europe

LA PROTECTION DES DONNÉES MÉDICALES

Aujourd’hui, la quasi-totalité des objets dispose d’une connexion à l’Internet. Dans cette société du tout connecté où les flux sont incessants, une catégorie de données reste cependant sujette à une attention particulière : les données dites personnelles, regroupant en leur sein les données médicales.

NOUVEAU : Utilisez nos services pour faire protéger vos données personnelles et/ ou médicales en passant par le formulaire !

Tout d’abord, il apparaît plus aisé de définir plus précisément ce que l’on entend par une donnée médicale. Dans un premier temps, cette donnée médicale n’est pas nécessairement informatique : une donnée médicale peut en effet être archivée sous la forme d’un écrit.

Il en va ainsi des certificats médicaux ou des ordonnances. De plus, dans le cas où un professionnel de santé décide de recourir à l’utilisation d’un magnétophone pour enregistrer des constats sur l’état de santé d’un de ses patients, on est également en présence de données médicales. Ainsi, le terme de donnée médicale englobe tout ce qui a attrait à une méthode de conservation de l’état de santé d’un patient : la question de la protection des données médicales, avec les règles de déontologie et de respect de la vie privée s’y afférant, n’est donc pas récente.

La CNIL est revenue récemment sur la définition des données médicales, notamment au regard du grand texte européen en matière de protection des données personnelles qui s’apprête à entrer en vigueur. Elle affirme que « Les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne ».


Besoin de l’aide d’un avocat pour un problème de protection de données ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


D’ailleurs, cette définition est d’autant plus intéressante qu’aucun texte juridique européen, jusqu’alors, n’encadrait précisément le contour des données médicales, travail laissé au juge lors de ses rendus.

Une telle définition apparaît des plus nécessaires puisque nos données médicales transitent effectivement par le biais des nouvelles technologies, les services de santé (comme presque tous les domaines sociaux aujourd’hui d’ailleurs) étant progressivement dématérialisés.

Or l’évolution fulgurante des technologies informatiques peut constituer un danger pour la protection des données médicales. Ainsi, ces données médicales peuvent se voir perdues, corrompues, détruites, voire même détournées. Ainsi, le récent cas de suicide du prévenu suspecté d’avoir volé le dossier médical de Michael Schumacher rappelle que les données médicales, du fait de leur caractère éminemment personnel, restent des données sensibles devant faire l’objet d’une protection particulière.

Force est de constater que la France est pionnière en la matière puisqu’elle dispose de ce fait d’un régime juridique protégeant l’ensemble des données personnelles. Ce régime date de la loi du 06 janvier 1978. L’objectif principal de cette loi est d’assurer la sécurité du traitement des données à caractère personnel. Parmi ces dernières on y trouve les données médicales qui font également l’objet de dispositions particulières. En effet, le législateur a jugé que ces données étant sensibles par nature, il était nécessaire d’y accorder une protection spécifique. Ainsi, le code de la santé publique protège les données médicales, et notamment leur traitement par les professionnels de santé.

Une donnée informatique est, par définition, immatérielle. Elle suppose donc une localisation sur un serveur. Hélas, dans le cas où un ressortissant français tombe malade dans un pays étranger et est soigné là bas, ses données médicales ne seront pas situées sur le territoire national. La loi française ne s’appliquant que sur le territoire français, le régime de protection des données médicales pourra se voir alors modifié, et certaines atteintes à la confidentialité de données médicales seront peut-être tolérées alors qu’elles constituent une infraction au droit français.

Dès lors, quelle est la réelle portée juridique de la protection des données médicales à la fois sur le plan national et international ? L’évolution récente de certaines technologies informatiques peut-elle rentrer en contradiction avec la confidentialité de données si sensibles ?

I. Une protection des données médicales encadrée au plan national

La France possède un régime juridique particulier sur la protection des données médicales particulièrement efficace. De plus, la CNIL assure une surveillance particulière des dites données et elle délivre régulièrement des informations pratiques destinées à renseigner les professionnels de la santé.

A. Un cadre juridique et réglementaire efficace

La France s’est doté la première d’un régime juridique spécifique aux données personnelles et à l’utilisation des données personnelles. En effet, la loi dite informatique et Liberté promulguée le 06 janvier 1978 a pour objet spécifique de protéger le traitement des données à caractère personnel.

Le caractère sensible de cette catégorie de données, qui permet ainsi de catégoriser les individus en fonction de leurs ethnie, sexe, état de santé, etc.…, justifie à lui seul la mise en place d’une protection. Si cette loi s’attache à traiter de la protection de l’ensemble des données dites à caractère personnel, la loi dite “Kouchner” promulguée le 4 mars 2002 a pour objet de s’intéresser particulièrement aux données médicales.

A cet effet, l’article L. 1111-7 du code de la santé publique met en place pour les patients les conditions d’accès à leurs données relatives à leur santé. Lorsqu’un individu souhaite avoir accès à n’importe quel document dont le contenu est relatif à son état de santé (par exemple une feuille de consultation ou une ordonnance médicale), ce dernier peut demander directement ou par le biais d’un médecin l’accès à ce document. Il est une fois de plus intéressant de noter que la loi rappelle le caractère à la fois informatique ou non d’une donnée dite médicale : l’interprétation de la loi ne peut ainsi pas permettre d’abus de langage allant dans le sens d’une stricte interprétation informatique du terme de “donnée”.

Toutefois, l’article L. 1111-8 du code de la santé publique s’attache plus précisément à la licéité de l’hébergement et du traitement de données de santé. Ainsi, dans le cadre d’opérations de soins ou de diagnostic, les données de santé récupérées peuvent uniquement être hébergées auprès de personnes physiques ou morales qui sont agréées à cet effet.

D’ailleurs, cet hébergement de donnée de santé ne peut être effectué qu’après consentement exprès de la personne concernée. Enfin, les dispositions du code de la santé publique rappellent que le traitement de telles données doit évidemment respecter les conditions posées par la loi informatique et Libertés. Ainsi, aux vues de tout ce qui a été énoncé, la France s’est progressivement dotée au fur et à mesure des années d’outils juridiques efficaces dans la protection et surtout dans la prévention des atteintes potentielles portées aux données médicales.

Les professionnels de la santé sont ainsi encadrés lorsqu’ils sont amenés à traiter avec des données médicales. Par exemple, un pharmacien stocke des données issues de la lecture d’une carte vitale d’un patient sur des serveurs spécialement habilités à recevoir des données à caractère personnel. De plus, le secret médical imposé par la déontologie des professions relatives au milieu de la santé interdit toute divulgation de donnée médicale à autrui sans accord de ce dernier ou au détriment des conditions posées par la loi.

A ce titre, même si la loi pose des interdictions et des conditions de traitement des données médicales qui sont claires, le rôle de la CNIL dans le traitement de telles données reste non négligeable puisqu’elle assure un suivi “pratique” dans le suivi des données.

Sur ce point du traitement des données médicales d’ailleurs, le cadre légal en vigueur s’est doté, depuis le 26 janvier 2016, de nouvelles dispositions grâce l’entrée en vigueur de la « loi de modernisation de notre système de santé ».

S’agissant de la grande nouveauté de ce texte, elle figure essentiellement au niveau l’allègement des coûts de procédures d’agrément pour l’Etat, qui délègue désormais ce rôle à des organismes certificateurs privés exerçant par voie d’audit.

