Dans un arrêt du 23 octobre 2024, la première chambre civile de la Cour de cassation s’est prononcée sur l’application ou non de la règle de l’épuisement des droits de propriété intellectuelle aux jeux vidéo distribués uniquement sous forme dématérialisée.

 

Contexte : le combat d’une association de consommateurs contre les conditions d’utilisation de la plateforme Steam

 

Une société américaine propose, via la plateforme Steam, un service de distribution de contenus numériques, dont des jeux vidéo téléchargeables sur les ordinateurs des utilisateurs. Avant tout téléchargement, ces derniers doivent accepter un « Accord de souscription Steam » prévoyant notamment l’interdiction de la revente des contenus et le transfert de comptes Steam.

Une association de consommateurs (UFC – Que choisir) a formé une action en justice contre la société américaine (et sa filiale luxembourgeoise), considérant que cette clause devait être considérée comme abusive et lui reprochait de caractériser une restriction à l’épuisement des droits de propriété intellectuelle sur le contenu.

Le Tribunal judiciaire de Paris, en 2019, avait considéré qu’un certain nombre de clauses de ce contrat devaient être considérées comme abusives et/ou illicites, et donc être réputées non-écrites. En appel, la Cour d’appel de Paris avait considéré, en 2022, que les jeux vidéo n’étant pas de simples logiciels, le régime à appliquer n’était pas celui spécifique aux logiciels mais le régime général du droit d’auteur. Elle avait en conséquence rejeté la demande de question préjudicielle à la CJUE de l’association de consommateurs et tranché directement la question.

Cette dernière a donc formé un pourvoi en cassation.

 

Solution : pas d’épuisement du droit de distribution sur un jeu vidéo sans support physique

 

L’inapplicabilité du régime spécifique des logiciels aux jeux vidéo

 

Pour mémoire, dès lors que la première vente d’un ou des exemplaires matériels d’une œuvre a été autorisée par l’auteur ou ses ayants droit sur le territoire d’un Etat membre de la Communauté européenne ou d’un autre Etat partie à l’accord sur l’EEE, la revente des exemplaires ne peut plus être interdite sur ces territoires.

Toutefois, l’épuisement des droits diffère selon la nature de l’objet en question :

• Pour une œuvre logicielle, il existe un épuisement dès lors que le titulaire de droits a autorisé, même gratuitement, le téléchargement d’une copie dématérialisée du logiciel : il ne peut alors plus empêcher la circulation de cette copie.
• Pour toute autre œuvre, la jurisprudence de l’Union Européenne a déjà considéré (à propos des livres numériques) que l’épuisement ne s’applique pas aux œuvres mises sur le marché de manière dématérialisée : une copie dématérialisée ne peut alors pas être revendue sans l’autorisation du titulaire.

La Cour de cassation a rejeté le pourvoi de l’association de consommateurs.

En effet, les jeux vidéo ne sont, selon elle, pas uniquement des logiciels mais constituent un « matériel complexe » comprenant non seulement un programme d’ordinateur mais également des éléments graphiques et sonores qui ont « une valeur créatrice propre qui ne saurait être réduite au simple encodage ». Ainsi le régime spécial issu de la directive 2009/24 applicable aux seuls logiciels est ici sans effet.

 

L’application du régime général du droit d’auteur aux jeux vidéo

 

Selon la Cour de cassation, le jeu vidéo n’étant pas uniquement un logiciel à proprement parler et le régime issu de la directive 2009/24/CE étant une loi spéciale, c’est le régime général issu de la directive 2001/29 qui s’applique, d’autant que « à la différence d’un programme d’ordinateur destiné à être utilisé jusqu’à son obsolescence, le jeu vidéo se retrouve rapidement sur le marché une fois la partie terminée et peut, contrairement au logiciel, être encore utilisé par de nouveaux joueurs plusieurs années après sa création ».

