Après les marques (1, 2) et le droit d’auteur, le tour d’horizon des différents droits de propriété intellectuelle qui peuvent protéger les créations des entreprises continue avec la protection accordée aux bases de données.

Les bases de données sont des actifs extrêmement importants pour la majorité des entreprises du digital. En effet, nombre d’entre elles fournissent des services qui sont basés sur l’accès, par abonnement ou  libre mais financé par la publicité, à des bases de données constituées par leurs soins.

La création initiale ainsi que les mises à jour de la base de données nécessitent un effort permanent et un investissement conséquent, que le législateur a protégé sur la base d’une directive communautaire de 1996.

Les bases de données sont protégées à la fois par un droit spécifique, dit sui generis, pour les producteurs, mais également par le droit d’auteur. Les deux protections sont indépendantes et s’exercent sans avoir d’impact l’une sur l’autre.

Tout d’abord, il convient toutefois de s’interroger sur la composition des bases de données protégées.

L’article L112-3 du Code de la Propriété Intellectuelle définit les bases de données de la manière suivante :

« On entend par base de données un recueil d’œuvres, de données ou d’autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou par tout autre moyen. »

L’idée générale est celle d’un regroupement d’informations selon des règles logiques et rationnelles, ensuite mis à disposition par tout moyen à un public.

Toute personne qui souhaite créer une base de données soit s’interroger sur la composition de celle-ci : en effet, elle ne doit pas utiliser des données protégées par un droit de propriété intellectuelle (en l’espèce, généralement le droit d’auteur) sans autorisation, en application de l’article L122-4 du Code de la Propriété Intellectuelle. Les marques, les brevets, voire même les données personnelles peuvent être également concernées et nécessitent l’accord des titulaires de droit.

Toutefois, les exceptions du droit d’auteur sont favorables au producteur de la base : il est possible, sur la base de l’exception de courte citation de l’article L122-5 du Code de la Propriété Intellectuelle, d’intégrer des extraits d’oeuvres protégées par le droit d’auteur à la base de données, sous réserve de citer l’auteur ainsi que la source. Ces citations ont en effet un objectif d’information du public.

Les données intégrées aux bases sont fréquemment produites par l’entreprise qui donne accès au service, ce qui limite par nature le risque en matière de propriété intellectuelle. Elles peuvent aussi être issues d’une autre base de données d’une tierce partie. Dans ce cas, il est nécessaire de disposer des autorisations afin d’éviter de porter atteinte aux droits d’un autre producteur.

Il convient toutefois de réaliser un audit préventif des données intégrées à la base de données afin d’éviter les risques en amont.

La directive du 11 mars 1996 relative à la protection juridique des bases de données, transposée en 1998 en France, garantit un droit sui generis au profit des producteurs de bases de données.

Ce droit vise à assurer la protection d’un investissement dans l’obtention, la vérification, ou la présentation du contenu d’une base de donnée pendant la durée légale de la protection (Article L341-1). Cet investissement est calculé en prenant en compte les « moyens consacrés à la recherche d’éléments existants et à leur rassemblement dans la base de donnée », selon la CJUE dans son arrêt Apis-Hristovich de 2009. La création de contenu n’est en revanche étonnamment pas considérée comme un investissement par la jurisprudence.

La protection porte sur le contenu et pas sur la structure de la base de données, qui elle est protégée par le droit d’auteur.

La durée du droit du producteur est de 15 ans à compter de l’achèvement de la constitution de la base de données et peut être prolongée pour 15 ans si elle fait l’objet d’un investissement substantiel dépassant la simple mise à jour (article L342-5 du Code de la Propriété Intellectuelle).

Les droits bénéficient à la personne physique ou morale qui prend l’initiative et assure le risque des investissements correspondant à la création du contenu d’une base de données (article L341-1 du Code de la Propriété Intellectuelle).

Deux facultés sont garanties au producteur par l’article L342-1 du CPI :

• Interdire l’extraction des données de la base par transfert permanent ou temporaire du contenu ou d’une partie du contenu,
• Interdire la réutilisation du contenu.

Des exceptions sont toutefois prévues par l’article L342-3 du CPI, ce qui inclut, entre autres, que le producteur ne peut pas interdire la copie privée, l’utilisation pédagogique ou éducative, l’extraction et la réutilisation d’une partie non substantielle de la base par une personne qui y a licitement accès.

L’article L343-4 du Code de la Propriété Intellectuelle prévoit une sanction de 3 ans d’emprisonnement et de 300.000 euros d’amende, en cas d’utilisation non autorisée de la base.

La protection du droit d’auteur s’applique de manière classique, sur la base de l’originalité de la présentation de la base de données.

Cela signifie que l’auteur dispose des droits moraux (divulgation, paternité, respect de l’œuvre, retrait et repentir) ainsi que des droits patrimoniaux (exploitation, reproduction, représentation, suite, destination), comme tous les titulaires de droits d’auteur.

Les sanctions applicables sont également celles du droit d’auteur : contrefaçon pouvant justifier des dommages intérêts et responsabilité pénale.

Les éléments protégeables d’une base de données sont ceux liés à la structure de la base de données. Ce sont les éléments d’agencement du contenu.

Le contenu en lui même importe peu pour le droit d’auteur.

Les bases de données constituent des œuvres de l’esprit propres à leur auteur par le choix ou la disposition des matières. Le classement en lui même doit être original pour être protégé par le droit d’auteur : des choix créatifs individuels doivent donc être apparents.

Un simple classement alphabétique ou purement thématique ne sera pas suffisant. L’originalité s’apprécie toutefois au cas par cas.

Acquérir une licence de logiciel d’occasion peut paraître surprenant, en particulier lorsque ce produit est totalement immatériel. Il est en effet difficile d’envisager d’acheter un produit n’ayant pas de support physique de seconde main, le produit d’occasion étant totalement identique au produit neuf.

