Messages les plus consultés

jeudi 22 décembre 2016

La simple commande d’un site web n’emporte pas la cession des codes sources au client



De très nombreuses prestations de développement de sites internet sont réalisées sur la base de devis ou bons de commande, non accompagnés d’un contrat de prestation ou ne comprenant pas de stipulation relative à la propriété intellectuelle du site. Or, en l’absence de stipulation claire en matière de cession de droits de propriété intellectuelle, le client est dépendant du prestataire. Il ne disposera que du droit d’utilisation de “son” site et ne pourra le faire évoluer sans l’accord du prestataire. D’autres contrats de prestation de développement stipulent que le prestataire conserve les droits de propriété intellectuelle, notamment sur les codes sources. Se posera alors la question de la pérennité du site au regard de son hébergement technique (possibilité de faire migrer le site vers un nouveau prestataire d’hébergement ou d’internaliser cette prestation) et surtout de son évolution fonctionnelle.

Un jugement du tribunal de commerce de Besançon de mars 2016 a rappelé ces principes, aux dépends du client. (1)


1. Les faits

Courant 2011, la société LDG Constructions avait commandé à la société Mediacom Studio le développement de sites internet pour les sociétés de son groupe, ainsi que la réservation des noms de domaine et l’hébergement des sites. Le contrat d’hébergement était renouvelable annuellement par tacite reconduction. A la fin de la première année, le contrat a été reconduit pour une nouvelle durée d’un an.

Dans un courrier du 8 mars 2013, la société LDG Constructions informait le prestataire de son souhait de reprendre l’hébergement de ses sites web en interne et lui demandait des précisions sur les modalités de transfert de l’hébergement des sites des sociétés du groupe afin de garantir leur bon fonctionnement et d’éviter toute coupure.

La société Mediacom Studio a considéré que LDG Constructions avait pris la décision de résilier son contrat d’hébergement à la date d’échéance annuelle, ce que LDG Constructions contestait. Mediacom Studio a informé la société LDG Constructions que la résiliation du contrat d’hébergement des sites mettrait un terme au droit d’utilisation des sites. Les sites web des sociétés du groupe ont donc été coupés le 12 mai 2013, à l’échéance du contrat d’hébergement.

La société LDG Constructions a assigné la société Mediacom Studio pour résiliation fautive du contrat d’hébergement.

Le litige portait notamment sur la question de déterminer si le courrier du client du 8 mars 2013 pouvait être analysé comme la résiliation du contrat d’hébergement à son échéance annuelle et la cessation du droit d’utilisation des sites web développés par Mediacom Studio.

En effet, les droits de propriété intellectuelle sur les sites n’avaient pas été cédés à la société LDG Constructions. La résiliation du contrat d’hébergement des sites a donc entraîné leur suspension.


2. La décision

Dans un jugement du 23 mars 2016, le tribunal de commerce de Besançon a suivi les arguments de la société prestataire en constatant que par son courrier du 8 mars 2013, la société LDG Constructions avait effectivement dénoncé le contrat d’hébergement.

Les juges rappellent par ailleurs le principe de protection des logiciels. Conformément à l’article L.112-2 13° du code de la propriété intellectuelle, les logiciels sont considérés comme oeuvre de l’esprit et à ce titre, protégés par le droit de la propriété intellectuelle.

En l’espèce, conformément au contrat conclu entre les parties, les droits de propriété intellectuelle sur les codes sources n’avaient pas été cédés au client. Le prestataire était donc fondé à refuser de communiquer le code source des sites internet à la société LDG Constructions. La cessation du contrat d’hébergement avec le prestataire entraînait ainsi automatiquement la coupure des sites internet.


    En conclusion, le développement d’un site web, a fortiori si celui-ci est utilisé à des fins commerciales, doit faire l’objet d’une analyse préalable concernant la propriété intellectuelle. Le site peut être développé sur une plateforme open source ou en mode propriétaire. Dans ce dernier cas, sous réserve du critère d’originalité, le site sera protégé par le droit d’auteur. Les développements appartiendront à leur auteur, à savoir en principe, au prestataire. Si la question de la propriété intellectuelle n’est pas visée dans les documents de commande ou dans le contrat, ou si les droits ne sont pas expressément cédés au client, celui-ci ne disposera que du droit d’utilisation du site, limité dans le temps.


                                                                      * * * * * * * * * * * *

(1) T com. Besançon, jugement du 23 mars 2016, LDG Constructions c. Mediacom Studio


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2016

lundi 5 décembre 2016

Audit de licences de logiciels - Oracle condamné en appel pour mauvaise foi et déloyauté

 

La cour d’appel de Paris, statuant sur l’appel du jugement du Tribunal de grande instance de Paris du 6 novembre 2014, a confirmé la condamnation de la société Oracle pour ses pratiques agressives en matière d’audit de licences de logiciels. (1)


1. Les faits : incertitude et désaccord sur le périmètre de la licence des logiciels

L’Association nationale pour la formation professionnelle des adultes (AFPA) a attribué en 2002 un marché de fourniture de services informatiques à l’intégrateur Sopra Group (devenu Sopra Steria), prestataire agréé de la société Oracle. Cette société avait remporté l’appel d’offres avec la solution Oracle E-Business Suite. Le marché a pris fin en 2005. Lors de la reprise des contrats par la société Oracle, celle-ci a décidé d’organiser deux audits de licences. Le second audit a été suspendu alors que l’AFPA lançait un nouvel appel d’offres, auquel la société Oracle a décidé de répondre. Le nouveau contrat ne lui ayant pas été attribué, la société Oracle a repris l’audit qu’elle avait suspendu. A l’issue de cet audit, Oracle a conclu que l’AFPA utilisait 885 licences du logiciel Purchasing sans en avoir acquis les droits car selon Oracle, ce logiciel faisait partie d’une autre suite logicielle.

Après deux ans de négociations infructueuses, les sociétés Oracle Corporation, Oracle International Corporation et Oracle France ont assigné l’AFPA pour contrefaçon du logiciel Purchasing pour lequel l’AFPA n’aurait pas acquis les droits d’exploitation. L’AFPA a alors appelé en garantie la société Sopra Group.


2. Le jugement du TGI : le litige n’est pas un litige de contrefaçon mais porte sur le périmètre du contrat et sur sa bonne ou sa mauvaise exécution


Devant le TGI, l’AFPA soutenait que les sociétés Oracle usaient de l’audit contractuel de manière abusive, “en les détournant de leur objectif, afin de faire pression sur l’AFPA pour la dissuader de faire appel à un concurrent au moment des périodes de renouvellement contractuel, ce afin de restreindre la concurrence sur le marché des solutions SGF et sur le marché connexe des SGBDR, ces pratiques ayant pour objet ou pour effet de restreindre la concurrence au sens des dispositions des articles L.420-2 du Code de commerce (…)”.

Par ailleurs, l’AFPA explique que le logiciel Purchasing était intégré dans la suite logicielle Financials, objet du premier marché de fourniture accordé à Sopra Group. L’AFPA indiquait en outre que si le tribunal devait en juger autrement, le contrat a toutefois été exécuté de bonne foi car le logiciel Purchasing avait été installé sur son système informatique par Sopra, prestataire agréé d’Oracle.

