Voici la liste des articles publiés par notre cabinet.


La Cour de justice de l’Union européenne (CJUE) a rendu le 14 février 2019 une décision sur l’application de l’exception journalistique en matière de protection des données à caractère personnel à propos d’une personne ayant filmé, puis diffusé sur Internet, son interrogatoire par la police.

 

L’affaire (Arrêt Buivids du 14 février 2019, C 345/17) en cause porte sur des faits antérieurs au RGPD. Elle concerne l’application de la directive 95/46 abrogée depuis lors, et en particulier son considérant 37 et son article 9,  en ce qu’ils  visent à organiser les dérogations à l’application de certaines règles sur la protection des données à caractère personnel dans l’exercice de la liberté d’expression.

La CJUE a été saisie de deux questions préjudicielles dans le cadre d’un litige concernant un particulier qui avait filmé son interrogatoire dans les locaux de la police, puis diffusé ces images sur Internet via la plateforme Youtube. Condamné par l’autorité nationale de protection des données à caractère personnel de Lettonie  pour violation des règles y afférentes, l’intéressé conteste cette décision  devant les juridictions administratives lettones en faisant valoir qu’il souhaitait, par ce procédé, dénoncer certaines pratiques de la police.

La Cour suprême de Lettonie a  ainsi  saisi la CJUE de deux questions préjudicielles portant, d’une part sur la qualité de traitement de données personnelles du film ainsi diffusé, d’autre part sur le fait qu’il relève ou pas de l’exception journalistique.

En répondant à ces questions, la CJUE éclaire l’exception liée aux activités de journalisme telle que prévue par la directive, laquelle trouve un intérêt particulier au regard de l’application du RGPD.


La diffusion de ladite vidéo constitue-t-elle un traitement de données à caractère personnel au sens de la directive ?

La Cour rappelle sa jurisprudence selon laquelle :

 

  • l’image d’une personne enregistrée par une caméra constitue une donnée à caractère personnel au sens de la directive 95/46 (arrêt du 11 décembre 2014, Ryneš, C 212/13, EU:C:2014:2428).

  • elle a eu l’occasion de retenir que, dans le cadre d’un système de vidéo-surveillance, un enregistrement vidéo des personnes, stocké dans un dispositif d’enregistrement continu, tel que le disque dur de ce système, constitue un traitement de données à caractère personnel automatisé (arrêt du 11 décembre 2014, Ryneš, C 212/13, EU:C:2014:2428).

  • le fait de faire figurer des données à caractère personnel sur une page Internet constituait également un traitement de données à caractère personnel.

 

La CJUE conclut en conséquence que le fait de publier la vidéo montrant les policiers réalisant un interrogatoire relève bien du champ d’application de la directive, sa diffusion sur Internet, via une plateforme publique, ne la faisant pas relever du champ de l’usage exclusivement domestique tel que prévu à l’article 3.2 de la directive 95/46.


La publication de cette vidéo constitue-t-elle une activité de journalisme au sens de la directive ?

La CJUE rappelle que la réglementation sur la protection des données à caractère personnel vise à protéger les libertés et droits fondamentaux des personnes, notamment la vie privée. Elle doit, pour autant, être conciliée avec d’autres droits fondamentaux, dont la liberté d’expression. Le considérant 37 de la directive envisage à cet égard "les fins de journalisme ou d’expression artistique ou littéraire".

Dans sa décision, la CJUE fait application de sa méthode constante d’interprétation du texte à la lumière des objectifs poursuivis et retient, en l’espèce, une acceptation large de la notion de "fins de journalisme" en retenant que le fait d’avoir publié cet enregistrement  sur le site www.youtube.com ne saurait en soi, ôter à ce traitement la qualité d’avoir été effectué "aux seules fins de journalisme".


Qu’en serait-il en droit français sous l’empire de la directive de 95/46, puis du RGPD ?

L’article 67 de la loi Informatique et libertés du 6 janvier 1978, dans sa version antérieure au RGPD,  prévoit que certaines règles sur la protection des données à caractère personnel "ne s’appliquent pas aux traitements de données à caractère personnel mis en œuvre aux seules fins […] d’exercice, à titre professionnel, de l’activité de journaliste, dans le respect des règles déontologiques de cette profession". Ainsi, deux conditions cumulatives écarteraient l’application du dispositif relatif à la protection des données à caractère personnel : l’exercice à titre professionnel de l’activité de journaliste et le respect de la déontologie de la profession.

