Arrets Bluetouff et Svensson : les contenus sur internet se conjuguent à l’imparfait du subjectif

avril 22nd, 2014 | Posted by Claude-Etienne Armingaud in Europe | France | Jurisprudence | Neutralité

Le présent article constitue une mise en perspective des arrêts Bluetouff rendu par la Cour d’appel de Paris, le 5 février 2014 et Svensson rendu par la Cour de justice de l’Union européenne, le 13 février 2014. De fait, elle s’impose dans la mesure où ces arrêts apportent de nouvelles précisions sur le cadre juridique applicable aux usages d’internet et notamment sur le délicat équilibre entre la liberté d’utilisation d’internet et la protection des droits des individus. (CA Paris, pôle 4, ch. 10, 5 févr. 2014 ; CJUE, 13 févr. 2014, aff. C-466/12, RLDI 2014/102, n°3374) Internet est loin d’être le Far West juridique que certains médias ou politiques appellent à réguler. Néanmoins, les mécanismes de régulation de l’internet sont en constante évolution, tant au niveau national que supranational. Ils exigent de rechercher le point d’équilibre délicat entre la nécessité de protéger les droits de chaque acteur et l’importance de préserver les libertés individuelles et collectives.

Deux arrêts récents sont venus illustrer cette mécanique fragile. En premier lieu, l’arrêt Bluetouff rendu par la Cour d’appel de Paris le 5 février 2014 (CA Paris, pôle 4, ch. 10, 5 févr. 2014, Laurelli c/ Ministère Public) vise la concurrence réglementaire opposant la protection des propriétaires de données et la liberté de navigation des internautes. En second lieu, l’arrêt Svensson rendu par la Cour de justice de l’Union européenne le 13 février 2014 (CJUE, 13 févr. 2014, aff. C-466/12) précise les contours de la protection des droits d’auteur sur internet, face à la liberté de créer des liens cliquables vers les oeuvres protégées.

À travers ces deux arrêts, les juges ont procédé à l’analyse d’un « marronnier » immarcescible des débats sur le web : quelles règles appliquer à l’accès et la mise à disposition de contenus sur internet, par ailleurs d’ores et déjà accessibles plus ou moins librement en ligne, et sur lesquels des individus disposent d’un droit privatif. Ainsi, dans l’arrêt Svensson, la question était de savoir dans quelle mesure un internaute était libre de créer sur son site un lien cliquable vers une oeuvre disponible sans autre restriction sur un site tiers. Dans l’arrêt Bluetouff, l’affaire portait sur la régulation de l’accès, la copie et la reproduction (même partielle) de données accessibles sans restriction au travers d’un moteur de recherche classique.

À travers ces décisions, les juges français et européens ont mis en exergue que l’appréciation de ce type de situations répond à des critères précis, tels que l’accessibilité de ces contenus et le consentement, explicite ou implicite, du titulaire des droits sur celles-ci.

L’arrêt Svensson a permis aux juges de la CJUE de préciser que, si un lien cliquable constitue bien un acte de communication au public, celui-ci n’est soumis au consentement du titulaire des droits d’auteur que dans la mesure où l’accès à l’oeuvre sur le site initial est – explicitement ou implicitement – restreint. Parallèlement, l’analyse des juges de la Cour d’appel de Paris dans l’arrêt Bluetouff s’inscrit dans une perspective similaire. En effet, ceux-ci ont conclu au « vol de données », alors même que ces données étaient techniquement en libre accès depuis une recherche Google, mais qu’elles étaient manifestement confidentielles.

I. Sans liberté de lier, il n’y point d’éloge flatteur

La décision de la CJUE du 13 février 2014 a été rendue à la suite de la question préjudicielle en interprétation posée par la juridiction suédoise, relative à la qualification juridique de la création sur un site internet d’un lien cliquable vers une oeuvre protégée accessible sur un autre site internet, et le fait de savoir si ce mécanisme était constitutif d’un acte de communication au public au sens du droit communautaire.

