Le nouveau site web du cabinet Deleporte Wentz Avocat est en ligne depuis le 1er juillet !
Notre site web nouvelle version, revu et mis à jour, dispose d'un design modernisé et d'une nouvelle identité numérique, dont un nouveau logo.
Pour continuer à suivre les actualités et publications du cabinet, rendez-vous sur www.dwavocat.com
Dans un arrêt du 8 mars 2023, la Cour de cassation a rappelé que bien que la protection des données à caractère personnel soit un droit fondamental, lorsque confronté à un autre droit fondamental, la protection des données personnelles doit être mise en balance avec cet autre droit, conformément au principe de proportionnalité.
Cette situation d’opposition entre le droit de la protection des données personnelles et un autre droit fondamental se produit régulièrement. On rappellera par exemple un jugement du tribunal judiciaire de Paris du 30 juin 2021 dans lequel la protection des données personnelles (en l’occurrence, le droit à l’oubli), était mis en balance avec le droit à l’information.
Il convient toutefois de rappeler ce que l’on entend par “droits fondamentaux” et comment est appliqué le principe de proportionnalité avant d’analyser les critères retenus par les juges pour faire primer un droit fondamental sur un autre.
1. Qu’entend-on par droits fondamentaux ?
Les sources des droits fondamentaux.
Il n’existe pas de définition unique de la notion de droits fondamentaux.
On peut toutefois considérer que ces droits sont issus en premier lieu de la Déclaration des droits de l’Homme et du Citoyen de 1789, de la Convention européenne de sauvegarde des droits de l’Homme et des Libertés fondamentales du 4 novembre 1950, de la Constitution et de la Charte des droits fondamentaux de l’Union européenne du 7 décembre 2000. Certains de ces droits sont par ailleurs rappelés dans le RGPD.
Ces textes énoncent des droits et libertés considérés comme fondamentaux, dont le respect est garanti par l’Etat. Ces droits peuvent être distingués entre droits subjectifs, attachés à la personne et droits collectifs, regroupant les libertés applicables dans notre société.
Concernant les droits attachés à la personne, on retrouve par exemple la notion de dignité humaine, le droit à la vie, le droit à l’intégrité de la personne, mais également le droit à la vie privée, le droit à la protection des données à caractère personnel, la liberté de penser, d’opinion, de religion, l’égalité en droit, dont l’égalité entre les hommes et les femmes, etc.
Parmi les libertés fondamentales, on citera la liberté de réunion, la liberté d’expression et d’information, la liberté d’association, la solidarité, la justice, dont le droit à un recours effectif et la présomption d’innocence, et le droit de l’environnement.
Le principe de proportionnalité ou la recherche d’un équilibre entre deux droits fondamentaux.
Bien que considérés comme fondamentaux, il arrive que deux droits soient opposés l’un à l’autre, comme par exemple le droit à la protection des données personnelles (droit subjectif) et le droit à la liberté d’expression (liberté fondamentale). Il revient donc au juge de décider quel droit fondamental devra primer. Pour ce faire, le juge mettra en balance les intérêts en présence pour chercher soit à concilier ces droits, soit à faire primer l’un sur l’autre, compte tenu des faits d’espèce. Cette analyse sera menée au cas par cas.
2. Dans un arrêt du 8 mars 2023, la Cour de cassation fait primer le droit à la preuve sur le droit de la protection des données personnelles
Dans un arrêt rendu le 8 mars 2023, la Cour de cassation a reconnu la primauté de l’exercice du droit à la preuve et à la défense du principe de l’égalité entre les hommes et les femmes sur le droit de la protection des données personnelles. (1)
Dans cette affaire, une femme avait occupé le poste de Chief operating officer (COO) de la société Exane Derivatives, puis avait été nommée Directrice stratégie et projets groupe de la société Exane. Licenciée le 22 février 2019, elle a considéré avoir subi une inégalité salariale par rapport à certains collègues masculins occupant ou ayant occupé le poste de COO. Afin de pouvoir rapporter la preuve de ses allégations, elle a saisi en référé le Conseil des prud’hommes le 31 octobre 2019 pour obtenir la communication d’éléments de comparaison de la part de ses deux anciens employeurs.
Par arrêt du 3 décembre 2020, la Cour d’appel de Paris avait ordonné aux sociétés Exane et Exane Derivatives de communiquer sous astreinte à l’intéressée les bulletins de paie de huit salariés, sur des périodes déterminées, avec occultation de certaines données personnelles, à l’exception des noms et prénoms, de la classification conventionnelle, de la rémunération mensuelle détaillée et brute totale cumulée par année civile.
Or, ses ex-employeurs s’opposèrent à la communication de ces documents, alléguant d’une part leur caractère confidentiel et leur obligation de sécurité vis-à-vis de ces données, en application du Règlement général sur la protection des données du 27 avril 2016 (RGPD), d’autre part, le fait que selon l’article 145 du code de procédure civile, le juge ne peut prononcer que des mesures d’instruction légalement admissibles. La communication des bulletins de paie de salariés serait donc contraire au RGPD, sachant que le droit à la preuve ne saurait justifier la production d’informations portant atteinte à la vie privée si la salariée est déjà en mesure de produire des éléments lui permettant de présumer l’existence d’une telle discrimination.
Pour justifier sa décision, la Cour de cassation applique le principe de proportionnalité :
1) rappelant le 4é considérant du RGPD selon lequel “Le droit à la protection des données à caractère personnel n'est pas un droit absolu; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d'autres droits fondamentaux, conformément au principe de proportionnalité”, puis
2) l’article 145 du code de procédure civile relatif aux mesures d’instruction pouvant être ordonnées par le juge pour permettre au demandeur d’établir la preuve des faits, et
3) les articles 6 et 8 de la Convention de sauvegarde des droits de l’homme en vertu desquels le droit à la preuve peut justifier la production d’éléments portant atteinte à la vie personnelle, à la conditions que cette production soit indispensable à l’exercice de ce droit, et que l’atteinte soit proportionnée au but poursuivi.
La Cour confirme que la communication de ces éléments était indispensable à l’exercice du droit à la preuve et proportionnée au but poursuivi, à savoir, la défense de l’intérêt de la salariée à l’égalité de traitement entre les hommes et les femmes en matière d’emploi et de travail. Les sociétés Exane et Exane Derivatives doivent donc communiquer les bulletins de paie des salariés concernés à l’intéressée, au format précisé dans l’arrêt d’appel.
Le pourvoi des sociétés Exane et Exane Derivatives contre la décision de la cour d’appel est donc rejeté.
3. Le tribunal judiciaire de Paris reconnaît la primauté du droit d’informer sur le droit de la protection des données personnelles
Dans un jugement rendu le 30 juin 2021, le tribunal judiciaire de Paris a refusé d’appliquer le droit à l’oubli, au profit du droit à l’information. (2)
Dans cette affaire, un ancien responsable du Racing Club de Paris, condamné en 2009 pour abus de confiance et abus de biens sociaux demandait en 2019, sois 10 ans après les faits, la suppression, ou a minima l’anonymisation, d’un article publié en ligne par le journal 20 Minutes.
