Lettre d’information Janvier 2024

Sorry, this entry is only available in Français.

Au sommaire :

  1. IA & RÈGLEMENT DE L’UNION EUROPÉENNE : A l’issue de négociations entre les institutions européennes, un accord de principe a été trouvé le 8 décembre 2023 sur le futur règlement européen sur l’intelligence artificielle (IA) (Accord de principe, règlement de l’UE établissant des règles harmonisées concernant l’intelligence artificielle, 8 décembre 2023).
  2. LUXE & CONCURRENCE PARASITAIRE : Par deux décisions récentes, la Cour d’appel de Paris vient de prononcer de lourdes sanctions respectivement en faveur de Céline et de Guerlain, confirmant ainsi l’intérêt de la concurrence parasitaire pour obtenir réparation (Cour d’appel de Paris, Pôle 5 – Chambre 2, 10 novembre 2023, 21/19126 et Cour d’appel de Paris, Pôle 5 chambre 1, 20 septembre 2023, 21/19365).
  3. DROIT D’AUTEUR & PRESCRIPTION DE L’ACTION EN CONTREFAÇON : En matière de contrefaçon de droits d’auteur, la prescription quinquennale court à compter du jour où le demandeur à l’action a connu ou aurait dû connaître les faits lui permettant de l’exercer, peu important que ces faits se soient poursuivis dans le temps (Cour de cassation, 1e 15 novembre 2023, n° 22-23.266).
  4. MARQUES & RÉFÉRENCEMENT EN LIGNE : La Cour de cassation applique au référencement naturel, consistant en l’occurrence à insérer la marque d’un concurrent dans le code source de son site Web, la solution de la Cour de Justice relative à l’achat d’un signe à titre de mot-clé dans le cadre d’un référencement commercial (Cour de cassation, 1e 18 octobre 2023, n° 20-20.055, FS-B).
  5. RESPONSABLE DE TRAITEMENT DE DONNÉES PERSONNELLES & SANCTIONS ADMINISTRATIVES : La Cour de Justice de l’Union Européenne a rendu, le 5 décembre 2023, en grande chambre, deux arrêts importants précisant les qualifications de responsable et de co-responsables de traitement de données personnelles, et les conditions auxquelles ceux-ci peuvent se voir condamnés à une amende administrative à raison d’une violation du RGPD (CJUE, 5 décembre 2023, Affaires C 683/21 et C 807/21).

*   *   *

 

 

 

En savoir plus :

  1. IA & RÈGLEMENT DE L’UNION EUROPÉENNE : A l’issue de négociations entre les institutions européennes, un accord de principe a été trouvé le 8 décembre 2023 sur le futur règlement européen sur l’intelligence artificielle (IA) (Accord de principe, proposition de règlement de l’UE établissant des règles harmonisées concernant l’intelligence artificielle, 8 décembre 2023).

L’Union européenne a décidé de se doter d’une réglementation à l’échelle de l’ensemble des pays membres. L’on se souvient que le 21 avril 2021, la Commission européenne a ainsi posé le premier cadre réglementaire de l’UE pour l’IA, proposant que les systèmes d’IA soient analysés et classés en fonction de leur niveau de risque. Cette proposition de règlement a été votée (et amendée) le 14 juin 2023 par le Parlement européen. La priorité affichée du Parlement était notamment de veiller à ce que les systèmes d’IA utilisés dans l’UE soient sûrs, transparents, traçables, non discriminatoires et respectueux de l’environnement. Le Parlement a également souhaité établir une définition uniforme et neutre sur le plan technologique de l’IA qui pourrait être appliquée aux futurs systèmes d’IA, validant par ailleurs l’approche de la commission fondée sur les risques.

Avec l’accord du 8 décembre, l’adoption du règlement se précise.

En substance, ce dernier tend à favoriser l’innovation tout en protégeant la société, en procédant à une approche de régulation graduée selon les risques : les systèmes d’IA sont classés selon leur niveau de risque ; les contraintes juridiques variant à proportion du risque.

Le texte est riche : près de 90 considérants et presque autant d’articles qui devraient constituer la nouvelle loi européenne sur l’IA. Celle-ci doit encore être formellement adoptée par le Conseil et le Parlement européen en séance plénière, en principe avant le premier semestre 2024. Le Règlement devrait entrer en vigueur deux ans plus tard, en principe en 2026. Avec cette réglementation, l’Union européenne se dote d’un dispositif inédit au niveau mondial pour permettre aux systèmes d’IA de se développer dans un cadre de confiance et dans le respect des droits fondamentaux et des valeurs de l’Union.

Le texte est important. Nous aurons l’occasion d’en reparler.