En effet, d’après l’article 3, paragraphe 1, de la Directive n° 2001/29/CE sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information, les auteurs ont un droit exclusif « d’autoriser ou d’interdire la communication au public de leurs oeuvres, par fil ou sans fil, y compris la mise à la disposition de leurs oeuvres de manière à ce que chacun puisse y avoir accès de l’endroit et au moment qu’il choisit individuellement ».

La question suédoise était délicate, en ce qu’elle imposait à la Cour de trouver un juste équilibre entre la protection des droits d’auteur et la liberté de lier, mécanisme fondamental de la composante web d’internet.

Au niveau microscopique, ce sont quatre questions préjudicielles qui ont été introduites par la juridiction suédoise, dans le cadre d’un site internet qui recensait des liens vers des articles de journaux tiers. La Cour a choisi de répondre d’abord de manière conjointe aux trois premières questions suivantes :

  1. « Le fait pour toute personne, autre que le titulaire [du droit] d’auteur sur une oeuvre de fournir un lien cliquable vers cette oeuvre sur son site internet constitue-t-il une communication de l’oeuvre au public selon l’article 3, paragraphe 1, de la directive n° 2001/29 ? » ;
  2. « L’examen de la première question est-il influencé par le fait que l’oeuvre vers laquelle renvoie le lien se trouve sur un site internet auquel chacun peut accéder sans restriction, ou que l’accès à ce site est, au contraire, limité d’une façon ou d’une autre ? » ; et
  3. « Convient-il, dans l’examen de la première question, de faire une distinction selon que l’oeuvre, après que l’utilisateur a cliqué sur le lien, apparaît sur un autre site internet ou, au contraire, en donnant l’impression qu’elle se trouve montrée sur le même site [internet] ? »

La quatrième question préjudicielle, traitée dans un second temps par la Cour, était de savoir si « un État membre [pouvait] protéger plus amplement le droit exclusif d’un auteur en prévoyant que la notion de communication au public comprend davantage d’opérations que celles qui découlent de l’article 3, paragraphe 1, de la directive n° 2001/29 ». Cette question repose davantage sur les mécanismes de transposition et d’harmonisation des droits nationaux, problématique annexe ici.

Suivant une analyse juridique technique et précise en termes de droit d’auteur, la Cour a conclu son raisonnement par le principe suivant : « ne constitue pas un acte de communication au public, tel que visé [à l’article 3 paragraphe 1 de la directive nº 2001/29], la fourniture sur un site internet de liens cliquables vers des oeuvres librement disponibles sur un autre site internet » (point 32).

La Cour rejette ainsi l’application du droit de communication au public par le titulaire des droits d’auteur, sur l’insertion d’un lien vers une oeuvre, dès lors que celle-ci est par ailleurs librement accessible sur internet (A). Néanmoins, elle soumet ce principe à des réserves, en envisageant la possibilité pour l’auteur de prendre des précautions, explicites ou implicites, pour protéger son oeuvre (B).

A. La consécration d’une certaine liberté de lier…

Dans une réflexion préliminaire sur le cadre juridique applicable, la Cour a considéré que le fait de fournir des liens cliquables vers des oeuvres protégées constitue un « acte de communication au public ». En effet, il ressort de l’article 3 paragraphe 1, de la directive nº 2001/29 que la notion de « communication au public » est fondée sur deux éléments :

  1. il y a « acte de communication » dès lors qu’une oeuvre est directement accessible au public par ce biais, que les personnes composant le public « utilisent ou non cette possibilité » (point 19). Le fait de fournir un lien cliquable vers une oeuvre protégée, disponible sur un autre site internet sans aucune restriction, offre bien un accès direct à l’oeuvre ;
  2. d’autre part, il convient que l’oeuvre protégée soit effectivement communiquée à un « public ». D’après une jurisprudence communautaire constante, il y a « public » en présence d’un nombre indéterminé de destinataires potentiels de la communication d’une oeuvre, ce qui implique également un nombre de personnes assez important (CJCE, 7 déc. 2006, aff. C-306/05, SGAE). Or, l’apposition sur un site internet d’un lien cliquable génère nécessairement un nombre indéterminé de destinataires, potentiellement important. Ainsi, un lien cliquable vers une oeuvre constitue bien une communication à un public de cette oeuvre.

Néanmoins, la Cour a rappelé qu’il ressort de la jurisprudence communautaire antérieure que pour qu’il y ait « communication au public » au sens de l’article 3, paragraphe 1, et pour donner ainsi prise au droit exclusif de l’auteur, il est nécessaire que la communication, effectuée via un même support technique, vise un public « nouveau », soit un public non pris en compte par les titulaires du droit d’auteur lors de la communication initiale de l’oeuvre (Arrêt SGAE, précité).

Or, pour la Cour, un contenu initialement mis à disposition sur internet, et qui ne contient pas de restriction, vise ainsi tout le public des internautes. Un nouveau lien ne saurait donc accroître la portée initiale. Celui-ci ne constitue donc pas une « communication au public » au sens du droit communautaire (Voir notamment le point 26 de la décision « [lorsque] le public ciblé par la communication initiale était l’ensemble des visiteurs potentiels du site concerné, car, sachant que l’accès aux oeuvres sur ce site n’était soumis à aucune mesure restrictive, tous les internautes pouvaient donc y avoir librement accès »). L’une des portées majeures de l’arrêt repose sur la reconnaissance d’un public unique sur internet, dès lors qu’aucune segmentation n’est opérée par l’ayant droit.

L’analyse de la Cour est limpide et explicite : l’auteur d’une oeuvre librement accessible sur un site internet ne saurait restreindre la possibilité pour un tiers d’apposer un lien cliquable vers celle-ci dans la mesure où il n’y a pas de public nouveau.

B. … soumise à la volonté du titulaire du droit d’auteur

L’arrêt Svensson a été reçu de manière positive dans la mesure où la Cour préserve dans l’absolu la « liberté de lier ». Néanmoins, le raisonnement de la Cour, qui cherche également à trouver un équilibre avec la protection par les auteurs de leurs droits, introduit des conditions à cette liberté de lier.

En effet, d’après l’analyse développée par la CJUE, le droit exclusif des auteurs à soumettre si la création d’un lien vers un contenu est libre, ce n’est que sous réserve qu’aucune de ces conditions ne soit présente :

  • la mise à disposition initiale du consentement préalable des ayants droit ;
  • le contournement de mesures de sécurité ; ou
  • le dépassement de la volonté de l’auteur/ayant droit, peu important que le contenu soit librement accessible ou non.

Ainsi, la première condition instaurée par la Cour est le consentement de l’auteur à la communication initiale de l’oeuvre, et ce sans aucune restriction. Il s’agit sans nul doute d’une analogie au principe d’épuisement du droit : lorsque les titulaires des droits sur l’oeuvre autorisent la communication initiale sans restriction, ils sont réputés consentir à sa mise à disposition pour l’ensemble des internautes (point 27).

Néanmoins, la Cour ne précise pas les conditions de la création d’un lien cliquable vers une oeuvre dont la première mise en ligne serait illicite. En poursuivant la logique dessinée par la Cour, le consentement de l’auteur serait nécessaire dans la mesure où il y a un public nouveau et distinct de celui initialement choisi par l’auteur (en l’occurrence, aucun internaute). De fait, si la première mise en ligne d’une oeuvre est illicite, ou à tout le moins sans l’aval de l’auteur, le public « internaute » n’est pas visé par le consentement de l’auteur. Dans cette perspective, le lien permettant aux internautes d’accéder directement à l’oeuvre constitue une communication de celle-ci à un public nouveau. Cette première limite posée par la Cour permet donc aux auteurs de se prémunir contre le partage de leurs oeuvres non numérisées, et non encore mises en ligne.

