• Parutions -fr 

Parutions

Quelle distinction entre l’idée, de libre parcours, et une œuvre protégée ?

Une idée peut tout à fait être nouvelle. Pour autant, elle ne possède pas de statut juridique.

En effet, en droit d’auteur notamment, l’œuvre doit être concrétisée, prendre forme.

Cela exclut les idées dont on dit qu’elles sont « de libres parcours ». Seule la forme, la concrétisation de cette idée, est protégeable.

Par exemple, l’idée d’un film sur le thème des sorciers n’est pas protégeable, un nouveau concept n’est pas protégeable en tant que tel.

Dès lors qu’elle est concrétisée, l’oeuvre est protégeable même si elle n’est pas achevée ou qu’elle n’est pas divulguée au public. Par exemple : un brouillon, un croquis, une ébauche ou un travail préparatoire seront protégeables.

L’article L111-1 du Code la propriété intellectuelle (CPI) dispose que :

« L’auteur d’une oeuvre de l’esprit jouit sur cette oeuvre, du seul fait de sa création, d’un droit de propriété incorporelle exclusif et opposable à tous ».

Le droit d’auteur protège donc :
– Les oeuvres de l’esprit ;
– Du seul fait de leur création ;
– Dès lors qu’elles sont concrétisées et suffisamment originales.

La définition même de l’œuvre de l’esprit : il s’agit d’une création, le résultat de l’activité créative de l’auteur, le reflet des choix opérés par l’auteur.

Cela va avoir pour conséquence d’exclure les prestations techniques ou encore le savoir-faire. En effet, on ne retrouvera pas de droits d’auteur sur une technique, un procédé, une méthode, un savoir-faire, car ce ne sera pas le résultat de choix arbitraires mais une démarche nécessaire.

Cela va également exclure des créations de la nature (par exemple, le fait d’enregistrer le chant des oiseaux). Aussi, la création suppose nécessairement un travail intellectuel en amont.

Dans le domaine de la communication, on va notamment retrouver une liste assez large d’œuvres comme des photographies, croquis, dessins, spots publicitaires, …

Les droits d’auteur sont conférés à l’ensemble des œuvres de l’esprit, « quels qu’en soient le genre, la destination, le mérite ou la forme d’expression » (art. L. 112-1 CPI).

Autrement dit, les créations issues des métiers de la communication (logo, affiche publicitaire, jingle, …) bénéficieront de la même protection au titre du droit d’auteur qu’un tableau de Picasso ou une symphonie de Beethoven, dès lors qu’elle répond aux conditions de protection (originalité et forme concrète).

Concrètement, le mérite ou le genre de la création n’entre pas en compte dans l’appréciation de l’originalité.

La protection repose sur la notion même d’originalité.
Pour rappel, l’originalité n’est pas définie par le Code de la propriété intellectuelle mais par la jurisprudence : c’est l’empreinte de la personnalité de l’auteur, c’est-à-dire son apport personnel, sa patte, ce qui permet de rattacher l’œuvre à tel ou tel auteur.

La notion d’originalité est différente de la nouveauté : la reprise d’un thème banal n’exclut pas la nouveauté. On peut réinterpréter quelque chose de connu de manière originale.

L’originalité est une notion qui demeure relativement subjective et appréciée au cas par cas par la jurisprudence.

D’une façon générale, la jurisprudence a élaboré des repères permettant de déterminer les l’originalité pour chaque type d’oeuvre.

En matière littéraire par exemple, l’originalité se retrouve dans deux éléments : la composition et l’expression. La composition est l’ordonnancement des chapitres, le déroulement de la trame, la mouture, le plan. L’expression, c’est le style, le choix des mots et des tournures de phrase.

Pour la photographie, on retrouvera les éléments d’originalité dans les prises de vue, l’angle, le style, le grain, les effets recherchés, …

La question se pose notamment concernant la protection du contenu d’un site Internet, notamment par le droit d’auteur (texte, images, charte graphique, architecture du site), car la notion d’originalité est difficilement appréhendable.

En effet, il peut sembler délicat, au regard du nombre de sites internet existant aujourd’hui, de revendiquer une réelle originalité sur une charte graphique.

La jurisprudence, sur ce point, est partie du principe que ne pouvait pas être reconnue de protection si les éléments sont dictés par la fonction et non par des choix arbitraires et esthétiques.
Par exemple :

– Cour d’appel de Versailles 02/07/2013 : « vente-privee.com » est un site original protégé par le droit d’auteur. En l’espèce, la société Vente privée reprochait au site www.club-privé.fr d’avoir reproduit l’architecture de son site internet. Elle revendiquait la combinaison d’éléments particuliers sur sa page d’accueil.

– TGI de Paris 12/01/2017 : l’originalité d’un site internet suppose de démontrer que le créateur du site Internet a réalisé un effort créatif dans la combinaison des éléments qui le composent (couleurs, nom des rubriques, éléments tels que des bandeaux, des images etc.), laquelle confère au site « une physionomie propre » et le « parti pris esthétique » portant l’empreinte de la personnalité de l’auteur. La charte graphique peut être considérée comme originale s’il est démontré que les normes graphiques retenues permettent de définir l’identité graphique du site.

Quelle protection ?
En matière de création artistique, les œuvres de l’esprit sont protégeables du seul fait de leur création. Autrement dit, la titularité des droits à l’auteur ne nécessite aucun dépôt.

Néanmoins, il est utile pour l’auteur de se ménager la preuve de la date de création de l’œuvre. Pour ce faire, il peut notamment avoir recours à l’enveloppe Soleau auprès de l’INPI (également disponible au format numérique).
Aujourd’hui, des outils informatiques existent dans les métiers de la communication afin de permettre de dater précisément les évolutions portées sur un travail.

Sa création ou son idée de création (dès lors qu’elle revête une forme concrète et originale) peut être déposée auprès de l’INPI, au moyen d’une enveloppe Soleau ou d’un site comme mapreuve.com.

Il s’agit de moyen peu contraignants et peu coûteux servant à prouver l’antériorité d’une création intellectuelle accessible à une ou plusieurs personnes physiques ou morales.

Les documents déposés, sous réserve de répondre aux contraintes de taille et de forme, font généralement l’objet d’une protection par des droits de propriété intellectuelle :
– Une œuvre de l’esprit répondant à la définition de l’article L112-2 du Code de la propriété intellectuelle : œuvres littéraires, photographies, créations musicales, code source d’un logiciel, etc.
– Descriptions ou reproductions en deux dimensions d’œuvres susceptibles d’enregistrement sous forme de droits de propriété industrielle : dessins techniques, schémas, etc.

Toutefois, il convient de préciser que ces moyens ne constituent pas de titre de propriété industrielle en tant que tel. Leur objectif est uniquement de dater une œuvre, une idée ou un concept et non de les protéger, il est donc essentiel d’entreprendre en parallèle le dépôt d’une demande de tout élément pour lequel on vise des droits de propriété industrielle.

Les marques ont pour vocation à distinguer précisément les produits ou services du titulaire de ceux de ses concurrents. Elles font l’objet d’un dépôt auprès de l’INPI qui confère un monopole d’exploitation de 10 ans, renouvelable indéfiniment.

Enfin, les dessins et modèles servent à protéger l’apparence d’un produit manufacturé, son esthétique. Ils peuvent également faire l’objet d’un dépôt auprès de l’INPI et bénéficier d’un monopole d’exploitation de 5 ans qui peut être prolongée par tranche de 5 ans, jusqu’à une période maximale de 25 ans.

Qu’est-ce que le plagiat ?
Le plagiat constitue le terme communément employé pour désigner une contrefaçon de droits d’auteur.

Juridiquement, on parlera de contrefaçon pour désigner indifféremment des actes délictueux, notamment de reproduction sur des œuvres de l’esprit, des marques ou des dessins et modèles.

On retrouve cette définition de la contrefaçon aux articles L335-2 et suivants du CPI :

« Toute édition d’écrits, de composition musicale, de dessin, de peinture ou de toute autre production, imprimée ou gravée en entier ou en partie, au mépris des lois et règlements relatifs à la propriété des auteurs, est une contrefaçon et toute contrefaçon est un délit […]

Seront punis des mêmes peines le débit, l’exportation, l’importation, le transbordement ou la détention aux fins précitées des ouvrages contrefaisants […]

Est également un délit de contrefaçon toute reproduction, représentation ou diffusion, par quelque moyen que ce soit, d’une oeuvre de l’esprit en violation des droits d’auteur, tels qu’ils sont définis et réglementés par la loi.