La règle de l’épuisement ne s’appliquant pas aux œuvre mises sur le marché de manière dématérialisée, elle ne concerne donc pas les jeux vidéo dématérialisés. Ainsi, en l’absence de doute raisonnable quant à l’interprétation du droit de l’Union européenne, il n’y avait pas lieu de saisir la CJUE de la question préjudicielle de l’association de consommateur.

Vous souhaitez en savoir plus? Un avocat en droit d’auteur du cabinet SOLVOXIA se tient à votre disposition.

Dans un arrêt du 1^er mars 2024 (n° 23/10396), la Cour d’appel de Paris s’est prononcée sur la caractérisation des critères d’accès à la protection qu’offre le droit sui generis du producteur de bases de données.

 

Contexte : une reprise de données des réseaux sociaux Facebook et Instagram

 

Les réseaux sociaux Facebook et Instagram sont respectivement détenus par les sociétés de droit américain Meta Platforms Inc. et Instagram LLC et leurs services sont exploités en Europe par Meta Platforms Ireland.

La société The Phantom Company, quant à elle, conçoit, exploite et offre à la vente des logiciels d’extraction de données et de publication automatique de contenus, notamment sur les réseaux Facebook et Instagram.

Or, après ordonnance rendue sur requête, les deux sociétés américaines et la société irlandaise ont procédé, le 29 novembre 2022, à des opérations de saisie-contrefaçon dans les bureaux de la société Phantom, motif étant pris, notamment, que cette dernière porterait atteinte à leur droit sui generis de producteur de base de données.

Le 26 décembre suivant, la société Phantom a assigné en référé les trois sociétés à l’initiative de la saisie-contrefaçon dont elle a fait l’objet, aux fins d’obtenir la mainlevée des opérations effectuées au titre de cette saisie et la rétractation de l’ordonnance l’ayant autorisée. Ces demandes ont été rejetées par l’ordonnance de référé.

Dès lors, la société Phantom interjette appel de cette décision, en faisant notamment valoir que les intimés étaient irrecevables à agir sur le fondement du droit sui generis du producteur des bases de données.

 

Solution : la protection par le droit des producteurs de bases de données est subordonnée à un rattachement à l’UE et à la preuve d’un investissement

 

Les deux sociétés américaines sont irrecevables à agir faute d’avoir la qualité de ressortissant d’un Etat membre de l’Union européenne, ou d’y exercer leur activité

 

Alors que l’article L. 341-1 du Code de la propriété intellectuelle pose le principe de la protection du producteur d’une base de données, l’article L. 341-2 du même code limite le bénéfice de cette protection à deux catégories de personnes :

1) Celles qui ressortissent d’un Etat membre de l’Union européenne, ou d’un Etat partie à l’accord sur l’Espace économique européen, ou qui ont leur résidence habituelle dans un tel Etat ;

2) Celles qui ont leur siège statutaire, leur administration centrale ou leur établissement principal à l’intérieur de l’Union européenne ou d’un Etat partie à l’accord sur l’Espace économique européen.

Forte de ce texte, la société appelante demandait à la Cour d’appel de déclarer irrecevables les deux sociétés américaines à agir sur le fondement du droit sui generis du producteur de bases de données.

Ce moyen, qui ne souffrait guère la contestation, n’a même pas été discuté par les sociétés intimées. La Cour l’a avalisé dans un considérant aussi laconique que lapidaire en affirmant que : « En application de l’article L. 341-2 suscité, il convient de déclarer irrecevables à agir sur le fondement du droit suis generis du producteur de bases de données les deux sociétés américaines n’ayant ni leur siège social, ni leurs activités dans un Etat de l’Union Européenne ».

 

La société irlandaise est irrecevable à agir faute de démontrer sa qualité de producteur de base de données

 

Restait toujours la société irlandaise, qui semblait, à première vue, plus susceptible de voir ses demandes prospérer. C’est ici la qualité même de producteur de base de données qui lui a été refusée.

