Vous vous demandez comment déposer une marque et stratégie de dépôt adopter?

Cette démarche, bien que réalisable seul(e), comporte des risques et des subtilités souvent sous-estimées https://levrel-avocat.com/ca-deja-arrive-jai-depose-marque-toute-seule-oui-voila/. Ce guide vous fournira les informations essentielles pour naviguer avec succès dans le processus de dépôt de marque.  Il met l’accent sur les stratégies à mettre en place pour éviter les pièges courants et optimiser la protection de votre marque.

Choix stratégique du nom de la marque

Le choix du nom de votre marque est une décision fondamentale qui influence votre image de marque et la faisabilité du dépôt. Première étape, effectuez une recherche approfondie pour vous assurer que le nom envisagé n’est pas déjà enregistré pour des activités similaires. Utilisez des outils en ligne comme la base de données de l’INPI (https://www.inpi.fr/base-marques) pour vérifier la disponibilité du nom dans votre secteur d’activité. Pensez également à la cohérence avec le nom de domaine internet associé. L’alignement du nom de marque et du nom de domaine (.fr, .com, .eu, etc.) est crucial pour une stratégie de dépôt de marque cohérente et efficace. Ce qui permettra de lancer une campagne de communication sereinement.

Alignement avec le marché et les classes d’activités

Une compréhension claire de votre marché et de vos domaines d’activité est essentielle pour un dépôt de marque efficace. La classification de Nice (https://www.wipo.int/classifications/nice/nclpub/en/fr/?menulang=fr&lang=fr,) qui segmente les différents domaines d’activité en classes spécifiques, est un outil précieux pour déterminer dans quelles classes déposer votre marque. Une marque pertinente et bien positionnée dans les classe adéquates est plus facilement valorisable. Elle est plus protégée contre les actions en déchéance pour non exploitation.

Détermination du déposant dans la stratégie de marque

La décision de déposer la marque en tant que personne physique ou au nom de votre société a des implications à long terme. Si vous êtes seul dans votre entreprise ou si vous avez des associés ou investisseurs, cette décision influence la gestion future des droits de la marque. Le dépôt en nom propre peut offrir des avantages en termes de droits d’auteur et de revenus, tandis que le dépôt au nom de l’entreprise peut simplifier la gestion de la marque dans le cadre de ses activités commerciales.

Types de marque à déposer pour une protection optimale

La nature de votre marque – verbale, figurative ou semi-figurative – détermine l’étendue de la protection. Une fois la demande déposée, il n’est pas possible d’apporter des modifications, comme l’ajout de classes ou de variantes dans le nom. Une marque verbale protège le nom écrit mais pas nécessairement un logo associé, à moins que celui-ci ne fasse également l’objet d’un dépôt.

Conclusion

Le dépôt d’une marque est un processus stratégique qui nécessite une planification minutieuse. En suivant les étapes détaillées dans ce guide, vous vous assurez non seulement d’un dépôt réussi mais aussi d’une protection solide et efficace de votre marque. Prenez le temps de considérer chaque aspect pour garantir le succès de votre démarche.

The post Stratégie de dépôt de marque appeared first on Aurélie Levrel - Avocat à Paris.

The post Sécuriser le cofondateur d’une startup contre une éviction appeared first on Aurélie Levrel - Avocat à Paris.

L’exemple de la cyberattaque Wannacry illustre parfaitement la nécessité de l’actualisation et la sécurisation juridique des systèmes informatiques des startups.

CONTEXTE DE LA CYBERATTAQUE WANNACRY

Entre le 12 et le 13 mai 2017, des dizaines de milliers d’ordinateurs ont été infectés dans une centaine de pays, touchant des organisations et des entreprises, dont Renault par une cyberattaque simultanée à l’aide d’un logiciel de rançon.

Les experts en sécurité ont pointé l’exploitation d’une faiblesse dans les systèmes Windows utilisés par une majorité d’utilisateurs (organisations et entreprises).

(c) Cabinet Levrel

• L’ANSSI[1] l’Agence Nationale de la Sécurité des Systèmes D’information ;
• CERT-FR Centre Gouvernemental de veille, d’alerte et de réponse aux attaques informatique ;
• La BEFTI[2] Brigade D’enquêtes sur les Fraudes aux Technologies de L’Information ;
• L’OCLCTIC l’Office Central de Lutte Contre la Criminalité liée aux Technologies de L’information et de la Communication ;
• Europol le Bureau de la police européenne.

Le CERT-FR qui participe à la mission d’autorité nationale de défense des systèmes d’information de l’ANSSI, a constaté l’apparition d’un nouveau rançongiciel « Wannacryp », aussi désigné sous les noms de : Wannacry, Wcry, Wanna crypt, Wana cryptor, ou Wana decript0r. Ce rançongiciel exploite la vulnérabilité d’un ordinateur ou d’un réseau informatique[3].

Le mode opératoire : Le programme malveillant qui pourrait être diffusé par courriel exploite des vulnérabilités pour se propager. Ces dernières sont celles décrites dans le bulletin de sécurité MS17-010

QU’EST-CE QU’UN RANÇONGICIEL OU RANSOMWARE ?

Un rançongiciel ou ransomware comme Wannacry est un logiciel malveillant qui provoque le chiffrement des fichiers d’ordinateurs (et des fichiers accessibles en écriture sur les dossiers partagés si votre ordinateur est connecté à un réseau informatique) jusqu’au versement d’une rançon, généralement en bitcoins, pour rendre les données à nouveau lisibles ou accessibles certaines fonctionnalités de l’ordinateur. Les autorités recommandent de façon claire de ne pas payer les pirates informatiques parce que cela ne garantit pas que l’accès aux donnés sera restauré.

(c) Cabinet Levrel

SCHEMA DE PROPAGATION DE WANNACRY

Le virus se diffuse par le biais de documents attachés ou de liens renvoyant prétendument vers des sites connus. Ce sont en fait des répliques contenues dans des courriels en apparence envoyés par des individus auxquels l’utilisateur est connecté.

Le programme malveillant serait constitué :

• D’un composant chargé de la propagation via le réseau qui utiliserait une vulnérabilité du service de partage de fichier ;
• D’un rançongiciel/ ransomware.

Pour éviter d’être infecté, il faut appliquer les mêmes règles de précaution contre le phishing (hameçonnage des données personnelles). Dans le doute il faut alors vérifier les adresses URL utilisées sur le site ad hoc, chercher ou demander à l’expéditeur du courriel s’il est bien à l’origine de l’envoi.

La version connue de Wannacry ne vise que les ordinateurs fonctionnant sous Window. Des rançongiciel visant les ordinateurs fonctionnant sous Mac ont cependant fait leur apparition ces dernières années. Des précautions doivent être prises en matière de mises à jour, de sauvegardes régulières et de vigilance à l’égard de la provenance des emails.

EPILOGUE DE LA CYBERATTAQUE

Un jeune britannique de 22 ans connu sous le pseudo « @malwaretechblog » a mis un coup d’arrêt au logiciel en exploitant sa « dépendance au nom de domaine ». Il a découvert qu’un simple achat de nom de domaine, pouvait endiguer la propagation du ransomware.

Le logiciel était conçu de façon à se connecter automatiquement à ce nom de domaine. Si ce dernier de répond pas alors l’opération peut se dérouler comme prévue : il bloque la machine, chiffre les données et exige une rançon. En revanche, s’il répond, alors le logiciel devient inactif. C’est ce qui s’est passé quand le nom de domaine a été enregistré.

