News

Vers une responsabilisation du sous-traitant

L’entrée en vigueur le 25 mai prochain du Règlement européen sur la protection des données personnelles (« le Règlement ») qui renforce les droits des résidents européens sur leurs données, étend aussi la responsabilité des acteurs du traitement aux sous-traitants (I), dont les obligations sont renforcées (II.).

I. Quels sont les sous-traitants co-responsables des données ?

  1. Ceux qui ne sont pas parfaitement autonomes dans le traitement des données personnelles

L’article 28.10 du Règlement précise que lorsqu’un organisme détermine la finalité et les moyens d’un traitement, il ne peut pas être qualifié de sous-traitant, mais doit être considéré comme le ou l’un des responsables dudit traitement.

Dans son Guide du sous-traitant, la CNIL est plus extensive encore, car elle indique que toute personne/tout prestataire de services traitant des données personnelles pour le compte, sur instruction et sous l’autorité d’un responsable de traitement, est un sous-traitant et ce, quelle que soit l’étendue de la tâche confiée. C’est notamment le cas des prestataires de services informatiques (hébergeurs, chargés de la maintenance, paiements en ligne etc.) ou des agences de marketing ou de communication traitant des données personnelles pour le compte de leurs clients.

En tous les cas, tout sous-traitant a évidemment la qualité de responsable de traitement pour les opérations qu’il met en œuvre sur ses propres données, s’agissant par exemple de la gestion de son personnel ou de ses clients. Le cas échéant, il est impératif qu’il tienne deux registres strictement distincts des catégories d’activités de traitement effectuées.

Afin de faciliter l’identification des acteurs des traitements de données personnelles, le Groupe 29 des CNIL européennes est venu préciser le faisceau d’indices nécessaire à cette analyse dans son avis 1/2010[1]. Parmi ces indices figurent le niveau d’instruction donné, l’autonomie dont dispose le prestataire, le degré de contrôle de l’exécution de la prestation, la valeur ajoutée fournie par le prestataire ou encore, le degré de transparence sur le recours à un prestataire.

2. Qui sont établis dans l’UE ou offrent des produits ou services aux résidents européens

Conformément à l’article 3 du Règlement, ses dispositions s’appliquent au sous-traitant dès lors que ce dernier :

  • est établi dans l’Union européenne en tant que sous-traitant ou,
  • si tel n’est pas le cas, que ses activités de traitement sont liées
    • à l’offre de biens ou de services à des personnes concernées dans l’Union européenne,
    • ou au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union européenne.

II. Quels sont leurs nouvelles responsabilités ?

Jusqu’à présent, la loi Informatique et Libertés faisait peser des obligations sur le seul responsable de traitement. En effet, si le sous-traitant se devait de présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité des données, cette exigence ne déchargeait en rien le responsable du traitement de son obligation de veiller au respect desdites mesures. Or, le Règlement qui vise une « responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles, dès lors qu’elles concernent des résidents européens », revient sur cette répartition des rôles en imposant désormais un certain nombre d’obligations aux sous-traitants (1.) et en sanctionnant sévèrement toute atteinte portée au droit respect du nom du photographe (2.).

  1. Un devoir d’assistance renforcé

Les sous-traitants sont désormais officiellement chargés d’assister les responsables de traitement dans leur démarche de mise en conformité des traitements entrepris, dès son entrée en vigueur.

Conformément aux dispositions de l’article 28 dudit Règlement, tout sous-traitant qui intervient dans la mise en œuvre d’un traitement de données personnelles se doit d’offrir au responsable de traitement, son client, « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement et garantisse la protection des droits de la personne concernée ».

Concrètement, cela signifie que le sous-traitant est désormais soumis aux obligations listées ci-dessous.

Obligations générales

  • obligation de garantir la sécurité et la confidentialité des données traitées : en soumettant par exemple ses employés à une obligation de confidentialité ou en procédant à la suppression des données et copies existantes (sauf obligation légale) au terme de sa prestation ou sur instruction du responsable de traitement ;
  • obligation de prendre en compte les principes de protection des données dès la conception de ses outils ou services de collecte et de traitement, de même que les principes de protection des données par défaut, en veillant par exemple à ne collecter que les données strictement nécessaires à la finalité du traitement;
  • obligation de transparence et de traçabilité : il s’agit ici de délimiter avec précision les obligations de chacun et de documenter l’ensemble des traitements effectués pour le compte du responsable de traitement (en tenant un registre) ;
  • obligation de conseiller le responsable de traitement : s’agissant notamment des mesures de sécurité à mettre en œuvre ;
  • obligation d’assistance du responsable de traitement : par exemple lors de la réalisation d’analyses d’impact ou d’audits en mettant l’ensemble des informations nécessaires à sa disposition ; cela vaut également lorsqu’un titulaire de données exerce ses droits d’accès, de rectification, d’effacement, de portabilité, et d’opposition ou manifeste son intention de ne pas faire l’objet d’une décision individuelle automatisée (profilage compris) ;
  • obligation d’alerter le responsable de traitement : notamment dans le cadre des notifications de violation de données que ce dernier doit ensuite communiquer à l’autorité de contrôle compétente et à la personne concernée ; ou si le sous-traitant estime qu’une instruction du responsable de traitement constitue une violation des règles en matière de protection des données.

Obligations spécifiques

Lorsque le sous-traitant est une autorité ou un organisme public, ou que ses activités de base l’amènent à réaliser pour le compte de ses clients un suivi régulier et systématique des personnes à grande échelle, ou si ses activités de base l’amènent pour le compte de ses clients, à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions :

  • obligation de tenir un registre des traitements : ce registre tenu par écrit doit comporter le nom et les coordonnées de chaque responsable de traitement pour lequel des données sont traitées ainsi que les catégories de traitements effectués pour le compte de chaque responsable de traitement ; le cas échéant, le nom et les coordonnées de tout éventuel sous-traitant ultérieur ainsi que le nom et les coordonnées du délégué à la protection des données, s’il en existe un ;
  • obligation de désigner un délégué à la protection des données (également « DPD ») ; désignation d’un DPD qui au delà des cas listés ci-dessus est vivement recommandée par la CNIL afin de faciliter la mise en œuvre et le contrôle de la conformité au Règlement.

En cas d’absence d’établissement dans l’Union européenne :

  • obligation de désigner un représentant dans l’Union européenne afin qu’il soit l’interlocuteur des personnes concernées et des autorités de contrôle pour toute question relative au(x) traitement(s) entrepris.

En cas de sous-traitance de sous-traitance :

  • obligation d’obtenir l’autorisation écrite du responsable de traitement en cas de recrutement d’un autre sous-traitant : à noter que si le second sous-traitant ne respecte pas ses obligations, le sous-traitant initial est pleinement responsable vis à vis du responsable du traitement de l’exécution par le second sous-traitant de ses obligations.

2. Des sanctions accrues

Le sous-traitant peut être condamné à réparer le préjudice subi par une personne privée (selon le Règlement : « toute personne ayant subi un dommage matériel ou moral du fait d’une violation de ses dispositions, peut obtenir réparation du préjudice subi auprès de ce-dernier »).

Les sanctions administratives importantes dont le sous-traitant peut faire l’objet et qui varient en fonction de la catégorie de l’infraction visée, peuvent s’élever jusqu’à 10-20 millions d’euros ou 2-4% du chiffre d’affaires annuel mondial de l’exercice précédent s’il s’agit d’une entreprise, sachant que c’est le montant le plus élevé qui sera retenu.

*          *          *

*          *

Cette nouvelle répartition des rôles nécessite de réviser les contrats conclus antérieurement à l’entrée en vigueur du Règlement en veillant à y insérer, par voie d’avenant, des clauses définissant de manière précise les obligations et droits du responsable du traitement et du sous-traitant. Par ailleurs, il est également important, si cela n’est pas déjà fait, d’y spécifier l’objet et la durée de la prestation convenue, la nature et la finalité du traitement ainsi que le type de données à caractère personnel faisant l’objet des traitements et les catégories de personnes concernées. La CNIL propose dans son Guide des modèles de clause en ce sens en attendant l’adoption prochaine de clauses contractuelles type.

Pour plus d’informations, nous vous invitons à consulter Le Guide du Sous-Traitant de la CNIL (édition septembre 2017) ainsi qu’à vous reporter en particulier au considérant 81 et aux articles 3, 4, 27, 28, 30.2, 37, 82 et 83 du Règlement.

[1] Avis 1/2010 du groupe de travail « article 29″ sur les notions de « responsable du traitement » et de « sous-traitant » WP169 Adopté le 16 février 2010, http://www.cil.cnrs.fr/CIL/spip.php?article2685

La mention du nom du photographe sur les sites Internet, motif d’incertitude

« L’auteur jouit du droit au respect de son nom » (article L121-1 du Code de la propriété intellectuelle). En matière de photographies, cela signifie que le nom du photographe doit figurer à côté de la photographie dont il est l’auteur.

Les sites internet imaginent des solutions inventives (1.), qui ne sont pas toujours au goût des juges (2.).

1. Des solutions inventives certes, mais qui peinent à définir la notion de proximité entre le nom et la photographie

Les signatures dites « groupées », qui font figurer à la fin d’un livre ou sur une page internet tous les noms des photographes représentés sur le site ne permettent pas d’identifier l’auteur avec certitude et, de ce fait, ne sont pas admises[1]. Le nom de l’auteur de chacune des photographies présentes sur le site Internet doit être noté de manière intelligible et accessible à tout utilisateur et placé dans le « voisinage immédiat » de la photographie.

1.1 Les mentions type validées par la jurisprudence

  • La mention du nom apposée directement sous la photographie concernée

La solution qui consiste à mentionner le nom du photographe directement sous la photographie répond à priori de façon simple aux exigences légales et jurisprudentielles, à condition que le nom soit intelligible, c’est-à-dire qu’il ne figure pas en caractères trop petits.

Lorsque les photographies proviennent d’une agence, le nom du photographe auteur de la photographie doit être mentionné, même si celui de l’agence figure déjà (Tribunal de grande instance de Paris, 26 juin 1985).

Il est recommandé de mentionner en tout état de cause le nom du gestionnaire de droits, c’est-à-dire de l’agence à laquelle est rattaché le photographe. Cette mention doit néanmoins être distincte de celle du nom du photographe.

  • L’utilisation d’infobulles

Il est également possible de faire figurer le nom du photographe en bas de chaque page web où est représentée ladite photographie – à une distance raisonnable, nous y reviendrons -, ou de recourir au mécanisme de l’infobulle qui a été jugé suffisant à de plusieurs reprises par la jurisprudence[2].

En application de cette technique, le nom de l’auteur apparaît dans un encadré s’affichant lorsque l’internaute passe la souris sur la photographie affichée à l’écran.

Cette solution n’est cependant pas parfaite car le nom du photographe n’apparait que lorsque le curseur de la souris la survole, si bien que l’internaute peut pratiquement consulter la page web correspondante sans être informé à aucun moment de l’identité du photographe. Cette solution plus récente encouragée par la jurisprudence ne nous paraît pas à l’abri d’un revirement jurisprudentiel.

1.2 Les difficultés liées à l’absence de définition du critère de proximité

Compte tenu de l’absence évidente de définition précise de la notion de « voisinage immédiat », bon nombre de solutions envisagées par les titulaires de site Internet sont incertaines.

L’apposition du nom de l’auteur au bas d’une page web a été acceptée, comme l’avait auparavant été la mention du nom à la fin d’un catalogue[3].

En revanche, rien ne permet d’affirmer aujourd’hui qu’un nom de photographe placé par exemple dans les mentions légales est bien situé dans un « voisinage [suffisamment] immédiat ». Chaque page web étant présumée autonome, le respect de cette condition de proximité entre la photographie et la mention du nom du photographe pourrait ne pas être respectée.

2. Les sanctions encourues en cas de non-respect du droit au nom du photographe

Il est de jurisprudence constante que l’omission du nom de l’auteur sur des reproductions de ses œuvres même diffusées en nombre restreint cause au créateur un préjudice qui doit être réparé[4].

En cas de litige relatif à la violation du droit de paternité, le photographe dispose de deux voies de recours :

  • Soit il décide de saisir le juge civil en assignant l’auteur de la violation devant le Tribunal de grande instance. La violation si elle est confirmée donne généralement lieu à :
    • l’interdiction de poursuite l’exploitation de la ou les photographies concernées dans un délai d’en moyenne trois mois (ce qui implique la suppression dans la base documentaire ainsi que sur le site Internet de l’auteur de la violation l’ensemble des photographies objet de la violation), éventuellement assortie d’une astreinte de 100 euros par jour de retard à compter de la signification du jugement ;
    • l’octroi de dommages et intérêts : le préjudice est généralement chiffré en tenant notamment compte du nombre de photographies concernées, du nombre de personnes susceptibles de les avoir consultées (nombre de connexions au site) et de la durée de ladite violation (5.000€ ont pu être allouées dans un cas où 123 photographies figuraient sans nom du photographe) ;.
    • la condamnation de l’auteur de la violation au paiement des frais de procédure au titre de l’article 700 du Code de procédure civile et des dépens, soit en général entre 2.000 et 6.000€ pour ce genre d’affaires.
  • Soit il saisit le juge pénal. Cette hypothèse, si elle doit être citée, implique l’existence d’un élément intentionnel, qui serait certainement exclu en cas de mention effective du nom du photographe sur le site mais placée au mauvais endroit. En application de l’article L.335-2 CPI, la violation, si elle est confirmée, pourrait donner lieu à :
    • des sanctions pénales pouvant aller jusqu’à 3 ans d’emprisonnement,
    • jusqu’à 300 000 euros d’amende et, le cas échéant,
    • à la confiscation des recettes procurées par ladite violation du droit de paternité du photographe.

