Quel régime juridique pour le Cloud ?

1/ multitude de définition et de caractéristiques du cloud.

Le cloud ne fait pas l’objet d’une définition uniforme [1]. De prime abord, on peut le définir comme un procédé qui consiste à stocker de manière externalisée des données dans un « nuage » informatique. Ce service à distance est fourni à ses clients par une entreprise prestataire, les transferts s’effectuant notamment par le biais d’Internet.

Une telle définition mérite toutefois d’être précisée :

  • CNIL :

Si l’on se réfère à la définition retenue par la CNIL, deux caractéristiques sont particulièrement mises en avant. L’externalisation et la simplicité.

Le cloud est défini comme une technique virtuelle de gestion des ressources. Le stockage est en effet dématérialisé ; on bascule d’une gestion interne vers une gestion extérieure au matériel de l’utilisateur. Il s’agit, selon la CNIL, de « la forme la plus évoluée d’externalisation, dans laquelle le client ou l’utilisateur dispose d’un service en ligne dont l’administration et la gestion opérationnelle sont effectuées par un sous-traitant ».

Le second aspect souligné par la CNIL est que les services de cloud sont fondés sur la simplicité et la rapidité puisqu’ils fonctionnent à la demande. Simplicité, parce qu’ils se caractérisent par « une facturation à l’usage ». Rapidité, parce qu’ils offrent une « disponibilité quasi-immédiate des ressources » [2].

  • National Institute of Standards and Technology :

Pour le “National Institute of Standards and Technology”. Le cloud est « l’accès via un réseau de télécommunications, à la demande et en libre-service, à des ressources informatiques partagées configurables » [3]. Sont ici mises en avant la disponibilité mondiale des services cloud et l’ouverture à tous les utilisateurs, qui peuvent même intervenir, simultanément, sur des ressources partagées à travers le réseau.

  • Commission de terminologie et de néologie :

La définition de la Commission de terminologie et de néologie, publiée au Journal officiel, est quant à elle moins positive : « le cloud computing est une forme particulière de gérance de l’informatique, dans laquelle l’emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance du client » [4]. Ici, c’est l’abstraction sur la localisation des données hébergées dans le cloud qui est mise en lumière.

  • European Bankin Authority :

La définition présente dans le « final report – Recommendations on outsourcing to cloud service providers » indique que le Cloud comprend : des services fournis à l’aide du cloud computing, c’est-à-dire un modèle permettant d’accéder à un réseau omniprésent, pratique et à la demande à un pool partagé de ressources informatiques configurables (réseaux, serveurs, stockage, applications et services, par exemple) qui peuvent être rapidement mises à disposition et diffusées avec un minimum d’efforts de gestion ou d’interaction entre fournisseurs de services.

« Services provided using cloud computing, that is, a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g. networks, servers, storage, applications and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction ».

Il existe une grande variété d’accès et de services regroupés sous l’appellation cloud : cela va du webmail, d’accès gratuit, à un stockage avec niveau de service garanti, accessible sur abonnement.

Mais relèvent également de cette catégorie le cloud d’accès public, le cloud privé réservé aux collaborateurs autorisés et tiers d’une entreprise, le cloud hybride combinant ces deux types d’accès, ou encore le cloud communautaire (la possibilité pour plusieurs entités ou membres d’organisations ayant les mêmes besoins d’utiliser une seule et unique solution Cloud), partagé par des clients autour d’intérêts ou de projets communs.

2 / Difficile qualification juridique du cloud.

Une des principales difficultés de la qualification juridique d’un contrat de cloud réside dans la multitude des cas de figure qui peuvent être envisagés. En réalité, la qualification de la relation client‐prestataire dépendra avant tout des obligations contractuelles de ce dernier.

Pour cette raison, la doctrine tout comme les praticiens s’inquiètent parfois de la « nébulosité » des contrats de cloud (Papin E., Que se cache‐t‐il derrière la nébulosité des contrats de Cloud Computing ?, 16 déc. 2014, www.cio‐online.com) ou considèrent qu’ « en réalité, c’est le caractère protéiforme du cloud computing qui pose problème » (Brunaux G., Cloud computing, protection des données : et si la solution résidait dans le droit des contrats spéciaux ?, D. 2013, p. 1158).

On peut cependant rejeter d’emblée certaines qualifications. Ainsi qu’un prestataire de cloud soit généralement amené à fournir à son client une documentation détaillée sur le fonctionnement des systèmes et des applications qui se rapproche fortement de celle fournie lors d’une vente, on doit écarter immédiatement cette qualification. En effet, aucun transfert de propriété, ni corporelle ni incorporelle, ne résulte du contrat de cloud.

La location pourrait, en revanche, apparaître comme une qualification plus adaptée à cette opération. En effet, les contrats de cloud (comme les contrats de SaaS en particulier) se traduisent généralement par la mise à disposition du client de certaines ressources applicatives et de l’utilisation privative d’espaces de stockage de données. Mais ramener toute l’opération à une location, au sens de l’article 1709 du Code civil, serait certainement trop réducteur, car cela reviendrait à ignorer tous les services complémentaires qui sont fournis en complément et autour de la mise à disposition des applications et du simple hébergement.

Un contrat d’entreprise ?

Dès lors, et comme souvent en matière de contrat informatique, la qualification en contrat de louage de service ou contrat d’entreprise semble être la mieux adaptée et la plus représentative des multiples particularités des contrats de cloud. Cette qualification est aujourd’hui clairement adoptée par la doctrine (Cordier G., Le contrat ASP, Comm. com. électr. 2008, no 10, prat. 9 ; et à propos du cloud dans son ensemble : Chantepie G., L’inexécution du contrat de cloud computing, RLDI 2013/98, p. 117 ; également Brunaux G. dans son article précité, qui exclut la qualification de contrat de dépôt au profit de celle de prestation de services).

La possibilité d’utiliser des applications et des espaces de stockage moyennant le paiement d’une redevance est presque toujours accompagnée d’autres prestations, qu’il s’agisse de conseil, de formation, de maintenance ou de sauvegarde. Et par ailleurs, l’accès à l’application elle‐même est assuré au travers d’un service de communication à distance sécurisé qui constitue également une prestation technique particulière (et à propos de laquelle le prestataire prend des engagements spécifiques de performance et de disponibilité). Tous ces éléments se conjuguent alors facilement dans le cadre de la souplesse d’un contrat (y compris en comportant – comme le souligne G. Chantepie, dans son article précité – une obligation accessoire de garde des données du client).

Bien évidemment, comme cela est souvent le cas pour des contrats portant sur un ensemble complexe de prestations, cette qualification dominante de l’ensemble de l’opération contractuelle n’est pas exclusive de ce que l’exécution de certaines prestations ou fournitures particulières puissent être régies par des clauses appartenant à des types spécifiques de contrats spéciaux (vente, location, licence, …).

En définitive, les contours du cloud computing méritent d’être précisés, autour de certaines spécificités incontournables : externalisation et hyper-capacité du stockage, disponibilité mondiale et quasi-immédiate des ressources, accessibilité à tous et sur tout type d’appareils, facturation à la demande mais aussi, ce qui ne va pas sans poser de nombreux problèmes.

3/ Les avantages du Cloud.

Le Cloud computing est un ensemble de prestations informatiques, accessibles à la demande, via des réseaux sécurisés ou non, permettant au client de disposer de capacités de stockage et de puissance informatique, sans investir matériellement dans l’infrastructure correspondante ; les clients n’étant plus que propriétaires des données qui y sont hébergées.

Le « nuage » correspond à une myriade de serveurs et d’applications liés par Internet et disséminés ou centralisés dans un ou plusieurs sites du prestataire qui peuvent être répartis dans le monde entier.

Le Cloud computing se compose de trois catégories de services :

IaaS (Infrastructure as a Service) : accès et mise à disposition à distance, d’une infrastructure informatique hébergée, pour utiliser des serveurs, de la capacité de stockage ou de traitements supplémentaires ;

PaaS (Platform as a Service) : accès et mise à disposition à distance, d’une plateforme permettant de créer des applications, de bénéficier d’environnements notamment de développement, de test ;

SaaS (Software as a Service) : accès à distance à des applications hébergées chez le prestataire.

Ces services sont fournis soit via un réseau Internet ouvert au public avec un accès en libre-service (Cloud public) soit via un réseau intranet dans un espace dédié et sécurisé, réservé aux utilisateurs autorisés par le client (Cloud privatif).

Le Cloud computing constitue une nouvelle forme d’informatique à la demande, à géométrie variable, qui d’un point de vue juridique se classe au croisement des services d’externalisation et des services d’ASP (Application Service Provider). La différence entre ASP et SaaS n’est pas évidente : l’ASP se limite à la fourniture d’applications en mode hébergé tandis que le SaaS désigne une application modulaire à laquelle le client a accès après authentification via Internet et qui comprend des outils et des personnalisations pour répondre à ses besoins.

Le Cloud computing présente des avantages financiers d’une part, i) en affranchissant le client d’investissements préalable (homme ou machine) et de frais de maintenance associés, puisqu’il bénéficie de l’infrastructure totalement autonome du prestataire et déconnectée de la sienne et d’autre part, ii) en payant le prix du service en fonction de sa consommation effective tout en bénéficiant d’un effet de volume.

Tableau schématisant les différents types de Cloud computing :

Le Cloud computing offre une flexibilité permettant d’étendre le système d’information d’une entreprise sur simple demande, en fonction de son besoin (pics d’activité, pics de fréquentation, etc.) dans des délais plus rapides que ceux offerts par les prestations traditionnelles et pour un grand nombre de services. Ce modèle dispense le client de la responsabilité de maintenir et garantir la disponibilité de l’application ou de l’infrastructure qui est prise en charge par le prestataire sous réserve d’une contractualisation des engagements de qualité, de disponibilité, de sécurité, d’évolutivité du produit dans le temps.

4/ Les risques du Cloud.

Plusieurs études menées par des spécialistes tels que ISACA (Information Systems Audit and Control Association) et CSA (Cloud Security Alliance) ont permis d’identifier douze points qui constituent les menaces majeures à la sécurité des données et à celles des applications en cloud.

Ce sont notamment :

1. L’existence de brèches de sécurité tant sur l’une des couches logiques du Datacenter que celles issues d’erreurs humaines ;

2. La fragilité dans la gestion des accès et des identités, bien que certains fournisseurs renforcent les interfaces d’authentification avec d’autres moyens tels que les certificats…

3. L’utilisation d’API non sécurisées pour l’intégration des applications avec les services cloud ;

4. L’exploit de vulnérabilités des systèmes d’exploitation sur les serveurs du cloud et même sur les applications hébergées ;

5. Le piratage de compte, qui est un vieux type d’attaque informatique, vient avec une forte recrudescence depuis l’avènement d’Internet et encore celui du cloud computing ;

6. Une action malveillante initiée en interne dans les effectifs du fournisseur. Une personne malveillante dans l’équipe de gestion du Datacenter peut facilement nuire à la confidentialité et l’intégrité des environnements hébergés ;

7. Les menaces persistantes avancées (en anglais, APT : Advanced Persistent Threats) qui consistent en une forme d’attaque où le hacker réussit à installer d’une façon ou d’une autre un dispositif dans le réseau interne de l’organisation, à partir duquel il peut extirper des données importantes ou confidentielles. C’est une forme d’attaque difficile à détecter pour un fournisseur de services cloud ;

8. La perte de données qui peut être causée par une attaque informatique (logique) du Datacenter, une attaque physique (incendie ou bombardement), une catastrophe naturelle, ou même simplement à un facteur humain chez le fournisseur de services, par exemple en cas de faillite de la société ;

9. Les insuffisances dans les stratégies internes d’adoption ou de passage au cloud. Les entreprises ou les organisations ne prennent pas souvent en compte tous les facteurs de sécurité liés à leur fonctionnement avant de souscrire à un service cloud. Certaines négligences, tant au niveau du développement d’application qu’au niveau de l’utilisation basique, leur sont parfois fatales ;

10. Utilisation frauduleuse des technologies cloud en vue de cacher l’identité et de perpétrer des attaques à grande échelle. Généralement, il s’agit de comptes créés pendant les périodes d’évaluation ou des accès achetés frauduleusement ;

11. Le déni de service qui est une attaque qui consiste à rendre indisponible un service par une consommation abusive des ressources telles que les processeurs, la mémoire ou le réseau. L’idée, pour le pirate, c’est de réussir à surcharger les ressources du Datacenter en vue d’empêcher d’autres utilisateurs de profiter des services ;

12. Les failles liées à l’hétérogénéité des technologies imbriquées dans l’architecture interne du cloud, et l’architecture externe d’interfaçage avec les utilisateurs.