• Recommandations de sécurité du CERT-FR

• Appliquer immédiatement les mises à jour de sécurité permettant de corriger les failles exploitées et arrêter la propagation du virus ;
• Limiter l’exploitation du service de partage de fichiers sur internet ;
• De manière préventive, s’il n’est pas possible de mettre à jour le serveur, il est recommandé de l’isoler, voir de l’éteindre le temps d’appliquer les mesures nécessaires ;
• En complément, le CERT-FR recommande la mise à jour des bases de signature d’antivirus.
• Il ne faut surtout pas céder aux hackers/pirates

Certains auteurs de rançongiciels font monter les enchères à mesure que le temps passe. Les spécialistes en sécurité informatique font remarquer que rien ne garantit que l’accès aux données piégées sera rétabli après versement de la rançon exigée.

• Les risques financiers sont réels :

Les cyberattaques ont notamment touché le service public de la santé britannique (NHS), bloquant les ordinateurs de nombreux hôpitaux du pays. Téléfonica en Espagne, Renault en France. L’Australie, la Belgique, l’Allemagne, l’Italie et le Mexique ont également été touchés.

Renault a reconnu samedi 12 mai avoir été touchée par la cyberattaque. Des sites de production du constructeur français ont aussi été mis à l’arrêt notamment à l’usine de Sandouville, en Seine Maritime. Outre les sites en France, l’ANSSI a déclaré qu’une filiale de Renault en Slovénie a été touchée sans victime répertoriée en France.

Le virus a fait plus de 200 000 victimes dans 150 pays dont la France selon Europol[4].

Le Parquet de Paris a ouvert une enquête pour « accès et maintien frauduleux dans des systèmes automatisés de données », « entrave au fonctionnement de ces systèmes », « extorsions et tentatives d’extorsions ».

Bien avant les conséquences d’une cyberattaque, des moyens juridiques existent pour les prévenir.

DROIT PENAL ET SECURITE DES SYSTEMES INFORMATIQUES

Les CTO[5] et les spécialistes du droit de l’informatique ont vocation à travailler ensemble pour l’amélioration et le renforcement des systèmes informatiques.

Pourquoi ? Parce qu’un avocat spécialisé en droit des Nouvelles Technologies de l’Information et de la Communication connait l’arsenal juridique encadrant l’atteinte aux systèmes informatiques et peut de façon générale accompagner les CTO dans la mise en place d’un audit et d’une cartographie des risques afin d’évaluer la sécurité des systèmes informatiques de l’entreprise ou de la Start up et ainsi identifier les risques pouvant affecter le système informatique et collaborer à la mise en place d’un plan d’action.

Comment ?

Avant le risque de cyberattaque :

• Audit des systèmes informatiques : en réalisant un état des lieux des risques liés à l’insécurité informatique, en évaluant les risques et en élaborant un programme de mise en conformité personnalisé, adapté aux secteurs d’activité d’une entreprise ou d’une Start up.

• Cartographie des risques :la réalisation d’une cartographie des risques applicative présentant une vision synthétique, fonctionnelle du système informatique de l’entreprise ou de la startup ainsi que les informations relatives à la fonction de chaque application, et les interfaces et contrôles qui leurs sont associés.

• Plan d’action : Le conseil juridique assistera l’entreprise ou la Start up dans la gestion de crise en cas de failles de sécurité affectant les traitements de données à caractère personnel en évaluant la criticité du sinistre, en élaborant une stratégie de défense, en mettant en œuvre des mesures conservatoires et précontentieuses.

• D’autres éléments sont à prendre en compte dans l’amélioration de la sécurité informatique. Notamment, l’utilisation d’une signature électronique certifiée pour authentifier de façon sécurisée les documents et la mise en place d’une architecture de confiance qui permettrait, la reconnaissance de la validité des actes et contrats électroniques, les évolutions des obligations déclaratives des entreprises ainsi que le développement de la facturation électronique : courrier sécurisé, télétransmis

• Gestion des régulateurs : Le conseil juridique vous accompagnera dans le cadre de contrôles CNIL et de toute autre procédure contentieuse devant les juridictions (prudhommales, commerciales, civiles et pénales).

• Information : Le conseil juridique interviendra également pour sensibiliser le management et les fonctions opérationnelles aux risques liés aux données personnelles afin d’accélérer l’adoption des bonnes pratiques.

Après le risque de cyberattaque :

 La sécurité du patrimoine informatique est digne d’être protégée dans la mesure où les atteintes aux systèmes informatiques font l’objet de sanctions par le droit pénal, avec des incriminations spécifiques. Dans sa vocation dissuasive et répressive, il constitue un instrument essentiel de lutte contre la fraude informatique.

Quelles sont les incriminations prévues, par le droit pénal liées à l’informatique ? A quelles conditions celles-ci peuvent-elles être retenues et quelles sanctions sont susceptibles d’être encourues ?

Il existe dans le code pénal des incriminations spécifiques contre les atteintes aux systèmes de traitement automatiques de données[6] c’est-à-dire le système informatique.

(c) Cabinet Levrel

Le Cabinet Levrel accompagne les startups sur l’ensemble des problématiques stratégiques relatives à la protection, notamment contre le risque de la cybercriminalité et à la valorisation de leur patrimoine informationnel.

Pour en savoir plus, contacter le Cabinet Levrel.

[1] Actualité ANSSI : Alerte campagne de rançongiciel _ Mis à jour 14/05/17

[2] Brigade d’enquête sur les fraudes aux Technologies de l‘Information

[3] Bulletin d’alerte du CERT –FR n°CERTFR-2017-ALE-010

[4] Actualité Europol : Wannacry ransomware : recent cyber-attack, 13 May 2017

[5] Chief Technology Officier

[6] Article 323-1 à article 323-8 du code pénal

The post Ransomware Wannacry : chronique d’une cyberattaque appeared first on Aurélie Levrel - Avocat à Paris.

La gestion des cookies peut être un véritable casse-tête tant la législation sur les données personnelles est importante. Le développement des services de l’information se caractérise par l’introduction de nouveaux services de communication électronique qui offrent de grandes capacités et de vastes possibilités pour le traitement des données à caractère personnel, notamment en dehors des frontières européennes. Le succès du développement de ces services dépend en partie de la confiance qu’auront les utilisateurs que ces services ne porteront pas atteinte à leur vie privée. Force est de constater, que le développement des services de l’information pose avec une plus grande acuité la question du traçage des personnes qui y ont recours.Lorsqu’ils naviguent sur le web ou utilisent des applications mobiles, les utilisateurs sont de plus en plus suivis par différents acteurs. Ce traçage est réalisé par l’intermédiaire de différentes technologies, dont la plus répandue est aujourd’hui celle des « cookies ».

Depuis octobre 2014 le gendarme des droits et libertés sur internet, la CNIL contrôle de façon assidue le respect par les entreprises de la règlementation relative aux cookies : ses audits portent généralement sur la nature des cookies déposés, les modalités d’information du public, la visibilité et la qualité de l’information fournie.

Dans ce contexte, un panorama en 10 leçons vous permettra de vous assurer de la conformité de vos pratiques avec la législation en vigueur.

Définitions :

Cookie : témoin de connexion défini par le protocole de communication http comme étant une suite d’informations envoyée par un serveur HTTP à un client HTTP, que ce dernier retourne lors de chaque interrogation du même serveur HTTP sous certaines conditions ;

La donnée personnelle définie par l’alinéa 2 de l’article 2 de la loi de 1978[1] comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne » ;

Le responsable de traitement : La personne physique ou morale, l’autorité publique, le service ou un organisme qui, seul ou conjointement, détermine les finalités et les moyens du traitement ;

Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;

La gestion de la conformité des cookies à la règlementation CNIL pose notamment les questions pratiques suivantes : Quand faut-il ajouter un bandeau sur son site Web ? Dans quels cas faut-il obtenir un consentement… et quel consentement ? Jusqu’à quel niveau de détails faut-il décrire les marqueurs utilisés ?