Est également un délit de contrefaçon la violation des droits de l’auteur d’un logiciel définis à l’article L.122-6 […] ».

Concrètement, cela signifie que toute utilisation, reproduction ou exploitation d’une œuvre sans l’autorisation de son auteur pourra être sanctionnée au titre de cette qualification.

L’auteur lésé sera en droit de réclamer des dommages et intérêts au titre d’un préjudice qui sera évalué au regard du manque à gagner, du gain réalisé par le contrefacteur ou encore du préjudice moral.

La contrefaçon s’apprécie classiquement en tenant compte des ressemblances portant sur les parties essentielles, peu important les différences pouvant affecter les éléments de détail

Le lien avec les créations antérieures
Comme énoncé précédemment, l’idée n’est en soi pas protégeable. On peut donc s’inspirer d’une idée dès lors qu’elle ne revête pas une forme concrète.

Il convient d’être extrêmement prudent dans la manière d’utiliser certains éléments susceptibles d’être protégés par un droit de propriété intellectuelle.

Un contrat de licence peut être conclu avec le titulaire d’une œuvre pour l’utilisation d’une marque déposée.

De la même façon, un contrat de cession peut être conclu avec le compositeur d’un titre musical, visant à reproduire le morceau en question dans un spot publicitaire.

Enfin, il convient d’être vigilant quant au recours à des prestataires extérieurs. Par exemple, la commande auprès d’un photographe indépendant de clichés aux fins de réalisation d’une campagne d’affichage doit passer par un contrat de cession des droits d’auteur du photographe sur les photos concernées. Cette cession doit être écrite et respecter des conditions de forme strictes (délimitation de l’étendue de la cession, rémunération proportionnelle ou forfaitaire de la cession, …).

Dans le cas contraire, les revendications au titre d’une action en contrefaçon suite à une action du titulaire des droits pourraient avoir des conséquences économiques et d’image importantes.

Blandine Poidevin
Avocat associé
Cabinet Jurisexpert
www.jurisexpert.net

Documents administratifs contenant des données personnelles : peuvent-ils être publiés en l’état ?

Le décret n° 2018-1117 du 10 décembre 2018 apporte une réponse à cette question car il identifie les documents administratifs pouvant être rendus publics sans occultation des données personnelles s’y trouvant.

Ainsi, les documents suivants peuvent être diffusés dans leur intégralité :
– les organigrammes et annuaires des administrations ;
– le répertoire national des associations et le répertoire des entreprises et de leurs établissements dans leur intégralité ;
– les annuaires des professions règlementées ;
– les résultats obtenus par les candidats aux examens et concours administratifs ou conduisant à la délivrance des diplômes nationaux ;
– les conditions d’organisation et d’exercice des activités sportives ;
– le répertoire national des élus ;
– les registres des chambres d’hôtes et gîtes ;
– la base des permis de construire.

Source

Arrivée de Maître Florent PINCHON

Le cabinet Jurisexpert est heureux de vous annoncer l’arrivée de Maître Florent PINCHON, Avocat collaborateur, au sein de son équipe.

Lisez ci-après l’article de La Voix l’Etudiant pour lequel il a été interrogé.

Smart textiles : quelles problématiques juridiques ?

La part des tissus et vêtements techniques en France représente environ 25% du marché textile.

Certains experts projettent un chiffre d’affaires pour le smart textile à hauteur de 1,5 milliards d’euros d’ici 2021.

Dans le domaine des sports et loisirs, de la santé, les applications sont nombreuses : body pour bébés changeant de couleur en cas de fièvre, vêtements de travail connectés analysant la pénibilité des tâches, gilet pare-balles en silicone souple durcissant à l’impact… Le textile est en passe de devenir un produit de haute technologie, empruntant des innovations jusqu’au secteur des télécommunications.

Il en est ainsi de la technologie de retour haptique qui permet aux utilisateurs de manipuler des objets dans un environnement virtuel avec un certain ressenti tactile, désormais envisagée sérieusement dans le domaine textile afin, par exemple, de reproduire des textures, des formes ou des mouvements.

La société Apple, qui ne s’y est pas trompée, a déposé en juillet 2018 deux brevets portant sur des technologies de textile intelligent.

L’essor pris par le sport textile nous a amenés à nous interroger sur différentes problématiques juridiques qui lui sont liées.

La première d’entre elles concerne le choix d’une protection selon la nature et les caractéristiques du vêtement ou textile concerné.

Le droit français offre ainsi le choix entre différents types de protection intellectuelle, parmi lesquelles :
– le brevet, qui permettra de protéger une technologie apportant une solution technique à un problème technique ;
– la marque ;
– le dessin & modèle permettant de protéger l’apparence ou l’ornement d’un produit ;
– et enfin le droit d’auteur, qui, pour l’aspect logiciel, pourrait également s’avérer opportun dans la perspective d’une protection d’un vêtement intelligent et de sa communication avec son environnement.

La question de la responsabilité attachée à un vêtement ou textile défectueux peut, quant à elle, être abordée sous l’angle du droit commun, et notamment de l’article 1245 du Code Civil, prévoyant la responsabilité du « producteur » pour tout dommage causé par un défaut du produit.

Rappelons qu’un produit est défectueux lorsqu’il n’offre pas la sécurité à laquelle l’utilisateur peut légitimement s’attendre, en tenant compte de toutes les circonstances, et notamment de la présentation du produit, de l’usage qui peut en être raisonnablement attendu et du moment de sa mise en circulation.

La difficulté dans l’application de ce cadre juridique pourrait résulter notamment des incertitudes liées à un sinistre résultant, non pas du vêtement lui-même, mais du service rendu par le biais de la technologie communicante qui lui est associée, ou d’un vêtement ayant, par le biais de l’intelligence artificielle dont il bénéficie, appris et modifié ses caractéristiques au point d’échapper au contrôle du producteur l’ayant mis sur le marché.

Par ailleurs, dans la mesure où les vêtements connectés sont amenés, le plus souvent, à collecter des données à caractère personnel relatives à leurs utilisateurs (données de géolocalisation, données biométriques, etc.), l’ensemble des problématiques relatives à la protection de la vie privée, résultant notamment du nouveau Règlement RGPD en vigueur depuis mai 2018, devront être prises en compte.

A cet égard, l’information des personnes concernées sur les traitements automatisés mis en œuvre, devra faire l’objet d’un soin particulier par le responsable du traitement concerné, dont l’identité pourrait, selon les hypothèses, être complexe à établir.

Enfin, il convient de rappeler que le cadre juridique applicable aux dispositifs médicaux, susceptibles de s’appliquer à de tels vêtements intelligents, est en pleine refonte du fait de l’adoption, en 2017, du règlement européen 2017/745 qui entrera en vigueur en 2020.

En parallèle, la Haute Autorité de Santé a, en avril dernier, précisé ses méthodes d’évaluations des dispositifs médicaux connectés et défini leur périmètre en vue d’une prise en charge par l’assurance maladie.

S’inscrivant dans une problématique plus globale qui est celle des objets connectés, les problématiques juridiques applicables aux vêtements intelligents présentent un intérêt indéniable au vu des perspectives d’évolution de ce marché dans les prochaines années.

Viviane Gelles
Avocat associé, cabinet Jurisexpert
www.jurisexpert.net

Sécuriser la clause PI dans les marchés publics

L’Agence du patrimoine immatériel de l’Etat a diffusé une note à destination des acheteurs publics, avec des recommandations sur la manière de gérer la propriété intellectuelle dans les marchés publics. Retrouvez-la ICI. 

« Blockchain et RGPD, une union impossible ? » le LINC (laboratoire d’innovation numérique de la CNIL) cite Maîtres Blandine POIDEVIN et Christine VROMAN

Lire l’article de Caroline MARTIN-FORISSIER : « Blockchain et RGPD, une union impossible ? »

Le « upskirting » dans Libération

Retrouvez mon interview dans le quotidien Libération, au sujet de la loi contre les violences sexuelles et sexistes adoptée le 31 juillet dernier par le Parlement.

« La blockchain est-elle compatible avec le RGPD ? » JDN. 09/02/2018

Lire l’article

Comprendre (enfin) le règlement européen sur la protection des données (RGPD ou GDPR).

Le Règlement entre en vigueur le 25 mai 2018. Certains le découvrent seulement et ne savent comment l’aborder. Nous avons procédé aux jeux des questions-réponses pour vous permettre d’y voir plus clair.

Faut-il nommer un DPO (Data Privacy Officer) ?

