Avancé des travaux de la CNIL sur les objets connectés

Communiqués de la CNIL des 23 septembre et 3 octobre 2016

Le marché des objets connectés connait actuellement un fort développement en France, accompagné par celui des réseaux dédiés à la communication entre ces objets où la concurrence entre les différents prestataires s’accentue. Dans ce contexte, les différentes autorités nationales de protection des données réunies au sein du « GPEN » (Global Privacy Enforcement Network) ont lancé en avril dernier un audit international portant sur l’internet des objets [Netcom juin 2016 : « Lancement d’un audit international consacré aux objets connectés », communiqué de la CNIL] sur son site internet.

 

Fin septembre, la CNIL a dressé un bref bilan de ces opérations. Ainsi, elle rappelle tout d’abord que les contrôles, qui ont portés sur 300 objets, se sont concentrés sur trois aspects : (i) l’information des utilisateurs ; (ii) la sécurité des données ; et (iii) le niveau de contrôle des utilisateurs sur l’exploitation de leurs données.

Au niveau international, les autorités ont principalement relevé que l’information des utilisateurs était insuffisante. Ainsi, la majorité des objets testés ne fournissait pas suffisamment de détails en ce qui concerne les modalités de suppression des données, les conditions de stockage ainsi que la collecte et l’exploitation des données.

La CNIL livre également ses propres conclusions, portant sur les douze objets qu’elle a pu tester, dans les domaines de la domotique, de la santé et du bien-être. Pour l’autorité française, la principale critique au regard des pratiques actuelles est que l’information livrée, bien qu’accessible et claire, n’est pas suffisamment spécifique aux objets effectivement utilisés et ne permet pas de savoir ce qu’il adviendra exactement des données. Sur les deux autres aspects des contrôles, en revanche, la CNIL ne relève pas de manquement particulier. Elle estime en effet que les utilisateurs ont un contrôle satisfaisant sur leurs données et que les mesures de sécurité mises en place étaient adéquates. Les observations des autorités nationales concernant la sécurité doivent cependant être mises en perspective avec l’attaque du système de nom de domaine « Dyn » du 21 octobre 2016, ayant conduit à l’inaccessibilité de nombreux sites internet pendant plusieurs heures. En effet, il apparaît que cette attaque par « déni de service distribué » d’une ampleur sans précédent a été perpétrée au moins en partie à l’aide de milliers d’objets connectés, préalablement piratés afin de pouvoir être pilotés à distance (c’est-à-dire dans ce cas précis, afin d’envoyer des milliers de requêtes aux serveurs de Dyn pour provoquer une surcharge). La CNIL et ses homologues se réservent néanmoins la possibilité de procéder dans le futur à de véritables contrôles si cela était nécessaire.

Enfin, quelques conseils d’ordre général sont distillés aux utilisateurs. Ainsi, la CNIL rappelle la nécessité de choisir un mot de passe « fort », d’utiliser un pseudonyme lorsque cela est possible, de limiter le partage de ses données et de les supprimer lorsqu’elles ne sont plus utiles.

Cet audit doit être mis en parallèle avec la préparation par la CNIL de son sixième « pack de conformité » dédié aux véhicules connectés. La CNIL a en effet entamé ces travaux en mars 2016, et propose aujourd’hui un point d’étape. Trois scénarios sont étudiés par la CNIL : à la suite de la collecte dans le véhicule, les données peuvent en effet : (i) y rester ; (ii) être transmises à l’extérieur pour les besoins d’un service donné (ex : les contrats d’assurance de type « pay as you drive ») ; ou (iii) être transmises à l’extérieur pour ensuite déclencher une action automatique dans le véhicule (ex : infotrafic). A ce stade, la CNIL rappelle seulement quelques points. Tout d’abord, elle réaffirme le caractère personnel de certaines données traitées dans le cadre des véhicules connectés (ex : données relatives aux trajets rattachées à une personne physique, notamment à l’aide du numéro d’immatriculation ou de série du véhicule). Ainsi, le pack aura notamment pour objectif de sensibiliser les acteurs sur les obligations générales liées aux traitements de données personnelles, et notamment à adopter le principe d’une protection dès la conception (« privacy by design », principe contenu expressément au sein du Règlement Général sur la Protection des Données).

