• Parutions -fr 

Parutions

« La blockchain est-elle compatible avec le RGPD ? » JDN. 09/02/2018

Lire l’article

Comprendre (enfin) le règlement européen sur la protection des données (RGPD ou GDPR).

Le Règlement entre en vigueur le 25 mai 2018. Certains le découvrent seulement et ne savent comment l’aborder. Nous avons procédé aux jeux des questions-réponses pour vous permettre d’y voir plus clair.

Faut-il nommer un DPO (Data Privacy Officer) ?

Oui si vous traitez un volume important de données, des données de santé ou encore si vous êtes un organisme public.

La désignation d’un délégué à la protection des données est obligatoire lorsque les activités de base du responsable consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées.

Le délégué a vocation à être l’interlocuteur privilégié et le garant de la conformité en matière de protection des données au sein de son organisme

Il devra être disponible pour répondre à toutes les questions relatives au traitement des données personnelles et à l’exercice de ses missions.

Il sera soumis au secret professionnel et à la confidentialité. Il devra veiller à ce que l’exercice de ses missions de délégué ne présente pas de conflits d’intérêts avec ses autres activités professionnelles. Le Responsable de traitement a l’obligation d’assurer l’indépendance du DPO, qui ne devra recevoir aucune instruction de la part du responsable sur le déroulement de ses missions.

Qui peut être DPO ?

Toute personne qui connaît votre entreprise, vos différents métiers, qui peut dialoguer avec le plus grand nombre dont la DSI ou le RSSI, a des capacités de formateur, a une très bonne connaissance des textes et est capable d’écrire des process.

Peut-il être externe ? Oui mais le DPO externe doit être très présent dans votre structure, ce qui limite son recours en cas d’organisation éclatée ou importante.

Peut-il être mutualisé ? Oui à condition qu’il dispose d’une organisation sur laquelle il peut se baser comme des référents dans chaque structure.

Quelles missions lui attribuer ?

Il doit :

– informer, conseiller et alerter, si besoin, le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en matière de données personnelles, émettre des conseils auprès de chaque direction Métier ;

– diffuser une culture données personnelles dans l’entreprise ;

– analyser, auditer, contrôler le respect des dispositions applicables en matière de données personnelles, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;

– dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci ;

– établir et maintenir à jour une documentation au titre de l’Accountability ;

– assurer une médiation avec les personnes physiques concernées ;

– coopérer avec l’autorité de contrôle ;

– faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement.

Quelle responsabilité pour le DPO ? Peut-il recevoir une délégation de pouvoir ?

Le DPO n’encourt pas à titre personnel de sanctions pénales. Le DPO ne peut être responsable en cas de manquement au règlement. Le dispositif de délégation de pouvoir n’est pas non plus admis à l’égard du DPO, notamment parce que la délégation est incompatible avec l’indépendance du délégué et avec le fait que le responsable doit garantir l’absence d’un conflit d’intérêts avec le DPO (article 38.6 du Règlement).

Quelles sont les sanctions encourues par le représentant légal?

Elles sont de deux ordres :

-des sanctions prononcées par la CNIL.

Le montant des sanctions encourues a été majoré par le RGPD :

jusqu’à 10M d’euros ou, si c’est un montant supérieur, à 2% du CA annuel mondial du Groupe en cas de manquements à certaines obligations telles l’obligation de tenue du Registre des activités de Traitement, l’obligation de mener une Etude d’Impact (Privacy Impact Analyse)…

jusqu’à 20M d’euros ou, si c’est un montant supérieur, à  4% du CA annuel mondial du Groupe en cas de manquement aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, d’effacement), manquement à la sécurité des données…

-des sanctions pénales

Ces sanctions existent déjà en droit français et n’ont pas été modifiées par le RGPD. Il convient de bien distinguer la responsabilité de la personne morale, distincte de l’éventuelle responsabilité du dirigeant.

Le représentant peut-il être responsable du fait de personnes tierces ?

Oui il est responsable du fait de ses propres actions mais aussi des agissements de ses sous-traitants.

Une délégation de pouvoir est-elle envisageable en matière de données personnelles ?

En cas de poursuites pénales envers la personne morale, c’est le représentant de la société qui sera poursuivi, et non le DPO.

Pour pouvoir être exonéré de sa responsabilité, c’est au représentant de justifier de la mise en œuvre effective de délégations.