Car la bataille ne fait que commencer. Elle se joue en ce moment même et sur plusieurs terrains. Son issue dépendra notamment de la place qui sera accordée à une notion clé que l’on retrouve tant dans le règlement de l’UE que dans la proposition de loi française du 12 septembre 2023 visant à encadrer l’IA par le droit d’auteur : la transparence. Transparence d’abord pour permettre la traçabilité des données et des contenus. Transparence ensuite quant à l’information due au public, en particulier aux utilisateurs et à ceux dont les contenus sont utilisés. Transparence plus généralement enfin afin de permettre de concilier des positions antagonistes.

  1. LUXE & CONCURRENCE PARASITAIRE : Par deux décisions récentes, la Cour d’appel de Paris vient de prononcer de lourdes sanctions respectivement en faveur de Céline et de Guerlain, confirmant ainsi l’intérêt de la concurrence parasitaire pour obtenir réparation (Cour d’appel de Paris, Pôle 5 – Chambre 2, 10 novembre 2023, 21/19126 et Cour d’appel de Paris, Pôle 5 chambre 1, 20 septembre 2023, 21/19365).

La liberté du commerce et de l’industrie n’est pas absolue. Elle suppose notamment de la part des opérateurs économiques une certaine loyauté, dont le défaut est susceptible d’être sanctionné sur le fondement de la responsabilité civile, dont le mécanisme repose depuis 1804 sur la même définition bien connue : « tout fait quelconque de l’homme qui cause à autrui un dommage oblige celui par la faute duquel il est arrivé à le réparer » (art. 1240 du code civil, anciennement article 1382).

Parmi les agissements déloyaux sanctionnés, le parasitisme, dont la définition est tout aussi connue que l’article 1240 du code civil : « le parasitisme consiste, pour un opérateur économique, à se placer dans le sillage d’un autre afin de tirer profit, sans rien dépenser, de ses efforts et de son savoir-faire, de la notoriété acquise ou des investissements consentis ».

En l’occurrence la société Céline reprochait aux sociétés Punto Fa et Mango France notamment non pas d’avoir copié ou imité tel ou tel modèle pris isolément, (ce qui en soi aurait pu justifier une condamnation), mais un comportement global de suivisme (plus subtile mais tout autant condamnable) en accumulant les reprises de ses modèles dans le but de permettre à la clientèle de se constituer, à moindre coût, une garde-robe Céline, composée de lunettes de soleil, de sacs à main, de bijoux.

Et avec raison : la cour d’appel a considéré notamment que si les reprises répétées de produits à succès de la société Céline ne peuvent être considérées comme fortuites, celles-ci tendent à générer une évocation de ces produits dans l’esprit de leur clientèle, et ainsi à profiter sans bourse délier des investissements et de la notoriété des articles de la société Céline.

Les sociétés Punto Fa et Mango France ont été lourdement condamnées par la Cour d’appel de Paris le 10 novembre 2023 : 2 millions d’euros de dommages et intérêts à verser à la société Céline (Cour d’appel de Paris, Pôle 5 – Chambre 2, 10 novembre 2023, 21/19126).

Cette lourde condamnation n’est pas sans rappeler la récente condamnation prononcée également par la Cour d’appel de Paris au profit de la société Guerlain sur le même fondement de la concurrence parasitaire : 594 000 euros au titre de la réparation du préjudice matériel correspondant à 1% des dépenses publicitaires engagées par Guerlain en France pour le seul parfum « LA PETITE ROBE NOIRE » et 100 000 euros au titre du préjudice moral retenu au titre de la dilution de la notoriété de ses parfums et de l’atteinte à sa réputation et à son image de marque (Cour d’appel de Paris, Pôle 5 chambre 1, 20 septembre 2023, 21/19365).

  1. DROIT D’AUTEUR & PRESCRIPTION DE L’ACTION EN CONTREFAÇON : En matière de contrefaçon de droits d’auteur, la prescription quinquennale court à compter du jour où le demandeur à l’action a connu ou aurait dû connaître les faits lui permettant de l’exercer, peu important que ces faits se soient poursuivis dans le temps (Cour de cassation, 1e, 15 novembre 2023, n° 22-23.266).

« Aux termes de l’article 2224 du code civil, les actions personnelles ou mobilières se prescrivent par cinq ans à compter du jour où le titulaire d’un droit a connu ou aurait dû connaître les faits lui permettant de l’exercer. C’est à bon droit que, après avoir énoncé que la prescription des actions civiles en contrefaçon de droit d’auteur est soumise à ces dispositions, la cour d’appel a retenu que, le délai de prescription ayant commencé à courir le 17 décembre 2008, date à laquelle avait été admis le caractère contrefaisant de l’œuvre exposée, l’action intentée le 5 mars 2021 était prescrite, même si la contrefaçon s’inscrivait dans la durée ». C’est ce que vient de juger la Cour de cassation par arrêt du 15 novembre 2023 (Cour de cassation, 15 novembre 2023, n° 22-23.266).

