foire aux questions

FAQ

Marque

La marque est un actif immatériel, révélateur de la stratégie de l’entreprise et porteur de son image. Le développement des nouvelles technologies a engendré un accroissement de sa valeur économique, faisant de la marque un véritable vecteur de communication.

La marque est définie comme un signe susceptible de représentation graphique. A ce titre, elle peut revêtir plusieurs formes renforçant ainsi son impact commercial.

De par son caractère distinctif, elle constitue un élément d’identification et de captation des consommateurs. En effet, le propre de la marque est de distinguer vos produits et services de ceux d’autres entreprises.

Cet instrument facultatif mais, néanmoins primordial, doit être apprécié et appréhendé comme un véritable atout commercial. Pour assurer à votre marque, une gestion efficiente et une exploitation pérenne, un certain nombre de formalités et de critères doivent être remplis.

  1. Les différents types de marques

Un grand nombre de formes peuvent faire l’objet d’un dépôt à titre de marque. Pour cela, il faut que le signe choisi pour constituer la marque puisse être représenté graphiquement.

Un mot, un nom, un slogan, des chiffres, des lettres etc. constituent une marque « verbale ».

Un dessin ou un logo caractérisent une marque « figurative ».

On dit que la marque est « semi-figurative » lorsqu’elle combine les deux.

Enfin, il est possible de déposer une marque sonore qui sera caractérisée par un son ou une phrase musicale.

  1. Les conditions de validité de la marque

Pour qu’un signe puisse être protégé au titre du droit des marques, il faut qu’il réponde à trois conditions essentielles : il doit être licite, distinctif et disponible.

  • La licéité du signe

Pour être valide, une marque ne doit pas porter atteinte à l’ordre public ou aux bonnes mœurs tel que le serait un slogan raciste.

Aussi, certaines armoiries publiques, les drapeaux ou autres signes officiels protégés, dont la liste est produite par l’Organisation mondiale de la propriété intellectuelle (OMPI), ne peuvent faire l’objet d’un dépôt.

Enfin, il faut être vigilant à ce que la marque proposée ne soit pas de nature à induire le public en erreur, notamment sur la nature, la qualité ou la provenance géographique du produit ou du service et qui aurait pour conséquence de tromper ou de décevoir le consommateur.

  • La distinctivité du signe

Le caractère distinctif de la marque sert à identifier, en les distinguant, les produits ou services de même nature proposés par des concurrents.

Il faut donc éviter que le signe :

  • Désigne une caractéristique du produit ou du service ;
  • Décrive le produit ou le service ;
  • La disponibilité du signe

Pour qu’un signe soit disponible, il ne doit pas y avoir de droit antérieur du fait d’une marque antérieurement enregistrée, notoirement connue, d’un nom de domaine existant, d’une dénomination sociale etc., sur ce signe sur le territoire envisagé pour l’exploitation de la marque.

Pour cela, il faut effectuer une recherche d’antériorités ou de « similarités » du signe au regard des produits et services pour lesquels l’exploitation est envisagée.

L’enregistrement de la marque garantit un droit sur celle-ci. Les droits ainsi acquis s’apprécient par rapport aux catégories de produits ou services visés.

Ainsi, l’analyse de signes identiques ou similaires préexistants se fait en fonction des produits ou services envisagées lors du dépôt.

 

 

Un signe, pour être protégée à titre de marque, doit être enregistré. Le simple usage d’un signe à titre de marque ne permet pas de bénéficier du régime protecteur du droit des marques.

Après vérification de la disponibilité de votre signe, il faudra effectuer le dépôt d’une demande d’enregistrement. Pour ce faire, il est indispensable de se rapprocher l’organisme compétent afin de réaliser l’enregistrement.

Selon l’étendue de la protection que vous souhaitez, il faudra effectuer un dépôt en France ou bien à l’étranger.

  • Identification du territoire

La détermination du territoire d’exploitation de la marque est primordiale. Cette étape permet d’établir les conditions de mise en œuvre de la protection, qui diffèrent selon les pays choisis, ainsi que l’étendue territoriale de la protection une fois la marque enregistrée.

  • Identification des produits et services

Il est impératif d’identifier les produits et services pour lesquels vous souhaitez déposer votre marque.

Les produits et services sélectionnés lors de la demande d’enregistrement de la marque bénéficieront alors de la protection.

Cette étape est importante car, après le dépôt d’une marque, il n’est plus possible de modifier, supprimer ou ajouter des produits ou services choisis. Toute modification nécessitera un nouveau dépôt.

 

 

En France, la procédure de dépôt d’une demande d’enregistrement d’une marque se déroule devant l’Institut national de la propriété industrielle (INPI).

Cette procédure est la suivante :

  • Dépôt de votre demande d’enregistrement de marque

Le dépôt s’accompagne du paiement de taxes à l’enregistrement :

  • Dépôt électronique : 210 euros pour 3 classes + 42 euros par classe supplémentaire ;
  • Dépôt papier : 250 euros pour 3 classes + 42 euros par classe supplémentaire ;
  • La publication de la demande auprès du BOPI

Dans un délai de 6 semaines suivant votre dépôt, l’INPI rend publique votre demande d’enregistrement en la publiant sur le Bulletin Officiel de la Propriété Industrielle. Cette publication est le point de départ de l’examen du dossier par l’INPI et de la procédure d’opposition.

  • Examen du dossier par l’INPI

L’institut vérifie que la demande satisfait aux conditions de forme et de fond.

  • L’opposition par un tiers

À compter de la publication au BOPI, les titulaires de droits antérieurs disposent de deux mois pour les faire valoir devant l’institut, afin d’obtenir le rejet de la demande d’enregistrement du signe, a priori, indisponible. L’INPI devra alors statuer sur cette demande d’opposition et ainsi refuser ou accepter l’enregistrement du signe.

  • La publication de l’enregistrement auprès du BOPI

L’enregistrement a pour effet de fixer le contenu du droit sur la marque et sa durée. Il sera publié au BOPI et donne lieu à la réception d’un certificat d’enregistrement.

  • Effets de l’enregistrement

À compter de la date du dépôt de la demande, la marque est opposable aux tiers et est protégée, sous réserve de son enregistrement, pour une durée de 10 ans, renouvelable.

  • Le renouvellement

Pour renouveler les droits sur la marque, il faudra s’acquitter d’une nouvelle taxe :

  • 250 euros pour 1 à 3 classes ;
  • 42 euros par classe supplémentaire

Lors du renouvellement, vous ne pouvez pas ajouter de nouveaux produits ou services, ni modifier le modèle de la marque. Des changements de ce type doivent faire l’objet d’un nouveau dépôt.

  • Extension de la protection à l’étranger et délai de priorité

Si vous souhaitez déposer votre marque française à l’étranger, il est possible de bénéficier de l’antériorité de votre marque française si vous formulez votre demande d’enregistrement étrangère dans le délai de 6 mois suivant le dépôt de votre demande de marque française (délai de priorité).

Vous bénéficierez ainsi, pour votre titre étranger, de la date de dépôt de votre marque française (et non celle du dépôt de votre demande de marque étrangère). Par conséquent, les demandes de marque qui auraient été déposées dans ce(s) pays dans cet intervalle vous seraient inopposables.

  • La marque de l’Union européenne [insérer un lien renvoyant vers la rubrique]
  • La marque internationale [insérer un lien renvoyant vers la rubrique]
  • La marque nationale étrangère

Si vous souhaitez déposer votre marque dans un seul pays, ou désigner un pays ne faisant pas partie du protocole de Madrid (tel que le Canada), il faudra effectuer une demande individuelle directement dans le pays concerné et selon la procédure d’enregistrement des marques mise en place par ce pays.

