CONTACT

NTIC – Lettre d’actualité numéro 18

08 octobre 2018 | Derriennic Associés |

DROIT DES MARQUES

La citation d’une marque sur un site web comme référence nécessaire ne constitue pas un usage illicite

Ordonnance de référé du 17 septembre 2018 du TGI de Nanterre

La publication d’une marque en tant que référence nécessaire ne constitue pas un usage illicite de celle-ci, conformément aux exceptions visées à l’article L.713-6 du Code de la propriété intellectuelle.

En l’espèce, un site avait publié en ligne des annonces de programmes immobiliers neufs et de biens immobiliers en revente construits par une société d’études et gérés par sa filiale, sur lesquels était apposée la marque des sociétés susmentionnées, sans leur autorisation.

Il est précisé que ces sociétés s’occupaient uniquement de la commercialisation des logements et programmes neufs, mais n’intervenait pas dans la revente de ces biens immobiliers après première acquisition.

Suite à la mise en demeure du promoteur immobilier, le site en cause avait retiré les annonces des programmes immobiliers neufs, mais avait refusé de s’exécuter concernant les annonces de biens à la revente, considérant qu’il s’agissait de produits à la revente, pour lesquels le promoteur immobilier ne s’était pas assuré d’exclusivité.

Le Tribunal a donné gain de cause au site internet, en rappelant que, concernant la contrefaçon de la marque, « cette référence faite sur ces annonces à Réside études est explicitement indiquée pour identifier la société précitée en charge de la gestion de ces biens immobiliers en revente. Il convient donc de constater que les références à la société Réside études, en indiquant dans ses annonces que la société précitée a en gestion ces biens immobiliers en revente, ne créent pas de confusion sur l’origine de ces biens et permettent de distinguer le gestionnaire et le vendeur des biens ».

Partant, les juges du fond rappellent que le titulaire d’une marque ne peut interdire sa citation en tant que référence nécessaire pour indiquer la destination du produit ou du service, conformément aux dispositions de l’article L.713-6 du Code de la propriété intellectuelle.

DROIT DES CONTRATS

Contrat international : la clause d’attribution de compétence d’un contrat résilié continue à produire ses effets

Cour d’appel de Paris, Pôle 5, Chambre 4, Arrêt du 12 septembre 2018, Répertoire général nº 18/06436

Une clause attributive de compétence continuera à produire ses effets pour trancher un litige directement « en lien avec ce contrat », sans que la circonstance que ce contrat soit résilié modifie cette constatation, l’action découlant directement du contrat résilié et un article prévoyant expressément sa survie nonobstant la fin du contrat. Inversement, les négociations non abouties ne matérialisent pas un accord de volonté sur la compétence.

Une société de droit français et une société israélienne signent en décembre 2015 un contrat de distribution aux termes duquel la société israélienne concédait à la société française le droit de diffuser, d’exploiter et commercialiser sa nouvelle technologie de stockage. Le contrat prévoit que les juridictions de Tel-Aviv (Israël) seront seules compétentes pour connaître de tout litige découlant de l’accord ou en lien avec celui-ci.

La société distributrice travaille aux fins de remporter un appel d’offres mais à la suite du non-paiement de factures, l’éditeur lui notifie en 2016 la résiliation du contrat.

La société distributrice ayant finalement remporté le marché, les deux sociétés se rapprochent pour conclure un nouveau contrat : après une lettre d’intention signée, des projets de contrat sont échangés mais les parties ne parviennent à un accord et les négociations prennent fin.

En 2017, la société distributrice a assigne l’éditeur devant le Tribunal de commerce de Paris afin de faire constater ses violations de la lettre d’engagement, la rupture abusive des relations commerciales établies et l’existence d’acte de concurrence déloyale. La société israélienne saisit le tribunal de Tel Aviv aux fins de trancher le litige.

Par jugement du 19 mars 2018, le Tribunal de commerce de Paris dit la clause attributive de juridiction du contrat de 2015 applicable et se déclare incompétent.

