KACERTIS conseille le fonds BREIZH REBOND dans le cadre de son entrée au capital de la société SIGMAPHI

Cabinet Avocats Nantes Kacertis Avocats

KACERTIS (Marie ROBINEAU, Hélène REJOU MECHAIN) accompagne le fonds BREIZH REBOND pour la recapitalisation de la société de SIGMAPHI ACCELERATOR TECHNOLOGIES, un des leaders mondiaux dans la conception et la fabrication des aimants pour les accélérateurs de particules, basé à Vannes.

A cette occasion, le cabinet est plus particulièrement intervenu dans le cadre de la restructuration bancaire et financière du groupe SIGMAPHI ; étape préalable indispensable à l’investissement de BREIZH REBOND.

En investissant 3 M€, BREIZH REBOND vient renforcer les fonds propres de SIGMAPHI. En parallèle, celle-ci va également bénéficier du dispositif d’aides du CODEFI, pour 1,3 M€. Cet apport de fonds va lui permettre de passer un cap et d’accélérer son développement en France et à l’international.

Investisseur Avocat Restructuring : KACERTIS AVOCATS

Investisseur Conseil financier : SO- MG Partners

Cible Avocat Corporate : FIDAL

https://www.lesechos.fr/pme-regions/bretagne/sigmaphi-fait-entrer-breizh-rebond-dans-son-capital-1376256

KACERTIS AVOCATS POURSUIT SON DEVELOPPEMENT

Le cabinet KACERTIS renforce ses équipes et son offre à destination des entreprises et de leurs dirigeants.

Toute l’équipe Kacertis est en effet ravie d’accueillir Marie ROBINEAU en qualité d’associée ainsi que son équipe et, notamment, Hélène REJOU-MECHAIN afin de pouvoir développer la pratique de Restructuring au sein du cabinet.

Marie ROBINEAU est avocate spécialiste en matière de prévention et traitement des entreprises en difficultés / Restructuring. Elle intervient ainsi tant aux côtés de l’entreprise et de ses dirigeants confrontés à des difficultés d’ordre économique, juridique ou financier, qu’aux côtés de ses créanciers ou de ses repreneurs, dans le cadre notamment :

  • de l’assistance dans le diagnostic des difficultés financières, économiques et sociales des entreprises;
  • de l’accompagnement dans le cadre de procédure amiable (mandat ad hoc, conciliation);
  • des négociations d’accords avec les créanciers de l’entreprise;
  • des procédures Prepack (Prepack Plan, Prepack Cession).

KACERTIS AVOCATS, cabinet d’avocats nantais indépendant dédié au conseil et à l’accompagnement des entreprises et de leurs dirigeants en droit des affaires, poursuit ainsi son développement à Nantes et dans l’Ouest.

Revirement de jurisprudence : le dépôt d’une marque n’est pas un acte de contrefaçon

Revirement de jurisprudence en matière de droit des marques : la seule demande d’enregistrement d’un signe, à titre de marque, ne constitue plus un acte de contrefaçon

Dans deux arrêts en date du 13 octobre 2021[1], n°19-20.504, la Cour de cassation rompt avec sa jurisprudence en jugeant que la demande d’enregistrement d’un signe en tant que marque ne constitue pas un acte de contrefaçon au motif que ladite demande, « même lorsqu’elle est accueillie, ne caractérise pas un usage pour des produits ou des services, au sens de la jurisprudence de la Cour de Justice de l’Union Européenne (CJUE), en l’absence de tout début de commercialisation de produits ou services sous le signe.

De même, en pareil cas, aucun risque de confusion dans l’esprit du public et, par conséquent, aucune atteinte à la fonction essentielle d’indication d’origine de la marque, ne sont susceptibles de se produire. »

Autrement dit, le seul dépôt d’une marque ne peut plus constituer un acte de contrefaçon de marque.

La Cour de Cassation s’aligne ainsi, enfin, sur la jurisprudence de la Cour de Justice de l’Union Européenne (CJUE).

