NTIC – Lettre d’actualité numéro 17

DROIT DU NUMERIQUE

Un pas de plus pour la réforme de la cybersécurité en Europe

Communiqué de presse du Conseil de l’UE du 8 juin 2018

Le 8 juin dernier, le Conseil de l’UE a livré sa position sur le chantier « cyberrésilience » de la réforme sur la cybersécurité en marche depuis le 19 septembre 2017.

La Commission européenne avait effectivement présenté, à la rentrée dernière, des mesures visant à améliorer la « cyber-résilience » dans l’Union. L’objectif : mettre en place les outils adéquats aux cyberattaques qui se multiplient sur le territoire de l’Union.

Globalement, le Conseil de l’UE a approuvé l’orientation générale du projet de Règlement à venir sur deux grands axes :

• La création d’un système européen de certification de cybersécurité

Le but est de permettre, d’une part, d’améliorer la confiance des utilisateurs dans la sécurité des technologies et, d’autre part, d’encourager les entreprises à développer leurs activités sur d’autres territoires.

Le projet de texte prévoit un tel mécanisme pour des processus, des produits et services « IT » spécifiques.

Le périmètre couvrirait la résilience en cas de perte ou d’altération de données, qu’elle soit accidentelle ou délibérée.

Trois niveaux d’assurance seraient proposés : un niveau élémentaire (qui serait réalisé par les prestataires eux-mêmes : sorte d’auto-évaluation), un niveau substantiel, un niveau élevé (à définir).

Les certificats délivrés seraient valables sur tout le territoire de l’UE.

En revanche, ce système de certification resterait facultatif, sauf dispositions contraires du droit de l’Union, ou du droit interne concerné.

• La mise en place d’une agence de l’UE pour la cybersécurité

Un mandat permanent serait donné à l’ENISA avec clarification de son rôle.

L’ENISA se verrait naturellement confier de nouvelles tâches, avec pour objectif d’apporter son soutien aux parties prenantes dans le domaine de la cybersécurité, tels que les Etats membres et les institutions concernées de l’UE. Par exemple, l’ENISA devrait organiser régulièrement des exercices à l’échelle de l’UE et promouvoir l’action politique de l’UE en matière de certification de la cybersécurité.

Un réseau d’agents nationaux serait également mis en place pour faciliter les communications ENISA/Etats membres.

Le texte doit encore être discuté au Parlement de l’UE avant de prendre sa forme « définitive » et être approuvé, vraisemblablement, au début de l’année 2019.

A suivre…

L’accès aux codes sources par l’utilisateur d’un logiciel

Dans un arrêt du 18 mars 2015, la Cour d’appel de Caen a retenu que l’acte de décompilation d’une partie de Skype n’était pas constitutif du délit de contrefaçon, relaxant ainsi l’associé d’une société de sécurité informatique française qui voulait développer un système d’échanges d’informations sécurisé et fiable, interopérable avec Skype.

Le 18 mars 2015 la Cour d’appel de Caen a rendu un arrêt des plus intéressant relatif à l’acte de décompilation. Cet arrêt s’inscrit dans un corpus assez maigre de décisions judiciaires en la matière et présente, ici, l’originalité à la fois de valider et de condamner ce qui a été réalisé dans le cadre d’un acte de décompilation d’une partie de Skype. Cette décision est intéressante dans sa manière de bien fixer les limites à l’exception de décompilation, dont l’existence est le fruit d’intenses débats et controverses qui ont entouré l’adoption par l’Union européenne de la directive sur la protection juridique des logiciels de mai 1991.

C’est l’occasion pour Pierre -Yves MARGNOUX et Hugo ROY de revenir aussi sur l’utilité de cette exception, trop souvent considérée comme inapplicable ou anéantie par la recherche d’un compromis illusoire. Et pourtant, la poursuite de l’interopérabilité au bénéfice de l’utilisateur d’un logiciel, qui est au centre de l’exception de décompilation, est loin d’avoir perdu son intérêt.

Dans un arrêt du 18 mars 2015, la Cour d’appel de Caen a retenu que l’acte de décompilation d’une partie de Skype n’était pas constitutif du délit de contrefaçon, relaxant ainsi l’associé d’une société de sécurité informatique française qui voulait développer un système d’échanges d’informations sécurisé et fiable, interopérable avec Skype.
Toutefois, dans ce même arrêt, la Cour a eu l’occasion de rappeler les limites des exceptions au droit d’auteur d’un logiciel en matière de décompilation, les résultats ne pouvant être diffusés ou utilisés à des fins étrangères à l’interopérabilité. Ainsi la révélation des failles de sécurité d’un logiciel, par la diffusion de son code source, non seulement constitue une contrefaçon mais également porte atteinte à la réputation de l’éditeur du logiciel.
Cette décision s’inscrit dans un corpus assez maigre de décisions judiciaires sur la décompilation et présente l’originalité, ici, à la fois de valider et de condamner ce qui a été réalisé dans le cadre de cette décompilation. C’est donc une décision intéressante dans sa manière de bien fixer les limites à l’exception de décompilation, dont l’existence est le fruit d’intenses débats et controverses qui ont entouré l’adoption par l’Union européenne de la directive sur la protection juridique des logiciels de mai 1991.

