i [Avis d’Experts] Panorama de droit du numérique | MediaTic Info
droit-du-numerique

[Avis d’Experts] Panorama de droit du numérique

L’adoption de la nouvelle réglementation sur les données personnelles

Soucieuse de renforcer la protection des personnes afin notamment de renforcer la confiance des internautes, et de faciliter le développement du numérique, l’Union européenne a adopté le 14 avril 2016 un texte qui vient remplacer le texte de la directive, « le règlement général sur la protection des données », n° 2016/679.

Ce texte énumère les droits de la personne concernée, c’est-à-dire de la personne dont les données à caractère personnel font l’objet d’un traitement en leur permettant d’exercer un contrôle renforcé sur les données à caractère personnel les concernant. Il prévoir notamment :

  • l’obligation d’obtenir le consentement préalable de toute personne dont les données sont collectées, cette personne devant être clairement informée du ou des traitements que subiront ses données. Le consentement parental est obligatoire pour les mineurs
  • un accès plus facile de la personne concernée aux données à caractère personnel qui la concernent
  • un droit renforcé afin d’obtenir la rectification, au besoin l’effacement des données et un droit à l’oubli.
  • la possibilité de s’opposer à l’utilisation de ses données personnelles à des fins de profilage et un contrôle renforcé en cas de profilage consenti
  • La mise en place d’un mécanisme élargi de notification des failles de sécurité à charge des personnes traitant des données personnelles. Les responsables du traitement ont l’obligation de notifier les violations de données à caractère personnel dans certaines hypothèses. Quant aux pouvoirs publics et aux entreprises qui effectuent des traitements de données présentant des risques, ils sont astreints à désigner un délégué à la protection des données.
  • le droit à la portabilité des données personnelles traitées, d’un prestataire de services à un autre.

Le règlement précise les obligations générales des responsables du traitement et des personnes qui effectuent le traitement de données à caractère personnel pour leur compte (sous-traitants), notamment l’obligation de mettre en œuvre les mesures de sécurité appropriées et adaptées aux risques liés aux opérations de traitement de données réalisées.

Cette approche basée sur le risque suppose d’analyser chaque traitement et d’être en mesure de mesurer le risque que le traitement peut faire courir, notamment au regard de la confidentialité des données.

Par ailleurs, le chapitre V du règlement, qui traite des transferts de données personnelles vers des Etats tiers ou des organisations internationales institue notamment un recours quasi systématique aux binding corporate rules, (contrats destinés à encadrer le traitement et la sécurisation des données), ce qui doit inciter les entreprises à se doter d’outils de compliance.

Projet de loi pour une république numérique

Même si certains le déplorent, le data mining ou « fouille de données » n’échappe pas, en l’état actuel du droit, au règles qui régissent le droit d’auteur et le droit des producteurs de bases de données. Il est donc nécessaire pour effectuer des opérations de big data, d’obtenir les autorisations nécessaires des auteurs lorsque les données traitées sont soumises au droit d’auteur et du producteur de la base de données lorsque ces données sont récupérées dans une base, ce qui est le cas quasi systématiquement.

Il est toutefois apparu nécessaire au législateur de créer une exception afin de permettre le développement du traitement de données en masse. Ainsi, le texte du projet de loi voté par l’Assemblée nationale le 20 juillet dernier dispose que l’auteur ne pourra interdire les « copies ou reproductions numériques réalisées à partir d’une source licite, en vue de l’exploitation de textes et de données incluses ou associées aux écrits scientifiques pour les besoins de la recherche publique, à l’exclusion de toute finalité commerciale ».

Clairement, cette exception, qui n’est pas un texte encore en vigueur, ne concerne que les chercheurs, mais ne saurait s’appliquer aux entreprises traitant du data mining à titre commercial. Dans la mesure où le texte vise les traitements en dehors de toute visée commerciale, il ne devrait pas être possible de contourner la règlementation en confiant à des chercheurs publics certains traitements à visée commerciale, sous couvert de recherche.

