base de données

UTILISATION DES DONNÉES PERSONNELLES

Aujourd’hui les données à caractère personnel sont particulièrement présentes sur internet. La donnée à désormais une valeur importante pour les entreprises. Ces dernières les récoltent pour pouvoir connaître davantage leur client. Les services proposés sur internet sont majoritairement gratuits. Cela n’est pas réellement gratuit, en échange, les clients ou les internautes fournissent leurs données personnelles. Il est nécessaire de protéger ces dernières.

NOUVEAU : Utilisez nos services pour faire retirer un contenu concernant votre vie privée en passant par le formulaire !

L’importance des données personnelles ne fait qu’augmenter avec l’évolution des nouvelles technologies. L’enjeu de leur protection est crucial pour garantir la vie privée des personnes concernées.

Le législateur a donc dû intervenir. Le texte fondamental sur la protection des données en France est la loi dite « Informatique et Libertés » adoptée en 1978. Cette loi est intervenue suite à un projet du ministère de l’Intérieur. Le projet SAFARI menaçait de créer un fichier contenant toutes les données des citoyens français. Ce projet n’a donc pas vu le jour en raison de la loi informatique et liberté.


Besoin de l’aide d’un avocat pour un problème de vie privée?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Depuis, cette loi a subi de nombreuses modifications. la loi s’attache désormais à protéger chaque donnée, contenue ou non dans un fichier. En effet, des acteurs privés ont désormais la possibilité de collecter des données de manière massive et sophistiquée.

En 2016, le règlement européen sur la protection des données a été adopté.  Le règlement général sur la protection des données personnelles (RGPD) est entré en application le 25 mai 2018. Ce règlement est venu modifier la loi « informatique et libertés » en 2019.

La CNIL définit la donnée personnelle comme « Toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement, peu importe que ces informations soient confidentielles ou publiques ». De plus, l’article 6 de la loi informatique et liberté prévoit une liste des données dites sensibles. Le traitement de ces dernières est par principe interdit, en effet « Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. »

Aujourd’hui le modèle économique de plusieurs entreprises repose sur la connaissance du client par rapport à ses données personnelles. Le ciblage du consommateur est essentiel pour des services tels que les réseaux sociaux, les sites de vente en ligne ou encore les moteurs de recherche.

L’avènement des GAFAM est fondé sur ce modèle. À titre d’exemple, Facebook mise sur l’économie du « like », Amazon va de fait appuyer ses ventes sur ce que « veut » le consommateur, et notamment grâce aux algorithmes prédictifs et aux trackers. Google base également son système sur les recherches et « mots-clefs » les plus importants ayant été tapés.

Les données, une fois récoltées par ces entreprises, leur permettent de disposer d’informations importantes sur les consommateurs et leurs comportements. Cela améliore leur rentabilité.

Néanmoins, ces pratiques posent d’importantes questions au regard, notamment, du droit à la vie privée et à la confidentialité des internautes.

Au regard du caractère personnel de ces données, la loi fixe un cadre strict et des limites à l’exploitation qui peut en être faite : des sanctions administratives et pénales sont prévues en cas d’infraction. Ainsi, l’utilisation des données personnelles est contrôlée au regard des textes applicables (II) et doit respecter un certain nombre d’obligations (I).


I- Une utilisation des données à caractère personnel encadré

Un traitement est licite si la collecte des données est loyale et adéquate au regard des finalités du traitement de données qui doivent être exactes, complètes et conservées sous une forme permettant l’identification des personnes concernées. Ainsi, de nombreux principes sont posés quant à l’utilisation des données personnelles (B) ces dernières se retrouvent dans les principaux textes existant en la matière (A).

A)  Les principaux textes en la matièr

Différents textes ont le jour avant l’arrivée du règlement général sur la protection des données. Il convient de revenir sur l’évolution de la prise en compte de l’importance de cette protection.

Tout d’abord une directive a été adoptée en 1995. Il s’agit de la directive 95/46/CE. Cette dernière porte sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données.

Par la suite, cette directive s’est vue complétée en 1997, avec l’adoption d’une directive sur le secteur des télécommunications (directive 97/66/CE), ces deux directives ont modifié la loi du 6 janvier 1978 avec la loi de transposition du 6 août 2004.

De plus, la directive 2002/58/CE du 12 juillet 2002 modifiée en 2006 concernant le traitement des données personnelles dans le secteur des communications électroniques accessibles au public a été transposée dans la loi pour la confiance dans l’économie numérique et dans l’article L 34-1 du Code des postes et des communications électroniques.

La directive nommée « paquet Télécom » transposée en 2011 en droit français a également permis une meilleure prise en compte de la donnée.

La loi pour une république numérique est entrée en vigueur en 2016, avec pour objectif l’amélioration de la protection des données.

Finalement, le RGPD est entré en vigueur en 2018 après avoir été adopté en 2016. Il viendra modifier la loi informatique et liberté en 2019. Celui-ci a permis une harmonisation des règles au sein de l’Union européenne.

B)  Les principes à respecter

La loi Informatique et Liberté prévoit différents principes à respecter lorsque l’on traite de données à caractère personnel. Les données doivent être traitées de manière licite et loyale.

