RGPD et droit d’accès : pour qui ?

Un droit d’accès… à quoi ? Le droit d’accès, prévu dans le cadre du RGPD, est le droit d’une personne physique d’accéder au traitement de ses données à caractère personnel par un professionnel ou une administration.

Concrètement. La personne va recevoir une confirmation écrite que ses données sont traitées et peut obtenir, si elle le souhaite, la copie de ses données traitées.

Qui demande ? La demande peut être formulée par un client à une entreprise, par un salarié à son employeur, par un particulier à l’administration, par un patient à son médecin, etc.

Mandat. La personne qui souhaite accéder à ses données personnelles qui font l’objet d’un traitement peut confier à une autre personne la tâche d’exercer son droit par un mandat.

À noter. La CNIL a récemment publié une recommandation relative à l’encadrement de la mission et du rôle des mandataires chargés d’exercer les droits des personnes dont les données personnelles sont traitées. Pour plus de détail, cliquez ici.

Droit d’accès à ses données. Le droit d’accès d’une personne ne donne le droit d’accéder qu’à ses propres données. Ainsi, une personne ne peut pas demander à accéder aux données à caractère personnel de son conjoint, en l’absence de mandat.

RGPD et droit d’accès : la procédure à suivre

Un délai à respecter. Lorsqu’une personne demande à accéder à ses données à caractère personnel que vous collectez, vous avez 1 mois pour lui répondre.

Un délai prolongeable. Le délai peut être prolongé de 3 mois « compte tenu de la complexité et du nombre de demandes ». Toutefois, il faut en informer la personne qui demande à bénéficier de son droit d’accès (ou son mandataire) dans le délai d’1 mois.

Un coût ? Par principe, une demande d’accès aux données personnelles est gratuite. Toutefois, il est possible de prévoir des frais, dès lors que ceux-ci sont « raisonnables et basés sur les coûts administratifs », et notamment :

• pour toute copie supplémentaire demandée par le demandeur ;
• si la demande est manifestement infondée ou excessive.

Bon à savoir (1). S’il arrive que le demandeur se déplace dans votre local et si vous n’êtes pas en mesure de lui fournir ses données à caractère personnel, il faut lui remettre un avis de réception daté et signé.

Bon à savoir (2). Si vous envoyez les informations demandées par courrier, il est conseillé de le faire par lettre recommandée avec avis de réception.

Sous-traitant. Le cas échéant, n’hésitez pas à demander de l’aide à votre sous-traitant pour répondre à la demande d’accès d’un client, d’un salarié, etc.

Refuser le droit d’accès ? Vous avez le droit de refuser une demande d’accès si :

• les demandes sont manifestement infondées ou excessives notamment par leur caractère répétitif ;
• les données ne sont plus conservées ou ont été effacées.

À noter. Un refus au droit d’accès doit toujours être motivé. En cas de refus, vous devez également informer le demandeur des voies et délais de recours dont il dispose.

Demande d’accès à vos données personnelles : pensez aux courriers types !

Le contexte. Pour accompagner les personnes désireuses d’interagir avec les organismes qui détiennent leurs données personnelles, la CNIL a mis en ligne divers courriers types aux fins de faciliter leur démarche.

Quels domaines ? Les courriers types proposés ont trait aux domaines suivants :

• internet ;
• travail ;
• banque-crédit ;
• droits ;
• commerce-publicité ;
• télécommunications ;
• santé ;
• transport ;
• logement.

Pour quelles actions ? Les démarches facilitées par ces modèles de courrier sont diverses et touchent notamment :

• à ne plus recevoir de publicités ;
• à exercer son droit d'accès à ses données personnelles ;
• à connaître les informations détenues par un établissement financier ;
• à accéder au fichier central des chèques (FCC) ;
• à rectifier des données incomplètes ou inexactes ;
• etc.

Pour accéder à ces courriers, cliquez ici.

Protection du secret des affaires : focus sur l’information protégée

Secret des affaires = 3 critères. Pour qu’une information puisse bénéficier de la protection du secret des affaires, il faut que 3 critères cumulatifs soient remplis.

Critère 1. L’information ne doit pas être connue ou aisément accessible pour les personnes familières de ce type d'informations en raison de leur secteur d'activité.

Critère 2. L’information doit avoir une valeur commerciale, effective ou potentielle, du fait de son caractère secret.

Critère 3. L’information doit faire de la part de son détenteur légitime de mesures de protection raisonnables, compte tenu des circonstances, pour en conserver le caractère secret.

Détenteur légitime. Cette information ne peut être détenue que par un « détenteur légitime » qui se définit comme celui « qui en a le contrôle de façon licite ».

Obtention par une tierce personne. Outre un détenteur légitime, des personnes tierces peuvent obtenir une information protégée par le secret des affaires. La Loi définit des modes d’obtention licite et illicite d’un secret des affaires.

Obtention licite. Constituent des modes d'obtention licite d'un secret des affaires :

• une découverte ou une création indépendante ;
• l'observation, l'étude, le démontage ou le test d'un produit ou d'un objet qui a été mis à la disposition du public ou qui est de façon licite en possession de la personne qui obtient l'information, sauf stipulation contractuelle interdisant ou limitant l'obtention du secret.

Obtention illicite. L'obtention d'un secret des affaires est illicite lorsqu'elle est réalisée sans le consentement de son détenteur légitime et qu'elle résulte :

• d'un accès non autorisé à tout document, objet, matériau, substance ou fichier numérique qui contient le secret ou dont il peut être déduit, ou bien d'une appropriation ou d'une copie non autorisée de ces éléments ;
• de tout autre comportement considéré, compte tenu des circonstances, comme déloyal et contraire aux usages en matière commerciale.

Utilisation et divulgation illicite. L'utilisation ou la divulgation d'un secret des affaires est illicite lorsqu'elle est réalisée sans le consentement de son détenteur légitime par une personne qui a obtenu le secret dans des conditions illicites ou qui agit en violation d'une obligation de ne pas divulguer le secret ou de limiter son utilisation.

Connaissance de l’illicéité (1). La production, l'offre ou la mise sur le marché, de même que l'importation, l'exportation ou le stockage à ces fins de tout produit résultant de manière significative d'une atteinte au secret des affaires sont également considérés comme une utilisation illicite lorsque la personne qui exerce ces activités savait, ou aurait dû savoir au regard des circonstances, que ce secret était utilisé de façon illicite.

Connaissance de l’illicéité (2). L'obtention, l'utilisation ou la divulgation d'un secret des affaires est aussi considérée comme illicite lorsque, au moment de l'obtention, de l'utilisation ou de la divulgation du secret, une personne savait, ou aurait dû savoir au regard des circonstances, que ce secret avait été obtenu, directement ou indirectement, d'une autre personne qui l'utilisait ou le divulguait de façon illicite.

Protection du secret des affaires : l’inopposabilité du secret des affaires

Inopposabilité du secret des affaires : prévue par un texte législatif. Le secret des affaires n'est pas opposable lorsque l'obtention, l'utilisation ou la divulgation du secret est requise ou autorisée par la réglementation de l'Union européenne, les traités ou accords internationaux en vigueur ou le droit français, notamment dans l'exercice des pouvoirs d'enquête, de contrôle, d'autorisation ou de sanction des autorités juridictionnelles ou administratives.

Inopposabilité du secret des affaires : en justice (1). A l'occasion d'une instance relative à une atteinte au secret des affaires, le secret n'est pas opposable lorsque son obtention, son utilisation ou sa divulgation est intervenue :

• pour exercer le droit à la liberté d'expression et de communication, y compris le respect de la liberté de la presse, et à la liberté d'information telle que proclamée dans la Charte des droits fondamentaux de l'Union européenne ;
• pour révéler, dans le but de protéger l'intérêt général et de bonne foi, une activité illégale, une faute ou un comportement répréhensible, y compris lors de l'exercice du droit d'alerte ;
• pour la protection d'un intérêt légitime reconnu par la réglementation de l'Union européenne ou le droit français.

Inopposabilité du secret des affaires : en justice (2). Lorsque, à l'occasion d’un litige, il est fait état ou est demandé la communication ou la production d'une pièce dont il est allégué par une partie ou un tiers ou dont il a été jugé qu'elle est de nature à porter atteinte à un secret des affaires, le juge peut, d'office ou à la demande d'une partie ou d'un tiers, si la protection de ce secret ne peut être assurée autrement et sans préjudice de l'exercice des droits de la défense :

• prendre connaissance seul de cette pièce et, s'il l'estime nécessaire, ordonner une expertise et solliciter l'avis, pour chacune des parties, d'une personne habilitée à l'assister ou la représenter, afin de décider s'il y a lieu d'appliquer des mesures de protection au titre du secret des affaires ;
• décider de limiter la communication ou la production de cette pièce à certains de ses éléments, en ordonner la communication ou la production sous une forme de résumé ou en restreindre l'accès, pour chacune des parties, au plus à une personne physique et une personne habilitée à l'assister ou la représenter ;
• décider que les débats auront lieu et que la décision sera prononcée en chambre du conseil ;
• adapter la motivation de sa décision et les modalités de la publication de celle-ci aux nécessités de la protection du secret des affaires.

Inopposabilité du secret des affaires : en justice (3). Les personnes ayant eu accès à une pièce protégée par le secret des affaires au cours d’un litige sont tenues par une obligation de confidentialité qui perdure à l’issue de la procédure (sauf décision judiciaire contraire).

Inopposabilité du secret des affaires : lors d’un conflit avec un salarié. À l'occasion d'une instance relative à une atteinte au secret des affaires, le secret n'est pas opposable lorsque :

• l'obtention du secret des affaires est intervenue dans le cadre de l'exercice du droit à l'information et à la consultation des salariés ou de leurs représentants ;
• la divulgation du secret des affaires par des salariés à leurs représentants est intervenue dans le cadre de l'exercice légitime par ces derniers de leurs fonctions, pour autant que cette divulgation ait été nécessaire à cet exercice.

Atteinte à la protection des affaires : comment réagir ?

Ça arrive… Il peut arriver qu’une entreprise doive faire face à une atteinte à l’une de ses informations qu’elle estime protégée par le secret des affaires. Dans ce cas, il existe des mesures à prendre pour qu’elle puisse défendre ses intérêts.

Que l’atteinte au secret des affaires soit interne ou externe… La 1^re chose à faire est de porter plainte auprès des forces de l’ordre et de faire appel à ses conseils spécialisés.

Faites cesser l’atteinte ! Il faut saisir rapidement le juge pour faire cesser l’atteinte. Le juge peut alors prescrire, y compris sous astreinte, toute mesure proportionnée de nature à empêcher ou à faire cesser une l’atteinte. Il peut notamment :

• interdire la réalisation ou la poursuite des actes d'utilisation ou de divulgation d'un secret des affaires ;
• interdire les actes de production, d'offre, de mise sur le marché ou d'utilisation des produits soupçonnés de résulter d'une atteinte significative à un secret des affaires, ou d'importation, d'exportation ou de stockage de tels produits à ces fins ;
• ordonner la saisie ou la remise entre les mains d'un tiers de tels produits, y compris de produits importés, de façon à empêcher leur entrée ou leur circulation sur le marché.

À noter. Lorsque le juge limite l’une des mesures précitées dans le temps, il faut que cette limite soit suffisante pour éliminer tout avantage commercial ou économique que l'auteur de l'atteinte au secret des affaires aurait pu tirer de l'obtention, de l'utilisation ou de la divulgation illicite du secret des affaires.

Un coût. Sauf circonstances particulières et sans préjudice des dommages-intérêts qui pourraient être réclamés, les mesures précitées sont ordonnées aux frais de l'auteur de l'atteinte.

Versement d’une provision. Le juge peut conditionner la mise en œuvre des mesures précitées au versement d’une somme d’argent par l’entreprise qui se dit victime d’une atteinte au secret des affaires. Cette somme vise à assurer l'indemnisation du préjudice éventuellement subi par la personne accusée à tort ou par un tiers touché par ces mesures, si l’action en justice est par la suite jugée non fondée.

Et en matière administrative ? Le juge des référés en matière administrative peut être saisi afin de prévenir ou faire cesser une atteinte au secret des affaires. Il peut ordonner en urgence des mesures provisoires (listées ci-dessus), et peut assortir celles-ci d’une « astreinte », c’est-à-dire une condamnation pécuniaire dont le montant augmente en fonction du nombre de jours de retard d’exécution.

Atteinte au secret des affaires : les mesures procédurales

Des pièces protégées placées sous séquestre. Le juge a la possibilité d’ordonner d'office le placement sous séquestre provisoire des pièces demandées afin d'assurer la protection du secret des affaires.

Faire des copies des pièces protégées ? Au nom de la protection du secret des affaires, lorsque le juge restreint l'accès des pièces et autres documents utiles au déroulé de la procédure aux seules personnes habilitées à assister ou représenter les parties, il peut également décider que ces personnes ne peuvent pas en faire de copie ou de reproduction, sauf accord du détenteur de la pièce.

À noter. A peine d'irrecevabilité, la partie ou le tiers à la procédure qui invoque la protection du secret des affaires pour une pièce dont la communication ou la production est demandée remet au juge, dans le délai fixé par celui-ci :

• la version confidentielle intégrale de cette pièce ;
• une version non confidentielle ou un résumé ;
• un mémoire précisant, pour chaque information ou partie de la pièce en cause, les motifs qui lui confèrent le caractère d'un secret des affaires.

Produire une pièce intégralement. Le juge peut ordonner la communication ou la production de la pièce dans sa version intégrale lorsque celle-ci est nécessaire à la solution du litige, alors même qu'elle est susceptible de porter atteinte à un secret des affaires. Dans ce cas, le juge doit désigner la ou les personne(s) pouvant avoir accès à la pièce dans sa version intégrale. Lorsqu'une des parties est une société, il doit désigner, après avoir recueilli son avis, la ou les personne(s) physique(s) pouvant, outre les personnes habilitées à assister ou représenter les parties, avoir accès à la pièce.

Le jugement : une publication occultée ? Une version non confidentielle de la décision, dans laquelle sont occultées les informations couvertes par le secret des affaires, peut être remise aux tiers et mise à la disposition du public sous forme électronique.

Publication de la sanction. Le juge peut ordonner que la décision judiciaire soit publiée (intégralement ou par extraits) dans des journaux ou sur des sites Internet, selon des modalités précisées dans cette décision. Cette publication se fait au frais de l’auteur de l’atteinte.

Procédure abusive. Lorsque la procédure lancée par une personne qui s’estime victime d’atteinte au secret des affaires est manifestement abusive, celle-ci peut être condamnée au paiement d'une amende dont le montant ne peut être supérieur à 20 % du montant de la demande de dommages-intérêts. En l'absence de demande de dommages et intérêts, le montant de l'amende ne peut excéder 60 000 €.

5 ans ! Les actions relatives à une atteinte au secret des affaires sont prescrites par 5 ans à compter des faits qui en sont la cause. La personne qui porte atteinte au secret des affaires engage, en outre, sa responsabilité civile.

Atteinte au secret des affaires : en cas d’atteinte interne

Ça arrive aussi… Dans l’hypothèse où l’atteinte au secret des affaires provient de l’intérieur de l’entreprise, le dirigeant va devoir constituer, avec l’aide de ses conseils, un dossier complet et étayé contre le collaborateur fautif : description précise de la situation et des faits, attestations éventuelles de témoins, dossier du salarié reprenant son parcours et sa situation dans l’entreprise (ancienneté, fonctions occupées, dossier disciplinaire, etc.) qui pourront constituer des circonstances aggravantes de la faute commise, etc.

Il faut réagir rapidement ! Si malgré les protections mises en place, l’entreprise est victime d’une atteinte au secret des affaires, le dirigeant doit réagir très rapidement, que ce soit pour un dépôt de plainte ou pour sanctionner lui-même un comportement fautif d’un salarié, ou plus exactement pour engager des poursuites disciplinaires (à cette fin, il ne dispose que d’un délai de 2 mois à partir du moment où il a eu connaissance des faits fautifs).

Attention ! Le dossier doit être constitué rapidement et discrètement : si le collaborateur fautif venait à apprendre qu’une enquête est menée contre lui, il pourrait, en effet, faire disparaître les preuves existantes.

Neutraliser les actions malveillantes. Une fois que le dossier est suffisamment étayé de pièces justificatives, il faut mettre à pied le salarié pour éviter qu’il ne poursuive ces agissements. Mais il faut ici faire attention : il doit s’agir d’une mise à pied conservatoire (mesure provisoire préalable à un éventuel licenciement), et dont l’objectif est d’écarter immédiatement le salarié de l’entreprise jusqu’à la fin de la procédure, et non d’une mise à pied disciplinaire, qui constitue, en tant que telle, une sanction.

À noter. Si vous recourez à la mise à pied disciplinaire, vous ne pourrez plus envisager contre le salarié fautif un licenciement puisqu’une même faute ne peut pas être sanctionnée deux fois.

Licencier le salarié ? Avant tout, il faut rappeler qu’il est important pour le chef d’entreprise de qualifier correctement la faute commise par le collaborateur. Pour mémoire, il existe différents types de faute : la faute légère, la faute sérieuse, la faute grave et la faute lourde.

     =>  Pour en savoir plus, consultez notre fiche « Un salarié commet une faute : qualifier la faute »

Lanceurs d’alerte. Lorsque l’atteinte à un secret des affaires provient d’un collaborateur, il faut être vigilant car le juge peut considérer, par la suite, que ce collaborateur est protégé par la réglementation des lanceurs d’alerte.

     =>  Pour en savoir plus, consultez notre fiche « Lanceurs d’alerte : ce qu’il faut savoir »

Cookies : de quoi parle-t-on ?

Qu’est-ce que sont les « cookies » ? Pour la Commission nationale de l’information et des libertés (Cnil), le terme de « cookies » couvre « l’ensemble des traceurs déposés et/ou lus, par exemple, lors de la consultation d’un site Internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile ».

Un problème ? Les « cookies » permettent donc d’analyser la navigation d’un internaute et ses habitudes afin de lui proposer des publicités ciblées ou des services personnalisés. Il s’agit là d’un traçage portant atteinte à la protection des données personnelles. C’est pourquoi la Loi encadre l’utilisation des « cookies ».

3 obligations légales. Pour que les « cookies » soient actifs sur un site Internet, il est nécessaire :

• que l’internaute soit informé de la finalité des « cookies » ;
• qu’il consente à l’activation des « cookies » ;
• que l’internaute puisse refuser l’activation des « cookies ».

Cookies : recueillir le consentement de l’internaute

Qui recueille le consentement ? Recueillir le consentement de l’internaute est une obligation pour le responsable du site Internet, pour l’éditeur de l’application mobile, pour les régies publicitaires, pour les réseaux sociaux, pour les éditeurs de solutions de mesure d’audience, etc. Il doit être en mesure de prouver qu’il a effectivement reçu le consentement de l’internaute.

Comment recueillir le consentement ? Concrètement, le consentement de l’internaute est recueilli via un bandeau qui apparaît sur son écran. Ce bandeau doit informer l’internaute :

• de la finalité précise des « cookies » ;
• de la possibilité de s’opposer à l’activation des « cookies » en modifiant les paramètres ;

Attention ! Le bandeau ne doit pas disparaître tant que l’internaute n’a pas poursuivi sa navigation (par exemple, en se rendant sur une autre page ou en cliquant sur un onglet du site ou sur une image).

À noter. Le bandeau contient, en général, la mention « en savoir plus » qui renvoie vers des outils d’opposition à l’activation des « cookies ».

Remarque. À défaut de standard de couleur, de design… la CNIL rappelle que l’information délivrée doit en tout état de cause « permettre aux internautes de comprendre ce à quoi ils/elles consentent et comment exprimer leur choix ».

Durée du consentement. La durée de validité du consentement donné par un internaute est de 13 mois maximum.

Un consentement obligatoire ? Tous les « cookies » ne nécessitent pas le recueil du consentement de l’internaute. L’internaute doit être en mesure de différencier les « cookies » auxquels il peut s’opposer et ceux qui doivent être impérativement déposés et connaître les conséquences de son opposition sur son confort de navigation.

Cookies nécessitant le recueil du consentement. Voici quelques exemples de « cookies » nécessitant le recueil du consentement de l’internaute :

• les « cookies » liés aux opérations relatives à la publicité ;
• les « cookies des réseaux sociaux » générés par les boutons de partage lorsqu’ils collectent des données personnelles ;
• les « cookies » de mesures d’audience.

Cookies exemptés de consentement. Voici quelques exemples de « cookies » ne nécessitant pas le recueil du consentement de l’internaute :

• les « cookies » identifiant de session ;
• les « cookies » d’authentification ;
• certains « cookies » d’analyse de mesure d’audience, listés par la CNIL ici.

La pratique des « cookie walls ». Cette pratique consiste à conditionner l’accès à un site internet à l’acceptation d’un dépôt de traceur. Pour le moment elle ne peut être considérée comme illicite. Toutefois, cette dernière fait l’objet d’une vigilance au cas par cas en attendant que la réglementation européenne devienne plus précise à ce sujet.

Des critères à respecter. La CNIL précise les critères qui lui permettent d’évaluer la légalité de ces pratiques et les questions qu’elle est amenée à se poser dans le cadre de ses contrôles :

• l’internaute bénéficie-t-il une alternative équivalente lui permettant d’accéder au contenu, s’il refuse l’installation du ou des traceurs ? ;
• le tarif proposé pour accéder au site sans l’installation du traceur est-il raisonnable ? ;
• le traceur est-il limité aux finalités qui permettent une juste rémunération du service proposé ? ;
• lorsque l’utilisateur choisit de payer l’accès, des cookies sont-ils quand même déposés sur son ordinateur ? Si oui, ces traceurs sont-ils utiles pour accéder à un contenu hébergé sur un autre site (vidéos par exemple) et l’éditeur a-t-il récolté le consentement de l’utilisateur ?

