La Poste condamnée pour contrefaçon de logiciel

 

Ce qu’il faut retenir

Dans un arrêt du 8 décembre 2023, la cour d’appel de Paris a confirmé la condamnation de La Poste pour contrefaçon de logiciel.

Après avoir déduit que l’éditeur d’un logiciel utilisé dans une solution développée avec La Poste est fondé à agir sur le fondement de la contrefaçon, et reconnu le caractère original du logiciel, la cour a décidé que la mise à disposition au public par La Poste sur Google Play de la solution intégrant le logiciel litigieux, alors que le contrat n’autorisait qu’une utilisation dans un environnement de test, était constitutive de contrefaçon. 

 

Lire la suite de l'article :  https://www.deleporte-wentz-avocat.com/actualite-la-poste-condamnee-pour-contrefacon-de-logiciel

Projets IT en mode Agile : comment maîtriser les risques juridiques

  

Ce qu'il faut retenir 

Les méthodes Agiles, de plus en plus utilisées depuis le début des années 2000 pour gérer les projets informatiques, comportent de nombreux avantages, particulièrement en termes de flexibilité, mais peuvent également être source de litiges si le projet n’est pas géré de manière rigoureuse.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-projets-it-en-mode-agile-comment-maitriser-les-risques-juridiques 

Protection juridique du logiciel : condamnation pour contrefaçon des codes sources

 

Le logiciel est considéré comme une oeuvre de l’esprit, et à ce titre est protégé par le droit de la propriété intellectuelle. (1)

Une société, son fondateur et des salariés, reconnus coupables de contrefaçon des codes sources d’un logiciel appartenant à un concurrent, viennent d’être condamnés au versement de près de trois millions d’euros de dommages et intérêts au titulaire des droits. (2)

L’intérêt de ce jugement repose d’une part sur les éléments permettant de qualifier le caractère original du logiciel, pour déterminer s’il pouvait bénéficier de la protection par le droit d’auteur, auquel cas, la copie non autorisée des codes sources relève de la contrefaçon ; d’autre part, sur les éléments retenus pour l’évaluation du préjudice subi et la détermination par les juges de l’indemnisation du titulaire.

1. Les faits

La société Generix, est titulaire des droits sur le logiciel applicatif GCS WMS, utilisé pour la gestion des entrepôts, notamment pour la grande distribution. Ce logiciel avait été développé par Infolog Solutions, société absorbée par Generix en 2010. Le logiciel GCS WMS a été développé à partir d’un programme générateur de codes sources dénommé APX, mis au point par Generix et non commercialisé.

En 2011, le responsable support de la société Infolog Solutions a quitté cette société pour créer la société ACSEP, ayant pour activité la fourniture de prestations similaires à celles de Generix. D’anciens salariés d’Infolog Solutions et de Generix ont par ailleurs rejoint la société ACSEP.

Entre 2014 et 2016, plusieurs clients de la société Generix ont résilié leurs contrats pour les transférer chez ACSEP. En outre, Generix a appris que la société ACSEP était en possession des codes source du logiciel GCS WMS. Par deux ordonnances sur requête du 5 février et du 24 mars 2015, à la demande de la société Generix, le président du tribunal de grande instance d’Aix-en-Provence a autorisé un huissier à se rendre dans les locaux d’ACSEP, afin de constater notamment qu’ACSEP détenait les codes source du logiciel GCS WMS.

Le 2 mars 2016, la société Generix a fait assigner la société ACSEP, son dirigeant et les anciens salariés d’Infolog Solutions. Generix demandait au tribunal de condamner la société ACSEP, son dirigeant et les anciens salariés d’Infolog Solutions à lui payer 4.000.000€ au titre du préjudice matériel lié à la détention et l’utilisation non autorisées des codes sources du logiciel, 300.000€ au titre de la réparation du préjudice moral subi suite à la contrefaçon du logiciel, 50.000€ au titre du préjudice économique résultant des actes de concurrence déloyale et parasitaire du fait de l’utilisation de sa marque Infolog, de sa dénomination sociale et de sa marque Generix et de ses supports et plans de formations.

Le tribunal judiciaire de Marseille a rendu sa décision le 23 septembre 2021 et a condamné la société ACSEP, son dirigeant et les anciens salariés d’Infolog Solutions au paiement de près de 3.000.000€ pour contrefaçon de codes sources du logiciel GCS WMS.


2. La protection du logiciel par le droit d’auteur

    2.1 Protection du logiciel et droit d’exploitation 

Dans cette affaire, le tribunal rappelle que le logiciel, comprenant le code source et le code objet, ainsi que le matériel de conception préparatoire, est protégé par le droit d’auteur en application de l’article L.112-2 13° du code de la propriété intellectuelle (CPI). A ce titre, “le droit d’exploitation appartenant à l’auteur d’un logiciel comprend le droit d’effectuer et d’autoriser 1° la reproduction permanente ou provisoire d’un logiciel en tout ou partie par tout moyen et sous toute forme. (…) ces actes ne sont possibles qu’avec l’autorisation de l’auteur.” (art. L.122-6 CPI)

La société Generix, devenue titulaire des droits sur le logiciel après avoir absorbé la société Infolog Solutions, avait déposé deux versions du logiciel auprès de l’Agence pour la protection des programmes (APP) en 2006 et 2010.

    2.2 L’originalité du logiciel, condition de sa protection par le droit d’auteur

Toutefois, comme pour toute oeuvre de l’esprit, cette protection du logiciel par le droit d’auteur n’est accordée que pour autant que celui-ci soit reconnu original.

A cette fin, le tribunal rappelle les principales caractéristiques du logiciel GCS WMS qui avaient été mises en avant par Generix pour démontrer son originalité, à savoir : 1) des choix personnels quant à la structure du “scénario radio”, 2) un choix propre quant aux réservations de stocks, 3) le choix d’une forte interopérabilité du logiciel par l’utilisation d’un format d’échanges de données unique et original, 4) l’utilisation du langage de développement Cobol afin de permettre la portabilité du logiciel sur un grand nombre de machines, 5) le développement d’un atelier de génie logiciel en interne, 6) un choix technique personnel quant aux interfaces homme/machine, et 7) le choix d’une mise en oeuvre simplifiée du logiciel, ne nécessitant pas de compétences techniques ou informatiques et pouvant être réalisées par un consultant.

Sur la base de tous ces éléments, le tribunal a pu reconnaître l’originalité du logiciel alors même que celui-ci avait été développé grâce à un programme générateur de codes sources. La société Generix était donc bien fondée pour défendre ses droits sur le logiciel.


3. Les faits de contrefaçon et l’évaluation du préjudice

    3.1 L’établissement des faits de contrefaçon

Dans cette affaire, la contrefaçon a été démontrée sur la base de deux éléments : a) la production d’emails échangés entre les salariés de la société ACSEP, relatifs à la demande et à la communication des codes sources de programmes constitutifs du logiciel GCS WMS. On notera sur ce point que le tribunal n’a pas remis en cause l’intégrité de ces emails, obtenus par voie d’huissier ; et b) un rapport d’analyse technique démontrant que les logiciels détenus par la société ACSEP étaient identiques, à 2% près, aux programmes déposés par Generix à l’APP.

Or, il n’existait aucun accord entre les sociétés Generix et ACSEP, autorisant cette dernière à reproduire ou à utiliser tout ou partie du logiciel.

Le tribunal en conclut que ces simples faits de reproduction non autorisée des codes sources de programmes constitutifs du logiciel GCS WMS constituent des actes de contrefaçon de la part de la société ACSEP, son dirigeant et les salariés poursuivis.

    3.2 L’évaluation du préjudice et les mesures de réparation

Les règles permettant de déterminer le montant des dommages et intérêts sont définies aux articles L.331-1-3 et s. du CPI. Pour ce faire, les juges prennent en compte :
“1° Les conséquences économiques négatives de l’atteinte aux droits, dont le manque à gagner et la perte subis par la partie lésée ;
2° Le préjudice moral causé à cette dernière ;
3° Et les bénéfices réalisés par l’auteur de l’atteinte aux droits, y compris les économies d’investissements intellectuels, matériels et promotionnels que celui-ci a retirées de l’atteinte aux droits.”

En l’espèce, le tribunal a évalué le préjudice subi par la société Generix en retenant i) une perte de chiffre d’affaires à la suite de la résiliation de plusieurs contrats commerciaux, évaluée à 2 millions d’euros, ii) le remboursement du montant représentant la valorisation de la recherche et développement du logiciel pour 814.000€, la contrefaçon ayant permis d’économiser les coûts de création et de développement d’un logiciel équivalent, et iii) le préjudice moral, constitué par la dévalorisation du savoir-faire de Generix, pour un montant de 50.000€.

La société ACSEP, son dirigeant et les anciens salariés d’Infolog Solutions ont été condamnés en sus à cesser l’utilisation et à la désinstallation du logiciel, et à indemniser Generix pour concurrence déloyale à hauteur de 30.000€ pour débauchage de plusieurs salariés de Generix.


       Cette affaire démontre que la contrefaçon de logiciel, notamment par d’anciens salariés, accompagnée d’actions de concurrence déloyale par détournement de clientèle et débauchage de salariés peut coûter cher à leurs auteurs. Le titulaire des droits doit cependant être en mesure de démontrer le caractère original de l’oeuvre contrefaite et de rapporter la preuve du détournement, ainsi que du préjudice subi (perte de clientèle, vol de savoir-faire, débauchage massif, etc.). Toutefois, la réparation du préjudice est un processus long et coûteux, le dossier contentieux ayant débuté en 2015…

* * * * * * * * * * *

(1) Art. L.112-2 CPI

(2) TJ Marseille, 23 septembre 2021, Generix c. Acsep et autres

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2021

Formaliser son projet informatique pour limiter les contentieux

Trop de projets informatiques ignorent encore le formalisme de la contractualisation et de la documentation des différentes étapes du projet, qu’il s’agisse d’un projet de développement “classique” ou d’un projet de développement “agile”.