  • La marque OAPI (Organisation Africaine de la Propriété Intellectuelle)

L’OAPI permet une protection du signe dans les pays africains membres de l’accord de Bangui (Bénin, Burkina Faso, Cameroun, Centrafrique, Comores, Congo, Côte d’Ivoire, Gabon, Guinée, Guinée équatoriale, Guinée-Bissau, Mali, Mauritanie, Niger, Sénégal, Tchad et Togo).

Au niveau de l’Union Européenne, la procédure de dépôt d’une demande d’enregistrement d’une marque se déroule devant l’Office de l’union européenne pour la propriété intellectuelle (EUIPO).

Il s’agit d’une demande et d’un examen unique qui permet la délivrance d’un titre unitaire qui a vocation à s’appliquer automatiquement à tous les pays de l’Union européenne, dont la France.

Cette procédure est la suivante :

  • Le dépôt de la demande

Le dépôt s’accompagne d’une taxe de 850 € de 1 à 3 classes pour un dépôt électronique et à 1 000 € pour un formulaire papier. A cela s’ajoute une taxe de 150 € par classe de produits et services revendiquée au-delà de la troisième.

  • Période d’examen de la demande

Au cours de cet examen, l’EUIPO va :

  • Vérifier les produits et services sélectionnés dans la demande pour s’assurer qu’ils soient correctement classifiés et que leur nature soit clairement identifiée.
  • Vérifier les formalités saisies dans votre demande pour garantir que tout est en ordre (la signature, les langues, les données du titulaire et/ou du représentant, les revendications de priorité et/ou d’ancienneté sont vérifiées).
  • Vérifier les conditions de validité de la marque (distinctivité, descriptif ou non, etc).
  • Traduire la demande de marque pour que son contenu puisse être publié dans toutes les langues officielles de l’Union européenne.
  • Effectuer des recherches afin d’identifier d’éventuelles marques identiques et/ou similaires.
  • Publication de la demande

À partir de la date de publication, tout tiers estimant que votre marque ne devrait pas être enregistrée, du fait de l’existence de droits antérieurs, dispose d’un délai de trois mois pour former une opposition à l’encontre de votre demande.

Si tel est le cas, une procédure d’opposition est mise en place, à l’issue de laquelle une décision est rendue par l’EUIPO.

  • L’enregistrement

Au terme de la période d’opposition, la marque validée est enregistrée et sera publiée. L’Office vous délivrera alors un certificat d’enregistrement.

  • Le renouvellement

L’enregistrement est renouvelable tous les 10 ans avec une taxe de renouvellement de 850 euros (voie électronique) ou 1000 euros (voie papier) pour une classe, 50 euros pour la deuxième classe et 150 euros pour le renouvellement de chaque classe de produits et services à partir de la deuxième.

Le dépôt de la marque internationale permet, par une procédure unique, de conférer à son titulaire une protection dans les pays membres du Protocole de Madrid. Un tel dépôt aboutit au même résultat que si la marque avait été déposée et enregistrée dans chacun des pays.

Toutefois, il ne s’agit pas d’un titre unitaire. La procédure, qui est unique, donne lieu à une série de marque nationale répondant aux critères du pays dans lequel la protection est demandée. Il est alors possible que la demande soit refusée dans certains pays et acceptée dans d’autres.

Le dépôt de la demande d’enregistrement de marque internationale doit être présenté devant l’OMPI.

La procédure est la suivante :

  • Préalable à la demande de dépôt international

Avant de déposer une demande d’enregistrement de marque internationale, vous devez disposer d’une marque enregistrée dans un état membre de Madrid.

Attention, la vérification de la disponibilité du signe devra s’effectuer dans chacun des pays dans lesquels vous souhaitez étendre votre protection.

  • Le dépôt d’une demande internationale

Il faut remplir le formulaire de dépôt de marque internationale correspondant à votre choix de pays.

  • Examen de la demande de dépôt international

Selon les cas, la demande d’enregistrement sera examinée par l’office national (ex : INPI, OMPI, etc.). À l’issu de l’examen (produits/services visés, paiements redevances), un certificat est envoyé au déposant avec cet enregistrement.

  • Examen du dossier par les pays désignés

Chaque pays examine la demande au regard de sa propre législation sur les marques. Dans ce contexte, chaque pays a le droit de rejeter la demande en totalité ou en partie. La décision de refus dans un pays n’a pas d’impact sur les autres pays.

  • Validation de la marque par les pays désignés

Si le demandeur ne reçoit pas de lettre de refus d’un pays dans un délai de 12 à 18 mois, cela signifie que la marque a été enregistrée dans ce pays.

  • Le renouvellement

L’enregistrement est renouvelable en moyenne, selon les pays, tous les 10 ans. Il faudra, pour cela, s’acquitter du paiement d’une taxe dont le montant variera en fonction des pays désignés pour la marque.

La marque est un élément à part entière de l’entreprise qui a une valeur. Elle peut faire l’objet d’un certain nombre d’opérations juridiques permettant sa valorisation.

La marque peut être exploitée par son titulaire initial mais ce dernier peut également la céder ou autoriser un ou plusieurs tiers à l’exploiter.

Des titulaires de marques proches peuvent également conclure des accords de coexistence afin d’harmoniser l’exploitation de leur signe respectif.

  • La cession de marque

La marque peut faire l’objet d’une cession, totale ou partielle, étant précisé que cette cession peut être autonome.

La cession doit porter sur une marque enregistrée et valide.

La cession doit être convenue par écrit à peine de nullité. Elle sera, ensuite, publiée au registre National des Marques pour être opposable aux tiers.

  • La licence de marque

La licence est un contrat par lequel le titulaire d’une marque concède à une personne, en tout ou partie, la jouissance de son droit d’exploitation sur la marque, moyennant une rémunération.

Vous pouvez recourir à une telle licence lorsque le titulaire de marque souhaite tirer profit de certains marchés qu’il ne peut exploiter directement. Ce sera le cas s’il veut s’aventurer sur un marché à l’étranger, par exemple.

La licence peut être exclusive ou non. Si elle est exclusive, le titulaire de la marque ne peut concéder à des tiers, sur le même territoire, une licence de la même marque, pour les mêmes produits et services. Cette exclusivité doit être stipulée.

  • Les accords de délimitation ou de coexistence

Il est possible de conclure un accord avec un autre titulaire de marques identiques ou proches de la vôtre et couvrant les mêmes produits ou des produits similaires afin de coexister sur le marché.

Le recours à ces accords permet de neutraliser un contentieux actuel ou potentiel.

La contrefaçon est un acte de reproduction, d’imitation ou d’utilisation totale ou partielle d’un droit de propriété intellectuelle sans l’autorisation préalable de son propriétaire.

Ainsi, il s’agit d’un usage illicite de la marque d’autrui, que ce soit par la reprise à l’identique de la marque protégée ou par son imitation. Un tel acte va opérer une confusion dans l’esprit du public.

Pour faire valoir ses droits, le titulaire d’une marque ou bien le licencié, peuvent exercer une action devant les juridictions civiles et/ou pénales.

La saisie-contrefaçon est un mode de preuve de la contrefaçon et permet, sur autorisation d’un juge, de faire constater par un huissier de justice l’atteinte et de saisir les preuves de celle-ci. La saisie-contrefaçon est non-contradictoire et bénéficie de l’effet de surprise : le saisi l’ignore jusqu’au dernier moment, il ne peut donc faire disparaître les éléments de preuve de la contrefaçon.

Quels sont les changements apportés au droit des marques par l’Ordonnance du 13 novembre 2019 ?

Une modification considérable du droit des marques a été instiguée en France par l’ordonnance du 13 novembre 2019 relative aux marques de produits ou de services, ainsi que par le décret d’application de cette ordonnance du 9 décembre 2019.

Ces deux textes s’inscrivent dans un mouvement européen de réforme du droit des marques amorcé par le Parlement européen dès 2015. En ce sens, l’ordonnance du 13 novembre dernier vise précisément à transposer en droit français le « Paquet marques », composé d’un règlement et d’une directive.

La réforme a pour particularité de modifier en substance tant le fond que la forme du droit des marques.

Quels sont les changements de la définition de la marque au sens de l’Ordonnance du 13 novembre 2019 ?

L’article L.711-1 du Code de la propriété intellectuelle dispose désormais : « la marque de produits ou de services est un signe servant à distinguer les produits ou services d’une personne physique ou morale de ceux d’autres personnes physiques ou morales ».

L’article précise que « ce signe doit pouvoir être représenté dans le registre national des marques de manière à permettre à toute personne de déterminer précisément et clairement l’objet de la protection conférée à son titulaire ».

L’exigence de représentation graphique est ainsi écartée.

Quels types de marques peuvent être enregistrés ?

Peuvent donc ainsi être enregistrées les marques suivantes :

  • Une marque sonore constituée d’un son ou d’une combinaison de sons.
  • Une marque de mouvement, qui peut être composée de la représentation d’une suite de mouvements ou d’un fichier vidéo dénué de bande sonore.
  • Une marque multimédia composée à la fois d’images et de son.
  • Une marque hologramme composée d’une ou plusieurs images de type holographique.

Mais cette nouvelle définition ne semble pas englober les marques olfactives ou gustatives dont l’enregistrement est matériellement impossible.

Deux nouvelles procédures devant l’INPI sont créées : la procédure en nullité de la marque et la procédure de déchéance.

La procédure en nullité de la marque a pour but l’annulation de la marque, laquelle sera considérée comme n’ayant jamais existé. La nullité est prononcée dans deux cas :

  • Si les conditions de validité d’une marque ne sont pas remplies (on parle alors de motifs absolus de nullité).
  • Si le signe ne respecte pas un ou plusieurs droits antérieurs (on parle alors de motifs relatifs de nullité).


La procédure en
déchéance de la marque, a pour effet de retirer ses droits au titulaire de la marque. La déchéance peut trouver à s’appliquer dans plusieurs circonstances, en particulier lorsque :

  • La marque n’a pas été exploitée au cours des cinq dernières années.
  • Elle est devenue la désignation usuelle du produit ou du service auquel elle est associée.
  • Elle est susceptible d’induire le public en erreur sur le produit ou service.

Depuis le 1er avril 2020, sauf exceptions, les procédures de nullité et de déchéance sont de la compétence exclusive de l’INPI, rendant ces procédures plus rapides et moins coûteuses que si elles avaient dû se dérouler par voie judiciaire.

Internet / Nouvelles technologies

L’arrivée d’internet a généré un nouveau canal de distribution, le commerce électronique, permettant aux internautes de réserver une prestation de service ou d’acheter un bien en quelques clics.

Défini par le législateur, le commerce électronique (ou e-commerce) désigne « l’activité économique par laquelle une personne propose ou assure à distance et par voie électronique la fourniture de biens ou services ».

Devenu depuis plusieurs années un élément incontournable des entreprises, le site internet constitue un véritable atout de communication permettant à l’entreprise de se faire connaître du public et de proposer à distance ses produits ou services.

La mise en œuvre d’un site internet n’est cependant pas sans contrainte. En effet, tous les sites édités à titre professionnel, pour quelque activité que ce soit, doivent contenir des mentions permettant notamment à l’utilisateur d’identifier l’éditeur du site.

En fonction de l’exploitation faite du site, d’autres mentions devront être portées à la connaissance de l’internaute.

Plus particulièrement, les sites internet de e-commerce doivent contenir des mentions encadrant la relation commerciale entre le fournisseur professionnel de biens ou services et son client, professionnel ou consommateur.

Les documents recensant ces mentions obligatoires doivent être communiqués aux utilisateurs et/ou clients de votre site et doivent donc être rédigés avec soins.

L’éditeur d’un site internet doit y faire figurer plusieurs mentions. Certaines sont obligatoires et leur absence peut être sanctionnée par les autorités compétentes, d’autres sont vivement conseillées.

Ces mentions vont dépendre de l’activité exercée et de l’utilisation faite du site.

Parmi les mentions à faire figurer sur votre site on peut notamment citer :

  • Les CGV 

Les conditions générales de ventes (CGV) encadrent les relations commerciales entre le fournisseur de biens ou services et ses clients, professionnels ou consommateurs.

  • Les CGU 

Les conditions générales d’utilisation (CGU) encadrent l’utilisation du site par l’internaute.

  • Les mentions légales 

Les mentions légales sont les mentions devant impérativement figurer sur un site internet.

  • La politique cookies 

La Politique cookies permet à l’utilisateur du site d’être informé sur l’utilisation qui est faites des cookies par le site et de consentir, refuser ou adapter les paramètre de cette utilisation.

  • La politique de confidentialité 

La politique de confidentialité permet notamment d’informer l’utilisateur sur les données à caractère personnel collectées et traitées à travers le site internet et de lui indiquer la finalité des traitements effectués, la durée de conservation des données collectées, le responsable de traitement et les droits dont il dispose.

 

 

Les conditions générales de ventes (CGV) encadrent les relations commerciales entre un professionnel et ses clients (professionnels ou non) pour la vente de biens ou les prestations de services.

Les CGV permettent de sécuriser la relation du vendeur avec ses clients en définissant les contours de la prestation et les droits et obligations des parties.

Selon la qualité du client, elles seront régies par les dispositions du Code de commerce (relations entre professionnels dites B2B) ou par du Code de la consommation (relations entre professionnel et particulier consommateur dites B2C).

Entre professionnels, les CGV constituent le socle de la négociation commerciale et doivent être communiquées au client professionnel si celui-ci en fait la demande.

Lorsque le vendeur professionnel s’adresse à un client consommateur, les CGV sont obligatoires. Le vendeur doit pouvoir justifier de leur communication et acceptation par le consommateur.

En pratique, elles sont généralement communiquées et acceptées par le client avant tout achat.

Les CGV doivent comporter certaines mentions obligatoires qui diffèrent selon les clients professionnels ou consommateurs.

Les CGV peuvent être modifiées en fonction de l’évolution de votre activité, toute modification vaudra pour l’avenir et devra être communiquée au Client.

Il est important de rédiger des CGV claires et complètes afin de limiter les risques juridiques avec vos clients et concurrents.

Lorsqu’un site internet est édité à titre professionnel, pour quelque activité que ce soit, l’éditeur doit notamment indiquer les informations suivantes (dites mentions légales) :

  • Les informations relatives à l’éditeur (nom, prénom et domicile pour une personne physique ; raison sociale, forme juridique, numéro RCS, adresse du siège social et montant du capital social pour une personne morale) ;
  • L’adresse de courriel et le numéro de téléphone de l’éditeur ;
  • Le nom du directeur de la publication ;
  • Les coordonnées de l’hébergeur du site (nom ou dénomination sociale, adresse et numéro de téléphone) ;
  • Le numéro de TVA intracommunautaire en cas d’activité commerciale ;
  • Les informations relatives aux cookies du site ;
  • Les conditions générales de ventes en cas de site marchand.

Les mentions légales sont généralement incorporées aux CGU mais elles peuvent faire l’objet d’un document distinct.

Les mentions légales sont obligatoires. Leur absence peut être sanctionné jusqu’à un an d’emprisonnement et 75.000 euros d’amende pour les personnes physiques et 375.000 euros pour les personnes morales.

Les cookies, ou plus généralement les traceurs, sont déposés sur le disque dur du périphérique de l’utilisateur lors de la consultation du site. Ils sont utilisés par le site pour envoyer des informations au navigateur de l’utilisateur et permettent également à ce navigateur de renvoyer des informations au site (par exemple un identifiant de session, le choix d’une langue ou une date).

Avant de déposer ou utiliser un cookie, l’éditeur du site internet doit informer l’utilisateur de la finalité du cookie, obtenir son consentement pour cette utilisation et lui permettre de refuser cette utilisation et/ou de personnaliser les paramètres d’utilisation.

Le consentement de l’utilisateur doit être limité et sa durée ne peut excéder 13 mois.

Il doit être obtenu avant que le cookie soit déposé sur le périphérique de l’utilisateur : tant qu’il n’a pas donné son consentement le cookie ne peut être utilisé.

De manière générale, l’utilisateur est informé de la présence de cookies sur un site par l’apparition d’un bandeau qui ne peut disparaître tant que l’utilisateur n’a pas accepté l’utilisation ou poursuivi sa navigation en cliquant sur un autre élément du site.

Certains cookies ne nécessitent pas de recueillir le consentement de l’utilisateur. Il s’agit notamment de ceux strictement nécessaire à la fourniture d’un service expressément demandé par le fournisseur tels que :

  • Les cookies d’authentification ;
  • Les cookies de « panier d’achat » pour un site commerçant ;
  • Les cookies d’identification de session utilisés pour la seule durée de la session ;
  • Les cookies persistants relatifs à la personnalisation de l’interface comme le choix de langue ;

La politique cookies peut être incorporée aux CGU ou faire l’objet d’un document distinct.

Le règlement général sur la protection des données (RGPD) est une règlementation européenne renforçant les droits et la protection des données à caractère personnel des personnes physiques.

Il est entré en vigueur le 25 mai 2018 et impose à toute organisation, publique ou privée, traitant des données personnelles pour son compte ou non, établie sur le territoire de l’Union européenne ou ayant une activité ciblant directement des résidents européens.

Le RGPD concerne également les sous-traitants qui traitent des données à caractère personnel pour le compte d’autres organismes.

Afin d’être en conformité avec le RGPD différentes mesures doivent être mise en place par les organismes concernés. En savoir plus sur le RGPD [insérer un lien renvoyant vers la page sur les données personnelles]

Si l’éditeur d’un site internet collecte et traite des données à caractère personnel à travers son site internet (formulaire de contact, création d’un compte client, questionnaire en ligne etc.) il doit en informer l’utilisateur.

La Charte Données personnelles (ou Politique de confidentialité) permet notamment d’indiquer à l’utilisateur :

  • Les données à caractère personnel collectées et traitées ;
  • La finalité des traitements effectués ;

La durée de conservation des données personnelles ;

  • Les droits de l’utilisateur (droit d’opposition, droit d’accès, droit de rectification, droit d’effacement, droit à la portabilité, droit d’information) ;
  • Le responsable de traitement ;
  • Les destinataires des traitements.

La Politique de confidentialité doit être librement accessible à tout utilisateur du site et peut être modifiée en fonction de l’évolution de votre activité.

Le droit des données à caractère personnel est longtemps resté marginal. Adoptée en 1978, la Loi informatique et libertés s’est emparé de la question de la protection des données à caractère personnel au commencement de la numérisation des activités de la société, que ce soit au niveau de l’Etat ou des foyers.

Au niveau européen, un nouveau cadre juridique renforçant les droits des citoyens européens sur la protection de leurs données à caractère personnels a récemment été mis en œuvre. Entré en vigueur le 25 mai 2018, le règlement général sur la protection des données (RGPD) renforce les droits des personnes et responsabilise les organismes traitant les données à caractère personnel.

Afin de garantir une utilisation des données à caractère personnel respectueuse de la vie privée des personnes concernées les organismes publics ou privés traitant des données à caractère personnel doivent adopter de bon reflexes.

« Toute information se rapportant à une personne physique identifiée ou identifiable » constitue une donnée à caractère personnel.

Une personne peut être identifiée directement (nom, prénom) ou indirectement (numéro de téléphone, numéro client, photographie) à partir d’une seule donnée (numéro de sécurité social) ou par recoupement de données.

Les données suivantes peuvent notamment constituer des données à caractère personnel :

  • Nom, prénom
  • Numéro de téléphone
  • Adresse postale
  • Adresse email
  • Numéro de sécurité sociale
  • Numéro de carte d’identité nationale
  • Adresse IP
  • Eléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale d’une personne (sexe, profession, loisirs, âge etc.)

Les données relatives à l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuse, l’appartenance syndicale, la santé ou la vie d’une personne sont dites « données sensibles » et ne peuvent être recueillies et exploitées qu’avec le consentement explicite de la personne concernée.

 

 

Toute opération effectuée sur des données à caractère personnel, de quelque manière que ce soit (automatique ou manuelle) constitue un traitement de données à caractère personnel.

Ainsi, constituent des traitements de données personnelles la collecte, l’enregistrement, l’organisation, la conservation, la consultation, l’utilisation ou la communication par transmission ou diffusion d’une donnée à caractère personnel.

A titre d’exemple, le fait de tenir un fichier clients, de collecter les coordonnées de clients potentiels à travers un questionnaire ou de mettre à jour un fichier de prestataires est un traitement.

Le traitement de données à caractère personnel n’a pas à être informatisé, les fichiers papiers constituent également des traitements.

Le traitement de données doit avoir une finalité, avoir un but légal et légitime au regard de l’activité professionnelle de la personne l’effectuant.

Le responsable de traitement est la personne, physique ou morale, qui détermine, seule ou conjointement, la finalité et les moyens du traitement.

Le sous-traitant est la personne, physique ou morale, qui traite des données à caractère personnel pour le compte du responsable de traitement.

Le destinataire du traitement est la personne qui reçoit la communication des données à caractère personnel.

Les personnes dont les données sont utilisées par des organismes disposent de différents droits sur leurs données à caractère personnel dont les organismes doivent permettre la mise en œuvre.

  • Le droit d’information

L’organisme traitant des données personnelles doit fournir aux personnes concernées par les traitements effectués une information claire sur la finalité des traitements, l’utilisation faite de leurs données et sur l’exercice de leurs droits.

Il convient notamment d’indiquer aux personnes concernées :

  • Les coordonnées du délégué à la protection des données de l’organisme ;
  • L’utilisation faites des données
  • Les destinataires des traitements
  • La durée de conservation des données
  • Les droits dont la personne dispose
  • L’utilisation des données hors UE
  • Le droit d’opposition

Les personnes peuvent s’opposer à tout moment à l’utilisation de ses données à caractère personnel.

La personne concernée doit mettre en avant les « raisons tenant à sa situation particulière » justifiant sa demande sauf en cas de prospection commerciale à laquelle il est possible de s’opposer sans motif.

L’organisme traitant des données personnelles peut s’opposer à cette demande et continuer à traiter les données s’il dispose de motifs légitimes et impérieux ou s’il justifie que les données en cause sont nécessaires à la constatation, l’exercice ou la défense de droits en justice.

  • Le droit d’accès

Toute personne peut solliciter de l’organisme traitant ses données à caractère personnel qu’il lui communique les données qu’il contient sur elle afin qu’elle puisse en vérifier le contenu, l’exactitude afin, si cela est nécessaire, de les faire rectifier ou effacer.

L’organisme auprès duquel le droit d’accès est exercé doit faire droit à cette demande dans un délai d’un mois pouvant être prorogé à trois mois en raison de la complexité de la demande ou du nombre de demandes reçues.

Dans certains cas, ce droit peut être limité (fichiers de police, gendarmerie ou renseignement, secret des affaires, droits de propriété intellectuelle etc.)

Attention, seules les données relatives à la personne qui en fait la demande peuvent lui être communiquées, aucune données de tiers ne peut lui être transmise.

  • Le droit de rectification

Les personnes concernées par un traitement de données à caractère personnel peuvent demander la rectification des informations inexactes ou incomplètes.

L’organisme auprès duquel le droit de rectification est exercé doit faire droit à cette demande dans un délai d’un mois pouvant être prorogé à trois mois en raison de la complexité de la demande ou du nombre de demandes reçues.

Pour certains fichiers (notamment ceux de police, gendarmerie, renseignement) l’exercice du droit de rectification sera soumis à une procédure différente.

  • Le droit à l’effacement

Toute personne concernée par un traitement de données personnelles peut demander à l’organisme qu’il procède à l’effacement des données à caractère personnel le concernant et ce notamment si :

  • Les données sont utilisées à des fins de prospection ;
  • Les données ne sont plus nécessaires au regard des objectifs pour lesquels elles avaient été collectées ou traitées ;
  • Le consentement sur l’utilisation faite des données est retiré ;
  • Les données ont été collectées alors que la personne était mineure ;
  • L’effacement est justifié par le respect d’une obligation légale.

L’organisme auprès duquel le droit à l’effacement est exercé doit faire droit à cette demande dans un délai d’un mois pouvant être prorogé à trois mois en raison de la complexité de la demande ou du nombre de demandes reçues.

Dans certains cas, ce droit peut être limité (exercice de la liberté d’expression, respect d’une obligation légale, constatations, exercice ou défense de droits en justice etc.)

  • Le droit au déréférencement

Il est possible de solliciter d’un moteur de recherche (par exemple Google), qu’il supprime certains résultats de recherches associés à vos noms et prénoms.

Attention, cette suppression de résultat ne signifie pas l’effacement du contenu sur internet mais seulement des résultats de recherches pour ces mots clés. Il sera donc possible d’accéder au contenu en utilisant d’autres mots clés de recherches ou en allant directement sur le site.

  • Le droit à la portabilité

Le droit à la portabilité permet à toute personne concernée par un traitement de données personnelles de récupérer une partie de ses données dans un format lisible, pour un usage personnel ou les transmettre à un tiers de son choix.

 

 

Différentes obligations sont à la charge des organismes, privés ou public, traitant des données à caractère personnel.

Afin d’être en conformité avec le RGPD, les organismes doivent notamment :

  • Respecter le principe de protection des données personnelles

Le principe de protection des données à caractère personnel et de la vie privée doit être respecté dès la conception du traitement et par défaut (« privacy by default » / « privacy by design »).

Ce principe se décompose, outre le respect des droits des personnes, en quatre grands principes :

  • Le principe de finalité: les données personnelles ne peuvent être traitées que dans un but précis, légal et légitime.
  • Le principe de proportionnalité et de pertinence : les données personnelles traitées doivent être pertinentes, strictement nécessaires, adéquates et non excessives au regard de la finalité du traitement.
  • Le principe de conservation limitée : les données personnelles ne peuvent être conservées que pour une durée limitée qui doit être fixée en fonction du type d’information concernée et de la finalité du traitement.
  • Le principe de sécurité et de confidentialité : le responsable de traitement doit garantir la sécurité et la confidentialité des données personnelles traitées (accès restreint aux données, respect de l’intégrité des données, protection des données etc.)
  • Tenir un registre des traitements effectués

Le registre des traitements de données à caractère personnel effectués permet de recenser les traitements de données en identifiant avec précision les personnes intervenant dans le traitement, les données traitées, l’utilité des données, les destinataires des données, la durée de conservation des données et leur mode de sécurisation.

  • Documenter la conformité au RGPD

Il appartient aux organismes traitant des données personnelles de se constituer une documentation afin de prouver leur conformité au RGPD.

Le dossier de conformité devra notamment contenir :

  • Le registre des traitements effectués ;
  • Les analyses d’impact relatives à la protection des données pour les traitements concernés ;
  • L’encadrement des transferts de données hors Union européenne ;
  • Les mentions d’information des personnes concernées par les traitements effectués ;
  • Les modèles de recueil du consentement de ces personnes ;
  • Les procédures mises en place pour l’exercice de leurs droits ;
  • Les contrats conclus avec les sous-traitants ;
  • Les procédures internes mises en place en cas de violations de données personnelles.
  • Notifier la violation de données personnelles

Le RGPD impose désormais aux organismes traitant des données à caractère personnelles de traiter en interne les violations des données personnelles et de notifier celles présentant un risque pour les droits et libertés des personnes à la CNIL et, dans certains cas, aux personnes concernées par le traitement.

La violation de données est caractérisée dès lors qu’un traitement de données à caractère personnel a été mis en place et que les données traitées ont fait l’objet d’une violation, accidentelle ou illicite, comme la perte d’intégrité ou de confidentialité de la donnée personnelle.

Il appartient aux organismes, en interne, de déterminer la nature de la violation, les données et personnes concernées par la violation, les conséquences de la violation et les mesures prises ou envisagées pour atténuer les conséquences et/ou éviter qu’une telle violation se reproduise.

L’ensemble de ces informations doit être consigné dans un document qui devra, si la violation présente un risque pour les droits et libertés des personnes, être remis à la CNIL dans les 72 heures suivant la constatation de la violation.

  • Réaliser une étude d’impact des traitements à risque

L’analyse d’impact relative à la protection des données est nécessaire lorsque le traitement envisagé est susceptible, compte tenu de sa nature, sa portée, son contexte et ses finalités, d’engendrer un risque élevé pour les droits et libertés des personnes concernées (par exemple une atteinte à la confidentialité, la disponibilité ou l’intégrité des données traitées).

L’analyse d’impact doit être effectuée avant la mise en œuvre du traitement et contient notamment :

  • Une description des opérations de traitement envisagées et les finalités du traitement ;
  • L’évaluation de la nécessité et proportionnalité des opérations de traitement par rapport aux finalités de celui-ci ;
  • L’évaluation des risques sur les droits et libertés des personnes concernées ;
  • Les mesures envisagées pour faire face aux risques.
  • Désigner un DPO

Dans certains cas, le responsable de traitement et le sous-traitant doivent désigner un délégué à la protection des données (DPO pour « Data Protection Officer »).

Tel est le cas lorsque :

  • Le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
  • Les activités de base du responsable de traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
  • Les activités de base du responsable de traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Bien que pour les autres organismes la désignation ne soit pas obligatoire, elle est vivement encouragée par les autorités car elle permet de confier à une personne disposant d’une expertise technique les actions à mener par l’organisme en matière de données personnelles.

En effet, le DPO est chargé de mettre en œuvre la conformité du responsable de traitement ou du sous-traitant au RGPD et doit notamment :

  • Informer et conseiller l’organisme qui l’a désigné sur les actions à effectuer ;
  • Contrôler le respect du RGPD ;
  • Conseiller l’organisme qui l’a désigné sur l’analyse d’impact à réaliser ;
  • Coopérer avec la CNIL.

Il doit disposer de compétences juridiques et techniques en matière de protection de données personnelles, avoir une bonne connaissance de l’activité de l’organisme et des traitements effectués par celui-ci et pouvoir exercer sa mission de DPO en toute indépendance

  • S’assurer du respect des droits des personnes concernées par les traitements effectués

Les personnes dont les données personnelles sont collectées et traitées disposent de différents droits que le responsable de traitement et le sous-traitant doivent respecter.

L’organisme traitant des données à caractère personnel doit donc s’assurer que des procédures permettant aux personnes concernées par les traitements effectués d’exercer leurs droits sont mises à leur disposition.

 

Le Règlement général sur la protection des données (RGPD) s’applique à tout organisme, public ou privé, traitant des données à caractère personnel pour son compte ou non (sous-traitant) dès lors :

  • Qu’il est établi sur le territoire de l’Union européenne ;

ou

  • Que son activité cible directement de citoyens européens.

Le critère d’applicabilité n’est donc pas celui du lieu d’établissement du responsable du traitement.

Entré en vigueur le 25 mai 2018, le RGPD impose aux organismes traitant des données à caractère personnel un certain nombre d’obligations.

Afin de se mettre en conformité avec le RGPD, les organismes doivent notamment :

  • Désigner un pilote

Dans certains cas, le RGPD impose la désignation d’un délégué à la protection des données personnelles (DPO pour « Data Protection Officer »).

  • Constituer un registre des traitements effectués

Le registre des traitements effectués permet d’avoir une vue d’ensemble sur les traitements opérés. Selon la CNIL, cette cartographie doit permettre de répondre aux questions Qui ? Quoi ? Pourquoi ? Jusqu’à quand ? Comment ?

Elle permet de vérifier l’utilité des données traitées par l’organisme et le respect de ses obligations.

  • Identifier les actions prioritaires

L’organisme doit déterminer s’il respecte ses obligations afin de déterminer les actions devant être menées pour se mettre en conformité avec le RGPD.

  • Gérer les risques

Lorsqu’un traitement de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, il est nécessaire de réaliser une analyse d’impact et ce, avant la mise en œuvre du traitement.

Données Personnelles (RGPD)

Le droit des données à caractère personnel est longtemps resté marginal. Adoptée en 1978, la Loi informatique et libertés s’est emparé de la question de la protection des données à caractère personnel au commencement de la numérisation des activités de la société, que ce soit au niveau de l’Etat ou des foyers.

Au niveau européen, un nouveau cadre juridique renforçant les droits des citoyens européens sur la protection de leurs données à caractère personnels a récemment été mis en œuvre. Entré en vigueur le 25 mai 2018, le règlement général sur la protection des données (RGPD) renforce les droits des personnes et responsabilise les organismes traitant les données à caractère personnel.

Afin de garantir une utilisation des données à caractère personnel respectueuse de la vie privée des personnes concernées les organismes publics ou privés traitant des données à caractère personnel doivent adopter de bon reflexes.

« Toute information se rapportant à une personne physique identifiée ou identifiable » constitue une donnée à caractère personnel.

Une personne peut être identifiée directement (nom, prénom) ou indirectement (numéro de téléphone, numéro client, photographie) à partir d’une seule donnée (numéro de sécurité social) ou par recoupement de données.

Les données suivantes peuvent notamment constituer des données à caractère personnel :

  • Nom, prénom
  • Numéro de téléphone
  • Adresse postale
  • Adresse email
  • Numéro de sécurité sociale
  • Numéro de carte d’identité nationale
  • Adresse IP
  • Eléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale d’une personne (sexe, profession, loisirs, âge etc.)

Les données relatives à l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuse, l’appartenance syndicale, la santé ou la vie d’une personne sont dites « données sensibles » et ne peuvent être recueillies et exploitées qu’avec le consentement explicite de la personne concernée. 

Toute opération effectuée sur des données à caractère personnel, de quelque manière que ce soit (automatique ou manuelle) constitue un traitement de données à caractère personnel.

Ainsi, constituent des traitements de données personnelles la collecte, l’enregistrement, l’organisation, la conservation, la consultation, l’utilisation ou la communication par transmission ou diffusion d’une donnée à caractère personnel.

A titre d’exemple, le fait de tenir un fichier clients, de collecter les coordonnées de clients potentiels à travers un questionnaire ou de mettre à jour un fichier de prestataires est un traitement.

Le traitement de données à caractère personnel n’a pas à être informatisé, les fichiers papiers constituent également des traitements.

Le traitement de données doit avoir une finalité, avoir un but légal et légitime au regard de l’activité professionnelle de la personne l’effectuant.

Le responsable de traitement est la personne, physique ou morale, qui détermine, seule ou conjointement, la finalité et les moyens du traitement.

Le sous-traitant est la personne, physique ou morale, qui traite des données à caractère personnel pour le compte du responsable de traitement.

Le destinataire du traitement est la personne qui reçoit la communication des données à caractère personnel.

Les personnes dont les données sont utilisées par des organismes disposent de différents droits sur leurs données à caractère personnel dont les organismes doivent permettre la mise en œuvre.

  • Le droit d’information

L’organisme traitant des données personnelles doit fournir aux personnes concernées par les traitements effectués une information claire sur la finalité des traitements, l’utilisation faite de leurs données et sur l’exercice de leurs droits.

Il convient notamment d’indiquer aux personnes concernées :

  • Les coordonnées du délégué à la protection des données de l’organisme ;
  • L’utilisation faites des données
  • Les destinataires des traitements
  • La durée de conservation des données
  • Les droits dont la personne dispose
  • L’utilisation des données hors UE
  • Le droit d’opposition

Les personnes peuvent s’opposer à tout moment à l’utilisation de ses données à caractère personnel.

La personne concernée doit mettre en avant les « raisons tenant à sa situation particulière » justifiant sa demande sauf en cas de prospection commerciale à laquelle il est possible de s’opposer sans motif.

L’organisme traitant des données personnelles peut s’opposer à cette demande et continuer à traiter les données s’il dispose de motifs légitimes et impérieux ou s’il justifie que les données en cause sont nécessaires à la constatation, l’exercice ou la défense de droits en justice.

  • Le droit d’accès

Toute personne peut solliciter de l’organisme traitant ses données à caractère personnel qu’il lui communique les données qu’il contient sur elle afin qu’elle puisse en vérifier le contenu, l’exactitude afin, si cela est nécessaire, de les faire rectifier ou effacer.

L’organisme auprès duquel le droit d’accès est exercé doit faire droit à cette demande dans un délai d’un mois pouvant être prorogé à trois mois en raison de la complexité de la demande ou du nombre de demandes reçues.

Dans certains cas, ce droit peut être limité (fichiers de police, gendarmerie ou renseignement, secret des affaires, droits de propriété intellectuelle etc.)

Attention, seules les données relatives à la personne qui en fait la demande peuvent lui être communiquées, aucune données de tiers ne peut lui être transmise.

  • Le droit de rectification

Les personnes concernées par un traitement de données à caractère personnel peuvent demander la rectification des informations inexactes ou incomplètes.

L’organisme auprès duquel le droit de rectification est exercé doit faire droit à cette demande dans un délai d’un mois pouvant être prorogé à trois mois en raison de la complexité de la demande ou du nombre de demandes reçues.

Pour certains fichiers (notamment ceux de police, gendarmerie, renseignement) l’exercice du droit de rectification sera soumis à une procédure différente.

  • Le droit à l’effacement

Toute personne concernée par un traitement de données personnelles peut demander à l’organisme qu’il procède à l’effacement des données à caractère personnel le concernant et ce notamment si :

  • Les données sont utilisées à des fins de prospection ;
  • Les données ne sont plus nécessaires au regard des objectifs pour lesquels elles avaient été collectées ou traitées ;
  • Le consentement sur l’utilisation faite des données est retiré ;
  • Les données ont été collectées alors que la personne était mineure ;
  • L’effacement est justifié par le respect d’une obligation légale.

L’organisme auprès duquel le droit à l’effacement est exercé doit faire droit à cette demande dans un délai d’un mois pouvant être prorogé à trois mois en raison de la complexité de la demande ou du nombre de demandes reçues.

Dans certains cas, ce droit peut être limité (exercice de la liberté d’expression, respect d’une obligation légale, constatations, exercice ou défense de droits en justice etc.)

  • Le droit au déréférencement

Il est possible de solliciter d’un moteur de recherche (par exemple Google), qu’il supprime certains résultats de recherches associés à vos noms et prénoms.

Attention, cette suppression de résultat ne signifie pas l’effacement du contenu sur internet mais seulement des résultats de recherches pour ces mots clés. Il sera donc possible d’accéder au contenu en utilisant d’autres mots clés de recherches ou en allant directement sur le site.

  • Le droit à la portabilité

Le droit à la portabilité permet à toute personne concernée par un traitement de données personnelles de récupérer une partie de ses données dans un format lisible, pour un usage personnel ou les transmettre à un tiers de son choix.

 

 

Différentes obligations sont à la charge des organismes, privés ou public, traitant des données à caractère personnel.

Afin d’être en conformité avec le RGPD, les organismes doivent notamment :

  • Respecter le principe de protection des données personnelles

Le principe de protection des données à caractère personnel et de la vie privée doit être respecté dès la conception du traitement et par défaut (« privacy by default » / « privacy by design »).

Ce principe se décompose, outre le respect des droits des personnes, en quatre grands principes :

  • Le principe de finalité: les données personnelles ne peuvent être traitées que dans un but précis, légal et légitime.
  • Le principe de proportionnalité et de pertinence : les données personnelles traitées doivent être pertinentes, strictement nécessaires, adéquates et non excessives au regard de la finalité du traitement.
  • Le principe de conservation limitée : les données personnelles ne peuvent être conservées que pour une durée limitée qui doit être fixée en fonction du type d’information concernée et de la finalité du traitement.
  • Le principe de sécurité et de confidentialité : le responsable de traitement doit garantir la sécurité et la confidentialité des données personnelles traitées (accès restreint aux données, respect de l’intégrité des données, protection des données etc.)
  • Tenir un registre des traitements effectués

Le registre des traitements de données à caractère personnel effectués permet de recenser les traitements de données en identifiant avec précision les personnes intervenant dans le traitement, les données traitées, l’utilité des données, les destinataires des données, la durée de conservation des données et leur mode de sécurisation.

  • Documenter la conformité au RGPD

Il appartient aux organismes traitant des données personnelles de se constituer une documentation afin de prouver leur conformité au RGPD.

Le dossier de conformité devra notamment contenir :

  • Le registre des traitements effectués ;
  • Les analyses d’impact relatives à la protection des données pour les traitements concernés ;
  • L’encadrement des transferts de données hors Union européenne ;
  • Les mentions d’information des personnes concernées par les traitements effectués ;
  • Les modèles de recueil du consentement de ces personnes ;
  • Les procédures mises en place pour l’exercice de leurs droits ;
  • Les contrats conclus avec les sous-traitants ;
  • Les procédures internes mises en place en cas de violations de données personnelles.
  • Notifier la violation de données personnelles

Le RGPD impose désormais aux organismes traitant des données à caractère personnelles de traiter en interne les violations des données personnelles et de notifier celles présentant un risque pour les droits et libertés des personnes à la CNIL et, dans certains cas, aux personnes concernées par le traitement.

La violation de données est caractérisée dès lors qu’un traitement de données à caractère personnel a été mis en place et que les données traitées ont fait l’objet d’une violation, accidentelle ou illicite, comme la perte d’intégrité ou de confidentialité de la donnée personnelle.

Il appartient aux organismes, en interne, de déterminer la nature de la violation, les données et personnes concernées par la violation, les conséquences de la violation et les mesures prises ou envisagées pour atténuer les conséquences et/ou éviter qu’une telle violation se reproduise.

L’ensemble de ces informations doit être consigné dans un document qui devra, si la violation présente un risque pour les droits et libertés des personnes, être remis à la CNIL dans les 72 heures suivant la constatation de la violation.

  • Réaliser une étude d’impact des traitements à risque

L’analyse d’impact relative à la protection des données est nécessaire lorsque le traitement envisagé est susceptible, compte tenu de sa nature, sa portée, son contexte et ses finalités, d’engendrer un risque élevé pour les droits et libertés des personnes concernées (par exemple une atteinte à la confidentialité, la disponibilité ou l’intégrité des données traitées).

L’analyse d’impact doit être effectuée avant la mise en œuvre du traitement et contient notamment :

  • Une description des opérations de traitement envisagées et les finalités du traitement ;
  • L’évaluation de la nécessité et proportionnalité des opérations de traitement par rapport aux finalités de celui-ci ;
  • L’évaluation des risques sur les droits et libertés des personnes concernées ;
  • Les mesures envisagées pour faire face aux risques.
  • Désigner un DPO

Dans certains cas, le responsable de traitement et le sous-traitant doivent désigner un délégué à la protection des données (DPO pour « Data Protection Officer »).

Tel est le cas lorsque :

  • Le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
  • Les activités de base du responsable de traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
  • Les activités de base du responsable de traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Bien que pour les autres organismes la désignation ne soit pas obligatoire, elle est vivement encouragée par les autorités car elle permet de confier à une personne disposant d’une expertise technique les actions à mener par l’organisme en matière de données personnelles.

En effet, le DPO est chargé de mettre en œuvre la conformité du responsable de traitement ou du sous-traitant au RGPD et doit notamment :

  • Informer et conseiller l’organisme qui l’a désigné sur les actions à effectuer ;
  • Contrôler le respect du RGPD ;
  • Conseiller l’organisme qui l’a désigné sur l’analyse d’impact à réaliser ;
  • Coopérer avec la CNIL.

Il doit disposer de compétences juridiques et techniques en matière de protection de données personnelles, avoir une bonne connaissance de l’activité de l’organisme et des traitements effectués par celui-ci et pouvoir exercer sa mission de DPO en toute indépendance

  • S’assurer du respect des droits des personnes concernées par les traitements effectués

Les personnes dont les données personnelles sont collectées et traitées disposent de différents droits que le responsable de traitement et le sous-traitant doivent respecter.

L’organisme traitant des données à caractère personnel doit donc s’assurer que des procédures permettant aux personnes concernées par les traitements effectués d’exercer leurs droits sont mises à leur disposition.

Le Règlement général sur la protection des données (RGPD) s’applique à tout organisme, public ou privé, traitant des données à caractère personnel pour son compte ou non (sous-traitant) dès lors :

  • Qu’il est établi sur le territoire de l’Union européenne ;

ou

  • Que son activité cible directement de citoyens européens.

Le critère d’applicabilité n’est donc pas celui du lieu d’établissement du responsable du traitement.

Entré en vigueur le 25 mai 2018, le RGPD impose aux organismes traitant des données à caractère personnel un certain nombre d’obligations.

Afin de se mettre en conformité avec le RGPD, les organismes doivent notamment :

  • Désigner un pilote

Dans certains cas, le RGPD impose la désignation d’un délégué à la protection des données personnelles (DPO pour « Data Protection Officer »).

  • Constituer un registre des traitements effectués

Le registre des traitements effectués permet d’avoir une vue d’ensemble sur les traitements opérés. Selon la CNIL, cette cartographie doit permettre de répondre aux questions Qui ? Quoi ? Pourquoi ? Jusqu’à quand ? Comment ?