En effet, la CJUE, dans un arrêt du 12 juin 2008[2], avait déjà précisé que le titulaire d’une marque enregistrée ne pouvait interdire à un tiers l’usage d’un signe identique à sa marque que si quatre conditions étaient réunies :

  • Un usage dans la vie des affaires, c’est-à-dire qui « se situe dans le contexte d’une activité commerciale visant un avantage économique et non dans le domaine privé» (CJCE 12 nov. 2002, no C-206/01, Arsenal Football Club) ;
  • Un usage effectué sans le consentement du titulaire de la marque ;
  • Un usage pour des produits ou services identiques à ceux pour lesquels la marque est enregistrée ;
  • Un usage qui porte atteinte à une des fonctions de la marque, sachant que sa fonction essentielle est de garantir aux consommateurs la provenance du produit/service.

Or, initialement et de façon constante, selon les juridictions nationales françaises le dépôt à titre de marque d’un signe constituait à lui seul un acte de contrefaçon, indépendamment de son exploitation (en ce sens voir par exemple : Cass, com, 26 nov. 2003, n° 01-11.784) et justifiait à lui « seul l’allocation de dommages-intérêts, peu important (…) l’absence d’usage dans la vie des affaires de la marque contrefaisante ».[3]

Dans l’arrêt examiné, la chambre commerciale de la Cour de cassation opère donc un revirement de jurisprudence en s’alignant sur la position de la CJUE et notamment sa décision Daimler en date du 3 mars 2016.[4]

Elle retient que la demande d’enregistrement d’un signe, à titre de marque, ne constitue pas un acte de contrefaçon dans la mesure où elle ne caractérise pas [encore] un usage pour des produits ou des services, en l’absence de tout début de commercialisation, et ne cause aucun risque de confusion dans l’esprit du public et, par conséquent, aucune atteinte à la fonction essentielle d’indication d’origine de la marque.

Ainsi, un demandeur, dans une action contentieuse, ne pourra plus solliciter – ou sera du moins mal fondé – à demander une réparation spécifique en raison du simple dépôt par le défendeur d’une marque qui serait de nature à porter atteinte aux droits afférents à la marque antérieure.

Notre cabinet reste disponible pour toute question et peut vous accompagner sur l’ensemble de vos problématiques en droit des affaires.

 

Morgane LE LUHERNE – Jérémy SIMON 

Avocats

[1] Com. 13 octobre 2021, n°19-20.504 et 19-20.959

[2] CJUE, 12 juin 2008, aff. C-533/06

[3] Com. 21 février 2012, n°11-11.752

[4] CJUE, 3 mars 2016, aff. C-179/15, Daimler AG

Boycott dans le secteur des transports

Plateformes numériques victimes d’entente par boycott dans le secteur des transports

Dans une décision en date du 9 septembre 2021, n°21-D-21, l’Autorité de la Concurrence a sanctionné plusieurs opérateurs économiques du secteur du transport routier de marchandises pour des pratiques de boycott dirigées contre les plateformes numériques d’intermédiation.

Pour rappel, le boycott collectif a été défini par l’Autorité de la Concurrence comme consistant à « s’entendre, sans motif légitime, pour refuser, soit de fournir un client déterminé, soit de s’approvisionner auprès d’un fournisseur déterminé » ( Aut. Conc., déc. n°12-D-19 du 26 septembre 2012) et constitue ainsi une entente anticoncurrentielle par son objet.

La DGCCRF définit également le boycott anticoncurrentiel comme « toute action collective qui vise à refuser de commercialiser ou d’acheter ou d’exercer des pressions en ce sens à l’égard d’une ou plusieurs entités économiques » (pour plus d’information: https://www.economie.gouv.fr/dgccrf/pratiques-anticoncurrentielles-ententes-anticoncurrentielles-et-boycott-anticoncurrentiel).

Le boycott est donc une action délibérée en vue d’évincer un opérateur économique et ainsi de porter atteinte à la concurrence libre sur le marché. Il peut prendre une forme écrite ou orale, expresse ou tacite et ce, quel que soit l’acteur économique.

En l’espèce, l’Autorité de la Concurrence sanctionne plusieurs acteurs du transport routier de marchandises (bourses de fret, groupements de transporteurs, organisations syndicales) pour avoir participé à une « infraction unique, complexe et continue visant à entraver le développement de nouveaux acteurs du numérique dans le secteur du transport routier de marchandises entre le 29 juillet 2016 et le 28 février 2018. »

Ainsi que le relève l’Autorité de la Concurrence (pt 27) « les plateformes numériques d’intermédiation sont apparues en France, au cours de l’année 2016. Ces plateformes bifaces visent à mettre directement en relation les clients chargeurs avec des transporteurs au travers d’une interface en ligne, en utilisant des méthodes de géolocalisation immédiate. » Ces plateformes permettent d’optimiser considérablement les transports, en réduisant notamment, les retours à vide des camions. Gain de temps, financier mais également à l’impact non négligeable en matière environnementale.

