Prospection commerciale : la CNIL confirme sa position en matière de collecte de données et de réutilisation de fichiers de prospects

 

Ce qu’il faut retenir

Après les amendes prononcées en 2022 et 2023 à l’encontre de responsables de traitement, la CNIL affirme sa jurisprudence en matière de constitution et d’utilisation de fichiers de prospects par les “data brokers” et les annonceurs. Deux nouvelles amendes ont été prononcées à l’encontre d’un courtier en données et d’un annonceur, mettant l’accent sur la validité du consentement et sur la responsabilité des sociétés réutilisatrices des bases de données.

 

Lire la suite de l'article :  https://www.deleporte-wentz-avocat.com/actualite-prospection-commerciale-la-cnil-confirme-sa-position-en-matiere-de-collecte-de-donnees-et-de-reutilisation-de-fichiers-de-prospects

Jeux vidéo : gérer les droits d'auteur pour sécuriser leur exploitation commerciale

 

Ce qu’il faut retenir

Le jeu vidéo est qualifié juridiquement d’oeuvre complexe. Globalement protégé par le droit d’auteur, chaque élément du jeu (logiciel, base de données, gameplay, musique, …) est soumis au régime qui lui est applicable en fonction de sa nature. La sécurisation de son exploitation commerciale par le studio de développement implique une bonne gestion des droits des différents contributeurs.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-jeux-video-gerer-les-droits-d-auteur-pour-securiser-leur-exploitation-commerciale

Gérer et protéger ses données à l’ère du numérique : un impératif de bonne gouvernance pour l’entreprise

Le constat n’est plus neuf : nous vivons désormais dans une économie de la donnée (ou de l’information). Ainsi, un article récemment publié dans l’hebdomadaire The Economist était intitulé “The world’s most valuable resource is no longer oil, but data” (la ressource la plus précieuse dans le monde n’est plus le pétrole, mais la donnée). (1)

Nous vivons également dans une société du partage, où internet, les réseaux sociaux et les sites de “peer-to-peer” remettent en cause la notion de propriété, qu’il s’agisse de la propriété des données, ou la propriété intellectuelle.

 

Une grande partie des données produites ou collectées par les entreprises (données de savoir-faire, données économiques, données personnelles) reste protégée, et leur divulgation non-autorisée est sanctionnée. Toutefois, l’entreprise doit mettre en oeuvre les moyens adéquats pour que cette protection soit effective, sous peine de voir son image de marque dégradée, de perdre des marchés, ou même de voir sa responsabilité engagée en cas d’atteinte à la sécurité des données personnelles de ses salariés et clients. Or, de grands volumes de données confidentielles se retrouvent en accès libre ou à la vente sur internet. La fuite de données peut engager la responsabilité de la personne à l’origine de cette fuite (ou vol de données), mais aussi celle du responsable du traitement en cas de fuite de données personnelles.

Dans le présent article, nous identifions les différentes catégories de données protégées et les règlementations qui leur sont applicables, puis compte tenu des risques juridiques, économiques et technologiques engendrés par les fuites de données, nous rappelons la nécessité de définir et déployer une politique de gouvernance des données et de l’information au sein de l’entreprise. (2)

1. Différentes catégories de données soumises à des règlementations distinctes

Les données produites et collectées par les entreprises sont de natures diverses. Celles-ci comprennent notamment les données industrielles (informations et données relatives aux produits et services développés et commercialisés par l’entreprise, à ses procédés de production, à son savoir-faire spécifique, les brevets, les dessins et modèles), les données économiques (données financières, les marques), les données commerciales (listes de clients, contrats), enfin, les données personnelles des salariées et des clients et prospects.

Même si toutes ces données ne sont pas nécessairement protégées, l’ensemble des données de l’entreprise relèvent de son identité ou de sa spécificité et permettent de la distinguer de ses concurrentes. Plus particulièrement, dans une économie de marché, son savoir-faire lui permet de créer un avantage concurrentiel, économique et industriel, qui peut être sévèrement altéré en cas de violation de ces données.

            1.1 L’évolution de la protection juridique des secrets d’affaires

Une première catégorie de données concerne les secrets d’affaires.

La valeur, et donc la protection des secrets d’affaires, repose en grande partie sur la confidentialité.

Les secrets d’affaires sont protégés en droit français, notamment sur le fondement de la concurrence déloyale, lorsqu’il peut être démontré qu’une personne (concurrent, salarié) a utilisé des données ou informations d’une entreprise A au bénéfice d’une entreprise B, et au détriment de la première. L’entreprise A, (victime du “vol” de données) doit toutefois prouver le détournement de ses données (par exemple, son fichier clients) et pouvoir démontrer un préjudice commercial (baisse de chiffre d’affaires, atteinte à son image de marque), en lien avec le détournement de données.

Suivant le type d’atteinte en cause, des poursuites pénales peuvent également être engagées sur les fondements suivants :

            - la violation du secret professionnel (art. 226-13 du code pénal : “La révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15 000 euros d’amende.”),

            - la violation du secret des correspondances (art. 226-15 : “Le fait, commis de mauvaise foi, d'ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d'en prendre frauduleusement connaissance, est puni d'un an d'emprisonnement et de 45 000 euros d'amende.

Est puni des mêmes peines le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie électronique ou de procéder à l'installation d'appareils de nature à permettre la réalisation de telles interceptions.”),

            - l’abus de confiance (art. 314-1 : “(…) le fait par une personne de détourner, au préjudice d'autrui, des fonds, des valeurs ou un bien quelconque qui lui ont été remis et qu'elle a acceptés à charge de les rendre, de les représenter ou d'en faire un usage déterminé.

L'abus de confiance est puni de trois ans d'emprisonnement et de 375 000 euros d’amende.”),

            - l’atteinte ou le maintien frauduleux dans un système de traitement automatisé de données (STAD), (art. 323-1 : “Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 60 000 € d’amende.”) (3),

            - l’usurpation d’identité numérique, par des actions de phishing par exemple, (art. 226-4-1 : “Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15.000 € d’amende.

Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne.”) (4).

Des poursuites peuvent aussi être engagées sur le fondement du vol, de l’escroquerie, de la contrefaçon (voir ci-dessous).