Deux récents jugements viennent ainsi rappeler que l’absence d’expression des besoins et l’absence de contestation des dysfonctionnements avant la réception du projet lèsent le client, malgré l’obligation de conseil incombant au prestataire. 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-formaliser-son-projet-informatique-pour-limiter-les-contentieux

L’importance de l’implication du client dans l’exécution d’un projet informatique

La jurisprudence relative aux contrats informatiques relève souvent les carences du prestataire dans l’exécution de son obligation de conseil vis-à-vis du client ou dans l’exécution de ses prestations. On rappellera toutefois que dans le cadre de l’exécution de projets informatiques, le client ne peut pas attendre la livraison du projet en restant passif. 

Deux arrêts de cour d’appel remontant à 2017 rappellent ainsi l’importance du rôle actif du client dans l’exécution de projets informatiques. Sa pleine coopération est en effet un élément clé de la bonne exécution du projet. Par ailleurs, le nouveau droit des contrats, issu de l’ordonnance du 10 février 2016 prévoit que “Les contrats doivent être négociés, formés et exécutés de bonne foi.” (1) Cette obligation, d’ordre public, s’impose aux parties non seulement pendant la période pré-contractuelle, mais également pendant toute la durée du contrat.

Dans la première affaire, la faute du client qui n’avait pas exprimé ses besoins a été retenue par les juges. La seconde affaire retient la résiliation du contrat aux torts du client qui a refusé la réception provisoire d’un site internet.


 Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-l-importance-de-l-implication-du-client-dans-l-execution-d-un-projet-informatique

 

Qu’est-ce que le Cloud Act américain ?

L’adoption du “Cloud Act” aux Etats-Unis en 2018 a suscité de nombreuses critiques et fait couler beaucoup d’encre. Afin de mieux comprendre les enjeux de cette législation, nous résumons ci-après ses principales finalités.

Encapsulé dans la loi américaine sur les dépenses 2018 (“Consolidated Appropriations Act”, 2018), le Cloud Act (pour “Clarifying lawful overseas use of data act”), adopté le 23 mars 2018, donne un cadre légal à la saisie d'emails, documents et communications électroniques localisés dans les serveurs de sociétés américaines et de leurs filiales à l’étranger. (1)

Alors que les sociétés internet et technologiques américaines se félicitent de l’adoption de cette loi, les associations de défense des libertés et de la vie privée dont l'union des libertés civiles américaines (ACLU) et l'Electronic Frontier Fondation (EFF) y sont vivement opposées.

Le Cloud Act devient une alternative au processus actuel de partage d'informations d’utilisateurs entre pays, le MLAT (Mutual legal assistance treaty), et dont la mise en oeuvre est plus rapide et simple à exécuter.

Le Cloud Act contient deux grandes séries de dispositions :

    1 - La communication de données par les sociétés américaines
Toute société dont le siège est aux Etats-Unis, ainsi que les sociétés contrôlées par elle, doit communiquer aux autorités américaines, sur leur demande, les données de communication placées sous son contrôle, sans considération du lieu de stockage de ces données ;

    2 - La signature d’accords entre les administrations américaines et étrangères
Le gouvernement américain pourra signer des accords internationaux avec des gouvernements étrangers, permettant aux autorités de chaque pays de demander directement aux fournisseurs de services de communication, de traitement et de stockage électroniques de données relevant de la juridiction de l’autre pays, la divulgation des données de communication les intéressant, sans avoir à passer par les procédures plus lourdes des MLAT ou des commissions rogatoires internationales.

Ces accords internationaux prendront la forme d’executive agreements, à savoir des accords qui ne nécessitent ni l’accord du Sénat (majorité des deux tiers), ni l’adoption d’une loi par les deux chambres du Congrès. Pour entrer en vigueur, il suffira que les deux chambres ne s’y opposent pas par une résolution conjointe dans les 90 jours de leur signature. En contrepartie, de tels accords ne peuvent être signés qu’avec des pays respectueux des droits fondamentaux et des principaux standards démocratiques.

Les demandes de communication de données concernées par ces accords ne peuvent viser que les infractions les plus graves (« serious crime »). L’objectif est d’accélérer la procédure d’investigation par les forces de l’ordre.

Pour l’instant, il existe une incertitude sur le fait de savoir si un executive agreement pourrait être signé avec l’Union européenne plutôt qu’avec chaque Etat-membre, voire même si les Etats-Unis chercheront à signer avec l’Europe. L’UE serait plutôt favorable à la signature d’un accord global.

En conclusion, le Cloud Act s’applique à toute société placée sous la juridiction des Etats-Unis qui contrôle les données informatiques de ses clients (notamment les GAFAM et leurs filiales), quels que soient leur nationalité et le lieu physique où ces données ont été émises ou sont stockées. Il ne s’agit pas d’une nouvelle procédure mais d’une évolution par rapport à la réglementation précédente issue du Stored Communications Act de datant de 1986.

Le Cloud Act, comme le Stored Communications Act, encadre l’accès des autorités américaines aux données de fournisseurs de services de communication, traitement et stockage électroniques de données placés sous la juridiction des Etats-Unis (procédure judiciaire en cours et sous réserve de disposer d’un mandat (ou warrant) délivré par une juridiction, requête par les autorités gouvernementales américaines dans le cadre d’une procédure pénale sous réserve de disposer d’une réquisition judiciaire (ou court order). Le Cloud Act prévoit que le fournisseur de services auquel les données sont demandées a la possibilité de s’y opposer au motif que la demande, si elle devait être satisfaite, le conduirait à méconnaître la législation d’un pays étranger et l’exposerait à des sanctions (situation de conflits de lois).

Le Cloud Act est-il compatible avec le RGPD ?

Le RGPD (art. 44 et suivants) réglemente les conditions dans lesquelles des données personnelles peuvent être transférées vers des pays tiers. Or le Privacy shield, applicable aux transferts entre sociétés européennes et sociétés américaines adhérant au programme, ne couvre pas les entités gouvernementales.

Le transfert de données à caractère personnel aux autorités américaines par une société américaine ou sa filiale, en application d’une demande fondée sur le Cloud Act et non sur un accord international de type MLAT ou la mise en œuvre d’une commission rogatoire internationale, ne serait pas conforme au RGPD. Il conviendra de suivre comment le Cloud Act sera mis en œuvre dans les prochains mois.

                                                       * * * * * * * * * * *

(1) Consolidated Appropriations Act, 2018 et Clarifying lawful overseas use of data act (Cloud Act), adopté le 23 mars 2018

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2019

Sécurité des réseaux : la directive NIS a été transposée en droit français

La directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (Directive « NIS » 2016/1148) a été transposée en droit français le 26 février 2018.

Lire la suite de l'article :  https://www.deleporte-wentz-avocat.com/actualite-securite-des-reseaux-la-directive-nis-a-ete-transposee-en-droit-francais

Plateformes en ligne : le Parlement européen pour une évolution de leur régime de responsabilité

Répondant à une communication de la Commission européenne du 25 mai 2016, le Parlement européen a voté, le 15 juin 2017, une résolution dans laquelle les euro-députés se sont prononcés en faveur de la responsabilisation des plateformes en ligne concernant le respect du droit d’auteur, la lutte contre les contenus illégaux, et la protection des mineurs et des consommateurs. (1)


La définition du terme “plateforme”

Les euro-députés constatent tout d’abord la difficulté de donner une définition unique de la notion de plateforme en ligne “qui soit juridiquement pertinente et à l’épreuve du temps, compte tenu de facteurs tels que la grande variété des plateformes en ligne et de leurs domaines d’activités ou encore l’évolution rapide de l’environnement numérique à l’échelle mondiale”. Les plateformes, B-to-C ou B-to-B, englobent en effet un large éventail d’activités telles que moteurs de recherche, réseaux sociaux, commerce électronique, communication et médias, paiement en ligne, etc. Il est donc difficile de créer des règles applicables aux différents types de plateformes et il semble plus approprié de les aborder de manière sectorielle.

Il existe néanmoins des caractéristiques communes aux plateformes, telles que par exemple, la possibilité de mettre en relation différents types d’utilisateurs, d’offrir des services en ligne adaptés à leurs préférences et fondés sur des données fournies par les utilisateurs, de classer ou de référencer des contenus, notamment au moyen d’algorithmes.


L’évolution du régime de responsabilité des intermédiaires

Les plateformes en ligne qui hébergent des contenus fournis par des tiers-utilisateurs bénéficient actuellement du régime de responsabilité des hébergeurs, prévu à l’article 14 de la directive du 8 juin 2000 sur le commerce électronique (2) (transposée en droit français par la loi du 21 juin 2004 pour la confiance dans l’économie numérique). (3)

En vertu de ce régime de responsabilité, les hébergeurs ne peuvent voir leur responsabilité engagée pour les contenus hébergés sur leurs serveurs que s’ils en avaient une connaissance effective, ou si après avoir été informés de leur caractère manifestement illicite, ils n’ont pas supprimé l’accès à ces contenus.

La jurisprudence a été amenée à définir les contours de la notion d’hébergeur, et plus particulièrement les cas dans lesquels leur responsabilité pouvait être engagée, à savoir, lorsque l’hébergeur (ou la plateforme) a connaissance des contenus hébergés par la notification de leur caractère manifestement illicite, par une modération de ces contenus avant leur mise en ligne, voire par une intervention sur ces contenus (référencement par exemple). (4)

Même si le régime de responsabilité spécifique des hébergeurs est adapté à l’activité des plateformes en ligne, pour autant qu’elles n’interviennent pas sur les contenus hébergés, avec le temps les plateformes ont réalisé de plus en plus d’opérations sur les contenus hébergés, afin d’améliorer leur référencement et/ou de le monétiser via des bannières publicitaires et autres actions marketing de plus en plus ciblées.

Selon les euro-députés, le développement durable et la confiance des consommateurs dans les plateformes en ligne nécessite un environnement réglementaire “efficace et attrayant”. Les euro-députés proposent alors de préciser les obligations des intermédiaires, notamment en responsabilisant les plateformes qui ne jouent pas un rôle neutre au sens de la directive du 8 juin 2000 sur le commerce électronique, qui ne pourraient plus bénéficier du régime de responsabilité aménagé.

