Vidéoprotection et vidéosurveillance : quelle distinction pour quels régimes ?

vidéosurveillanceFrédéric Forster évoque dans sa dernière contribution au magazine E.D.I. les régimes juridiques respectifs de la vidéosurveillance et de la vidéoprotection.

Si les technologies mises en œuvre dans le cadre des dispositifs de vidéosurveillance et de vidéoprotection semblent comparables, leurs régimes juridiques respectifs ne sont pas totalement identiques: c’est ce que souligne Frédéric Forster, Directeur du Pôle Télécoms du cabinet Lexing Alain Bensoussan Avocats dans sa contribution au dossier que le magazine E.D.I. consacre à la vidéosurveillance dans sa dernière livraison (n°84, décembre 2018).

Vidéoprotection ou vidéosurveillance

Le terme « vidéoprotection » désigne les dispositifs installés sur la voie publique ou filmant des lieux ouverts au public (l’accueil d’une entreprise, le parking de l’entreprise ou le hall d’entrée d’un immeuble collectif par exemple) alors que celui de « vidéosurveillance » sera utilisé pour désigner les dispositifs installés dans l’enceinte même de l’entreprise ou à l’intérieur du domicile d’une personne privée.

Partant, les dispositifs de vidéosurveillance et de vidéoprotection relèvent de deux régimes d’encadrement juridique différents :

Ajoutons que si l’installation des premiers requiert une autorisation préfectorale ainsi que la mise en œuvre des obligations en matière de protection des données personnelles, les seconds n’entrent pas dans le périmètre de la compétence préfectorale.

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique

F. Forster, «Distinguer protection et surveillance», EDI n° 84, déc. 2018 janv. 2019.




Design interactif : définition, enjeux et perspectives

Design interactif : définition, enjeux et perspectives

Aux frontières de la technologie et de la création, le design interactif est au cœur de la stratégie des entreprises.

Innovation et différenciation par le design interactif

Cause et conséquence de la transformation numérique, les entreprises centrent leurs activités sur l’innovation technologique. Elles doivent créer des produits et services toujours plus performants afin de répondre aux besoins et aux attentes des utilisateurs.

Néanmoins, au cœur de l’innovation, le design constitue un critère d’achat au même titre que la technologie qu’il contient. Il joue un rôle clé dans la création de valeur ajoutée et la capacité de différenciation des entreprises. Il est donc un élément moteur de l’innovation et de la création et, partant, un véritable levier de croissance économique.

Dans ces conditions, le design ne se limite plus à l’apparence d’un produit ou d’un emballage. Il s’interroge sur les rapports entre les personnes et les produits ou services qui leur sont offerts. Il s’inscrit dans l’évolution des interactions homme-machine. Son objectif est de répondre aux besoins évolutifs des utilisateurs, de créer de nouvelles expériences et de révolutionner les usages.

Le design s’adresse à tous les secteurs d’activité. Il s’inscrit dans toutes les étapes de conception, fabrication et commercialisation d’un produit ou d’un service.

Les entreprises doivent donc placer – ou replacer – le design au cœur de leur démarche, particulièrement le design interactif.

Conception de produits et services numériques par le design interactif

L’association des designers interactifs définit le design interactif comme « l’activité créatrice dédiée à la conception des produits et services numériques ». Il consiste à imaginer les interactions entre les personnes et les produits et services, dans leurs dimensions numérique et physique.

En effet, selon l’association professionnelle américaine IxDA (Interaction Design Association), le designer d’interaction s’efforce de créer des relations signifiantes entre les personnes et les produits et services qu’elles utilisent. Ces interactions s’expriment dans le comportement du produit ou du service, autour d’un objet, d’une interface ou d’un environnement numérique.

Aussi, le design interactif s’attache naturellement aux objets connectés mais également aux applications, à l’architecture de l’information et à leur ergonomie. Il s’intéresse également à l’expérience utilisateur, aux qualités émotionnelles et aux expériences sensorielles portées par un produit ou un service. Il conduit à adopter le point de vue de l’utilisateur, privilégiant la dimension émotionnelle et les interactions intuitives, sans effort. Il s’agit d’humaniser la technologie, au point de la rendre invisible pour l’utilisateur.

Enjeux et perspectives juridiques du design interactif

Le design interactif transcende les frontières de la technologie et de la création. Dans ce cadre, il doit faire face à de nombreuses contraintes, mais également à d’importants enjeux juridiques.

Le design interactif doit se voir appliquer les règles spécifiques au secteur dans lequel il intervient. En effet, s’adressant à tous les secteurs d’activité, des objets connectés et services numériques peuvent être utilisés notamment dans les secteurs de la santé, des transports, des banques et assurances, soumis à des réglementations strictes. Il doit également être encadré par le droit de la responsabilité civile et pénale.

Par ailleurs, dès lors qu’il est centré sur l’utilisateur, le design interactif peut soulever des problématiques en termes de protection de la vie privée et de protection des données personnelles, ainsi qu’en droit de la consommation.

Enfin, s’agissant de sa protection, le design interactif tient compte de considérations à la fois techniques et ornementales, parfois indissociables. Le produit ou service en résultant est donc susceptible de revendiquer des régimes de protection distincts mais souvent contradictoires.
A titre d’exemple, si le régime de protection des dessins et modèles apparait comme le mode de protection naturel du design, il convient de ne pas oublier qu’une telle protection ne pourra porter sur les programmes d’ordinateur. Elle sera également écartée en présence de modèles d’interconnexion ou de modèles dont les caractéristiques sont exclusivement imposées par la fonction technique du produit.

A l’inverse, si l’aspect interactif peut conduire à un dépôt de brevet, ce régime de protection exclut expressément les créations esthétiques.

Dès lors, tout produit ou service intégrant du design interactif doit faire l’objet d’une réflexion globalisée et d’une stratégie de protection adaptée (1).

Virginie Brunot
Justine Ribaucourt
Lexing Droit Propriété industrielle

(1) Pour une première étude relative à la protection des objets connectés : « Objets connectés et propriété intellectuelle : L’Ido au secours de la propriété intellectuelle et réciproquement : les clés d’une interdépendance réussie ? » , Virginie Brunot, in La propriété intellectuelle & la transformation numérique de l’économie, Regards d’experts, 10-9-2015




Rappel des conditions de protection d’un site internet

Rappel des conditions de protection d’un site internetLes conditions de protection d’un site internet ont été rappelées par le Tribunal de grande instance de Paris.

En l’espèce, une société spécialisée dans la vente de détail d’équipements automobiles, estimant que son concurrent avait copié son site internet, a assigné ce dernier en contrefaçon et en concurrence déloyale devant le Tribunal de grande instance de Paris.

Le jugement (1), qui rejette l’ensemble des demandes de la demanderesse, permet de faire le point sur les conditions préalables à la protection d’un site internet.

Pas de contrefaçon en l’absence d’originalité

Si les sites internet sont susceptibles de bénéficier d’une protection au titre du droit d’auteur, encore faut-il qu’ils revêtent un caractère original.

En l’espèce, la défenderesse a soutenu que la présentation du site internet revendiqué par la demanderesse ainsi que son architecture étaient banals au regard d’autres sites marchands opérant dans le même domaine d’activité.

Dans ce cadre, le tribunal a rappelé que l’originalité d’un site internet s’apprécie de manière globale, de sorte que la combinaison des éléments qui le caractérise doit lui conférer, du fait d’un agencement particulier, une physionomie propre qui démontre l’effort créatif et le parti pris esthétique traduisant l’empreinte de la personnalité de son auteur.

Or, selon le tribunal, aucun des éléments avancés par la demanderesse n’était de nature à établir le caractère original du site internet. En particulier, il a été jugé que :

  • en l’absence d’une charte graphique contenant l’ensemble des règles d’utilisation des signes graphiques constituant l’identité graphique du site internet, les « considérations générales descriptives » du site internet avancées par la société demanderesse, telles que la structuration des rubriques par un système d’onglets ou le choix des couleurs noir, rouge et gris, ne suffisaient pas à établir que la présentation du site internet était le résultat d’une recherche esthétique ou d’un effort personnalisé ;
  • de même, l’ordonnancement des rubriques, l’arborescence du site internet et la mise en perspective des produits présentés attestaient plus d’un « savoir-faire commercial » commun à d’autres sites marchands, dès lors que ces éléments permettent seulement de naviguer aisément sur le site internet et répondent à un impératif utilitaire largement répandu pour le commerce en ligne.
Pas de concurrence déloyale en l’absence de faute

Faute pour le demandeur de justifier d’un droit privatif (tel que le droit d’auteur) sur son site internet, celui-ci est recevable à formuler des demandes en réparation du préjudice qu’il a subi au titre de la concurrence déloyale.

Or l’action en concurrence déloyale, fondée sur l’article 1240 du Code civil, suppose l’existence d’un comportement fautif qui :

  • soit, vise à créer un risque de confusion dans l’esprit de la clientèle quant à l’origine du produit proposé ;
  • soit, est de nature parasitaire et tire profit de la valeur économique d’autrui, procurant ainsi un avantage concurrentiel injustifié.

Dans ce cadre, le tribunal a considéré que « l’appréciation de la faute au regard du risque de confusion doit résulter d’une approche concrète et circonstanciée des faits de la cause prenant compte notamment le caractère plus ou moins servile, systématique ou répétitif de la reproduction ou de l’imitation, l’ancienneté d’usage, l’originalité, la notoriété de la prestation copié ».

En l’espèce, le tribunal a relevé qu’il existait de nombreuses différences entre le site internet de la défenderesse et celui de la demanderesse, de sorte qu’il ne s’agissait pas d’une imitation servile du site internet de cette dernière.

De même, le tribunal a estimé que les ressemblances visuelles évoquées par la demanderesse tenaient à la reprise d’éléments qui se trouvent habituellement dans des sites marchands, tels que l’emplacement des fonctions recherche, connexion et contact du service.

Enfin, le tribunal a estimé que la demanderesse n’a pas établi la preuve que la défenderesse avait exploité les efforts, travail ou investissements de la demanderesse lorsqu’elle a procédé à la création de son site internet.

Dans ces conditions, la demanderesse a été également déboutée de ses demandes au titre de la concurrence déloyale.