Toutefois, les règles de l’épuisement des droits permettent, depuis un arrêt de la Cour de Justice de l’Union Européenne du 3 juillet 2012 (C-128-11 UsedSoft c/ Oracle), de revendre un logiciel d’occasion, qu’il dispose d’un support physique ou non.

Cette solution, bien que logique, n’était pas acquise d’avance dès lors qu’elle oppose la protection du droit d’auteur des éditeurs de logiciels aux intérêts des utilisateurs et du libre échange sur le marché communautaire. Elle porte atteinte aux profits des éditeurs mais a pour effet de libéraliser le marché de la vente de logiciel.

Acquérir des logiciels d’occasion est une stratégie qui peut être particulièrement avantageuse sur le plan économique mais qui nécessite de réfléchir de manière approfondie à la gestion du parc logiciel de l’entreprise, notamment en mettant en œuvre le software asset management.

La Cour de Justice de l’Union Européenne indique que le principe d’épuisement du droit de distribution s’applique à la fois à la vente des logiciels sur support matériel, mais également à la distribution dématérialisée par téléchargement sur internet.

Le droit d’épuisement est un concept de droit européen selon lequel la première commercialisation d’un produit sur le territoire communautaire épuise le droit de distribution du produit dans l’Union.

En pratique, cela signifie que l’entreprise qui commercialise le produit ne peut se prévaloir de son monopole d’exploitation que lors de la première vente. Il est ensuite possible pour un tiers de revendre le produit, hors du contrôle du distributeur d’origine, sans qu’il soit porté atteinte à un quelconque droit de propriété intellectuelle.

Historiquement, ce concept s’appliquait plutôt en matière de droit des marques, des dessins et modèles ou brevets, pour des produits tangibles, pouvant circuler de main en main.

De par cette décision, la Cour de Justice de l’Union Européenne étend ce droit aux programmes informatiques, hors la présence de tout support physique.

En conséquence, il est possible de procéder à la revente de logiciels ayant été acquis par téléchargement. Le téléchargement est ainsi considéré comme une première vente, qui met en œuvre l’épuisement des droits.

Les éditeurs ne peuvent donc plus s’y opposer. En conséquence, les clauses d’interdiction de revente qui figurent au sein des licences logicielles sont désormais de facto invalides.

L’acquisition de logiciels d’occasion peut toutefois souvent signifier une baisse des commandes auprès des éditeurs de logiciels.

Cette baisse de commande pourra avoir des conséquences multiples, notamment en matière de négociation commerciale.

Dans un premier temps, les tarifs préférentiels liés au volume d’achat chez les éditeurs de logiciels pourront être moins favorables en cas de commande future. Les éditeurs ne souhaitent logiquement pas favoriser les clients qui limitent leur volume d’achat.

Dans un second temps, les éditeurs n’hésiteront pas à mettre en œuvre les clauses d’audit logiciel qui figurent au sein de leurs licences, pour s’assurer que les licences acquises d’occasion sont bien utilisées de manière conforme. Il est donc nécessaire, avant de faire le choix de l’occasion, de s’assurer que celles-ci seront utilisées dans les règles de l’art et d’être prêt à subir un audit de conformité logicielle.

Il convient également de s’assurer auprès du revendeur que la première copie n’est plus utilisée. En pratique, les plateformes de revente de licence fonctionnent par le biais d’attestations : le vendeur s’engage à désinstaller et ne plus utiliser les licences, et la plateforme s’engage à fournir une licence utilisable à l’acheteur.

En pratique, les licences d’occasion sont vendues à des tarifs très compétitifs par rapport aux licences vendues directement par l’éditeur.

Il s’agit d’une bonne alternative au logiciel libre pour les entreprises qui souhaitent rester dans un écosystème propriétaire, par habitude ou en raison de besoins spécifiques.

Par ailleurs, les éditeurs de logiciels sont tenus de traiter les utilisateurs de licences d’occasion comme des « acquéreurs légitimes » : cela signifie qu’ils ont accès à la maintenance corrective au titre de la garantie légale des vices cachés au même titre que les acheteurs de la licence d’origine, et peuvent télécharger les logiciels correspondant à leurs licences acquises d’occasion sur le site de l’éditeur.

Celui-ci doit également permettre l’accès à la maintenance contractuelle, mais garde une liberté quant aux tarifs applicables.

Toutefois, les logiciels les plus récents sont en général introuvables en occasion. Il est donc intéressant de se tourner vers ce type de plateformes pour des anciennes versions mais beaucoup moins pour des logiciels à jour.

Il peut également être intéressant, afin de lisser le parc informatique de l’entreprise, de revendre les licences non utilisées aux plateformes de revente de logiciels d’occasion, par exemple suite à l’acquisition de nouvelles licences.

Avant de faire le choix d’acquérir des licences d’occasion, il convient donc de s’assurer d’être prêt à gérer les conséquences, notamment en matière de relation avec les éditeurs. Toutefois, les avantages financiers peuvent rapidement rendre pertinente cette politique de gestion du parc logiciel.

La blockchain va provoquer l’apparition de nouveaux modèles économiques, qui devront être encadrés juridiquement. Quelques exemples d’applications à réguler.

La suite est disponible ici : http://www.legavox.fr/blog/maitre-matthieu-pacaud/blockchain-terra-incognita-juridique-21313.htm#.V16Xu1ew5p9

DISCLAIMER 2018 : cet article n’est désormais plus à jour. Il convient de se référer à l’article suivant, suite à l’entrée en vigueur du RGPD : http://www.pacaud-avocat.fr/reglement-donnees-personnelles-impact/

Votre plateforme a vocation à mettre en relation des clients avec des professionnels ? Vous fournissez un service en ligne à des consommateurs ? Il vous est vraisemblablement nécessaire d’obtenir des données personnelles de la part de vos clients, quelles qu’elles soient.

La loi Informatique et Libertés, n°78-17 du 6 janvier 1978 organise la collecte et le traitement des données personnelles.

