La collecte de données personnelles sur les réseaux sociaux soumise à la loi Informatique et Libertés

Les informations personnelles mises en ligne par les utilisateurs des réseaux sociaux ont une réelle valeur économique, pour les annonceurs et les prestataires de services notamment. Toutefois, l’utilisation de ces données par des tiers n’est pas libre, alors même que ces informations sont visibles par tous. En effet, la collecte et le traitement de ces données doivent respecter les principes définis par la loi Informatique et Libertés. C’est ce qu’a rappelé la CNIL dans une délibération rendue le 21 septembre 2011, sanctionnant la société PagesJaunes pour avoir mis en oeuvre un traitement de données non conforme à la loi.(1)


1. Le traitement mis en oeuvre par la société PagesJaunes pour enrichir ses annuaires

Début 2010, la société PagesJaunes, éditrice des services d'annuaires Pages Jaunes et Pages Blanches sur internet, a déclaré à la CNIL un nouveau service en ligne mettant en oeuvre une fonctionnalité de "web crawl", visant à enrichir le contenu de ses annuaires et bases de données. Ainsi, courant 2010, la société PagesJaunes a, par le biais d'un logiciel de collecte automatique de données sur internet, récupéré les données d’utilisateurs inscrits sur plusieurs réseaux sociaux (photo, établissements scolaires, profession, employeur, etc.) pour compléter les informations disponibles sur le site des pages blanches (identité, coordonnées téléphoniques, adresse postale). La société a ainsi indexé sur son site près de 34 millions de profils communautaires, issus de 6 réseaux sociaux : Facebook, Twitter, Viadeo, LinkedIn, Trombi et Copains d'avant.

Saisie de plaintes de particuliers ne parvenant pas à faire valoir leur droit d'opposition à la réutilisation des données les concernant, la CNIL a ordonné une mission de contrôle sur place, dans les locaux de la société. Lors de ce contrôle, la CNIL a notamment pu constater les éléments suivants :

- Les informations personnelles "aspirées" puis mises en ligne par la société PagesJaunes étaient collectées sans que les utilisateurs des réseaux sociaux aient donné leur consentement ni même en aient été informés. En outre, la collecte pouvait concerner des données relatives à des mineurs et à des personnes inscrites sur la liste rouge téléphonique.

- Pour s'assurer que les données collectées ne correspondaient qu'à des personnes résidant en France, PagesJaunes procédait à un filtrage des pages issues des réseaux sociaux. Pour ce faire, la société extrayait de son annuaire les nom et prénoms de ses abonnés pour les conserver dans un fichier intermédiaire puis les croiser avec la base de données contenant les profils des réseaux sociaux.

- Les personnes ne souhaitant pas apparaître sur le site des Pages Blanches avaient la possibilité de s'y opposer, a posteriori, en remplissant un formulaire en ligne. Or, l'intéressé devait remplir autant de formulaires que de profils détenus sur les réseaux sociaux et toute demande d'opposition imprécise n’était pas traitée.

- Les suppressions demandées par les personnes exerçant leur droit d'opposition n’étaient pas définitives puisque leurs profils pouvaient de nouveau être indexés automatiquement par le logiciel des PagesJaunes, en cas de changement d’URL d’un profil par exemple.

- Enfin, les informations figurant sur le site des Pages Blanches, résultant de l'indexation de profils communautaires, n’étaient pas à jour, car non régulièrement actualisées par la société PagesJaunes.

La CNIL a donc considéré que les procédés de collecte et de traitement des données personnelles, mis en oeuvre par la société PagesJaunes, n’étaient pas conformes à la loi Informatique et Libertés. En outre, bien que la société ait suspendu le traitement litigieux de "web crawl" avant la délibération de la CNIL, la Commission a prononcé à son encontre un avertissement rendu public.

Quels sont les manquements à la loi Informatique et Libertés reprochés à la société PagesJaunes ?


2. Une collecte et un traitement de données à caractère personnel jugés non conformes à la loi Informatique et Liberté

    2.1 Une collecte déloyale et illicite des données à caractère personnel

L'absence de consentement préalable des personnes concernées
La loi prévoit que le responsable d'un traitement de données doit mettre en oeuvre une collecte loyale, par l’obtention notamment du consentement de la personne dont les données sont collectées.(2)

En l'espèce, le procédé mis en oeuvre par la société PagesJaunes consistait à collecter de façon massive, répétitive et indifférenciée, les données personnelles des utilisateurs inscrits sur les réseaux sociaux, sans leur consentement préalable.

La société PagesJaunes soutenait que les internautes publiant volontairement des informations les concernant sur les réseaux sociaux, et ne restreignant pas l'accès à leur profil, consentaient implicitement à la réutilisation de ces informations par des tiers. Cet argument a été rejeté par la CNIL, qui relève notamment que la collecte litigieuse concernait des données de mineurs "rarement conscients de la portée de diffusion de telles informations", et de personnes inscrites sur la liste rouge téléphonique.

La CNIL a jugé que ce type de collecte était déloyal. La Commission confirme ainsi que le fait que ces informations personnelles soient librement accessibles sur internet n'autorise pas les tiers à les collecter sans l'accord préalable des personnes concernées.

L'absence d'information des personnes concernées
La loi prévoit que le responsable d'un traitement de données doit informer les personnes concernées par cette collecte et communiquer son identité, la finalité poursuivie par le traitement en cause, les destinataires des données, les droits dont bénéficient ces personnes à l’égard du traitement de données, le cas échéant, si les données seront exportées, etc.

En l'espèce, la société PagesJaunes ne fournissait pas ces informations. Pour justifier ce manquement, la société invoquait l'une des exceptions légales à l'obligation d'information, à savoir le fait que les personnes, dont les données étaient collectées puis publiées sur le site des Pages Blanches, avaient déjà été informées de la réutilisation de leurs données par le biais des conditions d'utilisation et de la politique de confidentialité des réseaux sociaux. Ces documents stipulent que les données à caractère personnel des utilisateurs peuvent être indexées par des moteurs de recherche.

La CNIL considère que les sites des PagesJaune ne sont pas des moteurs de recherche. L’activité d'édition d'annuaires consiste en l’exploitation de bases de données, et non dans "la mise en œuvre d’une application permettant de retrouver des ressources extérieures à celles enregistrées dans ses bases."

La collecte de données à caractère personnel sur les profils communautaires, à l'insu des personnes concernées, est donc déloyale et illicite.

    2.2 Un traitement illicite de données personnelles

Le non-respect de la finalité déclarée du traitement
Un fichier de données personnelles ne peut être exploité à d'autres fins que celles initialement déclarées. La loi dispose ainsi qu'un traitement ne peut porter que sur des données collectées pour des finalités déterminées, explicites et légitimes. Les données ne peuvent être traitées ultérieurement de manière incompatible avec ces finalités. 

En l'espèce, l’extraction des données des abonnés de l’annuaire Pages Blanches, à des fins de filtrage des profils des réseaux sociaux pour s'assurer que les données collectées ne correspondaient qu'à des personnes résidant en France n’avait pas de lien avec la finalité initialement déclarée pour le service des Pages Blanches.

La CNIL considère que ce procédé constitue un détournement de finalité et donc, un traitement illicite de données personnelles.

Le non-respect des droits des personnes concernées
La loi prévoit que les personnes concernées par un traitement de données à caractère personnel bénéficient des droits d'accès, de contestation, de rectification des données et d'opposition au traitement.

La CNIL a considéré que les procédures mises en oeuvre par la société PagesJaunes, afin que les personnes concernées puissent faire valoir leurs droits d'opposition et de rectification, étaient trop complexes et inefficaces : (i) la procédure de demande d'opposition était soumise à l’envoi d’un formulaire par profil. En outre, cette procédure ne garantissait pas que les données seraient définitivement supprimées (réindexation suite à une nouvelle collecte sur un profil modifié par exemple) ; (ii) Il appartenait aux intéressés de procéder directement aux modifications souhaitées sur leurs profils communautaires, du fait de leur indexation sur le site des Pages Blanches. Ces rectifications étaient souvent inopérantes, compte tenu de l'absence de mise à jour régulière des données issues des profils des réseaux sociaux.

Sur la base de ces divers manquements à la loi Informatique et Libertés, la CNIL a décidé d’émettre un avertissement public à l’encontre de la société PagesJaunes, sans pour autant aller jusqu’à demander l’application d’une sanction pécuniaire, la société ayant suspendu le traitement litigieux pendant la procédure.