Ainsi afin de pallier certains de ces risques le prestataire de cloud doit respecter différentes obligations particulières afférentes au service proposé.

5/ Obligations du prestataire de cloud.

Outre ses obligations de conseil, d’information et de mise en garde, le prestataire de cloud doit assumer plusieurs obligations particulières découlant des caractéristiques des services de cloud qu’il fournit, à savoir notamment :

  • garantir la conformité des fonctionnalités et des performances annoncées pour son système : la prestation assurée doit être celle attendue par le client et en adéquation avec ses besoins ;
  • garantir la sécurité, la confidentialité, l’intégrité ; la disponibilité des données : le prestataire doit veiller à la sécurité des données informatiques transmises par son client ainsi que de son système d’information en général. Le prestataire doit s’assurer que le système qu’il a mis en place soit protégé contre tout accès physique ou logique non autorisé. Il conviendra de préciser les moyens techniques mis en œuvre et leur fréquence ;
  • garantir la continuité avec le système antérieur, dont il assure la reprise des données ;
  • respecter la législation applicable au traitement des données personnelles et notamment le respect des dispositions de la loi no 2004‐801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi no 78‐ 17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ( L. no 2004‐801, 6 août 2004, JO 7 août, p. 14063).

À ce sujet, la CNIL recommande aux clients de service cloud d’effectuer des choix s’agissant du réel niveau de garantie proposée par le prestataire. Elle propose une grille d’analyse reposant d’une part sur la détermination de la qualification juridique du prestataire et d’autre part sur l’évaluation du niveau de protection assurée par ce dernier par rapport aux données traitées (CNIL, Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing, 25 juin 2012 ; Groupe art. 29, Avis no 5/2012 sur l’informatique en nuage, adopté le 1er juillet 2012 (WP 196)) ;

  • informer le client sur les différents lieux de stockage des données et de tous les traitements de données effectués dans le cadre de la prestation fournie afin que le client puisse s’assurer notamment que les pays d’implantation assurent à ses données (et particulièrement aux données personnelles qu’il détient) un niveau de protection équivalents à celle qu’assure le droit européen de la protection des données personnelles ;
  • s’engager à ne pas collecter ni stocker au‐delà des seuls besoins temporaires de sécurité des systèmes, des données de connexion relative à l’utilisation par le client de ses données et des applications auxquelles il a accès dans le cloud ;
  • souscrire une assurance garantissant sa responsabilité civile professionnelle à raison de son intervention sur le système informatique du client et à cause de tous les risques qui pourraient nuire au bon fonctionnement dudit système.

D’une manière générale et en raison de la dépossession technique que le client consentira au profit de son prestataire, les clauses de responsabilités du prestataire vont être d’une particulière importance dans le contrat de cloud et « doivent être clairement définies, tout particulièrement en matière de respect de la confidentialité des données (accès non autorisés, voire frauduleux), et d’atteinte à leur intégrité » (Guide pratique Cloud computing et protection des données, CIGREF‐IFACI‐AFAI, 2013).

Le règlement général pour la protection des données pose des nouvelles règles applicables, tant dans les relations entre coresponsables d’un même traitement consacrant la notion de responsable conjoints de traitement, que dans les relations entre responsable du traitement et sous-traitant.

La responsabilité du prestataire est donc une responsabilité de droit commun reposant sur la qualification d’obligation de moyens ou de résultat.

L’obligation sera de moyen lorsqu’il sera question de la disponibilité du service alors qu’elle sera de résultat s’agissant de la récupération des données hébergées. En ce cas, seul un cas de force majeure pourra exonérer le prestataire de sa responsabilité.

Néanmoins, il est possible d’aménager la responsabilité du prestataire par des clauses spécifiques au contrat telles que des clauses limitatives de responsabilité.

Par ailleurs, certains auteurs tels que Gaël Chantepie envisagent que cette responsabilité pourrait être complétée par une responsabilité spéciale issue de l’article 15‐I de la loi no 2004‐575 du 21 juin 2004 pour la confiance dans l’économie numérique dite LCEN. Cette loi prévoit un cas de responsabilité similaire à l’égard de toute personne physique ou morale exerçant l’activité définie au premier alinéa de l’article 14 à savoir « une activité économique par laquelle une personne propose ou assure à distance et par voie électronique la fourniture de biens ou de services » (Chantepie G., RLDI précité).

Néanmoins cette interprétation de la portée de cet article parait incertaine et n’apporterait pas grand‐chose de plus que la responsabilité de droit commun.

6/ Particularités des obligations.

Au‐delà de son obligation classique de collaboration avec le prestataire et de celle de payer le prix de la prestation de service, le client est soumis à quelques obligations et responsabilités particulières lorsqu’il s’engage dans un projet de cloud computing.

Il en va par exemple de l’obligation que peut lui imposer son prestataire de respecter des consignes de sécurité de l’information et de mettre en place une politique de sécurité interne efficace, notamment afin de ne pas offrir en interne une sécurité des données « inférieure » au niveau d’exigence signifié au prestataire du cloud.

La CNIL recommande également aux clients de ce type de services de « conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise » (CNIL, Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing, 25 juin 2012 ; Groupe art. 29, Avis no 5/2012 sur l’informatique en nuage, adopté le 1er juillet 2012 (WP 196)).

Par ailleurs, le client demeure jusqu’à présent seul maître du traitement de données personnelles, au sens où la loi du 6 janvier 1978 modifiée dite « loi Informatique et Libertés » dispose que « le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens » et non celui qui effectue le traitement.

Le prestataire pourra, dans certaines conditions, être reconnu comme co‐responsable des traitements qui lui auront été confiés. Cependant, comme le souligne le CIGREF dans sa récente étude : « cette notion de coresponsabilité (Joint Controller) ouvre une voie au rééquilibrage entre utilisateurs et opérateurs. Mais pratiquement il est encore difficile de déterminer dans quel cas elle pourra s’appliquer et si, dans la plupart des situations, l’utilisateur du Cloud restera seul Data Controller ou si le fournisseur définissant les moyens de sécurité sera qualifié lui aussi de Data Controller avec, en corollaire, une responsabilité sur la sécurité et ses conséquences ». (CIGREF, La réalité du Cloud dans les grandes entreprises, oct. 2015, p. 18).

Or, ce point est très significatif dans la mesure où les amendes pourront s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial pour manquement notamment aux droits des personnes de l’entreprise.

7/ Problématiques juridiques sur la protection des données dans le cloud.

A / Problème de l’extra-territorialité du droit.

Les données qui voyagent dans le cloud, y séjournent ou en sortent, ne connaissent pas de frontière. C’est une illustration de ce que le professeur Delmas-Marty nomme l’« ubiquité », qui constitue une caractéristique propre de l’espace virtuel : le fait qu’il soit impossible à localiser, car il se trouve partout à la fois, constitue un « redoutable obstacle à la répartition des compétences entre les différents systèmes de droit simultanément applicables » [5].

Cette problématique, qui est intrinsèque à la technologie numérique, est encore accentuée par le cloud, du fait de la circulation des données et de leur impossible localisation, en particulier dès lors que celles-ci sont susceptibles d’être transférées hors des frontières de l’Union européenne. En exposant l’utilisateur aux difficultés inhérentes à la saisine de tribunaux situés à l’étranger, à des coûts de procédure plus élevés ou à des règles substantielles moins protectrices.

Les questions du droit applicable et de la juridiction compétente, qui sont classiques en cas de conflit de lois, n’en sont que plus complexes. Dans les deux cas, le principe de liberté contractuelle prime, puisque c’est la loi des parties qui prévaut. Celles-ci peuvent choisir la juridiction compétente et le droit applicable qui régira en totalité ou en partie leurs rapports.

Au sein de l’Union européenne, deux règlements, dits Rome I et Bruxelles I, fixent le cadre des conflits de loi lorsque les parties n’en décident pas elles-mêmes. Le règlement Bruxelles I pose comme principe, susceptible de dérogations, que la juridiction compétente est celle de l’Etat membre dans lequel le défendeur a son domicile, quelle que soit sa nationalité [6].

Le règlement Rome I [7]pour sa part, fixe comme droit applicable, à défaut de choix des parties, la loi du pays dans lequel le prestataire a sa résidence habituelle [8]. On notera par ailleurs que ce règlement revêt un caractère universel, ce qui signifie que les règles de résolution du conflit peuvent conduire à l’application de la loi d’un Etat qui n’est pas membre de l’Union européenne.

B / Régime applicable aux données.

La directive du 24 octobre 1995, transposée par modification de la loi « Informatique et Libertés » [9], permet le transfert de données au sein de l’Union européenne, après déclaration à l’autorité compétente de protection des données, chez nous la CNIL. Elle pose en revanche un principe d’interdiction de transfert des données hors de l’Union, sauf, après autorisation, vers les pays présentant « un niveau de protection adéquat » (Article 25). Or les Etats-Unis n’offrent pas un tel niveau de protection. L’arrêt Schrems II du 16 juillet 2020 vient confirmer cette absence de niveau de protection adéquat de la part des Etats-Unis. Cet arrêt invalide le mécanisme de Privacy Shield, (qui remplaçait le Safe Harbor invalidé, lui, le 6 octobre 2015 par la CJUE). Pour effectuer des transferts en dehors de l’Union européenne, il reste la possibilté d’avoir recours au Clauses Contractuelles Types (CCT) de l’Union euréopenne ou aux Binding Corporate Rules (BCR). De surcroît, l’intérêt du système même du Safe Harbor ou du Privacy Shield s’érode du fait des lois américaines de lutte contre le terrorisme. Le Patriot Act, en particulier, dispose que les agences de renseignement peuvent accéder à toute donnée personnelle hébergée par un prestataire américain en cas de suspicion de terrorisme ou d’espionnage.

Le règlement général sur la protection des données qui est entré en vigueur le 25 mai 2018 vient renforcer le droit des personnes. Il prévoit notamment un consentement renforcé et plus de transparence. Ainsi le consentement au sens du RGPD doit être spécifique, univoque et explicite.  L’expression du consentement est définie :

  • les utilisateurs doivent être informés de l’usage de  leurs données et doivent en principe donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer. La charge de la preuve du consentement incombe au responsable de traitement. La matérialisation de ce consentement doit être non ambiguë.
  • Le droit à la portabilité des données : ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers. Il s’agit ici de redonner aux personnes la maîtrise de leurs données, et de compenser en partie l’asymétrie entre le responsable de traitement et la personne concernée.

Ces dispositions viennent notamment ajouter des éléments à intégrer dans le contrat de Cloud.

Cas du responsable du traitement et du sous-traitant :

Dans le règlement général sur la protection des données une plus grande responsabilité est supportée par le sous-traitant.

Le contrat de Cloud doit prévoir certaines clauses couvrant notamment :

  • Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci doit faire uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.
  • Le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements.
  • Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement.

La CNIL propose un guide pour le sous-traitant conforme au RGPD [10]

Maitrise du risque :

– Prévoir des obligations du prestataire en terme de protection de la sécurité et de la confidentialité des données à caractère personnel et des mesures techniques afférentes conforment au RGDP ;

– Exiger que les données personnelles restent localisées sur des serveurs exclusivement situés dans l’UE et prévoir les moyens de contrôle de cette obligation.

C / Sécurisation et confidentialité des données.

L’accès aux données doit être sécurisé afin d’éviter toute perte, fuite voire d’atteinte à l’intégrité desdonnées confiées par le client.

Maîtrise du risque :

– Répliquer les données sur plusieurs sites distants pour assurer le client de la récupération des données ;

– Prévoir le chiffrement des données du client et leur isolement technique au sein du serveur ;

– Prévoir un engagement de résultat du prestataire de restaurer les données dans des délais convenus ;

Accéder aux services par des connexions sécurisées et une authentification des utilisateurs permettant un accès rapide par le client ou toute autorité de régulation et mettre en place une procédure de gestion des identifiants et des responsabilités afférentes ;

– Effectuer des audits externes, notamment par les régulateurs et des tests d’intrusion sur les serveurs du prestataire pour s’assurer du niveau de sécurité global ;

– Définir un Plan d’Assurance Sécurité (PAS) exigeant notamment du prestataire le respect de certaines normes techniques telles que les normes ISO/CEI 27001 et ISO 27005 mais aussi ISO 27017 et 27018, fixant les méthodes et pratiques en matière de système de management de la sécurité de l’information (SMSI) ;

– Vérifier les effets juridiques des licences de logiciels libres, si utilisés ;

– Prévoir une clause de confidentialité encadrant le niveau d’engagement, les conditions de transfert des données, la durée de la confidentialité ;

– Encadrer tout particulièrement la traçabilité, l’accès frauduleux, l’atteinte à l’intégrité, voire la perte de données sensibles dans la clause de responsabilité.