Oui si vous traitez un volume important de données, des données de santé ou encore si vous êtes un organisme public.

La désignation d’un délégué à la protection des données est obligatoire lorsque les activités de base du responsable consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées.

Le délégué a vocation à être l’interlocuteur privilégié et le garant de la conformité en matière de protection des données au sein de son organisme

Il devra être disponible pour répondre à toutes les questions relatives au traitement des données personnelles et à l’exercice de ses missions.

Il sera soumis au secret professionnel et à la confidentialité. Il devra veiller à ce que l’exercice de ses missions de délégué ne présente pas de conflits d’intérêts avec ses autres activités professionnelles. Le Responsable de traitement a l’obligation d’assurer l’indépendance du DPO, qui ne devra recevoir aucune instruction de la part du responsable sur le déroulement de ses missions.

Qui peut être DPO ?

Toute personne qui connaît votre entreprise, vos différents métiers, qui peut dialoguer avec le plus grand nombre dont la DSI ou le RSSI, a des capacités de formateur, a une très bonne connaissance des textes et est capable d’écrire des process.

Peut-il être externe ? Oui mais le DPO externe doit être très présent dans votre structure, ce qui limite son recours en cas d’organisation éclatée ou importante.

Peut-il être mutualisé ? Oui à condition qu’il dispose d’une organisation sur laquelle il peut se baser comme des référents dans chaque structure.

Quelles missions lui attribuer ?

Il doit :

– informer, conseiller et alerter, si besoin, le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en matière de données personnelles, émettre des conseils auprès de chaque direction Métier ;

– diffuser une culture données personnelles dans l’entreprise ;

– analyser, auditer, contrôler le respect des dispositions applicables en matière de données personnelles, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;

– dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci ;

– établir et maintenir à jour une documentation au titre de l’Accountability ;

– assurer une médiation avec les personnes physiques concernées ;

– coopérer avec l’autorité de contrôle ;

– faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement.

Quelle responsabilité pour le DPO ? Peut-il recevoir une délégation de pouvoir ?

Le DPO n’encourt pas à titre personnel de sanctions pénales. Le DPO ne peut être responsable en cas de manquement au règlement. Le dispositif de délégation de pouvoir n’est pas non plus admis à l’égard du DPO, notamment parce que la délégation est incompatible avec l’indépendance du délégué et avec le fait que le responsable doit garantir l’absence d’un conflit d’intérêts avec le DPO (article 38.6 du Règlement).

Quelles sont les sanctions encourues par le représentant légal?

Elles sont de deux ordres :

-des sanctions prononcées par la CNIL.

Le montant des sanctions encourues a été majoré par le RGPD :

jusqu’à 10M d’euros ou, si c’est un montant supérieur, à 2% du CA annuel mondial du Groupe en cas de manquements à certaines obligations telles l’obligation de tenue du Registre des activités de Traitement, l’obligation de mener une Etude d’Impact (Privacy Impact Analyse)…

jusqu’à 20M d’euros ou, si c’est un montant supérieur, à  4% du CA annuel mondial du Groupe en cas de manquement aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, d’effacement), manquement à la sécurité des données…

-des sanctions pénales

Ces sanctions existent déjà en droit français et n’ont pas été modifiées par le RGPD. Il convient de bien distinguer la responsabilité de la personne morale, distincte de l’éventuelle responsabilité du dirigeant.

Le représentant peut-il être responsable du fait de personnes tierces ?

Oui il est responsable du fait de ses propres actions mais aussi des agissements de ses sous-traitants.

Une délégation de pouvoir est-elle envisageable en matière de données personnelles ?

En cas de poursuites pénales envers la personne morale, c’est le représentant de la société qui sera poursuivi, et non le DPO.

Pour pouvoir être exonéré de sa responsabilité, c’est au représentant de justifier de la mise en œuvre effective de délégations.

En cas de délégation valable, le représentant peut s’exonérer de sa responsabilité dans le seul domaine couvert par la délégation et sauf s’il a personnellement pris part à l’infraction.

Deux conditions sont nécessaires pour une délégation valable :

– le délégant doit être dans l’impossibilité réelle de veiller personnellement au respect de la réglementation, compte tenu de la taille de l’entreprise mais aussi de sa structure ;

– le délégataire doit être doté de la compétence (y compris en termes de connaissance de la règlementation applicable), des moyens et de l’autorité nécessaires à l’accomplissement des tâches qui lui sont déléguées.

Sur la forme, la délégation doit être certaine, expresse et limitée à un domaine précis. Toutefois, elle doit correspondre à une véritable délégation de pouvoirs et de responsabilités. Une délégation fictive pourrait toujours être invalidée par un juge.

Le principe général d’ « accountability » posé par le RGPD tend à limiter les champs de délégations du dirigeant aux aspects opérationnels non stratégiques.

 Comment démarrer son projet GDPR ?

La cartographie des flux de données, le recensement des applications utilisées et des sous-traitants et destinataires des données sont les points de départ indispensable. Il sera nécessaire assez rapidement de réflechir à la gourvernance et de revoir la politique contractuelle de l’organisme.

 Quelles sont les nouvelles obligations du responsable de traitement ?

Le règlement européen vient renforcer les droits des personnes et les responsabilités des Responsables de traitements et des sous-traitants.

Le responsable de traitement a notamment pour obligation :

– d’assurer la licéité du traitement (obligation d’information, consentement, transparence) ;

– de respecter les finalités du traitement ;

– de mettre en œuvre les mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément à la législation ;

– d’informer les personnes concernées et/ ou obtenir leur consentement au traitement des données ;

– de mettre en œuvre une protection des données dès la conception et la protection des données par défaut ;

– de tenir à jour une documentation démontrant la conformité des traitements ;

– de mettre en œuvre des obligations en matière de sécurité et de confidentialité et notamment la gestion des accès, l’obligation de notifier les violations de données personnelles.

De quelle documentation doit-il dorénavant disposer ?

Il est nécessaire de tenir à jour une documentation démontrant la conformité des traitements ; cette documentation comprendra la tenue à jour du registre des traitements en tant que responsable, du registre des sous-traitants, les mentions d’information, les modèles de recueil de consentement, les procédures mises en place pour l’exercice des droits, les contrats avec les sous-traitants, les mesures prises pour encadrer les transferts de données en dehors de l’Union, un cahier des incidents et de la gestion des failles de sécurité, un suivi des formations, la preuve que les personnes ont donné leur consentement, un suivi des analyses d’impacts réalisées…

Un mineur peut-il consentir à la collecte de ses données personnelles dans le cadre de l’utilisation d’un service en ligne?

Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant.

Le professionnel concerné doit s’efforcer « raisonnablement » de vérifier, compte tenu des moyens technologiques disponibles, la qualité du titulaire de la responsabilité parentale à l’égard de l’enfant.

Avec l’entrée en vigueur du RGPD, quel sera le sort des déclarations précédemment effectuées auprès de la CNIL?

Les formalités préalables effectuées auprès de la CNIL ne devront pas faire l’objet d’une demande spécifique de suppression.

Néanmoins, compte-tenu des nouvelles obligations résultant du RGPD, et notamment du principe d' »accountability », le responsable de traitement devra se mettre spontanément en conformité avec les nouvelles règles et, par exemple, s’assurer d’obtenir un nouveau consentement des personnes concernées si le traitement est fondé sur un tel consentement, ou encore mettre en place une analyse d’impact du traitement sur la vie privée lorsque celui-ci est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Le Règlement ne s’applique-t-il qu’envers des entreprises ou organismes européens ?

Le Règlement relatif à la protection des données personnelles s’applique dès lors que le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne ou que le responsable de traitement ou le sous-traitant met en œuvre des traitements visant à fournir des biens et des services aux résidents européens (articles 2 et 3 dudit Règlement).

En pratique, le droit européen s’appliquera donc chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par Internet.

Que doit faire une société hors Union Européenne ayant des services à destination de citoyens européens ?

Le considérant 80 du règlement et l’article 27 prévoient la désignation d’un représentant du responsable de traitement établi en dehors de l’Union européenne.

En effet, « lorsqu’un responsable du traitement qui n’est pas établi dans l’Union traite des données à caractère personnel de personnes concernées qui se trouvent dans l’Union et que ses activités de traitement sont liées à l’offre de biens ou de services à ces personnes dans l’Union, […] il convient que le responsable du traitement ou le sous-traitant désigne un représentant ».