En matière de contrefaçon de droits d’auteur, la prescription quinquennale court ainsi à compter du jour où le demandeur à l’action a connu ou aurait dû connaître les faits lui permettant de l’exercer, peu important que ces faits se soient poursuivis dans le temps. La solution n’est pas nouvelle ; elle est issue de la loi PACTE n°2019-486, entrée en vigueur le 24 mai 2019. Elle a encore été récemment rappelée par la Cour d’appel de Paris dans un arrêt du 17 mai 2023 (Cour d’appel de Paris, Pôle 5 chambre 1, 17 mai 2023, RG n° 21/15795).

La constatation de la poursuite des agissements contrefaisants ne constitue donc plus un motif valable pour différer la prise de décision nécessaire à la cessation des agissements contrefaisants et à l’obtention de mesures réparatrices.

  1. MARQUES & RÉFÉRENCEMENT EN LIGNE : La Cour de cassation applique au référencement naturel, consistant en l’occurrence à insérer la marque d’un concurrent dans le code source de son site Web, la solution de la Cour de Justice relative à l’achat d’un signe à titre de mot-clé dans le cadre d’un référencement commercial (Cour de cassation, 1e 18 octobre 2023, n° 20-20.055, FS-B).

Dites-le avec des fleurs ! Les fleuristes en ligne, qui se livrent manifestement une concurrence acharnée, contribuent de manière significative à la jurisprudence relative à l’usage de la marque d’un concurrent pour référencer un site web marchand : après Interflora, dont l’action avait donné lieu à l’important arrêt de la Cour de Justice du 22 septembre 2011, c’est la société Aquarelle, exploitante du site éponyme, qui est à l’origine de l’arrêt rapporté.

Elle reprochait à un concurrent d’avoir notamment réussi à faire classer son site web marchand parmi les premiers résultats de recherche naturels sur google.fr, en insérant dans le code source dudit site le terme « Aquarelle », sur le fondement du droit des marques. La société Aquarelle soutenait ainsi que cet usage portait atteinte à ses marques verbales éponymes enregistrées dans l’UE et en France.

Les juges du fond l’avaient déboutée de cette demande, au motif que le mot-clé inséré dans le code source n’étant pas visible du public, il ne désignait pas des produits ou des services, en sorte qu’il ne s’agissait pas d’un usage à titre de marque.

La Cour de cassation juge ce motif erroné ; pour elle, l’insertion d’un signe à titre de mot-clé dans le code source d’un site web proposant à la vente des produits ou des services constitue un usage à titre de marque, susceptible d’être contrefaisant si les conditions de la contrefaçon sont par ailleurs réunies.

Ceci posé, la Haute juridiction sauve l’arrêt d’appel, en relevant qu’il avait constaté que l’internaute moyen était suffisamment informé quant à la provenance du site du concurrent ainsi référencé. Elle reprend expressément, pour fonder cette solution, la règle énoncée par la Cour de Justice à propos du référencement promotionnel ou payant (CJUE, Gde Ch., 13 mars 2010, Google c/ Louis Vuitton et alii., Aff. C-327/08 et a. ; 22 septembre 2011, Interflora c/ Mark & Spencer et alii, Aff. C-323/09, qui confirme la solution et l’adapte aux marques renommées), selon laquelle l’achat à titre de mot-clé, dans le cadre d’un référencement payant, d’un signe protégé à titre de marque, peut constituer une contrefaçon de cette marque si l’annonce en résultant ne permet pas, ou permet seulement difficilement à l’internaute moyen de savoir si le produits ou services visés par cette annonce proviennent du titulaire de la marque ou d’une entreprise économiquement liée à ce dernier (en ce cas, en effet, il est porté atteinte à la fonction essentielle de garantie d’origine de la marque).

La Cour de cassation adapte simplement la formule de la Cour de justice, en remplaçant le terme « annonce » par ceux de « référencement naturel ».

L’analogie est logique : dans les deux cas, le signe n’est certes pas visible de l’internaute, mais c’est lui qui a effectué une requête à partir de ce signe ; et, dans les deux cas, la pratique doit pouvoir être sanctionnée cet internaute est susceptible de confondre le site du concurrent et celui du titulaire de la marque, ce qui s’apprécie in concreto au regard des résultats de recherche, payants ou naturels.