La société appelante invoquait ici l’article L. 341-1 du Code de la propriété intellectuelle qui dispose en son premier alinéa que : « Le producteur d’une base de données, entendu comme la personne qui prend l’initiative et le risque des investissements correspondants, bénéficie d’une protection du contenu de la base lorsque la constitution, la vérification ou la présentation de celui-ci atteste d’un investissement financier, matériel ou humain substantiel ».

Il appartenait donc à la la société irlandaise de démontrer en quoi elle avait : « pris l’initiative et le risque d’un investissement financier, matériel ou humain substantiel pour la constitution, la vérification ou la présentation du contenu de la base de données » (cf. pour plus de détails notre fiche pratique sur les « Comment protéger une base de données ? »)

Pour prouver son rôle de producteur de la base de données en question, la société irlandaise n’a présenté que deux documents : un examen des indicateurs clés de performance, portant sur le chiffre d’affaires, le coût des ventes et les dépenses administratives, et une attestation de son directeur affirmant que l’entreprise réalise des investissements financiers et matériels importants pour fournir les services de Facebook et Instagram en Europe.

Face à cette pauvreté probatoire, la Cour d’appel de Paris refuse également la qualification de producteur de base de données à la société irlandaise.

Partant, la Cour d’appel de Paris fait droit aux demandes de la société appelante et ordonne la mainlevée des opérations de saisie-contrefaçon.

Besoin d’approfondir le sujet ? Un avocat en droit des bases de données du Cabinet est à votre disposition.

Vous avez créé un jeu de société, écrit un ouvrage, créé une scénographie ou un logo, développé une solution logicielle, dessiné des plans d’architecture ou pris une superbe photographie, designé un meuble ou des vêtements aux caractéristiques particulières, et vous demandez comment réagir en cas de reprise/copie par un tiers ?

 

Concrètement, si vous bénéficiez de la protection offerte par le droit d’auteur, vous êtes à même d’opposer vos droits à toute personne ayant utilisé ou reproduit votre création sans votre autorisation, cette dernière se rendant alors coupable de contrefaçon de droit d’auteur.

 

En amont, s’assurer de la protection de sa création par le droit d’auteur

 

Toutes les créations de l’esprit – que ce soit les livres, les œuvres de théâtre, de cinéma, les compositions musicales, un dessin, une peinture, des plans d’architecte, ou même les logiciels – peuvent être éligibles à la protection par le droit d’auteur du seul fait de leur création.

 

La seule condition à cette protection est que l’œuvre soit « originale ». Les juges entendent par là que la personne qui revendique des droits sur une création – le titulaire des droits – doit être en mesure de démontrer qu’il a fait preuve de choix créatifs, libres et non contraints, emprunts de sa personnalité propre dans la création de son œuvre. Le critère est subjectif et laissé à l’appréciation des juges qui seront amenés à trancher la question lors d’un conflit devant les tribunaux. Il s’agit concrètement par exemple dans le cadre d’un livre de pouvoir démontrer « sa patte » ou dans une peinture son « coup de crayon » spécifique. Pour un logiciel, le critère est apprécié plus techniquement et il faut prouver « un effort personnalité, allant au-delà de la simple mise en œuvre d’une logique automatique et contraignante ».

 

Bien entendu, pour qu’il y ait protection, il faut que la création ait été mise en forme et ne pas en être uniquement au stade de l’idée, à défaut de quoi toute personne pourrait s’approprier des droits sur une idée ou un concept, ce qui n’est juridiquement pas possible.

 

Quelle protection offre le droit d’auteur ?

 

Contrairement à d’autres droits de propriété intellectuelle, le bénéfice du droit d’auteur est automatique dès lors que l’œuvre est originale. Cette protection ne nécessite donc pas de dépôt devant un office ou l’ajout de la mention du © sur vos créations pour leur assurer une protection.

