conformite-rgpd

Le RGPD, quel impact opérationnel sur le traitement des données personnelles par les startups ?


Le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) s’appliquera à tous les traitements de données personnelles au sein de l’Union Européenne.

Il concernera toutes les entreprises, quelle que soit leur taille.

En conséquence, il est fondamental de faire le nécessaire pour être mis en conformité avant la date fatidique.

Le RGPD a un double impact sur vos activités :

  • Renforcement de la protection des personnes concernées par les données personnelle.
  • Adaptation des procédures internes pour mettre en place une conformité en amont.

Les sanctions, en cas de non-respect du RGPD, sont conséquentes dans tous les cas :

  • Chiffre le plus élevé entre 10 millions d’euros et 2% du chiffre d’affaire mondial pour les atteintes techniques (Privacy by Design, Privacy by Default, absence d’analyse d’impact)
  • Chiffre le plus élevé entre 20 millions d’euros et 4% du chiffre d’affaire mondial pour les atteintes aux droits des personnes.

Un renforcement des droits des personnes sur les données personnelles


Le RGPD renforce les droits des personnes dont les données personnelles sont collectées.

Les principes mis en place sont les suivants :

  • Traitement des données personnelles de manière licite, loyale et transparente.
  • Collecte pour des finalités précises, claires, déterminées, explicites, compréhensibles et légitimes.
  • Utilisation uniquement pour ces finalités.
  • Minimisation des données collectées à celles qui sont pertinentes pour la finalité.
  • Mise à jour des données – suppression des données périmées.
  • Conservation limitée dans le temps aux besoins du traitement.
  • Protection de la sécurité des données.
  • Privacy by Design : les principes du RPGD doivent être intégrés dès la mise en place du traitement.
  • Privacy by Default : seules les données nécessaires sont traitées.

Ces principes impliquent la mise en œuvre de procédures techniques spécifiques : acceptation par cases à cocher, anonymisation, pseudonymisation, chiffrement, logs, processus de sécurité.

Les personnes concernées doivent également être entièrement informées des données collectées, des finalités des traitements et des procédures mises en place. Elles doivent également pouvoir obtenir du responsable de traitement qu’il modifie les données, les supprime, lui transmette ou l’informe sur les données personnelles qu’il détient sur elle, dans un délai d’un (1) mois à compter de sa demande. Toute personne peut également s’opposer au traitement de ses données, à tout moment.

Les droits conférés sont donc extensifs et doivent être répercutés au sein de vos documents contractuels (CGV / CGU notamment) et procédures internes.


La nécessité de mettre en place des procédures de conformité en interne


Si les droits conférés aux personnes sont étendus, ceux-ci restent dans le prolongement de la réglementation existante.

En revanche, les entreprises sont désormais soumises à des obligations transformées et bien plus importantes.

La déclaration préalable n’est plus nécessaire, chaque responsable de traitement devant garantir le respect du RGPD pour tous les traitements de données personnelles.

Il est nécessaire, au sein de chaque entreprise de plus de 250 salariés, de tenir un registre des traitements effectués. Les entreprises de moins de 250 salariés ne doivent tenir qu’un registre des traitements sensibles ou si le traitement est régulier. Toutefois, il est fortement conseillé à toutes les entreprises de tenir un registre de l’intégralité de leur traitement. La CNIL fournit un modèle de registre qu’il est conseillé d’utiliser : https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx

Tout traitement de données sensibles (données de santé, politiques, ethniques, religieuses, sexuelles) ou incluant un profilage doit également faire l’objet d’une analyse d’impact. Celle-ci est également conseillée, bien que non obligatoire, pour tous les traitements de données personnelles. La CNIL a mis à disposition du public un logiciel qui guide cette analyse : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

Les entreprises sont également invitées à nommer un Data Protection Officer (DPO), qui coordonne les traitements en interne, et les relations avec la CNIL en cas de contrôle. Ceci est obligatoire si l’entreprise traite des données personnelles de manière régulière et systématique, ou si elle traite des données sensibles. Le DPO peut être interne à l’entreprise ou un prestataire spécifique.

Diverses procédures techniques et administratives doivent également être mises en place :

  • Procédure de réponse aux demandes des personnes concernées.
  • Portabilité des données.
  • Suivi des destinataires.
  • Procédure de notification de la CNIL en cas d’atteinte aux données.
  • Suivi documentaire de la conformité au RGPD (audit technique régulier, détail des mesures de sécurisation prise).
  • Mise en place d’obligations de confidentialité pour les salariés.
  • Limitation des accès aux données (par exemple via un système de permission).
  • Mise en place de logs des accès aux données.
  • Système de purge des données.
  • Procédure d’acceptation de la politique de données personnelles par vos clients, en particulier si des services sont fournis en ligne (case à cocher non précochée).