  1. RESPONSABLE DE TRAITEMENT DE DONNÉES PERSONNELLES & SANCTIONS ADMINISTRATIVES : La Cour de Justice de l’Union Européenne a rendu, le 5 décembre 2023, en grande chambre, deux arrêts importants précisant les qualifications de responsable et de co-responsables de traitement de données personnelles, et les conditions auxquelles ceux-ci peuvent se voir condamnés à une amende administrative à raison d’une violation du RGPD (CJUE, 5 décembre 2023, Affaires C 683/21 et C 807/21).

Ces deux arrêts de la CJUE, rendus en Grande Chambre, signe de leur importance, précisent les qualifications de responsable et de co-responsable d’un traitement de données personnelles au sens du RGPD ; surtout, ils décident que seule une violation fautive d’une disposition du RGPD justifie le prononcé, par les autorités de contrôle nationales, d’une amende administrative en vertu de l’article 83 du RGPD.

En premier lieu, la CJUE énonce que la qualification de responsable de traitement dépend exclusivement des deux critères cumulatifs énoncés par l’article 4, paragraphe 7 du RGPD, à savoir la contribution de l’entité en cause à la détermination des finalités et des moyens du traitement ; il est, notamment, indifférent que cette entité traite les données personnelles elle-même ou que, au contraire, le traitement soit matériellement mis en œuvre par un tiers. C’est dire qu’une entité qui choisit de déléguer toutes ses opérations de traitement de données à une entité tierce, ne saurait échapper à la qualification de responsable de traitement et au régime afférent, dès lors qu’elle est effectivement intervenue, à des fins qui lui sont propres, dans la détermination des finalités et des moyens de ce traitement.

Dans la même logique, la CJUE confirme ensuite que sont co-responsables de traitement au sens de l’article 26 paragraphe 1 du RGPD, deux entités qui participent ensemble à la détermination des finalités et moyens d’un traitement de données personnelles, même si chacune intervient à des niveaux et degrés différents. Tout autre critère est indifférent ; en particulier, il n’est pas nécessaire qu’il existe, au stade de la qualification, un accord écrit entre les deux entités, un tel accord s’imposant, en vertu du même texte, non pas comme critère de la qualification de responsable conjoint, mais comme une conséquence de celle-ci.

Une fois l’entité qualifiée de responsable de traitement, qu’il s’agisse d’une responsabilité conjointe ou non, celle-ci encourt le risque d’une amende administrative lorsque les conditions de l’article 83 du RGPD sont remplies. Toutefois, et tel est l’apport principal des arrêts rapportés, la CJUE juge expressément qu’une telle amende administrative ne peut pas être prononcée en absence de comportement fautif du responsable de traitement, c’est-à-dire en l’absence d’une violation (visée aux paragraphes 4 à 6 de l’article 83 du RGPD) commise « délibérément ou par négligence » par ce responsable de traitement.

La Cour précise qu’une telle violation s’entend, par analogie avec ses décisions Schenker&Co et Lundbeck/Commission du 25 Mars 2021, de l’hypothèse où le responsable de traitement ne pouvait ignorer le « caractère infractionnel » de son comportement, « qu’il ait eu ou non conscience » d’enfreindre les dispositions du Règlement ; elle ajoute encore que, dans le cas où l’entité est une personne morale, une action ou même une « connaissance » de son organe de gestion n’est pas nécessaire.

Si l’exigence d’une faute, délibérée ou de négligence, est conforme à la lettre de l’article 83 paragraphe 2 du RGPD, la définition de cette faute que retient la CJUE laisse perplexe, tant on a du mal à comprendre qu’un responsable de traitement ne puisse ignorer le « caractère infractionnel » de son comportement tout en n’ayant pas conscience qu’il enfreint le RGPD…

Autrement dit, le simple constat d’une violation matérielle d’une règle du RGPD ne suffit à l’imposition d’une amende administrative sur le fondement de l’article 83 du RGPD, mais la faute nécessaire à cette sanction pourrait résulter d’une violation commise à « l’insu du plein gré » du responsable de traitement…

Enfin, et la solution est plus orthodoxe, la Cour confirme que le responsable de traitement encourt une telle sanction au titre des actes commis pour son compte par le sous-traitant, sauf si ce dernier a effectué le traitement en cause pour des finalités qui lui sont propres, ou si ledit traitement est opéré par lui selon des modalités incompatibles avec les instructions données par le responsable de traitement, ou encore s’il ne peut être raisonnablement considéré que le responsable de traitement aurait consenti à un tel traitement illicite.

Share this post: Facebook Twitter LinkedIn