Le journal a refusé de donner droit à sa demande, arguant de la liberté d’expression et du droit à l’information. L’ancien responsable du Racing Club a donc assigné 20 Minutes devant le tribunal judiciaire de Paris pour faire supprimer l’article le concernant.
Comme dans l’arrêt de cassation précité, les juges rappellent les termes du 4é considérant du RGPD selon lequel le droit à la protection des données à caractère personnel n'est pas un droit absolu; il doit être mis en balance avec d'autres droits fondamentaux, conformément au principe de proportionnalité. Le droit à l’effacement (ou droit à l’oubli) est prévu à l’article 17 du RGPD. Ce droit doit être mis en parallèle avec le droit à la liberté d’expression et d’information, garanti notamment par l’article 10 de la Convention de sauvegarde des droits de l’homme.
La société 20 Minutes est éditrice de presse. Elle exerce une activité de journalisme consistant à mettre en oeuvre la liberté d’expression. Selon l’article 17.3 a) du RGPD, le droit à l’oubli peut être écarté au profit du droit à l’information “dans la mesure où ce traitement est nécessaire à l’exercice du droit à la liberté d’expression et d’information.” En application du principe de proportionnalité, la suppression de l’article ou son anonymisation, même si celui-ci est relativement ancien, aurait pour conséquence une restriction excessive de la liberté de la presse.
En l’espèce, les juges ont donc décidé de faire primer le droit à l’information sur le droit à l’oubli.
On notera cependant que les juges soulignent le caractère spécifique des sociétés d’édition de presse, dont l’activité d’information doit être protégée, contrairement aux moteurs de recherches dont l’activité se limite à l’indexation d’informations disponibles en ligne.
* * * * * * * * * * *
(1) Cass. civ., ch. soc., 8 mars 2023, pourvoi n° 21-12.492
(2) TJ Paris, 17é ch. 30 juin 2021, M. X c. 20 Minutes France
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Avril 2023
Les méthodes Agiles, de plus en plus utilisées depuis le début des années 2000 pour gérer les projets informatiques, comportent de nombreux avantages, particulièrement en termes de flexibilité, mais peuvent également être source de litiges si le projet n’est pas géré de manière rigoureuse.
1. Bref rappel des méthodes Agiles
Les méthodes Agiles ont pris leur essor au début des années 2000, en réaction aux méthodes de développement classique en cascade ou en V.
Se voulant plus pragmatiques que les méthodes classiques de développement, leur objectif est de répondre au mieux aux besoins du client, sachant que ceux-ci ne sont pas nécessairement figés dès le début du projet. Les méthodes Agiles (Scrum, Extreme Programing, Lean Software Development, RAD, etc.) reposent sur des principes de souplesse, flexibilité en cours d’exécution du projet, collaboration soutenue entre les parties, requérant notamment une grande implication du client tout au long du projet, et rapidité d’exécution.
Ces pratiques de gestion de projets informatiques ont été conceptualisées en février 2001 dans le Manifeste Agile (The Agile Manifesto).(1) Elles reposent sur quatre valeurs fondamentales :
Ces méthodes incluent les notions de développement itératif, d’intégration continue et des tests et réception à l’issue de chaque itération.
Même si l’expression des besoins du client n’est pas figée, et même si un projet Agile doit reposer sur la confiance entre les parties, il convient toutefois de rester vigilant sur la conduite du projet afin d’éviter déconvenues et dérapages. Le contrat reste un outil indispensable pour traduire les principes de collaboration entre les parties et d’adaptation au fur et à mesure des demandes du client, et fournir une grille de travail aux parties pour éviter les malentendus sur les processus qui seront appliqués. Le projet, non figé dès le départ, peut en principe être suspendu à tout moment.
Par ailleurs, les conditions financières d’un projet Agile doivent être transparentes et validées avant de débuter les prestations. Certains projets pourront être conclus intégralement en régie (facturation au temps ou au nombre de jours passés), d’autres pourront être conclus au forfait, pour chaque itération par exemple. Enfin, il est toujours possible de prévoir une partie du projet soumise au forfait et une autre en régie.
2. L’arrêt du 6 janvier 2023 - une nouvelle consécration du modèle Agile
Les tribunaux ont été amenés à juger quelques affaires dans lesquelles des projets informatiques avaient été menés en appliquant une méthode Agile. Ainsi, dans un arrêt de la Cour d’appel de Paris du 6 janvier 2023, les juges ont confirmé les conséquences d’un contrat exécuté en application d’une méthode Agile. (2)
La société Oopet, une startup dans le domaine des services aux animaux de compagnie, avait commandé le développement de deux applications mobiles et d’un site web à la société Dual Media Communication, prestataire informatique.
Le client a par la suite reproché au prestataire d’avoir notamment manqué à son obligation de conseil pour ne pas lui avoir recommandé de réaliser un cahier des charges, et d’avoir livré des prestations défectueuses.
Les juges n’ont pourtant pas considéré que le prestataire avait manqué à son obligation de conseil et de mise en garde. Ils relèvent les “nombreux échanges de courriels (qui) montrent que le développement des applications mobiles et du site internet devait suivre les souhaits précis de la société Oopet exprimés au fur et à mesure de l’envoi par la société Dual Media Communication des maquettes fonctionnelles. Les courriers et textos ont été nombreux (…)” Toutefois “face à une communication compliquée avec son client et en difficulté pour stabiliser les demandes de ce dernier, la société Dual Media prouve par ses nombreuses réponses et sa réactivité avoir rempli son devoir de conseil, (…)”. La Cour ne retient aucun manquement à l’encontre du prestataire et confirme donc le jugement du 7 octobre 2020. (3)
Même en l’absence de cahier des charges exhaustif, le client doit pouvoir définir a minima la finalité du projet et ses attentes (exigences formelles par exemple) afin que le prestataire comprenne ses besoins. Les juges rappellent que si l’obligation de conseil à la charge du prestataire dépend des besoins et objectifs du client, ce dernier doit les exprimer précisément. Or, le prestataire ne pourra exécuter correctement son obligation si le client ne lui fournit pas les informations nécessaires afin de lui permettre de répondre au plus près à ses besoins.
On rappellera, en toute logique, que ce type de contrat est soumis à une obligation de moyens de la part du prestataire. Il revenait donc au client de rapporter la preuve de manquements du prestataires à ses obligations, ce en quoi la société Oopet a échoué en l’espèce. (4)
En conclusion, “agilité” n’est pas synonyme d’absence totale de formalisme. Au contraire, les parties se doivent d’être très impliquées dans le projet, de désigner des personnes aptes à conduire le projet et à prendre des décisions, côté prestataire mais aussi, côté client, et de suivre une méthodologie rigoureuse afin de garantir un résultat satisfaisant, tant pour le client (achèvement du projet) que pour le prestataire (recette des itérations et paiement des factures).
