FÉRAL partage régulièrement sur sa page LinkedIn des réactions aux actualités juridiques qui ont marqué nos domaines d’activités. Tous les quinze jours, retrouvez un récap’ des informations qu’il ne fallait pas manquer.
Absence de consentement : la CNIL sanctionne l’un des principaux opérateurs français de télécommunications à hauteur de 50 millions d’euros
Par le biais de son service de messagerie électronique, la société diffusait des messages publicitaires sous forme de courriels directement dans les boîtes de réception des utilisateurs, sans obtenir leur consentement préalable.
En s’appuyant sur la jurisprudence de la CJUE, la CNIL a considéré que cette pratique constituait un manquement au RGPD, car assimilée à de la prospection directe par courrier électronique, laquelle nécessite le recueil préalable du consentement.
La CNIL a également relevé un manquement à l’article 82 de la Loi Informatique et Libertés, en raison de l’absence d’effectivité du retrait du consentement au dépôt de cookies sur le site de la société par les utilisateurs.
Outre le prononcé d’une amende de 50 millions d’euros, la CNIL a ordonné à la société de mettre en œuvre des mesures permettant d’assurer le caractère effectif du retrait du consentement des utilisateurs aux opérations de lecture des cookies sous astreinte de 100 000 euros par jour de retard à l’issue d’un délai de 3 mois suivant la notification de la délibération.
Lire la Délibération SAN-2024-019 de la CNIL du 14 novembre 2024
Dessins et modèles : les états membres de l’OMPI ont adopté le Traité de Riyad simplifiant les modalités d’enregistrement à l’étranger
Afin de rendre les différentes procédures existantes davantage prévisibles, le texte instaurera une liste exhaustive d’éléments à soumettre dans la demande de dépôt et fixera les conditions pour l’attribution d’une date de dépôt afin d’en limiter les reports.
Les dépôts seront facilités par la possibilité de dépôts multiples et les systèmes de dépôt électronique.
Le traité portera à 12 mois la durée du délai de grâce. Ce délai court à partir de la première divulgation du dessin ou modèle et permet, par exception, de considérer que le dépôt est encore possible.
Le traité prévoit par ailleurs des mesures de sursis permettant aux déposants de rattraper un retard dans l’accomplissement d’une formalité soumise à un délai.
Le traité entrera en vigueur une fois signé par 15 parties contractantes.
Cette volonté de faciliter l’accès à la protection par le droit des dessins ou modèles fait écho aux apports du récent “Paquet dessins et modèles” adopté en droit de l’UE.
Lire le projet de traité sur le droit des dessins et modèles adopté le 22 novembre 2024
Cybersécurité : un règlement d’exécution précise l’obligation, incombant aux entités financières au titre du règlement DORA, de tenir un registre d’informations
Le règlement DORA met à la charge des entités financières une obligation de tenir un registre d’informations relatif aux contrats portant sur l’utilisation de services TIC fournis par des prestataires tiers.
Le règlement d’exécution 2024/2956, publié au JOUE le 2 décembre 2024, précise la forme et le contenu de ces registres d’informations. Les entités financières doivent notamment :
- Utiliser les modèles figurant aux annexes du règlement d’exécution ;
- Renseigner les contrats conclus avec leurs prestataires intra-groupe et les contrats conclus avec des prestataires tiers extérieurs au groupe en tant que sous-traitants.
Les registres doivent être mis à disposition des autorités compétentes dès le début de l’année 2025 .
Lire le Règlement d’exécution (UE) 2024/2956 du 29 novembre 2024
Comment traiter une demande de partage de données personnelles émanant d’autorités publiques de pays tiers à l’UE de manière conforme au RGPD ?
Le 3 décembre 2024, le CEPD a publié des lignes directrices sur l’article 48 du RGPD concernant les demandes de transferts de données d’autorités publiques de pays tiers. Ces recommandations clarifient les étapes clés pour évaluer la légalité de ces demandes.
Le CEPD recommande aux entités concernées de vérifier que :
- La demande de transfert est fondée sur une base légale : si la demande repose sur un accord international valide, le transfert est justifié par une obligation légale. En l’absence d’un tel accord, l’organisme doit déterminer si le transfert peut être justifié par une autre base légale, évaluation qui s’effectue au cas par cas et qui doit être documentée.
- La demande de partage est compatible avec les mécanismes de transfert prévus au Chapitre V du RGPD : l’organisme concerné par la demande doit identifier le motif de transfert applicable, tel qu’une décision d’adéquation adoptée par la Commission européenne ou l’utilisation de garanties appropriées comme les clauses contractuelles types par exemple.
Ces lignes directrices sont soumises à consultation publique jusqu’au 27 janvier 2025.
Lire les lignes directrices du CEPD sur l’article 48 du RGPD