S’il y a, parmi les exceptions aux droits d’auteur, une disposition des plus controversées, c’est bien celle relative à la «décompilation» d’un logiciel. À l’époque, d’intenses débats avaient entouré les dispositions relatives à la rétroingénierie contenues dans la directive européenne concernant la protection juridique des programmes d’ordinateur, finalement adoptée le 14 mai 1991 (directive 91/250). Force est de constater que, vingt-cinq ans après, la controverse n’a pas tenu ses promesses. On dénombre en effet, en France, une poignée d’arrêts d’intérêt, dont un seul a été rendu par la Cour de cassation , appliquant ces dispositions transposées en droit national depuis 1994.
L’arrêt de la Cour d’appel de Caen du 18 mars 2015 offre certainement l’opportunité de se pencher à nouveau sur l’utilité de l’exception de décompilation, dont on a trop souvent dit qu’elle était inapplicable, qu’elle était morte-née, anéantie par la recherche d’un compromis illusoire.

Pourtant, la poursuite de l’interopérabilité au bénéfice de l’utilisateur d’un logiciel, qui est au centre de l’exception de décompilation, est loin d’avoir perdu son intérêt — comme on a pu le voir dans le domaine du droit de la concurrence concernant l’interopérabilité entre les logiciels libres «Samba» et les logiciels de serveurs de Microsoft.
Avant de revenir sur les faits de l’espèce et la décision de la Cour d’appel de Caen du 18 mars 2015, une petite introduction s’impose pour clarifier ce dont il s’agit en matière de rétroingénierie et quels régimes juridiques s’appliquent.

Rétroingénierie et décompilation: deux régimes juridiques
La rétroingénierie, au sens large, est un ensemble de techniques et de pratiques destiné à déterminer le fonctionnement ou la méthode de fabrication d’un objet.

En matière de logiciels, la rétroingénierie regroupe un ensemble de techniques qui varient de la simple observation du logiciel lorsqu’il s’exécute, à des opérations de transformation de la forme du code du logiciel.

Ces différentes techniques de rétroingénierie sont encadrées par deux régimes distincts.

Pour rappel, les droits d’exploitation conférés en principe à l’auteur d’un logiciel sont divisés notamment entre, d’une part, le droit de reproduction du logiciel, et d’autre part, le droit d’adaptation, de traduction ou de modification du logiciel ainsi que la reproduction du logiciel en résultant (article L. 122-6, 1o et 2o, CPI).
Dans une certaine mesure, toutes les techniques de rétroingénierie mettent en oeuvre une reproduction à tout le moins provisoire d’une forme du code du logiciel.
En revanche, toutes les techniques de rétroingénierie n’impliquent pas forcément qu’il y ait une adaptation, ni une transformation du code du logiciel.
Or, il s’agit là d’une différence cruciale. En effet, la directive 91/250, transposée en droit français par la loi no 94-361 du 10 mai 1994, consacre une distinction entre deux régimes relatifs à la rétroingénierie.
D’une part, la loi définit une limitation aux droits de l’auteur qui permet à l’utilisateur d’observer, d’étudier ou de tester le logiciel :

Article L. 122-6-1, III. «~La personne ayant le droit d’utiliser le logiciel peut sans l’autorisation de l’auteur observer, étudier ou tester le fonctionnement ou la sécurité de ce logiciel afin de déterminer les idées et principes qui sont à la base de n’importe quel élément du logiciel lorsqu’elle effectue toute opération de chargement, d’affichage, d’exécution, de transmission ou de stockage du logiciel qu’elle est en droit d’effectuer.»

Étant donné que le chargement, l’affichage, l’exécution, la transmission ou le stockage d’un logiciel nécessitent une reproduction, ces actes ne sont possibles que si l’ayant-droit a autorisé la reproduction (L. 122-6, 1o, CPI).

Ce régime recouvre donc toutes les techniques de rétroingénierie, à l’exception de celles qui mettent aussi en oeuvre une adaptation ou une transformation du logiciel (régies par le second régime).