Pour la petite histoire. La CNIL a récemment condamné un moteur de recherche pour avoir installé automatiquement des cookies sur les ordinateurs de ses utilisateurs sans obtenir leur consentement et sans les informer de l’utilisation de ces derniers. La société avait 3 mois pour régulariser la situation sinon elle devait payer une amende de 100 000 € par jour de retard.

Rappel du juge. Estimant que la CNIL n’était pas compétente pour lui donner une telle sanction, la société a demandé l’annulation de cette pénalité. Demande que le juge a rejetée en rappelant les attributions de la commission :

• informer les responsables de traitement de données de leurs droits et obligations ;
• veiller à ce que les traitements de données personnelles soient conformes à la réglementation ;
• prononcer les sanctions à l’encontre des responsables de traitements qui ne respectent pas leurs obligations ;
• prononcer une injonction de mise en conformité du traitement avec la réglementation et l’assortir d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard en cas de non-réalisation de cette obligation.

Un contrôle renforcé. Les gestionnaires de sites internet avaient jusqu’au 31 mars 2021 pour se mettre en conformité avec la réglementation sur les cookies et autres traceurs. A cette occasion, la CNIL annonce qu’après avoir privilégié une action d’accompagnement auprès des entreprises elle va désormais réaliser des contrôles pour évaluer l’application de cette réglementation et prononcera, si nécessaire, des sanctions publiques.

Cookies : 2 situations à distinguer !

2 types de situations. Dans le cadre de son activité, la Cnil est amenée à vérifier que les sites Internet respectent la réglementation relative aux « cookies ». Des contrôles qu’elle a effectués, la Cnil a identifié 2 types de situations.

Cas 1. Dans cette 1^re situation, l’éditeur du site dépose lui-même les « cookies, ou permet le dépôt de « cookies » par des tiers, afin de traiter des données uniquement pour son compte. Ici, l’éditeur est considéré comme étant responsable du respect des obligations légales relatives aux « cookies ». C’est donc lui qui doit recueillir le consentement de l’internaute. S’il accepte que des tiers déposent des « cookies », ces derniers sont considérés comme des sous-traitants. La Cnil rappelle alors que le contrat liant l’éditeur et le tiers doit préciser que le tiers ne peut pas exploiter les données recueillies pour son propre compte.

Cas 2. Dans cette 2^de situation, les données collectées par les « cookies » déposés par les tiers sont exploitées par ces derniers. Ici, c’est donc le tiers qui doit être considéré comme étant tenu par les obligations légales.

Lignes directrices de la CNIL. La Commission nationale de l’informatique et des libertés (CNIL) a publié de nouvelles lignes directrices.

Cookies : de l’importance du design

Le design des cookies. Sachez qu’il existe 3 types de bannières cookies :

• les bannières neutres ;
• les bannières « dark patterns » qui sont volontairement conçues pour tromper ou manipuler l’internaute ;
• les bannières « bright patterns » qui encouragent la réflexion de l’internaute.

Le design étudié. Le Gouvernement a mené une étude pour connaître l’influence du design des cookies sur le choix d’accepter ou non le recueil de données personnelles par le site internet visité. Cette étude montre que les internautes sont globalement réticents à partager leurs données personnelles. 

Le design influence le choix des internautes ! Pourtant, les chiffres démontrent que cette réticence ne se traduit pas dans les faits :

• 16 % des internautes refusent l’utilisation des cookies en présence d’une bannière neutre ;
• 4 % des internautes refusent l’utilisation des cookies en présence d’une bannière « dark pattern » ;
• 33 % à 46 % des internautes refusent l’utilisation des cookies en présence d’une bannière « bright pattern » (le taux de refus varien selon le design des « bright patterns »).

Cookies : de l’usage par l’écosystème publicitaire

Pour rappel, la « directive ePrivacy » garantit aux internautes la protection de leurs terminaux (ordinateurs, smartphones, etc.) contre tout accès ou stockage d’information non désiré. Cette protection s’applique notamment aux « cookies tiers », qui sont des cookies déposés sur des domaines différents de celui du site principal, généralement gérés par des tiers qui ont été interrogés par le site visité et non par l’internaute lui-même.

L’écosystème publicitaire se tourne désormais vers des méthodes alternatives aux « cookies tiers » pour le ciblage publicitaire. Cette évolution a amené le Comité européen de la protection des données (CEPD) à publier des lignes directrices.
 

Détournements de fonds : comment les empêcher de survenir ?

Ça arrive... Les détournements sont souvent le fait de personnes extérieures à l’entreprise. Qui n’a pas entendu parler de « l’arnaque au président » qui consiste, pour des escrocs, à convaincre le collaborateur d'une entreprise à effectuer en urgence un virement important à un tiers pour obéir à un prétendu ordre du dirigeant, ou encore de la « fraude au changement de RIB » qui consiste pour les fraudeurs à envoyer un mail à un salarié du service de comptabilité de l'entreprise en se faisant passer pour un fournisseur, et lui demander de diriger ses versements vers un autre compte bancaire appartenant à des escrocs.

… aussi en interne. Mais les détournements de fonds peuvent aussi être commis par des collaborateurs de l’entreprise, notamment ceux qui sont affectés à la comptabilité de l’entreprise ou en charge de la gestion de la trésorerie.

Comment se protéger ? Le dirigeant est responsable des fonds appartenant à l’entreprise. Il doit donc se montrer particulièrement vigilant pour tout ce qui touche à la gestion de trésorerie et aux flux financiers. Il dispose à cet égard de plusieurs outils. Lesquels ?

1^re action. En premier lieu, respectez (faites respecter) le principe de la séparation ordonnateur / payeur : il est essentiel que la personne qui ordonne la dépense ne soit pas celle qui procède à son paiement.

2^e action. L’entreprise doit maîtriser la gestion des moyens de paiement pour optimiser sa sécurité financière. L’accès à ces moyens de paiement (coordonnées bancaires, accès au chéquier, etc.) doit donc être réservé à un nombre restreint de personnes et conservé en lieu sûr.

3^e action. Il faut mettre en place des circuits courts d’ordonnancement de la dépense (validée par le dirigeant ou un responsable qui aura obtenu une délégation à ce titre) et de son paiement : plus les process sont démultipliés, plus les risques de détournements de fonds sont aussi démultipliés. Il y a notamment un risque que chaque échelon se déresponsabilise en pensant que les vérifications nécessaires seront effectuées par l’échelon inférieur ou supérieur.

Détournements de fonds : comment réagir ?

Il faut réagir rapidement ! Si malgré les protections mises en place, l’entreprise est victime de détournements de fonds, le dirigeant doit réagir très rapidement car les délais sont strictement encadrés, que ce soit pour un dépôt de plainte ou pour sanctionner lui-même un comportement fautif d’un salarié, ou plus exactement pour engager des poursuites disciplinaires (à cette fin, il ne dispose que d’un délai de 2 mois à partir du moment où il a eu connaissance des faits fautifs).

Que le détournement soit interne ou externe… La 1^re chose à faire est de porter plainte auprès des forces de l’ordre et de faire appel à ses conseils spécialisés en droit pénal des affaires et en droit social.

En cas de détournement interne… Le dirigeant va constituer, avec l’aide de ses conseils, un dossier complet et étayé contre le collaborateur fautif : description précise de la situation et des faits, attestations éventuelles de témoins, dossier du salarié reprenant son parcours et sa situation dans l’entreprise (ancienneté, fonctions occupées, dossier disciplinaire, etc.) qui pourront constituer des circonstances aggravantes de la faute commise, etc.

Attention ! Le dossier doit être construit rapidement et discrètement : si le collaborateur fautif venait à apprendre qu’une enquête était menée contre lui, il pourrait, en effet, faire disparaître les preuves existantes.

Neutraliser les actions malveillantes. Une fois que le dossier est suffisamment étayé de pièces justificatives, il faut mettre à pied le salarié pour éviter qu’il ne poursuive ces agissements. Mais il faut ici faire attention : il doit s’agir d’une mise à pied conservatoire (mesure provisoire préalable au licenciement), et dont l’objectif est d’écarter immédiatement le salarié de l’entreprise jusqu’à la fin de la procédure, et non d’une mise à pied disciplinaire, qui constitue, en tant que telle, une sanction.

À noter. Si vous recourez à la mise à pied disciplinaire, vous ne pourriez plus envisager contre le salarié fautif un licenciement puisqu’une même faute ne peut pas être sanctionnée deux fois.

Licencier le salarié ? Avant tout, il faut rappeler qu’il est important pour le chef d’entreprise de qualifier correctement la faute commise par le collaborateur. Pour mémoire, il existe différents types de faute : la faute légère, la faute sérieuse, la faute grave et la faute lourde.

Quelle faute retenir ? En présence d’un détournement de fonds, la tendance sera de retenir une faute lourde contre le salarié, privative de toute indemnité de rupture (à l’exception de l’indemnité de congés payés qui reste due) et permettant d’obtenir, de la part du salarié, une indemnisation du préjudice subi par l’entreprise. Mais une faute lourde suppose de la part du salarié une réelle intention de nuire à l’entreprise ou à son dirigeant. Or, c’est rarement reconnu comme tel par les juges dans le cas d’un détournement de fonds.

Exemple de faute lourde reconnue. Un salarié a été licencié pour faute lourde suite aux détournements de fonds de l’entreprise. Il occupait un poste de directeur administratif et financier. Il a, notamment, édité de fausses factures et dissimulé des documents pour masquer ses actes (démarches qui caractérisaient, ici, sa volonté de nuire à l’entreprise). L’employeur avait alors appris l’existence de ces détournements à la suite d’un contrôle Urssaf. Le juge a, ici, validé la faute lourde.

Conseil. Retenir une faute lourde, sans apporter la preuve de cette intention de nuire, rendrait le licenciement sans cause réelle et sérieuse. Voilà pourquoi il est souvent préconisé de retenir la faute grave en pareille situation. Mais, comme toujours, cela dépendra des circonstances de l’espèce. Voilà pourquoi il est essentiel de faire appel à son conseil pour que la procédure disciplinaire diligentée à l’encontre d’un salarié coupable de détournement de fonds soit pleinement efficace.

Réclamer des indemnités à la banque ? Il peut être possible de réclamer des indemnités à une banque lorsque les celle-ci a failli dans ses procédures de contrôle. Néanmoins, il faut aussi que la société n’ait pas commis de faute de son côté…

Exemple. Une salariée a falsifié 330 chèques en 5 ans, pour un montant de 20 000 €/an. Pour le juge, la banque n’a commis aucune faute puisque la salariée imitait la signature de son dirigeant et que la société n’avait mis en place aucun contrôle de l’activité de sa salariée.