Il convient également de s’assurer que vos contrats avec vos sous-traitants prévoient une répartition des rôles et responsabilités en matière de données personnelles, et notamment que vos partenaires présentent les garanties nécessaires de conformité au RGPD.

Il est donc nécessaire de faire le point sur vos procédures internes et de les adapter préalablement au 25 mai 2018.

La CNIL disposera de pouvoirs et moyens renforcés pour vérifier la conformité des entreprises au RGPD, dès cette date.

N’hésitez pas à nous contacter si vous souhaitez être assisté.




hotel-ota-brandjacking

Comment les hôteliers peuvent-ils lutter contre le brandjacking ?


Tout le monde utilise les comparateurs de prix afin de réserver des chambres d’hôtels ou des vols. L’envers du décor est toutefois moins connu.

Les hôteliers subissent un phénomène appelé le brandjacking, qui poussent leurs clients à procéder aux réservations sur le site des comparateurs de prix et non directement sur le site des hôteliers, ce qui entraîne une perte financière conséquente pour ces derniers.

Pour en savoir plus, nous avons écrit deux articles en partenariat avec le site www.resaendirect.fr :

http://www.resaendirect.fr/lutter-contre-les-comparateurs/

http://www.resaendirect.fr/comment-contrer-le-vol-de-marque/




escroquerie-nom-domaine

Attention à l’escroquerie aux noms de domaine


Après l’arnaque aux formalités, dont nous avions parlé précédemment, voici une arnaque que nous ne connaissions pas et qui semble assez courante : l’arnaque au nom de domaine.

Il s’agit d’une arnaque qui vous encourage à enregistrer des noms de domaine sous plusieurs extensions nationales, souvent en Asie ou en Chine, à un tarif très élevé.

Comme toujours avec ce type d’escroquerie, la meilleure solution reste de jeter le mail concerné à la corbeille et de ne pas y répondre.


Qu’est-ce que l’arnaque au nom de domaine ?


L’arnaque est simple mais efficace, et joue sur la peur et l’incertitude du destinataire.

Dans un premier temps, vous recevez un email dans un anglais passable mais compréhensible, qui vous indique qu’un tiers envisage d’enregistrer votre nom de domaine sous une extension asiatique.

L’expéditeur vous indique alors qu’il a préféré vérifier avec vous que ce tiers était bien autorisé à procéder à un tel enregistrement, qui pourrait porter atteinte à vos droits.

L’adresse mail de l’expéditeur peut être soit une adresse mail générique (gmail ou similaire) ou provenir d’un nom de domaine rempli de pages basiques.

Cet email peut prendre par exemple la forme suivante :

« Dear sir or madam,

We are an agency engaging in registering brand name and domain names. Today, Our center received an application from XX and they apply to register « votre nom de domaine » as their brand name and some top-level domain names(.CN .HK etc). We found the main body of domain names is same as your company name. I am not sure about the relationship between you and them. Please tell me whether or not your company authorizes them to register names.

We are dealing with the application and we need to confirm whether you have authorized them? If you don’t authorize them, please reply me an e-mail. Looking forward to your reply.

Best regards, »

L’anglais est suffisamment passable pour pouvoir être réel, et les informations restent suffisamment vagues pour s’appliquer à tous.

Si vous répondez, vous serez peut-être contacté par un autre email, prétendant être une personne travaillant pour le tiers en question.

L’objectif sera de tenter de vous convaincre d’acheter les noms de domaine en question avant que le tiers ne vous les subtilise. Bien entendu, ces noms de domaine devront être achetés auprès de l’escroc à un tarif bien supérieur à celui du marché.

Il n’est pas certain que quelqu’un qui suivrait l’escroquerie jusqu’au bout récupère ses noms de domaine enregistrés au prix fort.

Certains téméraires ont poussé la curiosité jusqu’au bout afin d’obtenir tous les détails de l’escroquerie.


Se renseigner sur l’expéditeur de l’email et ne pas y répondre


Si vous avez un doute sur la validité du mail, vous pouvez toujours faire une recherche sur l’expéditeur et sa société.

Si l’adresse mail est expédiée depuis un domaine spécifique, il convient de faire une recherche sur ce domaine.

En pratique, toutefois, il est improbable que ce type de mail soit sérieux. Il est préférable de ne pas y répondre et de le mettre immédiatement à la corbeille.

 Si vous souhaitez enregistrer les noms de domaine dans l’extension des pays concernés car vous envisagez d’avoir une activité dans ces pays, nous vous conseillons de le faire auprès de l’organisme chargé de cette tâche dans le pays.