Voyons ensemble, les 10 points qui vous permettront d’y recourir conforment à la législation.

1. Comprendre ce qu’est un cookie

Le cookie est l’équivalent d’un fichier texte de petite taille, stocké sur le terminal de l’internaute. Existant depuis 1990 il permet au développeur du site web qui les a déposés, d’identifier et de stocker des informations relatives à la navigation de l’utilisateur sur le web (mots clés utilisés, sites visités, pages visitées et actions réalisées sur ces sites, temps passé, géolocalisation, langue utilisée, etc…) et de conserver des données utilisateurs afin de faciliter la navigation et de permettre certaines fonctionnalités.

Les cookies ont fait l’objet de controverses dans la mesure où ces derniers contiennent des informations personnelles résiduelles pouvant potentiellement être exploités des tiers.

La législation s’applique aux cookies déposés et lus, notamment lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile, quel que soit le système d’exploitation, le navigateur ou le terminal utilisés (par exemple un ordinateur, une tablette, un ordiphone ou smartphone, une télévision connectée, une console de jeux vidéo connectée au réseau internet)[2].

2. Identifier la finalité du dépôt d’un cookie

Cookie de session ou temporaire : cookie éponyme effacé automatiquement dès que l’utilisateur ferme son navigateur ;

Cookie persistant ou traceur : cookie qui reste stocké dans l’équipement terminal de l’utilisateur jusqu’à une date prédéfinie variant de quelque minute à plusieurs années. Ils permettent de tracer la navigation de l’utilisateur sur plusieurs sites différents (au-delà du site initialement visité et qui a donné lieu au dépôt du cookie) ;

Cookie de personnalisation : cookie utilisé pour mémoriser l’information sur l’utilisateur d’un site, dans le but de lui montrer un contenu approprié lors de sa prochaine navigation sur le site. Par exemple, un serveur peut envoyer un cookie contenant le dernier nom d’utilisateur utilisé pour connecter à ce site web, afin que ce nom d’utilisateur puisse être pré-rempli lors des prochaines visites ;

Cookie de pistage : cookie utilisé pour suivre les habitudes de navigation des utilisateurs d’internet. Le pistage peut être fait également en utilisant l’adresse IP de l’ordinateur faisant une requête d’une page ou à l’aide de l’enquête http « référant » que le client envoie à chaque requête, mais les cookies permettent une plus grande précision.

Ex 1 (sans cookie) : si l’utilisateur fait appel à une page d’un site, et que la requête ne contient pas de cookie, le serveur présume que c’est la première page visitée par l’utilisateur. Le serveur crée alors une chaine aléatoire et l’envoie au navigateur en même temps que la page demandée.

Ex 2 (avec cookie) : A partir de ce moment, le cookie sera automatiquement envoyé par le navigateur à chaque fois qu’une nouvelle page du site sera appelée. Le serveur enverra la page comme d’habitude, mais enregistrera aussi l’URL de la page appelée, la date, l’heure de la requête et le cookie dans un fichier de journalisation.

En regardant le fichier de journalisation, il est alors possible de voir quelles pages l’utilisateur a visité et dans quel ordre. Le pistage est généralement utilisé pour des raisons statistiques. Il convient de respecter la réglementation à cause des possibles intrusions dans la vie privée.

Dans la mesure où l’utilisation des cookies peut entrainer une intrusion dans la vie privée des internautes, leur utilisation doit être encadrée. Plusieurs types de cookies nécessitent une information précise et un consentement préalable de l’internaute :

-Les cookies liés aux opérations relatives à la publicité ciblée ;

-Les cookies de mesure d’audience ;

-Les cookies traceurs de réseaux sociaux générés par les « boutons de partage de réseaux sociaux » ; notamment lorsqu’ils collectent des données personnelles sans consentement des personnes concernées [3].

Les cookies analysent la navigation, les déplacements et les habitudes de consultation ou de consommation, afin notamment de proposer des publicités ciblées ou des services personnalisés.

3. Identifier l’auteur du dépôt de cookies

Les cookies sont généralement produits et déposés notamment par les acteurs suivants :

-Les éditeurs de sites, de système d’exploitation, et d’applications ;

-Les régies publicitaires ;

-Les réseaux sociaux ;

-Les éditeurs de solutions de mesure d’audience.

4. Rappel du principe de la confidentialité des données à caractère personnel

Les données relatives au trafic, générées par les communications effectuées au moyen de service de communication électronique sont confidentielles. Il est, par principe, interdit à toute autre personne que l’utilisateur d’écouter, d’intercepter, de stocker les communications et les données relatives au trafic, ou de les soumettre à tout autre moyen d‘interception ou de surveillance, sans le consentement des utilisateurs concernées, sauf lorsque la personne y est légalement autorisée [4].

L’équipement terminal de l’utilisateur d’un réseau de communication électronique ainsi que toute information stockée sur cet équipement relève de la vie privée de l’utilisateur particulier, qui doit être protégé conformément aux dispositions de l’article 8 de la Convention Européenne des Droit de l’Homme. Or les logiciels espions, les pixels invisibles (web bug), les identificateurs cachés et les autres dispositifs analogues peuvent pénétrer dans le terminal de l’utilisateur à son insu afin d’accéder à des informations, stocker des informations cachées ou suivre les activités de l’utilisateur, et porter gravement atteinte à la vie privée de ce dernier. L’utilisation de tels dispositifs ne devrait être autorisé qu’à des fins légitimes, et portée à la connaissance de l’utilisateur concerné sans ambiguïté.

C’est notamment le cas pour les utilisateurs salariés, qui dans le cadre de l’exercice de leur activité professionnelle, sont amenés à utiliser les outils de communication électronique mis à leur disposition par leur employeur dans l’exercice de leurs fonctions. Ainsi, l’employeur pourra surveiller, dans le cadre de son pouvoir disciplinaire, les communications électroniques du salarié sur le réseau de communication électronique de la société ainsi que le contenu des équipements électroniques (terminal, smartphone), sous réserve d’en informer préalablement ses salariés, par la signature d’une charte informatique et/ou la remise d’un exemplaire du règlement intérieur. Une jurisprudence de la CEDH de janvier 2016 confirme ce point, en déclarant que le fait pour un employeur de surveiller les communications électroniques de son salarié n’est pas constitutif d’une violation du droit à la vie privée du salarié :«la Cour estime qu’il n’est pas déraisonnable pour un employeur de vouloir vérifier que ses employés accomplissent leurs tâches professionnelles pendant leurs heures de travail.» [5].

Cependant les dispositifs de ce type, par exemple les témoins de connexion (cookies), peuvent constituer un outil utile pour évaluer l’efficacité de la conception d’un site et de la publicité faite pour ce site, ainsi que pour contrôler l’identité des utilisateurs effectuant des transactions en ligne. Lorsque des dispositifs du type précité, tels que des témoins de connexion, sont destinés à des fins légitimes, par exemple faciliter la fourniture de service de la société de l’information, leur utilisation devraient être autorisée à condition que les utilisateurs se voient donner des informations claires et précises.

5. Recueillir le consentement des utilisateurs

Le consentement peut être donné selon toute modalité appropriée permettant à l’utilisateur d’indiquer ses souhaits librement, de manière spécifique et informée, y compris en cochant une case lorsqu’il visite un site internet[6].

