Ce qu’il ne fallait pas manquer (du 30 novembre au 13 décembre)

FÉRAL partage régulièrement sur sa page Linkedin des réactions aux actualités juridiques qui ont marqué nos domaines d’activités. Tous les quinze jours, retrouvez un récap’ des informations qu’il ne fallait pas manquer. 

Prospection commerciale et droits des personnes : la CNIL prononce une sanction de 600 000 euros à l’encontre de la société EDF

Dans sa délibération du 24 novembre 2022, la CNIL a relevé les manquements suivants :

  • Obligation de recueillir le consentement des personnes à recevoir de la prospection commerciale par voie électronique : EDF n’a pas démontré avoir reçu un consentement préalable valable des personnes concernées alors que les données provenaient essentiellement de data brokers.
  • Obligation d’information : la charte de protection des données personnelles ne précisait pas la source des données, la base légale correspondant à chaque finalité et l’information sur les durées de conservation était vague et imprécise.
  • Exercice des droits : la société n’a pas respecté le délai de réponse d’un mois et a failli à ses obligations en matière de droit d’accès et d’opposition.
  • Sécurité des données : les mots de passe n’étaient pas conservés de manière sécurisée ou alors étaient simplement hachés et non salés.

Lire la délibération de la CNIL, n° SAN-2022-021 du 24 novembre 2022 

La DGCCRF prononce une amende de 198 000 euros à l’encontre de la société TOTALENERGIES

Une enquête relative au démarchage téléphonique dans le secteur énergétique a révélé plusieurs manquements du fournisseur d’énergie aux dispositions applicables aux pratiques commerciales BtoC :

  • Consentement : le consentement exprès des clients n’a pas été recueilli, ni avant la facturation supplémentaire d’une prestation non prévue au contrat, ni avant l’expiration du délai de rétractation dans le cas de mise en œuvre immédiate du contrat.
  • Droit de rétractation : la société n’a pas donné suite à l’exercice du droit de rétractation de certains clients.
  • Obligation d’information : certains clients démarchés par téléphone n’ont pas été informés oralement de la possibilité de s’inscrire gratuitement sur la liste d’opposition au démarchage téléphonique. Par ailleurs, aucune confirmation de l’offre n’a été adressée aux clients à la suite du démarchage téléphonique.
  • Signature : la société ne s’est pas assurée, avant le commencement d’exécution du contrat, de la signature de celui-ci par la clientèle démarchée.

Lire le communiqué de la DGCCRF du 15 novembre 2022

Absence de risque de confusion entre les marques verbales « APPLE » et « PEN PINEAPPLE APPLE PEN »

La Cour d’appel de Paris a confirmé la décision du directeur général de l’INPI qui avait rejeté l’opposition formée par la société Apple Inc., à l’encontre de la demande d’enregistrement de la marque PEN PINEAPPLE APPLE PEN. Elle a estimé que :

Sur la comparaison globale des deux signes :

  • Les différences visuelles, phonétiques et conceptuelles entre les deux signes sont prépondérantes.
  • Le signe contesté pourra être aisément compris comme une association de quatre mots usuels, les termes « apple » et « pineapple » étant compris dans leurs sens commun de fruit.

Sur la prise en compte des éléments distinctifs et dominants :

  • Le terme « apple » ne peut être considéré au sein de PEN PINEAPPLE APPLE PEN comme dominant et individualisable, et ne conserve pas une position distinctive autonome.
  • Le caractère arbitraire objectif de la marque APPLE pour désigner des produits ainsi que sa notoriété ne peuvent suffire à faire naître un risque de confusion entre les deux signes.

Lire l’arrêt de la Cour d’appel de Paris du 9 novembre 2022, RG n° 20/13921

Lanceurs d’alerte : la CNIL se dote d’un dispositif de recueil et de traitement des signalements

Qui est concerné par ce dispositif ?

Toute personne physique qui signale ou divulgue, sans contrepartie financière directe et de bonne foi, des informations portant sur des données personnelles obtenues dans le cadre des activités professionnelles ou dont elle a eu personnellement connaissance, portant par exemple sur un crime, un délit, une violation de la loi ou une menace grave pour l’intérêt général.

Quels signalements peuvent être soumis à la CNIL ?

Le dispositif « CNIL » est réservé aux alertes en matière de protection des données personnelles, y compris en matière de cybersécurité. Les faits doivent s’être produits ou avoir une forte probabilité de se produire.

Une coopération entre les autorités

Dans le cas où le signalement porte en partie sur un manquement ne relevant pas de la protection des données personnelles, la CNIL pourra transmettre le signalement à l’organisme compétent.

La protection des lanceurs d’alerte

La CNIL prévoit différentes garanties telles que la confidentialité de leur identité, leur irresponsabilité civile et pénale ainsi que leur protection face au risque de représailles.

Lire la communication de la CNIL

L’autorité de protection des données irlandaise (DPC) prononce une sanction de 265 000 millions d’euros à l’encontre de la société Meta

En avril 2021, la presse annonçait que les données personnelles d’environ 533 millions d’utilisateurs de Facebook avaient été extraites via la technique du scrapping.

Dans sa décision du 25 novembre 2022, la DPC relève que cette extraction a été permise par une faille de sécurité du système d’information de la plateforme, révélant des manquements du responsable de traitement à son obligation de protection des données personnelles.

La société a échoué à démontrer qu’elle avait mis en œuvre des mesures techniques et organisationnelles appropriées dès la conception (by design) et par défaut (by default). 

Meta a trois mois pour se mettre en conformité avec le RGPD.

Lire la décision de la Data Protection Commission (DPC) du 25 novembre 2022

Ne manquez pas nos prochaines publications

Votre adresse email est traitée par FÉRAL afin de vous transmettre les publications et actualités du Cabinet. Vous pouvez vous désabonner à tout moment. Pour en savoir plus sur la manière dont sont traitées vos données et sur l’exercice de vos droits, veuillez consulter notre politique de protection des données personnelles.