Dans un arrêt du 13 avril 2018, la Cour d’appel de Paris a considéré qu’il n’existait aucun risque de confusion entre les termes « REPARECO » et « REPARAUTO » susceptible de fonder une action en contrefaçon.

 

La société REPARECO exerce une activité de réparation de véhicules automobiles. Elle est à ce titre titulaire de la marque « REPARECO » n°3920286 enregistrée le 7 septembre 2012 dans les classes 12, 37 et 41.

La société ESTEVES AUTO exerce elle aussi une activité de réparation et d’entretien de véhicules automobiles, sous l’enseigne « REPARAUTO ».

Considérant que l’activité identique exercée sous une enseigne proche de sa marque par la société ESTEVES AUTO, était constitutive d’actes de contrefaçon, la société REPARECO l’a alors mise en demeure de cesser l’utilisation de son enseigne.

Elle l’a par la suite assignée devant le Tribunal de Grande Instance de Paris pour contrefaçon de sa marque et parasitisme.

La société ESTEVES AUTO a par la suite déposé la marque verbale « REPARAUTO GARAGE ».

Après avoir vu sa demande rejetée par les juges de première instance, la société REPARECO a alors interjeté appel, précisant que l’action en contrefaçon avait été engagée sur la base de l’enseigne de la société concurrente et non sur la marque, déposée postérieurement.

La société REPARECO faisait valoir que les signes « REPARECO » et « REPARAUTO » présentaient une ressemblance auditive certaine du fait de leur consonnance proche.

N’étant pas face à une reproduction à l’identique de la marque première, il convenait donc pour la cour d’appel de rechercher s’il existait un risque de confusion entre les deux signes.

Les juges ont tout d’abord considéré que les signes présentaient le même terme d’attaque « REPAR » suivie du même nombre de syllabes et se terminaient par le même son « O ». Ils ont cependant ajouté que les sons « ECO » et « AUTO » avaient une résonnance distincte.

S’agissant de l’analyse conceptuelle des deux termes, les juges ont considéré que « le terme « REPAR » avait trait à une activité identique de réparation, étant en cela extrêmement banal et d’un usage commun à l’occasion d’activités ayant pour objet la réparation notamment de véhicules automobiles » et que « le terme « ECO » ajouté par la marque antérieure mettait en valeur l’aspect économique ».

Les juges ont enfin considéré que la mention « AUTO » figurant dans l’enseigne de la société ESTEVES AUTO « n’était pas distinctive de l’activité d’un garage ayant une activité de réparation de sorte que le consommateur d’attention moyenne ne sera pas amené à opérer une confusion avec un autre garage exerçant sous la marque REPARECO ».

La Cour d’appel a donc confirmé la décision du Tribunal de Grande Instance et a considéré qu’il n’existait aucun risque de confusion entre les deux termes.

L’article L.511-2 du Code de la propriété intellectuelle dispose que : « Seul peut être protégé le dessin ou modèle qui est nouveau et présente un caractère propre ». La Cour de cassation, par un arrêt du 4 avril 2018, adhère à l’analyse de la Cour d’appel ayant reconnu la validité des modèles de la maison Cartier présentant un caractère propre et nouveau et la contrefaçon desdits modèles par reprise de leurs caractéristiques essentielles.

 

Une retenue douanière a été pratiquée dans les locaux de la société La Coque de nacre concernant des bagues prétendument contrefaisantes de modèles Cartier.

Les sociétés du groupe Cartier ont ensuite déposées plainte et se sont constituées partie civile. L’affaire a été renvoyée devant le Tribunal correctionnel pour contrefaçon de trois modèles protégés par Cartier.

La société La Coque de Nacre a été finalement relaxée et les parties civiles déboutées de leurs demandes de dommages et intérêts. En réaction, les sociétés du groupe Cartier ont donc interjeté appel de cette décision.

La Cour d’appel de Paris, par un arrêt du 23 novembre 2016 a infirmé l’arrêt rendu par le Tribunal correctionnel, considérant que la contrefaçon de modèles était caractérisée et a donc condamné la société La Coque de Nacre a versé à titre de préjudice économique et moral la somme de 20.000 euros.