Les juges ont estimé que les sociétés Oracle “entretiennent un doute et une confusion sur ce qu’est réellement ce logiciel” : soit le logiciel n’entre pas dans le périmètre contractuel de l’AFPA et il n’aurait pas dû être livré, soit il est compris dans le contrat, puisqu’il a été fourni en exécution du bon de commande. Les juges concluent donc que “l’AFPA exploite le logiciel Purchasing sans aucune faute puisqu’il a été inclus dans les CD préparés par les sociétés Oracle elles-mêmes qui ont donc toujours compris et admis que le contrat incluait l’exploitation de ce logiciel.

Ainsi, selon les juges du fond, la question posée ne relevait pas du droit d'auteur, mais du droit des contrats. En effet, le tribunal a jugé qu’il "n’est à aucun moment soutenu que l’AFPA aurait utilisé un logiciel cracké ou implanté seule un logiciel non fourni par la société Sopra Group, ni même que le nombre de licences ne correspondait pas au nombre d’utilisateurs. En conséquence, le litige soumis au tribunal n’est pas un litige de contrefaçon mais bien un litige portant sur le périmètre du contrat et sur sa bonne ou sa mauvaise exécution."


3. La décision de la cour d’appel : la demande en contrefaçon est recevable, mais mal fondée ; Oracle a fait preuve de mauvaise foi et déloyauté
 
Dans un arrêt du 10 mai 2016, la cour d’appel de Paris va cependant infirmer le jugement sur le fondement de la demande, mais néanmoins retenir la responsabilité des société Oracle pour mauvaise foi et déloyauté.

Contrairement au TGI, la cour considère la demande en contrefaçon recevable, mais mal fondée et examine si l’AFPA et Sopra avaient manqué à leurs obligations contractuelles en installant et en utilisant le logiciel Purchasing. La cour a estimé "qu’en installant et en utilisant le module PO, se rattachant pour le moins au logiciel Purchasing et inclus dans le périmètre du marché Mosaïc, lequel a été dûment payé, la société Sopra Group et l’AFPA n’ont manqué à aucune de leurs obligations contractuelles ; qu’aucun acte de contrefaçon ne peut donc leur être reproché par la société Oracle International Corporation”.

La cour a en revanche retenu les demandes reconventionnelles en dommages-intérêts de l’AFPA et de Sopra pour avoir agi avec mauvaise foi et déloyauté envers ces deux organisations. Elle a estimé qu’Oracle avait profité à deux reprises de son droit contractuel de procéder à des audits, de manière à faire pression et obtenir la souscription de nouvelles licences incluses dans l’offre de 2001.

Les sociétés Oracle Corporation, Oracle International Corporation et Oracle France sont condamnées à verser 100.000 € à l’AFPA et la même somme à Sopra au titre des dommages-intérêts et 100.000 € à chacune au titre de l’article 700 (frais de procédure). L’arrêt fait l’objet d’un pourvoi en cassation.


    Comme rappelé dans notre précédent article sur cette affaire,(2) la complexité de certaines licences de logiciel, voire même de certains contrats SaaS, peut rendre la procédure d’audit de licence de logiciel très conflictuelle, entre un client-utilisateur de bonne foi et l’éditeur de logiciel, en désaccord sur le périmètre de la licence. Les utilisateurs font de plus en plus de résistance face aux audits ,qu’ils ressentent parfois comme abusifs, et n’hésitent plus à contester cette pratique, compte tenu des sommes en jeu. Les audits de licence sont néanmoins une pratique légitime des éditeurs et l’abus ou la mauvaise foi de l’éditeur devra pouvoir être prouvée en cas de poursuites judiciaires.


(1) CA Paris, pôle 5, ch. 1, arrêt du 10 Mai 2016, Oracle France, Oracle Corporation, Oracle International Corporation / AFPA, Sopra Steria Group

(2) Voir notre précédent article sur le sujet “La conduite et les conclusions des audits de licences de logiciel contestées en justice

jeudi 1 décembre 2016

Les apports de la loi pour une République numérique dans le domaine de la protection des données personnelles

Le droit de la protection des données évolue. Après la publication du règlement européen sur la protection des données (RGPD) le 27 avril dernier, (1) la loi pour une République numérique, adoptée le 7 octobre 2016 comporte plusieurs dispositions qui viennent modifier la loi Informatique et Libertés.(2) Certaines dispositions anticipent d’ailleurs l’entrée en vigueur du RGPD.

Nous faisons une synthèse ci-après des principales dispositions relatives aux données personnelles. Ces dispositions s’articulent sur deux axes : un renforcement des droits des personnes sur leurs données et un élargissement des pouvoirs et des compétences de la Commission nationale de l’informatique et des libertés (CNIL).


1. Les droits des personnes sur leurs données


    - Le principe de la maîtrise de ses données
La loi affirme le principe de la maîtrise par chaque individu de ses données. L’article 1er de la loi Informatique et Libertés comporte un nouvel alinéa qui dispose que “Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi.” Ce droit se retrouve dans plusieurs dispositions de la loi Informatique et Libertés qui évoluent dans ce sens.

    - Un droit à l’oubli pour les mineurs est désormais prévu, à l’article 40 II de la loi Informatique et libertés.
Ce droit est soumis à une procédure accélérée. Ainsi, lorsque la personne concernée était mineure au moment de la collecte des données, elle peut obtenir auprès des plateformes l’effacement de ses données dans les meilleurs délais, ou un délai maximum d’un mois. En l’absence de réponse de la plateforme, ou de réponse négative, dans un délai d’un mois, la personne peut saisir la CNIL qui dispose alors d’un délai de 3 semaines pour répondre.

    - Le sort des données personnelles après la mort de la personne concernée figure à l’article 40-1 de la loi Informatique et libertés.

Dans une décision du 8 juin 2016, le Conseil d’Etat a confirmé la position de la CNIL refusant de donner accès aux données à caractère personnel d’une employée décédée, à ses ayants droit. En l’espèce, les ayants droit d’une personne décédée en 2012 avaient demandé à son employeur de leur communiquer le relevé des appels téléphoniques passés par la défunte pendant le mois de juillet 2012, depuis sa ligne professionnelle, afin de connaître le nombre et la durée des échanges qu’elle avait eus avec le corps médical avant son décès. Suite au refus de l’employeur, ils avaient porté plainte auprès de la CNIL qui avait refusé de donner suite à leur demande. Selon l’article 2 de la loi Informatique et Libertés, la personne concernée par un traitement est celle à laquelle se rapportent les données. L’ayant droit d’une personne décédée ne peut donc pas être considéré comme la personne concernée, au sens de la loi Informatique et Libertés. (3)

La loi Informatique et Libertés a été modifiée afin que désormais chaque personne puisse donner des directives relatives à la conservation, à l'effacement et à la communication de ses données après son décès. Une personne peut être désignée pour exécuter ces directives. Celle-ci aura alors qualité, lorsque la personne concernée est décédée, pour prendre connaissance des directives et demander leur mise en œuvre aux responsables de traitement concernés.
Ces directives peuvent être générales, lorsqu’elles portent sur l’ensemble des données concernant une personne et peuvent être confiées à un tiers de confiance certifié par la CNIL.
Les directives peuvent être particulières, lorsqu’elles ne concernent que certains traitements de données. Elles peuvent alors être confiées aux responsables de traitement (réseaux sociaux, services ou site de commerce en ligne) qui les mettront en oeuvre lors du décès. La seule acceptation des conditions d’utilisation du site est insuffisante. Les modalités de mise en oeuvre sont soumises au consentement spécifique de la personne concernée.
En l'absence de directives données de son vivant par la personne concernée, ses héritiers pourront exercer certains droits, en particulier le droit d'accès, s'il est nécessaire pour le règlement de la succession du défunt et le droit d'opposition pour procéder à la clôture des comptes utilisateurs du défunt et s'opposer au traitement des données.