Ce n'est pas la première fois que la CNIL se prononçait sur une affaire de collecte illicite par aspiration de données disponibles sur internet. En 2006, la Cour de cassation, confirmant la position de la CNIL, avait condamné le dirigeant d'une société à 3000€ d’amende, à la suite d’une collecte de données illicite, dont l’objectif était de constituer des fichiers de prospects. Cette société avait collecté des données personnelles au moyen d'un logiciel aspirant des informations sur internet, sans que les personnes concernées aient donné leur consentement, ni même en aient été informées. A ce titre, il convient de rappeler que toute personne réutilisant des données à caractère personnel en violation des dispositions de la loi Informatique et Libertés encourt des sanctions pénales pouvant aller jusqu’à 5 ans d'emprisonnement et 300.000€ d'amende.(4)

* * * * * * * * * * *

(1) Délibération de la formation restreinte de la CNIL n°2011-203 du 21 septembre 2011 portant avertissement à l'encontre de la société PagesJaunes et Loi n°78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.
(2) Voir articles 6 (1°) et 32 de la loi Informatique et Libertés relatifs à la collecte loyale et à l'information des personnes concernées. Par ailleurs, le responsable de traitement est défini à l'article 3 de la loi comme étant la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens du traitement. Enfin, l'article 7 dispose qu’”un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée (...)".
(3) Voir articles 6 (2°) et 38 à 40 de la loi Informatique et Libertés. De même, l'article 6 (4°) dispose que les données personnelles doivent être exactes et, si nécessaire, mises à jour ; il incombe au responsable du traitement de prendre les mesures appropriées pour que les données inexactes au regard des finalités pour lesquelles elles sont collectées ou traitées, soient rectifiées.
(4) Cass. crim., 14 mars 2006, n°05-83.423 et articles 226-16 et s. du Code pénal.

Bénédicte DELEPORTE - Avocat
Betty SFEZ - Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2011

Cloud computing, données personnelles et sécurité : la CNIL consulte les professionnels

Pendant un mois, du 17 octobre au 17 novembre, prestataires et clients de services Cloud sont invités à faire part de leurs commentaires sur les solutions juridiques et techniques proposées par la CNIL pour améliorer l’encadrement juridique du Cloud computing.

Cinq séries de questions sont soumises aux parties, autour des thématiques suivantes : 1) qu'est-ce qui caractérise un service de Cloud computing ? 2) Le statut et les responsabilités du sous-traitant des données, applicables au prestataire Cloud, doivent-ils évoluer ? 3) Quels critères utiliser pour déterminer la loi applicable aux services Cloud ? 4) Quels outils juridiques permettraient de mieux encadrer les transferts de données vers des pays ne disposant pas d'un niveau de protection adéquat ? 5) Quelles mesures de sécurité devraient être adoptées (mesures techniques et gestion des accès aux données) pour garantir la confidentialité des données ?

Après analyse des contributions, la CNIL publiera des lignes directrices accessibles via son site web. Ces lignes directrices devraient fournir des éléments utiles pour faire évoluer les offres contractuelles et donc, améliorer la confiance des utilisateurs au moment de sélectionner une offre Cloud adaptée.

La consultation CNIL sur le Cloud computing est accessible sur le site de la CNIL (www.cnil.fr)


Bénédicte DELEPORTE
Avocat

* Article publié dans Le Nouvel Economiste, édition du 10 novembre 2011

Open Data : un plus large accès aux données publiques permettra t-il un véritable essor de leur réutilisation ?

Les administrations produisent une multitude de documents sur la base de données collectées dans des domaines divers, tels que l’économie, la géographie, la culture, la santé. A ce jour, cette richesse documentaire est encore relativement peu réutilisée par les entreprises privées, malgré le dispositif législatif et réglementaire existant.

Dans la lignée du plan France numérique 2012, le Gouvernement a créé la mission Etalab en février 2011, chargée du développement d'un portail de mise à disposition des données publiques. Ce portail internet, dénommé data.gouv.fr, doit être lancé avant la fin 2011.

La publication en octobre d’une nouvelle licence libre d’exploitation de données publiques par la mission Etalab donne l'occasion de rappeler les règles d’accès aux données publiques puis les conditions d'exploitation de ces données.


1. Faciliter l’accès aux données publiques

L’accès aux documents administratifs (données publiques) est encadré depuis la loi du 17 juillet 1978 visant à instaurer une relation de transparence entre les administrations et les citoyens (la loi CADA).(1)

Cette loi a été modifiée et complétée à plusieurs reprises. L’ordonnance du 6 juin 2005 relative à la liberté d’accès aux documents administratifs et à la réutilisation des informations publiques transpose en droit français la directive européenne de 2003 sur la réutilisation des informations du secteur public. Plus récemment, un décret et une circulaire du 26 mai 2011 sont venus compléter la réglementation sur la réutilisation des informations publiques. En sus du droit d'accès, les textes  de 2005 et de 2011 ont défini les conditions de réutilisation des informations publiques des administrations.(2)

Toutes les données publiques ne sont cependant pas accessibles. Quant aux données publiques effectivement accessibles, quelles sont les conditions de cette accessibilité ?

    1.1 Quelles sont les données publiques accessibles ?
La loi CADA de 1978 consacre, dans ses articles 1 à 9, un droit général d’accès aux données publiques par les personnes physiques et morales, sous réserve de certaines exceptions.

Les données accessibles
Sont considérés comme “données publiques” tous documents, quels que soient leur date, leur lieu de conservation, leur forme et leur support (papier, numérique, image, son, vidéo), produits ou collectés par l'Etat, les collectivités territoriales dans le cadre de leur mission de service public, ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d'une telle mission.

Ces documents comprennent notamment les dossiers, rapports, études, procès-verbaux, statistiques, directives, instructions, circulaires, avis, décisions. Ces données concernent des domaines très divers : économique, géographique, social, culturel, etc. Il peut s'agir par exemple d’informations relatives aux biens (cadastre, hypothèques, titre de propriété, permis de construire), d'images d’archives, de données topographiques, fiscales ou démographiques.

Sont donc potentiellement accessibles toutes les données détenues par l’administration, dans le cadre de sa mission de service public.

Les limites à l'accessibilité aux données
Toutes les données publiques ne sont cependant pas accessibles, pour des raisons diverses, ou sont accessibles sous certaines conditions :

    - Ne sont pas accessibles (i) les documents dont la consultation porterait atteinte au secret de la défense nationale, à la sûreté de l'Etat, à la sécurité publique, à tous les secrets protégés par la loi, etc. et (ii) les informations sur lesquelles des tiers détiendraient des droits de propriété intellectuelle.

    - Ne sont accessibles que par l’intéressé, les documents dont la consultation porterait atteinte à la protection de sa vie privée, au secret médical et au secret en matière commerciale et industrielle.

    - Ne sont accessibles que sous conditions, les documents administratifs qui comportent des données personnelles. Ces documents ne peuvent être rendus publics qu’après avoir fait l’objet d’un traitement afin d’occulter ces mentions ou de rendre impossible l’identification des personnes physiques nommées, l’objet étant de protéger leur vie privée.

    1.2 Les conditions d'accès aux données publiques
L'accès aux données publiques peut s'exercer de diverses manières : au choix du demandeur et sous réserve des possibilités techniques de l'administration, par consultation gratuite sur place, par la délivrance d'une copie, aux frais du demandeur ou par courrier électronique, sans frais si le document est disponible sous forme électronique, ou encore, par consultation en ligne.

Ainsi, l’accès aux données publiques est facilité par la création de portails internet, à l'initiative de communes, de collectivités locales, du gouvernement, mais également de sociétés commerciales. Plusieurs sites web de mise à disposition de données publiques existent déjà.

Par exemple, les villes de Rennes et de Paris ont créé des portails internet donnant accès aux données publiées par leurs différents services. Ces données recouvrent plusieurs thèmes, tels que citoyens, urbanisme (liste des parcs et jardins publics), équipements (liste des équipements sportifs), transports, finance (données budgétaires), services (données sur les bornes vélo en libre-service), environnement, sport et culture.(3)

Dans le cadre du déploiement de sa politique d'ouverture des données publiques, le gouvernement a créé en février 2011 la mission Etalab, chargée de la mise en oeuvre d’un portail interministériel destiné à rassembler et à mettre à disposition du public l'ensemble des informations publiques détenues par les administrations de l'Etat. Le portail internet data.gouv.fr doit être lancé avant la fin de l'année 2011 ; il proposera un moteur de recherche permettant d'accéder aux différentes informations produites par l'administration.(4)

Des initiatives privées existent également, tel le portail data-publica.com, exploité par la société Data Publica. Le site propose un annuaire référençant les données publiques françaises dans des domaines tels que l’économie et la finance, l’énergie, la santé, la démocratie, la démographie, l’agriculture, permettant leur réutilisation sous différentes licences, dont une licence commerciale.


2. Améliorer l’exploitation des données publiques par les entreprises privées

    2.1 Le principe de libre réutilisation des données publiques
La loi CADA définissait la notion de données publiques et les conditions d’accès à ces données, mais ne prévoyait pas expressément les conditions de leur réutilisation. L’ordonnance de 2005 complète ce dispositif en posant les conditions de la réutilisation des données.