La société française interjette appel, considérant que le contrat contenant la clause attributive de juridiction au profit des juridictions israéliennes a été résilié et que cette clause n’avait pas vocation à s’appliquer au présent litige. Elle estime que sur la base de la lettre d’intention, les sociétés ont établi plusieurs versions d’un protocole d’accord et qu’au cours de ce processus de négociation, la clause attributive de compétence désignait toujours Paris, l’accord de volonté entre les sociétés étant suffisamment matérialisé pour lier contractuellement les parties et ce même si la clause n’est pas contenue dans un contrat effectif.

Pour l’intimée, le contrat signé en 2015 est le seul contrat régissant les relations entre les parties et le litige soumis à la cour est directement en lien avec ce contrat, dès lors que les négociations pour répondre à l’appel d’offres ont débuté au cours d’exécution de ce contrat et que le litige est la conséquence du manquement aux obligations contractuelles initiales. Elle estime que les échanges de projets de contrats n’ont pas permis d’aboutir et qu’elle ne peut pas avoir accepté par son silence les propositions de stipulations contractuelles d’un simple projet de contrat.

La Cour sous le visa de l’article 48 du code de procédure civile doit déterminer si la clause du contrat résilié s’applique au litige.

La Cour va considérer que le litige est directement « en lien avec (ce contrat) », sans que la circonstance que ce contrat soit résilié modifie cette constatation, l’action découlant directement du contrat résilié, les négociations concernant l’appel d’offres ayant débuté alors que ce contrat était encore en vigueur et les impayés durant l’exécution de ce contrat étant une des raisons de l’échec de ces négociations. La Cour précise à titre surabondant que la clause d’attribution de compétence du contrat de 2015 prévoit que, nonobstant la fin du contrat, par quelle que cause que ce soit, elle continuera à produire ses effets.

Par conséquent la Cour d’appel confirme le jugement en ce qu’il a dit la clause attributive de juridiction applicable et s’est déclaré incompétent.

ECONOMIE

L’Assemblée Nationale vote la fin partielle du « verrou de Bercy »

Vote de l’Assemblée Nationale, séance du mercredi 19 septembre 2018 – Adoption du Projet de loi : Lutte contre la Fraude

L’Assemblée nationale a voté mercredi 19 septembre 2018 à la quasi-unanimité la fin, pour les plus gros fraudeurs, du monopole des poursuites détenu par l’administration fiscale, le fameux « verrou de Bercy ».

Par 112 voix pour et 5 abstentions, les députés ont approuvé en première lecture l’article du projet de loi antifraude qui instaure un mécanisme de transmission automatique au parquet des affaires ayant donné lieu à des pénalités administratives importantes.

Le montant de la fraude déclenchant cette transmission est fixé à 100.000 euros.

L’aménagement du mécanisme de poursuite pourrait conduire à un doublement des affaires transmises par Bercy à la Justice, qui serait alors amenée à traiter quelque 2.500 cas par an, selon une estimation de la Chancellerie.

L’ensemble du projet de loi, dont les députés devaient achever l’examen dans la foulée, fera l’objet d’un vote solennel en séance le 26 septembre 2018.

DONNEES A CARACTERE PERSONNEL

Sanction de Dailymotion pour atteinte à la sécurité des données

La CNIL a, une fois de plus, par une décision du 24 juillet 2018 prononcée à l’encontre de Dailymotion, condamné un responsable du traitement pour violation de l’article 34 de la loi du 6 janvier 1978, qui impose de préserver la sécurité des données à caractère personnel.

Après avoir eu vent d’un article publié le 6 décembre 2016 sur le site web www.zdnet.com, faisant état d’une fuite de plusieurs millions de données relatives à des adresses électroniques et des mots de passes d’utilisateurs de Dailymotion, la CNIL a procédé à un contrôle dans les locaux de cette société le 15 décembre 2016.

La société a révélé lors de ce contrôle que la violation de données concernait 82,5 millions d’adresses et 18,3 millions de mots de passe extraits de la base de données de la société, depuis une adresse IP située aux Etats-Unis. Dailymotion a affirmé avoir informé ses utilisateurs de cette violation et renforcé ses mesures de sécurité, suite à celle-ci.