– L’accès aux données du client dans le cadre de la prestation de Cloud computing

L’application de règles extraterritoriales et la conformité légale :

Risque : Le client peut parfois être soumis au respect de règles impératives encadrant le stockage des données notamment dans des secteurs régulés. Il pourra être tenu responsable vis-à-vis de son droit local et le cas échéant vis-à-vis de la législation du lieu où se situe le serveur, alors que les procédures administratives ou judiciaires étrangères de ces pays peuvent être méconnues, différentes, voire contradictoires avec le droit local du client.

Maîtrise du risque :

– Imposer une visibilité parfaite du lieu de stockage réel des données et identifier les serveurs;

– Exiger la localisation des serveurs en France ou au sein de l’Union Européenne pour garantir que les obligations légales du client sont suffisamment protégées avec un droit applicable fiable ;

– Préciser la loi française comme loi applicable au contrat.

Continuité de service :

Risque : La flexibilité induite par la limitation des investissements informatiques risque de créer une forte dépendance du client au prestataire, qu’il doit maîtriser.

Maitrise du risque :

– Assurer une pérennité des services en contractualisant un plan de réversibilité pour assurer une transférabilité des services et des données par le prestataire au client ou à d’autres prestataires. Ce plan de réversibilité doit prévoir i) des facteurs déclencheurs (carence du prestataire, dépôt de bilan du prestataire, changement de contrôle, libre choix du client, fautes/manquements du prestataire), ii) les conditions de mise en œuvre (simple discontinuité du service, arrêt total du service) iii) les modalités pratiques de fonctionnement du système d’information pendant la durée de la réversibilité en assurant la continuité du service sans remise en cause des niveaux de services attendus) le coût de celle-ci ;

– Garantir l’interopérabilité entre les services attendus et le système du client si nécessaire ;

– Mettre en place un plan d’urgence et de poursuite de l’activité avec un site de secours localisé sur le même territoire que celui assurant la production.

Qualité de service :

Risque : La réalisation des services de Cloud computing, comme pour tout projet externalisé, comporte des risques au regard de la qualité de service rendue.

Maîtrise du risque :

– Engagement du prestataire sur la qualité et les performances de son « nuage » conformément à des niveaux de services (ou SLA) qui garantissent notamment une disponibilité de qualité du service assortie de pénalités en cas de non atteinte et la possibilité pour le client d’auditer les prestations;

– Mise en place d’outils de mesure efficaces pour évaluer la consommation des services particulièrement au regard des unités de mesure du stockage, de la bande passante, des ressources informatiques utilisées, du nombre d’utilisateurs actifs ;

– Vérifier que la clause de force majeure ne remet pas en cause les engagements du prestataire du fait notamment d’une coupure d’électricité, d’un redressement judiciaire de sous-traitants, sous couvert d’évènement irrésistible, imprévisible et extérieur ;

8 / Clauses essentielles des contrats de cloud.

Comme évoqué, les spécificités des services de cloud résident d’une part, dans tout ce qui touche au transfert, au traitement et à la conservation des données dont le client abandonne la maîtrise entre les mains du prestataire et, d’autre part, dans le fait que cela se réalise à distance au travers de l’interconnexion de réseaux numériques ouverts. Outre la clause définissant l’objet du contrat, qui prend un relief tout particulier dans un domaine où la variété des prestations possibles est importante, ce sont donc d’une part les clauses relatives aux modalités de traitement et de sécurité des données et des applications qui sont particulières sensibles, auxquelles doivent s’ajouter, d’autre part, quelques clauses relatives aux obligations spécifiques du prestataire et du client. Enfin, on n’omettra pas de prévoir une clause relative aux aspects internationaux du contrat s’il est destiné à être conclu entre un client et un prestataire de nationalité différente.

A / Objet du contrat

La variété extrême des offres de service auxquelles les prestations de cloud peuvent répondre oblige les parties à soigner particulièrement la rédaction de la clause d’objet du contrat.

Dans cette clause, il est nécessaire de bien définir les caractéristiques essentielles des prestations de cloud computing que le prestataire va mettre en œuvre au profit de son client, à savoir :

  • définition de la prestation d’hébergement des données ; définition de la prestation de fourniture d’applications en ligne ;
  • définition des différentes prestations connexes (par exemple : prestations d’infogérance, de développement spécifique, de paramétrages, fourniture d’accès au réseau, maintenance, sauvegarde, services web, hébergement de serveurs de messagerie, …) ;
  • type de cloud mis en œuvre (cloud privé, cloud communautaire – partagé entre plusieurs entités ayant une communauté d’intérêts, cloud public).

Au vu de ces exigences de précision et de détail des principales prestations prévues au contrat, on ne se contentera donc pas des clauses d’objet trop génériques qui se contentent souvent de l’indication que « Le « Fournisseur » consent au « Client », qui accepte : Un droit d’accès aux serveurs du

« Fournisseur » dans les conditions définies ci‐ après ; Un droit d’utilisation finale des services commandés ».

Ce type de rédaction qui renvoie intégralement les parties au contenu d’annexes techniques est trop succincte et ne permet pas de prendre connaissance du périmètre précis d’applications et de services que le prestataire accepte de prendre à sa charge pour le compte de son client.

B / Mise en place d’un SLA (service level agreement)

Afin que le client puisse vérifier que le service répond à ses besoins, la mise en place d’un Service Level Agreement (dit « SLA ») s’est généralisée. Il s’agit d’un document dans lequel le prestataire formalise la qualité du service et précise notamment les modalités, la performance du service (temps de réponse, temps de transmission des données …), la disponibilité des applications (horaires d’ouverture et de fermeture, périodes d’indisponibilités…).

Autant dire que la rédaction de cette clause requiert un peu plus de temps et d’attention que toutes les autres. Le prestataire doit être tout particulièrement vigilant à la rédaction et surtout à la lecture de cette clause dans la mesure où elle constitue en majeure partie une des causes de mise en jeu de sa responsabilité. Ainsi, lorsque le prestataire n’est pas en charge directement ou indirectement de l’infrastructure réseau mise en œuvre pour relier le client et les serveurs de cloud, ce dernier n’hésite pas à limiter le niveau de ses garanties de services.

L’un des documents de référence utiles pour rédiger cette convention de niveau de services est le document de l’Autorité nationale de la sécurité des systèmes d’information (ANSSI) « Maîtriser les risques d’infogérance » (et plus particulièrement son chapitre 4 : Le plan d’assurance sécurité). On peut signaler aussi le récent document rédigé au niveau européen par le C‐SIG « Cloud Service Level Agreement Standardisation Guidelines », 24 juin 2014).

Cette clause fait partie intégrante du contrat de cloud et fait le plus souvent l’objet d’une annexe.

Les engagements contenus dans le SLA portent tant sur les services applicatifs que sur leur accès par le biais des liaisons télécoms. La question du niveau de disponibilité est, en particulier, critique pour une exploitation à distance puisque le client qui a externalisé ses données et les applications nécessaires à leur traitement recherche un système qui continue à être disponible dans les mêmes conditions que ce sur quoi il pouvait compter avant l’externalisation (voir Cohen V. D., Le contrat d’externalisation Informatique ‐ Un contrat bien bordé !, Éd. Afnor, 2012, p. 35). De manière générale, le SLA établira des seuils garantis quant à la disponibilité de l’application et du réseau, la vitesse de transfert des données, les délais maximum d’interruption, la fréquence des backups, les délais de restauration des données et des applications, la performance et la sécurité du système, les procédures de contrôle de ces éléments. Généralement, ces seuils seront exprimés en pourcentage associés à certaines périodes.

Cette clause doit également prévoir comment les services seront contrôlés, avec quels outils, suivant quelle procédure d’audit, par qui, à quelle fréquence etc., pour pouvoir éventuellement engager ensuite la procédure de plainte qui sera très précisément décrite (la personne à contacter, la manière de formuler les plaintes, les procédures d’urgence, les temps maximum dans lesquels le prestataire devra réagir, etc.). Des outils de support à toutes ces procédures doivent également être pointés, leur niveau et nature (helpdesk, combien d’opérateurs y sont disponibles, de quelle heure à quelle heure, quel jour, qui sont les personnes payées pour répondre à toute question, qui est responsable pour le « service clientèle » au sein de l’ASP, etc.). C’est la phase dite de « reporting » (voir à ce sujet, Verbiest T., ASP et SLA : les contraintes juridiques, 19 nov. 2003, www.solutions‐journaldunet.com).

Cette clause peut donc organiser un mécanisme de sanctions acceptables par les deux parties mais qui doit en tout état de cause être incitatif pour le prestataire et suffisamment prévisible pour le client pour permettre un véritable contrôle de qualité.

Dès lors, le prestataire sera sanctionné lorsque le seuil de performance n’est pas atteint sans que le client ait besoin de rapporter la preuve d’un quelconque manquement. D’un point de vue purement juridique cette clause de SLA revêt le caractère d’une clause pénale.

S’agissant du type de sanction, l’Information Technology Association of America (ITAA) précise quelles sont les sanctions couramment envisagées dans le cadre de SLA, dans des Guidelines accessibles sur le site www.itaa.org. Selon ces recommandations, les sanctions peuvent inclure des rabais mensuels (en pourcentage) sur les montants dus, en proportion de la performance réalisée par le prestataire dans le mois précédent, des réductions spécifiques,

préagréées, en cas de non‐atteinte des seuils de performance et la résiliation du contrat en cas de violation chronique des SLA (voir à ce sujet Furst X. et Jaccard M., ASP : vers un nouveau type de relation fournisseur client, 18 févr. 2002, www.clic‐droit.com).

Toutefois, il convient de préciser que l’insertion d’une telle clause dans le contrat de cloud n’exclut pas la rédaction d’une clause relative à la responsabilité et aux garanties offertes par le prestataire, comme nous le verrons plus loin.

C / Propriété intellectuelle

Elle sera nécessaire lorsque des développements sont confiés au prestataire mais également lorsque des outils mis à disposition du client par le prestataire sont utilisés, comme par exemple une plate‐forme de développement ou des structures de bases de données.

Si le prestataire utilise des logiciels standards en libre accès sur le marché ou sous licence libre, il n’y aura pas de risque pour le client. En revanche, si les technologies utilisées appartiennent au prestataire de cloud, il conviendra de prévoir une clause relative à la propriété intellectuelle du prestataire.

Par exemple, il conviendra d’inclure dans le contrat, une sous‐licence sur les logiciels standards utilisés dans le cadre du cloud et une licence sur le logiciel/programme/application qui a été crée

Comme pour les contrats ASP et SAAS, la clause de propriété intellectuelle d’un contrat de cloud doit énumérer précisément les modalités de l’utilisation des applications par le client final, qui se limitent le plus souvent à un droit de « piloter » à distance les fonctionnalités choisies. Toute autre utilisation, non prévue au contrat constituera, une contrefaçon.

Elle doit également préciser que le prestataire n’acquiert, du fait de l’exécution du contrat, aucun droit de propriété intellectuelle sur les données que le client lui transfère et qui sont traitées à distance par les serveurs, et éventuellement les applications, du prestataire.

Enfin, comme pour l’hébergeur ‐ dont l’article 6‐I.7 de la Loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN) a prévu un régime de responsabilité allégé pour les hébergeurs vis‐à‐vis des contenus qu’ils hébergent ‐ le contrat de cloud comportera une clause exonérant et garantissant le prestataire contre une condamnation pour contrefaçon en raison du contenu des données appartenant à son client qu’il aurait stocké.

D / Confidentialité

Dès lors que le propre des prestations d’informatique dématérialisée est d’externaliser sur les serveurs du prestataire tout ou partie des applications ou des données du client, cela suppose que le prestataire et ses équipes puissent techniquement avoir accès à des informations confidentielles dudit client.

Dès lors, cette communication doit être strictement encadrée par une clause de confidentialité détaillée et rigoureuse.

