lundi 31 mai 2021

Le manquement à une licence de logiciel n'est pas une contrefaçon

Cour d’appel de Paris, Chambre 5, Pôle 2, 19 mars 2021, RG n°19/17493 

Dans cet arrêt, c'est le manquement contractuel qui est retenu à la suite d'un non respect des termes du contrat de licence de propriété intellectuelle (contrat de licence de logiciel).

Les règles propriété intellectuelle sanctionnent pénalement et civilement les atteintes contre le droit d'auteur, de marque ou de brevet, le droit d'auteur attaché au logiciel, c'est-à-dire le délit de contrefaçon.

Toutefois, quand un contrat est en jeu, impliquant une discussion et un partenariat entre deux co-contractants, une forme de confidentialité, il est surprenant d'invoquer les foudres attachées à la répression du délit (pénal et civil) de contrefaçon pour sanctionner le contractant indélicat.

La notion même de contrat paraît antinomique à la notion de délit, qui présuppose une atteinte portée à la confiance publique, un scandale public. On tenté de dire ici que l'arrêt revient aux fondamentaux. 

Il ne s'étend toutefois pas sur les raisons du choix du régime de la responsabilité contractuelle, indiquant simplement que 

"lorsque le fait générateur d’une atteinte à un droit de propriété intellectuelle résulte d’un manquement contractuel, le titulaire du droit ayant consenti par contrat à son utilisation sous certaines réserves, alors seule une action en responsabilité contractuelle est recevable par application du principe de non-cumul des responsabilités."

L'arrêt rapporte surtout et aussi le débat qu'il y a eu devant la Cour de justice de l'Union Européenne sur le sujet (arrêt de la Cour de Justice de l’Union européenne (CJUE) rendu le 18 décembre 2019), sur le fondement des directives 2004/48 et 2009/24.

Selon la CJUE :
[...] si la directive 2004/48 vise à établir les mesures, procédures et réparations à l’égard des titulaires des droits de propriété intellectuelle, ce qui englobe les droits d’auteur des programmes d’ordinateur prévus par la directive 2009/24, cette première directive ne fixe pas les modalités exactes d’application de ces garanties et ne prescrit pas l’application d’un régime de responsabilité particulier en cas d’atteinte à ces droits.

44 – Il s’ensuit que le législateur national reste libre de fixer les modalités concrètes de protection des dits droits et de définir, notamment, la nature, contractuelle ou délictuelle, de l’action dont le titulaire de ceux-ci dispose, en cas de violation de ses droits de propriété intellectuelle, à l’encontre d’un licencié de programme d’ordinateur.



jeudi 27 mai 2021

L'originalité du logiciel devant le juge de la mise en état

CA Versailles, 1re ch. 1re sect., 25 mai 2021, n° 20/03501. 

Dans une affaire de contrefaçon de logiciel, l'arrêt confirme l'ordonnance du juge de la mise en état devant lequel était contestée la validité de l'assignation pour insuffisance de précision.

Il est intéressant dans le cadre de la réforme de la procédure civile attribuant de nouveaux pouvoirs au juge de la mise en état (article 789 du code de procédure civile)  car il vient rappeler le type de question pouvant être débattu devant lui, en matière de droit informatique.

En l'espèce, le juge souligne les contours du droit d'auteur du logiciel, qui ne concerne pas l'interface graphique, ou la fonctionnalité mise en oeuvre (directive 91/250/CEE du Conseil, du 14 mai 1991, concernant la protection juridique des programmes d’ordinateur et de la directive 2001/29/CE du Parlement européen et du Conseil, du 22 mai 2001, sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information).

"seul le code source permettait de connaître les choix précis du programmateur qui ont présidé à la mise en forme qui constitue le siège de l’originalité d’un logiciel."

Le juge indique qu'il n'a pas à statuer sur l'originalité du logiciel ou à apprécier la suffisance de l’explicitation de l’objet de la demande, mais sanctionne le défaut d'explicitation de l'objet de la demande.

"Faute d’expliciter les caractéristiques originales revendiquées, de commenter le code source qui est le siège de ses droits, de produire aucun organigramme, il en déduisait que l’assignation ne répondait pas aux exigences de l’article 56, 2°, du code de procédure civile et devait être annulée puisqu’en outre cette carence causait un grief à la société Sélectour Entreprise qui se trouvait privée de développer une réponse utile donc de se défendre efficacement."