La notion de libre réutilisation
La Directive européenne de 2003 (transposée en droit français par l’ordonnance du 6 juin 2005), a posé le principe de libre réutilisation des données publiques. Les informations figurant dans des documents produits ou reçus par les administrations peuvent être utilisées par toute personne qui le souhaite, à d'autres fins que celles de la mission de service public pour les besoins de laquelle les documents ont été produits ou reçus.(5) En outre, lorsque la réutilisation de documents publics est autorisée, ces documents doivent pouvoir être réutilisés à des fins commerciales ou non commerciales.(6)

Réutilisation à titre gratuit ou payant
La réutilisation des données publiques peut donner lieu au versement d’une redevance à l’administration, dont le calcul est encadré par la loi. Toutefois, la redevance reste du domaine de l’exception, les dernières dispositions législatives ayant modifié le cadre légal afin de généraliser autant que possible le principe de gratuité de réutilisation des données publiques.

Précédemment, les différentes administrations de l'Etat pouvaient décider souverainement des données dont l'exploitation par des tiers était soumise au paiement de redevances. Dorénavant, cette décision devra être justifiée par des circonstances particulières (ex: la production de ces données nécessite des investissements particuliers). Ces informations doivent être au préalable inscrites sur une liste fixée par décret après avis du COEPIA (Conseil d’orientation de l’édition publique et de l’information administrative). Cette liste est rendue publique sur un site internet créé sous l'autorité du Premier ministre. En l'absence d'inscription sur cette liste, les données sont réputées gratuites.(7)

Les entreprises privées peuvent par ailleurs développer des produits ou services à valeur ajoutée à partir des données publiques, et soumettre leur utilisation au paiement d’une redevance.

    2.2 Les conditions de réutilisation des données publiques

Les conditions généralement applicables à la réutilisation de données publiques
Il existe trois conditions d’ordre général applicables à la réutilisation de toute donnée publique :
    - La préservation de l'intégrité des données : sauf accord de l'administration, les données publiques ne doivent pas être altérées. Leur sens ne doit pas être dénaturé et leurs sources et la date de dernière mise à jour doivent être mentionnées ;

    - La protection des données personnelles : les informations publiques comportant des données à caractère personnel peuvent uniquement faire l'objet d'une réutilisation si la personne concernée y a consenti, ou si l'autorité détentrice de la donnée est en mesure de les rendre anonymes ou, à défaut, si une disposition législative ou réglementaire le permet. La réutilisation de ces données est soumise au respect des dispositions de la loi Informatique et Libertés ;

    - Un droit de réutilisation non-exclusif : les données publiques sont accessibles et disponibles à tous. Elles ne peuvent faire l'objet d'un droit d'exclusivité lors de leur réutilisation par un tiers, sauf si l’exclusivité est nécessaire à l'exercice d'une mission de service public.

Les licences de réutilisation des données publiques
Les portails diffusant des données publiques soumettent leur réutilisation à des conditions de licence Open Data, libres ou commerciales.

Ainsi, dans le cadre de la politique du Gouvernement en faveur de l’ouverture des données publiques, Etalab vient de publier une nouvelle Licence Ouverte ou "Open Licence". Cette licence libre a pour objet de simplifier l'exploitation des données publiques, accessibles gratuitement via le futur portail data.gouv.fr. La Licence Ouverte est valable dans le monde entier et pour une durée illimitée. L'utilisation des données est soumise à la condition de mentionner la source et la date de leur dernière mise à jour (“paternité” de la donnée). Cette licence est compatible avec les principales licences libres Open Data développées à l’étranger telles que l'Open Government Licence (OGL), la licence Creative Commons Attribution 2.0 (CC-BY 2.0) et la licence Open Data Commons Attribution (ODC-BY).

Pour son portail Open Data, la ville de Paris a choisi de soumettre les conditions d’exploitation de ses données à la licence ODbL (Open Database Licence), qui impose notamment à l'utilisateur de citer la source et de laisser la base ouverte, qu’elle ait été enrichie ou non. Quant à la ville de Rennes, elle soumet la réutilisation des données publiques accessibles sur son portail data.Rennes-metropole à une licence libre spécifique.


La politique d’ouverture de l’accès et des conditions de réutilisation des données publiques n’est pas exclusive à la France. Elle s’inscrit en effet dans une démarche commune à plusieurs pays occidentaux, dont les Etats-Unis, le Royaume-Uni, l’Allemagne, l’Australie.

Les objectifs de cette politique Open Data sont divers, depuis la mise en oeuvre d’une plus grande transparence de l’information du citoyen, jusqu’au développement d’applications mobiles de proximité.

Cette politique doit notamment permettre aux entreprises privées et développeurs de créer de nouveaux produits et services dans des domaines comme la mobilité, les services de proximité (équipements, transports, urbanisme), l’information statistique (santé, impôts, scolaire).

Le cadre juridique de l’accès et de la réutilisation des données publiques est désormais en place, via un corpus réglementaire et des licences d’utilisation définissant les droits et obligations des utilisateurs de ces données. Les conditions techniques, avec d’une part la mise à disposition des données dans des formats intelligibles et structurés, d’autre part le déploiement de sites web permettant un accès en ligne doivent permettre un véritable essor de l’exploitation de cette richesse informationnelle. Une question demeure cependant : existe t-il une réelle opportunité économique pour les entreprises privées dans la réutilisation et l’exploitation des données publiques ? Peut-être pas pour des applications de base. Cependant, plus le traitement de données brutes, hétérogènes apportera de la valeur (par exemple via leur organisation en bases de données exploitables, leur analyse et la production d’études et autres documents réexploitables), plus les débouchés économiques, donc commerciaux seront justifiés.

* * * * * * * * * * * * * * * * *

(1) Loi n°78-753 du 17 juillet 1978 (dite “loi CADA”) portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal. Certains documents ou informations font l’objet de régimes particuliers prévus, par exemple, dans le Code du patrimoine et le Code général des collectivités territoriales.
(2) Les différents textes applicables, en sus de la loi CADA de 1978 comprennent la Directive 2003/98/CE du Parlement européen et du Conseil du 17 novembre 2003 concernant la réutilisation des informations du secteur public ; L’Ordonnance n°2005-650 du 6 juin 2005 relative à la liberté d'accès aux documents administratifs et à la réutilisation des informations publiques ; Le Décret n°2011-577 du 26 mai 2011 relatif à la réutilisation des informations publiques détenues par l'Etat et ses établissements publics administratifs ; La Circulaire du 26 mai 2011 relative à la création du portail unique des informations publiques de l'Etat data.gouv.fr par la mission Etalab et l'application des dispositions régissant le droit de réutilisation des informations publiques - NOR: PRMX1114652C.
(3) Les portails Open Data de Rennes et de Paris sont accessibles à http://www.data.rennes-metropole.fr/ et http://opendata.paris.fr/
(4) Voir le Décret n°2011-194 du 21 février 2011 portant création d'une mission Etalab chargée de la création d'un portail unique interministériel des données publiques
(5) Le droit d’accéder aux données n’entraîne pas automatiquement le droit de les réutiliser. L’article 10 de la loi CADA dispose que ne sont pas considérées comme des informations publiques réutilisables: “les informations contenues dans des documents : a) dont la communication ne constitue pas un droit en application du chapitre 1er ou d’autres dispositions législatives, sauf si ces informations font l’objet d’une diffusion publique; b) ou produits ou reçus par les administrations mentionnées à l’article 1er dans l’exercice d’une mission de service public à caractère industriel ou commercial; c) ou sur lesquels des tiers détiennent des droits de propriété intellectuelle.” Dans ces trois cas, l’administration peut s’opposer à une demande de réutilisation de ses données publiques, sauf autorisation expresse.
(6) Voir articles 2 et 3 de la Directive 2003/98/CE du 17 novembre 2003.
(7) Voir la liste des textes applicables au point (2) ci-dessus. A préciser que ne sont concernées par ce nouveau régime que les redevances instituées postérieurement au 1er juillet 2011. Les redevances instituées avant cette date ne sont pas remises en cause, sous réserve que l'autorité compétente pour délivrer les licences de réutilisation demande leur inscription sur la liste au plus tard le 1er juillet 2012. A défaut, les redevances deviennent caduques et les titulaires de licences pourront réutiliser les informations gratuitement.



Bénédicte DELEPORTE - Avocat
Betty SFEZ - Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2011

Logiciels, originalité et droit de décompilation : le rappel par les juges des conditions de protection

Le logiciel est protégé par le droit d’auteur. Cependant, cette protection n’est pas acquise automatiquement, le caractère original du logiciel étant un préalable nécessaire à la protection. Une fois la protection acquise, les exceptions aux droits de l’auteur, dont le droit de décompiler le code objet du logiciel protégé pour assurer l’intéropérabilité entre ce logiciel et un logiciel tiers, sont strictement encadrées.

C’est ce que les juges ont rappelé dans deux décisions rendues en septembre 2011, opposant la société Nintendo à des revendeurs de “linkers”.