La société La Coque de Nacre a formé un pourvoi en cassation.

Par son arrêt du 4 avril dernier, la Cour de cassation a rejeté le pourvoi au motif que les trois modèles enregistrés par Cartier présentant un double anneau tournant ne se retrouvant pas sur d’autres modèles divulgués antérieurement par la maison Cartier et par d’autres acteurs.

La Cour de cassation, adhère à l’analyse faite par la Cour d’appel sur les caractéristiques essentielles des modèles reprises par les bagues saisies et conclut au fait que :

« le double anneau n’était pas uniquement fonctionnel mais participait du caractère propre et nouveau de la création protégée et, d’autre part, les juges, pour dégager l’impression visuelle d’ensemble, ont procédé à la comparaison, que ce soit par ressemblance ou dissemblance, de tous les éléments caractéristiques des dessins ou modèles contrefaits. La cour d’appel, qui a ainsi caractérisé, sans dénaturation des modèles protégés et par des motifs dépourvus d’insuffisance comme de contradiction, la contrefaçon fautive commise par le prévenu, a justifié sa décision ».

1 – Le RGPD : de quoi s’agit-il ?

 

La place grandissante de l’Internet mais aussi l’émergence des nouvelles technologies, notamment des objets connectés, ont fait prendre conscience de l’utilisation exponentielle des données personnelles de tout un chacun, au mépris du respect de la vie privée. La question de la protection des données personnelles fait donc aujourd’hui partie des enjeux majeurs de société.

Le Règlement général sur la protection des données plus communément appelé « RGPD », appliquée en France depuis le 25 mai 2018, est le résultat d’une prise de conscience générale de la nécessité de réviser le cadre légal actuel sur la protection des données personnelles. L’objectif du RGPD est donc triple : adapter la législation au contexte numérique et technologique en constante évolution, responsabiliser les personnes et organisations qui traitent des données personnelles, et rassurer les citoyens sur l’utilisation qui est faite de leurs données personnelles.

2 – Mais avant toute chose, que recouvre la notion de donnée personnelle ?

Il s’agit de toute donnée permettant d’identifier directement ou indirectement un individu. Il peut s’agir du nom, prénom, date de naissance, numéro de carte d’identité, heures d’arrivée et de départ de son lieu professionnel, en encore de l’adresse IP.

3 – Qui est concerné par le RGPD ?

Le RGPD apporte de nombreux changements pour toute personne physique ou entité (entreprises, organisations, collectivités territoriales, etc.) qui serait amenée à traiter des données personnelles dans le cadre de son activité professionnelle, et ce, peu important la taille de sa structure, le secteur d’activité ou encore le lieu de stockage des données personnelles. En pratique, un très grand nombre de personnes et entités sont donc concernées.

Le RGPD a vocation à s’appliquer à tout traitement portant sur des données personnelles qu’il s’agisse de leur collecte, de leur utilisation ou encore de leur conservation (ex : prospection commerciale, fichiers clients, fichiers du personnel, etc.), peu important de disposer d’un établissement dans l’Union européenne ou non, à partir du moment où les personnes concernées par le traitement des données personnelles y résident.

4 – En bref, quelles sont vos nouvelles obligations issues du RGPD ?

Les déclarations préalables auprès de la CNIL ne seront plus obligatoires à partir du 25 mai 2018. Il vous appartiendra désormais de mettre en place en interne une documentation complète attestant que vous êtes en conformité avec la réglementation. A titre d’exemple, un registre des activités de traitement sera, sauf exceptions (ex : traitement très occasionnel de données) obligatoire, comprenant notamment une description détaillée de la nature des données traitées, des finalités des traitements réalisées, des durées de conservation, des mesures de sécurité mises en place etc. Cette mesure repose sur une logique de transparence et de responsabilisation des acteurs à cette problématique. Vous pouvez d’ailleurs à ce sujet consulter le modèle de registre qui a été fourni par la CNIL pour prendre connaissance des informations requises pour vous mettre en conformité : https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles.