Pour trouver l’organisme en question, il est recommandé soit de faire appel à un registrar reconnu, soit de s’assurer de l’organisme officiel pour l’extension concernée par exemple sur le site de l’ICANN.

 




donnees-sites-internet-extraction-utilisation

L’extraction et l’indexation de données par les crawlers sur internet – Point juridique


L’explosion du data mining et du big data pousse à s’intéresser à la légalité de la collecte automatisée de données.

Les données peuvent être collectées volontairement, au moyen de formulaires remplis par des utilisateurs, ou en obtenant le droit d’utiliser des bases de données. Elles peuvent également être collectées au moyen de robots – dits crawlers web – qui parcourent le web à la recherche de données pour les indexer et en permettre la consultation ultérieure par des tiers.

Qui est propriétaire des données collectées ? Est-il possible de collecter les données sans autorisation ?

Il s’agit d’un risque juridique à analyser pour toute société procédant à ce type de collecte.

Voir la suite : http://www.legavox.fr/blog/maitre-matthieu-pacaud/extraction-indexation-donnees-crawlers-internet-22421.htm




app-code-source-logiciel-depot

Le dépôt du code-source à l’Agence pour la Protection des Programmes (APP)


Le dépôt du code-source à l’Agence pour la Protection des Programmes (APP) est souvent mal compris par les développeurs informatiques.

Ce dépôt a deux objectifs : créer une preuve de la date de création du code-source, et permettre de rassurer les co-contractants en permettant un accès à celui-ci sous condition. Il ne permet pas de créer un titre de propriété intellectuelle sur le code-source ou tout autre élément déposé.

Il est possible de déposer des codes-source de logiciel, des bases de données, des sites internet ou tout autre document informatique.


L’Agence pour la Protection des Programmes (APP) permet de créer une preuve de la date de création


Le droit d’auteur, contrairement aux droits de propriété industrielle tels que la marque ou le brevet, ne naît pas du fait du dépôt mais de son existence.

Si un œuvre répond aux critères du droit d’auteur (en particulier l’originalité), elle est automatiquement protégée.

Outre la question de l’originalité, la problématique majeure en matière de droit d’auteur est celle de la date de création et de l’identité de l’auteur.

Le dépôt à l’APP permet de disposer d’une date certaine de l’existence de l’œuvre, et donc de potentiellement disposer d’une date d’antériorité vis-à-vis des tiers. Il permet également de détailler le contenu de l’œuvre à la date du dépôt, ce qui permettra de se ménager une preuve en cas de contrefaçon.

Par ailleurs, ce dépôt permet au déposant de disposer d’une présomption de paternité de l’œuvre. Si ce dépôt est frauduleux, il sera bien entendu possible de casser la présomption, pour tout tiers disposant des preuves utiles.

Le dépôt devrait être renouvelé à chaque mise à jour majeure du code-source, en particulier si celle-ci intègre des fonctions essentielles du logiciel. Ce dépôt successif permet également de tracer l’évolution du code.


L’APP, une source de confiance pour les clients avant la signature de contrats


Préalablement à la conclusion d’un contrat informatique (notamment en matière de licence ou contrat SaaS), il est fréquemment demandé au prestataire informatique s’il a procédé au dépôt du code-source, et s’il est possible d’obtenir l’accès à celui-ci sous certaines conditions.

Les clients souhaitent en effet se garantir contre la possibilité de perdre l’accès à leur logiciel ou à sa maintenance, si le prestataire ne continue pas son activité. Cette question est récurrente lorsque le prestataire est une société de petite taille ou une start-up.

L’accès peut prendre deux formes :

La clause d’accès est une clause simple qui prévoit que sous certaines conditions, le client pourra accéder au code source : ces conditions sont souvent la liquidation judiciaire ou la cessation d’activité. Il conviendra ensuite d’informer l’APP lorsqu’il est donné accès au code-source à un partenaire contractuel.

Le contrat d’entiercement est signé entre le fournisseur, le client et l’APP. Il prévoit une fréquence de dépôt, en particulier en cas de mises à jour, les droits de l’utilisateur sur le code-source (utilisation commerciale ou utilisation interne, maintenance en interne ou par un tiers, développements complémentaires, modification du code-source, etc), ainsi que les modalités précises d’accès au code-source (selon la procédure de l’APP). L’accès peut également être limité à des conditions spécifiques.

L’APP fournit un modèle de contrat d’entiercement qu’il est nécessaire de respecter pour pouvoir bénéficier de ce régime. Il sera plus simple pour le client d’accéder au code via ce mécanisme en cas de difficulté.