1. Rappel des conditions de protection des logiciels par le droit d’auteur

    1.1 L'originalité : un préalable nécessaire à la protection du logiciel
Un logiciel, en tant qu’oeuvre de l’esprit, est protégé par le droit de la propriété intellectuelle, à condition d’être “original”.(1)

La loi ne définit pas précisément le critère d'originalité. Selon la jurisprudence, l'originalité d’une oeuvre consiste en “l’empreinte de l’auteur”, à savoir ce qui distingue cette oeuvre des autres. Ainsi, l'auteur du logiciel doit avoir "fait preuve d'un effort personnalisé allant au-delà de la simple mise en oeuvre d'une logique automatique et contraignante et (que) la matérialisation de cet effort résid(e) dans une structure individualisée".(2)

Le caractère original de l’oeuvre doit pouvoir être démontré par son titulaire en cas d'action en contrefaçon. Ce critère est soumis à l’appréciation des juges qui doivent, avant de faire droit à une telle demande, confirmer le caractère original du logiciel litigieux.(3)

En l’absence d’originalité, le logiciel ne pourra alors bénéficier de la protection par le droit de la propriété intellectuelle.

    1.2 Les droits de l'auteur du logiciel et l’exception d’interopérabilité
Le logiciel original est protégé dès lors qu'il existe une certaine mise en forme, que cette mise en forme soit du code source ou du code objet, code source et code objet étant eux-mêmes protégés par le droit d'auteur.

L'auteur du logiciel détient sur celui-ci les droits de propriété intellectuelle qui y sont afférents : droits patrimoniaux (notamment le droit d’exploiter le logiciel et d’en tirer des revenus) et le droit moral (droit à la citation et au respect de l’intégrité l’oeuvre).(4)

Le logiciel ne pourra donc être utilisé par des tiers (distributeur, société de service ou utilisateur final) qu’avec l’accord de l'auteur, soit en vertu d’une licence d’utilisation, soit à la suite de la cession de tout ou partie des droits de l'auteur. Toute utilisation non autorisée du logiciel (reproduction ou distribution sans l’autorisation de l'auteur) pourra être qualifiée de contrefaçon, en vertu des articles L.335-2 et suivants du Code de la propriété intellectuelle (CPI).

Toutefois, l’article L.122-6-1 du CPI prévoit des exceptions à l'accord préalable de l'auteur du logiciel, lorsque les actes de reproduction, traduction et adaptation du logiciel sont nécessaires pour permettre l'utilisation du logiciel, conformément à sa destination, par la personne ayant le droit de l'utiliser, pour faire une copie de sauvegarde ou pour procéder à la décompilation du logiciel.

La loi dispose cependant que l’exception d’interopérabilité permettant à l’utilisateur de décompiler le code objet sans nécessairement avoir obtenu l'autorisation préalable du titulaire des droits sur le logiciel est soumise aux conditions suivantes : que la décompilation soit accomplie par un utilisateur légitime du logiciel, que les informations nécessaires à l'interopérabilité n'aient pas déjà été rendues facilement et rapidement accessibles à l'utilisateur, et que la décompilation soit limitée aux parties du logiciel nécessaires à cette interopérabilité.

Enfin, les informations ainsi obtenues par l'utilisateur sont confidentielles et ne peuvent être utilisées qu’à des fins strictement limitées : (i) réalisation de l'interopérabilité avec un logiciel développé de façon indépendante ; (ii) interdiction de communiquer les données à des tiers, sauf si cela est nécessaire à l'interopérabilité ; et (iii) interdiction d’utilisation des données pour la mise au point, la production ou la commercialisation d'un logiciel substantiellement similaire ou pour tout autre acte portant atteinte au droit d'auteur.

Ces règles viennent d'être rappelées par deux décisions récentes des tribunaux parisiens concernant le même fabricant de jeux vidéo.


2. L’examen des conditions de protection du logiciel dans le contexte de la décompilation

    2.1 L'originalité, condition nécessaire rappelée par le TGI de Paris
Dans une affaire opposant la société Nintendo Co. Ltd, fabricant de jeux et de consoles vidéo, à l’éditeur d’un site de vente en ligne d'accessoires pour jeux vidéo (le revendeur), le tribunal de grande instance de Paris a rendu une ordonnance en référé, le 5 septembre 2011, jugeant qu’il existait une contestation sérieuse sur l’originalité du logiciel contenu dans les produits du fabricant.(5)

Le fabricant, pour éviter le piratage de ses jeux vidéo, avait installé sur ses produits, des mesures techniques de protection empêchant les jeux piratés d'être lus sur ses consoles. Or, les produits distribués sur le site du revendeur ("linkers"), contournaient ces mesures et permettaient aux jeux piratés d'être lus sur les consoles du fabricant. Les linkers se présentent sous la forme de cartouches, identiques aux cartouches de jeux du fabricant, sur lesquelles des jeux vidéo contrefaits, disponibles sur internet, peuvent être chargés.

En l'espèce, le fabricant ne reprochait pas au revendeur l'atteinte aux mesures techniques de protection. Il avait assigné celui-ci en contrefaçon, au motif que le logiciel contenu dans les linkers en vente sur son site reproduisait le logiciel contenu dans les cartouches de jeux du fabricant. Le fabricant demandait en outre la cessation de la commercialisation des linkers.

Cependant, le fabricant, qui avait refusé de produire les codes sources de son logiciel pour des raisons de confidentialité, n’a pas su démontrer le caractère original de son oeuvre. En conséquence, faute de pouvoir vérifier le caractère original du logiciel du fabricant, le juge l’a débouté de sa demande en contrefaçon.

    2.2 Décompilation du logiciel : l’exception d’interopérabilité très encadrée
Fin 2007, la société Nintendo avait assigné plusieurs revendeurs de linkers, considérant que ces produits (i) portaient atteinte aux mesures techniques de protection installées sur ses cartes de jeux et consoles, et (ii) comportaient des logiciels qui reproduisaient ses propres logiciels, sans son accord. La société Nintendo, qui avait été déboutée en première instance, a obtenu gain de cause en appel.

Dans un arrêt du 26 septembre 2011, la Cour d’appel de Paris a condamné les revendeurs pour avoir importé et commercialisé des linkers. La Cour a jugé que les linkers constituaient un dispositif conçu pour porter atteinte aux mesures techniques de protection équipant les consoles et les jeux du fabricant, au sens de l’article L.331-5 du CPI, dont l’objet principal était de permettre l’exécution de jeux contrefaisants sur les consoles Nintendo.(6)

Concernant la contrefaçon de logiciel, la Cour a retenu que les revendeurs, qui avaient commercialisé des produits reproduisant les logiciels contenus dans les cartes de jeux et la console vidéo du fabricant, avaient commis un délit de contrefaçon de logiciel, au mépris des droits du fabricant.

En effet, la Cour a constaté que les développeurs des linkers avaient nécessairement décompilé les logiciels contenus dans les cartes de jeux et la console du fabricant puisqu'ils avaient besoin des codes sources des produits du fabricant afin d’en comprendre le fonctionnement et de permettre à leurs propres cartes d’interagir avec la console du fabricant, ce dernier n’ayant pas communiqué ses codes sources.

Or, en l'espèce, les développeurs et revendeurs n’avaient pas obtenu l’autorisation du fabricant, aux fins de décompilation. Ils ne pouvaient en outre se prévaloir de l’exception légale d’interopérabilité (art. L.122-6-1 IV du CPI) puisqu’ils n'étaient pas utilisateurs légitimes du logiciel du fabricant et n'avaient pas demandé au fabricant l’accès aux informations nécessaires à la décompilation. Leur but n’était pas de développer un logiciel indépendant et intéropérable avec celui du fabricant, mais au contraire, de commercialiser des dispositifs contournant les mesures techniques de protection des cartes de jeux et consoles vidéo du fabricant et, ce faisant, de porter atteinte à ses droits de propriété intellectuelle.

On retiendra les montants que les défendeurs ont été condamnés à payer à Nintendo dans cette affaire : outre des peines d’emprisonnement avec sursis allant de 4 mois à 2 ans, 460.500 euros d’amende et 4.795.470 euros de dommages et intérêts cumulés.


En conclusion, l’intérêt de ces décisions, rendues à quelques jours d’intervalle, est de rappeler les conditions de protection du logiciel, puis les contours des droits du titulaire sur son logiciel. D’une part, le caractère original d’une oeuvre de l’esprit, comme le logiciel, n’est pas présumée. Si le tribunal ne peut constater le caractère original de l’oeuvre, il ne pourra donner droit aux demandes du titulaire en cas de contrefaçon alléguée. D’autre part, sous réserve de l’originalité de l’oeuvre, les droits accordés à l’auteur sont très “forts” et les exceptions à ces droits, tels qu’énoncés à l’article L122-6-1 du CPI, n’ont pour objet que de permettre aux utilisateurs légitimes d’utiliser l’oeuvre “sereinement”, sans pour autant justifier une atteinte disproportionnée aux droits de l’auteur ou un détournement des objectifs des dispositions légales.

