01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

7 règles simples pour protéger et valoriser ses bases de données

données1

Le 15 janvier 2013, Mark Zuckerberg, fondateur de Facebook, annonçait la mise en place d’un nouveau moteur de recherche sur le célèbre réseau social en déclarant qu’il considérait Facebook « comme une grande base de données sociales ».

Les données et l’architecture permettant leur accès constituent en effet le cœur central de bon nombre de sites web et plus généralement d’entreprises tournées vers l’innovation.

Comment protéger cette propriété intellectuelle ? Comment la valoriser ?

  • Règle n°1 : Identifier la base de données

La notion de « base de données » est définie par l’article L.112-3 du Code de la propriété intellectuelle (CPI) comme « un recueil d’œuvres, de données ou d’autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou tout autre moyen ».

Un site internet est ainsi composé d’une ou plusieurs bases de données. Il y a également les bases de données clients, prospects, qualifiées ou non, Opt-in ou non etc. Ce faisant, chaque entreprise peut être désireuse de bénéficier d’une protection juridique sur ces bases et d’en valoriser le contenu.

  • Règle n°2 : Identifier le régime de protection

Il arrive que des bases de données puissent être qualifiées d’originales au sens du droit d’auteur. Il s’agit ici d’architectures spécifiques ayant notamment demandé des développements logiciels particuliers. Dans ce cas, toute reproduction illicite de cette architecture pourra donner lieu à une action en contrefaçon.

Mais, en tant que producteur de bases de données, l’entreprise dispose également d’une protection spécifique, énoncée aux articles L.341-1 et suivants du CPI le protégeant contre toute extraction ou réutilisation d’une partie substantielle de ses données.

Ce droit sui generis trouve à s’appliquer même lorsque la base de données en cause n’est pas éligible à la protection générale du droit d’auteur et concerne donc l’ensemble des bases de données.

Ainsi, dans tous les cas, l’entreprise peut envisager de protéger et de valoriser sa base de données par le droit sui generis en revendiquant la qualité de producteur de la base.

  • Règle n°3 : Démontrer un investissement financier, matériel ou humain substantiel

Encore faut-il démontrer un « investissement financier, matériel ou humain substantiel ». Et la preuve de cet investissement n’est pas aisée
Pour s’en convaincre, il est possible de rappeler un arrêt de la Cour d’appel de Lyon du 22 décembre 2008. Dans ce cas d’espèce, le propriétaire d’un site de vente en ligne de produits de fitness reprochait à l’un de ses concurrents d’avoir reproduit la présentation générale et les descriptifs des produits sur deux autres sites internet. Une action en référé est intentée.
La Cour reproche toutefois au demandeur de ne pas avoir rapporté la preuve d’un investissement substantiel malgré la production de nombreuses factures et de deux contrats de travail.

Ne constituent donc pas pour la Cour des éléments de preuve suffisants :

– Des factures concernant l’élaboration de la charte graphique de la boutique en ligne ;
– Des factures portant sur la création de bannières publicitaires ou de formulaires newsletters ;
– Des contrats de travail à durée déterminée concernant un poste de secrétaire et un poste de chargé de communication ne donnant aucune précision sur le contenu de ces postes ;
– Des factures portant sur le référencement et la publicité du site internet.
Cette décision peut sembler dure. Elle n’en reste pas moins rigoureuse au regard de la loi puisque les éléments de preuve rapportés, qu’ils soient financiers, matériels ou humains doivent nécessairement être en lien avec la base de données.

Il appartient donc aux producteurs d’une base de données de :

– Préciser dans le contrat de travail les taches du salarié en rapport avec la base de données ;
– Conserver les contrats de sous-traitance éventuellement conclus avec un prestataire pour l’élaboration ou le développement de la base de données ;
– Etablir et conserver les factures portant sur l’acquisition du matériel directement affecté à la base de données (ordinateurs, serveurs informatiques…) ;

– Etablir et conserver les factures en relation directe avec l’élaboration et le développement de la base de donnée tels que :

o les factures portant sur la recherche des données,
o les factures portant sur le rassemblement des données,
o les factures portant sur la vérification des données (visant à assurer la fiabilité de l’information contenue dans la base de données).