Devant la formation restreinte, pour se défendre, Dailymotion a invoqué le caractère particulièrement sophistiqué de l’attaque, qui a nécessité :

  • l’identification d’un bug au sein des lignes de code de la plateforme ;
  • la compréhension de l’architecture de la plateforme permettant d’identifier les conditions à l’exploitation du bug ;
  • le développement d’un code à même de tirer profit du bug ;
  • la capacité de détourner un compte d’administration pour exploiter le bug ;
  • la propagation de l’intrusion depuis les serveurs web vers des données tout en masquant son identité réelle par un jeu de rebonds vers des serveurs loués spécifiquement à cette fin.

Selon elle, aucun manquement ne lui est imputable, d’autant plus que l’obligation de préservation de la sécurité des données, visée à l’article 34 de la loi du 6 janvier 1978, constitue une obligation de moyen, et non de résultat.

La CNIL va pourtant relever des manquements :

  • D’une part, la présence en clair, au sein du code sources, des identifiants du compte administrateur ayant servi lors de l’attaque. Il était nécessaire, selon la CNIL, de hasher ce mot de passe ou bien de le stocker sur son réseau interne et de l’injecter dans le code source uniquement lors des phases de test.
  • D’autre part, il convenait de sécuriser les connexions émanant de collaborateurs amenés à se connecter sur le réseau de l’entreprise, que ce soit par un système de filtrage des adresses IP ou via un réseau privé virtuel (VPN).

La CNIL reconnait que la réussite de l’attaque résulte de la conjonction de plusieurs facteurs, dont certains ne sont pas imputables à la société.

Dailymotion soulève également que le texte de l’article 34 de la loi du 6 janvier 1978 est insuffisamment précis et ne satisfait pas au principe de légalité de délits et des peines.

La CNIL rétorque que le législateur a confié au responsable du traitement le choix des mesures de sécurité à mettre en place pour respecter l’obligation tiré de l’article 34 et que le texte n’est pas prescriptif quant aux mesures à mettre en place dès lors que l’obligation est, in fine, respectée.

La CNIL a finalement condamné Dailymotion à  une sanction pécuniaire d’un montant de cinquante mille euros et a également prononcé la publication de sa décision.

Cette décision s’inscrit dans la lignée des autres décisions récemment rendues par la CNIL, qui concernaient quasi systématiquement des atteintes à la sécurité.

L’adaptation au RGPD de la procédure d’exercice des droits

Le décret n° 2018-687 du 1er août 2018 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés a adapté la procédure d’exercice des droits aux nouvelles dispositions du RGPD.

La procédure quant à l’exercice des droits de la personne concernée par le traitement figure aux articles 92 et suivants du décret n°2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Il subsistait, jusqu’au 1er août dernier, une incertitude quant à savoir si les dispositions de ce décret étaient applicables aux nouveaux droits créés par le RGPD, à savoir le droit à la limitation et le droit à la portabilité. Ce doute a été effacé par un décret n°2018-687 ayant vocation à étendre ces dispositions aux droits créés par le RGPD. Dorénavant, le décret fait mention aux « articles 12 à 21 du règlement (UE) 2016/679 du 27 avril 2016 » (le RGPD).

Pour rappel, la procédure d’exercice des droits implique notamment la justification de l’identité de la personne souhaitant exercer ses droits, et ce par tout moyen. En cas de doute du responsable du traitement, celui-ci peut demander des informations supplémentaires, et notamment la transmission d’une copie de la carte d’identité, signée.

La demande d’exercice des droits peut être présentée sur place.

Si celle-ci est imprécise ou ne comporte pas les éléments permettant au responsable du traitement ou au sous-traitant d’y répondre, celui-ci peut inviter le demandeur à lui fournir des informations complémentaires. Cette demande de renseignement doit avoir lieu dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande, ce délai pouvant être prolongé de deux mois compte tenu de la complexité et du nombre de demandes. Précédemment, ce délai était de deux mois.

Si le responsable du traitement ne donne pas suite à la demande, il doit informer la personne concernée sans tarder et au plus tard dans un délai d’un mois à compter de la réception de la demande.

