.712-17 du CPI).

Enfin, le point de départ du délai de cinq ans dans lequel les preuves d’usage sérieux de la marque antérieure doivent se placer est modifié :

  • auparavant, le délai de cinq ans était celui des cinq années précédant la demande de preuves d’usage par le titulaire de la demande de marque contestée ;
  • désormais le délai de cinq ans est décompté à partir de la date de dépôt ou la date de priorité de la demande d’enregistrement contestée.

La réforme du droit des marques introduit donc de profondes modifications conduisant les titulaires de marques à devoir réviser leurs stratégies de protection et défense de leurs marques.

Anne-Sophie Cantreau
Claire Deramoudt
Lexing Droit des marques et noms de domaines

(1) Règlement (UE) 2015/2424 qui a modifié le Règlement (UE) 207/2009 aujourd’hui abrogé et codifié par le Règlement (UE) 2017/1001 du Parlement européen et du conseil sur la marque de l’Union européenne ; voir également le Règlement délégué (UE) 2018/625 sur la marque de l’Union européenne et le Règlement d’exécution (UE) 2015/626 établissant les modalités d’application de certaines dispositions du règlement (UE) 2017/1001 ;
(2) Directive (UE) 2015/2436 du Parlement européen et du Conseil du 16 décembre 2015 rapprochant les législations des États membres sur les marques (refonte) ;
(3) Loi n° 2019-486 du 22 mai 2019 relative à la croissance et la transformation des entreprises ;
(4) Ordonnance n° 2019-1169 du 13 novembre 2019 relative aux marques de produits ou de services ;
(5) Décret n° 2019-1316 du 9 décembre 2019 relatif aux marques de produits ou de services ;
(6) Arrêté du 9 décembre 2019 relatif aux redevances de procédures de l’Institut national de la propriété industrielle ;
(7) Décision n°2019-157 relative aux modalités de dépôt des demandes d’enregistrement de marques de produits ou de services, des déclarations de renouvellement de marques de produits ou de services, de certaines demandes de formalités, ainsi que des échanges subséquents ;
(8) Décision n°2019-158 relative aux modalités de la procédure d’opposition à enregistrement d’une marque ;
(9) CJUE Aff. C-307/10, 19-6-2012, IP Translator ;
(10) CJUE Aff. C-371/18 (décision à venir), Conclusions de l’avocat général.




Licence Creative Commons et paiement de la rémunération équitable

rémunération équitableLe 11 décembre 2019, la Cour de cassation a rendu un arrêt dans lequel elle juge qu’une société diffusant de la musique sous licence Creative Commons dans ses magasins doit verser une rémunération équitable.

Nécessité d’une rémunération équitable

La société Musicmatic France (devenue Storever France) a mis à la disposition de la société Tapis Saint-Maclou des appareils « Players MM BOX » diffusant de la musique mise en ligne sous licence Creative Commons sur la plateforme Jamendo.

La Société des auteurs, compositeurs et éditeurs de musique (SACEM) a agi pour le compte de la Société pour la perception de la rémunération équitable (SPRE) afin de réclamer les sommes qui correspondent au paiement de la rémunération équitable, telle que prévue par l’article L. 214-1 du Code de la propriété intellectuelle. La société Tapis Saint-Maclou a alors assigné Storever France en garantie ainsi qu’en résiliation de contrat. La SPRE, appelée en la cause, en a profité pour former une demande reconventionnelle en paiement.

Par un arrêt de la Cour d’appel de Paris du 6 avril 2018, la société Tapis Saint-Maclou a été condamnée à verser la somme de 117.826,82 euros à la SPRE, au titre de la rémunération équitable. C’est ainsi que les sociétés Storever France, Tapis Saint-Maclou, ainsi que Audiovalley et Jamendo, intervenues volontairement à l’instance, ont formé un pourvoi en cassation.

La Cour de cassation a rejeté le pourvoi par arrêt du 11 décembre 2019, considérant que la diffusion de musiques sous licence Creative Commons doit en l’espèce être soumise au paiement de la rémunération équitable, dans la mesure où tous les critères de l’article L. 214-1 sont remplis.

En effet, « Lorsqu’un phonogramme a été publié à des fins de commerce », ceci ouvre « droit à rémunération au profit des artistes-interprètes et des producteurs ». Contrairement à ce que soutient la société Saint Maclou, la Cour de cassation affirme que :

  • les musiques ont bien été diffusées dans le cadre d’une exploitation commerciale, dans la mesure où les artistes publiant leur musique sur la plateforme Jamendo pouvaient participer à un programme commercial nommé « In-Store » lorsqu’ils choisissaient la licence Creative Commons correspondante ;
  • et que les musiques bien ont été communiquées de façon directe dans un lieu public, puisqu’elles ont été transmises auprès d’un nombre indéterminé de destinataires potentiels par la société Saint-Maclou ;

Ainsi, l’article L.214-1 du Code de la propriété intellectuelle doit être appliqué, et la Société Saint-Maclou doit procéder au paiement de la rémunération équitable, alors même que les musiques sont mises en ligne sous licence Creative Commons.

Rappel de l’objectif de la rémunération équitable

La rémunération équitable est la contrepartie de la licence légale, prévue par l’article L. 214-1 du Code de la propriété intellectuelle.

La licence légale permet certaines exploitations d’un phonogramme publiés à des fins de commerces, sans avoir au préalable à obtenir l’autorisation de l’artiste-interprète ou du producteur. La contrepartie de cette absence d’autorisation réside alors dans le paiement d’une rémunération équitable, répartie par moitié entre les artistes-interprètes et les producteurs de phonogramme. La SPRE est l’organisme de gestion collective chargée de collecter la rémunération équitable.

L’article 13 de la loi relative à la liberté de création, à l’architecture et au patrimoine (1) a en outre étendu le principe de la licence légale aux webradios dites linéaires (2).

La particularité des licences Creative Commons

Les licences Creative Commons regroupent différentes licences dites libres. Ces licences ont la particularité d’être ouvertes à tous, mais ne permettent pas pour autant n’importe quelle utilisation. Par exemple, certaines licences Creatives Commons permettent une utilisation commerciale, et d’autres non. Il est également important de préciser que, contrairement à la confusion qui peut être induite par le terme « free », signifiant à la fois « libre » et « gratuit », ces licences libres ne sont pas forcément gratuites.

L’arrêt du 11 décembre 2019 rappelle ainsi qu’une licence libre, type Creative Commons, n’exclut pas l’application du Code de la propriété intellectuelle et le paiement de la rémunération équitable.

Marie Soulez
Clara Zlotykamien
Lexing Propriété intellectuelle contentieux

(1) Loi 2016-925 du 7 juillet 2016 relative à la liberté de la création, à l’architecture et au patrimoine
(2) Un service linéaire permet l’accès simultané à des programmes préétablis, au contraire d’un service non-linéaire permettant l’accès à des contenus à la demande.




La nouvelle lettre JTTIL n°203 Janvier 2020

lettre JTTILEn 2020, nos lettres Juristendances « Informatique et Télécoms » et « Informatique et Libertés » fusionnent pour devenir la lettre JTTIL, « JurisTendances Télécoms, Informatique & Libertés ».

Depuis 2003, nous avons le plaisir de vous faire partager notre passion du droit des technologies à travers nos lettres Juristendances (l’une mensuelle, l’autre bimestrielle).

Au fil du temps, le droit de l’informatique qui s’est construit autour des composants logiciels et matériels, s’est étendu aux réseaux télécoms et internet puis à toutes les révolutions en cours ou à venir liées au numérique et aux nouvelles technologies, telle l’Intelligence artificielle et la robotique.

Nos lettres Juristendances ont pour but d’apporter un éclairage technico-juridique sur les évolutions qui sont susceptibles d’impacter toute organisation (entreprises, employeurs, administrations, associations, etc.).

La lettre JTTIL nouvelle formule

La lettre JTTIL nouvelle formule est mensuelle. Elle est agrémentée d’une rubrique « Textes et jurisprudence clés » destinée à mieux décrypter l’actualité liée aux technologies numériques.

Désormais, dans chacun de nos numéros nous vous proposerons une série d’informations en trois volets :

  • l’actualité du droit des technologies : un résumé de ce qui s’est passé durant les 30 derniers jours ;
  • les événements auxquels nous vous convions : petits-déjeuners débats et Afterworks ;
  • les textes et jurisprudence clés du mois.

Nous espérons que la jonction de ces trois dimensions (actualité, débats et information légale et jurisprudentielle) nous permettrons de mieux vous faire partager notre passion du droit des technologies.

Avant que vous ne plongiez dans la nouvelle formule, il nous reste à vous souhaiter « une excellente année 2020 ».

JurisTendances Télécoms Informatique & Libertés n°203, Janvier 2020.

  • Les lettres Juristendances sont mis en ligne gratuitement. Pour recevoir la lettre JTTIL et rester au cœur de l’actualité législative et jurisprudentielle des technologies : inscription en ligne.
  • Les professionnels du droit des technologies avancées Lexing Alain Bensoussan – Avocats présentent et analysent chaque mois l’actualité. N’hésitez pas à nous suivre également sur nos réseaux sociaux et notre site internet



Parution du n°61 de Planète Robots (janvier-février 2020)

L61 de Planète Robotse n°61 du magazine Planète Robots (janvier-février 2020) est paru le 24 décembre.

Au sommaire du n°61 de Planète Robots

  • un dossier spécial consacré à la réalité virtuelle ;
  • une sélection de casques virtuels, dont l’Oculus Quest de Facebook qui fait la Une de ce numéro ;
  • Un entretien avec Laurent Chétrien, DG du salon Laval Virtual
  • un retour sur l’inauguration du centre de chirurgie robotisée d’Amiens par Emmanuel Macron
  • un compte-rendu de la 3ème édition du salon Robomeetings Smart Industry de Saint-Quentin.

Mais également:

  • les ruptures technologiques de 2020 ;
  • les robots dans le secteur nucléaire ;
  • les nouveaux robots d’esploration spatiale ;
  • les robots qui font du ski ;
  • les robots tueurs SALA ;
  • les robots masseurs ;

Retrouvez enfin la chronique de droit des robots d’Alain Bensoussan consacrée à  « La 3D confrontée à la problématique des données personnelles ».

N° 61 du magazine Planète Robots, janvier/février, 98 p., 6,50 euros
Site du magazine.

Eric Bonnet
Avocat
Directeur de la communication juridique




Parution de la 3e édition de l’ouvrage Informatique et libertés

ouvrage Informatique et libertésLa 3e édition de l’ouvrage Informatique et libertés d’Alain Bensoussan vient de paraître aux éditions Francis Lefebvre.

Cette 3e édition permet de tout savoir de la nouvelle architecture de la loi de 1978 redessinée par le décret du 30 mai 2019 et des « marges de manœuvre nationales » autorisées par le RGPD.

Elle est en effet consacrée à la nouvelle rédaction de la loi loi du 6 janvier 1978 en vigueur depuis le 1er juin 2019.

Rappelons que par souci d’intelligibilité, le législateur a pris le parti de conserver l’architecture de la loi de 1978, d’abroger les dispositions contraires au RGPD et de mettre en conformité celles qui devaient l’être, ce qui nécessite de lire de manière combinée le RGPD et la loi du 6 janvier 1978.

La nouvelle architecture de la loi de 1978

La nouvelle loi comporte désormais 128 articles (contre 71 auparavant) articulés autour de 5 titres :

  • Les dispositions communes au RGPD ;
  • Les traitements relevant du régime de protection des données à caractère personnel prévu par le RGPD ;
  • Les dispositions applicables aux traitements relevant de la directive (UE) 2016/680 du 27 avril 2016 (dite « Directive Police Justice ») ;
  • Les dispositions applicables aux traitements intéressant la sûreté de l’Etat et la défense ;
  • Les dispositions relatives à l’outre-mer.

L’ouvrage Informatique et libertés

Cette nouvelle édition par laquelle les Editions Francis Lefebvre ont bien voulu nous témoigner de leur confiance, est préfacée par Marie-Laure Denis, Présidente de la Cnil. L’ouvrage présente :

  • les nouveaux droits (déréférencement d’une information grâce au droit à l’oubli, récupération de ses données grâce au droit à la portabilité, limitation du traitement, etc.) ;
  • le principe de responsabilisation de l’ensemble des acteurs intervenant dans la chaîne d’un traitement de données à caractère personnel (responsable du traitement, sous-traitants, responsables conjoints) ;
  • les nouveaux outils de conformité à la loi Informatique et libertés (l’accountability, l’analyse d’impact, etc.) ;
  • la généralisation du délégué à la protection des données ;
  • les nouveaux pouvoirs et missions de la Cnil, etc.

Il est enrichie d’analyses sur les nouvelles technologies et secteurs d’activités (cloud computing, blockchain, traitements algorithmiques, techniques de pseudonymisation, services numériques, etc.).

Informatique et libertés, Alain Bensoussan,
Editions Francis Lefebvre, 3e Ed. 2019.