    - La possibilité d'exercer ses droits par voie électronique est prévue à l’article 43 bis de la loi Informatique et Libertés qui impose, "lorsque cela est possible", de permettre à toute personne l’exercice des droits d'accès, de rectification ou d'opposition par voie électronique, si le responsable du traitement des données les a collectées par ce vecteur.

    - Enfin, l’information des personnes sur la durée de conservation de leurs données est prévue par l’article 32 de la loi Informatique et Libertés.
Les responsables de traitements doivent désormais informer les personnes de la durée de conservation des données traitées ou, en cas d'impossibilité, des critères utilisés permettant de déterminer cette durée.


2. L’élargissement des pouvoirs et des compétences de la CNIL

    - Le renforcement des pouvoirs de sanction de la CNIL
Le montant maximal des sanctions pouvant être imposées par la CNIL est revu à la hausse et passe de 150.000 € à 3 millions €. Ce nouveau plafond reste cependant en deçà des dispositions du RGPD qui prévoit un plafond pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires mondial.

La formation restreinte de la CNIL pourra désormais ordonner que les organismes sanctionnés informent individuellement chacune des personnes concernées de la sanction, à leur frais.

La CNIL pourra également prononcer des sanctions financières sans mise en demeure préalable des organismes lorsque le manquement constaté ne peut faire l'objet d'une mise en conformité.

    - Un rôle consultatif plus systématique
La CNIL sera saisie pour avis sur tout projet de loi ou de décret relatifs à la protection ou au traitement des données à caractère personnel. L’objectif de cette disposition est de permettre à la CNIL d’apporter son expertise aux pouvoirs publics de manière plus systématique.

Les avis de la CNIL sur les projets de loi seront automatiquement publiés, dans un but de transparence.

    - Des compétences étendues pour la CNIL
Elle hérite ainsi de nouvelles missions, à savoir :
- la promotion de l’utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données ;
- la certification de la conformité des processus d’anonymisation des données personnelles dans la perspective de leur mise en ligne et de leur réutilisation (ouverture des données publiques - open data). L’anonymisation des bases de données est en effet une condition essentielle à leur ouverture ou à leur partage ;
- la conduite d’une réflexion sur les problèmes éthiques et les questions de société soulevés par l’évolution des technologies numériques.


                                                  * * * * * * * * * * * *

(1) Pour rappel, le RGPD deviendra applicable dans l’Union européenne à partir du 25 mai 2018

(2) Loi n°2016-1321 du 7 octobre 2016 pour une République numérique

(3) CE, 9é et 10é ch. réunies, décision du 8 juin 2016, M.-Mme D c/ Banque de France


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2016

vendredi 11 novembre 2016

Nouvelles obligations d’information des utilisateurs par les plateformes de mise en relation par voie électronique

La loi de finances pour 2016 instaure de nouvelles obligations déclaratives à la charge des plateformes de vente en ligne, depuis le 1er juillet 2016. Ces obligations s’appliquent aux sites de mise en relation entre acheteurs et vendeurs, à savoir les sites permettant la vente d’un bien, la fourniture d’un service ou l’échange ou partage d’un bien ou d’un service, tels que Leboncoin, Airbnb, Uber ou Blablacar par exemple. 

Bien que les revenus issus de ces activités soient en principe soumis à l’impôt sur le revenu, les vendeurs déclarent très rarement.

Ces nouvelles obligations se déclinent de la manière suivante :

1 - Tout d’abord, les plateformes doivent d’une part fournir une information “loyale, claire et transparente” concernant les obligations fiscales et sociales qui incombent aux utilisateurs lors de chaque transaction réalisée par l’intermédiaire du site. Ces informations sont par ailleurs disponibles sur le site de l’administration fiscale. Un lien vers les sites des administrations devra figurer sur la plateforme afin de permettre aux vendeurs de se conformer à leurs obligations.

2 - Chaque année, au mois de janvier, les plateformes devront adresser aux vendeurs un document récapitulant le montant brut des transactions qu’ils ont perçu, par leur intermédiaire, au cours de l’année précédente, dont elles ont connaissance.

3 - Enfin, avant le 15 mars de chaque année (la première fois, le 15 mars 2017), les plateformes devront faire certifier par un tiers indépendant le respect des obligations susvisées (information des utilisateurs et envoi des documents récapitulatifs) et communiquer ce certificat par voie électronique à l’administration fiscale. L’absence de communication de ce certificat est passible d’une amende de 10.000 euros, sauf si l’exploitant de la plateforme envoie le certificat dans un délai de 30 jours.

Ces obligations s’appliquent d’une part aux entreprises, quel que soit le lieu de leur établissement, qui exploitent un site à destination du marché français, d’autre part aux utilisateurs résidant en France ou qui réalisent des ventes ou des prestations de services en France.

                                                                   * * * * * * * * * * * *

(1) CGI, articles 242 bis et 1731 ter. ; LPF, articles L.102 AD et L.80 P

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2016

mardi 21 juin 2016

Nouvelle convention fiscale de non double imposition entre la France et Singapour : les conditions de retenue à la source pour les prestations de services

Une société étrangère fournissant des prestations - y compris des services de consultant, des prestations de développement de logiciel ou de sites web, des services de Cloud computing, etc. à une entreprise située à Singapour (à savoir une société de droit singapourien ou une société de droit étranger disposant d’un établissement stable à Singapour) est en principe soumise à une retenue à la source (ou "withholding tax") de 15% pour les revenus réalisés à Singapour. (1)

Cette retenue à la source est applicable aux prestations réalisées par la société étrangère sur le territoire de Singapour. En revanche, si les prestations sont réalisées à distance, en dehors de Singapour, et que les résultats sont ensuite envoyés ou mis à disposition au client à Singapour, les revenus ne seront pas soumis à cette retenue à la source.

La retenue à la source peut être réduite, voire supprimée, s’il existe une convention fiscale entre Singapour et le pays de la société fournissant la prestation de service.

La république de Singapour a signé plusieurs conventions de non double imposition avec des pays étrangers, dont la France.

Une nouvelle convention évitant les doubles impositions entre Singapour et la France est entrée en vigueur le 1er juin 2016. Cette convention remplace une convention plus ancienne, datant du 9 septembre 1974. (2)

Ainsi, pour des entreprises françaises du secteur IT qui fourniraient des prestations à des sociétés singapouriennes, l’application de la convention de non double imposition signifie que, sous réserve que la société française n’ait pas d’établissement stable à Singapour (tel que défini à l’article 5 de la convention), les revenus réalisés et facturés par cette société française seront imposés en France, et non à Singapour. La société singapourienne qui paiera les prestations (redevances) au prestataire français n’aura pas à appliquer de retenue à la source, sous réserve de remplir les conditions sus-mentionnées. (3)

Singapour est un partenaire commercial d’importance pour la France. Un nombre croissant de sociétés françaises choisissent Singapour, souvent comme “hub” et point d’entrée dans le marché de l’ASEAN, pour développer leurs activités vers l’Asie. Le renouvellement de cette convention de non double imposition entre les deux pays devrait être perçu comme une incitation à l’accélération de leurs relations commerciales bilatérales.