L’article 27, 4° dudit règlement dispose que le représentant est mandaté par le Responsable pour être l’interlocuteur des autorités de contrôle et des personnes concernées sur le territoire de l’Union.

Les dispositions du règlement permettent également de renseigner l’obligation, pour le responsable de désigner par un mandat écrit le représentant et de rédiger ses obligations. Ce dernier devra accomplir ses tâches conformément au mandat reçu.

Il sera précisé que la désignation de ce représentant ne porte pas atteinte aux responsabilités du responsable du traitement.

Vade-mecum des obligations juridiques liées aux systèmes d’information. Clusif. Juin 2017

Jurisexpert est fier d’avoir participé à ce travail.

Le droit à parodie

Il existe quatre conditions pour caractériser la parodie :
-l’absence de confusion entre l’œuvre originale et la parodie,
-une réelle intention humoristique,
-l’absence d’intention de nuire à l’œuvre originale,
-l’absence de finalités promotionnelles ou publicitaires certaines.Dès lors qu’une œuvre répond à la qualité de parodies, elle est protégée par l’article L122-5 4° du Code de Propriété Intellectuelle, qui dispose que lorsque l’œuvre initiale a été divulguée, l’auteur ne peut interdire la parodie.
La condition de divulgation interdit en revanche d’exploiter l’extrait d’un film qui n’aurait pas encore été communiqué au
public.

Ainsi, rien ne s’oppose à une exploitation commerciale d’une parodie répondant à ces conditions.

Une brasserie peut-elle faire du parrainage sportif ?

Dans le cadre d’un évènement sportif, la publicité directe ou indirecte en  faveur d’une boisson alcoolique est interdite d’après l’article L3323-2 du  Code de la Santé Publique.

Effectivement, le fait de faire de la publicité pour une brasserie ne  constitue pas une publicité directe pour une boisson alcoolique.

En revanche, la question se pose de savoir si elle constitue une  propagande ou une publicité indirecte en faveur d’une boisson alcoolique,  ce qui est une question factuelle.

À cet égard, l’article L3323-3 du Code de la Santé Publique prévoit qu’est considérée comme propagande ou
publicité indirecte la propagande ou publicité en faveur d’un organisme,  d’un service, d’une activité, d’un produit ou d’un article autre qu’une  boisson alcoolique qui, par son graphisme, sa présentation, l’utilisation d’une dénomination, d’une marque, d’un emblème publicitaire ou d’un autre  signe distinctif, rappelle une boisson alcoolique.il sera donc nécessaire d’examiner si le graphisme, la présentation, l’utilisation de  la dénomination, la marque, l’emblème publicitaire ou un quelconque autre  signe distinctif de la brasserie est susceptible de rappeler une boisson alcoolique.À titre d’exemple, une brasserie dont le nom serait lié à la bière et dont le logo  représenterait un verre de bière pourrait être considérée comme de la publicité indirecte pour une boisson alcoolique, et serait donc interdite.

En revanche, une publicité pour une brasserie dont le seul le nom indépendant du monde de la bière apparaîtrait, assorti de son logo également étranger à cette boisson pourrait être autorisée.

Ainsi, le risque de qualification de publicité indirecte, et donc, in fine, l’autorisation ou non de ce support publicitaire est examiné in concreto.

Quelle responsabilité pour le DPO ? Peut-il recevoir une délégation de pouvoir ?

Le DPO n’encourt pas à titre personnel de sanctions pénales. Le DPO ne peut être responsable en cas de manquement au règlement. Le dispositif de délégation de pouvoir n’est pas non plus admis à l’égard du DPO, notamment parce que la délégation est incompatible avec l’indépendance du délégué et avec le fait que le responsable doit garantir l’absence d’un conflit d’intérêts avec le DPO (article 38.6 du Règlement).

Les sanctions encourrues par le représentant légal des personnes morales (sociétés), du fait de leurs propres faits ou des agissements de leurs sous-traitants, sont de deux ordres :

1) des sanctions administratives prononcées par la CNIL.

Le montant des sanctions encourues a été majoré par le RGPD :

jusqu’à 10M d’euros ou, si c’est un montant supérieur,à 2% du CA annuel mondial du Groupe en cas de manquements à certaines obligations telles l’obligation de tenue du Registre des activités de Traitement, l’obligation de mener une Etude d’Impact (Privacy Impact Analyse)…

jusqu’à 20M d’euros ou, si c’est un montant supérieur, à  4% du CA annuel mondial du Groupe en cas de manquement aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, d’effacement), manquement à la sécurité des données…

2) des sanctions pénales (articles spécifiques du Code Pénal)

Ces sanctions existent déjà en droit français et n’ont pas été modifiées par le RGPD. Il convient de bien distinguer la responsabilité de la personne morale, distincte de l’éventuelle responsabilité du dirigeant.

En cas de poursuites pénales envers la personne morale, c’est le représentant de la société qui sera poursuivi, et non le DPO.

Pour pouvoir être exonéré de sa responsabilité, c’est au représentant de justifier de la mise en œuvre effective de délégations.

En cas de délégation valable, le représentant peut s’exonérer de sa responsabilité dans le seul domaine couvert par la délégation et sauf s’il a personnellement pris part à l’infraction.

Deux conditions sont nécessaires pour une délégation valable :

– le délégant doit être dans l’impossibilité réelle de veiller personnellement au respect de la réglementation, compte tenu de la taille de l’entreprise mais aussi de sa structure ;

– le délégataire doit être doté de la compétence (y compris en termes de connaissance de la règlementation applicable), des moyens et de l’autorité nécessaires à l’accomplissement des tâches qui lui sont déléguées.

Sur la forme, la délégation doit être certaine, expresse et limitée à un domaine précis. Toutefois, elle doit correspondre à une véritable délégation de pouvoirs et de responsabilités. Une délégation fictive pourrait toujours être invalidée par un juge.

Le principe général d’ « accountability » posé par le RGPD tend à limiter les champs de délégations du dirigeant aux aspects opérationnels non stratégiques.

 

Le DPO ne pourra pas recevoir de délégation pénale car son rôle ne va pas jusqu’à ce niveau de responsabilité stratégique. 

Le DSI pourra être délégataire quant à la conformité opérationnelle des systèmes ; exemple : le Directeur de la Relation Clientèle quant à l’effectivité de l’information des clients sur l’exercice de leurs droits.

Financement des jeunes pousses : pacte d’actionnaires / associés, un outil qui compte

 

      Bien connus des acteurs du capital risque, les pactes d’actionnaires / associés peuvent être négociés par les jeunes entrepreneurs envisageant des levées de fonds à court ou moyen terme. Leur rédaction peut être prévue dès la création de la société, qui servira de cadre juridique à la nouvelle activité. Rappel de l’utilité de ces contrats.

Convention conclue entre plusieurs actionnaires ou associés d‘une société, voire entre tous, le pacte d‘actionnaires (ou d’associés pour les SARL, sociétés à responsabilité limitée) [1] vise à encadrer leurs prérogatives, le plus souvent leurs droits politiques dans la société ou le droit de céder leurs titres. Théoriquement, les pactes d‘actionnaires peuvent être utilisés pour tous types de sociétés. Cependant, ceux relatifs à des sociétés cotées sont soumis à des règles strictes, notamment de divulgation.

Les développements qui suivent ne concernent que les sociétés commerciales, en particulier les sociétés anonymes (SA), SARL et sociétés par actions simplifiées (SAS).

Le pacte d‘actionnaires doit être distingué des statuts, bien que les deux se recoupent. Les statuts, contrat conclu entre tous les fondateurs de la société, précisent les caractéristiques et les règles de fonctionnement de celle-ci. Leur contenu est encadré par la loi, qui ne laisse parfois que peu de place à la liberté contractuelle, comme dans le cas des SA. Les statuts qui sont enregistrés au greffe et accessibles au public, lient tous les actionnaires. En revanche, le pacte d‘actionnaires n‘engage que les actionnaires qui y sont partie et ne fait, en principe, pas l‘objet d‘une publication (sauf, dans certains cas, pour les sociétés cotées). Ces différences s‘illustrent bien dans les cas de violation de dispositions statutaires ou d‘un pacte. Par exemple, une décision prise en violation des statuts peut entraîner sa nullité. En revanche, une décision violant les dispositions d‘un pacte d‘actionnaires n‘entraîne, en général, pas sa nullité mais engage la responsabilité en dommages-intérêts des actionnaires ayant violé le pacte.