RGPD : pour qui, pour quoi ?

Des données personnelles… Lorsque nous utilisons des services en ligne, notre activité est associée à des identifiants en ligne (adresses IP, cookies…). Ces données peuvent servir à créer des profils et à identifier les personnes, notamment pour leur proposer des biens et des services.

Une définition... Toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale est une « donnée personnelle » au sens de la règlementation.

Depuis le 25 mai 2018 et l’entrée en vigueur du RGPD, les obligations déclaratives envers la CNIL ont disparues (quelques exceptions subsistent toutefois). En contrepartie de la fin de ces obligations déclaratives, les entreprises sont responsabilisées : c’est le principe d’« accountability » ou l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de respecter les règles relatives à la protection des données personnelles, d’une part et d’être en mesure d’en justifier, d’autre part.

Les exceptions qui subsistent. Les formalités déclaratives devant être effectuées auprès de la CNIL, supprimée en grande partie par le RGPD, sont maintenues pour les données « sensibles » : données biométriques nécessaires à l’identification ou au contrôle de l’identité des personnes, données génétiques, données utilisant le numéro d’inscription au répertoire national d’identification des personnes physiques et données de santé.

Traitements de données interdits. Certains traitements de données sont par principe interdits. Ainsi, il est interdit de traiter des données à caractère personnel :

• qui révèlent la prétendue origine raciale ou l’origine ethnique ;
• qui révèlent les opinions politiques,
• qui révèlent les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ;
• qui traitent des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique ;
• qui traitent des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Des exceptions... Ces données peuvent néanmoins faire l’objet d’un traitement dans un nombre limité de cas :

• la personne concernée a donné son consentement ;
• le traitement est nécessaire à l’exécution d’obligations respectives entre la personne concernée et le responsable de traitement ;
• le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne qui n’est pas en mesure de donner son consentement ;
• le traitement est effectué dans le cadre des activités d’un organisme à but non lucratif concernant ses membres ;
• les données sont rendues publiques par la personne concernée ;
• le traitement est nécessaire à l’exercice d’un droit en justice ;
• le traitement est nécessaire pour des motifs d’intérêt public ;
• le traitement est nécessaire à des fins de médecine préventive ou de médecine du travail ;
• le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé ;
• le traitement est nécessaire à des fins archivistiques dans l’intérêt public.

Concernant les numéros de carte bancaire. Par principe, les sites de commerce en ligne ne peuvent collecter les données bancaires de leurs clients que pour une seule transaction, impliquant une interdiction de conservation de celles-ci. Toutefois, cette conservation est possible :

• si la société propriétaire du site a obtenu le consentement préalable et explicite du consommateur ;
• dans le cadre de la souscription d’un abonnement instaurant une relation commerciale régulière entre la société et le client.

Contrôle a posteriori de la CNIL. La CNIL dernière exerce une mission de contrôle. C’est pourquoi, les entreprises doivent garantir une protection optimale des données collectées et être en mesure de justifier la conformité de leur démarche à la réglementation.

Pour la petite histoire. Il a été jugé qu’une société propriétaire d’un moteur de recherche sur Internet qui informe l’utilisateur du traitement de ses données personnelles par une information vague, dont le contenu est éparpillé sur plusieurs pages, ne respecte pas ses obligations. De plus, le fait que le consentement de l’utilisateur au traitement de ses données soit recueilli par le biais d’une case déjà pré-cochée le rend invalide.

Une charte des contrôles. En raison des enjeux particulièrement importants de ces contrôles, il est essentiel que les entités contrôlées comprennent le déroulement de ces investigations et sachent comment la CNIL peut intervenir. À cet effet, la CNIL a publié une charte des contrôles.

     =>  Pour en savoir plus, consultez la charte des contrôles de la CNIL

Médiateur des entreprises. La Cnil s’est alliée avec le Médiateur des entreprises pour apaiser les tensions liées à la mise en application du RGPD. Pour rappel, le Médiateur des entreprises propose une aide gratuite, confidentielle et neutre, aux entreprises qui rencontrent des difficultés contractuelles ou relationnelles avec un client ou un fournisseur.

Quels sont les domaines concernés ? Cette nouvelle réglementation ne concerne pas seulement les rapports d’affaires mais également le rapport des entreprises avec leurs salariés, ces derniers pouvant alors être considérés comme des « utilisateurs ». Cela implique donc un allègement des déclarations des traitements de données RH.

Les droits des personnes renforcés. Le RGPD renforce les droits des personnes dont les données personnelles sont collectées :

• son consentement devra être « actif », ce que vous devrez prouver (case cochée, déclaration, écrite, etc.) ;
• il aura un droit à la portabilité de ces données.

Droit à la portabilité des données. Les personnes disposent d’un droit à la portabilité des données les concernant, leur permettant de récupérer les données qu’ils ont fournies sous une forme réutilisable, pour éventuellement les transmettre à un tiers.

Droit d’accès, de rectification et droit à l’oubli des utilisateurs. Les personnes doivent pouvoir accéder aux données collectées à leur sujet, les rectifier et, éventuellement, user de leur « droit à l’oubli numérique » (c’est-à-dire à l’effacement de leurs données personnelles).

Modalités d’exercice des droits. Il n’est pas précisé par quel moyen la demande des personnes concernées doit être faite et l’entreprise peut décider elle-même des modalités à mettre en place (il est par exemple possible d’exiger une demande par voie postale).

Responsabilité de l’entreprise. L’entreprise qui détermine les finalités, les conditions et les moyens du traitement de données à caractère personnel (appelée « responsable du traitement des données ») doit être en mesure de prouver qu’elle a obtenu ce consentement.

Page Facebook : la co-responsabilité de l’entreprise. Une société est co-responsable de traitement, avec Facebook, dès lors qu’en tant qu’administratrice de la page « fan » Facebook, elle peut :

• obtenir des statistiques établies par Facebook à partir des visites de cette page à des fins de gestion de la promotion de son activité, lui permettant de connaître, par exemple, le profil des visiteurs qui apprécient sa page « fan » ;
• par la création d’une telle page, placer des cookies sur l’ordinateur ou sur tout autre appareil de la personne ayant visité sa page « fan », que cette personne dispose ou non d’un compte Facebook ;
• posséder une action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, qui influent sur le traitement de données à caractère personnel aux fins de l’établissement des statistiques établies à partir des visites de la page « fan ».

Opposition de l’utilisateur. Tout utilisateur peut s’opposer, sans frais et simplement, au traitement de ses données à caractère personnel lorsqu’elles sont traitées à des fins de marketing direct.

Une obligation de transparence et d'information. Les entreprises sont soumises à une obligation d'information et de transparence qui leur impose de délivrer aux utilisateurs au moment de la collecte, une information accessible et facile à comprendre, formulée en termes simples et clairs. Cela doit leur permettre de savoir exactement si des données à caractère personnel les concernant sont collectées, par qui, dans quel but et pour quelle durée.

Impact pour votre entreprise. Ces adaptations impliquent, pour beaucoup d’entreprises, des développements informatiques pour se mettre en conformité avec la réglementation et pour leur faciliter le travail d’extraction des données dans le cadre de la portabilité.

Une procédure d’auto-évaluation. Pour aider les différents organismes (entreprises, associations, etc.) à évaluer facilement le degré d’efficacité des actions qu’ils mènent en matière de protection des données personnelles, la CNIL vient de publier une procédure d’auto-évaluation composée de 6 niveaux de maturité. Vous pouvez la consulter ici.

Mise en place d’un délégué à la protection des données : obligatoire ?

Du Correspondant Informatique et Libertés facultatif… Auparavant, toutes les entreprises pouvaient désigner un Correspondant Informatique et Libertés (CIL), leur permettant de s’affranchir des formalités déclaratives, de veiller au respect de la Loi et à la sécurité des données…

… au Délégué à la protection des données obligatoire. Depuis le 25 mai 2018, certaines entreprises doivent impérativement désigner un délégué à la protection des données (DPD ou DPO, pour « Data Protection Officer »). Les entreprises concernées sont celles qui, quelle que soit leur taille, ont une activité de base impliquant des opérations de traitement exigeant un suivi régulier et systématique des personnes ou si le traitement s’effectue à grande échelle, quand bien même il ne s’agit pas du cœur de l’activité de l’entreprise.

Qui est-il ? Le DPO peut être un salarié de l’entreprise ou non, commun à plusieurs entreprises ou non. Il est choisi sur la base de ses qualités professionnelles, de ses connaissances spécialisées de la législation et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions, parmi lesquelles :

• l’information et le conseil du responsable de traitement ou du sous-traitant ;
• le contrôle du respect de la réglementation ;
• la coopération avec la CNIL ;
• etc.

Comment le désigner ? La désignation du DPO se fait par le biais d’un téléservice sur le site web de la CNIL.

Comment exerce-t-il ses fonctions ? Le responsable du traitement et le sous-traitant veillent à ce que le DPO soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel. Ils aident le DPO à exercer ses missions en lui fournissant les ressources nécessaires, ainsi que l'accès aux données à caractère personnel et aux opérations de traitement, et en lui permettant d'entretenir ses connaissances spécialisées.

Il est indépendant ! Le DPO ne doit recevoir aucune instruction en ce qui concerne l'exercice de ses missions. Il ne peut pas être relevé de ses fonctions ou pénalisé ni par le responsable du traitement, ni par le sous-traitant pour l'exercice de ses missions. Il fait, en outre, directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.

La contrepartie. Le DPO est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l'exercice de ses missions.

À noter. Le DPO exécuter d'autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n'entraînent pas de conflit d'intérêts.

Suivez le guide de la CNIL ! Pour accompagner les organismes et aider les DPO dans leur mission, la CNIL a mis en place un guide pratique que vous pouvez consulter ici.

Garantir sa conformité avec le RGPD !

Des sanctions sévères. Le non-respect de la réglementation sur la protection des données peut être sanctionné d’une amende pouvant aller jusqu’à 4 % du chiffre d’affaires mondial annuel de l’entreprise ou 20 millions d'euros (le montant le plus élevé est retenu).

Que devez-vous faire ? Pour que votre entreprise soit conforme avec le RGPD, il est nécessaire de réaliser une cartographie des données qu’elle est susceptible de collecter. Cette étape nécessite de réaliser un inventaire de ses traitements, de les classifier, de déterminer les objectifs poursuivis et d’identifier les acteurs qui traitent ces données.

Étude d’impact. Selon les résultats de cette cartographie, il peut être opportun de réaliser une étude d’impact : cette étude est obligatoire si les données traitées sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes, notamment si le traitement nécessite un profilage ou dans le cadre d’un traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et à des infractions. Une analyse d’impact se décompose en 3 parties :

• une description détaillée du traitement mis en œuvre ;
• une évaluation justifiant de la nécessité de mettre en œuvre un traitement (finalité recherchée, nature des données collectées, durée de conservation des données, modalités d’information des personnes dont les données sont collectées, etc.) ;
• une étude technique des risques sur la sécurité des données (mesures de confidentialités des données, modalités de mise à disposition des données, etc.), ainsi que leurs impacts sur la vie privée.