Pour toute question fiscale spécifique, notamment concernant les problèmes de retenue à la source, de TVA et de GST, il est recommandé de consulter un avocat fiscaliste.


                                                                 * * * * * * * * * * *

N.B. : dans ce court article, nous nous concentrons sur les sociétés de services et la problématique de la retenue à la source. On notera cependant que la convention fiscale couvre de nombreux domaines non abordés ici.

(1) Le taux applicable dépend du service fourni et du type de paiement. Pour de plus amples informations, il est recommandé de se rendre sur le site du Inland Revenue Authority of Singapore (www.iras.gov.sg)

(2) Convention entre le gouvernement de la République française et le gouvernement de la République de Singapour tendant à éviter les doubles impositions et à prévenir l’évasion fiscale en matière d’impôts sur les revenus, conclue le 15 janvier 2015 et entrée en vigueur le 1er juin 2016. La précédente convention avait été conclue le 9 septembre 1974 et était entrée en vigueur le 1er août 1975.

(3) Voir l’article article 7 par.1 de la Convention, “Bénéfices des entreprises”



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2016

mardi 31 mai 2016

Adoption du Règlement européen sur la protection des données personnelles : le compte à rebours de la mise en conformité a commencé


Après plus de quatre ans de discussions au niveau européen, le règlement général sur la protection des données (ou RGPD) a enfin été promulgué le 27 avril 2016. Le règlement sera applicable dans tous les Etats membres dans deux ans, à partir du 25 mai 2018. (1) Le compte à rebours de la mise en conformité a donc commencé à courir pour tous les organismes en charge de traitements de données à caractère personnel.

Il convient de noter que ce règlement fait partie d’une réforme globale de la législation européenne sur la protection des données (le “paquet sur la protection des données”) comprenant également une directive sur les données traitées par les autorités policières et judiciaires européennes.


1. Le RGPD, socle du droit européen des données personnelles

Le RGPD a pour effet d’abroger la directive 95/46 CE du 24 octobre 1995 sur la protection des données personnelles. Ce texte, qui s’appliquera uniformément dans l’Union européenne,  constituera le socle de base en matière de réglementation des données personnelles en Europe, avec un ensemble unique de règles (à quelques exceptions près).

Le RGPD s’appuie sur le droit existant de la protection des données personnelles. Ainsi, les principes relatifs aux traitements de données à caractère personnel, notamment les principes de licéité, de loyauté et transparence des traitements, les principes de finalité déterminée, d’adéquation des traitements, de conservation pour une durée limitée et de sécurité des données sont rappelés à l’article 5.

Toutefois, compte tenu des évolutions techniques et comportementales intervenues depuis la directive d’octobre 1995, il était important d’adapter la réglementation et de mettre en place des règles plus homogènes au sein de l’Union européenne. Il s’agit cependant d’un texte complexe, comprenant 173 considérants et 99 articles, quand la directive ne comprenait que 34 articles.

Nous faisons un point ci-dessous sur les principales dispositions du RGPD, concernant les droits des personnes d’une part, puis les droits des entreprises d’autre part.


2. RGPD et droits des personnes

Concernant les droits des personnes, plusieurs dispositions du RGPD ont pour effet de renforcer les droits existants sur leurs données personnelles. Les principales évolutions concernent notamment :

    - Le renforcement des conditions de l’obtention du consentement des personnes (art. 7): les termes relatifs au consentement doivent être rédigés de manière claire et explicite. La personne concernée pourra à tout moment revenir sur son consentement. La charge de la preuve de l’obtention du consentement repose sur le responsable de traitement qui devra être en mesure de démontrer que la personne concernée a donné son consentement au traitement de données la concernant.

    - La modification du droit à l’information dans le sens de la transparence et de la simplification (art. 12, 13 et 14) : l’information doit être concise, claire, compréhensible et facilement accessible. Elle doit être rédigée en termes clairs et simples, en particulier lorsqu’elle est destinée aux enfants.

    - Le règlement consacre le “droit à l’oubli numérique” (ou droit à l’effacement), comme défini par la Cour de justice de l’Union européenne dans son arrêt “Google Spain” du 13 mai 2014. (art. 17) La personne concernée a le droit de demander au responsable de traitement la suppression de ses données personnelles dans les meilleurs délais. La suppression est cependant soumise à un certain nombre de conditions (notamment concernant le droit à l’information) et n’est pas automatique. Ces conditions et limites au droit à l’oubli sont définies par la jurisprudence depuis 2014.

    - Le droit à la portabilité des données est un nouveau droit pour les personnes (art. 20). Sauf conditions particulières, celles-ci pourront demander au responsable de traitement de récupérer ou transmettre leurs données personnelles collectées pour transfert à un nouveau responsable de traitement (par exemple, transferts entre services similaires proposés par des concurrents). Afin d’éviter les blocages ou le contournement de cette obligation, le responsable de traitement doit communiquer les données dans un format structuré, couramment utilisé et lisible par la machine.

    - Enfin, le règlement consacre le principe d’une protection spécifique des données personnelles des mineurs de moins de 16 ans (art. 8). Les enfants utilisent de plus en plus les services internet pour communiquer (réseaux sociaux, tchat, SMS, MMS). Le RGPD reconnaît la nécessité d’accorder une protection particulière à leurs données. Le 38é considérant dispose que les enfants doivent bénéficier d’une protection spécifique dans le cadre de l’utilisation de leurs données personnelles à des fins de marketing ou de création de profils utilisateurs. Lorsque des services en ligne sont destinés aux enfants, les traitements de données de mineurs de moins de 16 ans (ou 13 ans dans les Etats membres qui ont fixé cette limite d’âge) seront soumis à l’accord ou l’autorisation de la personne exerçant l’autorité parentale. Le responsable de traitement devra mettre en oeuvre des moyens “raisonnables”, prenant en compte les technologies disponibles, pour s’assurer du caractère effectif de l’accord parental.


3. RGPD et droits des responsables de traitement

Concernant les droits des responsables de traitement (entreprises et autres organismes traitant des données personnelles), on notera une simplification des formalités, mais des obligations plus strictes à leur égard. Par ailleurs, le plafond des sanctions est nettement plus élevé que dans la réglementation actuelle. Les principales évolutions concernent notamment :

    - Le recours aux traitements automatisés et aux techniques de profilage - qui prennent un nouvel essor avec le déploiement des techniques liées au Big data notamment, sera encadré (art. 22). Ces traitements seront autorisés sous certaines conditions et si la personne a donné son consentement.

    - Le responsable de traitement devra déployer des règles internes claires et facilement accessibles afin de garantir et démontrer le respect de la réglementation en matière de recensement des traitements, de sécurité, et le cas échéant d’accomplissement des formalités préalables et de désignation d’un délégué à la protection des données (notion d’“accountability”) (art. 5 et 24).

    - Lors du développement de nouveaux produits ou services, les responsables de traitement devront intégrer par défaut la protection des données personnelles dans la définition des moyens de traitement et dans le traitement lui-même (principe de “protection de la vie privée dès la conception” ou “privacy by design”) (art. 5 et 25).