Flexibilité et confidentialité

L‘utilité des pactes d‘actionnaires est multiple. Ils permettent tout d‘abord d‘apporter une flexibilité qui ne peut être reflétée dans les statuts, en particulier pour les SA. Pour les SAS, la loi permet une grande flexibilité dans les statuts. Les actionnaires peuvent donc organiser son fonctionnement et la cessibilité de leurs actions comme ils l‘entendent, dans la limite de certaines règles auxquelles il ne peut être dérogé. L‘avantage des pactes réside, ici, dans leur discrétion.

En cas de levée de fonds, il est fréquent que la souscription de nouvelles actions par les nouveaux investisseurs soit accompagnée de la signature d‘un pacte d‘actionnaires. Ce pacte contiendra, en général, des dispositions spéciales sur les droits préférentiels de souscription, droits de veto et conditions de sortie. Autant d‘informations primordiales sur la valorisation et la stratégie de l‘entreprise qu‘il n‘est pas forcément opportun de rendre accessible au public. Enfin, dans les sociétés ayant un actionnariat varié, les pactes entre certains actionnaires permettent de mettre en œuvre des stratégies communes, dans les limites imposées par les règles impératives du droit des sociétés.

 

La typologie des pactes d‘actionnaires varie grandement d‘une transaction à l‘autre. Dans le cadre d‘une levée de fonds, le pacte contiendra des dispositions empêchant ou limitant la dilution des fondateurs et des premiers investisseurs lors d‘ultérieurs tours de table. Le pacte peut également prévoir des clauses de contrôle de l‘actionnariat, règlementant strictement les conditions de cession des actions par tous, ou certains actionnaires, et prévoyant des scénarios de sortie des actionnaires. Les pactes d’actionnaires permettent également d‘organiser la nomination des dirigeants et l‘utilisation des droits de vote. Enfin, ils peuvent contenir des dispositions relatives à la distribution des dividendes.

La rédaction des clauses du pacte n‘est pas figée. La liberté est totale et les possibilités quasi infinies, dans les limites des dispositions impératives du droit des sociétés. C‘est là le grand avantage des pactes d‘actionnaires, qui permettent aux parties de tailler sur mesure un outil correspondant aux besoins de la transaction projetée. Une liberté cependant délicate à maîtriser, d‘où la nécessité d’un accompagnement professionnel.

Encadré

 Levée de fonds : quelles clauses ?

Exemples de clauses que l’on retrouve fréquemment dans les pactes conclus dans le cadre de levées de fonds.

Droits de préemption : ces clauses permettent, en cas de cession d‘actions projetée par un actionnaire, de donner la possibilité aux autres actionnaires d‘acquérir ces actions en priorité. En général, elles prévoient l’obligation pour un actionnaire ayant reçu une offre d‘achat d‘un tiers de proposer aux autres actionnaires d‘acquérir en priorité les actions faisant l‘objet de l‘offre, aux conditions soumises par le tiers acquéreur. Une variante de ce droit est le droit de premier refus (right of first refusal).

Mécanismes anti-dilution : la loi prévoit un droit préférentiel de souscription (DPS) permettant à un actionnaire de participer à toute nouvelle augmentation de capital, proportionnellement à la quote-part du capital qu’il détient. Ce droit peut être cédé et  également supprimé par l‘assemblée générale, dans certains cas. En complément du DPS, une clause anti-dilution peut permettre à son bénéficiaire d‘acquérir des actions d‘autres actionnaires, afin d‘empêcher la dilution de sa participation en cas d‘augmentation de capital, quelle qu‘en soit la cause.

Sortie conjointe (tag along) : ces clauses permettent à un actionnaire, en cas de cession d‘actions par un autre actionnaire, de bénéficier de conditions de sortie similaires à celles de l‘actionnaire cédant. Egalement, d‘éviter à des actionnaires minoritaires de se retrouver isolés en cas de sortie d‘actionnaires majoritaires. Ces droits de sortie peuvent être proportionnels.

Sortie obligatoire (drag along): à l‘inverse des droits de sortie conjointe, ces clauses permettent aux actionnaires (souvent majoritaires) vendant l‘intégralité de leurs actions, d‘obliger les actionnaires (souvent minoritaires) à céder leurs titres dans des conditions similaires. L’objectif : éviter que des actionnaires minoritaires puissent bloquer un projet d‘acquisition de l‘intégralité des actions de la société.

[1]             Pour plus de lisibilité, le terme pacte d’actionnaires sera utilisé  dans cet article.

 

« Quand la reprise d’un hashtag constitue un acte de parasitisme ». MaPreuve. 12/12/2017

Lire l’article

Marketplace : les nouvelles obligations à respecter à partir de 2018.

Le décret n°2017-1434 du 29 septembre 2017, précise les obligations incombant à tout opérateur de plateforme en ligne[1], ces obligations entrent en vigueur au 1er janvier 2018.

 Ce décret détermine le contenu, les modalités et les conditions d’application de l’article L111-7-II du Code de la consommation, qui impose à tout opérateur de plateforme en ligne une obligation d’information loyale, claire et transparente sur :

–       les conditions de référencement, de classement et de déréférencement des contenus auxquels il permet d’accéder ;

–       le fonctionnement du service d’intermédiation qu’il propose permettant la mise en relation par voie électronique de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un bien ou d’un service.

 L’obligation d’information de l’opérateur varie en fonction de la nature de son activité, selon qu’il contribue à la mise en relation de plusieurs parties (plateformes collaboratives, marketplaces) ou qu’il se contente de classer ou de référencer des contenus, des biens ou des services proposés ou mis en ligne par des tiers (moteurs de recherche).

 Obligations applicables à tout opérateur de plateforme en ligne

Tout opérateur de plateforme en ligne doit préciser, dans une rubrique spécifique, les modalités de référencement, de déréférencement et de classement des contenus et offres figurant sur son site[2].

Cette rubrique doit être directement et aisément accessible à partir de toutes les pages du site et comporter les informations suivantes :

–       les conditions de référencement et de déréférencement des contenus et des offres de biens et services, notamment les règles applicables pour être référencé et les obligations dont le non-respect conduit à être déréférencé ;

–       les critères de classement par défaut des contenus et des offres de biens et services, ainsi que leurs principaux paramètres ;

–       le cas échéant, l’existence d’un lien capitalistique ou d’une rémunération entre l’opérateur de plateforme et les offreurs référencés, dès lors que ce lien ou cette rémunération exerce une influence sur le référencement ou le classement des contenus, des biens ou des services proposés ou mis en ligne.

Par ailleurs, pour chaque résultat de classement, l’opérateur doit faire apparaître, à proximité de l’offre ou du contenu classé, par tout moyen distinguant ce résultat, l’information selon laquelle son classement a été influencé par l’existence d’une relation contractuelle, d’un lien capitalistique ou d’une rémunération entre l’opérateur et l’offreur référencé, y compris pour ce qui relève de la publicité au sens de l’article 20 de la Loi pour la Confiance dans l’Economie numérique (LCEN)[3].

 Enfin, tout opérateur de plateforme en ligne fait apparaître, de manière lisible et aisément accessible, sur chaque page de résultats, le critère de classement utilisé ainsi que la définition de ce critère, y compris par renvoi à la rubrique spécifique mentionnée précédemment.

 Obligations applicables aux opérateurs de plateformes en ligne contribuant à la mise en relation de plusieurs parties

Tout opérateur contribuant à la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service, doit préciser, dans une rubrique directement et aisément accessible à partir de toutes les pages du site, sans que l’utilisateur ait besoin de s’identifier, les informations suivantes[4] :

–       la qualité des personnes autorisées à déposer une offre de biens et de services, et notamment leur statut de professionnel ou de consommateur ;

–       le descriptif du service de mise en relation, ainsi que la nature et l’objet des contrats dont il permet la conclusion ;

–       le cas échéant, le prix du service de mise en relation ou le mode de calcul de ce prix, ainsi que le prix de tout service additionnel payant, lorsqu’ils sont mis à la charge du consommateur ;

–       le cas échéant, les modalités de paiement et le mode de gestion, opéré directement ou par un tiers, de la transaction financière ;

–       le cas échéant, les assurances et garanties proposées par l’opérateur de plateforme ;

–       les modalités de règlement des litiges et, le cas échéant, le rôle de l’opérateur de plateforme dans ce règlement.