De plus, on parle désormais du secteur « médico-social » concerné par ces dispositions, ouvrant plus largement la voie à un tel contrôle (incluant de fait les établissements pour personnes âgées, les foyers d’accueil, etc.).

Le 25 mai 2018 est entrée en vigueur une nouvelle réglementation qui traite notamment des données personnelles. Il s’agit du règlement général sur la protection des données, RGPD. Entre autres, Il prévoit un allègement des formalités préalables. Pour certains traitements comportant des données de santé, les formalités à effectuer auprès de la CNIL sont ainsi supprimées.

Au total 9 traitements bénéficient de cette suppression de formalités comme les traitements nécessaires à la sauvegarde de la vie humaine, les traitements pour lesquels la personne concernée a donné son consentement exprès ou encore les traitements nécessaires à la médecine préventive.

Ces interventions médicales pourront donc être effectuées sans aucune formalité auprès de la CNIL (Commission nationale de l’informatique et des libertés). En revanche le responsable doit pouvoir démontrer à tout moment la conformité de ces actes avec le RGPD en retraçant toutes les démarches entreprises. Un certain nombre d’obligations lui incombera de ce fait. Un registre des traitements récapitulant l’ensemble des traitements doit être mis en place. Pour les traitements présentant un risque élevé une analyse d’impact doit être menée. L’information des personnes doit être encadrée et l’effectivité de leurs droits doit être assurée.

B. Des recommandations pratiques délivrées par la CNIL

La CNIL a pour objet spécifique de protéger les données personnelles ainsi que de préserver les libertés individuelles de chaque individu. À ce titre, la CNIL accorde une attention particulière à la manière dont sont effectués des traitements de données à caractère personnel.

Ainsi, la CNIL utilise souvent des recommandations faites aux entreprises ou aux professionnels concernés afin de rappeler les pratiques idéales à effectuer suivant la situation. Dans le cas de la protection des données médicales, la CNIL s’est prononcée sur les modalités optimales à adopter dans le cas où un professionnel de santé héberge ou traite des données médicales.

La CNIL commence par rappeler la nécessité première de maintenir le degré de confidentialité des données de santé au même rang que celui du secret médical. Pour se faire, la CNIL donne des indications d’ordre technique qui, si elles peuvent paraître acquises pour de plus en plus de gens aujourd’hui au regard de l’ouverture du milieu informatique au grand public, reste nécessaire, voire indispensables dans certains cas, pour s’assurer d’un minimum de sécurité sur les données hébergées.

Dans un premier temps, la CNIL donne des recommandations relatives à la sécurité informatique minimale à adopter : un mot de passe doit être mis en place sur l’ordinateur et ce dernier doit faire l’objet d’un arrêt complet à chaque absence du professionnel de santé.

Il est recommandé par la CNIL de ne jamais faire de copie de son mot de passe pouvant être lu ou intercepté par un tiers non autorisé à accéder au système informatique. A ce titre, rappelons simplement que la simple intrusion dans un système informatique sans autorisation constitue à lui seul un délit pénal. De plus, la CNIL recommande pour le professionnel médical de disposer de supports de sauvegardes externes permettant d’éviter la perte de données.

Si un client venait à vouloir consulter ses données médicales et que le professionnel est dans l’incapacité de lui fournir, il se rendrait coupable d’un acte illicite, et ce même si la perte de données est liée à un problème technique ou ne dépendant pas de sa volonté.

Si la CNIL prend la peine de rappeler des points qu’elle considère elle-même comme étant des dispositions de sécurité élémentaires, elle s’attarde également sur le cas où un traitement de données médicales fait l’objet d’une mise en réseau.

Dans un tel cas de figure, la CNIL recommande alors une gestion plus poussée des mots de passe : ces derniers doivent être distincts suivant l’utilisateur qui utilise l’ordinateur (par exemple chaque pharmacien devrait, pour un unique poste informatique dans un office, avoir son propre identifiant et son propre mot de passe) et trois erreurs consécutives doivent, à l’instar des erreurs lors de l’entrée d’un code PIN erroné, bloquer le système.

De plus, la CNIL ne recommande pas à ce qu’un compte d’un utilisateur puisse être ouvert sur plusieurs postes différents : cela signifie ainsi que le professionnel médical n’est pas présent devant l’un de ses postes, ce qui rend accessible les données à un tiers. De plus, les données médicales doivent faire l’objet d’un cryptage : c’est obligatoire pour les données personnelles. Ainsi, outre une intégrité des données qui doit constamment être vérifiée au plan informatique, la confidentialité de ces dernières doit être assurée par un chiffrement total ou partiel des données nominatives en fonction des cas. Enfin, dans le cas où l’accès au réseau se fait via Internet, un système de pare-feu est hautement recommandé pour prévenir de toute tentative d’interception des données médicales lorsque ces dernières font l’objet d’un flux.

La CNIL délivre également des recommandations à l’égard de ceux qui traitent ces données de santé notamment en ce qui concerne l’information due aux personnes dont les données sont collectées. Cette information est obligatoire afin que ces personnes conservent la maîtrise de leurs données. Cette obligation est prévue par le RGPD.

Ainsi c’est au responsable de traitement d’informer les personnes sur le traitement de leurs données. Il est nécessaire que cette information soit divulguée de façon concise, transparente, compréhensible et aisément accessible. Le but étant qu’elle soit le plus intelligible possible notamment pour le grand public. Pour satisfaire cette condition, il faudra aller à l’essentiel tout en faisant en sorte que toutes les mentions obligatoires soient dans le document servant à la délivrance de l’information.

Le responsable de traitement est libre quant au support choisi pour délivrer l’information. Toutefois certains supports sont également plus favorables à la compréhension de l’information par le public. Certaines techniques peuvent aussi être utilisées pour atteindre cet objectif comme l’utilisation de pictogrammes, le surlignage des informations importantes ou le recours à la vidéo.

L’information doit aussi être adaptée à la pathologie de la personne, à son âge et aux circonstances dans lesquelles les données ont été recueillies. Les mineurs doivent ainsi bénéficier d’une information spécifique tout comme les personnes vulnérables.

Il convient de rappeler qu’en mars 2021, un fichier contenant les données médicales de près de 500 000 personnes a été publié en ligne à leur insu. À la suite de cela, le tribunal judiciaire de Paris, le 04 mars 2021, avait ordonné le blocage sans délai de l’accès au site hébergeant le fichier en question aux principaux fournisseurs français d’accès à internet.

En septembre 2021, la CNIL a été informée de la fuite de données de l’Assistance Publique-Hôpitaux de Paris (AP-HP) qui concernent 1,4 million de personnes testées contre la COVID-19 en 2020. En outre, le secrétaire d’État au Numérique Cédric O avait expliqué le 17 février 2021, devant l’Assemblée nationale que, désormais, une cyberattaque visant un hôpital a lieu chaque semaine.

Récemment, lors du dernier Forum international de la cybersécurité (FIC) à Lille, les experts ont réaffirmé qu’en matière de santé, les règles de sécurité informatique sont insuffisamment appliquées. A cet égard, plusieurs failles ont été mises en exergue telles que les compétences insuffisantes en matière de cybersécurité chez les sous-traitants des établissements médicaux, les logiciels de santé dépassés en matière de cybersécurité et les systèmes d’information qui ne sont pas actualisés depuis des années.

Bien que la France dispose d’un arsenal protecteur conséquent pour assurer la confidentialité et l’intégrité des données médicales, l’internet n’a pas de frontières, et certaines données peuvent être amenées à transiter dans des états étrangers. La protection des données médicales devient alors beaucoup plus incertaine.

II. Une protection des données médicales incertaine au plan international

La loi française n’est applicable en France : il s’agit du principe de territorialité des lois qui reste immuable quel que soit le cas de figure, sauf exception prévue dans des conditions strictes. À ce titre, certaines législations internationales semblent ne pas accorder autant d’importance à la protection des données personnelles. De plus, l’ouverture des réseaux au monde entier amène à un risque : le législateur n’a pas le temps d’adapter la loi à la technique informatique.

A. Une absence de concertation internationale préjudiciable

Il est à noter que la majorité des autres états étrangers n’adopte pas de position hostile par rapport à la protection des données personnelles, bien au contraire. Ainsi, concernant les états européens, la plupart de ces derniers ont adopté une CNIL (ou un équivalent) permettant ainsi une certaine uniformisation de la protection des données personnelles, et donc par ce biais des données médicales.

Lorsqu’un traitement de données personnelles d’un citoyen français doit être effectué dans un pays étranger, un accord de la CNIL est obligatoire. Il reste assez rare que des données médicales soient transférées sans raison précise dans des serveurs étrangers. Cependant, il existe des cas de figure où des données médicales d’un ressortissant français peuvent être amenées à être traitées dans un pays étranger à l’Union européenne.

L’exemple des États-Unis constitue peut-être le meilleur exemple de risque d’atteinte à la protection des données médicales d’un citoyen français. Prenons le cas où lors du séjour d’un français aux États-Unis, ce dernier doit subir une hospitalisation imprévue dans un établissement de santé américain. Des feuilles de soin sont alors créées et l’état de santé du patient français se voit consigné (par écrit ou par ordinateur : encore une fois cela reste des données). Théoriquement, et dans la grande majorité des cas, les données médicales des patients français n’ont aucune raison d’être détournées de leur utilisation.

Or, il existe un principe en droit américain nommé le “Patriot Act”. Ce dernier permet au gouvernement américain de disposer librement des données personnelles d’un individu sur le fondement d’une seule suspicion de terrorisme ou d’espionnage. Si l’existence d’un tel principe est hautement compréhensible au regard de l’importance accordée par le gouvernement américain à tout ce qui concerne la sécurité nationale, le fondement d’une seule suspicion sans autre preuve apparaît bien léger pour assurer une protection des données médicales.

En outre, la cybercriminalité est un rempart à une bonne protection des données médicales lorsque des pare-feu ne sont pas suffisamment élaborés pour prévenir de telles attaques. Ainsi, entre les mois d’avril et juin 2014, Community Health Systems, un spécialiste de la gestion d’hôpitaux américains, a subi des cyberattaques qui ont subtilisé plusieurs millions de données personnelles. S’il n’est fait état d’aucune subtilisation de données médicales au sein des données volées, cette possibilité relance la nécessité d’une protection informatique nécessaire pour se prémunir de ce genre de piratage.

Le gouvernement fédéral américain, en 2021, avait annoncé que les données médicales de plus de 40 millions patients ont été compromises. Il s’agissait de violations de données concernant les informations de santé personnelles et protégées de millions de personnes. Toutes ces violations de données étaient dues à des incidents de piratage au cours desquels des personnes non autorisées ont eu accès à des réseaux de santé où des données de santé électroniques étaient stockées.

Que ce soit en matière de piratage, de législation étrangère moins regardante sur la protection des données personnelles ou encore sur l’absence de contrôle d’un patient français sur des données de santé qui seraient restées à l’étranger, la protection des données médicales à l’échelle internationale apparaît encore incertaine. De plus, la technique informatique est de plus en plus avancée et complexe, ce qui ralentit encore davantage une sécurité juridique constante et uniforme.

B. Un état technique avancé, ou le risque d’un retard juridique

Il apparaît pratiquement impossible de faire disparaître la carte vitale du système médical français : la gestion des données de santé apparaît bien trop longue au regard du nombre de patients à gérer. À ce titre, l’évolution informatique mêlée à des impératifs de gestion médicale ne pose pas de problème juridique en soi.

Néanmoins, des technologies nouvelles ne sont pas encore appréhendées par la loi. Il en va par exemple du Cloud computing. Le Cloud, ou l’informatique en nuage sont un système permettant de stocker des données sur des serveurs distants. Ainsi, aucun stockage physique n’est effectué sur le disque dur de l’ordinateur et tout se retrouve localisé dans des datacenters qui peuvent être localisés dans des pays étrangers. Certaines entreprises louent d’ailleurs des services de Cloud à des professionnels. Or dans le cas où un professionnel médical stockerait des données de santé de cette manière, outre un accord de la CNIL nécessaire, que se passe-t-il dans le cas où un patient souhaite avoir accès à ses données de santé?

Se pose alors la question de savoir si le médecin intermédiaire à qui la demande est effectuée doit traiter avec le fournisseur de service Cloud pour les obtenir, ou appartient-il au fournisseur d’avoir une telle responsabilité? De plus, lorsque des données, notamment personnelles, se retrouvent massivement stockées en un point physique fixe, les risques de cyberattaques se retrouvent augmentés.

En 2009, le gouvernement français avait élaboré le projet “Andromède” qui prévoit de stocker sous la forme d’un “Cloud souverain” les données nationales du gouvernement, de son administration et d’autres entreprises. Ce projet permettrait ainsi d’alléger considérablement les risques associés à une “volatilité” des données que l’on peut constater aujourd’hui.

En effet, puisque ces dernières sont toutes sous l’égide de la loi française, aucun problème de localisation des serveurs ne peut être relevé et le travail de surveillance de la CNIL serait considérablement allégé. D’ailleurs, bien que les données médicales ne semblent pas faire l’objet d’un stockage massif dans des serveurs Cloud étrangers, la question mérite néanmoins réflexion en ce que les dispositions relatives au bon traitement des données médicales par le droit français se voient d’un coup quasiment réduit à néant. Enfin, une législation numérique européenne serait la bienvenue puisque les données médicales se verraient enfin asservies à un régime juridique dans l’ensemble de l’Europe.

Pour lire une version plus complète de cet article sur la protection des données médicales, cliquer

Sources :

QUEL EST LE COÛT DE LA PROTECTION DES CRÉATIONS ?

La création est intrinsèque à l’homme. Celle-ci génère naturellement un désir de reconnaissance en tant que créateur ainsi qu’une volonté de protéger sa création afin qu’elle ne soit pas volée ou copiée par une autre personne. 

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

C’est la raison pour laquelle différents moyens de protection des créations existent ainsi que différents organismes de protection des créations. Ces organismes peuvent être nationaux, communautaires, mais aussi internationaux. Peu importe leur champ d’action, ces organismes ont un seul et même but : la protection des créations. Cette protection des créations est ” naturelle ” quand il s’agit de droit d’auteur.

S’agissant des brevets, cette protection est plus forte et accrue, car ceux-ci représentent de gros enjeux économiques. C’est aussi le cas pour les marques, dessins et modèles. Néanmoins, cette protection des créations a un coût que nous ne pouvons pas tous supporter et qui peut décourager.

Aujourd’hui, les auteurs, les inventeurs, les dessinateurs ont le droit d’être protégés pour leur création. Mais quel est le coût réel de la protection des créations aujourd’hui ?

Contrairement à la protection par le droit d’auteur qui ne nécessite l’accomplissement d’aucune formalité préalable, ces créations « industrielles » doivent faire l’objet d’un dépôt auprès de différents organismes pour être protégées par la loi.


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Toutefois, cette protection n’est pas gratuite. Il est donc indispensable de se renseigner au préalable pour déterminer si le coût des démarches n’est pas disproportionné avec la valeur de l’objet de la protection.

Il est indispensable de faire un état des lieux du coût de la protection en matière de créations « industrielles » (1) puis ensuite d’apprécier au cas par cas afin de déterminer à partir de combien une création mérite d’être protégée sans que le coût des démarches ne soit disproportionné avec la valeur de l’objet de la protection (2).

I. Le coût de la protection : état des lieux

A) Le brevet

1) Le brevet français

Si le brevet, la marque ou le dessin sont déposés auprès de l’organisme compétent en la matière : par exemple, l’Institut National de la Propriété industrielle (INPI) pour la France, le Code de la Propriété intellectuelle prévoit une protection spécifique. La création est protégée dans le pays où elle a été déposée.

Le dépôt peut s’effectuer au niveau local, communautaire ou international. Le brevet à l’invention est protégé par la loi si elle remplit les 3 critères prévus aux articles L611-10 et suivants du Code de la Propriété intellectuelle :

  • La nouveauté : elle ne doit jamais avoir été divulguée,
  • L’activité inventive : elle ne doit pas découler d’une manière évidente de l’état de la technique,
  • L’application industrielle : elle est susceptible d’intéresser l’industrie.

Afin qu’elle soit protégée, l’invention doit être déposée afin d’obtenir un titre de propriété industrielle conférant à son titulaire et à ses héritiers ou cessionnaires un monopole d’exploitation sur le territoire où le dépôt s’effectue.

En effet, l’article L611-1 du CPI précise, que « toute invention peut faire l’objet d’un titre de propriété industrielle délivré par le Directeur de l’INPI qui confère à son titulaire ou à ses ayants cause un droit exclusif d’exploitation ».

Le propriétaire du brevet sera alors en mesure de défendre son invention, de faire valoir ses droits sur son invention et d’agir en contrefaçon ou en concurrence déloyale si son invention est exploitée sans son consentement. Le brevet protège l’invention pendant 20 ans (article L611-2 du CPI).

2) Le brevet européen

L’Office européen des Brevets (OEB) délivre ces brevets dans les pays européens choisis par le demandeur, selon une démarche administrative simplifiée (un seul dépôt dans une seule langue: allemand, anglais ou français) et à coût réduit.

Cependant, les traductions dans les langues des pays choisis peuvent coûter cher. Pour éviter ces frais, le 2 juillet 2001, le gouvernement français a signé le protocole de Londres, relatif au régime linguistique du brevet européen.

Grâce à cet accord, la traduction des brevets dans 12 langues, pour qu’il soit reconnu dans tous les pays membres de l’OEB, ne sera plus obligatoire. Le coût de la protection d’un brevet européen est plus élevé que pour le dépôt d’un brevet français.

Le coût très variable. Il faut noter que ce brevet unique européen a les mêmes effets qu’un brevet national dans les 28 États contractants.

3) Le brevet international

La demande internationale de brevet (c’est-à-dire la Patent Cooperation Treaty ou PCT) se fait auprès de l’Organisation mondiale de la Propriété intellectuelle (OMPI). Il est possible de déposer, par une seule démarche, de déposer une demande de brevet dans environ 123 pays.

Ces brevets PCT et européen peuvent être déposés à l’INPI et dans ses délégations régionales.

B) La marque

La marque de produits ou de services désigne « un signe servant à distinguer les produits ou services d’une personne physique ou morale de ceux d’autres personnes physiques ou morales ». (Article L711-1 du CPI).

L’entrée en vigueur de la loi n° 2019-486 du 22 mai 2019 relative à la croissance et la transformation des entreprises dite Loi PACTE, le 11 décembre 2019,complétée par l’Ordonnance n° 2019-1169 du 13 novembre 2019, a concrétisé la suppression de l’exigence d’une représentation graphique de la marque. Il est possible dès lors d’enregistrer de nouvelles formes de marques telles que la marque sonore sous format MP3, la marque de mouvement et la marque multimédia sous format MP4. (1)

Afin qu’elle soit valide, la marque doit être licite (signe conforme à la loi, à l’ordre public et aux bonnes mœurs), distinctive (permets de différencier les produits et services) et disponible (ne pas être déjà utilisée). La propriété de la marque s’acquiert par son enregistrement.

Elle sera protégée à compter de la date de dépôt de la demande pour une durée de 10 ans renouvelable (article L712-1 du CPI).

1) La marque française

Le montant de redevance remonte à 190 euros pour un dépôt en ligne pour une classe et de 250 euros pour un dépôt papier.

La redevance est majorée de 40 euros pour chaque classe de produits ou services supplémentaire. Si le déposant de la marque revendique une priorité, c’est-à-dire qu’il désire bénéficier de la date d’un ou plusieurs dépôts effectués moins de six mois auparavant dans un pays étranger qui accorde les mêmes droits aux dépôts des marques françaises ou qui est membre de la Convention d’Union de Paris ou de l’Organisation mondiale du Commerce, la redevance est de 22 euros.

2) La marque communautaire

Le paiement s’effectue auprès de l’EUIPO situé à Alicante en Espagne.

Il est indispensable de s’acquitter de 850 euros de taxe de dépôt de demande de marque communautaire pour une première classe puis majorée de 50 euros pour seconde classe. Il faut ajouter 150 euros en plus pour chaque classe supplémentaire à partir de trois classes. Puis la taxe d’enregistrement est de 1800 euros et 1500 euros pour un dépôt électronique. (2)

3) La marque internationale

La taxe payable auprès de l’OMPI est très variable tout dépend du nombre de pays choisis. Le site de l’OMPI met en place un calculateur de taxes sur son site (www.wipo.int).

Le dessin ou modèle industriel Pour se prévaloir des dispositions prévues au Livre 5 « Les dessins et modèles » du Code de la Propriété intellectuelle (article L511-1 et suivants), le dépôt du dessin est obligatoire.

L’article L511-1 du CPI ne définit pas les notions de dessins et modèles.

Mais la définition de Monsieur Roubier couramment admise est « le dessin est toute disposition de trait ou de couleur, représentant des images ayant un sens déterminé » ; le modèle s’entend de « toute forme plastique, toute maquette, tout modèle en cire, plâtre, en terre glaise, toute œuvre de sculpture académique ou d’ornement, etc. »

En effet, le dessin est une figure à deux dimensions, et le modèle une figure à trois dimensions. L’article L511-9 du CPI dispose que « la protection du dessin ou modèle conférée par les dispositions du présent livre s’acquiert par l’enregistrement.

Elle est accordée au créateur ou à son ayant cause ».

L’auteur de la demande d’enregistrement auprès de l’INPI ou du greffe d’un tribunal sera présumé comme étant le bénéficiaire de cette protection. à

C) Le dessin

L’enregistrement d’un dessin ou modèle permet une protection d’une durée de 5 ans renouvelable par période de 5 ans jusqu’à un maximum de 25 ans (article L513-1 du CPI). Le dessin « français » La déclaration de dépôt pour une durée de protection de 5 ans est de 38 euros. Il faut rajouter 22 euros par reproduction noir et blanc et 45 euros par reproduction couleur. La première prorogation pour 5 années supplémentaires est de 50 euros par dépôt.

1) Le dessin « européen »

L’Office de l’Union européenne pour la propriété intellectuelle (EUIPO) indique que la taxe d’enregistrement est de 350 euros. Le dessin ou modèle sera protégé dans les 25 pays de l’Union européenne.

2) Le dessin « international »

La protection d’un dessin ou modèle international est défini par l’Arrangement de La Haye. Le titre délivré équivaut à une protection nationale répondant aux critères nationaux de chacun des États. Le coût est de 273 euros auxquels s’ajoutent 29 euros par État.

Le coût de la protection : une appréciation au cas par cas pour chaque création Déterminer le pour et le contre Vouloir déposer et donc protéger sa création « industrielle » n’est pas un acte qui doit être pris à la légère. Le coût est important : il n’est pas accessible à tous et nécessite d’avoir des fonds pour financer cet investissement.

Il est indéniable qu’un capital non négligeable est nécessaire si une personne veut protéger et défendre sa création. Une certaine sélection par l’argent est donc effectuée. Même si des réductions des redevances sont prévues lorsqu’une personne n’est pas imposable, le coût de la protection reste élevé. Avant de déposer un brevet, il faut étudier ses avantages et inconvénients au regard des besoins spécifiques de l’entreprise.

L’avantage principal est de pouvoir bénéficier d’une protection juridique pour l’exploitation exclusive du brevet sur le territoire. L’inconvénient est que l’invention brevetée est divulguée. Il n’y a plus de secret. Une personne pourra alors l’utiliser dans le pays où l’invention n’est pas brevetée.

Il est recommandé de déposer un brevet international pour son invention afin d’éviter toute utilisation. En l’absence de brevet, il est, par contre, très difficile de se défendre en cas de copie par un concurrent, car le brevet crée le droit à la protection, qui lui-même met à disposition les instruments juridiques de la protection.

Il ne faut pas oublier que la défense d’un brevet coûte très cher et les entreprises mal intentionnées comptent ce coût prohibitif pour empêcher l’inventeur de faire valoir ses droits. Il en est de même pour les dessins et les marques.

Le dépôt et la protection par le droit sont coûteux et un dépôt international est recommandé pour éviter toute contrefaçon. Cette protection se révèle indispensable si l’on désire limiter tout agissement illicite par des tiers désireux de profiter de la marque ou du dessin célèbres pour faire des profits. Il est difficile de déterminer à partir de combien une création mérite d’être protégée sans que le coût des démarches ne soit disproportionné à la valeur de l’objet de la protection.

Il est indispensable de peser le pour et le contre avant tout dépôt : le coût du dépôt en vaut-il la peine ? Quels sont les avantages et les inconvénients d’un tel dépôt ? Etc. Au moment du dépôt, une invention peut avoir un fort potentiel qui ne se développera que plus tard.

De même, une société peut être nouvelle et ne pas avoir encore le succès escompté ; sa marque ne prendra alors de la valoir et n’intéressera les tiers mal intentionnés que bien des années plus tard. La valeur de l’objet de la protection peut donc être minime le jour du dépôt par rapport au coût des démarches, mais se révéler un investissement sur le long terme, en prévision du succès futur.

Mais il faut toujours garder à l’esprit que cette protection coûteuse est surtout limitée dans le temps : le brevet sera protégeable pendant 20 ans, le dessin pendant 25 maximum. Seule la marque pourra être renouvelée tous les dix ans indéfiniment.

D) Opter pour une autre protection

Si le créateur se rend compte que le coût des démarches liées au dépôt de sa création est disproportionné par rapport à la valeur de l’objet de la protection, il peut décider d’y renoncer.

Malgré l’absence d’un dépôt, sa création ne sera pas pour autant dépourvue de toute protection. Cette dernière sera certes moindre que celle occasionnée par l’enregistrement de la création, mais elle n’est pas négligeable. Une invention peut être protégée par un certificat d’utilité. La protection est moins longue que celle par le brevet : 6 ans au lieu de 20 ans.

Mais le coût est également moins important. De même, il est parfois plus intéressant de garder son invention secrète pour éviter qu’elle ne soit utilisée par des tiers.

Un savoir-faire non divulgué va permettre de limiter les reproductions à l’identique. Il sera plus difficile de copier ce savoir-faire s’il n’est pas breveté et donc non disponible aux tiers. Les dessins, à défaut d’être enregistrés et de bénéficier du livre 5 du CPI, peuvent être protégés par le droit d’auteur prévu à l’article L111-1 et suivants du CPI.

Dès sa création, le dessin bénéficie de la protection par le droit d’auteur . Cette protection ne nécessite l’accomplissement d’aucune formalité préalable et n’entraîne aucun coût financier.

La marque, quant à elle, peut être également protégée par le droit d’auteur, notamment si elle s’accompagne d’un slogan ou d’un dessin.

Cela étant, il convient de noter que les marques notoires sont des marques qui ne sont pas déposées, mais qui bénéficient d’une protection non négligeable par le CPI. Il ne faut pas oublier que toutes ces créations peuvent être déposées dans une enveloppe Soleau. Ce dépôt constituera une preuve de paternité et d’antériorité en cas de conflits avec un tiers.

Pour lire une version plus complète de cet article sur le coût de la protection d’une création cliquez

Sources 

LES MOTEURS DE RECHERCHE SONT-ILS RESPONSABLES DE LEURS CONTENUS ?

L’arrivée d’internet, a bouleversé les habitudes des Français, mais pour permettre une bonne utilisation de ces nouveaux outils, il a fallu mettre en place des moteurs de recherche afin de faciliter la navigation sur la toile.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Le principe d’un moteur de recherche est qu’il parcourt systématiquement les pages en accès public, que l’on appelle « le crawling ». Ensuite, il indexe ces pages, c’est-à-dire qu’il extrait des mots clés de chacune des pages, et en conserve une copie, ce qu’on appelle le cache. Il faut savoir que chaque moteur de recherche a ses propres règles pour classer les pages.

Ainsi, la popularité d’une page, le « page ranking », dépend de plusieurs critères : le nombre d’internautes cliquant sur ce lien lorsqu’il leur est proposé, le nombre de pages pointant vers cette page, et éventuellement de la monétarisation d’un mot clé. En effet, une entreprise peut acheter auprès du moteur de recherche, un ou plusieurs mots clés de manière à améliorer son classement, et par conséquent, avoir plus de visibilité.

Les moteurs de recherches conservent des informations sur les dates de vos visites, les mots-clés que vous entrez et les liens sur lesquels vous cliquez. De ce fait, ils conservent ces informations pour une durée minimum de 6 mois, pour toutes vos recherches et pour tous les internautes (1).


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Cependant ces moteurs de recherches peuvent nous conduire vers des sites non désirés sur lesquels des infractions ou encore des crimes sont commis. La particularité, c’est que ces contenus illicites sont visibles sur les moteurs de recherche, à l’inverse des sites présents sur le darkweb.

Le Dark Web est, selon le site bigdata.fr, la partie cachée du web, sur laquelle s’organise un vaste trafic de biens et services illégaux. Le web est divisé en deux parties : d’abord la partie visible sur les moteurs de recherche, qui ne représente que 3 à 4% des informations disponibles sur internet, ensuite, la seconde partie, appelée « Deep Web » ou « Dark Web », et l’on y trouve le contenu qui n’est pas indexé sur les moteurs.

