protection des données personnelles

CLOUD COMPUTING ET RISQUES JURIDIQUES

Le Cloud Computing a fait émerger, en dépit de son caractère récent, une foule de questions notamment sur les avantages, mais surtout sur les risques liés à ce Cloud Computing. Alors doit-on se méfier ou au contraire approuver le Cloud ?

Le monde est fait de révolutions industrielles et de « modes » 1990 : le PC Windows, 2000 : Internet dans les entreprises, et… 2010 : le Cloud Computing !

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Le Cloud Computing ou « l’informatique dans les nuages », fait référence à une technique de service informatique qui permets aux utilisateurs tiers d’accéder aux ressources Internet d’un hébergeur, sans être contraints d’acquérir ou de louer le matériel informatique ou le logiciel ou encore de conclure des contrats de maintenance et de prestation de services y afférents. Plus précisément, cette technologie permet d’utiliser la puissance de serveurs informatiques à distance par l’intermédiaire d’un réseau.

Le National Institute of Standards and Technology (NIST) définit le cloud computing comme étant « l’accès via un réseau de télécommunications, à la demande et en libre-service, à des ressources informatiques partagées configurables ».


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Les multiples utilisateurs peuvent partager certaines données, générer automatiquement leurs propres fichiers et communiquer en ligne avec des tiers auxquels ils auront préalablement autorisé l’accès auxdites données, et ce, grâce à un système d’authentification (mot de passe et codes d’authentification. Mais l’usage de cet outil novateur que constitue le Cloud Computing contient, en son sein, des risques juridiques liés à la protection des données qu’il permet de traiter.

Dans ce sens, le début de la première initiative s’était concrétisé par le partenariat entre les entreprises Intel, Hewlett Packard et Yahoo! fin juillet 2008 dans le but de promouvoir la recherche dans ce domaine du Cloud Computing. On parlait alors de « cloud computing test bed », ayant pour objectif de créer un « environnement distribué » à l’échelle mondiale, permettant notamment la recherche sur les logiciels et le matériel informatique, ainsi que la centralisation de données.

Ensuite, le gouvernement américain suivait cette ligne en lançant le 22 novembre 2010 sa politique de « cloud prioritaire ».

Aujourd’hui, les services de cloud computing, qui déjà lancés par un certain nombre de sociétés dont Amazon et Google, et même Microsoft avec sa plateforme cloud Azure qui répond déjà aux attentes des développeurs, pourraient bien révolutionner l’informatique des entreprises.

Le cloud computing, permettant désormais d’externaliser l’utilisation de la mémoire ainsi que les capacités de calcul d’ordinateurs et de serveurs répartis dans le monde entier, offre en effet aux entreprises une formidable puissance informatique s’adaptant de surcroît à la demande. Mais le cloud computing présente également un certain nombre de risques juridiques dont il convient de se prémunir dans le cadre d’un contrat adapté.

Les dépenses mondiales en services de cloud computing devraient augmenter de 23 % en 2023, selon un récent rapport de CanalysLes réalités de la dégradation des conditions macroéconomiques et de la récession imminente ont entraîné un ralentissement du volume et du rythme de la migration vers le cloud au quatrième trimestre, notamment de la part des entreprises, qui ont généralement des charges de travail plus importantes.

Il s’agit d’une technique qui diffère des contrats classiques d’outsourcing aux termes desquels un prestataire tiers sera en charge du traitement technique des données (données personnelles comprises).

Le droit français et la majorité des lois nationales relatives à la protection des données personnelles au sens de la directive n° 95/46/CE du 24 octobre 1995, considèrent en principe ce prestataire tiers (hébergeur du système de Cloud Computing) comme un sous-traitant des données agissant conformément aux instructions d’un responsable du traitement des données.

Le RGPD, dans son article 28, impose l’existence d’un contrat liant le responsable de traitement, à savoir le client, et le sous-traitant qui n’est autre que le prestataire de services de cloud.

Néanmoins, il peut s’avérer que cette qualification peut s’avérer plus complexe comme ses conséquences sur le plan contractuel. L’affaire Swift, concernant une société de droit belge, qui assure le transfert de fonds internationaux à des établissements financiers, témoigne de cette complexité.

La société Swift prétendait qu’elle était le sous-traitant des données en question lorsqu’elle exportait des données personnelles et des données financières hors de l’Union européenne dans le cadre d’opérations financières. Et la Justice belge a en effet considéré que les établissements financiers impliqués dans ces opérations étaient les responsables des données personnelles en question et que Swift devait ainsi être considéré comme sous-traitant de ces données de fait et délégué desdits établissements financiers. Cette affaire révèle assez clairement les risques juridiques qu’entretient l’innovation du Cloud Computing.

Enfin, le cloud permet à l’entreprise de s’affranchir des contraintes traditionnelles (la bonne appréciation du nombre de serveurs, de la capacité nécessaire) et d’avoir une approche modulaire en fonction des besoins. Sur le plan juridique, on se rapproche du cas dans lequel une entreprise déciderait d’externaliser tout ou partie de son système d’information.

Une démarche prudente consiste en l’appréhension des risques et la prise des mesures nécessaires à la garantie la continuité du service, la sécurité des données, la qualité du service, la réversibilité… Finalement, la question liée à la confidentialité doit rester une préoccupation centrale. Ces différents sujets sont très similaires à ceux de l’outsourcing. Donc, dans l’ensemble, des réponses existent déjà et pourraient être mises en œuvre.

Il conviendra donc d’exposer ce qu’est le concept de cloud computing (1), pour ensuite définir et se prémunir des risques juridiques liés à son utilisation (2).

I. Qu’est-ce que le cloud computing ?

Il convient de définir le cloud computing (A), ainsi que ses avantages (B).

A) La définition du cloud computing

Le cloud computing présente un concept récent permettant d’utiliser de la mémoire et des capacités de calcul d’ordinateurs et de serveurs répartis dans le monde entier et liés par un réseau tel Internet. Le cloud computing permet ainsi de disposer, à la demande, de capacités de stockage et de puissance informatique sans disposer matériellement de l’infrastructure correspondante.

Le cloud computing est la prestation de services informatiques (comme des logiciels, des bases de données, des serveurs et des réseaux) sur Internet. Cela signifie que les utilisateurs finaux peuvent accéder aux logiciels et aux applications, peu importe où ils se trouvent. Pour les utilisateurs, le « Cloud » est synonyme de connexion permanente à des applications web, au stockage de données, au traitement et à d’autres ressources informatiques.

L’infrastructure du fournisseur est ainsi totalement autonome et déconnectée de celle du client, ce qui permet à ce dernier de s’affranchir de tout investissement préalable (homme ou machine). L’accès aux données et aux applications peut ainsi se faire à partir de n’importe quel périphérique connecté, le plus souvent au moyen d’un simple navigateur Internet.