La Cour ne précise pas les conditions de la création d’un lien cliquable vers une oeuvre dont la première mise en ligne serait illicite

Par ailleurs, la Cour précise (point 30) que le lien ne doit pas permettre de contourner des mesures de restriction prises sur le site où se trouve l’oeuvre pour protéger l’accès à celle-ci, par exemple en n’en permettant l’accès qu’à un public choisi. Dans ces conditions, le lien « constitue une intervention sans laquelle lesdits utilisateurs ne pourraient pas bénéficier des oeuvres diffusées » (point 31) et permet ainsi la communication de l’oeuvre à un public nouveau. C’est pourquoi la Cour précise bien que seules les oeuvres initialement en libre accès peuvent être « pointées » par un lien cliquable, sans consentement préalable du titulaire des droits. En d’autres termes, la communication de l’oeuvre ne doit en aucun cas outrepasser la volonté exprimée de l’auteur.

De la même manière, un lien vers une oeuvre qui ne serait plus disponible sur le site de communication initiale, ou bien disponible mais sous des conditions nouvelles de restriction, nécessiterait également le consentement du titulaire des droits. En effet, la décision de l’auteur peut varier dans le temps, et le poseur de liens va devoir s’y conformer, sous peine de s’exposer à des sanctions pour contrefaçon de droits d’auteur.

Bien que l’arrêt de la CJUE soit particulièrement précis sur certains aspects, il demeure des incertitudes auxquelles la jurisprudence ultérieure devra sans doute répondre. Notamment quant à la manifestation du consentement ou du refus de l’auteur à la communication de son oeuvre. Ainsi, si les abonnés sont clairement visés par l’arrêt (point 31), comme étant une restriction à la communication de l’oeuvre, le consentement de l’auteur ne s’exprime pas toujours de manière aussi claire. De la même manière, il est précisé que le lien ne doit pas permettre de contourner des restrictions. Or si les restrictions techniques sont a priori plus difficiles à contourner, c’est également toute restriction contractuelle à l’accès d’une oeuvre qui doit être respectée, qu’elle se matérialise techniquement ou pas (par exemple au moyen d’un paywall ou « muraille de paiement » limitant les accès aux seuls abonnés).

Compte tenu du raisonnement de la Cour, on peut s’attendre à ce que le principe à suivre pour poser un lien vers une oeuvre protégée soit de respecter autant que possible la volonté de l’auteur, exprimée de manière implicite ou explicite.

Enfin, elle ne fait aucune distinction entre les liens simples (une URL générique), les liens profonds (vers un contenu spécifique du site) et les liens frames, c’est-à-dire les liens permettant à l’oeuvre d’être visuellement perceptible sur le site où le lien se trouve. Ainsi, d’après la Cour, le fait que l’oeuvre soit directement visible, grâce à un lien frame sur un site internet secondaire à la communication initiale sans restriction, n’implique pas la nécessité du consentement préalable de l’auteur. En effet, la Cour considère que, malgré la possibilité de visualisation directe de l’oeuvre, il n’y a pas de public nouveau visé, puisque la communication initiale visait d’ores et déjà l’ensemble des internautes potentiels. Il n’y a donc pas de régime d’autorisation spécifique qui doive s’appliquer aux liens frames (point 30). Néanmoins, on peut encore s’interroger sur la multiplicité des possibilités d’inclusion de contenus tiers sur un site donné et les limites à apporter en fonction des techniques employées. En effet, l’embedding pourrait, selon les cas, remettre en question le droit à la paternité de l’auteur, point non abordé par la question posée en l’espèce.

Bien que rendu quelques jours plus tard, l’arrêt Svensson fournit des clefs d’analyse intéressantes de l’arrêt Bluetouff rendu par la Cour d’appel de Paris. En effet, la Cour d’appel s’est prononcée sur le vol de données dans des conditions où celles-ci sont en libre accès sur internet de manière manifestement contraire à la volonté de leur propriétaire.