Il faut, pour pouvoir se prévaloir de cette première disposition relative à la rétroingénierie, respecter plusieurs conditions :

1. avoir le droit d’utiliser le logiciel, ce qui implique une licence autorisant la reproduction du logiciel;
2. se limiter aux opérations qu’on est en droit d’effectuer, ce qui exclut toute opération impliquant l’adaptation, la traduction ou la modification du logiciel;
3. faire exercice de ce droit afin de déterminer les idées et principes qui sont à la base de n’importe quel élément du logiciel.

Parmi les techniques sujettes à ce régime, est concernée l’utilisation d’un débogueur: un outil qui fait fonctionner le logiciel dans des phases de tests et qui permet notamment au programmeur de décortiquer des étapes de son fonctionnement afin d’en déceler des anomalies ou d’en relever les erreurs.
Les techniques concernées comprennent aussi l’analyse des réseaux ou des protocoles ainsi que le développement d’outils destinés spécifiquement à tester l’exécution de programmes à des fins de rétroingénierie.
D’autre part, le second régime définit une exception, intitulée «Décompilation» dans la directive 91/250 et qui établit un régime légal avec des conditions relatives à l’acte de décompilation en soi, ainsi que des conditions relatives à l’utilisation des informations obtenues par décompilation :
Article L. 122-6-1, IV. «~La reproduction du code du logiciel ou la traduction de la forme de ce code n’est pas soumise à l’autorisation de l’auteur lorsque la reproduction ou la traduction au sens du 1o ou du 2o de l’article L. 122-6 est indispensable pour obtenir les informations nécessaires à l’interopérabilité d’un logiciel créé de façon indépendante avec d’autres logiciels, sous réserve que soient réunies les conditions suivantes :
1o Ces actes sont accomplis par la personne ayant le droit d’utiliser un exemplaire du logiciel ou pour son compte par une personne habilitée à cette fin ;
2o Les informations nécessaires à l’interopérabilité n’ont pas déjà été rendues facilement et rapidement accessibles aux personnes mentionnées au 1o ci-dessus ;
3o Et ces actes sont limités aux parties du logiciel d’origine nécessaires à cette interopérabilité. Les informations ainsi obtenues ne peuvent être :
1o Ni utilisées à des fins autres que la réalisation de l’interopérabilité du logiciel créé de façon indépendante ;
2o Ni communiquées à des tiers sauf si cela est nécessaire à l’interopérabilité du logiciel créé de façon indépendante ;
3o Ni utilisées pour la mise au point, la production ou la commercialisation d’un logiciel dont l’expression est substantiellement similaire ou pour tout autre acte portant atteinte au droit d’auteur.»
Ce régime recouvre un champ plus large des techniques de rétroingénierie, lesquelles impliquent une reproduction du code ou une traduction de la forme de ce code.

Parmi les techniques de rétroingénierie concernées par ce régime, figure par exemple l’utilisation d’un décompilateur ou d’un désassembleur — des outils informatiques destinés à aider la transformation d’un code objet vers un code intelligible pour le programmeur qui cherche à modifier le code.

C’est ce second régime que l’arrêt de la Cour d’appel de Caen nous permet d’illustrer.

Les faits : la décompilation de Skype et la publication du code source
Deux experts en sécurité informatique, l’un français, l’autre australien, s’associent en 2007 pour créer une société spécialisée en sécurité informatique.
En mars 2008, cette société s’intéresse alors à l’élaboration d’un système permettant d’avoir accès aux comptes bancaires grâce à l’interface et aux communications sécurisées de Skype.
Le 30 juin 2010, le directeur de la sécurité des systèmes d’information de Skype et l’associé australien de la société de sécurité informatique entrent en contact, au sujet de la décompilation dont Skype a été l’objet.
Puis, le 7 juillet 2010, cet associé décide de publier sur un blog un article, accompagné d’un lien vers des codes sources contenant l’algorithme de chiffrement RC4 utilisé par Skype et révélant des failles de sécurité.
L’auteur justifie cet acte par la volonté «d’aider la communauté des experts en sécurité informatique à améliorer celle de Skype» sans toutefois accorder le droit «d’utiliser gratuitement [le] code pour des exploitations commerciales» et se réservant même, on ne sait sur quel fondement, la possibilité de donner «un droit d’exploitation commerciale [sic]».
La société Skype poursuit alors les deux associés, notamment au titre de la contrefaçon de droit d’auteur pour décompilation non-autorisée.
La Cour d’appel de Caen va, d’une part, condamner l’associé australien qui a publié l’article révélant la faille de sécurité et les codes sources contenant l’algorithme de chiffrement de Skype et, d’autre part, relaxer l’associé français qui a fourni les moyens et donné des instructions relatives à la décompilation en elle-même, considérant que sa complicité n’est pas établie concernant la publication des informations obtenues par la décompilation reprochée à son associé.