Outre les sujets abordés dans un article précédent, dans un premier temps, il conviendra, sauf dispense, de procéder à une déclaration auprès de la CNIL. Les données devront ensuite être sécurisées, en particulier si le traitement est effectué par une entreprise étrangère. Enfin, des processus doivent permettre au client de contrôler l’usage qui sera fait de ses données, à la fois par l’entreprise qui les collecte mais également par ses sous-traitants.

La collecte de données personnelles doit être déclarée auprès de la CNIL, afin de protéger la vie privée des clients. Il est conseillé de procéder à cette déclaration avant même de débuter la collecte, mais il sera toujours possible de régulariser la situation a posteriori si cela n’a pas été fait.

La CNIL a prévu plusieurs normes, applicables à diverses situations. Celles-ci sont soumises à des régimes différents, à la fois dans leur déclaration mais également leur gestion quotidienne.

Il existe deux, voire trois types de déclaration :

• La déclaration simplifiée, très rapide, qui ne nécessite pas de fournir des éléments techniques ;
• La déclaration normale, qui nécessite de préciser des points par exemple liés à la sécurité des données, aux interconnexions, aux droits d’accès ;
• La dispense de déclaration pour les données les moins sensibles.

Pour les données les plus sensibles, il peut être nécessaire de demander une autorisation à la CNIL. C’est le cas par exemple de la collecte et du traitement de données médicales, dont il sera nécessaire de justifier préalablement la finalité et les modalités (en particulier en matière de sécurité) à la CNIL.

Avant toute déclaration, il conviendra donc de rechercher la norme applicable sur le site de la CNIL, afin d’effectuer la déclaration adéquate.

Cette déclaration est gratuite.

L’entreprise responsable du traitement est également, en toute logique, responsable de la sécurité et de la confidentialité des données personnelles dont elle dispose.

Elle devra prendre toutes les précautions nécessaires afin que l’accès à celles-ci soit sécurisé selon les règles de l’art en vigueur (copies de sauvegarde, sécurité liée aux mots de passe, antivirus, pare-feu…). Elle devra également s’assurer que l’accès soit limité aux seules personnes dont les fonctions nécessitent d’y accéder.

Les sous-traitants devront également s’engager contractuellement à respecter les mêmes règles. Le responsable de traitement reste toutefois garant du respect des normes vis à vis de la CNIL et de la personne dont les données sont manipulées.

Par ailleurs, les données ne doivent en principe pas quitter le territoire de l’Union Européenne. Il est toutefois possible de faire appel à un sous-traitant non-européen, uniquement si celui-ci est soumis à des règles équivalentes aux règles communautaires (principe dit du safe harbour) ou s’engage à les respecter (principe des binding corporate rules – BCR). Le client doit toutefois en être informé dans les documents contractuels, en application du principe de transparence.

Il conviendra par ailleurs de prêter une attention toute particulière à la sécurité des données sensibles, préalablement soumises à autorisation de la CNIL. Cette dernière peut effectuer une enquête lors de la procédure d’autorisation, sur la base des déclarations du client, quant aux mesures de sécurité qui seront appliquées.

La loi Informatique et Libertés prévoit, dans une logique de transparence, que la personne qui fournit ses données doit être informée de la finalité du traitement, et ne peut donner son accord que de manière limitative.

En conséquence, sont uniquement autorisés les usages pour lesquels le client a explicitement donné son accord. Il est ainsi, par exemple, impossible de communiquer les données à un tiers (y compris les sous-traitants) sans autorisation du client.

Les données collectées doivent également être pertinentes quant à la finalité attendue, et la durée du traitement doit être limitée dans le temps, conformément à la durée prévue par la CNIL pour chaque type de fichier.

Il convient donc de prêter une attention particulière aux objectifs de la collecte et du traitement, afin d’en informer le client de manière préalable. En l’absence d’information et d’autorisation donnée par le client, il est interdit d’utiliser les données personnelles.

La Loi Informatique et Libertés garantit le respect des droits fondamentaux aux personnes concernées par les données collectées :

• Le droit d’information, selon lequel une personne peut demander à toute entreprise si celle-ci a collecté ses données personnelles, et, le cas échéant, l’étendue des données collectées.
• Le droit d’opposition, qui permet de s’opposer au fait de figurer dans un fichier et à l’utilisation commerciale des données collectées.
• Le droit d’accès, qui permet à toute personne d’obtenir une copie des données personnelles la concernant, qui sont détenues par l’entreprise. A titre d’exemple, c’est la raison pour laquelle les réseaux sociaux mettent une option à disposition des utilisateurs pour récupérer les données personnelles les concernant sur leur base de données.
• Le droit de rectification, qui permet à toute personne d’obtenir la rectification ou l’effacement des données personnelles qui ont été collectées.

Ces droits doivent donc être traduits dans les documents contractuels conclus entre l’entreprise qui collecte et traite les données, et ses clients.

L’intégralité de ces droits doit y figurer, et des processus adéquats être mis en place afin de permettre aux clients d’échanger avec l’entreprise à ce sujet.

En général, mettre une adresse mail spécifique à disposition du client et prévoir un engagement de réponse dans un délai court (vingt-quatre ou quarante huit heures ouvrées) est suffisant pour respecter les obligations légales.

Le respect de ces quelques bonnes pratiques simples sécurise la relation juridique avec le client, mais également avec la CNIL, et évite une exposition inutile aux sanctions financières et pénales conséquentes prévues par la Loi Informatique et Libertés.

La mise en conformité avec les obligations légales en matière de données personnelles est relativement aisée, et le cabinet peut vous y assister. Il est ainsi possible de les respecter sans véritable investissement financier, quel que soit le stade de développement de votre entreprise.

Il convient de noter que le nouveau règlement en matière de données personnelles va nécessiter d’y prêter une attention encore plus importante.

