![Quand le droit d’auteur vient à la rescousse du droit des données à caractère personnel quant au régime juridique applicable aux données : cas d’étude en droit français [par Sarah MARKIEWICZ, doctorante en droit des technologies de l’information à l’Université d’Aix-Marseille et à l’Université de Montréal]](https://incyber.org//wp-content/uploads/2024/03/adobestock-749446930-1920x735.jpeg)
Quand le droit d’auteur vient à la rescousse du droit des données à caractère personnel quant au régime juridique applicable aux données : cas d’étude en droit français par Sarah MARKIEWICZ, doctorante en droit des technologies de l’information à l’Université d’Aix-Marseille et à l’Université de Montréal
![Image Cybermalveillance.gouv.fr étend [« SensCyber »], son dispositif de e-sensibilisation](https://incyber.org//wp-content/uploads/2024/03/incyber-news-people-connexion-885x690.jpg)
![Image [IA, 6G, identité numérique :] États-Unis et UE poursuivent leur coopération](https://incyber.org//wp-content/uploads/2024/01/incyber-news-cybersecurite-cybersecurity-partenerariat-partnership-885x690.jpg)
![Image [PhilosoFIC :] les algorithmes génératifs, fossoyeurs ou accélérateurs de l’intelligence humaine ?](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurity-persona-885x690.jpg)
Comme lors d’un enterrement, moment où les problèmes juridiques de transmission du patrimoine du défunt apparaissent, les gens pensent souvent, à tort, qu’il est prévu dans les textes juridiques que tout irait au conjoint survivant ou / et aux enfants, sans frais. Or, la réalité est tout autre. Une même croyance demeure quant à la propriété que nous devrions avoir sur nos données à caractère personnel ou / et numériques. La question mérite de se poser car qu’en est-il réellement ? A l’aide du droit de la propriété intellectuelle, nous allons tenter de déterminer quel est le statut juridique des individus à l’égard de leurs données et les actions juridiques qu’ils peuvent mener contre les personnes qui utilisent à mauvais escient leurs données ou pour protéger ces dernières.
I La question de la propriété des données numériques au regard du droit civil : « C’est à moi ! C’est le mien ! »
Nous allons, d’abord, partir de l’existant : les facultés que la Commission Nationale Informatique et Libertés (C.N.I.L.) reconnaît aux individus (A/) afin de voir si on ne peut pas octroyer de véritables droits aux individus détenant des données, a fortiori à caractère personnel (B/).
A/ La C.N.I.L. consacre des facultés individuelles à l’égard des données à caractère personnel à la personne concernée
Face à la recrudescence du marchandage des données sur internet aux détriments des intérêts des clients, la C.N.I.L. rappelle et prend la défense des droits qu’une personne a à l’égard des données la concernant. Le droit d’accès, le droit de rectification, le droit d’opposition et le droit au déréférencement sont consacrés par la section 2 du chapitre V de la loi n°78-17 relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 dite « loi Informatique et Libertés », modifiée en 2004, baptisée « Droit des personnes à l’égard des traitements de données à caractère personnel »[1].
Les données à caractère personnel qui restent le dénominateur commun de diverses activités, y compris dans le milieu littéraire et artistique, sont les données nominatives, c’est ce que nous allons voir à travers des exemples tirés du droit d’auteur. Le droit d’accès, correspondant à l’article 39 de la loi Informatique et Libertés[2], a pour vocation de permettre à la personne concernée de savoir ce qu’une entité détient à son sujet[3], tout comme un artiste-interprète pourrait demander combien de fois son nom est associé à la diffusion de sa chanson à la radio, par exemple. Le droit de rectification, recensé à l’article 40 de la loi précitée[4], renvoie à une mise à jour des données. Pour reprendre notre exemple en droit d’auteur, cela pourrait être de préciser le nom de l’interprète qui prête sa voix sur un morceau de musique composée par un Disk-Jockey ou un artiste venant poser sa voir en « featuring » sur une chanson. Le droit d’opposition, inscrit dans l’article 38 de cette loi[5], offre la possibilité à la personne concernée d’arrêter les agissements d’un tiers utilisant une de ses données à caractère personnel. Transposé en droit d’auteur, cela pourrait être de respecter le nom de scène ou de plume d’un groupe musical ou d’un artiste voire écrivain, dit « pseudonyme », qui ne souhaite pas que ces œuvres soient rattachées à son identité civile, en cas de diffusion au grand public. Le droit au déréférencement est celui de ne plus apparaître dans une base de données. Dans ces deux cas de figure, on peut penser à des artistes qui ont tourné la page et mis fin à leur carrière musicale et ne souhaitent plus que leurs chansons soient diffusées car cela leur fait une mauvaise publicité tels que l’un des anciens membres des Poetic Lovers ou Diam’s.