Le dispositif actuel, issu de l’introduction du RGPD semble aller dans le même sens,  le considérant 153 prévoyant notamment une  dérogation  dans un contexte "uniquement à des fins journalistiques" et l’article 85 prévoit des dérogations pour les Etats membres "si celles-ci sont nécessaires pour concilier le droit à la protection des données à caractère personnel et la liberté d’expression et d’information". La nouvelle loi  française maintient en outre la rédaction issue de la réforme de 2004, dont la double restriction liée à la profession de journaliste et au respect de la déontologie. Elle appliquerait en cela plus largement le dispositif relatif à la protection des  des données personnelles que la CJUE, laquelle n’apporte pas de  précision sur les éventuels critères qui pourraient être ajoutés par  les Etats membres à ce principe dérogatoire.

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance et Mathieu Vincens, juriste



Les départements et régions d’outre-mer [1] (ou DROM) et les collectivités d’outre-mer [2] (COM) ainsi que la Nouvelle-Calédonie [3] ne se voient pas appliquer de façon homogène la législation européenne sur la protection des données personnelles. Le régime actuel, transitoire et hétérogène, cèdera sa place le 1er juin 2019 à un régime unifié, qui ne permettra pas pour autant de résoudre la question de l’encadrement des transferts de données personnelles dans les COM. 

 

Alors que les DROM (ainsi que Saint-Martin [4]) sont directement tenus d’appliquer le Règlement général sur la protection des données personnelles [5] dit RGPD, les COM sont uniquement soumis, en vertu d’une mention expresse de la loi nationale, aux dispositions de la loi Informatique et Libertés française dite LIL.

En effet, en application de l’article 198 du Traité de fonctionnement de l’Union européenne (TFUE) et de l’interprétation qu’en a donné la Cour de justice de l’Union européenne (CJUE), le droit dérivé de l’Union européenne (UE) ne peut s’appliquer, faute de mention expresse du TFUE [6], de plein droit dans ces territoires.

Un régime transitoire organise l’application par les COM et la Nouvelle-Calédonie de la loi Informatique & Libertés, qui a connu de récentes modifications (I). Le régime homogénéisé, en place à compter de juin 2019  (II), devra répondre aux interrogations actuelles quant aux conditions du transfert de données vers ces collectivités (III).

 

I) Un régime transitoire pour les COM jusqu’au 1er juin 2019

A la suite de l’entrée en vigueur de la loi n° 2018-493 du 20 juin 2018, qui a modifié la loi Informatique & Libertés afin de mettre en conformité le droit national au nouveau cadre juridique européen (notamment le RGPD), la Commission nationale de l’informatique et de libertés (CNIL) a communiqué le 13 juillet 2018 sur le cadre juridique transitoire applicable aux COM.

Comme évoqué ci-avant, les DROM sont directement soumis aux dispositions du RGPD.

En amont de la publication de l’ordonnance prévue par l’article 32 de la loi du 20 juin 2018, la CNIL se prononçait sur le régime applicable temporairement aux COM et à la Nouvelle-Calédonie [7] :

  • certains d’entre eux (Nouvelle-Calédonie, Polynésie française, les îles Wallis et Futuna, ainsi que les Terres australes et antarctiques françaises) doivent continuer d’appliquer la loi Informatique & Libertés dans sa version antérieure à l’entrée en application du RGPD ;

  • d’autres doivent d’ores et déjà appliquer la loi Informatique & Libertés modifiée postérieurement au RGPD (Saint-Barthélemy et Saint-Pierre-et-Miquelon).

 

Cette disparité dans l’application du nouveau dispositif est provisoire et prendra fin, au plus tard, au 1er juin 2019.

 

II) Spécificité territoriale des COM : régime homogénéisé à compter du 1er juin 2019
 
Les COM se verront appliquer, malgré leur statut, la loi française sur la protection des données personnelles (A) et devront, par son biais, se conformer aux nouvelles règles du RGPD (B).

 

A) Compétence de l’Etat et application de la loi française dans les COM 

Comme le souligne le Rapport au Président de la République relatif à l'ordonnance n°2018-1125 [8], la Loi Informatique & Libertés réécrite assure

 

"l'application à Saint-Barthélemy, à Saint-Pierre-et-Miquelon, en Nouvelle-Calédonie, en Polynésie française, à Wallis-et-Futuna et dans les Terres australes et antarctiques françaises de l'ensemble des dispositions de la loi du 6 janvier 1978 relevant de la compétence de l'Etat."