A cette fin, les euro-députés demandent à la Commission de formuler “des orientations sur la mise en œuvre du cadre de responsabilité des intermédiaires afin de permettre aux plateformes en ligne de respecter leurs obligations ainsi que les règles relatives à la responsabilité", notamment en clarifiant les procédures de notification et de retrait de contenus et en présentant des orientations sur les mesures volontaires de lutte contre ces contenus.


Plateformes en ligne et partage de contenus culturels

L’évolution de la responsabilité des plateformes est une demande importante du Parlement notamment pour les industries culturelles et créatives, avec un renforcement des mesures de lutte contre les contenus en ligne illégaux et dangereux – une référence étant faite à la proposition de directive SMA (services de médias audiovisuels) et aux mesures pour les plateformes de partage de vidéos, concernant la protection des mineurs et le retrait des contenus associés à des discours haineux.

Par ailleurs, constatant que bien que l’on n’ait jamais autant consommé de contenus issus de la création, par l’intermédiaire de plateformes de mise à disposition de contenu par les utilisateurs  (tels que Youtube ou Dailymotion par exemple) et les services d’agrégation de contenus, les secteurs de la création ne bénéficient pas d’une augmentation de leurs revenus proportionnée à cette augmentation de la consommation.

Alors que plusieurs textes européens sont en cours d’examen au Parlement, les euro-députés souhaitent un renforcement de la sécurité juridique et du “respect envers les titulaires de droits”. Selon les euro-députés, les plateformes qui hébergent un volume important d’oeuvres protégées, mises à la disposition du public, devraient conclure des accords de licence avec les titulaires de droits correspondants, (à moins qu’elles ne soient pas actives et qu’elles relèvent du régime de responsabilité prévu à l’article 14 de la directive de juin 2000), en vue de partager avec les auteurs, créateurs et titulaires de droits correspondants une juste part des bénéfices engendrés.

De telles initiatives commencent ainsi à voir le jour, telle la plateforme de streaming musical Spotify, qui a annoncé récemment la création d'un fonds de 43 millions de dollars pour améliorer la rémunération des droits d'auteur d'artistes américains. (5)


Plateformes et algorithmes

Les euro-députés rappellent enfin l’importance de préciser les méthodes de prise de décision fondée sur des algorithmes et de promouvoir la transparence quant à leur utilisation de ces algorithmes. L’accent doit être mis sur les risques d’erreur et de distorsion dans l’utilisation des algorithmes afin de prévenir toute discrimination ou pratique déloyale et toute atteinte à la vie privée. Le Parlement demande à la Commission européenne de mener une enquête sur les erreurs possibles et l’exploitation des algorithmes et de créer des conditions de concurrence équitables pour des services en ligne et hors ligne comparables.


Bien que les résolutions ne soient pas des actes réglementaires contraignants - les résolutions ne créent pas d’obligations juridiques mais ont une valeur politique et indicative -, ce texte a pour objet de communiquer la position des députés européens à la Commission. Celle-ci s’en inspirera lors de sa proposition de révision de la directive e-commerce qui devrait intervenir dans les mois à venir.

                                                             * * * * * * * * * * * *

(1) Résolution du Parlement européen du 15 juin 2017 sur “Les plateformes en ligne et le marché unique numérique” et Communication de la Commission du 25 mai 2016 sur “Les plateformes en ligne et le marché unique numérique – Perspectives et défis pour l’Europe”

(2) Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique»)

(3) L’article 6 I 2 de la LCEN dispose que “Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d'un destinataire de ces services si elles n'avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l'accès impossible.
L'alinéa précédent ne s'applique pas lorsque le destinataire du service agit sous l'autorité ou le contrôle de la personne visée audit alinéa.”

(4) Voir par exemple TGI Paris, ordonnance du 15 novembre 2004, Jurisdata 2004 n°258504 ; CA Paris, 4é ch.A, 7 juin 2006, Tiscali Media c. Dargaud ; CA Paris, Pôle 5 ch.1, 2 déc. 2014, TF1 et autres c. Dailymotion

(5) “Spotify crée un fonds de 43 millions de dollars pour indemniser les artistes”, in La Tribune 30 mai 2017


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juillet 2017

Développement ou refonte d’un site web : un projet à gérer avec rigueur pour éviter les contentieux

Un projet de développement ou de refonte d’un site web n’est jamais anodin, a fortiori s’il s’agit d’un site marchand. Cependant, nombre de projets de développement de sites web “dérapent” et font naître des frustrations entre client et prestataire, pouvant aller jusqu’au contentieux. La jurisprudence dans ce domaine est abondante. Une nouvelle affaire est venue l’enrichir avec l’arrêt rendu par la Cour d’appel d’Aix en Provence le 8 décembre 2016, opposant une société du secteur de l’événementiel à un prestataire de développement web. (1)

Insatisfaite du site livré, la société cliente a engagé une action devant le tribunal de commerce de Marseille, en résolution du contrat de création de site internet pour manquement, par le prestataire, à ses obligations contractuelles. Le tribunal de commerce, puis la cour d’appel l’ont déboutée de son action en résolution, faute de démonstration d’une inexécution de son engagement par le prestataire. Il ressort de cette affaire que la société cliente n’avait pas clairement défini ses besoins et qu’elle n’a pas apporté les éléments de preuve à l’appui de ses allégations.


1. La définition des besoins, préalable indispensable à l’exécution du projet

    - Le contrat et son exécution

En octobre 2012, la société Open Up a accepté deux devis de la société Simpliciweb pour réaliser la refonte de son site web en format adaptable aux appareils mobiles (responsive design), et fournir une prestation de maintenance.

La livraison du site était prévue pour le 14 décembre 2012, sous réserve que le prestataire dispose de tous les éléments nécessaires à la réalisation du projet (maquettes, contenus) avant le 5 novembre. Dans le cas contraire, le délai de livraison du site était fixé trois mois après la réception de tous ces éléments.

Entre décembre 2012 et mars 2013, les parties ont échangé de nombreux emails concernant la fourniture des visuels par le client, les demandes de modifications et la validation des prestations réalisées.

Le 29 mars 2013, le prestataire envoyait un procès-verbal de réception du site. Celui-ci n’ayant pas été contesté par le client dans un délai de 15 jours, Simpliciweb a estimé que le site était livré.

Toutefois, considérant que Simpliciweb avait manqué à ses obligations contractuelles, la société Open Up lui a adressé un courrier de résiliation unilatérale des contrats le 30 avril 2013. Le 2 mai, Simpliciweb a mis le client en demeure de lui régler le solde des sommes dues pour la création du site. Open Up a refusé de régler et a assigné Simpliciweb devant le tribunal de commerce de Marseille en résolution du contrat de création de site web et caducité du contrat de maintenance. Par jugement du 25 avril 2014, le tribunal a débouté la société Open Up de toutes ses demandes. Cette dernière a ensuite fait appel de ce jugement.

Les arguments de la société Open Up, pour justifier sa demande en résolution du contrat, étaient les suivants : livraison tardive du site, dysfonctionnements du site, manquement aux devoirs de mise en garde et de conseil du prestataire, et défaut de livraison de la version mobile du site.

    - Une définition des besoins défaillante

Il ressort de l’analyse des faits (exécution du contrat) par les juges, que le client n’avait pas clairement défini ses besoins en amont du lancement du projet. Ce manque de préparation a conduit à des retards dans la remise au prestataire des éléments nécessaires pour la réalisation du site, à une redéfinition de la gestion du projet pour tenir compte de ces retards et de nouvelles demandes du client, et à un sentiment de frustration générale, ayant abouti au contentieux.

Ainsi, concernant la livraison tardive du site, le contrat stipulait que la date de livraison indiquée n’était valable que si le prestataire disposait de tous les éléments nécessaires à la livraison du projet avant une date butoire ; à défaut, le délai de livraison serait de trois mois après réception de ces éléments.

D’après les échanges entre les parties pendant la période d’exécution contractuelle, le client a repoussé la livraison des visuels (nécessaires à la refonte du site) à plusieurs reprises et a adressé plusieurs nouvelles demandes de fonctionnalités.

La Cour en conclut que “l’appelante (la société Open Up) ne peut sérieusement reprocher à l’intimée (la société Simpliciweb) de ne pas avoir respecté la date du 14/12/2012”, sachant a fortiori que la communication des éléments nécessaires au développement du site et les demandes de modifications et de nouvelles fonctionnalités se sont poursuivies jusqu’en mars 2013.

Pour gérer la communication tardive des éléments nécessaires au développement, et les nombreuses demandes de modifications et de nouvelles fonctionnalités, le prestataire a proposé de poursuivre le projet selon une méthode itérative (validation de l’avancement du développement du site page par page).

Les juges relèvent que “contrairement à ses assertions, ce n’est pas le choix du mode de développement “page par page” mais les innombrables demandes d’ajouts, de suppressions et de modifications formulées par la SARL Open Up qui ont retardé l’exécution par l’intimée de ses engagements.”

Enfin, les juges constatent que les éléments nécessaires au développement ayant été fournis au prestataire début janvier 2013, le délai de livraison de trois mois prévu dans le contrat a été respecté (site livré le 29 mars 2013).

Il ressort de cette analyse que les retards allégués peuvent être imputés à une défaillance du client dans la définition de ses besoins, préalablement au lancement du projet de refonte du site.


2. L’établissement de la preuve des manquements contractuels

Dans le cadre d’une action contentieuse, il ne suffit pas au demandeur de procéder par affirmations. Ses demandes doivent être étayées par des éléments de preuve. (art. 1353 al.1 nouv. c civ). L’administration de la preuve commence par la production du contrat, puis le cas échéant, par la communication d’éléments venant étayer les assertions relatives aux manquements aux obligations contractées.