Alain Bensoussan Avocats
Lexing Contentieux Propriété intellectuelle

(1) TGI Paris, 3e ch.4e sect. 12-1-2017, Sté Mycelium Roulement c./ Sté Todo Material 3L et autres




L’indispensable régulation du risque de pédopornographie virtuelle

L’indispensable régulation du risque de pédopornographie virtuelleLa pédopornographie virtuelle est nouvelle forme de pédopornographie qui se développe avec l’accès au monde virtuel. Après le développement de la cassette vidéo, du DVD, du streaming, de la 2D et de la 3D, la réalité virtuelle offre aujourd’hui un nouvel avenir à la pornographie avec tous les risques que cela comporte.L’industrie de la pornographie, aujourd’hui vieillissante, s’intéresse à cette technologie qui va lui permettre d’opérer une mutation technologique clé en offrant au spectateur la possibilité de s’intégrer dans un environnement et de s’immerger dans une scène de vie. Pour ce faire, les sociétés de production vont modifier leurs plans de cadrage et se positionner selon le point de vue de l’acteur. L’utilisateur du casque bénéficiera ainsi de la sensation du réel et sera au cœur de l’action du film ; il s’agit des vidéo POV (Point of View) et de la FOV (Field of View). La transposition du monde réel rend l’immersion plus intense que dans les jeux vidéo. Il s’agit de porno VR (virtual reality).

Sans qu’il soit encore question de participer au scénario via un avatar et des capteurs corporels comme dans les films futuristes, les entreprises spécialisées dans la pornographie virtuelle envisagent d’ajouter au casque de réalité virtuelle des sextoys connectés. Dans le même temps, se sont développés, notamment au Japon, des jeux pornographiques où le joueur doit customiser son ou sa futur(e) partenaire pour assouvir ses fantasmes et choisir un avatar le représentant. Le réalisme est assuré par la motion capture sur des personnes en chair et en os, permettant de faire des animations ultra-réalistes. A titre d’illustration, l’Oculus VR veut faire de son casque de réalité virtuelle une plateforme ouverte permettant le développement d’une multitude d’applications pornographiques (jeux et films). Aucun contrôle ne sera fait sur les logiciels mis sur cette plateforme.

Si le renouvellement de l’industrie pornographique est ainsi assuré, il emporte avec lui l’émergence de nouveaux risques. Ces avatars de type Second life et les acteurs réels de pornographie dans les applications et films ont parfois l’apparence de mineur. Une telle mise en scène des mineurs est-elle légale ? Quelle est la réglementation applicable en matière de pédopornographie virtuelle ? Les casques autorisant la pornographie sur leur plateforme, permettront-ils la diffusion de la pédopornographie virtuelle ? Au niveau international, il existe plusieurs instruments juridiques destinés à lutter contre la pornographie et la prostitution enfantine.

La Convention européenne sur la Cybercriminalité du 23 novembre 2001 signée à Budapest a été le premier texte à traiter en particulier des infractions liées à la criminalité informatique et notamment sur la pornographie enfantine et vise expressément les cas de pornographie apparente et virtuelle (§2 al b et c). Peu importe que le comportement soit réel ou simulé, ce critère n’est pas pris en considération dès lors que la représentation est celle d’un mineur.

Egalement, le Conseil de l’Europe dans sa décision-cadre 2004/68/JAI du Conseil du 22 décembre 2003 relative à la lutte contre l’exploitation sexuelle des enfants et la pédopornographie (1) s’alarme sur l’utilisation des technologies à des fins de pédopornographie : « la pédopornographie, forme particulièrement grave d’exploitation sexuelle des enfants, prend de l’ampleur et se propage par le biais de l’utilisation des nouvelles technologies et d’Internet ».

Pourtant, cette décision cadre met en place des cas d’exonération (1) permettant aux Etats membres de ne pas incriminer certaines formes de pédopornographie, comme c’était déjà le cas dans la Convention sur la cybercriminalité du Conseil de l’Europe, excluant une responsabilité pénale pour les faits suivants :

  • lorsqu’il s’agit d’une pornographie apparente, la personne en question a plus de 18 ans ;
  • lorsque des faits de production et de détention de matériel pornographique impliquent des enfants réels ou des personnes réelles paraissant être des enfants, ayant atteint l’âge de la majorité sexuelle lorsque ce matériel est produit et détenu avec leur accord et réservé à un usage privé ;
  • lorsqu’il s’agit de pornographie virtuelle, le matériel pornographique impliquant des enfants fictifs, est produit et détenu par le producteur uniquement pour son usage privé, dans la mesure où aucun matériel pornographique impliquant un enfant réel ou une personne réelle qui paraît être un enfant n’a été utilisé aux fins de la production, et à condition que cette action ne comporte aucun risque de diffusion du matériel.

La France n’a pas repris ces cas d’exclusion de responsabilité pénale et sanctionne au titre de la pédopornographie virtuelle l’« image virtuelle du mineur ou du mineur qui en a l’apparence » dans sa loi du 17 juin 1998 relative à la prévention et à la répression des infractions sexuelles ainsi qu’à la protection des mineurs (2). Le droit français renforce depuis son cadre répressif, faisant preuve de fermeté et de rigueur en matière d’infraction sexuelle à l’encontre des mineurs :

  • la loi du 4 mars 2002 relative à l’autorité parentale a renforcé dans le Code pénal les articles Art. 227-23 et 227-4 relatifs à la lutte contre la pornographie enfantine (3) ;
  • la loi du 5 mars 2007 relative à la prévention de la délinquance a renforcé les incriminations en matière de cybercriminalité (4) ;
  • la loi n° 2013-711 du 5 août 2013 (5) a transposé encore des dispositions portant transposition de la directive 2011/93/UE du Parlement européen et du Conseil du 13 décembre 2011 relative à la lutte contre les abus sexuels et l’exploitation sexuelle des enfants, ainsi que la pédopornographie et remplaçant la décision-cadre 2004/68/JAI du Conseil (6).

Depuis cette transposition, l’article 227-23 du Code pénal incrimine, notamment, « le fait, en vue de sa diffusion, de fixer, d’enregistrer ou de transmettre l’image ou la représentation d’un mineur lorsque cette image ou cette représentation présente un caractère pornographique est puni de cinq ans d’emprisonnement et de 75 000 euros d’amende ».

En France, la représentation à caractère pédophile inclut ainsi les images, montages faits à partir de photographies d’enfants, mais aussi les images totalement virtuelles et les personnes aux allures de mineur.

Ce n’est pas la position adoptée aux Etats-Unis. En effet, le 16 avril 2002, la Cour suprême des Etats-Unis a déclaré inconstitutionnel le Child Pornography Prevention Act de 1996 qui prévoyait des peines de prison de 5 à 15 ans pour les possesseurs et les diffuseurs d’images d’enfants ayant des relations sexuelles, réalisées avec des mineurs réels ou virtuels, c’est à dire à partir d’images de synthèse créées par ordinateur, ou même avec des adultes ayant l’air d’enfants.

Cette inconstitutionnalité a été déclarée sur le fondement du principe de la liberté d’expression qui est défendue dans la Constitution américaine par le Premier amendement. De plus, cette loi faisant référence à la notion de « pornographie enfantine virtuelle » a été considérée « trop vague » et «inadaptée à l’évolution de la technologie ». Les juges de la Cour suprême ont précisé que la production d’images virtuelles n’implique pas directement les enfants quand elles sont réalisées grâce à un ordinateur. Selon eux, il n’y a aucun préjudice puisqu’aucun réel enfant n’est abusé.

Se posera dès lors une problématique de filtrage des applications de réalité virtuelle proposant des contenus qui, au regard de la législation française, seront considérées comme relevant de la pédopornographie. Les éditeurs d’applications pornographiques qui proviendront principalement des Etats-Unis devront prendre toutes les mesures techniques nécessaires pour interdire leur diffusion et leur exploitation sur le territoire français. Puisque les plateformes de réalité virtuelle sont ouvertes et que cette technologie est utilisée notamment par l’industrie du X, il serait nécessaire de rédiger une charte éthique ou un code de bonnes pratiques pour encadrer l’utilisation de ses applications à destination uniquement d’un public adulte afin de protéger l’enfant et d’interdire les contenus pédophiles et la pornographie mettant en scène des mineurs.

L’Association Droit des Robots (ADDR) a, pour ce faire ouvert, constitué un groupe de travail spécifique au sein de la Commission Réalité Virtuelle, œuvrant à l’élaboration de cette charte.

Marie Soulez
Lexing Contentieux Propriété intellectuelle

(1) Décision-cadre 2004/68/JAI du 22-12-2003.
(2) Loi n°98-468 du 17-6-1998.
(3) Loi n°2002-305 du 4-3-2002.
(4) Loi n°2007-297 du 5-3-2007.
(5) Loi n°2013-711 du 5-8-2013.
(6) Directive 2011/93/UE du 13-12-2011.




La réalité virtuelle et le droit d’auteur

La réalité virtuelle et le droit d’auteurAprès le développement d’univers fantasmagoriques par le jeu vidéo dans les années 1990, la réalité virtuelle offre aujourd’hui une nouvelle possibilité d’accès au monde virtuel. Cette fusion entre deux états, le réel et le virtuel, qui permet la sensation du réel dans un univers virtuel, ou encore virtualité, crée un troisième état de réalité virtuelle, dont le caractère protéiforme rend la protection par le droit d’auteur complexe.

Les applications de réalité virtuelle sont un patrimoine intellectuel protégeable par le droit d’auteur qui protège les « œuvres de l’esprit » originales quels qu’en soient le genre, la forme d’expression, le mérite ou la destination (1).

L’application de réalité virtuelle qui réunit et intègre des composants multiples s’apparente à une œuvre multimédia dont le régime juridique doit lui être transposé par analogie (2). En tant qu’œuvre multimédia et l’instar des jeux vidéo, les applications de réalité virtuelle doivent être appréhendées comme des œuvres complexes. L’œuvre complexe, notion introduite par la Cour de cassation dans un arrêt du 25 juin 2009 (3), est celle au sein de laquelle sont incorporées diverses composantes. Le caractère protéiforme de l’œuvre complexe impose que chaque élément se voit appliquer le régime juridique qui lui est propre en fonction de sa nature mais également de son caractère réel ou virtuel.