L’utilisation de ces outils permettra de rassurer les clients sur la pérennité du logiciel et favorisera le développeur du logiciel.


Le coût du dépôt à l’Agence pour la Protection des Programmes


Avant de déposer un code-source à l’APP, il sera nécessaire d’y adhérer et de renouveler l’adhésion chaque année. La cotisation annuelle est, pour 2017, de 204 euros TTC par an (auquel il convient d’ajouter 60 euros pour la première année) pour une personne physique et de 560 euros pour une personne morale.

Chaque dépôt est ensuite facturé 228 euros TTC.

Des coûts spécifiques peuvent également être ajoutés en cas de clause d’accès ou de conclusion d’un contrat d’entiercement.

Le coût d’un dépôt à l’APP peut être important pour une petite entreprise, mais il permet d’en sécuriser les créations.


Les solutions alternatives au dépôt à l’APP (séquestre chez un notaire, courrier recommandé, enveloppe SOLEAU)


Si le dépôt auprès de l’APP est trop onéreux ou complexe, il est toujours possible de se créer d’autres preuves de la date de création :

  • Envoi d’une lettre recommandée à soi-même, sans l’ouvrir, avec un support numérique ou optique contenant le logiciel ;
  • Dépôt chez un tiers séquestre tel qu’un notaire ;
  • Enveloppe SOLEAU papier ou électronique.

Ces solutions sont moins complètes que l’APP, mais permettent tout de même de disposer d’une date certaine de création et d’un commencement de preuve sérieux quant à la paternité de l’œuvre.

Quelle que soit la solution retenue, il est utile d’effectuer ces démarches et de protéger tout création avant l’existence de litiges.




site-internet-mentions-legales

Quelles sont les mentions légales et documents à intégrer sur un site internet ?


Nous sommes souvent interrogés sur les mentions légales à intégrer sur un site internet. Il convient de différencier les mentions légales obligatoires, celles qu’il peut être utile d’intégrer, et les autres documents qui peuvent figurer sur le site.


Les mentions légales obligatoires pour tous les sites internet


Conforment à la LCEN, chaque site internet doit inclure un minimum d’informations afin de permettre aux visiteurs d’identifier les responsables du contenu publié sur celui-ci. Cela est particulièrement important car le contenu du site peut parfois porter atteinte à un tiers, qui doit pouvoir disposer de moyens de recours.

Les mentions légales doivent inclure les informations légales de la société qui édite le site : dénomination sociale, forme juridique, siège social, SIRET, moyens de contact (téléphone, mail), numéro de TVA le cas échéant. S’il s’agit d’un particulier, son nom, prénom et son domicile doivent apparaître.

Un responsable de publication doit également être systématiquement désigné.

Les informations légales relatives à l’hébergeur doivent également y figurer : nom, siège social, SIRET.

Toute information relative à une activité réglementée doit être également intégrée. A titre d’exemple, les avocats doivent inclure leur barreau d’appartenance et leur toque. Un médecin, un courtier ou un expert comptable devra en faire de même avec les équivalents pour sa propre profession.

La page des mentions légales doit être accessible facilement par les visiteurs, en général via un lien en pied de page.

Il est également nécessaire, si des données sont collectées, d’informer les visiteurs du numéro de déclaration effectuée auprès de la CNIL. Dans ce cas, il conviendra également de les informer de la manière dont les données sont collectées, hébergées, sécurisées, et de leur finalité.

Par ailleurs, si des cookies sont utilisés sur le site, et à des fins de conformité avec la législation européenne sur les données personnelles, il sera nécessaire de faire apparaître un bandeau d’acceptation des cookies sur la page d’accueil lors de la première visite sur le site internet. Les utilisateurs doivent également être informés qu’ils disposent du droit d’opposition, de rectification et d’accès aux données collectées, avec une adresse de contact. 

L’absence d’une de ces mentions est sanctionnée d’un an d’emprisonnement et de 75 000 € d’amende pour les personnes physiques ou 375 000 € pour les personnes morales.


La mention de propriété intellectuelle : utile mais non obligatoire


Il est fréquent de voir apparaître des mentions relatives à la propriété intellectuelle sur la page mentions légales. Celles-ci n’ont pas de véritable impact juridique mais permettent toutefois de se ménager un commencement de preuve de titularité en cas de contrefaçon par un tiers. Sa valeur reste toutefois très faible et il convient de protéger les droits d’auteur et de marque par d’autres moyens.


Les autres documents à intégrer : CGV et CGU


Il ne faut pas négliger vos CGV et CGU, si votre site internet met une plateforme à disposition de ses utilisateurs ou vend des produits.