En cas de délégation valable, le représentant peut s’exonérer de sa responsabilité dans le seul domaine couvert par la délégation et sauf s’il a personnellement pris part à l’infraction.

Deux conditions sont nécessaires pour une délégation valable :

– le délégant doit être dans l’impossibilité réelle de veiller personnellement au respect de la réglementation, compte tenu de la taille de l’entreprise mais aussi de sa structure ;

– le délégataire doit être doté de la compétence (y compris en termes de connaissance de la règlementation applicable), des moyens et de l’autorité nécessaires à l’accomplissement des tâches qui lui sont déléguées.

Sur la forme, la délégation doit être certaine, expresse et limitée à un domaine précis. Toutefois, elle doit correspondre à une véritable délégation de pouvoirs et de responsabilités. Une délégation fictive pourrait toujours être invalidée par un juge.

Le principe général d’ « accountability » posé par le RGPD tend à limiter les champs de délégations du dirigeant aux aspects opérationnels non stratégiques.

 Comment démarrer son projet GDPR ?

La cartographie des flux de données, le recensement des applications utilisées et des sous-traitants et destinataires des données sont les points de départ indispensable. Il sera nécessaire assez rapidement de réflechir à la gourvernance et de revoir la politique contractuelle de l’organisme.

 Quelles sont les nouvelles obligations du responsable de traitement ?

Le règlement européen vient renforcer les droits des personnes et les responsabilités des Responsables de traitements et des sous-traitants.

Le responsable de traitement a notamment pour obligation :

– d’assurer la licéité du traitement (obligation d’information, consentement, transparence) ;

– de respecter les finalités du traitement ;

– de mettre en œuvre les mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément à la législation ;

– d’informer les personnes concernées et/ ou obtenir leur consentement au traitement des données ;

– de mettre en œuvre une protection des données dès la conception et la protection des données par défaut ;

– de tenir à jour une documentation démontrant la conformité des traitements ;

– de mettre en œuvre des obligations en matière de sécurité et de confidentialité et notamment la gestion des accès, l’obligation de notifier les violations de données personnelles.

De quelle documentation doit-il dorénavant disposer ?

Il est nécessaire de tenir à jour une documentation démontrant la conformité des traitements ; cette documentation comprendra la tenue à jour du registre des traitements en tant que responsable, du registre des sous-traitants, les mentions d’information, les modèles de recueil de consentement, les procédures mises en place pour l’exercice des droits, les contrats avec les sous-traitants, les mesures prises pour encadrer les transferts de données en dehors de l’Union, un cahier des incidents et de la gestion des failles de sécurité, un suivi des formations, la preuve que les personnes ont donné leur consentement, un suivi des analyses d’impacts réalisées…

Un mineur peut-il consentir à la collecte de ses données personnelles dans le cadre de l’utilisation d’un service en ligne?

Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant.

Le professionnel concerné doit s’efforcer « raisonnablement » de vérifier, compte tenu des moyens technologiques disponibles, la qualité du titulaire de la responsabilité parentale à l’égard de l’enfant.

Avec l’entrée en vigueur du RGPD, quel sera le sort des déclarations précédemment effectuées auprès de la CNIL?

Les formalités préalables effectuées auprès de la CNIL ne devront pas faire l’objet d’une demande spécifique de suppression.

Néanmoins, compte-tenu des nouvelles obligations résultant du RGPD, et notamment du principe d' »accountability », le responsable de traitement devra se mettre spontanément en conformité avec les nouvelles règles et, par exemple, s’assurer d’obtenir un nouveau consentement des personnes concernées si le traitement est fondé sur un tel consentement, ou encore mettre en place une analyse d’impact du traitement sur la vie privée lorsque celui-ci est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Le Règlement ne s’applique-t-il qu’envers des entreprises ou organismes européens ?

Le Règlement relatif à la protection des données personnelles s’applique dès lors que le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne ou que le responsable de traitement ou le sous-traitant met en œuvre des traitements visant à fournir des biens et des services aux résidents européens (articles 2 et 3 dudit Règlement).

En pratique, le droit européen s’appliquera donc chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par Internet.

Que doit faire une société hors Union Européenne ayant des services à destination de citoyens européens ?

Le considérant 80 du règlement et l’article 27 prévoient la désignation d’un représentant du responsable de traitement établi en dehors de l’Union européenne.