Voir également :
– l’interview vidéo, émission La Quotidienne du 17 décembre 2019.
– le Livre blanc extrait de l’ouvrage, « Quels sont les nouveaux outils de conformité à la loi Informatique et libertés ? », 16 décembre 2019.

Isabelle Pottier
Avocat, Lexing Alain Bensoussan Avocats
Directeur du département Etudes et publications




La protection des créations culinaires, un enjeu français

créations culinairesLa protection des créations culinaires constitue un enjeu de valorisation du patrimoine et de l’économie française.

Une protection incomplète des créations culinaires par la propriété intellectuelle

En droit positif français, la protection de la création culinaire est faible : aucun droit de propriété intellectuelle ne permet d’apporter une protection claire et uniforme à ces créations à ce jour.

En effet, ce n’est pas l’ensemble de la création culinaire qui pourra être protégée par le droit existant, mais seulement certaines caractéristiques de cette création.

A titre d’exemple, une recette de cuisine, rédigée à l’écrit, pourrait constituer une œuvre de l’esprit protégeable par le droit d’auteur, à condition qu’elle soit originale et porte « l’empreinte de la personnalité » de son auteur. Toutefois, cette protection ne portera que sur l’œuvre littéraire elle-même et non pas sur la recette en tant que telle et n’interdira pas la réalisation de la recette.

La recette de cuisine en tant que telle s’apparente juridiquement plus à un savoir-faire, protégeable comme un secret de fabrique. La recette du Coca-cola par exemple est protégée par ce biais.

De même, les techniques innovantes mises en œuvre lors de la réalisation de la création culinaire peuvent donner lieu à une protection par brevet à condition que la recette apporte une solution technique non évidente à un problème technique préexistant. Cela peut par exemple être une recette permettant de confectionner une soupe dans laquelle le foie gras ne se mélangerait pas avec la gelée de poule (1).

Par ailleurs, le nom d’une création culinaire peut être déposé à titre de marque, à condition d’être distinctif par rapport aux produits désignés, c’est-à-dire de ne pas être uniquement constitué de termes indiquant les produits utilisés dans cette préparation ou le nom de cette préparation, comme la marque MON HUILE DE HOMARD pour désigner un condiment aromatisé au homard (2).

Enfin, l’apparence d’une création culinaire peut également faire l’objet d’une protection par le biais du dépôt d’un modèle, à condition de satisfaire aux conditions de protection des dessins et modèles, à savoir la nouveauté (absence de divulgation antérieure identique) et le caractère individuel ou propre (l’impression d’ensemble diffère de celle produite par tout modèle divulgué antérieurement). Un chef, créateur d’une nouvelle forme de tarte aux pommes dont la caractéristique tient au positionnement des pommes en forme de boutons de rose, a ainsi choisi de protéger sa création par le dépôt de deux modèles, dont la validité a été confirmée par le Tribunal de grande instance de Paris (3).

Hormis ces quelques exemples, force est de constater qu’aucun droit de propriété intellectuelle ne permet d’apporter une protection claire aux créations culinaires.

L’arrêt du 13 novembre 2018 rendu par la Cour de justice de l’Union européenne, qui a fermé la voie du droit d’auteur aux saveurs culinaires en décidant qu’une saveur culinaire ne peut être qualifiée d’œuvre (4) et le refus des Offices de propriété industrielle français et européens de protéger les saveurs à titre de marque témoignent des limites du droit existant.

La proposition de loi relative à la protection des recettes

Pour mettre un terme à la vulnérabilité de la création culinaire, une proposition de loi Bresnier n°1890 relative à la « protection des recettes et des créations culinaires » a été présentée à l’Assemblée nationale le 30 avril 2019 (5).

Le projet de loi prévoit, en premier lieu, la création d’un Institut national de la création culinaire certifiée, habilité à délivrer des certificats de création culinaire pour protéger, pendant 20 ans, les créations culinaires.

Les créations culinaires seraient inscrites sur un registre national public reprenant les éléments permettant aux tiers de reproduire la recette (ingrédients, recette, etc.).

Pour se voir octroyer un tel certificat, les créations devront :

  • être nouvelles, c’est-à-dire jamais rendues accessibles au public avant la date de dépôt de la demande de certificat de création culinaire par une description écrite ou orale, un usage ou tout autre moyen ;
  • impliquer une activité créatrice, définie comme une non-évidence pour l’homme du métier ;
  • présenter un caractère gustatif propre pour donner une impression d’ensemble de « non déjà gouté ».

Le détenteur d’un certificat de création culinaire serait ainsi titulaire de droits patrimoniaux (droit d’exploitation) et moraux (droit de divulgation, droit au nom, droit au respect de la création culinaire) sur cette création.

Toute atteinte à ce nouveau droit de propriété constituerait un acte de contrefaçon. Une action en contrefaçon sanctionnerait la fabrication, l’utilisation ou la détention non autorisée de la création culinaire.

Le texte prévoit également l’existence d’un régime spécifique pour les créations des salariés, une procédure d’opposition dans un délai de deux mois à compter de la publication de la demande de certificat.

Si cette proposition de loi, inspirée des régimes existant en matière de droit d’auteur et de droit des marques, voyait finalement le jour, elle serait susceptible de séduire les professionnels de l’industrie agro-alimentaire, en leur offrant une solution pour protéger leurs créations culinaires.

Si cette initiative est intéressante, elle amène néanmoins des questions pratiques : comment analyser le critère du caractère gustatif propre quand les saveurs ne sont pas perceptibles de la même manière selon les personnes ? Comment réaliser une recherche d’antériorités en matière de saveurs ?

Cette proposition de loi a été renvoyée à la Commission des affaires culturelles et de l’éducation. Affaire à suivre.

Anne-Sophie Cantreau
Claire Deramoudt
Lexing Propriété industrielle conseil

(1) « Soupe chaude de foie gras à la gelée de poule »
(2) CA Rennes, 3e ch. comm., 23-10-2018, n° 18/01378
(3) TGI Paris, 3e ch., 15-03-2018, n° 16/10841
(4) CJUE, 13-11-2018, Levola Hengelo BV c. Smilde Foods BV aff. C.310/17
(5) Proposition de loi relative à la protection des recettes et créations culinaires, Doc. n° 1890 déposé le 30-04-2019 à l’Assemblée nationale.




Les contrats cloud Microsoft rattrapés par le RGPD

contrats cloud MicrosoftDepuis l’application du RGPD, les acteurs du cloud sont contraints à la fois de repenser leurs outils et de revoir leurs contrats.

Le dernier exemple en date concerne Microsoft. Le Contrôleur européen s’alarme des conditions contractuelles signées par l’Union européenne. Microsoft s’engage à réagir promptement (1).

La position du Contrôleur européen sur les contrats cloud Microsoft

Dans un contexte marqué par des menaces toujours plus fortes d’accès par des États à la donnée numérique directement chez le prestataire cloud, en particulier le Cloud Act pour les États-Unis d’Amérique, le Contrôleur européen a lancé en avril 2019 un audit complet des contrats cloud signés par les institutions de l’Union européenne (2).

Même si les institutions européennes disposent de leur « propre RGPD », à savoir le règlement 2018/1725 du 11 décembre 2018, les principes et leur mise en œuvre sont en très grande partie les mêmes.

Le contrôleur Giovanni Buttarelli et le contrôleur adjoint Wojciech Wiewiórowsk ont donc mis en œuvre un audit pour s’assurer que les clauses applicables respectent la réglementation et que les droits des personnes soient effectifs.

Ces travaux ont été menés en coopération avec le ministre néerlandais de la justice qui, au même moment, s’était engagé dans la réalisation d’une étude d’impact sur le service bureautique phare de Microsoft, Office 365, hébergé dans le cloud « maison », Azure.

Le Contrôleur européen fait siennes toutes les réserves figurant dans cette analyse d’impact et, en particulier :

  • l’absence de transparence sur la circulation des données personnelles, notamment hors de l’Union européenne ;
  • l’impossibilité de « prendre le contrôle total » de ses données, notamment du fait de l’activation automatique d’outils de traçabilité des actions utilisateurs et de statistiques ;
  • la difficulté pour l’utilisateur à pouvoir faire valoir ses droits dans les interfaces actuellement disponibles.

Pour proposer plus concrètement des clauses types pouvant s’appliquer à toute administration publique, un forum dit de la Haye a été mis en place pour réunir les parties intéressées, utilisateurs et prestataires mais aussi toute partie concernée, à se joindre à ces travaux.

Dès 2012, l’Agence européenne de cybersécurité, l’Enisa avait déjà formulé ses recommandations sur la contractualisation des services dans le cloud (3). Avec les travaux du forum, il s’agit désormais d’aller bien au-delà des préconisations de l’Enisa, alors que le cadre réglementaire est de plus en plus précis et contraignant. Il est d’ailleurs possible de considérer, au moins pour la gestion des données personnelles, que le contrat cloud est désormais un contrat nommé (4).

Les contrats cloud de Microsoft revus par le RGPD

Microsoft a pris publiquement l’engagement formel de revoir ses contrats. La nouvelle version des Online Services Terms (OST) devrait intervenir pour début 2020 (5). A la lumière des critiques formulées par le contrôleur, outre les travaux du ministre néerlandais de la justice, les dispositions suivantes devraient être revues :

  • Une clause doit garantir la possibilité pour le responsable de traitement d’assurer leurs droits effectifs aux utilisateurs. Ces personnes concernées doivent ainsi disposer de toute information utile sur l’usage de leurs données et pouvoir directement exercer leurs droits dans les outils utilisés.
  • La clause d’audit sur site devrait être désormais présente au contrat selon des conditions à préciser. Elle était jusqu’alors refusée par Microsoft au prétexte que les certifications à diverses normes, dont la norme ISO 27001 complétée de la norme ISO 27018 sur l’hébergement de données personnelles, devaient suffire en soi.
  • On devrait aussi avoir des précisions sur la directive NIS et l’obligation de notifier les failles de sécurité affectant tout type de données et système auprès de l’Agence nationale de cybersécurité (l’ANSSI en France).
  • Enfin, dans la mesure où le Contrôleur européen et le CEPD ont déjà exprimé leur inquiétude sur le Cloud Act (6), il devrait être prévu que le prestataire, dès lors que cela peut être envisageable par cette loi, devrait s’engager à en contester la mise en œuvre auprès du juge compétent.

Si Microsoft a explicitement pris cette position après l’avis du Contrôleur européen, ces nouvelles mesures contractuelles ne devraient pas se limiter aux seules institutions européennes mais bien à tout client, responsable de traitement soumis au RGPD.

Il n’est pas précisé si ces nouvelles dispositions auront un effet rétroactif. En tout cas, tout contract manager devra veiller à ce que les contrats cloud Microsoft dont il dispose dans son organisation,seront bien soumis aux nouvelles OST plus favorables.

Eric Le Quellenec, Avocat
Lexing Informatique conseil

(1) Post du Contrôleur européen du 21 octobre 2019.
(2) Post du Contrôleur européen du 8 avril 2019.
(3) Guide achat cloud, Enisa, 2012.
(4) Eric Le Quellenec, Les contrats informatiques et la protection des données à caractère personnel : aspects pratiques, AJ contrat, Dalloz, octobre 2019, p.420.
(5) Post Microsoft du 18 novembre 2019.
(6) Lettre de couverture sur le Cloud Act du 10 juillet 2019.




La cybersécurité : un enjeu majeur réaffirmé pour l’Union européenne

La cybersécuritéFrédéric Forster évoque le nouveau règlement européen sur la cybersécurité dans sa dernière chronique publiée dans le magazine E.D.I.

Adopté le 17 avril 2019, le nouveau règlement européen sur la cybersécurité a pour ambition annoncée de renforcer drastiquement la protection face au cybercrime des utilisateurs des outils numériques qu’ils soient professionnels ou non.

L’objectif d’harmonisation et de coopération inter étatique par la mise en place d’échanges d’informations sur le risque cyber, prôné par le directive NIS (ou SRI en français), n’ayant pas été atteint, il est apparu nécessaire de passer par la voie d’un règlement européen d’application immédiate.

La cybersécurité à la une

Le règlement européen, entré en vigueur le 28 juin 2019, comporte deux volets principaux :

  • la mise en place d’une certification de la cybersécurité,
  • l’extension du rôle de l’ENISA,

qui se déclinent ensuite en six objectifs distincts que Frédéric Forster, Avocat, directeur du pôle Télécoms du cabinet Lexing Alain Bensoussan Avocats,  passe en revue.

Pour conclure que « les entreprises du numérique sont particulièrement concernées par les objectifs énoncés par le règlement européen, par la contribution qu’elles peuvent apporter à la construction d’un espace numérique plus sécurisé, autour du concept du « security by default », déjà connu en matière de protection des données à caractère personnel, mais appliqué ici de manière plus générale, et de la certification de leurs produits ou de leurs services ».

Frédéric Forster pour le magazine E.D.I, « La cybersécurité : un enjeu majeur réaffirmé pour l’Union européenne », n° 93 de novembre 2019.