     =>  Consultez la liste des opérations de traitement de données pour lesquelles la réalisation d’une étude d’impact est obligatoire (liste non exhaustive, selon la CNIL)

     =>  Consultez la liste des opérations de traitement de données pour lesquelles la réalisation d’une étude d’impact n’est pas nécessaire (liste non exhaustive, selon la CNIL)

Cas de dispenses ? La réalisation d’une telle analyse d’impact, en principe obligatoire depuis le 25 mai 2018, n’était cependant pas exigé dans certains cas :

• traitements ayant fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018, ou qui étaient dispensés de formalité ;
• traitements ayant été consignés au registre d’un correspondant « informatique et libertés ».

Une analyse définitivement obligatoire ! Cette dispense, d’une durée initiale de 3 ans, est arrivé à sa fin. Depuis le 25 mai 2021, toute personne responsable du traitement des données devra avoir effectué cette analyse, si le traitement envisagé est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.

Un outil d’accompagnement. Un logiciel a été mis en place par la CNIL pour faciliter la conduite d’une analyse d’impact. Celui-ci peut être téléchargé ici.

Une charte. Dans le cadre de sa mission de conseil, la CNIL a décidé de publier une charte d’accompagnement pour les professionnels afin d’apporter de la visibilité sur les différents outils qu’elle a mis en place pour leur permettre de se mettre en conformité avec le règlement. Cette charte s’adresse plus précisément :

• aux responsables de traitement ou leurs sous-traitants ;
• aux fournisseurs de solutions techniques.

À consulter. Pour en savoir plus, vous pouvez consulter et télécharger la charte à l’adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/charte_accompagnement_des_professionnels.pdf

Attention aux arnaques ! Face à la multiplication des arnaques (mails frauduleux, appels utilisant le numéro de la CNIL, etc.) destinées à soutirer de l’argent aux sociétés dans le cadre de leur mise en conformité avec le RGPD, la CNIL rappelle qu’il ne faut jamais :

• répondre à ces messages ;
• communiquer son numéro de carte bancaire pour obtenir un prétendu remboursement ;
• effectuer des paiements en contrepartie d’un service de mise en conformité au RGPD ou dans le cadre d’un prétendu contrôle de la CNIL.

Protection des données personnelles et Chatbots

Les Chatbots, aussi appelés agents conversationnels, sont des systèmes de dialogue disponibles sur un site internet et permettent aux utilisateurs de poser des questions à un programme automatique.

Pour qu’ils puissent fonctionner correctement, certaines données personnelles peuvent être récoltées par ces dispositifs, imposant donc une conformité au règlement général sur la protection des données (RGPD), même si leur accès ne nécessite pas d’inscription.

En plus des dispositions générales, des précautions particulières doivent être prises par les responsables des Chatbots.

Cookie nécessaire à la continuité technique du Chatbot

Pour que l’internaute puisse naviguer sur le site, tout en conservant la conversation avec le Chatbot, un cookie doit être déposé. Deux cas de figure sont possibles :

• le cookie est déposé avant l’activation du Chatbot par l’utilisateur : son consentement libre, spécifique, éclairé et univoque doit être récolté au préalable ;
• le cookie est déposé au moment de l’activation du Chatbot par l’utilisateur qui clique sur la fenêtre : son consentement préalable n’est pas requis.

La conservation des données

La CNIL précise que les données peuvent et doivent être conservées le temps nécessaire à la finalité du traitement. Si l’internaute a pu obtenir une réponse à sa question à la fin du dialogue, les données devront être directement effacées. Si sa question requiert un délai de traitement plus important, les données pourront être conservées jusqu’à la clôture de la demande.

Prises de décisions de l’internaute et collecte de données sensibles

Une décision importante qui entraine des conséquences juridiques pour une personne ne peut être récoltée par l’intermédiaire d’un Chatbot entièrement automatisée sauf si :

• la personne a donné son consentement explicite ;
• la décision est nécessaire à l’exécution d’un contrat entre l’internaute et le responsable de la récolte des données ;
• la décision est autorisée par le droit de l’Union européenne ou le droit d’un Etat membre.

Enfin, le RGPD interdit la récolte des données dites « sensibles » (informations sur la santé, les opinions politiques, la prétendue origine raciale ou ethnique, etc). Cette disposition s’applique également au Chatbot.

Toutefois, il existe deux exceptions à cette règle si :

• la collecte est prévisible et le traitement pertinent : le responsable du traitement devra veiller à ce que les dispositions du RGPD concernant les données sensibles soient scrupuleusement respectées ;
• la collecte est imprévisible : il est nécessaire de mettre en garde l’utilisateur et de mettre en place un système de purge régulier.

     => Consultez le guide pratique de sensibilisation au RGPD pour les PME

À noter. L’Union nationale des associations familiales (UNAF), en collaboration avec la CNIL, a établi un guide spécifique à destination des professionnels du secteur social et médico-social qui sont susceptibles de collecter des données personnelles et notamment des données dites « sensibles ».

     => Consultez le guide pour les professionnels du secteur social et médico-social

     => Consultez le guide pour les professionnels du secteur de la gestion locative

     => Consultez le référentiel « gestion commerciale »

     => Consultez le référentiel « gestion des impayés »

Votre marque peut prendre différentes formes...

Le principe. Il n'existe pas de restriction particulière quant à la forme de votre marque. Ainsi, elle est classiquement :

• verbale (nom, slogan, lettres, nombre)
• figurative (logo, dessin)
• semi-figurative (à la fois avec un élément verbal et figuratif)

Mais aussi… De manière plus originale, on peut déposer comme marque une bande sonore (comme un jingle de radio), ou une représentation en trois dimensions (telle que la forme particulière d'une bouteille de boisson).

La condition. Pour pouvoir être déposé en tant que marque, le signe choisi doit impérativement être perceptible par les sens.

Une représentation graphique non-obligatoire. Depuis 2019, il n’y a plus d’exigence tenant à la représentation graphique de la marque : il est donc possible de demander l’enregistrement de marques dites « non traditionnelles » pouvant faire l’objet d’une représentation au moyen de fichiers audio, vidéo ou audiovisuels. Le directeur général de l’Institut national de la propriété industrielle (INPI) a précisé les modalités de représentation de ces marques dites « non traditionnelles ».

La marque verbale. Il s’agit d’une marque composée exclusivement de mots, de lettres, de chiffres, ou d’autres caractères typographiques (ou d’une combinaison de ceux-ci).

Quelle représentation ? Elle doit être représentée par une reproduction du signe en écriture et mise en page standard, sans caractéristique graphique et sans couleur.

La marque figurative. Il s’agit d’une marque qui emploie des caractères, une stylisation ou une mise en page non standard, une couleur ou une caractéristique graphique, ou qui est composée exclusivement d’éléments verbaux et figuratifs ou d’une combinaison de ces mêmes éléments.

Quelle représentation ? Elle doit être représentée par une reproduction du signe qui doit montrer l’ensemble des éléments qui le compose (couleurs comprises).

La marque de forme. Il s’agit d’une marque qui consiste en une forme tridimensionnelle, y compris les récipients, le conditionnement, le produit lui-même ou son apparence.

Quelle représentation ? Elle doit être représentée par une reproduction graphique de la forme, y compris une image créée par ordinateur ou une photographie. Notez que la reproduction graphique ou la photographie peuvent contenir différentes vues.

La marque de position. Il s’agit d’une marque qui est caractérisée par la façon spécifique dont elle est placée ou apposée sur le produit.

Quelle représentation ? Elle doit être représentée par une reproduction identifiant la position de la marque et sa taille ou sa proportion par rapport aux produits concernés. Cette reproduction peut être accompagnée d’une description détaillant la façon dont le signe est apposé sur les produits.

La marque de motif. Il s’agit d’une marque qui consiste exclusivement en un ensemble d’éléments répétés de façon régulière.

Quelle représentation ? Elle doit être représentée par une reproduction montrant la répétition du motif. Cette reproduction peut s’accompagner d’une description précisant la façon dont ses éléments se répètent.

La marque de couleur. Si la marque consiste en une couleur unique et sans contour, elle doit être représentée par une reproduction de la couleur et une indication de cette couleur par référence à un code d’identification généralement connu.

En revanche, si la marque consiste en une combinaison de couleurs sans contour, elle doit être représentée par une reproduction qui montre l’agencement de la combinaison de couleurs, ainsi qu’une indication de ces couleurs par référence à un code d’identification généralement connu. Notez que cette reproduction peut être accompagnée d’une description précisant l’agencement des couleurs.

La marque sonore. Il s’agit d’une marque composée entièrement d’un son ou d’une combinaison de sons.

Quelle représentation ? Elle doit être représentée par un fichier audio reproduisant le son, ou par une représentation fiable de son en notation musicale (par exemple, une partition).

La marque de mouvement. Il s’agit d’une marque qui consiste en un mouvement ou un changement de position des éléments de la marque.

Quelle représentation ? Elle doit être représentée par un fichier vidéo ou par une série d’images fixes séquentielles montrant le mouvement ou le changement de position. Notez que si la représentation est réalisée sous la forme d’une série d’images fixes, celles-ci peuvent être numérotées ou accompagnées d’une description expliquant la séquence.

La marque multimédia. Il s’agit d’une marque qui consiste en une combinaison d’image et de son.

Quelle représentation ? Elle doit être représentée par un fichier audiovisuel qui contient à la fois l’image et le son.

La marque hologramme. Comme son nom l’indique, il s’agit d’une marque composée d’éléments présentant des caractéristiques holographiques.

Quelle représentation ? Elle doit être représentée par un fichier vidéo ou une reproduction graphique ou une photographie contenant les vues nécessaires pour une identification suffisante de l’effet holographique complet. Si la représentation est réalisée sous forme graphique ou photographique, elle doit porter sur la série des éléments holographiés à l’exception de l’hologramme lui-même.

Focus sur les indications géographiques. Le directeur de l'INPI peut protéger une indication géographique de produits en porcelaine.

En détails. Cette démarche vise à :

• identifier la zone géographique dont ces produits sont originaires ;
• faire reconnaître que ces produits possèdent une caractéristique particulière qui est essentiellement liée à cette zone en particulier.

Pour la petite histoire. Il a été jugé que l’indication géographique d’un produit peut être protégé dès lors que leur fabrication résulte d’un savoir-faire traditionnel local, même si celui-ci n’est pas un secret spécifique.

...à la condition qu'elle soit distinctive et disponible...

Le principe. Pour pouvoir être déposé à titre de marque auprès de l'INPI, le signe choisi doit impérativement être distinctif et doit à ce titre être perçu comme jouant le rôle d'une marque pour le consommateur.

L'exigence de « distinctivité ». Le caractère distinctif est l'élément qui permettra de reconnaître l'entreprise à l'origine de la fabrication des produits parmi ses concurrentes. A contrario, le signe ne peut être descriptif du produit ou du service qu'il sert à identifier.