En effet, « lorsqu’un responsable du traitement qui n’est pas établi dans l’Union traite des données à caractère personnel de personnes concernées qui se trouvent dans l’Union et que ses activités de traitement sont liées à l’offre de biens ou de services à ces personnes dans l’Union, […] il convient que le responsable du traitement ou le sous-traitant désigne un représentant ».

L’article 27, 4° dudit règlement dispose que le représentant est mandaté par le Responsable pour être l’interlocuteur des autorités de contrôle et des personnes concernées sur le territoire de l’Union.

Les dispositions du règlement permettent également de renseigner l’obligation, pour le responsable de désigner par un mandat écrit le représentant et de rédiger ses obligations. Ce dernier devra accomplir ses tâches conformément au mandat reçu.

Il sera précisé que la désignation de ce représentant ne porte pas atteinte aux responsabilités du responsable du traitement.

Vade-mecum des obligations juridiques liées aux systèmes d’information. Clusif. Juin 2017

Jurisexpert est fier d’avoir participé à ce travail.

Le droit à parodie

Il existe quatre conditions pour caractériser la parodie :
-l’absence de confusion entre l’œuvre originale et la parodie,
-une réelle intention humoristique,
-l’absence d’intention de nuire à l’œuvre originale,
-l’absence de finalités promotionnelles ou publicitaires certaines.Dès lors qu’une œuvre répond à la qualité de parodies, elle est protégée par l’article L122-5 4° du Code de Propriété Intellectuelle, qui dispose que lorsque l’œuvre initiale a été divulguée, l’auteur ne peut interdire la parodie.
La condition de divulgation interdit en revanche d’exploiter l’extrait d’un film qui n’aurait pas encore été communiqué au
public.

Ainsi, rien ne s’oppose à une exploitation commerciale d’une parodie répondant à ces conditions.

Une brasserie peut-elle faire du parrainage sportif ?

Dans le cadre d’un évènement sportif, la publicité directe ou indirecte en  faveur d’une boisson alcoolique est interdite d’après l’article L3323-2 du  Code de la Santé Publique.

Effectivement, le fait de faire de la publicité pour une brasserie ne  constitue pas une publicité directe pour une boisson alcoolique.

En revanche, la question se pose de savoir si elle constitue une  propagande ou une publicité indirecte en faveur d’une boisson alcoolique,  ce qui est une question factuelle.

À cet égard, l’article L3323-3 du Code de la Santé Publique prévoit qu’est considérée comme propagande ou
publicité indirecte la propagande ou publicité en faveur d’un organisme,  d’un service, d’une activité, d’un produit ou d’un article autre qu’une  boisson alcoolique qui, par son graphisme, sa présentation, l’utilisation d’une dénomination, d’une marque, d’un emblème publicitaire ou d’un autre  signe distinctif, rappelle une boisson alcoolique.il sera donc nécessaire d’examiner si le graphisme, la présentation, l’utilisation de  la dénomination, la marque, l’emblème publicitaire ou un quelconque autre  signe distinctif de la brasserie est susceptible de rappeler une boisson alcoolique.À titre d’exemple, une brasserie dont le nom serait lié à la bière et dont le logo  représenterait un verre de bière pourrait être considérée comme de la publicité indirecte pour une boisson alcoolique, et serait donc interdite.

En revanche, une publicité pour une brasserie dont le seul le nom indépendant du monde de la bière apparaîtrait, assorti de son logo également étranger à cette boisson pourrait être autorisée.

Ainsi, le risque de qualification de publicité indirecte, et donc, in fine, l’autorisation ou non de ce support publicitaire est examiné in concreto.

Quelle responsabilité pour le DPO ? Peut-il recevoir une délégation de pouvoir ?

Le DPO n’encourt pas à titre personnel de sanctions pénales. Le DPO ne peut être responsable en cas de manquement au règlement. Le dispositif de délégation de pouvoir n’est pas non plus admis à l’égard du DPO, notamment parce que la délégation est incompatible avec l’indépendance du délégué et avec le fait que le responsable doit garantir l’absence d’un conflit d’intérêts avec le DPO (article 38.6 du Règlement).

Les sanctions encourrues par le représentant légal des personnes morales (sociétés), du fait de leurs propres faits ou des agissements de leurs sous-traitants, sont de deux ordres :

1) des sanctions administratives prononcées par la CNIL.