II. Du « vol de musique » au « vol de données » – L’évolution de la propriété immatérielle

Depuis plusieurs années, les messages se répètent pour la mise en garde du public contre le « vol » de biens immatériels, par analogie avec des biens physiques. « Vous ne voleriez pas une voiture ? Alors ne volez pas de musique, de films, etc. ». Si l’arrêt Svensson remet en question cette analogie bancale, les juridictions françaises, elles, en ont bien pris note.

L’arrêt Bluetouff constitue une nouvelle étape dans l’évolution jurisprudentielle de la qualification du « vol de données » ou « vol de fichiers informatiques » (Voir, notamment, Cass. crim., 4 mars 2008, nº 07-84.002 et TGI Clermont- Ferrand, ch. corr., 26 sept. 2011.). De fait est qualifié de « vol », d’après l’article L. 311-1 du Code pénal, « la soustraction frauduleuse de la chose d’autrui » (nous soulignons). Cette définition sous-entend deux éléments. D’une part, le vol doit porter sur une chose et, d’autre part, il faut qu’il y ait soustraction de cette chose. De plus, il ressort d’une jurisprudence constante que le vol doit reposer sur un élément matériel. La difficulté des juges à admettre le vol de données d’un point de vue juridique s’explique ainsi tant par le caractère immatériel des données que du fait que, dans la plupart des affaires concernées, les données ne sont pas « soustraites » (c’est-à-dire, avec dépossession du propriétaire initial) mais simplement copiées (Sur le sujet, voir Huet J., in Comm. com. électr. 2008, nº 12, étude 25 ; comm. Caprioli É.-A., in Comm. com. électr. 2012, nº 3, comm. 36.)

Dans le cas de l’arrêt Bluetouff, cette difficulté est renforcée par le fait que les données « volées » étaient techniquement en libre accès au travers d’une requête, certes « complexe » sur les moteurs de recherche. En effet, au cours de ses recherches sur l’assistance française au régime syrien, un bloggeur sous le pseudonyme de « Bluetouff » a pu accéder à une base de données de santé de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail. Un lien, indexé sur le moteur de recherche grand public Google, permettait d’accéder directement à l’extranet de l’Agence. Bien qu’en remontant l’arborescence du site « Bluetouff » se soit rapidement aperçu que l’accès à cette base de données était restreint (il nécessitait habituellement un identifiant et un mot de passe), le blogueur a néanmoins poursuivi sa navigation sur le site et a téléchargé 7,7 Go de données, soit l’équivalent en texte de près de 2 000 fois la Bible. Celles-ci furent utilisées à l’appui de la rédaction d’un article publié sur internet et qu’il a vraisemblablement transmises à un tiers, puisqu’elles ont servi aux fins d’illustration d’un second article. C’est à l’occasion de ce second article que l’Anses a été alertée de la publication de ces documents confidentiels. Une courte enquête a ensuite permis de remonter aisément jusqu’à la personne cachée derrière le pseudonyme « Bluetouff ».

Le Tribunal correctionnel de Créteil avait d’abord relaxé « Bluetouff » de toutes les prétentions de l’Anses, qui a ensuite choisi de ne pas faire appel, sans doute du fait de son incontestable responsabilité dans la faille de son système informatique. C’est donc le parquet qui s’est constitué partie civile et a décidé de porter l’affaire devant la Cour d’appel de Paris, qui a entrepris de confirmer en partie le jugement de première instance. Les juges d’appel ont cependant condamné « Bluetouff » à 3 000 € d’amende pour maintien frauduleux sur un système de traitement automatisé de données (ou S.T.A.D.) et « vol de données ».

Internet force le droit dans ses retranchements, jusqu’aux limites de sa plasticité. Si, contrairement à l’arrêt Svensson, la solution adoptée par la Cour d’appel remet en question le droit existant et appelle à une intervention réglementaire (A), parallèlement à cet arrêt la tendance à l’analyse subjective se confirme (B).