Dans sa délibération portant avis sur le projet d’ordonnance précité [9], la CNIL affirme par ailleurs que le projet de texte doit

 

"permettre l’application de règles homogènes sur le territoire métropolitain et dans l’ensemble des collectivités d’outre-mer en matière de protection des données personnelles".

 

La loi Informatique & Libertés telle que modifiée postérieurement à l’entrée en application du RGPD (dite loi Informatique & Libertés 4, à la suite de ses réécritures successives des mois de juin et décembre 2018 [10]) a donc vocation à s’appliquer de façon homogène dans les COM et en Nouvelle-Calédonie, quel que soit le statut et/ou le degré d’autonomie de la collectivité d’outre-mer concernée.

Pour certaines COM, telles que Saint-Barthélemy et Saint-Pierre-et-Miquelon, les dispositions législatives et réglementaires de l’Etat sont applicables de plein droit, à l’exception des dispositions intervenant dans les matières de la compétence de la collectivité [11] (qui incluent notamment les impôts et taxes, la circulation routière ou encore le logement).

En revanche, s’agissant de la Polynésie [12] et de la Nouvelle-Calédonie [13], le doute était permis, en ce que les lois qui déterminent leurs statuts d’autonomie fixent avec exhaustivité les domaines relevant de la compétence de l’Etat français parmi lesquels la nationalité, le droit électoral, l’organisation judiciaire, la Défense, la Monnaie, la Police, la Sécurité ainsi que la garantie des libertés publiques. Ce dernier domaine de compétence de l’Etat, en ce qu’il inclut la protection de la vie privée, est de nature à justifier l’intervention de l’Etat français en matière de protection des données personnelles.

Il convient toutefois de relever que certaines des dispositions de la loi nationale ne s’appliqueront pas aux collectivités d’outre-mer. Par exemple, la Nouvelle-Calédonie et la Polynésie française ne bénéficieront pas du mécanisme de l’action de groupe en matière de protection des données personnelles, qui intéresse uniquement les tribunaux de l’ordre judiciaire français.

 

B) Application par extension de la loi française – et du RGPD ?

 

L’article 1 de l’ordonnance n° 2018-1125 du 12 décembre 2018 soumet par extension (via une mention expresse [14]) les COM ainsi que la Nouvelle-Calédonie à la loi Informatique & Libertés 4 :

 

"La présente loi est applicable en Nouvelle-Calédonie, en Polynésie française, dans les îles Wallis et Futuna et dans les Terres australes et antarctiques françaises" (article 125 de la loi Informatique & Libertés 4 [15]) qui rejoignent ainsi le régime déjà applicable à Saint-Barthélemy et Saint-Pierre-et-Miquelon, consacrant ainsi une certaine homogénéité dans ces territoires.

 

Il est à noter toutefois que l’ordonnance prévoit que la référence au RGPD sera remplacée par la référence "aux règles en vigueur en métropole en vertu" du RGPD (article 126 de la loi Informatique & Libertés 4 [16]). Or, bon nombre de "règles en vigueur en métropole en vertu" du RGPD n’ont aucune substance sans le renvoi exprès qu’elles opèrent aux articles du RGPD.

Il en est ainsi, à titre d’exemple, de la contractualisation du responsable de traitement avec le sous-traitant :

 

"Le traitement réalisé par un sous-traitant est régi par un contrat ou tout acte juridique qui lie le sous-traitant à l'égard du responsable du traitement, sous une forme écrite, y compris en format électronique, respectant les conditions prévues à l'article 28 du règlement." [17]

 

Aussi, convient-il d’interpréter ce changement de "référence" à la lumière du Rapport au Président de la République précité, relatif à l'ordonnance n°2018-1125 dont un des objectifs est d’articuler les dispositions de la loi française et celles du RGPD, notamment outre-mer :

 

"La présente ordonnance contient un chapitre Ier qui réécrit la loi du 6 janvier 1978 précitée afin de simplifier la mise en œuvre et apporter les corrections formelles nécessaires à la cohérence avec le droit de l'Union européenne relatif à la protection des données à caractère personnel. Elle assure en outre l'application à Saint-Barthélemy, à Saint-Pierre-et-Miquelon, en Nouvelle-Calédonie, en Polynésie française, à Wallis-et-Futuna et dans les Terres australes et antarctiques françaises de l'ensemble des dispositions de la loi du 6 janvier 1978 relevant de la compétence de l'Etat."

 

Ce remplacement doit donc être interprété comme un moyen pour le législateur français d’appliquer indirectement les règles nouvelles du RGPD, par le biais de la loi nationale, dans les COM et en Nouvelle-Calédonie.

 

III) Transferts de données vers les COM et la Nouvelle-Calédonie : transferts en dehors de l’UE ?

 

Les DROM, directement tenus d’appliquer le droit dérivé de l’Union européenne en tant que "région ultrapériphérique" de l’UE, peuvent recevoir les données personnelles d’un responsable de traitement soumis au RGPD sans que ce dernier n’ait à mettre en place les conditions imposées par l’article 46 du règlement en cas de flux transfrontières hors UE (BCR – Binding corporate rules, clauses contractuelles types, certifications, etc.).   

A l’inverse, le statut de "pays et territoires d’outre-mer" (PTOM) des COM et de la Nouvelle-Calédonie les exclut de l’application des directives et des règlement européens et donc du champ d’application territorial du RGPD. Ils sont, de ce fait, considérés comme des territoires "tiers" à l’UE.

Par application des articles 45 à 47 du RGPD qui encadrent les transferts de données hors de l’UE, la question de la mise en place des conditions de l’article 46 (BCR, clauses contractuelles types, certifications) du RGPD peut donc être légitimement posée.

Il convient toutefois de signaler que, selon une infographie de la CNIL [18], la Polynésie française et les Terres australes et antarctique françaises sont – en dépit de leur statut de PTOM – identifiées comme "pays membre de l’UE ou de l’EEE" appliquant la loi Informatique & Libertés. Un raisonnement par analogie avec le reste des COM et la Nouvelle-Calédonie laisserait à penser que ces territoires pourraient perdre leur qualité de "tiers" une fois la loi Informatique & Libertés 4 entrée en vigueur, permettant ainsi des transferts de données sans nécessaire mise en place des conditions prévues par l’article 46 du RGPD.

Néanmoins une telle analogie ne saurait être permise en l’absence, pour l’heure, de décision d’adéquation par la Commission européenne au profit de ces collectivités, telle que prévue par l’article 45 du RGPD.

Si le caractère adéquat du niveau de protection des données personnelles dans tous ces territoires ne devrait pas faire de doute du fait de leur application de la loi Informatique & libertés française, l’absence à ce jour de décision d’adéquation de la Commission européenne crée une incertitude juridique.

 

 

[1] Juridiquement les "collectivités relevant de l’article 73 de la Constitution" et de l’article 72-3 pour les Terres australes et antarctiques françaises.

[2] Juridiquement les "collectivités relevant de l’article 74 de la Constitution".

[3] "Collectivité relevant de l’article 77 de la Constitution".

[4] COM depuis le 15 juillet 2007.

[5] Article 355 du Traité sur le fonctionnement de l’Union européenne .

[6] Article 198 du Traité sur le fonctionnement de l’Union européenne et de la jurisprudence de la CJUE : CJCE, 12 février 1992, Leplat, aff. 260/90, point 10).

[7] https://www.cnil.fr/fr/comment-la-loi-informatique-et-libertes-sapplique-t-elle-loutre-mer.

[8] Rapport au Président de la République relatif à l'ordonnance n° 2018-1125 du 12 décembre 2018 prise en application de l'article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel. 

[9] Délibération n°2018-349 du 15 novembre 2018 portant avis sur un projet d'ordonnance prise en application de l'article 32 de la loi n°2018-439 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n°78-17 du 6 janvier 1928.

[10] La Loi Informatique & Libertés 2 correspondant à la Loi Informatique & Libertés modifiée par la loi du 6 août 2004 transposant la directive (UE) 95/46.

[11] Articles L0 6213-1 et L0 6214-3 du Code général des collectivités territoriales.

[12] Article 14 de la loi organique n°2004-192 du 27 février 2004 portant sur le statut d’autonomie de la Polynésie française.

[13] Article 21.I de la loi organique du 19 mars 1999.

[14] Conformément au principe de "spécialité législative".

[15] Dans sa version en vigueur au 1er juin 2019.

[16] Idem.

[17] Article 60 de la loi Informatique & Libertés 4.

[18] https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde.

 

Claudia Weber, avocat associé fondateur et Arthur Poirier, avocat


Le 14 février 2019, La Quadrature du Net, Franciliens.net et la Fédération FDN, trois associations qui défendent les droits et libertés des citoyens sur Internet, ont déposé un recours en annulation pour excès de pouvoir à l’encontre du décret n°2018-1136 du 13 décembre 2018.

