Les objets connectés n’échapperont pas au droit européen sur la protection des données personnelles

L’Internet des objets – prolongement du cyberespace à des objets physiques connectés – doit assurer la protection des données personnelles et faire preuve de transparence vis-à-vis des internautes auxquels le consentement doit être demandé. Sinon, les responsables risquent gros.

Par Christophe Clarenc et Merav Griguer, cabinet Dunaud, Clarenc Combles & Associés

La « French Tech » était particulièrement représentée au
CES (Consumer Electronics Show) de Las Vegas en janvier dernier, ce salon international dédié au marché des innovations technologiques grand public et en particulier aux objets connectés. Les objets connectés sont le fruit de l’extension d’Internet aux choses du monde physique via des systèmes d’identification électronique normalisés et sans fil qui permettent de collecter, stocker, traiter, communiquer, transférer et partager des données (1). C’est l’Internet des objets, ou IoT (Internet of Things).

Objets, Big Data et régulation
Les objets connectés contribuent de manière significative à la transformation économique et sociétale attachée à la révolution numérique en cours, notamment
pour ce qui concerne les secteurs de la santé et du bien-être (le « feel good »). Le phénomène est à un stade embryonnaire. L’Arcep a mené l’an dernier une consultation publique (2) sur l’utilisation des bandes de fréquences dites « libres », en particulier dans le contexte du développement de l’Internet des objets. Les résultats confirment notamment que « les bandes libres constituent un levier du développement des
usages innovants » et seront prises en compte dans le cadre de travaux internationaux d’harmonisation.
Plus les objets intelligents se développent, plus la question de la régulation de cette nouvelle source de « Big Data » se pose. En effet, les objets connectés ne peuvent
être mis sur le marché, distribués, commercialisés, hébergés ou utilisés sans s’assurer du respect des règles qui leurs sont applicables, plus particulièrement au titre de la réglementation sur la protection des données personnelles, sous peine de sanctions civiles, administratives ou pénales. La Commission nationale de l’informatique et des libertés (Cnil) peut ainsi prononcer des sanctions administratives allant de l’avertissement (souvent publié) à l’amende de 300.000 euros. Le projet de règlement européen, qui devrait entrer en vigueur courant 2015, prévoit que l’amende peut aller jusqu’à 5 % du chiffre d’affaires annuel mondial du groupe.
Le groupe « G29 » des « Cnil européennes » (3) a adopté les 16 et 17 septembre 2014 un avis sur l’Internet des objets afin de préciser le cadre règlementaire européen applicable. Cet avis affirme que la directive européenne « Protection des données »
du 24 octobre 1995 (4) est applicable à l’IoT. Comme l’a précisé en octobre dernier la Déclaration sur l’Internet des objets adoptée lors de la 36e Conférence internationale des Commissaires à la protection des données et de la vie privée, les objets connectés collectent une masse de données sur leurs utilisateurs qualifiables de « données à caractère personnel » (5). En effet, les données ainsi captées et enregistrées par ces objets intelligents permettent l’identification directe ou indirecte des individus.
L’Internet des objets ne peut échapper à l’application du droit européen sur la protection des données personnelles. En effet, l’article 4 de la directive de 1995 prévoit que la loi nationale d’un Etat membre transposant la directive européenne s’applique même au responsable du traitement de données à caractère personnel. Ce responsable, sans être établi sur le territoire d’un Etat membre, recourt à des moyens, automatisés ou non, situés sur le territoire de cet Etat membre (sauf si ces moyens ne sont utilisés
qu’à des fins de transit sur ce territoire). Ainsi, le traitement de données à caractère personnel inhérent à l’objet connecté commercialisé en France sera soumis au respect de la loi française « Informatique et Libertés » (6).

Champ d’application large
Plusieurs acteurs peuvent intervenir dans le cadre des objets connectés : le fabricant de l’objet intelligent, l’éditeur de la plate-forme qui agrège les données, l’hébergeur des données collectées et traitées, le développeur de l’application mobile, le distributeur, les réseaux sociaux interconnectés sur lesquels les utilisateurs partagent leurs données, les tiers destinataires des données, les brokers de données, etc.

Le G29 recommande de bien définir le rôle de chacun des acteurs impliqués, y compris les sous-traitants, afin de déterminer leurs obligations et leur responsabilité au regard de la réglementation applicable. Ces points doivent être prévus dans les contrats liant les différents acteurs entre eux.
Il convient notamment d’identifier lesquels de ces acteurs endossent le statut de responsable de traitement. Plus particulièrement, il est important de prévoir en amont qui est responsable en cas de défaillance du dispositif, en cas de perte ou altération des données, ou encore en cas de cyberattaques telles que l’accès frauduleux au système, l’usurpation d’identité numérique, la divulgation des données ou autres atteintes à la confidentialité, etc.