Règlement (UE) 2019/881 du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification cybersécurité des technologies de l’information et des communications (règlement sur la cybersécurité).
Directive (UE) 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union.




Reconnaissance faciale et liberté du consentement

Reconnaissance facialeAlain Bensoussan évoque pour Digital Mag les enjeux et le cadre juridique de la reconnaissance faciale.

Sous couvert de sécurité, la généralisation de la reconnaissance faciale dans l’espace public mais également professionnel, amène Alain Bensoussan à rappeler le cadre juridique applicable.

Cette technologie qui n’en est plus à ses balbutiements, pose notamment la question du consentement des personnes dont les données biométriques sont utilisées.

Reconnaissance faciale : quels enjeux pour quel cadre juridique ?

En France, les technologies de reconnaissance faciale sont encadrées par la loi Informatique et libertés.

Ces technologies appartiennent à la catégorie des systèmes biométriques qui, lorsqu’ils ne sont pas justifiés par l’intérêt public, ne peuvent être mis en oeuvre sans le consentement des personnes concernées.

La liberté du consentement suppose que la personne concernée dispose d’un choix réel et non contraint.

La Cnil rappelle que :

« Compte tenu de la sensibilité des traitements de données biométriques, la Commission estime que ceux mis en œuvre pour des raisons de commodité, c’est-à-dire en dehors de forts enjeux de sécurité, ne peuvent pas être imposés aux personnes concernées, y compris au titre de l’intérêt légitime du responsable du traitement. De tels dispositifs ne peuvent, dès lors, être mis en œuvre qu’avec le consentement des personnes concernées, entendu comme la manifestation de leur volonté libre, spécifique et éclairée » (Délib. 2018-012 du 18-1-2018).

Rappelons qu’au sein de l’Union européenne, l’utilisation de tels dispositifs faisant intervenir des données biométriques est encadrée par le règlement général sur la protection des données (RGPD).

En outre, signalons que la Commission européenne prépare un règlement qui autorisera les citoyens de l’Union européenne à contrôler l’utilisation de leurs données de reconnaissance faciale.

Isabelle Pottier
Avocat, Lexing Alain Bensoussan Avocats
Directeur du département Etudes et publications

Alain Bensoussan, Reconnaissance faciale : quels enjeux pour quel cadre juridique ?, paru dans Digital Mag, n°257, Octobre 2019.




La Cnil lance une plateforme Données & design RGPD

plateforme Données & designLe Laboratoire d’innovation de la Cnil lance la plateforme Données & Design faisant le lien entre design interactif et RGPD.

Design interactif, clé de voûte de l’interface réussie

A l’heure du tout numérique, le design apparaît plus que jamais centré sur l’utilisateur, examinant en détail son environnement, son mode de vie, ses habitudes, ses besoins et ses interactions avec les interfaces, les produits et les services qui lui sont offerts.

En effet, la réalisation d’une interface implique l’imbrication d’une conception technique consistant à créer une chaîne de fonctionnalités d’actions et de réactions et d’une conception du design visant à guider l’utilisateur dans l’utilisation de l’interface par la mise en place de parcours et de représentations graphiques aisément compréhensibles.

C’est ainsi que se sont développés, différents métiers du design interactifs :

  • le design d’interface (user interface design ou UI) visant à faciliter l’utilisation du service, de l’application ou de la machine par la création d’une interface visuellement cohérente et compréhensible ;
  • le design d’interactions (interaction design ou IxD), ayant pour objectif de déterminer la réaction du système dans le dialogue avec l’utilisateur ;
  • plus récemment, le design d’expérience utilisateur (UX design) visant à améliorer et optimiser l’expérience utilisateur en centrant la conception de l’interface sur l’expérience client.

Il s’agit là de la transposition au monde numérique de l’optimisation du parcours client bien connue du monde de la grande distribution dont les magasins Ikea sont l’illustration typique.

Design interactif, instrument d’optimisation de la collecte de données personnelles

Appliqué au monde numérique, le design interactif constitue également un moyen particulièrement performant de collecte des données utilisateurs par la mise en place de méthodes destinées à influencer le comportement de ce dernier.

Dans ce cadre, le Laboratoire d’innovation de la Commission nationale de l’informatique et des libertés (LINC) a identifié, dans son 6e cahier Innovation et prospective intitulé « La Forme des choix – Données personnelles, design et frictions désirables » (1) paru en janvier 2019, quatre catégories de pratiques de design interactif visant à optimiser la collecte de données personnelles potentiellement trompeuses.

Sont ainsi visées les pratiques consistant à « pousser l’individu à accepter de partager plus que ce qui est strictement nécessaire ». Parmi les exemples les plus topiques, se trouve la pratique consistant à solliciter la collecte de données additionnelles à celles strictement nécessaires au service lors d’une étape où l’utilisateur est engagé dans un processus de commande par exemple.

Le LINC donne ici l’exemple consistant à requérir un numéro de téléphone, pour permettre la livraison du bien commandé, qui sera in fine utilisé à des fins de prospection commerciale.

Une deuxième catégorie de pratiques ainsi identifiée consiste à influencer le consentement de l’utilisateur par la mise en œuvre de techniques peu claires ou ambiguës : recueil du consentement par l’utilisation de phrases complexes avec une double négation par exemple ou encore utilisation d’un code graphique dans un sens opposé à celui sous lequel il est généralement perçu : reproduction d’un cadenas dans un environnement non sécurisé, d’un code rouge pour une acception et vert pour un refus.

Une troisième catégorie de technique de design interactif réside dans la mise en place de « frictions aux actions de protection des données » : sous couvert de respecter la règlementation applicable, l’exercice des droits de l’utilisateur fait obstacle à l’utilisation de l’interface ou alors est rendue particulièrement complexe pour pousser l’utilisateur à l’abandon (complexification du réglage des paramètres de confidentialité par exemple).

La dernière catégorie de pratiques ainsi relevées vise celles consistant à « dérouter l’utilisateur » par exemple par le fait de donner à une action un sens contraire à celle attendue ou encore de masquer le caractère publicitaire d’un contenu.

Design interactif et RGPD : des exigences inconciliables ?

Si ces pratiques ne sont pas toutes sanctionnables, elles conduisent à s’interroger sur la compatibilité entre le but poursuivi par le design interactif et le respect des règles de transparence et de manifestation du consentement de l’utilisateur posées par le RGPD.

Ainsi, l’article 5 du RGPD pose le principe selon lequel les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée.

L’article 4 définit par ailleurs la notion de « consentement de la personne concernée » comme une « manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

A cet égard, le G29 est venu préciser que, pour déterminer si le consentement était donné librement, il y avait lieu de tenir compte de « toute pression ou influence inappropriée exercée sur la personne concernée (pouvant se manifester de différentes façons) [l’]empêchant [l’utilisateur] d’exercer sa volonté rendra le consentement non valable » (2).

Dès lors, le design interactif abusif ou trompeur apparait susceptible de remettre en cause la validité du consentement donné, et partant, la validité du traitement fondé sur ce consentement lorsqu’aucune autre base légale n’est susceptible d’être valablement invoquée.

Design interactif et RGPD : lancement d’une plateforme dédiée

Face à ce constat, le LINC a récemment lancé la plateforme Données & Design, destinée aux « designers soucieux d’intégrer au mieux la protection des données et des libertés dans leurs interfaces, services et produits » (3).

Cette plateforme qui vise à « créer des opportunités de collaboration et des espaces d’échange entre les designers pour coconstruire des parcours respectueux de la vie privée », s’articule autour de trois axes :

  • la présentation des fondamentaux et concepts clés de la réglementation relative à la protection des données personnelles se prêtant particulièrement au design interactif : information des utilisateurs, consentement, exercice des droits ;
  • la présentation d’exemples et de cas d’étude servant d’inspiration pour créer des interfaces et parcours respectueux des données personnelles des utilisateurs, et la fourniture de ressources permettant d’approfondir les questions de protection des données à caractère personnel ;
  • la possibilité pour les designers d’accéder à un espace d’échanges sur la plateforme Slack afin de discuter avec leurs pairs des problématiques rencontrées en matière de protection des données à caractère personnel, et de participer à divers ateliers de réflexion sur ce sujet.

Cette plateforme s’adresse en premier lieu aux designers, chefs de projets et développeurs, mais également aux délégués à la protection des données et juristes intervenant dans le secteur du design interactif.

Gageons que ce nouvel outil permettra aux designers, et plus largement à l’ensemble des acteurs intervenant dans le secteur du design interactif, d’adopter des pratiques vertueuses pour le respect de la vie privée des utilisateurs, et à ces derniers de mieux maîtriser leurs données personnelles.

Virginie Brunot
Justine Ribaucourt
Lexing Droit Propriété industrielle

(1) Laboratoire d’Innovation de la Commission Nationale de l’Informatique et des Libertés (LINC), Innovation et prospective intitulé « La Forme des choix – Données personnelles, design et frictions désirables », janvier 2019,
(2) Groupe de travail « Article 29 » – Lignes directrices sur le consentement au sens du règlement 2016/679 adoptées le 28 novembre 2017,
(3) Plateforme Données & Design.




Obligations en matière d’analyse d’impact pour les mairies

analyse d’impact pour les mairiesLe RGPD (1) impose un certain nombre d’obligations pour les collectivités territoriales (2). Il existe notamment des obligations en matière d’analyse d’impact pour les mairies.

Le règlement prévoit ainsi la réalisation d’analyses d’impact relatives à la protection des données pour les traitements susceptibles d’engendrer un risque élevé pour les droits et les libertés des personnes.

Compte tenu des traitements particulièrement sensibles que sont susceptibles de mettre en œuvre les mairies, ces dernières sont directement concernées par cette application.

Comment déterminer si une analyse d’impact doit être réalisée ?

L’article 35 du RGPD précise tout d’abord qu’une analyse d’impact est, en particulier, requise dans les cas suivants :

  • l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire;
  • le traitement à grande échelle de catégories particulières de données, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions ; ou
  • la surveillance systématique à grande échelle d’une zone accessible au public.

En complément, la Cnil a publié une liste des traitements pour lesquels une analyse d’impact est requise (3).

Conformément à cette liste, une analyse d’impact pour les mairies s’impose notamment s’agissant :

  • des traitements ayant pour finalité la gestion des alertes et des signalements en matière sociale et sanitaire ;
  • des traitements ayant pour finalité l’accompagnement social ou médico-social des personnes ;
  • l’instruction des demandes et gestion des logements sociaux ;
  • des traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle.

Certains traitements mis en œuvre par les Centres communaux d’action sociale (CCAS) et les centres municipaux de santé, tels que les traitements de données de santé pour la prise en charge des personnes, sont également concernés.

Une analyse d’impact est également requise si le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29 (4) suivants :

  • évaluation/scoring (y compris le profilage) ;
  • décision automatique avec effet légal ou similaire ;
  • surveillance systématique ;
  • collecte de données sensibles ou données à caractère hautement personnel ;
  • collecte de données personnelles à large échelle ;
  • croisement de données ;
  • personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  • usage innovant (utilisation d’une nouvelle technologie) ;
  • exclusion du bénéfice d’un droit/contrat.

Publication de la liste des traitements pour lesquelles une analyse d’impact pour les mairies n’est pas requise

Le 22 octobre 2019, la Cnil a publié la liste des types d’opérations de traitement exonérés d’analyse d’impact (5).

Aucune analyse d’impact pour les mairies n’est ainsi requise pour :

  • les traitements mis en œuvre dans les conditions prévues par les textes relatifs à la gestion du fichier électoral des communes ;
  • les traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage ;
  • les traitements mis en œuvre par les collectivités territoriales aux fins de gérer les services en matière d’affaires scolaires, périscolaires et de la petite enfance.

Cette dernière exonération s’applique aux traitements relatifs à :

  • la préinscription, l’inscription, le suivi et la facturation des services en matière d’affaires scolaires, périscolaires, extrascolaires et de petite enfance (la scolarisation en école maternelle et élémentaire) ;
  • le recensement des enfants soumis à l’obligation scolaire ;
  • la restauration scolaire et extrascolaire ;
  • les transports scolaires ;
  • les accueils et activités périscolaires et extrascolaires, les accueils collectifs de mineurs ;
  • la participation à l’organisation matérielle et financière des sorties scolaires, les séjours scolaires courts et classes de découverte dans le premier degré ;
  • l’accueil de la petite enfance au sein des établissements et services d’accueil des enfants de moins de six ans.

En tout état de cause, en cas de doute quant à la nécessité de réaliser une analyse d’impact pour les mairies, il est recommandé d’en effectuer une.

En effet, une analyse d’impact permet non seulement de mettre en œuvre des traitements de données respectueux de la vie privée, mais également faire preuve de la bonne conformité des mairies au RGPD.

Une analyse d’impact peut concerner un seul traitement ou un ensemble de traitements similaires.

La Cnil a, en outre, pu préciser à titre d’exemple que des collectivités qui mettent chacune en place un système de vidéosurveillance similaire pourraient effectuer une seule analyse qui porterait sur ce système bien que celui-ci soit ultérieurement mis en œuvre par des responsables de traitements distincts (6).