Pour mémoire, ce décret du 13 décembre 2018 est entré en vigueur au 1er janvier 2019 (Cf. notre article dans la newsletter de février 2019).

Il définit les conditions de mise en œuvre, par les opérateurs de communications électroniques, de dispositifs de détection des événements susceptibles d'affecter la sécurité des systèmes d'information de leurs abonnés, les catégories de données pouvant être conservées ainsi que des modalités d'échange entre ces opérateurs et l'ANSSI.

Les principaux griefs justifiant l’annulation du décret sont notamment les suivants.

Un vice de forme : le défaut de mise en œuvre d’une étude d’impact en application du Règlement européen 2016/679 dit RGPD

L’article 70-4 de la loi Informatique et Libertés du 6 janvier 1978 dispose que

 

"Si le traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce qu'il porte sur des données mentionnées au I de l'article 8 ["des données à caractère personnel qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique ou de traiter des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique"], le responsable de traitement effectue une analyse d'impact relative à la protection des données à caractère personnel. Si le traitement est mis en œuvre pour le compte de l'Etat, cette analyse d'impact est adressée à la Commission nationale de l'informatique et des libertés avec la demande d'avis prévue à l'article 30."

 

Pour les auteurs du recours,

 

"le traitement est mis en œuvre pour les besoins de la sécurité et de la défense des systèmes d’information, c’est-à-dire pour le compte de l’Etat. Aucune étude d’impact n’ayant été réalisée, elle n’a pu être transmise à la Commission nationale de l’informatique des libertés. (…) Le décret a été adopté en contradiction des dispositions contraignantes".

 

De nombreux vices de fond concernant le respect des droits des personnes

 

Les requérants estiment qu’il y a atteinte au droit des personnes à l’information notamment au regard de l’application du RGPD :

 

"les personnes concernées ne sont en aucun cas informées du traitement qui est fait de leurs données, ni de la finalité poursuivie par le traitement. Les dispositions attaquées ne prévoient par ailleurs aucun droit d’opposition de la personne concernée. Il en résulte qu’ignorant le traitement, les personnes concernées ne peuvent s’y opposer."

 

L’atteinte au droit des personnes surveillées notamment en application de l’article 5 de la directive 202/58 pose l’interdiction de principe

 

"d’écouter, d’intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d’interception ou de surveillance."

 

Il existe des exceptions à ce principe. Toutefois selon les requérants, le décret attaqué ne répond aux conditions d’aucune d’entre elles. Les requérants exposent que

 

"[les] imprécisions et le manque de clarté général du dispositif ne permettent pas d’indiquer de manière suffisante en quelles circonstances et sous quelles conditions elle habilite la puissance publique à opérer pareille atteinte secrète au droit au respect de la vie privée et de la correspondance".

 

Enfin, les requérants considèrent que "les dispositions attaquées n’ouvrent aucune voie de recours juridictionnel aux personnes concernées (….) aux opérateurs et hébergeurs ayant reçu l’ordre de l’ANSSI de déployer sur leurs systèmes les dispositifs de cette dernière."

 

Affaire à suivre…


Marine Hardy, avocate, responsable des pôles Innovations et Sécurité

 


La Directive (UE) 2015/2436 du 16 décembre 2015, venue modifier la Directive 2008/95/CE visant à rapprocher les législations des Etats membres en matière de marque vient modifier le droit français des marques en l’alignant sur le nouveau droit de la marque européenne. Elle devait être transposée avant le 14 janvier 2019 et ne le sera pas avant quelques mois. Quelles sont les conséquences de ce défaut de transposition ?

 

 

Dans le cadre de la réforme dite du « Paquet Marques », la Directive (UE) 2015/2436 du 16 décembre 2015 introduit d’importantes modifications au régime du droit des marques nationales afin d’harmoniser et de moderniser le droit des marques au sein de l’Union européenne.

 

Cette directive devait être transposée en droit interne au plus tard le 14 janvier 2019.

 

Elle porte notamment sur les points suivants :

  • l’exigence de représentation graphique est supprimé : l’enregistrement d’un signe est ouvert dès lors que celui-ci peut être représenté "sous n’importe quelle forme appropriée au moyen de la technologie communément disponible, et donc pas nécessairement par des moyens graphiques, du moment que cette représentation offre des garanties satisfaisantes à cette fin", et que la représentation est "claire, précise, distincte, facilement accessible, intelligible, durable et objective",

  • les actions en déchéance et en nullité sont désormais de la compétence des offices nationaux et non plus des juridictions (pour cette mesure le délai d’application est étendu jusqu’au 14 janvier 2023),

  • la réalisation de saisies douanières est étendue aux marchandises contrefaisantes en transit dans l’Union européenne mais non destinées à y être vendues.