Exemple. La marque « Téléphone » pour identifier des téléphones mobiles ne serait pas considérée comme distinctive mais plutôt comme descriptive de ce que sont les produits. En revanche, la marque « Téléphone » pourrait tout à fait être enregistrée pour des vêtements ou encore des voitures.

Exemple (bis). Il a récemment été jugé que le signe « achtung ! » ne comporte aucun distinctif lui permettant d’être enregistré comme marque de l’Union européenne : le terme « achtung ! » est, dans la langue allemande, un terme couramment utilisé pour mettre en garde le public ou attirer son attention sur certains produits, afin de les convaincre de leur qualité supérieure ou de leur prix avantageux. Tout fournisseur peut donc valablement utiliser ce terme à des fins publicitaires, y compris ceux qui exercent une activité similaire à celle de la société candidate à l’enregistrement du signe en tant que marque. Le juge a donc estimé qu’il est probable que les consommateurs perçoivent ce signe comme un message publicitaire habituel, et non comme l’indication de l’origine commerciale des produits et services vendus.

Et si c’est un adjectif ? Il a été jugé que le terme « Giant », déposé pour des articles de fast-food, ne pouvait être valablement enregistré en tant que marque dès lors qu’il désignait le caractère volumineux des aliments commercialisés par l’entreprise, sans être distinctif des autres produits commercialisés par les concurrents. Le fait qu’un sondage, réalisé 8 ans après le dépôt, indique que 44 % des français considèrent le terme « Giant » comme marque n’a pas d’incidence, dès lors qu’il ne permet pas d’apprécier la situation existante au moment de l’enregistrement de celle-ci.

L'exigence de « disponibilité ». Vous ne pouvez déposer comme marque un signe faisant déjà l'objet d'une marque préalablement enregistrée. Toutefois, il faut savoir qu'il est en principe possible de déposer un signe pour des produits relevant d'un secteur d'activité, alors que quelqu'un d'autre aurait auparavant déposé le même signe mais pour des produits d'un secteur différent.

Exemple. « Tadam » pour des chaussures et « Tadam » pour des pneumatiques. C'est ce que l'on appelle le principe de spécialité.

Le principe de « territorialité ». La disponibilité des signes s'appréciant sur un territoire donné, il est également tout à fait possible d'enregistrer un signe disponible en France qui avait déjà été déposé en Inde.

Attention ! Une limite doit être apportée. Dès lors qu'une marque est suffisamment renommée et reconnue dans son secteur d'activité, celle-ci devient complètement indisponible et ne pourra être utilisée pour d'autres produits ou services !

Comment faire ? Vous pouvez vous faire une première idée de la disponibilité du signe que vous avez choisi via le site de l'INPI en suivant le lien suivant : http://bases-marques.inpi.fr/. Pour une recherche plus exhaustive, il est recommandé de faire appel à un avocat spécialisé en propriété intellectuelle ou à un conseil en propriété industrielle. À défaut d'une bonne recherche préalable et en cas de dépôt trop hâtif, vous prenez le risque d'être traduit en justice pour contrefaçon de marque par un concurrent ayant préalablement enregistré le signe que vous aviez choisi.

Conseil. N’oubliez pas que choisir une marque sans étude préalable des marques existantes, c'est s'exposer à des risques d'actions en contrefaçon. Rappelez-vous qu'une marque est la garantie d'origine d'un produit ou d'un service et joue le rôle d'un point de repère pour le consommateur. Une annulation de la marque après commercialisation de produits sous son nom serait préjudiciable pour l'avenir de l'entreprise. Ne négligez donc pas l'étape de la recherche d'antériorités, qui reste à votre charge.

S’opposer à l’enregistrement d’une marque ? Pour rappel, une entreprise peut s’opposer à l’enregistrement d’une nouvelle marque si celle-ci présente un risque de confusion avec la sienne aux yeux du public.

Un risque de confusion ? Le risque de confusion entre 2 marques s’apprécie notamment en fonction de 2 facteurs distincts, que sont :

• la similitude éventuelle entre les signes des différentes marques ;
• l’intensité de la renommée de la marque antérieure.

Pour la petite histoire. Une société découvre qu’un concurrent a demandé l’enregistrement d’une marque qui ressemble fortement à la sienne. Trop ressemblante, à son goût : elle conteste donc cet enregistrement auprès de l’INPI. Selon elle, le concurrent veut notamment profiter de la renommée de sa propre marque … Or, l’utilisation d’un signe similaire à une marque renommée, sans autorisation de son titulaire, est strictement interdite. Dans cette affaire, le juge a toutefois estimé qu’en dépit de quelques similarités, les 2 marques ne produisent pas la même impression d’ensemble, ce qui écarte donc tout risque de confusion, peu importe la renommée de la marque de la société ici…

Pour la petite histoire bis. Il a été jugé que le simple fait de déposer une marque ne constitue pas, en soi, un acte de contrefaçon. Pour qu’il y ait contrefaçon il faut que la marque en question ait été utilisée à des fins commerciales.

...toutefois certains signes sont strictement interdits.

Ordre public et bonnes mœurs. En premier lieu, tout signe affectant l'ordre public et les bonnes mœurs est interdit. Ainsi, une marque ne pourra pas être enregistrée dès lors qu'elle est choquante aux yeux du public. Notamment, ne pourra être déposé comme marque un signe incitant à la haine raciale ou à la violence. Par ailleurs, la marque ne doit pas faire référence à des produits illicites, ou encore ne doit pas aller contre une législation.

Signes trompeurs. Également, le rôle d'une marque est avant tout de protéger le consommateur en lui permettant d'identifier les produits qu'il consomme. Sur ce point, la marque ne doit pas tromper le consommateur sur les caractéristiques du produit.

Exemple 1. La marque « Pharmavue » pour des lunettes serait considérée comme trompeuse si les lunettes n'étaient pas commercialisées en pharmacie.

Exemple 2. Un signe utilisé pour référencer un canapé (Karawan) peut constituer une contrefaçon de la marque « Caravane » déposée par une société concurrente pour commercialiser des canapés.

Signes et emblèmes officiels. En outre, un signe officiel ne peut pas être déposé à titre de marque.

Exemple. Sont exclues les marques représentant des drapeaux d’États ou d'organisations, ainsi que les identifications géographiques.

Focus sur la renonciation. Tout titulaire d’une marque peut y renoncer, en suivant un formalisme strict. Il peut également mandater un tiers pour le faire à sa place : à ce sujet, le juge a récemment rappelé qu’un mandataire du titulaire d’une marque ne peut valablement renoncer à celle-ci qu’à la condition de détenir un pouvoir spécial pour le faire.

Le point sur la déchéance de droits. Le titulaire d’une marque peut se voir déchu de ses droits à l’expiration d’un délai de 5 ans pendant lequel il n’en a pas fait un « usage sérieux » (c’est-à-dire qu’il ne l’a pas exploitée).

Pour la petite histoire. À ce sujet, il a déjà été jugé que le titulaire d’une marque déchu de ses droits à la suite de l’inexploitation de sa marque pendant 5 ans peut toutefois réclamer une indemnisation pour l’atteinte portée à ses droits pour la période pendant laquelle il était encore titulaire de ceux-ci. Peu importe le fait qu’il n’exploitait pas effectivement sa marque durant ce délai.

À noter. Pour aider les dirigeants d’entreprise à élaborer leur stratégie en matière de propriété intellectuelle, l’INPI a publié un guide du management de la PI que vous pouvez télécharger ici.

Une protection nationale ou européenne ?

Une protection nationale. Le dépôt d’une marque auprès des services de l'INPI permet d’en obtenir une propriété exclusive à l’échelle nationale.

Toutefois, lorsqu’un professionnel souhaite vendre ses produits et/ou services sur un marché européen, il peut être nécessaire d’effectuer des démarches supplémentaires afin d’obtenir un titre de propriété industrielle européen. Le dépôt, dont le montant varie en fonction de la nature des produits et services concernés, peut se faire directement sur le site de l’Office de l’Union européenne pour la propriété intellectuelle (EUIPO), accessible ici.

Attention, il est possible que l’enregistrement d’une marque soit annulé, notamment s’il est prouvé que la société qui l’a demandé a effectué cette demande de mauvaise foi.

Dépôt de marque : une subvention possible ?

Pourquoi ? Le dépôt d’une marque, d’un brevet, d’un dessin ou d’un modèle engendre des frais. Une subvention européenne a été mise en place pour permettre aux petites et moyennes entreprises (PME) d’obtenir un remboursement partiel des frais liés aux :

• demandes de dépôts de marques, de dessins et modèles au niveau national, régional, de l’Union européenne (UE) ou international, à hauteur de 1 500 € par an et par entreprise ;
• demandes de brevets en Europe au niveau national, à hauteur de 750 € par an et par entreprise.

Pour qui ? Les entreprises pouvant en bénéficier doivent répondre à la définition officielle d’une PME communautaire, c’est-à-dire qu’elles doivent avoir :

• un chiffre d’affaires inférieur ou égal à 50 M€ ou un total de bilan inférieur ou égal à 43 M€ ;
• un effectif de moins de 250 salariés.

Comment ? Les demandes peuvent être déposées via le formulaire disponible ici.

Cybersécurité : protégez votre appareil informatique

Ne négligez pas les mises à jour ! Il est important de mettre régulièrement à jour votre appareil informatique (téléphone portable, tablette, ordinateur, etc.), notamment en ce qui concerne vos logiciels anti-virus. Respectez les conditions d’utilisation et faites attention avant de télécharger un logiciel.

Verrouillez les accès ! Il est également important de verrouiller l’accès à votre profil utilisateur afin de protéger vos documents en mettant en place un mot de passe (le plus complexe possible).

Sauvegardez vos fichiers ! N’oubliez pas de sauvegarder régulièrement vos fichiers dans des supports suffisamment sécurisés. À ce sujet, on peut facilement rechigner à sauvegarder des fichiers dans le cloud ou des supports extérieurs à l’entreprise, et préférer une sauvegarde interne. Cela étant, et spécialement dans les petites structures qui ne sont pas nécessairement dotées d’une infrastructure informatique suffisante, il ne faut pas oublier que les différents cloud proposés par des entreprises spécialisées sont souvent bien mieux sécurisées que des petits serveurs internes.

Pour trouver un prestataire de confiance, il est possible de se référer à la qualification SecNumCloud. Ce visa de sécurité, mis en place initialement en 2016, a été actualisé plusieurs fois afin de garantir que les prestataires certifiés offrent un niveau de sécurité des plus élevés concernant les données hébergées.

Cybersécurité : protégez les achats en ligne

2 types de site web à connaître ! Pour mémoire, il existe 2 sortes de sites web : ceux qui commencent par « http » et ceux qui commencent par « https ».

