[vc_row][vc_column][vc_column_text]Par Stéphane ASTIER et Florian PERRETIN
(A propos du droit de l’internet)
Le développement de l’économie s’effectue désormais autour de la donnée. Les enjeux attachés au contrôle de cette donnée en termes de positionnement stratégique et de prise de parts de marché sont en effet majeurs et directement liés à une problématique essentielle : celle de la propriété de la donnée.
Véritable « pétrole » du XXIème siècle, les volumes gigantesques de données désormais accessibles font l’objet d’exploitations multiples depuis leur collecte jusqu’à leur restitution. Cette exploitation est même devenue une science à part entière, la « data science ».
Les prestataires dans ce domaine se spécialisent, et il est désormais fréquent de retrouver plusieurs intervenants concourant à un même traitement, notamment avec l’implémentation d’API au sein d’une solution. Les bases de données générées par chacun des protagonistes se complètent, se recoupent, s’interconnectent ; autant d’interaction ayant contribué à la définition de la notion de coresponsabilité de traitement notamment mise en avant par le Règlement Général européen pour la protection des données du 26 avril 2016 (ci-après RGPD).
Confronter aujourd’hui la problématique de la propriété de la donnée à la notion de coresponsabilité du traitement est sans doute l’une des questions les plus délicates à traiter dans le cadre d’une stratégie digitale maîtrisée. Nul doute que les futurs Délégués à la protection des Données (Data Protection Officer – DPO) devront régulièrement s’y confronter.
L’occasion de revenir sur les notions clés permettant d’envisager globalement cette question.
1. Les notions de « responsable de traitement » / « co-responsable de traitement » / « sous-traitant »
Les notions de « responsable de traitement » et de « sous-traitant » jouent un rôle central, dans la détermination de la personne qui dispose du contrôle de la donnée, dans la propriété des bases de données mises en œuvre et, a fortiori, dans l’accès aux revenus générés par les traitements et services mis en œuvre.
Pour déterminer qui est responsable ou sous-traitant, il convient de s’en remettre à l’application de la réglementation applicable en matière de droit des données à caractère personnel, à savoir la loi Informatique et Libertés et le RGPD.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_video link= »https://youtu.be/HjxJR0LLq7k » el_width= »80″ align= »center » css_animation= »fadeInUp »][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]C’est sur le terrain de la responsabilité dans le traitement que les deux notions trouvent tout leur intérêt. Entre le responsable de traitement et le sous-traitant, on retrouve un statut intermédiaire, celui de « co-responsable de traitement », le plus souvent indépendant quant aux moyens mis en œuvre mais dépendant quant aux finalités du traitement car lié aux autres co-responsables. Des notions clés sur lesquelles un éclairage est nécessaire.
Le « responsable de traitement » est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.
Cette définition s’articule autour de trois points :
- L’aspect individuel : « la personne physique ou morale, l’autorité publique, le service ou un autre organisme » ;
- Les éléments essentiels qui permettent de distinguer le responsable de traitement du sous-traitant : « détermine les finalités et les moyens du traitement » ;
- La possibilité d’une responsabilité partagée entre plusieurs responsables de traitement, alors considérés comme co-responsables de traitement : « seul ou conjointement avec d’autres ».
S’agissant de la détermination des finalités et des moyens en vue d’attribuer le rôle de responsable de traitement, la question principale qui se pose est celle du degré de précision de cette détermination dans le traitement. Les notions de « finalité » et de « moyen » renvoient respectivement au « pourquoi » et au « comment » de l’activité de traitement. Ces notions peuvent varier en fonction de l’environnement particulier dans lequel intervient le traitement, et seule une approche pragmatique permet de contextualiser ces éléments.
On parle de « co-responsables de traitement » lorsque deux responsables de traitement ou plus déterminent conjointement les finalités et les moyens du traitement. Les co-responsables de traitement doivent définir de manière transparente leurs obligations respectives aux fins d’assurer le respect des dispositions légales en matière de protection des données via un accord dont les grandes lignes seront mises à la disposition de la personne concernée par le traitement. Cet accord – qui suppose une formalisation précise – laisse en pratique beaucoup de liberté au co-responsable de traitement. En adoptant une approche pragmatique, le législateur européen a bien conscience que selon les situations, il existe plusieurs degrés d’implication des acteurs dans le traitement, et donc nécessairement plusieurs degrés de co-responsabilité.