Par ailleurs, les entreprises devront dans certains hypothèses (ex : traitement à grande échelle de données de santé, contrôle régulier du comportement d’un nombre significatif de personnes, etc.) désigner un délégué à la protection des données (DPD). Véritable « chef d’orchestre » des données personnelles, le DPD aura vocation à remplacer l’actuel Correspondant Informatique et Libertés (CIL), et aura pour mission, notamment de contrôler le respect du RGPD par l’entité et de coopérer avec la CNIL. La personne devra être désignée en considération de ses connaissances du droit et des pratiques en matière de données personnelles. Il peut s’agir d’une personne en interne (ex : poste technique, juridique, etc.) ou en externe (ex : avocats, consultants, etc.). Attention toutefois aux conflits d’intérêts en interne ! En effet, il convient d’éviter de nommer à ce poste un directeur financier, un responsable du département marketing ou des ressources humaines, ou même une personne sans responsabilité spécifique, mais qui serait amenée, dans le cadre de ses fonctions, à déterminer des finalités de traitement (ex : décider de la mise en place d’une newsletter au sein de son service).

L’autre grande nouveauté réside dans l’obligation d’appréhender la problématique des données personnelles dès la mise en place de vos projets et de garantir, par défaut, le plus haut niveau de protection des données. Le RGPD préconise par exemple la conduite d’une analyse d’impact lorsque les traitements sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées. L’exemple le plus parlant est la mise en place d’une surveillance par une entreprise des activités de ses employés. Dans la mesure où il s’agit d’une surveillance systématique portant sur des données concernant des personnes vulnérables, une analyse d’impact s’avèrera alors nécessaire.

Les entreprises devront en outre mettre en place des mesures organisationnelles et techniques adéquates (ex : chiffrement des données, pseudonymisation, etc.) pour garantir un haut niveau de sécurité des données. En cas de faille de sécurité, il sera obligatoire, dès sa connaissance, d’en informer la CNIL dans les 72 heures et dans certains cas d’en informer les personnes concernées (si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne physique afin qu’elle puisse prendre les précautions qui s’imposent).

5 – Quid du sous-traitant ?

Si vous êtes sous-traitant (ex : hébergeur, intégrateur de logiciels, agence d’emailing, etc.), votre rôle est désormais profondément remanié. Vous devez désormais assister et conseiller de façon permanente vos clients pour la mise en conformité de leurs traitements et respecter un certain nombre d’obligations spécifiques (ex : tenir un registre des traitements pour chacun de vos clients, obtenir une autorisation écrite si vous souhaitez sous-traiter vous-même, etc.).

En tant que sous-traitant, si vous êtes amenés à recruter un sous-traitant pour exécuter une de vos missions, il sera soumis aux mêmes obligations que celles prévues dans votre contrat avec votre client responsable de traitement. Il devra donc présenter des garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponse aux exigences du RGPD et garantisse la protection des droits des personnes concernées.

Si vous avez déjà conclu des contrats avec des sous-traitants, il faut dès à présent se préparer à la mise en conformité au RGPD, en intégrant par avenant l’ensemble des obligations prévues par le RGPD, en précisant que ces clauses seront applicables seulement à compter du 25 mai 2018.

6 – Et les sanctions dans tout cela ?

Sur les sanctions applicables, le droit français prévoyait déjà des sanctions pénales en cas d’infractions portant sur des données personnelles, rarement appliquées en l’espèce, ou par des amendes relativement faibles (ex : OUICAR n’a écopé que d’un avertissement alors que les données personnelles des utilisateurs de son site sont restées librement accessibles pendant près de trois ans ; HERTZ a été condamné à 40.000 euros pour manquement à son obligation de sécurité des données personnelles de ses clients).

Les amendes administratives détaillées dans le RGPD sont beaucoup plus dissuasives, puisqu’il est prévu qu’elles pourront atteindre 2% à 4% du chiffre d’affaires et jusqu’à 20 millions d’euros pour les infractions les plus graves.