6. Obligation d’information des utilisateurs incombant au responsable de traitement

Les obligations incombant aux responsables de traitement sont les suivantes :

-préciser l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

-préciser la finalité poursuivie par le traitement auquel les données sont destinées ;

-préciser le caractère obligatoire ou facultatif des réponses ;

-préciser les conséquences éventuelles, à son égard, d’un défaut de réponse ;

-préciser les destinataires ou catégories de destinataires des données ;

-préciser les droits qu’elle tient des dispositions de la section 2 du chapitre V de la loi dont celui de définir  des directives relatives au sort de ses données à caractères  personnel après sa mort,

-préciser le cas échéant, les transferts de données à caractère personnel envisagés à destination d’un Etat non membre de l’Union européenne[7]

7. Moment et durée

Le consentement au dépôt des cookies a une durée de treize mois après leur premier dépôt dans l’équipement terminal de l’utilisateur (faisant suite à l’expression du consentement) et leur durée de vie ne doit pas être prolongée lors de nouvelles visites sur le site[8].

8. Conditions du traitement des cookies

Tout traitement de données à caractère personnel doit être effectué licitement et loyalement à l’égard de la personne concernée. Il doit, en particulier, porter sur des données adéquates, pertinentes, et non excessives au regard des finalités poursuivies, qui doivent être explicites et légitimes et déterminées lors de la collecte des données.

Les utilisateurs doivent avoir la possibilité de refuser qu’un témoin de connexion ou un dispositif similaire soit placé sur leur équipement terminal. Ce point est particulièrement important dans le cas où un terminal de connexion est partagé par plusieurs utilisateurs qui peuvent avoir accès aux données sensibles qui y sont stockées.

9. Contrôler la conformité de vos cookies

Information de l’utilisateur

-Indiquer la finalité précise des cookies utilisés ;

-Indiquer la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;

-Indiquer le principe selon lequel la poursuite de la navigation vaut accord du dépôt de cookies sur son terminal.

Critères du bandeau d’informations

-Il doit être transparent, clair et non équivoque ;

-Il doit être apparent jusqu’à la poursuite de la navigation (c’est-à-dire de se rendre sur une autre page ou une clique sur un élément du site) ;

sauf consentement expresse et préalable de l’internaute, le dépôt et la lecture de cookies ne doivent pas être effectués.

10. Effectuer une déclaration auprès de la CNIL

En France, l’utilisation de cookies est incontestablement un moyen de collecter des informations nominatives débouchant sur un traitement automatisé et doit en conséquence faire l’objet d’une déclaration auprès de la Commission Nationale Informatique et Liberté (CNIL) en vertu de la loi no 78-17 du 6 janvier 1978 . Très tôt, cette autorité a émis des avis sur l’emploi des cookies et précisé les obligations pesant sur les utilisateurs de ces techniques.

Le responsable de traitement doit veiller, sous peine d’être sanctionné de 5 ans d’emprisonnement et 300.000 euros d’amende, le collecteur de données doit veiller :

— à ne pas commettre un détournement de la finalité déclarée du traitement ;

— à ne pas collecter les données par un moyen frauduleux, déloyal ou illicite, et à ne pas procéder à leur traitement malgré l’opposition légitime du consommateur ;

— à ne pas collecter les données relatives à la vie privée, aux origines raciales, aux opinions politiques, philosophiques ou religieuses, aux appartenances syndicales, à la santé, aux mœurs, sans le consentement exprès du consommateur.

La CNIL peut prononcer :

— des avertissements qu’elle peut également rendre publics ;

— des sanctions pécuniaires si « le montant de la sanction pécuniaire prévue est proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement » ;

— toutes mesures permettant de faire cesser l’infraction constatée[9]

L’information à fournir aux utilisateurs concernant les cookies doit ainsi être rédigée avec soin et ne saurait se réduire à une annonce générale relative à l’existence desdits cookies. Une analyse circonstanciée est nécessaire puisqu’il n’existe pas de message type. Chaque information doit être adaptée au cas par cas en fonction du type de cookies utilisé et des finalités poursuivies. La difficulté réside dans la manière de fournir cette information, potentiellement dense, de manière conviviale et suffisamment claire, précise et visible pour les utilisateurs.

Pour vous accompagner dans cet étape, n’hésitez pas à contacter votre conseil juridique.

Pour aller plus loin…. Contactez le Cabinet Levrel

[1]Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertéstelle que modifié par la loi n° 20014-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel

[2]Article 1 Délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978  _ l n’y a dans la recommandation aucune injonction, même s’il est clair que l’on peut considérer comme de bonne politique de s’y conformer, la CNIL qui juge la loi violée pouvant toujours saisir les autorités judiciaires

[3] Cette liste n’est pas exhaustive

[4]Alinéa 1 article 5 de la DIRECTIVE 2002/58/CE DU PARLEMENT EUROPÉEN ET DU CONSEIL du 12 juillet 2002 concernant le traitement des données à caractères personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)

[5]Arrêt CEDH du 12/01/16 Requête n° 61496/08 Affaire Barbulescu c. Roumanie

[6] Considérant 17 de la directive vie privée et communications électroniques

[7]Art. 32. – I. – La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant :

Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°.

[8]Article 5 Délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978 

[9]Article 7 de la loi du 6 août 2004, modifiant le chapitre VII de la loi de la loi du 6 janvier 1978

The post Le casse-tête des cookies géré en 10 leçons appeared first on Aurélie Levrel - Avocat à Paris.

« Ça vous est déjà arrivé ? »

 
Compilation des faux-pas juridiques des start-uppeurs sous forme de billet d’humeur.

Cette semaine dans notre billet d’humeur, « Ça vous est déjà arrivé ? » : j’ai déposé ma marque tout(e) seul(e), oui mais, voilà….

Le dépôt de la marque de ma start up

Vous êtes une start up en développement, et vous vous êtes certainement retrouvés dans cette situation dans laquelle, pour un nombre de raisons qui vous appartiennent, mais le plus souvent pour des raisons de coût et d’argent ; vous vous êtes dit : « je crée ma start up je dépose ma marque tout seul, je peux le faire, pas de souci »

Dans l’absolu oui il n’y a pas de souci, mais dans la pratique que se passe-t-il?

La forme de la marque

Comme beaucoup, vous avez travaillé et créé la marque que vous voulez déposer sans vérifier si la forme choisie (mot, nom, slogan, chiffre, lettre, dessin, logo) présente un caractère distinctif, et donc peut faire l’objet d’une protection par l’Institut National de la Propriété Industrielle (INPI).

Est-ce que la forme sous laquelle je veux enregistrer ma marque peut faire l’objet d’un dépôt?

Inutile de payer pour un dépôt pouvant faire l’objet d’un rejet total ou partiel d’enregistrement, suite à l’examen de celui-ci ou à l’issue d’une procédure d’opposition, sans vous assurer de la faisabilité et de la validité du dépôt.

En pratique que peut- il m’arriver avant l’enregistrement ?

 
Période d’observation (durée 2 mois) :  l’INPI peut demander une régularisation et/ou si la régularisation n’est pas suffisante ou satisfaisante, il pourra décider du rejet partiel du dépôt.

Dans ce cas-là, une demande divisionnaire permettra d’enregistrer la partie qui n’est pas visée par l’opposition sans attendre le règlement du litige.
 

Quel risque pour l’exploitation de la marque ?

Ici le risque financier existe mais reste mitigé, car il faut compter entre 27 et 52 € pour la procédure de renonciation, le risque immédiat est le temps, car tant que l’enregistrement n’est pas définitivement acquis et l’exploitation commerciale de la marque peut être sujet à contestation. Plus vous exploitez une marque non protégée plus le risque d’exploitation lié à son utilisation est élevé pour la start-up.