* * * * * * * * * * *
(1) Voir https://agilemanifesto.org/
(2) CA Paris, Pôle 5, ch. 11, 6 janvier 2023, Oopet c/ Dual Media Communication
(3) T. com. Paris, 8é ch., jugement du 7 octobre 2020, Oopet c/ Dual Media Communication
(4) Sur l’obligation de moyens dans un contrat Agile, voir T. com. Nanterre, 4ème ch., jugement du 24 juin 2016, Macif c. IGA Assurances, et CA Pau 2e ch., 19 Novembre 2018, Axiome Solution c/ Hors Limites 64
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Mars 2023
Dans l’une des premières affaires relatives au droit des marques dans le métavers, le jury du tribunal du District Sud de New York vient de rendre une décision selon laquelle un artiste utilisant une marque associée à des NFTs, sans l’accord de ses ayants droit est coupable de contrefaçon. (1)
1. Les faits
En 2021, l’artiste américain Mason Rothschild (de son vrai nom Sonny Estival) a fondé le studio Gasoline, spécialisé dans la création de “solutions” pour le Web3. (2) Il lance un premier projet dénommé “Baby Birkin”, une image numérique animée représentant un sac Hermès Birkin avec un foetus à l’intérieur, associé à un NFT (non-fungible token - jeton non-fongible). L’image a été vendue 23.500$.
S’en est suivi un second projet, dénommé “MetaBirkins”, reprenant le modèle de sac Hermès Birkin en fausse fourrure de différentes couleurs. Cette image numérique, déclinée en 100 exemplaires aurait rapporté plus de 1,1 million de dollars à son créateur, selon Hermès. En parallèle, Mason Rothschild a enregistré le nom de domaine metabirkins.com. pour faire la promotion en ligne de la collection MetaBirkins, mise aux enchères sur des sites spécialisés dans la vente de NFTs.
Or, l’artiste n’a pas demandé l’autorisation à la société Hermès d’utiliser ce modèle de sac emblématique de la maison Hermès, ni la marque associée, Birkin.
En janvier 2022, la société Hermès a assigné l’artiste devant les tribunaux de New York pour contrefaçon du modèle de sac Birkin, de la marque associée, dilution de la marque Birkin et cybersquatting. Hermès demandait la cessation du projet, la récupération du nom de domaine metabirkins.com et le versement de dommages et intérêts.
2. Liberté créative vs contrefaçon de marque
Selon Mason Rothschild, la demande de la société Hermès est irrecevable. Pour sa défense, il invoque le 1er amendement de la Constitution américaine, qui garantit la liberté d’expression, arguant que les NFTs litigieux seraient des oeuvres d’art dénonçant la maltraitance animale. L’artiste se justifie en faisant un parallèle avec les célèbres tableaux de boîtes de soupe Campbell d’Andy Warhol.
Il invoque ensuite la jurisprudence Rogers vs Grimaldi, décision rendue en 1989 aux Etats-Unis, selon laquelle les utilisateurs d’une marque ne peuvent être poursuivis en contrefaçon, sous réserve que cette utilisation i) soit le fruit d’une expression artistique, et ii) n’induise pas expressément les consommateurs en erreur. (3)
Les NFTs MetaBirkins seraient donc le résultat d’une expression artistique, au même titre que les tableaux de Warhol et les utilisateurs ne seraient pas trompés sur leur origine.
Selon Hermès, la jurisprudence Rogers vs Grimaldi ne serait pas applicable à l’espèce. En effet, i) l’utilisation de la dénomination MetaBirkins pour désigner les NFTs n’est pas le résultat d’une expression artistique. Les NFTs MetaBirkins sont des actifs numériques, produits en 100 exemplaires. Il s’agirait d’une ligne de produits et non d’oeuvres d’art. La marque, et le nom de domaine, seraient utilisés non pas dans un cadre artistique mais au contraire, pour promouvoir une activité commerciale ; ii) l’utilisation de la marque, associée au modèle de sac peut induire le public en erreur sur l’origine de l’oeuvre.
A ce titre, on notera qu’Hermès a assigné Mason Rothschild pour contrefaçon dans le cadre du projet MetaBirkins, reproduit à 100 exemplaires, et non sur le premier projet (Baby Birkin) produit en un exemplaire unique.
En conséquence, les NFTs MetaBirkins ne peuvent bénéficier des règles plus favorables applicables aux créations artistiques, mais doivent au contraire être soumis à la réglementation applicable aux marques (Lanham Act). Or la reproduction d’une marque sans l’autorisation de ses ayants droit est une contrefaçon.
3. La décision
Le 8 février 2023, le jury, chargé de rendre sa décision dans cette affaire, a suivi l’argumentaire de la société Hermès et condamné Mason Rothschild à hauteur de 110.000$ pour contrefaçon de marque et 23.000$ pour cybersquatting.
Mason Rothschild a déclaré qu’il envisageait de faire appel de cette décision.
4. Les suites de l’affaire Hermès c. Mason Rothschild
On notera en l’espèce que les marques Hermès et Birkin sont des marques notoires, qui bénéficient à ce titre d’une exception au principe de spécialité, applicable en droit français des marques.
En effet, en application du principe de spécialité, une marque enregistrée n’est protégée que sur le territoire et pour les produits et/ou services désignés lors de l’enregistrement. Deux marques identiques ou similaires enregistrées dans différentes classes désignant des produits et/ou services distincts peuvent ainsi coexister.
La marque Birkin n’était pas enregistrée dans les classes permettant sa protection contre la contrefaçon numérique. Cependant, compte tenu de sa renommée, elle a pu bénéficier de l’exception au principe de spécialité qui permet d’étendre la protection de la marque au-delà du périmètre formel de l’enregistrement. Hermès a d’ailleurs déposé la marque Birkin dans les classes 9, 35 et 41 auprès de l’Office américain des marques (USPTO) en août 2022.
La question de la contrefaçon de marque par des NFTs reste donc posée pour les marques non notoires qui ne seraient pas enregistrées pour les produits et/ou services numériques. Il est donc recommandé, pour les produits et services susceptibles d’être utilisés dans le métavers, d’étendre l’enregistrement des marques aux classes permettant de protéger la marque dans l’environnement virtuel, telle que la classe 9 (selon la classification de Nice en vigueur).
Ce principe de précaution doit être étendu aux noms de domaine. Là encore, pour les produits et services susceptibles d’être utilisés dans le métavers, il est recommandé d’enregistrer les noms de domaines comprenant les termes liés au web3 (blockchain, NFT, meta…) afin de prévenir le cybersquatting.