En outre, le montant des amendes pouvant s’élever jusqu’à 10 000 000 euros en cas de manquements aux dispositions relatives aux analyses d’impact, une vigilance particulière doit être apportée.

Anne Renard
Marine Hannequart
Lexing Conformite et certification

(1) Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou « RGPD »),
(2) Post précédent : « RGPD dans les mairies : quels impacts ? », du 14-10-2019 ,
(3) Cnil, Délibération n° 2018-327 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise, du 11-10-2018,
(4) Groupe de travail « article 29» sur la protection des données, Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679, 4-04-2017,
(5) Cnil, Délibération n° 2019-118 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise, 12-09- 2019,
(6) Cnil, « Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données (AIPD) », 22-10-2019.




Le référentiel Cnil de gestion des vigilances sanitaires

gestion des vigilances sanitairesLes traitements de gestion des vigilances sanitaires peuvent être mis en oeuvre après une déclaration de conformité à la Cnil.

Ce régime est issu du référentiel de gestion des vigilances sanitaires élaboré par la Cnil pour encadrer leur traitement conformément aux principes du RGPD (délibération du 9 mai 2019) .

Contexte applicable aux référentiels publiés par le Cnil

Certains traitements de données de santé à caractère personnel visés à l’article 65 de la loi Informatique et libertés sont régis par des dispositions spécifiques.

Il s’agit notamment, sauf exceptions visées au même article, des traitements de données de santé à caractère personnel nécessaires :

  • pour des motifs d’intérêt public important (RGPD, art. 9, 2) g) ;
  • pour ces mêmes motifs dans le domaine de la santé (RGPD, art. 9, 2) i) ;
  • à des fins de recherche scientifique ou historique ou à des fins statistiques (RGPD, art. 9, 2) j) ;
  • aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable de traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale (RGPD, art. 9, 2) b).

Ces traitements ne peuvent être mis en œuvre que s’ils sont conformes à des référentiels. Le responsable du traitement doit adresser préalablement à la Cnil une déclaration attestant de cette conformité.

A défaut de se conformer à ces référentiels, ces traitements ne peuvent être mis en œuvre qu’après autorisation de la Cnil.

C’est donc dans ce cadre que s’inscrit le présent référentiel, accompagné de sa FAQ publiée par la Cnil.

Distinction avec les autres référentiels visés par la loi Informatique et libertés

Bien que la terminologie soit identique, la notion de référentiel, selon la loi de 78, apparaît polyforme et comprend :

  • des référentiels visés à l’article 8 de la loi Informatique et libertés. Ils sont établis et publiés par la Cnil pour faciliter la mise en conformité des traitements de données à la loi. Ils permettent aux responsables de traitement et sous-traitants d’évaluer les éventuels risques ;
  • des référentiels de certification de personnes, de produits, de systèmes de données et de procédures. Le but est de reconnaître leur conformité au RGPD et à la loi Informatique et libertés. Il existe aussi des référentiels d’agrément des organismes certificateurs (Loi IetL, art. 8) ;
  • ceux comme le présent référentiel auquel il convient de se conformer en application du contexte susvisé.

Champ d’application du référentiel de gestion des vigilances sanitaires

Tout d’abord, ce référentiel concerne :

  • les traitements de données de santé à caractère personnel liés à l’ensemble des vigilances sanitaires. Par exemple, pharmacovigilance, addictovigilance, biovigilance, cosmétovigilance, hémovigilance ; mais aussi toute autre vigilance figurant dans l’arrêté du 27 février 2017 qui nécessite une déclaration ou un signalement.  Il peut s’effectuer au moyen du portail de signalement des événements sanitaires indésirables ;
  • mis en œuvre par les acteurs suivants : fabricants, entreprises, exploitants, organismes responsables de la mise sur le marché d’un médicament, d’un dispositif ou d’un produit.

« Les professionnels et les systèmes ou services de soins de santé (établissement de santé, maisons de santé, centres de santé, agences sanitaires, etc.) ne sont pas concernés » par ce référentiel. En effet, ils ne sont pas concernés par les dispositions des articles 65 et suivants de la loi de 78 et ne requièrent, en principe, aucune formalité préalable (Cnil, FAQ, Le référentiel « vigilances sanitaires » en questions, 18 juillet 2019).

Traitements concernés par le référentiel de gestion des vigilances sanitaires

Ensuite, le référentiel énonce les finalités des traitements de gestion des vigilances sanitaires et leurs bases légales :

  • le traitement est nécessaire au respect des obligations légales imposées par les dispositifs de vigilance sanitaire (RGPD, art. 6, 1) c)) ;
  • le traitement est nécessaire pour des motifs d’intérêt public (RGPD, art. 9, 2) i)).

Les données personnelles concernées par le traitement, les destinataires et les durées de conservation des données sont aussi précisées.

Cela signifie que le responsable du traitement ne peut en bénéficier dans les hypothèses où :

  • un traitement aux fins de vigilance sanitaire comporte d’autres données que celles listées,
  • les données sont transmises à d’autres destinataires ou
  • des durées de conservation non conformes au référentiel sont prévues,

En pareils cas, il ne peut donc les mettre en œuvre qu’après autorisation de la Cnil.

Information des personnes concernées

Les personnes concernées doivent être informées dès la collecte des données des modalités de leur traitement (RGPD, art. 13 et 14).

Il s’agit des :

  • personnes exposées à l’événement sanitaire indésirable,
  • personnes ayant notifié l’événement sanitaire indésirable et
  • professionnels de santé ayant suivi la personne concernée par l’événement

Surtout, le référentiel relatif à la gestion des vigilances sanitaires précise :

  • qu’en cas de notification de l’événement sanitaire indésirable par la personne qui y est exposée, une information particulière doit lui être fournie préalablement, afin de l’informer que le secret de son identité ne sera pas préservé ;
  • que l’information doit également préciser la manière d’exercer les droits des personnes concernées.

Le support de l’information est libre et l’information peut être fournie par écrit ou à l’oral. Dans cette dernière hypothèse, la personne concernée peut obtenir la mise à disposition d’un support écrit.

Lorsque la notification de l’évènement est réalisée par une personne différente de celle exposée, l’information est fournie par le notificateur sur la base des éléments d’information écrits que lui a remis par le responsable de traitement.

A ce titre, il appartient au responsable du traitement de recueillir la preuve, le cas échéant auprès du notificateur, que l’information a été fournie.

Droits des personnes concernées

Au regard de la base juridique du traitement (respect d’une obligation légale), les personnes concernées ne disposent pas du droit :

  • d’opposition,
  • d’effacement des données,
  • à la portabilité des données.

Ainsi, les personnes concernées disposent des droits suivants :

Sécurité et hébergement des données

Le référentiel relatif à la gestion des vigilances sanitaires prévoit une liste de mesures de sécurité à mettre en œuvre par le responsable du traitement.

A défaut, il doit être en mesure de justifier de mesures équivalentes ou du fait de ne pas avoir besoin ou de ne pas pouvoir y recourir.

Le responsable peut recourir à un prestataire extérieur pour le stockage et la conservation des données de santé. Ce dernier doit être agréé ou certifié hébergeur de données de santé.

Dans l’hypothèse où le responsable du traitement n’est pas établi en France, il doit démontrer que son prestataire présente des garanties de sécurité équivalentes.

A défaut, le responsable du traitement ne peut pas bénéficier du présent référentiel et le traitement doit donc faire l’objet d’une autorisation préalable de la Cnil.

Transfert de données hors de l’Union européenne

De même, seules certaines données peuvent faire l’objet d’un transfert hors de l’Union européenne. Il s’agit des données indirectement identifiantes des personnes exposées à un événement sanitaire indésirable ; ou encore des données indirectement identifiantes des personnes ayant notifié l’événement.

Ce transfert doit être strictement nécessaire à la mise en œuvre du dispositif de vigilance et être réalisé dans les conditions prévues aux articles 45 et suivants du RGPD.

Pour bénéficier des exceptions prévues à l’article 49 du RGPD (dérogations pour des situations particulières), le traitement ne doit être ni répétitif, ni massif, ni structuré.

Analyse d’impact

Enfin, pour bénéficier du référentiel relatif à la gestion des vigilances sanitaires, le responsable de traitement doit réaliser une analyse d’impact sur la vie privée.

La consultation de la Cnil s’impose si, à l’issue de l’analyse d’impact, il est difficile d’identifier des mesures suffisantes pour réduire les risques à un niveau acceptable.

Marguerite Brac de la Perrière
Chloé Gaveau
Lexing Santé numérique




Un modèle imitant une marque antérieure invalidé

modèle imitant une marque antérieureLa CJUE annule un modèle imitant une marque antérieure en s’appuyant sur des critères relevant du droit des marques.

Lorsque la nullité d’un modèle ou d’un dessin est réclamée au motif qu’il porte atteinte à une marque antérieure, faut-il se fonder sur le droit des dessins et modèles ou sur le droit des marques ? Voici la réponse apportée par la Cour de justice de l’Union européenne par un arrêt du 6 mars 2019.

Nullité d’un modèle : les faits

La société italienne Ferrero est titulaire depuis 1974 d’une marque internationale enregistrée pour des sucreries en classe 30. Cette marque figurative représente une petite boîte transparente (et est connue pour contenir des sucreries vendues sous le nom « Tic Tac ») :

Le modèle litigieux a été enregistré par la société BMB, le 5 novembre 2007, qui désigne des drageoirs et récipients et représente une petite boîte transparente remplie de sucreries colorées et comportant une étiquette sur laquelle figure le nom « Mik Maki » :

Ferrero avait introduit, le 11 juillet 2011, une action en annulation de ce modèle imitant une marque antérieure, invoquant notamment son enregistrement international du 12 mars 1974 de la marque tridimensionnelle représentée ci-dessus.

Marque contre dessin et modèle

La marque tridimensionnelle antérieure étant invoquée comme motif d’annulation du modèle, c’est sur la base des critères fixés par la législation en matière de marques (et non en matière de dessins et modèles) que fut appréciée la validité de ce dessin et modèle postérieur.

Ferrero fonde sa demande sur l’article 25, § 1er, e, RDMC qui permet de déclarer un modèle nul « s’il est fait usage d’un signe distinctif dans un dessin et modèle ultérieur et que le droit de l’Union européenne ou la législation de l’État membre concerné régissant ce signe confère au titulaire du signe le droit d’interdire cette utilisation ».

L’EUIPO (1) puis le Tribunal de l’Union européenne (2) ont estimé successivement dans cette affaire qu’il existait entre le modèle litigieux et la marque antérieure un risque de confusion.

Dans son arrêt du 3 octobre 2017, le Tribunal de l’Union européenne avait en effet confirmé la décision de l’EUIPO et constaté que les deux signes produisent une impression globale visuellement similaire, précisant que ni l’étiquette sur le modèle, ni l’élément verbal « Mik Maki » apposé sur l’étiquette ne sauraient remettre en cause ce constat.

La société BMB a alors introduit un pourvoi contre cet arrêt au motif que le Tribunal de l’Union européenne aurait fondé de manière erronée son appréciation de la similitude et du risque de confusion sur la comparaison du modèle contesté avec un signe différent de l’enregistrement international antérieur invoqué par Ferrero et a commis, par conséquent, une erreur de droit.

Décision de la Cour de Justice

L’arrêt de la Cour de justice de l’Union européenne du 6 mars 2019 (3) rejette le pourvoi formé par la société BMB contre l’arrêt du Tribunal de l’Union européenne du 3 octobre 2017.

Les instances de l’EUIPO, le Tribunal et, à présent, la Cour de justice de l’Union européenne confirment que la nullité du modèle s’apprécie en appliquant les critères du risque de confusion tels que dégagés en matière de marques par la jurisprudence de la Cour de justice de l’Union européenne.

La nullité du modèle contesté est confirmée, car le signe constituant le modèle est jugé suffisamment ressemblant à la marque figurative antérieure pour créer un risque de confusion dans l’esprit du grand public.

Anne-Sophie Cantreau
Claire Deramoudt
Lexing Département Droit des marques

(1) EUIPO, 8 septembre 2015, R 1150/2012-3,
(2) TUE, 3 octobre 2017, T 695/15,
(3) CJUE, 6 mars 2019, C-693/17.




Un nouveau décret sur l’utilisation du NIR comme INS

utilisation du NIRLes conclusions de la Cnil, en date du 20 février 2007, sur l’utilisation du numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (NIR) comme identifiant de santé, prévoyaient la restriction de l’utilisation du NIR, plus communément appelé numéro de sécurité sociale, à la sphère sociale, et interdisait son utilisation en tant qu’identifiant de santé.

Neuf ans plus tard, la loi de modernisation de notre système de santé du 26 janvier 2016 a modifié l’article L.1111-8-1 du Code de la Santé Publique (CSP). Les dispositions de ce texte ont été modifiées par l’Ordonnance du 12 décembre 2018, mais le principe reste le même : le NIR, et à défaut le Numéro Identifiant d’Attente (NIA), est utilisé comme Identifiant National de Santé (INS) des personnes pour leur prise en charge à des fins sanitaires et médico-sociales, dans les conditions prévues à l’article L.1110-4 du CSP relatif au secret médical, à l’échange et au partage des données de santé.

Conformément aux dispositions de cet article L.1111-8-1 du CSP, le dispositif a été complété par un décret n°2017-412 du 27 mars 2017.

Ce décret a été modifié très récemment par le décret n°2019-1036 du 8 octobre 2019, comme évoqué ci-après.

Référencement des données de santé

Caractéristiques du NIR

Le NIR est composé de treize chiffres et d’une clé de contrôle de deux chiffres. Il est attribué aux personnes nées en France, y travaillant ou y habitant de façon stable.

Comme le souligne la Cnil dans ses conclusions sur l’utilisation du NIR comme identifiant de santé, le NIR constitue un numéro particulier dans la mesure où il est :

  • « signifiant : il est composé d’une chaîne de caractères qui permettent de déterminer le sexe, le mois et l’année de naissance, et dans la majorité des cas, le département et la commune de naissance en France ou l’indication d’une naissance à l’étranger ;
  • unique et pérenne : un seul numéro est attribué à chaque individu dès sa naissance ;
  • a priori fiable : il est certifié par l’Institut National de la Statistique et des Études Économiques (INSEE), à partir des données d’état civil transmises par les mairies ».

Modalités d’utilisation du NIR comme INS

Les modalités d’utilisation du NIR comme INS afin de référencer les données de santé, notamment afin d’en empêcher l’utilisation à des fins autres que sanitaires et médico-sociales ont été définies par le décret du 27 mars 2017 ; elles ont été codifiées aux articles R.1111-8-1 et suivants du CSP.

Ainsi, l’article R.1111-8-2 du CSP dispose : « l’INS est utilisé pour référencer les données de santé et les données administratives de toute personne bénéficiant ou appelée à bénéficier d’un acte diagnostique, thérapeutique, de prévention, de soulagement de la douleur, de compensation du handicap ou de prévention de la perte d’autonomie, ou d’interventions nécessaires à la coordination de plusieurs de ces actes ».

Il est précisé à l’article R.1111-8-3 du CSP : « le référencement de données mentionnées à l’article R. 1111-8-2 à l’aide de l’INS ne peut être réalisé que par des professionnels, établissements, services et organismes mentionnés à l’article L. 1110-4 et des professionnels constituant une équipe de soins en application de l’article L. 1110-12 et intervenant dans la prise en charge sanitaire ou médico-sociale de la personne concernée ».

L’article R.1111-8-4 du CSP limite l’utilisation de données de santé et de données administratives référencées avec l’INS, dans le cadre d’un traitement de données à caractère personnel, aux seuls traitements ayant une finalité exclusivement sanitaire ou médico-sociale, y compris les fonctions nécessaires pour assurer le suivi social ou la gestion administrative des personnes prises en charge, et mis en œuvre dans le respect des dispositions de la loi informatique et libertés.

Le décret du 27 mars 2017 avait prévu une mise en conformité des acteurs concerné avec les nouvelles règles avant le 1er janvier 2020, date qui a été reportée au 1er janvier 2021 par le décret n° 2019-1036 du 8 octobre 2019.

Précisions sur l’utilisation du NIR comme INS

Nouveautés apportées par le décret du 8 octobre 2019

Le décret n° 2019-1036 du 8 octobre 2019 apporte des modifications au décret du 27 mars 2017 relatif à l’utilisation du NIR comme INS et aux articles R.1111-8-1 à R.1111-8-7 du CSP.

Il est précisé dans la notice même du décret que « le décret modifie les dispositions relatives à l’utilisation du NIR en tant qu’INS pour les mettre en conformité avec la loi Informatique et libertés, dans sa rédaction résultant de l’ordonnance n° 2018-1125 du 12 décembre 2018. Le décret adapte le calendrier de mise en œuvre de l’INS et renforce les règles de sécurité dans la prise en charge et la protection des données personnelles ».

En premier lieu, le décret ajoute à l’article R.1111-8-2 du CSP un alinéa prévoyant la possibilité d’avoir recours à l’INS à des fins de recherche autorisée dans les conditions prévues au titre II, chapitre III, section 3 de la loi Informatique et libertés relatif aux traitements de données à caractère personnel dans le domaine de la santé (et plus particulièrement aux traitements à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé présentant une finalité d’intérêt public).

En outre, le décret modifie intégralement l’article R.1111-8-6 du CSP, dont le premier alinéa dispose désormais : « des téléservices permettent aux professionnels, établissements, services ou organismes mentionnés à l’article R.1111-8-3 d’accéder au NIR et de vérifier son exactitude dans le respect du référentiel mentionné à l’article R.1111-8-7. Ils sont mis en œuvre par la Caisse nationale de l’assurance maladie ».

L’article susvisé précise que le recours à ces téléservices est obligatoire sauf en cas d’indisponibilité des téléservices ou de motif légitime invoqué par les professionnels. Ce recours n’exonère pas de « mettre en place toute procédure de surveillance, de correction et de prévention des erreurs relevant de l’organisation de la prise en charge des personnes et concourant à la maîtrise du risque d’erreur dans l’identification des personnes ».

Enfin, le décret reporte au 1er janvier 2021 l’obligation de se conformer à l’ensemble des règles relatives à l’utilisation du NIR comme INS.

Attente de publication du référentiel INS définitif

Aux termes de l’article R.1111-8-7 du CSP, un référentiel doit définir les modalités de mise en œuvre de l’obligation de référencement des données de santé avec l’INS. Il doit préciser les procédures de surveillance et de gestion des risques et erreurs liés à l’identification des personnes prises en charge devant être mises en œuvre par les professionnels, établissements, services et organismes habilités à l’utiliser, ainsi que les mesures de sécurité applicables aux opérations de référencement de données à caractère personnel mentionnées au même article.

En application de l’article L.1110-4-1 du CSP, ce référentiel doit être élaboré par l’ASIP Santé, en concertation avec les acteurs du secteur santé et médico-social, et approuvé par arrêté du ministre de la Santé.

À ce jour, le projet de référentiel INS a été publié par l’ASIP Santé sur son site.

La Cnil doit être saisie pour rendre un avis sur ce projet de référentiel, lequel devra ensuite être approuvé par arrêté, afin d’être publié dans sa version définitive et être opposable aux acteurs concernés.

Marguerite Brac de la Perrière
Isabeau de Laage
Lexing Santé numérique




Vers un encadrement juridique des algorithmes et des robots

Vers un encadrement juridique des algorithmes et des robots,Alain Bensoussan évoque pour Digital Mag l’encadrement juridique qu’appelle le développement exponentiel des algorithmes et des activités robotiques.

A l’heure où l’intelligence artificielle est partout, il est temps selon Alain Bensoussan d’organiser la mixité homme-machine. Pour cela, un préalable à ses yeux : encadrer au plan juridique l’IA et les systèmes robotisés.

C’est ce qu’il explique dans la chronique qu’il tient dans le magazine Digital Mag : il faudra nécessairement créer un droit particulier, gouverné par le concept de dignité. Avec en filigrane un enjeu crucial : qui aura le dernier mot ? Qui tranchera, en dernier ressort, des humains ou des IA, en position finale dans une situation critique ?

Les droits des algorithmes et des robots

En réalité, les systèmes robotisés et algorithmiques ont déjà des droits :

« L’apparition de normes, certes encore empiriques et sectorielles, dessinent lentement mais sûrement les contours d’un véritable droit des robots. Et peu importe si cet avènement est le fruit d’un ensemble de règles de droit tantôt obligatoires tantôt non contraignantes, mais qui en pratique, ont le mérite de « montrer le chemin » à une industrie du numérique dans l’attente de solutions, et à des utilisateurs d’objets connectés qui souhaitent être rassurés sur l’utilisation qui est faite de leurs données personnelles ».

Résolutions, codes de bonne conduite, directives, guidelines, livres blancs, commissions et groupes de travail… C’est sur les bases de ce droit d’un genre nouveau que repose l’encadrement juridique du développement exponentiel des activités robotiques, des algorithmes et de l’IA. Un droit « souple » complété par les premières décisions de jurisprudence rendues en la matière.

Eric Bonnet
Avocat, Alain Bensoussan Avocats Lexing
Directeur de la communication juridique

Alain Bensoussan, Vers un encadrement juridique des algorithmes et des robots, Digital Mag, n°256, Septembre 2019.




Libra : nouvelles perspectives de régulation des cryptomonnaies

Libra

La Libra, cryptomonnaie de Facebook, ouvre de nouvelles perspectives d’utilisation qui devront potentiellement s’accompagner d’évolutions réglementaires.

Le fonctionnement de Libra

Au mois de juin 2019, Facebook et l’association « libra.org » dévoilaient le White Paper, c’est-à-dire la présentation technique, de la nouvelle cryptomonnaie intitulée la « Libra » (1).

Cette cryptomonnaie a essentiellement vocation à permettre de faciliter et de démocratiser les paiements en ligne, notamment via l’outil Messenger de Facebook et Whattsap (l’application « Calibra », développée par Facebook, constituera également un moyen de réaliser ces échanges de cryptomonnaies).

Cette devise numérique devrait également permettre d’effectuer des paiements dans un certain nombre d’enseignes grand public.

Concrètement, cette cryptomonnaie se distingue par deux spécificités majeures :

  • elle repose sur un protocole blockchain dit « de permission ». Cela implique que l’accès doit être préalablement accordé pour faire tourner un nœud de validation. La plupart des cryptomonnaies, telles que le Bitcoin, sont « sans permission » c’est-à-dire que n’importe qui peut décider d’acquérir du matériel de minage pour devenir un nœud du réseau. Actuellement, une trentaine d’entreprises ont accepté d’investir pour administrer un des nœuds du réseau (font notamment partie de ces investisseurs : Facebook, Uber, Spotify, Coinbase, Visa, eBay et Paypal). Cela signifie donc que ce sont ces entreprises qui assureront la gouvernance du réseau. Le White Paper précise d’ores et déjà que « les décisions majeures concernant les politiques ou les choix techniques nécessitent l’obtention de deux tiers des voix » . Ce même White Paper souligne qu’à terme l’objectif est de basculer vers une formule « sans permission » mais qu’il « n’existe actuellement pas de solution éprouvée capable d’offrir l’ampleur, la stabilité et la sécurité nécessaires pour prendre en charge des milliards de personnes et de transactions à travers le monde dans le cadre d’un réseau sans permission » ;
  • la Libra devrait être une monnaie « stable » (un « stablecoin ») et ne devrait donc pas subir la volatilité des cours. Le White Paper indique en effet que « la Libra est conçue pour être une cryptomonnaie numérique stable qui repose entièrement sur une réserve d’actifs réels (la « réserve Libra ») et qui est soutenue par un réseau d’échanges concurrentiel pour l’achat et la vente de la Libra ». La volatilité de la Libra sera donc en principe équivalente à la volatilité des actifs sous-jacents (devises nationales et titres gouvernementaux), c’est-à-dire faible, du moins en comparaison des cryptomonnaies actuelles.

Alors que les législateurs américains ont exprimé leurs préoccupations quant au fait de permettre à une grande entreprise de technologie de créer une devise mondiale alternative échappant au contrôle des autorités nationales, le ministre de l’Économie et des finances français, a également émis des réserves quant au déploiement de cette cryptomonnaie dans l’Union européenne.

Ce dernier a en effet souligné qu’une telle cryptomonnaie était susceptible de porter atteinte à « la souveraineté monétaire des États », soulignant les risques « systémiques » d’une monnaie qui serait détenue par un seul acteur ayant plus de de deux milliards d’utilisateurs, et en a profité pour rappeler qu’il était nécessaire de mettre en place une régulation spécifique.

La nature juridique de la Libra

Une première interrogation concerne la qualification juridique du token Libra.

Pour l’AMF, un token pourrait être, un bien meuble incorporel, un titre financier, un contrat financier, une part sociale, une monnaie légale ou une monnaie électronique (2).

Le 5 mars 2018, la Banque de France publiait un rapport indiquant que les cryptomonnaies ne pouvaient pas être considérées comme des monnaies :

Le Conseil d’État avait considéré dans une décision d’avril 2018 que le « bitcoin » devait être considéré comme un « bien meuble incorporel » (3).

Aux États-Unis, c’est la qualification de « titre financier » qui prédomine pour les tokens au regard du « Howey Test » et de l’existence d’une attente de profits de la part des investisseurs (4).

La nature de « stablecoin » de la Libra, qui devrait reposer sur une réserve d’actifs réels et ne pas connaître de volatilité, tendrait à la distinguer du « titre financier » d’investissement.

Cet adossement du token à une réserve d’actifs réels pourrait également lui permettre de s’approcher des caractéristiques de la monnaie électronique.

Cela pourrait être l’objectif recherché par Facebook, son White Paper faisant justement un rapprochement entre cryptomonnaie et « monnaie numérique » cette dernière étant définie de la façon suivante :

« Un type de monnaie conçu pour être utilisé sous une forme numérique. La cryptomonnaie est une monnaie numérique » (1).