C'est en effet au plaignant qu'il revient d'indiquer la caractéristique originale de l'oeuvre, celle qui mérite l'action en contrefaçon (CA Paris, Pôle 5 - ch. 1, 7 mai 2019, n° 16/11002, CA Douai, ch. 1 sect. 2, 5 avr. 2018, n° 16/04545).

mardi 25 mai 2021

Droit de la photographie

 Les clichés peuvent faire l'objet de revendications de la part de leurs auteurs, pour atteinte au droit d'auteur, ou de leurs mandataires, agences de presse ou banques de données d'images (par ex. Getty Images, Agence France Presse, Associated Press, Reuters, BestImages, PicRights, PermissionMachine, RightsControl..)

L'auteur doit démontrer l'originalité du cliché (notion heureusement assez libre), ou le parasitisme occasionné...consultez l'avocat spécialiste : https://www.roc-avocat-paris.com/


mercredi 12 mai 2021

Transfert de données sur un cloud étranger : la décision Doctolib


CE, ord. réf., 12 mars 2021, Doctolib, req. n° 450163 - Décision provisoire de référé

Lors de sa décision Doctolib, le Conseil d’État reconnaît l’incompatibilité du droit américain avec la protection des données à caractère personnel de l’Union européenne

Concernant les États-Unis, l’arrêt Schrems II (CJUE 16 juill. 2020, aff. C-311/18) a invalidé le Privacy Shield, équivalent d’une décision d’adéquation, qui permettait aux entreprises s’y soumettant d’exporter des données à caractère personnel vers les États-Unis. Le droit américain autorise en effet aux autorités publiques d’accéder aux données personnelles sans assurer aux personnes concernées des voies de recours effectives

La société Doctolib, qui propose un service de prise de rendez-vous médicaux en ligne, héberge ses données sur les serveurs d’une filiale d’Amazon Web Services (AWS), société de droit états-unienne. Dans le cadre de la campagne de vaccination contre la covid-19, Doctolib a été désignée par le ministère des Solidarités et de la santé pour gérer les prises de rendez-vous y afférent.

Le juge des référés du Conseil d’État a été saisi d’une demande de suspension de ce partenariat en ce qu’il méconnaîtrait le règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD).

Le juge rejette en ce que :

La société AWS Sarl, filiale luxembourgeoise d’AWS Inc., est certifiée « hébergeur de données de santé » (CSP, art. L. 1111-8). Les données sont hébergées dans des centres situés en France et en Allemagne et il n’est pas prévu au contrat d’éventuels transferts de données aux États-Unis pour des raisons techniques. Puisqu’AWS Sarl est une filiale d’une société américaine, elle peut faire l’objet d’une demande d’accès par les autorités publiques américaines, selon les requérants.

Données en cause. – Le Conseil d’État relève que « les données litigieuses comprennent les données d’identification des personnes et les données relatives aux rendez-vous mais pas de données de santé sur les éventuels motifs médicaux d’éligibilité à la vaccination », les personnes devant simplement justifier leur éligibilité par une attestation sur l’honneur.

Durée de conservation. – Les données « sont supprimées au plus tard à l’issue d’un délai de trois mois à compter de la date de prise de rendez-vous, chaque personne concernée ayant créé un compte sur la plateforme pour les besoins de la vaccination pouvant le supprimer directement en ligne ».

Demande d’accès par les autorités publiques américaines. – Afin de sécuriser leurs relations, il est prévu au contrat qu’AWS devra contester « toute demande générale ou ne respectant pas la réglementation européenne ». Cette mesure s’accompagne d’un « dispositif de sécurisation des données hébergées par la société AWS par le biais d’une procédure de chiffrement reposant sur un tiers de confiance situé en France afin d’empêcher la lecture des données par des tiers ».

> le niveau de protection ainsi mis en place par les parties « ne peut être regardé comme manifestement insuffisant au regard du risque de violation du RGPD ».

La portée de la décision est relative en ce qu'il s'agit une décision provisoire de référé qui sanctionne le "manifestement illicite" et qui pourrait donc être corrigée. A suivre.