Les différents principes sont les suivants :

  • Le principe de licéité. La loi prévoit 6 bases de licéité de traitement en son article 5. Il s’agit du soit du : Consentement de la personne concernée ; Traitement nécessaire à l’exécution d’un contrat ; Traitement nécessaire au respect d’une obligation légale ; Traitement nécessaire à la sauvegarde des intérêts vitaux ; Traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique
  • La collecte de données doit être faite en raison d’une finalité (article 4 de la loi). Celle-ci doit être déterminée à l’avance, explicite et légitime. Ainsi, le but poursuivi du traitement doit être clair.
  • Le principe de minimisation des données. L’article 4 alinéa 3 de la loi informatique et liberté précise que les données doivent être « Adéquates, pertinentes et, au regard des finalités pour lesquelles elles sont traitées, limitées à ce qui est nécessaire » (article 4-3 LIL). La collecte doit strictement être nécessaire à la finalité poursuivie.
  • Le principe de l’exactitude des données. L’article 4 alinéa 4 de la loi énonce que les données doivent être « Exactes et, si nécessaire, tenues à jour. Toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ».
  • Le principe de la limitation de la conservation des données. L’article 4 alinéa 5 de la loi prévoit la limitation de la conservation des données, en effet, la conservation doit être limitée au regard de la finalité. Les données pourront tout de même être conservées dans certains cas. Il est possible de les conserver à des fins d’archivage dans l’intérêt public ou à des fins statistiques, historiques ou encore scientifiques. Elles devront faire l’objet d’une anonymisation. En dehors de ces cas, les données devront être effacées.
  • Les droits des personnes concernées. Il existait déjà de nombreux droits avant l’arrivée du RGPD. Il s’agit : du droit d’accès ( permettant de savoir quelles sont les données traitées et d’en contrôler l’exactitude) ; Le droit de rectification (si les données sont inexactes ou incomplètes, il sera possible de les corriger) ; Le droit à l’oubli (lorsque les données ne sont plus nécessaires au regard de la finalité poursuivie ou que la personne retire son consentement lorsqu’il s’agissait de la base de licéité) ; Le droit d’opposition ( il ne s’agit pas d’un droit automatique, il n’est possible que dans certains cas et quand des raisons le justifient, néanmoins il sera toujours possible en cas de prospection commerciale sans nécessité de motif particulier). Le règlement a également apporté de nouveaux droits : le droit à la portabilité des données (permettant de transférer les données auprès d’un responsable de traitement pour les transférer à un autre, ce droit s’appliquera si la base de licéité du traitement est basée sur le consentement ou un contrat) enfin il y a le droit de ne pas faire l’objet de décision fondée sur un traitement automatisé.

 

II- Une utilisation des données à caractère personnel contrôlée

Pour assurer la mise en œuvre des droits et des obligations instaurés par la loi de 1978, cette dernière a instauré un organisme spécialisé : la Commission nationale de l’informatique et des libertés (A). Mais, le non-respect des dispositions de la loi peut également être sanctionné par les tribunaux (B).

A)   Le contrôle exercé par la CNIL

Concernant la protection des données personnelles, la CNIL est l’autorité nationale compétente, elle dispose ainsi d’un pouvoir de sanction ainsi que de contrôle. Elle prononce des sanctions qui doivent être proportionnées et dissuasives. L’importance étant de pousser les entreprises vers la conformité.

Les sanctions qui peuvent être prononcées par la CNIL sont variées. Il y a par exemple :

  • L’injonction de se mettre en conformité
  • Un simple rappel à l’ordre
  • La limitation temporaire ou définitive du traitement
  • Le retrait d’une certification
  • Les amendes administratives

Concernant les amendes administratives, le montant évolue selon la gravité des manquements. L’amende peut s’élever à un maximum de 20 millions d’euros ou de 4 % du chiffre d’affaires mondial de l’entreprise, selon lequel est le plus important.

Les contrôles peuvent être exercés à tout moment par les agents de la CNIL. Ils pourront avoir lieu sur les lieux de l’entreprise, à distance ou en échangeant certains documents. Au cours du contrôle ils pourront interroger toutes les personnes de l’entreprise, demander une copie de tout document jugé utile. L’objectif étant de s’assurer de la conformité de l’entreprise. Ces contrôles concernent autant les grandes entreprises que les plus petites, peu importe qu’elles soient publiques ou privées. Un contrôle peut éventuellement être refusé, sauf si celui-ci a été autorisé par le juge des libertés et de la détention. Néanmoins, il est grandement conseillé de coopérer, le contrôle aura lieu dans tous les cas.

La CNIL peut s’autosaisir pour réaliser un contrôle, elle peut également intervenir après un signalement. Par la suite, la CNIL rendra sa décision, celle-ci fera soit l’état de la conformité soit elle constatera les manquements ce qui entraînera des sanctions.

B)  Le rôle des tribunaux

Le juge dispose également d’un rôle important. Il est arrivé qu’il est un point de vue différent de celui de l’autorité administrative. La CNIL a notamment refusé que la Société des auteurs, compositeurs et éditeurs de musique (SACEM) ainsi que la société pour l’administration du droit de reproduction mécanique (SRDM) mettent en œuvre un système de surveillance des réseaux d’échanges de fichiers destinés à lutter contre la contrefaçon. Le Conseil d’État lui a estimé que ce système traitant des données était proportionné au vu du volume des échanges sur les réseaux.