Cette clause doit, au minimum, contenir les éléments suivants : une reconnaissance de principe du caractère entièrement confidentiel de toutes les données stockées et de toutes les opérations et traitements réalisés par le client sur et par le truchement des serveurs et de l’infrastructure du prestataire ; en conséquence, l’interdiction au prestataire de prendre connaissance du contenu de ces données ou de ces opérations et traitements, au-delà de ce qui leur est absolument nécessaire de connaître pour pouvoir assurer leurs prestations ; l’engagement du prestataire de faire respecter cet engagement par tous ses salariés ou commettants et de communiquer à des tiers non autorisés ou de les laisser accéder à ces données et informations confidentielles du client ; l’engagement du prestataire de mettre en œuvre des moyens de sécurité (à définir en annexe technique) pour assurer la sécurité et la confidentialité des données et informations dont le client a confié la garde et l’hébergement au prestataire ; l’obligation imposée au prestataire de prévenir le client de tout incident ayant mis en cause la confidentialité de ses données ou traitements.

Pour contribuer au développement d’une offre sécurisée de services de cloud, l’ANSSI (l’autorité nationale française de sécurité des systèmes d’information) a édité en 2014 un référentiel pour la qualification des prestataires de cloud présentant un niveau de sécurité et de confidentialité suffisant (ANSSI, Référentiel de qualification de prestataires de services sécurisés d’informatique en nuage (cloud computing) ‐ référentiel d’exigences, 30 juill. 2014).

E / Données personnelles

Le respect d’un niveau homogène de protection des données personnelles était l’une des difficultés majeures de la mise en place de contrat d’informatique dématérialisée.

Il est donc essentiel que ce contrat répartisse les rôles et les responsabilités entre le prestataire et son client en matière de respect des obligations légales en matière de protection des données personnelles.

À titre d’exemple, le Syntec recommande un article consacré aux données personnelles ainsi rédigé :

« Si les Données transmises aux fins d’utilisation des Services applicatifs comportent des données à caractère personnel, le Client garantit au Prestataire qu’il a procédé à l’ensemble des obligations qui lui incombent au terme de la loi du 6 janvier 1978 dite « Informatique & Libertés », et qu’il a informé les personnes physiques concernées de ‘usage qui est fait desdites données personnelles. À ce titre, le Client garantit le prestataire contre tout recours, plainte ou réclamation émanant d’une personne physique dont les données personnelles seraient reproduites et hébergées via le Service applicatif. »

Complété éventuellement par le paragraphe suivant :

« Dans le cas où les Données sont stockées sur des serveurs localisés dans des pays hors du territoire de l’Union Européenne, une autorisation spécifique de transfert des données doit être obtenue auprès de la CNIL. Le Prestataire s’engage à informer le Client de la localisation des Données et plus généralement, à communiquer toutes les informations utiles et nécessaires pour réaliser les déclarations. Le Client, en tant que responsable du traitement s’engage à conclure le standard contractuel établi par une décision de la Commission européenne du 5 février 2010 et à obtenir l’autorisation adéquate auprès de la CNIL » (extrait du guide contractuel, précité, Syntec, 2010, p. 13‐14).

Dans ce domaine particulièrement sensible, la normalisation apporte également un soutien utile, avec en particulier la nouvelle norme ISO/IEC 27018 sur les bonnes pratiques pour la protection des données personnelles dans les services Cloud (juillet 2014)

Par ailleurs, les articles 26 à 30 du projet de règlement européen sur la protection des données personnelles, renforcent également la pression légale sur les prestataires de service prenant en charge l’externalisation des données des responsables de traitement. Alors en effet que la précédente directive n’imposait de responsabilité directe qu’au seul responsable du traitement, le nouveau règlement vise explicitement les sous‐traitants, parmi lesquels les prestataires de service de cloud. Le responsable du traitement va avoir l’obligation de ne choisir comme prestataire qu’un professionnel qui présente des garanties suffisantes pour pouvoir assurer la sécurité du traitement et la protection des données personnelles qui lui sont confiées. Il aura également l’obligation d’inscrire dans le contrat de prestation des clauses obligeant le prestataire à respecter la légalité et la confidentialité du traitement de données personnelles, de manière à ce que – en cas de sinistre – le prestataire puisse être considéré comme co‐responsable du traitement et sanctionner comme tel.

F / Réversibilité

Comme dans toute forme d’externalisation, la réversibilité à l’issue du contrat est un élément essentiel qui doit garantir au client la possibilité de pouvoir reprendre le contrôle exclusif de ses données et de ses applications et qui doit pouvoir, pour ce faire, compter sur la coopération technique de son prestataire.

Les contrats de cloud computing sont évidemment régis par un principe de récupération des données par le client à la fin dudit contrat mais cette évidence doit faire l’objet d’une clause précise et il est donc recommandé de prévoir dans le contrat une clause de réversibilité qui permet au client de « reprendre ou de faire reprendre son informatique externalisée par un autre prestataire, afin d’assurer la continuité de l’activité sans dégradation de la qualité ».

Dans la plupart des cas, la récupération des données se fera via des fichiers intermédiaires (type fichiers plats) lesquels permettent de préserver le savoir-faire et les droits de propriété intellectuelle du prestataire.

Toutefois, l’inconvénient lié à cette pratique est le surcoût pour le client. Si cela semble justifié lorsque le client a pris la décision de changer de système, elle l’est moins lorsqu’il a été contraint de prendre cette décision en cas de faillite du prestataire ou en cas de manquement grave du prestataire à ses obligations.

Néanmoins, certains prestataires décident de régler dans le contrat le sort des données du client.

Trois situations sont fréquentes :

  • celle dans laquelle le prestataire conserve les données du client afin de permettre à ce dernier de les récupérer ;
  • celle dans laquelle il est prévu que les données seront immédiatement effacées à la fin du contrat ;
  • ou celle dans laquelle il est prévu que le prestataire refuse de préserver les données au‐delà de la fin du contrat sans préciser que celles‐ci seront effacées.

Par conséquence, la clause de réversibilité devra définir :

  • les délais et modalités de fournitures des données : il faudra prévoir les responsabilités éventuelles en cas de dégradation, perte, d’accès non autorisé et/ou de détournement de fichiers lors de la transmission ; le format du fichier de restitution ;
  • la documentation qui permet d’identifier les données contenues dans le fichier intermédiaire comprenant les données restituées ;
  • la collaboration attendue du client, et ce afin de déterminer les destinataires du fichier de restitution ;
  • les modalités d’assistance complémentaire éventuelle : il faudra définir les délais, les personnes, les coûts et les responsabilités.

Cette clause doit donc être complétée généralement par un véritable « plan de réversibilité » car comme le soulignent H. Alterman et F. Perbost, « un plan de réversibilité doit être prévu lors de l’expiration ou de la résiliation du contrat. Ce plan mettra en place les conditions de remise par le prestataire de l’ensemble des données et informations – sous un format exploitable – nécessaires à une reprise de service par un autre prestataire ou par l’utilisateur».

Il n’est pas rare, en pratique de constater également au sein de la convention entre le titulaire originel des droits sur les logiciels concernés et le prestataire la possibilité pour l’éditeur du logiciel de se substituer au prestataire de cloud au terme du contrat entre ce dernier et son client. Dans cette hypothèse particulière de réversibilité, le client s’attachera, dans son contrat avec le prestataire, aux conditions, notamment financières, de cette substitution (Cordier G., Le contrat ASP, Comm. com. électr. 2008, no 10, prat. 9).

Notons que la jurisprudence a commencé à connaître des litiges liés aux difficultés de réversibilité, y compris dans le contexte d’application de type SaaS et cloud. C’est ainsi que le Tribunal de grande instance de Nanterre a rendu une ordonnance de référé par lequel il a fait injonction sous astreinte au prestataire SaaS de fournir au client tous les moyens techniques lui permettant de réaliser l’exportation de ses données hébergées, ou à défaut de lui consentir au‐delà de la date de fin du contrat la continuation gratuite du service le temps nécessaire à ce qu’il soit en état de procéder à cette exportation (TGI Nanterre, réf., 30 nov. 2012, UMP c/ Oracle France, Expertises 2013, pp. 358‐360).

G / Audit

Pour pallier la relative dépossession technique qu’induit pour le client le recours à une prestation de cloud, il est également conseillé d’introduire dans le contrat une clause d’audit permettant au client de procéder en cours d’exécution du contrat à des vérifications par un tiers extérieur de la conformité de la prestation aux stipulations contractuelles, et notamment aux engagements de niveau de service, de sécurité et de protection des données.

H / Assurance

Le prestataire doit indiquer dans le contrat qu’il est assuré pour les risques spécifiques au Cloud. Quant au client, il est souhaitable qu’il souscrive à une assurance compte tenu des risques financiers qu’il encourt pour le vol ou la perte de ses données.

9 / Conclusion.

Attractif pour les entreprises, le Cloud computing reste complexe à maitriser compte tenu de la disparité et du caractère « opaque » et disparate de certains « nuages ». Il conviendra par conséquent pour les clients de procéder à une analyse préalable des risques. L’encadrement juridique est primordial en particulier en ce qui concerne la sécurisation des applications et des données, la confidentialité et l’organisation d’audits de sécurité et la prévention des risques, avec des clauses relatives au droit applicable, à la qualité de service, à l’avertissement du client en cas de faille de sécurité, aux conditions de restauration de données et de réversibilité, permettant de rapatrier les données ou de les transférer à d’autres prestataires. Dans cet esprit de prévention des risques juridiques, il est conseillé de commencer par mettre en place des services de Cloud computing pour les applications les moins sensibles de l’entreprise, en particulier celles n’impliquant pas de données personnelles.

10 / Sources.

  • Note de l’autorité de contrôle prudentiel (ACPR) : Analyses et synthèses n°16 « Les risques associés au Cloud Computing » en date de juillet 2013
  • Discours de Jean-Marc Sauvé, Vice-président du Conseil d’Etat, lors du colloque de la Société de législation comparée, au Conseil d’Etat, le vendredi 11 octobre 2013.
  • Lamy droit du numérique « les contrats d’informatique dématérialisée (cloud computing).
  • Présentation AFDIT-Colloque du 29 novembre 2012 – Le cloud, c’est quoi au juste ? Yves Leroux.
  • Recommandations de la CNIL sur l’utilisation du cloud computing du 25 juin 2012.
  • Dossier CNIL « Règlement européen sur la protection des données : ce qui change pour les professionnels du 15 juin 2016.
  • Rapport du CSA (Cloud Security Alliance) de février 2016.
  • Rapport de l’ISACA de 2016 « Cloud computing Market Maturity ». L’ISACA est une association professionnelle internationale dont l’objectif est d’améliorer la gouvernance des systèmes d’information, notamment par l’amélioration des méthodes d’audit informatique
  • Pour information, l’arborescence des normes ISO SC27 par la CNIL :

[1] Voir en particulier E. Sordet, R. Milchior, « Le cloud computing, un objet juridique non identifié », Communication Commerce Electronique, 2011, n°11, p. 12 ; E. Sordet, R. Milchior, « La définition des contours juridiques du cloud computing », Communication Commerce Electronique, 2012, n°11, p. 7.

[2] Définition du cloud computing sur http://www.cnil.fr/les-themes/technologies/cloud-computing/. 

[3] Le National Institute of Standards and Technology (NIST) est une agence du Département du Commerce des Etats-Unis, qui promeut l’économie en développant des technologies. Voir http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf.

[4] JORF, n°0129 du 6 juin 2010, « Informatique en nuage, », Vocabulaire de l’informatique et de l’internet, p. 10453.

[5] M. Delmas-Marty, Le relatif et l’universel. Les forces imaginantes du droit, Ed. du Seuil, 2004, p. 337.

[6] Article 2 du règlement (CE) n° 44/2001 du Conseil du 22 décembre 2000 concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale.

[7] Règlement (CE) n° 593/2008 du Parlement européen et du Conseil du 17 juin 2008 sur la loi applicable aux obligations contractuelles (Rome I). 

[8] Article 4 du règlement. 

[9] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

[10] https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf

Benoît Bellaïche
b.bellaiche@gmail.com

Quel régime juridique pour les jeux vidéo ?

L’exemple de GTA IV qui perd une partie de sa musique.

Alors que le jeu vidéo GTA IV fête les dix ans de sa sortie, son éditeur a décidé de supprimer, via une mise à jour, des dizaines de chansons dont les droits expiraient. En 2008, Grand Theft Auto IV s’est vendu à 3,6 millions d’exemplaires le jour de sa sortie. Dix ans après sa sortie, les droits sur une partie de sa bande originale ont expiré. Dans la dernière mise à jour du jeu, l’éditeur Rockstar Games a supprimé certaines chansons, en les remplaçant parfois par d’autres.

Mais certains se pose la question : si un jeu est une œuvre à part entière, peut-on l’amputer d’une partie de ce qui la constitue ?

Nous allons essayer de répondre à cette question en analysant le régime juridique du jeu vidéo.

Régime juridique du jeu vidéo.