La Libra et les données personnelles

Si elles disposent d’un nombre important d’informations « sociales » des utilisateurs, les entreprises du GAFA ont un accès particulièrement limité aux données « financières » de leurs membres, en raison du secret bancaire.

Sur ce point, le White Paper de Libra indique que :

« Facebook a créé Calibra, une filiale réglementée, d’une part pour garantir la séparation des données sociales aux données financières, mais également pour créer et opérer des services en utilisant le réseau Libra ».

Les conditions générales Calibra prévoient que :

« Calibra ne partagera pas des informations de compte ou des données financières avec Facebook Inc. ou tout autre tiers sans l’accord du client (…) ».

Ainsi, si Calibra conditionne l’utilisation de l’application à un accord sur le partage des données financières avec Facebook, cela permettra à cette dernière d’avoir accès à certaines données stratégiques d’un utilisateur :

  • ses coordonnées bancaires ;
  • son solde ;
  • ses habitudes de consommation.

Au-delà de Facebook, l’adhésion à l’association Libra pourrait justifier un partage des données financières entre ses membres.

La pseudonymisation des utilisateurs, inhérente aux blockchains, devrait constituer un garde-fou à d’éventuelles recoupements entre les données « sociales » et « financières » d’une personne, ce que semble confirmer le White Paper :

« La blockchain Libra fonctionne sur la base de pseudonymes. Elle permet aux utilisateurs de détenir une ou plusieurs adresses qui ne sont pas liées à leur identité réelle ».

Cependant, la lutte contre le blanchiment qui constitue une des problématiques centrales des cryptomonnaies (justement en raison de ces procédés d’anonymisation), pourrait justifier la levée de l’anonymat.

Il parait donc rationnel que Facebook et Calibra disposent de moyens techniques pour lever cet anonymat.

Quel horizon pour Libra ?

Officiellement, le lancement de la Libra est prévu pour la fin du 1er semestre 2020.

Cependant, outre les incertitudes sur la participation de certains acteurs au projet (Visa et Mastercard auraient reconsidérés leur engagement (5)) et les problématiques juridiques évoquées ci-dessus, des considérations fiscales et de droit de la concurrence pourraient également remettre en question cette initiative.

En effet, le ministre de l’Économie et des finances français a demandé à l’Organisation pour la coopération et le développement économiques (OCDE) qui travaille actuellement sur la taxation des principaux acteurs du numérique, de se prononcer sur la question de la fiscalité des cryptomonnaies :

« Je souhaite que l’OCDE engage à son tour des réflexions sur le rapprochement des modèles de fiscalité des transactions sur les cryptoactifs », a affirmé le ministre des Finances. « Il est nécessaire que les modèles fiscaux soient les mêmes, de façon à ce que nous ayons des stratégies d’arbitrage réglementaires qui soient les mêmes à travers la planète ».

On peut enfin noter les problématiques de droit de la concurrence (situation de monopoles, ententes horizontales, etc.) que risque d’engendrer une association regroupant les plus importants acteurs du web et des services de paiement.

Marie-Adélaïde de Montlivault-Jacquot
Pierre Guynot de Boismenu
Lexing Contentieux informatique

(1) Livre blanc LIBRA, Association Libra, juin 2019.

(2) AMF, Synthèse des réponses à la consultation publique portant sur les Initial Coin Offerings (ICO) et point d’étape sur le programme « UNICORN », 22 février 2018.

(3) Aménagement de la fiscalité pour les crypto-monnaies, Post du 09-06-2018 ; Conseil d’État, 26-04-2018, Monsieur G. et autres, Nos 417809, 418030, 418031, 418032, 418033.

(4) Des tokens qualifiés de « Securities » aux termes du Howey Test, Post du 30-10-2018.

(5) Visa, Mastercard, Others Reconsider Involvement in Facebook’s Libra Network, The Wall Street Journal, 02-10-2019.

 




RGPD dans les mairies : quels impacts ?

RGPD dans les mairiesRGPD dans les mairies : Le RGPD met à leur charge, et de manière plus générale à celle de l’ensemble des collectivités territoriales, de nouvelles obligations qui font l’objet de l’attention de la Cnil.

La responsabilisation ou « l’accountability » des mairies

Les mairies doivent être dans une démarche proactive et de mise en conformité permanente. Chaque ville doit être en mesure de démontrer qu’elle effectue ses traitements de données à caractère personnel conformément aux exigences de la réglementation applicable en la matière.

La démarche de mise en conformité des collectivités territoriales implique un travail collectif afin de respecter les exigences relatives à la protection des données à caractère personnel.

Le délégué à la protection des données, chef d’orchestre du RGPD dans les mairies

Le RGPD prévoit des cas dans lesquels la désignation d’un délégué à la protection des données (DPD) est obligatoire. C’est le cas lorsque le traitement est réalisé par une autorité publique ou un organisme public (RGPD, art. 37) (1).

Les mairies ont donc l’obligation de désigner un DPD que ce soit en interne si elles disposent des ressources nécessaires ou en externe.

Certaines fonctions sont incompatibles avec la fonction de DPD. C’est le cas en particulier lorsque la personne intervient dans la détermination des finalités et des moyens du traitement. A titre d’exemple, le Directeur des systèmes d’information (DSI) ne peut occuper une telle fonction.

L’obligations des mairies de tenir un registre des activités de traitement

Le RGPD prévoit une obligation de tenir un registre des activités de traitement effectué en qualité de responsable de traitement ou de sous-traitant (RGPD, art. 30).

L’élaboration du registre implique pour la collectivité d’effectuer, au préalable, un état des lieux des traitements mis en œuvre (gestion de l’état civil, gestion des activités scolaires, périscolaires et extrascolaires, gestion de la petite enfance, gestion administrative du personnel, gestion des marchés publics etc.)

Pour être en conformité avec le RGPD dans les mairies, il est nécessaire d’élaborer et de tenir un registre des activités de traitement.

L’encadrement par les mairies de leurs relations avec les sous-traitants

Le RGPD précise qu’un responsable du traitement ne peut faire appel qu’à des sous-traitants qui présentent des garanties suffisantes de conformité à la réglementation relative à la protection des données à caractère.

L’article 28 du RGPD impose un contrat de sous-traitance qui doit comporter un certain nombre de mentions (RGPD, art. 28).

Notamment dans les marchés publics, cela se traduit par l’insertion de clauses particulières par les collectivités qui encadrent les activités des prestataires auxquels elles recourent.

Les principes de protection dès la conception et par défaut dans les mairies

Selon ces principes, la collectivité doit appliquer, tant lors de la détermination des moyens mis en œuvre pour le traitement que pendant le traitement lui-même, des mesures techniques et organisationnelles appropriées, notamment la minimisation et la pseudonymisation, de manière à ce que le traitement soit conforme aux dispositions du Règlement (RGPD, art. 25).

Cela signifie encore que les mairies doivent prendre en compte les exigences de la réglementation dès la phase de projet d’un traitement et mettre en place des paramétrages des outils qui par défaut garantissent la protection des données à caractère personnel.

L’analyse d’impact sur la vie privée

Dès lors que la collectivité territoriale traite des données à caractère personnel susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées, elle doit réaliser une analyse d’impact, AIPD. C’est par exemple le cas pour certains traitements du Centre communal d’action social (CCAS), pour les dispositifs d’alertes professionnels ou encore dans le cadre de l’octroi de logements sociaux.

La sécurité des données à caractère personnel des Mairies

Les villes doivent assurer la sécurité des traitements de données à caractère personnel. Le niveau de sécurité doit être adapté aux risques présentés par le traitement (RGPD, art. 32).

Elles doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques.

La gestion des violations de données par les Mairies

Une violation de données à caractère personnel est une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

Une des nouveautés du RGPD dans les mairies et, de manière générale, dans tous les organismes publics ou privés, réside dans leurs obligations vis-à-vis de la Cnil et des personnes concernées lorsqu’une telle violation de données intervient.

Dès lors qu’une violation de données est susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, les collectivités doivent informer la Cnil dans les meilleurs délais et si possible dans un délai de 72 heures.

L’information des personnes concernées dépend des conséquences préjudicielles qui peuvent être anticipées (RGPD, art. 33 et 34). Dès lors que le risque est élevé pour les droits et libertés des personnes, ils devront être informés de cette violation de données.

Le renforcement de l’information des personnes concernées par les mairies

Les collectivités territoriales doivent fournir un ensemble d’informations prévues aux articles 13 et 14 du RGPD notamment dans les mentions d’information dès lors qu’elles traitent des données des administrés, des agents ou de tout autre personne physique (RGPD, art. 13 et 14).

La gestion des droits des personnes dans les mairies

La personne concernée dispose d’un certain nombre de droits sur ses données et notamment de droits d’accès, de rectification, d’opposition, d’effacement, de limitation du traitement et à la portabilité des données à caractère personnel.

La personne concernée peut exercer ses droits auprès de la collectivité qui doit répondre dans un délai d’un mois à compter de la réception de la demande.

La ville doit apporter une réponse concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples (RGPD, art. 12).

Pour respecter ces exigences du RGPD dans les mairies, il est nécessaire de prévoir une procédure spécifique en interne afin de gérer ces demandes de manière efficace.

Le RGPD dans les mairies, une des préoccupations de la Cnil pour les mois à venir

Tout d’abord, la Cnil souhaite accompagner les collectivités territoriales sur certains sujets comme les élections municipales et la communication politique (2).

A cet égard, la Cnil a publié un guide « Guide de sensibilisation au RGPD pour les collectivités territoriales ».

Par ailleurs, la Cnil a également indiqué que son programme de contrôle 2019 est axé sur :

  • les plaintes reçues par la Cnil relatives à l’exercice effectif des droits des personnes,
  • les données des mineurs (publication de photos, biométrie et vidéosurveillances dans les écoles, recueil du consentement des parents pour les moins de 15 ans).

Plus d’un an après son entrée en application, le respect des exigences du RGPD dans les mairies est un véritable enjeu notamment dans la perspective des élections municipales à venir.

Anne Renard
Yoko Riat
Lexing Conformité et certification

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données, dit RGPD).
(2) Communiqué Cnil du 15-4-2019.




Plateformes en ligne : possible alternative au numéro de téléphone

plateforme en ligneDans un arrêt du 10 juillet 2019 (1), la CJUE est venue, sur renvoi préjudiciel de la Cour fédérale de justice allemande, préciser les termes de l’article 6, paragraphe 1, c) de la directive 2011/83/UE du Parlement Européen et du Conseil du 25 octobre 2001 relative aux droits des consommateurs, applicable aux opérateurs de plateformes en ligne.

Obligation de clarté et de transparence sur les coordonnées de contact des plateformes en ligne

La disposition interprétée s’inscrit dans le chapitre III de la directive précitée relatif à l’information des consommateurs et le droit de rétractation concernant les contrats à distance et hors établissement (2).

L’article 6, paragraphe 1, c) interprété est libellé comme suit :

« Avant que le consommateur ne soit lié par un contrat à distance ou hors établissement ou par une offre du même type, le professionnel lui fournit sous une information claire et compréhensible, les informations suivantes (…) :

c) l’adresse géographique où le professionnel est établi ainsi que le numéro de téléphone du professionnel, son numéro de télécopieur et son adresse électronique, lorsqu’ils sont disponibles, pour permettre au consommateur de le contacter rapidement et de communiquer avec lui efficacement et, le cas échéant, l’adresse géographique et l’identité du professionnel pour le compte duquel il agit ».

Aussi, et en application des dispositions précitées, les plateformes en ligne ont une obligation :

  • d’indiquer leurs coordonnées afin que les consommateurs puissent, avant la conclusion du contrat, les contacter pour préciser les conditions de l’achat qu’ils s’apprêtent à réaliser ;
  • de clarté et de transparence concernant les coordonnées précisées afin de permettre un contact rapide et une communication efficace.

Les questions préjudicielles posées à la CJUE étaient les suivantes :

  • l’article 6 de la directive impose-t-il aux plateformes en ligne de mettre en place un ligne téléphonique ou de télécopieur ou de créer une adresse électronique afin de permettre aux consommateurs de communiquer avec elle ?
  • à défaut, le droit national peut-il imposer une telle obligation aux plateformes en ligne ?
  • la liste de moyens de communication énumérés à l’article 6 est-elle exhaustive ?

Interprétation proportionnée de l’obligation d’information des consommateurs par les plateformes en ligne par la CJUE

Le litige ayant donné lieu au renvoi préjudiciel opposait l’Union fédérale allemande des centrales et associations de consommateurs et la plateforme Amazon EU (exploitant le site www.amazon.de).

La plateforme en ligne proposait à ses clients, avant la finalisation de la commande, la possibilité de la contacter via un lien spécifique « Contactez-nous ». Sous ce lien, les consommateurs disposaient d’un choix dans les modalités de contact :

  • via l’envoi d’un courriel ;
  • via un système de messagerie instantanée ;
  • via un contact téléphonique.

