• Français -fr 

Publications

Smart textiles : quelles problématiques juridiques ?

La part des tissus et vêtements techniques en France représente environ 25% du marché textile.

Certains experts projettent un chiffre d’affaires pour le smart textile à hauteur de 1,5 milliards d’euros d’ici 2021.

Dans le domaine des sports et loisirs, de la santé, les applications sont nombreuses : body pour bébés changeant de couleur en cas de fièvre, vêtements de travail connectés analysant la pénibilité des tâches, gilet pare-balles en silicone souple durcissant à l’impact… Le textile est en passe de devenir un produit de haute technologie, empruntant des innovations jusqu’au secteur des télécommunications.

Il en est ainsi de la technologie de retour haptique qui permet aux utilisateurs de manipuler des objets dans un environnement virtuel avec un certain ressenti tactile, désormais envisagée sérieusement dans le domaine textile afin, par exemple, de reproduire des textures, des formes ou des mouvements.

La société Apple, qui ne s’y est pas trompée, a déposé en juillet 2018 deux brevets portant sur des technologies de textile intelligent.

L’essor pris par le sport textile nous a amenés à nous interroger sur différentes problématiques juridiques qui lui sont liées.

La première d’entre elles concerne le choix d’une protection selon la nature et les caractéristiques du vêtement ou textile concerné.

Le droit français offre ainsi le choix entre différents types de protection intellectuelle, parmi lesquelles :
– le brevet, qui permettra de protéger une technologie apportant une solution technique à un problème technique ;
– la marque ;
– le dessin & modèle permettant de protéger l’apparence ou l’ornement d’un produit ;
– et enfin le droit d’auteur, qui, pour l’aspect logiciel, pourrait également s’avérer opportun dans la perspective d’une protection d’un vêtement intelligent et de sa communication avec son environnement.

La question de la responsabilité attachée à un vêtement ou textile défectueux peut, quant à elle, être abordée sous l’angle du droit commun, et notamment de l’article 1245 du Code Civil, prévoyant la responsabilité du « producteur » pour tout dommage causé par un défaut du produit.

Rappelons qu’un produit est défectueux lorsqu’il n’offre pas la sécurité à laquelle l’utilisateur peut légitimement s’attendre, en tenant compte de toutes les circonstances, et notamment de la présentation du produit, de l’usage qui peut en être raisonnablement attendu et du moment de sa mise en circulation.

La difficulté dans l’application de ce cadre juridique pourrait résulter notamment des incertitudes liées à un sinistre résultant, non pas du vêtement lui-même, mais du service rendu par le biais de la technologie communicante qui lui est associée, ou d’un vêtement ayant, par le biais de l’intelligence artificielle dont il bénéficie, appris et modifié ses caractéristiques au point d’échapper au contrôle du producteur l’ayant mis sur le marché.

Par ailleurs, dans la mesure où les vêtements connectés sont amenés, le plus souvent, à collecter des données à caractère personnel relatives à leurs utilisateurs (données de géolocalisation, données biométriques, etc.), l’ensemble des problématiques relatives à la protection de la vie privée, résultant notamment du nouveau Règlement RGPD en vigueur depuis mai 2018, devront être prises en compte.

A cet égard, l’information des personnes concernées sur les traitements automatisés mis en œuvre, devra faire l’objet d’un soin particulier par le responsable du traitement concerné, dont l’identité pourrait, selon les hypothèses, être complexe à établir.

Enfin, il convient de rappeler que le cadre juridique applicable aux dispositifs médicaux, susceptibles de s’appliquer à de tels vêtements intelligents, est en pleine refonte du fait de l’adoption, en 2017, du règlement européen 2017/745 qui entrera en vigueur en 2020.

En parallèle, la Haute Autorité de Santé a, en avril dernier, précisé ses méthodes d’évaluations des dispositifs médicaux connectés et défini leur périmètre en vue d’une prise en charge par l’assurance maladie.

S’inscrivant dans une problématique plus globale qui est celle des objets connectés, les problématiques juridiques applicables aux vêtements intelligents présentent un intérêt indéniable au vu des perspectives d’évolution de ce marché dans les prochaines années.

Viviane Gelles
Avocat associé, cabinet Jurisexpert
www.jurisexpert.net

Sécuriser la clause PI dans les marchés publics

L’Agence du patrimoine immatériel de l’Etat a diffusé une note à destination des acheteurs publics, avec des recommandations sur la manière de gérer la propriété intellectuelle dans les marchés publics. Retrouvez-la ICI. 

« Blockchain et RGPD, une union impossible ? » le LINC (laboratoire d’innovation numérique de la CNIL) cite Maîtres Blandine POIDEVIN et Christine VROMAN

Lire l’article de Caroline MARTIN-FORISSIER : « Blockchain et RGPD, une union impossible ? »

Le « upskirting » dans Libération

Retrouvez mon interview dans le quotidien Libération, au sujet de la loi contre les violences sexuelles et sexistes adoptée le 31 juillet dernier par le Parlement.