Url commençant par « http » : vigilance ! Il est recommandé de ne pas accepter de créer un compte sur un site web dont l’url commence par « http » car les informations peuvent être interceptées par des tiers. Le sigle « https » signifie que l’entreprise a doté son site web d’un certificat de sécurité.

Cybersécurité : protégez vos mots de passe

Vigilance ! Les sites web peuvent connaître des problèmes de sécurité qui permettent à des tiers d’accéder aux mots de passe. C’est pourquoi il est recommandé de varier vos mots de passe : 1 compte = 1 mot de passe.

Multiplier les mots de passe : un casse-tête. Multiplier les mots de passe peut être source de difficultés, d’autant que certains sites web peuvent imposer le recours à un nombre de caractère minimal ou à une majuscule. Comment faire pour retenir tous ces mots de passe ? Il peut être opportun de recourir à un logiciel de gestion des mots de passe. Une autre méthode, plus artisanale, consiste à noter les mots de passe sur un carnet.

Cybersécurité : protégez votre messagerie

Vigilance ! Si une adresse électronique permet d’échanger très facilement, c’est également par ce biais que des courriers électroniques frauduleux sont envoyés par des escrocs afin de récupérer des informations confidentielles (code d’accès, informations bancaires, etc.).

Attention aux mails frauduleux ! Il faut faire attention lorsque vous recevez un mail vous réclamant des données confidentielles. Notez que ces mails vont tenter, souvent, de vous faire croire que l’expéditeur est un organisme public.

Comment réagir ? C’est ce qui a amené l’administration fiscale à rappeler qu’elle ne réclame jamais de coordonnées bancaires ou d’informations personnelles par mails et que vous :

• ne devez pas répondre à ces mails ;
• ne devez pas cliquer sur les liens à l’intérieur du mail (ils peuvent vous rediriger vers un faux site) ;
• devez supprimer le mail de votre boîte aux lettres.

Signalez l’escroquerie ! Pour tout renseignement ou pour signaler une tentative d’escroquerie, l’administration fiscale précise que vous pouvez :

• vous rendre sur le site web « internet-signalement.gouv.fr » ;
• appeler par téléphone le numéro vert gratuit suivant mis en place par le Gouvernement : 0 805 805 817.

Cybersécurité : utilisez les réseaux sociaux avec précaution

Vigilance ! Les réseaux sociaux sont un formidable outil de communication. Pour autant, il faut être prudent dans leur usage et dans le contenu de ce qui est communiqué.

Qui communique avec vous ? Il est important de vous assurer de l’identité de la personne avec qui vous échangez et qui vous réclame des informations. Il existe, en effet, des situations dans lesquelles l’interlocuteur va vous mettre la pression, en évoquant une situation d’urgence, afin de vous soutirer des informations confidentielles qu’il pourra utiliser, bien souvent contre vous.

Cybersécurité : fuite massive de données personnelles

En cas de fuite massives de données personnelles, sachez que le responsable du traitement de ces données à deux obligations :

• prévenir la CNIL dans les 72 heures après avoir eu connaissance de la fuite des données ;
• informer individuellement les personnes concernées de la publication de leurs données lorsqu’il y a un risque élevé pour leurs droits et libertés ;

Cybersécurité : le point sur les rançongiciels

Le contexte en avril 2021. Les cyberattaques se multiplient depuis ces dernières semaines et peuvent adopter la forme de « rançongiciels », c’est-à-dire de programmes malveillants qui mettent l’ordinateur ou le système d’information de la victime hors d’usage et conditionnent son rétablissement au paiement d’une rançon.

Se prémunir contre les attaques. Selon la CNIL, ce type d’attaque peut être favorisé par divers défauts de sécurité au niveau du système informatique de la victime, parmi lesquels :

• le cloisonnement insuffisant du réseau entre les différents serveurs et entre les postes des utilisateurs et les serveurs ;
• l’absence de dispositif de détection automatisée de chiffrement massif de fichiers ;
• l’absence de sauvegarde de leurs données par les organismes concernés.

Les conseils de la CNIL. À cette fin, la CNIL rappelle qu’il est préconisé que le responsable de traitement de données mette en place toutes les mesures techniques et organisationnelles appropriées pour renforcer le niveau de sécurité des données, ainsi que la confidentialité, l’intégralité et la disponibilité des systèmes d’information informatiques.

En pratique. Ces mesures de précaution se matérialisent notamment par :

• la réalisation de sauvegardes « hors ligne » des données, afin de permettre la restauration du système informatique sur des bases considérées comme « saines » en cas d’attaques ;
• la sensibilisation du personnel aux risques de sécurité et aux bonnes pratiques à suivre dans l’hypothèse d’une cyberattaque, notamment aux fins d’éviter le téléchargement de fichiers malveillants reçus par voie de « hameçonnage », qui est une technique de fraude qui leurre l’utilisateur en vue d’obtenir la communication de ses données personnelles ;
• la mise en œuvre d’un mécanisme de détection de l’altération massive des fichiers, en particulier par chiffrement.

En cas d’attaque. En cas de cyberattaques par rançongiciels, la CNIL préconise l’adoption de diverses mesures de protection :

• l’extinction de l’ensemble des machines susceptibles d’être touchées par l’attaque et l’alerte immédiate du service informatique de la structure ;
• le refus de payer la rançon, puisque ce paiement ne garantit pas la restitution des données devenues illisibles et peut être susceptible de favoriser d’autres attaques de ce type ;
• la constitution d’un dossier de preuves relatives à l’attaque, qui peuvent notamment prendre la forme de copies des postes et serveurs touchés et des fichiers chiffrés ;
• le dépôt d’une plainte auprès des services de police et de la gendarmerie, et le recours, si le besoin s’en fait sentir, à un avocat spécialisé en la matière.

À noter. Notez que la mise en relation avec un professionnel spécialisé peut s’effectuer via le site cybermalveillance.gouv.fr.

L’alerte à la CNIL. Dès lors qu’il existe un risque pour la vie privée des personnes, il est impératif de notifier à la CNIL la violation des données informatiques d’un système, que celle-ci soit d’origine accidentelle ou illicite.

Quand ? Cette notification doit être faite dans les meilleurs délais, et au plus tard 72 heures après en avoir pris connaissance.

Pourquoi ? Elle a pour but de permettre à la CNIL de déterminer si les personnes concernées par cette violation de données doivent être averties de l’attaque afin d’être en mesure de prendre les mesures appropriées pour en limiter les effets.

Comment ? L’organisme victime de l’attaque doit donc s’astreindre au respect des étapes suivantes :

• consigner l’incident dans le registre des violations des données ;
• notifier l’incident auprès de la CNIL en cas de risque pour les droits des personnes concernées ou s’il s’agit d’une violation de données sensibles (données de santé, etc.) ;
• informer les personnes concernées de l’attaque en cas de risque élevé, notamment au vu de la nature de la violation et de ses conséquences possibles et leur communiquer l’ensemble des mesures prises pour y remédier et en limiter les conséquences.

Un guide d’accompagnement. Un guide a récemment été publié pour aider les TPE et PME à renforcer leur protection contre la cybermalveillance. Celui-ci propose des recommandations concrètes en matière de sécurité numérique.

=> Consultez le guide de cybersécurité pour les TPE et PME

Pour les professionnels de l’informatique. L’ANSSI met à disposition 3 guides pour éclairer les professionnels de l’informatique sur les choix à faire lors de l’étape de remédiation.

Cybersécurité : faire appel à une entreprise labélisée « ExpertCyber »

Qu’est-ce que le label « ExpertCyber » ? Le label « ExpertCyber » permet aux entreprises victimes de cyberattaques, ou à celles qui souhaitent s’en prémunir, d’identifier facilement les professionnels proposant des prestations de qualité dans le domaine de la sécurité numérique.

Pour qui ? Cette labélisation est ouverte aux entreprises de toute taille proposant des services informatiques à une cible professionnelle et justifiant d’une expertise en sécurité numérique. Il couvre les domaines suivants :

• systèmes d’informations professionnels (informatique, logiciels bureautiques, messageries, serveurs…) ;
• téléphonie (serveurs téléphoniques professionnels) ;
• sites Internet (administration et protection).

Comment ? Les professionnels intéressés par cette labélisation en font la demande via la plateforme : https://expertcyber.afnor.org/. Ils sont ensuite évalués pour s’assurer qu’ils respectent certains critères :

• le professionnel est en conformité administrative et il respecte la réglementation en matière de sécurité des données ;
• le service en sécurité numérique proposé est de bonne qualité ;
• les salariés de l’entreprise sont compétente pour effectuer des services en sécurité numérique.

Cyberattaques : un nouveau dispositif de prévention pour les petites entreprises !

Le contexte. Pour enrayer la diffusion de toute cyberattaque, le Gouvernement a décidé de renforcer les outils de prévention mis à la disposition des entreprises, et notamment des plus petites, qui peuvent se trouver démunies dans ce type de situation.

La mesure. À cette fin, il vient d’annoncer la mise en place d’un nouveau dispositif d’alerte cyber, qui leur est dédié.

Il fonctionnera de la manière suivante : dans le cas où une vulnérabilité ou une campagne d’attaque particulièrement nocive pour les petites entreprises sera identifiée, le dispositif national d’assistance aux victimes Cybermalveillance.gouv.fr et l’Agence nationale de la sécurité des systèmes d’information (ANSSI) rédigeront une notice à destination des dirigeants d’entreprises qui ne sont pas spécialisées dans la cybersécurité.

Et après ? Cette note sera transmise aux organisation interprofessionnelles (MEDEF, CPME et U2P), qui seront à leur tour chargées de la relayer le plus largement possible aux entreprises avec lesquelles elles sont en contact.

L’objectif est de garantir une circulation de l’alerte plus rapide, afin de permettre aux entreprises de mettre en place les actions immédiates requises pour protéger leur activité.

Notez qu’un exemple de notice d’alerte est disponible ici.

Cybersécurité : une nouvelle plateforme pour déposer plainte

Comment ? Si vous êtes victime d’une escroquerie ou d’une arnaque sur internet vous pouvez désormais déposer une plainte en ligne via la plateforme France Connect, ou par le biais d’un signalement sur le site service-public.fr.

Pour quels agissements ? Les situations pouvant être dénoncées en ligne via ce dispositif sont :

• les piratages de boites mails ou de messageries instantanées (réseaux sociaux par exemple) ;
• les chantages en ligne telles que les menaces portant atteintes à l’honneur contre une somme d’argent et les rançongiciels (déblocage d’un logiciel contre de l’argent) ;
• les escroqueries à la romance ou « romance scam » (le fait de prendre une fausse identité pour gagner l'affection d'une personne pour lui soutirer de l'argent) ;
• les escroqueries via les petites annonces ;
• les fraudes sur les sites de vente.

Un Cyberscore pour certaines plateformes Web !

De plus en plus de médias se font l’écho de failles de sécurité et d’affaires de vol de données personnelles sur internet.