Ces facultés indiquent, dans un premier temps, que les individus ont des droits à l’égard de leurs données à caractère personnel ; nous allons voir si d’autres fondements juridiques enclenchent un véritable régime juridique protecteur de la personne concernée. Qui plus est, les textes juridiques en matière de protection des données à caractère personnel insistent bien sur la notion de consentement émanant de la personne concernée préalable à tout traitement de données. Or, ce consentement n’est pas pour autant une décharge d’intérêt ou de propriété sur les données manipulées la concernant.
B/ Le droit d’auteur suggère plus que des droits individuels : un droit de paternité à l’égard des données à caractère personnel
D’après, l’article L 111-4 alinéa 2 du Code de la propriété intellectuelle, qui est le seul à faire état clairement de cette « filiation » entre un auteur et son œuvre[6], reconnaît un droit de paternité à l’auteur dès la création même inachevée de son œuvre, comme en témoigne la lecture croisée des articles L 111-1 alinéa 1 et L 111-2 du même Code[7]. On peut y voir un parallèle avec le droit de la famille où on considère que le père d’un enfant, même à l’état embryonnaire ou de fœtus, est l’homme qui a entretenu des rapports sexuels avec la mère dans la période retenue comme point de départ de la grossesse. D’ailleurs, pour pousser un peu plus loin le parallèle, il est de coutume que le père donne son nom de famille à l’enfant et l’article L 113-1 dudit Code dispose que : « la qualité d’auteur appartient, sauf preuve contraire, à celui ou à ceux sous le nom de qui l’œuvre est divulguée[8] ». Donc, on pourrait dire que la personne concernée est l’auteur de ses données, titulaire de droits à l’égard de ses données, parce qu’elle a créé l’édition de ces données par son existence, sa naissance, et qu’elle leur donne son nom ou un lien de rattachement à son nom ou son identité.
Sachant que le droit d’auteur fait partie de la branche du droit intitulée « droit de la propriété intellectuelle », on serait tenté de pencher en faveur de la qualification de « propriétaire » pour la personne concernée. D’ailleurs, la théorie comme quoi l’auteur est le « propriétaire » de son œuvre apparaît en filigrane de l’article L 111-1 alinéa 1 du Code de la propriété intellectuelle : « L’auteur d’une œuvre de l’esprit jouit sur cette œuvre, du seul fait de sa création, d’un droit de propriété incorporelle exclusif et opposable à tous[9] » En dépit du fait que l’acquisition de cette propriété ne s’est pas faite en échange d’une contrepartie financière ou d’un transfert de propriété car le point de départ de l’existence de ces données à caractère personnel est bien la naissance d’une personne physique ou morale, il n’en demeure pas moins un droit de regard sur leur gestion.
Transition :
Ce potentiel droit de propriété privée des données, y compris à caractère personnel, décrié par le Conseil du Numérique est bien en phase avec le droit des données à caractère personnel qui dispose que toute réutilisation des données à caractère personnel telle que la revente d’une base de données client inclut une nouvelle demande de consentement auprès de la personne concernée. Le risque aussi avec une qualification de « bien commun » est une perte des droits individuels précités et une diffusion non désirée avec le fameux mouvement d’« open data » croisé à celui d’ouverture des données publiques sous prétexte que ces données seraient comme des œuvres orphelines ou tombées dans le domaine public et qu’on pourrait les utiliser et réutiliser à sa guise. Pour rappel, le droit d’auteur considère que des œuvres tombent dans le domaine public : 70 ans après la mort de l’auteur. En s’inspirant de ceci, devrait-on rendre accessibles des données à caractère personnel et leur conférer le statut de données publiques librement consultables, 70 ans après la mort de la personne concernée ? Pour le moment, ce qu’on peut donner comme réponse-type n°1 : « Il n’y a pas ton nom dessus. »
II La duplication des données numériques au regard du droit pénal : « Ce n’est pas ma faute, je ne savais pas. »
Tout semble indiquer que la personne concernée est propriétaire de ses données. Nous allons donc identifier sur quel fondement l’atteinte à ce droit de propriété peut être consacrée, en s’appuyant, une nouvelle fois, sur le droit d’auteur (A/) et analyser les adaptations nécessaires sur le plan civil, pénal voire terminologique d’une telle propriété dans le monde numérique (B/).