Ainsi, l’arrêt rendu par la Cour permet de faire une illustration aussi intéressante que rare de l’application de l’exception de décompilation: elle en montre les conditions de validité aux fins de l’interopérabilité, ainsi que les limites en-dehors desquelles l’utilisation des informations obtenues par décompilation devient constitutive d’une contrefaçon.
Le raisonnement de la Cour laisse cependant certaines zones d’ombre.

La décompilation à des fins d’interopérabilité : absence de contrefaçon

Aux termes de l’article L. 122-6-1, IV, du Code de la propriété intellectuelle, l’opération de décompilation n’est pas soumise à l’autorisation de l’ayant-droit lorsqu’elle est réalisée afin d’obtenir les informations nécessaires à l’interopérabilité sous réserve que trois conditions soient réunies.

Or, aucune de ces trois conditions n’a fait l’objet d’une motivation rigoureuse de la part de la Cour d’appel de Caen: autant de points qui entretiennent l’incertitude autour de l’exception de décompilation.

Premièrement, il faut être en droit d’utiliser une copie du logiciel, ce qui ne pose pas de difficultés en pratique concernant Skype, puisque des copies de ce logiciel sont mises à disposition par l’éditeur en téléchargement gratuitement sur Internet.

Deuxièmement, il faut que les informations nécessaires à l’interopérabilité n’aient pas déjà été rendues facilement et rapidement accessibles aux personnes en droit d’utiliser une copie du logiciel.
La Cour d’appel de Caen n’aborde pas ce point dans son arrêt. Il s’agit pourtant d’une zone d’ombre importante sur l’application de l’exception de décompilation.
En effet, par un arrêt du 26 septembre 2011, la Cour d’appel de Paris avait jugé, en matière de décompilation et de contournement de mesures techniques de protection de jeux-vidéos, que les prévenus ne pouvaient se prévaloir de l’exception de décompilation au motif qu’ils n’avaient pas demandé à Nintendo l’accès aux informations d’interopérabilité (CA Paris, ch. 5-12, 12 septembre 2011, Nintendo c/ Absolute Games, Divineo et autres, Legalis.net, #3238).

La question mérite cependant d’être posée: l’utilisateur légitime a-t-il l’obligation de demander d’accéder aux informations d’interopérabilité préalablement à toute opération de décompilation? La présence des mots «déjà […] accessibles» permet d’en douter.
Quoiqu’il en soit, cette condition doit s’interpréter à la lumière de la directive 91/250. Or, plusieurs propositions de formulation alternative avaient été écartées du texte de la directive, alors qu’elles imposaient précisément une telle condition de demande préalable.
Pour autant, si l’auteur du logiciel a prévu une procédure de mise à disposition des informations d’interopérabilité respectueuse des conditions légales sur l’accessibilité — par exemple dans le contrat de licence — il semble évident que l’utilisateur a l’obligation de suivre cette procédure préalablement à toute décompilation.
Troisièmement, il faut que les techniques de décompilation ne portent que sur les parties du logiciel nécessaires à l’interopérabilité.
Toutefois, cette condition est difficile à interpréter en pratique, puisque la décompilation portant sur les parties réellement nécessaires à l’interopérabilité implique que des actes soient d’abord commis sur des parties dont on ne peut déterminer a priori leur caractère nécessaire.

Cette condition n’a pas été examinée expressément par la Cour d’appel de Caen dans l’arrêt d’espèce, ni d’ailleurs par aucune des décisions rendues sur la décompilation dont nous avons eu connaissance.
Quoiqu’il en soit, une interprétation restrictive de cette condition reviendrait à refuser toute licéité à l’application pratique de l’exception de décompilation, ce qui n’est pas dans l’esprit de l’adoption de la directive 91/250, qui précise dans son préambule l’objectif «de permettre l’interconnexion de tous les éléments d’un système informatique, y compris ceux de fabricants différents, afin qu’ils puissent fonctionner ensemble» (considérant 15). Au sens de cette directive, et elles sont caractéristiques de l’interconnexion (considérant 10).
Le rôle de l’expert serait donc primordial, en cas de litige, pour évaluer si les parties du logiciel qui ont fait l’objet d’une décompilation sont des parties nécessaires dans l’objectif d’obtenir des informations d’interopérabilité.
Il est cependant permis de croire qu’en l’espèce, les parties de Skype décompilées étant les parties relatives aux algorithmes de déchiffrement des communications, il s’agit bien de parties nécessaires à l’interopérabilité.