Bref, les entreprises devront toujours veiller au respect du droit d’auteur, sans se bercer d’illusions.

Contrefaçon de logiciel commise par un coauteur

Dans un arrêt rendu par la première chambre civile le 15 juin 2016, la Cour de cassation a considéré que « l’exploitation d’un logiciel par un de ses co-auteurs sans l’accord de l’autre porte nécessairement atteinte aux droits de celui-ci et constitue une contrefaçon ». En l’espèce, deux personnes avaient développé un logiciel. L’un des développeurs, qui estimait être seul auteur a assigné en contrefaçon la société qui exploitait le logiciel et le second créateur qui revendiquait, lui aussi, la qualité d’auteur à titre exclusif.

La société faisait valoir que le logiciel lui appartenait car les auteurs étaient ses salariés. Or, le Code de la propriété intellectuelle prévoit que les logiciels créés par les salariés dans l’exercice de leur fonctions ou sur instruction de l’employeur, appartiennent à l’(employeur.  La Cour de cassation a approuvé le raisonnement de la cour d’appel qui a rejeté les arguments de la société au motif que la divulgation du logiciel était intervenue avant la création de la société et qui avait constaté qu’aucun apport des droits sur le logiciel à la société n’avait été fait. Dès lors, le logiciel développé par deux co-auteurs ne pouvait être qu’une œuvre de collaboration. Il en résulte que l’exploitation par un des co-auteurs suppose l’accord de l’autre. A défaut, il s’agit d’une contrefaçon.

On en saurait assez rappeler la nécessité de s’assurer de la titularité des droits d’auteur sur les logiciels, surtout dans les startups qui emploient souvent des stagiaires ou qui exploitent des logiciels créés avant que le société ne soit elle-même créée. La consultation d’un juriste spécialisé peut s’avérer plus qu’utile et éviter bien des déboires.

Protection du secret des affaires

L’Union européenne vient d’adopter une directive (Directive UE n° 2016/943 du 8 juin 2016) consacrant la protection du secret des affaires. Il ne s’agit pas ici de faire une présentation exhaustive de ce texte qui devra être intégré dans le droit des états membres avant le 9 juin 2018.

Il faut toutefois retenir que le secret des affaires, comme son nom l’indique, doit être couvert par le secret. En quoi cela concerne-t-il les activités numériques ? Tout simplement parce qu’il appartient à celui qui se prévaut du secret sur quelque information sensible, de prouver qu’il a mis en œuvre les moyens destinés à préserver ce secret, notamment les moyens physiques destinés à protéger l’accès à ses réseaux, en tenant compte de l’état actuel de la technique.

Soulignons également que des moyens juridiques devront être mis en place (accords de confidentialité rédigés le plus clairement possible, clauses dans les contrats de travail, les pactes d’actionnaires etc.)

Enfin, le secret des affaires ne crée pas un droit de propriété intellectuelle sur les informations. Sa communication doit donc être entourée de précautions. Les « NDA » (accords de confidentialité) que l’on peut trouver sur le net sont largement insuffisants..

« Les informations courantes et l’expérience et les compétences obtenues par les travailleurs dans l’exercice normal de leurs fonctions » sont exclus du champ du secret des affaires. Reste à définir la notion d’exercice normal des fonctions, ce qui suppose que les entreprises prennent soin d’établir des fiches de poste claires. Sont également exclues de la protection « les informations qui sont généralement connues des personnes appartenant aux milieux qui s’occupent normalement du genre d’informations en question, ou qui leur sont aisément accessibles ».

Nul doute, au vu de ce texte, que la rédaction des accords de confidentialité, qui sont trop souvent  et à tort, perçus comme de simple formulaires à remplir, va s’en trouver profondément bouleversée.

jp-gasnier-2Par Jean-Pierre Gasnier

Avocat associé

Cabinet AKHEOS

Spécialiste en droit de la propriété intellectuelle et droit du numérique

Ce contenu a été publié dans Avis d'Experts, avec comme mot(s)-clé(s) , , , , . Vous pouvez le mettre en favoris avec ce permalien.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *