Contentieux international des atteintes aux bases de données numériques : compétences juridictionnelle et matérielle

Au regard de l’article 5 du Traité de l’Organisation mondiale de la propriété intellectuelle, la définition de la base de données, complétée par celle, plus prolixe, du code de la propriété intellectuelle, révèle les droits protégés de la base de données, ainsi que les règles de compétences juridictionnelle et matérielle internationales devant régir les conflits relatifs aux bases de données numériques.

Qu’elle soit privée ou publique, l’information est devenue une richesse pour toutes les administrations, entreprises et organisations qui, avec les technologies et les systèmes d’information, disposent de très nombreuses bases de données pour leur fonctionnement et leur exploitation. L’être humain et tout ce qui le caractérise individuellement est devenu le produit, en raison de ses données qui, elles-mêmes, sont devenues une valeur hautement marchande et enrichissante de toute l’économie numérique, raisons pour lesquelles les données sont traquées et collectées par tous les moyens possibles : clients, moteurs de recherche, réseaux sociaux, mobilité des individus, data et service providers, objets, smart grids, etc. Ainsi, par exemple, les données de base d’une personne – âge, sexe, code postal, niveau d’éducation, etc – ne valent que 0,007 dollar. Mais, dès lors que l’on valide une seule option apparemment anodine dans un réseau social, leur valeur peut passer à 0,123 dollar qui, multipliée par des millions d’individus, produit une valeur marchande considérable pour celui qui les collecte, les organise et les traite. La commercialisation des données, qualifiées de pétrole digital, est en nette croissance et représenterait plus de 300 milliards de dollars par an, pour le seul secteur financier : banques, assurances et autres institutions financières. Et, comme tout produit à succès, le marché des données numériques, de nature internationale et transfrontière, est aussi source de conflits dans l’économie numérique. Au-delà des questions préalables relatives à la définition de la base de données, encore appelée data base, et ses éléments constitutifs (1), ce sont celles de sa protection (2) et surtout de la compétence juridictionnelle (3), ainsi que la compétence matérielle (4) internationales idoines du règlement de ses litiges, qui s’imposent avec prégnance.

1. La définition et les éléments constitutifs d’une base de données
2. Définition

Le Traité de l’Organisation mondiale de la propriété intellectuelle (OMPI) du 20 décembre 1996, dans son article 5, définit la base de données comme « la compilation de données ou d’autres éléments, sous quelque forme que ce soit ». L’article L112-3 du Code français de la propriété intellectuelle, quant à lui, définit la base de données comme « un recueil d’œuvres, de données ou d’autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou par tout autre ».

1. Eléments constitutifs et composantes

En ce qui concerne ses éléments constitutifs, une base de données en suppose trois : la constitution d’éléments indépendants, la disposition de ces éléments de manière systématique ou méthodique, permettant de retrouver chacun de ses éléments constitutifs, et l’accessibilité individuelle à ces données, par des moyens électroniques ou par tout autre moyen. Au niveau de ses composantes, une base de données doit par conséquent est faite de deux types d’éléments : les données brutes qui constituent le contenu de la base, et l’architecture de la base, c’est-à-dire la manière dont les données sont organisées et enrichies.

2. Les protections de la base de données

Dans le cadre des bases de données, il existe deux natures de protection. Premièrement, il y a la protection des personnes concernées par les traitements effectués dans la base : il s’agit de la protection du contenu des données qui sont dans la base de données. En second lieu, il existe la protection de la base elle-même : c’est l’organisation et la valeur économique de la base de données qui est concernée par ce volet.