L’interopérabilité est définie dans la directive européenne comme la capacité d’échanger des informations et d’utiliser mutuellement les informations échangées — or, dans le cas d’informations échangées après avoir été chiffrées, il faut nécessairement que chacun des logiciels qui s’interconnectent ait la capacité à la fois de chiffrer et de déchiffrer les informations échangées.
Concernant la décompilation dont Skype a été l’objet, la Cour d’appel se borne à relever que les associés de la sécurité informatique avaient pour objectif de «mettre au point une technique fiable et sécurisée d’échanges d’informations sur l’internet, compatible avec les services de Skype». C’est donc en retenant cette fin d’interopérabilité que les juges ont considéré que l’opération de décompilation était licite.
Il en va autrement pour l’utilisation des informations obtenues par la décompilation, dont la publication répondait à des fins étrangères à l’interopérabilité.
L’utilisation des informations obtenues à des fins étrangères : contrefaçon

Les informations obtenues par la décompilation d’un logiciel ne peuvent être utilisées ou communiquées autrement qu’à des fins d’interopérabilité, et non pour porter atteinte au droit d’auteur du logiciel d’origine.

Trois conditions encadrent l’utilisation et la communication des informations obtenues par la décompilation.

Toutes faisaient défaut en l’espèce. La Cour d’appel de Caen relève ainsi que la publication d’un article de blog afin de révéler les failles de sécurité de Skype et publier le code source des parties décompilées, constitue un acte de contrefaçon de droit d’auteur — peu importe que l’opération de décompilation en elle-même ait été licite.
Premièrement, l’utilisation et la communication des informations obtenues par décompilation à des fins de sécurité informatique ne rentrent pas dans l’application des conditions 1o et 2o précitées, lesquelles ne se justifient que par des fins d’interopérabilité.
L’arrêt de la Cour d’appel de Caen, de ce point de vue, se situe dans la lignée d’un autre arrêt de la Cour d’appel de Paris, relatif également à une décompilation à des fins de sécurité informatique (CA Paris, ch. 13 A, 21 février 2006, affaire G. c/ TEGAM).
Deuxièmement, la Cour relève les déclarations faites par le prévenu aux services de police qui, maladroitement, indiquent le développement d’un système «similaire à Skype».
Pourtant, aucun élément ne permet de relever si une telle similitude aurait été pertinente en matière de droit d’auteur.

En effet, on peut comprendre de ces déclarations qu’il s’agissait de développer un système concurrent de Skype, qui le remplace, et non forcément un système dont l’expression, le code lui-même, serait similaire et donc, contrefaisant.
C’est, là aussi, une question majeure d’interprétation de la directive 91/250.
Les informations d’interopérabilité peuvent-elles être utilisées pour développer un logiciel interopérable concurrent, qui remplace le logiciel d’origine, ou seulement un logiciel interopérable fonctionnant avec le logiciel d’origine, sans le remplacer?
Divers amendements et propositions avaient, en effet, suggéré que seule la deuxième option pouvait satisfaire les conditions de légalité.
C’est cependant la première option qui a été retenue, le 13 décembre 1990, par le Conseil des ministres : il s’agit de permettre «l’interopérabilité d’un logiciel créé de façon indépendante avec d’autres logiciels» (L. 122-6-1, IV) et non pas forcément avec le logiciel d’origine qui fait l’objet de la décompilation.

Pierre-Yves MARGNOUX

Hugo ROY

Manquement à une obligation essentielle : la clause limitative de responsabilité écartée !

Cour d’appel d’Aix-en-Provence, 8ème Chambre A, Arrêts du 7 juin 2018, Répertoire général nº 13/18867 et nº 12/22405

Le silence de l’éditeur en avant-vente sur un litige existant relatif à l’adéquation de son logiciel ne caractérise pas la réticence dolosive et ne justifie pas la nullité, mais l’éditeur est tenu à une obligation de délivrance conforme, obligation de résultat, pleinement exécutée qu’après la mise au point effective de la chose et dont le manquement justifie la résiliation du contrat. S’agissant d’une obligation essentielle, il est fait échec à l’application de la clause limitative de responsabilité.

Un éditeur de logiciel commercialise un progiciel métier destiné aux cabinets de radiologie que deux  clients commandent successivement en 2010 et 2011. Reprochant de nombreux dysfonctionnements et manquements à sonobligation de conseil et de délivrance conforme, ils assignent séparément le prestataire informatique.