Cependant, la protection des secrets d’affaires est aujourd’hui imparfaite, tant en droit français, qu’à l’international. En effet, chaque pays tend à avoir sa propre définition de la notion de “secrets d’affaires” et ne leur accorde pas le même niveau de protection. Des améliorations étaient donc nécessaires.

Plusieurs propositions de lois relatives à la protection des secrets d’affaires ont été déposées en France, entre 2009 et 2015. La dernière tentative remonte au projet de loi pour la croissance (loi “Macron" (5), dans lequel un chapitre sur la protection du secret des affaires avait été proposé, sans suite.

Finalement, au niveau européen, la directive sur la protection des savoir-faire et des secrets d’affaires a été adoptée le 8 juin 2016. (6) L’objet de cette directive est d’établir une définition “homogène” du secret d’affaires, élaborée de façon à couvrir non seulement le savoir-faire, mais aussi les informations commerciales et technologiques, sous réserve de leur valeur commerciale et de l’intérêt à les garder confidentiels.

Le secret d’affaires est défini comme comprenant : “des informations qui répondent à toutes les conditions suivantes :

a) elles sont secrètes en ce sens que, dans leur globalité ou dans la configuration et l'assemblage exacts de leurs éléments, elles ne sont pas généralement connues des personnes appartenant aux milieux qui s'occupent normalement du genre d'informations en question, ou ne leur sont pas aisément accessibles,

b) elles ont une valeur commerciale parce qu'elles sont secrètes,

c) elles ont fait l'objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes." (7)

La directive sur les secrets d’affaires doit être transposée dans les droits des Etats membres au plus tard le 9 juin 2018.

            1.2 Les développements et inventions protégés par le droit de la propriété intellectuelle et industrielle

Les données et informations de l’entreprise comprennent également des documents, produits et services qui font partie intégrante de son savoir-faire, et sont protégés par le droit de la propriété intellectuelle. Il peut s’agir de documents produits par la société, de logiciels, de bases de données, de produits pouvant être protégés par le droit des dessins et modèles et/ou par le droit des brevets, sous réserve évidemment de remplir les conditions requises pour bénéficier de cette protection.

Contrairement aux secrets d’affaires, les données et informations protégées par le droit de la propriété intellectuelle ne sont pas confidentielles et ont vocation à être diffusées et/ou commercialisées. Toutefois, leur diffusion ne doit pas pour autant porter atteinte à leur protection juridique.

Pour rappel, l’utilisation des logiciels et des bases de données est soumise à des conditions de licence (même pour les logiciels open source) ; la reproduction et la réutilisation de documents est généralement soumise à l’autorisation préalable de leur auteur (ou de l’entreprise au sein de laquelle ces documents ont été développés) ; et la fabrication de produits brevetés par un tiers est également soumise à des accords contractuels.

L’utilisation, la reproduction, la diffusion non autorisée d’oeuvres protégées par le droit de la propriété intellectuelle relève de la contrefaçon. (8) En droit français, le délit de contrefaçon est sanctionné par une amende maximale de 300.000 euros et puni de trois ans d’emprisonnement.

            1.3 Les données à caractère personnel

Enfin, les données à caractère personnel ont leur propre régime de protection, avec la loi Informatique et Libertés en France, bientôt remplacée par le Règlement général européen sur la protection des données (RGPD), devant entrer en application le 26 mai 2018. (9)

Les données à caractère personnel sont définies comme toutes données pouvant identifier une personne physique, directement ou indirectement. Ces données comprennent les nom, prénoms, adresse, date de naissance, numéros de téléphone, de sécurité sociale, de compte bancaire, les données de biométrie (empreintes digitales, voix), etc.

Les données à caractère personnel sont la “propriété” de leurs titulaires. Les entreprises collectent toutes des données personnelles, qu’il s’agisse des données de leurs employés ou des données de leurs clients et prospects, ou dans le domaine de la santé, des données de patients. Or, en qualité de responsables de traitement de ces données, les entreprises sont soumises à des obligations de protection des données, qui recouvrent notamment l’obligation d’intégrité des données, de confidentialité et de sécurité.

Ainsi, l’entreprise, responsable de traitement est tenue de protéger les données personnelles contre la perte, la destruction ou les dégâts d’origine accidentelle pouvant intervenir.

Le RGPD comprend une série de règles strictes, incombant au responsable du traitement, concernant la sécurité des données, sous réserve “de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques.”

Cette obligation de sécurité couvre les données elles-mêmes, les moyens techniques pour assurer leur conservation et leur accessibilité, et les règles d’accès.

Ainsi, l’article 32 du RGPD dispose que “1. (…) le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

            a) la pseudonymisation et le chiffrement des données à caractère personnel ;

            b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

             c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;

            d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. (…)

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, (…).”

En cas de violation de données à caractère personnel, et dès lors que cette violation est susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, le responsable du traitement est tenu de notifier la violation à l'autorité de contrôle compétente (en France, la CNIL) dans les meilleurs délais. (art 33 du RGPD)

Toute violation des dispositions relatives à la sécurité des données (articles 32 et suivants du RGDP) est passible d’une amende administrative d’un montant maximum de 10.000.000 d’euros ou 2% du chiffre d’affaires annuel mondial de l’entreprise. (art 83 du RGPD)

Compte tenu des risque commerciaux et industriels, ainsi que des risques de mise en cause de la responsabilité de l’entreprise, il est donc impératif de définir et déployer des mesures de protection des données et des secrets d’affaires de l’entreprise.

2. Comment protéger l’entreprise : la mise en oeuvre d’une politique de gouvernance des données

L’entreprise se doit de protéger ses données contre leur divulgation non autorisée et/ou non maîtrisée.

La divulgation non autorisée des données peut non seulement avoir pour conséquence des pertes de marché dues à la perte des avantages industriels et commerciaux de l’entreprise ; mais comme nous l’avons vu ci-dessus, celle-ci peut également voir sa responsabilité engagée en sa qualité de responsable de traitement, en cas de divulgation non autorisée de données à caractère personnel.

Les cas de fuites de données peuvent être dus à des actes malveillants. Ils sont aussi trop souvent dus à des négligences au sein de l’entreprise, telles que l’absence de politique de gestion des informations, des systèmes d’information (SI) défaillants (pare-feux non à jour, mauvaise gestion des droits d’accès aux équipements et des mots de passe).