1. Protection des personnes et du contenu de la base de données

La protection des personnes concernées par le traitement des données constitutives du data base est exercée, dans le cas du Règlement général européen pour la protection des données à caractère personnel par exemple, au moyen de huit droits dévolus à ces personnes et qu’elles peuvent exercer auprès des administrations, entreprises ou organismes qui utilisent leurs données à caractère personnel. Premièrement, le droit d’être informé de manière concise et claire sur les données collectée, ainsi que sur la manière dont elles sont utilisées, la durée de leur conservation, la possibilité de leur partage ou de leur échange avec des tierces parties. En deuxième lieu, c’est le droit d’accès, qui permet aux personnes concernées de soumettre une demande d’accès à leurs données. Ce qui oblige les administrations, entreprises ou organisations à leur fournir une copie de toutes les données qu’elles détiennent à leur sujet. Troisièmement, il s’agit du droit de rectification et de mise à jour des données inexactes ou incomplètes détenues par une personne ou une entité. En quatrième lieu, le droit à l’effacement, aussi connu sous le nom de droit à l’oubli, est celui qui donne le droit d’exiger que les données soient supprimées. Le cinquième droit est celui de la limitation du traitement, et qui permet de limiter l’utilisation des données personnelles. Sixièmement, c’est le droit à la portabilité des données, donnant droit à l’obtention et à la réutilisation de ses données personnelles, à ses propres fins et pour différents services. En septième position, le droit d’opposition ouvre la voie à l’opposition au traitement des données personnelles collectées sur la base de l’intérêt légitime ou de l’exécution d’une tâche d’intérêt public ou relevant de l’exercice d’une autorité publique. Le dernier droit est celui d’exiger la participation humaine concernant le traitement de ses données utilisées à la prise de décision automatisée, y compris le profilage.

1. Protection économique et de l’organisation de la base de données

Chacun des éléments d’une base de données bénéficie d’une triple protection qui lui est propre, les deux premières étant classiques et d’origine légale, tandis que la troisième est d’origine jurisprudentielle : le droit d’auteur, le droit du producteur et le contrat. Ces trois droits distincts fonctionnent indépendamment l’un de l’autre, permettant à une base de données de pouvoir bénéficier de l’un ou l’autre, des trois protections ou d’aucune en cas d’absence des critères exigés.

1. Protection par le droit d’auteur

La protection par le droit d’auteur concerne l’architecture de la base. Autrement dit, la base de données est protégée au titre du droit d’auteur, en raison de ce que la base de données est une création intellectuelle par le choix ou la disposition des matières : une sélection, un classement, une compilation, tout comme une anthologie dans laquelle ou au travers de laquelle se manifeste l’originalité de la création qui est le fondement principal de la protection de l’œuvre.

1. La protection par le droit sui generis du producteur

En ce qui concerne le droit sui generis du producteur de la base de données, il assure au producteur, c’est-à-dire au fabricant de la base de données, une protection dont les conditions sont liées à la présence d’un investissement et des moyens humains, financiers et matériels substantiels, consacrés à la recherche d’éléments existants, à leur rassemblement dans la base, à leur fiabilité en tant qu’information, et à leur exactitude en tant qu’éléments recherchés. Ainsi, un simple lot de données non structuré ne peut pas revêtir la qualité de base de données, et, partant, ne peut donc pas bénéficier de la protection sui generis accordée au producteur de base de données. Par conséquent, dans le droit sui generis du producteur, ce n’est pas tant l’acte de création de la base de données que la récompense de l’investissement dans la réalisation de celle-ci qui est protégée.

1. La protection de la base de données par contrat

La protection de la base de données par contrat est permise par la jurisprudence, selon la Cour européenne, conformément à l’arrêt de la Cour de Justice de l’Union Européenne, dans l’affaire Ryanair LTD contre PR Aviation BV. Il s’agissait d’une question préjudicielle pour laquelle la cour avait jugé qu’une base de données n’ayant été ni considérée comme remplissant les conditions requises pour bénéficier du droit sui generis du producteur de base de données, ni considérée comme protégée par le droit d’auteur, pouvait être protégée par contrat, et notamment au moyen des stipulations des conditions générales d’utilisation ou des conditions générales de vente, sous réserve des dispositions impératives du droit national considéré. Autrement dit, celui qui aura accepté les conditions contractuelles d’utilisation devra par conséquent s’y soumettre, sous peine d’engagement de sa responsabilité contractuelle.