En conclusion et quel que soit le type de mention choisi, la matière est évolutive et mérite d’être suivie de près.

 

[1] Voir notamment en ce sens Paris, 18 février 1988 – Cahiers du droit d’auteur, mai 1988, page 23.

[2] Voir notamment TGI de Paris, 6 juin 2008 et Paris 26 septembre 2007.

[3] Voir notamment Versailles, 28 avril 1988.

[4] Voir notamment Civ. 1ère du 3 avril 2007.

Le rôle désormais décisif du recours aux certificats SSL/TLS pour les sites de vente en ligne

L’entrée en vigueur des dispositions du règlement (UE) n°2016/679 – le désormais célèbre RGPD – le 25 mai prochain nécessite de réviser les sites de vente en ligne et leurs procédures de paiement.

Les titulaires de sites ont l’obligation de prévenir ou minimiser toute perte ou destruction de données, tout accès non autorisé et toute modification ou divulgation des données. Certes, il est impossible de garantir une sécurité absolue aux utilisateurs des « boutiques en ligne », mais les titulaires de sites doivent prendre toutes les mesures raisonnables, techniques et organisationnelles qui s’offrent à eux, pour sécuriser leurs sites et en particulier, les paiements en ligne.

À cette fin, la CNIL recommande de recourir à l’usage des certificats SSL/TLS.

Le protocole Secure Sockets Layer ou SSL, auquel a succédé le TLS ou Transport Layer Security ont pour objectif de sécuriser la connexion Internet et protéger les données sensibles transmises entre deux systèmes. Ces deux systèmes peuvent être, comme c’est le cas ici, un site marchand et un navigateur/client. Lors de l’échange, le certificat SSL/TLS permet de chiffrer le trafic réseau et empêche ainsi la lecture ou la modification des informations transférées et garantit l’identité du détenteur du certificat.

Lorsqu’un site web est protégé par un certificat SSL/TLS, la mention « HTTPS » qui signifie « Hyper Text Transfer Protocol Secure » et figure en tête de l’URL (adresse web) avertit l’internaute que le propriétaire du site internet a pris des mesures pour protéger les données qui y transitent et confirme son statut de site sécurisé. Cette mention est généralement assortie d’une icône représentant un cadenas de couleur verte.

Si le recours aux certificats SSL/TLS fait pour l’instant l’objet de simples recommandations de la part de la CNIL, il faut noter que GOOGLE favorise les sites sécurisés depuis 2014 en les faisant bénéficier de classements web améliorés.

Or, en sus de l’avantage que peut procurer un meilleur ranking face aux sites concurrents, GOOGLE CHROME prévoit de pénaliser les sites non sécurisés à compter de juillet prochain en faisant apparaître la mention « NOT SECURE » dans la barre d’adresse desdits sites. Avis aux exploitants ! [1].

[1] E. Schechter, « A secure web is here to stay », blog post du 8 février 2018, https://security.googleblog.com/

Fière de présenter une belle décision : un professeur de littérature à la Sorbonne condamné à nouveau en appel pour contrefaçon

Certes, rien a priori de condamnable dans le fait que deux chercheurs s’intéressent au même sujet, étudient les mêmes œuvres du dix-huitième siècle dont ils commentent les mêmes passages,
utilisent des termes similaires ou identiques « relevant du fond commun ».
Mais quand, dans neuf des passages considérés, les termes, la construction de la phrase, la ponctuation même deviennent « très similaires » ou « identiques » « sans nécessité », il y a
contrefaçon : c’est ce qu’a jugé la Cour d’appel de Paris comme, avant elle, le Tribunal. Il y a d’autant plus contrefaçon que la plupart des emprunts ne faisaient pas référence à leur source, le
mémoire d’habilitation de Béatrice Durand, soutenu antérieurement à la Martin Luther-Universität de Halle en Allemagne et que ce travail antérieur était encore inédit, n’ayant été publié
sous une forme plus développée qu’en 2017 (Sauvages expérimentaux. Une Histoire des fictionsd’isolement enfantin, Paris, Hermann).
Les appelants, l’auteur du livre incriminé et son éditeur les Éditions Classiques Garnier, ont eu beau arguer du fait que le contenu de l’ouvrage avait été communiqué de diverses manières à la
communauté scientifique : soutenance publique d’un travail académique, conférences ou communication du mémoire à des commissions de qualification ou de recrutement (c’est
d’ailleurs au moment où Béatrice Durand soumettait son mémoire à la commission compétente du CNU, le Conseil National des Universités, dans son dossier de candidature à la qualification
aux fonctions de professeur, que le professeur de littérature en Sorbonne en avait eu connaissance), la Cour d’Appel confirme que « le mémoire de Madame Durand n’avait pas fait
l’objet de divulgation dès lors que son auteur avait choisi de ne pas le faire publier dans sa version initiale, telle que présentée aux instances universitaires allemande et française ». Et de se fonder
sur les témoignages d’universitaires produits par les deux parties qui « font état de l’obligation de confidentialité à laquelle sont soumis les membres des commissions de qualification ou de
recrutement ». En application de l’article L. 122-4 du Code de la propriété intellectuelle qui dispose que « toute représentation ou reproduction intégrale ou partielle faite sans le
consentement de l’auteur […] est illicite », la Cour d’appel rappelle que « l’auteur […] seul peut choisir l’opportunité, le moment et les modalités de la publication de son oeuvre » et condamne
l’auteur et son éditeur pour avoir violé ce droit.
En vain l’invocation par le professeur de la Sorbonne de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, des principes de liberté
d’expression et de liberté de la recherche scientifique. La cour estime qu’aucun intérêt scientifique ne peut justifier de telles reprises illicites sans citation de l’auteure antérieure.
Différentes condamnations pécuniaires sont prononcées, outre l’obligation sous astreinte d’annexer aux ouvrages litigieux déjà édités ou en cas de réédition une note avertissant le lecteur
de ce que les neuf « passages indiqués sont des citations du mémoire de Madame Durand intitulé L’origine au laboratoire de la fiction, histoire et fonction d’isolement enfantin dans l’élaboration des concepts de nature et de culture soutenue en 2003 à l’Université Marin-Luther-Universität de Halle-Wittenberg.
La recherche n’est pas un monde parallèle, elle est soumise au respect du droit des auteurs.Monsieur Christophe M s’est pourvu en cassation.

Cour d’appel de Paris, pôle 5 – chambre 1, arrêt du 27 mars 2018, RG n°16/14338

 

Et non, la mafia ne se met pas à table

Et non, la mafia ne se met pas à table comme elle le voudrait en droit des marques… La mafia se sienta à la mesa : le Tribunal de l’Union Européenne (Arrêt La Mafia Franchises c. EUIPO, 15 mars 2018,, aff. T-1/17) déclare nulle, comme l’avait fait l’EUIPO avant lui à la demande de la République italienne, cette marque déposée par la société LA HONORABLE HERMANDA (la fraternité honorable, sic).

Le fondement : l’atteinte à l’ordre public et aux bonnes mœurs protégée par l’article 7, paragraphe 1, sous f) du règlement no 207/2009 devenu 2017/1001.

Pourtant, elle ne manquait pas d’humour cette marque, déposée pour désigner notamment les services de conseil en matière de gestion et d’organisations d’affaire (classe 35) – de la mafia ?-, mais aussi les chaussures (mais non orthopédiques…) en classe 25, et les bars et restaurants de la classe 43, tout cela accompagné d’une rose rouge.

La marque avait pourtant été déclarée d’abord acceptable par l’office européen des marques, qui l’avait enregistrée en 2007. Quelques… 8 années après, la République italienne demandait que la marque contestée soit déclarée nulle pour être contraire à l’ordre public et aux bonnes mœurs, dès lors que l’élément verbal « mafia » renvoyait à une organisation criminelle et que l’usage qui en était fait dans ladite marque en vue de désigner la chaîne de restaurants de la requérante, en plus de susciter des sentiments profondément négatifs, avait pour effet de « manipuler » l’image positive de la gastronomie italienne et de banaliser le sens négatif de cet élément.

Certes, la phrase « se sienta a la mesa » qui signifie « s’assoit à table » en espagnol, peut être perçue par une large partie du public comprenant cette langue comme évoquant le partage d’un repas. Ainsi, l’association de la Mafia aux idées de convivialité et de détente véhiculées par le partage d’un repas contribue à la banalisation des activités illicites de cette organisation criminelle et est de nature à donner une image globalement positive de l’action de la Mafia.

Peu importe que des marques contenant le terme « mafia » aient été acceptées antérieurement par l’office européen des marques, voire par l’office italien des marques, car ni la pratique décisionnelle de l’office, ni la législation – même harmonisée – et la jurisprudence d’un Etat membre ne sauraient remettre en question la réglementation pertinente, autonome de la marque européenne.

Plagiarism

Some French universities are very vigilant in terms of plagiarism, research misconduct and make a real effort to educate their researchers. Congratulations to Doctoral School of Law of Strasbourg, which has dedicated a whole day to this sensitive issue. In this context, I was invited to present the administrative and judicial litigation of plagiarism in research in France, and to give a vision of the practice in Germany.

Link

Programme

 

La note d’auteur et les précautions à prendre en tant que diffuseur

Si le contrat avec les auteurs suffit à causer la cession de droits, le droit comptable oblige une entreprise à ce que chaque règlement soit causé par une facture, note de droit, ticket etc. C’est l’une des raisons pour lesquelles les diffuseurs doivent régler les auteurs au vu de notes d’auteur, dont le contenu peut varier sachant que l’assiette de calcul et le versement des cotisations et contributions dépendent de la catégorie de revenus dans laquelle les droits d’auteur sont fiscalement déclarés.

Aux termes de la définition de l’Agence pour la Gestion de la Sécurité Sociale des Auteurs, dite « AGESSA » (qui est la Caisse de Sécurité Sociale des Artistes Auteurs avec la MAISON DES ARTISTES), « est considérée comme un diffuseur, toute personne physique ou morale (sauf les particuliers), dont le siège social est situé en France et qui en contrepartie du droit d’exploitation commercial d’une œuvre originale verse une rémunération ou un droit d’auteur à l’auteur ».

Tout diffuseur amené à rémunérer un auteur a l’obligation de s’identifier auprès de l’AGESSA ou de la MAISON DES ARTISTES en remplissant un formulaire de déclaration d’existence. A l’issue de cette procédure d’identification, le diffuseur se voit normalement attribuer un identifiant chiffré à reporter sur les notes d’auteur.

Il doit régler d’abord la contribution diffuseur, indépendante du précompte, qui est due par le diffuseur dans tous les cas. D’un montant équivalent à 1,1% de la rémunération brute de l’auteur, elle est composée comme suit : contribution sociale de 1% + contribution au titre de la formation professionnelle de 0,10%.

En outre, tout diffuseur est tenu à chaque note d’auteur de verser à l’AGESSA un précompte (versement des cotisations sociales pour l’auteur). Cette obligation de précompte s’applique sauf si l’auteur dispose d’une dispense de précompte, sous la forme du formulaire S2026. Cette dispense n’est nullement systématique puisque seuls les auteurs déclarant leurs revenus en Bénéfices Non Commerciaux (BNC) qui en ont fait la demande et dont le dossier a été accepté peuvent en bénéficier à l’issue de leur première année d’activité. L’auteur doit alors présenter cette dispense au diffuseur qui en conservera une copie comme justificatif du non versement du précompte en cas de contrôle de l’Union de Recouvrement des cotisations de Sécurité Sociale et d’Allocations Familiales (URSSAF).

De son côté, l’auteur doit aussi s’inscrire auprès des organismes sociaux et ce, même s’il a adhéré à la Société des Auteurs et Compositeurs Dramatiques (SACD) et déclaré son œuvre. Néanmoins, si c’est l’AGESSA qui est la caisse sociale des auteurs, aucune disposition légale n’impose en pratique à un auteur de s’y affilier. De même, aucune sanction pénale n’est davantage prévue en cas de non affiliation malgré l’atteinte du plafond de 8.703 euros de revenus par an, au-delà duquel l’auteur doit être affilié à l’AGESSA.

Or, lorsque le diffuseur établit une note d’auteur, le numéro de Système Informatique pour le Répertoire des Entreprises sur le Territoire (SIRET) de l’auteur apparaît obligatoirement sur ladite note.

De cette manière, l’AGESSA et l’URSSAF peuvent se rendre compte par recoupement que l’auteur dont le numéro de SIRET apparaît sur différentes notes d’auteur a par exemple touché la somme de 12.000 euros sur une année (par exemple 4.000 euros versés par un premier diffuseur, 2.000 euros par un second diffuseur et 6.000 euros par un troisième et dernier diffuseur). Si cette somme est supérieure aux 8.703 euros fixés pour se voir imposer une affiliation à l’AGESSA, comme c’est le cas ici, mais que l’auteur ne s’est pas affilié, l’AGESSA et l’URSSAF vont alors vérifier les versements intervenus au titre des cotisations sociales et rapidement s’apercevoir qu’il n’y en a pas eu…

C’est seulement si le diffuseur est en mesure de présenter une copie de la dispense de précompte communiquée par l’auteur lors de l’établissement de la note d’auteur, qu’en cas de contrôle URSSAF, il ne subira à priori aucun redressement. Pour rappel, le formulaire S2026 est la preuve que compte tenu du statut particulier de l’auteur, le diffuseur n’était pas tenu de soustraire les cotisations sociales de la rémunération de ce dernier et de les reverser à l’AGESSA sous forme de précompte.

A défaut de présentation de cette dispense à l’URSSAF, le diffuseur s’expose à des poursuites judiciaires.