A. De la difficulté à trouver un fondement juridique du vol de données

1°/ Difficulté de définir juridiquement le vol de données

La position de la Cour d’appel constitue un revirement par rapport à la position du Tribunal de Créteil qui avait considéré qu’« en l’absence de toute soustraction matérielle des documents appartenant à l’Anses, le simple fait d’avoir téléchargé et enregistré sur plusieurs supports des fichiers informatiques de l’Anses qui n’en a jamais été dépossédée, puisque ces données, élément immatériel, demeuraient disponibles et accessibles à tous sur le serveur, ne peut constituer l’élément matériel du vol, la soustraction frauduleuse de la chose d’autrui, délit supposant, pour être constitué, l’appréhension d’une chose » (Souligné par nous). La nécessité d’un support matériel au vol est pourtant l’approche classique, même en matière de données, quitte à être « capilotractée »(Sur le sujet, voir Cass. crim., 20 oct. 2010 – « Vol de CD ROM et de fichier informatique »).

L’arrêt Bluetouff innove : c’est la première fois que le vol de données est caractérisé alors que les données sont copiées à distance. De manière classique, la juridiction palliait cette lacune avec un rapprochement, pas toujours évident, avec la loi « Godfrain ». En effet, c’est la Loi nº 88-19 du 5 janvier 1988 relative à la fraude informatique, dite loi « Godfrain » qui a introduit dans le Code pénal les délits liés aux S.T.A.D. et notamment, les accès et maintien frauduleux, l’entrave à leur bon fonctionnement (C. pén., art. 323-1). De même, pour la suppression ou la modification de données contenues dans un S.T.A.D., curieusement rien n’est pourtant prévu pour la soustraction de données…

Il existe donc un arsenal complexe de protection des délits informatiques, mais la donnée ou le fichier informatique, en tant que tels, ne sont pas protégés. Ce statut fantôme de la donnée se retrouve également dans le cadre de la protection des bases de données par le Code de la propriété intellectuelle, où ce ne sont pas les données elles-mêmes qui sont protégées, mais bien la base dans son ensemble, à travers la valeur ajoutée par l’auteur dans l’organisation et la création de celle-ci ou du producteur dans son investissement (C. propr. intell., art. L. 112-3 et L. 341-1).

Ainsi la qualification de vol de données n’est pas entièrement satisfaisante, ce qui explique sans doute que les juges ont jusqu’alors toujours procédé à une double qualification juridique lorsqu’une telle situation était soumise à leur appréciation.

2°/ Le vol de données : une qualification non autonome ?

La jurisprudence sur le sujet montre que le vol de données ou de fichiers informatiques a jusqu’à présent toujours fait l’objet d’une double qualification juridique et d’une volonté des juges de circonstancier ce type de délit.

Ainsi, dans un arrêt récent de la Cour de cassation (Cass. crim., 4 mars 2008, n° 07-84.002), le vol de données a été caractérisé suivant une double condition : du fait non solum de l’appréhension, même momentanée, du support sur lequel se trouvaient les données, sed etiam du caractère secret de celles-ci. Les juges ont en conséquence fondé leur décision sur le détournement du support sur lequel se trouvaient les données et le caractère secret des informations concernées. En outre, cet arrêt insistait longuement sur la nécessaire matérialité du vol. Néanmoins, ce raisonnement laissait d’ores et déjà entrevoir la réflexion selon laquelle le vol pourrait être caractérisé dès lors que les opérations effectuées allaient à l’encontre de la volonté du propriétaire des données. Le caractère secret des informations manifeste l’expression de la propriété physique sur des données immatérielles, répondant ainsi aux critères posés par le Code pénal.

En 2011, les juges du Tribunal correctionnel de Clermont-Ferrand (TGI Clermont-Ferrand, ch. corr., 26 sept. 2011) ont condamné une ancienne salariée pour avoir transféré des informations confidentielles appartenant à son employeur, et pour les avoir utilisées à des fins personnelles. C’est la première fois que les juges retiennent le vol de fichiers informatiques, non pas d’un vol « soustraction », mais bien d’un vol « reproduction » (Dichotomie heureuse, réalisée par notre confrère Éric A. Caprioli, in Comm. com. électr. 2012, n° 3). De cette manière, les juges reconnaissent que l’intention du vol portait bien sur l’information elle-même et non pas sur le support sur lequel se trouvaient les données. Néanmoins, là encore la salariée a été condamnée pour « vol de données et abus de confiance ». Un signe que la qualification de vol immatériel ne se suffit pas à elle-même.

De la même manière, dans l’arrêt Bluetouff, la qualification de « vol » paraît demeurer relativement circonstanciée. De fait, les données subtilisées revêtent un caractère potentiellement sensible au sens de la Loi n°78-17 du 6 janvier 1978 modifiée « Informatique et libertés », puisqu’il s’agit de données de santé et que l’Anses est un « opérateur d’importance vitale » (OIV) (C. défense, art. R. 1332-3). Le vol de ces données paraît donc particulièrement grave et attentatoire aux droits, tant individuels que collectifs. En outre, non seulement les données ont été subtilisées, mais elles ont également été communiquées à un tiers, puis au grand public, via l’illustration de deux articles de presse en ligne.

La volonté du détenteur des données importe tant, que les juges lui ont pardonné son absence de maîtrise technique dans une approche subjective imparfaite.

B. Vol de données et libre accès

1°/ Appréciation de la notion de « libre accès »

La condamnation de « Bluetouff » pour vol de données n’a de sens, semble-t-il, que complétée par le délit de « maintien frauduleux ». De fait, beaucoup d’observateurs ont critiqué la décision de la Cour d’appel de Paris, en rappelant que les données étaient librement accessibles, et surtout relativement facilement accessibles pour tout internaute averti (La démocratisation des outils numériques crée de nouvelles générations « nativement digitales », des techniciens aguerris.). Or, la Cour d’appel, en utilisant cette double qualification, rappelle que « Bluetouff » a reconnu avoir eu conscience de s’être trouvé sur un site protégé, c’est-à dire qu’il a téléchargé des données dont le propriétaire souhaitait manifestement qu’elles demeurent confidentielles et qui n’étaient visiblement en libre accès qu’en raison d’une faille informatique, peu important que celle-ci soit technique ou humaine.

Au regard du raisonnement tenu par la CJUE dans l’arrêt Svensson l’analyse de la Cour d’appel de Paris s’inscrit dans une mouvance similaire. En effet, dans la perspective du premier arrêt, toute communication à un public nouveau d’une oeuvre, c’est-à-dire un public qui n’était pas – explicitement ou implicitement – visé par le consentement initial de l’auteur, est soumise à l’autorisation de celui-ci. En appliquant cette logique à l’arrêt Bluetouff, on peut comprendre que l’Anses, propriétaire des données, voire auteur de la base de données, avait donné son consentement à la communication de celles-ci à un public très restreint. Néanmoins, la base de données n’était pas directement accessible via une indexation sur le moteur de recherche et au vu de l’arborescence du site, le caractère restreint et confidentiel des données était absolument manifeste. Aussi, cela signifie-t-il que la notion de « librement accessible » doit être appréciée au regard de la volonté exprimée explicitement ou implicitement par le propriétaire des fichiers et/ou de l’auteur d’une oeuvre.

2°/ Un revirement par rapport à la jurisprudence Kitetoa

Ce nouvel arrêt constitue un véritable revirement jurisprudentiel par rapport à la position antérieurement retenue dans les arrêts Kitetoa (TGI Paris, 13e ch., 13 févr. 2002 et CA Paris, 12e ch., 30 oct. 2002).