Par ailleurs, tout opérateur qui met en relation des consommateurs ou des non-professionnels entre eux, à titre principal ou accessoire, indique également, de manière lisible et compréhensible[5] :

–       la qualité de l’offreur, selon que l’offre est proposée par un professionnel ou par un consommateur ou non-professionnel, en fonction du statut déclaré par celui-ci ;

–       si l’offre est proposée par un consommateur ou un non-professionnel :

o   préalablement au dépôt de l’offre, les sanctions encourues par l’offreur s’il agit à titre professionnel alors qu’il se présente comme un consommateur ou un non-professionnel, en application des dispositions de l’article L132-2 du Code de la consommation ;

o   pour chaque offre :

  • le prix total des biens ou des services proposés, y compris, le cas échéant, les frais de mise en relation et tous les frais supplémentaires exigibles, sur la base du prix déclaré par l’offreur ;
  • le droit de rétractation lorsque les parties au contrat l’ont prévu, ou, à défaut, l’absence de droit de rétractation pour l’acheteur au sens de l’article L221-18 du Code de la consommation ;
  • l’absence de garantie légale de conformité et de garantie des vices cachés des biens vendus[6] ;
  • les dispositions du Code civil relatives au droit des obligations et de la responsabilité civile applicables à la relation contractuelle, par l’affichage d’un lien hypertexte.

 Enfin, tout opérateur qui met en relation des professionnels avec des consommateurs et permet la conclusion d’un contrat de vente ou de prestations de service, doit mettre à la disposition de ces professionnels l’espace nécessaire pour la communication des informations préalables à la vente d’un bien ou à la fourniture d’un service, prévues par les articles L221-5 et L221-6 du Code de la consommation[7].

 

Lire le décret

 

[1] Article L111-7-I du Code de la consommation : « personne physique ou morale proposant à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers OU la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service ».

[2] Article 1er du décret n°2017-1434 du 29 septembre 2017 ; article D 111-7-I du Code de la consommation

[3] Article 1er du décret n°2017-1434 du 29 septembre 2017 ; article D 111-7-II du Code de la consommation

[4] Article 1er du décret n°2017-1434 du 29 septembre 2017 ; article D 111-8-I du Code de la consommation

[5] Article 1er du décret n°2017-1434 du 29 septembre 2017 ; article D 111-8-II du Code de la consommation

[6] Articles L214-4 et suivants du Code de la consommation ; articles 1641 et suivants du Code civil

[7] Article 1er du décret n°2017-1434 du 29 septembre 2017 ; article D 111-9 du Code de la consommation

Pas de droit à l’oubli pour les personnes morales.

Seules les personnes physiques bénéficient du droit à l’oubli numérique (l’arrêt CJUE Google Spain du 13/05/2014 et le RGPD concernent les personnes physiques uniquement).

 
D’ailleurs, un arrêt a été rendu récemment par la CJUE s’agissant de la suppression des données du dirigeant d’une entreprise liquidée, figurant dans le registre des sociétés (arrêt 9 mars 2017 Camera di commercio di Lecce contre M X aff. 398/15 Arrêt CJUE 09/03/2017). La CJUE a alors considéré qu’il n’existait pas de droit à l’oubli pour les données à caractère personnel figurant dans le registre des sociétés. 
Résumé de l’arrêt :communiqué de presse
M. Salvatore MANNI, administrateur unique d’une société, s’est vu attribuer un marché pour la construction d’un complexe touristique. Par recours du 12 décembre 2007, M. MANNI a attrait en justice la chambre de commerce de Lecce, en affirmant que les immeubles de ce complexe ne se vendaient pas car il ressortait du registre des sociétés qu’il avait été l’administrateur unique et le liquidateur d’une société qui a fait faillite en 1992 et qui a été radiée du registre des sociétés, à l’issue d’une procédure de liquidation, le 7 juillet 2005.
 
La question préjudicielle posée à la CJUE par la Cour de cassation italienne était la suivante : la directive sur la protection des données des personnes physiques et la directive sur la publicité des actes des sociétés s’opposent-elles à ce que toute personne puisse, sans limite de temps, accéder aux données relatives aux personnes physiques figurant dans le registre des sociétés ?
 
Selon la CJUE, la publicité des registres des sociétés vise à assurer la sécurité juridique dans les rapports entre les sociétés et les tiers ainsi qu’à protéger notamment les intérêts des tiers par rapport aux sociétés par actions et aux sociétés à responsabilité limitée, dès lors qu’elles n’offrent comme garantie à l’égard des tiers que leur patrimoine social.
 
En outre, des questions nécessitant de disposer des données à caractère personnel figurant dans le registre des sociétés peuvent surgir encore de nombreuses années après qu’une société a cessé d’exister. 

Dans ces conditions, les États membres ne peuvent pas garantir aux personnes physiques dont les données sont inscrites dans le registre des sociétés le droit d’obtenir, après un certain délai à compter de la dissolution de la société, l’effacement des données à caractère personnel les concernant. 

Néanmoins, la Cour n’exclut pas que, dans des situations particulières, des raisons prépondérantes et légitimes tenant au cas concret de la personne puissent justifier, à titre exceptionnel, que l’accès aux données à caractère personnel la concernant soit limité, à l’expiration d’un délai suffisamment long après la dissolution de la société, aux tiers justifiant d’un intérêt spécifique à leur consultation.  

Ainsi, il serait nécessaire de fonder une demande de retrait concernant une société sur un fondement plus classique tel que le dénigrement.

« L’entrée en vigueur du CETA ou l’impact du GDPR au Canada »

L’accord économique et commercial global entre l’Union Européenne et le Canada dit « CETA » a été ratifié par le Parlement Européen le 15 février 2017. Il est entré en vigueur de manière provisoire le 21 septembre dernier, dans l’attente de son approbation définitive par les parlements nationaux et régionaux de l’Union Européenne.

Ce traité de libre-échange prévoit notamment une baisse des droits de douane, une hausse des quotas d’importation de produits canadiens dans l’Union Européenne, un accès facilité des entreprises européennes aux marchés publics canadiens ou encore, une reconnaissance mutuelle des qualifications professionnelles.

Dans ce contexte de partenariat entre l’Union Européenne et le Canada, il convient de s’intéresser au Règlement européen sur la protection des données personnelles dit « General data protection régulation » (GDPR)[1], adopté le 27 avril 2016 et entrant en vigueur le 25 mai 2018.

Compte-tenu de son champ d’application étendu, ce Règlement européen pourrait effectivement concerner les entreprises canadiennes, lesquelles devront anticiper son entrée en vigueur et se mettre en conformité avant le 25 mai 2018.

Quelles sont les entreprises concernées par le Règlement européen ?

Les entreprises concernées sont celles qui traitent des données à caractère personnel[2], en qualité de responsable de traitement[3] ou de sous-traitant[4], dès lors que ce traitement entre dans le champ d’application matériel et territorial du GDPR.

Sont exclus du champ d’application matériel du GDPR, les traitements effectués :

  1. Dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;
  2. Par les Etats membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l’Union Européenne ;
  3. Par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ;
  4. Par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales[5].

Pourquoi les entreprises canadiennes sont-elles concernées par le Règlement européen ?

Si le GDPR a pour objet d’unifier le cadre juridique relatif à la protection des données personnelles au sein de l’Union Européenne, force est de constater que son champ d’application territorial n’est pas limité à l’Europe et est susceptible de s’étendre au Canada.

En effet, le GDPR s’applique aux traitements de données à caractère personnel dont le responsable du traitement ou le sous-traitant :

  1. Est établi sur le territoire de l’Union, que ce traitement ait lieu ou non dans l’Union ;
  2. N’est pas établi sur le territoire de l’Union, dès lors que ce traitement concerne des personnes établies dans l’Union et a pour objet de leur fournir des biens ou des services ou de suivre leur comportement ;
  3. N’est pas établi sur le territoire de l’Union mais dans un lieu où le droit d’un État membre s’applique en vertu du droit international public[6].

Ainsi, le GDPR s’applique aux traitements de données à caractère personnel mis en œuvre sur le territoire canadien lorsque le responsable du traitement ou le sous-traitant est établi sur le territoire de l’Union Européenne.

En outre, le GDPR s’applique aux traitements effectués par un responsable ou un sous-traitant canadien lorsque leur objet est de fournir des biens ou des services à des résidents de l’Union Européenne ou de suivre leur comportement.

Quelles formalités pour les entreprises canadiennes qui mettent en œuvre un traitement visant à fournir des biens ou des services à des résidents européens ou à suivre leur comportement ?