    - Le règlement crée la notion de co-responsables de traitement (art. 26) afin de prendre en compte l’évolution des techniques, et notamment l’essor des services de Cloud computing, pour lesquels l’entité qui collecte les données ne contrôle plus nécessairement les moyens de traitement de ces données. Deux responsables de traitement peuvent donc co-exister, à savoir, d’une part l’entité qui collecte et utilise les données, et d’autre part, l’entité qui détermine les moyens techniques du traitement (souvent, l’hébergeur ou le prestataire de services Cloud, sous-traitant de l’entité qui collecte les données). En cas de co-responsabilité, les co-responsables de traitement devront déterminer les périmètres respectifs de leur responsabilité dans le cadre de la mise en oeuvre de leurs obligations, notamment vis-à-vis des personnes. Les sous-traitants voient donc leur responsabilité reconnue au même titre que celle de leur client. Il s’agit d’un régime de responsabilité conjointe.

    - Le règlement supprime l’obligation de déclaration préalable d’un traitement de données,  (art. 30) sauf en cas de transfert de données hors de l’Union européenne pour lequel un régime spécifique a été instauré. En contrepartie, le responsable de traitement est tenu (i) soit de tenir un registre interne recensant les traitements mis en œuvre, (ii) soit de se conformer à une consultation préalable de l’autorité de supervision pour les cas où la mise en place des traitements a nécessité une étude d’impact et comporte des risques particuliers.

    - Le règlement prévoit des règles de sécurité accrues pour la protection des données à caractère personnel, en étendant l’obligation de notification des failles de sécurité à tous les responsables de traitement (art. 5, et 32 à 34). Actuellement, cette obligation ne s’impose qu’aux opérateurs de communications électroniques et aux opérateurs d’importance vitale (OIV).

    - Un délégué à la protection des données devra être désigné dans les entreprises ayant pour “activité de base” la gestion de données personnelles “à grande échelle” ou le contrôle et suivi du comportement des personnes (art. 37, 38 et 39). Le délégué à la protection des données (qui remplacera le correspondant informatique et libertés - CIL en France) devra être compétent en droit et en matière de protection des données personnelles. Il pourra être salarié du responsable de traitement ou du sous-traitant ou être externe à l’entreprise.

    - Les règles de transfert des données hors Union européenne évoluent peu (art. 44 à 50). Le principe reste l’interdiction de transférer des données personnelles en dehors de l’Union européenne, vers des pays n’offrant pas un niveau de protection adéquat, sauf si l’un des outils permettant de protéger les données est mis en place entre le responsable de traitement européen et son sous-traitant ou sa filiale (clauses contractuelles-types définies par la Commission européenne, règles d’entreprise contraignantes (“Binding corporate rules” - BCR), ou code de conduite).

    - Les entreprises présentes dans plusieurs Etats membres désigneront une autorité de contrôle comme autorité principale compétente, notamment en cas de litige (art. 56). Cette autorité de contrôle principale sera compétente sur la base du critère de l’établissement principal, entendu comme le lieu où sont prises les principales décisions quant aux finalités, conditions et moyens de traitement de données à caractère personnel.

    - Le règlement prévoit un pouvoir de sanction par les autorités de contrôle plus large et dissuasif (art. 83). Selon le type de violation retenu, les autorités de contrôle pourront prononcer des amendes administratives pouvant s’élever soit à 10 millions d’euros ou 2% du chiffre d’affaires total mondial de l’entreprise pour l’exercice précédent, le montant le plus élevé étant retenu, soit à 20 millions d’euros ou 4% du chiffre d’affaires total mondial de l’entreprise pour l’exercice précédent.

Enfin, il convient de noter que le RGPD a vocation à s’appliquer non seulement au sein de l’Union européenne, mais qu’il produira également des effets extra-territoriaux (art. 3 et 27). Ainsi, le règlement s’appliquera :
    - aux responsables de traitement situés dans l’Union, que le traitement soit réalisé ou non sur le territoire de l’Union européenne, et
    - aux traitements de données personnelles de citoyens et résidents d’un pays membre, réalisés par un responsable de traitement ou un sous-traitant non situé dans l’UE, dès lors que l’offre de produits ou de services cible le marché européen. Certaines entreprises non-européennes risquent donc de devoir se conformer au RGPD.


Les entreprises disposent de cette période de transition de deux ans pour préparer leur mise en conformité juridique et opérationnelle. Cette mise en conformité implique une mise à niveau des conditions d’utilisation et des politiques de protection des données des services proposés ainsi que ses politiques internes de protection des données applicables aux salariés. Certaines obligations demandent une mise à niveau opérationnelle. Enfin, certains types de traitements nécessiteront une mise à niveau technique (preuve du recueil du consentement, notamment pour les traitements de données de mineurs).

En France, la loi Informatique et Libertés ne disparaîtra pas pour autant, mais son périmètre d’application sera réduit aux traitements des autorités publiques et à certains traitements de santé.


                                                              * * * * * * * * * * * *

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)


Bénédicte DELEPORTE – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2016

samedi 7 mai 2016

Hébergement de données de santé : les modifications apportées par la loi du 26 janvier 2016

Le Code de la santé publique dispose que toute personne prise en charge par un professionnel ou un établissement de santé a droit au respect de sa vie privée et au secret des informations la concernant. Les professionnels de santé, ainsi que ceux intervenant dans le système de santé, sont soumis au secret médical (art. L.1110-4 CSP).

Les professionnels de santé sont également tenus de respecter les obligations relatives aux traitements de données à caractère personnel, en leur qualité de responsable du traitement. Parmi ces obligations, la sécurité des données de santé constitue un impératif.

Les données de santé à caractère personnel sont considérées comme des informations sensibles, soumises à un haut niveau de sécurité, physique et technique, a fortiori en cas d’hébergement par un prestataire tiers.

Depuis l’entrée en vigueur de la loi “Kouchner” de 2002, les prestataires hébergeurs de données de santé doivent être agréés. La loi du 26 janvier 2016 de modernisation de notre système de santé a apporté un certain nombre de modifications à l’article L.1111-8 du Code de la santé publique relatif à l’hébergement de données de santé. Le périmètre des données, et les catégories de personnes concernées par l’hébergement agréé, ont été élargies. L’obligation d’agrément est maintenue et renforcée. (1)


1. L’élargissement des catégories de données et des parties concernées

Les données de santé hébergées par un prestataire tiers, doivent l’être chez un hébergeur agréé. La loi santé du 26 janvier 2016 a modifié le périmètre des catégories de données de santé concernées par cette obligation.

Qu’entend-on par “donnée de santé” ?
On entend généralement par “donnée de santé” les informations relatives à l'état de santé (tant physique que psychique) d'un patient, recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins du patient. Il s’agit de données à caractère personnel, dont la collecte et le traitement sont régis par les dispositions de la loi Informatique et Libertés, complétée en l’espèce par le Code de la santé publique (CSP).(2)

Bien que la collecte et le traitement de données de santé à caractère personnel soit interdit par principe, il existe en pratique de nombreuses exceptions, notamment pour les cas de collecte par les professionnels et établissements de santé, les services médico-sociaux, mais également la collecte et le traitement par des organismes tiers, tels les compagnies d’assurance et sociétés mutuelles.

Les catégories de données concernées par l’hébergement agréé :
Dans son ancienne rédaction, l’article L.1111-8 al.1 du CSP disposait que les données de santé à caractère personnel “recueillies ou produites à l’occasion des activités de prévention, de diagnostique ou de soins” étaient concernées par cette obligation d’hébergement agréé. Or, si la question était claire pour les données de santé recueillies par les professionnels et les établissement de santé (médecins, infirmiers, hôpitaux et cliniques), la situation était plus confuse pour les autres acteurs pouvant intervenir, même à titre accessoire, dans le domaine de la santé.