Sylvain NAILLAT

Téléchargez cet article au format .pdf

Ayant eu connaissance d’une campagne publicitaire nationale visant à faire la promotion des chaussures de la marque KICKERS et reprenant, au sein de ses visuels, les termes « FOREVER YOUNG », il a assigné le distributeur des produits KICKERS en France.

 

Ses demandes ayant été rejetées par le tribunal de grande instance de Rennes, la société BRUNO SAINT HILAIRE, a formé appel de la décision et la Cour d’appel de Rennes, saisie du litige, permet ainsi d’enrichir la jurisprudence déjà fournie sur la protection des slogans publicitaires par le droit des marques.

 

La validité des dépôts de slogans à titre de marque a parfois été contestée, en raison de leur nature évocatrice. Malgré cela, les tribunaux sont souvent réticents à considérer qu’un slogan ne peut, per se, être déposé en tant que marque, l’article L711-1 du Code de la propriété intellectuelle listant parmi les signes pouvant être déposés en tant que marque les « dénominations sous toutes les formes » dont notamment les « assemblages de mots ».

 

Cependant, même déposé, il peut souvent s’avérer difficile pour les titulaires de ces marques d’obtenir une protection sur le fondement du droit des marques, comme l’illustre notamment cet arrêt.

 

En l’espèce, si la validité du dépôt en tant que marque du signe Image de la marquen’était pas contestée ici, le litige portait sur la réalité de l’usage.

 

L’article L714-5 du Code de la propriété intellectuelle énonce en effet qu’ « encourt la déchéance de ses droits le propriétaire de la marque qui, sans juste motif, n’en a pas fait un usage sérieux, pour les produits et services visés dans l’enregistrement, pendant une période ininterrompue de cinq ans ».

 

La société BRUNO SAINT HILAIRE, à qui était opposée l’absence d’usage sérieux du signe Image de la marque, avait soutenu qu’elle utilisait sa marque, en produisant des « photographies de 4 personnes portants des vêtements et chaussures avec la mention Forever Y au-dessus de la marque Saint Hilaire », ou encore « la présentation d’un homme habillé sur un solex devant un panneau où figure les mêmes éléments et alors qu’il constitue un stand publicitaire (…) ». Elle reconnaissait néanmoins que ce signe était utilisé comme concept, ce qu’indiquait d’ailleurs son site : « Forever Y, c’est tout un état d’esprit… avoir confiance en soi, se sentir bien et libre, oser passer à l’acte… être Forever Y ».

 

La Cour d’appel de Rennes a estimé que le signe n’était dès lors pas utilisé dans une fonction d’identification de l’origine des produits, et a prononcé la déchéance de la marque à compter du 1er décembre 2013.

 

 

Si la contrefaçon n’était pour autant pas de facto écartée à ce stade, les actes argués de contrefaçon datant de septembre 2010, la contestation de l’usage effectif à titre de marque a s’est avérée efficace.

 

La Cour d’appel note que le signe FOREVER YOUNG avait été utilisé « dans le cadre des 40 ans de la marque KICKERS », « au sein d’une phrase écrite en langue anglaise, traduite ensuite en langue française », de manière descriptive « de la marque KICKERS éternellement jeune ». Elle estime, par conséquent et de manière plutôt cohérente avec la déchéance prononcée, que là aussi, ces mots étaient utilisés à titre d’expression courante et non à titre de marque. Aucun usage du signe à titre de marque n’ayant été réalisé antérieurement au 1er décembre 2013, la demande sur le fondement de la contrefaçon a par conséquent été rejetée.

 

Sur les demandes formées sur le fondement de la concurrence déloyale, la Cour confirme également le jugement, en estimant que la société BRUNO SAINT HILAIRE ne justifiait pas d’investissement ou de travail particulier pour développer le « concept » FOREVER YOUNG, dont la « valeur économique individualisée » n’était, selon la Cour, pas démontrée.

 

Antoine JACQUEMART