    - L’absence de preuve entraîne le rejet des demandes

En l’espèce, la société Open Up soutenait que le site comportait des défauts, le rendant inutilisable pour commercialiser ses prestations. Or, les juges ont relevé que la société Open Up ne procédait que par affirmations, sans fournir la moindre preuve à l’appui de ses allégations pour démontrer l’existence de dysfonctionnements.

Par ailleurs, selon la société Open Up, Simpliciweb aurait manqué à son devoir de mise en garde et de conseil concernant les lenteurs et inconvénients du développement du site en mode “page par page”. Cependant, les juges relèvent qu’Open Up ne fait qu’affirmer l’existence d’inconvénients, sans les lister, ni les prouver. L’existence éventuelle de ces lenteurs et inconvénients aurait pu être démontrée grâce à un constat d’huissier par exemple.

Enfin, le client prétendait que le prestataire n’avait pas livré la version mobile du site. Or, là encore, la société Open Up n’a versé aucun document au dossier à l’appui de ses allégations. En revanche, la société Simpliciweb a produit des photos de téléphone mobile et tablette, montrant que le site était visible sous ces formats mobiles.

Le juge a donc rejeté les allégations de l’appelante au motif que celle-ci n’a pas démontré une inexécution de son engagement par le prestataire. Le jugement de première instance, qui avait débouté la société Open Up de son action en résolution du contrat, a donc été confirmé en appel. Celle-ci est condamnée à régler le solde de la prestation, l’indemnité de résiliation prévue au contrat et le manque à gagner concernant le contrat de maintenance, signé mais non exécuté.

    - La preuve entre commerçants est libre

Pour rappel, sauf exceptions, la preuve entre commerçants est libre (art. L.110-3 c com.). La preuve de faits et la démonstration d’argumentaires juridiques peuvent donc se faire par la production de documents, papiers ou électroniques, signés ou non (contrats, courriers, emails, factures), des rapports d’expert ou constats d’huissier, mais également par des attestations, témoignages, aveux, etc. (2) La valeur probante de ces différents éléments est laissée à l’appréciation du juge. Ainsi, en l’espèce, le juge a admis la valeur probante des photos de téléphone mobile et tablette montrant le site sous format mobile.

Néanmoins, en règle générale, les documents produits par soi-même pour établir la preuve ne sont pas admis (art. 1363 nouv. c civ.). Il est donc recommandé de produire des documents échangés entre les parties (courriers ou emails) et si nécessaire, de faire constater les éléments de preuve - résultats d’un développement web, dysfonctionnements, frais engagés, par un tiers (expert, huissier, commissaire aux comptes) pour s’assurer que ces éléments seront admis par le juge.


    En conclusion, comme constaté dans la présente affaire, une définition des besoins insuffisante entraîne des risques de dérives sur les demandes de modifications et d’ajouts, sur les délais de livraison, et par conséquent sur le coût du projet. Or, tout projet informatique, y compris un développement web, requière une réelle implication du client, préalablement à son lancement, mais également pendant son exécution. L’alternative, pour un client ne souhaitant pas fixer ses demandes avant le début du projet, peut être d’opter pour un projet “agile”, pour autant que la taille et la complexité de ce projet le justifient, et sous réserve d’une grande rigueur dans son suivi.

Enfin, il convient de noter en l’espèce que la société Simpliciweb a demandé à titre reconventionnel la condamnation de la société Open Up à des dommages et intérêts pour rupture abusive et brutale des relations commerciales. Or, en vertu des articles L.442-6 III al. 5 et D.442-3 du code de commerce, l’examen de cette demande en appel relève de la compétence exclusive de la cour d’appel de Paris. (3)


                                                               * * * * * * * * * * * *

(1) CA Aix en Provence, 8é ch. A, 8 décembre 2016, Open Up c. Simpliciweb

(2) Les principes généraux de la preuve ont été remaniés avec la réforme du droit des obligations entrée en vigueur le 1er octobre 2016 (Ordonnance n°2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations), voir art. 1353 nouv. et s. c civ.

(3) CA Aix en Provence, 8é ch. A, 2 mars 2017, Open Up c. Simpliciweb


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2017

La simple commande d’un site web n’emporte pas la cession des codes sources au client

De très nombreuses prestations de développement de sites internet sont réalisées sur la base de devis ou bons de commande, non accompagnés d’un contrat de prestation ou ne comprenant pas de stipulation relative à la propriété intellectuelle du site. Or, en l’absence de stipulation claire en matière de cession de droits de propriété intellectuelle, le client est dépendant du prestataire. Il ne disposera que du droit d’utilisation de “son” site et ne pourra le faire évoluer sans l’accord du prestataire. D’autres contrats de prestation de développement stipulent que le prestataire conserve les droits de propriété intellectuelle, notamment sur les codes sources. Se posera alors la question de la pérennité du site au regard de son hébergement technique (possibilité de faire migrer le site vers un nouveau prestataire d’hébergement ou d’internaliser cette prestation) et surtout de son évolution fonctionnelle.

Un jugement du tribunal de commerce de Besançon de mars 2016 a rappelé ces principes, aux dépends du client. (1)


1. Les faits

Courant 2011, la société LDG Constructions avait commandé à la société Mediacom Studio le développement de sites internet pour les sociétés de son groupe, ainsi que la réservation des noms de domaine et l’hébergement des sites. Le contrat d’hébergement était renouvelable annuellement par tacite reconduction. A la fin de la première année, le contrat a été reconduit pour une nouvelle durée d’un an.

Dans un courrier du 8 mars 2013, la société LDG Constructions informait le prestataire de son souhait de reprendre l’hébergement de ses sites web en interne et lui demandait des précisions sur les modalités de transfert de l’hébergement des sites des sociétés du groupe afin de garantir leur bon fonctionnement et d’éviter toute coupure.

La société Mediacom Studio a considéré que LDG Constructions avait pris la décision de résilier son contrat d’hébergement à la date d’échéance annuelle, ce que LDG Constructions contestait. Mediacom Studio a informé la société LDG Constructions que la résiliation du contrat d’hébergement des sites mettrait un terme au droit d’utilisation des sites. Les sites web des sociétés du groupe ont donc été coupés le 12 mai 2013, à l’échéance du contrat d’hébergement.

La société LDG Constructions a assigné la société Mediacom Studio pour résiliation fautive du contrat d’hébergement.

Le litige portait notamment sur la question de déterminer si le courrier du client du 8 mars 2013 pouvait être analysé comme la résiliation du contrat d’hébergement à son échéance annuelle et la cessation du droit d’utilisation des sites web développés par Mediacom Studio.

En effet, les droits de propriété intellectuelle sur les sites n’avaient pas été cédés à la société LDG Constructions. La résiliation du contrat d’hébergement des sites a donc entraîné leur suspension.


2. La décision

Dans un jugement du 23 mars 2016, le tribunal de commerce de Besançon a suivi les arguments de la société prestataire en constatant que par son courrier du 8 mars 2013, la société LDG Constructions avait effectivement dénoncé le contrat d’hébergement.

Les juges rappellent par ailleurs le principe de protection des logiciels. Conformément à l’article L.112-2 13° du code de la propriété intellectuelle, les logiciels sont considérés comme oeuvre de l’esprit et à ce titre, protégés par le droit de la propriété intellectuelle.

En l’espèce, conformément au contrat conclu entre les parties, les droits de propriété intellectuelle sur les codes sources n’avaient pas été cédés au client. Le prestataire était donc fondé à refuser de communiquer le code source des sites internet à la société LDG Constructions. La cessation du contrat d’hébergement avec le prestataire entraînait ainsi automatiquement la coupure des sites internet.


    En conclusion, le développement d’un site web, a fortiori si celui-ci est utilisé à des fins commerciales, doit faire l’objet d’une analyse préalable concernant la propriété intellectuelle. Le site peut être développé sur une plateforme open source ou en mode propriétaire. Dans ce dernier cas, sous réserve du critère d’originalité, le site sera protégé par le droit d’auteur. Les développements appartiendront à leur auteur, à savoir en principe, au prestataire. Si la question de la propriété intellectuelle n’est pas visée dans les documents de commande ou dans le contrat, ou si les droits ne sont pas expressément cédés au client, celui-ci ne disposera que du droit d’utilisation du site, limité dans le temps.


                                                                      * * * * * * * * * * * *

(1) T com. Besançon, jugement du 23 mars 2016, LDG Constructions c. Mediacom Studio


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2016

Audit de licences de logiciels - Oracle condamné en appel pour mauvaise foi et déloyauté

 

La cour d’appel de Paris, statuant sur l’appel du jugement du Tribunal de grande instance de Paris du 6 novembre 2014, a confirmé la condamnation de la société Oracle pour ses pratiques agressives en matière d’audit de licences de logiciels. (1)


1. Les faits : incertitude et désaccord sur le périmètre de la licence des logiciels

L’Association nationale pour la formation professionnelle des adultes (AFPA) a attribué en 2002 un marché de fourniture de services informatiques à l’intégrateur Sopra Group (devenu Sopra Steria), prestataire agréé de la société Oracle. Cette société avait remporté l’appel d’offres avec la solution Oracle E-Business Suite. Le marché a pris fin en 2005. Lors de la reprise des contrats par la société Oracle, celle-ci a décidé d’organiser deux audits de licences. Le second audit a été suspendu alors que l’AFPA lançait un nouvel appel d’offres, auquel la société Oracle a décidé de répondre. Le nouveau contrat ne lui ayant pas été attribué, la société Oracle a repris l’audit qu’elle avait suspendu. A l’issue de cet audit, Oracle a conclu que l’AFPA utilisait 885 licences du logiciel Purchasing sans en avoir acquis les droits car selon Oracle, ce logiciel faisait partie d’une autre suite logicielle.

Après deux ans de négociations infructueuses, les sociétés Oracle Corporation, Oracle International Corporation et Oracle France ont assigné l’AFPA pour contrefaçon du logiciel Purchasing pour lequel l’AFPA n’aurait pas acquis les droits d’exploitation. L’AFPA a alors appelé en garantie la société Sopra Group.