Ainsi, devront être appréciées selon leur propre régime de protection des œuvres de nature différente, telles que des œuvres littéraires, musicales, graphiques, audiovisuelles, des logiciels, des bases de données. En effet, la partie virtuelle de l’application est constituée d’éléments protégeables par le droit d’auteur comme des écrits, dessins, graphiques, compositions musicales, etc. Ces éléments, par l’effet d’immersion et d’interaction, ont vocation à fusionner avec le réel, par exemple par exemple le parcours d’une exposition, une construction architecturale. Cette fusion par le biais de l’application de réalité virtuelle pourrait équivaloir à une reproduction et à une représentation de l’œuvre issue du monde réel.

Compte-tenu de la qualification distributive applicable, chaque composant identifié se voit appliquer le régime qui lui est propre. D’une part, l’éditeur de l’application de réalité virtuelle doit bénéficier d’une cession des droits attachés à chaque élément intégré dans l’œuvre de réalité virtuelle, qu’ils aient été créés par des prestataires externes ou des salariés (sauf pour le logiciel, l’employeur bénéficie d’une dévolution légale des droits sur les développements de ses salariés). Ni le contrat de travail, ni le contrat de commande n’emportant dérogation à ce principe. D’autre part, si le réel entraîne la reproduction d’œuvres protégées (œuvres d’art, œuvres architecturales, etc.), l’éditeur doit obtenir des auteurs ou ayant-droit les droits lui permettant de reproduire, puis de diffuser ces œuvres.

Comme un site internet, l’application de réalité virtuelle prise dans sa globalité pourrait également être protégée de façon unitaire, sous réserve d’obéir au critère impératif d’originalité, appréciée au regard de l’empreinte de la personnalité de l’auteur. L’approche unitaire ne doit toutefois pas restreindre l’approche distributive qui doit demeurer la règle pour l’intégration dans l’œuvre de divers éléments protégés par le droit d’auteur.

Marie Soulez
Lexing Contentieux Propriété intellectuelle

(1) CPI, art. L. 112-1.
(2) « Informatique, Télécoms, Internet », Ed. Francis Lefebvre, 5e Ed., chapitre IV Multimedia.
(3) Cass. 1e civ., 25-6-2009, n° 07-20387.




Union européenne : les enjeux de la révolution numérique

révolution numériqueRévolution numérique – Alain Bensoussan a été auditionné par la Commission des affaires européennes en vue de la réalisation d’un rapport d’information intitulé « L’Union européenne, colonie du monde numérique ? ». Ce rapport comporte trente propositions destinées à permettre à l’Union européenne d’appréhender les mutations et les enjeux induits par la révolution numérique.

La question de la protection des données personnelles va encore gagner en acuité avec le développement de l’internet des objets et la multiplication des données qui en résultera. Le nombre de dispositifs connectés s’accroît déjà alors que leur taille les rend invisibles pour l’œil humain. La mobilité est une autre dimension de ce nouvel univers, que Me Alain Bensoussan a qualifié de web 3.0 lors de son audition : de plus en plus de connexions se feront sans fil, les objets étant transportés en permanence par les personnes.

Concernant la participation active de l’Union européenne à la gouvernance mondiale multiacteurs de l’internet, il a fait observer que les sites révisionnistes ou racistes que l’Union européenne ne tolère pas sont crées aux États-Unis, dont la Cour suprême protège la liberté d’expression sur Internet au titre du premier amendement à la Constitution.

Il s’est notamment prononcé en faveur de l’adoption d’un texte européen formalisant les droits et obligations des internautes, dans la lignée de l’Habeas Corpus (proposition n° 17), alors qu’a été annoncée par le président des Etats-Unis début 2012 la rédaction d’un Digital Bill of rights. Ce texte viendrait compléter le futur règlement européen sur la protection des données.

Sénat, Rapport d’information n° 443 du 20-3-2013




Quantified self et internet des objets : nouveau paradigme du partage de données

quantified selfCéline Avignon – Quantified self, cet anglicisme lexical traduit une tendance majeure du marketing digital, la raison de ce succès : le fonctionnement même des services de quantified self qui est de permettre la collecte de données de plus en plus précises, pour mieux connaître le consommateur et mieux répondre à ses attentes.
Ce qui est nouveau c’est que le quantified self ne repose plus sur les déclarations des consommateurs mais sur des mesures, informations, collectées par des objets du quotidien (balance, montre, fourchette) connectés à internet.

En effet, la destinée du quantified self est intiment liée à l’internet des objets. Schéma self quantified Si pour le consommateur cela lui permet de mieux se connaître et d’avoir un retour personnel sur ses pratiques (sportives, alimentaires, médicales …), il n’en demeure pas moins que les entreprises proposant des services de quantified self liés à l’internet des objets disposent de pléthore de données à caractère personnel et l’essor de ces services créé des opportunités nouvelles de partage de données.

En effet, comme le souligne la Cnil dans ses premières recommandations « Une autre dimension importante est le partage et la valorisation de ces données au sein de communautés en ligne pour se comparer à d’autres, obtenir des conseils, des messages de soutien et d’encouragement » (1).

La quantité de données, les partages possibles, le stockage sur des serveurs sont d’autant d’éléments caractéristiques de l’internet des objets qui suscitent des craintes diverses et variées: le risque de faille de sécurité, le partage intensif de données par l’éditeur ou incontrôlé par la personne concernée notamment sur les réseaux sociaux.

Pour ces raisons, le succès du quantified self et de l’internet des objets passera nécessairement par une démarche visant à instaurer la confiance à l’instar de ce qui s’est passé avec le développement du Web 1.0. En effet, l’enjeu majeur pour les prestataires et producteurs dans un contexte où les consommateurs sont de plus attentifs et sensibles à la protection et à l’utilisation de leurs données, sera de donner aux utilisateurs la confiance nécessaire pour qu’ils utilisent sans crainte les produits et services de l’internet des objets.

Pour parvenir à cette fin les éditeurs devront adopter pour la conception de leur offre une démarche de privacy by design pour assurer « inside » la protection de la vie et des données à caractère personnel.

Ils devront également prendre au travers notamment d’une privacy policy des engagements forts en termes de protection des données tout en étant transparent et loyal dans l’information communiquée aux consommateurs. A cet égard, pour tout service lié à un objet connecté, l’éditeur du site ou de l’application support devrait intégrer en footer une privacy policy contenant au minimum des informations sur :

  • les données
  • les finalités
  • les partages de données et communication à des tiers (conditions, finalités, etc.)
  • les cookies
  • la sécurité
  • les droits des personnes
  • les informations concernant les enfants.

Lexing Droit Marketing électronique

(1) Cnil, « Quantified Self : comment mieux se connaitre grâce à ses données », article du 26-11-2012.




Facebook et les jeunes : le paradigme du paraître

Facebook Alain Bensoussan rappelle dans le magazine Supinfo Inside que le profilage commercial est inhérent à internet et a fortiori à des plateformes comme Facebook. Si Facebook assure que vos données vous appartiennent, il faut garder à l’esprit que les données que vous mettez volontairement en ligne risquent à un moment d’échapper à votre contrôle…
Il faut savoir que les informations personnelles données lors de l’inscription peuvent être utilisées à des fins de prospection commerciale.

Alain Bensoussan pour SUPINFO Inside, juin 2013.




L’ANSSI publie ses recommandations pour la sécurité des sites web

sécuritéDans un contexte international de multiplication des attaques à l’encontre de sites web, l’ANSSI a publié le 22 avril dernier des recommandations (1) en matière de mesures de sécurité à adopter en prévention et en réponse aux différentes attaques susceptibles d’intervenir à l’encontre des sites web. Dans un premier temps, l’ANSSI met l’accent sur les précautions à prendre préalablement à la mise en œuvre des sites web pour renforcer leur sécurité contre les attaques.

A ce stade, elle recommande une série de mesures à déployer dès l’organisation de l’infrastructure du site web et de la conception de son code applicatif.

A titre d’illustration, l’ANSSI recommande que l’architecture matérielle et logicielle du site web respecte le principe de défense en profondeur, de limiter les composants applicatifs et d’administrer un site web via des protocoles sécurisés (HTTPS par exemple) uniquement par des administrateurs autorisés et authentifiés.

Concernant la configuration des systèmes d’exploitation et des services hébergeant les sites web, l’ANSSI recommande l’application du principe de moindre privilège à l’ensemble du système ou encore la limitation de la publication des informations relatives au fonctionnement technique du site web et la mise en place d’un filtrage réseau permettant le respect des règles restrictives régissant les flux.

L’ANSSI insiste également sur la prise en compte de la sécurité dans la conception du code applicatif du site web en distinguant différentes mesures préventives allant de la gestion des risques afférents aux entrées de données (injections SQL, attaque XSS, redirections, inclusions de fichiers, etc.) à la prise en compte de la sécurité lors de la conception de la logique du site web et notamment dans le cadre de la gestion des sessions, du stockage des mots de passe, de la protection contre les requêtes illégitimes ou encore de l’inclusion de contenus externes.

Enfin, l’ANSSI présente différentes précautions à prendre afin de permettre une meilleure réactivité en cas de survenance d’un incident de sécurité. A cet égard, elle recommande de contrôler la validité et la visibilité des points de contacts techniques associés au site et présente des mesures permettant une meilleure détection des incidents.

Parmi ces mesures, l’ANSSI insiste sur la surveillance du site web dans son intégralité, la définition d’une politique de journalisation ou encore l’adoption de réflexes en cas d’incident (collecte des informations permettant les investigations, vérification de la suppression des éléments malveillants avant remise en service du site web, correction des vulnérabilités).

Ces recommandations s’inscrivent dans le cadre des obligations de garantie de sécurité des données à caractère personnel prévues par la loi Informatique et libertés et le projet de règlement européen du 25 janvier 2012.

Les éditeurs de site web ont donc tout intérêt à intégrer ces éléments dans leur cahier des charges et réaliser un audit pour les sites existants.

Céline Avignon
Raouf Saada
Lexing Droit Marketing électronique

(1) Recommandations ANSSI n° DAT-NT-009/ANSSI/SDE/NP du 22-4-2013.