L’article 69 du projet de loi PACTE, adopté le 12 février dernier en première lecture par le Sénat, confère au Gouvernement le pouvoir de prendre, par ordonnance, des mesures nécessaires à la transposition de ladite directive, dans un délai de six mois à compter de la publication de la loi.

 

La transposition de la directive en droit français requiert encore l’adoption de trois textes : une ordonnance modifiant la partie législative du Code de la propriété intellectuelle, une loi de ratification de l’ordonnance et un décret d’application modifiant la partie réglementaire du code.

 

Que se passe-t-il lorsqu’une directive n’est pas transposée dans le délai qu’elle fixe, comme c’est le cas de la présente directive ?

 

Application immédiate des dispositions précises de la directives et mise en jeu de la responsabilité de l’Etat

 

En droit européen, une directive est un instrument juridique qui définit un ensemble d’objectifs à atteindre en laissant aux Etats membres le choix des moyens et de la forme pour les atteindre, dans un délai fixe. En principe une directive n’est pas directement applicable dans chacun des Etats membres. Seules le sont les dispositions de transposition dans le droit national, prises conformément à ce droit.

 

A défaut de transposition dans le délai imparti, une directive n’est en principe pas applicable dans les rapports internes à un pays membre après l’expiration du délai de transposition, sauf pour celles de ses dispositions qui sont claires, précises et inconditionnelles, qui sont dotées d’un effet direct (Cour de justice de la Communauté européenne, 4 déc. 1974, Van Duyn).

 

En application de ce principe, les dispositions de la Directive 2015/2436 ne pourront pas être invoquées dans un litige entre particuliers (entendus comme des personnes physiques ou morales), ni servir de fondement à un acte administratif défavorable à un particulier.

 

Cependant, entre la date fixée pour sa transposition et jusqu’à la date de sa transposition, un particulier pourra :

  • demander réparation à l’Etat si le défaut de transposition de la directive lui porte préjudice ;
  • se prévaloir des dispositions précises et inconditionnelles de la directive à l’appui d’un recours dirigé contre un acte administratif qui lui fait grief.

A titre d’exemple, la Directive 2015/2436 supprime l’exigence de représentation graphique des marques et rend éventuellement possible l’enregistrement de nouvelles catégories de marques (olfactives, gustatives, etc.), jusqu’alors écartées. En vertu du principe d’effet direct, le refus d’enregistrement d’une marque de ce type pour défaut de représentation graphique pourrait être contesté sur le fondement de la directive non transposée.

 

Jusqu’à sa transposition, la Directive 2015/2436 ne sera donc pas totalement dénuée d’effet. Certaines de ses dispositions pourront permettre d’engager la responsabilité de l’Etat ou de contester certaines décisions que prendra l’INPI relatives à des demandes d’enregistrement de marques effectuées entre le 14 janvier 2019 et l’entrée en vigueur des dispositions de transposition de la directive.

 

Jean-Christophe Ienné, avocat, directeur des pôles Propriété intellectuelle & industrielle, Médias & Audiovisuel et Internet et Lamia El Fath, avocat



La question de la responsabilité des plateformes de partage qui offrent aux internautes la possibilité de mettre en ligne des contenus protégés par le droit d’auteur  (vidéos, musiques, films…) sans aucun contrôle préalable est à nouveau posée.

 

Certains contenus sont protégés par le droit d’auteur. Qui de l’internaute ou de la plateforme est responsable vis-à-vis de l’ayant droit ? C’est cette question que la Cour suprême allemande a récemment posée à deux reprises à la Cour de justice de l’Union européenne (CJUE). Cette question est également au cœur du projet de directive sur le droit d’auteur dans le marché unique numérique, actuellement en cours d’adoption.

 

La CJUE est amenée à se prononcer sur les conséquences juridiques des pratiques de deux plateformes de partage de contenus en ligne dont les modèles économiques sont notablement différents, soit :

  • Youtube : sur laquelle les contenus chargés par l’utilisateur qui dispose d’un compte peuvent être visionnés par tout internaute,

  • Uploaded : sur laquelle l’utilisateur qui dispose d’un compte peut charger des contenus sur un espace de stockage en cloud accessible par un lien électronique qui lui est adressé automatiquement et qui permet d’accéder au contenu et de le télécharger, lien qu’il peut partager avec des personnes de son choix.