Le RGPD n’est donc pas au cœur des préoccupations actuelles par hasard !

7 – Cas concrets :

Vous êtes blogueur professionnel et adressez chaque mois votre newsletter à une liste de contacts

De nos jours, l’emailing est un moyen très efficace pour créer facilement un contact avec des prospects. Pour autant, il ne faut pas négliger les nouvelles règles juridiques applicables en matière de traitement de données personnelles, tant les conséquences peuvent être redoutables.

Si vous êtes un blogueur professionnel (hors cadre privé), et que vous sollicitez de l’internaute qu’il renseigne seulement quelques données personnelles, à savoir ses noms, prénoms, numéros de téléphone et adresse email pour l’envoi de votre newsletter, vous entrez tout de même dans le champ du RGPD. Soyez donc attentifs à ce qui va suivre !

Le RGPD vous impose tout d’abord d’être transparent et notamment de délivrer aux internautes des mentions d’information sur votre blog (vos coordonnées, les finalités du traitement, la durée de conservation des données, les droits que les utilisateurs peuvent exercer sur leurs données, leur droit d’introduire une action devant la CNIL, etc.).

Comme vu précédemment, le RGPD a pour but de protéger les personnes contre l’utilisation détournée ou frauduleuse de leurs données personnelles. Pour cette raison, la question du consentement occupe dans la nouvelle législation européenne une place prépondérante. Le RGPD prévoit notamment en son préambule que « Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale ».

Concrètement, « l’acte positif clair » peut se matérialiser dans le formulaire d’inscription de votre newsletter par une case que l’internaute coche, du type : « en cliquant sur cette case, j’accepte de recevoir la newsletter du blog ». Pour rappel, il faut donc définitivement tirer un trait sur les cases cochées par défaut afin d’éviter toute discussion ultérieure sur le caractère positif du consentement.

Par ailleurs, le RPGD précise que le consentement doit être « spécifique ». Si vous utilisez un système de chaque case à cocher, vous devez prévoir une case pour chacune des finalités particulières (ex : envoi de la newsletter, envoi d’informations relatives à un programme de fidélité, etc.). L’erreur à éviter est également de conditionner l’accès au blog à l’acceptation de l’envoi de la newsletter.

Le RGPD prévoit que vous devrez vous ménager la preuve du recueil du consentement de chaque internaute à l’utilisation de ses données personnelles (comprenant notamment un détail des données pour lesquelles l’individu a donné le consentement, la date d’obtention des données personnelles, la finalité dudit consentement). Pour ce faire, il conviendra par exemple de mettre en place en interne un système de stockage des preuves de consentement, pour pouvoir en cas de contrôle, prouver que vous êtes en conformité avec la réglementation.

Attention ! Le RGPD a vocation à s’appliquer non seulement à votre future liste de contacts, mais également à celle déjà constituée auparavant. Il est donc indispensable de vérifier, dès à présent, que vous avez bien reçu le consentement de chaque personne dont les données personnelles sont enregistrées dans votre liste de contacts. Si ce n’est pas le cas, il est impératif d’envoyer avant le 25 mai 2018, des formulaires afin que les personnes concernées réitèrent ou non leur consentement. S’ils ne le font pas, il vous sera désormais interdit d’envoyer des emails à ces personnes et leurs données personnelles devront être effacées (et non seulement archivées).

L’internaute est également en droit de changer d’avis et doit pouvoir se désinscrire aisément à la newsletter. Le RGPD prévoit en effet que vous devez informer, avant que la personne donne son consentement à la collecte de données, qu’il est en droit de retirer son consentement à tout moment, et que ceci doit être réalisable aisément. Pour ce faire, il convient de mettre en place une procédure simple (ex : lien dans la newsletter, page spécifique créée à cet effet, etc.), pour permettre à vos utilisateurs de retirer leur consentement mais aussi d’exercer l’ensemble de leurs droits sur leurs données personnelles (droit d’accès, modification, effacement de données, ou encore bénéficier de la portabilité des données, qui est un nouveau droit issu du RGPD permettant à l’utilisateur de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers).