Elle permet de vérifier l’utilité des données traitées par l’organisme et le respect de ses obligations.

  • Identifier les actions prioritaires

L’organisme doit déterminer s’il respecte ses obligations afin de déterminer les actions devant être menées pour se mettre en conformité avec le RGPD.

  • Gérer les risques

Lorsqu’un traitement de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, il est nécessaire de réaliser une analyse d’impact et ce, avant la mise en œuvre du traitement.

Concurrence déloyale

Si en matière commerciale, le principe est celui de la liberté, certaines pratiques visant à perturber le marché, notamment en adoptant un comportement déloyal envers un concurrent, sont sévèrement sanctionnées par le droit français.

 
La conférence déloyale ne doit pas être confondue avec la concurrence interdite qui renvoie à certaines pratiques strictement prohibées par la loi ou exclues conventionnellement par les parties. 

Une action en concurrence déloyale peut se cumuler avec une action en contrefaçon soit conjointement soit à titre subsidiaire. Lorsqu’elle est exercée conjointement à une action en contrefaçon, il est impératif que des faits distincts de ceux de la contrefaçon existent afin qu’elle soit recevable. 


À titre d’exemples :

  • Une action en contrefaçon de marque
  • Une action en concurrence déloyale fondée sur la captation du logo de la société titulaire de la marque

La concurrence déloyale est réprimée sur le fondement de la responsabilité civile délictuelle régie par les articles 1240 et suivants du Code civil.

 

Pour caractériser la concurrence déloyale, il convient de démontrer la réunion de ces conditions :

  • L’existence d’une faute commise par une société concurrente. Celle-ci sera le plus souvent un acte intentionnel visant à nuire à une entreprise concurrente. Cependant, la faute peut relever d’un acte non intentionnel ;
  • Un préjudice subi par l’entreprise victime des agissements déloyaux ;
  • Un lien de causalité entre la faute commise et le préjudice subi, c’est-à-dire que la faute doit être à l’origine du préjudice subi

Les actes anticoncurrentiels ne seront sanctionnés au titre de la concurrence déloyale uniquement s’ils sont entrepris entre des acteurs économiques concurrents.

 

Seront considérées comme des sociétés concurrentes, les entités qui commercialisent des produits et/ou services identiques ou similaires à destinations d’un même public.

 

La situation de concurrence entre les sociétés s’apprécie également d’un point de vue territorial. Les sociétés en cause doivent donc commercialiser leurs produits et/ou services dans la même zone géographique ou dans des zones proches.

 

  1. La confusion

La reprise, à l’identique ou de façon similaire, par une société concurrente, des signes distinctifs (logo, dénomination sociale, nom de domaine, etc..) d’une autre société est sanctionnée dès lors que cette reprise crée un risque de confusion dans l’esprit du public

 

Le risque de confusion sera constitué lorsque le public ne parvient pas, ou à tout le moins difficilement, à savoir si les produits et/ou services en cause sont commercialisées par la société A ou par la société B

 

Le domaine de l’action en concurrence déloyale pour confusion n’est pas limité aux signes distinctifs mais s’étends à tous les éléments propres à une société (slogan, publicité, etc..).

 

  1. Le dénigrement

Le dénigrement consiste à jeter publiquement le discrédit sur une entreprise ou ses produits et/ou services.

 

  • La désorganisation

La désorganisation peut résulter d’une désorganisation interne de l’entreprise rivale ou d’une désorganisation générale du marché

 

À titre d’illustrations, il peut s’agir :

  • D’un débauchage et abusif des salariés d’une autre entreprise,
  • La révélation de secret de l’entreprise
  • L’espionnage,
  • Le détournement de fichier,
  • La suppression de campagne publicitaire, etc…

La preuve peut être faite par tous moyens.

Néanmoins, afin de se constituer des preuves efficaces, il est conseillé de recourir à un Huissier de Justice afin qu’il constate les faits incriminés.

Les sanctions prononcées sont plurielles.

 

  1. L’obtention de dommages et intérêts

Pour calculer le montant allouée à la société victime de concurrence déloyale, les juges tiennent compte :

  • De la durée des agissements déloyaux ;
  • De l’intensité des agissements déloyaux ;
  • De la perte de chiffre d’affaires occasionnées ;
  • Du manque à gagner ;
  • De l’atteinte à la notoriété du concurrent ;
  • Des bénéfices réalisés par le concurrent, etc…

 

  1. Condamnation à la cessation des actes déloyaux et/ou à la destruction du matériel ayant servi à l’infraction

Le juge peut imposer à l’auteur des agissements déloyaux de cesser ces procédés anticoncurrentiels.

Il peut également ordonner la destruction des produits supports des agissements illégaux.

 

S’il le juge nécessaire, il peut prononcer ces mesures sous astreinte, c’est-à-dire, condamner l’auteur des actes illicites à verser à la victime une somme par jour de retard dans l’exécution de la décision

 

  • La condamnation à la publication du jugement de condamnation dans la presse

La publication de la sanction permettra de rendre publique les pratiques déloyales d’une entreprise sur le marché

Le parasitisme consiste pour une entreprise à indument tirer profit de la notoriété, des investissements, du savoir-faire d’une autre entreprise afin de se placer dans son sillage.

 

L’acte parasitaire sera sanctionné qu’il soit commis par une entreprise concurrente ou non à la différence de l’action en concurrence déloyale qui nécessite que les entreprises soient en concurrence pour être caractérisée.

Le parasitisme est réprimé sur le fondement de la responsabilité civile délictuelle régie par les articles 1240 et suivants du Code civil.

 

Pour caractériser la concurrence déloyale, il convient de démontrer la réunion de ces conditions :

  • L’existence d’une valeur matérielle ou immatérielle (notoriété, investissements importants, savoir-faire, etc…) appartement à la société demanderesse ;
  • L’existence d’une faute commisse par la société qui entend profite des investissements d’une autre. Celle-ci sera le plus souvent un acte intentionnel visant à nuire à une entreprise sur le marché. Cependant, la faute peut relever d’un acte non intentionnel;
  • Un préjudice subi par l’entreprise victime des agissements parasitaires ;
  • Un lien de causalité entre la faute commise et le préjudice subi, c’est-à-dire que la faute doit être à l’origine du préjudice subi

     

    Exemples d’actes parasitaires :

    • Atteinte à la notoriété
    • Usurpation des efforts intellectuels d’autrui
    • Usurpation des investissements financiers d’autrui

La preuve peut être faite par tous moyens.

Néanmoins, afin de se constituer des preuves efficaces, il est conseillé de recourir à un Huissier de Justice afin qu’il constate les faits incriminés.

Les sanctions prononcées sont plurielles.

 

  1. L’obtention de dommages et intérêts

Pour calculer le montant allouée à la société victime de parasitisme, les juges tiennent compte :

  • De la durée des agissements parasitaires ;
  • De l’intensité des agissements parasitaires ;
  • De la perte subie par la victime ;
  • Des bénéfices indûment réalisés par l’auteur des actes illicites, etc…

 

  1. Condamnation à la cessation des actes déloyaux et/ou à la destruction du matériel ayant servi à l’infraction

Le juge peut imposer à l’auteur des agissements parasitaires de cesser ces procédés anticoncurrentiels.

Il peut également ordonner la destruction des produits supports des agissements illégaux.

 

S’il le juge nécessaire, il peut prononcer ces mesures sous astreinte, c’est-à-dire, condamner l’auteur des actes illicites à verser à la victime une somme par jour de retard dans l’exécution de la décision

 

  • La condamnation à la publication du jugement de condamnation dans la presse

La publication de la sanction permettra de rendre publique les pratiques parasitaires d’une entreprise sur le marché