2. Le jugement du TGI : le litige n’est pas un litige de contrefaçon mais porte sur le périmètre du contrat et sur sa bonne ou sa mauvaise exécution

Devant le TGI, l’AFPA soutenait que les sociétés Oracle usaient de l’audit contractuel de manière abusive, “en les détournant de leur objectif, afin de faire pression sur l’AFPA pour la dissuader de faire appel à un concurrent au moment des périodes de renouvellement contractuel, ce afin de restreindre la concurrence sur le marché des solutions SGF et sur le marché connexe des SGBDR, ces pratiques ayant pour objet ou pour effet de restreindre la concurrence au sens des dispositions des articles L.420-2 du Code de commerce (…)”.

Par ailleurs, l’AFPA explique que le logiciel Purchasing était intégré dans la suite logicielle Financials, objet du premier marché de fourniture accordé à Sopra Group. L’AFPA indiquait en outre que si le tribunal devait en juger autrement, le contrat a toutefois été exécuté de bonne foi car le logiciel Purchasing avait été installé sur son système informatique par Sopra, prestataire agréé d’Oracle.

Les juges ont estimé que les sociétés Oracle “entretiennent un doute et une confusion sur ce qu’est réellement ce logiciel” : soit le logiciel n’entre pas dans le périmètre contractuel de l’AFPA et il n’aurait pas dû être livré, soit il est compris dans le contrat, puisqu’il a été fourni en exécution du bon de commande. Les juges concluent donc que “l’AFPA exploite le logiciel Purchasing sans aucune faute puisqu’il a été inclus dans les CD préparés par les sociétés Oracle elles-mêmes qui ont donc toujours compris et admis que le contrat incluait l’exploitation de ce logiciel.”

Ainsi, selon les juges du fond, la question posée ne relevait pas du droit d'auteur, mais du droit des contrats. En effet, le tribunal a jugé qu’il "n’est à aucun moment soutenu que l’AFPA aurait utilisé un logiciel cracké ou implanté seule un logiciel non fourni par la société Sopra Group, ni même que le nombre de licences ne correspondait pas au nombre d’utilisateurs. En conséquence, le litige soumis au tribunal n’est pas un litige de contrefaçon mais bien un litige portant sur le périmètre du contrat et sur sa bonne ou sa mauvaise exécution."


3. La décision de la cour d’appel : la demande en contrefaçon est recevable, mais mal fondée ; Oracle a fait preuve de mauvaise foi et déloyauté
 

Dans un arrêt du 10 mai 2016, la cour d’appel de Paris va cependant infirmer le jugement sur le fondement de la demande, mais néanmoins retenir la responsabilité des société Oracle pour mauvaise foi et déloyauté.

Contrairement au TGI, la cour considère la demande en contrefaçon recevable, mais mal fondée et examine si l’AFPA et Sopra avaient manqué à leurs obligations contractuelles en installant et en utilisant le logiciel Purchasing. La cour a estimé "qu’en installant et en utilisant le module PO, se rattachant pour le moins au logiciel Purchasing et inclus dans le périmètre du marché Mosaïc, lequel a été dûment payé, la société Sopra Group et l’AFPA n’ont manqué à aucune de leurs obligations contractuelles ; qu’aucun acte de contrefaçon ne peut donc leur être reproché par la société Oracle International Corporation”.

La cour a en revanche retenu les demandes reconventionnelles en dommages-intérêts de l’AFPA et de Sopra pour avoir agi avec mauvaise foi et déloyauté envers ces deux organisations. Elle a estimé qu’Oracle avait profité à deux reprises de son droit contractuel de procéder à des audits, de manière à faire pression et obtenir la souscription de nouvelles licences incluses dans l’offre de 2001.

Les sociétés Oracle Corporation, Oracle International Corporation et Oracle France sont condamnées à verser 100.000 € à l’AFPA et la même somme à Sopra au titre des dommages-intérêts et 100.000 € à chacune au titre de l’article 700 (frais de procédure). L’arrêt fait l’objet d’un pourvoi en cassation.


    Comme rappelé dans notre précédent article sur cette affaire,(2) la complexité de certaines licences de logiciel, voire même de certains contrats SaaS, peut rendre la procédure d’audit de licence de logiciel très conflictuelle, entre un client-utilisateur de bonne foi et l’éditeur de logiciel, en désaccord sur le périmètre de la licence. Les utilisateurs font de plus en plus de résistance face aux audits ,qu’ils ressentent parfois comme abusifs, et n’hésitent plus à contester cette pratique, compte tenu des sommes en jeu. Les audits de licence sont néanmoins une pratique légitime des éditeurs et l’abus ou la mauvaise foi de l’éditeur devra pouvoir être prouvée en cas de poursuites judiciaires.


(1) CA Paris, pôle 5, ch. 1, arrêt du 10 Mai 2016, Oracle France, Oracle Corporation, Oracle International Corporation / AFPA, Sopra Steria Group

(2) Voir notre précédent article sur le sujet “La conduite et les conclusions des audits de licences de logiciel contestées en justice”

Nouvelle convention fiscale de non double imposition entre la France et Singapour : les conditions de retenue à la source pour les prestations de services

Une société étrangère fournissant des prestations - y compris des services de consultant, des prestations de développement de logiciel ou de sites web, des services de Cloud computing, etc. à une entreprise située à Singapour (à savoir une société de droit singapourien ou une société de droit étranger disposant d’un établissement stable à Singapour) est en principe soumise à une retenue à la source (ou "withholding tax") de 15% pour les revenus réalisés à Singapour. (1)

Cette retenue à la source est applicable aux prestations réalisées par la société étrangère sur le territoire de Singapour. En revanche, si les prestations sont réalisées à distance, en dehors de Singapour, et que les résultats sont ensuite envoyés ou mis à disposition au client à Singapour, les revenus ne seront pas soumis à cette retenue à la source.

La retenue à la source peut être réduite, voire supprimée, s’il existe une convention fiscale entre Singapour et le pays de la société fournissant la prestation de service.

La république de Singapour a signé plusieurs conventions de non double imposition avec des pays étrangers, dont la France.

Une nouvelle convention évitant les doubles impositions entre Singapour et la France est entrée en vigueur le 1er juin 2016. Cette convention remplace une convention plus ancienne, datant du 9 septembre 1974. (2)

Ainsi, pour des entreprises françaises du secteur IT qui fourniraient des prestations à des sociétés singapouriennes, l’application de la convention de non double imposition signifie que, sous réserve que la société française n’ait pas d’établissement stable à Singapour (tel que défini à l’article 5 de la convention), les revenus réalisés et facturés par cette société française seront imposés en France, et non à Singapour. La société singapourienne qui paiera les prestations (redevances) au prestataire français n’aura pas à appliquer de retenue à la source, sous réserve de remplir les conditions sus-mentionnées. (3)

Singapour est un partenaire commercial d’importance pour la France. Un nombre croissant de sociétés françaises choisissent Singapour, souvent comme “hub” et point d’entrée dans le marché de l’ASEAN, pour développer leurs activités vers l’Asie. Le renouvellement de cette convention de non double imposition entre les deux pays devrait être perçu comme une incitation à l’accélération de leurs relations commerciales bilatérales.

Pour toute question fiscale spécifique, notamment concernant les problèmes de retenue à la source, de TVA et de GST, il est recommandé de consulter un avocat fiscaliste.


                                                                 * * * * * * * * * * *

N.B. : dans ce court article, nous nous concentrons sur les sociétés de services et la problématique de la retenue à la source. On notera cependant que la convention fiscale couvre de nombreux domaines non abordés ici.

(1) Le taux applicable dépend du service fourni et du type de paiement. Pour de plus amples informations, il est recommandé de se rendre sur le site du Inland Revenue Authority of Singapore (www.iras.gov.sg)

(2) Convention entre le gouvernement de la République française et le gouvernement de la République de Singapour tendant à éviter les doubles impositions et à prévenir l’évasion fiscale en matière d’impôts sur les revenus, conclue le 15 janvier 2015 et entrée en vigueur le 1er juin 2016. La précédente convention avait été conclue le 9 septembre 1974 et était entrée en vigueur le 1er août 1975.

(3) Voir l’article article 7 par.1 de la Convention, “Bénéfices des entreprises”


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2016

Hébergement de données de santé : les modifications apportées par la loi du 26 janvier 2016

Le Code de la santé publique dispose que toute personne prise en charge par un professionnel ou un établissement de santé a droit au respect de sa vie privée et au secret des informations la concernant. Les professionnels de santé, ainsi que ceux intervenant dans le système de santé, sont soumis au secret médical (art. L.1110-4 CSP).

Les professionnels de santé sont également tenus de respecter les obligations relatives aux traitements de données à caractère personnel, en leur qualité de responsable du traitement. Parmi ces obligations, la sécurité des données de santé constitue un impératif.

Les données de santé à caractère personnel sont considérées comme des informations sensibles, soumises à un haut niveau de sécurité, physique et technique, a fortiori en cas d’hébergement par un prestataire tiers.

Depuis l’entrée en vigueur de la loi “Kouchner” de 2002, les prestataires hébergeurs de données de santé doivent être agréés. La loi du 26 janvier 2016 de modernisation de notre système de santé a apporté un certain nombre de modifications à l’article L.1111-8 du Code de la santé publique relatif à l’hébergement de données de santé. Le périmètre des données, et les catégories de personnes concernées par l’hébergement agréé, ont été élargies. L’obligation d’agrément est maintenue et renforcée. (1)


1. L’élargissement des catégories de données et des parties concernées

Les données de santé hébergées par un prestataire tiers, doivent l’être chez un hébergeur agréé. La loi santé du 26 janvier 2016 a modifié le périmètre des catégories de données de santé concernées par cette obligation.

Qu’entend-on par “donnée de santé” ?
On entend généralement par “donnée de santé” les informations relatives à l'état de santé (tant physique que psychique) d'un patient, recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins du patient. Il s’agit de données à caractère personnel, dont la collecte et le traitement sont régis par les dispositions de la loi Informatique et Libertés, complétée en l’espèce par le Code de la santé publique (CSP).(2)

Bien que la collecte et le traitement de données de santé à caractère personnel soit interdit par principe, il existe en pratique de nombreuses exceptions, notamment pour les cas de collecte par les professionnels et établissements de santé, les services médico-sociaux, mais également la collecte et le traitement par des organismes tiers, tels les compagnies d’assurance et sociétés mutuelles.

Les catégories de données concernées par l’hébergement agréé :
Dans son ancienne rédaction, l’article L.1111-8 al.1 du CSP disposait que les données de santé à caractère personnel “recueillies ou produites à l’occasion des activités de prévention, de diagnostique ou de soins” étaient concernées par cette obligation d’hébergement agréé. Or, si la question était claire pour les données de santé recueillies par les professionnels et les établissement de santé (médecins, infirmiers, hôpitaux et cliniques), la situation était plus confuse pour les autres acteurs pouvant intervenir, même à titre accessoire, dans le domaine de la santé.

Cette ambigüité est levée avec la nouvelle rédaction de l’article L.1111-8 qui étend les catégories de données concernées et inclut désormais les données recueillies à l’occasion du “suivi social et médico-social”.

Les parties concernées par l’hébergement agréé :
Selon l’ancien article L.1111-8 al.1 du CSP les professionnels de santé, les établissements de santé et la personne concernée étaient les seules parties explicitement visées par cette obligation.  Une question se posait pour les autres organismes amenés à collecter des données de santé.

Le nouvel article ne précise plus les personnes concernées par la collecte et le traitement, et suit la doctrine de la CNIL et du Comité d'agrément des hébergeurs de donnés de santé (CAH). Ceci signifie qu’en pratique, toute personne physique ou morale qui collecte et/ou traite des données de santé à caractère personnel et souhaite les faire héberger par un tiers, est soumise à l’obligation d’avoir recours à un hébergeur agréé.

Ainsi, non seulement les médecins et autres professionnels de santé (professions para-médicales), les établissements de santé (hôpitaux et cliniques) restent concernés mais également le cas échéant, les compagnies d’assurance et les mutuelles (collecte et traitement de données de santé dans le cadre de leur procédure d’octroi de prêts, assurance-vie, contrats de prévoyance, remboursement de frais de santé, etc.), les maisons de retraite (EHPAD - suivi de l’état de santé des résidents), les services de santé au travail (état de santé des salariés), les fédérations sportives (aptitude physique des licenciés à la pratique du sport).

Le stockage de données en interne et le stockage mutualisé :
Il convient de noter que les parties qui collectent et traitent des données de santé sans hébergement tiers ne sont pas soumises à l’agrément. Ainsi, un établissement hospitalier qui stockerait les données de ses patients sur ses propres serveurs en interne n’est pas concerné par l’obligation d’agrément. En revanche, si cet établissement stockait non seulement ses propres données de santé, mais également celles d’établissements ou de médecins tiers, il s’agira pour ces données, d’une prestation d’hébergement tiers soumise à l’agrément. De même, les établissements de coopération sanitaire (Groupements de coopération sanitaire, Communautés hospitalières, etc.) qui mettent leur système d’hébergement à la disposition de leurs membres sont soumis à la procédure d’agrément. (3)

L’information de la personne prise en charge :
Par ailleurs, le consentement exprès de la personne concernée (patient, personne prise en charge) pour l’hébergement externalisé de ses données n’est plus requis. Répondant à une contrainte pratique, la personne prise en charge doit être “dûment informée” et ne pourra s’opposer à l’hébergement externalisé de ses données “que pour un motif légitime”.


2. L’agrément de l’hébergeur de données de santé : une obligation maintenue et renforcée

On soulignera que l’ancienne rédaction de l’article L.1111-8 al.1 du CSP faisait peser l’obligation du dépôt de données de santé chez un hébergeur agréé sur les déposants (professionnels et établissements de santé), en qualité de responsables de traitement. Or, la nouvelle rédaction met désormais l’accent non plus sur les déposants, mais sur le prestataire, précisant que la personne qui héberge des données de santé doit être agréée à ce effet. Il en ressort donc un infléchissement de la responsabilité vers le prestataire d’hébergement.

Les conditions de l’agrément :
Seuls les prestataires hébergeurs agréés sont habilité à héberger des données de santé à caractère personnel. L’agrément est délivré après une évaluation des capacités des prestataires candidats, portant sur les aspects financiers, éthiques et de sécurité de leur activité.

Les conditions de l’agrément n’ont pas changé avec la loi du 26 janvier 2016. Celles-ci ont été fixées par deux décrets de 2006 et 2011, codifiés aux articles R.1111-9 et suivants du CSP, et précisées par l’ASIP-Santé.

Le délai de traitement de la demande d’agrément est de cinq à huit mois. L’agrément est prononcé par le ministre chargé de la santé, après avis de la CNIL et du Comité d'agrément des hébergeurs de donnés de santé. L’agrément est délivré pour une durée de trois ans. Il peut être retiré en cas de non-conformité de l’hébergeur aux obligations légales, réglementaires ou aux prescriptions fixées par l’agrément. (4)

Il existe actuellement 92 hébergeurs agréés, dont la liste à jour figure sur le site de l’ASIP-Santé. (5)

Le contrat d’hébergement de données de santé :
L’hébergement de données de santé à caractère personnel doit faire l’objet d’un contrat, conclu entre l’hébergeur et le déposant des données (professionnel ou établissement de santé, etc.). Le modèle de contrat est communiqué par le prestataire avec son dossier de demande d’agrément. Ce contrat doit comprendre, a minima, les conditions listées à l’article R.1111-13.

A l’issue de la prestation d’hébergement des données de santé, l’hébergeur restitue les données à la personne qui les lui a confiées sans en garder de copie. Le contrat d’hébergement prévoit les “prestations à la fin de l’hébergement”, à savoir, les conditions de la réversibilité de la base de données à la personne qui les lui a confiées ou au nouveau prestataire d’hébergement.

L’hébergement en dehors du territoire français :
L’obligation de recourir à un hébergeur agréé pour l’hébergement de données de santé recueillies en France peut produire des effets extra-territoriaux. En effet, selon l’ASIP-Santé, rien ne s’oppose à ce qu’une base de données de santé à caractère personnel soit hébergée en dehors du territoire français. Cependant, l’hébergeur étranger est tenu de respecter les conditions légales et réglementaires applicables en France, notamment en matière d’agrément.

De même, les hébergeurs étrangers qui seraient amenés à proposer une prestation d’hébergement de données de santé en France devront s’assurer que leur activité est conforme à la réglementation française.

En outre, en cas de transfert des données de santé à caractère personnel en dehors de l’Union européenne, les parties devront par ailleurs respecter dispositions de la loi Informatique et Libertés applicables. Il conviendra notamment d’être vigilant en cas d’hébergement des données en mode Cloud. (6)


                                                           * * * * * * * * * * * *

(1) Loi n°2016-41 du 26 janvier 2016 de modernisation de notre système de santé et plus particulièrement, voir article 96, codifié sous l’article L.1111-8 du Code de la santé publique

(2) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée, et concernant les données de santé, l’article 8 ; Loi n°2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de soins (dite “Loi Kouchner”) ; Articles L.1110-4, L.1111-7, L.1111-8, R.1110-1, R.1111-1 et suivants du Code de la santé publique; Articles 226-16 et suivants du Code pénal.

(3) FAQ Asip-Santé

(4) Décret n°2006-6 du 4 janvier 2006 relatif à l'hébergement de données de santé à caractère personnel et modifiant le code de la santé publique (dispositions réglementaires) ; Décret n°2011-246 du 4 mars 2011 relatif à l'hébergement de données de santé à caractère personnel sur support papier et modifiant le code de la santé publique et articles R. 1111-9 et suivants du CSP.

(5) http://esante.gouv.fr/services/referentiels/securite/hebergeurs-agrees

(6) Voir également nos précédents articles sur ce sujet publiés sur le blog du Cabinet: “L’hébergement de données de santé en Cloud soumis à des contraintes particulières” et “Données de santé : des obligations de sécurité spécifiques pour les professionnels de santé”

Bénédicte DELEPORTE – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2016

Utilisation de bases de données par un métamoteur de recherche externe : les conditions de licéité rappelées par la CJUE

Dans une décision du 19 décembre 2013, la Cour de justice de l’Union européenne (CJUE) a rappelé les conditions d’utilisation d’un métamoteur de recherche dédié pour que celui-ci ne soit pas considéré comme enfreignant les droits des exploitants des bases de données. (1)

Le litige opposait deux sociétés néerlandaises : la société Innoweb, qui exploite un métamoteur de recherche dédié dans le domaine de la vente automobile (gaspedaal.nl), à la société Wegener, qui exploite un site web d’annonces de vente de voitures d’occasion (autotrack.nl).

La société Wegener, considérant qu’Innoweb portait atteinte à ses droits d’exploitant de base de données par la mise à disposition d’un métamoteur de recherche, a assigné cette dernière afin de mettre fin à l’atteinte à ses droits. Wegener a obtenu gain de cause pour la plupart de ses demandes en première instance. La société Innoweb a fait appel. La cour a alors décidé de poser une série de questions préjudicielles à la Cour de justice de l’Union européenne portant sur l’étendue de la protection des bases de données dans le cadre d’une utilisation par un métamoteur de recherche dédié.

Après avoir rappelé les conditions de la protection juridique d’une base de données, nous verrons comment ces conditions ont été appliquées à l’utilisation d’un métamoteur de recherche dédié.


1. Les sites de petites annonces protégés par le droit des bases de données

Les sites de petites annonces constituent des bases de données, protégées juridiquement.

- La protection juridique des bases de données : un droit sui generis
La directive européenne du 11 mars 1996 a consacré un droit sui generis de la protection des bases des données, indépendant de la protection par le droit d’auteur, et essentiellement axé sur la protection des droits patrimoniaux du fabricant, ou producteur, de bases de données.