Dans une telle hypothèse, le GDPR prévoit la désignation d’un « Représentant sur le territoire de l’Union Européenne »[7]. Cette désignation est obligatoire à moins que :

  1. le traitement ne soit qu’occasionnel, n’implique pas un traitement à grande échelle de données sensibles ou de données relatives à des condamnations pénales ou à des infractions et soit peu susceptible d’engendrer un risque pour les droits et libertés des personnes physiques compte tenu de la nature, du contexte, de la porté et des finalités du traitement.
  2. le responsable du traitement soit une autorité publique ou un organisme public.

Le « représentant » est défini comme une personne physique ou morale établie dans l’Union Européenne désignée par écrit par le responsable du traitement ou le sous-traitant et qui les représente en ce qui concerne leurs obligations respectives en vertu du GDPR[8].

Selon la CNIL, autorité française de contrôle en matière de protection des données personnelles, le représentant peut être une filiale, un représentant juridique, un avocat ou toute autre personne.

Le représentant doit être établi dans un des États membres dans lesquels se trouvent les personnes physiques dont les données à caractère personnel font l’objet d’un traitement lié à l’offre de biens ou de services, ou dont le comportement fait l’objet d’un suivi[9].

Il est mandaté par le responsable du traitement ou le sous-traitant pour être la personne à qui les autorités de contrôle et les personnes concernées doivent s’adresser, en plus ou à la place du responsable du traitement ou du sous-traitant, pour toutes les questions relatives au traitement, aux fins d’assurer le respect du GDPR. Néanmoins, sa désignation est sans incidence sur la responsabilité du responsable du traitement et du sous-traitant.

Quelles obligations pour les entreprises concernées par le Règlement européen (responsables de traitement ou sous-traitants) ?

Les responsables de traitement et les sous-traitants devront désormais respecter le principe de « privacy by design » qui implique de limiter la quantité de données traitées dès le départ et de protéger les données dès la conception et par défaut.

En outre, en application du principe « d’accountability » (responsabilisation des entreprises), les responsables de traitement devront être à même de démontrer leur conformité au Règlement à tout moment. Pour cela, ils devront notamment constituer et regrouper la documentation nécessaire : registre des traitements, analyses d’impact, encadrement des transferts hors de l’Union Européenne, modèles de recueil du consentement des personnes concernées, etc.

En contrepartie de cette responsabilisation des entreprise, il est à noter que le GDPR supprime les formalités déclaratives auprès des autorités de protection des données personnelles et met à disposition des responsables de traitement des outils de conformité : mécanismes de certification, adhésion à des codes de conduite, désignation d’un délégué à la protection des données (DPO)[10] etc.

Par ailleurs, le GDPR soumet les responsables de traitement et les sous-traitants à de nouvelles obligations. Le responsable du traitement devra notamment tenir un registre des traitements pour les entreprises de plus de 250 salariés[11], répondre au droit d’accès des personnes concernées dans un délai d’un mois[12], notifier et communiquer les violations de données personnelles[13] ou réaliser des analyses d’impact en cas de risque élevé pour les droits et libertés des personnes physiques[14].

Le sous-traitant devra, quant à lui, obtenir l’autorisation du responsable de traitement pour faire de la sous-traitance, aider le responsable à s’acquitter de ses propres obligations, notifier au responsable toute violation de données personnelles ou encore, mettre à disposition du responsable les informations attestant du respect de ses obligations et permettant la réalisation d’audits.

De plus, les responsables de traitement et les sous-traitants devront respecter les droits des personnes concernées. Ces droits ont été renforcés par le GDPR et comprennent notamment : l’exigence d’un consentement clair et explicite[15], le droit à l’oubli[16], le droit à la portabilité des données[17], le droit de s’opposer au traitement et au profilage[18], le droit d’être informé en cas de piratage de ses données[19] etc.

Enfin, il convient de souligner que les amendes administratives pourront désormais atteindre 2 à 4% du chiffre d’affaires annuel mondial de l’entreprise ou 10 à 20 millions d’euros pour les autres organismes.

 

Quid des transferts de données depuis l’Union Européenne vers le Canada ?

Avec l’entrée en vigueur du CETA, il est probable que des transferts de données à caractère personnel aient lieu entre l’Union Européenne et le Canada.

Les transferts de données à caractère personnel depuis l’Union Européenne vers un pays tiers, tel que le Canada, sont strictement encadrés par le GDPR.

Le GDPR prévoit que de tels transferts ne peuvent avoir lieu que si la Commission Européenne a reconnu, par voie de décision, que ce pays tiers assurait un niveau de protection adéquat des données personnelle ou, à défaut, si des garanties appropriées sont prises par le responsable du traitement ou le sous-traitant[20].

S’agissant du Canada, la Commission européenne a reconnu que la loi canadienne sur « la protection des renseignements personnels et les documents électroniques » assurait un niveau de protection adéquat des données personnelles[21]. Par conséquent, les transferts de données personnelles depuis un Etat membre de l’Union Européenne vers un destinataire canadien assujetti à cette loi ne nécessitent pas de garantie supplémentaire.

 

[1] Règlement (UE) n°2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[2] Traitement de données à caractère personnel : « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utili­sation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rappro­chement ou l’interconnexion, la limitation, l’effacement ou la destruction »

[3] Responsable du traitement : « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement »

[4] Sous-traitant : « la personne physique ou morale, l’autorité́ publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement »

[5] Article 2 du Règlement (UE) n°2016/679

[6] Article 3 du Règlement (UE) n°2016/679

[7] Considérant 80 et article 27 du Règlement (UE) n°2016/679

[8] Article 4-17° du Règlement (UE) n°2016/679

[9] Article 27 du Règlement (UE) n°2016/679

 

[10] Article 37 du Règlement (UE) n°2016/679

[11] Article 30 du Règlement (UE) n°2016/679

[12] Article 12-3 du Règlement (UE) n°2016/679

[13] Articles 33 et 34 du Règlement (UE) n°2016/679

[14] Article 35 du Règlement (UE) n°2016/679

[15] Consentement : « acte positif par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement (considérant 32) »

[16] Article 17 du Règlement (UE) n°2016/679

[17] Article 20 du Règlement (UE) n°2016/679

[18] Article 21 du Règlement (UE) n°2016/679

[19] Article 34 du Règlement (UE) n°2016/679

[20] Article 44 du Règlement (UE) n°2016/679

[21] Décision d’adéquation 2002/2/EC du 20 décembre 2001 modifiée par la décision d’exécution (UE) 2016/2295

« Protéger les indications géographiques par le droit d’alerte ». MaPreuve. 28/07/2017

Lire l’article

Les enjeux juridiques de l’Intelligence Artificielle.

En Janvier 2017, le barreau de Lille a annoncé son intérêt pour la justice prédictive et compte bien être l’un des premiers barreaux Français à tester ce dispositif[1].

Les algorithmes et l’Intelligence Artificielle en général, soulèvent de plus en plus de questionnements juridiques à une époque où cette dernière est capable de vaincre un champion du jeu de Go[2].

Pour John McCarthy, l’Intelligence Artificielle (ou « IA ») est une « construction de programmes informatiques qui s’adonnent à des taches qui sont, pour l’instant, accomplies de façon plus  satisfaisantes par des êtres humains car elles demandent des processus mentaux de haut niveau tels que l’apprentissage perceptuel, l’organisation de la mémoire et le raisonnement critique ».

Depuis le siècle dernier, l’Intelligence Artificielle nourrit les fantasmes les plus imaginatifs. Elle peut être vue comme un progrès pour l’humanité, facilitant la vie de l’homme et l’accompagnant dans son quotidien afin de l’aider à prendre des décisions ou à réaliser des tâches.

Mais l’Intelligence Artificielle nourrit aussi de grandes peurs, comme le reflète la littérature et le cinéma de science fiction. On peut citer l’exemple de H.A.L dans « 2001 L’odyssée de l’Espace » ou le robot Elvex dans la Nouvelle « Le Robot qui rêvait » d’Isaac Asimov, robot doté d’un véritable subconscient, capable de rêver et se positionnant comme l’équivalent des humains.

Malgré tout, l’Intelligence Artificielle est aujourd’hui une réalité, qui fait émerger un véritable débat dans le monde juridique.

Dans cette optique, le Parlement Européen a récemment publié une résolution contenant « des recommandations à la Commission concernant les règles de droit civil sur la robotique. »[3]

Les questions susceptibles d’être soulevées à propos de l’Intelligence Artificielle et la robotique concernent la transparence, la propriété intellectuelle, le régime de la responsabilité ou encore la protection des données personnelles.

La transparence nécessaire 

Pour que les individus placent leur confiance dans une Intelligence Artificielle, il est nécessaire d’instaurer une totale transparence et une loyauté dans le traitement algorithmique qui l’anime.