Post-observation (durée 6mois) : L’INPI ou le titulaire d’un droit antérieur peut former une opposition dans un délai de deux mois à compter du dépôt. A l’issue de ces deux mois, court un délai de six mois pour statuer sur l’opposition.

En pratique que peut-il m’arriver après l’enregistrement ?

Si l’enregistrement est accepté, il peut toujours faire l’objet d’une demande en annulation par le Ministère public ou par le propriétaire de droit antérieur. Ce droit d’action dure cinq ans à compter de l’enregistrement.

Le choix des classes

 
J’ai déposé ma marque pour l’exploitation commerciale de mon produit ou de mon service. J’ai l’impression d’avoir compris le procédé et les modalités de dépôt. Par contre, je ne me suis pas interrogé sur l’ensemble des activités que je comptais exercer dans le cadre de l’exploitation commerciale de ma startup.

En pratique comment le choix des classes peut affecter la protection de ma marque ?

L’enregistrement de la marque confère à son titulaire un droit de propriété sur cette marque pour les produits et services qu’il a désignés. C’est la raison pour laquelle, il convient d’attacher une attention particulière au choix des classes au moment de la demande d’enregistrement.

Même si le site de l’INPI donne des informations pour accompagner les start-uppeurs dans le dépôt de la marque, ces dernières peuvent être mal interprétées.

1. Comment choisir la classe et pourquoi est-ce important ?

Les classes permettent d’associer la protection de la marque aux produits et/ou services auxquels elle s’applique. Pour une protection efficace de votre marque, il est impératif de se poser la question de savoir quelle est votre activité et comment elle est réalisée.

Une fois cette question posée, vous pourrez plus facilement déterminer le choix des classes pertinentes dans votre formulaire de dépôt.

Par exemple, si votre activité concerne la vente de produits de bouche.

Il est intéressant de se demander quel produit vous allez mettre en vente. Ainsi, des sandwichs fait maisons, correspondent à la catégorie « Produits » de la classe 30, mais il est fort à penser que vous allez également y associer, sur le plan des services accessoires à votre activité principale le service de traiteur pour exploiter commercialement la fabrication desdits sandwichs, ce qui correspond à la classe 43.

Lorsque votre start-up développe une activité de services, il faut alors bien réfléchir aux classes représentant vos activités.

2. Je n’ai sélectionné qu’une classe parce que je pensais que si j’en choisissais une autre cela allait me coûter plus cher, je m’aperçois après le dépôt que ma start up développe aussi des activités accessoires, que je n’avais pas prévu ou compris. Que faire ?

Après le dépôt mais avant l’enregistrement, il est possible de modifier les classes de produits et services :

Vous pouvez toujours réduire la portée de votre marque, mais jamais l’élargir. Ainsi :

• La suppression de produits et services est autorisée à tout moment, et aussi lors du renouvellement. Vous pouvez supprimer des classes entières ou seulement certains produits ou services qui ne vous intéressent plus.

• La précision de produits ou services : vous pouvez également préciser certains produits ou services, toujours à condition que cela entraine une restriction de la protection de votre marque. Par exemple, votre marque visait les fruits et légumes, et vous décidez de limiter la protection aux fruits et légumes bio

Une fois le dépôt effectué, vous ne pourrez pas rajouter des classes ou des produits/services pour une marque déjà déposée. En cas d’oubli, vous devrez alors procéder à un nouveau dépôt pour ces produits et/ou services manquants.

Le risque est de devoir payer un nouveau dépôt.

Le suivi de la marque

Ma marque est déposée, je l’exploite commercialement dans le cadre du développement de ma start up. Dix ans s’écoulent et j’oublie de renouveler ma marque ou je la modifie sans communiquer cette modification à l’INPI.

En pratique que se passe-t-il ?

Si la marque ne comporte ni modification du signe ni extension de la liste des produits ou services, alors l’enregistrement peut être renouvelé. A contrario, toute modification du signe ou extension de la liste des produits ou services désignés doit faire l’objet d’un nouveau dépôt, et donc d’un paiement de frais d’enregistrement auprès de l’INPI.

L’absence de renouvellement, à l’issu des 10 ans de protection, pourrait exposer la marque à un risque reproduction qui ne sera plus susceptible d’être protégé par l’action en contrefaçon. On parle de déchéance de la protection de la marque.

Au bout de 10 ans d’exploitation, on peut imaginer que la valeur qu’aura acquis cet actif pour votre start-up sera substantielle ou proportionnelle à son développement et cela pourrait affecter le bon déroulement les prochaines étapes de son développement telles que la levée de fond et/ou de l’exploitation des licences d’utilisation.

L’exploitation de la marque

Pour des raisons de temps et de complexité certains choix ont des conséquences juridiques désastreuses. Protéger votre marque vous permet de créer de la valeur et protéger cet actif qui sera valorisable proportionnellement au développement et à la croissance de votre start-up, notamment au moment des levées de fond.

Ne prenez donc pas de risques inutiles, chronophage et couteux en effectuant des choix malheureux, consultez d’abord votre avocat.

The post Ca vous est déjà arrivé? J’ai déposé ma marque tout(e) seul(e), oui mais voilà… appeared first on Aurélie Levrel - Avocat à Paris.

Dans un monde où la communication est principalement régie par internet, les données de connexion jouent un rôle dans l’identification des individus et dans le traitement qui peut leur être appliqué.

L’adresse IP, en tant de donnée de connexion, joue un rôle majeur dans notre vie quotidienne puisqu’elle permet d’identifier l’utilisateur d’un poste informatique qui se connecte à internet.

Mais l’adresse IP est-elle une donnée personnelle et si oui, quels impacts cela implique-t-il dans la vie quotidienne de l’entreprise ?

Définitions :

 
L’adresse IP se définit comme un numéro d’identification (une succession de chiffre) qui est attribué de façon permanente ou provisoire à chaque appareil connecté à un réseau informatique utilisant l’Internet Protocol (famille de protocoles de communication de réseau informatique conçus pour être utilisés sur internet).

La donnée personnelle est, aujourd’hui, définie par l’article 2 alinéa 2 de la loi de 1978[1] comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».

La reconnaissance européenne de l’IP en tant que DCP

L’adresse IP est importante en ce qu’elle permet aux ordinateurs de communiquer à travers le même langage appelé « Transmission control protocol – Internet protocol ». Chaque ordinateur est identifié par une adresse précise, donc, l’adresse IP.

En effet s’il est impossible d’identifier un utilisateur à partir d’un ordinateur public (bibliothèque, cybercafé), il est plus facile d’identifier un utilisateur à partir d’une connexion permanente (domicile ou professionnel); Pour utiliser sa connexion , l’usager a dû, au préalable, remplir un formulaire en y laissant des informations sur sa personne (nom, prénom, adresse, âge, parfois coordonnées bancaires) Il est dès lors très facile pour le fournisseur d’accès internet (FAI) de savoir qui utilise l’ordinateur à un moment donné en faisant des croisements des adresses IP actives. Dans ce contexte l’IP peut être considéré comme une donnée indirectement nominative.

Chaque ordinateur qui se connecte à internet reçoit une adresse IP unique qui permet de le retrouver parmi l’ensemble des ordinateurs connectés ou de remonter l’expéditeur d’un message.

Chaque ordinateur connecté à internet est identifié par cette adresse qui rend traçable toute sa circulation sur le réseau (net).