Considérant en effet que le développement d’une base de données implique généralement un investissement humain et financier conséquent, sa protection juridique permet au fabricant de limiter ou d’interdire toute extraction ou réutilisation non autorisée des données. L’utilisation de la base dans sa totalité ou une partie substantielle, ou de manière répétée et systématique (par exemple, liste d’abonnés aux pages jaunes, catalogue de produits d’un site de e-commerce ou liste de petites annonces), est soumise à l’autorisation (contrat de licence) de l’ayant-droit, accordée en principe contre rémunération.

En revanche, toutes les bases de données ne sont pas automatiquement protégées. Seules les bases de données dont la collecte de données, leur vérification ou la présentation du contenu attestent un investissement, qualitatif ou quantitatif, substantiel sont protégées juridiquement.

- Les notions d’extraction et de réutilisation des données
Concernant les bases de données protégées, la directive définit les notions d’extraction et de réutilisation comme suit :

“extraction” signifie “le transfert permanent ou temporaire de la totalité ou d'une partie substantielle du contenu d'une base de données sur un autre support par quelque moyen ou sous quelque forme que ce soit” ;

“réutilisation” signifie “toute forme de mise à la disposition du public de la totalité ou d'une partie substantielle du contenu de la base par distribution de copies, par location, par transmission en ligne ou sous d'autres formes (…)”

La directive précise ensuite que “l'extraction et/ou la réutilisation répétées et systématiques de parties non substantielles du contenu de la base de données qui supposeraient des actes contraires à une exploitation normale de cette base, ou qui causeraient un préjudice injustifié aux intérêts légitimes du fabricant de la base, ne sont pas autorisées.” (3)

A contrario, l’utilisation d’une base de donnés par un tiers à des fins de consultation ponctuelle par exemple, n’est pas considérée comme portant atteinte aux droits du producteur.


2. Les conditions d'une utilisation licite des bases de données par un métamoteur de recherche

- Les questions posées à la CJUE
Un site web proposant un métamoteur de recherche peut-il être utilisé, sans l’accord des fabricants des bases de données référencées, pour réutiliser du contenu d’une base de données accessible en ligne en procédant, en temps réel, à des recherches dans la totalité ou une partie substantielle du contenu de ces bases de données tierces ?

Si le métamoteur de recherche ne renvoie aux utilisateurs qu’une partie minime du contenu de la base de données tierce, ou la fait apparaître sur son site web selon sa propre présentation et que les actes de recherche sont répétés en permanence, une telle utilisation du métamoteur correspond-elle alors à une réutilisation répétée et systématique de parties non substantielles du contenu de la base de données, contraire aux intérêts du fabricant de la base ?

C’est en substance la problématique soulevée par la cour d’appel néerlandaise à la CJUE dans l’affaire opposant la société Innoweb à Wegener.

- Définition d’un métamoteur de recherche dédié
Dans un premier temps, la Cour définit en quoi consiste un métamoteur de recherche dédié, puis applique les critères établis par la directive afin de déterminer si l’utilisation des bases de données par ce type de métamoteur enfreint les droits des fabricants.

La Cour distingue entre les moteurs de recherche fonctionnant sur des algorithmes, tels que Google ou Yahoo et les métamoteurs de recherche dédiés. Concernant ce type de métamoteur, l’exploitant du service ne dispose pas d’un moteur de recherche propre mais a recours aux moteurs de recherche utilisés par les sites tiers, couverts par le service de recherche.

Le qualificatif “dédié” signifie que le métamoteur est spécialisé dans les recherches sur un ou plusieurs domaines déterminés (en l’espèce, la vente de voitures d’occasion), permettant, par une seule requête, d’étendre la recherche sur plusieurs sites tiers d’annonces. Le métamoteur de recherche dédié traduit “en temps réel” les requêtes des utilisateurs dans les différents moteurs de recherche des sites tiers, permettant de balayer les données de ces bases.

En l’espèce, le métamoteur du site gaspedaal.nl permet de procéder à des recherches dans les bases de données de vente de voitures selon plusieurs critères (marque, modèle, kilométrage, année et prix notamment). Les résultats obtenus sont agrégés, le site du métamoteur affichant les liens vers les annonces correspondant à la requête. En l’espèce, les données n’étaient pas extraites des bases couvertes par le métamoteur.

- Notion de réutilisation des contenus de la base de données
La Cour analyse ensuite la notion de réutilisation, au regard de la finalité définie dans la directive, en l’appliquant au métamoteur de recherche dédié.

Selon la Cour, la notion de réutilisation au sens de l’article 7 de la directive, “doit être interprétée comme se référant à tout acte consistant à mettre à la disposition du public, sans le consentement de la personne qui a constitué la base de données, les résultats de son investissement, privant ainsi cette dernière de revenus censés lui permettre d’amortir le coût de cet investissement”, peu importe la nature ou la forme du procédé utilisé.

L’activité de l’exploitant d’un métamoteur de recherche a pour objet de fournir aux internautes un dispositif permettant d’explorer toutes les données figurant dans des bases de données protégées, en accédant à l’intégralité du contenu des bases par d’autres voies que celles prévues par les fabricants de ces bases de données. Cette activité a notamment des conséquences financières pour les exploitants des bases de données. En effet, les internautes n’ont plus besoin de se rendre sur leurs sites pour faire leurs recherches, ni même pour accéder aux annonces (ou au moins, sans passer par la page d’accueil du site de petites annonces). Les revenus publicitaires des sites de petites annonces sont alors potentiellement affectés.

La Cour en conclut que l’exploitant d’un métamoteur de recherche dédié procède effectivement à une réutilisation du contenu d’une base de données, au sens de la directive. Cette réutilisation porte sur une partie substantielle, voire même sur la totalité, du contenu de la base concernée, dès lors que le métamoteur : i) fournit à l’utilisateur final un formulaire de recherche offrant les mêmes fonctionnalités que le formulaire de la base de données ; ii) traduit en temps réel les requêtes des utilisateurs finaux dans le moteur de recherche de la base de données, permettant ainsi d’explorer toutes les données de la base ; et iii) présente à l’utilisateur final les résultats sous l’apparence extérieure de son site internet en réunissant les doublons en un seul élément, mais dans un ordre fondé sur des critères comparables à ceux utilisés par le moteur de la base de données pour présenter ses résultats.


    En conséquence, un site qui mettrait à la disposition des internautes un métamoteur de recherche dédié, sans avoir au préalable obtenu l’accord des exploitants des sites couverts par ce métamoteur (et quelque soit le domaine couvert par le métamoteur) doit respecter les critères suivants pour ne pas enfreindre les droits des fabricants des bases de données concernées :
    - fournir un formulaire de recherche comprenant des fonctionnalités différentes de celles proposées par les formulaires des bases de données couvertes ;
    - ne pas traduire en temps réel les requêtes des utilisateurs dans le moteur de recherche de la base de données afin de ne pas explorer toutes les données de cette base ; et
    - ne pas présenter à l’utilisateur les résultats de recherche sous l’apparence extérieure de son site internet, en réunissant les doublons en un seul élément et dans un ordre fondé sur des critères comparables à ceux utilisés par le moteur de la base de données pour présenter ses résultats.

Ainsi, l’exploitant d’un métamoteur de recherche a deux solutions pour ne pas enfreindre les droits des fabricants des bases de données des sites couverts : soit obtenir l’accord de ces sites tiers pour interroger leurs bases de données et proposer les résultats obtenus en temps réel, selon un format similaire à celui utilisé par le/les sites d’annonces, soit exploiter le métamoteur sans l’accord des sites tiers, mais en respectant les critères définis par la CJUE, en acceptant le fait que ces contraintes techniques donneront des résultats certainement moins pertinents pour les utilisateurs.

                                                            * * * * * * * * * * *

(1) CJUE, 5ème chambre, décision du 19 décembre 2013, Innoweb BV, Wegener ICT Media BV, Wegener Mediaventions BV

(2) Directive 96/9/CE du Parlement européen et du Conseil du 11 mars 1996 concernant la protection juridique des bases de données, transposée en droit français aux articles L.341-1 et suivants du code de la propriété intellectuelle

(3) Article 7.2 et 7.3 de la directive


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2015

Quel cadre légal pour le traitement des données personnelles des mineurs sur internet ?

Selon une étude Ipsos Connect menée en 2014, en France, les enfants de 7 à 12 ans passent en moyenne 5 heures par semaine sur internet, cette durée dépassant 11 heures par semaine pour les adolescents de 13 à 19 ans. (1) Pour autant, les enfants ne connaissent pas les règles de protection de la vie privée et peuvent être amenés à s’inscrire sur des sites et à communiquer des données sans comprendre les conséquences de tels actes.

En mai 2015, 29 autorités nationales de protection des données, regroupées au sein du GPEN (Global Privacy Enforcement Network), ont réalisé une opération d’audit en ligne conjointe sur près de 1.500 services web destinés aux mineurs (sites de jeux, réseaux sociaux et services éducatifs ou de soutien scolaire).

L’objectif de ces audits était de vérifier si les sites et applications internet consultés par les enfants et adolescents respectaient les règles de protection de la vie privée. Les points de contrôle portaient sur le type de données collectées, le niveau d’information et son adaptation aux jeunes utilisateurs ainsi que l’existence de mesures particulières de vigilance ou de contrôle parental pour les plus jeunes.

Les résultats de cette opération, dénommée “Internet Sweep Day”, viennent d’être publiés par la CNIL. (2) Selon ces autorités de protection des données, la protection de la vie privée des mineurs, sur les différents services examinés, est globalement insuffisante.

Après avoir brièvement rappelé le cadre légal de la protection des données personnelles, nous examinons ci-après les initiatives en cours vers un renforcement de la protection de la vie privée des mineurs et les règles de traitement qui devront être déployées par les exploitants de services numériques à destination des mineurs.