Le « sous-traitant » est quant à lui la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement. L’existence du sous-traitant dépend donc de l’initiative du responsable de traitement de déléguer tout ou partie de ces activités de traitement à une organisation externe.
Cette définition s’articule autour de deux points :
- L’aspect « individuel », à savoir une entité juridique distincte du responsable de traitement ;
- L’élément essentiel, le fait de traiter des données à caractère personnel pour le compte du responsable de traitement.
Les activités de traitement exercées pour le compte du responsable de traitement peuvent être de nature diverse avec un marge d’appréciation plus ou moins grande sur le choix des moyens techniques et organisationnels utilisés.
Comme les qualifications de « responsable de traitement » et de « sous-traitant » reposent sur des considérations « factuelles » et non « contractuelles », elles se basent sur des critères résultant d’un faisceau d’indices : nombre d’instructions préalables données par le responsable de traitement, surveillance que ce dernier exerce sur le niveau de service, visibilité vis-à-vis des personnes concernées, expertise des parties, pouvoir de décision autonome des différents acteurs etc.
2. La propriété des données personnelles
Historiquement on appelait le responsable de traitement « maître du fichier » dans la Convention 108 du Conseil de l’Europe conclue en 1981. En plus de la « maîtrise », cette notion semble induire que le maitre du fichier en est le « propriétaire ». Cependant les questions de propriété des données sont bien plus complexes qu’il n’y paraît.
Il n’existe pas en France de « propriété de la donnée » en tant que tel. Personne n’est en réalité propriétaire des données, car la donnée elle-même est le support d’une simple « information » non protégeable par le droit de propriété intellectuelle. Cependant certaines données échappent à la qualification d’information et seront protégeables dès lors qu’elles contiennent une œuvre de l’esprit (un tableau, un texte d’un écrivain…). La protection des données, personnelles ou non, fait donc appel à diverses branches du droit :
Les choses sont subtiles concernant les données à caractère personnel qui sont de véritables émanations de la personnalité, faisant donc partie de la famille des droits de la personnalités (incluant notamment le respect de la vie privée). C’est la raison pour laquelle la collecte de données à caractère personnel nécessite le consentement de la personne concernée. Là encore il n’y a pas de « propriétaire » de cette donnée, mais la personne concernée dispose de nombreux droits sur celle-ci en application du principe d’autodétermination informationnelle (accès, rectification, limitation, opposition). Toutefois, après anonymisation, les données pourront être considérées et utilisées comme n’importe quelle autre donnée brute.
Sans être propriétaire d’une donnée personnelle, il est possible d’être propriétaire d’une base de données. En effet, sous couvert de remplir le critère d’originalité, une personne peut disposer d’un droit de propriété sur une « compilation de données ». Cela résulte du principe suivant lequel l’auteur d’une œuvre de l’esprit jouit sur cette œuvre, du seul fait de sa création, d’un droit de propriété incorporelle exclusif et opposable à tous.
Pour ce qui est du producteur de base de données, celui-ci dispose d’un droit sui generis sur cette base. Il convient alors de justifier d’investissements substantiels en vue de sa création et de son exploitation. Bien que « producteur », ce dernier ne possède cependant pas de droit de « propriété » sur la base en question. Il pourra simplement interdire des extractions qualitativement ou quantitativement substantielles au sein de celle-ci.
Toutes les compilations ne sont pas protégeables par le droit d’auteur, seules le sont celles qui, par le choix ou la disposition des matières, constituent des créations intellectuelles. Les données doivent être structurées. On parle alors de compilation « caractérisées », différente de la simple compilation « mécanique ». De même, pour bénéficier de la protection du droit sui generis du producteur de base de données, il faut être capable de démontrer un investissement financier, matériel et humain substantiel hors coûts liés à la « création » de la base sauf exception.
3. Co-responsable de traitement et co-propriétaire des données ?
Dans le cadre d’un traitement de données à caractère personnel, il est fréquent qu’en pratique les co-responsables de traitement se partagent une base de données commune pendant la durée de la relation contractuelle qui les unis.