Confrontés à cette concurrence, les opérateurs traditionnels ont alors établi une stratégie commune de blocage visant à limiter le développement de nouvelles plateformes numériques d’intermédiation ainsi qu’à boycotter les logiciels de traçabilité, via notamment, des publications sur internet ou leurs intranets respectifs.

C‘est ainsi que les communications visaient, par exemple, à alerter les adhérents de leurs groupements et syndicats sur les « dangers » allégués résultant de l’utilisation de ces plateformes et logiciels pour la profession et à les appeler à ne pas collaborer avec ces nouveaux acteurs du numérique, en n’hésitant pas à affirmer, par exemple « LA SEULE SOLUTION : NE PAS COLLABORER AVEC CES PLATEFORMES : SANS CAMION ELLES NE PEUVENT RIEN PROPOSER AUX CLIENTS » (pt 658). Le groupement Tred Union étant même allé jusqu’à diffuser une liste des plateformes avec lesquelles ses adhérents avaient interdiction de travailler (pt 412).

Par cette décision, l’Autorité de la Concurrence confirme ainsi la gravité de telles pratiques et la prohibition pour des groupements ou syndicats professionnels de communiquer à leurs adhérents ou de publier sur leur site internet :

  • Une alerte sur les dangers liés à l’utilisation de ces plateformes et logiciels pour la profession ;
  • Un appel à tous les professionnels à ne pas collaborer avec ces plateformes et à « refuser explicitement leurs propositions commerciales » ;
  • La liste des plateformes avec lesquelles les adhérents ont l’interdiction de travailler.

Le montant cumulé des sanctions infligées est de 500 000 €, les sanctions pécuniaires variant de 1.000 € à 350.000 € selon le rôle et les capacités contributives des opérateurs.

L’Autorité de la Concurrence réaffirme, ainsi, son contrôle vis-à-vis de tous les domaines d’activité en considérant que des pratiques anticoncurrentielles ne doivent pas entraver un secteur en profonde mutation liée à l’émergence des nouvelles technologies.

Cette décision rappelle que les situations susceptibles de donner lieu à un boycott prohibé sont très variées :

***

En conclusion, le boycott ou l’appel au boycott sont des pratiques anticoncurrentielles graves qui limitent fortement le jeu de la concurrence et qui constituent des infractions au droit de la concurrence au sens des articles 101 § 1 du TFUE et de l’article L. 420-1 du Code de commerce, dont les sanctions pécuniaires peuvent être lourdes.

Notre cabinet reste disponible pour toute question et peut vous accompagner sur l’ensemble de vos problématiques en droit des affaires.

Jérémy SIMONMorgane LE LUHERNE  – AVOCATS

Département  Contrats – Concurrence – Distribution

 

ACTU KACERTIS

L’équipe de Kacertis Avocats était fièrement représentée, en ce mois de septembre 2021, lors du Triathlon Audencia et de la Leagle Cup, évènements sportifs se déroulant à la Baule.

Trois associés du cabinet ( Anouck Suberbielle, Antoine Thiébaut et Pierre Gauchard) ainsi que Yann Terrien – fondateur de Cours Citron Ecole de Théâtre Nantaise – ont porté haut les couleurs du Barreau de Nantes lors du Triathlon Audencia du 18 et 19 septembre dernier et n’ont pas à rougir de leurs performances tant individuelles que collectives.

L’équipe Kacertis était également représentée, par Morgane Le Luherne, lors de la Leagle Cup qui s’est tenue les 24 et 25 septembre 2021, évènement golfique voyant les avocats et experts-comptables s’affronter à bout de club, en scramble, pendant 18 trous. Une très belle occasion pour chacun de partager la beauté du swing de l’autre ou, au contraire, sa perfectibilité mais surtout, d’échanger entre professionnels du droit et du chiffre.