Ces documents vont prévoir les modalités de vente, paiement et d’utilisation de votre site internet. Par ailleurs, en cas de vente ou prestations à des consommateurs (B2C), des mentions spécifiques au droit de la consommation devront être intégrées (rétractation, médiation, etc). Nous vous invitons dans ce cas à vous rapprocher de nous.

 Ces documents vont également compléter vos mentions légales.




liens-hypertextes-droit-legal-illegal

Tous les liens hypertextes sont-ils légaux ?


La Cour de Justice de l’Union Européenne a rendu le 8 septembre dernier un arrêt GS Media fondamental quant à la légalité des liens hypertextes, en particulier en matière de propriété intellectuelle.

La solution choisie par la CJUE met en place des présomptions particulièrement contraignantes pour les éditeurs de sites internet, ce qui va les obliger à s’assurer que les liens hypertextes utilisés sur leur site dirigent vers des contenus publiés de manière légale.

Les entreprises du digital mettent souvent en place une stratégie de linking afin de réduire leurs coûts de productions de contenu, en particulier au début de leur activité. Cela permet en effet de maintenir un rythme de publication important et donc une présence vis-à-vis du public.

La multiplication des liens vers des publications tierces peut donc aisément engager votre responsabilité en raison de la présomption. Il est en conséquence particulièrement important de vous assurer que vos liens dirigent vers des sites qui respectent bien les droits d’auteur en amont, et non a posteriori.

Cet article a pour objet de présenter une synthèse rapide du nouveau régime applicable aux liens hypertextes.


La publication de liens légaux


1. L’arrêt GS Media se fonde sur le critère de l’objectif poursuivi par la personne ayant publié le lien.

Il semble que l’objectif soit de faire la distinction entre la publication d’un lien à titre lucratif ou non.

Ne sont pas considérés comme illégaux :

  • Les liens publiés « sans but lucratif » ;
  • Les liens publiés par une « personne [qui] ne sait pas, et ne peut pas raisonnablement savoir, que cette œuvre avait été publiée sur Internet sans l’autorisation du titulaire des droits d’auteur ».

En conséquence, si une personne publie un lien qui dirige vers un contenu portant atteinte aux droits d’auteur d’un tiers, sans but lucratif, cela ne saurait lui être reproché, sauf à prouver qu’elle était consciente que celui-ci était illégal. Cette preuve pourra être établie par exemple si le titulaire des droits l’en a informé (« Lorsqu’il est établi qu’une telle personne savait ou devait savoir que le lien hypertexte qu’elle a placé donne accès à une œuvre illégalement publiée »).

2. Toutefois, si le contenu a déjà été publié par l’ayant droit, ou si celui-ci en a autorisé sa publication, il est présumé autoriser sa « communication au public » par le biais de liens, pour autant que le public ne soit pas plus large que le public initial.

Le public n’est pas considéré comme plus large dès lors que la publication initiale a été effectuée sur un site ouvert au public.


La publication de liens illégaux


1. Une présomption d’illégalité est créée pour toutes les publications de liens effectuées à titre lucratif. En conséquence, tout lien dirigeant vers un contenu pouvant porter à la propriété intellectuelle et publié à titre lucratif sera illégal.

Il est alors à charge pour la personne ayant publié le lien de prouver que le contenu de la page visée ne porte pas atteinte au droit d’auteur.

Cette preuve est particulièrement difficile à rapporter en pratique et oblige chaque éditeur de site internet à s’assurer que l’intégralité des liens qui figurent sur son propre site est conforme au droit d’auteur. Cette tâche peut rapidement être d’une complexité inouïe pour les sites comportant des milliers de liens.

2. En outre, si le lien vise un contenu qui est publié à destination d’un public qui n’aurait pas dû avoir accès au contenu (par exemple un lien vers un contenu republié sur une plateforme ouverte à tous mais issu d’une plateforme dont l’accès est limité), le lien sera également considéré comme portant atteinte au droit d’auteur.

3. Il en va de même si le lien est diffusé par une personne agissant à titre non lucratif mais en étant consciente de l’illégalité du contenu figure sur la page liée.

4. La majorité des liens dirigeant vers des pages portant atteinte au droit d’auteur sera ainsi considérée comme illégale et pourra engager la responsabilité de la personne publiant le lien. Il sera intéressant de voir comment ce régime va s’articuler avec le régime de l’hébergeur et de l’éditeur.

N’hésitez pas à nous contacter si vous avez besoin de clarification sur la manière dont ce nouveau régime s’appliquera à votre site.