Le nombre d’infractions liées au traitement des données personnelles a augmenté ces dernières années en raison de l’importance actuelle des données personnelles. Ainsi, en cas de non-respect des obligations prévues par la loi, le Code pénal prévoit différentes infractions (notamment aux articles L. 226-16 à L. 226-31 pour les délits et R. 625-10 à R. 625-13 pour les contraventions).

La personne encourant des sanctions pénales est le responsable de traitement, celui-ci peut être une personne physique ou morale (article 226-24 Code pénal). La loi impose des obligations concernant les devoirs du responsable de traitement, telless que la sécurisation des traitements ou encore la conservation des données. La loi prévoit d’autre part une protection contre l’utilisation abusive des données, comme la collecte frauduleuse, déloyale ou illicite ou encore le détournement de la finalité de traitement. Ce dernier fait encourir au responsable de traitement une amende de 300 000 euros ainsi que 5 ans d’emprisonnement.

Pour lire une version plus complète de cet article sur la vie privée, cliquez

Sources :

https://www.cnil.fr/fr/la-loi-informatique-et-libertes
https://www.cnil.fr/fr/respecter-les-droits-des-personnes
https://www.cnil.fr/fr/definition/donnee-personnelle
https://www.cnil.fr/fr/assurer-votre-conformite-en-4-etapes
https://www.cnil.fr/fr/le-controle-de-la-cnil

LE VOL DE DONNÉES ÉLECTRONIQUES À CARACTÈRE PERSONNEL

Depuis quelques années, on assiste à une massification des données personnelles. Également, ces dernières ont une valeur importante. Par conséquent, elles sont la cible de nombreux vols. Les violations de données à caractère personnel sont donc très fréquentes, il convient de savoir comment réagir lorsque celle-ci intervient.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

La vie privée des personnes à qui appartiennent ces données personnelles se voit donc être impactée par les violations de données. Il est nécessaire de réagir au mieux quand une violation arrive.

Le règlement européen sur la protection des données personnelles qui est entrée en 2018 est venu encadrer cette question. Il s’inscrit dans la continuité de la Loi informatique et Liberté de 1978. En effet, il était nécessaire de renforcer la sécurité ainsi que la protection des données personnelles.

Ce règlement européen vient mettre en place un cadre juridique commun au sein de l’Union européenne.


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


La CNIL définit la donnée personnelle, comme « toute information se rapportant à une personne physique identifiée ou identifiable » peu importe qu’elle puisse être identifiée directement ou indirectement. »

Aujourd’hui, les entreprises, les hébergeurs, les sites internet détiennent un nombre très important de données sur les utilisateurs.

Le règlement général sur la protection des données personnelles (RGPD) définit en son article 4 la violation de données personnelles. Il s’agit d’une « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données »

Les responsables de traitement ont une obligation de documentation interne. Un registre doit être tenu contenant toutes les violations de données personnelles. Cette obligation est posée par le RGPD.

Également cette violation devra entraîner une notification à l’autorité compétente, mais aussi aux personnes concernées dès lors que celle-ci présente un risque élevé pour les droits et libertés des personnes.

Il est donc important de se pencher sur le processus de notification en cas de violation de données personnelles.

Le règlement prévoit ainsi les modalités concernant la notification : d’une part à l’autorité compétente (I) et d’autre part aux personnes concernées (II).

I- La notification à l’autorité compétence

Une violation de données devra faire l’objet d’une notification à l’autorité compétente par le responsable de traitement (A) il convient d’étudier le contenu ainsi que les délais de cette notification (B)

A) L’obligation de notification à l’autorité national

Dès lors qu’une violation de données personnelles a eu lieu, le responsable de traitement à une obligation de notification auprès de l’autorité nationale compétente.

Il existe de nombreux types de violation de données à caractère personnel, à titre d’illustration, voici quelques exemples de violation :

L’obligation de notification d’une violation de données à caractère personnel à l’autorité de contrôle est prévue par l’article 33 du RGPD. En France, l’autorité compétente est la CNIL.

Le règlement européen prévoit en son article 55 que c’est l’état membre qui choisit l’autorité compétente.

B) Les délais et le contenu de la notification à l’autorité nationale compétente

Il est prévu à l’article 33 du RGPD le contenu de la notification ainsi que les délais à respecter. Le responsable de traitement doit réaliser une notification auprès de la CNIL. Celle-ci doit intervenir dans les meilleurs délais, il est précisé que la notification doit être faite au plus tard 72 h après avoir eu connaissance de la violation.

La notification n’aura pas à être réalisée si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

Également, le sous-traitant devra notifier au responsable de traitement l’existence d’une violation dans les meilleurs délais. Bien que le règlement ne précise pas de délai exact, il est communément accepté que la notification doit intervenir dans les 48 h à compter de la connaissance de la violation de données personnelles.

L’article 33 du RGPD précise le contenu de la notification, il faudra alors :

« a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;

  1. b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
  2. c) décrire les conséquences probables de la violation de données à caractère personnel;
  3. d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

L’article prévoit que si les informations ne peuvent être communiquées en même temps, il sera possible de les communiquer plus tard, de manière échelonnée, sans aucun retard indu.

Enfin, le registre des violations devra être renseigné.