* * * * * * * * * *

(1) Article L.112-2 (13°) du Code de la propriété intellectuelle (CPI)
(2) Cass. Ass.plén., 7 mars 1986, Babolat c/ Pachot , n°83-10477.
(3) Cass. crim., 27 mai 2008, n°07-87253.
(4) Articles L.111-1, L.121-1, L.121-7 et L.122-6 du CPI
(5) TGI de Paris, ordonnance de référé, 5 septembre 2011, Nintendo Co. Ltd, Nintendo France c/ M.M.
(6) Cour d'appel de Paris, Pole 5, ch. 12, 26 septembre 2011, Nintendo c/ Absolute Games, Divineo et autres. Cet arrêt, particulièrement développé, porte sur plusieurs questions de droit, dont le délit d’atteinte aux mesures de protection techniques (Art. L.331-5), la contrefaçon du droit d’auteur de logiciel, la contrefaçon de marque, etc. Nous n’avons abordé dans cet article que l’atteinte aux droits d’auteur du logiciel.





 
Bénédicte DELEPORTE - Avocat
Betty SFEZ - Avocat

Deleporte Wentz Avocat
 
www.dwavocat.com

Octobre 2011

La marque d'un concurrent peut-elle être utilisée comme mot-clé sur un moteur de recherche ?

L’annonceur qui utilise la marque d’un concurrent (ou d’un tiers) à titre de mot-clé pour générer une annonce commerciale à son nom sur la page de résultats d’un moteur de recherche commet-il un acte de contrefaçon ?

La Cour de Justice de l'Union européenne (CJUE), qui avait été saisie de cette question en mars 2010, vient d'apporter de nouveaux éléments de réponse dans le cadre d’un litige opposant la société Interflora Inc. à la société Marks & Spencer plc (M&S).(1)

En l’espèce, M&S, qui exploite notamment un service de vente et livraison de fleurs, avait “acheté” le mot-clé "Interflora" sur le service de référencement publicitaire AdWords de Google. Une annonce commerciale de M&S s’affichait ainsi automatiquement sur la page de résultats de Google chaque fois qu’un internaute effectuait une recherche à partir du mot-clé "Interflora".

La société Interflora Inc., titulaire de la marque communautaire Interflora, a introduit un recours pour violation de ses droits sur sa marque contre M&S devant la High Court of Justice au Royaume Uni. Le juge britannique a décidé de surseoir à statuer et de demander l'avis de la CJUE, compétente en matière de droit communautaire.

Dans sa décision du 22 septembre 2011, la CJUE précise les conditions dans lesquelles l'utilisation de la marque d'un concurrent, dans le cadre du service de référencement publicitaire AdWords, est susceptible ou non de porter atteinte au droit des marques.


1. L'atteinte à la marque d’autrui définie par la jurisprudence Google de mars 2010

Dans une décision du 23 mars 2010 opposant Google France aux sociétés Louis Vuitton Malletier SA, Viaticum SA et CNRRH Sarl, la CJUE s'était prononcée sur les conditions dans lesquelles l'usage par une société d'un mot-clé, identique à la marque d'un concurrent, pour promouvoir ses propres produits ou services était ou non contrefaisant.(2)

    1.1  L'utilisation du service de référencement payant AdWords
Le service AdWords proposé par Google est complémentaire des résultats de recherche “naturelle” en permettant aux annonceurs “d’acheter” des mots-clés pendant une durée déterminée (durée de la campagne publicitaire sur Google) afin que leur annonce apparaisse en tête des pages de résultat sur Google.

En l'espèce, les demandeurs reprochaient à la société Google d’avoir commis des actes de contrefaçon par le fait de proposer aux annonceurs, via son service AdWords, des mots-clés correspondant à des marques enregistrées, sans que leurs titulaires aient donné leur accord pour une telle utilisation de leur marque.

    1.2  La réglementation communautaire sur le droit des marques
Dans cette affaire, la question posée à la CJUE, sur le fondement de l'article 5 §1 a) et §2 de la Directive communautaire de 1988 et de l'article 9 §1 a) du Règlement de 1993 relatifs aux marques, était de savoir si le titulaire d'une marque pouvait s'opposer à l'utilisation de sa marque comme mot-clé dans le cadre d’un service de référencement publicitaire, tel que proposé par Google.(3)

Ces textes prévoient en effet que le titulaire d'une marque enregistrée est habilité à interdire à tout tiers, en l'absence de son consentement, de faire usage dans la vie des affaires :
    - d'un signe identique à la marque, pour des produits ou des services identiques à ceux pour lesquels celle-ci est enregistrée,
    - d'un signe identique ou similaire à la marque renommée pour des produits ou des services qui ne sont pas similaires à ceux pour lesquels la marque est enregistrée, lorsque l'usage du signe sans juste motif tire indûment profit du caractère distinctif ou de la renommée de la marque ou lui porte préjudice. 

    1.3  L’analyse de la CJUE
Dans sa décision, la CJUE définit les conditions dans lesquelles une telle utilisation de la marque d'autrui est susceptible de porter atteinte au droit des marques.

Ainsi, la CJUE affirme que l'usage de la marque d'un tiers sans son consentement est condamnable si les trois conditions suivantes sont remplies :

    (i) L’usage de la marque a lieu dans la vie des affaires, à savoir, dans le contexte d'une activité commerciale. A ce titre, la Cour considère qu'en sélectionnant un mot-clé identique à une marque avec pour objet l'affichage d'un lien commercial vers le site de l'annonceur, celui-ci se situe bien dans le cadre de son activité commerciale ;

    (ii) L’usage est fait pour des produits ou des services identiques à ceux pour lesquels la marque est enregistrée. Selon la Cour, il en va ainsi dès lors que l'annonceur sélectionne un mot-clé identique à une marque dans le but de proposer aux internautes une alternative aux produits ou services du titulaire de la marque ;

    (iii) L’usage porte atteinte ou est susceptible de porter atteinte aux fonctions de la marque: les droits dont bénéficie le titulaire de la marque lui sont octroyés aux fins de protéger des intérêts spécifiques attachés au rôle de la marque. Ce rôle (ou cette fonction) consiste notamment à garantir la provenance des produits ou services au consommateur, en lui permettant de distinguer un produit ou un service de ceux d’une autre provenance (la "fonction d'indication d'origine").(4)

Ces trois conditions sont cumulatives ; si l'une d'elles fait défaut, la Cour considère qu’il n'y a pas atteinte au droit des marques.

Selon la Cour, l'utilisation par un annonceur d'un mot-clé identique à la marque d'un concurrent dans le cadre du service AdWords porte atteinte à la fonction de la marque lorsque la publicité de l'annonceur ne permet pas ou permet seulement difficilement à l’internaute de savoir si les produits ou services visés par cette publicité proviennent du titulaire de la marque ou d’une entreprise économiquement liée à celui-ci ou, au contraire, d’un tiers.

A ce titre, la Cour précise qu'il incombe à la juridiction nationale d'apprécier, au cas par cas, si les faits du litige dont elle est saisie sont caractérisés ou non par une telle atteinte à la fonction d'indication d'origine de la marque.

En conséquence, la CJUE considère que les deux premières conditions sont remplies en l'espèce : l'utilisation de la marque d'un concurrent dans le cadre du service AdWords consiste à faire usage de cette marque dans la vie des affaires et pour des produits ou des services identiques à ceux pour lesquels la marque est enregistrée.

Toutefois, la Cour précise que la troisième condition s'apprécie au cas par cas. Elle fera notamment défaut si l'utilisation de la marque d'un concurrent dans le cadre du service AdWords ne porte pas à confusion quant à la provenance des produits ou services. L'atteinte à la marque d'autrui dépendra donc de la rédaction et de la présentation de l’annonce commerciale de l’annonceur.

Ces critères d’analyse ont été confirmés avec la décision de la CJUE de septembre 2011.


2. L'utilisation de la marque d'un concurrent sur un moteur de recherche n'est pas nécessairement contrefaisante

Les questions préjudicielles posées à la CJUE portaient sur l'interprétation des mêmes textes communautaires sur le droit des marques.

Dans sa décision rendue le 22 septembre 2011, la CJUE précise à nouveau les conditions dans lesquelles le référencement publicitaire payant est susceptible ou non de porter atteinte au droit des marques. Elle ajoute une distinction, selon que l'utilisation concerne une marque non renommée ou une marque notoire.