Le montant des sanctions encourues a été majoré par le RGPD :

jusqu’à 10M d’euros ou, si c’est un montant supérieur,à 2% du CA annuel mondial du Groupe en cas de manquements à certaines obligations telles l’obligation de tenue du Registre des activités de Traitement, l’obligation de mener une Etude d’Impact (Privacy Impact Analyse)…

jusqu’à 20M d’euros ou, si c’est un montant supérieur, à  4% du CA annuel mondial du Groupe en cas de manquement aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, d’effacement), manquement à la sécurité des données…

2) des sanctions pénales (articles spécifiques du Code Pénal)

Ces sanctions existent déjà en droit français et n’ont pas été modifiées par le RGPD. Il convient de bien distinguer la responsabilité de la personne morale, distincte de l’éventuelle responsabilité du dirigeant.

En cas de poursuites pénales envers la personne morale, c’est le représentant de la société qui sera poursuivi, et non le DPO.

Pour pouvoir être exonéré de sa responsabilité, c’est au représentant de justifier de la mise en œuvre effective de délégations.

En cas de délégation valable, le représentant peut s’exonérer de sa responsabilité dans le seul domaine couvert par la délégation et sauf s’il a personnellement pris part à l’infraction.

Deux conditions sont nécessaires pour une délégation valable :

– le délégant doit être dans l’impossibilité réelle de veiller personnellement au respect de la réglementation, compte tenu de la taille de l’entreprise mais aussi de sa structure ;

– le délégataire doit être doté de la compétence (y compris en termes de connaissance de la règlementation applicable), des moyens et de l’autorité nécessaires à l’accomplissement des tâches qui lui sont déléguées.

Sur la forme, la délégation doit être certaine, expresse et limitée à un domaine précis. Toutefois, elle doit correspondre à une véritable délégation de pouvoirs et de responsabilités. Une délégation fictive pourrait toujours être invalidée par un juge.

Le principe général d’ « accountability » posé par le RGPD tend à limiter les champs de délégations du dirigeant aux aspects opérationnels non stratégiques.

 

Le DPO ne pourra pas recevoir de délégation pénale car son rôle ne va pas jusqu’à ce niveau de responsabilité stratégique. 

Le DSI pourra être délégataire quant à la conformité opérationnelle des systèmes ; exemple : le Directeur de la Relation Clientèle quant à l’effectivité de l’information des clients sur l’exercice de leurs droits.

Financement des jeunes pousses : pacte d’actionnaires / associés, un outil qui compte

 

      Bien connus des acteurs du capital risque, les pactes d’actionnaires / associés peuvent être négociés par les jeunes entrepreneurs envisageant des levées de fonds à court ou moyen terme. Leur rédaction peut être prévue dès la création de la société, qui servira de cadre juridique à la nouvelle activité. Rappel de l’utilité de ces contrats.

Convention conclue entre plusieurs actionnaires ou associés d‘une société, voire entre tous, le pacte d‘actionnaires (ou d’associés pour les SARL, sociétés à responsabilité limitée) [1] vise à encadrer leurs prérogatives, le plus souvent leurs droits politiques dans la société ou le droit de céder leurs titres. Théoriquement, les pactes d‘actionnaires peuvent être utilisés pour tous types de sociétés. Cependant, ceux relatifs à des sociétés cotées sont soumis à des règles strictes, notamment de divulgation.

Les développements qui suivent ne concernent que les sociétés commerciales, en particulier les sociétés anonymes (SA), SARL et sociétés par actions simplifiées (SAS).

Le pacte d‘actionnaires doit être distingué des statuts, bien que les deux se recoupent. Les statuts, contrat conclu entre tous les fondateurs de la société, précisent les caractéristiques et les règles de fonctionnement de celle-ci. Leur contenu est encadré par la loi, qui ne laisse parfois que peu de place à la liberté contractuelle, comme dans le cas des SA. Les statuts qui sont enregistrés au greffe et accessibles au public, lient tous les actionnaires. En revanche, le pacte d‘actionnaires n‘engage que les actionnaires qui y sont partie et ne fait, en principe, pas l‘objet d‘une publication (sauf, dans certains cas, pour les sociétés cotées). Ces différences s‘illustrent bien dans les cas de violation de dispositions statutaires ou d‘un pacte. Par exemple, une décision prise en violation des statuts peut entraîner sa nullité. En revanche, une décision violant les dispositions d‘un pacte d‘actionnaires n‘entraîne, en général, pas sa nullité mais engage la responsabilité en dommages-intérêts des actionnaires ayant violé le pacte.