Kacertis Avocats est un cabinet d’avocats nantais dédié au droit des affaires qui intervient et accompagne ses clients, tant en conseil qu’en contentieux, sur l’ensemble des problématiques que peuvent rencontrer les entreprises et leurs dirigeants, en matière, par exemple, de :

  • transmission d’entreprises, créations et restructurations de sociétés, private equity, opérations de haut de bilan, relations entre associés (dispositions statutaires et pactes, résolution des litiges), etc.
  • rédaction, renouvellement et résolution des litiges en matière de baux commerciaux,
  • contrats, CGV, protection du savoir-faire, des marques, développements logiciels et numériques, des données à caractère personnel etc.
  • relations partenaires, distributeurs, fournisseurs, agents etc.
  • contrats de travail, de relations collectives de travail (télétravail, règlement intérieur, CSE…), suivi au quotidien de la législation, relation employeur/salarié etc.
  • prévention et gestion des entreprises en difficulté (mandat ad hoc, conciliation..), accompagnement dans le cadre des procédures collectives (sauvegarde, redressement, liquidation), présentation d’offre de reprise à la barre, etc.

Toute l’équipe Kacertis se tient à la disposition de ses clients, partenaires et prescripteurs afin de toujours apporter un conseil et un accompagnement sur mesure à haute valeur ajoutée.

contact@kacertis.com

Kafé Actu #1 – Les données RH à l’épreuve du RGPD

3 ans après son entrée en vigueur, le RGPD reste plus que jamais un sujet d’actualité.

Les sanctions de la CNIL se multiplient, et les contentieux individuels des salariés également.

Le RGPD a, en effet, de nombreuses incidences sur la relation entre l’employeur et ses salariés.

Or, bien souvent, l’employeur a du mal à identifier quelles sont ses obligations concrètes quant aux données RH.

C’est pourquoi, le cabinet KACERTIS vous invite à son premier Kafé Actu #1 sur les données RH à l’épreuve du RGPD.

Stéphane BAIKOFF et Anouck SUBERBIELLE, avocates associées, échangeront avec vous sur les situations pratiques que vous pouvez rencontrer : contrôle des communications des salariés, vidéosurveillance, traçage informatique, données des salariés auteurs d’infraction routière…

Pour les plus matinaux, un petit déjeuner d’accueil vous sera proposé dès 7h30.

Lien d’inscription : Kafé Actu #1 – Les données RH à l’épreuve du RGPD Billets, Le jeu 22 juil. 2021 à 07:30 | Eventbrite

 

La CNIL n’épargne ni la grande distribution ni le secteur bancaire !

Une invitation claire à respecter les droits des personnes, et un rappel des conditions d’une information accessible, compréhensible, et transparente.

Selon deux délibérations de la formation restreinte de la CNIL en date du 18 novembre 2020 (n°SAN-2020-008 et n°SAN-2020-009) rendues publiques, la société CARREFOUR et la société CARREFOUR BANQUE ont été condamnées respectivement à une amende de 2 250 000 € pour la première, et à une amende de 800 000 € pour la seconde.

Des sanctions lourdes dès lors que les manquements constatés étaient nombreux, et consistaient dans le non-respect de :

  • L’obligation d’information dont les mentions sont fixées à l’article 13 du RGPD;
  • La réglementation applicable aux cookies résultant de l’article 82 de la Loi informatique et libertés;
  • L’obligation de limiter les durées de conservation nées de l’article 1 e du RGPD;
  • L’obligation de faciliter l’exercice des droits fixée à l’article 12 du RGPD; et d’en garantir un exercice effectif selon les articles 15 et 21 du RGPD, et L.34-5 du code des postes et communications électroniques ; s’agissant notamment du droit d’opposition, et du droit à l’effacement des données, qui n’étaient pas systématiquement pris en compte ;
  • L’obligation de traiter les données de manière loyale en exécution de l’article 5 du RGPD;
  • L’obligation de sécuriser les données à caractère personnel traitées née de l’article 32 du RGPD.
  • L’obligation de notifier les violations de données à caractère personnel selon l’article 33 du RGPD.

L’on ne présente plus le groupe CARREFOUR, géant de la grande distribution, qui a diversifié ses activités et intervient désormais dans le secteur bancaire ou assurantiel, ou encore comme agence de voyages ou vendeur spécialisé dans le commerce en ligne.