A/ De l’atteinte au droit de reproduction en droit d’auteur vers une atteinte au droit de reproduction en droit de la protection des données à caractère personnel :
En droit d’auteur tout comme en droit des données à caractère personnel rien ne se fait sans l’aval de l’auteur ou de la personne concernée, l’auteur demeure le père de son œuvre et on doit lui demander l’autorisation d’utiliser son œuvre tel le représentant légal d’un enfant mineur. Le droit d’exploitation d’une œuvre comprend un droit quant à la représentation de cette œuvre ainsi que sa reproduction, selon l’article L 122-1 du Code de la propriété intellectuelle[10]. Ces droits font partie de la catégorie des droits dits « patrimoniaux » car ils se monnayent, comme le rappelle le titre du chapitre auquel appartient l’article précité[11]. Ces utilisations peuvent donc être encadrées via un contrat de licence ou de cession de droits d’auteur de nature patrimoniale.
Le droit de représentation se définit comme le droit sur la forme utilisée pour diffuser l’œuvre au grand public, à la lecture de l’article L 122-2 du Code de la propriété intellectuelle[12]. Or, sauf à vouloir faire éclater la vérité sous forme de scandale, le « vol des données » vise, en général, des données pour une subtilisation discrète de données confidentielles propres à une entreprise semblables à des secrets d’affaires. Le droit de représentation ne semble pas directement lié au « vol de données » alors que le droit de reproduction semble davantage répondre et s’apparenter à cette subtilisation. Le droit de reproduction, mentionné à l’article L 122-3 du Code susvisé, est évoqué en ces termes : « La reproduction consiste dans la fixation matérielle de l’œuvre par tous procédés qui permettent de la communiquer au public d’une manière indirecte[13] » Cette disposition met en avant une fixation matérielle de l’œuvre par tous procédés et la fonction informatique « copier-coller » de fichiers repose bien sur un procédé comme un autre mais n’implique pas de fixation matérielle sauf à utiliser un support physique de stockage comme un disque dur externe ou un clé USB. Partant de cette analyse, on peut considérer que le « vol de données » est bien une reproduction mais qui peut être matérielle tout comme immatérielle si les données sont copiées puis collées en ligne dans un espace de stockage virtuel ou envoyées par courriels sous forme de pièces jointes. Ce qu’on peut reprocher à cette définition, c’est de faire référence à un support matériel uniquement alors qu’avec l’ère numérique, il est plus judicieux de ne spécifier aucun support pour englober les supports virtuels.
On parle aussi de copie qui est autorisée selon certaines conditions : pour la copie privée, être réservé à un cercle restreint et pour la copie incluse dans un contrat de licence ou cession, les conditions de cette reproduction autorisée précisées dans le contrat. En droit d’auteur, le litige standard est l’utilisation, plus précisément, la reproduction de l’œuvre d’un auteur sans son accord qui consiste en une atteinte au droit de reproduction de l’auteur. Par transposition, on pourrait considérer que le « vol de données » est en réalité une reproduction non autorisée des données d’une personne physique ou morale.
B/ Du « vol » des données consacré à la duplication des données non autorisée :
L’article 544 du Code civil dispose que : « La propriété est le droit de jouir et de disposer des choses de la manière la plus absolue, pourvu qu’on en fasse pas un usage prohibé par les lois ou par les règlements[14] ». Le droit de propriété est composé de trois droits : le droit d’user de la chose (usus), le droit de récolter les fruits (fructus) et le droit de la détruire (abusus), par exemple. Cet article fait également référence à la notion vague de « choses » qui ne paraît pas limiter cette qualité à des choses ayant une réalité physique. La question qui se pose est de savoir si les trois composantes du droit de la propriété classique sont applicables aux données qui n’ont pas de réalité physique en dehors du support sur lequel elles sont stockées. L’usus semble s’apparenter au droit d’exploitation, vu précédemment, qui s’applique bien au cas des données. Le fructus est le droit de récupérer des royalties sur la commercialisation d’une œuvre, par exemple, ce qui sous-entend que les individus fournissant leurs données devraient être rémunérés pour cela, éventuellement. L’abusus est la possibilité de détruire son œuvre ou ses données, ce qui est potentiellement possible car un auteur peut refuser, par exemple, de divulguer son œuvre tout comme une personne concernée peut refuser de transmettre des données la concernant ou vouloir obtenir leur suppression, passé le délai nécessaire pour réaliser l’opération qui en a besoin. Le droit de propriété classique paraît s’appliquer aux données si, toutefois, toute référence à une représentation matérielle ou physique est gommée pour intégrer et ainsi consacrer un droit de propriété numérique.