De votre côté, à réception du retrait du consentement, il faudra supprimer les données personnelles des internautes au plus vite et sur l’ensemble de vos lieux de stockage (y compris dans les fichiers de sauvegarde de votre blog).

La nouvelle législation européenne prévoit par ailleurs le droit pour toute personne de ne pas faire l’objet d’une décision automatisée basée sur le profilage. Concrètement, on entend par profilage, tout traitement qui permet d’analyser les comportements d’un individu (ex : à partir de l’historique de ses achats ou de ses actions sur les réseaux sociaux). Il est donc fortement recommandé de mettre en place une procédure permettant aux internautes de s’opposer à ce que leurs données personnelles servent au profilage (ex : lien dans la newsletter, page de contact sur le blog, etc.).

Il ne faut par ailleurs pas oublier les mineurs, qui sont susceptibles d’accéder, comme les adultes, à votre blog. Lorsque la personne concernée est un mineur de moins de 16 ans (le RGPD offre la possibilité aux Etats membres d’abaisser à 13 ans cet âge), le consentement parental doit être recueilli. Il faudra donc prévoir de demander l’âge de la personne dans le formulaire de contact.

Pour finir, dans la mesure où vous agissez en qualité de responsable de traitement, vous devrez à compter du 25 mai 2018, tenir un registre de traitement des différentes catégories de personnes dont vous traitez les données et de la nature du traitement. Le RGPD prévoit par ailleurs une responsabilité commune des entreprises et de leurs prestataires qui hébergent les données. Par conséquent, il faut s’assurer que les professionnels auxquels vous faites appel respectent eux aussi la législation en vigueur en matière de données personnelles, pour s’éviter bien des désagréments.

Vous gérez un site e-commerce :

Toutes les règles exposées précédemment concernant les blogueurs sont transposables aux e-commerçants, puisqu’ils sont également amenés à récolter, via un formulaire de contact de nombreuses données personnelles lors d’un achat ou d’une prestation de service fournie en ligne.

A titre d’exemple, si un client a créé un compte sur votre site Internet pour la livraison de ses commandes en renseignant son adresse postale et électronique, mais n’a pas coché la case l’invitant à recevoir des emails de prospection commerciale, vous devez vous assurer que les données personnelles sont collectées et stockées uniquement pour la finalité ou les finalités auxquelles votre client a consenti. Vous devez en effet garder toujours à l’esprit que le consentement des clients doit absolument être sans équivoque et impliquer un acte positif et clair pour qu’il soit valable. Vous ne devrez pas, par ailleurs, obtenir de façon détournée le consentement du client, en insérant les demandes de consentement portant sur les données personnelles, par exemple dans vos conditions générales de vente.

Vous devrez en outre vous assurer que tous les tiers qui auront accès aux données personnelles (hébergeurs, etc.) se sont également conformés aux obligations prévues par le RGPD en signant avec eux un contrat spécifique portant sur les données personnelles.

Votre politique de confidentialité et vos conditions générales de vente et d’utilisation devront également être remaniés pour prendre en considération les nouveautés issues du RGPD exposées ci-dessus.

Concernant les spécificités liées au e-commerce, vous devez par ailleurs collecter uniquement les données dont vous avez besoin pour la vente ou la prestation de service proposés. Par exemple, il n’est pas nécessaire de solliciter la nationalité du client pour l’achat d’un produit. Par ailleurs, vous devez conserver les coordonnées de la carte bancaire du client seulement le temps nécessaire à la réalisation de l’opération de paiement, ce qui évitera toute utilisation frauduleuse ultérieure en cas de faille de sécurité.

Aussi, si un prospect ou un client n’a répondu à aucune sollicitation depuis plusieurs années (la CNIL préconise un délai de trois années), leurs données devront être obligatoirement supprimées.

Les sites e-commerce ont par ailleurs souvent recours aux cookies utilisés à des fins de ciblage comportemental (appelés aussi « cookies tiers ») et à des cookies non intrusifs pour faciliter la navigation de l’internaute sur un site Internet (ex : mémorisation des préférences).