Par ailleurs, via une publication du 8 août 2018 sur le droit d’accès, la CNIL précise que ledit droit doit s’exercer dans le respect des droits des tiers (il n’est pas possible de demander à accéder aux données concernant son conjoint, par exemple). De plus, les données de santé doivent être communiquées dans un délai dérogatoire de 8 jours. L’exercice de ce droit est en principe gratuit, sauf demande de copies supplémentaires ou si la demande est manifestement infondée ou excessive, auquel cas la demande de paiement de « frais raisonnables basés sur les coûts administratifs » est envisageable.

Ecoulement du délai accordé par le Parlement Européen aux Etats-Unis pour remédier aux défaillances du Privacy Shield

Résolution du Parlement Européen, séance plénière du 5 juillet 2018 – Privacy Shield : Fin du délai accordé aux Etats-Unis

Par une résolution en date du 5 juillet 2018 adoptée en session plénière, le Parlement Européen (PE) avait donné un délai de deux mois aux Etats-Unis pour se mettre en conformité avec les accords du Privacy Shield. Le délai est à présent écoulé, l’Union Européenne (UE) pourrait dès lors suspendre les accords bilatéraux instituant le Privacy Shield.

Encore attendue, la décision finale repose entre les mains de la Commission Européenne (CE), qui doit se prononcer rapidement.

Quelques mois avant la Résolution du PE, le groupement des autorités de protection des données personnelles au sein l’UE, dit « Groupe de l’Article 29 » avait exprimé de sérieux doutes sur le respect des accords du Privacy Shield par les Etats-Unis.

Le Parlement Européen reproche notamment aux Etats-Unis le renouvellement des dispositions de l’article 702 du Foreign Intelligence Surveillance Act, qui encadre la surveillance de ressortissants situés en dehors des Etats-Unis.

En cas de suspension du Privacy Shield par la CE, les entreprises qui transfèrent des données personnelles vers les Etats-Unis devraient trouver sans tarder un véhicule juridique de substitution afin de sécuriser les transferts de données personnelles vers les Etats-Unis.

La CNIL saisie suite à l’ouverture par l’Elysée de sa boutique en ligne : l’adresse du DPO en question

Il est rapporté que la société Expando, responsable du site de boutique en ligne de l’Elysée, proposerait en guise d’adresse mail de contact du délégué à la protection des données (DPO), une adresse mail qu’elle utiliserait par ailleurs sur des sites internet non liés avec celui de l’Elysée.

Le RGPD, comme les lois et règlements français, n’interdisent pas explicitement cette pratique.

De son côté, le site NexInpact, qui annonce avoir saisi la CNIL, estime que cette centralisation permettrait que des courriers envoyés par des personnes au DPO soient « accessibles à une quantité indéterminée de tiers non habilités » qui disposeraient aussi d’un accès à cette adresse.

L’adresse en question, <contact@expendo.org>, serait notamment utilisée par la société Expando comme adresse de contact dans le cadre de ses propres relations commerciales.

A noter qu’il est possible de mutualiser les délégués à la protection des données (DPO), c’est-à-dire de nommer un seul DPO pour un même groupe de sociétés. Celui-ci doit être en mesure de communiquer efficacement avec les personnes concernées et de coopérer avec les autorités de contrôle.

Le site NextInpact indique qu’il publiera les suites données par la CNIL.

Affaire à suivre.

Détournement de finalité : l’OPH de Rennes sanctionné pour l’utilisation des données des résidents à des fins de communication politique

Par une Délibération en date du 24 juillet 2018, la formation restreinte de la CNIL a prononcé une sanction pécuniaire à l’encontre de de l’Office Public de l’Habitat de Rennes Métropole – ARCHIPEL HABITAT (OPH Rennes).

Suite à la réception d’une plainte en octobre 2017, dans laquelle il était reproché à l’OPH de Rennes d’avoir envoyé un courrier à ses locataires concernant le projet de réforme relative au montant des APL, la CNIL a diligenté une enquête pour détournement de finalité.