Cet emprunt des notions de reproduction et copie, injecté dans le droit des données à caractère personnel, pourrait aboutir à un délit de duplication de données non autorisée. L’appellation hasardeuse de « vol de données » est une interprétation simpliste de l’article 323-3 du Code pénal[15] car ce dernier parle d’altération de données non autorisée (ajout, retrait, modification, suppression) et de duplication (copie) voire diffusion de données non autorisée (envoi). Dans un arrêt du 20 mai 2015, la Cour de cassation emploie le terme malheureux de « soustraction » qui caractérise bien un vol, là où les faits parlent de communication à des tiers[16]. Il faudrait se remémorer un jugement du tribunal correctionnel de Créteil du 23 avril 2013 qui avait souligné que le fait d’avoir téléchargé des documents et de les enregistrer sur plusieurs supports ne constituait pas une soustraction car les documents visés étaient toujours disponibles sur le serveur, après cette intervention[17]. Petite remarque : l’article 323-3 du Code pénal est placé dans le chapitre relatif aux diverses atteintes à des systèmes d’information[18] et non un second alinéa de l’article 311-1 ou un article 311-1 bis de celui traitant du vol comme : « la soustraction de la chose d’autrui[19] ». Et pour cause, il s’agit avant tout d’un acte non autorisé, souvent le fruit d’un piratage de base de données et c’est bien ce que compte incriminer ce chapitre. Il est à noter que des données qui seraient extraites, selon la fonction informatique « couper-coller » et non « copier-coller », caractériseraient bien un « vol de données numériques » car la personne détenant initialement les données ne les a plus à la suite de cette opération. A la lumière de la suggestion ci-dessus, ce cas de figure devrait figurer comme second alinéa de l’article 311-1 ou un article 311-1 bis du Code pénal.
Conclusion :
L’usage de « vol de données » devrait être cantonné aux unes des journaux pour relater des faits divers, là, où le juriste devrait parler de duplication de données non autorisée dans le cas où les données sont reproduites. La réponse-type n°2 pourrait donc être la suivante : « Qui copie-colle un fichier sans autorisation, duplique des données ; qui coupe-colle un fichier sans autorisation, vole des données. » D’un côté, il s’agit, sur le plan pénal, d’une atteinte à un système d’information ; de l’autre, d’un vol numérique.
Ressources :
[1] Section 2 « Droits des personnes à l’égard des traitements de données à caractère personnel » du chapitre V « Obligations incombant au responsable de traitement et des droits des personnes de la loi n°78-17 relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978, en ligne : Legifrance ˂http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460˃
(date d’accès : 29 novembre 2015).
[2] article 39 de la loi n°78-17 relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978, en ligne : Legifrance ˂http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460˃ (date d’accès : 29 novembre 2015).
[3] http://www.cnil.fr/vos-droits/exercer-vos-droits/le-droit-dacces/ 29/11/2015
[4] article 40 de la loi n°78-17 relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978, en ligne : Legifrance ˂http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460˃ (date d’accès : 29 novembre 2015).
[5] article 38 de la loi n°78-17 relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978, en ligne : Legifrance ˂http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460˃ (date d’accès : 29 novembre 2015).
[6] article L 111-4 alinéa 2 du Code de la propriété intellectuelle, en ligne : Legifrance ˂http://www.legifrance.gouv.fr/affichCode.do?idSectionTA=LEGISCTA000006161633&cidTexte=LEGITEXT000006069414&dateTexte=20151129˃ (date d’accès : 29 novembre 2015).
[7] articles L 111-1 alinéa 1 et L 111-2 du Code de la propriété intellectuelle, en ligne : Legifrance ˂http://www.legifrance.gouv.fr/affichCode.do?idSectionTA=LEGISCTA000006161633&cidTexte=LEGITEXT000006069414&dateTexte=20151129˃ (date d’accès : 29 novembre 2015).