            2.1 Définir la politique de protection des données de l’entreprise

A l’ère de l’open space, de l’aplanissement de la pyramide hiérarchique et de la fin du management en silos, la définition d’une politique rigoureuse de gouvernance des données reste indispensable, et ce quelle que soit la taille de l’entreprise. En effet, tous les collaborateurs et intervenants de l’entreprise n’ont pas vocation à avoir accès à toutes les données de l’entreprise.

Les risques de divulgation d’informations sont multiples et comprennent par exemple :

            - la communication non autorisée par des employés, ex-employés, consultants, intérimaires, stagiaires, ou prestataires, à des tiers (clients, concurrents, …), que cette communication soit malveillante ou négligente,

            - les discussions ou réunions d’affaires entre collègues, et les entretiens téléphoniques, dans des espaces publics (restaurant, train, avion),

mais aussi, tous détournements de nature informatique, tels que :

            - les fuites de données sur internet (serveurs non ou mal protégés), et les cyberattaques informatiques (hacking), ou

            - le détournement frauduleux de données suite à des campagnes de phishing. (10)

Les différentes parties prenantes de l’entreprise doivent contribuer à la définition de la politique de gouvernance des données : la direction des systèmes d’information (DSI), mais également les directions juridique, financières, RH, marketing, ventes, le cas échéant R&D.

La sensibilisation doit comprendre des règles relatives à la destruction (suppression) de documents, et des règles absolues relatives à l’interdiction de mettre des données et informations en ligne, sur des systèmes ouverts.

Enfin, il convient d’être particulièrement attentif à la gestion des départs de l’entreprise et des fins de contrats, afin de minimiser les fuites de données (secrets d’affaires, listes de clients, listes de contrats, etc.).

Cette politique pourra comporter une charte de gouvernance des données qui, telle que la charte informatique, devrait être distribuée et signée par chaque collaborateur et intervenant dans l’entreprise. L’objet de ce document est de sensibiliser chaque collaborateur à la valeur des données et du savoir-faire de l’entreprise. L’entreprise peut même compléter cette action de sensibilisation avec un tutoriel consacré à la bonne gestion des données.

            2.2 Définir les règles techniques de protection des données de l’entreprise

La politique de protection des données de l’entreprise doit également comprendre des règles techniques. Celles-ci se recoupent largement avec les règles devant figurer dans la charte informatique de l’entreprise.

Ces règles comprennent notamment :

            - la gestion des identifiants et des mots de passe,

            - la clôture des comptes utilisateur dès le départ d’un employé, consultant, etc.,

            - les règles applicables à l’utilisation, par les intervenants dans l’entreprise (employés, consultants), de leurs propres appareils - ou politique de BYOD (Bring your own device),

mais également les règles applicables aux collaborateurs de la DSI :

            - une obligation de confidentialité renforcée,

            - les règles de mise en oeuvre des nouvelles versions des logiciels utilisés, y compris des pare-feux,

            - les règles applicables à l’utilisation des services en cloud et des accès à ces services,

            - les conditions d’accès (physique et technique) aux serveurs, etc.

Des volumes massifs de données confidentielles, secrets d’affaires mais aussi données personnelles, dérobées, copiées, voire même fuitées, se retrouvent sur internet, en accès libre ou stockées dans le “dark web” et disponibles à la revente par des malfaiteurs. La mise en oeuvre, au sein de l’entreprise, d’une politique robuste de protection des données a une double finalité : sensibiliser les collaborateurs à la valeur du savoir-faire et des données de leur entreprise, et minimiser les fuites de données. La définition et la mise en oeuvre d’une politique de protection des données est enfin un moyen pour l’entreprise, et ses dirigeants, de limiter leur responsabilité en cas de violation de données personnelles. 

                                                                        * * * * * * * * * * * *  

(1) “The world’s most valuable resource is no longer oil, but data” in The Economist, 6 mai 2017

(2) Pour rappel, une “donnée” est généralement considérée comme un élément brut, non interprété ; alors qu’une “information” est une donnée interprétée, analysée. Les textes ne font pas nécessairement la distinction entre ces deux notions et nous utilisons ici le terme donnée pour couvrir indifféremment les notions de donnée et d’information.

(3) Loi n°88-19 du 5 janvier 1988, dite Loi Godfrain, modifiée par la loi n°2012-410 du 27 mars 2012 relative à la protection de l'identité

(4) Loi n°2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure

(5) Loi n°2015-990 du 6 août 2015 pour la croissance, l’activité et l’égalité des chances économiques (Loi “Macron”)

(6) Directive (UE) 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d'affaires) contre l'obtention, l'utilisation et la divulgation illicites

(7) Directive du 8 juin 2016, art 2. Définitions

(8) La contrefaçon est définie à l’article L335-2 du code de la propriété intellectuelle

(9) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD)

(10) Voir à ce sujet “Le facteur humain est de plus en plus au coeur des cyberattaques”, in L’Usine Digitale, 9 juin 2017

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2017
 

Hébergement de données de santé : les modifications apportées par la loi du 26 janvier 2016

Le Code de la santé publique dispose que toute personne prise en charge par un professionnel ou un établissement de santé a droit au respect de sa vie privée et au secret des informations la concernant. Les professionnels de santé, ainsi que ceux intervenant dans le système de santé, sont soumis au secret médical (art. L.1110-4 CSP).

Les professionnels de santé sont également tenus de respecter les obligations relatives aux traitements de données à caractère personnel, en leur qualité de responsable du traitement. Parmi ces obligations, la sécurité des données de santé constitue un impératif.

Les données de santé à caractère personnel sont considérées comme des informations sensibles, soumises à un haut niveau de sécurité, physique et technique, a fortiori en cas d’hébergement par un prestataire tiers.

Depuis l’entrée en vigueur de la loi “Kouchner” de 2002, les prestataires hébergeurs de données de santé doivent être agréés. La loi du 26 janvier 2016 de modernisation de notre système de santé a apporté un certain nombre de modifications à l’article L.1111-8 du Code de la santé publique relatif à l’hébergement de données de santé. Le périmètre des données, et les catégories de personnes concernées par l’hébergement agréé, ont été élargies. L’obligation d’agrément est maintenue et renforcée. (1)


1. L’élargissement des catégories de données et des parties concernées

Les données de santé hébergées par un prestataire tiers, doivent l’être chez un hébergeur agréé. La loi santé du 26 janvier 2016 a modifié le périmètre des catégories de données de santé concernées par cette obligation.