    2.1  L'utilisation d'une marque ne jouissant d'aucune renommée
La CJUE réaffirme que le titulaire de la marque est habilité à en interdire l’usage par un tiers, si cet usage porte atteinte ou est susceptible de porter atteinte à l'une des fonctions de la marque. Parmi ces fonctions, la CJUE analyse notamment la fonction d'indication d'origine du produit ou du service et la fonction d'investissement (l'emploi d'une marque pour acquérir ou développer une réputation susceptible d'attirer et de fidéliser des consommateurs).(5)

La CJUE en conclut que l'utilisation de la marque d'un concurrent dans le cadre du service  de référencement AdWords n'est pas contrefaisante :

    - si la publicité affichée à partir du mot-clé ne porte pas à confusion et permet à l’internaute normalement informé et raisonnablement attentif, de savoir si les produits ou services visés par l’annonce commerciale proviennent du titulaire de la marque ou d’une entreprise économiquement liée à celui-ci ou, au contraire, proviennent d’un tiers (la fonction d’indication d’origine de la marque). L'atteinte dépend donc de la façon dont la publicité est rédigée par l’annonceur  ;

    - si cette utilisation ne gêne pas de manière substantielle l’emploi, par son titulaire, de ladite marque pour acquérir ou conserver une réputation susceptible d’attirer et de fidéliser des consommateurs (la fonction d’investissement de la marque). Le titulaire d'une marque ne peut s'opposer à ce qu'un concurrent fasse, dans des conditions de concurrence loyale, usage d'un signe identique à cette marque pour des produits ou services identiques, si cet usage a pour seule conséquence d'obliger le titulaire de cette marque à adapter ses efforts pour acquérir ou conserver une réputation susceptible d'attirer et de fidéliser les consommateurs.

    2.2  L'utilisation d'une marque notoire
La CJUE rappelle que le titulaire d’une marque renommée est habilité à interdire à un concurrent de faire de la publicité à partir d’un mot-clé correspondant à cette marque lorsque :

    (i) la publicité porte préjudice au caractère distinctif de la marque (“dilution”) ou à sa renommée (“ternissement”). En outre, la CJUE précise qu'une telle publicité porte préjudice au caractère distinctif de la marque renommée, notamment, si elle contribue à une dénaturation de cette marque en terme générique. Ce serait le cas, par exemple, d’un usage qui conduirait progressivement à faire croire aux consommateurs que le terme Interflora n'est pas une marque désignant un service de livraison de fleurs par les fleuristes adhérant au réseau Interflora, mais constitue un terme générique pour tout service de livraison de fleurs.

Or, en l'espèce, la CJUE estime qu'une telle publicité ne conduit pas systématiquement à une évolution vers un terme générique à partir du moment où elle permet à l'internaute normalement informé et raisonnablement attentif de comprendre que les produits ou services offerts proviennent non pas du titulaire de la marque renommée, mais d'un concurrent de celui-ci ; ou

    (ii) le concurrent-annonceur tire indûment profit de ce caractère distinctif ou de cette renommée (“parasitisme”). Ainsi, la Cour précise que l'usage d'une marque renommée dans le cadre du service AdWords permet à l'annonceur de se placer dans le sillage de cette marque. L’annonceur bénéficie alors du pouvoir d'attraction de la marque, de sa réputation et de son prestige, sans aucune compensation financière pour le titulaire de la marque. Le profit ainsi réalisé par l'annonceur doit donc être considéré comme indu.

Toutefois, le titulaire d’une marque renommée n’est pas habilité à interdire ce type de publicité si l'annonceur propose une alternative aux produits ou aux services du titulaire de la marque, et sous réserve de ne pas offrir une simple imitation de ces produits ou services, ne pas causer une dilution ou un ternissement et ne pas porter atteinte aux fonctions de la marque renommée. Un tel usage par le concurrent doit alors être considéré comme participant d'une concurrence saine et loyale.

En l’espèce, la CJUE a renvoyé l’affaire devant la juridiction britannique pour qu’elle apprécie si l'usage par M&S d'un signe identique à la marque Interflora constitue ou non un acte de contrefaçon, au regard des critères posés par la CJUE.


En conclusion, même si la CJUE reconnaît la possibilité pour un annonceur d’utiliser une marque concurrente comme mot-clé dans le cadre du référencement payant en ligne, il convient de rester prudent quant à la manière dont ce mot-clé sera utilisé dans le cadre de la campagne publicitaire de l’annonceur.

Ainsi, l'utilisation de la marque d’un concurrent ne sera pas contrefaisante à la double condition (i) de ne pas porter à confusion, c'est-à-dire de ne pas induire les consommateurs en erreur sur l'origine des produits ou des services visés dans la publicité commerciale, en leur faisant croire que ceux-ci proviennent du titulaire de la marque, et (ii) de respecter les conditions d'une concurrence “saine et loyale”. L'atteinte à la marque d'un concurrent s'apprécie donc au cas par cas.

* * * * * * * * * * *

(1) CJUE, 22 sept. 2011, aff. C-323-09, Interflora Inc., Interflora British Unit c/ Marks & Spencer plc, Flowers Direct Online Ltd.
(2) CJUE, Gr. ch., 23 mars 2010, aff. C- 236/08, C-237-08 et C-238-08, Google France et Inc. c/ Louis Vuitton Malletier SA, Viaticum SA, CNRRH et a.
(3) Article 5 §1 a) et §2 de la "Première directive 89/104/CEE du Conseil du 21 décembre 1988 rapprochant les législations des États membres sur les marques": Art. 5 - Droits conférés par la marque - §1 "La marque enregistrée confère à son titulaire un droit exclusif. Le titulaire est habilité à interdire à tout tiers, en l'absence de son consentement, de faire usage, dans la vie des affaires : a) d'un signe identique à la marque pour des produits ou des services identiques à ceux pour lesquels celle-ci est enregistrée (...)". §2 "Tout État membre peut également prescrire que le titulaire est habilité à interdire à tout tiers, en l'absence de son consentement, de faire usage dans la vie des affaires d'un signe identique ou similaire à la marque pour des produits ou des services qui ne sont pas similaires à ceux pour lesquels la marque est enregistrée, lorsque celle-ci jouit d'une renommée dans l'État membre et que l'usage du signe sans juste motif tire indument profit du caractère distinctif ou de la renommée de la marque ou leur porte préjudice".
Article 9 §1 a) du "Règlement (CE) n°40/94 du Conseil, du 20 décembre 1993, sur la marque communautaire" : Article 9 - Droit conféré par la marque communautaire - §1 "La marque communautaire confère à son titulaire un droit exclusif. Le titulaire est habilité à interdire à tout tiers, en l'absence de son consentement, de faire usage dans la vie des affaires: a) d'un signe identique à la marque communautaire pour des produits ou des services identiques à ceux pour lesquels celle-ci est enregistrée (...)".
(4) Il s'agit de la "fonction d'indication d'origine". D'autres fonctions ont depuis été rattachées et reconnues à la marque par la jurisprudence, telles que les fonctions de communication, d'investissement ou de publicité.
(5) La CJUE mentionne également la “fonction de publicité”, à savoir l'emploi d'une marque en tant qu'élément de promotion des ventes ou d’instrument de stratégie commerciale. En l'espèce, la CJUE considère qu'il n'y a pas atteinte à la fonction de publicité de la marque INTERFLORA : la sélection d'un signe identique à une marque d'autrui dans le cadre du service de référencement AdWords ne prive le titulaire de cette marque de la possibilité d'utiliser efficacement sa marque pour informer et persuader les consommateurs (ex: la visibilité des produits et services du titulaire de la marque est garantie par le référencement naturel gratuit).
Bénédicte DELEPORTE - Avocat
Betty SFEZ - Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Octobre 2011

La vente en ligne de lunettes et lentilles de vue bientôt autorisée

A ce jour, seules les lunettes de soleil, montures et lentilles fantaisie peuvent être régulièrement vendues sur internet. La vente de lunettes et lentilles de vue est spécifiquement réglementée et non autorisée en ligne.(1)

Afin de se conformer au droit européen, le gouvernement français a décidé d’élaborer un cadre légal permettant la vente en ligne de ces produits, aux fins de répondre aux besoins du marché, en respectant les exigences en matière de santé publique.

Un projet de loi, portant notamment sur la vente en ligne de produits d’optique-lunetterie, est en cours d’examen à l’Assemblée Nationale et devrait être voté par le Parlement avant fin 2011.(2)


1. La réglementation française en vigueur relative à la vente de lunettes et lentilles de vue ne prévoit pas la vente en ligne

    1.1 La profession d’opticien-lunetier et la commercialisation de lunettes et lentilles de vue

Les règles applicables à la profession d’opticien et à la vente de lunettes et lentilles de vue sont définies au Code de la santé publique.(3) La vente de lunettes et lentilles de contact de vue est notamment soumise aux conditions suivantes :

- Etre titulaire d’un diplôme ou certificat professionnel : la possibilité de commercialiser des  produits d’optique-lunetterie est exclusivement réservée aux opticiens-lunetiers diplômés. La vente de produits destinés à l’entretien des lentilles de vue relève du monopole des pharmaciens et des opticiens. Tout opticien diplômé a l’obligation avant son entrée en exercice, de s’enregistrer auprès du service compétent du département d’établissement, chaque département détenant une liste officielle des opticiens diplômés en exercice.

- Ne pas démarcher les clients en porte-à-porte : le colportage de verres correcteurs d'amétropie est interdit.