La popularité du logiciel open-source, ou libre, est en constante augmentation auprès des entreprises, période de réduction de coûts oblige. L’utilisation de logiciels libres tels qu’Open Office, pour le plus connu, est devenu une véritable alternative dès lors qu’ils disposent désormais de fonctionnalités et d’une qualité équivalentes à celles de leurs concurrents propriétaires.

Le sujet avait déjà été abordé dans un billet précédent à propos du droit d’auteur. Ce terme est toutefois souvent utilisé et compris de manière abusive, ce qui provoque des confusions et ne simplifie pas la compréhension du système de l’open-source, pourtant très riche et dont les avantages concurrentiels sont conséquents.

Il est donc utile d’en fournir une brève définition, afin de comprendre les intérêts du libre en matière juridique et opérationnelle.

La Free Software Fondation définit le logiciel libre comme un logiciel soumis à une licence qui donne aux utilisateurs la « liberté d’exécuter, copier, distribuer, étudier, modifier et améliorer ces logiciels »

Un logiciel est considéré comme libre si sa licence garantit quatre libertés fondamentales : utilisation ouverte, copie sans restriction, accès direct au code source, et droit de modification et de redistribution du code source. Il reste toutefois possible de prévoir des particularités pour chaque licence.

Cette philosophie est entièrement opposée à celle du logiciel propriétaire, qui est distribué en code objet et pour lequel les droits susmentionnés sont en général limités par l’éditeur afin de garder le contrôle sur l’usage qui en est fait, et de protéger son savoir-faire technique.

En pratique, les libertés accordées aux utilisateurs peuvent notamment être les suivantes :

• Reproduction du logiciel sur plusieurs supports ou postes,
• Packaging du logiciel avec d’autres développements, internes ou externes (sous réserve de compatibilité avec les licences desdits développements) pour créer un logiciel dérivé composé de divers blocs techniques,
• Adaptation du logiciel,
• Développements supplémentaires du logiciel,
• Utilisation commerciale du logiciel (par exemple en le distribuant avec un produit développé en interne ou accompagné d’un support).

Les licences libres ont donc vocation à permettre une plus grande diversité et liberté d’usage aux utilisateurs. Ceux-ci sont également encouragés à corriger les bugs et à améliorer le logiciel, puis à reverser les développements à la communauté afin qu’ils puissent être réutilisés.

En conséquence, ces logiciels sont a priori susceptibles d’être supportés et développés sur une longue durée, contrairement aux logiciels propriétaires. En effet, pour ces derniers, un changement de politique de l’éditeur peut remettre en cause l’organisation des clients dès lors qu’il peut être mis fin au support et à la maintenance.

L’objectif du libre est donc d’assurer un équilibre entre la créativité des développeurs et la protection de leur propriété intellectuelle.

Le logiciel libre a pour principaux avantages une limitation des coûts ainsi qu’un meilleur équilibre des pouvoirs et responsabilités entre le créateur du logiciel et les utilisateurs.

Cela ne signifie pas nécessairement que le logiciel est gratuit, celui-ci pouvant être commercialisé par un éditeur ou distribué moyennant finances par un membre de la communauté, mais plutôt que l’utilisateur du logiciel ne sera pas prisonnier d’un accord avec une entreprise, en particulier en matière de maintenance.

Le code étant accessible, il est ainsi tout à fait possible d’envisager une maintenance en interne ou via un contrat de tierce maintenance applicative.

Le libre permet aussi de limiter le risque lié aux audits de conformité logicielle.

Comme indiqué précédemment, les risques liés à un changement d’orientation commerciale de l’éditeur sont mitigés dès lors que le développement du logiciel pourra être poursuivi par la communauté, et qu’un tiers pourra se charger de la maintenance.

Il est également aisément possible de comprendre les droits consentis aux utilisateurs par le développeur du composant libre. S’il existe des licences libres diverses et variées, certaines sont utilisées de manière récurrente et ont donc été analysées en profondeur par des spécialistes, ce qui les rend compréhensibles à tout un chacun.

La question de la contamination est le point le plus épineux en matière juridique. En effet, des licences imposent que tout développement effectué à partir d’un module soumis à cette licence soit redistribué sous la même licence. L’objectif de cette particularité est de s’assurer que les utilisateurs d’un logiciel dérivé ne disposent pas de moins de liberté que les utilisateurs du logiciel d’origine.

Or, une telle clause peut constituer un véritable casse-tête pour les utiliser dès lors que certaines licences ne sont pas compatibles entre elles (par exemple la licence GPL avec la licence BSD). Il ne sera pas possible d’adjoindre deux modules soumis à ces licences, dès lors que tout ou partie de leurs licences seront opposées.

Il convient donc, lorsque des développements sont effectués sur la base de composants soumis à des licences open-source, de procéder à l’analyse minutieuse des licences applicables afin de s’assurer qu’elles peuvent fonctionner ensemble. Il serait inconfortable de s’en rendre compte a posteriori dès lors que l’exploitation pourrait en devenir impossible.

Pléthores de licences libres existent et peuvent être utilisées par les développeurs. C’est le cas, de manière non-exhaustive, des licences suivantes, dans leurs versions successives :

• GPL,
• LGPL,
• GNU,
• Apache,
• Cecill,
• Python…

Celles-ci ont toutes des particularités différentes, notamment : elles peuvent permettre de redistribuer pour une utilisation commerciale ou non, obliger de redistribuer sous la même licence ou non, maintenir ou non l’intégralité des quatre libertés…

Lorsqu’il est décidé d’utiliser un logiciel open-source ou d’intégrer un composant libre à un développement, il est nécessaire de s’informer avant toute utilisation de la licence applicable afin de pouvoir rechercher des alternatives si celles-ci ne sont pas compatibles avec l’utilisation attendue.

Rien n’empêche par ailleurs une entreprise ayant procédé à des développements en interne de créer sa propre licence afin que celle-ci soit en tous points adaptée à ses besoins. Celle-ci pourra être considérée comme libre dès lors qu’elle respecte les quatres libertés énoncées plus haut. Il est toutefois plus pratique de procéder au choix d’une des licences préexistantes, leurs avantages et inconvénients étant clairement maîtrisés.

Prendre la direction du libre est donc un choix à réfléchir mûrement en amont sur le plan technique et juridique, mais qui apporte une ouverture particulièrement intéressante pour les entreprises s’il est bien exploité.

Article initialement publié sur Village de la Justice le 2 mai 2016

L’augmentation de la fréquence des audits de conformité des licences de logiciels inquiète souvent les clients des éditeurs, en particulier lorsque des licences d’occasion ont été acquises.
Quelques bonnes pratiques juridiques et opérationnelles permettent toutefois de s’y préparer et d’en tirer une plus-value.

Lire la suite à l’adresse suivante : http://www.village-justice.com/articles/Bonnes-pratiques-juridiques,22055.html

Vous souvenez-vous de cette magnifique photo, prise lorsque vous aviez quatorze ans, sur laquelle vous portiez un appareil dentaire parfaitement seyant, et qui a été publiée sur le site internet de votre ancien collège ? Ou peut-être de cet article de journal racontant votre chute dans un lac le jour de votre anniversaire, ayant nécessité l’intervention de la brigade locale des sapeurs-pompiers ?

Si vous avez tenté et réussi à oublier ces moments difficiles, les moteurs de recherche auront moins de pitié pour votre réputation sur internet. Lorsqu’une page est indexée, les informations qui y figurent restent pour toujours accessibles sur internet, à simple portée de recherche. Cela pourrait poser un problème de crédibilité si vous êtes en phase de recherche d’un poste de management dans une entreprise internationale !

Toutefois, rien n’est perdu. Il existe plusieurs moyens de faire supprimer, ou à tout le moins, de faire disparaître, les résultats qui pourraient vous porter préjudice lorsqu’une recherche est effectuée sur votre nom.

Dans un premier temps, comme souvent, la meilleure stratégie pour protéger votre e-réputation est de contacter l’éditeur du site internet afin de faire supprimer l’information.

Si cela n’est pas suffisant, une décision Google Spain, de la Cour de Justice de l’Union Européenne, du 13 mai 2014, permet désormais à toute personne physique, sous conditions, d’obtenir la suppression du référencement de certaines informations la concernant par les moteurs de recherche. Le terme droit à l’oubli est fréquemment utilisé. Toutefois, en réalité, il s’agit plutôt d’un droit au déréférencement des données personnelles.

Si un site internet contient des informations pouvant vous porter préjudice, il est de bonne pratique de prendre contact avec l’éditeur du site pour lui demander d’en procéder à la suppression. Vous pourrez, dans la majorité des cas, trouver les informations de contact dans les mentions légales du site ou sur une page spécifiquement allouée à cette fin.

S’il s’agit de données personnelles, les données peuvent être supprimées du site, à votre demande, sur le fondement de la Loi Informatique et Libertés de 1978.

Il convient toutefois de préciser que si ces informations ne sont pas illégales ou ne portent pas atteinte à votre vie privée, l’éditeur du site n’est tenu d’aucune obligation de procéder à une telle suppression. C’est le cas par exemple des articles de journaux, qui ont une vocation informative, même s’ils vous présentent sous un jour négatif.

Il s’agira alors essentiellement d’un échange de bonne foi entre l’éditeur et vous, et aucun moyen légal ne vous permettra de lui imposer de retirer les informations qui figurent sur son site internet.

Si l’information est illégale ou porte atteinte à votre vie privée, il sera bien entendu possible de mettre en œuvre une procédure judiciaire au moyen du fondement adéquat.

Si cela n’est pas suffisant, les moteurs de recherchent sont désormais tenus de mettre à disposition de leurs utilisateurs une méthode de déréférencement des données les concernant.

La Cour de Justice de l’Union Européenne, dans sa décision du 13 mai 2014, indique que l’exploitant d’un moteur de recherche est le responsable du traitement de données constitué par l’indexation des pages internet. En conséquence, les règles applicables aux données personnelles sont applicables aux moteurs de recherche.

Concrètement, toute personne physique concernée peut demander que soit supprimé de la liste des résultats apparaissant lors d’une recherche sur son nom, tout résultat qui peut lui porter préjudice.

La Cour précise que ne peuvent être supprimées que les informations qui sont « inadéquates, pas ou plus pertinentes ou excessives »

Il s’agit d’une application du principe de protection de la vie privée.

Ce droit à l’oubli est toutefois limité, afin d’éviter qu’il puisse porter atteinte à « l’intérêt légitime des internautes potentiellement intéressés à avoir accès à l’information en question ». Le droit à l’information est donc mis en balance avec le droit à la vie privée.

En conséquence, il sera par exemple impossible pour un homme politique de demander la suppression d’articles portant sur une ancienne condamnation pénale pour malversations. Dans ce cas, l’intérêt légitime à l’information est constitué. En effet, il sera utile pour le public de pouvoir connaître la condamnation d’un homme politique, qui est par nature amené à manier des fonds.

A l’inverse, une photographie dégradante pourra être considérée comme inadéquate, pas pertinente ou excessive et justifiera une suppression. Celle-ci n’a aucune valeur informative et son seul objet est de porter atteinte à la personne qui y figure.

Cette jurisprudence laisse toutefois une marge d’appréciation importante aux moteurs de recherches sur les contenus pouvant être supprimés. Il fait peu de doute que de futures jurisprudences auront à préciser ce point.

Cet arrêt concerne tous les moteurs de recherche visant un public européen, qu’il s’agisse de Google, Bing ou de tout autre acteur du secteur.

Ceux-ci ont déjà réagi et mis en place des procédures de signalement simples via des formulaires aux adresses suivantes :

• Google,
• Bing.