Le Tribunal de commerce prononce en 2013 dans la première affaire la résiliation aux torts exclusifs de l’éditeur et le condamne à verser des dommages et intérêts. Suite à l’appel de ce dernier, la Cour d’appel réforme le jugement et ordonne le renvoi devant la Cour saisie du même litige dans le cadre de la deuxième affaire. Un arrêt de la chambre mixte ordonne une expertise qui conclura notamment à la réalité des dysfonctionnements, la formation insuffisante des utilisateurs, les fonctions manquantes et l’absence de méthodologie projet.

Pour le second client, l’éditeur était alerté par les précédents acquéreurs de son incapacité à répondre aux besoins : en taisant ces informations capitales et en vantant les mérites de son logiciel, il aurait usé de manœuvres dolosives déterminantes du consentement,justifiant ainsi la nullité du contrat.

La Cour d’appel juge que le silence gardé sur les litiges naissants l’opposant à d’autres professionnels ne peut suffire à caractériser la réticence dolosive et la nullité pour dol est rejetée.

Dans les deux affaires, la rupture est prononcée aux torts exclusifs de l’éditeur en raison de ses manquements obligation de conseil et de délivrance conforme.

D’une part,  la Cour se réfère à l’article 1604 du code civil : la délivrance est le transport de la chose vendue en la puissance de l’acheteur ; l’éditeur, maitre d’œuvre du projet, était tenu à une obligation de conseil ; par ailleurs la délivrance de la chose complexe n’est pleinement exécutée qu’une fois réalisée la mise au point effective de la chose. L’éditeur n’ayant pas achevé la phase de mise au point, le client est fondé à se plaindre de l’absence de délivrance conforme.

D’autre part, il appartenait au prestataire d’apprécier les besoins de formation et de conseiller son client ; la connaissance antérieure du client d’une autre solution ne le dispensait pas de cette obligation, le client ne connaissant pas la solution installée.

Concernant la réparation du préjudice, l’éditeur faisait valoir la limitation des demandes indemnitaires au prix versé, conformément au contrat.

La Cour considère que le client est fondé à soutenir que l’éditeur était tenu à une obligation de résultat quant à la délivrance du logiciel vendu : la solution ne peut être regardée comme délivrée faute de mise au point effective. S’agissant d’un manquement à une obligation essentielle du contrat, il fait échec à l’application des clauses limitatives de responsabilité contractuelle.

Si les juges confirment les remboursements, une grande partie des demandes des clients sera rejetée faute de justificatifs, seuls certains postes étant retenus.

PROPRIETE INTELLECTUELLE

Précisions sur le périmètre de la compétence exclusive des TGI spécialisés en matière de propriété intellectuelle

La Cour de cassation est venue préciser l’étendue de la compétence exclusive des tribunaux de grande instance (TGI) spécialisés en matière de propriété littéraire et artistique. Pour rappel, 9 TGI sont désignés par décret comme étant compétents : Bordeaux, Lille, Lyon, Marseille, Nanterre, Nancy, Paris, Rennes et Fort-de-France.

En l’espèce, la société de production Tout sur l’écran productions s’était vu concéder par contrat le droit de produire l’émission « Tout le monde en parle » par la société Ardis. Tout sur l’écran productions reproche à la société Ardis d’avoir manqué à ses obligations contractuelles en exploitant à l’étranger l’émission sans lui reverser des royalties, en contravention des termes du contrat qu’elles avaient conclu.

La société Tout sur l’écran productions  a donc assigné la société Ardis devant le tribunal de commerce de Paris aux fins d’obtenir la communication de pièces comptables et le paiement de la moitié des sommes perçues au titre de l’exploitation, à l’étranger, du format de cette émission. La société ARDIS a soulevé une exception d’incompétence au profit du tribunal de grande instance de Paris.

Le tribunal de commerce de Paris s’est déclaré incompétent pour connaître du litige, au visa de l’article L. 331-1, alinéa 1er, du Code de la propriété intellectuelle qui prévoit une compétence exclusive des tribunaux de grande instance en matière de droit d’auteur et de propriété industrielle. Tout sur l’écran productions a formé un contredit sur la compétence, lequel a été porté devant la CA, qui a également déclaré le TC incompétent (CA Paris, Pôle 1, ch. 3, 31 oct. 2017, n° 17/10877).

La Haute juridiction confirme l’arrêt de la Cour d’appel et rappelle, tout d’abord, que les actions civiles et les demandes relatives à la propriété littéraire et artistique, y compris lorsqu’elles portent également sur une question connexe de concurrence déloyale, sont exclusivement portées devant des tribunaux de grande instance, déterminés par voie réglementaire.