- Exiger la présentation d’une ordonnance pour les mineurs de moins de 16 ans : aucun verre correcteur ne peut être délivré à un mineur de moins de 16 ans sans ordonnance médicale. Au-delà de cet âge, la délivrance de ces produits n’est pas nécessairement soumise à la présentation d’une prescription médicale.

    1.2 Une réglementation non conforme au droit communautaire

La législation française en vigueur n’interdit pas expressément la vente de lunettes et lentilles de vue en ligne. Cependant, l’impossibilité, en pratique - compte tenu des conditions applicables -, de vendre ces produits en ligne est en contradiction avec les principes généraux du droit européen de libre établissement et de prestations de services, et de libre circulation des services de la société de l’information.

Les autorités communautaires se sont prononcées à deux reprises sur ce sujet, par le biais d’un avis de la Commission adressé à la France en 2008 et par un jugement de la CJUE de 2010.

La position de la Commission européenne  -  Le 18 septembre 2008, la Commission a adressé à la France, dans le cadre de la procédure d’infraction prévue à l’article 226 du traité CE, un avis motivé relatif aux “entraves à la vente en ligne de produits d’optique lunetterie”.(4)

Selon la Commission, le cadre juridique français applicable à la vente de produits d’optique-lunetterie, ne prévoyant pas la possibilité de commercialiser ces produits en ligne et obligeant tout opticien qualifié de faire enregistrer son diplôme au niveau départemental, est incompatible avec le droit communautaire. La réglementation française serait contraire aux principes de libre établissement et de prestations de services (articles 43 et 49 du traité CE) et de libre circulation des services de la société de l’information (art.3 §2 de la directive 2000/31/CE “Commerce électronique”). La Commission demande donc à la France de modifier sa réglementation nationale.

La position de la Cour de Justice de l’Union européenne (CJUE)  -  Dans un arrêt du 2 décembre 2010, la CJUE a jugé que les États membres ne peuvent interdire la commercialisation des lentilles de contact par internet, cette interdiction étant contraire au droit communautaire.(5)

En l’espèce, la société hongroise Ker-Optika avait commercialisé des lentilles de vue via son site internet. Les autorités de santé hongroises lui ayant interdit de poursuivre cette activité au motif que ces produits ne pouvaient être vendus en ligne, la société Ker-Optika a attaqué cette décision d'interdiction en justice. Le tribunal saisi du litige a alors demandé à la CJUE de se prononcer sur la conformité de la réglementation hongroise relative à la vente de produits d’optique-lunetterie au droit européen.

La CJUE a jugé que l’objectif visant à assurer la protection de la santé des utilisateurs de lentilles de vue pouvait être atteint par des mesures moins restrictives que celles résultant de la réglementation hongroise en vigueur et que, dans ces conditions, l'interdiction de vendre en ligne des lentilles de contact était contraire aux règles en matière de libre circulation des marchandises dans l'Union européenne.

Afin de se conformer au droit communautaire tel que rappelé dans l’avis de la Commission de 2008 et dans le jugement ci-dessus, la France doit donc adapter sa législation pour élargir la vente des produits d’optique-lunetterie à internet.


2. Le projet de loi définissant les règles de la vente en ligne de lunettes et lentilles de vue

Les dispositions relatives à la vente en ligne de "produits d’optique-lunetterie" figurent dans le projet de loi renforçant les droits, la protection et l’information des consommateurs devant être voté par le Parlement avant fin 2011. Le débat porte principalement sur les aspects liés à la santé publique et à la protection des consommateurs, et aux aspects pratiques de l’ouverture d’internet à la vente de produits d’optique-lunetterie.

    2.1. Les questions spécifiques soulevées par la vente en ligne de lunettes et lentilles de vue

L’enjeu consiste à établir un cadre juridique permettant le développement de la vente en ligne des produits d’optique-lunetterie dans le respect des exigences de santé publique et dans l’intérêt des consommateurs. Cette mise en conformité du droit français avec le droit européen est confrontée à des difficultés d’ordre pratique inhérentes à la vente à distance.

Le débat législatif porte ainsi sur de nombreuses questions telles que la nécessité d’adopter un régime identique et d’imposer les mêmes exigences de qualité en matière de santé publique, quelque soit le canal de distribution (vente en magasin et vente en ligne) ou le produit vendu (vente de lunettes, lentilles et produits d’entretien - vente de lentilles souples jetables fabriquées industriellement et vente de lentilles dures faites sur mesure).

Les exigences de santé publique et la protection des consommateurs  -  Le projet de loi vise à satisfaire les exigences de santé publique et à assurer la protection des consommateurs quelque soit le canal de vente, notamment en leur garantissant une correction adaptée de leur vision lors de l’achat en ligne de produits d’optique-lunetterie (ex: obtenir du vendeur des informations et conseils ou possibilité de se rétracter après réception du produit), en s’assurant qu’ils achètent un produit qui leur convient (ex: logiciel de prise des mesures du client à distance), ou qu’ils sont médicalement aptes au port des lentilles de vue par exemple (via la présentation d'une ordonnance).

Les difficultés pratiques posées par la vente à distance  -  La vente à distance de produits d'optique-lunetterie nécessite d'adapter et de modifier certaines conditions de commercialisation de ces produits. Il résulte de l'étude des débats et propositions d'amendements que cette adaptation est source de difficultés d'ordre pratique.

A titre d'exemple, imposer aux consommateurs la présentation d'une prescription médicale avant l'achat de produits peut poser des difficultés pratiques quant aux modalités de communication de ce document. Par exemple, l’envoi d’une copie dématérialisée de l’ordonnance par e-mail est-il suffisant ? Faut-il exiger du client la communication de l’ordonnance à chaque achat ?

En outre, les modalités pratiques de la délivrance de conseils au client à distance font également l’objet de débats. En effet, il s’agit de conseils personnalisés et non de la fourniture d’une information standard. Comment les demandes de conseils des clients vont-elles être traitées ? En temps réel ou différé, par téléphone, e-mail, tchat, etc. ?

    2.2. Une vente en ligne autorisée mais nécessairement encadrée

Les derniers amendements adoptés en séance publique à l’Assemblée Nationale viennent modifier le Code de la santé publique et le Code de la consommation.(6)

Les principales dispositions doivent avoir pour effet d’imposer des conditions équivalentes à la vente en magasin et à la vente en ligne des produits d’optique-lunetterie. Compte tenu des enjeux de protection de la santé publique, cette vente reste néanmoins encadrée.

Les nouvelles dispositions  -  La vente en ligne de lunettes et lentilles de vue sera soumise à plusieurs conditions :

- La communication d’une ordonnance : la délivrance de verres correcteurs et de lentilles de vue sera désormais soumise à la vérification, par l’opticien, de l’existence d’une ordonnance en cours de validité. L'opticien devra réclamer cette prescription médicale quelque soit l'âge du client.

- L’obligation de conseil : lors de la vente en ligne de verres correcteurs et lentilles de vue, les vendeurs devront mettre à la disposition de l’acheteur un “professionnel de santé” qualifié, apte à répondre à toute demande d’information ou de conseil.

- La certification du site web et des logiciels utilisés : le site web de vente de produits d’optique-lunetterie et les logiciels de mesure utilisés pour la délivrance des produits (ex: logiciels mesurant l'écart pupillaire) devront être certifiés. Cette certification sera réalisée et délivrée par un organisme accrédité, attestant du respect des règles de bonne pratique édictées par la Haute Autorité de santé (information de qualité et outils de prise de mesure conformes aux exigences minimales de sécurité).(7)

- Un droit de rétractation pour l’achat en ligne : le consommateur bénéficiera du droit de se rétracter en cas d’achat à distance de produits d’optique-lunetterie. Toutefois, le projet de loi prévoit que les biens scellés, qui auront été descellés par le consommateur après la livraison, ne pourront être renvoyés pour des raisons évidentes de protection de la santé ou d'hygiène.

Les modalités précises de cette vente en ligne bien spécifique, telles que les conditions de transmission de l’ordonnance et ses exceptions, la durée de validité de l’ordonnance, les mentions et informations qui doivent figurer sur le site web, doivent être fixées par décret.

Enfin, le fait de délivrer ou de vendre à distance des produits d’optique-lunetterie sans vérifier l’existence d’une ordonnance en cours de validité et sans mettre à la disposition du client un professionnel de santé apte à répondre à toute demande d’informations ou de conseils sera puni de 3.750 € d'amende.