Procédure SYRELI – Noms de domaines sous l’extension .fr (infographie)


La procédure SYRELI a été mise en place par l’AFNIC en particulier pour permettre aux titulaires de droits antérieurs (noms de domaines, marques), d’obtenir la suppression ou la transmission de noms de domaine qui portent atteinte à leurs droits.

Elle permet donc de lutter contre le cybersquatting. S’agissant d’une procédure mise en place par l’organisme chargé de la gestion des extensions .fr, il s’agit d’une procédure qui ne s’applique qu’en matière franco-française.

Pour les extensions internationales (.net, .com, .org), la procédure UDRP est applicable.

Préalablement à la mise en oeuvre de ces procédures, il est préférable de tenter de connaître le nom du titulaire du nom de domaine et de tenter d’en obtenir le transfert de manière amiable.

Si vous souhaitez plus d’informations sur la lutte contre le cybersquatting, un article précédent a déjà abordé le sujet.


syreli-cybersquatting-nom-domaine-france


Résumé de la procédure SYRELI


La procédure SYRELI est ouverte si le nom de domaine, objet du litige, est (article L45 du Code des Postes et des Communications Electroniques) :

  • “susceptible de porter atteinte à l’ordre public ou aux bonnes mœurs ou à des droits garantis par la Constitution ou par la loi ; ou
  • susceptible de porter atteinte à des droits de propriété intellectuelle ou de la personnalité, et que le titulaire ne justifie pas d’un intérêt légitime et agit de mauvaise foi ; ou
  • identique ou apparenté à celui de la République française, d’une collectivité territoriale ou d’un groupement de collectivités territoriales ou d’une institution ou service public national ou local, et que le titulaire ne justifie pas d’un intérêt légitime et agit de mauvaise foi.” 

La procédure suit les étapes suivantes :

  • Le demandeur introduit la demande auprès de l’AFNIC,
  • Le coût de cette procédure est de 250 euros HT,
  • L’AFNIC notifie la demande au titulaire du nom de domaine,
  • Le titulaire du nom de domaine dispose de 21 jours pour y répondre,
  • L’AFNIC rend sa décision sous 2 mois à compter de la demande initiale,
  • En cas de décision favorable, le nom de domaine est transféré au demandeur ou supprimé, la décision étant exécutoire.




droit-base-donnees

La protection juridique des bases de données


Après les marques (1, 2) et le droit d’auteur, le tour d’horizon des différents droits de propriété intellectuelle qui peuvent protéger les créations des entreprises continue avec la protection accordée aux bases de données.

Les bases de données sont des actifs extrêmement importants pour la majorité des entreprises du digital. En effet, nombre d’entre elles fournissent des services qui sont basés sur l’accès, par abonnement ou  libre mais financé par la publicité, à des bases de données constituées par leurs soins.

La création initiale ainsi que les mises à jour de la base de données nécessitent un effort permanent et un investissement conséquent, que le législateur a protégé sur la base d’une directive communautaire de 1996.

Les bases de données sont protégées à la fois par un droit spécifique, dit sui generis, pour les producteurs, mais également par le droit d’auteur. Les deux protections sont indépendantes et s’exercent sans avoir d’impact l’une sur l’autre.

Tout d’abord, il convient toutefois de s’interroger sur la composition des bases de données protégées.


Quelle est la définition d’une base de données ? Quelle est sa composition ?


L’article L112-3 du Code de la Propriété Intellectuelle définit les bases de données de la manière suivante :

« On entend par base de données un recueil d’œuvres, de données ou d’autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou par tout autre moyen. »

L’idée générale est celle d’un regroupement d’informations selon des règles logiques et rationnelles, ensuite mis à disposition par tout moyen à un public.

Toute personne qui souhaite créer une base de données soit s’interroger sur la composition de celle-ci : en effet, elle ne doit pas utiliser des données protégées par un droit de propriété intellectuelle (en l’espèce, généralement le droit d’auteur) sans autorisation, en application de l’article L122-4 du Code de la Propriété Intellectuelle. Les marques, les brevets, voire même les données personnelles peuvent être également concernées et nécessitent l’accord des titulaires de droit.

Toutefois, les exceptions du droit d’auteur sont favorables au producteur de la base : il est possible, sur la base de l’exception de courte citation de l’article L122-5 du Code de la Propriété Intellectuelle, d’intégrer des extraits d’oeuvres protégées par le droit d’auteur à la base de données, sous réserve de citer l’auteur ainsi que la source. Ces citations ont en effet un objectif d’information du public.

Les données intégrées aux bases sont fréquemment produites par l’entreprise qui donne accès au service, ce qui limite par nature le risque en matière de propriété intellectuelle. Elles peuvent aussi être issues d’une autre base de données d’une tierce partie. Dans ce cas, il est nécessaire de disposer des autorisations afin d’éviter de porter atteinte aux droits d’un autre producteur.