L’arrêt « Dialogue des Carmélites » – Un hommage français… à la liberté de création du metteur en scène

(suite, cf. article du 18.07.2016)

La scène finale de l’opéra de Francis Poulenc sur un livret de Georges Bernanos, scène finale qui concentre tout l’enjeu de l’œuvre, montre les Carmélites ayant fait vœu de martyre sous la Révolution française, monter une à une sur l’échafaud et disparaître en chantant le Salve Regina puis le Veni Creator, rejointes par Blanche de la Force, alors même qu’elle avait refusé ce vœu.

Mais dans sa mise en scène objet du litige, Dimitri Tcherniakov, habitué à renverser les œuvres, présente une baraque en bois entourée par la foule tenue à distance par un ruban de sécurité, dans laquelle sont enfermées les religieuses. Au son des chants religieux enregistrés, Blanche de la Force les sauve une à une de l’asphyxie et va s’enfermer seule dans la cabane, qui explose quelques instants après. Le son du couperet de la guillotine qui scandait, dans l’opéra de Poulenc, chaque disparition, marque ici chaque sauvetage.

Dans un arrêt en date du 13 octobre 2015[1], la Cour d’appel de Paris avait jugé, contrairement à l’instance inférieure, que l’esprit de l’œuvre était dénaturé par la mise en scène de Dimitri Tcherniakov présentée à l’Opéra de Munich en 2010, quand bien même le livret et la musique étaient parfaitement respectés.

Très discuté, cet arrêt éloigné de la jurisprudence antérieure et assorti de sévères sanctions, a été cassé le 22 juin 2017.

Motifs : les constatations de la Cour d’appel sont en contradiction avec la dénaturation retenue (1). Les sanctions prononcées font fi de l’application du contrôle de proportionnalité et de la recherche d’un juste équilibre entre les droits fondamentaux en balance (2).

1. Les constatations de la Cour d’appel sont en contradiction avec la dénaturation retenue

Dans son arrêt du 13 octobre 2015, la Cour d’appel de Paris avait estimé que la mise en scène de Dimitri Tcherniakov dénaturait « l’esprit de l’œuvre ».

Paradoxe, car elle avait auparavant souligné que « la mise en scène litigieuse ne modifiait ni les dialogues, absents dans cette partie des œuvres préexistantes, ni la musique, allant même jusqu’à reprendre, avec les chants religieux, le son du couperet de la guillotine qui scande dans l’opéra de Francis Poulenc, chaque disparition ». En d’autres termes, les éléments de l’œuvre n’avaient pas été modifiés et l’intégrité de l’œuvre s’en trouvait respectée.

Dans le même sens, la Cour d’appel admettait que le metteur en scène « respectait les thèmes de l’espérance, du martyr, de la grâce et du transfert de la grâce et de la communion des saints, chers aux auteurs de l’œuvre première ».

Et pourtant, elle avait jugé que l’œuvre s’en était quand même trouvée dénaturée.

Ce raisonnement trouve sa justification en droit d’auteur dans la distinction opérée entre les éléments purement matériels et les éléments dits « contextuels ».

En effet, selon les conseillers d’appel, la mise en scène avait conduit à modifier le sens de l’œuvre. En scandant la libération des religieuses au lieu de scander la mort tel que cela était initialement prévu dans l’œuvre de Bernanos et de Poulenc, le son de la guillotine tel que l’emploie Dimitri Tcherniakov constituerait une dénaturation de l’œuvre première.

La Cour de cassation sanctionne avec justesse non le fond mais l’incohérence de la motivation retenue par la Cour d’appel. Cela ne signifie pas pour autant que la Cour d’appel de Versailles devant laquelle cette affaire a été renvoyée, ne pourra pas retenir la dénaturation, mais l’exercice sera difficile et la motivation devra être très solide.

Attention, cependant à ce que le juge ne devienne pas un « censeur » ! La doctrine française, confirmée en cela par une partie de la critique musicale[2] , a majoritairement tendance à considérer que Dimitri Tcherniakov a « pris des libertés très importantes avec l’opéra[3] ». Et Christophe Caron d’ajouter que la Cour d’appel de Versailles « ne devra pas oublier que les auteurs d’opéras bénéficient aussi d’un droit moral qui ne doit pas être sacrifié systématiquement sur l’autel de celui du metteur en scène. En effet, l’opéra n’est pas une sous-œuvre qu’il est possible d’altérer en toute impunité. Ses auteurs ne bénéficient pas d’un droit moral amoindri (…)[4] ».

 

Le metteur en scène doit-il être au service de l’œuvre ou doit-il être considéré comme le nouvel auteur d’une œuvre composite, ou encore comme un artiste libre de présenter sa propre interprétation de l’œuvre ?

2. Les sanctions prononcées par la Cour d’appel ne reposent sur aucune base légale faute de contrôle de proportionnalité en amont

Dans son arrêt du 13 octobre 2015, la Cour d’appel prononçait une sanction extrêmement sévère – pouvant s’apparenter à une censure – en « ordonnant à la société Bel Air média et au Land de Bavière, sous astreinte, de prendre toute mesure pour que cesse immédiatement et en tout pays la publication dans le commerce ou plus généralement l’édition, y compris sur les réseaux de communication au public en ligne, du vidéogramme litigieux et faisant interdiction à la société Mezzo, sous astreinte, de diffuser ou autoriser la télédiffusion de celui-ci au sein de programmes de télévision et en tous pays ».

La Cour de cassation casse cette décision au motif que la Cour d’appel n’a pas examiné « comme elle y était invitée, en quoi la recherche d’un juste équilibre entre la liberté de création du metteur en scène et la protection du droit moral du compositeur et de l’auteur justifiait la mesure d’interdiction ».

Il est intéressant de noter que la Cour de cassation invoque en l’espèce l’article 10§2 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales et reprend l’attendu de l’arrêt Klasen, sans toutefois donner aucune indication concernant son application.

Elle aurait également pu considérer que la compétence internationale du juge français ne saurait être illimitée. Quant à l’interdiction pure et simple prononcée par la Cour d’appel ; mesure grave et exceptionnelle, il est vrai, en tout état de cause, qu’un simple avertissement du public aurait pu être préféré. Peut-être peut-on laisser le public se faire son opinion ?

Depuis cet arrêt de cassation, la commercialisation initialement prohibée des captations audiovisuelles de la mise en scène de Dimitri Tcherniakov sous forme de vidéogramme a repris et la cause et les parties ont été renvoyées devant la Cour d’appel de Versailles. Affaire à suivre…

 

[1] CA Paris, pôle 5, ch. 1, 13 oct. 2015, n° 14/08900, Bernanos et a. c/ Opéra de Munich et a.

[2] C. Merlin, « Tcherniakov, un radical au tribunal », Le Figaro 4 juillet 2017

[3] Voir notamment en ce sens C. Caron, « « Les Dialogues des Carmélites » de nouveau devant la Cour de cassation », Communication Commerce Électronique, septembre 2017, n°9, pp. 1 à 3 et E. Treppoz, « Commentaire de l’arrêt du 22 juin 2017 », Légipresse, septembre 2017, n°352, pp. 439 à 441

[4] C. Caron, « « Les Dialogues des Carmélites » de nouveau devant la Cour de cassation », Communication Commerce Électronique, septembre 2017, n°9, pp. 1 à 3

L’utilisation des données personnelles de la carte bancaire dans le cadre des paiements à distance

La nouvelle donne

Avec l’entrée en application du règlement européen sur la protection des données le 25 mai prochain, les systèmes de paiement en ligne doivent aussi être revus.

C’est la délibération n°2017-222 du 20 juillet 2017 de la CNIL, venue abroger la délibération n°2013-358 du 14 novembre 2013, qui définit en France les modalités de traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance.

Comme pour tout autre traitement de données personnelles, seules les données adéquates, pertinentes et non excessives au regard de la finalité du traitement, peuvent être collectées et leur utilisation doit se limiter aux seules finalités pour lesquelles elles ont été expressément communiquées.

1. Dans quels cas les données de la carte bancaire peuvent-elles être collectées ?

Pour les finalités déterminées, explicites et légitimes que sont :

  • payer un bien ou un service,
  • réserver un bien ou un service,
  • régler en plusieurs échéances et de manière régulière un abonnement souscrit en ligne,
  • souscrire à une offre de solutions de paiement dédiées à la vente à distance par des prestataires de services de paiement,
  • faciliter les éventuels achats ultérieurs sur le site commerçant,
  • lutter contre la fraude à la carte de paiement.

2. Quelles sont les données strictement nécessaires qui peuvent être récoltées ?

Par défaut :

  • le numéro de la carte bancaire,
  • sa date d’expiration,
  • le cryptogramme visuel.

Cette liste est limitative.

En d’autres termes, l’identité du titulaire de la carte bancaire qui est souvent demandée n’a pas à être collectée si elle n’est pas strictement nécessaire à la réalisation de la transaction en ligne ou si elle n’est pas justifiée par la poursuite d’une finalité déterminée et légitime telle que la lutte contre la fraude.

La CNIL précise que le numéro de la carte de paiement ne saurait être utilisé comme identifiant commercial et que la photocopie ou copie numérique du recto et/ou du verso de la carte de paiement ne saurait être exigée, même si le cryptogramme visuel et une partie des numéros sont noircis.

3. Combien de temps les données nécessaires peuvent-elles être conservées ?

Les données nécessaires ne doivent en principe pas être conservées au-delà de la transaction.

Le site marchand du commerçant doit obligatoirement comporter un moyen simple et sans frais de retrait du consentement initialement donné.

S’il est néanmoins possible de proposer au porteur de la carte de conserver ses données afin de faciliter ses achats ultérieurs, la conservation du cryptogramme est, dans tous les cas, interdite après la réalisation de la première transaction. Pour les autres données nécessaires, le consentement préalable du client est alors obligatoire et doit prendre la forme d’un acte de volonté explicite. Il ne se présume pas et ne saurait résulter d’une case pré-cochée par défaut. Dans le même sens, l’acceptation des conditions générales d’utilisation ou des conditions générales de vente ne saurait être assimilée à un acte de volonté explicite.

S’agissant de la lutte contre la fraude, la conservation des données relatives à la carte de paiement au-delà de la réalisation d’une transaction outrepasse le cadre du contrat. La conservation au-delà ne peut se faire que si elle participe de la réalisation d’un intérêt légitime du responsable de traitement et ce, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés des personnes en application de l’article 7 (5°) de la loi n° 78-17 du 6 janvier 1978 modifiée.

En résumé, la durée de conservation des données de la carte bancaire dépend des finalités poursuivies :

Version complétée du tableau de la CNIL, voir lien 

4. Quelles sont les obligations d’information ?

Toute utilisation du numéro de carte de paiement, quelle qu’en soit la finalité, doit faire l’objet d’une information complète et claire auprès des personnes.

De manière générale, la personne concernée est informée de l’identité du responsable du traitement, des finalités du traitement, du caractère obligatoire ou facultatif des informations à renseigner, des conséquences éventuelles, à leur égard, d’un défaut de réponse, des destinataires des données, de la durée de conservation des catégories de données traitées, de l’existence et des modalités d’exercice de ses droits d’accès, de rectification et d’opposition au traitement de ses données, dont celui de définir des directives relatives au sort de ses données à caractère personnel après la mort et le cas échéant des transferts de données hors Union européenne.

Dans l’hypothèse où les données relatives à la personne ont été communiquées à un tiers par le commerçant, celui-ci doit informer ce tiers sans délai de l’exercice du droit d’opposition ou de rectification par la personne concernée.

5. Comment les données nécessaires doivent-elles être sécurisées ?

Le titulaire de la carte bancaire doit être averti sans délai de toute compromission de ses données bancaires afin de pouvoir limiter les risques de réutilisation frauduleuse de sa carte.

Par ailleurs, la CNIL préconise que :

  • les responsables de traitement recourent uniquement à des dispositifs conformes à des référentiels reconnus en matière de sécurisation de données relatives à la carte au niveau européen ou international (par exemple le standard PCI-DSS) ; qu’ils mettent en place une démarche de gestion des risques de manière à déterminer les mesures de sécurité organisationnelles et techniques nécessaires,
  • le responsable de traitement et son/ses sous-traitants éventuels adoptent une politique de gestion stricte des habilitations de leurs personnels, ne donnant accès au numéro de la carte de paiement des clients que lorsque cela est rigoureusement nécessaire,
  • des mesures d’obfuscation (masquage de tout ou partie du numéro de la carte lors de son affichage ou de son stockage) ou de « tokenisation » (remplacement du numéro de carte par un numéro non signifiant) soient mises en œuvre afin de limiter l’accès aux numéros de cartes,
  • le personnel soit sensibilisé aux risques de fraudes en matière de données relatives à la carte et aux mesures de sécurité permettant de les éviter,
  • ni le responsable de traitement, ni son ou ses sous-traitants éventuels, ni les clients ne procèdent à l’enregistrement de données relatives à la carte de paiement localement, sur l’équipement terminal du client qui n’est pas sécurisé,
  • les données transitant sur des canaux de communication publics ou susceptibles d’interception fassent l’objet de mesures techniques visant à rendre ces données incompréhensibles à toute personne non autorisée,
  • les accès ou utilisations desdites données fassent l’objet de mesures de traçabilité spécifiques permettant de détecter a posteriori tout accès ou utilisation illégitime des données et de l’imputer à la personne responsable,
  • en cas d’utilisation desdites données pour une finalité de lutte contre la fraude, elles fassent l’objet de mesures techniques visant à prévenir toute réutilisation illégitime,
  • les moyens d’authentification soient renforcés afin de s’assurer de l’identité de l’auteur du paiement à distance (traçabilité, masquage…),
  • une solution sécurisée alternative à la collecte du numéro de la carte de paiement par téléphone soit aménagée lorsque les achats sont effectués par téléphone ; à défaut, la traçabilité des accès aux numéros de la carte doit être renforcée.

 

 

 

 

General specifications concerning the EU Certification mark

The reform of European Union trademarks dated October 1st, 2017 has led to the introduction of a new type of European trademark: the certification mark. This is defined in Article 74(a) of Regulation (EU) 2015/2424 dated 16th December, 2015 as that “which distinguishes the goods or services for which the material, the way in which the products are produced or the services supplied, the quality, precision or other characteristics with the exception of geographical origin, are certified by the proprietor of the mark in relation to the goods or services which do not qualify for such certification”. This type of trademark guarantees the use of the mark in relation to the certification standards defined by the applicant.

The certification mark benefits the consumer, since it enables more transparency with regard to the quality of the products and/or services and the owner, who thereby gives value to his engagement and offer and proves his neutrality on the market. As for the European Union Trademark, this new kind of mark applies to all 28 countries of the European Union. Thus, it enables owners to easily provide and control the use of their signs by third parties.

In a recent decision, the CJEU (June 8, 2017, C-689/15, W. F. Gözze Frottierweberei GmbH c/ Verein Bremer Baumwollbörse) ruled that an individual trademark cannot be used as a certification mark and could be subject to revocation since it was not put to genuine use by its owner. Indeed, due to the lack of regulation regarding certificates, a significant number of certifying bodies applied in the past for individual marks. However, since the above-mentioned decision of the CJEU, it is important to react quickly in order to avoid any application for revocation.

In fact, individual marks and certification marks have different functions, the former enable the consumer to associate a mark with its owner and the latter enable one to distinguish between goods and services, which have been certified from those which have not. It is interesting to note that the company BREMER BAUMWOLLBÖRSE GmbH, which was involved in the case cited above, applied for an EU certification mark on the very day that the reform introducing this type of mark entered into force.

At the time of writing this document, only a few certification marks have been filed, including well-known signs such as or. It seems therefore to be the perfect time to file an EU certification mark and benefit from a right of priority.

Who is able to file an EU Certification Mark?

Unlike the collective mark, which can be only filed by associations or state bodies, any legal or natural person may apply to register a certification mark.

However, the Office sets a limit under the title of “duty of neutrality”, namely:

  • the applicant should not carry out any business involving the supply of goods and/or services protected by the certification mark and
  • the applicant and the third parties using the certification mark should not be economically bound (for example a branch office).

Hence, the applicant wishing to register a certification mark should provide a simple signed statement to the Office that he does not carry out any activity relating to the supply of the certified products and services.

The chosen sign must be distinctive

In the same way as for individual or collective marks, a certification mark has to be distinctive. However, in this instance, the function of the mark is not to distinguish the goods and services provided by a specific company but, as the Office mentions in its guidelines, “to distinguish goods or services certified by one certifier from those that are not certified at all and from those certified by another certifier”. This point will certainly give rise to several interesting decisions in the future.

How does the owner set out the given standards for the certification?

Of course, the products and services to be certified have to be listed, just as for any individual or collective trademark.

The essential element of the certification is the regulation of use of the mark provided by the owner, which must be filed within two months at the latest from the date of application. This document defines objective conditions governing the use of the certification mark by a third party such as:

  • the characteristics of the goods and services to be certified, e.g.:
    • persons or type of persons authorised to use the mark
    • quality of the goods and services
    • mode of manufacture
  • the testing and supervision measures to be applied by the owner, namely:
    • control of the market by the owner or a third party
    • sanctions for non-compliance with the regulations of use
  • the fees to be paid in connection with the use of the trademark by third parties, where applicable.

All these conditions have to be drafted with precision in order to be clearly understood by the market operators. The definition of the controls and sanctions operated by the owner is also important in order to dissuade incorrect use of the mark.

However, the Office clearly mentions in its guidelines as an absolute ground of refusal that “an EU certification mark will not be capable of distinguishing goods or services certified in respect of the geographical origin”.

Costs

The Office has based the fees for the application for an EU certification mark on the fees for the application for a collective mark, namely:

  • basic fee for the application for an EU certification mark: EUR 1,800.00
  • fee for the second class: EUR 50.00
  • fee for each class exceeding two: EUR 150.00.

L’impact du Règlement Général sur la Protection des Données sur le traitement des données de vos salariés

L’entrée en vigueur du Règlement Général sur la Protection des Données (ci-après RGPD) le 25 mai prochain va avoir un impact significatif pour toutes les structures qui collectent, manipulent et/ou conservent des données à caractère personnel portant sur des résidents européens et ce, quelle que soit leur taille et leur niveau de développement (grands groupes, PME, start-up…).

Si la loi Informatique et Libertés applicable en France constitue déjà un cadre extrêmement protecteur des données personnelles (droit d’accès aux données, droit de rectification…), le RGPD vient renforcer les droits des salariés. L’expression du consentement est désormais précisément encadrée, les salariés devant être informés de manière claire, intelligible et facilement accessible de l’usage de leurs données et disposer systématiquement de la possibilité d’y consentir de manière non ambiguë ou de pouvoir s’y opposer. Ces exigences étendues vont transformer l’organisation et la gestion des procédures liées aux données salariés ainsi qu’aux droits de ces derniers.

Ainsi, le RGPD accorde un certain nombre de nouveaux droits aux salariés et met de nouvelles obligations à la charge des employeurs, dont la majeure partie est étendue à leur(s) sous-traitant(s), et notamment :

  • la portabilité des données : tout salarié ayant transmis des données sera autorisé à les récupérer sous une forme facilement réutilisable et à les transférer ensuite à un tiers ;
  • le renforcement de la confidentialité et de la sécurité des données : l’employeur, comme ses sous-traitants, se voient imposer une obligation de sécurité renforcée et de notification des violations de données personnelles à l’autorité de protection des données dans un délai de 72 heures ;
  • l’interdiction de la transmission par l’employeur des données personnelles des salariés citoyens européens, hors Union Européenne, vers les pays où la protection des donnés est jugée insuffisante par la Commission européenne, cf. USA ;
  • les analyses d’impact : les entreprises désireuses de mettre en œuvre un traitement des données personnelles devront effectuer une analyse d’impact en amont pour s’assurer de sa faisabilité au regard des obligations du RGPD et ce notamment pour les traitements à risques ;
  • la limitation de la collecte et de la conservation des données aux seules informations pertinentes (smart data) ;
  • la tenue systématique en interne d’un registre de traitement des données : le RGPD ayant pour objectif de simplifier les démarches préalables et de responsabiliser les entreprises, il supprime à quelques exceptions près les formalités préalables (déclarations et demandes d’autorisation) auprès des autorités de contrôle. En remplacement, les entreprises doivent tenir en interne un registre des traitements des données consultable à tout moment par les autorités de contrôle ;
  • la nomination d’un délégué à la protection des données qui sera chargé d’informer ou de conseiller le responsable de traitement ou son sous-traitant : pour les structures qui traitent des données sensibles ou en masse il s’agit d’une obligation ; pour les autres, d’une recommandation ;
  • la reconnaissance du droit à réparation : tout salarié ayant subi un dommage matériel ou moral du fait d’une violation des dispositions du RGPD par le responsable du traitement des données ou l’un de ses sous-traitants, se verra reconnaître un droit à réparation.

En cas de méconnaissance des dispositions du nouveau règlement par l’employeur ou son sous-traitant chargé du traitement des données, le RGPD prévoit des sanctions administratives extrêmement lourdes, pouvant aller pour une entreprise jusqu’à une amende d’un montant égal à 4% du chiffre d’affaires annuel ou au paiement de la somme de 20 millions d’euros, le montant le plus élevé étant retenu.

Les bons réflexes à avoir en tant qu’employeur pour se préparer à l’entrée en vigueur du RGPD:

  • effectuer un inventaire des traitements de données personnelles mis en œuvre au sein de la structure ;
  • évaluer les pratiques et les procédures mises en place ;
  • identifier les risques liés aux opérations de traitement mises en œuvre et planifier les mesures nécessaires à leur prévention,
  • penser à toujours maintenir et actualiser une documentation assurant la traçabilité des mesures prises étant donné qu’en cas de contrôle par l’autorité compétente ou de contestation par le salarié, c’est désormais au responsable du traitement, donc à l’employeur et le cas échéant à son sous-traitant, qu’incombe la charge de la preuve.

La mise en conformité avec les dispositions du RGPD, bien qu’extrêmement contraignante de prime abord, constitue un enjeu stratégique. A terme, elle contribuera à renforcer la confiance des salariés – et des partenaires et clients – de la structure concernée. Elle sera aussi l’occasion de renforcer la sécurité des données internes à ladite structure. Enfin, cette mise en conformité pourra être récompensée par l’octroi d’un ou plusieurs des labels CNIL ou d’une certification bénéfique à son image de marque et constitutif d’un avantage concurrentiel.

Transfert des données de la société WHATSAPP à la société FACEBOOK – Mise en demeure de la société WHATSAPP de se conformer à la loi par la CNIL le 18 décembre dernier

En 2014, la société WHATSAPP était rachetée par la société FACEBOOK Inc.. Le 25 août 2016 elle mettait en ligne une nouvelle version des conditions d’utilisation et de confidentialité de son application, avertissant les utilisateurs de la transmission désormais systématique de leurs données personnelles à la société FACEBOOK Inc.. Il était spécifié que cette transmission avait notamment deux finalités, la « business intelligence » et la sécurité. Les utilisateurs avaient désormais le choix entre refuser, l’accès à l’application leur étant alors interdit ou accepter sans condition.

Le Groupe 29[1] ou G29, alerté par ces modifications, s’empressait de demander à la société WHATSAPP de lui fournir de plus amples informations concernant lesdits traitements et exigeait l’interruption immédiate de tout ciblage publicitaire. Il mandatait par ailleurs son « Enforcement Subgroup » de coordonner les éventuelles investigations des autorités nationales et notamment celles de la Commission nationale de l’Informatique et des Libertés (ci-après CNIL).

La CNIL entreprit, courant novembre 2016, des contrôles en ligne et sur questionnaire et convoqua la société WHATSAPP pour une audition.

Au cours de ces différents contrôles, la CNIL constata qu’aucune information relative aux traitements de données à caractère personnel mis en place par la société WHATSAPP n’était présente sur le formulaire permettant de créer un compte sur l’application et que le consentement recueilli auprès des anciens comme des nouveaux utilisateurs s’agissant de la transmission de leurs données à la société FACEBOOK Inc. n’était pas libre.

Forte de ces constats, la CNIL exhorta alors la société WHATSAPP de lui communiquer des échantillons des données des utilisateurs français transmises à la société FACEBOOK Inc.

La société WHATSAPP se contenta de répondre qu’elle n’utilisait pas les données des utilisateurs français aux fins de ciblage publicitaire et refusa catégoriquement de communiquer de plus amples informations à la CNIL, estimant n’être soumise qu’à la seule législation américaine.

Aussi, le 18 décembre 2017[2], compte tenu du non-respect par la société WHATSAPP de son obligation de coopérer avec la CNIL (1.) et des manquements relatifs aux traitement des données qu’elle met en œuvre (2.), la CNIL mettait-elle publiquement en demeure la société WHATSAPP de se conformer à la loi dans un délai d’un mois (3.).

La loi française étant applicable, la société WHATSAPP a commis un manquement à son obligation de coopérer avec la CNIL

L’article 5- 2° du I de de la loi Informatique et Libertés prévoit que sont soumis à ses dispositions les traitements pour lesquels le responsable « sans être établi sur le territoire français ou sur celui d’un autre Etat membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français (…) », ce qu’a confirmé le G29 dans son avis n° 8/2010 du 16 décembre 2010 du G29[3].

En l’espèce, il est indéniable que la société WHATSAPP collecte des données à caractère personnel en ayant recours à des moyens de traitement situés sur le territoire français, puisque le service de messagerie proposé par l’intermédiaire de son application a notamment vocation à être installé sur des terminaux mobiles situés entre autres, sur le territoire français (cf. langue d’utilisation et possibilités de paramétrage spécifiques à la France) et permet de collecter de nombreuses données relatives à l’identité des utilisateurs (nom, numéro de téléphone, photographie…). La société WHATSAPP est donc bien soumise à la loi Informatique et Libertés française, dans sa version modifiée[4].

Or, à plusieurs reprises, la CNIL a demandé à la société WHATSAPP de lui fournir des documents contractuels ou non encadrant les échanges de données entre la société WHATSAPP et les sociétés destinataires desdites données ainsi que l’ensemble des données communiquées par la société WHATSAPP à la société FACEBOOK Inc. pour un échantillon de mille utilisateurs situés sur le territoire français.

La société WHATSAPP a répondu à ces demandes en indiquant ne pas comprendre la nature de la documentation sollicitée, ou que la transmission de l’échantillon souhaité se heurtait à des difficultés légales, ou encore que la documentation attendue étant soumise à des règles de confidentialité strictes, elle ne pouvait à ce titre lui être communiquée.

Ces éléments de réponse qui illustrent l’insuffisance pour ne pas dire l’absence de coopération de la société WHATSAPP avec la CNIL, caractérisent un manquement à l’obligation de coopérer avec la CNIL conformément à l’article 21 de la loi Informatique et Libertés précitée[5].

La CNIL a constaté le défaut de base légale des traitements de données mis en œuvre

Les différentes investigations menées ont confirmé que l’utilisation desdites données se limitait aux seules finalités de sécurité et de business intelligence, ce qui a attisé les craintes du G29 et de la CNIL. Car si l’objectif de sécurité est essentiel au bon fonctionnement de l’application, ce qui est acceptable, ce n’est pas le cas de la finalité dite de « business intelligence » visant à « l’amélioration des performances de l’application et à optimiser son exploitation », qui selon les termes employés par la CNIL dans son communiqué du 18 décembre dernier ne repose sur aucune des bases légales listées à l’article 7 de la loi Informatique et Libertés[6].

S’agissant en premier lieu de l’argument du recueil du consentement libre et spécifique de la personne concernée, invoqué par la société WHATSAPP, il n’est pas valable en l’espèce.

En effet, d’après l’avis n°15/2011 du 13 juillet 2011 du G29 « le consentement ne peut être valable que si la personne concernée est véritablement en mesure d’exercer un choix (…) et s’il n’y a pas de conséquences importantes si elle ne donne pas son consentement » et de préciser « si les conséquences du consentement sapent la liberté de choix des personnes, le consentement n’est pas libre ».

En l’espèce, les utilisateurs ont certes été informés de la transmission de leurs données, mais la manifestation de leur volonté ne saurait être qualifiée de libre, dans la mesure où le seul moyen dont ils disposent pour s’y opposer, est de désinstaller l’application et donc de renoncer complètement à son utilisation.

Par ailleurs et comme l’a rappelé le G29 dans son avis précité, le consentement doit être spécifique, « En d’autres termes, un consentement général, sans préciser la finalité exacte du traitement, n’est pas acceptable. Le consentement doit être donné sur les différents aspects, clairement définis, du traitement. (…) En effet, il ne saurait être considéré comme couvrant toutes les finalités légitimes poursuivies par le responsable du traitement ».

En l’espèce, les utilisateurs consentent de manière générale aux conditions d’utilisation et à la politique de confidentialité avant d’installer l’application. Le consentement délivré concerne non seulement le traitement des données par la société WHATSAPP, mais aussi leur traitement par la société FACEBOOK Inc. à des fins accessoires dont l’amélioration de son service fait partie. Par conséquent, le consentement à la transmission des données n’est pas spécifique.

Faute d’être libre et spécifique, le consentement des utilisateurs n’a donc pas valablement été recueilli.

S’agissant en second lieu de l’intérêt légitime du responsable de traitement invoqué par la société WHATSAPP, il doit être apprécié non seulement en tant que tel mais aussi au regard de l’intérêt de la personne concernée et de ses droits et libertés fondamentaux, « auxquels l’intérêt du responsable de traitement ne saurait porter atteinte ». Il s’agit donc de tenir compte de la proportionnalité du traitement de données au regard de ses finalités.

En l’espèce, les données des utilisateurs de l’application de la société WHATSAPP sont transmises à la société FACEBOOK Inc. même lorsque ces derniers ne disposent pas d’un compte FACEBOOK. Comme la CNIL l’a souligné dans sa décision du 27 novembre dernier « cela signifie que les données de ces personnes sont transmises à un autre responsable de traitement avec lequel elles n’entretiennent aucun lien ».

En outre, dans son avis n°06/2014 du 09 avril 2014, le G29 souligne concernant l’intérêt légitime que « doivent être prises en compte dans la balance des intérêts les garanties supplémentaires mises en place par le responsable du traitement afin de prévenir toute incidence injustifiée sur les personnes concernées ».

Or, comme le constate à juste titre la CNIL, « un mécanisme d’opposition reposant sur la suppression définitive d’un compte ne permet pas d’assurer un juste équilibre entre l’intérêt de la société et l’intérêt des personnes concernées en ce qu’il a pour conséquence de priver la personne de l’utilisation d’un service ».

Dans le cas d’espèce, force est de constater que la finalité dite de « business intelligence » ne paraît pas indispensable au bon fonctionnement de l’application et que c’est à la société WHATSAPP et non à ses utilisateurs que profite en premier lieu la transmission des données. Le déséquilibre patent entre le traitement « massif » d’informations par un seul acteur pour des finalités non précisément déterminées entraîne nécessairement un déséquilibre important qui devrait être rectifié par l’aménagement d’un mécanisme d’opposition effectif au profit de l’utilisateur.

En conclusion, l’absence de consentement libre et spécifique des utilisateurs, de même que le défaut d’intérêt légitime de la société WHATSAPP constituent un manquement à l’obligation pour tout traitement de données de satisfaire à l’une des bases légales énumérées à l’article 7 de la loi Informatique et Libertés.

Le 18 décembre 2017, la CNIL a mis publiquement en demeure la société WHATSAPP d’avoir à se conformer à la loi dans un délai d’un mois

Le 18 décembre dernier, la Présidente de la CNIL a mis en demeure la Société WHATSAPP de se conformer à la loi dans un délai d’un mois, décision que la Direction de la CNIL, après concertation interne, a rendu publique[7].

Si certains ont vu dans la publicité de cette décision une sanction, la CNIL a affirmé que dans un souci de transparence à l’égard des utilisateurs, l’objectif poursuivi était avant tout d’alerter les utilisateurs de l’application de la société WHATSAPP et de « leur permettre de garder le contrôle sur leurs données ». Il est également vraisemblable que le caractère insuffisant voire inexistant de la coopération de la société WHATSAPP tout au long des investigations menées par la CNIL n’est pas étranger à cette décision.

La CNIL a cependant précisé que cette décision ne saurait constituer une sanction dans la mesure où si la société WHATSAPP se conforme à la loi dans le délai imparti, la procédure sera clôturée et sa clôture sera également rendue publique. À défaut de mise en conformité dans le délai imparti, la CNIL nommera un rapporteur chargé de proposer à la formation restreinte de la Commission de prononcer l’une des sanctions prévues à l’article 45 de la loi Informatique et libertés (prononcé d’un avertissement, d’une sanction pécuniaire, injonction de cesser le traitement doublé d’un retrait de l’autorisation accordée…).

[1] Le Groupe 29 regroupe l’ensemble des CNIL européennes.

[2].Voir le lien

[3] « Lorsqu’un responsable du traitement collecte sciemment des données à caractère personnel, même accessoirement, en ayant recours à des moyens situés dans l’UE, la directive s’applique ».

[4] Loi n° 78-17 du 6 janvier 1978 dans sa version modifiée.

[5] En outre, l’article 21 de la loi Informatique et Libertés 21 de la loi n° 78-17 du 6 janvier 1978 dispose que « les (…) dirigeants d’entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s’opposer à l’action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche ».

[6] Article 7 de la loi Informatique et Libertés n° 78-17 du 6 janvier : « Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l’une des conditions suivantes :

 Le respect d’une obligation légale incombant au responsable du traitement ;

 La sauvegarde de la vie de la personne concernée ;

 L’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement ;

4° L’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;

 La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée. » 

[7].Voir le lien

Ice Watch vs Swatch

Selon la Cour suprême française, ICE WATCH crée un risque de confusion avec SWATCH.

La société Ice SA a déposé la demande de marque internationale semi-figurative ICE WATCH désignant notamment la France, formée du mot ICE souligné d’un trait, au-dessous duquel est noté en plus petit « watch » n°1029087 le 7 janvier 2010 pour désigner différents produits relevant de la classe 14, dont notamment des produits d’ « horlogerie et instruments chronométriques ».

La société SWATCH, forme opposition à l’enregistrement de cette marque pour sa partie française devant l’INPI sur le fondement de sa marque internationale « Swatch » n° 506 123 désignant la France enregistrée depuis 2006 pour désigner les mêmes produits.

Son opposition est rejetée par le Directeur de l’INPI, qui admet donc la demande de marque à l’enregistrement.

La cour d’appel de Paris, qui est l’instance de recours contre les décisions de l’INPI, annule cette décision.

Visuellement, la Cour considère que les deux signes ont en commun la séquence « SWATCH » placée en position finale, ainsi qu’une longueur proche. Phonétiquement, la Cour souligne que les deux signes ont en commun « la sonorité [souatch], renforcée précisément par la césure phonétique résultant du mot « Ice » (I-ce) et la liaison des sons qui atténue les différences de longueur et de structure existant entre les signes ».

Conceptuellement, la cour d’appel n’est pas convaincue que le public de référence qui est le consommateur moyen français, perçoive le terme WATCH comme la traduction anglaise du mot « montre » ! Et quand bien même le terme ICE constitue la traduction anglaise du terme « glace », cette différence conceptuelle n’est pas de nature à atténuer les ressemblances phonétiques prépondérantes entre les signes ; pas plus que les éléments graphiques de la marque « Ice Watch » accessoires et imperceptibles oralement.

La cour d’appel déduit de cette comparaison que « l’impression d’ensemble qui se dégage du signe ICE WATCH est propre à générer un risque de confusion dans l’esprit du consommateur qui sera conduit (…) à associer les deux signes et à leur attribuer une origine commune en forme de déclinaison de la marque antérieure ».

Le 6 octobre 2015, la Cour de cassation valide la position des juges du fond au motif qu’ils ont pu déduire de la comparaison de l’impression d’ensemble des signes en présence que « l’impression d’ensemble qui se dégage du signe « Ice Watch » est propre à générer un risque de confusion dans l’esprit du consommateur, lequel sera conduit, eu égard à la similitude voire à l’identité des produits en cause et à la notoriété de la marque antérieure « Swatch », à confondre ou, à tout le moins, à associer les deux signes et à leur attribuer une origine commune en forme de déclinaison de ladite marque ».

La demande d’enregistrement devait être en toute logique rejetée. Mais, comme nous en a informé la socété ICE SA, un accord confidentiel a été entre temps signé par les parties, autorisant l’utilisation de la marque sous certaines conditions, si bien que la procédure d’opposition a été clôturée par l’INPI et la marque définitivement enregistrée. Vous pouvez trouver ici la note que le General Councel de ICE SA, Madame Céline Eyers, nous a demandé de publier.

 

La procédure d’enregistrement d’une marque en Allemagne

Le dépôt de marque en Allemagne suit un formalisme assez similaire à celui des marques françaises et européennes, sous réserve de certaines spécificités notables : l’existence d’une classe prépondérante ou « Leitklasse » (1), un contrôle sévère du caractère distinctif (2), une période d’opposition postérieure à l’enregistrement (3) et le point de départ de l’usage de la marque (4).
1. L’existence d’une classe prépondérante ou « Leitklasse »

Le dépôt, qui doit être fait en allemand uniquement, doit s’assortir, comme en France, de la revendication de produits et services précisément énumérés et classés selon le système de classes, pour protéger tel signe verbal, figuratif ou sonore. Mais une classe dite « prépondérante » peut être désignée (« Leitklasse »), ce qui permet de mieux expliquer la marque et son objectif, notamment aux titulaires de marques antérieures. Le dépôt de marque peut être effectué par un ressortissant de l’Union Européenne ne résidant pas principalement en Allemagne. Une fois le dépôt de la marque adressé à l’Office allemand des marques (ci-après DPMA), ce dernier envoie une communication (« Empfangsbestätigung ») dans les jours qui suivent, dans laquelle sont indiqués le numéro et la date de dépôt confirmant aussi que les taxes ont bien été payées. Il n’y a pas de publication du dépôt.

La date de dépôt est importante dans la mesure où elle marque le commencement de la période de six mois pendant laquelle la priorité de la marque peut être revendiquée pour d’autres dépôts de marques étrangères similaires.

Le dépôt est ensuite soumis à un examinateur, en général spécialiste d’une classe et, si elle a été proposée par le titulaire et retenue par le DPMA, de la classe prépondérante choisie (« Leitklasse »). Ce dernier commence par vérifier que la demande remplit les obligations formelles. L’office vérifie que la marque en tant que telle est protégeable selon les conditions du § 3 de la loi sur les marques (conditions de protection abstraites, c’est-à-dire en appréciant le signe indépendamment des produits et services) et que la marque est concrètement protégeable (au vu de la liste des produits et services). Contrairement à la tendance accrue de l’INPI en France, le DPMA émet peu d’objections sur la formulation des revendications de produits et services, l’Office français ayant, en pratique, plus tendance à se conformer aux propositions de la base de données TM Class proposant des classifications harmonisées

2. Un contrôle sévère du caractère distinctif
En outre, l’office vérifie que le dépôt ne contient pas de motifs absolus de refus de la protection (« absolute Schutzhindernisse » – § 8 de la loi sur les marques) que sont par exemple :
-le manque de caractère distinctif ;
-le risque clair de tromperie ;
-la présence d’un emblème d’Etat ;
-la violation des bonnes mœurs ou de l’ordre public ;
-le dépôt de mauvaise foi.

En pratique, il n’est pas rare de recevoir des objections sur le fondement de l’article 8 de la loi sur les marques et plus particulièrement au motif du manque de caractère distinctif. Certaines marques qui seront considérées comme protégeables par l’EUIPO, l’INPI par d’autres offices de marques, même des plus rigoureux sur ce point, comme les offices suisse ou américain, ne le seront pas en Allemagne. Ceci est souvent cas pour les dépôts de marques verbales utilisant des mots ou expressions appartenant au vocabulaire usuel.
Comme la plupart des offices, le DPMA ne vérifie pas s’il existe d’éventuels conflits avec des marques antérieures. De même, il n’émet pas de rapports de recherche de marques antérieures similaires suivant le dépôt, comme c’est le cas par exemple pour l’EUIPO.

3. Une période d’opposition postérieure à l’enregistrement
Si la marque rempli les conditions du dépôt, l’office publie l’enregistrement (environ six mois après le dépôt) dans la « Markenblatt » : https://register.dpma.de/DPMAregister/Uebersicht. L’office envoie ensuite un certificat d’enregistrement.
La marque est alors enregistrée pour une période de dix ans à compter de la date de dépôt. C’est à partir de ce moment que commence la période d’opposition, qui est de trois mois à compter de la date d’enregistrement¸ et non à compter de la date de publication du dépôt comme c’est le cas en France ou auprès de l’EUIPO.
Si aucune opposition n’est reçue au cours des trois mois suivant l’enregistrement, la marque est définitivement enregistrée. L’Office envoie alors une communication dans laquelle est notifiée le cas échéant qu’aucune opposition contre la marque n’a été déposée.

4. Le point de départ de l’usage de la marque

Conformément à la directive 89/104/CEE, le titulaire dispose, tout comme en France ou pour les marques de l’Union Européenne, d’un délai de cinq ans à compter de la date de l’enregistrement pour faire usage de sa marque. Cependant, la date d’enregistrement constituant le point de départ de ce délai en Allemagne n’est pas celui de la publication de l’enregistrement mais de l’enregistrement définitif de la marque, c’est-à-dire trois mois après sa publication, dans l’hypothèse, naturellement, où aucune opposition n’a été reçue.

S’il n’exploite pas sa marque au-delà de ce délai de cinq ans, la marque risque une action en nullité pour déchéance. A ce titre, il convient de rassembler dès le commencement de l’usage toute pièce pouvant servir à démontrer un usage réel et sérieux sur le territoire allemand.

 Écrit par Marie-Avril Roux Steinkühler et Marine Milochau

Le droit d´auteur français à l´épreuve de la liberté d´expression – Jeff Koons et le plagiat

Par principe, le juge français se doit désormais de mettre en balance les intérêts de l’auteur de l’œuvre initiale et ceux du tiers qui s’approprie ladite œuvre. Que les auteurs soient toutefois rassurés, ce mécanisme n’oeuvre pas nécessairement en faveur de la liberté d’expression, bien au contraire…

Conformément aux instructions données par la Cour Européenne des Droits de l´Homme le 10 janvier 2013 dans l´affaire « Ashby Donald et autres c. France »[1] le juge français est désormais tenu d’apprécier les restrictions apportées à la liberté d´expression par le droit d´auteur à l´aune de la nécessité de celles-ci « dans une société démocratique », tel que le prescrit l´article 10 de la Convention Européenne des Droits de l´Homme.

C’est d’ailleurs pour imposer ce raisonnement que la Cour de cassation, dans un arrêt « Peter Klasen c/ Alix Malka »[2] du 15 mai 2015, est venue censurer une décision de cour d’appel, au motif que cette dernière s’était contentée de passer en revue les exceptions légales au monopole d’exploitation de l’auteur sur son œuvre au lieu d’opérer une véritable mise en balance des droits fondamentaux en présence au regard d’éléments factuels. Si certains y ont vu l´avènement d´un « système ouvert » dans lequel « la liberté d’expression et de création déborde du cadre étroit »[3] du droit d´auteur, beaucoup ont considéré que la Cour de Cassation avait « ouvert la boîte de pandore des libertés fondamentales en droit d’auteur »[4].

Pour autant, cette nouvelle tendance rencontre des résistances chez les juges du fond, qui ne paraissent pas prêts à abandonner leur penchant traditionnel particulièrement protecteur de l’auteur. Le jugement rendu le 09 mars 2017[5] par le Tribunal de grande instance de Paris (« TGI ») qui vient condamner Jeff Koons après que ce dernier se soit approprié l’œuvre d’un artiste français, en est la parfaite illustration.

En l’espèce, le célébrissime artiste américain Jeff Koons avait été accusé par la veuve du photographe Jean-François Bauret d´avoir plagié l´œuvre « Enfants » de celui-ci dans une statue « Naked » réalisée en 1988. Un exemplaire de celle-ci devait être exposé à Beaubourg dans le cadre d´une rétrospective des œuvres de Jeff Koons en 2014.

La requérante demandait donc la condamnation in solidum de la société JEFF KOONS, dont l’artiste est lui-même le gérant, et du centre Pompidou.

La photographie de 1970, inconnue du grand public mais éditée sous forme de carte postale en 1975, met en scène deux jeunes enfants nus, un petit garçon et une petite fille, se tenant la main, symbole d´innocence et de pureté. Par opposition, la statue représente dans un style kitch, propre à Jeff Koons, deux enfants nus, dont l’un tient un pistil « de forme phallique ».

Malgré cet ajout, la ressemblance est flagrante et le juge vient rappeler que la liberté d´expression, quand bien même elle serait au service de l´art, ne saurait justifier de manière systématique les restrictions apportées au monopole du titulaire des droits d´auteur (I). Quant à l’application de la mise en balance des intérêts en présence par le juge, elle s’effectue ici au détriment de l’art appropriationiste, courant artistique en pleine expansion et dont Jeff Koons est le chef de file (II).

 

  1. Jeff Koons face aux limites de sa propre liberté d’expression

Dans notre décision, le juge établit la contrefaçon en relevant notamment que les défendeurs n’ont même pas contesté que Jeff Koons s´était directement inspiré de la photographie, puis il écarte successivement comme suit l’argument de la parodie et celui de la liberté d’expression.

S’agissant de l’exception de parodie, le juge l’apprécie au regard de la jurisprudence Deckmyn[6] de la CJUE et considère qu’en l’espèce l´artiste n´avait jamais, avant l´affaire, évoqué le lien avec l´œuvre du photographe. Il relève par ailleurs que l’œuvre prétendument parodiée était inconnue du grand public et en conclut qu’il lui est impossible de retenir ladite exception.

Quant au raisonnement poursuivi par le juge pour écarter le moyen fondé sur la liberté d´expression prévue à l´article 10 de la Convention Européenne des Droits de l´Homme, il est particulièrement intéressant.

Dans un premier temps, le juge qualifie l’œuvre de composite, qualification sur laquelle repose l’argumentaire des défendeurs qui invoquent la liberté d´expression de Jeff Koons en soulignant qu’il a pu « de manière licite à des fins créatives s’approprier les composantes de la photographie pour la transformer en une œuvre nouvelle et indépendante “ Naked” et donner un sens nouveau aux enfants ». De même, les citations des jurisprudences dites Malka[7] et Ashby[8] évoquées précédemment, ainsi que les mentions relatives à la doctrine américaine de « fair use » ou encore au courant d´art appropriationiste viennent étoffer cet argumentaire.

Puis, dans un second temps, le tribunal, tout en reconnaissant les pratiques de Jeff Koons qui a depuis longtemps pour habitude d´utiliser des objets « ready made », dans la lignée de Marcel Duchamp, refuse en l’espèce de lui accorder le bénéfice de la liberté d´expression.

Afin de justifier son refus, le juge relève notamment que « l’artiste a choisi de reprendre intégralement les enfants de la photographie sans référence explicite au portrait qui n’est pas familier du public » et « sans expliquer pourquoi il n’a pas pu faire autrement », faisant ainsi « l’économie d’un travail créatif ce qui ne pouvait se faire sans l’autorisation de l’auteur ».

Dès lors, la liberté d’expression des artistes appropriationistes apparaît extrêmement fragile.

 

    2. L’art appropriationiste en danger ?

À l´instar de l´arrêt Malka précité, le juge met ici en application le mécanisme dit de « la balance des intérêts  en présence » pour déterminer qui du droit d’auteur relatif à l’exploitation de la photographie de Jean-François Dauret ou de la liberté d´expression artistique de Jeff Koons doit prévaloir.

Or, pour faire pencher la balance en faveur de la liberté d´expression, les défendeurs invoquent notamment l´art appropriationiste, courant artistique né avec les « ready made » de Duchamp. Ayant atteint son paroxysme dans les années 1980 aux Etats-Unis, ce mouvement est caractérisé par l´utilisation d´objets, d´images, voire d´œuvres d´art déjà existants[9].

Le TGI ne nie d’ailleurs pas l´appartenance de l´artiste à ce mouvement, pas plus qu´il ne dénigre son art, qui « s’inspire notoirement depuis 35 ans d’images ou d’objets existants notamment dans la culture de masse américaine ».

Cependant, le juge n´est pas dupe du stratagème qui consisterait à protéger toute œuvre au nom de la liberté d´expression par le biais de la notion d´appropriationisme. La notion de contrefaçon deviendrait alors une coquille vide.

Le juge relève donc que « la connaissance par le public de l’œuvre appropriée est déterminante de l’effet produit sur les spectateurs et nécessaire à la perception du message de l’artiste pour provoquer la réflexion du spectateur ».

L´argument est logique : Jeff Koons, en utilisant un portrait qui devait incarner la pureté et l´innocence pour en faire un couple d´enfants incarnant « l’idée de libération et l’humanité du sentiment de culpabilité, de péché et de honte », évolue bien dans la sphère de l’art appropriationiste que l´évolution jurisprudentielle évoquée en introduction tend à accompagner. Néanmoins, dans la mesure où le public ne connaît pas l´œuvre originale et que l´artiste n´a rien fait pour associer « Naked » à celle-ci dans son esprit, Jeff Koons ne saurait prétendre que son œuvre dérivée doit être interprétée au regard de l´œuvre originale et que dès lors, l´utilisation de celle-ci était nécessaire à la réalisation de l´œuvre dérivée.

Le TGI en déduit qu’en l’espèce c´est donc un intérêt personnel qui a guidé Jeff Koons, lui permettant de faire l’économie d’un travail créatif.

Et de conclure « à défaut de justifier de la nécessité de recourir à cette représentation d’un couple d’enfants pour son discours artistique sans autorisation de l’auteur, la mise en œuvre du droit d’auteur des demandeurs ne constitue pas une atteinte disproportionnée à la liberté d’expression ».

Il convient cependant de tempérer la solution retenue par le Tribunal de grande instance de Paris quant aux effets de la jurisprudence Malka.

La sanction de la contrefaçon reste certes le principe et il appartient au contrefaisant d´exposer en quoi l´utilisation et la transformation de l´œuvre originale sont nécessaires à la réalisation et à l´interprétation de l´œuvre dérivée pour pouvoir invoquer sa liberté d´expression.

L´art appropriationiste ne s’en trouve pas irrémédiablement condamné pour autant. En effet, une évolution notable en faveur des nouveaux usages dits transformatifs, catégorie dont les œuvres appropriationistes font partie, s’est produite au cours de ces derniers mois.

En tout état de cause, la société JEFF KOONS LLC et le Centre Pompidou ont été condamnés in solidum à verser 42.000 euros aux ayants droits au titre du préjudice subi. Reste que « l´économie de travail créatif » est rentable, l´un des exemplaires de la statue ayant été vendu en 2008 pour la modique somme de 8 millions de dollars…

écrit par Marie-Avril Steinkühler et Marion-Béatrice Venencie-Nolte

[1] Arrêt de la CEDH, 10 janvier 2013, Requête no 36769/08, Ashby Donald et autres c. France – visa de l´article 10 de la Convention européenne des droits de l´Homme

[2] Arrêt de la Cour de cassation, chambre civile 1, 15 mai 2015, pourvoi n° 13-27391, Peter Klasen c/ Alix Malka

[3] https://scinfolex.com/2016/01/29/et-si-la-justice-francaise-sappretait-a-reconnaitre-un-droit-au-remix/

[4] Christophe Caron, « Droit d’auteur versus liberté d’expression : exigence d’un ‘juste équilibre’  », Communication Commerce Electronique 2015. Comm. 55

[5] Jugement du TGI de Paris, 3ème chambre 4ème section, 09 mars 2017, n° RG : 15/01086

 

[6] Arrêt de la CJUE, gde ch., 3 sept. 2014, aff. C-201/13, John Deckmyn et Vrijheidsfonds VZW c/ Helena Vandersteen et a. : JurisData n° 2014-022523

[7] Arrêt de la Cour de cassation, chambre civile 1, 15 mai 2015, pourvoi n° 13-27391, Peter Klasen c/ Alix Malka

[8] Arrêt de la CEDH, 10 janvier 2013, Requête no 36769/08, Ashby Donald et autres c. France

[9] Wikipédia, Appropriation (art), https://en.wikipedia.org/wiki/Appropriation_(art)

L’adresse IP finalement accueillie dans la famille des données personnelles

Dans son arrêt du 3 novembre 2016, la Cour de Cassation affirme qu’une adresse IP[1] doit être considérée comme entrant dans le régime des données personnelles[2] conformément aux articles 2 et 22 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Dans un monde dans lequel l’internet et les services de télécommunication sont devenus indispensables, ce constat est d’un intérêt particulier.

Déjà depuis plusieurs années, le conflit entre la protection des données personnelles d’une part et l’exploitation des nouvelles possibilités de stockage et de traitement de données générées par le monde de l’informatique d’autre part, s’est intensifié. Au-delà de faire l’objet des débats enflammés au niveau national, la protection des données personnelles sous forme informatique représente un sujet sensible au niveau européen.

Avec son arrêt, la Cour de cassation met fin à une hésitation jurisprudentielle française (I) tout en s’alignant sur une décision de la Cour de Justice de l’Union Européenne du 19 octobre 2016, dans laquelle elle aussi avait qualifié des adresses IP[3] comme étant des données personnelles[4], étant ainsi soumises aux dispositions légales relatives à la protection de ces données (II).

I. La Cour de Cassation met fin à une jurisprudence française hésitante…

Dans l’arrêt en question, le groupe LOGISNEUF avait constaté une connexion à son réseau informatique par des ordinateurs ne faisant pas partie du groupe. Les connexions avaient été effectuées en utilisant des codes d’accès réservés aux administrateurs du site internet logisneuf.com. Afin de relever l’identité des titulaires des adresses IP litigieuses, le groupe LOGISNEUF a sollicité un juge de requêtes auquel ont été transmises les adresses IP en question.

La société CABINET PETERSON, qui exerce une activité de conseil en investissement et en gestion de patrimoine concurrente de celle du groupe LOGISNEUF et à laquelle correspondent les adresses IP litigieuses, a ensuite invoqué l’illicéité de la conservation des adresses IP par le groupe LOGISNEUF. Elle soutient que cette conservation aurait dû faire l’objet d’une déclaration auprès de la CNIL conformément aux dispositions applicables aux données personnelles.