Il existe également des clouds computing publics qui constituent des services partagés auxquels toute personne peut accéder à l’aide d’une connexion Internet et d’une carte de paiement, sur une base d’utilisation sans abonnement. Ce sont donc des infrastructures virtualisées que se partagent plusieurs utilisateurs.

Les clouds privés (ou d’entreprise), quant à eux, ils tendent à reprendre le même modèle de distribution des clouds computing publics, à la différence qu’ils sont détenus et gérés de manière privée, l’accès pouvant être limité à une seule entreprise ou à une partie de celle-ci. Ces derniers peuvent ainsi apparaître comme plus sûrs en termes de sécurité, de stabilité, de confidentialité et de persistance des données.

Globalement, le cloud computing constitue une nouvelle forme d’informatique à la demande, à géométrie variable, que l’on pourrait classer d’un point de vue juridique, au croisement des services d’externalisation, et des services ASP et SaaS.

En effet, les services d’externalisation (ou « outsourcing ») consistent à confier la totalité d’une fonction ou d’un service à un prestataire externe spécialisé, pour une durée pluriannuelle. Grâce à de tels contrats, le client peut s’exonérer des contraintes de gestion et de maintenance d’un système informatique.

Les services « ASP » (pour « Application Service Provider ») dérivent des contrats d’outsourcing. Sauf que dans les contrats ASP, le client ne fait que louer un droit d’accès et d’utilisation du système informatique auprès du prestataire. Le client dispose ainsi d’un accès à distance à des applications sur un serveur extérieur, ce qui le dispense d’acquérir lui-même une infrastructure informatique, des licences d’utilisation de progiciels etc.

Les services SaaS (pour « Software As A Service »), sont quant à eux des dérivés des contrats ASP dont ils constituent une forme particulière (application personnalisée), en externalisant le système informatique du client, auquel celui-ci à accès exclusivement par Internet.

B) Les apports du cloud computing

L’adoption du Cloud a été rapide et globale. A l’origine, les trois principes raison qui envoient les entreprises à adopter les services Cloud sont : la flexibilité de la fourniture des services, les équipements géographiques et l’offre.

En effet, le Cloud computing offre la possibilité d’étendre le système d’information d’une entreprise à la simple demande de celle-ci, en fonction de l’utilisation attendue (pics d’activité, pics de fréquentation, etc.).

Les services fournis dans le cadre du cloud computing sont vastes. L’entreprise peut notamment bénéficier d’une capacité de traitement de l’information (sans acquérir des ordinateurs et ressources nécessaires), d’infrastructures informatiques (de type réseaux), de capacités de stockage et d’archivage (sans avoir à se doter de serveurs spécifiques) mais aussi d’applications informatiques (sans avoir à acquérir les licences correspondantes).

Ainsi, le cloud computing permet, sans investissement majeur en termes d’infrastructure et de dépenses en capitaux, de bénéficier d’un service à moindre coût fondé sur la consommation, de type « pay-per-use », et par suite d’optimiser la gestion des coûts d’une entreprise.

De ce fait, le prix d’un tel service est calculé en fonction de la consommation effective d’une entreprise, tout comme pour l’utilisation du gaz ou de l’électricité. L’entreprise achète en quelque sorte la possibilité d’utiliser de la puissance informatique sur demande.

Au-delà du service en lui-même, les avantages du cloud computing, résident donc d’une part dans la simplicité et la rapidité de mise en œuvre dudit service, et d’autre part dans la grande flexibilité liée à l’offre sur demande que celui-ci permet.

Enfin, il convient de noter que techniquement, il est possible de mettre n’importe quelle application dans un cloud computing. Néanmoins, ses usages principaux concerneront essentiellement le management lié aux nouvelles technologies, la collaboration, les applications personnelles ou d’entreprise, le développement ou le déploiement des applications et enfin les capacités serveurs et de stockage.

A titre d’illustration, Microsoft a investi des centaines de millions de dollars cette année pour construire et améliorer les centres de données (le dernier, ouvert à Chicago, compte 300000 serveurs !) qui rendent ses ambitions de cloud computing possibles. Malgré la crise économique, Microsoft a investi 9 milliards de $ en R&D, 10 % de plus que l’année dernière, et les spécialistes prédisent déjà que le géant américain, malgré les critiques faites à son encontre, sera l’acteur le plus prééminent et le plus rentable en la matière.

Le cloud computing constitue donc un service mutualisé et virtualisé, dont le coût varie uniquement en fonction de l’utilisation effective, qu’il conviendra d’encadrer spécifiquement sur un plan juridique.

 

II . Les risques juridiques liés à l’utilisation du cloud computing

Les principaux risques juridiques du cloud computing sont inhérents aux données (A). Il convient de s’en prémunir dans des contrats sécurisés (B).

A) La sécurité et la sécurisation des données

Le cloud computing se base sur l’hypothèse selon laquelle la majeure partie de l’informatique s’effectue sur une machine souvent distante qui diffère de celle en cours d’utilisation. Les données recueillies lors de ce processus sont stockées et traitées par des serveurs distants (aussi connus sous le nom de « serveurs Cloud »), ce qui signifie que l’appareil qui accède au Cloud est moins sollicité.

Ces serveurs libèrent la mémoire et la puissance de calcul des ordinateurs personnels puisque ce sont eux qui hébergent les logiciels, les plates-formes et les données. Les utilisateurs accèdent aux services Cloud de manière sécurisée : il leur suffit d’utiliser les identifiants transmis par le fournisseur de cloud computing.
Comme le cloud computing implique d’héberger la charge de travail de l’ordinateur d’un utilisateur sur une machine différente, le Cloud est donc accessible partout et disponible dès lors qu’une connexion Internet l’est également.

Certaines sociétés ont leur propre infrastructure Cloud pour conserver les données utilisateur (Google dispose par exemple de ses propres serveurs, tout comme Salesforce). Toutefois, un Cloud peut aussi consister en un nombre restreint d’ordinateurs. Ainsi, il existe des Clouds publics et privés, qui peuvent être autohébergés ou hébergés par un tiers. Pour les Clouds privés, les utilisateurs doivent disposer de plates-formes ou de sessions appropriées (comme un navigateur web ou un compte en ligne) pour pouvoir accéder aux serveurs et aux données qu’ils contiennent.

La mise en place de services de cloud computing n’est pas sans risques, notamment au regard de la sécurité et de sécurisation des données. En effet, l’accès aux données et aux applications est réalisé entre le client et la multiplicité des serveurs distants. Ce risque se trouve donc amplifié par la mutualisation des serveurs et par la délocalisation de ceux-ci.

L’accès aux services induira donc des connexions sécurisées et une authentification des utilisateurs. Se posera alors le problème de la gestion des identifiants et celui des responsabilités (accès non autorisé, perte ou vol d’identifiants, niveau d’habilitation, démission ou licenciement, etc.).

Il existe également un risque de perte de données qu’il conviendra de prendre en considération, d’évaluer et d’anticiper dans le cadre de procédures de sauvegarde adaptées (stockage dans des espaces privés, en local, en environnement public, etc.). De même, il existe également des risques au regard de la confidentialité des données (fuites), vu le nombre de serveurs et la délocalisation de ceux-ci.