Ces deux plateformes ont en commun le fait de tirer des ressources financières de leur exploitation (recettes publicitaires pour la première, abonnements à un service premium pour la seconde), de rémunérer les utilisateurs qui chargent des contenus (sur la base du nombre de visionnages pour la première et du nombre de téléchargements pour la seconde), ou encore d’interdire le chargement de contenus protégés par des droits appartenant à des tiers.


Les enjeux juridiques

Les questions posées par la Cour suprême allemande sont à la confluence de deux corps de règles, l’un tenant à la protection des droits d’auteur et connexes et l’autre à la responsabilité des prestataires exploitant une plateforme en ligne.

 

En ce qui concerne le droit d’auteur, les questions portent principalement sur la définition de la notion de « communication au public » d’une œuvre posée par la directive 2001/29/CE sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information. L’article 3 de cette directive définit les prérogatives accordées à l’auteur à l’occasion de la communication de son œuvre au public. Elle définit ce droit exclusif comme étant celui :

 

« (…) d’autoriser ou d'interdire toute communication au public [d’une œuvre], par fil ou sans fil, y compris la mise à la disposition du public (…) de manière que chacun puisse y avoir accès de l'endroit et au moment qu'il choisit individuellement. »

 

La CJUE a déjà eu de nombreuses occasions de préciser cette question dans des contextes variés, sans que des lignes directrices claires puissent véritablement être dégagées.

 

En ce qui concerne la responsabilité des plateformes, la notion en jeu est celle de l’ « hébergeur » - sa définition et les responsabilités associées -, telle qu’elle résulte de l’article 14 de la Directive 2000/31/CE sur le commerce électronique. Ce texte prévoit que l’hébergeur n’est pas responsable des informations stockées à la demande d’un utilisateur du service, à condition que  :

 

« a) le prestataire n’ait pas effectivement connaissance de l’activité ou de l’information illicite et, en ce qui concerne une demande en dommages et intérêts, n’ait pas connaissance de faits ou de circonstances selon lesquels l’activité ou l’information illicite est apparente

ou

b) le prestataire, dès le moment où il a de telles connaissances, agisse promptement pour retirer les informations ou rendre l’accès à celles-ci impossible. »

 

C’est le régime qui a été introduit en droit français par l’article 6 de la loi du 21 juillet 2004 (LCEN).

 

 

Les questions posées à la CJUE

 

La Cour suprême allemande a saisi en septembre 2018 la CJUE de plusieurs questions préjudicielles au sujet des plateformes YouTube et Uploaded.

 

Dans l’affaire YouTube, un producteur de disques s’opposait au chargement sur la plateforme YouTube par un utilisateur de plusieurs vidéos incorporant des extraits d’œuvres musicales qu’il avait produites. Après avoir demandé à YouTube d’en bloquer l’accès, les vidéos sont réapparues quelques jours plus tard. Le requérant a alors entamé une action judiciaire en cessation à l’encontre de YouTube et de la société mère Google Inc.

 

Dans l’affaire Uploaded, des éditeurs de livres et de musique ont porté plainte contre la plateforme sur laquelle des œuvres avaient été chargées par des utilisateurs, en méconnaissance de leurs droits.

 

Les deux affaires sont parvenues à la Cour suprême, qui a décidé de poser à la CJUE des questions similaires, mais appliquées à des contextes différents.

 

Dans les deux affaires, la première question porte sur la violation éventuelle des droits des ayants droit des œuvres concernées. La Cour demande à la CJUE si un opérateur d’une plateforme Internet de vidéos sur laquelle les utilisateurs mettent à la disposition du public des contenus protégés par le droit d’auteur sans autorisation de l’ayant droit commet un acte de communication au public, relevant en tant que tel du droit exclusif d’autoriser ou d’interdire de cet ayant droit, tel que cet acte est défini par l’article 3 de la Directive 2001/29/CE.

 

En raison des caractéristiques différentes des deux plateformes, les réponses que la CJUE apportera pourraient être différentes.

 

Ainsi, pour la CJUE, la notion de « communication au public » associe deux éléments distincts et cumulatifs : un acte de communication et un public à destination duquel l’acte est accompli. Selon la jurisprudence de la Cour, la notion de public vise un nombre indéterminé, mais suffisamment important, de destinataires potentiels, qui ne forme pas un groupe privé.