Au regard du raisonnement tenu par la CJUE dans l’arrêt Svensson l’analyse de la Cour d’appel de Paris s’inscrit dans une mouvance similaire

En effet, cet affaire portait sur une base de données nominatives appartenant à la société Tati, qui concernait plus de 4 000 internautes et se trouvait pourtant en libre accès grâce à une simple action au travers d’un moteur de recherche. L’éditeur du site  avait été condamné en première instance à une amende de 1 000 € et une peine de cinq ans d’emprisonnement pour « accès et maintien frauduleux » sur un système informatique (C. pén., art. 323-1, précité). L’éditeur du site avait en effet publié des extraits de la base de données sur son site en vue d’attirer l’attention sur la faille informatique, à la suite du silence de Tati après divers avertissements (La défaillance technique et sécuritaire de la société Tati, en tant que responsable de traitement, (article 29 de la loi « Informatique et libertés » et article 226-17 du Code pénal) n’avait en revanche pas été visée par le Tribunal correctionnel.).

En seconde instance cependant, la Cour d’appel de Paris avait constaté que les données étaient accessibles « par la seule utilisation des fonctionnalités du navigateur grand public Netscape » (CA Paris, 12e ch., sect. A., 30 oct. 2002, précité) et a considéré que celles-ci devaient « être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l’accès ».

Ainsi, pour la Cour, cela signifiait que les données, bien que visiblement confidentielles, du fait de leur caractère personnel notamment, étaient en pratique non confidentielles puisqu’en libre accès, sans aucune restriction technique, sur l’internet. Et ce alors même que l’auteur du « vol » était tout à fait conscient du caractère a priori confidentiel de ces données, puisqu’il avait lui-même averti la société Tati de la défaillance technique.

La Cour a cependant conclu qu’« il ne peut être reproché à un internaute d’accéder aux données, ou de se maintenir dans les parties des sites qui peuvent être atteintes par la simple utilisation d’un logiciel grand public de navigation », et laissa ainsi Tati sur la touche.

Les deux espèces sont similaires. Ce qui les distingue c’est la technicité de la méthode d’accès (requête simple vs requête complexe). Dans l’arrêt Kitetoa, la Cour sanctionne le manquement technique du détenteur (selon l’adage nemo auditur), dans la seconde elle le pallie. La subjectivité l’emporte et l’on ne peut s’empêcher d’imaginer ce qui serait advenu si « Bluetouff » n’avait pas reconnu avoir eu conscience de s’introduire frauduleusement dans un S.T.A.D.. La notion de « vol » autonome, aurait-elle alors survécu ? Une telle analyse paraît tout de même insatisfaisante, et, compte tenu de ces développements, un ajout à la loi « Godfrain » (la notion de « soustraction ») serait heureux.

Conclusions

L’affaire Bluetouff a fait l’objet d’un pourvoi devant la Cour de cassation, dont la décision sera très attendue, dans la mesure où elle permettrait d’aboutir à une définition plus précise, et surtout stabilisée, du « vol » appliqué aux données. On peut craindre, néanmoins, une décision en demi-teinte de la Haute Juridiction qui a toujours donné le sentiment, quant à ce type de thématiques, de ne pas vouloir prendre le risque de se cantonner dans une interprétation trop cloisonnée. Aussi ne peut-on que souhaiter que la publication de l’arrêt Svensson offre des pistes de lecture et d’analyse aux juges nationaux.

Avec ce type de mécanismes à l’oeuvre sur l’internet se pose également la question de la responsabilité liée à la propriété et à la publication de contenus, ce à quoi ni la CJUE, ni les juridictions françaises n’ont pour l’heure répondu. En effet, dans le cadre de la création d’un lien hypertexte vers une oeuvre protégée qui se révélerait illicite, dans quelle mesure la responsabilité du créateur de ce lien pourrait-elle être engagée ? De la même manière, dans l’hypothèse d’un « vol » de données à caractère personnel, librement accessibles sur l’internet, le « voleur », ou à tout le moins le « copieur », qui utiliserait ces données pour des finalités nouvelles, ne deviendrait-il pas à son tour responsable d’un traitement de données au sens de la loi « Informatique et libertés » ? Si le crime ne paie pas, le vol a de l’avenir devant lui.

Première publication : Revue Lamy Droit de l’Immatériel – RLDI, n°103, avril 2014 en collaboration avec Olivia Roche.

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *