Plusieurs clients nous ont indiqué avoir reçu des courriers leur demandant de régler des sommes d’argent à la suite de la réalisation de formalités légales telles que l’enregistrement de leur société ou le dépôt de leur marque.

Ces courriers émanent de sociétés qui se présentent comme des organismes officiels, à la fois au niveau de la forme mais également du langage.

Il s’agit en réalité d’une tentative d’escroquerie. Jamais un organisme officiel ne demanderait de procéder au paiement de sommes supplémentaires, non identifiées avant le début des formalités.

A la réception de ce type de documents, il convient tout d’abord de chercher si ces sociétés sont affiliées aux organismes. Une recherche sur un moteur de recherche avec le nom de la société et le type de formalité que vous avez réalisé est en général suffisant.

Vous pouvez trouver des exemples des sociétés concernées sur le site de l’Office Européen des Brevets : https://www.epo.org/law-practice/legal-texts/official-journal/2014/04/a42_fr.html

Ces sociétés cultivent la confusion avec les organismes officiels. En effet, leur nom est souvent proche des organismes, soit par l’utilisation des mêmes initiales, soit par des logos ou noms très similaires.

En outre, elles sont fréquemment installées hors de France.

Elles comptent également sur la peur des destinataires des courriers.

Les créateurs d’entreprise ou déposants sont en effet en général menacés de voir leur formalité annulée, sans qu’aucun remboursement ne puisse être demandé.

Ces sociétés peuvent également proposer des services en lien avec la formalité, comme la surveillance de marques similaires, tout en donnant l’impression que ces services sont obligatoires pour le traitement de la formalité.

Seules les sommes demandées par l’organisme officiel pour la formalité sont à régler.

Dans le cas de la création d’une société ou d’une formalité liée à l’entreprise, le prix est généralement indiqué sur le site du Greffe du Tribunal de Commerce concerné.

Dans le cas d’une formalité de propriété intellectuelle, seul l’organisme de dépôt peut vous demander de régler une somme, avant la réalisation de la formalité (par exemple l’INPI, l’EUIPO, l’OMC ou l’OEB).

En conséquence, il est important de ne rien régler à la société qui vous transmet le document.

En cas de doute sur l’authenticité du document, le meilleur moyen reste de contacter l’organisme auprès duquel vous avez réalisé votre formalité. Il pourra vous confirmer s’il s’agit d’une tentative d’escroquerie ou d’une véritable demande. Les greffes sont notamment particulièrement intéressés par ces informations afin d’engager des poursuites.

Il est également possible de déposer plainte pour escroquerie auprès de la direction départementale de la protection des populations ou de la direction départementale de la cohésion sociale et de la protection des populations, mais il est préférable de simplement mettre ces documents à la poubelle. En effet, il n’est pas justifié d’engager le temps et l’argent nécessaire pour une procédure judiciaire pour ces sociétés dont les responsables sont difficiles à identifier, et qui ont tendance à disparaître et réapparaître sous un autre nom.

Lors de la création d’une entreprise, il est souvent nécessaire de prioriser les dépenses. Le dépôt de la marque est une charge financière importante pour une jeune société.

Ces frais sont souvent considérés comme secondaires par rapport au développement du cœur d’activité de l’entreprise, ce qui est compréhensible.

Il est d’autant plus tentant de ne pas procéder à un dépôt de marque si la marque envisagée est identique au nom commercial. En effet, on imagine que ce dernier protège le nom de manière suffisante et que la marque n’est qu’une couche de protection supplémentaire.

Voir la suite : http://www.legavox.fr/blog/maitre-matthieu-pacaud/marque-commercial-utilite-proceder-enregistrement-21570.htm

La procédure SYRELI a été mise en place par l’AFNIC en particulier pour permettre aux titulaires de droits antérieurs (noms de domaines, marques), d’obtenir la suppression ou la transmission de noms de domaine qui portent atteinte à leurs droits.

Elle permet donc de lutter contre le cybersquatting. S’agissant d’une procédure mise en place par l’organisme chargé de la gestion des extensions .fr, il s’agit d’une procédure qui ne s’applique qu’en matière franco-française.

Pour les extensions internationales (.net, .com, .org), la procédure UDRP est applicable.

Préalablement à la mise en oeuvre de ces procédures, il est préférable de tenter de connaître le nom du titulaire du nom de domaine et de tenter d’en obtenir le transfert de manière amiable.

Si vous souhaitez plus d’informations sur la lutte contre le cybersquatting, un article précédent a déjà abordé le sujet.

La procédure SYRELI est ouverte si le nom de domaine, objet du litige, est (article L45 du Code des Postes et des Communications Electroniques) :

• « susceptible de porter atteinte à l’ordre public ou aux bonnes mœurs ou à des droits garantis par la Constitution ou par la loi ; ou
• susceptible de porter atteinte à des droits de propriété intellectuelle ou de la personnalité, et que le titulaire ne justifie pas d’un intérêt légitime et agit de mauvaise foi ; ou
• identique ou apparenté à celui de la République française, d’une collectivité territoriale ou d’un groupement de collectivités territoriales ou d’une institution ou service public national ou local, et que le titulaire ne justifie pas d’un intérêt légitime et agit de mauvaise foi. » 

La procédure suit les étapes suivantes :

• Le demandeur introduit la demande auprès de l’AFNIC,
• Le coût de cette procédure est de 250 euros HT,
• L’AFNIC notifie la demande au titulaire du nom de domaine,
• Le titulaire du nom de domaine dispose de 21 jours pour y répondre,
• L’AFNIC rend sa décision sous 2 mois à compter de la demande initiale,
• En cas de décision favorable, le nom de domaine est transféré au demandeur ou supprimé, la décision étant exécutoire.

Cette infographie explique la durée légale de protection d’une oeuvre par le droit d’auteur, dans le temps, de sa création jusqu’à ce qu’elle tombe dans le domaine public.

Cette durée est de 70 ans à compter de la mort de l’auteur.

Ce schéma ne prend pas en compte les exceptions pouvant donner lieu à la prorogation du délai (par exemple de 30 ans en cas d’auteur mort pour la France).

Cette durée concerne toutes les oeuvres et créations protégées par le droit d’auteur : écrits, photographies, oeuvres audiovisuelles, musique, logiciels, arts plastiques… Même s’il est parfois difficile de le concilier avec la rapidité d’internet, cela concerne également le droit d’auteur sur internet.

Les étapes de la protection d’une oeuvre par le droit d’auteur sont les suivantes :

• Création de l’oeuvre par l’auteur, marquant le début de la protection ante mortem,
• Décès de l’auteur, qui active le délai légal de protection,
• Conformément à l’article L123-1 du Code de la Propriété Intellectuelle, la durée de protection est de 70 ans, débutant au 1er janvier de l’année suivant le décès de l’auteur, au cours de laquelle l’oeuvre est protégée post mortem et appartient aux ayants droit de l’auteur. Ceux-ci sont susceptibles de protéger les droits moraux et patrimoniaux liés à l’oeuvre comme s’ils en étaient l’auteur.
• A l’issue du délai de 70 ans, l’oeuvre appartient au domaine public et peut être utilisée par un tiers, indépendamment d’une quelconque autorisation.
• Des exceptions existent quant à la durée de protection, par exemple en cas d’utilisation d’un pseudonyme ou nom d’emprunt par l’auteur.

Après les articles sur le droit des marques, voilà une première infographie résumant le dépôt de marque française auprès de l’INPI, qui devrait être utile aux créateurs d’entreprises et entrepreneurs, ou à toute personne qui souhaite déposer une marque.

L’objectif de ce schéma est de vous présenter le processus complet de l’enregistrement d’une marque, du début de la réflexion du projet (choix de la marque, choix des produits et services) jusqu’à l’enregistrement par l’INPI.

N’hésitez pas à faire un retour s’il vous a été utile ou si vous avez besoin d’assistance dans votre dépôt de marque.

Les étapes du dépôt de marque sont les suivantes :

• Choix de la marque et des classes de produits ou services visés (qui ne peuvent être modifiés par la suite),
• Recherche d’antériorités pour s’assurer qu’aucune marque tierce ne fait obstacle au dépôt en raison de ses éléments verbaux, figuratifs, ou de ses produits ou services identiques ou similaires,
• Dépôt à l’INPI,
• Publication au BOPI sous six semaines,
• Examen de la marque par l’INPI et échange sur les objections potentielles (modification des produits ou services, limitation),
• En parallèle, période pour former opposition de deux mois à compter de la publication au BOPI (voir notre guide),
  • En cas d’opposition par un tiers, vous pouvez présenter vos observations et l’INPI doit se prononcer dans les six mois qui suivent l’expiration du délai d’opposition.
• En l’absence d’opposition ou si celle-ci est rejetée, la marque est enregistrée par l’INPI.

Ce premier dépôt pourra ensuite être utilisé pour revendiquer un droit de priorité à l’étranger et ainsi disposer d’une date de dépôt antérieur pour une marque seconde.

A la suite de votre dépôt, il convient de ne pas répondre aux sollicitations de sociétés inconnues, qui pourront vous demander de payer des sommes complémentaires pour « améliorer votre dépôt » ou « valider votre dépôt ». Il s’agit de tentatives d’escroquerie qui visent les déposants. Dans ce cas, n’hésitez pas à contacter l’organisme auprès duquel vous avez effectué votre dépôt pour l’informer de la demande que vous avez reçu.

Après les marques (1, 2) et le droit d’auteur, le tour d’horizon des différents droits de propriété intellectuelle qui peuvent protéger les créations des entreprises continue avec la protection accordée aux bases de données.

Les bases de données sont des actifs extrêmement importants pour la majorité des entreprises du digital. En effet, nombre d’entre elles fournissent des services qui sont basés sur l’accès, par abonnement ou  libre mais financé par la publicité, à des bases de données constituées par leurs soins.

La création initiale ainsi que les mises à jour de la base de données nécessitent un effort permanent et un investissement conséquent, que le législateur a protégé sur la base d’une directive communautaire de 1996.

Les bases de données sont protégées à la fois par un droit spécifique, dit sui generis, pour les producteurs, mais également par le droit d’auteur. Les deux protections sont indépendantes et s’exercent sans avoir d’impact l’une sur l’autre.

Tout d’abord, il convient toutefois de s’interroger sur la composition des bases de données protégées.

L’article L112-3 du Code de la Propriété Intellectuelle définit les bases de données de la manière suivante :

« On entend par base de données un recueil d’œuvres, de données ou d’autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou par tout autre moyen. »

L’idée générale est celle d’un regroupement d’informations selon des règles logiques et rationnelles, ensuite mis à disposition par tout moyen à un public.

Toute personne qui souhaite créer une base de données soit s’interroger sur la composition de celle-ci : en effet, elle ne doit pas utiliser des données protégées par un droit de propriété intellectuelle (en l’espèce, généralement le droit d’auteur) sans autorisation, en application de l’article L122-4 du Code de la Propriété Intellectuelle. Les marques, les brevets, voire même les données personnelles peuvent être également concernées et nécessitent l’accord des titulaires de droit.

Toutefois, les exceptions du droit d’auteur sont favorables au producteur de la base : il est possible, sur la base de l’exception de courte citation de l’article L122-5 du Code de la Propriété Intellectuelle, d’intégrer des extraits d’oeuvres protégées par le droit d’auteur à la base de données, sous réserve de citer l’auteur ainsi que la source. Ces citations ont en effet un objectif d’information du public.

Les données intégrées aux bases sont fréquemment produites par l’entreprise qui donne accès au service, ce qui limite par nature le risque en matière de propriété intellectuelle. Elles peuvent aussi être issues d’une autre base de données d’une tierce partie. Dans ce cas, il est nécessaire de disposer des autorisations afin d’éviter de porter atteinte aux droits d’un autre producteur.

Il convient toutefois de réaliser un audit préventif des données intégrées à la base de données afin d’éviter les risques en amont.

La directive du 11 mars 1996 relative à la protection juridique des bases de données, transposée en 1998 en France, garantit un droit sui generis au profit des producteurs de bases de données.

Ce droit vise à assurer la protection d’un investissement dans l’obtention, la vérification, ou la présentation du contenu d’une base de donnée pendant la durée légale de la protection (Article L341-1). Cet investissement est calculé en prenant en compte les « moyens consacrés à la recherche d’éléments existants et à leur rassemblement dans la base de donnée », selon la CJUE dans son arrêt Apis-Hristovich de 2009. La création de contenu n’est en revanche étonnamment pas considérée comme un investissement par la jurisprudence.

La protection porte sur le contenu et pas sur la structure de la base de données, qui elle est protégée par le droit d’auteur.

La durée du droit du producteur est de 15 ans à compter de l’achèvement de la constitution de la base de données et peut être prolongée pour 15 ans si elle fait l’objet d’un investissement substantiel dépassant la simple mise à jour (article L342-5 du Code de la Propriété Intellectuelle).

Les droits bénéficient à la personne physique ou morale qui prend l’initiative et assure le risque des investissements correspondant à la création du contenu d’une base de données (article L341-1 du Code de la Propriété Intellectuelle).

Deux facultés sont garanties au producteur par l’article L342-1 du CPI :

• Interdire l’extraction des données de la base par transfert permanent ou temporaire du contenu ou d’une partie du contenu,
• Interdire la réutilisation du contenu.

Des exceptions sont toutefois prévues par l’article L342-3 du CPI, ce qui inclut, entre autres, que le producteur ne peut pas interdire la copie privée, l’utilisation pédagogique ou éducative, l’extraction et la réutilisation d’une partie non substantielle de la base par une personne qui y a licitement accès.

L’article L343-4 du Code de la Propriété Intellectuelle prévoit une sanction de 3 ans d’emprisonnement et de 300.000 euros d’amende, en cas d’utilisation non autorisée de la base.

La protection du droit d’auteur s’applique de manière classique, sur la base de l’originalité de la présentation de la base de données.

Cela signifie que l’auteur dispose des droits moraux (divulgation, paternité, respect de l’œuvre, retrait et repentir) ainsi que des droits patrimoniaux (exploitation, reproduction, représentation, suite, destination), comme tous les titulaires de droits d’auteur.

Les sanctions applicables sont également celles du droit d’auteur : contrefaçon pouvant justifier des dommages intérêts et responsabilité pénale.

Les éléments protégeables d’une base de données sont ceux liés à la structure de la base de données. Ce sont les éléments d’agencement du contenu.

Le contenu en lui même importe peu pour le droit d’auteur.

Les bases de données constituent des œuvres de l’esprit propres à leur auteur par le choix ou la disposition des matières. Le classement en lui même doit être original pour être protégé par le droit d’auteur : des choix créatifs individuels doivent donc être apparents.

Un simple classement alphabétique ou purement thématique ne sera pas suffisant. L’originalité s’apprécie toutefois au cas par cas.

Acquérir une licence de logiciel d’occasion peut paraître surprenant, en particulier lorsque ce produit est totalement immatériel. Il est en effet difficile d’envisager d’acheter un produit n’ayant pas de support physique de seconde main, le produit d’occasion étant totalement identique au produit neuf.

Toutefois, les règles de l’épuisement des droits permettent, depuis un arrêt de la Cour de Justice de l’Union Européenne du 3 juillet 2012 (C-128-11 UsedSoft c/ Oracle), de revendre un logiciel d’occasion, qu’il dispose d’un support physique ou non.

Cette solution, bien que logique, n’était pas acquise d’avance dès lors qu’elle oppose la protection du droit d’auteur des éditeurs de logiciels aux intérêts des utilisateurs et du libre échange sur le marché communautaire. Elle porte atteinte aux profits des éditeurs mais a pour effet de libéraliser le marché de la vente de logiciel.

Acquérir des logiciels d’occasion est une stratégie qui peut être particulièrement avantageuse sur le plan économique mais qui nécessite de réfléchir de manière approfondie à la gestion du parc logiciel de l’entreprise, notamment en mettant en œuvre le software asset management.

La Cour de Justice de l’Union Européenne indique que le principe d’épuisement du droit de distribution s’applique à la fois à la vente des logiciels sur support matériel, mais également à la distribution dématérialisée par téléchargement sur internet.

Le droit d’épuisement est un concept de droit européen selon lequel la première commercialisation d’un produit sur le territoire communautaire épuise le droit de distribution du produit dans l’Union.

En pratique, cela signifie que l’entreprise qui commercialise le produit ne peut se prévaloir de son monopole d’exploitation que lors de la première vente. Il est ensuite possible pour un tiers de revendre le produit, hors du contrôle du distributeur d’origine, sans qu’il soit porté atteinte à un quelconque droit de propriété intellectuelle.

Historiquement, ce concept s’appliquait plutôt en matière de droit des marques, des dessins et modèles ou brevets, pour des produits tangibles, pouvant circuler de main en main.

De par cette décision, la Cour de Justice de l’Union Européenne étend ce droit aux programmes informatiques, hors la présence de tout support physique.

En conséquence, il est possible de procéder à la revente de logiciels ayant été acquis par téléchargement. Le téléchargement est ainsi considéré comme une première vente, qui met en œuvre l’épuisement des droits.

Les éditeurs ne peuvent donc plus s’y opposer. En conséquence, les clauses d’interdiction de revente qui figurent au sein des licences logicielles sont désormais de facto invalides.

L’acquisition de logiciels d’occasion peut toutefois souvent signifier une baisse des commandes auprès des éditeurs de logiciels.

Cette baisse de commande pourra avoir des conséquences multiples, notamment en matière de négociation commerciale.

Dans un premier temps, les tarifs préférentiels liés au volume d’achat chez les éditeurs de logiciels pourront être moins favorables en cas de commande future. Les éditeurs ne souhaitent logiquement pas favoriser les clients qui limitent leur volume d’achat.

Dans un second temps, les éditeurs n’hésiteront pas à mettre en œuvre les clauses d’audit logiciel qui figurent au sein de leurs licences, pour s’assurer que les licences acquises d’occasion sont bien utilisées de manière conforme. Il est donc nécessaire, avant de faire le choix de l’occasion, de s’assurer que celles-ci seront utilisées dans les règles de l’art et d’être prêt à subir un audit de conformité logicielle.

Il convient également de s’assurer auprès du revendeur que la première copie n’est plus utilisée. En pratique, les plateformes de revente de licence fonctionnent par le biais d’attestations : le vendeur s’engage à désinstaller et ne plus utiliser les licences, et la plateforme s’engage à fournir une licence utilisable à l’acheteur.

En pratique, les licences d’occasion sont vendues à des tarifs très compétitifs par rapport aux licences vendues directement par l’éditeur.

Il s’agit d’une bonne alternative au logiciel libre pour les entreprises qui souhaitent rester dans un écosystème propriétaire, par habitude ou en raison de besoins spécifiques.

Par ailleurs, les éditeurs de logiciels sont tenus de traiter les utilisateurs de licences d’occasion comme des « acquéreurs légitimes » : cela signifie qu’ils ont accès à la maintenance corrective au titre de la garantie légale des vices cachés au même titre que les acheteurs de la licence d’origine, et peuvent télécharger les logiciels correspondant à leurs licences acquises d’occasion sur le site de l’éditeur.

Celui-ci doit également permettre l’accès à la maintenance contractuelle, mais garde une liberté quant aux tarifs applicables.

Toutefois, les logiciels les plus récents sont en général introuvables en occasion. Il est donc intéressant de se tourner vers ce type de plateformes pour des anciennes versions mais beaucoup moins pour des logiciels à jour.

Il peut également être intéressant, afin de lisser le parc informatique de l’entreprise, de revendre les licences non utilisées aux plateformes de revente de logiciels d’occasion, par exemple suite à l’acquisition de nouvelles licences.

Avant de faire le choix d’acquérir des licences d’occasion, il convient donc de s’assurer d’être prêt à gérer les conséquences, notamment en matière de relation avec les éditeurs. Toutefois, les avantages financiers peuvent rapidement rendre pertinente cette politique de gestion du parc logiciel.

La réception d’une lettre de mise en demeure indiquant que votre produit, votre œuvre ou votre marque porte atteinte aux droits d’un tiers et constitue une contrefaçon est un moment difficile à gérer. L’investissement financier et humain sur un projet provoque nécessairement un attachement, et une réaction viscérale lorsque celui-ci est remis en cause par un tiers prétendant disposer de droits sur celui-ci.

Le premier réflexe, totalement humain, est de considérer que le tiers est en tort, et d’ignorer ce courrier. Il s’agirait d’une erreur qui pourrait envenimer la situation.

Il convient de réagir et d’établir une stratégie de manière logique, sans laisser l’affect prendre le dessus.

Cet article a vocation à se placer dans la situation d’un entrepreneur ou d’une personne de bonne foi. En cas de copie volontaire, la conduite à tenir sera bien entendu différente et il est également conseillé de prendre contact rapidement avec un avocat pour être de manière adéquate.

Dans un premier temps, il est nécessaire de vérifier que l’expéditeur de la mise en demeure pour contrefaçon est titulaire des droits et que ceux-ci sont bien contrefaits.

Si tel est le cas, aucune action ne doit être entreprise avant la signature d’une transaction qui encadre la relation entre les deux parties.

Si l’expéditeur n’est à l’inverse pas titulaire de droits ou si ceux-ci ne sont pas contrefaits, une stratégie de défense adéquate doit être mise en œuvre.

Rien ne doit être fait avant d’être certain des droits qui vous sont opposés.

Cette vérification est plus aisée lorsque la mise en demeure est fondée sur le droit des marques, des brevets ou des dessins et modèles, dès lors qu’il sera possible de retrouver le titre fondant la demande.

A l’inverse, dans le cas d’un droit d’auteur, l’absence de dépôt créé une incertitude. Celle-ci peut toutefois être un avantage. En effet, si le prétendu titulaire de droits n’a pas pris le soin de se ménager des preuves de création, il pourra être possible de jouer du doute pour ne pas être considéré comme contrefacteur.

La lettre de mise en demeure doit faire référence aux droits concernés, la charge de la preuve appartenant au titulaire de droit qui estime être lésé.

Il convient dans tous les cas d’effectuer une recherche sur les bases de l’INPI pour essayer d’identifier clairement les droits concernés (à partir de sa raison sociale si vous ne disposez pas d’autre information, par exemple).

Si l’expéditeur du courrier de mise en demeure ne précise pas clairement les droits concernés, il conviendra d’opposer un refus poli à la demande, en l’absence de précision.

Si la contrefaçon est certaine, il est souvent préférable de négocier une sortie amiable plutôt que de tenter sa chance devant les tribunaux.

Aucune action ne doit toutefois être prise pour remédier à l’atteinte avant de disposer d’une transaction signée. En effet, les deux parties s’engagent ainsi mutuellement et peuvent stabiliser leur situation juridique. En l’absence de transaction, rien ne dit que la partie disposant des droits ne pourra pas vous poursuivre même s’il a été mis fin à l’atteinte.

La transaction inclut généralement :

• L’engagement à ne plus porter atteinte aux droits ;
• L’engagement du titulaire des droits de ne pas engager d’action contre le contrefacteur au titre de l’atteinte concernée ;
• Le territoire concerné par la transaction ;
• Une sanction financière en cas de non-respect des engagements de la transaction par le contrefacteur, ainsi que la possibilité de poursuite pour la contrefaçon préalable dans ce cas ;
• Le cas échéant, une indemnisation potentielle de l’atteinte.

Une fois ces éléments fixés et contractualisés entre les deux parties, il convient d’exécuter les engagements et donc de mettre fin à la contrefaçon.

La fin de l’atteinte doit être confirmée par écrit (par lettre recommandée avec accusé de réception, de préférence), afin que la date soit fixée et qu’il ne puisse pas vous être reproché d’avoir tenté de gagner du temps. Une mauvaise exécution de la transaction pourrait vous exposer à une demande de dommages intérêts conséquente, à la fois au titre de la contrefaçon préalable mais également de la non-exécution de la transaction.