 

La protection par le droit d’auteur confère à son titulaire des droits pour la durée de sa vie et à ses ayants droits pendant 70 ans après son décès.

 

Le titulaire disposera alors d’un monopole d’exploitation sur son œuvre qui lui confère le droit exclusif d’autoriser ou d’interdire notamment la reproduction et la représentation non autorisées de son œuvre sur tout support par des tiers.

 

A noter que tout l’enjeu en droit d’auteur consiste à rapporter la preuve de la paternité de son œuvre à un moment donné. Il est donc essentiel de conserver toutes les versions de son travail et de faire un dépôt probatoire de la création par exemple auprès de l’INPI (dépôt e-soleau) ou d’un huissier afin de donner date certaine à sa création (un dépôt auprès de l’agence pour la protection des programmes peut être réalisé pour des logiciels).

 

Contrefaçon de droit d’auteur : de quoi parle-t-on ?

 

Comme indiqué, la protection par le droit d’auteur confère à l’auteur un monopole qui lui permet de s’opposer à tout tiers qui utiliserait son œuvre sans autorisation, se rendant ainsi coupable de contrefaçon.

 

Par exemple, il pourra s’opposer à :

 

• l’adaptation de son roman en film,
• la copie de la charte graphique ou des contenus de son site internet par un concurrent,
• la copie de ses plans d’architecture ou précisément la réalisation d’une maison sur la base desdits plans,
• la modification du logo qu’il a préparé pour son client par une autre agence que la sienne,
• la vente de produits vestimentaires par un concurrent qui reprennent les siens,
• la diffusion sur des affiches ou en ligne de ses photographies
• la copie des codes source de l’application qu’il a développée, avec lesquels est reparti un ancien salarié.

 

En outre, en droit d’auteur, tout ce qui n’est pas expressément autorisé formellement par écrit, avec mention de la durée de concession, du territoire, et surtout du périmètre de droits cédés, est formellement interdit. Toute personne outrepassant les termes d’un contrat de licence l’autorisant à utiliser une œuvre selon un mode d’exploitation précis, pour une durée et un territoire précis, est de facto contrefactrice.

 

Comment réagir en cas d’atteinte à vos droits ?

 

Se réserver la preuve de la contrefaçon de droits d’auteur

 

Concrètement, si vous vous apercevez qu’un tiers se rend coupable d’actes de contrefaçon, il est vivement conseillé de vous constituer des preuves irréfutables en amont de toute démarche. Pour ce faire, plusieurs options sont possibles du type faire diligenter un constat d’huissier en ligne ou sur les lieux de la contrefaçon ou encore faire réaliser une saisie-contrefaçon au sein des locaux de l’entreprise suspectée d’être contrefactrice, après autorisation du juge.

 

La phase amiable par envoi d’une mise en demeure

 

Une fois la preuve des agissements illicites conservée, il faudra envisager (sauf urgence absolue) la préparation et l’envoi d’un courrier de mise en demeure au contrefacteur, l’enjoignant de cesser les actes de contrefaçon et, selon les cas, de détruire les produits litigieux, de dédommager le préjudice subi, rembourser les frais d’avocat engagés, etc.

 

L’action judiciaire en contrefaçon devant les tribunaux

 

A défaut de réponse satisfaisante, il sera alors temps d’intenter une action en justice devant le tribunal judiciaire compétent afin de demander cessation des actes litigieux et d’obtenir réparation du préjudice subi. Il faut savoir qu’en matière de contrefaçon de droit d’auteur, seuls les tribunaux judiciaires sont compétents (pas les tribunaux de commerce) et seuls certains le sont (ex : Paris, Rennes, etc.).

 

Et en cas d’atteinte à vos droits moraux ?

 

La contrefaçon évoquée ci-dessus concerne l’atteinte aux droits que l’on appelle « économiques ».