[8] article L 113-1 alinéa 2 du Code de la propriété intellectuelle, en ligne : Legifrance ˂http://www.legifrance.gouv.fr/affichCode.do?idSectionTA=LEGISCTA000006161635&cidTexte=LEGITEXT000006069414&dateTexte=20151129˃ (date d’accès : 29 novembre 2015).
[9] articles L 111-1 alinéa 1 du Code de la propriété intellectuelle, en ligne : Legifrance ˂http://www.legifrance.gouv.fr/affichCode.do?idSectionTA=LEGISCTA000006161633&cidTexte=LEGITEXT000006069414&dateTexte=20151129˃ (date d’accès : 29 novembre 2015).
[10] article L 122-1 du Code de la propriété intellectuelle, en ligne : Legifrance ˂http://www.legifrance.gouv.fr/affichCode.do?idSectionTA=LEGISCTA000006161637&cidTexte=LEGITEXT000006069414&dateTexte=20151129˃ (date d’accès : 29 novembre 2015).
[11] Chapitre II « Droit patrimoniaux » du Titre II « Droit des auteurs » du Livre 1er « Droit d’auteur » du Code de la propriété intellectuelle, en ligne : Legifrance ˂http://www.legifrance.gouv.fr/affichCode.do?idSectionTA=LEGISCTA000006161637&cidTexte=LEGITEXT000006069414&dateTexte=20151129˃ (date d’accès : 29 novembre 2015).
[12] article L 122-2 du Code de la propriété intellectuelle, en ligne : Legifrance ˂http://www.legifrance.gouv.fr/affichCode.do?idSectionTA=LEGISCTA000006161637&cidTexte=LEGITEXT000006069414&dateTexte=20151129˃ (date d’accès : 29 novembre 2015).
[13] article L 122-3 du Code de la propriété intellectuelle, en ligne : Legifrance ˂http://www.legifrance.gouv.fr/affichCode.do?idSectionTA=LEGISCTA000006161637&cidTexte=LEGITEXT000006069414&dateTexte=20151129˃ (date d’accès : 29 novembre 2015).
[14] article 544 du Code civil, en ligne : Legifrance ˂http://www.legifrance.gouv.fr/affichCode.do;jsessionid=2B312E006FC1409789CC5C65C8DC70C8.tpdila24v_3?idSectionTA=LEGISCTA000006117904&cidTexte=LEGITEXT000006070721&dateTexte=20151129˃ (date d’accès : 29 novembre 2015).
[15] article 323-3 du Code pénal, en ligne : Legifrance ˂http://www.legifrance.gouv.fr/affichCode.do;jsessionid=921211BDF765EB314FEA43218FCDF972.tpdila24v_3?idSectionTA=LEGISCTA000006149839&cidTexte=LEGITEXT000006070719&dateTexte=20151129˃ (date d’accès : 29 novembre 2015).
[16] arrêt de la chambre criminelle Cour d’Appel de Paris du 20/05/2015 (n° de pourvoi : 14-81336), en ligne : Legifrance ˂http://www.legifrance.gouv.fr/affichJuriJudi.do?oldAction=rechJuriJudi&idTexte=JURITEXT000030635061&fastReqId=595873805&fastPos=1˃ (date d’accès : 29 novembre 2015).
[17] arrêt « Ministère Public c. Olivier L » du Tribunal correctionnel de Créteil du 23/11/2013, en ligne : Legalis.net <http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=3739˃ (date d’accès : 29 novembre 2015).
[18] Chapitre 3 « Des atteintes au système de traitement de données automatisé » du Titre II « Des autres atteintes aux biens » du Livre 3 « Des crimes et délits contre les biens » : Legifrance ˂http://www.legifrance.gouv.fr/affichCode.do?idSectionTA=LEGISCTA000006165324&cidTexte=LEGITEXT000006070719&dateTexte=20151129˃ (date d’accès : 29 novembre 2015).
[19] article 311-1 du Code pénal, en ligne : Legifrance ˂http://www.legifrance.gouv.fr/affichCode.do?idSectionTA=LEGISCTA000006165324&cidTexte=LEGITEXT000006070719&dateTexte=20151129˃ (date d’accès : 29 novembre 2015).