« La blockchain est-elle compatible avec le RGPD ? » JDN. 09/02/2018

Lire l’article

Comprendre (enfin) le règlement européen sur la protection des données (RGPD ou GDPR).

Le Règlement entre en vigueur le 25 mai 2018. Certains le découvrent seulement et ne savent comment l’aborder. Nous avons procédé aux jeux des questions-réponses pour vous permettre d’y voir plus clair.

Faut-il nommer un DPO (Data Privacy Officer) ?

Oui si vous traitez un volume important de données, des données de santé ou encore si vous êtes un organisme public.

La désignation d’un délégué à la protection des données est obligatoire lorsque les activités de base du responsable consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées.

Le délégué a vocation à être l’interlocuteur privilégié et le garant de la conformité en matière de protection des données au sein de son organisme

Il devra être disponible pour répondre à toutes les questions relatives au traitement des données personnelles et à l’exercice de ses missions.

Il sera soumis au secret professionnel et à la confidentialité. Il devra veiller à ce que l’exercice de ses missions de délégué ne présente pas de conflits d’intérêts avec ses autres activités professionnelles. Le Responsable de traitement a l’obligation d’assurer l’indépendance du DPO, qui ne devra recevoir aucune instruction de la part du responsable sur le déroulement de ses missions.

Qui peut être DPO ?

Toute personne qui connaît votre entreprise, vos différents métiers, qui peut dialoguer avec le plus grand nombre dont la DSI ou le RSSI, a des capacités de formateur, a une très bonne connaissance des textes et est capable d’écrire des process.

Peut-il être externe ? Oui mais le DPO externe doit être très présent dans votre structure, ce qui limite son recours en cas d’organisation éclatée ou importante.

Peut-il être mutualisé ? Oui à condition qu’il dispose d’une organisation sur laquelle il peut se baser comme des référents dans chaque structure.

Quelles missions lui attribuer ?

Il doit :

– informer, conseiller et alerter, si besoin, le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en matière de données personnelles, émettre des conseils auprès de chaque direction Métier ;

– diffuser une culture données personnelles dans l’entreprise ;

– analyser, auditer, contrôler le respect des dispositions applicables en matière de données personnelles, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;

– dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci ;

– établir et maintenir à jour une documentation au titre de l’Accountability ;

– assurer une médiation avec les personnes physiques concernées ;

– coopérer avec l’autorité de contrôle ;

– faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement.

Quelle responsabilité pour le DPO ? Peut-il recevoir une délégation de pouvoir ?

Le DPO n’encourt pas à titre personnel de sanctions pénales. Le DPO ne peut être responsable en cas de manquement au règlement. Le dispositif de délégation de pouvoir n’est pas non plus admis à l’égard du DPO, notamment parce que la délégation est incompatible avec l’indépendance du délégué et avec le fait que le responsable doit garantir l’absence d’un conflit d’intérêts avec le DPO (article 38.6 du Règlement).

Quelles sont les sanctions encourues par le représentant légal?

Elles sont de deux ordres :

-des sanctions prononcées par la CNIL.

Le montant des sanctions encourues a été majoré par le RGPD :

jusqu’à 10M d’euros ou, si c’est un montant supérieur, à 2% du CA annuel mondial du Groupe en cas de manquements à certaines obligations telles l’obligation de tenue du Registre des activités de Traitement, l’obligation de mener une Etude d’Impact (Privacy Impact Analyse)…

jusqu’à 20M d’euros ou, si c’est un montant supérieur, à  4% du CA annuel mondial du Groupe en cas de manquement aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, d’effacement), manquement à la sécurité des données…

-des sanctions pénales

Ces sanctions existent déjà en droit français et n’ont pas été modifiées par le RGPD. Il convient de bien distinguer la responsabilité de la personne morale, distincte de l’éventuelle responsabilité du dirigeant.

Le représentant peut-il être responsable du fait de personnes tierces ?

Oui il est responsable du fait de ses propres actions mais aussi des agissements de ses sous-traitants.

Une délégation de pouvoir est-elle envisageable en matière de données personnelles ?

En cas de poursuites pénales envers la personne morale, c’est le représentant de la société qui sera poursuivi, et non le DPO.

Pour pouvoir être exonéré de sa responsabilité, c’est au représentant de justifier de la mise en œuvre effective de délégations.

En cas de délégation valable, le représentant peut s’exonérer de sa responsabilité dans le seul domaine couvert par la délégation et sauf s’il a personnellement pris part à l’infraction.

Deux conditions sont nécessaires pour une délégation valable :

– le délégant doit être dans l’impossibilité réelle de veiller personnellement au respect de la réglementation, compte tenu de la taille de l’entreprise mais aussi de sa structure ;

– le délégataire doit être doté de la compétence (y compris en termes de connaissance de la règlementation applicable), des moyens et de l’autorité nécessaires à l’accomplissement des tâches qui lui sont déléguées.