Traçabilité des nanomatériaux : la déclaration devient obligatoire

nanomatériaux Fabricants, distributeurs et importateurs ont jusqu’au 30 juin 2013 pour déclarer les usages de nanomatériaux manufacturés.

Il en va de même pour les quantités annuelles produites, importées et distribuées sur le territoire français.

Les nanomatériaux manufacturés produits et introduits délibérément dans l’environnement par l’homme, sont aujourd’hui intégrés dans la composition de nombreux produits utilisés dans la vie courante (produits cosmétiques, textiles, alimentaires, etc.). Ils sont utilisés dans des secteurs aussi divers que l’automobile, la chimie, l’énergie, l’environnement et la santé.

Les nanomatériaux manufacturés sont constitués de structures élémentaires dont au moins une des dimensions est comprise typiquement, mais non exclusivement, entre 1 et 100 nanomètres (nm), millionième de millimètre. Cette caractéristique dimensionnelle confère aux matériaux des propriétés ou des comportements particuliers, utilisés pour de nouvelles applications technologiques.

La toxicité potentielle associée aux nanomatériaux est dépendante de leurs propriétés physico-chimiques (taille, caractère soluble, surface spécifique, état de surface ou forme du nano-objet), chaque nanomatériaux pouvant réagir différemment en fonction de la formulation et la matrice du produit fini qui le contient.

En raison de ces spécificités, les connaissances scientifiques sur les substances classiques ne sont pas directement transposables aux formes nanométriques. Les incertitudes sur l’évaluation quantitative des risques et menaces ne seront levées qu’au fur et à mesure de la progression des connaissances scientifiques des propriétés des nanomatériaux manufacturés. En outre, il n’existe pas de méthode standardisée permettant de mesurer et de suivre le devenir de nanoparticules manufacturées dans des matrices complexes (environnement, aliments, organisme). Les connaissances actuelles et disponibles sur la toxicité des nanomatériaux manufacturés sont encore aujourd’hui lacunaires.

Aussi, pour disposer d’une traçabilité des filières d’utilisation, leur utilisation est encadrée par une obligation de déclaration. Les industriels ont depuis le 1er janvier 2013, l’obligation de déclarer les nanomatériaux, conformément à la réglementation en vigueur sur l’application de déclaration en ligne des substances à l’état nanoparticulaire « r-nano » (1).

L’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES) est chargée de la gestion des déclarations et des données, les premières informations issues des déclarations seront mises à la disposition du public par cette dernière d’ici la fin de l’année 2013 conformément aux dispositions de l’article L. 521-7 du Code de l’environnement.

Selon l’ANSES, à l’échéance du 30 avril 2013, 457 entreprises ont réalisé 1991 déclarations, ce qui démontre une mobilisation jugée satisfaisante des acteurs visés par l’obligation de déclaration.

Le Ministère de l’Écologie, du Développement Durable et de l’Énergie, a récemment pris en compte la diversité des acteurs visés par l’obligation de déclaration, ainsi que la demande de plusieurs secteurs d’activité et a décidé, pour cette première année de déclaration, d’accorder 2 mois supplémentaires pour effectuer leur déclaration. De nouvelles déclarations pourront donc être initiées et soumises jusqu’au 30 juin 2013.

Un petit-déjeuner est organisé au cabinet le 26 juin 2013 pour permettre aux acteurs visés par l’obligation de déclaration de disposer d’un premier bilan à mi-chemin avant la date butoir de fin de déclaration. Il sera coanimé par Thomas Nappez co-fondateur de NanoThinking et Nicolas Feltin Coordonnateur du Club NanoMétrologie LNE.

Didier Gazagne
Lexing Droit Energie – Environnement

(1) Décret 2012-232 du 17-2-2012 et arrêté du 6-8-2012.




Droit et gouvernance de la société de l’information

droit et gouvernanceChloé Tores était présente à la 4e édition des rencontres sur droit et gouvernance de la société de l’information de l’IMODEV-IRJS qui s’est tenue respectivement, le 17 juin 2013 à la Direction de l’information légale et administrative (DILA), 26 rue Desaix 75015 Paris et le 18 juin 2013, à l’Université Paris 1 Panthéon-Sorbonne, 9 rue Malher 75004 Paris. Elle est interviennue sur la question du droit de la propriété des données personnelles à l’heure de l’adoption prochaine du règlement européen.

Ce colloque international Droit et gouvernance était organisé par l’Institut du Monde et du Développement (IMODEV) et l’Institut de Recherches Juridiques de la Sorbonne (IRJS) sous le haut patronage de Gilles Babinet, Digital Champion, et intervenant dans le cadre du Festival sur le numérique « Futur en Seine ».

Ces deux journées ont permi aux spécialistes, experts et professeurs d’échanger notamment sur les données personnelles, l’open data et l’open government, la démocratie 2.0, la transparence, les données fiscales, le droit européen des données, la protection des droits face à l’exploitation des données, la modernisation des administrations grâce aux données, la guerre des données, le big data ou encore le linked data, etc.

Programme du Colloque IMODEV-IRJS Droit et gouvernance de la société de l’information.




Le risque numérique et la protection des données personnelles

Risque numérique et protection des données personnelles« Le risque numérique et la protection des données personnelles » tel était le thème de l’audition publique à laquelle a participé Chloé Torrès. Cette audition s’est faite dans le cadre de l’étude sur « Le risque numérique : en prendre conscience pour mieux le maîtriser ? » organisée par l’Office parlementaire d’évaluation des choix scientifiques et technologiques le jeudi 21 février 2013 à l’Assemblée nationale.

« Mme Chloé Torrès, directrice de l’activité « informatique et libertés » au cabinet Alain Bensoussan, va nous exposer les avancées et les imperfections de la couverture des données privées à l’échelle internationale. »

Les données à caractère personnel, on l’a déjà dit, sont dispersées partout. Lorsqu’on ouvre un compte Facebook aujourd’hui, elles sont hébergées aux États-Unis. Ensuite, elles voyagent partout dans le monde au gré des prestations de cloud computing : un jour, elles seront hébergées sur des serveurs situés en Grande-Bretagne, le lendemain, elles se retrouveront en Inde.

Cela dit, il existe aujourd’hui un socle juridique substantiel qui permet de protéger les données à caractère personnel. Outre la loi « informatique et libertés », il y a la directive 95/46/CE sur la protection des données personnelles, et demain le règlement européen qui harmonisera le droit à la protection des données au plan européen. Il ne faut pas non plus oublier l’article 9 du code civil qui consacre le droit à la vie privée. Au-delà des frontières européennes, certains pays ont adopté des lois dans ce domaine : Singapour vient de le faire, la Nouvelle-Zélande aussi, à qui la Commission européenne a reconnu un niveau de protection des données personnelles équivalent au sien, et le texte en vigueur au Maroc est pratiquement le même que la loi française. On peut dire que le cadre « informatique et libertés » est devenu un standard mondial. Notre modèle s’impose progressivement au niveau international.

La protection des données personnelles se traduit par un droit, pour les personnes en cause, à la transparence, à l’information sur la façon dont sont utilisées les données. Et elles peuvent agir sur elles par le biais d’un droit d’accès et de suppression, bien qu’en pratique, ces droits soient souvent difficiles à mettre en œuvre.

Le vrai vide juridique, qu’il faut impérativement combler, c’est l’absence de droit de propriété. Beaucoup de plates-formes aujourd’hui revendiquent la propriété pure et simple des données à caractère personnel postées par les internautes. Dans ce domaine, l’intervention du législateur est indispensable pour créer un droit de propriété qui soit personnel, incessible et inaliénable. Il s’agit d’un enjeu majeur.

Par ailleurs, les moyens à disposition se développent. Des entreprises s’efforcent de mieux appliquer le socle juridique existant et de protéger plus efficacement les données de leurs salariés. On voit se dessiner une tendance, parmi les groupes internationaux notamment, à adopter une approche privacy by design. La dimension de protection des données personnelles et de la vie privée est intégrée dès la conception d’un projet. Les promoteurs veillent à la conformité de la nouvelle base de données avec la loi en s’assurant que l’information des personnes est garantie et que la protection des données personnelles est effective, en amont et tout au long de la vie du projet. Cette démarche, qui est au cœur du futur règlement européen, sera obligatoire dès qu’il aura été adopté.

OPECST : « Le risque numérique : en prendre conscience pour mieux le maîtriser ? »
– Audition publique : première et deuxième partie.
Première partie : La place du numérique dans la gestion de la menace stratégique
Compte rendu n° 20.
Deuxième partie : Prémunir la société contre le risque de la dépendance numérique
Compte rendu n° 21, p. 28.




Entreprises : protéger et défendre son identité sur internet

identité sur internetLe vol de son identité sur internet concerne aussi les entreprises. Ces dernières sont de plus en plus victimes d’escrocs utilisant leur dénomination sociale sur le web. Elles peuvent et doivent agir contre le vol de leur identité sur internet. Toute entreprise est exposée à ce phénomène, quels que soient sa taille et son secteur d’activité.

La dénomination sociale ou la raison sociale désignant une société, qui doit figurer sur le Kbis et dans ses statuts, est protégée contre toute usurpation de tiers de nature à créer dans l’esprit de la clientèle un risque de confusion.

Se faire voler son identité sur internet est un délit. Les entreprises ne sont pas démunies pour lutter contre l’usurpation de leur raison sociale en ligne. De nombreuses procédures leur permettent de lutter efficacement contre ces atteintes à leur réputation et à leur droit de propriété intellectuelle. C’est le principe de l’acronyme SIR (suppression, identification, répression) consistant à recourir à des procédures d’urgence pour obtenir la suppression, en quelque lieu que ce soit, des contenus litigieux diffusés sur internet, l’identification des auteurs de ces contenus illégaux et la condamnation des escrocs.

Le droit du web, s’adaptant aux nouvelles formes de délinquance sur la Toile, propose aux victimes des procédures qui permettent d’obtenir l’identification des auteurs ayant mis en ligne des contenus illégaux de la part des éditeurs de sites internet, des fournisseurs d’accès et des hébergeurs de contenus. En quelques jours, il est désormais possible d’obtenir des acteurs du numérique l’identité complète de ces «cyber-escrocs».

Virginie Bensoussan-Brulé , pour L’Usine nouvelle le 16 mai 2013.




L’Inde adhère au système international d’enregistrement des marques

marquesLa protection des marques en Inde devient désormais plus aisée suite à l’adhésion de ce pays au Protocole à l’Arrangement de Madrid. A partir du 8 juillet 2013, les opérateurs économiques français vont pouvoir protéger leur marque en Inde via le système de l’enregistrement international de marque géré par l’Organisation Mondiale de la Propriété Intellectuelle (OMPI).

Jusqu’alors, la seule voie de protection d’une marque en Inde était un dépôt national effectué directement auprès de l’office des marques en Inde par l’intermédiaire obligatoire d’un mandataire local.

Le système d’enregistrement international de marques est régi par deux traités : l’Arrangement de Madrid (1891) et le Protocole de Madrid (1989). L’Inde a adhéré au Protocole de Madrid. La France ayant déjà adhéré à ce même Protocole, les opérateurs économiques vont pouvoir déposer une demande d’enregistrement international de marque désignant l’Inde, en langue française, auprès de l’INPI, fondée sur une marque française ou communautaire préalablement déposée. Au sein de cette même demande, ils pourront également désigner d’autres pays ayant déjà adhéré au système de Madrid dont la Chine, les Etats-Unis d’Amérique, la Fédération de Russie, le Japon, etc. Les principaux avantages d’un enregistrement international de marque sont d’ordre économique et administratif : les coûts sont très avantageux et les procédures d’enregistrement sont centralisées auprès de l’OMPI et encadrées par des délais de traitement.

Le marché indien étant porteur dans de nombreux secteurs économiques, les déposants français ne devraient pas tarder à profiter de ce système pour protéger leurs marques dans ce pays.

Claudine Salomon
Anne-Sophie Cantreau
Lexing Droit des marques




Concilier mesures techniques de protection et interopérabilité

Concilier mesures techniques de protection et interopérabilité

Laurence Tellier-Loniewski – La conciliation des mesures techniques de protection des œuvres et de l’interopérabilité des systèmes techniques est l’un des objectifs poursuivis par la loi DADVSI (1). Mais sa mise en œuvre suscite en pratique bien des interrogations.

Par un avis rendu le 8 avril 2013 (2) à propos des mesures techniques de protection des disques Blu-Ray, l’Hadopi apporte un éclairage sur les conditions auxquelles un éditeur de logiciel peut accéder aux informations relatives aux mesures techniques de protections qui sont nécessaires à l’interopérabilité.

Cadre légal des mesures techniques de protection. Défendre son œuvre contre les copies illicites au moyen de mesures techniques de protection est un droit consacré par la loi, qui protège les mesures techniques de protection en tant que telles et sanctionne pénalement leur contournement.

Les mesures techniques de protection sont définies très largement par la loi et comprennent les technologies de toute nature. Cependant, les mesures techniques de protection ne sont protégées que pour autant qu’elles soient « efficaces ».

La loi prévoit par ailleurs que les mesures techniques de protections ne doivent pas être de nature à empêcher l’usage normal de l’œuvre ni la mise en œuvre effective de l’interopérabilité (3), c’est-à-dire la capacité d’un logiciel ou d’un dispositif technique à communiquer avec d’autres logiciels ou dispositif techniques. L’objectif de ce texte est de permettre aux utilisateurs de lire une œuvre dont ils ont régulièrement acquis un exemplaire, ou à laquelle ils ont un accès licite, sur le système technique de leur choix.

Les éditeurs de logiciels qui souhaitent développer des systèmes interopérables ont la faculté de s’adresser aux titulaires des mesures techniques de protection pour leur demander communication des « informations essentielles » nécessaires à l’interopérabilité. En cas de refus, ils peuvent saisir l’Hadopi, qui s’est vue confier la délicate mission d’arbitrer les conflits entre les titulaires des mesures techniques de protection et les éditeurs de logiciels (4). L’Hadopi est par ailleurs compétente pour toute question qui lui est posée relativement aux mesures techniques de protection.

Saisine de l’Hadopi. C’est dans ce cadre que l’association VideoLAN, éditeur du logiciel « libre » VLC media a saisi l’Hadopi sur la question de l’interopérabilité des mesures techniques de protection apposées sur des disques Blu-Ray, dans les termes suivants :

« De quelle manière l’association VideoLAN, éditrice du logiciel libre VLC media peut-elle mettre à disposition des utilisateurs une version du logiciel VLC media player permettant la lecture de l’ensemble des disques couramment regroupés sous l’appellation « Blu-Ray » et comportant des mesures techniques de protection, dans le respect de ses statuts et de l’esprit du logiciel ».

Contournement des mesures techniques de protection. VideoLAN demande en d’autres termes si elle est en droit de réaliser un lecteur qui contourne les mesures technique de protection des disques Blu-Ray, et ce au nom de l’exception de décompilation et d’ingénierie inverse donc bénéficient les utilisateurs de logiciel.

Cette question soulève la problématique de la nature logicielle des mesures techniques de protection, et de leur appréhension en tant que logiciel, ce qui autoriserait à procéder par soi-même à leur décompilation ou à leur analyse par ingénierie inverse en vertu des droits conférés à ce titre aux utilisateurs de logiciels.

De manière peu surprenante, l’Hadopi ne suit pas cette analyse. Les mesures techniques de protection ne constituent pas de logiciels en tant que tels et le caractère logiciel (au demeurant souvent partiel) des mesures techniques de protection n’autorise pas l’exercice des exceptions réservée aux utilisateurs de logiciels.

Efficacité des mesures techniques de protection sur les disques Blu-Ray. Il ressort de l’analyse menée par l’Hadopi que les mesures techniques de protection employées sont en l’espèce une mesure de chiffrage algorithmique (AACS) couplée à une machine virtuelle (BD+) permettant de contrôler l’authenticité du lecteur. Les mesures techniques de protection sur les disques Blu-Ray constituent ainsi des mesures techniques de protection efficaces.

Ces mesures techniques de protection sont destinées à prévenir les copies et usages illicites des œuvres. Elles entrent donc bien dans le champ d’application de la loi et par conséquent leur contournement est interdit.

L’Hadopi relève cependant que les mesures techniques de protection ont pour effet de limiter la lecture des contenus Blu-Ray à certains lecteurs. La question de savoir si cette limitation est justifiée par l’objectif légitime de protection recherché reste ouverte. L’Hadopi semble y répondre par la négative. Mais VideoLAN n’ayant pas demandé les informations auprès des titulaires des mesures techniques de protection, elle est invitée à entreprendre cette démarche avant tout recours.

Mesures techniques de protection et secrets de fabrique. Il ressort de l’article L 331-32 du code de la propriété intellectuelle, comme des travaux parlementaires qui ont présidé à la loi DADVSI, que les « informations essentielles » relatives aux mesures techniques de protection qu’un éditeur est en droit de solliciter s’entendent de la documentation technique et des interfaces de programmation nécessaires pour permettre à un dispositif technique d’accéder à l’œuvre protégée, « y compris dans un standard ouvert ». Il s’agit certainement là du point le plus sensible du dispositif, et de l’équilibre le plus délicat à trouver entre d’une part l’interopérabilité, d’autre part le secret nécessaire à la protection de la propriété intellectuelle et du savoir- faire.

A la question de savoir si la communication des informations couvertes par un secret de fabrique peut être exigée, l’Hadopi répond que le secret ne saurait faire échec par principe à la communication des informations essentielles, faute de quoi le texte serait privé de tout effet.

Cette position semble conforme à la loi : celle-ci dispose en effet que le titulaire de droits sur les mesures techniques de protection ne peut pas imposer à l’éditeur d’un logiciel interopérable de renoncer à publier son code source et sa documentation (ce qui est le mode d’exploitation normal des logiciels libres) à moins de rapporter la preuve, au cas par cas, des risques particulièrement graves que présenterait la divulgation de ces information.

Conflits relatifs aux mesures techniques de protection. Il est enfin à noter que l’Hadopi recommande d’ouvrir aux associations de consommateurs le droit de la saisir de demandes d’avis concernant l’interopérabilité.

Si cet avis apporte un éclairage essentiel sur le droit complexe des mesures techniques d e protection, il ouvre également la voie à des recours et des débats, dont on peut présager qu’ils seront longs et passionnés.

Lexing, Droit Propriété intellectuelle

(1) Loi 2006-961 du 1er août 2006, codifiée dans le Code de la propriété intellectuelle.
(2) Avis Hadopi n°2013-2 sur saisine de l’Association VideoLAN du 8-4-2013.
(3) Article L 335-1 du Code de la propriété intellectuelle.
(4) Article L 331-32 du Code de la propriété intellectuelle.




La Cnil audite les 250 plus gros sites internet

cnilDans un communiqué de presse du 6 mai 2013, la Cnil a annoncé qu’elle effectuait, depuis ses bureaux, un audit des 250 plus importants sites internet.

Ces audits s’inscrivent dans le cadre de l’ « Internet Sweep Day », en français, la « Journée de balayage de l’internet » qui semble porter sur l’information des consommateurs sur le traitement de leurs données à caractère personnel.

Une vingtaine d’autorités mondiales équivalentes à la Cnil, membres du Global Privacy Enforcement Network (GPEN), vont auditer ce jour des sites internet. Il s’agit de la première action commune du GPEN. Pour rappel, le GPEN a été créé, en 2007, en vue de renforcer la protection de la vie privée dans un contexte mondial.

Les audits menés par la Cnil porteront sur l’information des internautes concernant :

  • les données collectées ;
  • la finalité de la collecte ;
  • la communication des données à des tiers ;
  • l’exercice du droit d’opposition.

La Cnil précise que ces audits pourront donner lieu à des missions de contrôle et à l’ouverture de procédures de sanction en cas de constatation de graves manquements à la loi Informatique et libertés. Elle annonce, par ailleurs, qu’un compte rendu sera prochainement publié.

Dans ce contexte, les éditeurs de sites auraient tout intérêt à procéder à ce même type d’audit afin de vérifier la conformité de leur site sur ces points.

Céline Avignon
Caroline Macé
Lexing Droit Marketing électronique




Marque collective ou indication d’origine : terrain glissant …

Logo marque Savon de MarseilleL’Union des Professionnels du Savon de Marseille (UPSM) a récemment annoncé le dépôt d’une marque collective et l’adoption d’une charte spécifique définissant les conditions d’utilisation du signe déposé… (1).