II- La notification aux personnes concernées

Il sera parfois nécessaire de notifier la violation de données à caractère personnel aux personnes concernées lorsque celle-ci présente un risque élevé pour les droits et libertés de ces personnes. (A) Néanmoins, dans certains cas, la notification aux personnes concernées ne sera pas nécessaire (B)

A) La nécessité d’une notification aux personnes concernées

La question de la communication aux personnes concernées de la violation de données à caractère personnel est encadrée par l’article 34 du RGPD.

Le responsable de traitement aura l’obligation de communiquer aux personnes concernées l’existence d’une violation de données personnelles si celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. La communication devra avoir lieu dans les meilleurs délais.

La communication devra préciser la nature de la violation de données à caractère personnel, mais également contenir au moins une des informations et mesures prévues à l’article 33, paragraphe b), c) et d), citées dans la partie précédente.

Enfin, cette notification devra être réalisée dans des termes simples et clairs.

B) Les cas où cette notification n’est pas nécessaire

Dans certains cas, la notification aux personnes concernées ne sera pas nécessaire. C’est l’article 34 du RGPD qui prévoit ces derniers.

Ainsi, la communication de la violation ne sera pas nécessaire si :

« a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement;

  1. b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visés au paragraphe 1 n’est plus susceptible de se matérialiser;
  2. c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace. »

De plus, si le responsable de traitement n’a pas communiqué aux personnes concernées la violation de données à caractère personnel, alors que la CNIL, après examen de la violation considère qu’elle portait bien un risque élevé que les droits et libertés pour les personnes concernées, l’autorité sera donc en mesure d’exiger que le responsable de traitement procède à la communication de la violation aux personnes concernées.

Pour lire une version plus complète de cet article sur la protection des données personnelles, cliquez

Sources :

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article4
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article34
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre6#Article55
https://www.cnil.fr/fr/les-violations-de-donnees-personnelles
https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article33

PROTEGER VOTRE BASE DE DONNEES

A l’heure actuelle, de nombreux particuliers et entreprises utilisent des bases de données informatiques pour stocker, analyser ou organiser leurs données. Mais qu’est-ce une base de données? Comment fonctionne-t-elle? Quelle est la protection qui lui est réservée ?

Au niveau européen, c’est une directive du 11 mars 1996 qui définira la  base de données comme un recueil d’œuvres de données ou d’autres éléments indépendants, disposés de manière systématique ou méthodiques et individuellement accessibles par des moyens électroniques ou d’une autre manière. Cette définition a été reprise par de nombreuses jurisprudences, notamment celles de la Cour de justice des Communautés. L’arrêt  « Fixtures Marketing Ltd c. Oy Veikkaus Ab » en est un parfait exemple.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Par ailleurs, il est à noter que la base de données est soumise à une obligation de dépôt légal. Par là, il faut comprendre que les logiciels et les bases de données sont soumis à l’obligation de dépôt légal dès lors qu’ils sont mis à la disposition du public par la diffusion d’un support matériel, quelle que soit la nature de ce support (art. L. 131-2 du Code du patrimoine). Ainsi, lors du dépôt, il faut impérativement remettre le support matériel qui permet son utilisation par le public, et également la documentation.

Il conviendra d’évoquer la protection de la base de données par le droit d’auteur (I), sa protection par le droit des producteurs (II), les exceptions liées aux interdictions (III), et enfin, les autres mesures permettant de compléter le dispositif législatif (IV).

I – La protection de la base par le droit d’auteur

En effet, la base de données peut être protégée par le droit d’auteur, à condition qu’elle soit une œuvre originale avec une forme communicable. La base de données est donc une œuvre de l’esprit.


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Aujourd’hui, un concepteur de base de données est protégé par le droit d’auteur grâce à la loi du 1 er juillet 1998 sur la protection des bases de données. Cependant, certaines conditions doivent impérativement être remplies :

Il faut deux conditions cumulatives :

-D’abord, la base de données doit exister, elle ne peut être fictive. Au sens de l’article L. 112-3 du CPI, la base doit être un recueil d’œuvres, de données ou d’autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles

-Ensuite, le concepteur ou l’auteur de la base doit investir sur sa base. De ce fait, l’investissement doit être financier, matériel ou humain substantiel pour la constitution, la vérification ou la présentation de la base de données. D’ailleurs, l’investisseur doit prouver qu’il a eu un investissement, et la preuve peut être une facture ou un contrat de travail. Toutefois, l’investissement n’englobe pas les coûts relatifs à la création des contenus de la base, mais uniquement ceux relatifs à la structure de la base.

Il faut également préciser que le concepteur doit être une personne physique pour bénéficier de la protection. Autrement dit, une personne morale ne peut bénéficier de la protection par le droit d’auteur. En ce sens, la Cour de cassation, dans une décision de 2015, a précisé « qu’une personne morale ne peut avoir la qualité d’auteur ». En effet, l’auteur est une personne physique ; il jouit du droit au respect de son nom, de sa qualité et de son œuvre. Ce droit est attaché à sa personne. Il est perpétuel, inaliénable et imprescriptible. Il est transmissible à cause de mort aux héritiers de l’auteur (art. L. 121-1 du CPI).