Dans le cadre de l’utilisation quotidienne d’internet, l’adresse IP apparait dans chaque communication :

Par exemple, lorsqu’un usager se connecte sur un site, il adresse une requête au terminal hébergeant les données de la page demandée. Pour que cette communication puisse aboutir, il convient de connaitre l’adresse exacte du site (ou l’adresse IP du terminal destinataire de la requête) et que ce dernier soit en mesure de déterminer aussi où envoyer sa réponse (l’adresse IP du terminal de l’usager).

Le nom de domaine est une suite tripartie de signes composé d’un préfixe (www), d’un radical composé au minimum de 2 et au maximum de 63 caractères qui sont des lettres de (A à Z) et/ou des chiffres de (0 à 9), séparés ou non d’un tiret, et d’un suffixe appelé Top LEVEL Domain ou TDL, c’est-à-dire l’extension. Le nom de domaine a pour fonction d’identifier, d’une part un site internet dont il personnalise l’adresse de protocole internet (IP) et d’autre part l’entité titulaire du site qui utilise le réseau internet comme de promotion d’une activité : www.lxd-avocat.com.

Ainsi l’usager n’a plus à saisir l’adresse IP du terminal mais simplement le nom de domaine de celui-ci.

L’adresse IP a, rapidement, été reconnue comme une donnée à caractère personnel par les instances communautaires et ce de façon très claire puisque l’article 26 de la directive 95/46[2] indique que des données revêtent un caractère personnel à partir du moment où une personne utilisant des moyens raisonnables peut établir un lien avec l’identité de la personne objet des données.

Puisque le fournisseur de services peut toujours établir un lien entre l’identité de l’abonné et l’adresse IP, alors cette dernière devient une donnée à caractère personnel indirecte quand bien même l’ordinateur d’un foyer serait utilisé par plusieurs personnes.

L’évolution chaotique de la jurisprudence française vers la conception européenne

La question s’est posée en France de savoir si l’adresse IP constitue en soi une donnée à caractère personnel qui doit être protégée ?

Cette question a été soumise au groupe de travail sur la protection des données de la Commission européenne appelé le groupe « article 29 »[3] qui considère que l’adresse IP constitue bien une donnée à caractère personnel[4] au sens de la directive 95, remplacée par le Règlement 2016[5] lequel prévoit sans équivoque en ses considérants 26 et 30 que l’adresse IP constitue bien une donnée à caractère personnel.

La CNIL relayant la position du G29 en France, à son tour, a très vite considéré l’adresse IP comme une donnée personnelle[6].

Cependant, la jurisprudence française semblait hésiter à entériner cette position.

En effet, tandis que l’acceptation de l’adresse IP en tant que donnée à caractère personnel au niveau de l’Union européenne et de l’autorité de contrôle est accepté sans équivoque, la jurisprudence française a fait l’objet de nombreux atermoiements durant une dizaine d’années avant de se positionner fermement et définitivement en 2016 :

En France, jusqu’en 2016, le postulat était de dire que toutes les adresses IP ne permettent pas d’identifier, même de manière indirecte, une personne physique, puisqu’elles peuvent identifier des robots, des passerelles, ou des serveurs[7].  S’appuyant sur l’absence (de volonté ?) de régime juridique, ou de définition légale de l’adresse IP, ne permettant pas de qualifier l’adresse IP de donnée à caractère personnel conformément aux dispositions de la loi de 1978 notamment grâce au critère déterminant qu’est la possibilité d’identification, directe ou indirecte d’une personne physique.

Face à ce constat, c’est la jurisprudence qui pallie à l’inertie du législateur et tente d’apporter des réponses aux opérateurs économiques, pour le moins hétérogènes.

La question de l’adresse IP recouvre des situation d’une grande diversité qui sont, chacune, susceptible d’être qualifiées juridiquement de manière diamétralement opposée en fonction du contexte et des faits portés devant le juge. Pour cette raison, la jurisprudence fluctue et les juges répondent de manières différentes en fonction des faits qui sont soumis à leur interprétation.

Dans un arrêt du 13 janvier 2009[8], la Cour de cassation n’a pas pris position sur cette question controversée considérant que les « constations visuelles » et l’accès « manuel » d’un agent assermenté à des données relatives à une infraction et ceci sans recours d’aucune sorte à « un traitement préalable de surveillance automatisé » « ne constitue pas un traitement de données à caractère personnel ». Façon élégante et détournée de ne pas prendre position sur cette question.

(TGI Saint-Brieuc 6 sept. 2007, Ministère public, SCPP, SACEM c/ J. -P. ; TGI Paris, 3e Ch. 24 juin 2009, Jean-Yves L. c/ Google ; CA Rennes, 23 juin 2008, n° 07/0121). Mais dans d’autres, ils lui refusent la qualification de donnée à caractère personnel (Paris, 13e ch. A, 15 mai 2007, H. S. c/ SCPP ; Crim. 13 janv. 2009, n° 08-84.088)

L’acceptation française de la conception européenne de l’IP

Si le Tribunal de Grande Instance de Paris a clairement conféré la qualité de donnée personnelle à l’adresse IP[9] ; la Cour d’appel de Rennes qui dans une décision de 2015[10] considère que l’adresse IP étant constituée d’une série de chiffres se rapportant à un ordinateur et non à un utilisateur peut être considérée comme une donnée personnelle même indirecte. « le simple relevé d’une adresse IP aux fins de localiser un fournisseur d’accès ne constitue pas un traitement automatisé de données à caractère personnel au sens des articles 2, 9 et 25 de la loi Informatique et Libertés du 6 janvier 1978. L’adresse IP est constituée d’une série de chiffres, n’est pas une donnée, même indirectement nominative alors qu’elle ne se rapporte qu’à un ordinateur et non à l’utilisateur. La loi en question vise en outre les personnes physiques, identifiées directement ou indirectement. Les adresses IP peuvent être attribuées à des personnes morales et la conservation de ces données ne relève alors en tout état de cause pas de ces dispositions légales. Le fait de conserver, en vue de la découverte ultérieure des auteurs de pénétrations non autorisées […] sur un réseau informatique d’entreprise, sans qu’aucun lien entre ces adresses et des personnes ne soit fait, ne constitue pas un traitement de données à caractère personnel »

Les décisions de la Cour de Cassation ainsi que la Cour d’appel de Rennes entrent pourtant clairement en contradiction avec la conception défendue par la Cour de Justice de l’Union Européenne (CJUE)[11] qui a une appréciation extensive et donc envisage de façon claire et non équivoque les adresses IP comme des données personnelles car «elles permettent l’identification précise des utilisateurs ».

Cette absence d’harmonisation des jurisprudences étant sources d’insécurité juridique pour les opérateurs économiques; la Cour cassation par une décision du 3 novembre 2016[12] est venue mettre un terme à cette cacophonie juridique en affirmant très clairement que « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL »

Ceci, dans une affaire dans laquelle une société découvre sur son réseau informatique interne la connexion d’ordinateurs extérieurs au groupe, mais faisant un usage de code d’accès réservés aux administrateurs du site internet de la société. La société a donc introduit une requête afin que les Fournisseurs d’Accès Internet (FAI) leur communiquent les identités des titulaires des adresses IP utilisées pour les connexions litigieuses.

La société concurrente a, de son côté, contesté l’ordonnance confirmée en appel devant la CA de Rennes en invoquant l’illicéité de la mesure d’instruction sollicitée au motif selon elle que le Tribunal de commerce lui apparaissait incompétent s’agissant d’une demande portant sur la communication de donnée à caractère personnel et soumises au régime strict de la loi informatique et liberté.

La Cour accueille cet argument et casse l’arrêt rendu par la CA de rennes, mettant ainsi fin à un feuilleton judiciaire sur le nature de l’IP.
 

Mais quel est l’impact de sur la vie quotidienne des entreprises ?