Le jeu vidéo existe depuis maintenant presque un demi-siècle et si le droit français ne s’est pas désintéressé de la question de son régime juridique, notamment au regard du droit d’auteur, il semble qu’aucun régime juridique adapté n’a pour autant pu être dégagé.

A / Evolution jurisprudentielle du régime juridique du jeu vidéo.

Pour prétendre à la protection par le droit d’auteur, toute création doit répondre à deux critères principaux. Elle doit tout d’abord se manifester par une expression apparente et tangible et en second lieu être originale. Cette condition d’originalité n’est pas expressément mentionnée par le Code de la propriété intellectuelle comme condition de la protection, à la différence de nombreux droits étrangers qui la mentionnent expressément. Cette condition existait toutefois avant la loi du 11 mars 1957 sur la propriété littéraire et artistique, de sorte que même après la promulgation de cette loi, il a toujours été considéré par la jurisprudence qu’à défaut d’être originale, une création ne pouvait prétendre à la protection offerte par le droit d’auteur (Cass. Ass. Plen., 7 mars 1986).

La jurisprudence définit classiquement l’originalité comme le reflet ou l’empreinte de la personnalité de l’auteur sur son œuvre. (CA Paris, 24 novembre 1988 et Cass. Civ. 1re, 17 février 2004.)

L’article L 112-2 du Code de la propriété intellectuelle donne une liste des créations susceptibles d’être considérées comme une œuvre de l’esprit et donc pouvant être protégées par le droit d’auteur sous réserve d’être originales.

Le jeu vidéo ne figure pas dans cette liste. Toutefois, cette liste n’est pas limitative. La possibilité pour un jeu vidéo d’être protégé par le droit d’auteur n’a jamais été remise en cause. Cette possibilité a d’ailleurs été admise depuis longtemps par la Cour de cassation. (Cass. Ass. Plen., 7 mars 1986, n° 84-93.509 « Atari Inc. c/ Valadom » et Cass. Ass. Plen., 7 mars 1986, n° 85-91.465 « Williams Electronics Inc c/ Claudine T. et société Jeutel »).

Cependant, le régime de droit d’auteur applicable à une œuvre peut dépendre de la catégorie à laquelle elle est rattachée.

Ainsi, le régime juridique applicable à une œuvre audiovisuelle diffère de celui applicable à une œuvre logicielle.

Il faut donc savoir dans quelle catégorie d’œuvre le jeu vidéo doit être classé.

La difficulté du droit d’auteur à appréhender le jeu vidéo provient du fait qu’il s’agit d’une création protéiforme composée d’éléments logiciels, de bases de données mais également d’éléments visuels et audio.

La jurisprudence a donc connu de nombreuses hésitations quant au rattachement du jeu vidéo à une catégorie d’œuvre déterminée permettant ainsi de fixer le régime juridique devant lui être appliqué.

  • Le jeu vidéo d’abord considéré comme une œuvre logicielle.

C’est tout d’abord la composante logicielle qui l’a emporté sur les autres. En 1997, la cour d’appel de Caen a ainsi considéré que « c’est le logiciel qui apparaît comme spécifique et primordial dans le produit complexe qu’est le jeu vidéo et celui-ci doit en conséquence bénéficier de la protection particulière accordée aux logiciels » (CA Caen, 19 décembre 1997 « Annie T. c/ Valérie A. »). La Cour de cassation suivra également cette analyse dans un arrêt du 21 juin 2000 (Cass. Crim, 21 juin 2000, n° 99-85.154).

L’œuvre logicielle répond à un régime particulier, notamment dans le cas d’œuvre logicielle réalisée par les salariés d’une société.

Selon l’article L 111-1 du Code de la propriété intellectuelle « L’auteur d’une œuvre de l’esprit jouit sur cette œuvre, du seul fait de sa création, d’un droit de propriété incorporelle exclusif et opposable à tous ».

La jurisprudence en tire pour conséquence que la conclusion d’un contrat de travail par l’auteur d’une œuvre ne suffit pas à déroger à la règle voulant que ce soit l’auteur de l’œuvre qui jouisse des droits d’auteur relatifs à son œuvre (Cass. Civ. 1re, 16 décembre 1992, n° 91-11.480).

En matière de logiciel, cette règle connaît une dérogation majeure. Selon l’article L 113-9 du Code de la propriété intellectuelle, lorsqu’un logiciel est créé par un salarié dans le cadre de l’exercice de ses fonctions ou suivant les instructions de son employeur, les droits d’auteur reviennent directement à l’employeur sauf stipulation contraire du contrat de travail.

La création d’un jeu vidéo nécessite l’intervention d’une multitude de personnes apportant chacune leur pierre à l’édifice en fonction de leurs compétences (développeurs, scénaristes, graphistes, etc.). Si ces différentes personnes sont des salariés du studio, la qualification du jeu vidéo en logiciel a pour conséquence directe de permettre au studio d’être propriétaire sans formalité particulière des droits d’auteur relatifs au jeu vidéo créé grâce à ces différents apports et créations.

Si, au contraire, le jeu vidéo n’est pas qualifié d’œuvre logicielle, le régime spécifique prévu par l’article L 113-9 du Code de la propriété intellectuelle ne s’applique pas et, en conséquence, le studio de développement doit contracter une cession de droit avec chaque personne ayant contribué au jeu et dont le travail est susceptible d’être qualifié d’œuvre.

  • L’œuvre audiovisuelle écarté pour l’œuvre multimédia.

Si le jeu vidéo a une composante logicielle dont l’importance est indéniable, il diffère néanmoins des autres types de logiciels en ce que sa dimension audiovisuelle revêt une prépondérance au moins équivalente.

En effet, pour de très nombreux jeux vidéo, il apparaîtrait difficile de réduire la composante audiovisuelle au simple accessoire de la composante logicielle.

L’œuvre audiovisuelle se distingue des autres œuvres par son régime qui est spécifique. L’œuvre audiovisuelle est ainsi légalement présumée être une œuvre de collaboration, c’est-à-dire une œuvre à laquelle plusieurs auteurs ont concouru et qui en ont la propriété commune (article L 113-3 du Code de la propriété intellectuelle).

Concernant l’œuvre audiovisuelle, l’article L 113-7 du Code de la propriété intellectuelle fixe la liste présumée de ses auteurs et donc de ses propriétaires (le réalisateur, le scénariste, etc.).

Selon l’article L 112-2 6° du Code de la propriété intellectuelle, une œuvre audiovisuelle se définit comme une œuvre consistant en des « séquences animées d’images, sonorisées ou non ».

Aucun des éléments de la définition donnée par l’article L 112-2 6° du Code de la propriété intellectuelle n’est a priori incompatible avec le jeu vidéo. Cependant, la jurisprudence a toujours considéré que le caractère interactif d’une œuvre était incompatible avec la qualification d’œuvre audiovisuelle (CA Paris, 28 avril 2000 confirmé par Cass. Civ. 1re, 28 janvier 2003, n° 00-20.294).

Or, la principale différence entre un jeu vidéo et un film consiste bien en l’intervention du joueur qui n’est pas spectateur mais acteur de l’œuvre. De ce fait, la jurisprudence a eu tendance à qualifier les jeux vidéo d’œuvres multimédia.

Dans la célèbre affaire Cryo, la cour d’appel de Paris a ainsi considéré que le jeu vidéo ne relevait pas de la catégorie des œuvres audiovisuelles mais était une œuvre multimédia qui ne se réduit pas au logiciel qui permet son exécution (CA Paris, 3e chambre section B, 20 septembre 2007, RG n° 07/01793).

La qualification du jeu vidéo en œuvre multimédia n’a pas permis pour autant de sécuriser le régime juridique applicable au jeu vidéo.

D’une part, l’œuvre multimédia ne figure pas dans la liste de l’article L 112-2 du Code de la propriété intellectuelle et, d’autre part, la jurisprudence n’a jamais réellement esquissé les contours d’un régime juridique applicable à ce type d’œuvre.

Enfin, la jurisprudence a par la suite passablement complexifié la question en qualifiant le jeu vidéo d’œuvre complexe et en posant le principe d’un régime distributif (Cass. Civ. 1re, 25 juin 2009, n° 07-20.387).

B / La qualification retenue : l’œuvre distributive.

  • L’adoption du régime d’œuvre distributive.

Lorsqu’une catégorie d’œuvre n’a pas de régime particulier, il convient de lui appliquer les règles de « droit commun » prévues par le Code de la propriété intellectuelle.

Concernant la question de la titularité des droits d’auteur d’une œuvre créée par plusieurs personnes, comme c’est souvent le cas en matière de jeux vidéo, le Code de la propriété intellectuelle distingue deux types d’œuvres : l’œuvre de collaboration et l’œuvre collective.

L’œuvre de collaboration, déjà évoquée ci-dessus, est la propriété commune des auteurs ayant concouru à sa création.

Une œuvre est qualifiée de collective lorsqu’elle est créée à l’initiative d’une personne, physique ou morale, et que sa création nécessite la contribution d’une pluralité d’auteurs, chacune des contributions se fondant « dans l’ensemble en vue duquel elle est conçue » (article L 113-2 du Code de la propriété intellectuelle).

La création d’un jeu vidéo nécessite l’intervention d’une pluralité de compétences graphiques et techniques. Il était dès lors possible d’analyser ces différentes interventions en des contributions visant à se fondre dans l’ensemble que formera le jeu vidéo finalisé.

La qualification du jeu vidéo en œuvre collective semblait donc la plus vraisemblable et certainement la solution la plus simple. C’est d’ailleurs ainsi que de nombreux acteurs du domaine considéraient le jeu vidéo.

Pourtant dans un important arrêt du 25 juin 2009, la Cour de cassation en a décidé autrement. Dans son arrêt Cryo, la Cour de cassation relève que le « jeu vidéo est une œuvre complexe qui ne saurait être réduite à sa seule dimension logicielle, quelle que soit l’importance de celle-ci ». La Cour de cassation en conclut que chacune des composantes du jeu vidéo est soumise au régime de droit d’auteur qui lui est applicable selon sa nature.

La Cour de cassation a donc tranché en faveur d’un régime distributif, faisant ainsi cohabiter le régime de l’œuvre logicielle pour la composante logicielle du jeu, le régime de l’œuvre audiovisuelle pour les cinématiques, le régime de l’œuvre musicale pour la musique mais également, le cas échéant, le régime spécifique des bases de données ou encore le régime de droit commun pour toutes les composantes qui ne relèvent pas d’une catégorie d’œuvre dotée d’un régime spécifique.

Cette solution a été depuis reprise par la cour d’appel de Paris dans un arrêt du 26 septembre 2011 où elle énonce que « le jeu vidéo est une œuvre complexe dont chaque composant est soumis à un régime propre » (CA Paris, Pôle 5, Chambre 12, 26 septembre 2011, « Nintendo c/ Absolute Games »).

Pour les professionnels du secteur, cette solution aboutit finalement à complexifier encore plus la problématique relative au droit d’auteur applicable au jeu vidéo. Cette solution ne semble pas fonctionnelle, puisqu’elle revient à augmenter encore un peu plus l’insécurité juridique en la matière.

Cette acception peut sembler délicate à appréhender pour un secteur économique pesant plusieurs dizaines de milliards d’euros au niveau mondial, dont 2,6 milliards rien que pour le marché français.

  • La spécificité de la musique.

Cette solution jurisprudentielle a mis en exergue la composante particulière qu’est la musique non spécialement composée pour le jeu vidéo, laquelle semble effectivement appeler à ce que son régime propre lui soit appliqué, comme c’est déjà le cas en matière d’œuvre audiovisuelle.

Dès 2007, toujours dans l’affaire Cryo, la cour d’appel de Paris avait pointé la particularité de la musique dans le jeu vidéo.

La cour d’appel avait alors relevé, à propos de compositions musicales appartenant à des auteurs adhérents de la SACEM et reproduites au sein d’un jeu vidéo, que celles-ci ne se fondaient pas dans l’ensemble que formait le jeu vidéo et qu’il était possible d’attribuer au compositeur ses droits distincts sur l’œuvre musicale.

Cette particularité des compositions musicales reproduites dans les jeux vidéo a également été relevée par les différents rapports rendus en la matière :

Ainsi, dans son rapport du 30 novembre 2011, le Député Patrice Martin-Lalande préconisait d’appliquer au jeu vidéo le régime de l’œuvre de collaboration avec une attribution de la qualité d’auteur basée sur les fonctions occupées lors du processus de création, notamment celle liée à la composition musicale spécialement réalisée pour le jeu.

Philippe Chantepie, dans son rapport du 27 février 2013, préconisait également que la composition musicale suive son régime propre et non celui proposé pour le jeu vidéo.

Il est vrai qu’à la différence des autres composantes du jeu vidéo, les musiques composant la bande originale peuvent être aisément différenciées du jeu en lui-même, et ce tout particulièrement lorsqu’elles n’ont pas été composées spécialement pour le jeu vidéo.

Les compositions musicales peuvent en outre faire l’objet d’une exploitation commerciale totalement séparée du jeu vidéo dans lequel elles ont été reproduites.

Il semble donc qu’il n’y ait pas d’obstacles à l’application du régime des œuvres musicales aux compositions musicales incorporées dans un jeu vidéo

Pour résumer :

Après des hésitations, la jurisprudence indique que le jeu vidéo est une œuvre complexe et retient la qualification d’œuvre distributive. La Cour de cassation en conclut que chacune des composantes du jeu vidéo est soumise au régime de droit d’auteur qui lui est applicable selon sa nature. La Cour de cassation a donc tranché en faveur d’un régime distributif, faisant ainsi cohabiter le régime de l’œuvre logicielle pour la composante logicielle du jeu, le régime de l’œuvre audiovisuelle pour les cinématiques, le régime de l’œuvre musicale pour la musique, mais également, le cas échéant, le régime spécifique des bases de données ou encore le régime de droit commun pour toutes les composantes qui ne relèvent pas d’une catégorie d’œuvre dotée d’un régime spécifique.

Le principal risque de cette qualification juridique réside dans la difficulté de retrouver les titulaires de droit de chaque composante du jeu vidéo. Cette qualification peut sembler difficile à appréhender pour les acteurs du monde du jeu vidéo et notamment les studios et les éditeurs pour l’exploitation de l’œuvre complexe.

Benoît Bellaïche
b.bellaiche@gmail.com

Quelles sont les nouveautés de la loi pour une République Numérique ?

Le 7 octobre 2016, la loi pour une République numérique a été promulguée.
Son but est de libérer l’innovation, de créer un cadre de confiance et de construire une République numérique ouverte et inclusive. Elle a fait l’objet d’une large consultation citoyenne avec la participation de plus de 21 000 contributeurs. C’est la première fois qu’un projet de loi est précédé d’une consultation en ligne.

 

Le texte encadre notamment la neutralité du net, la loyauté des plateformes et de l’information à destination des consommateurs, ou encore la protection des données personnelles.

Il accompagne ces mesures d’un renforcement des pouvoirs de sanction de la CNIL et de l’ARCEP.

La loi pour une République Numérique reconnaît également la pratique de l’e-sport, le droit à la mort numérique, la portabilité des données et elle durcit la pénalisation de la publication non consentie d’images érotiques ou pornographiques.

La connexion internet fait désormais partie des besoins de première nécessité et le consommateur dispose donc d’un droit au maintien de la connexion.

Le droit à l’oubli pour les mineurs est prévu, ainsi qu’une procédure accélérée pour l’exercice de ce droit.

L’obligation d’information prévue par l’article 32 de la loi Informatique et Libertés est renforcée. Les responsables de traitement de données doivent désormais informer les personnes de la durée de conservation des données traitées ou, en cas d’impossibilité, des critères utilisés permettant de déterminer cette durée.

La loi met en place des dispositifs d’open data par secteur (données foncières, décisions de justice…). L’Etat, les collectivités territoriales et les personnes de droit public ou privé chargées d’une mission de service public auront l’obligation de transmettre les documents qu’ils détiennent aux autres administrations qui en feraient la demande afin d’accomplir leur mission de service public.

Les décrets d’application, prévoyant une publication progressive des données, sont annoncés pour début 2017.

En matière de gouvernance de la donnée, la loi prévoit un rapprochement entre la CNIL et la CADA.

Certaines associations pourront également recevoir des dons par SMS, chaque donateur pouvant donner jusqu’à 50 euros par don dans la limite de 300 euros par mois.

Pour la CNIL, certaines dispositions de la loi anticipent le Règlement européen sur la protection des données personnelles qui sera applicable en mai 2018.

Benoît Bellaïche
b.bellaiche@gmail.com

Robin Thicke et Pharrell Williams auraient-ils pu être condamnés pour plagiat en France ?

Pharrell Williams et Robin Thicke ont récemment été condamnés à verser aux héritiers de Marvin Gaye 7,4 millions de dollars pour avoir copié « Got To Give It Up ».

 

Marvin Gaye

Pendant deux semaines de procès, les jurés ont entendu « Blurred lines » comparé à la partition, jouée par un pianiste professionnel, de « Got to give it up », qui était déposée. Les jurés avaient reçu pour instruction de se concentrer uniquement sur la mélodie et non sur tous les arrangements de la version finale de « Blurred Lines ».

Si cette décision est parfois contestée, elle pose plusieurs questions. On peut notamment se demander si une décision semblable pourrait être rendue en France.

Afin de répondre à cette question il faut tout d’abord savoir qu’est-ce que le plagiat.

En droit français, le droit d’auteur naît à partir de la date de création de l’oeuvre. Pour le droit d’auteur, le mot plagiat n’est pas un terme juridique. Le terme juridique qui représente le plagiat serait la contrefaçon. Elle est sévèrement réprimée par les articles L335-2 et L335-3 du Code de la propriété intellectuelle.

Ensuite on peut se demander comment caractériser une oeuvre musicale.

Une œuvre musicale est composée des éléments suivants : la mélodie, l’harmonie et le rythme.

Puis, dans quels cas la contrefaçon d’une oeuvre protégée a été constatée.

Pour qu’il y ait contrefaçon d’une oeuvre protégée, il faut pouvoir constater la reprise, ou du moins une similitude, des éléments caractérisant l’oeuvre préexistante et lui conférant son originalité. Or, souvent, l’originalité d’une oeuvre musicale réside dans la juxtaposition des trois éléments, l’harmonie et le rythme servant une mélodie.

cour_dappelLa contrefaçon d’une oeuvre musicale suppose l’existence de similitudes rythmiques, mélodiques et harmoniques entre les deux compositions opposées permettant la reconnaissance de l’oeuvre première dans l’oeuvre seconde. (CA Paris, Chambre 4, section B, 20 Mars 2009)

La contrefaçon peut consister en une reprise d’extraits, même très brefs (utilisation de fragments d’œuvres musicales) :

-La confusion peut naître de seulement deux ou trois notes similaires, employées de la même façon. Tel était le cas dans un arrêt de la Cour d’Appel de Paris du 13 novembre 1969, où Henri Salvador était demandeur ; la contrefaçon a été établie sur la base de quatre notes identiques, constituant le refrain des deux chansons, et se répétant aux mêmes intervalles.

-Aussi constitue un acte de contrefaçon l’emprunt de 4 mesures d’opéra (CE, 5 mai 1939).

-La contrefaçon s’apprécie sur les ressemblances et non les différences entre l’oeuvre contrefaite et l’oeuvre contrefaisante (Cass. 1re civ., 4 févr. 1992, n° 90-21.630, La bicyclette bleue).

Au final, l’appréciation de la similitude des œuvres en présence est confiée au juge saisi du litige,auquel il appartient d’apprécier in concreto les ressemblances. Pour cela, il peut s’appuyer sur les différents éléments composant l’œuvre musicale (accords, notes, lignes mélodiques ou harmoniques, cadences, tonalités, tempos).

L’écoute attentive des œuvres concernées est souvent confiée à un expert, qui relève alors ou non certaines similitudes sur les plans rythmique, harmonique et mélodique.

Benoît Bellaïche
b.bellaiche@gmail.com

Droit à l’oubli : quelles sont les conséquences de la décision « Google Spain » ?

Dans sa décision du 13 mai 2014, la Cour de justice de l’Union européenne est venue consacrer le droit à l’oubli.

L’arrêt dit “Google Spain”, a ouvert la reconnaissance d’un droit à l’oubli en se fondant sur le droit de correction et d’opposition reconnus aux personnes concernées par la Directive 95/46 sur la protection des données. Cette directive vise à protéger les libertés et droits fondamentaux des personnes physiques (droit à la vie privée notamment) lors du traitement des données à caractère personnel tout en éliminant les obstacles à la libre circulation de ces données.

CJUE 2La Cour de justice de l’Union constate que le moteur de recherche, en l’espèce Google est “responsable du traitement” des données à caractère personnel conformément à la directive 95/46.

La Cour souligne dans ce contexte qu’un traitement de données à caractère personnel réalisé par un tel exploitant permet à tout internaute, lorsqu’il effectue une recherche à partir du nom d’une personne physique, d’obtenir, par la liste de résultats, un aperçu structuré des informations relatives à cette personne sur Internet. Ces informations peuvent notamment concerner des éléments relatifs à la vie privée.

Ainsi, la suppression de liens de la liste de résultats pourrait, en fonction de l’information en cause, avoir des répercussions sur l’intérêt légitime des internautes potentiellement intéressés à avoir accès à l’information en question, la Cour constate qu’il y a lieu de rechercher un juste équilibre notamment entre cet intérêt et les droits fondamentaux de la personne concernée

GoogleLa Cour indique que dans le cadre de l’appréciation d’une demande de suppression introduite par la personne concernée à l’encontre du traitement réalisé par l’exploitant d’un moteur de recherche, il convient notamment d’examiner si cette personne a un droit à ce que de suppression les informations en question relatives à sa personne ne soient plus, au stade actuel, liées à son nom par une liste de résultats qui est affichée à la suite d’une recherche effectuée à partir de son nom. Si tel est le cas, les liens vers des pages web contenant ces informations doivent être supprimés de cette liste de résultats, à moins qu’il existe des raisons particulières, telles que le rôle joué par cette personne dans la vie publique, justifiant un intérêt prépondérant du public à avoir, dans le cadre d’une telle recherche, accès à ces informations.

Le 18 septembre 2014, un jugement néerlandais à fait application de la jurisprudence “Google Spain” de la Cour de Justice de l’Union européenne reconnaissant le droit à l’oubli numérique. Prenant en compte les critères dégagés précédemment par la Cour de justice de l’Union européenne, le tribunal estime qu’il n’y a pas lieu de supprimer les liens URL renvoyant vers des informations relatives à une condamnation pénale récente pour instigation au meurtre.

Le juge effectue une balance des intérêts entre la liberté d’information et le droit à la vie privée de l’internaute concerné afin de répondre à ses diverses demandes. Le juge hollandais constate notamment que le demandeur a commis un crime récent et grave, qui a donné lieu à une large publicité (émissions télévisés, articles de presse, le livre précité). Et qu’il est normal que cette publicité négative soit aussi relayée par internet pendant un temps assez long.

CJUELa jurisprudence “Google Spain” ne vise pas à protéger les personnes de toute diffusion d’informations négatives à son sujet présentes sur la toile. Elle a pour objectif de préserver celles-ci d’informations non pertinentes, excessives, diffamatoires ou encore ayant un caractère excessif ou inadéquat, car survenant des années après les faits et qui, partant, infligeraient inutilement une atteinte à la réputation d’un particulier.

Cette première jurisprudence néerlandaise peut limiter les craintes que certains commentateurs avaient pu avoir à propos d’un droit à l’oubli absolu.

L’intérêt de ce jugement réside dans le fait que les juridictions nationales seront sans doute enclines à réajuster les valeurs à équilibrer.

Toujours concernant le droit à l’oubli, Google a mis à jour vendredi 10 octobre, son rapport de transparence, un document qui liste les demandes qui lui ont été faites par les gouvernements et les autorités (de retrait de contenu ou d’information sur ses utilisateurs notamment) et désormais les demandes de déréférencement.

Rapport GoogleAinsi, le nombre de demandes continue à augmenter : à ce jour, le moteur de recherche a reçu 144 907 demandes individuelles, concernant 498 737 résultats de recherche. Le moteur de recherche en avait déjà reçu 91 000 au milieu de l’été.

La France est toujours championne d’Europe des demandes de déréférencement, avec plus de 29 140 demandes pour presque 89 277 URL, devant l’Allemagne et le Royaume-Uni.

Benoît Bellaïche
b.bellaiche@gmail.com

Quelles sont les spécificités des droits voisins par rapport au droit d’auteur ?

 

La durée des droits voisins :

La durée est de cinquante ans en France. La directive du 27 septembre 2011 qui doit les porter à 70 ans n’a pas été encore transposée.

L’exception aux droits voisins :

Les exceptions aux droits voisins sont énoncées à l’article L211-3 du Code de la Propriété intellectuelle. Ces exceptions sont semblables à celle concernant le droit d’auteur.

L’application territoriale des droits voisins : 

Les représentants des producteurs de phonogrammes, se fondant sur le droit commun et sur l’interprétation que donne le guide de la convention de Rome publié par l’OMPI de l’article 11 de ladite convention – qui prévoit, in fine, que « si les exemplaires ou leur étui ne permettent pas d’identifier les principaux interprètes ou exécutants, la mention devra comprendre également le nom de la personne qui, dans le pays où la fixation a eu lieu, détient les droits de ces artistes » – estiment que la titularité des droits voisins doit être renvoyée à la loi du pays de première fixation.

 

commission européenneLa protection conférée par les droits voisins est distincte de celle conférée par les droits d’auteurs et s’exerce indépendamment sans porter préjudice aux droits des auteurs (CPI, art. L. 211-1).

Les dispositions propres aux droits voisins du droit d’auteur sont régies par le livre deuxième du code de la propriété intellectuelle.

Les bénéficiaires des droits voisins

Les droits voisins du droit d’auteur sont une branche spécifique de la propriété artistique et littéraire.  Ils ont été créés par la loi du 3 juillet 1985.

Indépendamment de la protection conférée aux auteurs par le droit d’auteur, le code de la propriété intellectuelle confère une protection légale appelée droits voisins de la création intellectuelle notamment aux :

-artistes interprètes ;
-producteurs de phonogrammes et de vidéogrammes ;
-entreprises de communication audiovisuelle.

Les bénéficiaires des droits voisins jouissent d’un droit exclusif qui leur confère la possibilité d’autoriser ou d’interdire l’utilisation et l’exploitation de leur prestation et d’en percevoir une rémunération.

Les artistes interprètes jouissent également d’un droit moral :

-sur leur nom : le nom de l’artiste doit être associé à son interprétation

-sur d’éventuelles modifications : on ne peut pas modifier l’interprétation sans son autorisation (si la modification dénature l’interprétation)

Le droit moral est inaliénable et imprescriptible : il ne peut être cédé et n’est pas limité dans le temps. Il est transmis aux héritiers.

Durée des droits voisins

Directive du 27 septembre 2011 porte de 50 à 70 ans la durée des droits voisins. Elle impose aux Etats membres de transposer la directive au plus tard le 1er novembre 2013. Mais selon l’article 211-4 du Code de la Propriété intellectuelle, la durée de protection est encore de cinquante ans.

Article L211-4 du Code de la Propriété intellectuelle

La durée des droits patrimoniaux objets du présent titre est de cinquante années à compter du 1er janvier de l’année civile suivant celle :

1° De l’interprétation pour les artistes-interprètes. Toutefois, si une fixation de l’interprétation fait l’objet d’une mise à disposition du public, par des exemplaires matériels, ou d’une communication au public pendant la période définie au premier alinéa, les droits patrimoniaux de l’artiste-interprète n’expirent que cinquante ans après le 1er janvier de l’année civile suivant le premier de ces faits ;

2° De la première fixation d’une séquence de son pour les producteurs de phonogrammes. Toutefois, si un phonogramme fait l’objet, par des exemplaires matériels, d’une mise à disposition du public pendant la période définie au premier alinéa, les droits patrimoniaux du producteur du phonogramme n’expirent que cinquante ans après le 1er janvier de l’année civile suivant ce fait. En l’absence de mise à disposition du public, ses droits expirent cinquante ans après le 1er janvier de l’année civile suivant la première communication au public ;

3° De la première fixation d’une séquence d’images sonorisées ou non pour les producteurs de vidéogrammes. Toutefois, si un vidéogramme fait l’objet, par des exemplaires matériels, d’une mise à disposition du public ou d’une communication au public pendant la période définie au premier alinéa, les droits patrimoniaux du producteur du vidéogramme n’expirent que cinquante ans après le 1er janvier de l’année civile suivant le premier de ces faits ;

4° De la première communication au public des programmes mentionnés à l’article L. 216-1 pour des entreprises de communication audiovisuelle.

Exception aux droits voisins

L’article L211-3 du Code de la Propriété intellectuelle, défini les exceptions au respect des droits voisins :

Article L211-3 du Code de la Propriété intellectuelle

Les bénéficiaires des droits ouverts au présent titre ne peuvent interdire :

1° Les représentations privées et gratuites effectuées exclusivement dans un cercle de famille;

2° Les reproductions réalisées à partir d’une source licite, strictement réservées à l’usage privé de la personne qui les réalise et non destinées à une utilisation collective ;

3° Sous réserve d’éléments suffisants d’identification de la source :

-les analyses et courtes citations justifiées par le caractère critique, polémique, pédagogique, scientifique ou d’information de l’œuvre à laquelle elles sont incorporées ;

-les revues de presse ;

-la diffusion, même intégrale, à titre d’information d’actualité, des discours destinés au public dans les assemblées politiques, administratives, judiciaires ou académiques, ainsi que dans les réunions publiques d’ordre politique et les cérémonies officielles ;

-la communication au public ou la reproduction d’extraits d’objets protégés par un droit voisin, sous réserve des objets conçus à des fins pédagogiques, à des fins exclusives d’illustration dans le cadre de l’enseignement et de la recherche, à l’exclusion de toute activité ludique ou récréative, dès lors que le public auquel cette communication ou cette reproduction est destinée est composé majoritairement d’élèves, d’étudiants, d’enseignants ou de chercheurs directement concernés, que l’utilisation de cette communication ou cette reproduction ne donne lieu à aucune exploitation commerciale et qu’elle est compensée par une rémunération négociée sur une base forfaitaire ;

4° La parodie, le pastiche et la caricature, compte tenu des lois du genre ;

5° La reproduction provisoire présentant un caractère transitoire ou accessoire, lorsqu’elle est une partie intégrante et essentielle d’un procédé technique et qu’elle a pour unique objet de permettre l’utilisation licite de l’objet protégé par un droit voisin ou sa transmission entre tiers par la voie d’un réseau faisant appel à un intermédiaire ; toutefois, cette reproduction provisoire ne doit pas avoir de valeur économique propre ;

6° La reproduction et la communication au public d’une interprétation, d’un phonogramme, d’un vidéogramme ou d’un programme dans les conditions définies aux deux premiers alinéas du 7° de l’article L. 122-5 ;

7° Les actes de reproduction et de représentation d’une interprétation, d’un phonogramme, d’un vidéogramme ou d’un programme réalisés à des fins de conservation ou destinés à préserver les conditions de sa consultation à des fins de recherche ou d’études privées par des particuliers, dans les locaux de l’établissement et sur des terminaux dédiés, effectués par des bibliothèques accessibles au public, par des musées ou par des services d’archives, sous réserve que ceux-ci ne recherchent aucun avantage économique ou commercial.

Les exceptions énumérées par le présent article ne peuvent porter atteinte à l’exploitation normale de l’interprétation, du phonogramme, du vidéogramme ou du programme ni causer un préjudice injustifié aux intérêts légitimes de l’artiste-interprète, du producteur ou de l’entreprise de communication audiovisuelle.

 Application territoriale des droits voisins

csplaEn matière de droits voisins, le problème se pose en des termes différents que pour les droits d’auteur.

D’après le rapport du CSPLA portant sur la loi applicable en matière de propriété littéraire et artistique, dans la Convention de Rome sur les droits voisins, aucune référence n’est faite à la loi du pays d’origine au sens de la convention de Berne, ni à la loi du pays de protection.

Les représentants des producteurs de phonogrammes, se fondant sur le droit commun et sur l’interprétation que donne le guide de la convention de Rome publié par l’OMPI de l’article 11 de ladite convention – qui prévoit, in fine, que « si les exemplaires ou leur étui ne permettent pas d’identifier les principaux interprètes ou exécutants, la mention devra comprendre également le nom de la personne qui, dans le pays où la fixation a eu lieu, détient les droits de ces artistes » – estiment que la titularité des droits voisins doit être renvoyée à la loi du pays de première fixation.

D’autres membres de la commission, dont les représentants des artistes-interprètes, contestent cette interprétation et déduisent des travaux préparatoires de la convention que celle-ci a entendu dénier tout rôle à la loi du pays d’origine.

Le fait que cette solution, comme d’ailleurs celle proposée par les producteurs de phonogrammes, ne soit pas symétrique de celle qui a été suggérée pour la convention de

Berne ne soulève pas de difficultés insurmontables. Rien ne s’oppose en effet, même si cela peut compliquer les choses, à ce que la loi applicable soit différente pour déterminer, pour une même œuvre, le titulaire du droit d’auteur et le(s) titulaire(s) des droits voisins, dès lors que ce ne sont pas nécessairement les mêmes personnes, qu’en toute occurrence elles ne sont pas envisagées en la même qualité et que les régimes qui leur seront appliqués sont très différents.

YouTubeLa problématique des droits voisins est renouvelée notamment avec les plateforme de vidéos en ligne comme YouTube ou Dailymotion. En effet l’utilisation d’enregistrements d’œuvres  non autorisé peut porter atteinte, non seulement aux droits d’auteur, mais aussi aux droits voisins.

Benoît Bellaïche
b.bellaiche@gmail.com

Que contient la directive sur l’harmonisation de la gestion des droits d’auteur ?

commission européenneLe 4 février 2014, la directive pour l’harmonisation de la gestion des droits d’auteur à été adoptée par le Parlement européen.

Mais derrière les termes d’harmonisation, que prévoit cette directive ? Cet article propose un résumé rapide du contenu de la directive.

-Proposition de directive du 11 juillet 2012.

-Projet adopté le 4 février 2014 par le Parlement européen.

-Ce projet doit être adopté par le Conseil européen puis transposé par les Etats membres dans les deux ans suivant l’adoption.

La proposition de directive du 11 juillet 2012 comprend deux principaux objectifs :

  • Une amélioration de la transparence des différentes sociétés de gestion collective en Europe.
    • Des règles relatives à l’organisation de l’affiliation aux sociétés de gestion collective.
    • Des règles sur la gestion financière. La société de gestion collective devrait :
      • i) préciser les prélèvements applicables dans ses accords avec les titulaires de droits ;
      • ii) garantir aux membres et aux titulaires de droits un accès équitable aux services sociaux, culturels ou éducatifs qu’elle financerait avec des prélèvements ;
      • iii) payer sans délai les sommes exactes dues aux titulaires de droits et s’efforcer d’identifier les titulaires de droits.
    • Des obligations d’information :
      •  i) information des titulaires de droits sur les montants perçus et versés, les frais de gestion facturés et les autres prélèvements effectués ;
      • ii) information des autres sociétés de gestion collective sur les droits gérés en vertu d’accords de représentation ;
      •  iii) information sur demande des titulaires de droits, des autres sociétés et des utilisateurs ;
      • iv) publication d’un rapport annuel de transparence.
  • Une facilitation de l’obtention de licences paneuropéennes pour les acteurs du marché de la musique en ligne.
    • Traiter avec efficacité et transparence les données nécessaires à l’exploitation de ces licences, en ayant recours à une base de données évolutive, fiable et contenant les données nécessaires.sonos_concept_streaming
    • Transparence en ce qui concerne le répertoire de musique en ligne qu’elle représente.
    • Offrir aux titulaires de droits et aux autres sociétés la possibilité de corriger les données pertinentes et d’en assurer l’exactitude.
    • Contrôler l’utilisation réelle des œuvres couvertes par les licences, être en mesure de traiter les déclarations d’utilisation et la facturation.
    • Payer sans délai les titulaires de droits et les autres sociétés de gestion collective et leur fournir des informations sur les œuvres utilisées et les données financières relatives à leurs droits (par exemple, les montants perçus, les prélèvements effectués).

Les critiques :

  • La Commission européenne a lancé des consultations et pourrait faire des propositions pour une remise à plat du droit d’auteur. On peut penser à la consultation « Des licences pour l’Europe » qui vise à résoudre les problèmes auxquels les citoyens européens peuvent se heurter dans plusieurs domaines (Accessibilité et la portabilité transfrontières des services, contenus créés par les utilisateurs et octroi de micro-licences, patrimoine audiovisuel…). Mais, la Commission a aussi lancé une consultation publique sur le sujet en ligne jusqu’au 5 mars, sous la forme de 80 questions.
  • Le questionnaire a fait bondir les auteurs. Selon eux, les questions, seraient biaisées.
  • Les créateurs craignent un affaiblissement de leurs droits sous la forme d’une augmentation du nombre d’exceptions au droit d’auteur ou de réduction de la période pendant laquelle les droits sont protégés.
  • La Commission européenne rédigera ensuite un Livre blanc pour synthétiser le résultat de cette consultation et faire des propositions.
  • Le 29 janvier, l’association européenne des auteurs-compositeurs (ECSA) a lancé une pétition en ligne « contre le démantèlement des droits des créateurs » en Europe. Cette pétition est en ligne jusqu’au 5 mars 2014.