De surcroît, la réalisation des services de cloud computing étant assurée par un prestataire externe, celle-ci comporte des risques au regard de la qualité de service obtenue, et de la propriété et de l’intégrité des données et/ou applications confiées, risques qu’il conviendra donc de prévoir contractuellement.

En outre, la mise en place de ce type de service peut parfois s’avérer onéreuse. Il existe en effet des risques financiers liés aux outils de contrôle servant à évaluer la consommation du cloud computing, et sa facturation. Il conviendra ainsi de définir contractuellement une unité de mesure du stockage, et des ressources informatiques utilisées, ou encore du nombre d’utilisateurs actifs, afin que cela reste avantageux pour l’entreprise concernée.

Finalement, la mise en place de services de cloud computing fait naître pour l’entreprise un certain nombre de risques au regard des données personnelles et des formalités imposées par la CNIL. Ces risques sont aggravés en cas de transfert de données hors de l’Union européenne (UE). La rédaction de contrats de cloud computing devra donc également prendre en considération ces problématiques.

En effet, le contrat doit tenir compte de ces contraintes, d’autant que le fait de confier ses données à un sous-traitant n’exonère pas le responsable du traitement de ses obligations. Cette question prend une ampleur particulière, car les serveurs sont délocalisés et le client n’a pas à connaître la localisation des serveurs.

Cependant, la loi impose, pour les transferts de données à caractère personnel hors de l’Union européenne, des formalités d’autorisation. Il est donc prudent d’imposer au prestataire de cloud computing soit un engagement de maintenir ses serveurs au sein de l’Union européenne, soit de veiller à être bien informés dans le cas d’un transfert hors Union européenne.

Il convient de distinguer entre les données personnelles telles que définies par le Règlement général sur la protection des données (RGPD) et les données commerciales non personnelles. Le RGPD, dans son article 4, définit les données personnelles comme toute information relative à une personne physique identifiée ou identifiable de manière directe ou indirecte par référence à des éléments qui lui sont propres. Sachant que les données à caractère personnel sont protégées par ce règlement, les données commerciales, quant à elles, sont régies par les dispositions de la loi n° 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires et plus précisément en vertu l’article L151-1 du Code de commerce. (1)

B) Les précautions juridiques nécessaires à la rédaction d’un contrat de cloud computing

Il conviendra d’un point de vue général de mettre en place, pour pallier les risques précédemment évoqués, comme dans le cadre de tout projet d’externalisation, une convention de niveau de service, également appelée « SLA » (pour « Service Level Agreement »), permettant au client d’obtenir du prestataire une qualité de service convenue contractuellement.

En outre, la convention pourra comporter des indications quant aux attentes du client relatives à la réalisation des obligations du prestataire et notamment instaurer un système de malus ou de pénalités.

Il s’avère primordial de contractualiser un plan de réversibilité permettant d’assurer le transfert des services à d’autres prestataires, et ce, pour assurer une pérennité des services de cloud computing.

Plus particulièrement, il conviendra de prévoir les facteurs déclencheurs de cette réversibilité (carence du prestataire, libre choix du client après un certain nombre d’années), les conditions de cette réversibilité (simple discontinuité du service, ou arrêt total du service) et enfin le coût de celle-ci.

Il sera préconisé de prévoir la réplication des données sur plusieurs sites distants ou l’obligation de résultat de restauration des données dans des délais contractuels définis afin de palier leur perte. L’accord de Cloud Computing devra aussi stipuler une garantie de paiement d’une indemnité aux personnes physiques concernées par les données personnelles, en cas de traitement illicite ou de perte de ces dernières.

Le contrat prendra soin de préciser que l’ensemble des traitements ne seront opérés par l’hébergeur que sur instructions et contrôle des utilisateurs, c’est-à-dire sans prise d’initiative sans instructions expresses des utilisateurs considérés comme responsables de traitements.

En ce qui concerne l’intégrité et de la confidentialité des données, il pourra être prévu une clause d’audits externes, chargés d’une mission de contrôle acceptée par l’hébergeur du service. Notons aussi qu’il conviendra de s’assurer de la bonne rédaction de la clause de responsabilité du contrat, et d’encadrer tout particulièrement la traçabilité, l’accès frauduleux, l’atteinte à l’intégrité, voire la perte de données sensibles.

Mais s’agissant plus particulièrement les données sensibles que sont les données personnelles, le client pourra exiger que celles-ci restent localisées sur des serveurs exclusivement situés dans l’UE et prévoir les moyens de contrôle de cette obligation.

Le client s’exonérera ainsi d’un ensemble de formalités CNIL liées au transfert de données personnelles en dehors de l’UE. Pour se prémunir, il pourra aussi stipuler une interdiction pour l’hébergeur de regrouper, ou de stocker sur des serveurs identiques, un fichier de données avec d’autres fichiers comportant des données dites sensibles (par exemple : des fichiers comportant des informations bancaires et financières).

Enfin, nouveau modèle d’intégration de services informatiques, utilisables à la demande via Internet, reposant sur l’hébergement et l’accès à distance, attractif pour les entreprises, le cloud computing reste complexe à maîtriser.

Naturellement le bénéficiaire du cloud computing aura intérêt à s’assurer que le contrat de cloud comporte une clause intuitu personae, à encadrer autant que possible les conséquences de la disparition de son cocontractant.

Il conviendra par conséquent pour les entreprises de mettre en place un cadre contractuel adapté. L’encadrement juridique est en effet primordial pour prévenir les risques liés à ce service, qui, d’ici 2020, permettra aux entreprises de faire migrer l’essentiel de leurs applications dans les « nuages ».

Cela étant, il est intéressant d’évoquer le Cloud Act (Clarifying Lawful Overseas Use of Data Act) qui avait été adopté, le 8 mars 2018, par le Congrès américain. Ce Cloud Act permet aux agences de renseignement américaines ou aux forces de l’ordre d’obtenir les informations stockées dans les serveurs des opérateurs de télécoms et des fournisseurs de services de Cloud computing.

En effet, les prestataires de services sont obligés de communiquer « les contenus de communications électroniques et tout enregistrement ou autre information relative à un client ou abonné, qui sont en leur possession ou dont ils ont la garde ou le contrôle, que ces communications, enregistrements ou autres informations soient localisés à l’intérieur ou à l’extérieur des États-Unis ». (2)

Suivant l’exemple américain, les instances européennes ont entamé le travail sur un Cloud Act européen ayant pour objectif l’établissement d’un cadre juridique permettant d’instaurer une souveraineté de l’Union européenne sur son propre cloud. Ces mesures se justifient par les difficultés de mises en œuvre inhérentes au recours au cloud. Comme l’a formulé Frédéric Forster : « Si le recours au cloud a la particularité d’être aisé et convivial, il ne se heurte toutefois pas à des difficultés juridiques de mise en œuvre, voire à des convoitises dont il est évidemment indispensable qu’elles soient régulées et coordonnées ». (3)

Pour lire une version plus complète de cet article sur les risques juridiques du cloud computing, cliquez

Sources

LE CROWDSOURCING

Pratique permettant aux sites internet d’utiliser la créativité, l’imagination des internautes afin de créer leur contenu et cela à moindre coût, le crowdsourcing touche plusieurs domaines, comme les encyclopédies, ou encore le graphisme.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Le terme de « Crowdsourcing » (« Production participative » en français) est un néologisme utilisé pour la première fois par Jeff Howe et Mark Robinson en 2006, dans un article parût chez Wired Magazine intitulé « The rise of Crowdsourcing ».