V.aussi
CNIL, délib. n° 2020-044 du 20 avr. 2020 et communiqué de presse du 14 oct. 2020
CE, ord. réf., 13 oct. 2020, n° 444937

Le cabinet Roquefeuil offre des services d'analyse juridique RGPD et d'accompagnement à la conformité en partenariat avec des agences de certification.

vendredi 16 avril 2021

On te lynchera : Droit à l'oubli et droit de réponse sur internet


A l'heure des réseaux sociaux et des plateaux télé vociférant où l'on vient avec ses sentiments en bandoulière, le droit de réponse est souvent présenté comme le rempart absolu contre l'usage excessif de la liberté d'expression, permettant à quiconque est visé dans un article publié d'exiger la publication d'un correctif. Les choses sont cependant à relativiser.

Sur internet, le droit de réponse est régi par :

L'article 6-IV de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique

Le décret 2007-1527 du 24 octobre 2007 relatif au droit de réponse applicable aux services de communication au public en ligne et pris pour l'application du IV de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique

L'article 13 de la loi du 29 juillet 1881 sur la liberté de la presse

Les moteurs de recherche voient en général d'un bon œil ce qui peut s'apparenter à du dialogue et à de la critique constructive, ou ce qui renforce et finalement légitime un avis négatif, telle une réponse.

Selon les principes de e-réputation, l'insertion d'une réponse a néanmoins un effet contre-productif en ce sens où elle aurait tendance à augmenter le référencement de la publication que l'on veut précisément combattre.

Toutefois, ce droit de réponse reste souvent le seul moyen de combattre rapidement les dénigrements et les diffamations, les atteintes à la vie privée, en attendant mieux, quand il existe un moyen pour la personne visée de répliquer directement, en ligne, à l'avis.

Ce d'autant plus que les recours restent si laborieux pour le commun des mortels.

L'arrêt Costeja (Cour de justice de l'Union Européenne, 13 mai 2014, Costeja / Google Spain, C-131/12) pourra éventuellement être opposé aux moteurs de recherche pour obtenir un déréférencement  ("droit à l'oubli"), et par référence aux articles 17  et 85 du règlement UE 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)(RGPD), et à l'article 80 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

L'arrêt Costeja permet de poursuivre les référencements faits par les moteurs de recherche, étant donné qu'ils permettent d'établir le profil d'une personne par une recherche sur son nom, en indexant les pages qui mentionnent ce nom. Ce traitement informatique effectué par le moteur est visé par l'article 17 du RGPD ("droit à l'oubli" ou "droit à l'effacement") et développé à l'article 51 de la loi informatique et liberté, qui réserve l'exercice de la liberté d'expression.

Ce déréférencement n'est pas automatique. Il permet à une personne stigmatisée de réclamer à un moteur de recherche que certains contenus la concernant ne soit plus fléchés par le moteur. Elle doit s'appuyer sur des raisons valables (arrêt de la CJUE du 24 septembre 2019, arrêts du conseil d'État du 6 décembre 2019 et du 27 mars 2020, Cour de cassation, Chambre civile 1, 27 novembre 2019, 18-14.675, Publié au bulletin, pôle 1), ou sur la protection de la vie privée.

En ce qui concerne le thème de la protection des données personnelles face à la liberté d'expression, on notera :

L'article 85 du RGPD renvoie à la loi de chaque Etat membre en ce qui concerne la conciliation du droit à la protection des données personnelles avec la liberté d'expression.

A ce sujet, l'article 80, 2°, de la loi informatique et libertés, dans sa version du 1er juin 2019 résultant de l'ordonnance n°2018-1125 du 12 décembre 2018, article 1, maintient la restriction du droit de protection des données personnelles face à la liberté d'expression seulement en ce que celle-ci est exercée par un journaliste professionnel...et Google, dans son activité de moteur de recherche ("Google Search") ne fait pas œuvre de journalisme, mais d'indexeur. Il est d'ailleurs redevable envers les contenus journalistiques qu'il indexe (cf.directive DIRECTIVE (UE) 2019/790 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 17 avril 2019 sur le droit d'auteur et les droits voisins dans le marché unique numérique et modifiant les directives 96/9/CE et 2001/29/CE,  article 17).

L'article 21 paragraphe 1 du RGPD permet à chacun d'invoquer une situation particulière, liée à son parcours personnel, pour s'opposer à un traitement de ses données personnelles ("droit d'opposition", visé aussi par l'article 56 de la loi informatique et libertés).


***



mardi 23 mars 2021

Les clauses abusives, qu'est-ce que c'est, comment les faire sanctionner ?

Les professionnels proposent le plus souvent au consommateur ou au non professionnel des conditions  standard non négociables, prérédigées, favorables aux déséquilibres, aux "abus", par exemple en matière de bail d'habitation, d'assurance, de déménagement, ou autres contrats destinés au consommateur, et quelque soit le support utilisé : bons de commande, factures, bons de garantie, bordereaux ou bons de livraison, billets ou tickets..

Le législateur français s'est emparé de la question avec la loi n°78-23 du 10 janvier 1978 en prévoyant que le pouvoir exécutif, sur recommandation d'une Commission (étatique) des clauses abusives, pouvait désormais enrayer ce phénomène massif en décrétant quelles étaient les clauses abusives.

La clause abusive est celle qui, sans pouvoir toutefois porter sur l'objet même du contrat ou sur le prix (d'autres régimes s'appliquent alors), créée un "déséquilibre significatif".

Le juge, plus tard confirmé par la loi, s'est aussi reconnu ce pouvoir, en réputant "non
écrite" la clause qu'il pouvait juger abusive en application des critères légaux, en particulier sur saisine des associations de consommateurs ou de la DGCCRF.

Ce régime d'ordre public est applicable sur l'ensemble du territoire national dès lors, en principe, que le consommateur s'y trouve, y compris quand des relations internationales sont en cause.


Quelle sanction ?

Ces sont les pouvoirs publics et les associations de consommateurs qui s'intéressent le plus aux clauses abusives et recherchent auprès du juge (après avertissements) des injonctions de retrait et des indemnités.

Voir par exemple l'action de groupe lancée par UFC Que Choisir contre Google : 

https://www.ufcquechoisir-nimes.org/vie-privee-donnees-personnelles-action-de-groupe-contre-google

Les particuliers ne sont pas privés de recours et invoqueront le caractère abusif d'une clause à l'occasion d'un litige sur un contrat. Ils peuvent solliciter l'intervention d'associations de consommateurs.

http://www.inc-conso.fr/content/les-associations-de-consommateurs

Dans tous les cas une clause reconnue abusive sera réputée "non écrite".


Que faire en présence d'une clause que l'on pressent "abusive" ?

Il convient de vérifier que la clause n'est pas déjà considérée comme définitivement abusive, ou sans doute abusive, dans les listes prévues aux articles R211-1 et suivants du code de la consommation.

En effet les clauses déjà déclarées abusives ou soupçonnées d'être abusives selon ces textes ont toutes leurs chances d'être spontanément abandonnées par le vendeur ou le prestataire, ou confirmées comme abusives par le juge.

D'ailleurs, 

"Le juge peut relever d’office toutes les dispositions du présent code dans les litiges nés de son application.

Il écarte d’office, après avoir recueilli les observations des parties, l’application d’une clause dont le caractère abusif ressort des éléments du débat"
(Article R. 632-1 du code de la consommation) 

Le juge, mais aussi les professionnels, les associations de consommateurs, les pouvoirs publics, peuvent dans tous les cas saisir pour avis la Commission des clauses abusives (Articles L882-5 et R822-21 du code de la consommation).

La collection de décisions de justice, avis et recommandations, constituée par la Commission des clauses abusives illustre les cas où une clause a été qualifiée d'abusive. Ces décisions pourront aussi servir de référence :

http://www.clauses-abusives.fr/


Textes applicables :  

Articles L212-1 et suivants, L241-1 et suivants, du code de la consommation

Articles R211-1 et suivants du code de la consommation









lundi 15 mars 2021

La difficile levée d'anonymat sur internet




L'anonymat sur internet pose depuis longtemps question.

Au début d'internet, cet anonymat était plutôt vécu comme une nouvelle liberté, chacun pouvant désormais s'exprimer sans contrainte, avec une audience potentiellement illimitée.

L'anonymat, à l'instar du secret du vote, était considéré comme la garantie d'une saine respiration démocratique.