A l’heure actuelle, l’internaute est invitée (dans le meilleur des cas) à formuler son acceptation, en cliquant sur un bandeau cookie créé à cet effet, mais n’a, la plupart du temps, pas conscience à quoi il s’engage. Pire, le consentement n’est parfois même pas matérialisé positivement, lorsqu’il est indiqué à l’internaute qu’en poursuivant sa navigation sur le site, il accepte l’utilisation de cookies.

Face à ce constat, et comme une surprise n’arrive jamais seule (!), un nouveau Règlement européen « E-privacy » encore en cours de rédaction, dans la lignée du RGPD, devrait entrer en application également le 25 mai 2018.

Ce Règlement prévoit un renforcement du devoir d’information et du consentement des utilisateurs par référence au RGPD et contient notamment des dispositions relatives aux cookies tiers.

Il est en effet prévu d’en finir avec le bandeau cookie ! Les cookies tiers ne devront être activés qu’à la demande des utilisateurs, leur permettant de reprendre le contrôle sur leurs données personnelles. Le Règlement prévoit également d’instaurer à la charge des navigateurs, une obligation d’inviter les utilisateurs à choisir leurs paramètres de confidentialité, dès la configuration initiale du navigateur, par l’acceptation ou le refus du dépôt de cookies.

Par ailleurs, il est prévu que le consentement de l’utilisateur sera redemandé tous les six mois tant que le traitement se poursuit alors qu’aujourd’hui il est seulement sollicité lors de la première vite du site internet.

Affaire à suivre…

 

L’article 29 alinéa 2 de la loi du 29 juillet 1881 relative à la liberté de la presse définit l’injure publique comme « Toute expression outrageante, termes de mépris ou invective qui ne renferme l’imputation d’aucun fait ».

Dans un arrêt du 27 février 2018, la Cour d’appel de Dijon a considéré que les messages publiés sur un compte « Facebook » ne constituaient pas des injures publiques dans la mesure où l’accès à la publication était limité à des membres choisis qui formaient une communauté d’intérêts.

Madame Z a assigné Monsieur Y devant le Tribunal d’instance du Creusot, se plaignant d’avoir été harcelée et injuriée par ce dernier sur les réseaux sociaux. Elle sollicitait alors la réparation de son préjudice moral.

Madame Z invoquait deux messages injurieux la concernant, publiés sur le mur « Facebook » de Monsieur Y.

Le Tribunal d’instance a tout d’abord débouté Madame Z de sa demande, en considérant que les messages litigieux avaient été tenus en privé et n’étaient pas adressés directement à Madame Z.

Cette dernière a alors interjeté appel de la décision.

Madame Z soutenait que les propos litigieux avaient été publiés sur la page « Facebook » de l’auteur et que le fait qu’elle n’ait pas été la destinataire principale ne leur retirait pas leur caractère injurieux.

La Cour d’appel de Dijon a de nouveau rejeté sa demande.

Les juges ont en effet considéré que l’accès aux informations mises en lignes « était limité à des membres choisis, en nombre restreint, qui, compte tenu du mode de sélection, par affinités amicales ou sociales, formait une communauté d’intérêts, ce qui excluait que ces propos aient pu constituer des injures publiques ».

Les juges ont rajouté que Madame Z ne pouvait être considérée comme la destinataire des propos puisqu’elle ne faisait pas partie des « contacts » de l’auteur et n’avait donc pas accès aux publications présentes sur sa page. Les propos devaient ainsi être appréciés « dans le cadre dans lequel ils avaient été tenus, c’est-à-dire auprès d’un petit groupe de contacts, dans un but manifeste d’exutoire et non dans le but de nuire à Madame Z ».

La Cour d’appel en a donc conclu que « les propos incriminés ne revêtaient pas un caractère fautif et n’étaient donc pas de nature à engager la responsabilité de son auteur ».

Cécile GUYOT et Pierre LANGLAIS étaient présents à Seattle du 19 au 23 mai pour le congrès en droit des marques de l’INTA.
Rendez-vous l’année prochaine à Boston !