3. La compétence internationale juridictionnelle pour les atteintes aux bases de données numériques
4. Identification de la juridiction

L’identification de la juridiction du contentieux international relatif aux atteintes aux bases de données numériques offre différentes solutions au justiciable. Concernant la protection du droit d’auteur, il s’agit de la contrefaçon de droit d’auteur, dont la compétence revient au juge du lieu d’accessibilité du réseau de communication du public en ligne. Cette solution a été consacrée par la jurisprudence de la première chambre civile de la cour de cassation française, dans l’affaire Théâtre Royal de Lux. Pour ce qui est de la protection du droit sui generis du producteur de base de données, elle a pour principal objectif la protection économique du producteur. Cette nature la rend protéiforme, et donc défendable sur tous les terrains, le seul déterminant étant la matière considérée pour chaque litige. Ainsi, par exemple, la compétence juridictionnelle pourrait invariablement revenir au juge du lieu où les droits sont protégés et enregistrés, s’il s’agit de dessins et modèles communautaires, conformément à la jurisprudence Wintersteinger, ou au juge du lieu d’accessibilité du réseau de communication du public en ligne, s’il s’agit de concurrence déloyale, comme arrêté par la Cour de justice de l’Union européenne, et la chambre commerciale de la cour de cassation française. Quant à la protection des droits des personnes dont les données sont contenues et traitées dans un data base, il s’agit de la compétence du juge du lieu du centre des intérêts de la victime, solution jurisprudentielle arrêtée par la Cour de justice de l’Union européenne dans l’affaire Bolagsupplysningen. La solution du centre des intérêts de la victime trouve toute son efficience en ce que c’est la e-réputation qui est en jeu, et se justifie par le fait que c’est au lieu de vie de la victime du droit protégé que le préjudice moral est le plus conséquent, et donc c’est naturellement au même lieu qu’il est significativement opportun de le réparer. Pour ce qui est de la protection de la base de données par le contrat, et notamment celui conclu en ligne, la solution n’est pas uniforme en présence ou non d’une clause attributive de compétence, ou en considération de la nature du contrat. De manière générale, la compétence revient au juge de l’Etat du domicile du défendeur, plus précisément la juridiction du lieu où l’obligation servant de base à l’action a été ou doit être exécutée. Dans le cas d’un cyber-contrat de consommation, c’est la compétence juridictionnelle exclusive des tribunaux de l’Etat sur le territoire dans lequel le consommateur a son domicile, si le demandeur est un professionnel. Par contre, si c’est le consommateur qui est le demandeur à l’action, il a la faculté d’ester soit devant les juridictions de son propre domicile, soit devant celles du domicile du professionnel. Si davantage, il s’agit d’un cas de cyber-contrat assorti d’une clause attributive de compétence juridictionnelle, dérogeant aux règles classiques de compétence, la compétence juridictionnelle convenue dans la clause est retenue, à condition, non seulement que ladite clause ne viole pas les dispositions impératives qui protègent le consommateur dans le pays où il a sa résidence habituelle,  mais aussi qu’elle soit écrite, ou confirmée par l’envoi d’un courriel, dans le cas où elle est verbale.

1. Etendue de la compétence juridictionnelle : globale ou locale

La juridiction compétente peut connaître du litige soit dans sa globalité soit localement : on parle de l’étendue de sa compétence. A ce propos, sous l’angle géographique, la compétence locale est dévolue à la juridiction du lieu du dommage ou préjudice, tandis que la compétence globale est dévolue soit à la juridiction du domicile du ou des défendeur(s), même pris individuellement, soit à celle du lieu du fait générateur, soit encore à la juridiction du centre des intérêts de la victime. En considération de la matière, la compétence globale revient aux litiges relevant des droits de la personnalité, alors que les matières donnant lieu à compétence locale sont la contrefaçon du droit d’auteur, la concurrence déloyale et la contrefaçon en propriété industrielle.