Il s’agit du fait de faire appel à des acteurs externes (« to outsource ») pour parvenir à l’exécution d’une activité, à un résultat. Cette « sous-traitance » permet donc de mobiliser le savoir-faire d’un grand nombre d’acteurs autres que les acteurs classiques (généralement les employés d’une entreprise, ou des entrepreneurs) pour parvenir à un résultat qui n’aurait pu être obtenu autrement.


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Aujourd’hui, le crowdsourcing est devenu un phénomène largement répandu, à l’heure où le Web 2.0 s’est véritablement installé dans la manière dont on conçoit Internet. Wikipédia est, à ce titre, un exemple très concret du crowdsourcing, puisque le principe consiste à faire appel à de très nombreux contributeurs pour arriver à une base de données conséquente, que quelques contributeurs n’auraient jamais pu constituer à eux seuls.

Au sens strict, le crowdsourcing vise les sites Internet mettant à contribution les internautes qui peuvent gagner quelques euros en contribuant à la création du contenu. Cette pratique est différente des sites dits « citoyens ».

Néanmoins, le crowdsourcing désigne aussi des sites Internet dont la finalité n’est pas réellement d’être une banque de données (au sens large) mais bien un espace interactif entre Internautes, et donc sans rémunération.

Plusieurs questions peuvent se poser, notamment quant à l’intérêt à consacrer du temps à une activité non rémunérée, ou encore d’autres questions d’ordre juridique touchant au droit de la propriété intellectuelle. Enfin des dérives apparaissent, comme avec tout nouveau phénomène.

Le crowdsourcing n’est pas un emploi fixe et rémunéré. Tandis qu’un emploi au sens général du terme est un échange de main d’œuvre contre salaire entre un employé et son employeur, le crowdsourcing est la mise à disposition par des milliers de particuliers de leurs savoirs et compétence, en échange de l’assurance de trouver le moment réponse à une interrogation.

Il est indéniable que cela peut même être source de débat d’idées entre internautes, commentateurs de l’actualité d’un jour. En tout état de cause, le crowdsourcing pour les particuliers est un loisir, qui peut éventuellement conduire à recevoir un peu d’argent de poche.

En effet, il s’agit plus de « troc d’infos » que de travail au sens strict. Ainsi, bien les sites Internet pratiquant le crowdsourcing soient des sociétés commerciales, celles-ci ne peuvent fonctionner qu’avec ce genre de contenus et emploient toujours du personnel rémunéré. De plus, le plus souvent ces sites Internet ont plus une vocation participative qu’une ambition commerciale. En effet, le concept serait bien plus critiquable si les informations, images ou toutes autres données « crowdsourcées » étaient vendues à prix fort par la société commerciale, sans aucune redistribution aux Internautes.

Une autre question essentielle est posée par le crowdsourcing à savoir celle de la propriété intellectuelle, qu’en est-il des droits d’auteurs ? L’exemple adapté en l’occurrence concerne certaines écoles de commerce, en partenariat avec de grandes firmes, qui organisent des concours pour le compte de ces entreprises et dont le but est de réaliser une étude marketing complète ainsi qu’une campagne de publicité.

L’entreprise partenaire offre au lauréat un stage de 6 mois au sein de son équipe, mais les autres candidats ne gagnent rien, si ce n’est d’avoir réalisé un travail susceptible d’être utilisé par l’entreprise, qui conserve toutes les propositions faites dans le cadre du concours. C’est ainsi que le lauréat ne verra jamais son œuvre utilisée, tandis qu’un autre concurrent voit sa campagne placardée sur d’immenses affiches sous le nom de l’entreprise.

Est-ce légal ? Tout à fait, dès lors que la législation des concours a été respectée (présence d’un huissier, disponibilité des règles, etc.), mais surtout dès l’instant où tous les concurrents ont cédé leurs droits d’auteurs.

Le Code de propriété intellectuelle consacre, dans son article L112-1, une protection de « toutes les œuvres de l’esprit, quels qu’en soient le genre, la forme d’expression, le mérite ou la destination. ».

En outre, les dispositions de l’article L122-7 du Code de propriété intellectuelle affirment qu’une telle cession est tout à fait possible à titre gratuit. De même, l’article L122-7-1 dispose que tout auteur est libre de mettre gratuitement son œuvre à la disposition du public, avec un système de licence gratuite. Ainsi, une société, bien que commerciale, peut mettre ses Internautes à contribution dans le cadre d’un concours (légalement organisé cela va de soi), mais aussi dans le cadre d’une mise à disposition du support de diffusion avec licence gratuite, sans cession des droits d’auteurs.

Il convient de préciser que l’article L.131-1 du Code de la Propriété intellectuelle dispose que : « La cession globale des œuvres futures est nulle. ». Ainsi, les contrats de cession sont prévus postérieurement à la création.

Cela étant, les problèmes apparaissent dès lors que les sociétés commerciales en question souhaitent utiliser le crowdsourcing comme moyen de créer du contenu à faible coût. Alors qu’auparavant des sociétés avaient recours à l’outsourcing, qui consistait à sous-traiter dans des lieux où les coûts sont moindres, certaines aujourd’hui espèrent carrément proposer des produits ou services de qualité à prix fort, sans avoir déboursé grand-chose.

Il s’agit de ce qu’on appelle le « perverted crowdsourcing ». Cette pratique trouve ses origines aux États-Unis plus précisément dans l’exploitation d’une faille de la loi américaine. Malheureusement, la loi française n’est pas plus complète. Il n’est pas fait référence au principe selon lequel il est interdit de travailler gratuitement pour le compte d’une société commerciale.

Le but est de sanctionner les sociétés ayant recours au crowdsourcing afin de vendre à prix fort les contenus générés par les internautes. Il est également possible pour stopper une telle pratique de se fonder sur le droit de la propriété intellectuelle, en l’absence de cession régulière des droits d’auteurs, puisque seuls l’auteur ou le titulaire des droits ont la faculté de diffuser, distribuer ou représenter l’œuvre.

Nul ne doute que, des actions seront menées contre de telles pratiques qui sont très éloignées du souhait originel de liberté d’accès à la culture par et pour tous.