Dans cette logique de transparence, Elon Musk, CEO de Tesla et SpaceX, a lancé des recherches sur l’Intelligence Artificielle, dont les résultats sont consultables à tout moment et mises à jour régulièrement.[4]

Dans le droit positif, des avancées ont été faites en faveur de la transparence.

On peut citer, à titre d’exemple, la loi pour une République Numérique[5] qui impose à l’Administration d’être totalement transparente lorsqu’elle exécute des traitements algorithmiques.

La nouvelle législation européenne (GDPR) en matière de protection des données personnelles imposera à l’avenir une transparence si le traitement aboutit à un profilage des individus[6].

Le texte prévoit, en effet, que le responsable d’un traitement devra informer la personne concernée « de l’existence d’une prise de décision automatisée, y compris de profilage ».

Une fois la personne informée, elle sera en mesure d’exercer, ou non, son droit d’opposition.

Cette obligation d’information doit permettre aux personnes concernées de comprendre le fonctionnement d’une IA et de montrer que celle-ci est respectueuse des principes de protection de la vie privée des individus.

D’autres principes du règlement GDPR vont impacter le développement de l’Intelligence Artificielle.

Tous les programmes développés vont devoir se plier aux exigences de la « Privacy By Design », c’est à dire qu’ils vont devoir intégrer la protection des données dés la conception.

La future Intelligence Artificielle devra aussi appliquer le nouveau principe de minimisation dans la collecte de données personnelles.

Malgré tout, cet appel à la transparence va à contre-courant de la tendance actuelle des entreprises.

Développer et mettre en œuvre une Intelligence Artificielle peut être protégé par le secret professionnel / secret de fabrique  et une entreprise peut se montrer réticente à l’idée de dévoiler « sa recette » de l’Intelligence Artificielle avec le risque de voir ses concurrents proposer une meilleure solution.

Le régime de responsabilité 

La question est ici de savoir quel fondement juridique appliquer si un litige survient à cause d’une Intelligence Artificielle.

La responsabilité civile de l’article 1240 du Code Civil (anciennement 1382) s’applique lorsqu’une personne commet une faute qui cause un dommage à une autre personne. L’idée qui sous-tend la responsabilité civile c’est que chaque individu doit répondre de ses actes.

L’autre principe fondateur du Code civil réside dans le fait que chaque individu qui s’oblige, engage ses biens présents et à venir (article 2284 du Code Civil).

Ainsi, l’auteur d’une faute, condamné à réparer  le dommage, utilisera les biens de son patrimoine (argent) pour exécuter son obligation.

L’Intelligence Artificielle n’ayant pas la personnalité juridique, elle ne dispose pas non plus d’un patrimoine au sens du droit français. Il semble donc difficile d’appliquer le régime général de la responsabilité civile de  l’article 1240 du Code Civil (anciennement 1382) à l’IA car elle ne sera pas en mesure de réparer le préjudice.

Il convient donc de regarder vers le régime de responsabilité du fait des choses.

Le gardien d’une chose (son propriétaire) peut voir sa responsabilité engagée si la chose  qui est sous sa garde crée un dommage à autrui. Le gardien peut toutefois s’exonérer s’il arrive à prouver qu’aucune faute n’a été commise.

À titre d’exemple, si un robot cause un dommage à autrui, comme une blessure, c’est la responsabilité de son propriétaire qui sera engagée et qui, le cas échéant, indemnisera la victime.

La responsabilité du fait des produits défectueux de l’article 1245 du Code Civil (anciennement 1386-1) pourrait aussi s’appliquer dans ce cas de figure.

La responsabilité d’un fabricant peut être engagée si le produit qu’il a fabriqué cause un dommage à un individu car il est défectueux. Appliqué à l’Intelligence Artificielle, ces règles pourraient conduire à imaginer qu’un robot cause un dommage à autrui en raison d’un défaut de fabrication ou d’une anomalie dans le logiciel le faisant fonctionner.

Dans ce cas précis, la responsabilité du fabricant ou du développeur du logiciel pourra être engagée et il sera tenu de réparer le dommage.

Il n’y a, de notre point de vue, pas urgence à consacrer un régime de responsabilité propre à l’IA, la pratique étant susceptible d’adapter ces responsabilités historiques à l’Intelligence Artificielle. Cependant, des difficultés peuvent surgir : peut-on réellement engager la responsabilité du développeur si le dommage vient du résultat d’un calcul effectué par un algorithme ?

Dans ses recommandations pour la création d’un droit civil des robots, le Parlement Européen propose plusieurs solutions au titre de la responsabilité de l’Intelligence Artificielle.

On retrouve :

  • La mise en place d’une assurance obligatoire ;
  • La création d’un fonds de compensation afin d’indemniser les accidents provoqués par une Intelligence Artificielle (comme l’ONIAM pour les accidents médicaux) ;
  • La création d’un numéro d’immatriculation pour faciliter l’identification des robots en leur attribuant un numéro propre ;
  • La consécration d’une personnalité juridique propre aux robots afin de créer des règles spéciales pour la mise en œuvre de leur responsabilité.

L’Intelligence Artificielle  est avant tout un logiciel,  protégé par le droit d’auteur à condition qu’il soit original.

Ce critère d’originalité n’est pas défini dans le Code de la propriété intellectuelle.

À travers une œuvre, l’auteur exprime, sa personnalité. L’œuvre porte l’empreinte de la personnalité de son auteur. L’originalité d’une œuvre émane donc de la personnalité de son auteur.

C’est différent pour un logiciel car l’originalité s’apprécie en fonction des choix opérés par son développeur. Selon la jurisprudence, « l’organigramme, la composition du logiciel, et les instructions rédigées, quelle qu’en soit la forme de fixation constituent la forme d’expression du logiciel »[7]

D’autres titres de propriété industrielle peuvent venir renforcer la protection de l’IA, on peut notamment déposer un brevet sur les éléments techniques utilisés par le logiciel, enregistrer une marque (déposer comme marque le nom d’un robot) ou protéger les plans de conception du robot en les enregistrant auprès de l’INPI comme dessins et modèles.

Sur l’année 2016, Microsoft a déposé 103 brevets concernant l’Intelligence Artificielle.

L’Intelligence Artificielle  peut aussi aider une personne humaine à créer une œuvre de l’esprit.

La jurisprudence a déjà eu l’occasion de se prononcer sur la création d’une œuvre, assistée par ordinateur.  Selon elle, l’œuvre « peut être protégée par le droit d’auteur à condition qu’apparaisse l’originalité voulue par le concepteur »[8]

C’est donc l’Homme  derrière l’ordinateur qui serait titulaire des droits d’auteur. Cette jurisprudence peut être appliquée sans difficultés si l’œuvre a été crée avec l’assistance d’une Intelligence Artificielle car l’œuvre créée reflète la personnalité de l’Homme.

À l’inverse, l’IA peut être amenée à créer, elle-même, une œuvre originale.

Dans ce contexte, il est difficile de lui accorder des droits d’auteur car il faudra faire ressortir de cette œuvre le critère d’originalité. Or, il apparaît hasardeux de reconnaître à une IA qu’elle exprime sa personnalité dans une œuvre de l’esprit.

Il y a donc un lien entre Humanité et création originale.  Le droit d’auteur est subjectif et n’est pas adapté pour les créations réalisées par une Intelligence Artificielle.

Afin qu’une telle protection puisse être accordée, il faudrait bouleverser le paradigme de la propriété littéraire et artistique et en faire un droit objectif, s’appliquant à n’importe quelle création, sans condition d’originalité, telle qu’elle est entendue aujourd’hui par les juridictions françaises.

[1]http://www.lavoixdunord.fr/106005/article/2017-01-20/pionniers-en-europe-les-avocats-lillois-testent-la-justice-predictive

[2] http://www.futura-sciences.com/tech/actualites/technologie-alphago-apres-avoir-battu-n-1-mondial-jeu-go-ia-prend-retraite-61409/

[3] http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+TA+P8-TA-2017-0051+0+DOC+PDF+V0//FR

[4] Https://openai.com/about/

[5]https://www.legifrance.gouv.fr/affichLoiPubliee.do?idDocument=JORFDOLE000031589829&type=general&legislature=14

[6] Article 22 du GDPR

[7] Ccass. Ass. Plèn, 7 mars 1986, Pachot, n° 83-10.477

[8] Cour d’appel de Paris, 3 mai 2006, RG 05/03736

?>