Cette dernière option ouvrait une nouvelle page internet sur laquelle les consommateurs disposaient soit de la possibilité de se faire rappeler en laissant leurs coordonnées de contact, soit de contacter un numéro d’aide général.

Selon l’Union fédérale allemande des centrales et associations de consommateurs, Amazon EU ne respectait pas son obligation légale de mise à la disposition des consommateurs de moyens efficaces visant à leur permettre d’entrer en contact avec elle, en n’informant pas les consommateurs de ses numéros de téléphone et de son numéro de télécopieur, ainsi que la loi allemande l’imposait.

L’Union fédérale allemande des centrales et associations de consommateurs considérait également que le numéro de téléphone n’était pas indiqué sous une forme claire et compréhensible, le numéro de rappel obligeant l’internaute à passer par différentes étapes pour entrer en contact avec un interlocuteur de la société Amazon EU.

Saisie des diverses questions préjudicielles précitées, la CJUE a considéré qu’il importait d’interpréter l’article 6, paragraphe 1, c) au regard du contexte et des objectifs poursuivis.

Dans le cadre de la vente à distance et hors établissement, l’obligation d’information précontractuelle vise à assurer un niveau élevé de protection des consommateurs en leur garantissant un bon niveau d’information et de sécurité dans les transactions avec les professionnels.

La possibilité de contact revêt une importance qualifiée par la Cour de fondamentale pour la sauvegarde et la mise en œuvre effective des droits des consommateurs, notamment concernant le droit de rétractation.

La Cour poursuit en précisant qu’il est nécessaire d’assurer un juste équilibre entre un niveau élevé de protection des consommateurs et la compétitivité des entreprises, tout en respectant la liberté d’entreprise de l’entrepreneur.

Sur ces considérations, la Cour a ainsi jugé que :

  • « si la directive ne détermine pas la nature précise du moyen de communication devant être mis en place, cette disposition oblige nécessairement le professionnel à mettre à la disposition de tout consommateur un moyen de consommation qui permette à ce dernier de le contacter rapidement et de communiquer avec lui efficacement » ;
  • « une obligation inconditionnelle de mettre à disposition du consommateur, en toutes circonstances, un numéro de téléphone, voire de mettre en place un ligne téléphonique, ou de télécopieur, ou de créer une nouvelle adresse électronique pour permettre aux consommateurs de contacter le professionnel parait disproportionnée, en particulier dans le contexte économique du fonctionnement de certaines entreprises, notamment les plus petites, qui peuvent réduire leur coût de fonctionnement en organisant la vente ou la prestation de service à distance ou hors établissement ».

Sur ce point et dans le cas d’Amazon EU, la Cour considère que le fait que le numéro de téléphone ne soit disponible qu’à la suite d’une série de clics n’implique pas pour autant que la forme utilisée ne soit pas claire et compréhensible.

Les enseignements de cet arrêt pour les opérateurs de plateformes en ligne

Les deux principaux enseignements de cet arrêt sont les suivants :

  • la directive ne vient pas créer une obligation pour les plateformes en ligne de mettre en place une ligne téléphonique, ou de télécopieur, ou de créer une nouvelle adresse électronique pour permettre aux consommateurs de le contacter. Elle n’impose de communiquer le numéro de téléphone ou de télécopieur ou l’adresse électronique que dans le cas où les plateformes en ligne disposent déjà de ces moyens de communiquer avec les consommateurs ;
  • les plateformes en ligne disposent de la possibilité de fournir d’autres moyens que le téléphone, le télécopieur ou l’adresse électronique, et notamment un formulaire de contact électronique permettant une réponse ou un rappel téléphonique, sous la seule réserve que les informations relatives aux coordonnées soient rendues accessibles sous une forme claire et compréhensible.

Toute réglementation nationale, comme c’était le cas dans le cadre de la loi allemande, imposant des obligations d’information plus restrictives, s’opposerait directement à la directive (3).

Ces précisions permettront d’appréhender avec plus de sécurité juridique la construction, les évolutions et les mises en conformité des plateformes en ligne au regard des dispositions du droit de la consommation.

Eve Renaud-Chouraqui
Lexing Concurrence Propriété industrielle contentieux

(1) CJUE, 10-7-2019, aff. C-649/17, Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV c/ Amazon EU Sarl

(2) L’article 2 de la directive 2011/83/UE définit les contrats à distance et hors établissement comme suit :

  • contrat à distance : « tout contrat conclu entre le professionnel et le consommateur, dans le cadre d’un système organisé de vente ou prestation de service à distance, sans la présence physique simultanée du professionnel et du consommateur, par le recours exclusif à une ou plusieurs techniques de communication à distance, jusqu’au moment, et y compris au moment, où le contrat est conclu » ;
  • contrat hors établissement : « tout contrat entre le professionnel et le consommateur : 
    conclu en la présence physique simultanée du professionnel et du consommateur dans un lieu n’étant pas l’établissement commercial du professionnel ; ou ayant fait l’objet d’une offre du consommateur dans les mêmes circonstances ; ou
    conclu dans l’établissement commercial du professionnel ou au moyen d’une technique de communication à distance immédiatement après que le consommateur ait été sollicité personnellement ou individuellement dans un lieu qui n’est pas l’établissement commercial du professionnel, en la présence physique et simultanée du professionnel ou du consommateur ou ;
    conclu pendant une excursion organisée par le professionnel ayant pour but ou pour effet de promouvoir ou de vendre des biens ou services au consommateur ».

(3) L’article 4 de la directive 2011/83/UE intitulé « Niveau d’harmonisation » empêche les Etats membres de maintenir ou d’introduire dans leur droit national des dispositions s’écartant de celles de la directive, notamment des dispositions plus strictes ou plus souples.




La taxe sur les services numériques applicable dès 2019

taxe sur les services numériquesLa loi 2019-759 du 24 juillet 2019 a institué une taxe annuelle de 3% sur le chiffre d’affaires encaissé par les grandes entreprises du secteur numérique, quel que soit leur lieu d’établissement, en contrepartie de la fourniture en France de certains services excédant, au cours d’une année civile, les deux seuils ci-après.

Cette loi codifiée aux articles 299 à 300 du CGI est destinée à introduire dans la législation française un dispositif permettant de pallier l’absence actuelle de solution internationale coordonnée et d’unanimité des Etats membres sur une taxe sur les services numériques.

Les services concernés par la nouvelle taxe

Les services taxables sont :

  • d’une part, la mise à disposition, par voie de communications électroniques, d’une interface numérique qui permet aux utilisateurs d’entrer en contact avec d’autres utilisateurs et d’interagir avec eux, notamment en vue de la livraison de biens ou de la fourniture de services directement entre ces utilisateurs (ce premier service taxable comporte toutefois des exceptions ce qui est notamment le cas lorsque la personne qui réalise cette mise à disposition utilise l’interface numérique à titre principal pour fournir aux utilisateurs des contenus numériques, des services de communication ou des services de paiement) ;
  • d’autre part, les services commercialisés auprès des annonceurs, ou de leurs mandataires, visant à placer sur une interface numérique des messages publicitaires ciblés (ces services peuvent notamment comprendre des services d’achat, de stockage et de diffusion de messages publicitaires, de contrôle publicitaire et de mesures de performance ainsi que des services de gestion et de transmission de données relatives aux utilisateurs).

La localisation des services concernés par la nouvelle taxe

Pour chacun des services taxables à cette nouvelle taxe sur les services numériques, la loi précise leur localisation.

C’est ainsi notamment que pour les services de mise à disposition d’une interface numérique, l’utilisateur de cette interface est localisée en France s’il la consulte au moyen d’un terminal situé en France (la localisation en France de ce terminal étant déterminé par tout moyen, y compris en fonction de son adresse IP).

Quant aux services taxables, ceux-ci sont fournis en France au cours d’une année civile si :

  • une telle opération est conclue au cours de l’année par un utilisateur localisé en France lorsque l’interface numérique permet la réalisation, entre utilisateurs de l’interface, de livraisons de biens ou de prestations de services ;
  • un de ses utilisateurs dispose au cours de l’année d’un compte ayant été ouvert depuis la France et peut accéder à tout ou partie des services disponibles sur cette interface lorsque l’interface ne permet pas la réalisation de livraisons de biens ou de prestations de services.

En ce qui concerne les encaissements versés en contrepartie de ces mêmes services, ceux-ci s’entendent de l’ensemble des sommes versées par les utilisateurs de cette interface, à l’exception de celles versées en contrepartie de livraisons de biens ou de fournitures de services qui constituent, sur le plan économique, des opérations indépendantes de l’accès et de l’utilisation du service taxable.

Pour les services commercialisés auprès des annonceurs ou de leurs mandataires, les services taxables à la nouvelle taxe sont fournis en France au cours d’une année civile si :

  • pour les ventes de données qui ont été générées ou collectées à l’occasion de la consultation d’interfaces numériques par des utilisateurs, des données vendues au cours de cette année sont issues de la consultation d’une de ces interfaces par un utilisateur localisé en France ;
  • pour les autres services, un message publicitaire est placé au cours de cette année sur une interface numérique en fonction de données relatives à un utilisateur qui consulte cette interface en étant localisé en France.

Quant aux encaissements versés au titre de ces derniers services, ceux-ci s’entendent de l’ensemble des sommes versées par les annonceurs, ou leurs mandataires, en contrepartie de la réalisation effective du placement des messages publicitaires ou de toute autre opération qui lui est étroitement liée sur le plan économique.

Les entreprises concernées par la nouvelle taxe

Les grandes entreprises du secteur numérique concernées par cette nouvelle taxe sont celles, quel que soit leur lieu d’établissement, pour lesquelles le montant des sommes encaissées en contrepartie des services taxables lors de l’année civile précédente excède les deux seuils suivants :

  • 750 millions d’euros au titre des services taxables fournis au niveau mondial ;
  • 25 millions d’euros au titre des services taxables fournis en France.

Pour les entreprises, quel que soit leur forme, qui sont liées directement ou indirectement, ces seuils s’apprécient au niveau du groupe qu’elles constituent.

Le taux et la base d’imposition de la nouvelle taxe

La nouvelle taxe est exigible dés l’achèvement de l’année civile au cours de laquelle l’entreprise a encaissé des sommes en contrepartie de la fourniture en France de services taxables.

Son taux de 3% est appliqué au montant HT des sommes encaissées par le redevable, lors de l’année au cours de laquelle la taxe devient exigible, en contrepartie d’un service taxable fourni en France.

La déclaration et le paiement de la nouvelle taxe

La nouvelle taxe sur les services numériques est déclarée et liquidée en même temps que la TVA.

En conséquence :

  • Pour les redevables de la TVA soumis au régime réel normal, la nouvelle taxe doit être déclarée sur l’annexe à la déclaration déposée au titre du mois de mars ou du premier trimestre de l’année qui suit celle au cours de laquelle la taxe est devenue exigible ;
  • Pour les redevables de la TVA soumis au régime réel simplifié d’imposition, la nouvelle taxe doit être déclarée sur la déclaration annuelle déposée au titre de l’exercice au cours duquel la taxe est devenue exigible ;
  • Dans tous les autres cas, la nouvelle taxe doit être déclarée sur l’annexe à la déclaration déposée auprès du service de recouvrement dont relève le siège ou le principal établissement du redevable de la taxe, au plus tard le 25 avril de l’année qui suit celle au cours de laquelle la taxe est devenue exigible.

Lorsque le redevable de la nouvelle taxe n’est pas établi dans un Etat membre de l’UE ou dans tout autre Etat partie à l’accord sur l’Espace économique européen ayant conclu avec la France une convention d’assistance administrative en vue de lutter contre la fraude et l’évasion fiscale ainsi qu’une convention d’assistance mutuelle en matière de recouvrement de l’impôt, il doit faire accréditer auprès du service des impôts compétent un représentant assujetti à la TVA établi en France, qui s’engage, le cas échéant, à remplir les formalités au nom et pour le compte du représenté et à acquitter la nouvelle taxe à sa place.

L’application de la nouvelle taxe sur les services numériques en 2019

Par dérogation au régime général décrit ci-dessus, la taxe due au titre de l’année 2019 donne lieu au paiement d’un acompte unique, acquitté dans les conditions suivantes :

  • pour les redevables de la TVA soumis au régime réel normal d’imposition, lors du dépôt de l’annexe à la déclaration CA 3 déposée au titre du mois d’octobre 2019 ;
  • dans les autres cas, au plus tard le 25 novembre 2019, lors du dépôt de l’annexe à la déclaration CA 3 déposée auprès du service de recouvrement dont relève le siège ou le principal établissement du redevable.

Cet acompte est égal au montant de la taxe qui aurait été liquidée sur la base des sommes encaissées en 2018 en contrepartie du ou des services taxables fournis en France.

Le pourcentage représentatif de la part des services taxables est évalué lors de la période comprise entre le lendemain de la publication de la présente loi et le 31 octobre 2019.

L’acompte est dû par les personnes pour lesquelles sont dépassés les deux seuils mentionnés ci-dessus déterminés à partir de ces mêmes sommes et de ce même pourcentage, sans préjudice du remboursement de la taxe lorsqu’il est constaté que les conditions d’assujettissement ne sont pas remplies.

Pour l’assujettissement et la liquidation de la taxe au titre de l’année 2019, le pourcentage représentatif de la part des services rattachés à la France est évalué lors de la période comprise entre le lendemain de la publication de la présente loi et le 31 décembre 2019.

Conclusion

En conclusion, il est prévu que le Gouvernement remette au Parlement, avant le 30 septembre de chaque année, un rapport sur les négociations conduites au sein de l’Organisation de coopération et de développement économiques (OCDE) pour identifier et mettre en œuvre une solution internationale coordonnée destinée à renforcer l’adéquation des règles fiscales internationales aux évolutions économiques et technologiques modernes.

Ce rapport précisera notamment, pour chaque proposition figurant dans le document de consultation publique de février 2019 ou toute autre proposition postérieure, la position de la France, de l’Union européenne et de chaque juridiction fiscale participant à ces travaux et la motivation de chacune de ces positions, l’état d’avancement des négociations, les perspectives d’aboutissement et l’impact budgétaire, fiscal, administratif et économique pour la France et les entreprises françaises.

Ce rapport devra, également, rendre compte, le cas échéant, des progrès des travaux menés sur ces questions dans le cadre de l’Union européenne ou tout autre cadre international pertinent. Il renseignera plus particulièrement les parlementaires sur les possibilités de la mise en œuvre d’une coopération renforcée pour la fiscalité du numérique à l’échelle européenne.

Ce rapport devra enfin faire état de l’incidence de ces négociations sur la taxe sur les services numériques et indiquera la date à laquelle un nouveau dispositif mettant en œuvre la solution internationale coordonnée se substituera à cette taxe.

Pierre-Yves Fagot
Lexing Droit de l’entreprise




Marque de couleur : précisions sur l’enregistrement d’une couleur

marque de couleurBien qu’une couleur ou nuance de couleur puisse, en principe, être déposée à titre de marque, l’appréciation de leur aptitude à constituer une marque valable et de leur caractère distinctif, soulève de nombreuses difficultés rendant difficile leur enregistrement effectif.

Par un arrêt du 27 mars 2019 (1), la Cour de justice de l’Union européenne (CJUE) est venue apporter de nouvelles précisions sur l’incidence de la qualification donnée à un signe lors du dépôt de la marque ainsi que sur les conditions de protection de la marque de couleur.

Dans cette affaire, l’Office de la propriété intellectuelle finlandais avait refusé l’enregistrement, d’un signe représentant un bandeau de couleur pour les eaux minérales (classe 32). Le signe, déposé comme « marque de couleur » était décrit de la manière suivante : « les couleurs du signe sont le bleu (PMS 2748, PMS CYAN) et le gris (PMS 877) », et représenté comme ci-dessous :

marque de couleur

Le demandeur produisait, à l’appui de sa demande d’enregistrement une étude de marché destinée à démontrer que le signe avait acquis un caractère distinctif par l’usage.

L’Office finlandais avait refusé de faire droit à la protection, retenant que la protection d’une couleur par le droit des marques est subordonnée à la démonstration de ce que la couleur en question a acquis un caractère distinctif en raison d’un usage durable et important et qu’au cas d’espèce, l’étude de marché produite établissait la reconnaissance du signe, non au regard des couleurs en tant que telles, mais au regard du bandeau lui-même, c’est-à-dire d’un signe figuratif dont les contours sont définis et déterminés.

Après avoir vu son recours rejeté par le tribunal des affaires économiques, le demandeur a saisi la Cour administrative suprême finlandaise contre la décision rendue.

Cette dernière a décidé de surseoir à statuer et a saisi la CJUE de questions préjudicielles visant à déterminer :

  • si la question de savoir si l’enregistrement de la marque est demandé en tant que marque figurative ou en tant que marque de couleur est pertinente pour apprécier si le signe est susceptible de constituer une marque au sens de la directive 2008/95 ;
  • si la qualification de « marque de couleur » ou « marque figurative » est pertinente pour apprécier le caractère distinctif, la « marque de couleur » présentée sous la forme d’un dessin doit-elle enregistrée conformément à la demande de marque, ou peut-elle être enregistrée en tant que marque figurative ?
  • s’il est possible d’enregistrer une marque représentée par un dessin (marque semi-figurative) en tant que marque de couleur dès lors qu’elle revêt la précision requise pour l’enregistrement d’une marque de couleur, le demandeur doit-il en outre présenter une quelconque preuve ?

Incidence de la qualification donnée pour apprécier si le signe est susceptible de constituer une marque valable

Saisie de la question, la CJUE rappelle, à titre liminaire, que la directive 2008/95 (2) ne fait pas de distinction entre les catégories de marques. A ce titre, les critères d’appréciation du caractère distinctif des marques de couleur doivent être les mêmes que ceux applicables aux autres catégories de marques.

Pour autant, elle retient que la qualification donnée au signe lors du dépôt – « marque de couleur » en l’espèce ou « marque figurative » – constitue un élément pertinent pour déterminer l’objet et l’étendue de la protection demandée.

Elle constitue donc un critère pertinent pour apprécier si le signe dont la protection est demandée est apte à identifier les produits et/ou services concernés comme provenant d’une entreprise déterminée et donc à le distinguer de ceux provenant d’autres entreprises au sens de l’article 2 de la Directive.

Incidence de la qualification donnée pour apprécier si le signe est distinctif

La Cour retient que cette qualification constitue également un élément pertinent pour apprécier le caractère distinctif du signe déposé.

Après avoir rappelé que les critères relatifs à l’appréciation du caractère distinctif sont les mêmes pour les marques de couleur et les marques figuratives, la Cour rappelle que cet examen doit être réalisé « in concreto », c’est-à-dire tenant compte de toutes les circonstances pertinentes du cas d’espèce.

Or, il ressort de la jurisprudence de la Cour que la perception du public pertinent n’est pas nécessairement la même s’agissant d’une marque de couleur ou d’une marque verbale ou figurative.

La qualification de « marque de couleur » implique donc d’appliquer les principes dégagés par la Cour notamment dans son arrêt Libertel du 6 mai 2003 (3) :

  • l’intérêt général doit conduire les Offices à ne pas restreindre indûment la disponibilité des couleurs pour les autres opérateurs offrant des produits ou des services similaires ;
  • contrairement à un signe verbal ou figuratif, une couleur ne sera pas nécessairement perçue par le public comme un signe identificateur de l’origine du produit et ne permet donc pas, en elle-même, de distinguer les produits d’une entreprise ;
  • même si une couleur n’a pas ab initio un caractère distinctif, elle peut l’acquérir à la suite de son usage en rapport avec les produits ou les services revendiqués.

Enfin, la Cour précise qu’il serait contraire à un examen in concreto de ne reconnaître un caractère distinctif à une couleur qu’en raison de son usage en rapport avec les produits ou les services revendiqués.

Ainsi, les Offices ne doivent pas se contenter d’apprécier l’usage de la couleur mais se doivent notamment de procéder à un examen de la couleur en elle-même, afin de déterminer si elle est susceptible de conférer au signe un caractère distinctif intrinsèque.

Incidence de la contradiction entre signe déposé et qualification donnée lors du dépôt

Enfin, la Cour se prononce sur l’incidence de la contradiction résultant du dépôt d’un signe représentant un dessin en couleur et aux contours délimités en tant que « marque de couleur », c’est-à-dire un signe sans contour.

Retenant que cette contradiction révélait une absence de clarté et de précision de la demande de protection au titre du droit des marques, la Cour conclut au rejet de la demande d’enregistrement qui ne répond pas aux exigences de la Directive.

Le diable se cache souvent dans les détails et il est donc crucial pour le dépôt d’identifier précisément l’objet de sa demande de protection.

La solution, rendue au regard de la directive 2008/95, ne devrait pas être modifiée avec la transposition de la directive 2015/2436 du 16 décembre 2015 dans la mesure où cette dernière ne crée pas davantage de catégories de marques et n’opère pas de changement quant à l’appréciation de la notion de distinctivité.

Ainsi, le déposant qui entend revendiquer une protection pour une couleur devra veiller à déposer un signe sans contour et s’assurer que le signe déposé répond aux exigences requises en matière de marque de couleur ; à l’inverse, le déposant qui souhaite revendiquer une protection sur une couleur associée à une forme donnée veillera à qualifier son dépôt de marque figurative et non de marque de couleur.

Virginie Brunot
Amélie Maïo
Lexing Contentieux propriété industrielle

(1) Arrêt CJUE, 27 mars 2019, aff. C 578/17, Oy Hartwall
(2) Directive 2008/95/CE du Parlement européen et du Conseil du 22 octobre 2008 rapprochant les législations des États membres sur les marques (remplacée par la directive (UE) 2015/2436 du 16 décembre 2015 rapprochant les législations des États membres sur les marques, laquelle devrait être transposée par ordonnance, au plus tard le 22 novembre prochain, en application l’article 201 de la loi PACTE 2019-486 du 22 mai 2019 relative à la croissance et la transformation des entreprises)
(3) Arrêt CJUE, 6 mai 2003, aff. C-104/01, Libertel.




Guide de la Cnil pour la mise en conformité des mairies au RGPD

guide de la Cnil pour la mise en conformité des mairies au RGPDCe « Guide de sensibilisation au RGPD pour les collectivités territoriales » est destiné aux administrations locales qui mettent en œuvre de nombreux traitements de données à caractère personnel (gestion des inscriptions scolaires, gestion de l’état civil, gestion des listes électorales…) et doivent respecter les exigences du RGPD [1].

Parution du guide de la Cnil pour la mise en conformité des mairies au RGPD

Afin d’aider les mairies, dans le cadre de leur mise en conformité au RGPD, la Cnil vient de publier un Guide de sensibilisation au RGPD pour les collectivités territoriales à leur attention [2].

Principaux changements pour les mairies depuis l’entrée en application du RGPD

Le guide de mise en conformité des mairies au RGPD rappelle les principaux changements pour ces organismes induits par l’entrée en application du RGPD, notamment :

  • l’obligation de recenser de l’ensemble des traitements mis en œuvre par les services des collectivités territoriales ;
  • la nécessité, pour toutes les collectivités territoriales, de désigner un Délégué à la Protection des Données (DPD) ;
  • l’obligation de réaliser des analyses d’impact pour les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Mise à disposition d’outils à destination des collectivités territoriales

Le guide de la Cnil pour les collectivités territoriales comporte de nombreux outils afin d’aider les collectivités territoriales à se conformer aux exigences de la règlementation, notamment :

  • un modèle de mentions d’information pour le traitement de gestion de l’état civil ;
  • des fiches réflexes permettant de sensibiliser les agents aux bonnes pratiques en matière de protection des données ;
  • des illustrations et des cas concrets pour permettre aux mairies de mieux appréhender les notions clés de la règlementation relative à la protection des données ;
  • une liste de finalités de traitements pouvant servir de base pour cartographier les traitements mis en œuvre par les mairies ;
  • un plan d’action en 4 étapes pour permettre aux collectivités territoriales de se mettre en conformité.

Focus sur les missions du Délégué à la Protection des Données (DPD)

Le guide de mise en conformité des mairies au RGPD consacre un long développement aux missions du DPD, à son statut et à ses modalités de désignation.

L’autorité rappelle ainsi que les collectivités territoriales peuvent désigner soit un DPD en interne, soit une personne externe et qu’il est possible pour les collectivités territoriales de mutualiser le DPD (au niveau d’un établissement public intercommunale par exemple).

Le rappel des conditions de licéité des traitements spécifiques aux collectivités territoriales

Le guide de la Cnil à destination des mairies au RGPD apporte des éclairages concernant les conditions de licéité des traitements spécifiques aux mairies.

La Cnil précise notamment les règles concernant les traitements suivants :

  • équipement des agents de police municipale de caméras mobiles ;
  • dispositifs de lecture automatisée des plaques d’immatriculation ;
  • gestion des téléservices des mairies.

Analyses d’impact au sein des collectivités territoriales

Il n’est pas fait référence au projet de liste des traitements exemptés d’analyse d’impact dans le guide de la Cnil pour la mise en conformité des mairies au RGPD.

Au vu du projet de liste soumis par la Cnil au Comité européen de protection des données en la matière [3], il semblerait que les traitements relatifs à la gestion des écoles, aux activités extrascolaires et à la petite enfance puissent être exemptés d’analyse d’impact.

Il conviendra d’attendre la publication de la liste définitive de la Cnil afin de s’assurer que ces traitements sont bien exemptés.

Anne Renard
Alicia Béré
Lexing Conformite et certification

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou « RGPD »).
[2] Cnil, « Guide de sensibilisation au RGPD pour les collectivités territoriales », 18-09-2019.
[3] CEPD, Opinion 13/2019, 10-7-2019 on the draft list of the competent supervisory authority of France regarding the processing operations exempt from the requirement of a data protection impact assessment