Il convient toutefois de rappeler que ce n’est pas parce que Google aura supprimé l’indexation d’une page que les autres moteurs seront tenus d’en faire de même. La demande devra être renouvelée auprès de tous les acteurs du marché.

En outre, cette demande ne concerne que les résultats sur les versions européennes des moteurs de recherche. Les pages concernées pourront toujours être indexées sur leurs autres versions.

En outre, si la page n’est plus indexée, cela ne signifie pas qu’elle n’est plus disponible en cas d’accès par le lien direct. Elle sera toutefois cachée dans les profondeurs du web et difficile à trouver si son existence est inconnue. Il s’agira donc d’un moindre mal dont les conséquences seront très limitées.

S’il est utile de disposer de tels outils, il convient toutefois de rappeler que toute information qui figure sur internet est par nature virale et qu’il est particulièrement difficile d’en contenir la propagation.

En conséquence, avant même de publier un contenu, il est nécessaire de s’assurer que celui-ci n’est pas de nature à porter atteinte à votre image numérique, maintenant ou dans dix ans.

Lors de l’enregistrement de votre nom de domaine, vous avez sans aucun doute longuement réfléchi à l’extension à utiliser.

Pour un site à destination d’un public français, le .fr est une évidence. A l’inverse, si votre public est international, un .com semble plus adapté. Enfin, si vous êtes une start-up, peut-être osez-vous le .io ?

Une fois le choix de votre extension principale effectué, se pose encore la question d’enregistrement des extensions secondaires. Pour une jeune société, il s’agit d’un coût non négligeable et il est logique d’effectuer un choix. En effet, il existe pléthore d’extensions plus ou moins pertinentes selon votre cible et votre activité.

Ce choix vous laissera par nature à la merci des cybersquatters, en particulier si votre entreprise grandit en renommée. Ceux-ci n’hésiteront pas à enregistrer un nom de domaine identique ou similaire sous des extensions différentes, en espérant vous les revendre. Des concurrents pourront également tenter de vous devancer sur les moteurs de recherche, au moyen de redirections, afin de capter votre clientèle.

Heureusement, la protection du nom de domaine a été prise en compte dans les textes. Il existe en effet des outils pour combattre ces tiers indélicats.

Sans surprise, la première étape consiste à contacter le tiers ayant déposé le nom de domaine, en lui indiquant que votre nom de domaine a été préalablement déposé sous une autre extension.

Toutefois, si vous avez également déposé votre nom de domaine en tant que marque, des procédures comme la procédure Syreli et la procédure UDRP permettent d’obtenir l’annulation ou de récupérer l’enregistrement du nom de domaine.

Si cela n’est pas efficace ou si vous n’avez pas déposé de marque, il sera nécessaire d’introduire une procédure judiciaire.

Une recherche whois sur le nom de domaine en question devrait vous permettre d’identifier ce tiers. De nombreux services permettent d’effectuer cette recherche (par exemple whois.net ou whois.domaintools, ou le service de l’AFNIC pour les .fr – qu’il conviendra de compléter par une demande d’identification, l’identité étant automatiquement cachée pour l’extension française).

Dans un premier temps, il est utile de tenter un premier contact par mail suivi d’une mise en demeure par lettre recommandée avec accusé de réception (français ou international, selon la personne concernée) en cas d’absence de réponse. La mise en demeure est identique à celle conseillée en cas de dépôt de marque similaire à la vôtre dans un précédent article.

Cette phase préalable est utile afin de tenter d’obtenir un règlement rapide et amiable du litige.

L’AFNIC a créé la procédure Syreli afin de permettre aux titulaires de droits de propriété intellectuelle d’obtenir la suppression ou la transmission d’un nom de domaine qui porte atteinte à leur droit antérieur.

L’article L45-2 du Code des Postes et des Communications Electroniques prévoit que : 

« l’enregistrement ou le renouvellement des noms de domaine peut être refusé ou le nom de domaine supprimé lorsque le nom de domaine est :

1° Susceptible de porter atteinte à l’ordre public ou aux bonnes mœurs ou à des droits garantis par la Constitution ou par la loi ;

2° Susceptible de porter atteinte à des droits de propriété intellectuelle ou de la personnalité, sauf si le demandeur justifie d’un intérêt légitime et agit de bonne foi ;

3° Identique ou apparenté à celui de la République française, d’une collectivité territoriale ou d’un groupement de collectivités territoriales ou d’une institution ou service public national ou local, sauf si le demandeur justifie d’un intérêt légitime et agit de bonne foi. »

Il conviendra toutefois auparavant de prouver un intérêt à agir. La titularité d’une marque antérieure est en général suffisante.

La procédure Syreli est soumise à des frais de procédure de 250 euros HT et à un délai de deux mois.

Il s’agit d’une procédure simple mais particulièrement pratique pour les titulaires de marques qui veulent éviter le cybersquatting.

L’ICANN a mis en place la procédure UDRP dont le fonctionnement et l’objet sont similaire à la procédure Syreli : une marque antérieure est nécessaire.

Cette procédure s’applique aux noms de domaines de type gTLD, comme par exemple les extensions .com et .net.

L’Article 4 des Principes Directeurs de l’ICANN prévoit qu’il est possible d’introduire une procédure contre des tiers ayant enregistré un nom de domaine identique ou similaire à une marque au point de créer une confusion, sans droit ou intérêt légitime. L’enregistrement doit également avoir été effectué et être utilisé de mauvaise foi.

Il conviendra de prouver que l’enregistrement aura été effectué afin de créer une confusion avec votre marque.

Cette procédure est rapide (environ soixante jours) et est soumise à une taxe de 1.500 dollars.

Elle vous permettra de récupérer la propriété du nom de domaine.

En l’absence d’enregistrement de marque, il est plus compliqué de faire valoir son antériorité sur le nom de domaine. En effet, en l’état, le système a été pensé pour les titulaires de droit de propriété intellectuelle. Le nom de domaine dispose d’un statut intermédiaire et ne rentre pas réellement dans ce cadre.

