retour

Protection des données non personnelles, données publiques, données de santé et bases de données : retour sur l’étude réalisée par l’AIPPI

Article IT et données personnelles Droit de la propriété intellectuelle, média et art Droit de la concurrence, consommation et distribution | 03/11/20 | 11 min. | Charles Bouffier Antoine Boullet

Propriété Intellectuelle

Face à l’explosion du nombre de données créées, collectées, échangées ou encore utilisées, l'AIPPI [1] – première association internationale dédiée au développement et à l'amélioration des lois pour la protection de la propriété intellectuelle – a réalisé une vaste étude sur la protection des données.

1. Objet de l’étude : la protection des données, état des lieux et perspectives


L’AIPPI a invité les groupes nationaux[2] à présenter un état des lieux des dispositions applicables pour la protection des données dans leur pays et à réfléchir à l’opportunité d’une harmonisation de la protection au niveau international.

La protection par le droit des données à caractère personnel[3] était spécifiquement exclue du périmètre de l’étude.

En plus de la protection des données « simples » (par opposition aux données à caractère personnel) en général, ont été particulièrement étudiées les questions de la protection des bases de données, des données publiques[4] et des données de santé.

Les rapports nationaux sont désormais accessibles[5] ainsi qu’une synthèse[6]. Les auteurs du présent article ont pris part à l’étude réalisée par le groupe français.

2. Synthèse de l’étude globale


En résumé, pour la majorité des groupes nationaux :

- une harmonisation au niveau international du régime de protection des données d'une part et du régime de protection des bases de données d'autre part semble souhaitable ;
- une protection des données « simples » par le secret des affaires ou la concurrence déloyale est préférable à une protection par un nouveau droit de propriété intellectuelle spécifique ;
- en revanche, s’agissant en particulier des données publiques et des données de santé, les groupes se prononcent largement sur le besoin d’établir des protections spécifiques ;
- enfin, les bases de données (qui ont fait l’objet d’une étude antérieure spécifique de l’AIPPI[7]) devraient continuer à faire l’objet d’un droit de propriété intellectuelle sui generis, la majorité des rapports européens soulignant néanmoins que le droit sui generis du producteur de base de données mériterait d’être clarifié, en particulier s’agissant de l'étendue de la protection.
 
3. Synthèse du rapport du groupe français
 
3.1 Le rapport – très complet – du groupe français[8], rappelle d’abord qu’en France, les données elles-mêmes ne font pas l’objet  d’un droit de propriété mais peuvent faire l’objet d’un droit de propriété intellectuelle dans des cas spécifiques (par exemple par le droit d’auteur si elles englobent une œuvre de l’esprit, et/ou par le droit sui generis du producteur de base de données si elles constituent une partie qualitativement substantielle d’une base de données). Pour autant, d’autres régimes permettent de protéger les données, sous-réserve d’en remplir les conditions, comme :
 
- Le secret des affaires,
- La concurrence déloyale,
- Le droit pénal (via le vol, l’abus de confiance, l’extorsion, le chantage, les différentes atteintes aux systèmes de traitement automatisés des données, l’atteinte au secret de fabrique)
- Ou encore le droit commun des contrats.
 

Pour le groupe français, cet « arsenal » de régimes de protection apparaît suffisant, même si subsiste le risque qu’un opérateur économique se réserve la maîtrise de certaines données essentielles au préjudice de la concurrence (notamment via le régime du secret des affaires ou par des stipulations contractuelles).

Dès lors, l’amélioration envisagée serait de prévoir des dérogations d’accès aux données et à leur traitement aux fins d’intérêts publics (par exemple : santé publique, recherche scientifique ou historique, sécurité).

3.2. Sur les bases de données, le groupe français rappelle que leur structure peut faire l’objet d’une protection par le droit d’auteur (sous réserve d’originalité) et que leur contenu est protégé par le droit sui generis du producteur, à condition d’en remplir les conditions.
 
Les autres régimes de protection précités (secret des affaires, concurrence déloyale, droit pénal, droit des contrats) peuvent également s’appliquer, complétés par des réglementations spécifiques selon le cas, comme par exemple la réglementation sur les jeux d’argent et de hasard en ligne.

Pour le groupe français cependant, le droit sui generis du producteur de bases de données contient des limites intrinsèques qui le rendent inadapté à la protection des données « simples ».
 
On rappellera que l’article 7 de la Directive 96/9/CE concernant la protection sui generis des bases de données[9], prévoit que le fabricant (ou « producteur » en droit français) d’une base de données dispose du droit « d’interdire l’extraction et/ou la réutilisation de la totalité ou d’une partie substantielle, évaluée de façon qualitative ou quantitative, du contenu de celle-ci, lorsque l’obtention, la vérification ou la présentation de ce contenu attestent un investissement substantiel du point de vue qualitatif ou quantitatif ».

Or en 2004, la Cour de justice de l’Union Européenne (CJUE) a considéré que la notion d’ « investissement lié à l’obtention du contenu d’une base de données », au sens de cet article, « doit s’entendre comme désignant les moyens consacrés à la recherche d’éléments existants et à leur rassemblement dans ladite base. Elle ne comprend pas les moyens mis en œuvre pour la création des éléments constitutifs du contenu d’une base de données »[10].

Ce faisant, la CJUE a resserré le champ d’application de cette protection en le limitant aux seules données préexistantes « obtenues » à l’exclusion des données « créées ». Une telle approche a une incidence considérable sur l'économie de la donnée en évinçant de la protection par le droit sui generis les bases de données dites « spin-off », c’est-à-dire celles qui sont le seul résultat d'une activité principale comme par exemple les données générées par des capteurs, les données produites par des machines, par des dispositifs de l'Internet des objets, les mégadonnées ou les données résultants de l'intelligence artificielle[11]. Le droit sui generis ne couvre ainsi que les bases de données qui contiennent des données provenant de sources extérieures[12].

Le groupe français suggère donc que le droit sui generis prenne également en compte les investissements substantiels consacrés à la production des données (et non à la seule collecte et vérification de données du régime existant).

3.3. Enfin, le groupe français dresse l’état des lieux détaillé de deux régimes spécifiques : d’une part celui des documents publics et des données publiques qu’ils contiennent, et d’autre part celui des données de santé dans les différentes acceptions que l’expression « données de santé » peut prendre en droit français.

Le groupe français rappelle les conditions spécifiques d’accessibilité de ces types de données, en précisant qu’une clarification des dérogations à l’accès et au traitement des données de santé serait souhaitable.
 

En conclusion, compte tenu de la très large variété des régimes de protection applicables aux données non personnelles et aux bases de données, il convient, lorsqu’une question de protection se pose, de s’adresser au cas par cas à des spécialistes.

Le département Technologies Media Propriété Intellectuelle d’August Debouzy se tient pour cela à votre disposition.

 

[1] Association Internationale pour la Protection de la Propriété Intellectuelle

[2] 31 groupes nationaux ont participé. Il s’agit des pays suivants : Allemagne, Argentine, Australie, Azerbaïdjan, Belgique, Brésil, Bulgarie, Canada, Chili, Chine, Croatie, Equateur, Espagne, Etats-Unis d’Amérique, Finlande, France, Hongrie, Inde, Indonésie, Italie, Japon, Malaisie, Mexique, Paraguay, Philippines, Pologne, Suisse, Pays-Bas, Royaume-Uni, Taïwan, Turquie.

[3] Une donnée personnelle étant définie comme « toute information se rapportant à une personne physique identifiée ou identifiable ». cf. Article 4 (1) du RGPD : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

[4] On parle de « données publiques » pour désigner, de manière générale, les informations produites ou collectées par la puissance publique (Etat, collectivité territoriale, autorité administrative…) dans le cadre de son activité de service public

[5] pour accéder aux rapports nationaux, saisissez les mots clés "IP rights in data" dans le moteur de recherche de l'AIPPI sur https://aippi.soutron.net/Portal/Default/en-GB/Search/SimpleSearch

[6] Lien vers la synthèse, très instructive, préparée par les rapporteurs : https://aippi.soutron.net/Portal/DownloadImageFile.ashx?objectId=8481

[7] Voir les rapports nationaux, dont celui du groupe français et les recommandations de l’AIPPI, accessibles depuis le lien suivant : https://www.aippi.fr/fr/travaux-scientifiques/questions-etudiees/theme-6-congres-de-geneve-2004

[10] Voir les arrêts de la CJUE du 9 nov. 2004 dans les affaires : C-46/02, Fixtures Marketing Ltd c. Oy Veikkaus Ab (http://curia.europa.eu/juris/liste.jsf?language=fr&num=C-46/02) ; C-338/02, Fixtures Marketing Ltd c. Svenska Spel Ab (http://curia.europa.eu/juris/liste.jsf?language=fr&num=C-338/02) ; C-203/02, British Horseracing Board Ltd c. William Hill (http://curia.europa.eu/juris/liste.jsf?num=C-203/02) ; C-444/02, Fixtures Marketing Ltd c. OPAP (http://curia.europa.eu/juris/liste.jsf?language=fr&num=C-444/02).

[11] Pour une application de cette solution par les juridictions françaises, cf. Cass. Civ. 1, 5 mars 2009, pourvois 07-19.734 et 07-19.735 ; CA Paris, 20 décembre 2013, RG n°12/20260.

[12] Voir Evaluation of Directive 96/9/EC on the legal protection of databases, SWD (2018) 147 final, p. 15 et 24 ; voir également Study in support of the evaluation of Directive 96/9/EC on the legal protection of databases.

Explorez notre collection de documents PDF et enrichissez vos connaissances dès maintenant !
[[ typeof errors.company === 'string' ? errors.company : errors.company[0] ]]
[[ typeof errors.email === 'string' ? errors.email : errors.email[0] ]]
L'email a été ajouté correctement