Certaines coordonnées professionnelles sont des données personnelles. Le nom ainsi que les coordonnées des personnes physiques sont bien sûr considérées comme telles.

La question se pose néanmoins pour l’adresse IP dans la sphère professionnelle.

Et qu’en est-il de la validité et des critères à respecter d’un traitement consistant à rapprocher l’analyse du contenu d’un poste informatique et l’identité de l’utilisateur habituel de ce poste informatique ?

Le Conseil d’Etat semble avoir répondu concrètement à ce cas considérant que ce traitement est bien un traitement de données à caractère personnel[13]. Peu importe que la société ait ou non le pouvoir de lever le cryptage des données ou qu’elle collecte les données à raison de leur contenu et non de l’utilisateur de l’ordinateur.

L’adresse IP du salarié est une donnée personnelle devant faire l’objet de précautions particulières.

L’enjeux pour les entreprises :

L’évolution de la jurisprudence permettra une avancée notable dans un domaine, la fraude, qui ne cesse de croître. Les dirigeants d’entreprises seront ainsi capables de mieux se protéger contre la fraude de manière autonome, l’adresse IP constituant un traitement de donnée à caractère personnel.

Dans l’intervalle d’une évolution législative et/ ou jurisprudentielle, il conviendrait d’encadrer l’utilisation du réseau informatique de l’entreprise en en s’assurant de la mise en place d’un réseau informatique puissant, limitant l’accès à certaines parties du réseau informatique uniquement aux salariés qui ont besoin d’en connaître, en bloquant l’accès aux sites portant atteintes aux bonnes mœurs, ou à tout le moins par la signature d’une charte informatique sur les conditions d’usage des terminaux professionnels pendant les heures de travail.

Pour aller plus loin…. Contactez le Cabinet Levrel

[1][1] Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

telle que modifié par la loi n° 20014-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitments de données à caractère personnel

[2]Directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[3]Groupe de travail article 29

[4]Délibération 2006-294 du 21 décembre 2006

[5]Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données

[6]CNIL, 17è rapport d’activité 1996 : « les données qui semblent les moins nominatives des couches TCP et IP du réseau (…) et qui de surcroît ne sont pas directement visibles, sont les plus « sûres » : elles concernent forcément l’utilisateur ou un des utilisateurs de l’ordinateur qui est parfaitement identifié en tant que machine ».

[7]Question écrite n°21517 publié au JO le 19/03 /2013 page 3019, réponse publiée au JO le :10/11/2015 page : 8206

[8]Cass. Crim. 13/1/2009, n°08-84.088.

[9]TGI Paris 24/6/2009, RLDI 2009/51, n°1686.

[10]CA Rennes, Ch. Com. 28/4/2015, n°14/05708, SARL Cabinet Peterson c/ SARL Groupe Logisneuf, SARL C-Invest, SARL European Soft.

[11]CJUE 24/11/2011, Scarlet Extended, C-70/10.

[12]Cass. Civ 1^ère 3/11/2016, n°15-22.595, publié

[13]CE 11/5/2015, n° 375669.

The post L’adresse IP une donnée personnelle ? appeared first on Aurélie Levrel - Avocat à Paris.

Dans un monde économique où la concurrence est exacerbée, le savoir-faire développé conditionne un avantage concurrentiel. Cet article a pour objet de faire un tour d’horizon des comportements à risque, desquels peuvent résulter des fuites, des pertes, des divulgations ou des vols de données confidentielles, et les bonnes pratiques à déployer pour sensibiliser les équipes à la sécurité de l’information et de l’innovation.
 

Définitions :

Développement commercial : ensemble des actions commerciales visant à rechercher de nouveaux prospects et conquérir des nouveaux marchés via une stratégie marketing.

Sécurité juridique de l’innovation : ensemble des actions juridiques visant à sécuriser le patrimoine informationnel d’une entité durant la phase de développement commercial.

Contexte de survenance du risque :

Technique de vente, négociation commerciale, prospection commerciale sont autant d’actes commerciaux nécessaires au développement des startups.
Mais le manque de sécurisation juridique en amont qui prendrait en compte un préjudice potentiel à postériori peut engendrer des risques importants pour une jeune pousse en lancement.

Par exemple dans le cas d’un rapport commercial entre un client et un fournisseur :

D’un point de vue client, les systèmes informatiques sont conçus pour gérer les informations de l’entreprise et dont un certain nombre peut avoir un caractère confidentiel ou stratégique pour cette dernière. L’entreprise cliente, dans le cadre de pourparlers contractuels, sera vraisemblablement appelée à communiquer à son partenaire commercial certaines informations confidentielles.

Le fournisseur, quant à lui, pour certains projets d’informatisation, pourra diffuser différents aspects de son savoir-faire ou des informations relatives à des produits ou développements futurs ainsi que les prix des services fournis.

Par conséquent, chacun des partenaires devra veiller, d’une part à contrôler la confidentialité des informations qu’il transmet et, d’autre part, à respecter le secret des informations qui lui sont confiées pendant la négociation.

Il est donc fortement conseillé, avant toute transmission d’information confidentielle, de signer un accord de confidentialité ou simplement d’insérer une clause de confidentialité dans l’avant-contrat ou la proposition commerciale. L’accord de confidentialité, engendre une obligation de ne pas divulguer à des tiers le contenu de la négociation en cours, ou le contenu des informations transmises durant la négociation.

Différent documents techniques, financiers ou juridiques pourront être échangés par les partenaires commerciaux durant cette phase précontractuelle et leur contenu sera amené à évoluer au fil des discussions. Les partenaires devront veiller, lors de la signature du contrat, à s’accorder sur la valeur contractuelle de ces documents et, éventuellement, exclure certains écrits du périmètre du contrat final.

L’enjeux commercial aujourd’hui pour les start-ups en développement :

La réussite du développement commercial devient alors tellement stratégique pour les start-ups qu’il faut pouvoir définir les meilleures actions de développement, dénicher les meilleurs vendeurs, savoir rendre son offre séduisante.

Le droit s’adapte progressivement aux nouvelles exigences de l’intelligence économique et tend à consacrer des droits réservés aux entreprises sur leurs informations. La protection du secret d’affaire ou la notion de patrimoine informationnel des entreprises sont souvent utilisées pour justifier ces droits exclusifs.

Les études préliminaires, les analyses fonctionnelles et organiques, le choix des algorithmes, les diverses méthodes employées sont des savoir-faire pour le développement et la commercialisation de la technologie d’une start-up.

Ils constituent des actifs valorisés et valorisables, un investissement financier en ressource humaine considérable pour une start-up en lancement.

A ce stade du développement commercial, les dirigeants rencontrent un grand nombre de partenaires commerciaux et échangent un grand nombre d’informations sur différents supports pour partager leur vision, présenter leur start-up et commercialiser leur technologie.

Le risque réside dans l’absence de sécurisation juridique de ces échanges, lesquels peuvent engendrer des risques de divulgation, de contrefaçon, de concurrence déloyale.

Identification des comportements à risque

Il existe un ensemble de comportements à risque de personnes externes ou internes à la start-up et pouvant aboutir à des divulgations d’informations confidentielles : salarié, ex-salarié, stagiaires, consultants, partenaires commerciaux, sous-traitants, tiers.

La divulgation d’informations stratégiques, en interne est plus souvent due à la négligence qu’à une fraude de la part d’un membre de l’équipe:

Comportement en interne :

• L’ordinateur professionnel laissé sans surveillance et non verrouillé en l’absence de son utilisateur ;

• La diffusion et la mise en ligne d’un rapport de stage sur internet portant sur la participation du stagiaire à un projet innovant et pointu pendant son stage dans la start-up.