Ce sont donc ses filiales, la société CARREFOUR France, dont l’activité principale est la grande distribution, et la société CARREFOUR BANQUE, établissement bancaire qui propose notamment des crédits à la consommation, qui viennent d’être lourdement sanctionnées par la CNIL en leurs qualités de responsable de traitement, suite à des contrôles réalisés en ligne et sur place.

A l’origine de la décision de diligenter un contrôle de la CNIL, le nombre important de plaintes formées contre les sociétés du groupe CARREFOUR pour non-respect des dispositions du RGPD. En effet, la CNIL a reçu 15 plaintes de particuliers entre juin 2018 et avril 2019.

La société CARREFOUR France édite un site web permettant de créer et d’accéder à son espace personnel et de passer commande. Tandis que la société CARREFOUR BANQUE, établissement bancaire, édite pour sa part un site proposant des services de banque et d’assurance en ligne. Elle commercialise une carte de paiement à destination des clients du groupe CARREFOUR, pouvant être rattachée au programme de fidélité du même groupe.

Les contrôles ont porté sur l’ensemble de ces traitements.

L’objet du présent article portera sur les manquements à l’obligation d’information des personnes, relevés à l’encontre des deux sociétés du groupe CARREFOUR (points 57 à 99 de la délibération n°SAN-2020-008 et points 39 à 68 de la délibération SAN-2020-009).

En effet, ces décisions permettent de définir les contours de l’obligation d’information fixée aux articles 12 et suivants du RGPD, et apportent des enseignements précieux quant aux conditions d’un accès conforme à l’information (I), et quant à son contenu (II).

Pour mémoire, l’article 12 du RGPD dispose notamment :

« Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 […] en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples […]. »

Le contenu de l’information est fixé par les articles 13 et 14 selon que la collecte est directe ou indirecte.

I. Sur l’accès à l’information

Dans un premier temps, la formation restreinte de la CNIL a considéré que l’information délivrée par les responsables de traitement, sur les différents supports utilisés, n’était pas aisément accessible.

L’accessibilité de l’information se décline en deux critères : l’accessibilité physique / logique(a), et l’accessibilité « intellectuelle » (b) renvoyant à l’usage de termes clairs et simples.

a)  L’accès « physique » aux informations

S’agissant de l’information délivrée sur les différents sites, objets des contrôles, la CNIL a jugé que « la multiplicité des pages à consulter, des liens présents dans les différentes pages, ainsi que la redondance des informations ne permettent pas de considérer que les informations pertinentes pour les personnes sont aisément accessibles », (point 59 délibération SAN 2020-008) et que « l’information mise à disposition des utilisateurs […] par le biais de différents canaux » n’était pas aisément accessible {renvois des Mentions légales vers des mentions de Protection et confidentialité des données personnelles pour cliquer sur un lien qui renvoie vers un nouvel onglet Protection et confidentialité des données personnelles}.

La seule description du parcours utilisateur présenté par la formation restreinte dans sa décision permet, outre de donner le tournis, de se convaincre également que l’accès à la politique de confidentialité n’était pas optimal eu égard aux exigences du RGPD, compte tenu de la multiplicité des actions à mener pour y parvenir.

Quant à l’information accessible sur les sites internet, la CNIL proscrit l’insertion des mentions d’information relatives aux traitements de données à caractère mis en œuvre au sein des conditions générales d’utilisation. En effet, la CNIL considère que ces dernières sont souvent denses, complexes, longues et techniques, nous n’osons pas dire indigestes. Ainsi, la formation restreinte juge que des mentions relatives à la protection des données noyées dans des conditions générales (d’utilisation ou de vente,) ne sont pas facilement accessibles dès lors que, selon elle, « l’utilisateur doit faire preuve d’une détermination particulière pour accéder aux informations sur ces questions ».

Elle préconise donc le recours à un document unique distinct des conditions générales.

Cela rejoint la position du G29, présentée dans ses lignes directrices sur la transparence[1] (adoptées le 29 novembre 2017, et révisées le 11 avril 2018), selon lesquelles « la personne concernée ne devrait pas avoir à rechercher les informations mais devrait pouvoir tout de suite y accéder. »

Le considérant 61 du RGPD précise, quant à lui : « les informations sur le traitement des données à caractère personnel relatives à la personne concernée devraient lui être fournies au moment où ces données sont collectées auprès d’elle. »

Enfin, le responsable de traitement est à nouveau rappelé à l’ordre lorsque le bulletin papier d’adhésion au programme de fidélité ne contient que quelques mentions essentielles et procède par renvoi à la page d’accueil d’un site sans autres précisions. La formation restreinte relève que ce bulletin papier aurait dû contenir, a minima, l’adresse URL à laquelle ces informations étaient accessibles.