 

Ceci étant, en tant créateur, vous bénéficiez aussi de droits moraux, dont l’atteinte peut également être sanctionnée.

 

Les droits moraux sont notamment le droit d’exiger que son nom soit précisé dans les utilisations de l’œuvre, le droit de décider si l’on souhaite divulguer ou non son œuvre ou encore le droit d’exiger le respect et l’intégrité de son œuvre.

 

Quelques exemples de litiges qui peuvent survenir :

 

• adaptation d’un roman en film qui dénaturerait la fin de l’histoire et réinventera la vie des personnages,
• utilisation d’extraits de films dans un clip de campagne pour un parti dont on ne partage pas du tout les convictions,
• recadrage d’une photographie qui remettrait en cause la manière dont le photographe « voyait» le sujet photographié et souhaitait fixer son image,
• destruction d’une œuvre architecturale ou réfection d’une manière dont l’architecte considère que cela porte atteinte à son intégrité.

 

Les autres protections également envisageables

 

Le droit des marques

 

Il est possible que votre création, par exemple votre logo, remplisse également les conditions de la protection par le droit des marques (constituer un signe distinctif capable d’être compris comme l’indication de l’origine commerciale des produits et services visés par la marque, être licite, disponible c’est-à-dire qu’il n’existe pas déjà de droits antérieurs similaires ou identiques pour des produits et services similaires ou identiques détenus par un tiers). Dans ce cas il est possible de coupler la protection par le droit d’auteur à un dépôt de marque qui vous permettra de vous baser sur un titre de propriété industrielle à opposer à des tiers exploitant leur activité sous un signe proche créant un risque de confusion avec le vôtre.

 

Le droit des dessins et modèle

 

De même, votre création, par exemple un modèle de vêtement ou de flacon de parfum, peut être protégé par un dépôt à titre de dessin et modèle. Celui-ci protègera l’apparence extérieure du produit, tels que ses lignes, contours, couleurs, formes, texture, motifs etc.

 

L’action en concurrence déloyale

 

Il est également tout à fait envisageable de coupler une action en contrefaçon par une action au titre de la concurrence déloyale, sur le terrain de la responsabilité pour faute. Cette action a l’avantage de ne pas être conditionnée à l’existence de droits privatifs, elle est donc pertinente exemple dans l’éventualité où le tribunal dénierait toute originalité à l’œuvre en question. Est ainsi sanctionné le fait de commercialiser des copies serviles de produits de concurrents, lorsqu’il en résulte un risque de confusion dans l’esprit du consommateur.

 

De nombreuses pistes de protection s’offrent donc à vous si vous êtes victime de contrefaçon de droit d’auteur !

 

Le Cabinet vous accompagne si vous souhaitez des conseils en matière de droits d’auteur.

 

Dans un arrêt du 4 octobre 2024 (C-579/23), la Cour de Justice de l’Union Européenne s’est prononcée sur l’enregistrement en tant qu’indication géographique protégée de plusieurs appellations visant de la charcuterie corse.

 

Contexte : un conflit entre AOP et IGP portant sur de la charcuterie d’origine Corse

 

En décembre 2015, le Consortium des Charcutiers Corses a déposé auprès des autorités françaises plusieurs demandes d’enregistrement d’indications géographiques protégées, dont notamment « Jambon sec de l’Île de Beauté », « Coppa de l’Île de Beauté » et « Lonzo de l’Île de Beauté ».

Un syndicat s’est toutefois opposé à l’enregistrement de ces IGP, sur la base de trois appellations d’origine protégées dont il était détenteur : « Jambon sec de Corse », « Coppa de Corse » et « Lonzo de Corse ».

Pour rappel, ces deux droits renvoient à deux protections différentes :

• Les indications géographiques protégées visent à garantir qu’un produit a été conçu selon un savoir-faire local spécifique,
• Les appellations d’origine protégées visent à garantir qu’un produit est issu d’une zone géographique donnée.