Flexibilité et confidentialité

L‘utilité des pactes d‘actionnaires est multiple. Ils permettent tout d‘abord d‘apporter une flexibilité qui ne peut être reflétée dans les statuts, en particulier pour les SA. Pour les SAS, la loi permet une grande flexibilité dans les statuts. Les actionnaires peuvent donc organiser son fonctionnement et la cessibilité de leurs actions comme ils l‘entendent, dans la limite de certaines règles auxquelles il ne peut être dérogé. L‘avantage des pactes réside, ici, dans leur discrétion.

En cas de levée de fonds, il est fréquent que la souscription de nouvelles actions par les nouveaux investisseurs soit accompagnée de la signature d‘un pacte d‘actionnaires. Ce pacte contiendra, en général, des dispositions spéciales sur les droits préférentiels de souscription, droits de veto et conditions de sortie. Autant d‘informations primordiales sur la valorisation et la stratégie de l‘entreprise qu‘il n‘est pas forcément opportun de rendre accessible au public. Enfin, dans les sociétés ayant un actionnariat varié, les pactes entre certains actionnaires permettent de mettre en œuvre des stratégies communes, dans les limites imposées par les règles impératives du droit des sociétés.

 

La typologie des pactes d‘actionnaires varie grandement d‘une transaction à l‘autre. Dans le cadre d‘une levée de fonds, le pacte contiendra des dispositions empêchant ou limitant la dilution des fondateurs et des premiers investisseurs lors d‘ultérieurs tours de table. Le pacte peut également prévoir des clauses de contrôle de l‘actionnariat, règlementant strictement les conditions de cession des actions par tous, ou certains actionnaires, et prévoyant des scénarios de sortie des actionnaires. Les pactes d’actionnaires permettent également d‘organiser la nomination des dirigeants et l‘utilisation des droits de vote. Enfin, ils peuvent contenir des dispositions relatives à la distribution des dividendes.

La rédaction des clauses du pacte n‘est pas figée. La liberté est totale et les possibilités quasi infinies, dans les limites des dispositions impératives du droit des sociétés. C‘est là le grand avantage des pactes d‘actionnaires, qui permettent aux parties de tailler sur mesure un outil correspondant aux besoins de la transaction projetée. Une liberté cependant délicate à maîtriser, d‘où la nécessité d’un accompagnement professionnel.

Encadré

 Levée de fonds : quelles clauses ?

Exemples de clauses que l’on retrouve fréquemment dans les pactes conclus dans le cadre de levées de fonds.

Droits de préemption : ces clauses permettent, en cas de cession d‘actions projetée par un actionnaire, de donner la possibilité aux autres actionnaires d‘acquérir ces actions en priorité. En général, elles prévoient l’obligation pour un actionnaire ayant reçu une offre d‘achat d‘un tiers de proposer aux autres actionnaires d‘acquérir en priorité les actions faisant l‘objet de l‘offre, aux conditions soumises par le tiers acquéreur. Une variante de ce droit est le droit de premier refus (right of first refusal).

Mécanismes anti-dilution : la loi prévoit un droit préférentiel de souscription (DPS) permettant à un actionnaire de participer à toute nouvelle augmentation de capital, proportionnellement à la quote-part du capital qu’il détient. Ce droit peut être cédé et  également supprimé par l‘assemblée générale, dans certains cas. En complément du DPS, une clause anti-dilution peut permettre à son bénéficiaire d‘acquérir des actions d‘autres actionnaires, afin d‘empêcher la dilution de sa participation en cas d‘augmentation de capital, quelle qu‘en soit la cause.

Sortie conjointe (tag along) : ces clauses permettent à un actionnaire, en cas de cession d‘actions par un autre actionnaire, de bénéficier de conditions de sortie similaires à celles de l‘actionnaire cédant. Egalement, d‘éviter à des actionnaires minoritaires de se retrouver isolés en cas de sortie d‘actionnaires majoritaires. Ces droits de sortie peuvent être proportionnels.

Sortie obligatoire (drag along): à l‘inverse des droits de sortie conjointe, ces clauses permettent aux actionnaires (souvent majoritaires) vendant l‘intégralité de leurs actions, d‘obliger les actionnaires (souvent minoritaires) à céder leurs titres dans des conditions similaires. L’objectif : éviter que des actionnaires minoritaires puissent bloquer un projet d‘acquisition de l‘intégralité des actions de la société.

[1]             Pour plus de lisibilité, le terme pacte d’actionnaires sera utilisé  dans cet article.

 

?>