II – La protection par le droit des producteurs

L’auteur d’une base de données est non seulement protégé par le droit d’auteur, mais aussi par le droit des producteurs. En effet, le droit des producteurs découle en quelque sorte du droit d’auteur. Le droit des producteurs n’est rien d’autre qu’un droit sui generis dont le nom a pu varier d’un texte à un autre ; grosso modo c’est le droit d’empêcher l’extraction indue du contenu de la base de données ; droit d’empêcher l’extraction déloyale ; droit d’interdire l’extraction et/ou la réutilisation du contenu de la base. Il se ressemble beaucoup à la protection accordée par le droit d’auteur.

D’ailleurs, le considérant 39 de la directive du 11 mars 1996 précise que : « Considérant que, en plus de l’objectif d’assurer la protection du droit d’auteur en vertu de l’originalité du choix ou de la disposition du contenu de la base de données, la présente directive a pour objet de protéger les fabricants de bases de données contre l’appropriation des résultats obtenus de l’investissement financier et professionnel consenti par celui qui a recherché et rassemblé les données, en protégeant l’ensemble ou des parties substantielles de la base de données contre certains actes commis par l’utilisateur ou par un concurrent ; »

Cette protection accorde des droits au producteur de la base de données :

-Droit d’interdire l’extraction ou la réutilisation d’une partie quantitativement substantielle de sa base qui se calcule selon le volume de données extrait.

-Droit d’interdire l’extraction ou la réutilisation d’une partie qualitativement substantielle de sa base qui se détermine selon la pertinence et la nature de la partie structurelle manipulée. La reproduction d’intitulés d’un site internet est une extraction qualitativement substantielle.

-Droit d’interdire l’extraction ou la réutilisation répétée et systématique de la totalité des contenus de la base.

Toute extraction illicite, non autorisée par l’auteur de la base de données est sanctionnée civilement par des dommages-intérêts, et pénalement par trois ans d’emprisonnement et 300 000 euros d’amende. Ces dommages-intérêts pouvaient monter très haut comme dans l’affaire de l’annuaire électronique déjà rencontrée où France Télécom obtînt, en 1999, 100 millions de francs (soit environ 15 millions d’euros).

Cependant, le producteur d’une base de données ne peut interdire l’extraction et la réutilisation par mise à disposition de la totalité ou d’une partie de la base dans les conditions prévues à l’article L. 132-4 ». (art. L. 132-6 Code du patrimoine). C’est un tempérament du principe d’interdiction.

Par ailleurs, les prérogatives d’un producteur de base de données sont limitées à 15 ans à partir de la première mise à disposition au public et ce délai est renouvelé à chaque nouvel investissement substantiel sur la base (art. L. 342-5 du Code de la propriété intellectuelle).

III – Les exceptions aux interdictions

A – Une interdiction non absolue

Il n’y a pas une interdiction absolue, donc tout n’est pas interdit.

En vertu de l’article L. 342-3 du Code de la propriété intellectuelle :

« Lorsqu’une base de données est mise à la disposition du public par le titulaire des droits, celui-ci ne peut interdire :

1oL’extraction ou la réutilisation d’une partie non substantielle, appréciée de façon qualitative ou quantitative, du contenu de la base, par la personne qui y a licitement accès ;

2o L’extraction à des fins privées d’une partie qualitativement ou quantitativement substantielle du contenu d’une base de données non électronique sous réserve du respect des droits d’auteur ou des droits voisins sur les œuvres ou éléments incorporés dans la base ;

3o L’extraction et la réutilisation d’une base de données dans les conditions définies au 7o de l’article L. 122-5, au 1º de l’article L. 122-5-1 et à l’article L. 122-5-2 ;

4o L’extraction et la réutilisation d’une partie substantielle, appréciée de façon qualitative ou quantitative, du contenu de la base, sous réserve des bases de données conçues à des fins pédagogiques et des bases de données réalisées pour une édition numérique de l’écrit, à des fins exclusives d’illustration dans le cadre de l’enseignement et de la recherche, à l’exclusion de toute activité ludique ou récréative, dès lors que le public auquel cette extraction et cette réutilisation sont destinées est composé majoritairement d’élèves, d’étudiants, d’enseignants ou de chercheurs directement concernés, que la source est indiquée, que l’utilisation de cette extraction et cette réutilisation ne donne lieu à aucune exploitation commerciale et qu’elle est compensée par une rémunération négociée sur une base forfaitaire ;

5oLes copies ou reproductions numériques de la base réalisées par une personne qui y a licitement accès, en vue de fouilles de textes et de données incluses ou associées aux écrits scientifiques dans un cadre de recherche, à l’exclusion de toute finalité commerciale. La conservation et la communication des copies techniques issues des traitements, au terme des activités de recherche pour lesquelles elles ont été produites, sont assurées par des organismes désignés par décret. Les autres copies ou reproductions sont détruites.

Toute clause contraire au 1º ci-dessus est nulle.

Les exceptions énumérées par le présent article ne peuvent porter atteinte à l’exploitation normale de la base de données ni causer un préjudice injustifié aux intérêts légitimes du producteur de la base. ».