Il convient toutefois de réaliser un audit préventif des données intégrées à la base de données afin d’éviter les risques en amont.


La protection des bases de données par le droit sui generis des producteurs


La directive du 11 mars 1996 relative à la protection juridique des bases de données, transposée en 1998 en France, garantit un droit sui generis au profit des producteurs de bases de données.


Quels sont les éléments des bases de données protégés par le droit sui generis


Ce droit vise à assurer la protection d’un investissement dans l’obtention, la vérification, ou la présentation du contenu d’une base de donnée pendant la durée légale de la protection (Article L341-1). Cet investissement est calculé en prenant en compte les « moyens consacrés à la recherche d’éléments existants et à leur rassemblement dans la base de donnée », selon la CJUE dans son arrêt Apis-Hristovich de 2009. La création de contenu n’est en revanche étonnamment pas considérée comme un investissement par la jurisprudence.

La protection porte sur le contenu et pas sur la structure de la base de données, qui elle est protégée par le droit d’auteur.


La durée de la protection des bases de données ?


La durée du droit du producteur est de 15 ans à compter de l’achèvement de la constitution de la base de données et peut être prolongée pour 15 ans si elle fait l’objet d’un investissement substantiel dépassant la simple mise à jour (article L342-5 du Code de la Propriété Intellectuelle).


L’étendue de la protection des bases de données par le droit sui generis


Les droits bénéficient à la personne physique ou morale qui prend l’initiative et assure le risque des investissements correspondant à la création du contenu d’une base de données (article L341-1 du Code de la Propriété Intellectuelle).

Deux facultés sont garanties au producteur par l’article L342-1 du CPI :

  • Interdire l’extraction des données de la base par transfert permanent ou temporaire du contenu ou d’une partie du contenu,
  • Interdire la réutilisation du contenu.

Des exceptions sont toutefois prévues par l’article L342-3 du CPI, ce qui inclut, entre autres, que le producteur ne peut pas interdire la copie privée, l’utilisation pédagogique ou éducative, l’extraction et la réutilisation d’une partie non substantielle de la base par une personne qui y a licitement accès.

L’article L343-4 du Code de la Propriété Intellectuelle prévoit une sanction de 3 ans d’emprisonnement et de 300.000 euros d’amende, en cas d’utilisation non autorisée de la base.


La protection des bases de données par le droit d’auteur


L’application générique du droit d’auteur aux bases de données


La protection du droit d’auteur s’applique de manière classique, sur la base de l’originalité de la présentation de la base de données.

Cela signifie que l’auteur dispose des droits moraux (divulgation, paternité, respect de l’œuvre, retrait et repentir) ainsi que des droits patrimoniaux (exploitation, reproduction, représentation, suite, destination), comme tous les titulaires de droits d’auteur.

Les sanctions applicables sont également celles du droit d’auteur : contrefaçon pouvant justifier des dommages intérêts et responsabilité pénale.


La protection de la structure de la base de données


Les éléments protégeables d’une base de données sont ceux liés à la structure de la base de données. Ce sont les éléments d’agencement du contenu.

Le contenu en lui même importe peu pour le droit d’auteur.

Les bases de données constituent des œuvres de l’esprit propres à leur auteur par le choix ou la disposition des matières. Le classement en lui même doit être original pour être protégé par le droit d’auteur : des choix créatifs individuels doivent donc être apparents.

Un simple classement alphabétique ou purement thématique ne sera pas suffisant. L’originalité s’apprécie toutefois au cas par cas.




usedsoft-vente-licence-occasion

Les problématiques juridiques liée à l’acquisition et la revente de licences de logiciels d’occasion


Acquérir une licence de logiciel d’occasion peut paraître surprenant, en particulier lorsque ce produit est totalement immatériel. Il est en effet difficile d’envisager d’acheter un produit n’ayant pas de support physique de seconde main, le produit d’occasion étant totalement identique au produit neuf.

Toutefois, les règles de l’épuisement des droits permettent, depuis un arrêt de la Cour de Justice de l’Union Européenne du 3 juillet 2012 (C-128-11 UsedSoft c/ Oracle), de revendre un logiciel d’occasion, qu’il dispose d’un support physique ou non.

Cette solution, bien que logique, n’était pas acquise d’avance dès lors qu’elle oppose la protection du droit d’auteur des éditeurs de logiciels aux intérêts des utilisateurs et du libre échange sur le marché communautaire. Elle porte atteinte aux profits des éditeurs mais a pour effet de libéraliser le marché de la vente de logiciel.