Il est possible de se fonder sur la concurrence déloyale, voire même le parasitisme, pour obtenir la suppression du nom de domaine.

Il sera notamment nécessaire de mettre en avant la mauvaise foi du tiers ayant enregistré le nom de domaine.

Si le tiers est domicilié hors de France, il sera également nécessaire de faire exécuter la décision à l’étranger via une procédure d’exéquatur, ce qui a pour effet de rendre la procédure plus complexe.

En conséquence, une procédure judiciaire n’est pas conseillée pour ce type de litige, à la fois en raison de leur complexité, de leur durée, et de leur coût. Il s’agit plutôt d’une stratégie de rupture s’il est impossible de remédier à la situation par un autre moyen.

Il est donc utile de compléter l’enregistrement du nom de domaine par un dépôt de marque verbale ou figurative. Le conflit entre deux noms de domaine peut être aisément réglé par ce titre de propriété intellectuelle.

Le nom de domaine, s’il est fondamental pour votre communication digitale, n’est pas suffisant pour protéger le terme exploité.

Le dépôt d’une marque vous offrira des possibilités plus étendues pour la défense de votre nom de domaine. Cet investissement pourra également limiter les risques de confusion avec un autre nom de domaine par les visiteurs de votre site.

Pour les créateurs d’applications et de sites internet, la mise en place d’outils permettant la constitution d’une communauté est fédératrice et permet un engagement plus important du public.

L’une des clés de cet engagement est de permettre aux utilisateurs de publier leur propre contenu.

Ce type d’outil va les fidéliser et fait bénéficier de l’effet de viralité typique des réseaux sociaux. L’intérêt d’un tel modèle est évident sur le plan économique, dès lors qu’il permet de générer un trafic conséquent à moindre coût et donc d’augmenter la visibilité de la plateforme.

Lorsqu’il est fait le choix de mettre à disposition un tel outil, l’hébergeur doit toutefois comprendre l’étendue de sa responsabilité et le régime applicable. En effet, la publication de contenus par les utilisateurs peut porter atteinte aux droits de tiers et mettre en œuvre la responsabilité de l’hébergeur.

La loi LCEN a créé deux régimes de responsabilité différents pour la publication de contenus sur internet :

• Celui de l’éditeur du contenu, est en général celui qui élabore le contenu (qu’il s’agisse d’un créateur ou d’un producteur) ou à tout le moins celui qui a un rôle de choix du contenu (le fait d’opérer une sélection suffit à placer sous le régime de l’éditeur) qui figure sur la plateforme ;
• Celui de l’hébergeur, qui fournit une prestation de stockage du contenu, sans choix des contenus.

Plus précisément, est considérée comme hébergeur, l’entité qui assure « pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services » (Article 6-1-2 de la loi LCEN).

A l’inverse, le statut de l’éditeur n’est pas défini dans la loi et doit être interprété a contrario de la définition de l’hébergeur.

Comprendre la différence entre ces deux statuts est fondamental dès lors que l’hébergeur bénéficiera d’un régime de responsabilité atténué, alors que l’éditeur du contenu sera responsable de tout contenu publié sur la plateforme (violation de droit de propriété intellectuelle, responsabilité civile ou pénale).

L’hébergeur est irresponsable civilement et pénalement quant au contenu hébergé, sauf s’il ne suspend pas la diffusion du contenu illicite lorsqu’il lui a été signalé.

Le régime n’est toutefois applicable que si l’hébergeur n’a aucun « rôle actif de nature à confier une connaissance ou un contrôle des données stockées » (Décision Google Adwords – CJUE 23 mars 2010).

La sélection des contenus, le choix des contenus mis en ligne et la détermination ou vérification des contenus suffit à caractériser un rôle actif.

A l’inverse, l’hébergeur peut, sans jouer un rôle actif, « rationaliser l’organisation du service » afin « d’en faciliter l’accès » (Arrêt Dailymotion – Cour de Cassation, 17 févr. 2011).

Si l’hébergeur met en avant certains contenus autrement que par une classification automatique (nombre de vues, sujets à partir d’informations fournies par les créateurs de contenus), il pourra perdre le bénéfice de ce régime de responsabilité atténuée et de fait être considéré comme un éditeur.

S’il respecte ces conditions, l’hébergeur ne peut être tenu comme responsable des contenus hébergés que s’il :

• Connaissait leur existence,
• Connaissait le caractère manifestement illicite des contenus,
• N’a pas retiré les contenus promptement.

Pour bénéficier du régime de l’hébergeur, il conviendra donc de mettre en place une procédure de signalement, afin que les ayants-droit puissent informer le prestataire d’hébergement si des contenus pour lesquels ils disposent de droits figurent sur la plateforme.

Le signalement vaut information de l’hébergeur quant à l’existence du contenu, et de son caractère manifestement illicite.

L’hébergeur garde toutefois une possibilité d’apprécier si le contenu est manifestement illicite et s’il fait droit à la demande de retrait du contenu.

La notification doit intégrer les informations suivantes :

« -la date de la notification ;

-si le notifiant est une personne physique : ses nom, prénoms, profession, domicile, nationalité, date et lieu de naissance ; si le requérant est une personne morale : sa forme, sa dénomination, son siège social et l’organe qui la représente légalement ;

-les nom et domicile du destinataire ou, s’il s’agit d’une personne morale, sa dénomination et son siège social ;

-la description des faits litigieux et leur localisation précise ;

-les motifs pour lesquels le contenu doit être retiré, comprenant la mention des dispositions légales et des justifications de faits ;

-la copie de la correspondance adressée à l’auteur ou à l’éditeur des informations ou activités litigieuses demandant leur interruption, leur retrait ou leur modification, ou la justification de ce que l’auteur ou l’éditeur n’a pu être contacté. »

La responsabilité de l’hébergeur ne peut être qu’engagée que si l’intégralité de ces informations figure sur la notification.

Le retrait doit être effectué promptement, mais le délai n’est pas fixé par la loi.

En outre, il convient de noter que l’hébergeur de contenus n’est pas soumis à une obligation de surveillance générale de sa plateforme, à l’inverse de l’éditeur de contenus. Il n’a pas à avoir un rôle proactif dans la recherche des contenus litigieux, et peut se limiter à répondre aux notifications.

Il est utile de préciser les éléments suivants dans les conditions d’utilisation de la plateforme, afin de sécuriser la relation juridique avec les utilisateurs :

• Il est interdit de publier du contenu illégal ou susceptible de porter atteinte aux droits d’un tiers, qu’il s’agisse de diffamation, d’atteinte à d’un droit de propriété intellectuelle, ou plus généralement tout contenu susceptible de donner lieu à une sanction pénale ou civile ;
• Le contenu mis en ligne par les utilisateurs pourra ensuite être supprimé sans préavis, sans que la responsabilité de l’hébergeur, à la demande des ayants-droit.

Par ailleurs, les mentions légales du site de l’hébergeur doivent permettre de le contacter (par mail, courrier ou téléphone).

Ces quelques précautions sont suffisantes pour permettre la mise en place d’un système d’hébergement de contenus, tout en bénéficiant du régime de responsabilité allégée.

DISCLAIMER 2018 : cet article n’est désormais plus à jour. Il convient de vous référer à l’article suivant : http://www.pacaud-avocat.fr/reglement-donnees-personnelles-impact/

Toutes les jeunes entreprises ayant vocation à contractualiser avec des personnes physiques vont rapidement procéder à la collecte de données de leurs clients, qu’il s’agisse, par exemple, de données de contact dans le cadre d’une landing page, de données de paiement lors d’une commande en ligne, ou d’un fichier marketing.

Ces données sont des données personnelles.

La CNIL est particulièrement vigilante quant au respect des règles applicables à ces données (voir également)

L’article 2 de la Loi Informatique et Libertés définit les données personnelles de la manière suivante :

« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »

La collecte et le traitement de ces données à des fins commerciales, qu’il s’agisse de leur stockage ou de leur utilisation, répond à des règles précises qu’il est nécessaire de connaître en amont, afin de les intégrer à vos process internes.

L’article susmentionné définit le traitement de la manière suivante :

« Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. »

Dès que vous aurez à connaître des informations de vos clients, en tant que responsable de traitement, vous entrerez dans le champ de ces règles.

Il convient d’en tenir compte dès lors que les sanctions du non-respect de ces règles sont en effet conséquentes, à la fois sur le plan juridique mais également pour l’image de votre entreprise vis-à-vis de vos clients.

L’article L226-16 du Code Pénal prévoit notamment que :

« Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 € d’amende. »

D’une manière générale, le non-respect des règles énoncées ci-après est soumis à des sanctions identiques.

En outre, le non-respect de ces règles, rendu public par un de vos clients, pourrait sensiblement dégrader la confiance de vos clients. La CNIL prévoit par ailleurs des sanctions de publicité du non-respect des règles, dans certaines situations.

La déclaration

Dans un premier temps, il convient d’identifier le type de traitement concerné. A cette fin, le site internet de la CNIL est particulièrement complet.

La CNIL met à disposition un système de normes simplifiées (fichiers client, gestion du personnel, traitements statistiques, certains fichiers financiers …), permettant de déclarer un fichier de données de manière rapide et quasi-automatique.

Il existe également des dispenses de déclaration pour les traitements les plus classiques (fichiers de communication non commerciale, fichiers de fournisseurs, archives …).

A l’exception de quelques cas limités de données sensibles (données de santé, biométriques, de sécurité sociale …), si votre traitement n’entre pas dans ces deux régimes, la déclaration normale s’appliquera.

Dans tous les cas, l’identification de votre type de traitement est fondamentale pour choisir la procédure adéquate.

La localisation géographique de vos données

Il conviendra également de connaître la circulation de votre fichier de données. En effet, si vos données sortent de l’Union Européenne, il sera nécessaire de vous assurer que les règles du pays concernées sont compatibles et équivalentes avec celles applicables sur le territoire européen. Les règles applicables varient selon le pays concerné – nous vous conseillons de faire appel à un avocat spécialisé ou un correspondant informatique et libertés afin de sécuriser votre position.

Les droits des titulaires des personnes physiques

La Loi Informatique et Libertés garantit aux personnes physiques plusieurs droits sur les données qui ont pu être collectées :

• Droit d’accès aux données,
• Droit de rectification des données,
• Droit d’opposition à figurer au sein d’un fichier,
• Droit au déréférencement, pour les moteurs de recherches.

Vos conditions d’utilisation ou de vente devront informer vos clients de ces droits et prévoir l’application pratique de ces droits (moyen de contact, délai de réponse).

En outre, vous devez informer vos clients :

• du détail de ce qui est collecté ainsi que la manière dont les données sont collectées (cookies, formulaires…),
• de l’usage qui sera fait de leur données (traitement interne, revente, usage pour améliorer le service client…), cet usage étant strictement limité à ce qui a été accepté par la personne physique.

Vos clients devront également être informés si les données personnelles quittent l’Union Européenne.

Il est en général conseillé de prévoir une adresse mail spécifique permettant à vos clients de vous contacter pour leur permettre d’appliquer leurs droits.

Une réponse doit être apportée au client dans un délai de deux mois. Si cela n’est pas le cas, la CNIL pourra être saisie par la personne physique.

Les données personnelles sont donc une problématique quotidienne pour les entreprises en contact avec une clientèle de consommateurs. La CNIL dispose de pouvoirs conséquents pour s’assurer du respect des règles applicables, et vos clients sont de plus en plus sensibles à l’usage qui est effectué de leurs données.

En conséquence, le respect de ces normes par votre entreprise est désormais fondamental. Cela vous permettra de limiter les risques juridiques et donc de vous focaliser sur votre cœur de métier.