Qu’entend-on par “donnée de santé” ?
On entend généralement par “donnée de santé” les informations relatives à l'état de santé (tant physique que psychique) d'un patient, recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins du patient. Il s’agit de données à caractère personnel, dont la collecte et le traitement sont régis par les dispositions de la loi Informatique et Libertés, complétée en l’espèce par le Code de la santé publique (CSP).(2)

Bien que la collecte et le traitement de données de santé à caractère personnel soit interdit par principe, il existe en pratique de nombreuses exceptions, notamment pour les cas de collecte par les professionnels et établissements de santé, les services médico-sociaux, mais également la collecte et le traitement par des organismes tiers, tels les compagnies d’assurance et sociétés mutuelles.

Les catégories de données concernées par l’hébergement agréé :
Dans son ancienne rédaction, l’article L.1111-8 al.1 du CSP disposait que les données de santé à caractère personnel “recueillies ou produites à l’occasion des activités de prévention, de diagnostique ou de soins” étaient concernées par cette obligation d’hébergement agréé. Or, si la question était claire pour les données de santé recueillies par les professionnels et les établissement de santé (médecins, infirmiers, hôpitaux et cliniques), la situation était plus confuse pour les autres acteurs pouvant intervenir, même à titre accessoire, dans le domaine de la santé.

Cette ambigüité est levée avec la nouvelle rédaction de l’article L.1111-8 qui étend les catégories de données concernées et inclut désormais les données recueillies à l’occasion du “suivi social et médico-social”.

Les parties concernées par l’hébergement agréé :
Selon l’ancien article L.1111-8 al.1 du CSP les professionnels de santé, les établissements de santé et la personne concernée étaient les seules parties explicitement visées par cette obligation.  Une question se posait pour les autres organismes amenés à collecter des données de santé.

Le nouvel article ne précise plus les personnes concernées par la collecte et le traitement, et suit la doctrine de la CNIL et du Comité d'agrément des hébergeurs de donnés de santé (CAH). Ceci signifie qu’en pratique, toute personne physique ou morale qui collecte et/ou traite des données de santé à caractère personnel et souhaite les faire héberger par un tiers, est soumise à l’obligation d’avoir recours à un hébergeur agréé.

Ainsi, non seulement les médecins et autres professionnels de santé (professions para-médicales), les établissements de santé (hôpitaux et cliniques) restent concernés mais également le cas échéant, les compagnies d’assurance et les mutuelles (collecte et traitement de données de santé dans le cadre de leur procédure d’octroi de prêts, assurance-vie, contrats de prévoyance, remboursement de frais de santé, etc.), les maisons de retraite (EHPAD - suivi de l’état de santé des résidents), les services de santé au travail (état de santé des salariés), les fédérations sportives (aptitude physique des licenciés à la pratique du sport).

Le stockage de données en interne et le stockage mutualisé :
Il convient de noter que les parties qui collectent et traitent des données de santé sans hébergement tiers ne sont pas soumises à l’agrément. Ainsi, un établissement hospitalier qui stockerait les données de ses patients sur ses propres serveurs en interne n’est pas concerné par l’obligation d’agrément. En revanche, si cet établissement stockait non seulement ses propres données de santé, mais également celles d’établissements ou de médecins tiers, il s’agira pour ces données, d’une prestation d’hébergement tiers soumise à l’agrément. De même, les établissements de coopération sanitaire (Groupements de coopération sanitaire, Communautés hospitalières, etc.) qui mettent leur système d’hébergement à la disposition de leurs membres sont soumis à la procédure d’agrément. (3)

L’information de la personne prise en charge :
Par ailleurs, le consentement exprès de la personne concernée (patient, personne prise en charge) pour l’hébergement externalisé de ses données n’est plus requis. Répondant à une contrainte pratique, la personne prise en charge doit être “dûment informée” et ne pourra s’opposer à l’hébergement externalisé de ses données “que pour un motif légitime”.


2. L’agrément de l’hébergeur de données de santé : une obligation maintenue et renforcée

On soulignera que l’ancienne rédaction de l’article L.1111-8 al.1 du CSP faisait peser l’obligation du dépôt de données de santé chez un hébergeur agréé sur les déposants (professionnels et établissements de santé), en qualité de responsables de traitement. Or, la nouvelle rédaction met désormais l’accent non plus sur les déposants, mais sur le prestataire, précisant que la personne qui héberge des données de santé doit être agréée à ce effet. Il en ressort donc un infléchissement de la responsabilité vers le prestataire d’hébergement.

Les conditions de l’agrément :
Seuls les prestataires hébergeurs agréés sont habilité à héberger des données de santé à caractère personnel. L’agrément est délivré après une évaluation des capacités des prestataires candidats, portant sur les aspects financiers, éthiques et de sécurité de leur activité.

Les conditions de l’agrément n’ont pas changé avec la loi du 26 janvier 2016. Celles-ci ont été fixées par deux décrets de 2006 et 2011, codifiés aux articles R.1111-9 et suivants du CSP, et précisées par l’ASIP-Santé.

Le délai de traitement de la demande d’agrément est de cinq à huit mois. L’agrément est prononcé par le ministre chargé de la santé, après avis de la CNIL et du Comité d'agrément des hébergeurs de donnés de santé. L’agrément est délivré pour une durée de trois ans. Il peut être retiré en cas de non-conformité de l’hébergeur aux obligations légales, réglementaires ou aux prescriptions fixées par l’agrément. (4)

Il existe actuellement 92 hébergeurs agréés, dont la liste à jour figure sur le site de l’ASIP-Santé. (5)

Le contrat d’hébergement de données de santé :
L’hébergement de données de santé à caractère personnel doit faire l’objet d’un contrat, conclu entre l’hébergeur et le déposant des données (professionnel ou établissement de santé, etc.). Le modèle de contrat est communiqué par le prestataire avec son dossier de demande d’agrément. Ce contrat doit comprendre, a minima, les conditions listées à l’article R.1111-13.