Les demandes d’IGP ont été transmises à la Commission européenne, les autorités nationales françaises (ainsi que le Conseil d’Etat) se montrant favorables à leur enregistrement.

La Commission européenne a toutefois rejeté les trois demandes d’enregistrement, estimant qu’elles ne respectaient pas les conditions d’éligibilité à l’enregistrement.

 

Solution : la coexistence entre des AOP et IGP similaires jugée impossible

 

Le nécessaire examen, lors de l’enregistrement d’une IGP, de l’absence d’évocation d’une dénomination protégée préexistante

 

La Cour de Justice déduit tout d’abord des textes européens (plus particulièrement du règlement n°1151/2012) qu’une dénomination ne peut pas être enregistrée en tant qu’IGP s’il devait être considéré que cette dénomination est évocatrice d’une AOP déjà enregistrée.

En effet, ces deux droits (AOP et IGP) sont protégés contre toute usurpation, imitation ou évocation de leur dénomination : autoriser l’enregistrement d’une IGP évoquant un droit antérieur conduirait donc à priver d’effet utile la protection octroyée à cette dénomination antérieure.

La Cour de justice considère donc que, avant de procéder à l’enregistrement d’une IGP/AOP, la Commission européenne est tenu de de vérifier que la dénomination dont l’enregistrement est demandé ne porte pas atteinte à la protection dont bénéfice une autre dénomination déjà enregistrée dans l’Union Européenne.

 

Un risque d’évocation confirmé par la Cour de justice de l’Union Européenne

 

La Cour de justice souligne que le risque d’évocation doit être reconnu si l’utilisation de l’IGP (Indication Géographique Protégée) crée, dans l’esprit d’un consommateur européen moyen, normalement informé et raisonnablement attentif, un lien suffisamment clair et direct avec l’AOP (Appellation d’Origine Protégée) existante.

Pour établir ce lien, divers facteurs peuvent être pris en compte : la similarité phonétique, visuelle ou intellectuelle des appellations, la ressemblance entre les produits concernés, ainsi que tous les éléments pertinents liés à l’usage de la dénomination en question.

Pour contester cette évocation, les titulaires de l’IGP ont notamment souligné les différences de prix entre les produits visés par l’AOP et ceux de l’IGP : alors que les produits « de Corse » provenaient de cochons semi-sauvages, donc très onéreux, les produits « de l’Île de Beauté » étaient issus de cochons d’élevage et, par conséquent, étaient plus accessibles.

Cependant, la Cour de justice a jugé que cette différence de prix ne suffisait pas à écarter le risque d’évocation, étant donné la quasi-identité des signes en question, l’Île de Beauté étant un autre nom pour la Corse.

En résumé, avant de solliciter l’enregistrement d’une IGP ou d’une AOP, il est nécessaire de s’assurer que cette dénomination ne risque pas d’évoquer une autre dénomination préexistante !

Besoin d’un avocat en AOP IGP, n’hésitez pas à nous contacter.

 

Par une délibération du 5 septembre 2024, la Commission Nationale de l’Informatique et des Libertés (CNIL), autorité de contrôle pour la France qui assure le respect du Règlement général de protection des données (RGPD), s’est penchée sur la question de savoir si les données traitées devaient être considérées comme « pseudonymisées » ou « anonymisées », la qualification retenue ayant des conséquences importantes.

 

Contexte : le contrôle du traitement de données de santé opéré par une société éditrice d’un logiciel

 

Dans cette affaire, la CNIL a opéré un contrôle des traitements des données à caractère personnel opérés par une société éditrice d’un logiciel de gestion à destination de médecins et de centres de santé.

 

Toute la question était de savoir si ces données étaient « pseudonymisées » ou « anonymisées » et donc soumises ou pas au RGPD.