Dans son dispositif, la Cour de cassation affirme que « les adresses IP (…) sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL ».[5]

Par ce constat, la Cour ne casse pas seulement l’arrêt du 28 avril 2015 rendu par la Cour d’appel de Rennes, ayant considéré qu’une adresse IP ne faisait pas partie des données personnelles à ce qu’elle  « se rapporte à un ordinateur et non à l’utilisateur »[6], mais elle met fin à un intense débat jurisprudentiel français.

En 2007, le Tribunal de grande instance de Saint-Brieuc avait considéré que l’adresse IP, associée au fournisseur d’accès internet (FAI), constituait un ensemble de moyens permettant de connaître le nom de l’utilisateur et que par conséquent les informations recueillies avaient la nature de données à caractère personnel.[7] Or, au cours de la même année, la Cour d’appel de Paris avait défendu la position contraire en affirmant que l’adresse IP « ne constitue  en rien une donnée indirectement nominative relative à la personne, l’adresse se rapportant à une machine et non à un individu qui utilise l’ordinateur(…). »[8]

Ensuite, un an plus tard, la Cour d’appel de Rennes s’était encore opposée à la dernière position défendue par la Cour d’appel de Paris, en arguant que même « si [l’adresse IP] ne permet pas par elle-même, d’identifier le propriétaire du poste informatique, ni l’internaute ayant utilisé le poste et mis les fichiers à disposition, elle acquiert ce caractère nominatif par le simple rapprochement avec la base des abonnés, détenues par le FAI. »[9] L’arrêt est cassé le 13 janvier 2009 sans néanmoins que la Cour de cassation se prononce explicitement sur la qualification des adresses IP.[10]

Le Conseil d’Etat, pour sa part, avait, dans une décision du 11 mars 2015, considéré que les adresses IP ainsi que les identifiants uniques représentent des données à caractère personnel et qu’ils auraient dans le cas d’espèce dû être collectées avec l’accord préalable de l’internaute.[11]

Finalement, l’arrêt du 3 novembre 2016 semble mettre fin à cette indécision jurisprudentielle en affirmant clairement le principe d’après lequel les adresses IP représentent des données personnelles.

II. … s’alignant sur une décision de la Cour de Justice de l’Union Européenne du 19 octobre 2016

Par ailleurs, le jugement rendu semble confirmer une tendance établie par la Cour de Justice de l’Union européenne (CJUE) qui a rendu un arrêt à ce sujet en octobre dernier.

A la base de cet arrêt était un litige allemand qui opposait Monsieur Patrick Breyer aux services fédéraux allemands. Monsieur Breyer s’opposait devant les juridictions allemandes « à ce que les sites Internet des services fédéraux allemands qu’il consulte enregistrent et conservent ses adresses de protocole Internet (« adresses IP »). »[12] L’enregistrement de ces adresses avait été justifié comme étant une défense « contre des attaques cybernétiques et [pour] rendre possibles les poursuites pénales. »[13]

Pour trancher ce litige, la Cour fédérale de Justice allemande a fait recours à la CJUE qui devait donc se prononcer sur deux questions préjudicielles dont la première concernait explicitement la qualification des adresses IP comme étant des données personnelles :

« 1)      L’article 2, sous a), de la directive 95/46 doit-il être interprété en ce sens qu’une adresse IP qui est enregistrée par un fournisseur de services [de médias en ligne] à l’occasion d’un accès à son site Internet constitue pour celui-ci une donnée à caractère personnel même si c’est un tiers (en l’occurrence, le fournisseur d’accès) qui dispose des informations supplémentaires nécessaires pour identifier la personne concernée?»[14]

Quant à cette première question, il convient de relever la différenciation qui est mentionné dans la question entre « le fournisseur de services [de medias en ligne] »[15] d’un côté et « le fournisseur d’accès [disposant d’informations supplémentaires nécessaires pour identifier la personne concernée] »[16] de l’autre.

En effet, tandis qu’un fournisseur de services en ligne qui collecte une adresse IP ne peut pas pour autant relever l’identité exacte du titulaire de cette adresse, un fournisseur d’accès à internet (FAI) dispose des informations nécessaires à une telle identification nominale.

Lors de son jugement du 19 octobre 2016 la CJUE précise donc « qu’une adresse IP dynamique enregistrée par un (…) exploitant d’un site Internet (…) lors de la consultation de son site Internet accessible au public constitue, à l’égard de l’exploitant, une donnée à caractère personnel, lorsqu’il dispose de moyens légaux lui permettant de faire identifier le visiteur grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de ce dernier. »[17]

De ce fait, la CJUE fait ressortir que ne tombe sous le régime des données personnelles uniquement l’adresse IP enregistrée par un exploitant de site qui est doté de la capacité légale d’obtenir les informations supplémentaires nécessaires à l’identification de l’internaute auquel correspond l’adresse IP.

Cette précision s’ajoute à un arrêt précédent de la CJUE, rendu le 24 novembre 2011, dans lequel la Cour statuait déjà que les adresses IP représentent  « des données protégées à caractère personnel, car elles permettent l’identification précise desdits utilisateurs. » L’arrêt rendu en 2011 se bornait cependant à qualifier comme données à caractère personnel les adresses IP collectées par un fournisseur d’accès à Internet (FAI), sans pourtant se prononce sur les adresses IP collectées par des exploitants des sites internet. La différence significative entre les deux consiste en la possibilité dont dispose le FAI d’identifier directement de manière précise les utilisateurs des adresses IP. Les exploitants des pages web, quant à eux, nécessitent des informations supplémentaires (dont disposent notamment les FAI) pour pouvoir procéder à une telle identification.

Par son arrêt récent, la CJUE maintient donc son raisonnement restrictif d’après lequel une adresse IP ne fait partie des données personnelles uniquement « dès lors qu’elle permet, en conjonction avec d’autres moyens, d’identifier nominalement l’internaute. »[18]

Certes, l’arrêt rendu par la Cour de Cassation s’aligne d’une certaine manière sur cette décision rendue par la CJUE. Cet alignement reste cependant limité. Car quand bien même elle reconnait les adresses IP également comme étant des données personnelles, elle le fait avec moins de timidité. Ainsi, la Cour de cassation affirme explicitement que même « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL. »[19] Il n’est donc pas requis que le collecteur des données dispose de tous les éléments pour pouvoir dévoiler l’identité du titulaire de l’adresse IP, il suffit que cette identification puisse avoir lieu de manière indirecte pour affirmer que les adresses IP représentent des données personnelles susceptibles d’être conformément protégées.

L’arrêt de la Cour de cassation peut ainsi être considéré comme étant plus protecteur pour les internautes que l’est actuellement la jurisprudence européenne.

[1] Adresse IP : Une adresse IP (Internet Protocol) est un numéro d’identification qui est attribué de façon permanente ou provisoire à chaque appareil connecté à un réseau informatique utilisant l’Internet Protocol.

[2] Cour de cassation, 1ère ch. civ., arrêt du 3 novembre 2016

[3] Cet arrêt ne se réfère pourtant uniquement aux adresses IP dynamiques : Une adresse IP dynamique est une adresse IP qui change lors de chaque nouvelle connexion à Internet. À la différence des adresses IP statiques, les adresses IP dynamiques ne permettent pas de faire le lien, au moyen de fichiers accessibles au public, entre un ordinateur donné et le branchement physique au réseau utilisé par le fournisseur d’accès à Internet. Ainsi, seul le fournisseur d’accès à Internet dispose des informations nécessaires pour identifier la personne physique derrière l’adresse IP.

[4] EUR-Lex ; C‑582/14 ARRÊT DE LA COUR (deuxième chambre), 19 octobre 2016

Suivre le lien

[5] Cour de cassation, 1ère ch. civ., arrêt du 3 novembre 2016.

[6] CA Rennes, Ch. Com., 28 avril 2015, n˚ 14/05 708

[7] Tribunal de grande instance Saint Brieuc, 6 Septembre 2007

[8] CA Paris, Chambre correctionnelle 13, section A, 15 Mai 2007, n° 06/01954

[9] CA Rennes, 3ème Ch., 22 mai 2008, n° 07/01495

[10] Cour de Cassation, chambre criminelle, 13 janvier 2009, n° de pourvoi: 08-84088

[11] Conseil d’Etat, Sous-sections 10 et 9 réunies, 11 Mars 2015, n° 368624

[12] Suivre le lien

[13] Idem

[14] EUR-Lex ; C‑582/14 ARRÊT DE LA COUR (deuxième chambre), 19 octobre 2016

Suivre le lien

[15] Idem

[16] Idem

[17] Télécharger

[18] Lire l’article

[19] Cour de cassation, 1ère ch. civ., arrêt du 3 novembre 2016

Dialogue des Carmélites – Un hommage français au droit moral ?

« Vivant : qui vit. C’est du théâtre. Pas un musée », écrit Jean-Marc Proust dans un article de Slate daté du 22 octobre 2015[1]. Ces mots traduisent l’émoi du monde du théâtre et de l’opéra, alors que la cour d’appel de Paris a sanctionné le 13 octobre 2015 la mise en scène du Dialogues des Carmélites de Francis Poulenc –à partir du texte de Georges Bernanos -, par Dmitri Tcherniakov à l’Opéra de Munich en mars 2010 et avril 2011, jusqu’au 23 janvier 2016.

Contrairement à ce qu’avait retenu le tribunal, la cour estime que « nonobstant sa brièveté et hors de toute appréciation de son mérite, la mise en scène de la scène finale de M. Tcherniakov […], loin de se borner à une interprétation des œuvres de Bernanos et de Poulenc, les modifie dans une étape essentielle qui leur donne toute leur signification et, partant, en dénature l’esprit »[2]. Or, dans un même temps, la cour reconnaît que les éléments formels de l’œuvre, tels que le texte, la musique, les didascalies et les thèmes principaux, ont été respectés ; seul le tableau final dans sa mise en scène a dénaturé l’esprit de l’œuvre.

L’enjeu de la mise en scène est concentré dans la scène finale. Dans l’œuvre initiale, c’est-à-dire la scène 17 du cinquième tableau de l’œuvre de Bernanos et le quatrième tableau de l’acte III du livret d’opéra de Poulenc, les religieuses, condamnées à mort sous la Révolution française, montent une à une l’échafaud et disparaissent en chantant le Salve Regina, puis le Veni Creator. En comparaison, Tcherniakov propose un espace scénique constitué d’une baraque en bois entourée par la foule, tenue à distance par un ruban de sécurité, dans laquelle sont enfermées les religieuses. Au son des chants religieux enregistrés, l’une d’elles, Blanche de la Force les sauve une à une de l’asphyxie, et va s’enfermer seule dans la cabane, qui explose quelques instants après. Le son du couperet de la guillotine qui scandait, dans l’opéra de Poulenc, chaque disparition, marque ici chaque sauvetage. C’est à partir de ces différences que l’esprit de l’œuvre est jugé comme dénaturé.

Cette décision a entraîné l’interdiction en tous pays de la diffusion du vidéogramme de l’opéra avec la mise en scène de Tcherniakov. Une partie du monde artistique s’est emportée contre cette décision qui, selon elle, est « un frein à la liberté d’interprétation, [un] risque de figer l’opéra contemporain, qui a déjà bien à faire pour ne pas rimer avec ennui »[3].

Cette décision interroge la notion d’« esprit d’une œuvre » pour conclure à une dénaturation de l’œuvre initiale, alors même que les éléments formels en sont respectés (I). Allant plus loin que la jurisprudence antérieure à l’approche plus compréhensive, la Cour sanctionne sévèrement la mise en scène, portant un coup d’arrêt brutal à la diffusion de cet opéra en tous pays (II).

1.L’esprit de l’oeuvre est dénaturé malgré le respect des éléments fomels

La Cour reconnaît que la musique et le texte ainsi que les thèmes principaux sont respectés ; pourtant, elle sanctionne une dénaturation de « l’esprit de l’œuvre ». L’esprit d’une œuvre d’opéra ne dépend-il pas de facteurs eux-mêmes évolutifs, comme cela est le cas pour le reste du monde de l’art – ne décèle-t-on pas au fur et à mesure de l’histoire et des recherches qui sont menées de nouvelles intentions à l’artiste et de nouvelles résonnances face à un autre « présent » ? En l’espèce, la Cour semble juger que l’esprit d’une œuvre d’opéra est enchâssé dans les propos qu’ont pu avoir ses auteurs à un moment donné.

Bien évidemment, juger de la dénaturation de l’esprit d’une œuvre et de la mise en scène d’un opéra est un exercice périlleux pour un juge, en particulier quand il en arrive à distinguer thèmes de l’œuvre et esprit de l’œuvre, et que la cour d’appel et l’instance inférieure semblent avoir des appréciations différentes, voire opposées concernant cette notion.

Cette décision est d’autant plus surprenante que le texte et la musique sont inchangés, que les didascalies – indications de l’auteur sur la mise en scène – sont respectées, et que « M. Tcherniakov respecte les thèmes de l’espérance, du martyr, de la grâce et du transfert de la grâce et de la communion des saints, chers aux auteurs de l’œuvre première »[4].

Pourtant, la cour juge que, durant la scène finale, le changement d’action « rend ainsi énigmatique, voire incompréhensible, ou encore imperceptible pour le néophyte, le maintien du son du couperet de la guillotine, qui apparaît cette fois-ci paradoxalement scander chaque sauvetage »[5]. Elle estime ainsi que le metteur en scène, qui a pourtant la qualité d’auteur, doit être un interprète de l’œuvre. Elle considère également devoir protéger le public néophyte – il est vrai que « les Dialogues…» s’adresse à un public peu éclairé…-, peu à même de lire une critique afin de s’informer sur le caractère très libre de la mise en scène proposée par M. Tcherniakov, ou plus simplement de lire le programme du spectacle ou directement le livret, dans le but de comparer cette mise en scène à celle imaginée par Francis Poulenc en 1957 à la Scala de Milan. Pourtant, le public pouvait se tourner au même moment vers la mise en scène relativement plus orthodoxe de ce même opéra au Théâtre des Champs Elysées (Paris) par Olivier Py[6]. Ce même public ne manque pas de s’offusquer d’une mise en scène s’il l’estime contestable : par exemple de la Damnation de Faust d’Alvis Hermanis en décembre 2015 à l’Opéra de Paris [7] ; de la mise en scène de Luc Bondy de Tosca au Metropolitan Opera de New York en 2009[8].