A l’issue de la prestation d’hébergement des données de santé, l’hébergeur restitue les données à la personne qui les lui a confiées sans en garder de copie. Le contrat d’hébergement prévoit les “prestations à la fin de l’hébergement”, à savoir, les conditions de la réversibilité de la base de données à la personne qui les lui a confiées ou au nouveau prestataire d’hébergement.

L’hébergement en dehors du territoire français :
L’obligation de recourir à un hébergeur agréé pour l’hébergement de données de santé recueillies en France peut produire des effets extra-territoriaux. En effet, selon l’ASIP-Santé, rien ne s’oppose à ce qu’une base de données de santé à caractère personnel soit hébergée en dehors du territoire français. Cependant, l’hébergeur étranger est tenu de respecter les conditions légales et réglementaires applicables en France, notamment en matière d’agrément.

De même, les hébergeurs étrangers qui seraient amenés à proposer une prestation d’hébergement de données de santé en France devront s’assurer que leur activité est conforme à la réglementation française.

En outre, en cas de transfert des données de santé à caractère personnel en dehors de l’Union européenne, les parties devront par ailleurs respecter dispositions de la loi Informatique et Libertés applicables. Il conviendra notamment d’être vigilant en cas d’hébergement des données en mode Cloud. (6)


                                                           * * * * * * * * * * * *

(1) Loi n°2016-41 du 26 janvier 2016 de modernisation de notre système de santé et plus particulièrement, voir article 96, codifié sous l’article L.1111-8 du Code de la santé publique

(2) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée, et concernant les données de santé, l’article 8 ; Loi n°2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de soins (dite “Loi Kouchner”) ; Articles L.1110-4, L.1111-7, L.1111-8, R.1110-1, R.1111-1 et suivants du Code de la santé publique; Articles 226-16 et suivants du Code pénal.

(3) FAQ Asip-Santé

(4) Décret n°2006-6 du 4 janvier 2006 relatif à l'hébergement de données de santé à caractère personnel et modifiant le code de la santé publique (dispositions réglementaires) ; Décret n°2011-246 du 4 mars 2011 relatif à l'hébergement de données de santé à caractère personnel sur support papier et modifiant le code de la santé publique et articles R. 1111-9 et suivants du CSP.

(5) http://esante.gouv.fr/services/referentiels/securite/hebergeurs-agrees

(6) Voir également nos précédents articles sur ce sujet publiés sur le blog du Cabinet: “L’hébergement de données de santé en Cloud soumis à des contraintes particulières” et “Données de santé : des obligations de sécurité spécifiques pour les professionnels de santé”

Bénédicte DELEPORTE – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2016

Utilisation de bases de données par un métamoteur de recherche externe : les conditions de licéité rappelées par la CJUE

Dans une décision du 19 décembre 2013, la Cour de justice de l’Union européenne (CJUE) a rappelé les conditions d’utilisation d’un métamoteur de recherche dédié pour que celui-ci ne soit pas considéré comme enfreignant les droits des exploitants des bases de données. (1)

Le litige opposait deux sociétés néerlandaises : la société Innoweb, qui exploite un métamoteur de recherche dédié dans le domaine de la vente automobile (gaspedaal.nl), à la société Wegener, qui exploite un site web d’annonces de vente de voitures d’occasion (autotrack.nl).

La société Wegener, considérant qu’Innoweb portait atteinte à ses droits d’exploitant de base de données par la mise à disposition d’un métamoteur de recherche, a assigné cette dernière afin de mettre fin à l’atteinte à ses droits. Wegener a obtenu gain de cause pour la plupart de ses demandes en première instance. La société Innoweb a fait appel. La cour a alors décidé de poser une série de questions préjudicielles à la Cour de justice de l’Union européenne portant sur l’étendue de la protection des bases de données dans le cadre d’une utilisation par un métamoteur de recherche dédié.

Après avoir rappelé les conditions de la protection juridique d’une base de données, nous verrons comment ces conditions ont été appliquées à l’utilisation d’un métamoteur de recherche dédié.


1. Les sites de petites annonces protégés par le droit des bases de données

Les sites de petites annonces constituent des bases de données, protégées juridiquement.

- La protection juridique des bases de données : un droit sui generis
La directive européenne du 11 mars 1996 a consacré un droit sui generis de la protection des bases des données, indépendant de la protection par le droit d’auteur, et essentiellement axé sur la protection des droits patrimoniaux du fabricant, ou producteur, de bases de données.

Considérant en effet que le développement d’une base de données implique généralement un investissement humain et financier conséquent, sa protection juridique permet au fabricant de limiter ou d’interdire toute extraction ou réutilisation non autorisée des données. L’utilisation de la base dans sa totalité ou une partie substantielle, ou de manière répétée et systématique (par exemple, liste d’abonnés aux pages jaunes, catalogue de produits d’un site de e-commerce ou liste de petites annonces), est soumise à l’autorisation (contrat de licence) de l’ayant-droit, accordée en principe contre rémunération.

En revanche, toutes les bases de données ne sont pas automatiquement protégées. Seules les bases de données dont la collecte de données, leur vérification ou la présentation du contenu attestent un investissement, qualitatif ou quantitatif, substantiel sont protégées juridiquement.

- Les notions d’extraction et de réutilisation des données
Concernant les bases de données protégées, la directive définit les notions d’extraction et de réutilisation comme suit :

“extraction” signifie “le transfert permanent ou temporaire de la totalité ou d'une partie substantielle du contenu d'une base de données sur un autre support par quelque moyen ou sous quelque forme que ce soit” ;

“réutilisation” signifie “toute forme de mise à la disposition du public de la totalité ou d'une partie substantielle du contenu de la base par distribution de copies, par location, par transmission en ligne ou sous d'autres formes (…)”

La directive précise ensuite que “l'extraction et/ou la réutilisation répétées et systématiques de parties non substantielles du contenu de la base de données qui supposeraient des actes contraires à une exploitation normale de cette base, ou qui causeraient un préjudice injustifié aux intérêts légitimes du fabricant de la base, ne sont pas autorisées.” (3)

A contrario, l’utilisation d’une base de donnés par un tiers à des fins de consultation ponctuelle par exemple, n’est pas considérée comme portant atteinte aux droits du producteur.