Sur la forme, la délégation doit être certaine, expresse et limitée à un domaine précis. Toutefois, elle doit correspondre à une véritable délégation de pouvoirs et de responsabilités. Une délégation fictive pourrait toujours être invalidée par un juge.

Le principe général d’ « accountability » posé par le RGPD tend à limiter les champs de délégations du dirigeant aux aspects opérationnels non stratégiques.

 Comment démarrer son projet GDPR ?

La cartographie des flux de données, le recensement des applications utilisées et des sous-traitants et destinataires des données sont les points de départ indispensable. Il sera nécessaire assez rapidement de réflechir à la gourvernance et de revoir la politique contractuelle de l’organisme.

 Quelles sont les nouvelles obligations du responsable de traitement ?

Le règlement européen vient renforcer les droits des personnes et les responsabilités des Responsables de traitements et des sous-traitants.

Le responsable de traitement a notamment pour obligation :

– d’assurer la licéité du traitement (obligation d’information, consentement, transparence) ;

– de respecter les finalités du traitement ;

– de mettre en œuvre les mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément à la législation ;

– d’informer les personnes concernées et/ ou obtenir leur consentement au traitement des données ;

– de mettre en œuvre une protection des données dès la conception et la protection des données par défaut ;

– de tenir à jour une documentation démontrant la conformité des traitements ;

– de mettre en œuvre des obligations en matière de sécurité et de confidentialité et notamment la gestion des accès, l’obligation de notifier les violations de données personnelles.

De quelle documentation doit-il dorénavant disposer ?

Il est nécessaire de tenir à jour une documentation démontrant la conformité des traitements ; cette documentation comprendra la tenue à jour du registre des traitements en tant que responsable, du registre des sous-traitants, les mentions d’information, les modèles de recueil de consentement, les procédures mises en place pour l’exercice des droits, les contrats avec les sous-traitants, les mesures prises pour encadrer les transferts de données en dehors de l’Union, un cahier des incidents et de la gestion des failles de sécurité, un suivi des formations, la preuve que les personnes ont donné leur consentement, un suivi des analyses d’impacts réalisées…

Un mineur peut-il consentir à la collecte de ses données personnelles dans le cadre de l’utilisation d’un service en ligne?

Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant.

Le professionnel concerné doit s’efforcer « raisonnablement » de vérifier, compte tenu des moyens technologiques disponibles, la qualité du titulaire de la responsabilité parentale à l’égard de l’enfant.

Avec l’entrée en vigueur du RGPD, quel sera le sort des déclarations précédemment effectuées auprès de la CNIL?

Les formalités préalables effectuées auprès de la CNIL ne devront pas faire l’objet d’une demande spécifique de suppression.

Néanmoins, compte-tenu des nouvelles obligations résultant du RGPD, et notamment du principe d' »accountability », le responsable de traitement devra se mettre spontanément en conformité avec les nouvelles règles et, par exemple, s’assurer d’obtenir un nouveau consentement des personnes concernées si le traitement est fondé sur un tel consentement, ou encore mettre en place une analyse d’impact du traitement sur la vie privée lorsque celui-ci est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Le Règlement ne s’applique-t-il qu’envers des entreprises ou organismes européens ?

Le Règlement relatif à la protection des données personnelles s’applique dès lors que le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne ou que le responsable de traitement ou le sous-traitant met en œuvre des traitements visant à fournir des biens et des services aux résidents européens (articles 2 et 3 dudit Règlement).

En pratique, le droit européen s’appliquera donc chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par Internet.

Que doit faire une société hors Union Européenne ayant des services à destination de citoyens européens ?

Le considérant 80 du règlement et l’article 27 prévoient la désignation d’un représentant du responsable de traitement établi en dehors de l’Union européenne.

En effet, « lorsqu’un responsable du traitement qui n’est pas établi dans l’Union traite des données à caractère personnel de personnes concernées qui se trouvent dans l’Union et que ses activités de traitement sont liées à l’offre de biens ou de services à ces personnes dans l’Union, […] il convient que le responsable du traitement ou le sous-traitant désigne un représentant ».

L’article 27, 4° dudit règlement dispose que le représentant est mandaté par le Responsable pour être l’interlocuteur des autorités de contrôle et des personnes concernées sur le territoire de l’Union.

Les dispositions du règlement permettent également de renseigner l’obligation, pour le responsable de désigner par un mandat écrit le représentant et de rédiger ses obligations. Ce dernier devra accomplir ses tâches conformément au mandat reçu.

Il sera précisé que la désignation de ce représentant ne porte pas atteinte aux responsabilités du responsable du traitement.

Vade-mecum des obligations juridiques liées aux systèmes d’information. Clusif. Juin 2017

Jurisexpert est fier d’avoir participé à ce travail.