Rôle contractualisé des acteurs
En effet, selon l’article 34 de la loi « Informatique et Libertés », « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Les données collectées et traitées via les objets connectés étant souvent hébergées par des solutions de type « cloud computing »,
les contrats avec ces prestataires doivent également prévoir un certain nombre de garanties, conformément aux recommandations de la Cnil en la matière.
Par ailleurs, la définition des rôles, statuts et responsabilité de chacun des acteurs impliqués permettra de déterminer à qui incombe l’obligation de déclarer à la Cnil
le traitement des données à caractère personnel relatif à l’objet connecté.

Il ressort des dispositions de la directive européenne « Protection des données »
et de la loi « Informatique et Libertés » que les utilisateurs d’objets intelligents
doivent consentir de manière expresse au traitement de leurs données à caractère personnel (7).
Toutefois, le G29 regrette le manque de transparence des responsables sur les caractéristiques des traitements de données à caractère personnel liés aux objets connectés. Or, le consentement n’est considéré par les « Cnil » européennes comme valable que s’il est exprès, libre, spécifique et éclairé. Pour le G29, le consentement doit pouvoir être retiré de telle sorte que l’utilisateur a le droit de s’opposer ultérieurement au traitement de ses données.
Les conditions d’utilisation des objets intelligents (accessibilité, diffusion et divulgation des données ainsi captées et enregistrées) doivent donc être particulièrement soignées, ainsi que les modalités d’acceptation d’acceptation et de mise à jour de celles-ci. Ces mentions d’information doivent être rédigées de manière claire et compréhensible précise le G29 dans son avis. De manière générale, le G29 considère que l’ensemble des acteurs impliqués doit respecter les concepts de « privacy by design » et « privacy by default », lesquels sont à considérer comme centraux lors
de la conception d’objets connectés. Ainsi, les utilisateurs doivent pouvoir garder le contrôle et la maîtrise de leurs données.
La loi « Informatique et Libertés » dispose en outre que les données doivent être
« adéquates, pertinentes et non excessives au regard des finalités pour lesquelles
elles sont collectées et de leurs traitements ultérieurs » (8). Par conséquent, seules
les données pertinentes et strictement nécessaires peuvent être collectées et traitées. Par ailleurs, cette même loi exige que les données à caractère personnel collectées
et traitées soient « exactes, complètes et, si nécessaire, mises à jour » (9). Egalement, « les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ».
Lorsque l’objet connecté collecte et traite des données « sensibles » (10), le cadre règlementaire spécifique aux données sensibles doit être respecté. Parmi les nombreuses mesures de sécurité recommandées, figurent le cryptage des données sensibles et, dans la mesure du possible, l’anonymisation irréversible de celles-ci. S’agissant des données de santé à caractère personnel qui seraient collectées et traitées par l’objet connecté, la réglementation relative aux dispositifs médicaux est susceptible de s’appliquer à ces objets connectés.

Hébergeur agréé de données de santé
Le Code de la santé publique exige également que ces données soient hébergées par un hébergeur de données de santé agréé (11). Toutefois, il n’existe pas de définition légale claire de la notion de « données de santé à caractère personnel » (12).
Par conséquent, se pose la question de l’obligation de recourir à un prestataire d’hébergement agréé de données de santé pour les objets connectés collectant des données liées au bien être ou mieux être de l’utilisateur (humeur, déshydratation de la peau, etc.). De nombreuses questions demeurent donc encore en suspens. Compte tenu de l’ampleur du phénomène et des enjeux y afférent, la multiplication des contrôles de la Cnil en la matière est à prévoir et à anticiper. @

Le contrat d’édition numérique français résistera-t-il à l’épreuve du droit européen ?

En France, tous les contrats signés depuis le 1er décembre 2014 doivent se conformer aux nouvelles règles entourant le contrat d’édition étendu au numérique. Les contrats antérieurs seront amendés. Mais avec le débat autour
de la réforme du droit d’auteur, l’Europe pourrait avoir son mot à dire.