Même si cette décision a été rendue par une juridiction américaine, elle est intéressante à plus d’un titre. Pour la première fois, une marque désignant un produit physique peut voir sa protection étendue à sa représentation numérique. Ainsi, sous réserve des développements judiciaires en appel et du développement de la jurisprudence en France, cette décision a le mérite de rappeler aux créateurs et aux utilisateurs qui souhaiteraient commercialiser des produits de marque virtuels dans le métavers, que le droit des marques est étendu à ces mondes virtuels.
Enfin, les NFTs et les métavers ne sont pas ancrés dans un territoire géographique défini. Aujourd’hui régis par les CGU des plateformes et les smart contracts, il sera souhaitable d’encadrer ces contrats par un droit des actifs et des mondes virtuels homogène, malgré les différences entre les systèmes juridiques, afin de garantir un environnement social et économique stable, permettant à ces technologies innovantes de se développer de manière juridiquement sécurisée.
* * * * * * * * * * *
(1) Hermes International et al. v. Rothschild, Case No 1:22-CV-00384 (S.D.N.Y) 14 02 2023
(2) Le web3, successeur du web 2.0 est défini comme un web décentralisé exploitant la blockchain.
(3) Ginger Rogers vs Alberto Grimaldi, 875 F.2d 994 (2d Cir. 1989)
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Février 2023
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Septembre 2022
* * * * * * * * * * *
(1) Proposition de règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques»)
(2) Conseil d’Etat, décision du 19 juin 2020 sur les lignes directrices relatives aux cookies et autres traceurs
(3) “Cookie walls : la CNIL publie des premiers critères d’évaluation”
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Mai 2022
L’Autorité a prononcé à l’encontre de Google une sanction de 150 millions d’euros et ordonné à Google de :
- clarifier la rédaction des Règles de Google Ads,
- clarifier les procédures de suspension des comptes afin d’éviter que celles-ci ne revêtent un caractère brutal et injustifié,
- et mettre en place des procédures d’alerte, de prévention, de détection et de traitement des manquements à ses Règles, afin que les mesures de suspension de sites ou de comptes Google Ads soient strictement nécessaires et proportionnées à l’objectif de protection des consommateurs.
La décision Gibmedia de l’Autorité de la concurrence, confirmée par la Cour d’appel de Paris est dans la droite ligne de la jurisprudence de l’Autorité. (2) Ainsi, dans l’affaire Amadeus, datant de janvier 2019, l’Autorité rappelait déjà que Google est libre de déterminer sa politique de contenus, mais ces règles doivent être suffisamment intelligibles pour les acteurs économiques et s’appliquer dans des conditions objectives, transparentes et non-discriminatoires afin que tous les annonceurs d’un même secteur soient traités sur un pied d’égalité.
Depuis cette dernière décision, Google a clarifié une partie des règles applicables au service Google Ads.
* * * * * * * * * * *
(1) CA Paris, 7 avril 2022, Google Ireland Ltd c. GibMedia ; Aut. Conc. déc. n°19-D-26, 19 décembre 2019, GibMedia
(2) Voir les décisions Navx - Aut. conc. déc. n°10-MC-01, 30 juin 2010 et Aut. conc. déc. n°10-D-30, 28 octobre 2010, et Amadeus - Aut. conc. déc. n°19-MC-01, 31 janvier 2019
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Avril 2022
Le droit européen du numérique est sur le point d’être profondément réformé avec l’adoption dans les semaines à venir du Règlement sur les marchés numériques (Digital Markets Act - DMA) puis du Règlement sur les services numériques (Digital Services Act - DSA), pour une entrée en vigueur qui devrait intervenir début 2023. Un accord sur le texte définitif du DMA a été trouvé à l’issue du trilogue entre des représentants du Parlement, du Conseil et de la Commission le 24 mars. Le DSA est également en cours de discussions finales. (1)
Ces deux textes ayant des objectifs distincts, nous avons présenté le DMA dans un premier article et présentons les principales dispositions du DSA ci-après.
Ce qu’il faut retenir
L’objectif du DSA est de réguler les fournisseurs de services “intermédiaires en ligne”, en leur imposant de nouvelles obligations de transparence et de diligence, afin d’améliorer la lutte contre les contenus illicites et la propagation de fausses informations.
Les règles de responsabilité des “intermédiaires en ligne” ne sont pas profondément modifiées mais sont aménagées pour prendre en compte l’évolution des services numériques et harmoniser la réglementation dans l’Union européenne.
Le DSA prévoit la mise en place de nouvelles procédures de contrôle avec un système de modération des contenus par les plateformes plus transparent, une meilleure identification des vendeurs professionnels par les plateformes, ainsi que des règles de prévention et de transparence spécifiques pour les “très grandes plateformes” en ligne
Enfin, de nouvelles autorités de contrôle seraient créées au niveau des Etats-membres et au niveau communautaire (Comité européen des services numériques - CESN).
1. Objectif et champ d’application du DSA
Le champ d’application du DSA est plus étendu que le DMA, puisqu’il concerne un large éventail de fournisseurs de services “intermédiaires” en ligne, alors que le DMA se concentre principalement sur les GAFAM (les “contrôleurs d’accès”). (2)
Depuis plusieurs années, la Commission européenne et les tribunaux nationaux tentent d’imposer aux fournisseurs de services en ligne un meilleur contrôle des contenus et produits illicites diffusés et vendus par leur intermédiaire. Jusqu’à présent, les avancées sont restées très limitées, les fournisseurs de services concernés se retranchant derrière la règlementation en vigueur dans leur propre juridiction ou dans l’Union européenne.
L’objectif du DSA est de réguler les fournisseurs de services numériques, ou fournisseurs de services “intermédiaires en ligne”, en leur imposant de nouvelles obligations de transparence et de diligence, afin de lutter plus efficacement contre les contenus illicites et la propagation de fausses informations et in fine, améliorer la qualité des contenus et la confiance des utilisateurs. Ces nouvelles obligations seront cependant adaptées en fonction de la taille du fournisseur de services concerné.
Les contours de la responsabilité des “intermédiaires en ligne” sont redéfinis afin d’améliorer et d’harmoniser la lutte contre les contenus et les produits contrefaisants et illicites (services et produits contrefaisants, contenus à caractère haineux, pédopornographique, terroriste, fausses informations), accessibles en ligne.
Les fournisseurs de services intermédiaires couverts par le DSA recouvrent plusieurs catégories de prestataires de services complémentaires, depuis :
- les fournisseurs de services de “simple transport”, tels que les fournisseurs de services internet,
- les fournisseurs de services de “mise en cache”, consistant à transmettre des informations fournies par un bénéficiaire du service, impliquant le stockage automatique, intermédiaire et temporaire de cette information, dans le but de rendre plus efficace la transmission ultérieure de l’information à la demande d’autres bénéficiaires, et enfin
- les fournisseurs de services d’”hébergement” comprenant notamment les services cloud, les plateformes d’applications (app stores), plateformes de partage de contenus et d’intermédiation, places de marché, réseaux sociaux, etc.
