Cette rentrée est l’occasion de partager, avec vous, l’actualité juridique en matière de propriété intellectuelle et des nouvelles technologies et de revenir sur les dernières décisions marquantes de l’été.
En juillet dernier, le Tribunal de l’Union européenne s’est prononcé sur l’enregistrement de certains types de marque, en acceptant l’enregistrement d’une marque tridimensionnelle mais en refusant l’enregistrement d’une marque sonore imitant l’ouverture d’une canette (I).
En parallèle, la période estivale a notamment été l’occasion, pour le CEPD et la CNIL de rappeler certaines exigences en matière de protection des données personnelles et de faire payer certains contrevenants… (II)
1. LA NOUVELLE DIMENSION DES MARQUES – UN ENREGISTREMENT COMPLEXE ?
Le Tribunal de l’Union européenne a, dans une décision du 7 juillet 2021[1], refusé l’enregistrement d’une marque sonore de l’Union européenne visant à protéger l’ouverture d’une canette et d’un pétillement de bulles. Le tribunal considère à juste titre que ce genre de son est dépourvu de caractère distinctif en ce qu’il n’est pas de nature à identifier l’origine commerciale de la marque mais plutôt l’aspect fonctionnel des produits désignés lors de l’enregistrement, à savoir des boissons.
Ce même tribunal a par ailleurs accepté[2], malgré une décision contraire de la première chambre de recours de l’EUIPO3, que le tube de rouge à lèvres « Rouge G de Guerlain » pouvait être enregistré à titre de marque tridimensionnelle en raison de son caractère distinctif. Le tribunal justifie sa décision par la forme du tube Guerlain qui diffère de manière significative des autres tubes de rouge à lèvre couramment commercialisés.
Ces deux décisions illustrent la difficulté d’appréciation du caractère distinctif lors de l’enregistrement d’une marque complexe, telle qu’une marque sonore ou tridimensionnelle.
La distinctivité d’une marque s’apprécie au regard de la faculté pour le consommateur d’attention moyenne d’identifier son origine commerciale.
Toutefois, la distinctivité d’une marque sonore ou tridimensionnelle est davantage conditionnée par le fait que leur perception sonore ou leur apparence ne doivent pas être perçues comme des éléments techniques et/ou fonctionnels des produits ou services désignés dans l’enregistrement.
2. LA PROTECTION DES DONNEES PERSONNELLES
2.1 Un acteur pour un rôle : le script du traitement des données personnelles tant attendu
Le Comité européen de la protection des données (CEPD) a adopté le 7 juillet 2021 la version finale de ses lignes directrices précisant les critères d’identification des différents acteurs des traitements de données à caractère personnel.
Les obligations et les responsabilités du responsable de traitement, du responsable conjoint et du sous-traitant y sont définies et permettent une identification claire et précise de tous les acteurs impliqués.
Par définition et à la lumière du Règlement Général sur la Protection des données, (i) le responsable de traitement est celui qui « détermine les finalités et les moyens du traitement, c’est-à-dire le pourquoi et le comment de celui-ci »[3], (ii) le responsable conjoint est celui qui va, conjointement avec le responsable de traitement principal, participer à la détermination des finalités et des moyens d’un traitement et sans lequel le traitement des données personnelles concernées ne pourra être possible. Il est évidemment recommandé par le CEPD que cette relation conjointe soit régie par contrat/acte juridique contraignant dans lequel sont précisés le rôle et les obligations de chacun.
Enfin, (iii) le sous-traitant est l’entité (publique ou privée) ou personne physique, distincte du responsable de traitement, qui est chargée du traitement de données personnelles pour le compte du responsable de traitement. Le traitement de données par le sous-traitant doit être impérativement « régi par un contrat ou un autre acte juridique qui doit être écrit, y compris sous forme électronique, et être contraignant » afin d’assurer la sécurité des données.
2.2 Données personnelles : Les sanctions RGPD changent d’échelle
Le 16 juillet 2021, la Commission Nationale pour la Protection des Données luxembourgeoises a prononcé une amende d’un montant sans précédent de 746 millions d’euros à l’encontre d’Amazon, à la suite d’une plainte déposée par la Quadrature du Net.
Il est fait grief à AMAZON de réaliser le traitement de données personnelles sans fonder ces traitements sur une des bases légales exigées par le RGPD (dont notamment le consentement, exécution d’un contrat, l’intérêt légitime du responsable de traitement…).
En l’espèce, AMAZON traite des données personnelles afin de réaliser des analyses comportementales et un ciblage publicitaire sans (i) qu’aucun document ne laisse penser qu’AMAZON fonde ses traitements d’analyse comportementale et de ciblage publicitaire sur le consentement des utilisateurs, (ii) que les conditions d’utilisation le prévoient (iii) ni qu’un intérêt légitime soit explicitement invoqué.
L’association demandait que les mesures suivantes soient prononcées :
- Interdiction des traitements d’analyse comportement et de ciblage publicitaire
- Amende administrative
La décision rendue par la Commission Nationale pour la Protection des Données luxembourgeoises n’est pas encore publique[4].
2.3 La CNIL a publié ses recommandations pour la transmission aux médecins de la liste de leurs patients non vaccinés
Dans le cadre du contexte de la pandémie de COVID 19, la CNIL a été saisie d’un projet de décret modifiant les décrets relatifs à certains systèmes d’information qui autoriserait la Caisse nationale d’assurance maladie (« CNAM ») à éditer, à partir des fichiers existants, la liste des patients non vaccinés correspondant à un médecin traitant.
La CNIL admet la transmission aux médecins traitants de la liste des patients non vaccinés, à condition notamment que :
- La transmission ne soit réalisée, de façon sécurisée, qu’à la demande du médecin-traitant, qui estime en avoir besoin pour sensibiliser ses patients ;
- La liste des patients non vaccinés soit supprimée par le médecin dès la fin de la campagne de sensibilisation ;
- Les sollicitations des patients non vaccinés aient pour objet de les informer et de les sensibiliser, et non d’essayer de les convaincre lorsqu’elles indiqueront ne pas souhaiter se faire vacciner.
La CNIL met en garde contre le risque de sollicitations excessives des personnes, à partir de ces données de santé confidentielles, et n’admet donc l’action de la CNAM que si elle est complémentaire de celle des médecins[5].
[1] Tribunal de l’Union européenne, 7 juillet 2021, aff. T-668/19
[2] Tribunal de l’Union européenne, 14 juillet 2021, aff T-488/20
[3] Guidelines 07/2020 on the concepts of controller and processor in the GDPR, adopté le 7 juillet 2021 (page 3)
[4] La plainte de la Quadrature du Net : https://gafam.laquadrature.net/wp-content/uploads/sites/9/2018/05/amazon.pdf
[5] Délibération CNIL : https://www.cnil.fr/sites/default/files/atoms/files/deliberation_ndeg2021-077_du_1er_juillet_2021_portant_avis_sur_un_projet_de_decret_modifiant_le_decret_du_12_mai_2020_et_le_decret_du_25_decembre_2020.pdf