Le message est ainsi clair. Ces différentes pratiques tendant à dissuader la personne concernée d’accéder à la politique de confidentialité ou à détourner son attention sont prohibées, comme étant contraires aux exigences de la réglementation que la CNIL prend soin de rappeler.

La formation restreinte de la CNIL encourage alors le recours à un document unique traitant de la politique de confidentialité distinct de mentions d’information d’ordre plus général, accessible via un seul onglet sur un site et correctement identifié. Elle précise que « l’information doit être présentée de manière efficace et succincte afin d’éviter de noyer l’information à délivrer parmi d’autres contenus informatifs. »

Quant à la délivrance d’une information en plusieurs niveaux, la CNIL n’y est pas farouchement opposée. Elle précise que cela n’est pas interdit. Toutefois, elle ne peut recommander ces pratiques dès lors qu’un tel procédé présente souvent l’inconvénient de diluer l’information et peut la rendre plus difficile à trouver. Le risque de non-conformité est donc plus élevé dans ces hypothèses. Elle fait siennes les préconisations du G29 selon lesquelles : « le premier niveau/ la première modalité inclut les détails de la finalité du traitement, l’identité du responsable du traitement et une description des droits des personnes concernées. » Ainsi, une information sera délivrée de manière conforme dans ces conditions, sous réserve que le premier niveau d’information fournisse les caractéristiques essentielles du traitement, et que le second niveau soit, quant à lui, exhaustif conformément aux dispositions de l’article 13 du RGPD.

La CNIL, à la faveur de ces deux décisions de sanction, fixe le cadre dans lequel une information est conforme au critère d’accessibilité imposé par le RGPD.

b) Des mentions intelligibles

La CNIL rappelle que l’information doit être délivrée en « termes clairs et simples » de telle sorte qu’elle soit intelligible.

Il est, à cet égard, intéressant de se reporter à la décision elle-même (SAN 2020-008- points 75 à 77) pour se convaincre de ce qu’une simple relecture des mentions d’informations aurait sans doute permis à un rédacteur, un minimum consciencieux et diligent, soit de ne pas les publier, soit de les ré-écrire, avant que de faire l’objet d’une procédure de sanction par l’autorité de contrôle.

L’on ne résiste donc pas à la tentation de citer quelques passages de ces mentions, dont les formulations sont ambigües, peu claires, inutilement compliquées et imprécises, de telle sorte qu’elles ne permettent pas aux personnes d’appréhender pleinement les traitements mis en œuvre, ni leurs finalités, ni les droits dont elles disposent :

« ces traitements incluent notamment , pour l’une ou plusieurs des raisons suivantes »ou « vos données sont susceptibles d’être utilisées »

« vous disposez également d’un droit d’obtenir la limitation d’un traitement et d’un droit à la portabilité des données que vous avez pu fournir, qui trouveront à s’appliquer dans certains cas ».

« nous pouvons éventuellement disposer de données de l’open Data »

« vos données pourront faire l’objet d’un traitement pour l’une ou plusieurs des raisons suivantes »

« vous pouvez demander à exercer votre droit d’opposition pour motif pour des raisons tenant à votre situation particulière, à un traitement de données personnelles vous concernant lorsque le traitement est fondé sur l’intérêt légitime du responsable de traitement y compris le profilage »

« vos données pourront peut-être transmises à tout ou partie des destinataires suivantes : […] les marques partenaires, mais dans ce cas ces derniers n’ont pas accès ni directement ni indirectement aux données vous concernant et seuls [sic] des données liées à votre profil sans qu’il soit possible de vous identifier directement ou indirectement, aux sociétés du groupe Carrefour pour les finalités susvisées ».

Un joyeux florilège de mentions d’information à la faveur desquelles, compte tenu de la sémantique, du recours systématique au terme « notamment » et de la disposition parfois hasardeuse des termes juridiques, il est impossible même pour un lecteur averti, de comprendre la portée du traitement, d’identifier les droits des personnes concernées, ou encore des moyens de les mettre en œuvre.

Or, la CNIL insiste sur l’impérieuse nécessité de soigner la rédaction des mentions d’information en application des articles 12 et suivants du RGPD. En effet, il convient de rappeler à tous les responsables de traitement qu’une information délivrée de manière conforme aux exigences de la réglementation, c’est-à-dire accessible et compréhensible, conditionne la validité de l’engagement des personnes concernées, et donc la licéité du traitement.

L’on ne peut donc qu’inviter les responsables de traitement à apporter un soin particulier à la rédaction de leurs mentions d’information, à commencer par s’assurer qu’elles sont compréhensibles ! Et parfois, le simple bon sens suffit. Pour mémoire, les articles 12 et 13 précités imposent que les informations fournies soient complètes mais aussi aisément compréhensibles. Naturellement, l’exercice de rédaction peut s’avérer plus périlleux puisque, alors même que les finalités poursuivies et les durées de conservations des données traitées sont nombreuses et différentes. L’on ne saurait trop conseiller d’avoir recours à un professionnel.

II.  Sur le contenu de l’information

La CNIL, à la faveur de ces deux décisions de sanction, rappelle également que l’information doit être complète, et contenir l’ensemble des mentions visées aux articles 13 et 14 du RGPD, selon que la collecte se fait directement auprès de la concernée ou indirectement.

Or tel n’était pas le cas dans les deux espèces, les mentions d’information étant lacunaires et imprécises.

Ces dispositions imposent l’identification du responsable de traitement, lequel n’est pas le sous-traitant, ni un simple destinataire. Les hypothèses de co-responsabilité ou de responsables conjoints peuvent parfois créer des difficultés d’identification. Une analyse circonstanciée de la situation juridique doit alors s’opérer in concreto.

La base juridique doit être indiquée de manière précise. Les sociétés ne pouvaient se contenter de viser de manière générale chacune des bases légales de l’article 6 du RGPD, telles que l’exécution du contrat, le consentement ou encore l’intérêt légitime. La réglementation impose que les personnes soient informées de la base légale spécifique applicable à chacun des traitements mis en œuvre par le responsable de traitement.

Les éventuels transferts de données en dehors de l’Union européenne doivent être portés à la connaissance de la personne concernée, ainsi que l’ensemble des garanties encadrant ledit transfert. Tel n’était pas le cas dans ces deux affaires.

Enfin, la CNIL relève que les personnes concernées n’étaient pas informées, pour l’ensemble de leurs données de la durée de conservation. En effet, l’article 13.2 f du RGPD impose que les personnes soient informées de la durée de conservation des données ou des critères utilisés pour déterminer cette durée. Dans la décision n° SAN 2020-009, la formation restreinte prend soin de rappeler les préconisations du G29 qui recommande que « la durée de conservation [soit] formulée de manière à ce que la personne concernée puisse évaluer, selon la situation dans laquelle elle se trouve, quelle sera la période de conservation s’agissant de données spécifiques ou en cas de finalités spécifiques. Le responsable du traitement ne peut se contenter de déclarer de façon générale que les données à caractère personnel seront conservées aussi longtemps que la finalité légitime du traitement l’exige. Le cas échéant, différentes périodes de stockage devraient être mentionnées pour les différentes catégories de données à caractère personnel et/ou les différentes finalités de traitement, notamment les périodes à des fins archivistiques. »

L’emploi de formules vagues telles « les délais de prescription légale applicable » ou « la conservation de vos données varie selon les réglementations et loi applicables » est donc non-conforme aux exigences de transparence imposées par le RGPD.

Il appartenait aux sociétés contrôlées de prévoir dans leurs mentions d’information les différentes durées de conservation pour l’ensemble des données ou des finalités, notamment s’agissant des données de navigation ou des données relatives aux achats effectués.

En conséquence, et pour toutes les raisons sus-évoquées, la CNIL a constaté que les sociétés du groupe CARREFOUR avaient manqué à l’obligation d’information incombant à tout responsable de traitement en application de l’article 13 du RGPD, laquelle doit être transparente, compréhensible et aisément accessible.

En application des articles 82 et 83 du RGPD, il était loisible à la CNIL de prononcer à l’encontre des sociétés poursuivies des injonctions ou mises en demeure d’avoir à se conformer à la réglementation, et d’avoir à en justifier dans un certain délai.

Toutefois, dans ces deux affaires, l’autorité de contrôle, eu égard aux efforts mis en œuvre par les responsables de traitement au cours de l’instruction lesquels étaient en conformité à la date du dernier contrôle, a considéré qu’une injonction ne se justifiait pas. Elle a d’ailleurs pris soin de relever l’important travail de mise en conformité fourni par les sociétés, s’agissant des mentions d’information présentes sur les différents supports. L’information désormais délivrée par les sociétés du groupe était transparente, aisément accessible, et complète à la date à laquelle la formation restreinte a statué.

Cependant, eu égard au nombre de manquements constatés et caractérisés nés d’un défaut d’anticipation des conséquences de l’entrée en application du RGPD, et eu égard au nombre de personnes concernées dont les droits n’ont pas été respectés, la CNIL n’a eu d’autre choix que de condamner les responsables de traitement à de lourdes amendes administratives. Il sera cependant observé que les montants proposés par le rapporteur (ignorés) ont été atténués par la formation restreinte, compte tenu du degré de coopération des sociétés avec la CNIL, et des efforts importants engagés pendant l’instruction pour atteindre une conformité totale puisque l’ensemble des manquements ont été corrigés.

La CNIL a pris en compte le chiffre d’affaires réalisé par la Société CARREFOUR France et par les filiales qu’elle détient et qui ont bénéficié des traitements, appréciation extensive de la notion d’entreprise conforme aux articles 101 et 102 du TFUE. Elle a donc estimé qu’une amende d’un montant de 2 250 000 € était justifiée et proportionnée aux manquements relevés et à la situation de la société CARREFOUR France, compte tenu des spécificités du modèle économique de la grande distribution caractérisé par un chiffre d’affaires élevé au regard des résultats nets dégagés par l’activité dont les marges sont faibles.

Ces décisions révèlent des indices précieux d’une information conforme au sens du RGPD, dont il faut tenir compte au moment de leur rédaction. Elles ont également le mérite de rappeler que tous les secteurs sont concernés par le RGPD…

[1] https://www.cnil.fr/sites/default/files/atoms/files/wp260_guidelines-transparence-fr.pdf

 

Stéphane BAÏKOFF

Avocate Associée

(Article paru dans la Revue Expertises – Janvier 2021 n°464 pages 28 à 31)

ACTUALITES DROIT SOCIAL

Les jurisprudences récentes en droit du travail et de la sécurité sociale sous forme d’infographie. En quelques lignes, les derniers arrêts marquants sont décryptés pour vous (forfait annuel en jours, CSE, procédure vexatoire, contrôle URSSAF…).

 

Anouck SUBERBIELLE

Avocate Associée 

Arrivée d’Anouck SUBERBIELLE nouvelle associée qui pilotera le pôle Droit Social

Du nouveau chez KACERTIS AVOCATS !

Kacertis Avocats étoffe ses compétences en intégrant désormais un pôle Droit Social.

Le cabinet est ravi d’annoncer l’arrivée d’une nouvelle avocate associée, Anouck Suberbielle pour piloter ce pôle.

Forte de son expérience de 7 ans au sein d’un cabinet de dimension nationale, Anouck est titulaire de la spécialisation en droit du travail. Elle vous accompagnera en conseil et en contentieux avec humanité, agilité et engagement.

N’hésitez pas à la contacter :

@ a.suberbielle@kacertis.com

07.86.35.36.73

Kacertis Avocats en 2021 c’est 5 Avocats associés, 2 avocats collaborateurs, 1 juriste, 1 assistante juridique et 1 avocat partenaire spécialiste en droit public, à votre écoute.

 

 

MEILLEURS VOEUX 2021

KACERTIS AVOCATS vous souhaite une très belle année 2021.

Désireux d’aller de l’avant après une année 2020 si particulière, le cabinet continue sa stratégie de développement :

  • Une nouvelle adresse : nos nouveaux locaux sont désormais situés 46, rue Félix Faure, 44000 NANTES. L’équipe s’agrandit !
  • L’arrivée de @Noémie Planelles en qualité de juriste en droit des sociétés.
  • Un partenariat avec @Maître Thomas GIROUD, avocat spécialiste en droit public.

Et bien plus encore prochainement, stay tuned !

#avocats #affaires #voeux #nantes