 

Solution : l’application de la règlementation sur la protection des données aux données pseudonymisées

 

L’importance de la distinction entre « pseudonymisation » et « anonymisation » des données

 

Dans le cas présent, la société éditrice proposait aux professionnels de santé une solution logicielle collectant diverses données médicales : dossiers médicaux, prescriptions, coordonnées patients, état civil du patient, arrêts de travail, etc. Il s’agissait donc de données de santé au sens du RGPD, à savoir des données révélant des informations sur l’état de santé d’une personne.

 

Ces données étaient reliées à un identifiant unique pour chaque patient et propre à chaque cabinet médical, permettant le suivi des prescriptions du patient. Elles étaient ensuite extraites afin de constituer une base de données transmise à des sociétés tierces aux fins d’études et de statistiques.

 

Toute la question était de savoir si ces données étaient ou non soumises au RGPD. En effet, les données anonymisées ne sont pas des données personnelles puisqu’elles ne permettent pas, par définition, d’identifier les personnes qui sont derrière. La notion repose sur une absence d’identification irréversible. Or, si la règlementation en matière de protection des données ne leur est pas applicable, leur utilisation est donc totalement libre. A l’inverse le traitement de données simplement pseudonymisées, pour lesquelles cependant le recours à des informations supplémentaires est nécessaire pour identifier la personne, est soumis à la règlementation.

 

La société éditrice considérait que les données traitées étaient anonymisées car il était, selon elle, impossible de réidentifier les patients.

 

Pour opérer la distinction de qualification, la CNIL se base sur de nombreux faisceaux d’indices :

 

• Existe-t-il des « moyens raisonnables » permettant l’identification de la personne par toute personne ? (considérant 26 RGPD). Si oui, il s’agit de données pseudonymisées.
• La donnée résiste-t-elle aux mécanismes d’ « individualisation », « de corrélation » et d’ « inférence » et de « réidentification » ? (avis du Groupe de travail Article 29 sur la protection des données «  G29 »). Si oui, il s’agit de données anonymisées.

 

Dans le cas présent, la CNIL a  appliqué ces éléments in concreto et conclu que les données étaient ici seulement pseudonymisées. En effet, elle a constaté que, grâce à l’identifiant unique d’un patient, l’isolement et l’identification de celui-ci dans le jeu de données était effectivement possible et permettait la levée du pseudonymat. Le rapporteur s’était d’ailleurs prêté à l’exercice et avait, sans trop de difficultés manifestement, réussi à démontrer que la levée de pseudonymat n’était pas si compliquée.

 

Aussi, la règlementation en matière de protection des données leur était applicable.

 

Le traitement illicite des données de santé par la société éditrice

 

Dans le cas présent, la société éditrice du logiciel a été considérée comme responsable de traitement, en ce qu’elle déterminait les moyens du traitement vis-à-vis des médecins et les finalités du traitement vis-à-vis des sociétés tierces chargées des études statistiques.

 

Les données sensibles, dont font partie les données de santé, font l’objet d’une protection renforcée : le RGPD autorise un traitement dans des circonstances très strictes.

 

En application de la loi Informatique et libertés, la CNIL a considéré que la société éditrice avait manqué à son obligation, en tant que responsable de traitement de données de santé :

 

• de lui adresser une déclaration de conformité aux référentiels CNIL,
• d’obtenir une autorisation pour créer un entrepôt de données (lieu de stockage de données sensibles), en l’absence de recueil du consentement des patients concernés, et effectuer un traitement de ces données

 

En application de l’article 5 du RGPD sur la licéité du traitement, la CNIL a également considéré qu’en procédant à une extraction automatique de certaines données, sans permettre leur consultation par le médecin sans téléchargement automatique, la société procédait à une aspiration des données sur son logiciel.

 

En conséquence, la CNIL a condamné la société à une amende de 800.000 euros et ordonné la publication de sa décision.

 

Vous souhaitez creuser le sujet ? Vous pouvez prendre attache avec un avocat propriété intellectuelle / RGPD du Cabinet.