1. Le cadre légal de la protection des données personnelles : des règles générales qui s’appliquent à tous, sans distinction d’âge

La loi Informatique et Libertés du 6 janvier 1978 a été modifiée en 2004 pour transposer la directive européenne sur la protection des données personnelles du 24 octobre 1995. (3) Ces textes ne contiennent pas de dispositions relatives aux données personnelles des mineurs. Les dispositions légales s’appliquent donc à tous (adultes et enfants), sans distinction d’âge.

Les principales règles en matière de collecte et de traitement de données à caractère personnelle peuvent être résumées ainsi :

- Une collecte de données loyale et licite ;
- Une obligation de déclaration à la CNIL préalablement à la mise en oeuvre du traitement, ou éventuellement l’obligation de faire une demande d’autorisation pour certains types de traitements ;
- Un traitement de données conforme à la finalité déclarée (ou autorisée) ;
- Le consentement de la personne concernée à la collecte de ses données, accompagné d’une obligation d’information de la personne sur ses droits d’accès, de correction et d’opposition (désinscription / suppression) ;
- La conservation des données pour une durée raisonnable. A l’expiration du délai nécessaire au traitement, y compris les obligations légales de conservation (durées de prescription légale), les données doivent être supprimées ;
- Une obligation de sécurité des données. Le responsable de traitement doit mettre en oeuvre des mesures de sécurité physiques et techniques afin d’éviter tout accès non autorisé aux serveurs d’hébergement afin que les données ne soient modifiées, effacées, voire divulguées au public.

Les sanctions encourues en cas de non-respect à la loi Informatique et Libertés sont sévères : amendes administratives prononcées par la CNIL d'un montant maximum de 300.000€, et condamnations pénales allant jusqu’à 5 ans d’emprisonnement et 300.000€ d’amende.


2. Vers la reconnaissance d’une protection renforcée de la vie privée des mineurs

En Europe, l’absence de régime spécifique aux mineurs ne signifie pas que les organismes, publics ou privés, ne réfléchissent pas à cette problématique, et ce depuis une dizaine d’années. De plus en plus de personnalités, issues tant du monde politique et réglementaire que du monde du numérique et des médias, reconnaissent le besoin de faire évoluer la réglementation sur la protection de la vie privée des mineurs. En effet, les éditeurs de sites pour enfants et adolescents sont aujourd’hui fortement incités à faire preuve d’une vigilance accrue dès lors qu’ils traitent des informations sur leurs jeunes utilisateurs et clients.

Des initiatives publiques et privées
De nombreux textes, recommandations, avis, chartes, définissant les mesures à déployer pour assurer un niveau de protection renforcée aux données des mineurs, ont été adoptés par des organismes publics et privés.

On citera par exemple les recommandations et actions de sensibilisation de la CNIL (rapport "Internet et la collecte de données personnelles auprès de mineurs”, site Jeunes.cnil.fr, organisation du Safer Internet Day en France, animation du collectif pour l’éducation au numérique, etc.), ou encore les avis publiés par le Groupe de l’article 29 (ou “G29”), réunissant les autorités européennes de contrôle de la protection des données (avis portant sur "la protection des données à caractère personnel de l'enfant" et "les réseaux sociaux en ligne”). (4)

Plusieurs organisations professionnelles ont également souhaité apporter des garanties de protection renforcée aux mineurs. Ces initiatives figurent dans les chartes et codes édités par l'Union Française du Marketing Direct (UFMD), l’Autorité de régulation professionnelle de la publicité (ARPP) ou la Chambre de commerce internationale (ICC) par exemple. (5)

Même si ces textes doivent être interprétés comme de la “soft law”, et ne sont pas obligatoires, ils servent néanmoins de repères et permettent de faire évoluer le droit. Ces recommandations et engagements divers peuvent être mis en oeuvre par les acteurs du numérique afin de démontrer leur engagement citoyen pour une meilleure protection de la vie privée des jeunes.

Le futur règlement européen sur la protection des données personnelles
En janvier 2012, le Parlement européen et le Conseil de l’Union européenne ont publié une proposition de règlement visant à réformer le cadre juridique de la protection des données personnelles dans l’Union européenne. (6) Ce texte, qui devrait en principe être adopté fin 2015/début 2016, a fait l'objet de nombreux débats. Ce règlement européen, une fois le texte définitif adopté, sera d’application immédiate et uniforme dans l’ensemble de l’Union européenne et viendra remplacer la Directive de 1995 et les différentes lois nationales de protection des données personnelles, y compris la loi Informatique et Libertés de 1978.

La proposition de règlement européen sur la protection des données à caractère personnel marque une évolution importante concernant la protection de la vie privée des enfants. Plusieurs dispositions spécifiques les concernent.

Le règlement proposé définit expressément l'enfant comme une personne de moins de 18 ans, même si une distinction est parfois faite entre les enfants de moins de 13 ans et les adolescents entre 13 et 18 ans.

Le texte affirme ainsi que :
- “les données à caractère personnel relatives aux enfants nécessitent une protection spécifique car ceux-ci peuvent être moins conscients des risques, des conséquences, des garanties et de leurs droits en matière de traitement des données” ;
- Les enfants seraient exclus des opérations de profilage par traitement automatisé ;
- Des formulaires types relatifs au traitement de données à caractère personnel des enfants seraient définis par la Commission pour garantir des conditions uniformes de mise en oeuvre du règlement à travers l’Union ;
- Enfin, les traitements de données personnelles des enfants de moins de 13 ans ne seraient licites que sous réserve que le consentement soit donné par un parent ou la personne qui en a la garde. (7)

Le montant des sanctions prévues en cas de non conformité aux obligations édictées par le règlement est particulièrement dissuasif : 500 000 euros ou, dans le cas d'une entreprise, 1% de son chiffre d’affaires annuel mondial. Bien que ces chiffres ne soient pas encore définitifs, les montants seront plus élevés que sous la législation actuelle.


3. Quelques recommandations et bonnes pratiques à adopter par les éditeurs de services web et mobiles pour mineurs

Bien qu’il n’existe pas encore en Europe d’obligation spécifique relative à la collecte et au traitement de données personnelles de mineurs, il est fortement recommandé aux services numériques destinés aux enfants, d’anticiper l’évolution de la réglementation.

Plusieurs séries de mesures peuvent d’ores et déjà être déployées ou planifiées, et ce même si le règlement européen n’entrera en vigueur que deux ans après son adoption.

Outre les obligations applicables à toute collecte de données à caractère personnel, les mesures suivantes peuvent ainsi être mises en place :

- Consentement parental : la proposition de règlement soumet le caractère licite des traitements de données personnelles des enfants de moins de 13 ans à l’autorisation des parents. Le consentement parental est incontournable en cas de collecte de données sensibles (données relatives à la santé, aux convictions religieuses ou à l’origine raciale), des photographies de mineur, et de cession des données à des tiers à des fins de prospection commerciale ;

- Mesures techniques : l’éditeur d’un service web ou mobile devra déployer des moyens techniques permettant de s'assurer de l'effectivité du consentement de l'enfant et de l'autorisation des parents, ainsi que des technologies protectrices de la vie privée, telles que des paramètres par défaut ;

- Information et transparence : l’exploitant d’un site ou d’une application mobile devra fournir des informations et communiquer dans des termes adaptés, facilement compréhensibles par un enfant ;

- Droit à l'oubli numérique : enfin, les mineurs devront pouvoir obtenir du responsable du traitement l’effacement et la cessation de la diffusion des données les concernant.


     Les résultats de l’Internet Sweep Day ont fait apparaître des niveaux de protection et d’information insuffisants sur les sites destinés aux jeunes : défaut de sensibilisation spécifique auprès des jeunes sur la collecte de leurs données, redirections vers des sites tiers (dont des sites marchands), dépôt de cookies sans information. Compte tenu de la volonté affirmée par les autorités européennes de renforcer les règles de protection de la vie privée des mineurs, il est recommandé aux éditeurs de services numériques à destination des jeunes de préparer la mise en conformité de leurs services.

On notera enfin que les Etats-Unis, qui ne disposent toujours pas de loi globale au niveau fédéral sur la protection des données personnelles, ont légiféré dès 1998 sur la protection des données des enfants collectées sur internet, avec la loi COPPA (Children’s Online Privacy Protection Act - 1998). (8) La loi COPPA ne s’applique cependant qu’aux données des enfants de moins de 13 ans collectées par des sites web qui leur sont destinés ou qui savent que des enfants utilisent leurs services. Cette loi s’applique aux sites américains, et aux sites étrangers qui ciblent le marché américain (sites de e-commerce, services en ligne ou réseaux sociaux non-américains utilisés par des jeunes américains).


                                                          * * * * * * * * * * *

(1) Voir citation sur le site de la CNIL à http://www.cnil.fr/les-themes/internet-telephonie/actualite/article/internet-sweep-day-les-sites-pour-enfants-sont-ils-respectueux-de-la-vie-privee/

(2) Communiqué CNIL du 2 septembre 2015, Vie privée des enfants : une protection insuffisante sur les sites Internet.

(3) Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ; Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

(4) Rapport CNIL intitulé "Internet et la collecte de données personnelles auprès de mineurs", publié le 12 juin 2001 ; Avis 2/2009 du G29 sur la protection des données à caractère personnel de l'enfant, adopté le 11 février 2009, WP160 et Avis 5/2009 sur les réseaux sociaux en ligne, adopté le 12 juin 2009, WP163.

(5) Voir la Charte de l’emailing adoptée par l’UFMD en mars 2005, la recommandation “Enfant” de l’ARPP de juin 2004 et le Code ICC consolidé sur les pratiques de publicité et de communication commerciale de 2006, révisé en avril 2015

(6) Proposition de Règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, COM(2012) 11 final, le 25 janvier 2012.

(7) Considérants 29, 58, et 130 et article 8 de la proposition de règlement.

(8) Children’s Online Privacy Protection Act - 1998 (COPPA). Voir par exemple les FAQs sur le site de la Federal Trade Commission https://www.ftc.gov/tips-advice/business-center/guidance/complying-coppa-frequently-asked-questions


Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com


Septembre 2015