Des discussions sont en cours pour inclure les moteurs de recherche dans le champ du DSA.
2. Un ajustement du régime de responsabilité des fournisseurs de services
Actuellement, le régime de responsabilité applicable aux acteurs de l’internet est binaire. Hormis les fournisseurs d’accès à internet et les fournisseurs de services de mise en cache qui ne sont pas en principe responsables des contenus, les sites web tels que les sites de e-commerce ou les sites d’information, sont globalement soumis au régime des éditeurs, responsables du contenu qu’ils mettent en ligne. D’autre part, les hébergeur techniques, qui hébergent des contenus tiers, mis en ligne par les utilisateurs du service sont soumis à un régime de responsabilité atténuée. Non soumis à une obligation générale de surveillance des contenus hébergés, leur responsabilité est limitée au retrait des contenus manifestement illicites, suite à leur notification par un tiers ou imposé par un juge.
Le DSA ne modifie pas fondamentalement ce système de responsabilité, défini par la directive commerce électronique de juin 2000 (3), mais l’aménage afin de prendre en compte l’évolution des services numériques et d’harmoniser la réglementation dans l’Union européenne.
Ainsi, les fournisseurs de services intermédiaires restent soumis à un régime de responsabilité aménagé pour les contenus mis en ligne par leurs utilisateurs. Comme dans la réglementation actuelle, ces services ne sont pas soumis à une obligation générale de surveillance des contenus, ni de recherche active des faits. (Art. 7 et s. DSA) La notification de contenus illicites aux fournisseurs de services d’hébergement devra être suffisamment précise et dûment motivée. La réception de ces notifications par les hébergeurs signifie qu’il prennent connaissance du caractère illicite du contenu notifié et qu’ils doivent alors traiter ces notifications “en temps opportun, de manière diligente et objective”. (art 14 et s.)
Les fournisseurs de services intermédiaires devront désigner un point de contact unique pour permettre une communication directe avec les autorités des Etats-membres, la Commission et le Comité européen des services numériques. Si le fournisseur de services ne dispose pas d’établissement au sein de l’UE, il devra alors nommer un représentant dans l’un des Etats-membres comme point de contact avec les autorités. (art. 10)
3. La mise en place de nouvelles procédures de contrôle
3.1 Un système de modération des contenus par les plateformes plus transparent
La Commission européenne souhaite établir un contrôle plus strict des règles de modération des contenus par les plateformes pour assurer un traitement non arbitraire et non discriminatoire des contenus supprimés, et plus de transparence sur le fonctionnement des algorithmes utilisés pour identifier et supprimer les contenus illicites et les fausses informations (“infox”).
A cette fin, les plateformes devront publier un rapport annuel “clair, transparent et facilement compréhensible”, détaillant leur activité en matière de modération des contenus. (art. 13) Les micro-entreprises et PME seraient toutefois exemptées de cette obligation.
3.2 Une meilleure identification des vendeurs professionnels par les plateformes
Le renforcement de la sécurité des produits et services proposés à la vente passe par l’amélioration de l’identification, et de la traçabilité des vendeurs professionnels par les plateformes.
A cette fin, le DSA prévoit la mise en place d’un système de connaissance du client commercial (professionnel) par les fournisseurs de services, dont les places de marché. Ce système de “KYBC” (Know Your Business Customer), déjà utilisé dans d’autres secteurs de l’économie, consistera pour les fournisseurs de services, à collecter une série d’informations plus étendue concernant les vendeurs professionnels dont leurs coordonnées (nom, adresse, etc.), un extrait Kbis ou équivalent et une déclaration par laquelle le professionnel s’engage à ne fournir que des produits ou services licites et conformes aux règles communautaires.
Ces informations, qui devront être contrôlées par les fournisseurs de services, ont pour objet de responsabiliser les vendeurs professionnels, à renforcer la protection et la confiance des consommateurs, et enfin à faciliter les poursuites judiciaires en cas de vente de produits ou services illicites ou contrefaisants. (art. 22)
3.3 La création de nouvelles autorités de contrôle
Au niveau national, la mise en oeuvre des obligations imposées par le DSA et le suivi de la conformité des fournisseurs de services seront contrôlés par de nouvelles autorités compétentes, les coordinateurs pour les services numériques, sauf si l’État membre concerné a assigné certaines missions ou certains secteurs spécifiques à d’autres autorités compétentes. (art. 38 s.)
Un Comité européen des services numériques (CESN) est créé avec pour mission d’assurer la surveillance des fournisseurs de services intermédiaires et de conseiller les coordinateurs pour les services numériques et la Commission. (art. 47 s.)
4. Des règles de prévention et de transparence spécifiques pour les “très grandes plateformes” en ligne (TGPF)
La définition des très grandes plateformes en ligne diffère de celle des contrôleurs d’accès du DMA. Les très grandes plateformes (“TGPF” ou “VLOP”) sont les plateformes disposant de plus de 45 millions de membres actifs dans l’Union européenne. (art. 25) Ce seuil, représentant 10% de la population de l’UE, sera adapté en fonction de son évolution.
Ces très grandes plateformes seront tenues à une série d’obligations supplémentaires pour prendre en compte les risques systémiques posés par leur taille pour les conséquences notamment, de la dissémination de fausses informations.
Parmi ces obligations, on retiendra notamment l’établissement d’un rapport annuel d’évaluation des risques ainsi que la réalisation d’audits indépendants. (art. 26 et 27)
Le rapport annuel d’évaluation des risques porte sur le fonctionnement et l’utilisation de leurs services au sein de l’UE, y compris la diffusion de contenus illicites par leur intermédiaire, et les effets négatifs pour l’exercice des droits fondamentaux (respect de la vie privée, liberté d’expression et d’information, interdiction de la discrimination, droits de l’enfant).
Des audits indépendants devront être organisés au moins une fois par an pour évaluer le respect de leurs obligations et des engagements pris en vertu de codes de conduite.
Les très grandes plateformes devront également mettre en place de mesures d’atténuation des risques (mitigation), adaptées aux risques systémiques identifiés et seront soumises à une obligation de transparence des systèmes de recommandations (algorithmes).
Enfin, les très grandes plateformes devront désigner un ou plusieurs responsables de la conformité dans l’Union européenne, en charge de contrôler le respect du règlement. (art. 32)
Une liste des très grandes plateformes sera publiée et actualisée afin d’en permettre une identification claire.
5. Des sanctions dissuasives
Deux régimes de sanctions sont prévus par le DSA suivant qu’elles s’appliquent aux fournisseurs de services intermédiaires ou aux très grandes plateformes.