Comportement en externe :

• Le fait de connecter une clés USB confiée par un tiers (pour permettre d’imprimer un document par exemple), à l’ordinateur professionnel du collaborateur, peut permettre la mise en place d’un programme malveillant d’aspiration des données stockées sur cet ordinateur ;

• Le faux contrôle de sécurité de l’ordinateur portable d’un dirigeant en déplacement chez un partenaire commercial, qui permet d’aspirer les données stockées sur cet ordinateur.

Les risques et conséquences pour l’entreprise

Tous ces comportements créent un grave préjudice en terme économique et de réputation.

Les risques de ces comportements sont la divulgation intentionnelle ou non, d’informations, documents, secrets de fabrication sensibles et/ou confidentiels à des tiers, concurrents commerciaux ou technologiques français ou étrangers.
Les conséquences peuvent être substantielles pour la start-up et consister en une perte de données ou de documents, mise hors services de ces ressources informatiques en cas de propagation d’un virus, atteinte à l’image de marque de la start-up ou de sa e-réputation, perte de chiffre d’affaire, perte de marché, mise en cause de la responsabilité pour atteinte à la sécurité de son système informatique avec perte de données personnelles.

En conséquence il est essentiel de mettre en œuvre une politique interne de sensibilisation des salariés à la confidentialité des données et documents utilisés, et aux comportements à adopter au quotidien pour assurer un meilleur niveau de protection de ces données.

Les outils de sécurisation juridiques du patrimoine informationnel de la start-up

• La protection par le droit de la propriété intellectuelle (droit d’auteur et propriété industrielle)

 
Il existe plusieurs types d’outils de sécurisation juridique en fonction des différents éléments à protéger.

Le droit d’auteur confère à l’auteur de la création, une protection a priori si elle est originale c’est-à-dire qu’elle porte l’empreinte de la personnalité de l’auteur. Ce droit nait de la création même inachevée.

Le droit d’auteur protège les ouvrages originaux des auteurs, tandis que les brevets d’invention protègent des inventions et des découvertes.

Les idées, les découvertes ne sont pas protégées par les dispositions relatives au droit d’auteur, mais la modalité dans laquelle elles sont exprimées peut être protégée par le copyright.

Une marque déposée protège des mots, des phrases, des symboles ou des dessins qui identifient la source des produits ou des services d’une partie et les individualisent comme distincts par rapport aux produits ou aux services d’une autre partie.

La contrefaçon, en tant que violation d’un droit de propriété intellectuelle, peut être sanctionnée par la voie de l’action en contrefaçon

Dans l’hypothèse où les éléments en cause ne peuvent faire l’objet d’une protection au titre du droit de la propriété intellectuelle ou lorsque la preuve de la titularité ne peut être rapportée, des sanctions existent néanmoins pour punir les comportements frauduleux de certains acteurs économiques.

•  Sanctions des comportements frauduleux

 
⇒ La protection du savoir-faire

En 2013 , la Cour d‘appel de Paris reconnu la protection des savoir-faire et du secret des affaires, « cette composante du patrimoine incorporel si difficile à appréhender et donc à défendre. »
« Mais considérant que des singularités d’application peuvent, dans un domaine technique connu, constituer des secrets de fabrique dès lors que leur découverte nécessite des recherche longues et couteuses, les distinguant des règles de l’art que tout professionnel peut acquérir rapidement et qu’elles constituent alors un savoir-faire commercialisable. »

Le Savoir- faire constitue la connaissance technique, transmissible mais non brevetée.

Les logiciels étant de plus en plus sophistiqués, il conviendra non seulement, avant toute commercialisation, de les protéger en tant tels s’ils sont originaux mais également de protéger le savoir-faire qui accompagne leur mise en œuvre, leur fonctionnement, le savoir-faire qui entoure leur création ou leur diffusion.

De même constitue également un savoir- faire pouvant être protégé en tant que tel : les études préliminaires, les analyses fonctionnelles et organiques, le choix des algorithmes, les diverses méthodes employés.

⇒ L’action en concurrence déloyale

L’action en concurrence déloyales : permet, dans une certaine mesure, de renforcer la protection de la technologie de la start-up et notamment de lutter contre la contrefaçon. Elle permet en autres, d’agir contre l’auteur d’une reproduction plus ou moins servile d’un logiciel non original, non protégé par le droit d’auteur, si cette reproduction est accompagnée d’un détournement de clientèle, d’une désorganisation de l’entreprise.

Tableau récapitulatif des infractions de droit commun et celles spécifiques à la propriété intellectuelle et aux systèmes informatiques:

Tableau des dispositions légale sanctionnant les pratiques portant atteintes aux biens de la start up
 

Les bonnes pratiques : un outil de conciliation de deux besoins complémentaires :

Afin de concilier le déroulement nécessaire du développement commercial et la sécurité juridique de l’innovation ; il convient de recommander la mise en place d’une politique de sensibilisation à la sécurité économique et informatique s’articulant en plusieurs points :
• La nomination d’un responsable sécurité, dont tout ou partie de la fonction consistera à élaborer une politique interne de sécurité (charte de sécurité) ;
• L’identification des données, et documents à protéger, par catégories d’informations, par département, la durée de leur protection et les règles d’archivages physique et dématérialisé (cf. Article sur la gestion de la GED) ;
• Le recensement des ressources IT de l’entreprise, et la définition d’une politique de gestion de ces ressources (charte informatique) ;
• La sécurisation du système informatique de la start-up avec en parallèle le déploiement de la politique de sécurité de l’informatique ;
• La gestion du facteur humain par la sensibilisation à la sécurité de l’information, l’encadrement professionnel des stagiaires, la définition des règles de collaboration avec les partenaires commerciaux et les consultant, l’accompagnements des visiteurs ;
• La protection de l’information à l’extérieur de l’entreprise, en déplacement, dans les lieux public et les transports, en définissant des règles de conduites relatives à l’utilisation des équipements, aux réunions de travail dans les lieux ouverts au public ou dans les transports publics.

Pour aller plus loin…. Contactez le Cabinet Levrel

The post Concilier développement commercial et sécurité juridique de l’innovation appeared first on Aurélie Levrel - Avocat à Paris.

The post Les 10 règles juridiques pour créer une application mobile appeared first on Aurélie Levrel - Avocat à Paris.

Une entreprise sur deux n’a pas les moyens de gérer ses licences logicielles. Avec, à la clef, des risques juridiques et un important gâchis du budget informatique. Les entreprises doivent maîtriser les licences logicielles pour ne pas payer de pénalités aux éditeurs, voire optimiser leurs dépenses de gestion de logiciels. Face à la digitalisation accélérée de tous les pans de l’industrie, beaucoup de solutions se sont développées. Une question fondamentale est tout de même à prendre en compte avant de porter son choix sur un outil : « Comment mettre en place une bonne gestion des licences ? » Elle implique une réflexion en amont sur le mode d’hébergement le mieux adapté aux besoins de l’entreprise et la détermination d’une méthode de gestion des licences de l’entreprise à mettre en place pour optimiser les investissements et limiter le risque financier.

Définitions:

Licence de logicielle: est un contrat par lequel le titulaire des droits d’auteur sur un programme informatique définit avec son cocontractant (exploitant ou utilisateur) les conditions dans lesquelles ce programme peut être utilisé, diffusé ou modifié.

The post La prévention des risques financiers de la gestion des licences « On Premise » et/ou « SAAS » appeared first on Aurélie Levrel - Avocat à Paris.

The post La prévention du contentieux de la gestion électronique des documents appeared first on Aurélie Levrel - Avocat à Paris.