B – Un droit cessible

C’est l’article L. 342-1 du Code de la propriété intellectuelle qui le dit, en son alinéa 3 :

« Ces droits peuvent être transmis ou cédés ou faire l’objet d’une licence »

IV- Des mesures permettant de compléter le dispositif législatif

À part la protection accordée par le droit d’auteur et le droit des producteurs, l’auteur d’une base de données peut aussi adopter des mesures permettant de renforcer sa protection. Ainsi, l’utilisation de plateformes informatiques permettant d’empêcher techniquement d’éventuelles extractions massives de la base est à ce titre recommandée.

Ensuite, la surveillance systématique et régulière du nombre et de la durée des connexions est recommandée. Ça peut permettre de prévenir une extraction d’une partie importante de la base. Et enfin, en dernier recours, et en cas d’atteinte à ses droits, l’auteur d’une base de données peut saisir les juridictions compétentes.

Pou rlire une version plus complète de cet article sur la protection des bases de données, cliquez

SOURCES :

https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000000889132
https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX%3A62002CJ0203
https://eur-lex.europa.eu/legal-content/fr/TXT/?uri=CELEX:62010CJ0604

Intelligence artificielle

Woody Allen l’a dit : “L’intelligence artificielle se définit comme le contraire de la bêtise humaine”. Cette phrase, à moitié pleine d’ironie, cache en réalité un constat indéniable : celui d’une avancée exponentielle en la matière.

La peur que les machines surpassent les hommes, est avec l’intelligence artificielle, une crainte bien réelle. Quand est-il lorsque cette machine crée un dommage ? Qui peut être tenu responsable ?

NOUVEAU ! Pour tenter de faire supprimer un contenu qui pénalise vos droits, vous pouvez utiliser le service d’envoi de lettre de mise en demeure mis en place par le cabinet Murielle-Isabelle CAHEN.

Ces dernières années, l’intelligence artificielle s’est particulièrement développée et a été au cœur de nombreuses avancées. On peut notamment citer un exploit récent réalisé par l’intelligence artificielle AlphaGo créée par la société Deepmind, qui a, en 2016 été capable de batte le champion du monde de Go Lee Sedol. Ce jeu de plateau était pourtant réputé “impraticable” par une machine du fait des innombrables combinaisons possibles.

Même si ces nouvelles technologies fascinent, elles ne sont pas sans risque.

C’est donc naturellement qu’un débat autour de l’intelligence artificielle et plus précisément de la détermination du responsable (sur le plan civil comme pénal) dans le cadre d’un dommage causé par l’intelligence artificielle, ne fait pas encore consensus (I), il est pourtant essentiel de trouver une solution à des litiges de plus en plus fréquents (II).

I) Les enjeux du débat sur la responsabilité

Premièrement, nous devons définir précisément l’intelligence artificielle, et de ses différentes déclinaisons (A), pour ensuite se pencher sur la façon la plus pragmatique de définir le responsable en cas de litige (B).

A) L’intelligence artificielle : qu’est ce que c’est ?

Naturellement il convient avant toute chose de définir l’intelligence artificielle. Le terme générique caractérise en effet “l’ensemble de théories et de techniques mises en œuvre en vue de réaliser des machines capables de simuler l’intelligence” .

La paternité du terme d’intelligence artificielle est attribuée à John McCarthy. Ce terme a par la suite été défini par son compère Marvin Lee Minsky comme “la construction de programmes informatiques qui s’adonnent à des tâches qui sont, pour l’instant, accomplies de façon plus satisfaisante par des êtres humains, car elles demandent des processus mentaux de haut niveau […]”.

Cette définition résonne tout particulièrement, en ce que la notion de temporalité y est parfaitement encadrée. “Pour l’instant” : le mot est lâché, et il sonne toujours plus vrai aujourd’hui puisque le progrès scientifique en la matière n’a jamais été aussi rapide et d’actualité.

Le propre de l’intelligence artificielle est d’emmagasiner de nombreuses connaissances et de constituer une base sur laquelle se fonder pour réaliser les tâches demandées, grâce à ses interactions avec l’environnement et son “expérience”.

“Tay”, l’intelligence artificielle de Microsoft, est un “chatbot” qui fut lancée par l’entreprise sur le réseau Twitter et répondant parfaitement à cette définition en ce que sa mission consistait à discuter avec les internautes en s’inspirant du langage, du savoir et du comportement de ces derniers à son égard.

Pour autant, les concepteurs retirèrent du réseau le programme, après que celui-ci ait tenu des propos racistes et diffamatoires à l’encontre de la communauté, qui s’amusait à tester ses limites en faussant son apprentissage.


Besoin de l’aide d’un avocat pour un problème d’intelligence artificielle ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien_


L’intelligence artificielle se caractérise par le stockage de vastes quantités de connaissances et, par son interaction avec l’environnement et son «expérience», constitue la base pour l’exécution des tâches requises.

Microsoft a développé un « chatbot » nommé « Tay ». C’est sur le réseau social Twitter qu’elle a été lancée. La mission de cette IA consistait à discuter avec les utilisateurs tout en s’inspirant de leur langage et de leur comportement. Cependant, ce programme a été retiré du réseau social rapidement.

Cependant, après que le programme ait tenu des propos racistes et diffamatoires sur la communauté, les concepteurs ont retiré le programme du réseau

Ce cas, parmi tant d’autres, illustre parfaitement les dérives liées à l’intelligence artificielle, et pose donc la question de savoir : qui est responsable ??

Le Parlement européen, dans une résolution en date du 12 février 2019 sur « la politique industrielle européenne globale sur l’intelligence artificielle et sur la robotique », tente de définir la notion d’IA et le régime juridique qui doit lui être applicable. Le Parlement abandonne l’idée de donner à l’intelligence artificielle une personnalité juridique et vient plus observer les conséquences de l’intelligence artificielle sur le régime de responsabilité civile, par exemple. En effet, le droit de la responsabilité civile doit être adapté pour « tenir compte de l’intelligence artificielle et de la robotique ».

Dans un projet de règlement sur l’IA présenté en avril 2021, l’Union européenne vient confirmer cette position et refuse d’accorder la personnalité juridique à l’IA.

Ce projet apporte tout de même un certain cadre juridique. Il est prévu plusieurs niveaux d’intelligence artificielle selon les risques de cette dernière sur l’humain. Le premier niveau correspond aux IA avec un risque inacceptable. Ces IA sont interdites en raison de leur système qui pourrait par exemple « manipuler les personnes au moyen de techniques subliminales afin de modifier leur comportement ce qui causerait un préjudice à la personne ou un tiers ». Ce type d’IA concerne également le scoring social portant une atteinte disproportionnée à la liberté des personnes.

Le second niveau concerne les IA avec un risque élevé. Elles sont autorisées, mais elles doivent s’accompagner de mesures importantes pour démontrer que cette IA est bien conforme aux mesures de sécurité imposées en raison du niveau élevé de risque. Le troisième niveau est l’IA à faible risque, elle devra respecter un guide de conduite. Le dernier niveau concerne les IA à risques minimes qui ne font l’objet d’aucune exigence.

B) Comment déterminer un responsable ?

Par définition, et comme l’affirment certains, “la responsabilité civile du fait d’un individu ou d’une chose est inhérente à l’action humaine […] Seul l’individu est responsable de ses décisions conduisant aux actes et aux conséquences malencontreuses induites par la faillibilité humaine” .

Dès lors, la responsabilité du fait des choses place aujourd’hui l’objet sous la garde de celui qui en dispose par un pouvoir d’usage, de direction et de contrôle, et responsabilise donc ce dernier lorsque l’objet en question se trouve impliqué dans le fait dommageable.

Une telle réflexion pose problème, en effet, bien qu’elle s’applique parfaitement à toutes sortes d’objets, elle n’est pas adaptée à l’intelligence artificielle, car par définition, l’homme n’a pas (pleinement, du moins) les pouvoirs précités.

Le problème d’une telle réflexion, c’est qu’elle s’applique parfaitement à toute sorte d’objets, mais pas vraiment à l’intelligence artificielle sur lequel, par définition, l’homme n’a pas (pleinement, du moins) les pouvoirs précités.

L’intelligence artificielle, amenée à fonctionner de manière autodidacte, conserve naturellement cette part d’indétermination et d’imprévisibilité qui met en péril une telle responsabilisation de l’homme.

Stéphane Larrière affirme très justement que : “Dès lors, l’homme laisse la main à l’intelligence artificielle dans l’exercice de ses facultés augmentées par ce complément cognitif : il se réalise alors une sorte de délégation conférée à la machine pour décider et faire à sa place”.

Par conséquent, le régime qui semble être le plus favorable est celui de la responsabilité sans faute, celle du fait d’autrui, celle “permettant d’imputer les frais du dommage à celui qui était le mieux placé, avant le dommage, pour contracter l’assurance destinée à garantir le risque” (G. Viney, Introduction à la responsabilité, Traité de droit civil, LGDJ 2008, p.40).

Néanmoins, au vu de la multitude de cas possibles, cette détermination n’est pas des plus aisée.

Le rapport de la Commission européenne portant sur les conséquences de l’intelligence artificielle, de l’internet des objets et de la robotique sur la sécurité s’est attelé à la question de la responsabilité. La Commission retient que « bien que la directive sur la responsabilité du fait des produits donne une définition large de la notion de produit, celle‑ci pourrait être précisée pour mieux traduire la complexité des technologies ». Par conséquent, la Commission européenne considère qu’en matière d’intelligence artificielle,  le régime de la responsabilité du fait des choses n’a pas à s’appliquer.

II) Un débat de plus en plus fréquent

Si les accidents liés aux voitures autonomes sont fréquents ces derniers temps (A), ne sont pas à exclure les risques liés aux autres formes d’intelligences artificielles (B).

A) Le cas des voitures autonomes

La détermination d’une telle responsabilité est un débat que l’actualité place régulièrement sur le devant de la scène médiatique, et souvent pour le pire. C’est le secteur de l’automobile qui en fait les frais aujourd’hui ; deux accidents auront marqué les esprits ces dernières semaines.

Le premier, survenu le 19 mars dernier en Arizona, concerne l’entreprise Uber. Suite à des tests sur la voie publique, l’un de ses modèles autonomes a percuté un piéton, décédé par la suite de ses blessures.

Le système de l’automobile mis en cause, n’ayant pas activé le système de freinage avant l’impact, a contraint la société de suspendre ses activités dans le domaine . Pour autant, celle-ci soutient que l’automobiliste est à mettre en cause dans l’affaire.

Le deuxième accident récent concerne cette fois-ci Tesla et son modèle X, au volant de laquelle est décédé un conducteur 4 jours après le drame précédent.