Qu’en est-il de la volonté des auteurs de l’œuvre première, Bernanos et Poulenc ? Michel Kohlhauer, en charge de la réédition de la Pléiade, a expliqué pendant l’émission La Marche de l’histoire sur France Culture que Bernanos lui-même n’était pas forcément opposé à ce que son œuvre soit interprétée[9]. Dans la biographie de Francis Poulenc par Henri Hell[10], il est précisé, à la page 252, que les Dialogues des Carmélites « sont une tragédie intérieure, la Révolution française n’étant qu’une toile de fond ». De la même manière concernant l’intention de Poulenc, ce dernier a dit : « ce n’est pas tant la véritable histoire des carmélites, bouleversante d’ailleurs, qui m’a décidé à entreprendre cette œuvre que la prose magnifique de Bernanos dans ce qu’elle a de plus spirituel et de plus grave. Ce qui pour moi, compte tout autant que la « peur blanche » c’est l’idée si bernanosienne de la communion et du transfert de la grâce »[11].

Une nouvelle fois, cette décision rappelle que la justice française est extrêmement protectrice du droit des auteurs et des ayants droit, et tout particulièrement du droit moral, à l’image de la décision sur The misfits de John Huston[12].

2.La cour prononce des sanctions qui sonnent le glas de cette mise en scène

Les sanctions qui ont été prononcées sont extrêmement sévères au vu de la jurisprudence antérieure. S si les représentations elles-mêmes ne sont pas interdites, puisque le juge de la mise en état avait décidé dès 2012 qu’il n’était pas compétent pour juger de ces représentations ayant eu lieu en dehors du territoire français :

(i) La commercialisation du vidéogramme sous une forme électronique ou physique est interdite en tous pays ;

(ii) La télédiffusion en tous pays par la chaîne Mezzo du vidéogramme est également interdite.

Ces sanctions sont d’autant plus sévères qu’il apparaît que les ayants droit ayant agi en l’espèce, ayants droit au troisième degré, n’ont pas été expressément désignés par Francis Poulenc, voire même ont été écartés, celui-ci ayant insisté notamment sur le fait que « seule » sa nièce Brigitte Manceaux – décédée peu après lui – devait hériter.

Pourtant, la jurisprudence répugne normalement à interdire une œuvre – le metteur en scène est auteur – et propose souvent d’autres alternatives, notamment informer les spectateurs de la violation du droit moral, tout en exposant les raisons qui permettent de caractériser l’atteinte.

Dmitri Tcherniakov, pour sa part, ne s’est pas laissé impressionner. En ce moment même, sa mise en scène de Pelléas et Mélisande à l’Opéra de Zurich à rebours de l’œuvre initiale de Debussy en a déconcerté plus d’un[13].

 

 

[1]« Quand la justice censure un opéra de Bernanos et Poulenc », Jean-Marc Proust, Slate, 22 octobre 2015, http://www.slate.fr/story/108731/justice-censure-bernanos-poulenc-dialogues-carmelites

[2] Décision de la cour d’appel de Paris, pôle 5, ch. 1, 13 oct. 2015, n°14/08900, Bernanos et a. c/ Opéra de Munich et a.

[3] Propos d’Antoine Guillot dans sa chronique sur France Culture, le 22 oct. 2015

[4] Décision de la cour d’appel de Paris, pôle 5, ch. 1, 13 oct. 2015, n°14/08900, Bernanos et a. c/ Opéra de Munich et a.

[5] Ibid.

[6] Représentation à partir de 2013

[7] http://www.francemusique.fr/actu-musicale/la-damnation-de-faust-huee-bastille-115945

[8] http://www.lemonde.fr/culture/article/2009/09/23/l-exemplaire-tosca-de-luc-bondy-soiree-d-opera-parfaite-huee-a-new-york_1244107_3246.html

[9] Emission La Marche de l’histoire, par Jean Lebrun, du 28 oct. 2015 sur Georges Bernanos

[10] Francis Poulenc, Henri Hell, 1978, Ed. Fayard

[11] Lettre de Francis Poulenc du 16 oct. 1961 publiée dans le numéro des Cahiers de l’Herne de janvier 1963 consacré à Georges Bernanos.

[12] Civ. 1ère, 28 mai 1991 : Bull. civ. I, n° 172 – D. 1993. 197, note Raynard

[13] http://wanderer.blog.lemonde.fr/2016/05/18/opernhaus-zurich-2015-2016-pelleas-et-melisande-de-claude-debussy-le-14-mai-2016-dir-mus-alain-altinoglu-ms-en-scene-dmitri-tcherniakov/

L’étau se resserre autour de Facebook

Facebook qui pensait contourner le droit français au moyen d’une clause attributive de compétence aux juges californiens vient de tomber sous le coup de plusieurs décisions.

Déjà jugé le 23 mars 2012 par la Cour d’appel de Pau estimant que la clause attributive de compétence aux tribunaux de Californie était réputée non écrite, sur le fondement de l’absence de consentement à cette clause[1] – mais non sur celui sur la qualité de consommateur de l’utilisateur -, la CNIL, la DGCRF[2] et la Cour d’appel de Paris viennent de condamner Facebook en ce début d’année 2016.

La Cour d’appel de Paris, dans un arrêt du 12 février 2016, qui confirme l’ordonnance du Tribunal de grande instance de Paris du 5 mars 2015, a statué sur un litige opposant un utilisateur à Facebook à la suite de la désactivation de son compte après la publication d’une reproduction de « L’origine du monde » de Gustave Courbet, contenu jugé contraire aux conditions d’utilisation du site. Trois éléments significatifs ressortent de cette décision :

(i) La relation liant l’utilisateur à Facebook est qualifiée de contrat de consommation, dans la mesure où l’usage que l’utilisateur en fait est étranger à son activité professionnelle et, malgré la gratuité du service, « la société Facebook Inc. retire des bénéfices importants de l’exploitation de son activité », donc il est reconnu à Facebook une qualité de professionnel.

(ii) Le juge français est compétent pour juger de la licéité de la clause attributive de juridiction contenu dans les CGU[3] de Facebook, puisque le consommateur est domicilié[4] en France.

(iii) Cette même clause est jugé abusive au sens des art. L. 132-1 et R. 132-2 du Code de la consommation et est réputée non écrite. D’après la Cour d’appel de Paris, cette clause crée « un déséquilibre significatif entre les droits et obligations des parties au contrat » et « une entrave sérieuse pour un utilisateur français à l’exercice de son action en justice ».

Désormais vont s’ouvrir les audiences sur le fond qui abordent un sujet bien plus épineux : la modération de Facebook. Or, mardi 9 février 2016, la DGCCRF a dénoncé ses CGU, notamment la clause stipulant « le pouvoir discrétionnaire de retirer des contenus ou informations publiés par l’internaute sur le réseau », ainsi que « le droit de modifier unilatéralement ses conditions d’utilisation sans que l’internaute en soit informé préalablement ou en présumant son accord ». Ces clauses, à l’instar de certaines clauses relatives aux paiements[5], créent ainsi un « déséquilibre significatif entre les droits et obligations des parties, au détriment des utilisateurs ». La partie semble déjà mal enclenchée…

Et ce, d’autant plus que la CNIL[6] a épinglé certaines pratiques opérées par Facebook : le suivi de navigation des internautes même ceux qui n’ont pas de compte Facebook ; la collecte de données relatives à leurs opinions politiques, ou religieuses, et à leur orientation sexuelle ; le transfert de données personnelles sur ses membres vers les Etats-Unis, ce qui n’est plus possible depuis la décision de la CJUE du 6 octobre 2015[7]. Ce faisant, Facebook a été mis en demeure par la CNIL de se conformer à la loi dans un délai de trois mois ; dans le cas contraire, la société devra payer une amende de 150 000 € maximum.

 Par conséquent, les régulateurs et les juges français semblent avoir Facebook dans le viseur et font enfin acte d’un sursaut juridique face au mastodonte de l’Internet, alors même que ce dernier a subi un revers important en Inde au début du mois de février 2016 avec l’interdiction de Free Basics, le service low cost d’Internet mobile qui donnait accès à un nombre limité de services et d’application[8].

[1] Art. 48 du Code de Procédure civile : « toute clause qui, directement ou indirectement, déroge aux règles de compétence territoriale est réputée non écrite à moins qu’elle n’ait été convenue entre des personnes ayant toutes contracté en qualité de commerçant et qu’elle n’ait été spécifiée de façon très apparente dans l’engagement de la partie à qui elle est opposée. »

[2] Direction générale de la concurrence, de la consommation et de la répression des fraudes

[3] Conditions générales d’utilisation

[4] Conformément à l’art. 16 du règlement précité.

[5] « le droit de modifier unilatéralement ses conditions d’utilisation sans en informer au préalable le consommateur » et « le droit de modifier ou résilier unilatéralement son service de paiement sans en informer au préalable le consommateur ».

[6] Commission nationale de l’informatique et des libertés

[7] Décision n°2016-007 de la CNIL du 26 janvier mettant en demeure les sociétés FACEBOOK INC. et FACEBOOK IRELAND

[8] Voir le lien

Les Français, l’adultère et la morale

Dernier rebondissement dans la saga autour de l’ex-première dame de France, Valérie Trierweiler et son amant Patrick Devedjian : l’adultère n’est désormais plus contraire à la morale selon la Cour de cassation[1]. Cette dernière a débouté Patrick Devedjian qui avait porté plainte contre les deux directeurs de la publication du magazine Point de Vue et la société Groupe Express-Roularta pour diffamation lors de l’entretien accordé aux deux auteurs de « La Frondeuse ».

Le requérant avait argué que la révélation de sa possible liaison avec l’ex-première dame alors qu’ils étaient tous les deux engagés constituait une atteinte à l’honneur ou à la considération, sur la base de l’article 29 de la loi du 29 juillet 1981 sur la liberté de presse[2] et de l’article 8 de la Convention européenne des droits de l’homme[3]. Or, « l’évolution des mœurs comme celle des conceptions morales ne permettaient plus de considérer que l’imputation d’une infidélité conjugale serait à elle seule de nature à porter atteinte à l’honneur ou à la considération »[4].

Rappelons que pour déterminer si une atteinte diffamatoire est caractérisée, la diffamation doit réunir quatre éléments : 1.une allégation ou une imputation ; 2. un fait déterminé ; 3. une atteinte à l’honneur ou à la considération ; 4. une personne ou un corps identifié.

En l’espèce, il s’agissait de statuer sur la caractérisation ou non de l’atteinte à l’honneur ou à la considération. Celle-ci consiste à imputer des « agissements constitutifs d’infractions pénales » ou de « comportements considérés comme contraires aux valeurs morales et sociales communément admises au moment où le juge statue »[5].

La Cour de cassation a soutenu la décision de la cour de Paris qui a notamment rappelé que l’adultère était dépénalisé depuis quarante ans. Cela signifie-t-il que – comme le juge le pense – l’adultère est accepté de tous et n’est plus contraire à la morale ?

À ce sujet, Le Monde, dans son article « Après le coq français, le cocu français » du 17 janvier 2016, s’est appuyé sur plusieurs enquêtes dont celle de l’Ifop qui estime que 55% des Français ont déjà été infidèles et des 32 % des Françaises. Il rappelle aussi que « nous sommes le pays du monde où l’infidélité est la plus pardonnée » ; pour 53 % des Français, elle est moralement acceptable. Donc, le juge ne s’est pas trompé dans son appréciation des valeurs morales du moment.

[1] Cass. 1ere ch. civ., 14-29549, 17 déc. 2015

[2] « toute allégation ou imputation d’un fait qui porte atteinte à l’honneur ou à la considération de la personne ou du corps auquel le fait est imputé est une diffamation. »

[3] « Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. »

[4] Cass. 1ere ch. civ., 14-29549, 17 déc. 2015

[5] ibid.

 

Et pourquoi pas un t-shirt « Pray for Paris » ou un après-rasage « Je suis Paris » ?

Dès le 14 novembre 2015, lendemain des attentats du 13 novembre, l’INPI a commencé à recevoir des demandes visant à enregistrer à titre de marque des signes tels que « Pray for Paris » ou « Je suis Paris ».

L’institut français des marques, l’INPI a diffusé un communiqué de presse (INPI, 20 novembre 2015) informant qu’elle refuserait, fort heureusement, à l’enregistrement ces demandes de marques car elles apparaissent contraires à l’ordre public.

« En effet, ces marques sont composées de termes qui ne sauraient être captés par un acteur économique du fait de leur utilisation et de leur perception par la collectivité au regard des événements survenus le vendredi 13 novembre 2015 ».

Cette motivation apparait plus que fondée.

On notera que neuf mois auparavant, le jour même de l’attentat contre CHARLIE HEBDO soit dès le 7 janvier, l’INPI avait également reçu de nombreuses demandes de marques « Je suis Charlie » , ou faisant référence à ce slogan.

L’INPI avait également indiqué qu’elle refuserait d’enregistrer ces demandes de marques. En janvier, la motivation était autre, « car elles ne répondent pas au critère de caractère distinctif. En effet, ce slogan ne peut pas être capté par un acteur économique du fait de sa large utilisation par la collectivité.»

Il est certain que la contrariété à l’ordre public, invoquée aujourd’hui, paraît un fondement plus justifié que le simple manque de distinctivité.