Cette ambigüité est levée avec la nouvelle rédaction de l’article L.1111-8 qui étend les catégories de données concernées et inclut désormais les données recueillies à l’occasion du “suivi social et médico-social”.

Les parties concernées par l’hébergement agréé :
Selon l’ancien article L.1111-8 al.1 du CSP les professionnels de santé, les établissements de santé et la personne concernée étaient les seules parties explicitement visées par cette obligation.  Une question se posait pour les autres organismes amenés à collecter des données de santé.

Le nouvel article ne précise plus les personnes concernées par la collecte et le traitement, et suit la doctrine de la CNIL et du Comité d'agrément des hébergeurs de donnés de santé (CAH). Ceci signifie qu’en pratique, toute personne physique ou morale qui collecte et/ou traite des données de santé à caractère personnel et souhaite les faire héberger par un tiers, est soumise à l’obligation d’avoir recours à un hébergeur agréé.

Ainsi, non seulement les médecins et autres professionnels de santé (professions para-médicales), les établissements de santé (hôpitaux et cliniques) restent concernés mais également le cas échéant, les compagnies d’assurance et les mutuelles (collecte et traitement de données de santé dans le cadre de leur procédure d’octroi de prêts, assurance-vie, contrats de prévoyance, remboursement de frais de santé, etc.), les maisons de retraite (EHPAD - suivi de l’état de santé des résidents), les services de santé au travail (état de santé des salariés), les fédérations sportives (aptitude physique des licenciés à la pratique du sport).

Le stockage de données en interne et le stockage mutualisé :
Il convient de noter que les parties qui collectent et traitent des données de santé sans hébergement tiers ne sont pas soumises à l’agrément. Ainsi, un établissement hospitalier qui stockerait les données de ses patients sur ses propres serveurs en interne n’est pas concerné par l’obligation d’agrément. En revanche, si cet établissement stockait non seulement ses propres données de santé, mais également celles d’établissements ou de médecins tiers, il s’agira pour ces données, d’une prestation d’hébergement tiers soumise à l’agrément. De même, les établissements de coopération sanitaire (Groupements de coopération sanitaire, Communautés hospitalières, etc.) qui mettent leur système d’hébergement à la disposition de leurs membres sont soumis à la procédure d’agrément. (3)

L’information de la personne prise en charge :
Par ailleurs, le consentement exprès de la personne concernée (patient, personne prise en charge) pour l’hébergement externalisé de ses données n’est plus requis. Répondant à une contrainte pratique, la personne prise en charge doit être “dûment informée” et ne pourra s’opposer à l’hébergement externalisé de ses données “que pour un motif légitime”.


2. L’agrément de l’hébergeur de données de santé : une obligation maintenue et renforcée

On soulignera que l’ancienne rédaction de l’article L.1111-8 al.1 du CSP faisait peser l’obligation du dépôt de données de santé chez un hébergeur agréé sur les déposants (professionnels et établissements de santé), en qualité de responsables de traitement. Or, la nouvelle rédaction met désormais l’accent non plus sur les déposants, mais sur le prestataire, précisant que la personne qui héberge des données de santé doit être agréée à ce effet. Il en ressort donc un infléchissement de la responsabilité vers le prestataire d’hébergement.

Les conditions de l’agrément :
Seuls les prestataires hébergeurs agréés sont habilité à héberger des données de santé à caractère personnel. L’agrément est délivré après une évaluation des capacités des prestataires candidats, portant sur les aspects financiers, éthiques et de sécurité de leur activité.

Les conditions de l’agrément n’ont pas changé avec la loi du 26 janvier 2016. Celles-ci ont été fixées par deux décrets de 2006 et 2011, codifiés aux articles R.1111-9 et suivants du CSP, et précisées par l’ASIP-Santé.

Le délai de traitement de la demande d’agrément est de cinq à huit mois. L’agrément est prononcé par le ministre chargé de la santé, après avis de la CNIL et du Comité d'agrément des hébergeurs de donnés de santé. L’agrément est délivré pour une durée de trois ans. Il peut être retiré en cas de non-conformité de l’hébergeur aux obligations légales, réglementaires ou aux prescriptions fixées par l’agrément. (4)

Il existe actuellement 92 hébergeurs agréés, dont la liste à jour figure sur le site de l’ASIP-Santé. (5)

Le contrat d’hébergement de données de santé :
L’hébergement de données de santé à caractère personnel doit faire l’objet d’un contrat, conclu entre l’hébergeur et le déposant des données (professionnel ou établissement de santé, etc.). Le modèle de contrat est communiqué par le prestataire avec son dossier de demande d’agrément. Ce contrat doit comprendre, a minima, les conditions listées à l’article R.1111-13.

A l’issue de la prestation d’hébergement des données de santé, l’hébergeur restitue les données à la personne qui les lui a confiées sans en garder de copie. Le contrat d’hébergement prévoit les “prestations à la fin de l’hébergement”, à savoir, les conditions de la réversibilité de la base de données à la personne qui les lui a confiées ou au nouveau prestataire d’hébergement.

L’hébergement en dehors du territoire français :
L’obligation de recourir à un hébergeur agréé pour l’hébergement de données de santé recueillies en France peut produire des effets extra-territoriaux. En effet, selon l’ASIP-Santé, rien ne s’oppose à ce qu’une base de données de santé à caractère personnel soit hébergée en dehors du territoire français. Cependant, l’hébergeur étranger est tenu de respecter les conditions légales et réglementaires applicables en France, notamment en matière d’agrément.

De même, les hébergeurs étrangers qui seraient amenés à proposer une prestation d’hébergement de données de santé en France devront s’assurer que leur activité est conforme à la réglementation française.

En outre, en cas de transfert des données de santé à caractère personnel en dehors de l’Union européenne, les parties devront par ailleurs respecter dispositions de la loi Informatique et Libertés applicables. Il conviendra notamment d’être vigilant en cas d’hébergement des données en mode Cloud. (6)


                                                           * * * * * * * * * * * *

(1) Loi n°2016-41 du 26 janvier 2016 de modernisation de notre système de santé et plus particulièrement, voir article 96, codifié sous l’article L.1111-8 du Code de la santé publique

(2) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée, et concernant les données de santé, l’article 8 ; Loi n°2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de soins (dite “Loi Kouchner”) ; Articles L.1110-4, L.1111-7, L.1111-8, R.1110-1, R.1111-1 et suivants du Code de la santé publique; Articles 226-16 et suivants du Code pénal.

(3) FAQ Asip-Santé

(4) Décret n°2006-6 du 4 janvier 2006 relatif à l'hébergement de données de santé à caractère personnel et modifiant le code de la santé publique (dispositions réglementaires) ; Décret n°2011-246 du 4 mars 2011 relatif à l'hébergement de données de santé à caractère personnel sur support papier et modifiant le code de la santé publique et articles R. 1111-9 et suivants du CSP.

(5) http://esante.gouv.fr/services/referentiels/securite/hebergeurs-agrees

(6) Voir également nos précédents articles sur ce sujet publiés sur le blog du Cabinet: “L’hébergement de données de santé en Cloud soumis à des contraintes particulières” et “Données de santé : des obligations de sécurité spécifiques pour les professionnels de santé


Bénédicte DELEPORTE – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2016

jeudi 10 mars 2016

Transferts de données personnelles vers les Etats-Unis : un bouclier de protection des données pour remplacer la sphère de sécurité



Dans un arrêt rendu le 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) décidait d’invalider les règles du Safe Harbor, en vigueur depuis juillet 2000, permettant aux entreprises européennes travaillant avec des entreprises américaines ayant adhéré aux principes du Safe Harbor de transférer légalement des données personnelles vers les Etats-Unis. (1) Ces transferts de données peuvent concerner par exemple les transferts de fichiers entre les sociétés d’un même groupe situées de part et d’autre de l’Atlantique, ou les transferts entre une société européenne et un prestataire situé aux Etats-Unis (hébergeur ou service cloud par exemple).

Pour rappel, les transferts de données personnelles en dehors de l’Union européenne restent par principe interdits, sauf quelques exceptions, alors que depuis la directive du 24 octobre 1995 sur la protection des données personnelles, les entreprises peuvent librement transférer les données personnelles d’un Etat membre à un autre sans formalités particulières. (2)

Depuis cet arrêt du 6 octobre 2015, la Commission européenne et les Etats-Unis ont négocié en vue d'établir un nouveau cadre pour mieux protéger les transferts de données à caractère personnel de citoyens européens vers les Etats-Unis. L'objectif de la Commission était de conclure ces discussions avant fin janvier 2016. (3) Un accord de principe a été conclu début février 2016 et le 29 février, le texte de l’accord, dénommé “Privacy Shield” (ou “Bouclier de protection des données”) a été publié.

Nous faisons un point ci-dessous sur les principes applicables au nouvel accord Privacy Shield puis revoyons les autres “outils” juridiques à la disposition des entreprises européennes qui doivent transférer des données personnelles vers les Etats-Unis.


1. Les principes régissant l’accord Privacy Shield

Le texte du nouvel accord Privacy Shield (“Bouclier de protection des données UE-US” ou “EU-US Privacy Shield arrangement”), relatif aux transferts de données personnelles entre les Etats-membres de l’Union et les Etats-Unis a été publié le 29 février dernier. (4)

L’objectif des principes constitutifs du Privacy Shield est de fournir des normes de protection pour les données de citoyens européens transférées aux Etats-Unis, équivalentes aux normes en vigueur au sein de l’Union européenne. Notamment, avec le nouvel accord Privacy Shield, les autorités ont voulu pallier les carences relevées dans les principes de Safe Harbor et mettre un terme à la pratique de surveillance de masse par les services de sécurité américains, révélée au cours de l’affaire Snowden.

Les principales dispositions de l’accord Privacy Shield, qui diffèrent des principes de Safe Harbor,  peuvent être résumées ainsi :

- Les entreprises qui adhéreront au Privacy Shield seront soumises à des obligations strictes accompagnées de mécanismes de surveillance, afin de garantir le respect de leurs engagements ;

- L’accès aux données personnelles par les autorités américaines sera encadré et transparent. L’accès généralisé aux données est expressément interdit ;

- Plusieurs mécanismes de recours sont mis en place. En effet, l’un des problèmes soulevés avec les principes de Safe Harbor était l’absence de possibilité pour les citoyens européens de s’adresser à une instance aux Etats-Unis en cas de non-respect de ses engagements de protection des données par l’entreprise concernée. Désormais, les citoyens européens disposeront des moyens de recours suivants :
    (i) un mécanisme de médiation au sein du Département d’Etat (State Department). Ce service de médiation sera notamment indépendant des services de sécurité américains ;
    (ii) la possibilité de s’adresser aux entreprises américaines concernées adhérentes au Privacy Shield, en cas de contestation ou de problème sur leurs données personnelles. Celles-ci devront apporter une réponse dans un délai de 45 jours ;
    (iii) un mécanisme de règlement extrajudiciaire des litiges sera disponible, sans frais ;
    (iv) la possibilité de s'adresser à leur autorité de protection des données (telle que la CNIL). Chaque autorité de protection communiquera avec la Federal Trade Commission (FTC ou Commission fédérale du commerce) pour que les plaintes déposées soient examinées et réglées.     (v) Enfin, un mécanisme d’arbitrage sera disponible en dernier ressort.
Par ailleurs, les entreprises américaines pourront volontairement s’engager à se conformer aux conseils émis par les autorités de protection des données. En revanche, il s’agira d’une obligation pour les entreprises traitant des données de ressources humaines.

- Enfin, l’accord de Privacy Shield comprend un mécanisme de réexamen annuel conjoint entre la Commission européenne et le ministère américain du commerce, ainsi que des experts nationaux du renseignement travaillant au sein des autorités américaines et européennes de protection des données. Ce réexamen annuel aura pour objet de contrôler le fonctionnement du Privacy Shield, et notamment le respect des engagements concernant l'accès aux données à des fins d'ordre public et de sécurité nationale.

Pour autant, ce nouvel accord n’est pas encore applicable. La Commission européenne doit donner son avis sur la décision d’adéquation de cet accord, conformément à l’article 31 de la directive de 1995 sur la protection des données personnelles. (5) En effet, sans cette décision d’adéquation - qui signifie que la Commission estime que les données transférées en vertu du Privacy Shield sont considérées comme bénéficiant d’un niveau de protection adéquat au regard du droit européen, les entreprises européennes ne peuvent pas encore transférer de données personnelles à des entreprises américaines qui prétendraient se conformer à ces principes.

L’évaluation de l’accord de Privacy Shield sera réalisé par les membres du G29, au regard non seulement de la directive de 1995 sur la protection des données personnelles, mais également de la décision Schrems de la CJUE du 6 octobre 2015 (ayant invalidé le Safe Harbor), de la lettre du G29 à la Commission européenne sur le Safe Harbor du 10 Avril 2014, et plus généralement de la jurisprudence européenne sur les droits fondamentaux et du document de travail du G29 sur les transferts de données à caractère personnel vers des états tiers.

En attendant, les entreprises devant mettre en place des procédures de transfert de données vers les Etats-Unis peuvent utiliser d’autres moyens à leur disposition.


2. Les autres “outils” juridiques permettant le transfert de données personnelles vers les Etats-Unis

En attendant la publication de la décision d’adéquation du Privacy Shield de la Commission européenne, les entreprises européennes qui doivent transférer des données vers les Etats-Unis peuvent mettre en place des solutions juridiques alternatives. Pour rappel, trois solutions peuvent être mises en oeuvre : les Clauses contractuelles types (CCT), le contrat privé et les Binding corporate rules (BCR) au sein d’un groupe multinational.

Les Clauses contractuelles types sont relativement simples à mettre en oeuvre, sous réserve d’identifier le modèle de contrat applicable et le faire signer, en l’état, par chacune des parties. Toutefois, en cas de modification des Clauses contractuelles, le document devra alors être envoyé à l’autorité de protection des données pour validation.

La solution du contrat, rédigé par les parties et adapté aux transferts de données envisagés, peut être favorisée. Solution plus flexible et adaptée que les Clauses contractuelles types, il est cependant nécessaire de prendre en compte leur coût, et le fait que ces contrats sont soumis à une demande d’autorisation à l’autorité de protection. Cette solution peut être utilisée entre deux partenaires commerciaux ou entre les sociétés d’un même groupe (alternative aux BCR).