Encore une fois, l’autopilote se trouve au cœur des débats, et si la famille de la victime accuse l’entreprise, celle-ci se dédouane de toute responsabilité en soulignant que la victime “n’avait pas les mains sur le guidon au moment de l’accident”, et contre toute indication de la voiture l’invitant à prendre de telles mesures.

Le 12 février 2019, le Parlement européen a rendu une résolution dans laquelle elle vient aborder la question des voitures automatiques en disposant que « la prévalence de véhicules autonomes présentera des risques […] de défaillances techniques et va transférer à l’avenir la responsabilité du conducteur vers le fabricant, imposant aux compagnies d’assurances de modifier la manière dont elles intègrent le risque dans leur souscription ».
Ces affaires mettent en lumière tout l’enjeu de l’autonomie de l’intelligence artificielle face au pouvoir de contrôle du conducteur sur la chose, dans la détermination du responsable du fait dommageable.

Le 14 avril 2021, une ordonnance est venue prévoir un nouveau régime de responsabilité pénale applicable pour les véhicules à délégation de conduite. Par la suite, le gouvernement a précisé par décret le 29 juin 2021  les modalités d’application de l’ordonnance.

L’article 123-1 du Code de la route prévoit désormais que la responsabilité pénale du conducteur ne sera pas retenue dans le cas où l’infraction commise serait le résultat d’une manœuvre d’un véhicule dont les fonctions sont totalement déléguées à un système automatisé, si, au moment des faits ce système exerçait le contrôle dynamique du véhicule.

L’article 123-2 de ce même Code prévoit en revanche que la responsabilité pénale du constructeur sera quant à elle retenue. Le constructeur est tenu responsable des atteintes involontaires à la vie et à l’intégrité des personnes. Sa responsabilité sera retenue, si l’existence d’une faute est établie au moment où l’IA exerçait le contrôle dynamique du véhicule. Également,  dès lors qu’il y a un défaut de conception, le constructeur sera tenu responsable.

B) D’autres risques potentiels à envisager

Il existe également d’autres circonstances ou les questions de responsabilité civile ou pénale se posent.

L’exemple de l’intelligence artificielle “Tay” qui a déjà été cité laisse penser que l’on pourrait voir un jour survenir un litige portant sur des propos dénigrants, voir du harcèlement avec pour origine de ces délits, l’intelligence artificielle.

Il faut également se questionner sur les assistants personnels intelligents comme Siri, Alexa, ou encore Google Home, définis comme des  “agents logiciel qui peuvent effectuer des tâches ou des services pour un individu” .

L’utilisation quotidienne qui est faite de ces technologies par leur propriétaire repose sur le fait d’effectuer des actions simples (lancer une playlist, envoyer un message ou encore passer un appel). Cependant, ces assistants personnels intelligents peuvent aussi  être utilisés pour effectuer des recherches plus complexes, avec degré d’importance de la réponse qui peut varier, et par conséquent avoir un impact plus ou moins grave en cas d’erreur.

Une actualité récente démontre bien ces risques. En effet, en décembre 2021, c’est l’assistant vocal d’Alexa qui s’est retrouvé au cœur d’une polémique. Ce dernier a dû faire l’objet d’une mise à jour d’urgence par Amazon. Un enfant avait demandé à Alexa de lui proposer des défis à réaliser. L’assistant intelligent d’Amazon a proposé à l’enfant de jouer avec une prise électrique.

Bien que l’enfant se porte bien aujourd’hui, cette affaire force à se poser des questions quant à la responsabilité des assistants personnels intelligents.

Ces technologies vont être utilisées dans des domaines tels que le médical par exemple qui ne laisse pas de place à l’erreur. La question sur la détermination d’un responsable pourrait se poser, dans le cas où la machine apporterait un résultat erroné à un calcul. Mais la question est complexe, car bien souvent, de toute façon, ce calcul n’était pas réalisable par l’Homme.

On en revient à cette idée de délégation soulevée plus haut. Reste à savoir quels critères prédomineront en la matière, à mesure des avancées technologies, mais aussi, malheureusement, à mesure de la variété des accidents…

Pour lire une version plus adaptée au mobile de cet article sur l’intelligence artificielle, cliquez

SOURCES :
(1) http://www.larousse.fr/encyclopedie/divers/intelligence_artificielle/187257
(2) http://laloidesparties.fr/responsabilite-ia
(3) G. Viney, Introduction à la responsabilité, Traité de droit civil, LGDJ 2008, p.40
(4) https://www.numerama.com/business/336940-uber-suspend-ses-activites-dans-la-voiture-autonome-apres-un-mort.html
(5) https://fr.wikipedia.org/wiki/Assistant_personnel_intelligent
Résolution du Parlement européen du 12 février 2019 sur une politique industrielle européenne globale sur l’intelligence artificielle et la robotique
https://www.europarl.europa.eu/doceo/document/TA-8-2019-0081_FR.html
Livre Blanc sur l’intelligence artificielle du 19 février 2020
https://ec.europa.eu/info/sites/default/files/commission-white-paper-artificial-intelligence-feb2020_fr.pdf
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000043370894
https://www.legifrance.gouv.fr/codes/section_lc/LEGITEXT000006074228/LEGISCTA000043371833/#LEGISCTA000043371833