Pour permettre aux internautes de mieux connaître la sécurité des sites Web qu’ils fréquentent, un « Cyberscore » (construit sur le modèle du Nutriscore) va être mis en place à partir du 1^er octobre 2023.

Concrètement, les opérateurs de plateformes web concernés vont devoir réaliser un audit de cybersécurité de leurs sites et, au vu des résultats, devront afficher un visuel « Cyberscore ».

Cet audit doit être effectué par des prestataires qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Notez qu’un décret à venir viendra prochainement lister les plateformes, réseaux sociaux et sites de visioconférence concernés par le « Cyberscore ». De même, des précisions concernant les critères pris en compte par l'audit de sécurité seront bientôt publiées. À suivre…

Choisir un nom de domaine

Pourquoi ? Pour faire simple, le nom de domaine correspond à l’adresse de votre site web sur Internet : sans nom de domaine, aucune possibilité pour un internaute d’accéder à votre site web, et donc de vous apporter du trafic. D’où l’importance évidente d’être titulaire d’un nom de domaine valide…

Une grande importance… Véritable carte d’identité de l’entreprise sur Internet, tout autant que son enseigne, le choix d’un nom de domaine ne doit pas être le fruit d’un simple hasard. Au moment de faire un choix de nom de domaine, au-delà de sa disponibilité, il faut veiller à ce qu’il soit source de visibilité pour l’entreprise.

Des caractéristiques précises. Un nom de domaine se compose d’un nom et d’une extension. Le nom choisi correspond en général, soit à votre marque, soit au nom de votre entreprise. Ainsi, par exemple, le nom de domaine www.weblex.fr est composé d’un nom « weblex » et d’une extension « .fr ». Vous avez donc deux choix à faire.

Choisir un nom. Idéalement, parce que le nom de domaine ne dispose pas de statut juridique précis, choisissez un nom qui fait déjà l’objet d’une protection juridique existante (comme un nom de marque ou de société qui aura été déposé auprès des services de l'Institut national de la propriété intellectuelle, l’INPI par exemple), et dont vous aurez, au préalable, vérifié la disponibilité, par le biais d’une recherche d’antériorité. Ensuite, vérifiez que le nom choisi ne porte pas atteinte au droit de la propriété intellectuelle et ne correspond effectivement pas au nom ou à une marque d’une autre société. Une recherche d’antériorité peut s’imposer.

Conseils. Privilégiez un nom relativement court, facile à mémoriser. Vous pouvez choisir plusieurs noms qui peuvent être séparés par un tiret ou un point. Sachez que les accents sont désormais autorisés et que vous pouvez associer un chiffre (de 0 à 9).

Choisir une extension. Il vous faut, ensuite, choisir une extension qui correspond à une zone d’enregistrement. Il s’agit là d’une étape importante qui va dépendre de votre stratégie de communication sur le web, tout autant que de votre stratégie commerciale.

Laquelle ? Il est possible de regrouper les extensions en 3 grandes catégories :

• Les zones géographiques : on retrouve ici les extensions en « .fr » (qui peut être attribué à toute société basée dans l’Union Européenne), en « .be », en « .uk », « .eu » (extension officielle des pays situés dans l’Union Européenne), etc.
• Les génériques : on classe dans cette catégorie les « .com » qui correspondent à une extension internationale pour les sites à vocation commerciale, les « .org » originellement destinés aux associations ou autres organismes, les « .biz », les « .net », etc.
• Les secteurs : pour information, l'agence indépendante chargée de réglementer les noms de domaine internet, l'ICANN, a ouvert la possibilité de créer de nouvelles extensions de nom de domaine par secteur ; on pourra ainsi, par exemple, retrouver des extensions du type « .paris », « .buzz », « .bzh », « .corsica », « .music », etc. Renseignez-vous auprès du prestataire chez qui vous envisagez de réserver votre nom de domaine pour vérifier les extensions possibles.

Conseils. Ayez toujours à l’esprit une logique de protection contre le cybersquatting : pensez à réserver votre nom de domaine sous plusieurs extensions (par exemple en « .fr », en « .com », en « .net », etc.). Si vous envisagez de vous développer à l’international, pensez aussi à réserver l’extension géographique des pays visés. Toutefois, face à l’impossibilité de réserver l’ensemble des combinaisons de nom de domaines pour toutes les extensions, l’enregistrement de votre nom à titre de marque peut se révéler très utile. Ainsi, par exemple, l’enregistrement de la marque « WEBLEX » permettra de s’opposer à la réservation des noms de domaine « web-lex.fr » ou « web-lex.com » pour une activité identique.

Enregistrer un nom de domaine

Qui s’en occupe ? Voilà une question qui doit mériter toute votre attention. Dans la plupart des cas, les entreprises confient la réalisation de leur site internet à des prestataires extérieurs qui se chargeront de tout, y compris de la réservation du nom de domaine. Vérifiez que cette réservation est bien effectuée à votre nom ou celui de votre entreprise ; si ce n’est pas le cas, contractualisez un transfert du nom de domaine à votre profit. Il est essentiel que ce soit vous ou votre entreprise qui soyez le titulaire effectif du ou des noms de domaine choisi(s).

Vérifiez la disponibilité. C’est une étape essentielle : vous devez vérifier que le nom de domaine choisi est effectivement disponible. Pour cela, vous devez faire une recherche sur Internet en consultant une base WHOIS (par exemple sur www.afnic.fr, www.gandi.net, www.ovh.com, www.nom-domaine.fr, etc.). Toutefois, la disponibilité du terme en tant que nom de domaine ne signifiera pas qu’il est juridiquement disponible. Ainsi, par exemple, l’existence d’une marque antérieure identique ou similaire pour des produits et / ou services identiques ou similaires constituera un obstacle à l’utilisation du nom de domaine envisagé.

Contactez un prestataire. Pour déposer un nom de domaine, adressez-vous à un registraire de nom de domaine (« registrar » en anglais) qui bénéficie d’une accréditation par l’ICANN (Internet Assigned Numbers Authority) : vous pouvez par exemple vous rapprocher de www.ovh.com, www.gandi.net, etc. En général, ces prestataires fournissent des prestations globales, incluant l’hébergement de votre site internet. Sachez que la tarification peut varier d’un prestataire à l’autre.

Conseil. Vous pouvez consulter le site de l’AFNIC (association française pour le nommage internet en coopération) qui gère les extensions « .fr » et qui propose une liste de prestataires agréés.

Réservez ! Attention, l’achat du nom de domaine correspond, en pratique, à une réservation : il s’agit, en quelque sorte, d’une location que vous devez renouveler régulièrement. En règle générale, le registraire vous informe de l’échéance de votre réservation, mais il est fortement conseillé d’assurer un suivi en interne pour être sûr de ne pas rater une échéance.

Enregistrez votre nom de domaine. Vous avez la possibilité de déclarer au registre du commerce et des sociétés (RCS) le nom de domaine de votre site internet. Cette mention figurera alors sur l’extrait K-bis. Cette mention présentera plusieurs avantages : non seulement, cette mention sera un élément de preuve vous permettant de justifier d’une antériorité d’usage du nom de domaine en question (en lui conférant une date certaine), mais vous certifiez aussi auprès de vos partenaires commerciaux que ce nom de domaine n’est pas usurpé et vous appartient effectivement. Voilà pourquoi il apparait nécessaire de déclarer, dès l’immatriculation de l’entreprise au RCS, les noms de domaine attachés à l’exploitation commerciale de l’entreprise.

Comment ? Il s’agit d’une démarche purement déclarative (et facultative) qui peut se faire à 2 étapes de la vie d'une entreprise :

• si vous créez votre entreprise, vous pouvez déclarer votre nom de domaine (voire plusieurs noms de domaines correspondant à plusieurs sites web) en même temps que vous procédez à l’immatriculation au RCS ;
• pour une entreprise existante, vous pouvez ajouter, modifier ou supprimer un nom de domaine sur l’extrait K-bis via le formulaire NDI.

          = > Formulaire de déclaration relative au(x) nom(s) de domaine du ou des site(s) Internet

Pour information. Ces formalités ont un coût, variable selon que vous exercez en société ou à titre individuel, pensez donc à vous renseigner.

Attention à la concurrence déloyale. Une société a été condamnée pour concurrence déloyale : concrètement, son concurrent a déposé un nom de domaine correspondant à son nom commercial et à sa préenseigne. Mais elle n’a pas été assez vigilante et le nom de domaine est tombé dans le domaine public. La société a alors acheté le nom de domaine mais elle a entretenu sciemment la confusion chez la clientèle entre elle et son concurrent, ce qui est caractéristique d’une concurrence déloyale.

Le principe. L’obligation de « délivrance conforme » pesant sur le bailleur d’un local commercial se décline en 2 temps :

• d’abord, elle l’oblige à mettre à disposition de son locataire le local loué et ses accessoires (de type grenier, cave, etc.) ;
• ensuite, elle lui impose d’entretenir le local, afin de le maintenir en bon état.

Mettre à disposition le local loué. Tout bailleur d’un local commercial est donc tenu de mettre à disposition de son locataire le local commercial que celui-ci a loué, et de s’assurer qu’il est « conforme » au contrat.

Cela signifie, en pratique, qu’il est impératif que le local soit conforme à la destination des lieux indiquée dans le bail.

Concrètement, il est impératif que le local soit considéré comme « utilisable », c’est-à-dire :

• qu’il doit être matériellement accessible (ce qui signifie, par exemple, que son entrée ne doit pas être obstruée) ;
• et que l’activité prévue au bail soit possible.

Entretenir le local loué. Le bailleur a également l’obligation de maintenir le local commercial en bon état et d’y faire, à ce titre, toutes les réparations nécessaires (autres que locatives).

Délivrance conforme d’un local commercial : que dit le contrat ?

Obligation de délivrance conforme : est-il possible d’y déroger ? Il arrive que certains baux commerciaux contiennent une ou plusieurs clauses visant à limiter ou à exonérer le bailleur de son obligation de délivrance conforme du local, par exemple :

• en mettant l’exécution de certains travaux à la charge du locataire ;
• ou en indiquant que celui-ci prend le local « dans l’état dans lequel il se trouve ».

Quelle validité ? Si ces clauses sont en principe, et sous réserve de certaines conditions, licites, elles ne doivent toutefois pas conduire à vider de sa substance l’obligation de délivrance conforme pesant sur le bailleur.

À titre d’exemple, on peut considérer que le bailleur qui délivre un local impropre à l’activité du locataire peut voir sa responsabilité engagée et ce, quelle que soit le type de clause qu’il a pu insérer dans le bail.

Manquement à l’obligation de délivrance conforme : quelles sanctions ?

Le principe. Tout locataire qui considère que son bailleur manque à son obligation de délivrer un local conforme au contrat a la possibilité d’engager sa responsabilité.

Concrètement, il peut réclamer :

• l’exécution forcée des travaux nécessaires pour que le local soit conforme à sa destination ;
• le paiement de dommages et intérêts ;
• la résiliation du bail aux torts du bailleur ;
• etc.