Concernant les fournisseurs de services intermédiaires, le montant maximum des amendes pouvant être imposées par les coordinateurs pour les services numériques ou les tribunaux doit être fixé par chaque Etat-membre, sans pouvoir dépasser 6% des revenus ou du chiffre d’affaires annuel du fournisseur de services en cas de non conformité au DSA, ou 1% des revenus ou du chiffre d’affaires annuel en cas de fourniture de renseignements inexacts, incomplets ou dénaturés. (art. 42)
Concernant les très grandes plateformes, les amendes pourront atteindre jusqu’à 6% du chiffre d’affaires annuel réalisé par la très grande plateforme au cours de l’exercice précédent en cas de non conformité au DSA, ou 1% du chiffre d’affaires annuel en cas de fourniture de renseignements inexacts, incomplets ou dénaturés, en réponse à une demande de la Commission. (art. 59)
6. Les modifications apportées par le Parlement européen
Lors de l’examen du DSA par le Parlement européen, les députés ont introduit quelques modifications au projet de règlement. Celles-ci comprennent notamment:
- une exemption d’application du DSA par les micro et petites entreprises
- un renforcement des règles relatives à la publicité ciblée, dont l’interdiction des techniques de ciblage et d’amplification comprenant des données de mineurs pour l’affichage de publicités et l’interdiction du ciblage publicitaire de certains groupes de personnes en fonction de leur orientation sexuelle, un handicap, la race, etc.
- la possibilité pour les destinataires des services numériques et les organisations représentatives de poursuivre les plateformes qui ne respectent pas les dispositions du DSA.
Certains principes et procédés figurant dans le DSA rappellent le RGPD, tels que l’obligation de désigner un représentant dans l’Union européenne, de désigner un responsable de la conformité (similaire au DPO en matière de protection des données) pour les très grandes plateformes, la création de coordinateurs pour les services numériques (similaire aux autorités de contrôle du RGPD - tels la CNIL), et du Comité européen des services numériques (CESN - similaire au CEPD du RGPD). On notera également le souhait d certains députés européens de porter le montant maximum des amendes de 6 à 10% du chiffre d’affaires annuel des fournisseurs de services pour être en ligne avec le RGPD.
Le projet de DSA risque de subir quelques dernières modifications avant son adoption définitive.
* * * * * * * * * * *
(1) Proposition de règlement du Parlement européen et du Conseil relatif à un marché intérieur des services numériques modifiant la directive 2000/31/CE (Digital Services Act - DSA)
(2) Google, Amazon, Facebook (Meta), Apple, Microsoft
(3) Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique»)
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Avril 2022
La réforme européenne du droit du numérique vient de passer une étape décisive avec le vote, par le Parlement européen, de la proposition de Règlement sur les marchés numériques (Digital Markets Act - DMA) le 15 décembre 2021, suivi du vote de la proposition de Règlement sur les services numériques (Digital Services Act - DSA) le 20 janvier 2022. Ces deux projets de règlements passent maintenant par l’étape d’un trilogue entre des représentants du Parlement, du Conseil et de la Commission afin de parvenir à un accord sur le texte définitif, pour une entrée en application probablement début 2023. (1)
L’objectif de cette réforme d’envergure est double : réguler le fonctionnement des marchés numériques, et plus particulièrement, le rôle des “contrôleurs d’accès” (ou “gatekeepers”), dont les GAFAM, qui jouent un rôle dominant sur le marché, et réguler les services numériques, afin de lutter plus efficacement contre les contenus illicites et la propagation de fausses informations.
Dans ce premier article, nous nous concentrons sur le DMA. Un second article suivra afin de présenter le DSA, ces deux textes ayant des objectifs distincts.
Ce qu’il faut retenir
Le DMA a pour objectif de réguler le comportement des grandes plateformes numériques, y compris les services de plateforme essentiels, qui agissent en tant que “contrôleurs d’accès” (ou “gatekeepers”) sur les marchés, notamment les GAFAM. Les services concernés comprennent, entre autres, les systèmes d’exploitation, les services de publicité en ligne, les moteurs de recherche, les réseaux sociaux, etc.
Les contrôleurs d’accès seront soumis à un certain nombre d’obligations dans le but d’améliorer la concurrence entre les entreprises utilisatrices et les services proposés par les contrôleurs d’accès.
1. Le DMA - ou la régulation des contrôleurs d’accès
Selon l’exposé des motifs du DMA, “Certaines grandes plateformes jouent de plus en plus le rôle de points d’accès ou de contrôleurs d’accès entre les entreprises utilisatrices et les utilisateurs finaux et jouissent d’une position solide et durable, qui résulte souvent de la création d’écosystèmes de conglomérat organisés autour de leurs services de plateforme essentiels, renforçant ainsi les barrières à l’entrée existantes.”
Ainsi, le DMA a pour objectif de réguler le comportement des grandes plateformes numériques qui agissent en tant que “contrôleurs d’accès” sur les marchés. Alors qu’il existerait plus de 10.000 plateformes actives sur le marché communautaire, seul un petit nombre d’entre elles captent la plus grande part de la valeur générée.
Suivant le constat des régulateurs, ces plateformes ont atteint une taille telle qu’elles ont rendu les utilisateurs - consommateurs et entreprises, dépendants de leurs services. Elles se positionnent ainsi en tant que régulateurs privés pouvant imposer des conditions inéquitables aux entreprises et aux consommateurs (services captifs, blocage de l’accès aux données générées en ligne par les entreprises, etc.) et imposent des barrières à l’entrée à leurs concurrents potentiels, qui ne peuvent avoir accès au marché. En effet, les contrôleurs d’accès, par leur taille, ont acquis une situation dominante, présentant des risques pour les droits des utilisateurs, personnes physiques et morales.
2. Plateformes essentielles et contrôleurs d’accès
Le DMA vise plus particulièrement les services de plateforme essentiels (les contrôleurs d’accès ou certains services qu’ils proposent). Ces services de plateforme essentiels recouvrent les services suivants :
Pour être qualifié de contrôleur d’accès, un service de plateforme essentiel doit remplir plusieurs critères quantitatifs (art. 3 DMA), à savoir :
Les contrôleurs d’accès doivent informer la Commission de leur situation dans un délai de trois mois et fournir les informations visées ci-dessus. Ils pourront également démontrer à la Commission qu’ils ne remplissent pas ces critères. Enfin, la Commission pourra désigner comme contrôleur d’accès des services de plateforme essentiels qui satisfont aux exigences qualitatives ci-dessus, mais qui ne remplissent pas les critères quantitatifs.
3. Les obligations des contrôleurs d’accès
Les contrôleurs d’accès sont soumis à un certain nombre d’obligations, l’objectif étant d’améliorer la concurrence entre les entreprises utilisatrices et les services proposés par les contrôleurs d’accès.
Parmi ces obligations, les contrôleurs d’accès doivent (art. 5 DMA) :
Par ailleurs, le DMA interdira certaines pratiques manifestement déloyales, telles que l’interdiction pour les utilisateurs de désinstaller des logiciels ou applications pré-installés. Le règlement imposera également l’interopérabilité entre les services proposés sur ces plateformes et les logiciels tiers.
La Commission européenne aura la possibilité de mener des enquêtes de marché ciblées pour déterminer s’il y a lieu de faire évoluer la règlementation sur les contrôleurs d’accès pour suivre l’évolution des marchés numériques. (art. 18 et s. DMA)
4. Des sanctions dissuasives en cas de violation du DMA
Les sanctions pouvant être imposées par la Commission européenne et par les tribunaux nationaux se veulent être à la hauteur des enjeux et de la taille des acteurs concernés.
En cas de violation des dispositions du DMA, les amendes pourront atteindre 10% du chiffre d’affaires réalisé au cours de l’exercice précédent par le contrôleur d’accès. Pour fixer le montant de l’amende, la Commission prendra en considération la gravité, la durée et la récurrence des manquements aux obligations du DMA. (art. 26 DMA)
A l’issue de l’examen du DMA par le Parlement, les députés européens souhaitent améliorer les critères de qualification des contrôleurs d’accès. Les députés ont par ailleurs inclus les navigateurs web, les assistants virtuels et les télévisions connectées dans le champ du DMA et ajouté la possibilité de désinstaller des applications préinstallées. Les seuils quantitatifs permettant de désigner les contrôleurs d’accès ont également été relevés à 8 milliards d’euros de chiffre d’affaires annuel ou 80 milliards d’euros de capitalisation boursière et le montant des amendes a été doublé, de 10 à 20% du chiffre d’affaires.
Ces dernières années, avec la montée en puissance des GAFAM, les juridictions des Etats membres et la Commission en Europe d’une part, les juridictions américaines d’autre part, ont tenté de lutter contre des pratiques jugées abusives de la part des sociétés, qualifiées de “contrôleurs d’accès” - sans grand succès. L’objectif du DMA est donc, par l’imposition de règles homogènes dans l’Union européenne, de lutter contre les avantages permettant à ces très grands groupes de conserver leur position dominante, favorisant notamment leurs produits et services par rapport aux entreprises utilisatrices ou exploiter les données générées par ces entreprises à leur propre avantage et, in fine permettre plus de compétitivité et de diversité, en donnant accès au marché à des acteurs de taille plus modeste.
* * * * * * * * * * *
(1) Proposition de règlement du Parlement européen et du Conseil relatif aux marchés contestables et équitables dans le secteur du numérique (Digital Markets Act - DMA)
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Février 2022
Le 17 décembre 2021, la Commission européenne a publié sa décision d’adéquation concernant la République de Corée. (1) Cette décision permet désormais aux organismes situés dans l’UE de transférer des données personnelles vers des destinataires et sous-traitants situés en Corée du Sud, sans formalités particulières. (2)
Les décisions d’adéquation sont accordées par la Commission européenne en application de l’article 45 du Règlement général pour la protection des données (RGPD). Elles font suite à une analyse approfondie de la réglementation du pays tiers sur la protection des données pour évaluer son niveau d’équivalence avec la réglementation européenne. La procédure d’examen préalable peut prendre plusieurs mois, voire plusieurs années, et impliquer des demandes d’adaptation de la réglementation du pays tiers. Toutefois, la décision d’adéquation ne signifie pas que les règles du pays tiers doivent être identiques au RGPD, mais uniquement qu’elles offrent un niveau d’équivalence essentielle.
En l’espèce, des discussions étaient en cours avec la Corée depuis octobre 2018 avec une première visite de députés européens à Séoul. La procédure menant à la décision d’adéquation s’est poursuivie et des pourparlers avaient été signés entre la Commission et l’autorité de contrôle coréenne (Personal Information Protection Commission - PIPC), en mars 2021.
La Corée a dû modifier sa législation sur la protection des données, notamment pour mettre en place une autorité de contrôle indépendante, des procédures plus transparentes, et la possibilité pour les résidents européens d’avoir accès à un mécanisme de correction en cas de traitement de données illicite ou non-conforme, y compris la possibilité de porter plainte auprès de l’autorité de contrôle coréenne, l’équivalent de la CNIL.
La décision d’adéquation de la République de Corée sera réexaminée par la Commission dans trois ans, puis selon une périodicité maximum de quatre ans, afin de s’assurer que la réglementation coréenne répond toujours aux critères d’adéquation au droit européen de la protection des données personnelles. Au cas où la Corée s’éloignerait de ces critères, la décision d’adéquation pourra être retirée lors de son réexamen.
A noter que les responsables de traitement et sous-traitants coréens qui étaient déjà soumis au RGPD en application de l’article 3.2 (traitements liés à l'offre de biens ou de services à des personnes concernées situées dans l’UE, ou au suivi de leur comportement) ne verront pas leurs obligations modifiées par la décision d’adéquation.
Après Israël, puis le Japon en janvier 2019, la Corée est le troisième pays d’Asie à obtenir une décision d’adéquation, sachant que la plupart des pays d’Asie de l’Est et du Sud-Est ont adopté ou récemment révisé leurs réglementations en matière de protection des données personnelles, se rapprochant ainsi des standards internationaux de la protection des données.
* * * * * * * * * * *
(1) Commission implementing decision of 17 December 2021 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate protection of personal data by the Republic of Korea under the Personal Information Protection Act
(2) Cette décision d’adéquation s’applique à l’Espace économique européen (EEE), qui compte, en sus des pays membres de l’UE, l’Islande, le Liechtenstein et la Norvège.
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Janvier 2022
Le logiciel est considéré comme une oeuvre de l’esprit, et à ce titre est protégé par le droit de la propriété intellectuelle. (1)
Une société, son fondateur et des salariés, reconnus coupables de contrefaçon des codes sources d’un logiciel appartenant à un concurrent, viennent d’être condamnés au versement de près de trois millions d’euros de dommages et intérêts au titulaire des droits. (2)
L’intérêt de ce jugement repose d’une part sur les éléments permettant de qualifier le caractère original du logiciel, pour déterminer s’il pouvait bénéficier de la protection par le droit d’auteur, auquel cas, la copie non autorisée des codes sources relève de la contrefaçon ; d’autre part, sur les éléments retenus pour l’évaluation du préjudice subi et la détermination par les juges de l’indemnisation du titulaire.
1. Les faits
La société Generix, est titulaire des droits sur le logiciel applicatif GCS WMS, utilisé pour la gestion des entrepôts, notamment pour la grande distribution. Ce logiciel avait été développé par Infolog Solutions, société absorbée par Generix en 2010. Le logiciel GCS WMS a été développé à partir d’un programme générateur de codes sources dénommé APX, mis au point par Generix et non commercialisé.
En 2011, le responsable support de la société Infolog Solutions a quitté cette société pour créer la société ACSEP, ayant pour activité la fourniture de prestations similaires à celles de Generix. D’anciens salariés d’Infolog Solutions et de Generix ont par ailleurs rejoint la société ACSEP.
Entre 2014 et 2016, plusieurs clients de la société Generix ont résilié leurs contrats pour les transférer chez ACSEP. En outre, Generix a appris que la société ACSEP était en possession des codes source du logiciel GCS WMS. Par deux ordonnances sur requête du 5 février et du 24 mars 2015, à la demande de la société Generix, le président du tribunal de grande instance d’Aix-en-Provence a autorisé un huissier à se rendre dans les locaux d’ACSEP, afin de constater notamment qu’ACSEP détenait les codes source du logiciel GCS WMS.
Le 2 mars 2016, la société Generix a fait assigner la société ACSEP, son dirigeant et les anciens salariés d’Infolog Solutions. Generix demandait au tribunal de condamner la société ACSEP, son dirigeant et les anciens salariés d’Infolog Solutions à lui payer 4.000.000€ au titre du préjudice matériel lié à la détention et l’utilisation non autorisées des codes sources du logiciel, 300.000€ au titre de la réparation du préjudice moral subi suite à la contrefaçon du logiciel, 50.000€ au titre du préjudice économique résultant des actes de concurrence déloyale et parasitaire du fait de l’utilisation de sa marque Infolog, de sa dénomination sociale et de sa marque Generix et de ses supports et plans de formations.
Le tribunal judiciaire de Marseille a rendu sa décision le 23 septembre 2021 et a condamné la société ACSEP, son dirigeant et les anciens salariés d’Infolog Solutions au paiement de près de 3.000.000€ pour contrefaçon de codes sources du logiciel GCS WMS.
2. La protection du logiciel par le droit d’auteur
2.1 Protection du logiciel et droit d’exploitation
Dans cette affaire, le tribunal rappelle que le logiciel, comprenant le code source et le code objet, ainsi que le matériel de conception préparatoire, est protégé par le droit d’auteur en application de l’article L.112-2 13° du code de la propriété intellectuelle (CPI). A ce titre, “le droit d’exploitation appartenant à l’auteur d’un logiciel comprend le droit d’effectuer et d’autoriser 1° la reproduction permanente ou provisoire d’un logiciel en tout ou partie par tout moyen et sous toute forme. (…) ces actes ne sont possibles qu’avec l’autorisation de l’auteur.” (art. L.122-6 CPI)
La société Generix, devenue titulaire des droits sur le logiciel après avoir absorbé la société Infolog Solutions, avait déposé deux versions du logiciel auprès de l’Agence pour la protection des programmes (APP) en 2006 et 2010.
2.2 L’originalité du logiciel, condition de sa protection par le droit d’auteur
Toutefois, comme pour toute oeuvre de l’esprit, cette protection du logiciel par le droit d’auteur n’est accordée que pour autant que celui-ci soit reconnu original.
A cette fin, le tribunal rappelle les principales caractéristiques du logiciel GCS WMS qui avaient été mises en avant par Generix pour démontrer son originalité, à savoir : 1) des choix personnels quant à la structure du “scénario radio”, 2) un choix propre quant aux réservations de stocks, 3) le choix d’une forte interopérabilité du logiciel par l’utilisation d’un format d’échanges de données unique et original, 4) l’utilisation du langage de développement Cobol afin de permettre la portabilité du logiciel sur un grand nombre de machines, 5) le développement d’un atelier de génie logiciel en interne, 6) un choix technique personnel quant aux interfaces homme/machine, et 7) le choix d’une mise en oeuvre simplifiée du logiciel, ne nécessitant pas de compétences techniques ou informatiques et pouvant être réalisées par un consultant.
Sur la base de tous ces éléments, le tribunal a pu reconnaître l’originalité du logiciel alors même que celui-ci avait été développé grâce à un programme générateur de codes sources. La société Generix était donc bien fondée pour défendre ses droits sur le logiciel.
3. Les faits de contrefaçon et l’évaluation du préjudice
3.1 L’établissement des faits de contrefaçon
Dans cette affaire, la contrefaçon a été démontrée sur la base de deux éléments : a) la production d’emails échangés entre les salariés de la société ACSEP, relatifs à la demande et à la communication des codes sources de programmes constitutifs du logiciel GCS WMS. On notera sur ce point que le tribunal n’a pas remis en cause l’intégrité de ces emails, obtenus par voie d’huissier ; et b) un rapport d’analyse technique démontrant que les logiciels détenus par la société ACSEP étaient identiques, à 2% près, aux programmes déposés par Generix à l’APP.
Or, il n’existait aucun accord entre les sociétés Generix et ACSEP, autorisant cette dernière à reproduire ou à utiliser tout ou partie du logiciel.
Le tribunal en conclut que ces simples faits de reproduction non autorisée des codes sources de programmes constitutifs du logiciel GCS WMS constituent des actes de contrefaçon de la part de la société ACSEP, son dirigeant et les salariés poursuivis.
3.2 L’évaluation du préjudice et les mesures de réparation
Les règles permettant de déterminer le montant des dommages et intérêts sont définies aux articles L.331-1-3 et s. du CPI. Pour ce faire, les juges prennent en compte :
“1° Les conséquences économiques négatives de l’atteinte aux droits, dont le manque à gagner et la perte subis par la partie lésée ;
2° Le préjudice moral causé à cette dernière ;
3° Et les bénéfices réalisés par l’auteur de l’atteinte aux droits, y compris les économies d’investissements intellectuels, matériels et promotionnels que celui-ci a retirées de l’atteinte aux droits.”
En l’espèce, le tribunal a évalué le préjudice subi par la société Generix en retenant i) une perte de chiffre d’affaires à la suite de la résiliation de plusieurs contrats commerciaux, évaluée à 2 millions d’euros, ii) le remboursement du montant représentant la valorisation de la recherche et développement du logiciel pour 814.000€, la contrefaçon ayant permis d’économiser les coûts de création et de développement d’un logiciel équivalent, et iii) le préjudice moral, constitué par la dévalorisation du savoir-faire de Generix, pour un montant de 50.000€.
La société ACSEP, son dirigeant et les anciens salariés d’Infolog Solutions ont été condamnés en sus à cesser l’utilisation et à la désinstallation du logiciel, et à indemniser Generix pour concurrence déloyale à hauteur de 30.000€ pour débauchage de plusieurs salariés de Generix.
Cette affaire démontre que la contrefaçon de logiciel, notamment par d’anciens salariés, accompagnée d’actions de concurrence déloyale par détournement de clientèle et débauchage de salariés peut coûter cher à leurs auteurs. Le titulaire des droits doit cependant être en mesure de démontrer le caractère original de l’oeuvre contrefaite et de rapporter la preuve du détournement, ainsi que du préjudice subi (perte de clientèle, vol de savoir-faire, débauchage massif, etc.). Toutefois, la réparation du préjudice est un processus long et coûteux, le dossier contentieux ayant débuté en 2015…
* * * * * * * * * * *
(1) Art. L.112-2 CPI
(2) TJ Marseille, 23 septembre 2021, Generix c. Acsep et autres
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Novembre 2021