Enfin, la solution des Binding corporate rules - BCR (ou “règles d’entreprise contraignantes”) ne peut être déployée que dans le cadre d’un groupe multinational et n’est pas une alternative pour les relations avec des partenaires commerciaux ou prestataires de services tiers. Les BCR sont assez lourdes à mettre en place : plusieurs mois de travail pour leur élaboration, puis leur approbation par une autorité de protection des données, avant de pouvoir être déployées dans le groupe. Cependant, une fois la procédure autorisée et déployée, ce système a le mérite de la stabilité.

Il convient de rappeler qu’en cas de transferts non autorisés de données vers un pays tiers, les sanctions encourues en cas de non respect de la réglementation sur la protection des données personnelles peuvent atteindre 300.000 euros d’amende et 5 ans d’emprisonnement.


                                                               * * * * * * * * * * * *

(1) CJUE, grande ch., 6 octobre 2015, Maximillian S. / Data Protection Commissioner

(2) voir notre article “Quelles mesures pour le transfert de données personnelles vers les Etats-Unis après l’invalidation des règles du Safe Harbor par la CJUE ?” publié en novembre 2015

(3) Communiqué de la Commission européenne du 6 novembre 2015, “La Commission publie des orientations sur les transferts transatlantiques de données et appelle à définir rapidement un nouveau cadre à la suite de l'arrêt rendu dans l'affaire Schrems”.

(4) Communiqué de la Commission européenne du 29 février 2016 “La Commission européenne présente le paquet «bouclier de protection des données UE-États-Unis»: des garanties solides pour restaurer la confiance dans les transferts transatlantiques de données”

(5) Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2016

jeudi 18 février 2016

Drones et concurrence déloyale : illustration d’un conflit entre un nom commercial, des noms de domaine et une marque

Dans un jugement du 13 novembre 2015, le Tribunal de grande instance de Paris s’est prononcé sur une affaire opposant deux sociétés concurrentes sur le marché des drones civils. Le litige portait sur l’utilisation du terme « Droneshop ».

1. Le contexte

Dans cette affaire, un professionnel avait enregistré le nom de domaine Vizionair.fr en mai 2010, puis avait lancé son site e-commerce en octobre 2010, proposant à la vente des drones professionnels sous le nom commercial « Droneshop ». L’exploitant du site web avait ensuite déposé le nom de domaine Ladroneshop.com en octobre 2012, et avait fait immatriculer sa société sous la dénomination Vizion’Air en janvier 2013.

Parallèlement, un autre professionnel avait enregistré les noms de domaine Droneshop.fr et Droneshop.com en 2011. Le site e-commerce Droneshop.com proposait notamment à la vente des drones professionnels et de loisirs. Le professionnel a ensuite fait immatriculer sa société sous la dénomination Minigroup en octobre 2012, puis a enregistré deux marques composées du terme Droneshop en juillet et novembre 2013.

La première société, Vizion’Air, a alors pris la décision d’engager une action en justice à l’encontre de la société Minigroup, sur le fondement de la concurrence déloyale. Elle estimait, en effet, que son concurrent avait usurpé le nom commercial Droneshop, qui était utilisé par la demanderesse depuis 2010, soit antérieurement au dépôt et à l’enregistrement des noms de domaine et des marques Droneshop par la société Minigroup.

La société Vizion’Air estimait en outre que l’exploitation du site Droneshop.com, par la société Minigroup, était de nature à générer un risque de confusion dans l’esprit du public, dès lors que les consommateurs pouvaient croire que les produits étaient vendus par la même société, les activités des sociétés Vizion’Air et Minigroup étant similaires.

A ce titre, la société Vizion’Air réclamait le paiement de 100.000€ de dommages et intérêts pour préjudice d’image ; l’interdiction faite à la société Minigroup - sous astreinte – d’utiliser de quelque manière que ce soit le terme droneshop et d’exploiter le nom de domaine Droneshop.com ; l’annulation des marques Droneshop et enfin, le transfert du nom de domaine Droneshop.com à son profit.

2. Le jugement du Tribunal de grande instance de Paris

Le TGI de Paris a débouté la société Vizion’Air de toutes ses demandes.

Dans un premier temps, la juridiction a rappelé que « les signes distinctifs d’une société (une raison sociale ou un nom commercial) autres que ceux auxquels sont attachés des droits de propriété intellectuelle (ex : une marque), constituent des antériorités opposables à ceux, identiques ou similaires, déposés postérieurement pour des produits identiques ou similaires, qui génèrent un risque de confusion dans l’esprit du public ».

Dès lors, selon les juges, l’absence d’enregistrement d’une marque par la société Vizion’Air (contrairement à son concurrent) ne pose pas a priori de difficulté si elle peut démontrer l’antériorité de l’utilisation de son nom commercial Droneshop.

Or, le Tribunal a constaté que la société Vizion’Air utilisait de manière effective, pour les besoins de son activité, le nom commercial Droneshop et ce depuis octobre 2010. Ainsi, la société Vizion’Air semblait légitime à s’opposer à l’usage des noms de domaine Droneshop.fr et Droneshop.com, déposés postérieurement à l’utilisation de son nom commercial. De même, elle semblait légitime à s’opposer à l’usage des marques Droneshop, enregistrées postérieurement à son nom commercial Droneshop et son nom de domaine Ladroneshop.com.

Toutefois, le Tribunal ne fera pas droit aux demandes de la société Vizion’Air. En effet, les juges rappellent que les signes distinctifs d’une société, en l’espèce le nom commercial et le nom de domaine de la société Vizion’Air, doivent pour constituer une antériorité opposable, être distinctifs à l’égard des produits et services exploités.

Le caractère distinctif signifie que le signe doit être arbitraire et indépendant des produits ou services qu’il représente, et non descriptif. Par exemple, sont dépourvus de caractère distinctif : les signes ou dénominations qui, dans le langage courant, sont exclusivement la désignation nécessaire, générique ou usuelle du produit ou du service.

Selon le Tribunal, le signe litigieux (Droneshop) est constitué de deux termes accolés : “drone” qui désigne en français, un petit aéronef sans pilote, télécommandé ou pourvu d’un pilotage automatique, et “shop” signifiant magasin en anglais, terme largement compris par le consommateur français. Le premier terme désigne ainsi la nature des produits offerts à la vente, et le second fait référence au lieu de commercialisation. Aussi, « bien que n’étant pas un mot usuel ou générique, puisque composé d’un mot français et d’un mot anglais, la juxtaposition de ces deux termes est purement descriptive de l’activité exploitée et ne permet pas une identification de l’entreprise concernée afin de la distinguer des autres entreprises du même secteur ». Il en va de même du nom de domaine Ladroneshop.com.

Le Tribunal en conclut que ces deux signes ne constituent pas des antériorités opposables ; ils ne peuvent ainsi faire l’objet d’une quelconque appropriation et donc d’aucune revendication de la part de la société Vizion’Air.

En conclusion, cette décision rappelle que même sans titre de propriété intellectuelle (telle qu’une marque enregistrée), une entreprise a la possibilité de revendiquer des droits sur un signe distinctif (ex : dénomination ou nom commercial). Toutefois, il ne suffit pas de prouver l’antériorité de ce signe, il convient également de démontrer son caractère distinctif.

                                                     * * * * * * * * * * *

(1) Tribunal de grande instance de Paris, 3ème chambre, 3ème section, 13 novembre 2015, Société Vizion’Air c/ Société Minigroup.


Betty SFEZ 

Avocat

Deleporte Wentz Avocat
http://www.deleporte-wentz-avocat.com

Février 2016