Une question en suspens : qui pourra exploiter un site de vente en ligne de lunettes et lentilles de vue ?  -  Il résulte des dispositions en vigueur du Code de la santé publique que la vente de ces produits relève du monopole des opticiens-lunetiers diplômés. La loi dispose, aux articles L.4362-1 et L.4362-9 du Code de la santé publique, que seule une personne remplissant les conditions requises pour l'exercice de la profession d'opticien-lunetier peut diriger ou gérer les établissements commerciaux dont l'objet principal est l'optique-lunetterie, leurs succursales et les rayons d'optique-lunetterie des magasins.(8)

Or, le projet de loi en cours d’examen prévoit, à ses articles 5bis et 6, que :
- "Est considéré comme exerçant la profession d'opticien-lunetier toute personne qui procède à la délivrance de produits d'optique-lunetterie dont la liste est définie par décret (...)",
- "Lors de la vente à distance de lentilles oculaires correctrices, de verres correcteurs, fixés ou non sur des montures, les prestataires concernés mettent à la disposition du patient un professionnel de santé qualifié apte à répondre à toute demande d’informations ou de conseils".(9)

Telles que rédigées, ces nouvelles dispositions portent à confusion. La condition de diplôme n’apparaissant plus dans ce texte, il semble donc que toute personne (“les prestataires concernés”) pourra exploiter un site web de produits d'optique-lunetterie, à la condition toutefois de faire appel à un “professionnel de santé qualifié” pour la fourniture d’informations et de conseils. Qu’est-ce qu’un professionnel de santé qualifié ? Rien n’indique qu’il s’agisse obligatoirement d’un opticien-lunetier diplômé. Il serait souhaitable que le texte définitif soit rédigé dans des termes plus clairs pour lever cette incertitude.

* * * * * * * * * * *

(1) Plus précisément, la législation française n’interdit pas expressément la vente en ligne de lunettes et lentilles de vue. Mais les dispositions actuelles ne permettent pas en pratique d’utiliser ce canal de vente en France. Ainsi, parce qu’elle n’autorise pas expressément ce mode de distribution, la réglementation française actuellement en vigueur est considérée, par les instances européennes, comme non conforme au droit communautaire.
(2) Projet de loi n°3508, renforçant les droits, la protection et l'information des consommateurs, déposé le 1er juin 2011; Le rapport n°3632 de la Commission des affaires économiques du 6 juillet 2011 et discussions à l’Assemblée Nationale peut être consulté sur www.assemblee-nationale.fr ; Le projet de loi a été voté par l'AN le 11 octobre 2011 et doit maintenant être examiné par le Sénat.
(3) Voir les articles L.4211-4, L.4362-1 et s., L.4363-1 et s. du Code de la santé publique. Par ailleurs, les produits d’optique-lunetterie sont considérés comme des dispositifs médicaux, dont la commercialisation est régie par les articles L. 5211-1 et R. 5211-1 et s. du Code de la santé publique.
(4) Communiqué de la Commission Européenne du 18 septembre 2008 accessible à http://europa.eu/rapid/pressReleasesAction.do?reference=IP/08/1354&format=HTML&aged=1&language=FR&guiLanguage=en
(5) Arrêt CJUE du 2 décembre 2010, affaire C-108/09 Ker-Optika bt / ÁNTSZ Dél-dunántúli Regionális Intézete.
(6) Voir discussions à l’Assemblée Nationale : 2e séance du vendredi 30 septembre 2011 portant sur les articles 5 bis et 6 du projet de loi. Les derniers amendements votés créent ou modifient les articles L.4362-9, L.4362-9-1, L.4362-10 et L.4363-4 du Code de la santé publique ainsi que les articles L.121-20-2, L.121-20-6 et L.121-20-7 du Code de la consommation.
(7) Une procédure de certification telle que prévue par le Code de la sécurité sociale devrait être établie par la Haute Autorité de santé. Voir notamment article L.161-38 du Code de la sécurité sociale : “La Haute Autorité de santé est chargée d'établir une procédure de certification des sites informatiques dédiés à la santé et des logiciels d'aide à la prescription médicale ayant respecté un ensemble de règles de bonne pratique.(…)”
(8) Article L.4362-1 al.5 du Code de la santé publique : “Peuvent exercer la profession d'opticien-lunetier détaillant les personnes titulaires d'un diplôme, certificat (...).”, et article L.4362-9 al.1 du Code de la santé publique : “Les établissements commerciaux dont l'objet principal est l'optique-lunetterie, leurs succursales et les rayons d'optique-lunetterie des magasins ne peuvent être dirigés ou gérés que par une personne remplissant les conditions requises pour l'exercice de la profession d'opticien-lunetier.”
(9) Articles 5bis et 6 du projet de loi renforçant les droits, la protection et l'information des consommateurs devant être codifiés aux articles L.4362-9 al.1 du Code de la santé publique, et L.121-20-6 du Code de la consommation.



Bénédicte DELEPORTE - Avocat
Betty SFEZ - Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Octobre 2011

* Article publié sur le Journal du Net le 17 octobre 2011

Internet : les règles de gestion des cookies et de sécurité des données renforcées

L’ordonnance relative aux communications électroniques du 24 août 2011 (1), qui vient transposer les directives dites “paquet télécoms” (2), instaure de nouvelles obligations en matière de gestion des cookies et de sécurité des données personnelles, modifiant deux articles de la loi Informatique et Libertés relatifs aux obligations incombant aux responsables de traitements (3). Ces nouvelles règles concernent, d’une part tous les exploitants de sites web utilisant des cookies, d’autre part les fournisseurs de services de communications électroniques.


1. De nouvelles règles en matière de gestion de cookies

L’ordonnance modifie l’article 32 II de la loi Informatique et Libertés.

Désormais, l’installation de cookies sur l’ordinateur d’un internaute et l’utilisation des informations déjà stockées sont soumises à deux conditions préalables :

    - l’internaute doit avoir été informé de la finalité de l’installation, ou de l’utilisation et des moyens dont il dispose pour s’y opposer, et

    - il doit avoir donné son consentement (opt-in) à l’installation du cookie et à l’utilisation de ses données. Jusqu’à présent les internautes pouvaient s’opposer aux cookies, mais uniquement postérieurement à leur installation, sauf à paramétrer leur navigateur de façon à refuser tous les cookies.

Avec cette nouvelle mesure, le consentement de l’internaute n’est pas nécessairement requis pour toute nouvelle installation de cookie. Le texte prévoit que le consentement peut provenir de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle, à savoir par exemple en paramétrant son logiciel de navigation.

Ces dispositions s’appliquent principalement aux cookies de traçage et de ciblage des utilisateurs. Elles ne s’appliquent ni aux cookies ayant pour principale finalité de permettre ou faciliter la communication par voie électronique, ni aux cookies strictement nécessaires à la fourniture d’un service à la demande de l’utilisateur.

Ces nouvelles règles s’imposent à tous types de prestataires sur internet, fournisseurs de services de communications électroniques comme éditeurs de services de communication au public en ligne (éditeurs de sites de e-commerce par exemple), à partir du moment où ces prestataires utilisent ces catégories de cookies pour collecter des informations sur leurs utilisateurs.


2. Une obligation renforcée de sécurité des données à caractère personnel

L’article 34 de la loi Informatique et Libertés impose une obligation de sécurité au responsable du traitement, à savoir, “prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.”

L’ordonnance crée un nouvel article 34 bis, instaurant une obligation de notification à la charge des fournisseurs de services de communications électroniques, en cas de violation de sécurité des données à caractère personnel.

Ainsi, les fournisseurs de services de communications électroniques (à savoir, les opérateurs de télécommunications et FAI notamment) sont désormais contraints de notifier sans délai à la Commission nationale de l’informatique et des libertés (CNIL), toute faille de sécurité “entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel (…).”

De plus, le fournisseur doit avertir sans délai l’intéressé dès lors que cette violation est susceptible de porter atteinte aux donnés à caractère personnel ou à la vie privée de celui-ci. Toutefois, cette obligation de notification n’est pas nécessaire si la CNIL a constaté que des mesures de protection ont été mises en oeuvre par le fournisseur (ex: mesures rendant les données inutilisables à toute personne non autorisée à y avoir accès). La CNIL peut également, après avoir examiné la gravité de la violation, mettre en demeure le fournisseur d’informer l’intéressé.

Tout manquement à cette obligation de notification est puni de 5 ans d’emprisonnement et 300.000€ d’amende.

Enfin, le fournisseur doit tenir à jour un inventaire comportant la liste des failles de sécurité, leurs modalités, leurs effets et les mesures adoptées pour y remédier. Cet inventaire doit être mis à la disposition de la CNIL.

Cette obligation de notification s’impose à toute violation de sécurité, qu’elle soit accidentelle ou illicite (intrusion non autorisée par un tiers dans les systèmes du fournisseur de services).

Enfin, il est à noter que cette obligation s’impose aux fournisseurs de services de communications électroniques. Ne sont pas concernés les éditeurs de services de communication au public en ligne, tels les éditeurs de sites de commerce en ligne par exemple.

* * * * * * * * * * *

(1) Ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques.
(2) Directive 2009/136/CE du Parlement Européen et du Conseil du 25 novembre 2009, modifiant la directive
2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement (CE) n°2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs.
(3) Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.


Bénédicte DELEPORTE  -  Avocat
Betty SFEZ  -  Avocat

Deleporte Wentz Avocat
www.dwavocat.com
Octobre 2011

* Article publié sur le Journal du Net (http://www.journaldunet.com) le 4 octobre 2011