Avec la montée en régime d'internet et surtout des réseaux sociaux et des annuaires en ligne dans les années 2010 (Twitter, Facebook, Instagram, Youtube, Google My Business) cet anonymat est de plus en plus vécu comme source de nuisance, l'internaute-roi se sentant autorisé à dire n'importe quoi, n'importe quand, et sur n'importe qui.

Avant internet, la médisance du médisant restait limitée dans sa diffusion, restreinte au "café du commerce", comme on avait coutume de dire, et au "teneur de crachoir" qui se trouvait au comptoir.

Aujourd'hui cette diffusion est illimitée dans l'espace et dans le temps. Le pouvoir de médisance est bien plus important.

Les juridictions veillent sur cette liberté d'expression. Et celui qui s'estimera victime devra suivre un véritable parcours du combattant pour tenter de faire valoir ses droits contre le médisant.

Les réseaux sociaux et autres plateformes invoquent leur statut d'"hébergeur", d'"intermédiaire technique", pour rejeter une demande de suppression qui ne ferait pas ressortir une illégalité manifeste ou qui ne viendrait pas d'un juge.

Les pouvoirs publics sont bien conscients aujourd'hui des difficultés engendrées par cet anonymat et poussent des réformes visant à discipliner les réseaux sociaux (par ex. loi anti-fake news). 

Mais les décisions judiciaires restent très vigilantes dans le respect de la liberté d'expression, et la législation actuelle ne semble pas permettre, sauf exceptions, de faire supprimer facilement les contenus qui n'apparaissent pas "manifestement" illicites.

L'ordonnance de référé du 25 février 2021 rendue par le tribunal judiciaire de Paris a contraint Twitter à communiquer les données d’identification de l’un de ses utilisateurs. 

La solution est classique.

Une youtubeuse ayant une certaine audience se voyait malmenée sur le réseau Twitter et demandait à Twitter communication des données d'identification de l'auteur des propos qu'elle contestait, en se fondant sur l'article 145 du code de procédure civile, qui permet de saisir le juge avant tout procès en requête ou en référé pour obtenir des preuves quand il existe un "motif légitime".

Par ailleurs, l’article 6-II de la loi du 21 juin 2004 pour la confiance dans l’économie numérique [1] (Voir aussi le décret d'application [2]) dispose que "[les fournisseurs d'accès internet et le hébergeurs] détiennent et conservent les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires. [...] L’autorité judiciaire peut requérir communication auprès des prestataires mentionnés aux 1 et 2 du I des données mentionnées au premier alinéa."

Ce "motif légitime" est plus large que le "caractère manifestement illicite" dont il faut justifier pour obtenir un retrait de contenu.

La demande de communication de données d'identification est donc plus largement satisfaite que la demande de retrait de contenu.

Autant le retrait d'un contenu "gris" non manifestement illicite, est difficile à obtenir du juge ou d'un réseau social, autant la communication de données est en principe plus aisée.

La justiciable a dû néanmoins attraire Twitter, société étrangère, en justice, selon un processus onéreux, simplement pour obtenir des données d'identification.

Et Twitter a éprouvé le besoin de contester cette demande ! et même de menacer qu'elle exercerait un recours si elle se voyait contrainte de s'exécuter ! 

Twitter prétextait que la demande de communication de données doublait les mesures d'instruction susceptibles d'être prises à la suite de la plainte pénale avec constitution de partie civile qui avait déjà été déposée, pour diffamation. Le tribunal rappelle que l'action pénale n'empêche pas de saisir le juge civil des référés, les deux actions ayant des objets, des conditions, des temporalités, différents.

Cette décision encourageante bien que classique révèle la difficulté qu'il y a à faire retirer un contenu et témoigne de la résistance des réseaux sociaux et des plateformes d'outre-atlantique. Ces plateformes privées sont attachées à leur conception de la liberté d'expression, ...et aux conditions d'utilisation qu'elles proposent.

***

Fort d’une expérience dans le domaine de la e-reputation, le Cabinet Roquefeuil accompagne ses clients au plus près sur ces questions. 

Le Cabinet est naturellement à votre écoute face à ces problématiques délicates que vous pouvez rencontrer.

[1] Article 6 de la loi du 21 juin 2004 (dite "LCEN") (Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique)
[2] Article 1du décret n°2011-219 du 25 février 2011

vendredi 5 février 2021