2. Les conditions d'une utilisation licite des bases de données par un métamoteur de recherche

- Les questions posées à la CJUE
Un site web proposant un métamoteur de recherche peut-il être utilisé, sans l’accord des fabricants des bases de données référencées, pour réutiliser du contenu d’une base de données accessible en ligne en procédant, en temps réel, à des recherches dans la totalité ou une partie substantielle du contenu de ces bases de données tierces ?

Si le métamoteur de recherche ne renvoie aux utilisateurs qu’une partie minime du contenu de la base de données tierce, ou la fait apparaître sur son site web selon sa propre présentation et que les actes de recherche sont répétés en permanence, une telle utilisation du métamoteur correspond-elle alors à une réutilisation répétée et systématique de parties non substantielles du contenu de la base de données, contraire aux intérêts du fabricant de la base ?

C’est en substance la problématique soulevée par la cour d’appel néerlandaise à la CJUE dans l’affaire opposant la société Innoweb à Wegener.

- Définition d’un métamoteur de recherche dédié
Dans un premier temps, la Cour définit en quoi consiste un métamoteur de recherche dédié, puis applique les critères établis par la directive afin de déterminer si l’utilisation des bases de données par ce type de métamoteur enfreint les droits des fabricants.

La Cour distingue entre les moteurs de recherche fonctionnant sur des algorithmes, tels que Google ou Yahoo et les métamoteurs de recherche dédiés. Concernant ce type de métamoteur, l’exploitant du service ne dispose pas d’un moteur de recherche propre mais a recours aux moteurs de recherche utilisés par les sites tiers, couverts par le service de recherche.

Le qualificatif “dédié” signifie que le métamoteur est spécialisé dans les recherches sur un ou plusieurs domaines déterminés (en l’espèce, la vente de voitures d’occasion), permettant, par une seule requête, d’étendre la recherche sur plusieurs sites tiers d’annonces. Le métamoteur de recherche dédié traduit “en temps réel” les requêtes des utilisateurs dans les différents moteurs de recherche des sites tiers, permettant de balayer les données de ces bases.

En l’espèce, le métamoteur du site gaspedaal.nl permet de procéder à des recherches dans les bases de données de vente de voitures selon plusieurs critères (marque, modèle, kilométrage, année et prix notamment). Les résultats obtenus sont agrégés, le site du métamoteur affichant les liens vers les annonces correspondant à la requête. En l’espèce, les données n’étaient pas extraites des bases couvertes par le métamoteur.

- Notion de réutilisation des contenus de la base de données
La Cour analyse ensuite la notion de réutilisation, au regard de la finalité définie dans la directive, en l’appliquant au métamoteur de recherche dédié.

Selon la Cour, la notion de réutilisation au sens de l’article 7 de la directive, “doit être interprétée comme se référant à tout acte consistant à mettre à la disposition du public, sans le consentement de la personne qui a constitué la base de données, les résultats de son investissement, privant ainsi cette dernière de revenus censés lui permettre d’amortir le coût de cet investissement”, peu importe la nature ou la forme du procédé utilisé.

L’activité de l’exploitant d’un métamoteur de recherche a pour objet de fournir aux internautes un dispositif permettant d’explorer toutes les données figurant dans des bases de données protégées, en accédant à l’intégralité du contenu des bases par d’autres voies que celles prévues par les fabricants de ces bases de données. Cette activité a notamment des conséquences financières pour les exploitants des bases de données. En effet, les internautes n’ont plus besoin de se rendre sur leurs sites pour faire leurs recherches, ni même pour accéder aux annonces (ou au moins, sans passer par la page d’accueil du site de petites annonces). Les revenus publicitaires des sites de petites annonces sont alors potentiellement affectés.

La Cour en conclut que l’exploitant d’un métamoteur de recherche dédié procède effectivement à une réutilisation du contenu d’une base de données, au sens de la directive. Cette réutilisation porte sur une partie substantielle, voire même sur la totalité, du contenu de la base concernée, dès lors que le métamoteur : i) fournit à l’utilisateur final un formulaire de recherche offrant les mêmes fonctionnalités que le formulaire de la base de données ; ii) traduit en temps réel les requêtes des utilisateurs finaux dans le moteur de recherche de la base de données, permettant ainsi d’explorer toutes les données de la base ; et iii) présente à l’utilisateur final les résultats sous l’apparence extérieure de son site internet en réunissant les doublons en un seul élément, mais dans un ordre fondé sur des critères comparables à ceux utilisés par le moteur de la base de données pour présenter ses résultats.


    En conséquence, un site qui mettrait à la disposition des internautes un métamoteur de recherche dédié, sans avoir au préalable obtenu l’accord des exploitants des sites couverts par ce métamoteur (et quelque soit le domaine couvert par le métamoteur) doit respecter les critères suivants pour ne pas enfreindre les droits des fabricants des bases de données concernées :
    - fournir un formulaire de recherche comprenant des fonctionnalités différentes de celles proposées par les formulaires des bases de données couvertes ;
    - ne pas traduire en temps réel les requêtes des utilisateurs dans le moteur de recherche de la base de données afin de ne pas explorer toutes les données de cette base ; et
    - ne pas présenter à l’utilisateur les résultats de recherche sous l’apparence extérieure de son site internet, en réunissant les doublons en un seul élément et dans un ordre fondé sur des critères comparables à ceux utilisés par le moteur de la base de données pour présenter ses résultats.

Ainsi, l’exploitant d’un métamoteur de recherche a deux solutions pour ne pas enfreindre les droits des fabricants des bases de données des sites couverts : soit obtenir l’accord de ces sites tiers pour interroger leurs bases de données et proposer les résultats obtenus en temps réel, selon un format similaire à celui utilisé par le/les sites d’annonces, soit exploiter le métamoteur sans l’accord des sites tiers, mais en respectant les critères définis par la CJUE, en acceptant le fait que ces contraintes techniques donneront des résultats certainement moins pertinents pour les utilisateurs.

                                                            * * * * * * * * * * *

(1) CJUE, 5ème chambre, décision du 19 décembre 2013, Innoweb BV, Wegener ICT Media BV, Wegener Mediaventions BV

(2) Directive 96/9/CE du Parlement européen et du Conseil du 11 mars 1996 concernant la protection juridique des bases de données, transposée en droit français aux articles L.341-1 et suivants du code de la propriété intellectuelle

(3) Article 7.2 et 7.3 de la directive


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2015

Open data : un nouvel élan pour la politique d’ouverture des données publiques

La Charte pour l’ouverture des données publiques (ou open data) signée par les chefs d’état des pays du G8 lors du sommet des 17 et 18 juin 2013 en Irlande du Nord, associée à la directive du 26 juin 2013 concernant la réutilisation des informations du secteur public démontrent l’intérêt des politiques pour la promotion d’un réel essor dans ce domaine. (1)

Bien que le droit français dispose d’un cadre réglementaire relatif aux données publiques depuis 1978, avec la loi CADA, les initiatives et projets autour de la réutilisation de ces données restent encore en deçà des attentes. (2) C’est pourquoi il est intéressant de constater que les pays industrialisés (G8 et Etats-membres de l’Union européenne) ont réaffirmé leur engagement pour la promotion de la réutilisation des données publiques par ces deux textes, adoptés au mois de juin dernier.

L’étude de ces textes fait ressortir les principes fondamentaux communs à l’Open Data et à la réutilisation de ces données publiques. Si le premier principe d’ouverture par défaut est une réelle avancée pour affirmer l’importance de l’Open Data, toutes ces données n’ont cependant pas vocation à être librement accessibles et réutilisables. Les droits des personnes (protection des données personnelles et droit d’auteur) sont préservés et certaines catégories de données liées à la sûreté de l’Etat et à la sécurité publique ainsi que les informations commerciales sont exclues de ces dispositifs, comme elles l’étaient déjà de la loi CADA.


1. Charte du G8 et directive Open Data : des principes communs pour une politique de réutilisation des données publiques

La Charte du G8 pour l’ouverture des données publiques repose sur cinq principes, dont l’objet est de faciliter, de manière effective, la réutilisation des données publiques. (3)

    1.1 Les cinq principes de la Charte du G8

La Charte pose les cinq principes suivants : l’ouverture des données publiques par défaut ; des données publiques de qualité, en quantité, accessibles et réutilisables ; une ouverture des données pour améliorer la gouvernance et encourager l’innovation.

Principe n°1 : données ouvertes par défaut
Les données des organismes publics doivent être considérées comme étant, par défaut, des données ouvertes, pouvant être réutilisées. Leur accès doit être libre et leur réutilisation, en principe (mais pas obligatoirement), gratuit. Ce premier principe d’ouverture et de réutilisation est considéré comme étant d’importance majeure pour la société et l’économie.

Principe n°2 : de qualité et en quantité
Les données concernées doivent être “de qualité”, c’est-à-dire, à jour, complètes et exactes. En outre, ces données doivent être mises à disposition dans des délais raisonnables après leur production. Les organismes publics doivent utiliser et mettre à disposition des métadonnées fiables, dans un format uniforme pour faciliter la réutilisation des données, notamment transfrontières.

Principe n°3 : accessibles et réutilisables par tous
L’un des objectifs mis en avant par le G8 est le principe de la gratuité et la diffusion des données en formats ouverts afin que ces données soient lisibles, quels que soient le système d’exploitation, la plateforme ou le logiciel de lecture. Comme on le verra plus loin, le principe de gratuité des données publiques n’est pas une obligation. Les administrations peuvent demander le règlement d’une redevance pour couvrir le coût de mise à disposition des données, voire même d’une redevance d’utilisation des données.

Principe n°4 : ouvrir les données pour améliorer la gouvernance
Un autre objectif de l’open data souligné par le G8 est de favoriser l’exercice de la démocratie. En permettant un accès systématique aux données publiques, les organismes publics s’engagent pour plus de transparence sur les méthodes de collecte des données, sur les normes appliquées et sur les mécanismes de publication.

Principe n°5 : ouvrir les données pour encourager l’innovation
La Charte reconnaît que l’ouverture des données publiques pour leur réutilisation inclut les usages à des fins commerciales et non commerciales.

L’accès à ces données par les entreprises doit permettre le développement de produits et services innovants, et ainsi contribuer au développement économique. Les données peuvent être diffusées libres de droits ou sous licence, de préférence ouverte. (4)

    1.2 La directive du 26 juin 2013

La directive européenne, publiée dans la lignée de la Charte du G8, vient modifier la directive de 2003 concernant la réutilisation des informations du secteur public. L’objet de cette modification est triple : (i) prendre en compte les évolutions technologiques intervenues depuis dix ans, (ii) réduire les disparités des règles en vigueur entre les différents Etats-membres en matière de politique Open Data afin de lever les obstacles aux offres transfrontalières de produits et services basés sur des données publiques, en imposant un degré minimal d’harmonisation communautaire, et (iii) imposer le principe de l’ouverture des données publiques et le droit de réutilisation, ce droit n’existant pas dans la directive de 2003. On remarquera donc que la plupart des dispositions de la directive de juin 2013 figurent déjà dans la loi française.

Principe des données ouvertes par défaut 
Comme la Charte du G8, la directive - version 2013 -, impose le principe des données ouvertes par défaut. Ces données doivent donc pouvoir être librement réutilisables, sous réserve des règles nationales applicables.

Le refus opposé à un demandeur pour accéder à des données doit être justifié. En cas de refus d’accès aux données, l’organisme public doit en communiquer les raisons au demandeur.

Par ailleurs, la directive précise l’extension de son champ d’application aux bibliothèques, bibliothèques universitaires, musées et archives, sous réserve du respect du droit d’auteur notamment (voir les exceptions ci-après).

Formats de fichiers ouverts et structurés 
La qualité des données publiques est rappelée par le biais de l’obligation de fournir les données en formats ouverts, lisibles par la machine, permettant l’interopérabilité, et comprenant une présentation précise des métadonnées.

Gratuité ou redevance 
La directive ne pose pas la gratuité comme un principe. En effet, les opérations de collecte, de production, de reproduction et de diffusion de ces données ont un coût pour les organismes publics. L’accès aux données publiques peut donc être payant, si possible limité à une redevance couvrant uniquement les coûts marginaux de la diffusion des données.