L’OPH de Rennes a contesté cette qualification, au motif que son courrier aurait eu pour finalité d’informer les locataires sur les nouvelles dispositions réglementaires relatives au montant des APL et leur impact sur les ressources attribuées à l’OPH, cette information s’inscrivant, selon lui, dans le cadre de ses activités et des missions qu’il poursuivait.

Après avoir rappelé que l’OPH ne pouvait utiliser les données à caractère personnel des locataires pour une finalité autre que les finalités initiales, et notamment celles mentionnées dans les formalités déclaratives effectuées auprès de la CNIL, cette dernière a estimé en l’espèce que le courrier envoyé par l’OPH ne pouvait se rattacher à ces finalités, « et notamment à celle de mise en œuvre d’une politique publique concernant l’habitat à caractère social, dès lors que l’objet de ce courrier n’était pas de traiter des données à caractère personnel des locataires afin d’appliquer une politique publique, mais bien de prendre une position critique sur la baisse à venir des APL ».

La CNIL relève en conséquence un manquement à l’article 6, 2° de la Loi n°78-17 du 6 janvier 1978, qui impose que les finalités d’un traitement soient déterminées, explicites et légitimes. Elle a donc prononcé une sanction pécuniaire de 30 000 euros et a décidé de rendre publique sa décision.

Le Conseil National de l’Ordre des Médecins et la CNIL publient un guide pratique à l’attention des médecins

Le guide pratique, élaboré et rédigé conjointement par le CNOM et la CNIL, accompagne les médecins dans la mise en œuvre des obligations prévues par la nouvelle réglementation sur la protection des données personnelles.

Ce guide contient plusieurs fiches sur les thèmes suivants :

  • Dossiers patients
  • Prise de rendez-vous
  • Utilisation de la messagerie électronique
  • Utilisation des téléphones portables et tablettes
  • La recherche
  • La télémédecine

Ce guide a pour objectif d’orienter les médecins, en exercice libéral, dans la mise en œuvre des obligations prévues par le RGPD. En effet, les médecins sont amenés à traiter des données à caractère personnel de leurs patients dans le cadre notamment du dossier patient et utilisent des plateformes en ligne de prise de rendez-vous ou encore peuvent réaliser des actes de télémédecine.

Parmi les points intéressants, nous avons relevé notamment que :

  • La CNIL rappelle les obligations des médecins en tant que responsables de traitement, notamment l’obligation d’information des personnes concernées (notamment par voie d’affichage dans le cabinet ou fourniture d’un dépliant papier).
  • Les patients disposent de droits, notamment d’un droit d’accès au dossier patient, pour lequel le délai est de 8 jours (porté à 2 mois lorsque les informations datent de plus de 5 ans selon le code de la santé publique).
  • En cas de recours à un prestataire de service pour assurer la maintenance du logiciel gérant les dossiers des patients, celui-ci n’est pas censé accéder aux données de santé à caractère personnel (en raison de son rôle purement technique). En principe, les données doivent être chiffrées pour permettre l’exécution des prestations sans possibilité de lire les données.
  • Si le médecin confie le stockage des dossiers à un hébergeur, celui-ci doit être agréé ou certifié conformément au code de la santé publique.
  • Sur la qualification de responsable de traitement et sous-traitant, la CNIL rappelle qu’en toute hypothèse, dès lors que le médecin fait appel aux services d’un prestataire (société de maintenance, hébergeur, prestataire pour la prise de rendez-vous, plateforme de télémédecine…), celui-ci agit pour son compte en tant que sous-traitant, dès lors, un contrat de sous-traitance doit être prévu.
  • S’agissant des obligations du prestataire tiers dans la prise de rendez-vous, la CNIL rappelle celui-ci agit pour le compte du médecin et doit mettre ne place les mesures techniques et organisationnelles pour assurer la sécurité et confidentialité des données.
  • S’agissant de la messagerie, les échanges avec les patients ne peuvent être réalisés via des messageries de type messageries standard sur internet, ne chiffrant pas les données ou hébergeant les données dans un pays n’assurant pas un niveau de protection adéquat.