En effet,  internet regorge de plusieurs sites, populaires ou non, désirés ou pas. Dans la vie ” réelle “, lorsqu’un délit ou un crime sont commis nous recherchons toujours un responsable. Lorsque ces infractions ou crimes sont commis en ligne nous faisons de même : nous recherchons toujours des responsables afin que ces crimes ou infractions cessent tout d’abord et que les auteurs de ceux-ci soient punis. Les moteurs de recherche sont-ils responsables de leur contenu ?

I – Les cas où la responsabilité du moteur de recherche peut être engagée

TGI Paris, référé, 12 mai 2003, Lorie c/ M. G.S. et SA Wanadoo Portails

Au cas présent, la demanderesse, Mademoiselle LP, dite Lorie, assigne Monsieur GS et la société Wanadoo pour son moteur de recherche « Voilà.fr ».

La demanderesse se base sur l’article 9 du code civil pour, d’abord, demander la fermeture du site de Monsieur GS dans lequel figure des poses obscènes et dégradantes d’elle. Ensuite, elle souhaite demander le déréférencement du site sur le moteur de recherche Voilà.fr. En effet, la problématique étant que ces moteurs de recherche peuvent indexer des pages au contenu illicite. Peut-on engager la responsabilité d’un moteur de recherche ? Sur quels fondements peut-on l’engager ?

Google, comme tous les autres intermédiaires, ne sont juridiquement pas responsables tant qu’ils restent neutres. L’Union européenne a adopté un texte concernant les intermédiaires techniques, au travers de la directive 2000/31/CE du 8 juin 2000 sur le commerce électronique, qui a été transposée en droit français grâce à la loi pour la confiance dans une économie numérique, du 21 juin 2004 (la « LEN »).

C’est toujours ces textes qui s’appliquent pour Google, Facebook, Twitter, etc. En matière d’intermédiaires sur Internet, la loi a posé le principe selon lequel l’éditeur est responsable du contenu (texte, images, etc.) du contenu (site, forum, serveur, etc.) qu’il gère.

Par ailleurs, l’intermédiaire technique n’est pas responsable du contenu qu’il héberge ou traite, ou transporte, sauf si un tiers lui notifie valablement un contenu illicite. En effet, un intermédiaire technique est celui que l’on connaît, aujourd’hui, comme « l’hébergeur ». Ce dernier est une personne physique ou morale qui assure, la mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournit par des destinataires de ces services (2).

Depuis la loi AVIA de 2020, les hébergeurs et les FAI sont responsables s’ils ont pris connaissance du contenu illicite et qu’il n’y a pas eu de retrait. La sanction peut aller jusqu’à 250000 euros d’amende.

Il faut savoir qu’en droit français il existe un droit à l’effacement numérique ou un droit à l’oubli. C’est le droit de demander à un organisme la suppression d’une donnée à caractère personnel vous concernant. Ce droit est différent du droit au déréférencement. En effet, selon une décision en date du 13 mai 2014 (CJUE Google Spain c/ AEPD du 13 mai 2014, la Cour de Justice a considéré qu’une personne physique pouvait obtenir le déréférencement de certains liens vers des pages web de la liste des résultats obtenue à partir d’une recherche sur le moteur de recherche de Google à partir de son nom, auprès de la société du même nom, responsable d’un traitement de données personnelles résultant de l’activité de son moteur de recherche. En vertu de cette décision, la demande de déréférencement doit être adressée au responsable du traitement qui en examine le bien-fondé et le cas échéant procède à l’effacement demandé. Si le responsable du traitement ne donne pas suite, la personne concernée peut saisir l’autorité judiciaire

Ici, Lorie a mis en demeure la société Wanadoo de déréférencer le site. Bien que connaissant l’auteur du site, elle n’a agi que vis-à-vis du moteur de recherche. La société Wanadoo a déréférencé le site dès la connaissance du contenu du site litigieux. Le tribunal énonce que le professionnel est à la charge d’une obligation de surveillance et de “suppression de la référence au site dès lors qu’elle n’a pu qu’avoir eu connaissance du caractère manifestement illicite de son contenu”.

Concernant le droit à l’effacement numérique, le tribunal judiciaire de Paris (ancien tribunal de grande instance) a fait condamner Google à supprimer l’affichage dans Google Images , pendant cinq ans, neuf photos attentatoires à la vie privée du demandeur.

En l’espèce, le demandeur demandait le retrait, et la cessation de l’affichage sur les pages de résultats du moteur de recherche Google Images de neuf images extraites d’une vidéo représentant le demandeur dans des scènes d’intimité sexuelle, et antérieurement publiées par un journal britannique. La diffusion de ces images avait donné lieu à trois condamnations judiciaires en France et au Royaume-Uni. Ensuite, Google, qui avait fait droit aux premières demandes de retrait, avait refusé de supprimer les images qui réapparaissaient quotidiennement. Google estimait que les mesures d’interdiction et de surveillance sollicitées se heurtent aux exigences de l’article 10 de la CEDH.

Le Tribunal soutient que la mesure sollicitée de retrait et d’interdiction pour l’avenir des neuf clichés photographiques provenant d’un délit pénal et déjà jugés attentatoires à la vie privée du demandeur, entre largement dans le cadre de la responsabilité des intermédiaires techniques. En ce sens, le tribunal observe que la condition de proportionnalité est « parfaitement remplie », au regard de l’obligation positive qui pèse sur la France de faire respecter le droit du demandeur au respect de sa vie privée et, d’autre part, de l’impossibilité où se trouve celui-ci de faire respecter ce droit en n’usant que des seules procédures mises à sa disposition par Google.

Par ailleurs, la mesure sollicitée est jugée poursuivre un « but légitime » en ce qu’elle vise sinon à supprimer les atteintes au moins à en réduire sensiblement leur portée, et « nécessaire dans une société démocratique » au sens de l’art. 10 par. 2 CEDH, l’illicéité des images ayant été judiciairement constatées

En conséquence, le tribunal  a fait injonction, sous astreinte, à Google de retirer et de cesser l’affichage sur Google Images, accessible en France, des neuf images litigieuses pendant cinq ans à compter de l’expiration d’un délai de deux mois suivants la signification du jugement (3).

Par ailleurs, selon la doctrine, la responsabilité du moteur de recherche peut, également, être engagée dans l’hypothèse où les mots « suspects » seraient écartés dans l’indexation effectuée par le robot. Donc, les pages web contenant ce terme seraient écartées, seulement, les sites qui traiteraient éventuellement des problèmes ou apporteraient des solutions, par exemple pour lutter contre certains phénomènes seraient également écartés (si le moteur élimine les pages contenant le mot « pédophile », il écarte alors automatiquement les sites d’associations luttant contre ce fléau).

Techniquement, il est possible pour un robot d’être programmé pour exclure certains termes. Cependant, il lui est impossible de prendre connaissance du contenu du site. Certains auteurs sont “pour” que les moteurs de recherche retirent “tous les mots clefs illicites à connotation pédophiles, racistes…”. Ils proposent même une sorte de filtre tout comme les logiciels de filtrage parental.

II – Les cas où la responsabilité du moteur de recherche est exclue

Les hébergeurs ne sont juridiquement pas responsables tant qu’ils restent neutres. En effet, l’article 14 de la directive 2000/31 précise que les hébergeurs ne sont pas responsables dès lors qu’ils n’avaient pas connaissance des contenus illicites publiés sur leurs sites et dès lors qu’ils ont agi promptement pour retirer ces contenus manifestement illicites. La raison de cette irresponsabilité de principe est qu’un intermédiaire ne peut pas tout surveiller et tout vérifier. Ainsi, Google ne peut pas vérifier la validité et la licéité de tous les sites que son robot référence.