La Cour de cassation précise que les actions engagées sur le fondement de la responsabilité contractuelle de droit commun relèvent de la compétence exclusive de ces tribunaux, dès lors que la détermination des obligations de chacune des parties contractantes et de leurs éventuels manquements impose à la juridiction saisie de statuer sur des questions mettant en cause les règles spécifiques du droit de la propriété littéraire et artistique. En l’occurrence, le Tribunal, avant de statuer sur les demandes, devait de se prononcer sur la titularité des droits revendiqués, et donc sur des questions de propriété intellectuelle.

Partant, la Cour de cassation valide le raisonnement suivi par la cour d’appel, qui en a déduit, à bon droit, que le tribunal de grande instance de Paris avait seul compétence pour connaître de ce litige.

DONNEES A CARACTERE PERSONNEL

L’ADEF condamnée à payer 75 000 € : La CNIL persévère dans sa lutte contre les atteintes à la sécurité

La formation restreinte de la CNIL a prononcé une sanction de 75 000 euros à l’encontre de l’Association pour le Développement des Foyers (ADEF) pour avoir insuffisamment protégé les données des utilisateurs de son site internet.

L’association pour le Développement des Foyers (ADEF) est une association de droit privé ayant pour mission de mettre à disposition des logements dans des résidences et foyers pour personnes en difficulté sociale.

En juin 2017, la CNIL a été informée de l’existence d’un incident de sécurité qui conduisait à rendre librement accessibles les données personnelles des demandeurs de logement ayant effectué une démarche d’inscription sur le site internet de l’association.

Au cours d’un contrôle en ligne, la CNIL a effectué une demande de logement en renseignant le formulaire sur le site de l’association, et a constaté qu’une modification du chemin de l’URL affichée dans le navigateur permettait d’accéder aux documents enregistrés par d’autres demandeurs.

Après une recherche via le moteur de recherche Google, la CNIL a également constaté que des avis d’imposition sur les revenus figuraient dans les résultats affichés.

La CNIL a donc alerté l’association de cette violation de données le 15 juin 2017 et lui a demandé d’y remédier.

Six jours plus tard, le 21 juin 2017, un contrôle sur place a eu lieu dans les locaux de l’ADEF et la CNIL a constaté que les données étaient toujours accessibles.

L’ADEF s’est défendue en invoquant le fait qu’elle avait reçu le PV de constatation en ligne du 15 juin 2017 le 22 juin, soit un jour après le contrôle sur place de la CNIL. La CNIL a rétorqué que ce PV avait également été envoyé par courriel le 20 juin 2017, soit un jour avant le contrôle, et que l’ADEF avait en conséquence eu le temps de remédier à ses manquements.

La CNIL note en premier lieu que les mesures élémentaires de sécurité n’ont pas été prises en amont du développement du site, et relève notamment :

• l’absence d’un dispositif permettant d’éviter la prévisibilité des URL ;
• l’absence d’une restriction d’accès aux documents mis à la disposition des personnes via un espace réservé à chaque personne.

Elle relève en second lieu que l’exploitation de la violation de données (via l’écriture de l’URL ou la recherche sur un moteur de recherche) ne nécessitait aucune compétence technique particulière. Elle rappelle, en outre, que l’exposition de données à caractère personnel, sans contrôle d’accès préalable, est identifiée comme faisant partie des failles de sécurité pour lesquelles une surveillance particulière s’impose et doit, en conséquence, faire l’objet de vérifications, notamment dans le cadre d’un audit de sécurité. La CNIL estime, par conséquent, que l’ADEF n’a pas pris toutes les précautions utiles afin d’empêcher que des tiers non autorisés aient accès aux données traitées.

En troisième lieu, l’association précise que l’incident concernait seulement les documents fournis par les personnes n’ayant pas finalisé leur démarche sur le site internet. La CNIL considère que cela révèle une conservation des données pendant une durée non justifiée, et est sans incidence sur la caractérisation du manquement.

La CNIL relève, en conséquence, un manquement de l’ADEF à son obligation de préserver la sécurité et la confidentialité des données à caractère personnel des utilisateurs de son site (article 34 de la Loi informatique et liberté).

Sur la détermination de la sanction, la CNIL relève que la gravité de la violation est caractérisée en raison de la nature des données concernées (justificatifs d’identité, bulletins de salaire, avis d’imposition, attestations de paiement de la CAF…), et du nombre de documents (42 652) et de personnes concernées par la violation. La CNIL a donc prononcé une sanction pécuniaire de 75 0000 euros à l’encontre de l’association, et a décidé de rendre publique sa décision.

Cette décision s’inscrit dans la lignée des précédentes délibérations de la CNIL, par lesquelles cette dernière a également condamné des sociétés pour manquement à l’obligation de préserver la sécurité des données (DARTY, OPTICAL CENTER).