Par Rémy Fekete (photo), avocat associé, et Marta Lahuerta Escolano, avocate, Gide Loyrette Nouel

L’ordonnance du 12 novembre 2014 modifiant les dispositions
du Code de la propriété intellectuelle (CPI) relatives au contrat d’édition (1) entend clarifier le cadre législatif qui entoure l’édition numérique et l’adapter à un marché de l’exploitation numérique des livres qui peine encore aujourd’hui à se développer en France. Elle est avant tout le résultat d’une demande des auteurs soucieux de pouvoir isoler les droits liés à la diffusion numérique, dans un contexte où la lecture sur supports numériques gagne
de fait de plus en plus de terrain sans une véritable codification. Ainsi, l’ordonnance codifie l’accord-cadre du 21 mars 2013 intervenu entre le Syndicat national de l’édition (SNE) et le Conseil permanent des écrivains (CPE) (2).

Encadrement autour de trois axes
A l’ère du numérique, comment faut-il interpréter des textes qui parlent de « fabriquer ou de faire fabriquer en nombre des exemplaires » ? L’ordonnance élargie la définition légale du contrat d’édition pour inclure expressément la forme numérique : « Le contrat d’édition est le contrat par lequel l’auteur d’une oeuvre de l’esprit ou ses ayants droit cèdent à des conditions déterminées à une personne appelée éditeur le droit de fabriquer ou de faire fabriquer en nombre des exemplaires de l’oeuvre, ou de la réaliser ou de la faire réaliser sous forme numérique, à charge pour elle d’en assurer la publication et la diffusion » (3). Cet encadrement du contrat d’édition numérique s’articule en particulier autour de trois axes : la forme du contrat d’édition, les modalités d’exploitation de l’oeuvre et les modalités de rémunération des auteurs.
L’ordonnance instaure une autonomie formelle de la cession numérique : celle-ci devra se voir attribuer une partie distincte au sein du contrat. Cette autonomie de forme reflète l’autonomie de fond : la nullité ou la résiliation de la cession des droits d’exploitation sous une forme numérique n’aura pas d’effet sur l’exploitation de l’oeuvre sous forme imprimée (et inversement) et ne remettra pas en cause la validité du reste du contrat.
Du point de vue de l’exploitation de l’oeuvre, l’ordonnance impose à l’éditeur notamment l’obligation d’exploiter l’oeuvre dans sa totalité ou celle de la rendre disponible sur des formats usuels du marché et non propriétaires. Plus encore, à défaut d’exploitation dans les deux ans et trois mois suivant la signature du contrat, la reprise des droits d’exploitation numérique s’opère de plein droit, sur simple notification de l’auteur à l’éditeur. L’éditeur est sujet à une obligation d’exploitation permanente et suivie qui, dans le contrat d’édition numérique, englobe, entre autre, l’obligation d’exploiter l’oeuvre dans sa totalité, de la présenter au sein du catalogue numérique de l’éditeur, de la rendre accessible dans un format technique exploitable selon les formats usuels du marché (4) et de le présenter à la vente sur un ou plusieurs sites.
Une précision novatrice sur« l’obligation d’exploitation permanente et suivie » (5) est apportée : si l’éditeur manque à ses obligations d’exploitation sur l’un des deux supports, l’auteur ne pourra exciper de sa capacité de résiliation de la cession que sur les droits non exploités. En pratique, si un éditeur achète l’intégralité des droits d’un ouvrage et se limite à une exploitation du support papier, l’auteur cessionnaire pourrait obtenir la résiliation de la cession des droits numériques. Une fois l’auteur de nouveau titulaire de ses droits d’exploitation, il serait alors libre de les céder à un autre éditeur.

Obligation de publier dans les délais
L’éditeur d’une oeuvre sur support numérique est dans l’obligation de la publier dans les quinze mois de la remise du manuscrit ou dans les trois ans de la signature du contrat. Un manquement à cette obligation de publication permettra à l’auteur, après mise en demeure restée sans effet, de reprendre les droits cédés et non exploités. Une reprise de ces mêmes droits pourra avoir lieu en cas de défaut d’exploitation dans un délai de deux ans et trois mois à compter de la remise du manuscrit ou de quatre ans à compter de la signature du contrat. Dans cette dernière hypothèse, une simple notification de l’auteur à l’éditeur suffit. Enfin, l’ordonnance prévoit, entre autres, que l’éditeur opère une reddition annuelle des comptes à l’auteur, en y distinguant les recettes générées par l’exploitation numérique : cette mesure entend garantir aux auteurs une rémunération « juste et équitable » (6).

Rémunérer les auteurs, mais pas au forfait
L’assiette de rémunération doit prendre en compte les recettes directes (la vente à proprement parler) et indirectes (par exemple les recettes engendrées par la publicité). Par ailleurs, la rémunération au forfait pour la cession de l’ensemble des droits liés à une exploitation numérique est interdite. Cependant, elle est autorisée pour des actes précis d’exploitation. Tout acte supplémentaire fera l’objet d’une nouvelle négociation (7).
Les discussions autour de l’accord-cadre n’ont en revanche pas tranché le débat sur le niveau de la rémunération, qui fera l’objet d’une négociation contractuelle. En pratique, le taux de rémunération pour l’exploitation numérique est aligné sur celui de l’exploitation papier bien que les éditeurs ne supportent ni frais d’impression ni de librairie (8). Lors de cette négociation, les parties prendront en considération la nouvelle répartition des recettes tirées de la diffusion numérique qui, de plus en plus, profite aux plateformes de distribution. En pratique, pour établir la reddition annuelle des comptes qui doit inclure les revenus issus de la vente à l’unité et de chacun des autres modes d’exploitation du livre numérique, l’éditeur sera amené à collaborer avec les plateformes de diffusion. En cas d’exploitation papier et numérique, le détail est donné dans deux parties distinctes. L’éditeur manquant à cette obligation de reddition pourrait, dans certaines hypothèses, être sanctionné par une résiliation émanant de l’auteur. En France, tous les contrats signés à partir du 1er décembre 2014 doivent se conformer
à ces règles, de même que les contrats antérieurs devront, quant à eux, être amendés (9). Mais quelle est la position du contrat d’édition numérique français dans le contexte européen ? La Commission européenne présidée par Jean-Claude Juncker est à la tête de l’Union européenne depuis le 1er novembre 2014. Le développement du marché unique du numérique est l’une de ses priorités mais ce projet n’est pas acquis pour autant.
En effet, au niveau européen comme au niveau des Etats membres, des opinions diverses se font entendre. Cet empressement à instaurer le marché unique du numérique se reflète dans la nouvelle organisation de la Commission européenne : jusqu’à présent, les problématiques liées au droit d’auteur relevaient de la responsabilité du commissaire au Marché intérieur, lesquelles sont désormais sous
la responsabilité du commissaire au Marché numérique unique. Andrus Ansip, vice-président en charge du dossier, veut supprimer au plus vite les barrières injustifiées
à l’établissement de ce marché. Il approuve ainsi les objectifs ambitieux affichés par Jean-Claude Juncker qui parlait d’imposer des réformes ambitieuses lors des six premiers mois de son mandat. Pour lui, ces réformes passent par la suppression des barrières nationales et en particulier par la suppression des différences en matière de réglementation du droit d’auteur (10).
Mais une autre tendance est défendue par le commissaire à l’Economie numérique, Günther Oettinger, qui, avant d’émettre des propositions, souhaite prendre le temps de consulter les acteurs du marché. Il estime qu’une réflexion d’un an ou deux permettrait d’aboutir à une réforme équilibrée. Cette approche considère que le droit d’auteur doit prendre en considération en priorité la négociation contractuelle et démontrer sa capacité d’adaptation aux évolutions de l’ère numérique.
Les inquiétudes ressenties face au risque de réforme hâtive sont particulièrement présentes chez les professionnels européens du livre. Dans une déclaration du 9 octobre 2014, ces professionnels issus de quatorze pays européens rappellent que tous les acteurs du livre cherchent à trouver des nouveaux modèles qui permettent
de maintenir et diffuser la diversité culturelle dans le domaine du livre tout en défendant le droit d’auteur (11). Le contrat d’édition numérique français fait figure de premier acte au sein du débat qui se joue désormais sur la scène européenne. L’incertitude existe encore sur l’approche qui l’emportera au sein des instances communautaires. Soit celles ci entérinent la préoccupation française de préserver la défense du droit d’auteur et la France pourra apparaître comme précurseur voire comme un modèle, soit un modèle plus consumériste est retenu et les fondements juridiques de l’ordonnance française en seront d’autant affaiblis.

La technologie plus rapide que le droit
Reste que l’on peut surtout s’interroger sur la différence des temps : entre le temps court de l’émergence et de la diffusion des nouvelles applications digitales et le temps long des adaptations législatives, on constate une nouvelle fois l’incapacité du modèle démocratique habituel à ajuster les principes de droit au rythme des évolutions technologiques.
D’années de négociations et de discussions juridiques, il ne ressort pour l’instant qu’une adaptation à la marge du CPI (12), et qui ne devrait guère bouleverser les libraires indépendants dont la survie, pourtant essentielle aux éditeurs comme aux auteurs, reste la principale menacée de l’essor du livre numérique. @