Toutefois, certains organismes publics doivent générer des recettes. La redevance applicable à leurs données pourra donc être supérieure aux coûts marginaux, sous réserve qu’elle soit fixée selon des critères objectifs, transparents et vérifiables.

Conditions de réutilisation  
La réutilisation des données peut être libre ou soumise à des conditions de licence, si possible ouverte.

La directive permet aux organismes publics d’accorder des droits d’exclusivité de réutilisation à des partenaires privés, notamment pour leur permettre d’amortir les investissements réalisés. Cependant, les accords d’exclusivité de réutilisation doivent rester limités, respecter les principes du droit de la concurrence, et être soumis à un réexamen régulier.

La directive du 26 juin 2013 doit être transposée dans les droits nationaux des Etats membres dans un délai de deux ans, à savoir avant le 18 juillet 2015.


2. Toutes les données ne sont cependant pas librement réutilisables

L’affirmation du principe des données ouvertes par défaut, par la Charte du G8 et la directive de juin 2013, ne signifie pas pour autant que toutes les données sont libres d’accès. Les droits des personnes sont notamment reconnus et justifient certaines exceptions au principe de l’Open Data.

Plusieurs catégories de données sont ainsi exclues de l’Open Data, justifiant le refus de communication par les organismes publics. Il s’agit de certaines données soumises à des droits spécifiques (propriété intellectuelle ou données personnelles), relatives à la sûreté de l’Etat et à la sécurité ou encore aux données protégées par la confidentialité. Ces données ne peuvent donc être librement réutilisées.

Les données protégées par le droit de la propriété intellectuelle  
Les données protégées par des droits de propriété intellectuelle ne sont pas libres, même si elles sont détenues par des administrations, collectivités ou autres organismes publics. Ces données ne sont donc pas réutilisables, sauf accord de leur titulaire.

Les données à caractère personnel
Dans le respect des dispositions de la loi Informatique et Libertés, les informations publiques comportant des données personnelles restent protégées. La loi française étend l’exception aux données couvertes par le secret médical. Ces données peuvent néanmoins être communiquées à l’intéressé à sa demande dans les conditions fixées par la loi. (5)

Les données relatives à la protection de la sécurité nationale, de la défense et de la sécurité publique 
Ces données sont exclues des informations publiques et ne peuvent être communiquées.

Les informations commerciales confidentielles (secrets d’affaires, secret professionnel)  
Les informations confidentielles échangées entre des entreprises privées et l’administration, par exemple dans le cadre d’appel d’offres et de l’exécution de marchés publics, restent couvertes par la confidentialité.

Les données statistiques confidentielles
Toutes les données statistiques ne sont pas des données publiques. Certaines statistiques peuvent en effet comprendre des données permettant d’identifier des personnes, directement ou indirectement ; d’autres peuvent être directement liées à la sécurité publique, etc.

La frontière entre données publiques et données protégées, et donc le droit de réutilisation, n’est pas toujours aisée à tracer. Il existe à ce sujet quelques décisions de justice venant préciser le contour de la protection de la vie privée ou des droits de propriété intellectuelle et du producteur de base de données. (6)


Que ces nouveaux textes soient un véritable pas en avant ou la réaffirmation de droits déjà définis dans la loi, peu importe. Il nous paraît que l’engagement des principaux pays industrialisés sur des principes communs à l’Open Data démontre une volonté réelle de participer à l’essor de la réutilisation de ces données par le secteur privé, que ce soit à des fins d’intérêt général ou commerciales.

Même si l’administration française est de plus en plus active dans ce domaine (voir le site www.data.gouv.fr qui affiche un accès à plus de 350 000 jeux de données publiques), sans oublier l’engagement de certaines collectivités locales et des organismes culturels (musées du Louvre ou du quai Branly par exemple), le domaine de la réutilisation des données publiques paraît bien encadré juridiquement, afin de permettre aux entrepreneurs de développer de nouveaux produits et services.

A cette fin, l’annexe à la charte du G8 liste utilement des catégories de données à forte valeur ajoutée. On retiendra par exemple les catégories suivantes : données d’environnement, données d’observation de la Terre et données géospatiales ; données d’éducation ; données relatives aux finances et aux marchés ; données de santé ; ou données dans les domaines de la science et de la recherche. On peut donc comprendre que l’Open Data n’est pas qu’un débat théorique. Si l’on considère ces données brutes comme une matière première à transformer, il existe de réelles opportunités en matière de développement de projets dans un environnement réglementaire qui tend à se préciser.

                                                            * * * * * * * * * * *

(1) Charte du G8 pour l’Ouverture des Données Publiques - 18 juin 2013, accessible sur le site etalab.gouv.fr ; Directive 2013/37/UE du Parlement européen et du Conseil du 26 juin 2013 modifiant la directive 2003/98/CE concernant la réutilisation des informations du secteur public

(2) Loi n°78-753 du 17 juillet 1978, dite loi CADA, portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal. A noter que la loi CADA distingue entre “document administratif” et “information publique”, les documents administratifs étant définis à l’article 1er de la loi, et les informations publiques (à savoir, les données contenues dans les document administratifs, sous réserve d’exceptions) sont définies à l’article 10..

(3) Pour rappel, les pays du G8 sont l’Allemagne, le Canada, les Etats-Unis, la France, l’Italie, le Japon, le Royaume Uni et la Russie
 
(4) A ce titre, voir par exemple la licence ouverte (ou Open licence) publiée par Etalab en décembre 2011

(5) voir article 6 de la loi CADA du 17 juillet 1978

(6) Voir par exemple les précisions apportées par la jurisprudence “notrefamille.com” :
- Respect de la loi Informatique et Libertés du 6 janvier 1978 : C. Adm. d’Appel de Lyon du 4 juillet 2012, Département du Cantal c/ notrefamille.com
- Droit du producteur de base de données : Trib. Adm. de Poitiers du 31 janvier 2013, notrefamille.com c/ Département de la Vienne ; C. Adm. d’Appel de Nancy du 18 avril 2013, notrefamille.com c/ Conseil général de la Moselle


Bénédicte DELEPORTE - Avocat

Septembre 2013