  • Règle n°4 : Déposer sa base de données

Il n’existe pas de titre permettant de protéger une base de données à l’instar de ce que propose l’INPI pour les marques et les brevets. Toutefois, l’entreprise peut utilement saisir tout huissier compétent pour constater à un instant « t » le contenu et l’architecture de sa base de données.

Cela permet en effet de donner une date certaine à la création et pourra utilement servir de preuve dans le cadre d’une procédure judiciaire.

  • Règle n°5 : Piéger sa base de données

Pour démontrer qu’un tiers a frauduleusement utilisé sa base de données un moyen simple pour l’entreprise sera d’en piéger le contenu. Pour ce faire, il suffit par exemple de faire constater dans un premier temps l’insertion de fausses adresses courriels dans la base et dans un second temps les mails frauduleux en cause.

  • Règle n°6 : Mettre en Place une charte utilisateurs

Les bases clients sont particulièrement précieuses pour l’entreprise et font l’objet de convoitise. Ainsi qu’il s’agisse d’un salarié ou d’un prestataire, chaque personne ayant accès à cette base peut être tentée de l’aspirer afin de la réutiliser de manière illicite (acte de concurrence déloyale par la création d’une nouvelle société, vente de la base à un concurrent etc.).

Annexée au Règlement Intérieur de l’entreprise, déposée au greffe des Prud’hommes et à l’Inspection du Travail, soumise à l’avis des Instances Représentatives du Personnel (IRP), la Charte « Utilisateurs » constitue un instrument clé de l’entreprise pour limiter les risques d’atteinte aux SI dont le vol de données fait partie.

Ce document apparaît en effet bien souvent comme le seul rempart juridique efficace pour se prémunir contre les risques de vols de données et, à tout le moins, pour s’assurer d’une réponse efficace contre ce type d’atteinte aux systèmes d’information de l’entreprise.

Outre la sensibilisation et la vocation pédagogique d’un tel document, il s’agira de fixer les droits et obligations des utilisateurs (mots de passe, types d’accès, gestion des absences, utilisations de supports amovibles, identification des fichiers personnel, installation de logiciel, gestion de la messagerie etc.), de les informer en cas de contrôles mis en place (pouvoir d’enquête de la DSI, études statistiques sur les connexions internet etc.) tout en rappelant les règles de l’entreprise en matière de sécurité et de confidentialité (interdiction des vols de données notamment).

  • Règle n°7 : Mettre en Place une PSSI

Les risques d’intrusions en matière de cyberdélinquance sont également nombreux : les pirates s’attaquent aux bases de données car les données sont facilement monnayables…

Pour se prémunir contre de tels risques, l’entreprise pourra utilement s’en remettre à la formalisation d’une Politique de Sécurité des Systèmes d’Information (PSSI).

En pratique, la PSSI prévoit en effet les règles de sécurité à appliquer et à respecter au sein de l’entreprise après réalisation d’une étude globale d’évaluation des risques. Ces règles doivent prendre en compte les évolutions du contexte des Systèmes d’Information tels que l’accroissement de l’interconnexion des réseaux et l’évolution des données en terme de type, volume, sensibilité, ainsi que les nouvelles pratiques de l’entreprise (Cf. notamment les problématiques de mobilité – Bring Your Own Device ou BYOD et d’utilisation des réseaux sociaux).

D’une manière générale la PSSI vise à renforcer les notions de « culture de sécurité » et de « continuité de la gestion des risques liés aux SI » dans l’entreprise et constitue donc un document clé pour se prémunir contre les attaques externes dont fait partie le vol de données.

******
Vous souhaitez en savoir plus sur la protection et la valorisation de vos bases de données ?

Cliquez ici.

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com