Si vous estimez que les droits du tiers ne sont pas pertinents, ou s’ils ne sont pas suffisamment clairs, il convient de vous assurer de disposer de toutes les preuves nécessaires pour vous protéger lors d’un futur contentieux.

L’initiative judiciaire doit bien entendu être laissée au prétendu titulaire de droits. Il n’est pas nécessaire de riposter de manière préventive si celui-ci décide finalement de ne pas engager d’action.

S’il s’agit de droits d’auteur, il conviendra de préparer des preuves de la date de création. Le sujet a été abordé dans un article précédent.

S’il s’agit d’un autre droit de propriété intellectuelle, n’hésitez pas à déposer votre marque, vos brevets ou vos dessins et modèles afin de vous protéger contre de futures attaques par d’autres tiers. Les dates d’antériorité seront bien entendu à prendre en compte, mais mieux vaut disposer d’un titre que d’aucun.

Il pourrait également être pertinent de proposer un accord de coexistence, notamment en matière de marques.

En conclusion, la défense contre une mise en demeure fondée sur la contrefaçon nécessite de sécuriser sa sortie le plus possible, et de se ménager des preuves pour pouvoir sécuriser sa position.

L’appel à un avocat pourra vous aider à mettre de la distance entre l’aspect émotionnel d’une telle situation, et vous assister pour fournir une réponse logique, argumentée et ménageant vos droits.

La blockchain va provoquer l’apparition de nouveaux modèles économiques, qui devront être encadrés juridiquement. Quelques exemples d’applications à réguler.

La suite est disponible ici : http://www.legavox.fr/blog/maitre-matthieu-pacaud/blockchain-terra-incognita-juridique-21313.htm#.V16Xu1ew5p9

DISCLAIMER 2018 : cet article n’est désormais plus à jour. Il convient de se référer à l’article suivant, suite à l’entrée en vigueur du RGPD : http://www.pacaud-avocat.fr/reglement-donnees-personnelles-impact/

Votre plateforme a vocation à mettre en relation des clients avec des professionnels ? Vous fournissez un service en ligne à des consommateurs ? Il vous est vraisemblablement nécessaire d’obtenir des données personnelles de la part de vos clients, quelles qu’elles soient.

La loi Informatique et Libertés, n°78-17 du 6 janvier 1978 organise la collecte et le traitement des données personnelles.

Outre les sujets abordés dans un article précédent, dans un premier temps, il conviendra, sauf dispense, de procéder à une déclaration auprès de la CNIL. Les données devront ensuite être sécurisées, en particulier si le traitement est effectué par une entreprise étrangère. Enfin, des processus doivent permettre au client de contrôler l’usage qui sera fait de ses données, à la fois par l’entreprise qui les collecte mais également par ses sous-traitants.

La collecte de données personnelles doit être déclarée auprès de la CNIL, afin de protéger la vie privée des clients. Il est conseillé de procéder à cette déclaration avant même de débuter la collecte, mais il sera toujours possible de régulariser la situation a posteriori si cela n’a pas été fait.

La CNIL a prévu plusieurs normes, applicables à diverses situations. Celles-ci sont soumises à des régimes différents, à la fois dans leur déclaration mais également leur gestion quotidienne.

Il existe deux, voire trois types de déclaration :

• La déclaration simplifiée, très rapide, qui ne nécessite pas de fournir des éléments techniques ;
• La déclaration normale, qui nécessite de préciser des points par exemple liés à la sécurité des données, aux interconnexions, aux droits d’accès ;
• La dispense de déclaration pour les données les moins sensibles.

Pour les données les plus sensibles, il peut être nécessaire de demander une autorisation à la CNIL. C’est le cas par exemple de la collecte et du traitement de données médicales, dont il sera nécessaire de justifier préalablement la finalité et les modalités (en particulier en matière de sécurité) à la CNIL.

Avant toute déclaration, il conviendra donc de rechercher la norme applicable sur le site de la CNIL, afin d’effectuer la déclaration adéquate.

Cette déclaration est gratuite.

L’entreprise responsable du traitement est également, en toute logique, responsable de la sécurité et de la confidentialité des données personnelles dont elle dispose.

Elle devra prendre toutes les précautions nécessaires afin que l’accès à celles-ci soit sécurisé selon les règles de l’art en vigueur (copies de sauvegarde, sécurité liée aux mots de passe, antivirus, pare-feu…). Elle devra également s’assurer que l’accès soit limité aux seules personnes dont les fonctions nécessitent d’y accéder.

Les sous-traitants devront également s’engager contractuellement à respecter les mêmes règles. Le responsable de traitement reste toutefois garant du respect des normes vis à vis de la CNIL et de la personne dont les données sont manipulées.

Par ailleurs, les données ne doivent en principe pas quitter le territoire de l’Union Européenne. Il est toutefois possible de faire appel à un sous-traitant non-européen, uniquement si celui-ci est soumis à des règles équivalentes aux règles communautaires (principe dit du safe harbour) ou s’engage à les respecter (principe des binding corporate rules – BCR). Le client doit toutefois en être informé dans les documents contractuels, en application du principe de transparence.

Il conviendra par ailleurs de prêter une attention toute particulière à la sécurité des données sensibles, préalablement soumises à autorisation de la CNIL. Cette dernière peut effectuer une enquête lors de la procédure d’autorisation, sur la base des déclarations du client, quant aux mesures de sécurité qui seront appliquées.

La loi Informatique et Libertés prévoit, dans une logique de transparence, que la personne qui fournit ses données doit être informée de la finalité du traitement, et ne peut donner son accord que de manière limitative.

En conséquence, sont uniquement autorisés les usages pour lesquels le client a explicitement donné son accord. Il est ainsi, par exemple, impossible de communiquer les données à un tiers (y compris les sous-traitants) sans autorisation du client.

Les données collectées doivent également être pertinentes quant à la finalité attendue, et la durée du traitement doit être limitée dans le temps, conformément à la durée prévue par la CNIL pour chaque type de fichier.

Il convient donc de prêter une attention particulière aux objectifs de la collecte et du traitement, afin d’en informer le client de manière préalable. En l’absence d’information et d’autorisation donnée par le client, il est interdit d’utiliser les données personnelles.

La Loi Informatique et Libertés garantit le respect des droits fondamentaux aux personnes concernées par les données collectées :

• Le droit d’information, selon lequel une personne peut demander à toute entreprise si celle-ci a collecté ses données personnelles, et, le cas échéant, l’étendue des données collectées.
• Le droit d’opposition, qui permet de s’opposer au fait de figurer dans un fichier et à l’utilisation commerciale des données collectées.
• Le droit d’accès, qui permet à toute personne d’obtenir une copie des données personnelles la concernant, qui sont détenues par l’entreprise. A titre d’exemple, c’est la raison pour laquelle les réseaux sociaux mettent une option à disposition des utilisateurs pour récupérer les données personnelles les concernant sur leur base de données.
• Le droit de rectification, qui permet à toute personne d’obtenir la rectification ou l’effacement des données personnelles qui ont été collectées.

Ces droits doivent donc être traduits dans les documents contractuels conclus entre l’entreprise qui collecte et traite les données, et ses clients.

L’intégralité de ces droits doit y figurer, et des processus adéquats être mis en place afin de permettre aux clients d’échanger avec l’entreprise à ce sujet.

En général, mettre une adresse mail spécifique à disposition du client et prévoir un engagement de réponse dans un délai court (vingt-quatre ou quarante huit heures ouvrées) est suffisant pour respecter les obligations légales.

Le respect de ces quelques bonnes pratiques simples sécurise la relation juridique avec le client, mais également avec la CNIL, et évite une exposition inutile aux sanctions financières et pénales conséquentes prévues par la Loi Informatique et Libertés.

La mise en conformité avec les obligations légales en matière de données personnelles est relativement aisée, et le cabinet peut vous y assister. Il est ainsi possible de les respecter sans véritable investissement financier, quel que soit le stade de développement de votre entreprise.

Il convient de noter que le nouveau règlement en matière de données personnelles va nécessiter d’y prêter une attention encore plus importante.