 

Au regard de ces précisions, il apparaît évident que le service de la plateforme YouTube s’adresse à un public au sens de l’article 3 de la directive. En revanche, la notion de groupe privé pourrait s’appliquer dans le cas de la plateforme Uploaded sur laquelle les contenus chargés ne sont pas accessibles à tous, mais seulement à ceux qui disposent du lien de téléchargement.

 

La Cour suprême allemande pose ensuite à la CJUE une deuxième question, quasiment identique dans les deux affaires, qui porte cette fois sur la qualification d’hébergeur des plateformes et de la responsabilité – plutôt l’absence de responsabilité – qui lui est associée.

 

Elle demande à la CJUE de déterminer si les activités de chacune des plateformes relèvent de la qualification d’hébergeur tel que défini par l’article 14 de la Directive 2000/31/CE et si la connaissance effective, visée dans cette disposition, de l’activité ou de l’information illicite, ainsi que la connaissance de faits ou de circonstances selon lesquelles l’activité ou l’information illicite est apparente, doivent se référer à des activités ou des informations illicites spécifiques.

 

Là encore, les réponses apportées par la CJUE à cette question pourraient varier dans les deux hypothèses, compte tenu de la différence entre les deux cas.

 

 

Les réponses données par le projet de directive sur le droit d’auteur

 

Ces questions pourraient prochainement devenir caduques (en partie) si la proposition de directive du Parlement européen et du Conseil de l’Union européenne sur le droit d’auteur dans le marché numérique devait être adoptée. En effet, dans sa rédaction adoptée par le Parlement européen en septembre 2018, l’article 13 du projet de directive prévoit un dispositif de protection pour les ayants droit qui impose aux plateformes, faute d’accord avec l’ayant droit, de mettre en place des mécanismes de filtrage des contenus postés par les internautes.

 

En l’état, l’article 13 s’appliquera aux prestataires de services de partage de contenus en ligne qui stockent et donnent accès à un grand nombre d’œuvres protégées par divers droits (droit d’auteur, droits voisins…), ce à quoi YouTube semble correspondre.

 

Il précise que ces services procèdent à des actes de communication au public et qu’en conséquence :

  • chaque prestataire concerné doit s’efforcer de conclure des contrats de licences avec les titulaires de droits, couvrant la responsabilité des œuvres chargées par les utilisateurs de son service,

  • et qu’à défaut d’un tel accord, un procédé de filtrage doit être mis en place par le prestataire en coopération avec les titulaires de droits et garantissant les droits des utilisateurs dont le contenu aurait injustement été retiré du service.

Le projet de directive répond donc par l’affirmative aux deux questions posées à la CJUE, en ce qui concerne YouTube : le mode de fonctionnement de cette plateforme implique des actes de communication au public et cette plateforme en est responsable, puisqu’elle doit négocier une licence avec les titulaires de droits et à défaut procéder au filtrage des contenus pour lesquels elle n’a pas de licence.

 

En revanche, l’adoption telle quelle du projet de directive n’épuiserait pas les questions posées à la CJUE dans le cas de la plateforme Uploaded.

 

En effet, selon le projet de directive, les prestataires de services de stockage en nuage à usage individuel qui ne proposent pas d'accès direct au public, ce qui semble correspondre à la plateforme Uploaded, ne devraient pas être considérés comme des prestataires de services de partage de contenus en ligne. Le régime défini par l’article 13 du projet ne lui serait donc pas applicable.

 

A l’heure actuelle le projet de directive n’est pas encore adopté et il fait toujours l’objet de négociations. Ainsi, après plusieurs semaines de négociations, Paris et Berlin ont récemment convenu d’un accord quant à l’application de l’article 13. Cet accord prévoit que les plateformes seraient exemptées de l’obligation de filtrage à condition de réunir les 3 critères suivants : avoir moins de 3 ans d’existence, réaliser un chiffre d’affaires de moins de 10 millions d’euros, avoir un niveau d’audience inférieur à 5 millions de visiteurs uniques par mois.

 

Quoiqu’il advienne du projet de directive, la CJUE devrait donc apporter un élément de plus à la définition de la notion de « communication au public ». Il faut espérer qu’il s’agira cette fois d’une clarification.

 

Jean-Christophe Ienné, avocat, directeur des pôles Propriété intellectuelle & industrielle, Médias & Audiovisuel et Internet