 

Adaptation du droit français au nouveau cadre européen et programme de contrôles CNIL

Promulgation de la loi de protection des données à caractère personnel

La Loi relative à la protection des données à caractère personnel a été promulguée le 20 juin 2018.

Pour rappel, elle adapte la Loi « Informatique et libertés » du 6 janvier 1978 au RGPD et à la Directive européenne sur les fichiers en matière pénale.

Des sénateurs requérants avaient déféré au Conseil constitutionnel la Loi relative à la protection des données à caractère personnel en dénonçant son inintelligibilité et contestant la constitutionnalité de certaines dispositions de ses articles. Le Conseil constitutionnel, qui s’est prononcé le 12 juin dernier sur ce texte, a toutefois jugé l’essentiel du texte conforme à la Constitution.

La CNIL s’est prononcée sur ce texte dans un avis en date du 17 novembre 2017 :

https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000036195647

Mise à jour du Décret d’application de la loi « Informatique et libertés »

La nouvelle version du décret d’application de la loi « Informatique et Libertés » a été publiée le 3 août dernier. Il s’agit là de la dernière étape de mise en conformité du droit national au RGPD. Ce décret apporte des précisions sur les délais et procédures applicables aux différentes missions de la CNIL ainsi que sur certaines dispositions de la loi, notamment sur les droits des personnes (voir les articles 92 et suivants).

Pour consulter le texte du décret et l’avis de la CNIL du 21 juin 2018 :

https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000241445

https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000037278166&categorieLien=id

Thématiques prioritaires pour les contrôles CNIL 2018

Avec l’entrée en application du RGPD ainsi que de la Loi relative à la protection des données à caractère personnel la CNIL rappelle qu’elle :

• contrôlera le respect des principes fondamentaux de la protection des données, pour l’essentiel inchangés par rapport à la Loi de 1978 ;
• vérifiera le respect des obligations nouvelles issues du RGPD.

Comme elle l’a déjà annoncé, la CNIL tiendra compte, dans un premier temps, dans l’appréciation des suites à donner à ses contrôles, de la dynamique engagée par les organismes pour se conformer pleinement aux nouvelles exigences européennes.

Pour le reste, les grandes lignes de la stratégie de contrôle de la CNIL restent inchangées. S’agissant du programme annuel des contrôles, la CNIL nous fait part de trois grandes thématiques cette année :

1/ Les traitements liés au recrutement

Les acteurs du recrutement traitent de nombreuses données relatives aux candidats et sont amenés à recourir, de plus en plus, à des méthodes fondées sur le « big data » et à l’utilisation d’algorithmes d’aide au recrutement. Les contrôles permettront, notamment, de vérifier les moyens déployés pour l’identification de candidats, les outils utilisés par les équipes RH pour leur évaluation, les critères de sélection et les conditions de traitement des données.

2/ Les pièces justificatives demandées par les agences immobilières

Plus de deux après l’adoption du Décret n° 2015-1437 du 5 novembre 2015 renforçant les droits des locataires, il apparaît que ce cadre n’est pas respecté et que de nombreuses pièces complémentaires à la liste fixée par ce texte, telles que des attestations d’absence de crédit en cours ou des dossiers médicaux, sont exigés par les agences immobilières.

Les vérifications opérées auront ainsi vocation à constater cette pratique en portant plus précisément sur la licéité de la collecte, la proportionnalité des données collectées, les durées de conservation et la sécurisation des documents.

3/ Les traitements relatifs à la gestion des services de stationnements payants réalisés au moyen d’équipements connectés 

Dans le cadre de la réforme des règles de gestion du stationnement payant sur la voie publique, une telle gestion passe des mairies vers les collectivités, qui peuvent mettre en œuvre de nouveaux dispositifs visant à améliorer la capacité de contrôle du paiement du stationnement. Parmi ces nouveaux dispositifs, la  lecture automatisée de plaques d’immatriculation implique la collecte quasi systématique du numéro de plaque d’immatriculation des véhicules en stationnement associé, notamment, à des données de géolocalisation.

Le recours à ces nouveaux dispositifs pose ainsi des enjeux en matière informatique et libertés, notamment sur la liberté de circuler anonymement dans l’espace public.

Les contrôles viseront à vérifier le respect des garanties prévues par la Loi du 6 janvier 1978 modifiée (pertinence des données, information, etc.).

DROIT A L’OUBLI

La CEDH met en balance le droit à l’oubli et le droit de la presse

Référence : CEDH 28 juin 2018, M.L. et W.W. c. Allemagne (Requêtes nos 60798/10 et 65599/10)