Pour lire une version plus complète de cet article sur le crowdsourcing, cliquez

LES RISQUES JURIDIQUES DES LOGICIELS DE RECONNAISSANCE FACIALE

Aujourd’hui, les logiciels de reconnaissance faciale gagnent en performance et en fiabilité. Les plus avancés peuvent ainsi travailler avec des images de basse qualité telles que celles fournies par les caméras de vidéosurveillance. De plus en plus présente dans nos vies, cette technologie génère des inquiétudes et pose de véritables problèmes d’atteinte à la vie privée.

Dès leur avènement aux années 1990, les logiciels de biométrie sont devenus de plus en plus performants notamment en termes de rapidité de traitement et de fiabilité. Comment fonctionne ce procédé ? Le visage est capturé à l’aide de n’importe quel capteur, caméra ou appareil photo, et l’image est ensuite traitée par un logiciel qui repère en général la position des yeux pour procéder à un alignement.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de vie privée en passant par le formulaire !

Grâce à mécanisme, le logiciel fait un relevé des différents points caractéristiques du visage (nez, sourcils, écartement des yeux, etc.). Ensuite, ces informations sont codées sous forme de fichier, le gabarit, dans lequel s’effectueront les recherches. Il est ensuite possible de repérer les similitudes entre les captures de visage et les gabarits présents en base de données.

Ce procédé était utilisé par la police grâce à la technique du bertillonnage, et ce, avant même de la naissance de la technologie. Il s’agit d’une technique criminalistique mise au point par Alphonse Bertillon en 1879 et reposant sur l’analyse biométrique accompagnée de photographies de face et de profil. Le principe était de réaliser des mesures sur les criminels, de noter entre autres l’écartement entre les yeux, la taille du visage, les oreilles… afin de réaliser un fichier d’identification permettant de les reconnaître plus facilement en cas de nouvelle arrestation.

Désormais, les technologies utilisent les mêmes techniques grâce à un algorithme qui permet de comparer un visage à une photo de sa base de données. Jugées peu fiables à l’époque, elles permettent dorénavant un taux de rejet de plus en plus faible. Les réseaux sociaux ont profondément contribué à cette évolution et tous les géants technologiques se sont approprié ce savoir-faire d’identification des visages. Le logiciel d’Apple « iphoto », l’application « Picassa » et le réseau social Facebook utilisent tous ce système de reconnaissance faciale.


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Le paradoxe de Facebook résulte dans le fait que ce sont les utilisateurs eux-mêmes qui abreuvent chaque jour le réseau de centaines de millions de photographies. Selon ce dernier, 100 millions de noms sont mis en légende sous des visages quotidiennement.

Ce processus permet, dès lors, au réseau de posséder de précieuses informations sur ses utilisateurs, notamment concernant ses données personnelles, sur lesquelles les « géants du net » basent leur système économique.

Il convient de préciser que ces utilisations par les entreprises privées de la reconnaissance faciale ne font pas figure de seuls exemples : récemment, certaines villes chinoises se dotaient de cette technologie à des fins de fluidité du trafic.

Ainsi, quand la ville de Shenzhen affiche aux coins des carrefours de grands panneaux analysant les visages des passants, la mégalopole de Shanghaï inflige des contraventions aux personnes qui traversent « au rouge », leur visage placardé sur les écrans des arrêts de bus du quartier grâce à une capture via reconnaissance faciale.

Ces pratiques, toutefois, induisent de possibles dérives bien évidentes, à la limite des romans de science-fiction et du Big Brother de George Orwell…

Le tribunal administratif de Marseille, dans une décision rendue le 27 février 2020, avait annulé la délibération du conseil régional de Provence-Alpes-Côte d’Azur qui consistait à lancer à titre expérimental un dispositif de reconnaissance faciale dans deux lycées.

En l’espèce, lors d’une réunion datant du 14 décembre 2018, ce conseil avait délibéré en vue de lancer cette expérimentation qui visait à assurer le contrôle de l’accès au lycée des lycéens que le système identifiera. En outre, ce dispositif de reconnaissance faciale devait permettre de suivre la trajectoire de non seulement les lycéens, mais également les visiteurs occasionnels que le système ne pourrait pas identifier.

Le tribunal administratif a donc considéré que cette expérimentation portait atteinte aux dispositions du Règlement général sur la protection des données (RGPD). En effet, le tribunal administratif de Marseille s’est aligné sur la position de la CNIL qui avait considéré que cette expérimentation particulière était « contraire aux principes fondamentaux de proportionnalité et de minimisation des données issues du RGPD ». (1)

Quid des craintes sur le respect de la vie privée, sur la possibilité que la police utilise ce système pour mener des enquêtes illégales ou pour que des gens malintentionnés s’en servent à mauvais escient ? Ces inquiétudes sont non seulement légitimes, mais laissent également penser à quel point cette technique nécessite un encadrement pour éviter les dérives.

Il convient, dès lors, de se pencher sur les risques d’atteinte à la vie privée liés aux logiciels biométriques (I), pour envisager un cadre efficace face aux éventuelles dérives (II).

I- Logiciels biométriques et risques d’atteinte à la vie privée

A) Le droit à l’image

Ces techniques permettent de transformer les visages en données électroniques qu’il est désormais possible de regrouper, d’analyser et de classer. Or, ces données sont sensibles et précieuses, car elles sont une caractéristique de notre corps et un élément de notre identité.

Il est incontestable que certaines utilisations de la reconnaissance faciale sont bénéfiques notamment en ce qui concerne l’authentification des employés autorisés à avoir accès à une centrale nucléaire ou la lutte contre la fraude visant les individus qui présentent des demandes de passeport sous différents noms.

Ceci étant, la reconnaissance faciale a également des répercussions sur le respect de notre vie privée et certains auteurs estiment que cette technologie signe la fin de l’anonymat. La base de données d’images de Facebook est certainement la plus importante au monde.

Sur ce réseau planétaire, l’utilisateur a notamment la possibilité de « taguer » une photographie pour y associer un nom et un profil. En 2011, Facebook lance un système de rconnaissance faciale qui permet, à partir d’un nom, de retrouver sur le réseau et le web, toutes les images représentant la personne.

En septembre 2012, ce système a été abandonné par Facebook pour l’Europe à la suite d’une série de plaintes déposées par un étudiant autrichien, Max Schrems, devant l’autorité irlandaise chargée de la protection des données privées.

Parmi les projets en développement, Facebook va frapper fort avec son programme de recherche DeepFace qui sera dévoilé en détail à la fin du mois de juin. La société qui possède 250 milliards de photos personnelles pourra bientôt identifier tout un chacun avec son système de reconnaissance faciale. Ce système ne devrait pas être destiné aux utilisateurs.