Si une marque semi-figurative « SAVON DE MARSEILLE » a bien été déposée auprès de l’INPI le 18 janvier 2012, celle-ci n’apparaît toujours pas enregistrée et la publication de son dépôt ne mentionne pas sa nature de marque collective, ce qui peut laisser supposer certaines difficultés d’enregistrement plus d’un an après son dépôt.

Ceci étant, il est vrai que la demande d’enregistrement doit faire face à plusieurs dizaines de marques antérieures comportant le signe « savon de marseille ».

Face à une dénomination tant exploitée, il y a lieu, en effet, de s’interroger sur le caractère distinctif du signe pris en tant que tel, d’une part, et sa capacité à remplir sa fonction d’identification d’origine, d’autre part. Dans ces conditions et sauf à remettre en cause la validité de ces marques, le succès d’une protection du signe « savon de Marseille » par le biais d’une marque collective apparaît quelque peu hypothéqué.

La situation n’est pas sans rappeler la saga Laguiole ayant vu un particulier, s’opposer, sur le fondement de marques antérieures, à l’enregistrement de la marque LAGUIOLE par la Commune éponyme. Cette dernière, malgré plusieurs actions judiciaires, n’est toujours pas parvenue, à ce jour, à obtenir l’annulation des marques LAGUIOLE et l’enregistrement de sa propre marque (2).

Anticipant la difficulté, les membres de l’Union des Professionnels du Savon de Marseille (UPSM) annoncent envisager une protection à titre d’indication géographique même si, à ce jour, une telle protection est réservée aux produits alimentaires. La démarche devrait aboutir à une proposition de modification du dispositif législatif actuel, afin de permettre d’étendre la protection du régime de protection des indications géographiques aux produits manufacturés.

La proposition, annoncée le mois dernier par le Ministère de l’artisanat, du commerce et du tourisme, devrait être intégrée à la proposition de loi sur la consommation prévue à l’été prochain … (3) ; si la mesure peut sembler efficace pour l’avenir, il n’est cependant pas certain que celle-ci soit adoptée à temps pour sauver le savon de Marseille…

Virginie Brunot
Lexing Droit Propriété industrielle

(1) Télécharger la Charte de l’Union des Professionnels du Savon de Marseille (UPSM).
(2) TGI Paris 13-9-2012 RG 10/08800. Sur ce point, voir également notre Blog Tendances Propriété Industrielle et « Le nom des collectivités territoriales : une protection renforcée en France par l’enregistrement à titre de marque », Anne-Sophie Cantreau et Claudine Salomon, Gazette du Palais, 22, 23-10-2010, p.22.
(3) Minefi, Communiqué du 5-10-2012




Marque collective : un véritable instrument de protection ?

Virginie Brunot – Simple phénomène de mode ou véritable développement d’une politique de protection d’un savoir-faire, la marque collective apparait de plus en plus prisée par les collectivités territoriales comme par les organismes professionnels.

Deux cas ont récemment fait l’actualité avec un contexte et des perspectives de succès divers : le fameux « savon de Marseille », reconnu dès le 17ème siècle par un Edit de Colbert et dont la dénomination ne bénéficie, à ce jour, d’aucune protection propre à garantir son lieu et son mode de fabrication, de sorte qu’aujourd’hui, l’Union des Professionnels du Savon de Marseille (UPSM) regroupe quatre entreprises, tandis que l’essentiel de la production de « savon de Marseille » provient de Chine ou de Turquie.

Face à une concurrence qu’elle juge déloyale, l’UPSM a annoncé la mise en place d’une marque collective et envisage une protection à titre d’indication géographique.

Dans le même temps, le Syndicat mixte du Pays d’Epinal, à l’origine de la marque collective « Hêtre des Vosges », vient d’annoncer le lancement d’une nouvelle marque « Terres de Hêtre ».

Ces deux exemples récents sont l’occasion de revenir sur un mode de protection qui attire de plus en plus de collectivités et groupements professionnels…

Un rempart limité face au phénomène de globalisation des échanges

Dernier en date, le légendaire « savon de Marseille », largement imité, tente de se doter d’un cadre juridique adapté permettant d’en garantir les caractéristiques propres. A cet égard, l’Union des Professionnels du Savon de Marseille (UPSM) a annoncé le dépôt d’une marque collective et l’adoption d’une charte spécifique définissant les conditions d’utilisation du signe déposé… (1).

Logo marque Savon de Marseille
Néanmoins, si une marque semi-figurative a bien été déposée auprès de l’INPI le 18 janvier 2012, celle-ci n’apparait toujours pas enregistrée à ce jour et la publication de son dépôt ne mentionne pas sa nature de marque collective, ce qui laisse supposer, plus d’un an après son dépôt, des difficultés d’enregistrement certaines.

Face à une dénomination tant exploitée, il y a lieu, en effet, de s’interroger sur le caractère distinctif du signe et sa capacité à remplir sa fonction d’identification d’origine. En effet, une simple recherche indicative sur la base de données de l’INPI révèle qu’à ce jour plus d’une quarantaine de marques simples protégées en France reproduisent le signe « savon de marseille » sans que ces signes n’apportent la moindre garantie quant à leur lieu ou leur mode de fabrication.

Dans ces conditions et sauf à remettre en cause la validité de ces marques, le succès d’une protection du signe « savon de Marseille » par le biais d’une marque collective apparaît quelque peu hypothéqué…

L’affaire n’est pas sans rappeler la saga judiciaire ayant conduit le village de Laguiole à solliciter sans succès la nullité des marques LAGUIOLE déposées et déclinées par un particulier avant que la Commune ne songe à organiser la protection de sa dénomination et du savoir-faire dont elle pensait pouvoir se prévaloir.

L’homme d’affaires, bien inspiré, a multiplié les dépôts de marques LAGUIOLE, mais également de dérivés – LAGUIOLE LEGENDE, LES CHATEAUX LAGUIOLE, L’ART DE LA TABLE LAGUIOLE, BARON LAGUIOLE, BRASSERIE LAGUIOLE, LES CHOSES SURES LAGUIOLE, LAGUIOLE INNOVE LA TRADITION, LAGUIOLE GENERATION… (2) parvenant à créer un véritable empire autour du signe à l’abeille et à commercialiser les produits les plus divers rarement fabriqués dans la Commune du même nom.

Malgré une bataille judiciaire de plusieurs années, dont le dernier épisode date de l’automne dernier, la Commune de Laguiole n’a pu obtenir l’annulation de ces marques faute de pouvoir démontrer, d’une part la notoriété de la Commune elle-même et, d’autre part le fait que le signe « laguiole » faisait référence à un lieu de production particulier (3).

Anticipant la difficulté, les membres de l’Union des Professionnels du Savon de Marseille (UPSM) annoncent envisager une protection à titre d’indication géographique même si, à ce jour, une telle protection est réservée aux produits alimentaires.

La démarche devrait aboutir à une proposition de modification du dispositif législatif actuel, afin de permettre d’étendre la protection du régime de protection des indications géographiques aux produits manufacturés.

La proposition, annoncée le mois dernier par le Ministère de l’artisanat, du commerce et du tourisme, devrait être intégrée à la proposition de loi sur la consommation prévue à l’été prochain… (4) ; si la mesure peut sembler efficace pour l’avenir, il n’est cependant pas certain que celle-ci soit adoptée à temps pour sauver le savon de Marseille…

La marque collective comme instrument de valorisation

Mais, pour autant qu’elle soit déposée à temps, la marque collective peut constituer un atout de communication efficace pour les professionnels d’un secteur.

Ainsi, face aux déboires rencontrés par les déposants tardifs, certains organismes, déjà titulaires de marques collectives, sont parvenus à intégrer cette démarche dans une véritable politique de valorisation de leur patrimoine économique.

Dernier exemple en date, le Syndicat mixte du Pays d’Epinal qui, après avoir déposé en 2012 une marque collective simple « Hêtre des Vosges », a associé sa démarche à la mise en place d’un « Pôle d’excellence rural » (PER) visant à la « structuration de la filière bois-feuillus des Vosges ».

Fort de cette première étape, le syndicat annonçait, ces derniers jours, l’évolution de la marque « Hêtre des Vosges » vers une nouvelle dénomination plus attractive « Terres de Hêtre » (non encore publiée au BOPI), ainsi que la création d’une entité ad hoc en charge de la gestion et de la valorisation du signe.

L’objectif annoncé vise à développer « un réseau d’innovation et de commercialisation » des produits concernés, afin valoriser la filière professionnelles concernées et la gestion durable de ses ressources (5).

Ainsi, la marque collective, qui peut apparaître comme un simple signe d’identification d’origine, se transforme ici en véritable outil de communication, à l’instar d’une marque classique, tout en conservant, au regard du consommateur, les qualités garanties par son statut de marque collective, puisque son utilisation demeure encadrée et réservée aux seuls professionnels respectant le cadre instauré par le Syndicat.

La démarche n’est pas sans rappeler, au niveau national, celle de l’Etat, avec la mise en place, il y a deux ans, de la marque ORIGINE FRANCE GARANTIE, le Gouvernement visant à valoriser les produits et services trouvant leurs caractéristiques essentielles et la majorité de leur prix de revient en France (6).

Ainsi, si la marque collective apparaît comme un instrument de protection efficace aux yeux des professionnels et des consommateurs, encore faut-il que celle-ci soit mise en place suffisamment tôt pour pouvoir remplir pleinement son rôle essentiel ,qui reste celui d’une marque classique : l’identification de l’origine des produits et services qu’elle désigne.

(1) Télécharger la Charte de l’Union des Professionnels du Savon de Marseille (UPSM).
(2) Etaient visées les marques LAGUIOLE n°93 480 950, n°93 491 857, n°94 544 784, n°97 674 962, n°3 263 291, n°3 628 607 mais également LAGUIOLE LEGENDE n°93 485, LES CHATEAUX LAGUIOLE n°98 762 002, L’ART DE LA TABLE LAGUIOLE n°98 762 001, BARON LAGUIOLE n°99 794 586 et n°3 518815, LAGUIOLE laguiole.tm.fr n°99 803 625, T’AS DE LAGUIOLE TU SAIS n°3 018 629, BRASSERIE LAGUIOLE n°3 136 619, BISTRO LAGUIOLE n°3 255 629 et n°3 263 288, LES CHOSES SURES LAGUIOLE n°3 326 831, LAGUIOLE INNOVE LA TRADITION n°3 468 615, LAGUIOLE SHOPPER n°3 468 616, LAGUIOLE CUISINIER DE PERE EN FILS n°3 614716, DOMAINE LAGUIOLE n°3 402 440, LAGUIOLE GENERATION n°3 624 569, LAGUIOLE LE JARDINIER, n°3 633 406, LAGUIOLE PREMIUM n°3 642 134.
(3) TGI Paris 13-9-2012 RG 10/08800. Sur ce point, voir également « Le nom des collectivités territoriales : une protection renforcée en France par l’enregistrement à titre de marque », Anne-Sophie Cantreau et Claudine Salomon, Gazette du Palais, 22, 23-10-2010, p.22.
(4) Minefi, Communiqué du 5-10-2012
(5) « La marque « Hêtre des Vosges » devient « Terres de Hêtre » », bati-journal.com, article publié le 2-4-2013.
(6) Centre de Documentation Economie – Finances (CEDEF), Définition du label Origine France Garantie.




Protection des données personnelles : plan d’action du G29

G29Google est menacé d’une action répressive par le G29, autorités européennes de protection des données pour sa politique de confidentialité. N’ayant pas obtenu de réponse à ses recommandations avant l’expiration d’un délai fixé à quatre mois, le groupe des autorités européennes a publié un communiqué de presse daté du 27 février 2013 (1) dans lequel il annonce la création d’un groupe de travail piloté par la Cnil pour coordonner une action répressive envers Google qui devrait intervenir avant l’été.

Rappelons que suite à la modification et à l’harmonisation de la politique de confidentialité globale de Google le 1er mars 2012, la Cnil, au nom de l’ensemble des autorités européennes de protection des données à caractère personnel regroupées au sein du Groupe de travail de l’article 29 (dit G29) a adressé divers courriers et deux questionnaires à la société dans la première moitié de l’année 2012. Le G29 a en effet jugé que le moteur de recherche ne respectait pas toutes les dispositions des directives « protection des données personnelles » et « vie privée et communications électroniques » (2).

Estimant que les réponses données par Google n’étaient pas pleinement satisfaisantes, le Groupe de l’Article 29 lui a adressé un nouveau courrier le 16 octobre dernier, dans lequel les autorités s’inquiétaient plus spécifiquement d’une information jugée insuffisante des utilisateurs sur les finalités et les catégories de données traitées, des possibilités de combinaison des données trop importantes et d’une absence d’indication relative à la durée de conservation des données.

Par ailleurs, un certain nombre de recommandations censées permettre à Google de se conformer au cadre juridique européen étaient annexées à ce courrier. En ce qui concerne l’information de l’utilisateur, il était ainsi préconisé :

  • d’adopter une architecture de règles de confidentialité basée sur trois niveaux d’information : des règles de confidentialité intégrées aux produits et des règles interstitielles, les règles de confidentialité actuelles mais tenant compte des modifications nécessaires et enfin des règles de confidentialité spécifiques aux produits ;
  • de développer des présentations interactives permettant aux utilisateurs de naviguer facilement entre les contenus de ces différentes politiques de confidentialité ;
  • de communiquer des informations complémentaires et plus précises sur les données qui paraissent plus « sensibles », telles que la localisation géographique, les données bancaires et sur les cartes de crédit, les identifiants uniques de terminaux, les données biométriques ;
  • d’adapter la présentation de l’information pour les utilisateurs de mobiles ;
  • de fournir une information convenable aux utilisateurs dits « passifs ».

En ce qui concerne la combinaison d’informations, le G29 recommandait à Google de détailler plus clairement comment cette combinaison s’opère entre les différents services de la société et de développer de nouveaux outils permettant aux utilisateurs de mieux contrôler leurs données à caractère personnel, grâce, notamment, à une simplification et à une centralisation des mécanismes d’opt-out, une différenciation des finalités de la combinaison de données, une collecte du consentement explicite des utilisateurs quant à ces combinaisons, une possibilité offerte aux utilisateurs authentifiés de contrôler dans quel(s) service(s) ils sont authentifiés, limiter la collecte et les combinaisons de données pour les utilisateurs passifs, mettre en œuvre l’article 5(3) de la directive vie privée et communications électroniques sur les cookies pour les utilisateurs passifs et enfin étendre à tous les utilisateurs européens le processus proposé pour Google Analytics en Allemagne (information améliorée des utilisateurs, utilisation limitée des données et anonymisation des adresses IP).

Réunies en séance plénière du G29 le 26 février 2013, les autorités européennes ont décidé de poursuivre leurs investigations en étroite collaboration et de prendre toutes les mesures nécessaires conformément aux pouvoirs dont elles disposent. Un groupe de travail, piloté par la Cnil, a été mis en place afin de coordonner leur action répressive, laquelle devrait être lancée avant l’été. Ce groupe de travail se réunira dans les prochaines semaines et auditionnera Google.

Outre cette possible action répressive à l’encontre de Google par les autorités de protection des données, les moteurs de recherche font l’objet d’une surveillance particulière de la part de la DGCCRF qui a enquêté sur leurs pratiques commerciales, ainsi que sur celles des réseaux sociaux. Les résultats de cette enquête seront portés à la connaissance de la Cnil.

Céline Avignon
Mathilde Alzamora,
Lexing Droit Marketing électronique

(1) Directive n°95/46/CE du 24 octobre 1995 « protection des données personnelles » et n°2002/58/CE du 12 juillet 2002 « vie privée et communications électroniques ».
(2) Communiqué G29 Google privacy policy (EN) du 27-2-2013.




Projet de rapport sur la protection des données personnelles en Europe

Projet de rapport Ce début d’année est l’occasion de la publication du projet de rapport de Jan Philipp Albrecht, rapporteur à la Commission Libertés civiles, justice et affaires intérieures du Parlement européen, portant sur la proposition de règlement européen pour la protection des données à caractère personnel (1).

Les objectifs recherchés par cette Commission, dans le projet  de rapport susvisé, visaient à adopter une approche globale de la protection des données, à renforcer les droits de personnes concernées, à faire avancer la dimension et la cohérence internationale du marché et à renforcer la dimension mondiale des flux de données. Dans la droite ligne de ces objectifs, les principales remarques du rapporteur portent sur les points suivants.

En premier lieu, si le rapporteur se félicite que la Commission ait choisi de remplacer la directive actuellement en vigueur par un règlement, en vue d’une meilleure harmonisation de la réglementation en matière de protection des données au sein de l’Union européenne, tout en laissant la possibilité aux Etats membres de maintenir ou d’adopter des règles spécifiques concernant la liberté d’expression, le secret professionnel, la santé, ou encore l’emploi, il déplore l’insécurité juridique résultant du fait que la proposition de règlement ne couvre pas les services répressifs.

En second lieu, concernant le champ d’application territorial du règlement, le projet de rapport insiste sur le fait que celui-ci devrait également s’appliquer, dans un souci d’application cohérente de la législation en Union européenne, aux activités de traitement liées à l’offre de biens ou de services à des personnes concernées dans l’Union, que ces biens ou services fassent l’objet d’un paiement ou non, ainsi qu’aux activités liées à l’observation du comportement de ces personnes (par exemple, traçage sur internet).

En troisième lieu, le rapporteur encourage la protection et la sauvegarde des droits fondamentaux des citoyens, et notamment :

  • le recours à la pseudonymisation et à l’anonymisation ;
  • le principe de consentement, meilleur moyen de permettre aux personnes concernées de contrôler les activités de traitement les concernant, le projet de rapport ajoutant alors des précisions sur ce que constitue l’expression d’un consentement dans l’environnement « en ligne » ;
  • l’une information simple, compréhensible et normalisée (logos, icônes, etc.) ;
  • l’une définition et d’une réglementation des activités de profilage ;
  • la définition de certains termes constituant la base juridique d’un traitement, notamment la notion d’intérêt légitime du responsable du traitement ;
  • le principe « clé » de limitation de la finalité.

Le rapporteur soutient également à cet effet la thèse d’un renforcement du droit d’accès (assorti d’un droit à la portabilité des données) et introduit, dans le cadre du droit à l’oubli, la notion de droit à « l’effacement numérique » (cf. déréférencement), tout en insistant sur le fait que le droit d’opposition devrait pouvoir, dans tous les cas, être exercé gratuitement et être accordé à la personne concernée en des termes clairs, simples et adéquats.

En quatrième lieu, le rapport souhaite apporter des modifications à la proposition de règlement concernant la mise en œuvre des règles en matière de protection des données dans le cadre international du marché. A cet égard, le rapporteur :

  • considère que le seuil à partir duquel il est obligatoire de désigner un délégué à la protection des données ne devrait pas se fonder sur la taille de l’entreprise, mais plutôt sur l’importance du traitement des données (catégorie de données à caractère personnel, type de traitement et nombre de personnes dont les données sont traitées) ;
  • salue les concepts de protection des données dès la conception (privacy by design) et par défaut (privacy by default) rappelant que si l’on veut que la protection des données dès la conception soit efficace, il faut la mettre en œuvre à toutes les phases du cycle de vie des systèmes de traitement des données. Il propose toutefois de définir de manière plus claire ces concepts ;
  • suggère, dans un souci de pragmatisme, de faire passer de 24h à 72h le délai de notification d’une violation de données à caractère personnel à l’autorité de contrôle compétente ;
  • propose que le critère de compétence des autorités de contrôle soit fondé sur le lieu de résidence du citoyen, ce qui permettrait d’éviter une distance excessive entre la personne concernée et l’autorité compétente ;
  • propose de désigner comme point de contact unique pour les responsables de traitement et sous-traitants ayant des activités dans plusieurs Etats Membres, une autorité chef de file, qui ne disposerait pas de compétences exclusives, mais dont le rôle serait d’instruire ces situations transfrontalières au nom et pour le compte des autorités compétentes et d’assurer leur coordination avant de prendre toute décision ;
  • propose un nouveau mécanisme de cohérence renforçant le rôle et les pouvoirs du Comité européen de la protection des données, notamment en lui conférant un pouvoir décisionnel sur les projets de décisions d’une autorité de contrôle, ou en le chargeant de fournir des orientations supplémentaires.