4. La compétence internationale matérielle pour les atteintes aux bases de données numériques

La question de la matière de la loi applicable ayant été résolue en même temps que celle de la compétence juridictionnelle, tout l’intérêt reste au niveau du choix de la loi applicable d’un ordre juridictionnel déterminé, ainsi que de son domaine.

1. Loi applicable

La loi applicable offre des solutions diverses. Ainsi, pour le cyber-délit, c’est la loi du lieu du dommage – lex loci damni – indépendamment de l’Etat où se produit le dommage, et sans considération d’autres facteurs. Dans le cas de la concurrence déloyale, il s’agira de la loi de l’Etat sur le territoire dans lequel les relations de concurrence ou les intérêts collectifs des consommateurs sont affectés ou susceptibles de l’être, si c’est un préjudice collectif, d’une part, et d’autre part, c’est la loi du lieu du dommage ou de la résidence habituelle commune des parties, ou des liens les plus étroits, si c’est un préjudice individuel. Pour les pratiques anticoncurrentielles affectant le marché, c’est la loi de l’Etat dans lequel le marché est affecté ou susceptible de l’être. Si c’est le cas des atteintes aux droits de la personnalité, c’est la loi du lieu du délit qui est applicable : c’est une solution apportée par la première chambre civile de la cour de cassation française dans l’affaire Farah Diba. En ce qui concerne les atteintes aux droits de la propriété intellectuelle, c’est la loi de l’Etat pour lequel la protection est revendiquée ou enregistrée, ou encore la loi indiquée dans chacun des instruments de gestion de droits, en présence d’un droit conventionnel. Pour les cas d’atteintes aux données à caractère personnel, le choix va à la loi européenne dédiée, dès lors que les conditions d’applicabilité sont conformes à la situation considérée. En ce qui concerne les délits complexe – ceux dont le fait générateur et le dommage se produisent dans des ordres juridiques nationaux différents – la compétence est dévolue à la loi du fait générateur. Les délits spéciaux, quant à eux, sont soumis à la loi du lieu du dommage, sur la base des théories de la focalisation et de l’accessibilité, tout dépendant alors de la sensibilité du juge saisi. Pour ce qui est du cyber-contrat de consommation, c’est la loi de l’Etat du lieu du domicile du consommateur vers qui le professionnel dirige son activité. Enfin, de manière générale, dans le cas d’un contrat, indépendamment de la matière ou de l’objet du contrat, c’est le principe de l’autonomie de la volonté des parties qui est appliqué. Ainsi, c’est en premier lieu la loi de l’Etat que les parties au contrat avaient choisie. A défaut, c’est la loi de l’Etat du lieu de résidence du consommateur. En troisième option substitutive, c’est la loi du cocontractant débiteur de la prestation considérée. Et, en dernière option, c’est la loi du pays avec lequel le contrat présente les liens les plus étroits.

1. Domaine de la loi applicable

Le domaine de la loi applicable est en principe la loi substantielle désignée, et qui couvre l’essentiel des aspects des questions de fond. Néanmoins, il est admis que non seulement des règles de conflit spéciales peuvent aussi être appliquées, mais aussi que des exceptions peuvent être soulevées, à l’instar de la loi de police, l’exception d’ordre public international, la fraude de la loi, et la clause marché intérieur.

Ce qu’il faut retenir

Le contenu et l’organisation d’une base de données numériques sont protégés aussi bien par la loi que par la jurisprudence. Mieux, au-delà de la protection relevant du droit d’auteur, la protection par le droit sui generis du producteur, ainsi que celle par le contrat permettent de couvrir l’essentiel des matières, des domaines et de l’étendue des litiges concernant les bases de données numériques. Ce qui est significativement opportun, étant donné la nette croissance de l’intérêt et du potentiel stratégique et financier des bases de données dans l’économie numérique.

Par Laurent-Fabrice ZENGUE

Juriste, Droit du numérique et des données
Université Paris 1 Panthéon-Sorbonne/Ecole de Droit de la Sorbonne