Cependant une fois cette relation contractuelle éteinte, la question de la propriété de la base de données peut poser des difficultés. La personne qui a mis à disposition sa base de données conserve-t-elle tous les droits sur celle-ci ? Le co-responsable de traitement peut-il revendiquer un droit sur la base de données ? Peut-on se retrouver devant une situation de « co-propriété » de la base de données ?
Démontrer le caractère original de la base de données est très délicat. Il sera donc difficile de se placer sous les régimes prévus par le Code de la propriété intellectuelle en matière d’œuvre de collaboration ou encore d’œuvre dérivée pour fixer les principes de propriété sur la base.
C’est donc sur deux principes issus du droit des biens qu’il nous semble intéressant de se pencher pour envisager un droit de revendication sur la base de données des co-responsables de traitement : le principe de l’acquisition de la propriété par spécification (art. 570 à 572 du Code civil) et le principe de l’acquisition de la propriété par mélange (art. 573 du Code civil).
Le principe de l’acquisition de la propriété par spécification
L’illustration du principe est relativement simple : il s’agit du bûcheron qui fournit du bois à un ébéniste. Cet ébéniste construit une table à partir des planches. Dans ce cas, avec l’acquisition de la propriété par spécification, c’est l’ébéniste qui sera propriétaire de la table. En effet celui-ci aura apporté son savoir-faire, transformé la matière première pour en faire un objet nouveau. On considère alors que la main-d’œuvre est tellement importante qu’elle surpasse de beaucoup la valeur de la matière première.
On peut dès lors facilement imaginer qu’une base de données, qui est un bien meuble incorporel, puisse être utilisée et améliorée d’une façon telle par le co-responsable de traitement que cette amélioration surpasse de beaucoup la valeur de la base de données originaire. Alors celui-ci pourrait revendiquer des droits sur la « nouvelle » base de données.
Dans la même idée, il arrive fréquemment que deux co-responsables de traitement mettent en commun leur base de données respectives et que l’un des co-responsables de traitement la transforme en apportant son savoir-faire afin de pouvoir répondre à la finalité du traitement. Il utilisera alors sa propre base de données, mais aussi celle du second co-responsable de traitement. Dans cette situation, on pourra considérer que la base de données nouvelle qui en résulte sera commune aux deux propriétaires.
Le principe de l’acquisition de la propriété par mélange
Nous sommes ici dans la situation où plusieurs co-responsables de traitement ont mis en commun leurs bases de données respectives pour réaliser les finalités d’un traitement, sans pour autant que l’un d’entre eux ait apporté son savoir-faire en vue d’améliorer le traitement. Ici la nouvelle base constituée pourra être, selon les cas, séparable ou non des bases de chacun des co-responsables. Dans l’hypothèse où cette base ne peut être séparée sans inconvénient, alors encore une fois les différents co-responsables vont en acquérir en commun la propriété.
La solution : régler les questions de propriété des bases de données dans la convention passée entre les co-responsables de traitement
Les cas d’acquisition de la propriété de la base de données par spécification et par mélange sont supplétifs de volonté, ce qui signifie que l’on peut y déroger contractuellement. Cela tombe bien car le RGPD prévoit justement qu’un accord doit être formalisé entre les différents co-responsable de traitement. Il faudra alors saisir cette occasion pour introduire dans cet accord une clause prévoyant l’aménagement de la propriété des bases de données afin de clarifier la situation et d’anticiper les risques en matière de propriété.
Définir contractuellement le rôle de chaque protagoniste dans la constitution d’une base de données est ainsi une phase primordiale à prendre en compte lors de la définition d’une stratégie digitale. C’est au travers d’une analyse à la fois juridique et pragmatique de chaque apport et du rôle de chaque partie que pourra être construite l’ossature adéquate pour un développement efficace de l’activité dans un environnement sécurisé.
Expert depuis plus de vingt ans dans le domaine des NTIC, le Cabinet HAAS Avocats reste à votre disposition pour vous accompagner dans vos projets de transitions digitales : création de l’environnement juridique d’une plateforme web, accompagnement projet, mise en conformité juridique des traitements de données, préparation de l’entrée en vigueur du Règlement Européen pour la Protection des données, nos prestations couvrent l’ensemble des domaines et secteurs concernés par le digital.
Pour plus d’informations sur ces prestations, cliquez ici ou contactez directement un avocat grâce au service JurisAppel.[/vc_column_text][/vc_column][/vc_row]