Récemment, le 2 novembre 2021, le vice-président de l’intelligence artificielle auprès de Meta (Facebook) avait annoncé l’abandon de la reconnaissance faciale pour ses applications et la suppression des données biométriques pour plus d’un milliard de personnes. En effet, Facebook prévoit de supprimer, d’ici décembre 2021, plus d’un milliard de modèles de reconnaissance faciale. Néanmoins, Meta n’éliminera pas son programme DeepFace. (3)

B) Utilisation des données personnelles et sécurisation des données

La question de la sécurisation des données en ligne se pose à ce stade. L’application Snapchat, prisée par les jeunes, car elle promet l’autodestruction des photos partagées en quelques secondes, a admis de graves failles. Accusée d’avoir récolté les carnets d’adresses des utilisateurs sans leur consentement et de les avoir trompés sur la disparition des fichiers échangés, l’application Snapchat qui n’avait pas sécurisé sa base d’utilisateurs a été victime de pirates qui ont pu récupérer noms et numéros.

Une application actuellement en deuxième période d’essai nommée NameTag fonctionne sur les Google Glass et permet de scanner n’importe quelle personne dans la rue puis de l’envoyer vers les serveurs de FacialNetwork afin de dresser une comparaison avec une base de données contenant pour le moment 2,5 millions de portraits.

C’est après une analyse par le logiciel, le nom de la personne est présenté avec la possibilité de consulter les informations rendues publiques sur divers réseaux sociaux communautaires tels que Facebook, Twitter, Linkedln ou Instagram. La société dispose également de 450 000 fiches issues de la base américaine des agresseurs sexuels et autres criminels. Pour ses lunettes, Google a strictement interdit les applications de reconnaissance faciale reconnaissant la violation de la vie privée.

En ce qui concerne de police judiciaire, les avancées permises par ces logiciels sont certaines. En 2012, le FBI avait investi un milliard de dollars dans ce qui devait être un « programme d’identification de nouveau générateur » permettant de constituer une base de données nationale photographique des criminels puis quelques informations concernant leurs données biométriques.

Auparavant, les défenseurs de la vie privée s’inquiétaient déjà que des personnes au casier vierge et non suspectes puissent figurer dans ce fichier et se retrouver surveillées. Cette crainte semble aujourd’hui se justifier d’après des documents récupérés par la Fondation Electronic Frontier, une ONG à but non lucratif, selon lesquels 4,3 millions de clichés ont été récupérés sans aucune implication criminelle ou enquête en cours.

Il est possible d’imaginer plusieurs situations : celle dans laquelle un innocent se retrouve au cœur d’une enquête criminelle, mais aussi celle où la technologie est utilisée à mauvais escient pour atteindre d’autres objectifs visés par les pouvoirs publics notamment pour réprimer la dissidence. La protection des données biométriques et leur vulnérabilité au piratage et aux utilisations malveillantes suscitent des inquiétudes.

La reconnaissance faciale est encadrée par la loi informatique et liberté du 6 janvier 1978. Mais en 2018 un nouveau règlement européen est entré en vigueur mettant en place de nouvelles règles dans ce domaine.

Ce texte européen n’est autre que le règlement général sur la protection des données adoptée par le parlement européen en avril 2016 et entrée en vigueur le 25 mai 2018. Selon ce nouveau texte, les données biométriques doivent être considérées comme des données sensibles. Or il s’avère que ce règlement interdit le traitement des données sensibles à l’article 9.1. En principe la reconnaissance faciale est donc interdite par ce texte.

Le droit français a été adapté à ce nouveau texte européen par le biais de la loi du 20 juin 2018 qui a substantiellement modifié la loi informatique et liberté tout en faisant usage des marges de manœuvre accordées aux États membres par le RGPD. Ensuite, l’ordonnance n° 2018-1125 du 12 décembre 2018 est intervenue afin de réécrire et de remettre en cohérence la loi du 6 janvier 1978 ainsi que d’autres lois françaises qui traitent de la protection des données.

Cette législation, cependant, comporte également beaucoup d’exceptions à ce principe. La reconnaissance faciale peut être autorisée sur les personnes qui consentent à son utilisation. L’État peut lui aussi recourir à un système de reconnaissance faciale lorsque l’intérêt public est en jeu. Mais il faut pour cela respecter une certaine procédure.

Cette procédure se résume au dépôt d’un décret devant le Conseil d’État ainsi que la sollicitation de l’avis de la CNIL (Commission nationale de l’informatique et des libertés). Le procédé est également autorisé s’il utilise des données à caractère personnelles, mais qui sont rendues publiques par la personne concernée. Si la technologie de reconnaissance faciale est intégrée dans un système comme un téléphone ou un ordinateur alors son utilisation peut aussi être autorisée.

II- La nécessité d’un encadrement afin d’éviter les dérives

A) Le contrôle de la CNIL en France

Conformément à une étude effectuée à la demande de la CNIL par TNS Sofres, les technologies de reconnaissance faciale qui permettent d’associer automatiquement un nom suscitent des inquiétudes pour 41 % des participants, malgré une faible utilisation pour le moment (12 % des internautes). La CNIL est chargée d’encadrer les pratiques liées à la biométrie faciale.

Un cadre légal s’impose face à cette technologie. À moins d’avoir nommé un correspondant Informatique et Liberté (CIL), une déclaration auprès de la CNIL est nécessaire en cas d’usage de vidéosurveillance.

S’agissant des usages privés, la CNIL a surtout un rôle d’information générale et d’éducation des internautes quant à leur utilisation des réseaux sociaux. Elle a émis plusieurs recommandations dans certains articles de son site afin de sensibiliser les citoyens sur ces pratiques et d’éviter les dérives.

En France, la reconnaissance faciale appliquée à la sécurisation des accès dans les entreprises ou dans les lieux publics est soumise à l’autorisation de la CNIL. Si l’application est mise en œuvre pour le compte de l’État, il faut un décret en Conseil d’État après un avis préalable de la commission. Au contraire, si l’application biométrique est limitée à un usage exclusivement personnel, elle ne sera pas soumise à la loi informatique et liberté (exemple : reconnaissance faciale qui sécurise l’accès aux ordinateurs domestiques, à un Smartphone).

Alors qu’en France, la surveillance globale est un concept toujours lointain, il existe à New York des caméras installées dans la ville qui permettent d’observer les citoyens et de pouvoir effectuer une analyse biométrique de leur visage afin de le comparer à une base de données dans un but de protection contre le terrorisme.

L’idée consiste à ce que les autorités puissent identifier toute personne marchant dans la rue est inquiétante et attentatoire à la vie privée. La législation devra sûrement s’adapter avec l’arrivée de ces nouvelles technologies telles que les lunettes connectées ou encore les drones .

La CNIL n’est donc pas opposée par principe à l’utilisation de la reconnaissance faciale, mais elle réclame que son utilisation s’accompagne d’une prise de conscience sur les dangers potentiels que pourrait représenter cette technologie.

A cet égard, en septembre 2018 elle avait appelé à la tenue d’un débat démocratique sur le sujet. Ce débat devait déboucher sur l’instauration de gardes fous pour préserver la sécurité des citoyens et empêcher que cet outil ne soit utilisé à mauvais escient. Elle demandait ainsi de trouver « un juste équilibre entre les impératifs de sécurisation notamment des espaces publics et la préservation des droits et libertés de chacun ».

Dans ce but, la CNIL a apporté, le 7 novembre 2019, une première contribution de méthode à ce débat et qui poursuit les quatre objectifs suivants :

  • La présentation technique de ce qu’est la reconnaissance faciale et à quoi elle sert.
  • La mise en lumière des risques technologiques, éthiques, sociétaux, liés à cette technologie.
  • Le rappel du cadre s’imposant aux dispositifs de reconnaissance faciale et à leurs expérimentations.
  • La précision du rôle de la CNIL dans l’éventuel déploiement de nouveaux dispositifs de reconnaissance faciale à titre expérimental. (2)

La CNIL a imposé, dans ce contexte, certaines exigences en matière de reconnaissance faciale pour concrétiser cet objectif. Elle tient donc à ce que les risques technologiques, éthiques et sociétaux que cette technologie comporte soient mis en lumière.

Elle demande en particulier aux acteurs ayant une activité dans le domaine de faire en sorte que son utilisation se fasse en toute transparence. Toutefois les risques liés à cette technologie sont si importants que la CNIL distingue entre ceux qui ne sont pas acceptables, car ils auraient des conséquences beaucoup trop importantes dans une société démocratique et ceux qui peuvent être assumés moyennant des garanties appropriées.

Elle exige de ce fait une étude d’impact avant toute utilisation de la reconnaissance faciale pour évaluer les dommages qu’elle pourrait causer. S’ils sont trop importants ou s’il n’existe aucun moyen pour s’assurer que les principes démocratiques seront préservés alors l’emploi de ce dispositif ne sera pas autorisé. Elle préconise donc une étude au cas par cas.

Selon la commission le respect des personnes doit être placé au cœur des systèmes utilisant la reconnaissance faciale. La CNIL réclame donc que les entreprises mettant cette technologie à disposition du public respectent les règles édictées par le RGPD notamment le recueil du consentement et la garantie du contrôle des données.

Récemment, la Présidente de la CNIL a adressé, le 18 février 2021, un avertissement à un club sportif en matière de reconnaissance faciale. Le club sportif en question envisageait de recourir à un système de reconnaissance faciale dans le but d’identifier automatiquement les personnes qui font l’objet d’une interdiction commerciale de stade.

En effet, en l’absence d’une disposition législative ou réglementaire spéciale, la mise en œuvre de ce dispositif de reconnaissance faciale par ce club sportif à des fins de « lutte antiterroriste » est considérée comme illicite. Ainsi, ce projet a été considéré par la CNIL comme non conforme au RGPD et à la loi informatique et liberté.

B) Rebondissements à l’échelle internationale

Dans de nombreux pays, des réflexions sur le sujet ont été menées. En mars 2012, le Groupe de travail « Article 29 sur la protection des données de l’Union européenne » a exprimé son opinion concernant la reconnaissance faciale dans les services en ligne et mobiles en vue d’une réflexion sur le cadre juridique approprié et de la formulation de recommandations. Ce groupe de travail mentionne l’absence de consentement, les mesures de sécurité insuffisantes et le fait que ces technologies pourraient sonner le glas de l’anonymat.

Il convient de rappeler qu’en avril 2012, le groupe de travail a rendu publique une opinion qui indique qu’il faut obtenir le consentement de l’intéressé pour stocker et utiliser des données biométriques. De ce fait, Facebook a été contraint de désactiver son système de reconnaissance faciale qui contrevenait aux lois sur la protection des données de l’UE et à supprimer les photos qu’il avait recueillies en Allemagne.

En outre, un avis commun sur la proposition de règlement de la Commission européenne sur l’intelligence artificielle a été rendu le 21 juin 2021. Dans cet avis, la CNIL européenne (European Data Protection Board) et l’European Data Protection Supervisor (EDPS) affirment leur volonté de vouloir interdire les outils de reconnaissance faciale dans l’espace public.

Andrea Jelinek, la présidente du comité européen de la protection des données, et Wojciech Wiewiórowski, CEPD ont déclaré que : « le déploiement de l’identification biométrique à distance dans les espaces accessibles au public signifie la fin de l’anonymat dans ces lieux. Les applications comme la reconnaissance faciale en direct interfèrent avec les droits et libertés fondamentaux dans une telle mesure qu’elles pourraient remettre en cause l’essence même de ces droits et libertés ». (5)

Également intéressée par ces questions, La Federal Trade Commission a rendu publiques des pratiques exemplaires (autorisation des clients) à l’intention des entreprises ayant recours aux technologies de détection des visages. D’ailleurs aux États-Unis, la reconnaissance faciale gagne de plus en plus de terrain. L’organisme d’audit du Congrès des États-Unis (Government Accountability Office (GAO)) a publié, le 24 août, un rapport selon parmi 24 agences interrogées, dix envisagent d’intensifier leur utilisation de la reconnaissance faciale d’ici 2023. (4)

En conclusion, il est incontestable que la reconnaissance faciale confère une nouvelle dimension à la surveillance du fait qu’elle permet d’identifier les individus beaucoup plus rapidement et aisément. Elle constitue l’un des enjeux majeurs de ces prochaines années face au développement de ces nouvelles technologies et d’autant plus avec l’arrivée de la géolocalisation.

Pour lire une version plus complète de cet article sur la reconnaissance faciale, cliquez

Sources :

Contrat de cession du droit à l’image

L’autorisation par laquelle une personne en autorise une autre à exploiter son image est appelée cession de droit à l’image. La loi et les tribunaux protègent le droit exclusif de chacun sur sa propre image et sur l’utilisation qui peut en être faite. Ce type de cession est très courant dans l’univers de la mode ou des médias.
Existe-t-il des règles spéciales régissant ce type de cession ?

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

En France, le droit à l’image est protégé par le biais des droits de la personnalité.
Les droits de la personnalité assurent à l’individu la protection des attributs de la personnalité et garantissent son intégrité morale.
Plusieurs textes assurent leur protection, c’est le cas de l’article 12 de la DUDH et de l’article 9 ou 16 du Code Civil.
Ces droits sont des droits extrapatrimoniaux, c’est-à-dire qu’ils sont reconnus à toute personne du simple fait qu’elles existent. Contrairement aux droits patrimoniaux, les droits extrapatrimoniaux sont situés en dehors du patrimoine de l’individu. Ils sont, dès lors, absolus, intransmissibles, imprescriptibles et insaisissables.

À l’origine, le droit à l’image va être consacré grâce au droit au respect de la vie privée consacré à l’Article 9 du code civil.


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien


 » Chacun a droit au respect de sa vie privée. Les juges peuvent, sans préjudice de la réparation du dommage subi, prescrire toutes mesures, telles que séquestre, saisie et autres, propres à empêcher ou faire cesser une atteinte à l’intimité de la vie privée : ces mesures peuvent, s’il y a urgence, être ordonnées en référé.  »

Toute personne physique a le droit de disposer de son image, quelle que soit la nature du support de publication ou de diffusion de l’image.
Néanmoins, ce droit n’est n’a jamais été reconnu expressément par le législateur. Il n’existe que dans son rapport avec la vie privée et n’est donc pas un droit absolu.
Le droit au respect de la vie privée permet une protection contre toute intervention arbitraire dans l’intimité d’une personne. La protection conférée par ce texte est quasiment sans limites. En effet, la notion de  » vie privée  » est extensive et évolue au gré de nouvelles mœurs et technologies.
Ainsi, le droit à l’image devient, au fil du temps, un droit autonome et distinct du droit au respect de la vie privée, même si protégé sur le même fondement.

Contrairement aux autres droits de la personnalité, droits extrapatrimoniaux, le droit à l’image est mixte.
Intimement lié à l’individu, il est extrapatrimonial, et pouvant faire l’objet d’exploitation commerciale, il est patrimonial. Cette double nature affecte la portée de sa protection.

En effet, toute personne peut transférer le droit qu’elle a sur son image à un tiers dans le cadre d’un contrat de cession de droit à l’image.

Ainsi, il est nécessaire de se demander quelles règles sont applicables aux contrats de cession de droit à l’image.

Le Tribunal de Grande Instance de Paris a répondu à cette question dans un arrêt du 07 octobre 2015.

En l’espèce, un mannequin avait signé un contrat par lequel elle consentait à céder son droit à l’image à une société spécialisée dans le commerce de l’habillement.
Aux termes du contrat, le mannequin accordait un droit d’exploitation de son image dans une vidéo promotionnelle de la marque de la société  » de façon définitive et irrévocable, et ce, sans aucune limitation de durée et aucune restriction de territoire, le droit d’utiliser son image provenant exclusivement des prises de vues issues du tournage « .
La vidéo a été diffusée sur tous les réseaux (câblés et internet) à des fins commerciales, comme prévu dans le contrat.

Dès lors, les juges ont dû déterminer si le contrat de cession du droit à l’image relevait du droit commun des contrats ou à des règles spécifiques.

Toutefois concernant les conditions de délimitation territoriale, le 14 mai 2020, le tribunal judiciaire de Nanterre a consacré un principe d’unité du préjudice en cas de communications papier et en ligne, concomitantes. Il n’existe pas de préjudices distincts, bien que la communication en ligne ait touché un public différent de celui de la communication papier. Le tribunal considère que l’unité de temps et de lieu a joué à une aggravation d’un préjudice unique.

La doctrine s’était en effet demandée s’il était possible de rapprocher le régime particulier de la cession de droit d’auteur à celle du droit de l’image.
En droit de la propriété intellectuelle, la cession de droits est subordonnée à une obligation de circonscrire très précisément dans le temps et l’espace son étendue.

Cependant, la jurisprudence avait écarté, à de nombreuses reprises, la subordination de la validité des contrats de cession de droit à l’image à l’obligation de limitation territoriale ainsi qu’à celle d’énumération précise des usages fait de l’image.
Ces décisions prouvent l’existence d’un traitement juridique distinct entre la cession de droit d’auteur et celle de droit à l’image.

En outre, d’après l’article 9, seul article applicable en la matière, toute personne physique a le droit de disposer de son image, quelle que soit la nature du support de publication ou de diffusion de l’image. Ainsi, la cession de l’image relève de la liberté contractuelle et donc du croit commun des contrats. Le droit à l’image ne peut donc être assimilé au droit d’auteur qui lui est régi par le Code de la Propriété Intellectuelle.
Dès lors, tout contrat de cession d’image sera apprécié au regard des règles contractuelles de droit commun.

En droit commun des contrats sont prohibés les engagements perpétuels. En d’autres termes, tout contrat instituant une durée d’engagement ad vitam aeternam est nul.
Cette prohibition n’entraîne pas, en revanche, l’interdiction de prévoir une durée contractuelle indéfinie.
En effet, les contrats prévoyant une telle durée sont qualifiés de contrats à durée indéterminée.
En l’espèce, le contrat était signé « sans aucune limitation de durée « .

C’est sur ce fondement que le TGI de Paris a considéré valable la résiliation du contrat liant le mannequin à la société spécialisée dans le commerce d’habillement.
Tout contrat à durée indéterminée peut être résilié à tout moment de façon unilatérale.

« du fait de l’absence de terme prévu pour l’autorisation donnée d’utiliser et d’exploiter son image, ce contrat doit s’interpréter comme un contrat à durée indéterminée dont la résiliation est offerte aux deux parties. »

Le contrat de cession de droit à l’image est donc soumis au droit commun des contrats.

S’agissant du point de départ de la durée de la cession du droit à l’image, ce dernier à fait l’objet d’un contentieux, le 16 novembre 2018. En l’espèce, une mannequin avait tourné un film publicitaire, encadré par un contrat de cession du droit à l’image. Or le contrat limitait l’autorisation d’exploitation de l’image, à une durée de 2ans. Or 3 ans plus tard, le film publicitaire est toujours exploité par la société. Le contrat ne prévoyant pas de point de départ à l’exploitation des droits, ce dernier fut laissé à l’appréciation du juge, qui a considéré que le point de départ débutait à la signature du contrat et non à la première diffusion du film publicitaire. Le juge en a conclu, que la durée d’exploitation de 2ans était terminée et que la société avait alors violé l’article 9 du Code civil.

Dans cette même décision, le juge a déclaré que, le droit à l’image est un droit exclusif dont dispose la mannequin, et que même si son visage est flouté sur le film, le reste du corps est visible et est donc un attribut du droit à l’image.

Enfin, dans une décision du 10 septembre 2018, la cour d’appel de Versailles a précisé qu’une violation du droit à l’image ne constituait pas une atteinte à la vie privée. La cour n’a pas retenu d’atteinte à la vie privée en l’espèce, car la personne concernée était de notoriété publique et qu’elle avait elle-même annoncé sa venue à l’événement où elle a été photographiée. L’atteinte à la vie privée ne se déduit donc pas forcément d’une atteinte à son droit à l’image.

Pour voir l’article sur la protection du droit à l’image en version plus complète, cliquez

SOURCES

http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=4752
Tribunal judiciaire de Nanterre, pôle civil, 1ère ch., jugement du 14 mai 2020
https://www.legalis.net/jurisprudences/tribunal-judiciaire-de-nanterre-pole-civil-1ere-ch-jugement-du-14-mai-2020/
TGI de Paris, ordonnance de référé du 16 novembre 2018
https://www.legalis.net/jurisprudences/tgi-de-paris-ordonnance-de-refere-du-16-novembre-2018/
Cour d’appel de Versailles, 1ère ch. – 1ère sec., arrêt du 29 juin 2018
https://www.legalis.net/jurisprudences/cour-dappel-de-versailles-1ere-ch-1ere-sec-arret-du-29-juin-2018/