C’est en ce sens que la Cour d’appel de Paris a , par un arrêt du 19 mars 2009, rappelé l’irresponsabilité des moteurs de recherche dès lors qu’ils sont neutres. En l’espèce, une société avait assigné Google et Yahoo en se plaignant du référencement naturel d’un site la dénigrant, leur reprochant de ne pas avoir vérifié le contenu du site. Les moteurs se sont défendus en soulignant qu’ils procédaient un référencement de manière automatique, sans aucun contrôle a priori sur leurs robots, et ne pouvaient en conséquence maîtriser le référencement.

La Cour a rejeté la responsabilité de Google et Yahoo en précisant que ces moteurs n’avaient pas à vérifier le contenu de chaque site et à assurer de leur conformité à la loi.

La Cour a, ainsi conclu que le caractère automatique des résultats affichés et l’absence de toute analyse de contenu excluent une intention de nuire ou délictueuse, que ce soit de diffamer ou de dénigrer. En conséquence, le caractère automatique du référencement naturel et la neutralité de celui-ci permettent d’échapper à toute responsabilité naturelle. Ce principe d’irresponsabilité n’a pas été remis en cause, de manière significative, depuis près de 20 ans.

Dans une autre affaire, et suivant cette même logique, une personne qui avait été impliquée dans une affaire de corruption de mineure avait assigné le moteur de recherche Google en diffamation au motif que lorsqu’il effectuait une recherche sur son patronyme par le biais des fonctionnalités « Suggest et Recherches associées », apparaissaient les termes « viol », « condamné », « sataniste » ou « prison » associés à ses noms et prénom. Infirmant le jugement de première instance, la cour d’appel a fait bénéficier le directeur de la publication de Google Inc. de l’excuse de bonne foi et l’a débouté de toutes ses demandes.

L’intéressé a formé un pourvoi en cassation. La Cour rejette le pourvoi, estimant que c’est à bon droit que les critères de prudence dans l’expression et de sérieux de l’enquête se trouvaient réunis au regard d’un procédé de recherche dont la fonctionnalité se bornait à renvoyer à des commentaires d’un dossier judiciaire publiquement débattu. De même, la cour d’appel a relevé que la société Google France sollicitait à bon droit sa mise hors de cause dès lors qu’elle n’avait pas de responsabilité directe dans le fonctionnement du moteur de recherche ni dans le site google.fr et qu’elle n’était pas concernée par l’élaboration des items incriminés.

Par ailleurs, un moteur de recherche qui insère un avertissement dans ses résultats ne peut pas être responsable. Ne constitue pas un trouble illicite le fait, par un moteur de recherche qui a détecté que la visite d’un site peut endommager un ordinateur (virus, espiogiciel…), d’en avertir ses utilisateurs.

En l’espèce, le moteur américain avait détecté que, lors de la connexion à certaines pages des sites exploités par les sociétés demanderesses, pouvait se déclencher automatiquement l’installation d’un logiciel destiner à couper la connexion d’un internaute à son insu, pour le diriger vers des numéros téléphoniques surtaxés. Dès lors, le moteur était attaqué pour avoir choisi de faire figurer divers avertissements sur ce risque en regard des liens menant vers ces sites. Le moteur pouvait-il faire des avertissements sur ce risque ?

Le juge a répondu qu’il n’existe pas de caractère illicite du trouble allégué. En d’autres termes, le moteur pouvait librement faire des avertissements, c’est le résultat de leur liberté éditoriale, comme l’a reconnu implicitement le Conseil de la concurrence (9 juin 2000).

De la même façon qu’ils peuvent librement référencer ou non des sites existants, ils peuvent avertir les utilisateurs -sauf bien sûr à engager, en cas d’excès, leur responsabilité sur le fondement du droit de la presse, ou du droit commun. La Cour estime, donc, que le contenu stigmatisé par le moteur présentait un caractère à tout le moins douteux. Aussi est-il estimé qu’il n’était pas fautif d’assortir le lien vers un tel contenu d’un avertissement.

Pour lire une version plus complète de cet article sur la responsabilité des moteurs de recherche, cliquez

SOURCES :

  • https://www.cnil.fr/fr/les-moteurs-de-recherche
  • Art 6 al I. 2 loi 21 juin 2004 pour la confiance dans une économie numérique + Article 14 de la directive 2000/31
  • Tribunal de Grande Instance de Paris, 6 novembre 2013, n° 11/07970).
  • Paris, 14e ch. B, 25 janvier 2008, RG n° 07/13334

Quelle responsabilité pour l’administrateur d’un page Facebook quant aux données personnelles ?

Comme le rappelait le journal Le Monde dans un article du 11 septembre 2017, « un utilisateur de Facebook avec une connaissance moyenne des nouvelles technologies ne sait pas que ses données sont collectées, stockées et exploitées » . Mais quid de la responsabilité des administrateurs de pages Facebook ?

NOUVEAU : Utilisez nos services pour un problèmed de données personelles ou de contrefaçon en passant par le formulaire !

Face à la production croissante des données, il convient donc de réguler le plus strictement possible la collecte, l’exploitation, la réutilisation de celles-ci, d’autant plus quand la pratique se fait à l’insu de l’usager, et notamment au profit de l’administrateur d’une page Facebook.

C’est sur ce dernier point que porte l’affaire Wirtschaftsakademie, du nom de la société au cœur du litige, disposant d’une page Facebook par le biais de laquelle elle propose ses services et démarche de la clientèle sur la base d’outils statistiques mis à disposition par le réseau social.

L’enjeu, ici, est de savoir si le statut de responsable de traitement s’applique dans un tel cas de figure, c’est à dire au regard des données personnelles des « fans » de la page.

La Cour de justice de l’Union européenne (« CJUE »), qui n’a pas encore arrêté sa décision, devra prochainement assumer son rôle de « juge européen de la protection des données ».


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien


Il convient donc de se pencher sur la définition du responsable de traitement tel qu’il est débattu ici (I), pour comprendre toute l’importance d’une telle décision au regard de la responsabilité des administrateurs de pages en matière de traitement de données à caractère personnel (II).

I. La définition du responsable de traitement au cœur de l’arrêt Wirtschaftsakademie

Les conclusions dégagées par l’avocat général sont d’autant plus importantes qu’elles réagissent au déroulement de l’affaire (A) en dégageant un principe de coresponsabilité des acteurs en présence (B).

A) Le fond de l’affaire

En l’espèce, il fut reproché au réseau social de collecter certaines données personnelles de ses utilisateurs à l’aide d’un tracker installé sur leur disque dur, sans leur consentement, et de transmettre ces informations à l’administrateur de la page Facebook d’une entreprise professionnelle.

Facebook Insight constitue en effet l’un de ces outils mis à disposition des responsables de pages Facebook, leur permettant d’obtenir certaines statistiques liées aux « fans » consultant leur page.

Ce sont ces motifs qui, de fait, poussèrent les autorités allemandes à ordonner la fermeture de la page en question.

Par suite, la société Wirtschaftsakademie forme alors une première réclamation, contestant de cette fermeture et de son statut de « responsable » du traitement et de la réutilisation de ces données  ; mais l’ULD rejette celle-ci par décision du 16 décembre 2011.

Après plusieurs renvois, la Cour administrative fédérale décide alors de surseoir à statuer et de poser à la Cour de justice de l’Union européenne des questions quant au partage de responsabilité litigieux.

À l’heure actuelle, seul l’avocat général s’est prononcé sur la question, le 24 octobre dernier, soutenant effectivement que « L’administrateur d’une page fan d’un réseau social tel que Facebook doit être considéré comme étant responsable » .

B) La reconnaissance d’une coresponsabilité

Sans lier les juges pour autant, l’avocat général souligne que l’affaire fait état d’un régime de coresponsabilité.

À cet égard, il rappelle notamment que l’entreprise est libre du choix d’utiliser ou non les outils statistiques que constituent Facebook insights et autres cookies. Dès lors, en bénéficiant délibérément du tracker, l’entreprise aurait « pris part à la détermination des finalités et des modalités du traitement des données à caractère personnel des visiteurs de sa page ».

De plus, l’avocat général soutient que l’entreprise dispose d’une certaine autonomie dans la gestion du tracker, pouvant filtrer les données à collecter ainsi que les personnes visées par la collecte collecte.

Autrement dit, le régime de coresponsabilité soulevé ici découle de cette volonté d’exploiter le logiciel litigieux : quand « l’une veut aiguiser son audience et son modèle d’affaires, l’autre veut gonfler ses publicités ciblées » .

C’est précisément sur ce point que les conclusions insistent, en indiquant que la responsabilité quant au traitement des données et l’usage qui peut en être fait tiens les deux parties en cause, qui « poursuivent chacune des finalités étroitement liées » .

D’ailleurs, l’avocat général soutient expressément qu’un contrôle total des données par le responsable du traitement n’est pas un critère nécessairement pertinent, car « susceptible d’entraîner de sérieuses lacunes en matière de protection des données à caractère personnel ».

 

II. Une décision importante au regard des textes applicables

Les conclusions apportées ici font état d’un régime de responsabilité « élargie » (A), en attendant l’établissement d’un cadre précis et définitif (B)

A) L’établissement d’une responsabilité large

Tant le contexte de cette affaire, son déroulement, mais aussi les conclusions de l’avocat général questionnent la définition propre au responsable de traitement.

La directive de 95/46, texte sur lequel s’appuient les différentes instances, affirme en son article 2 qu’un responsable de traitement est la « personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles » .

De cet article découle également le régime de coresponsabilité, tel qu’évoqué un peu plus tôt.

Ceci étant, l’avocat général effectue un parallèle avec la mise en place de « modules sociaux » (comprendre les boutons like, share, tweet, etc.) sur un site qui, de fait, engagerait aussi l’administrateur de la page en tant que responsable de traitement.

Pour rappel, cette tendance fait écho à la sanction infligée à Facebook par le régulateur espagnol des données personnelles, le 11 septembre dernier, pour la collecte de données sensibles des internautes visitant les pages dotées d’un tel module, sans leur consentement et à des fins de ciblage publicitaire.

Dans notre cas, l’avocat ne fait pas expressément référence à cette affaire, mais plutôt à celle encore pendante devant la CJUE dite « Fashion ID » (C-40/17) , qui relate cependant des mêmes faits.

Au regard de ces conclusions, la question qui se pose demeure celle de savoir si, par le biais d’une telle interprétation, la définition du responsable de traitement s’en trouve élargie, voire dénaturée.

B) Un compromis en l’attente d’un cadre définitif

L’intérêt d’une telle interprétation, de l’aveu même de l’avocat général, est d’éviter que l’entreprise puisse s’octroyer les services d’un tiers « pour se soustraire à ses obligations en matière de protection des données à caractère personnel ».

Néanmoins, ce dernier soutient que de l’exigence d’une coresponsabilité ne découle pas un régime de responsabilité égal.

À l’aube de l’entrée en vigueur du Règlement général sur la protection des données (« RGPD »), le 25 mai prochain, ce débat est plus que jamais pertinent. Il impose en effet de redéfinir les contours du responsable de traitement.

Ici, l’avocat général compare la situation à des faits qu’il juge lui-même similaires, se plaçant ainsi en « garde-fou » d’éventuelles dérives, tout en prônant une certaine « lucidité » quand il s’agit de quantifier la responsabilité de chacun des acteurs.

D’aucuns diront qu’une telle manœuvre est bénéfique, somme toute, à l’établissement d’une protection plus efficace des données personnelles  de l’internaute. C’est d’ailleurs, in fine, la volonté du texte à paraître.

D’autres argumenteront, assez ironiquement, « [qu’à force] de repousser les limites, on risque peut-être de voir un jour un arrêt de la Cour déclarant que les utilisateurs d’un réseau social sont eux-mêmes responsables de traitement ».

Quoi qu’il en soi, l’importance d’un tel arrêt est capitale, et la CJUE devrait en ce sens peser ses mots et faire apparaître une tendance claire, afin de clarifier une situation au cœur des enjeux du prochain grand texte européen en la matière.
Cet arrêt va permettre le développement d’une jurisprudence, en effet, dans un arrêt de la CJUE du 29 juillet 2019, portant sur une collecte de données personnelles, la Cour va confirmer le principe de responsabilité conjointe entre le réseau social et le gestionnaire d’un site internet.

En l’espèce, le site du gestionnaire disposait d’un bouton « J’aime » de Facebook, qui transférait les données personnelles de l’utilisateur du site au réseau social, ce traitement des données personnelles n’ayant pas été consenti préalablement par les utilisateurs. Cette pratique assez fréquente permet au gestionnaire du site de percevoir un bénéfice, vu que son site sera valorisé sur le réseau social, créant de la publicité pour ses produits ou services.

Dans sa décision, la CJUE retient comme dans l’arrêt Wirtschaftsakademie, une responsabilité conjointe du gestionnaire du site internet, malgré l’absence d’influence de ce dernier dans le traitement des données transmises au réseau social. Pour la CJUE toute personne qui perçoit un bénéfice de ce traitement des données personnelles peut être qualifiée de responsable de traitement des données personnelles et donc engager sa responsabilité.

Or, le gestionnaire du site était bien un bénéficiaire de ce traitement des données personnelles, de par la publicité obtenue en retour du transfert des données personnelles, il y a un avantage économique. Ainsi, comme le prévoit l’article 26 du RGPD, le gestionnaire du site engage sa responsabilité in solidum avec le réseau social.

Pour lire un article plus complet, cliquez sur responsable des bases de données sur Facebook

SOURCES :

(1)    http://www.lemonde.fr/pixels/article/2017/09/11/donnees-personnelles-facebook-condamne-en-espagne_5184060_4408996.html
(2)    http://curia.europa.eu/juris/document/document.jsf?docid=195902&doclang=FR
(3)    https://www.gesetze-im-internet.de/bdsg_1990/__11.html
(4)    https://www.nextinpact.com/news/105475-donnees-personnelles-responsabilite-dune-societe-face-a-sa-page-fan-sur-facebook.htm
(5)    https://www.lexology.com/library/detail.aspx?g=81f153ba-073b-48b5-9ba7-63588c0d5497
(6)    http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex%3A31995L0046
(7)    https://www.doctrine.fr/d/CJUE/2017/CJUE62017CN0040
(8)    https://francoischarlet.ch/2017/administrateur-page-facebook-coresponsable-traitement/