En dernier lieu, concernant plus particulièrement les flux transfrontières de données, le rapport rejette la nouvelle option prévue dans la proposition de règlement visant à permettre à la Commission européenne de reconnaître comme ayant une protection adéquate, outre des pays, des secteurs d’activité, considérant que cette possibilité serait source d’un accroissement de l’insécurité juridique. Le rapporteur énonce enfin clairement que les transferts de données vers des pays tiers devraient en toutes hypothèses être encadrés par des règles d’entreprise contraignantes ou des clauses standards de protection des données.

Ce projet de rapport doit maintenant être publié dans sa version définitive afin que les propositions qui y sont contenues puissent être étudiées par le Parlement européen et le Conseil.

(1) Projet de rapport Jan Philipp Albrecht sur proposition de règlement.




Projet de rapport européen sur la protection des données

rapport européenProjet de rapport européen sur la protection des données. Les rapporteurs du Parlement européen soutiennent l’objectif de la Commission visant à renforcer les règles européennes de protection des données qui datent de 1995. Dans leurs rapports sur les propositions de la Commission concernant le futur règlement sur la protection des données, ils insistent sur la nécessité de faire avancer les négociations rapidement.

Dans un communiqué daté du 10 janvier, la Commission accueille le projet de rapport du Parlement européen sur le renforcement des règles européennes de protection des données. Prochaines étapes :

  • le 18 janvier, le paquet de protection des données fera partie de l’ordre du jour du Conseil informel Justice qui aura lieu à Dublin.
  • courant avril, est attendu le vote en plénière du Parlement européen.

European Commission, Memo EN 13/4, Brussels 10 January 2013.




Quant une marque est associée à l’image d’une ville pour la bonne cause

Quant une marqueQuant une marque est associée à l’image d’une ville pour la bonne cause. Alain Bensoussan spécialiste de la propriété intellectuelle était l’invité de « La Lanterne », émission Les Grosses têtes du 4 décembre 2012 diffusée sur RTL.

Il a éclairé la lanterne des auditeurs à propos de la Ville de Paris qui, dans sa dernière campagne d’affichage de lutte contre le sida, a associé de manière humoristique, le préservatif à son image.

RTL, Les Grosses Têtes : La Lanterne du 4-12-2012
Campagne de prévention du Sida, 10 ans de communication sur le SIDA à Paris




Anticiper l’adoption du futur règlement européen protection des données personnelles

protection des données personnellesPetit-déjeuner du 21 novembre 2012- Alain Bensoussan a animé un petit-déjeuner débat sur le projet de règlement visant à réformer le cadre de la protection des données personnelles en Europe.

Si pour les entreprises, le projet va vers une simplification en matière de formalités administratives, il les soumet à des obligations accrues pour une meilleure protection des personnes :

  • reconnaissance d’un droit à l’oubli et d’un droit à la portabilité des données ;
  • clarification des règles sur le recueil du consentement ;
  • désignation obligatoire d’un Cils ;
  • politique de Privacy by Design ;
  • étude d’impact obligatoire, etc.

Ce petit-déjeuner avait pour objectifs :

  • d’évaluer l’impact de la future règlementation sur la politique de protection des données personnelles de l’entreprise pour, le cas échéant, adapter cette politique ;
  • d’appréhender, en amont, les modifications induites par le projet de règlement, afin d’assurer la conformité de l’entreprise dès l’entrée en vigueur des nouvelles dispositions.

S’agissant d’un règlement européen, il ne fera pas l’objet d’une transposition dans le droit national et sera d’application immédiate.

Le petit-déjeuner débat a eu lieu le 21 novembre 2012 de 9 heures à 11 heures (accueil à partir de 8 heures 30), dans les locaux du cabinet ALAIN BENSOUSSAN 29, rue du Colonel Avia 75015 Paris.




Les DRM habilitées, la copie privée sacrifiée ?

Les DRM habilitées, la copie privée sacrifiée ?Les DRM ou Digital Rights Management « Gestion des droits numériques » désignent la technologie de sécurisation d’une œuvre numérique et de gestion des droits d’accès à cette œuvre.

Par le biais de quatre composants- l’encodeur qui crypte les fichiers protégés par le droit d’auteur, le serveur de streaming qui permet l’accès aux fichiers, le lecteur qui déchiffre le codage et le logiciel de gestion de droits qui détermine à qui reviennent les droits et selon quelle répartition- l’architecture DRM permet :

  • d’une part, de tracer les actes de l’utilisateur des fichiers afin de vérifier s’il est autorisé à accéder aux fichiers puis s’il respecte bien les droits de l’auteur ;
  • d’autre part, d’empêcher ou de limiter l’accès à l’œuvre ou les copies possibles de l’œuvre numérique.

Cette deuxième fonction de verrou a été habilitée par la Directive communautaire 2001/ 29/CE du 22 mai 2001 sur l’harmonisation de certains aspects des droits d’auteur et des droits voisins dans la société de l’information, puis par le Projet de loi de transposition « DADVSI » (relatif au droit d’auteur et aux droits voisins dans la société de l’information) présenté le 12 novembre 2003. En effet, ces deux textes officialisent la protection des « mesures techniques efficaces destinées à empêcher ou limiter les utilisations non autorisées par le titulaire d’un droit d’auteur ou d’un droit voisin du droits d’auteur d’une œuvre, interprétation, phonogramme, vidéogramme ou programme en dehors des logiciels ».

Ces mesures sonnent-elles le glas du droit à la copie privée dans l’univers numérique ? Certes, le Projet de loi DADVSI, qui reprend les termes de la Directive communautaire, réaffirme le droit à la copie privée auquel les mesures techniques de protection ne doivent pas porter atteinte (1). Cependant, ce droit à la copie privée est soumis à trois conditions cumulatives, dont deux ont un caractère totalement subjectif, directement inspiré de l’article 9.2 de la convention de Berne, à savoir :

  • les personnes bénéficiaires de l’exception de copie privée doivent avoir un accès licite à l’œuvre,
  • l’exception de copie privée ne doit pas porter atteinte à l’exploitation normale de l’œuvre,
  • l’exception de copie privée ne doit pas causer de préjudice injustifié aux intérêts légitimes du titulaire de droits sur cette œuvre.

Que faut-il entendre par exploitation normale de l’œuvre ? Cette question est laissée à la libre interprétation des juges, ce qui peut entraîner des contradictions.

L’affaire « Mulholland Drive » est une belle illustration de ces contradictions dans l’interprétation prétorienne de « l’exploitation normale de l’œuvre ».Tandis que la Cour d’appel de Paris avait considéré, dans son arrêt du 22 avril 2005, qu’une copie privée de DVD ne pouvait nuire à l’exploitation normale de l’œuvre, la 1ère Chambre Civile de la Cour de cassation, dans sa décision du 28 février 2006, a affirmé au contraire que, compte tenu de l’importance économique que l’exploitation de l’œuvre sous forme de DVD représente pour l’amortissement des coûts de production cinématographique, la copie privée représente une atteinte à l’exploitation normale de l’œuvre.

Ainsi, la cour de cassation, qui reprend la thèse soutenue par les juges de première instance(2), considère que doit être prise en compte l’incidence économique que la copie privée peut avoir dans le contexte de l’environnement numérique. Elle ne contredit pas les termes de l’article L.122-5 du code de propriété intellectuelle selon lesquels « l’auteur ne peut interdire les copies ou reproductions strictement réservées à l’usage privé du copiste et non destinées à une utilisation collective ».

En effet, le particulier qui a acheté le DVD et qui doit donc être envisagé comme le copiste au sens de l’article L.122-5 du Code de propriété intellectuelle, n’a nullement besoin de faire plusieurs exemplaires de son DVD pour son usage privé. Néanmoins, une telle position des juges remet en question la légitimité de la taxe sur les supports vierges d’enregistrement. En effet, ainsi que l’a souligné le directeur des études et de la communication de l’UFC- Que Choisir (3), « le DVD vierge est le support sur lequel la redevance est la plus forte en France » ; or, si c’est « l’endroit où l’éventail des droits est le plus faible », on arrive à un paradoxe certain qui conduirait à revoir à la baisse la rémunération pour copie privée appliquée sur les supports vierges d’enregistrement.

Loin du système anglo-saxon des « precedents », notre système ne permet pas de considérer que la décision de la cour de cassation a posé un principe immuable quant à l’interprétation de la notion « d’exploitation normale de l’œuvre ». Afin de pallier les problèmes d’interprétation, le Projet de loi DADVSI envisage, dans son article 9, d’introduire un article L.331-7 dans le Code de propriété intellectuelle selon lequel tout différend portant sur le bénéfice de l’exception de copie privée qui implique une mesure technique de protection sera soumis à un collège de médiateurs.

Le Collège de médiateurs a pour but de déterminer comment appliquer les DRM suivant chaque cas exposé afin de sauvegarder dans une certaine mesure le droit à la copie privée en essayant de parvenir à une conciliation et à défaut, de prescrire une injonction ou un rejet de la demande formulée par la personne s’estimant bénéficiaire d’un droit à la copie privée. Cependant, un Collège de médiateurs, composé de magistrats ou fonctionnaires indépendants (4), jouit-il d’une légitimité et d’une appréhension de l’environnement numérique suffisantes pour se prononcer sur la question de la licéité des DRM ?

Laurence Tellier-Loniewski
Lexing Droit Propriété intellectuelle

(1) Art. 8 du Projet de loi DADVSI du 12 novembre 2003.
(2) TGI Paris, 30 avril 2004 (disponible sur juriscom.net, legalis.net, foruminternet.org), GTA Juillet 2004, Doctrine : « Exploitation normale d’une œuvre numérique : vers le Fair Use américain ? » Benoit de Roquefeuil, Ariane Delvoie.
(3) « Copie Privée sur les DVD : l’UFC- Que choisir prêt à repartir à la bagarre en appel », Estelle Dumout, ZDNet.fr, 1er mars 2006 (http://www.zdnet.fr/
(4) Art. 9 du projet de loi DADVSI du 12 novembre 2003.