Acquérir des logiciels d’occasion est une stratégie qui peut être particulièrement avantageuse sur le plan économique mais qui nécessite de réfléchir de manière approfondie à la gestion du parc logiciel de l’entreprise, notamment en mettant en œuvre le software asset management.


La revente de licences de logiciels d’occasion est-elle autorisée ?


La Cour de Justice de l’Union Européenne indique que le principe d’épuisement du droit de distribution s’applique à la fois à la vente des logiciels sur support matériel, mais également à la distribution dématérialisée par téléchargement sur internet.

Le droit d’épuisement est un concept de droit européen selon lequel la première commercialisation d’un produit sur le territoire communautaire épuise le droit de distribution du produit dans l’Union.

En pratique, cela signifie que l’entreprise qui commercialise le produit ne peut se prévaloir de son monopole d’exploitation que lors de la première vente. Il est ensuite possible pour un tiers de revendre le produit, hors du contrôle du distributeur d’origine, sans qu’il soit porté atteinte à un quelconque droit de propriété intellectuelle.

Historiquement, ce concept s’appliquait plutôt en matière de droit des marques, des dessins et modèles ou brevets, pour des produits tangibles, pouvant circuler de main en main.

De par cette décision, la Cour de Justice de l’Union Européenne étend ce droit aux programmes informatiques, hors la présence de tout support physique.

En conséquence, il est possible de procéder à la revente de logiciels ayant été acquis par téléchargement. Le téléchargement est ainsi considéré comme une première vente, qui met en œuvre l’épuisement des droits.

Les éditeurs ne peuvent donc plus s’y opposer. En conséquence, les clauses d’interdiction de revente qui figurent au sein des licences logicielles sont désormais de facto invalides.


Comment sécuriser son acquisition de licences de logiciel d’occasion ?


L’acquisition de logiciels d’occasion peut toutefois souvent signifier une baisse des commandes auprès des éditeurs de logiciels.

Cette baisse de commande pourra avoir des conséquences multiples, notamment en matière de négociation commerciale.

Dans un premier temps, les tarifs préférentiels liés au volume d’achat chez les éditeurs de logiciels pourront être moins favorables en cas de commande future. Les éditeurs ne souhaitent logiquement pas favoriser les clients qui limitent leur volume d’achat.

Dans un second temps, les éditeurs n’hésiteront pas à mettre en œuvre les clauses d’audit logiciel qui figurent au sein de leurs licences, pour s’assurer que les licences acquises d’occasion sont bien utilisées de manière conforme. Il est donc nécessaire, avant de faire le choix de l’occasion, de s’assurer que celles-ci seront utilisées dans les règles de l’art et d’être prêt à subir un audit de conformité logicielle.

Il convient également de s’assurer auprès du revendeur que la première copie n’est plus utilisée. En pratique, les plateformes de revente de licence fonctionnent par le biais d’attestations : le vendeur s’engage à désinstaller et ne plus utiliser les licences, et la plateforme s’engage à fournir une licence utilisable à l’acheteur.


Quels sont les avantages et inconvénients des logiciels d’occasions ?


En pratique, les licences d’occasion sont vendues à des tarifs très compétitifs par rapport aux licences vendues directement par l’éditeur.

Il s’agit d’une bonne alternative au logiciel libre pour les entreprises qui souhaitent rester dans un écosystème propriétaire, par habitude ou en raison de besoins spécifiques.

Par ailleurs, les éditeurs de logiciels sont tenus de traiter les utilisateurs de licences d’occasion comme des « acquéreurs légitimes » : cela signifie qu’ils ont accès à la maintenance corrective au titre de la garantie légale des vices cachés au même titre que les acheteurs de la licence d’origine, et peuvent télécharger les logiciels correspondant à leurs licences acquises d’occasion sur le site de l’éditeur.

Celui-ci doit également permettre l’accès à la maintenance contractuelle, mais garde une liberté quant aux tarifs applicables.

Toutefois, les logiciels les plus récents sont en général introuvables en occasion. Il est donc intéressant de se tourner vers ce type de plateformes pour des anciennes versions mais beaucoup moins pour des logiciels à jour.

Il peut également être intéressant, afin de lisser le parc informatique de l’entreprise, de revendre les licences non utilisées aux plateformes de revente de logiciels d’occasion, par exemple suite à l’acquisition de nouvelles licences.

Avant de faire le choix d’acquérir des licences d’occasion, il convient donc de s’assurer d’être prêt à gérer les conséquences, notamment en matière de relation avec les éditeurs. Toutefois, les avantages financiers peuvent rapidement rendre pertinente cette politique de gestion du parc logiciel.