Pour en savoir plus sur la proposition de directive du 11 juillet 2012 : http://bit.ly/1bSq6sc

Benoît Bellaïche
b.bellaiche@gmail.com

La signature électronique, qu’est-ce que c’est ?

 

La Signature électronique :

1) Définition

  • Mécanisme qui permet de garantir l’intégrité d’un document électronique et d’authentifier l’auteur.
  • Elle est fondée sur la cryptographie asymétrique et repose sur l’exploitation d’une clé publique et d’une clé privée qui sont mathématiquement liées. Le destinataire peut déchiffrer la signature électronique grâce à la clé publique contenue dans un certificat numérique. Ainsi la signature électronique utilise deux composants logiciels : un dispositif de création de signature pour le signataire et un dispositif de vérification de signature pour le destinataire d’un fichier signé.
  • La signature doit être :
    • Authentique
    • Infalsifiable
    • Non réutilisable
    • Inaltérable
    • Irrévocable

2) Textes applicables

  • Union européenne :
    • Directive 1999/93/CE sur un cadre communautaire pour les signatures électroniques.
  • France :
    • Loi n°2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique.
    • Loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.
    • Loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
      • Décret n°2001-272 du 30 mars 2001, pris pour l’application de l’article 1316-4 du code civil et relatif à la signature électronique.
      • Décret n°2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information.
      • Décret n°2010-671 du 18 juin 2010 relatif à la signature électronique et numérique en matière pénale et modifiant certaines dispositions de droit pénal et de procédure pénale.

TGI Paris

La jurisprudence sur la différence entre version papier et version numérique :

  • L’article 1316-1 du code civil dispose : : « L’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité ».
  • L’article 1348 du code civil admet la valeur probatoire d’une copie dès lors que celle-ci est une reproduction fidèle et durable de l’original.
    • La Cour de cassation en a rappelé le principe dans  l’arrêt n° 07-17622 du 4 décembre 2008, où une partie tentait de démontrer l’existence d’un courrier en en produisait une copie informatique qui n’était pas la reproduction exacte du présumé courrier.
    • Dans des espèces semblables, la Cour de cassation a toutefois admis que ce principe pouvait être aménagé si, même en l’absence d’une copie fidèle, de nombreux autres indices pouvaient laisser à penser que le courrier existait et que son destinataire l’avait bien reçu. (Cour de cassation, civile 2, 1 juillet 2010 n° Y 09-14.685 et 17 mars 2011 Civ 2 n° 10-14.850).

Benoît Bellaïche
b.bellaiche@gmail.com

Google est-il soumis à la loi informatique et libertés ?

L’Application territoriale de la loi informatique et libertés est notamment problématique concernant la société Google.

GoogleL’article 2 alinéa 1 de la loi Informatique et libertés prévoit que cette loi s’applique « lorsque leur responsable [de traitement] remplit les conditions prévues à l’article 5 ».

L’article 5 de la loi Informatique et libertés pose le principe de territorialité de la loi :

« I. – Sont soumis à la présente loi les traitements de données à caractère personnel :

1° Dont le responsable est établi sur le territoire français. Le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi.

2° Dont le responsable, sans être établi sur le territoire français ou sur celui d’un autre État membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur ce territoire ou sur celui d’un autre État membre de la Communauté européenne.

II. – Pour les traitements mentionnés au 2° du I, le responsable désigne à la Commission nationale de l’informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l’accomplissement des obligations prévues par la présente loi ; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui ».

a. Critère lié à l’établissement de la personne sur le territoire français.

La loi considère que le responsable de traitements qui « exerce une activité sur le territoire français dans le cadre d’une installation quelle que soit sa forme juridique, y est considéré comme établi ».

L’article ne vise donc pas le lieu du siège social du responsable de traitement mais bien toute entité par laquelle il opère le traitement de données à caractère personnel. Autrement dit il peut s’agir d’une succursale ou d’une filiale.

Une simple domiciliation sans activité effective associée à l’installation ne suffirait pas à satisfaire le critère d’avoir un établissement sur le territoire français.

b. Critère de territorialité des moyens utilisés.

Indépendamment du fait que le responsable de traitements soit ou non établi sur ce territoire français, un autre critère permet l’applicabilité de la loi Informatique et libertés : des moyens utilisés en France. La notion de « moyens utilisés » est entendue très largement et englobe notamment :

-Les équipements informatiques.

-L’exploitation effective des traitements et ce même si les équipements sont localisés dans un autre pays.

-Le personnel dédié à la gestion des équipements ou à l’exploitation des ressources.

La jurisprudence concernant Google a évolué récemment :cour_dappel

Dans une ordonnance du 14 avril 2008 du TGI de Paris : Google échappe à la loi informatique et liberté.

Bien que la demanderesse soit française, le juge écarte la loi « Informatique et libertés ». Pour cela, il s’appuie sur son article 5 qui prévoit que les traitements de données personnelles soumis à la loi de 1978 modifiée en 2004 sont ceux dont le responsable est établi en France ou qui a recours à des moyens de traitement situés en France. En l’occurrence, Google.fr, site à partir duquel les messages en question ont été envoyés et consultés, est édité par Google Inc., société américaine dont les serveurs se trouvent en Californie. Cette dernière dispose bien d’une filiale en France, mais le tribunal considère que celle-ci n’agit qu’en qualité de simple agent qui ne dispose d’aucun mandat pour administrer le moteur de recherche ou le service Google Groupes.

Le TGI a par ailleurs refusé l’application de la loi française, sur le fondement de l’exception d’ordre public. Cette règle de droit international privé permet au tribunal d’imposer le choix de la loi française s’il estime que le droit étranger compromettrait les valeurs fondamentales de notre droit.

Dans une ordonnance de référé du 28 octobre 2010, le TGI de Montpellier la loi informatique et liberté vient s’appliquer à Google.

Le juge des référés ne s’est pas attardé sur la question de l’application de la loi de 1978 modifiée à Google Inc., société de droit américain dont les serveurs sont situés outre-Atlantique. Il s’est contenté de faire référence à l’article 5 de la loi qui prévoit les règles de compétence territoriale de ses dispositions, en indiquant que la loi s’applique « lorsque leur responsable remplit les conditions prévues à l’article 5 ».

-Concernant la même affaire, l’arrêt du 29 septembre 2011 de la Cour d’appel de Montpellier confirme le jugement du 28 octobre 2010, et la loi informatique et liberté vient à nouveau s’appliquer à Google.

« Or, dans le cadre de ses opérations d’indexation consistant en l’analyse par ses logiciels de dizaines de milliards de pages internet de par le monde dans le but de les indexer pour les mettre ensuite à la disposition des utilisateurs de ses services, la société GOOGLE INC, qui a elle-même ses propres serveurs de stockage dans différents pays de la Communauté européenne, utilise et a nécessairement besoin à des fins de traitement de l’ensemble des moyens que constituent les ordinateurs individuels et les serveurs lesquels, en ce qui concerne les sites incriminés dans le présent litige et libellés en langue française, sont nécessairement dans leur grande majorité, implantés sur le territoire français ou sur le territoire d’un Etat membre de le la communauté européenne.

Il convient en conséquence de considérer que la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est bien territorialement applicable à la société GOOGLE INC. »

Le 15 février 2012, le tribunal de grande instance de Paris a été saisi en référé d’une demande semblable à celle exposé ci-dessus : une femme qui dans sa jeunesse, avait tourné dans des films pornographiques, demandait que Google désindexer les liens renvoyant vers ces films. Sa demande était fondée sur le droit au respect de sa vie privée et sur son droit d’opposition au titre de la loi informatique et libertés.

Le tribunal  a constaté une atteinte au droit au respect à la vie privée et a ordonné à Google Inc. De désindexer les pages en cause. Le tribunal s’est surtout attaché à vérifier la responsabilité de Google au sens de la LCEN, et n’a pas évoqué la question de l’application territoriale de la loi informatique et libertés.

Le 6 novembre 2013, la 17ème chambre du TGI de Paris ordonne à Google de retirer et de cesser, pendant une durée de cinq années, l’affichage sur le moteur de recherche Google images qu’elle exploite, des neuf images dont Max Mosley a demandé l’interdiction. Cette décision se base sur le respect de la vie privée.

Dans ses demandes la partie défendant Max Mosley invoque la loi informatique et liberté (page 3), mais les juges ne reprennent pas cet argument dans leur décision.

Il semble que les dernières décisions rendues se penchent plus vers la protection de la vie privée. La question territoriale du traitement des données étant écartée.

Le 13 mai 2014, dans l’arrêt « Google Spain » la Cour de justice de l’Union européenne se prononce notamment sur le droit à l’oubli et sur l’application territoriale de la directive 95/46 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.  la Cour observe que Google Spain constitue une filiale de Google Inc. sur le territoire espagnol et, partant, un « établissement » au sens de la directive. La Cour rejette l’argument selon lequel le traitement de données à caractère personnel par Google Search n’est pas effectué dans le cadre des activités de cet établissement en Espagne. La Cour considère à cet égard que, lorsque de telles données sont traitées pour les besoins d’un moteur de recherche exploité par une entreprise qui, bien que située dans un État tiers, dispose d’un établissement dans un État membre, le traitement est effectué « dans le cadre des activités » de cet établissement, au sens de la directive, dès lors que celui-ci est destiné à assurer, dans l’État membre en question, la promotion et la vente des espaces publicitaires proposés sur le moteur de recherche en vue de rentabiliser le service offert par ce dernier.

Benoît Bellaïche
b.bellaiche@gmail.com

« Des licences pour l’Europe » ou la tentative d’assouplissement de l’application du droit d’auteur dans l’Union européenne.

commission européenne

– Les licences d’exploitation des œuvres de l’esprit sont des contrats passés entre des auteurs ou ayants droit et d’autres personnes à qui elles concèdent des droits dont ils ont acquis l’exclusivité au titre du droit d’auteur.

– En moyenne, chaque minute, 72 heures de vidéo sont chargées sur YouTube et plus de 150 000 photos sont publiées sur Facebook. Parfois, ces contenus créés par les utilisateurs «réutilisent» du matériel existant (comme les remixes, les mashups ou les vidéos faites maison avec une bande-son ajoutée) et, de ce fait, sont souvent couverts par une forme de licence octroyée par les titulaires de droits. Parallèlement, les petits utilisateurs de contenus doivent déployer une énergie considérable pour savoir comment acquérir des licences.

– Cette action de négociations qui a pour but de simplifier la pratique des utilisateurs semble être un faible palliatif à l’absence d’une véritable volonté de modification du droit d’auteur à l’ère du numérique.

En décembre 2012, la Commission européenne a adopté une communication qui tend à ce que le cadre de l’UE sur le droit d’auteur reste adapté à son objet dans l’environnement numérique.

Ce dialogue intitulé « Des licences pour l’Europe » s’est achevé le 13 novembre 2013.

Lors de la dernière séance plénière, les participants au dialogue «Des licences pour l’Europe» se sont engagé à résoudre les problèmes auxquels les citoyens européens peuvent se heurter dans quatre domaines:

-l’accessibilité et la portabilité transfrontières des services ;

-les contenus créés par les utilisateurs et l’octroi de micro‑licences ;

-le patrimoine audiovisuel ;

-la fouille de textes et de données.

« Nous devons faire preuve de pragmatisme pour progresser dans le domaine du droit d’auteur», a quant à elle déclaré Neelie Kroes, qui assure, sans avoir l’air d’y croire, que « si l’industrie parvient à concrétiser ces engagements, nous franchirons un pas supplémentaire vers la concession de licences de contenus véritablement adaptées à l’ère numérique ». Elle prévient cependant, encore, toujours, qu’il faudra « maintenant nous intéresser au rôle que la législation actualisée pourrait jouer dans l’accomplissement de nouveaux progrès ».

Plusieurs critiques sont faite, notamment par plusieurs organisations de défense des droits des internautes, comme EDRI ou la coalition Copyright For Creativity, qui ont appelé à ouvrir d’urgence ce chantier d’une révision législative du droit d’auteur. Certains estiment que la Commission européenne a utilisé ce processus « Licences for Europe », pour ne pas avoir à ouvrir à nouveau le chantier de la directive de 2001 sur le droit d’auteur et les droits voisins dans la Société de l’information.

Benoît Bellaïche
b.bellaiche@gmail.com