Cette réflexion de synthèse juridique s'adresse notamment aux professionnels rôdés à la propriété intellectuelle – spécialement au droit d'auteur – et à la protection de données personnelles – spécialement en Europe.
Formant régulièrement des non-juristes à ces deux domaines juridiques, nous sommes de plus en plus frappés, dans notre effort de vulgarisation des concepts, par la proximité entre deux notions qui relèvent d'un côté, de la propriété intellectuelle et de l'autre, des traitements de données à caractère personnel.
Pour marquer les esprits, nous avons fini par dénommer "périmètre d'exploitation" cette tranche d'exploitation qu'un auteur – ou tout autre titulaire de droit de propriété intellectuelle sur une marque, un modèle ou un brevet – doit définir lorsqu'il autorise l'exploitation d'une de ses œuvres par un tiers, par exemple un éditeur, une revue, un musée…
La loi prévoit que lorsque l'auteur cède à un tiers le droit d'exploiter son œuvre, il doit impérativement définir dans quelle mesure ce tiers peut exploiter l'œuvre. Cet usage ne peut être illimité et l'article L.131-3 al.1er du Code de la propriété intellectuelle dispose que l'acte de cession serait nul s'il ne mentionnait pas précisément les droits d'exploitation cédés à l'exploitant par l'auteur (droit de représentation, droit de reproduction, droit de traduction…) et pour quels types d'usages quant à la finalité de la cession (publication dans un journal, sur un site web, pour les besoins d'un cours à distance…), quant au lieu et quant à la durée.
Si l'une quelconque de ces mentions fait défaut dans l'acte – obligatoirement constaté par écrit depuis la loi du 7 juillet 2016 (article L.131-2 nouvel al.2) – celui-ci est nul.
C'est tout cet ensemble d'exigences que nous avons dénommé "périmètre d'exploitation" pour illustrer clairement la logique de fonctionnement de la propriété intellectuelle : un titulaire de droits intellectuels (auteur, déposant d'une marque ou d'un brevet) ne cède AUTOMATIQUEMENT en bloc la totalité des droits d'exploiter sa création – sauf à définir volontairement et expressément cette totalité des droits comme périmètre –, mais toujours selon un périmètre bien délimité dans l'acte, conformément à l'article L.131-3 al.1er précité.
Contrairement à ce qui se pratique dans certains autres pays du monde – les États-Unis notamment – lorsque des données à caractère personnel (c'est-à-dire des données permettant d'identifier une personne physique, quelles qu'elles soient) sont traitées au sein de l'Union européenne, ce traitement doit être strictement limité aux finalités pour lesquelles il a été mis en œuvre. Ces finalités doivent être portées à la connaissance des "personnes concernées", pour reprendre la terminologie du Règlement général sur la protection des données (RGPD – Règlement 2016/679, entré en application le 25 mai 2018).
Le responsable de tout traitement de données personnelles, doit donc respecter des limites pour le traitement qu'il a pris l'initiative de réaliser. Ces limites sont en partie définies par les textes législatifs : le RGPD, texte uniforme dans tous les pays de l'Union – et pour certains détails laissés à l'initiative des États membres, ce sont en France la loi du 6 janvier 1978 entièrement récrite pour être conforme au RGPD et son décret d'application qui s'en chargent. Ces textes sont en vigueur depuis le 1er juin 2019. Dans cet espace de liberté limité, le responsable du traitement dispose encore d'une marge de manœuvre qui tient dans les finalités du traitement qu'il va définir. Il a l'obligation d'informer les personnes concernées par ce traitement de ces finalités et doit par la suite s'en tenir à celles-ci. Exemple simpliste, le fichier des clients d'une entreprise commerciale ne peut être utilisé pour d'autre finalités que celles de la gestion des clients (commandes, paiements…) et – s'il l'a prévu et annoncé aux intéressés qui y ont donné leur consentement – transmis à des partenaires commerciaux qui pourront ainsi se servir des mêmes données pour de la prospection commerciale.
Tout ce périmètre d'usage des données clients constituent bien ce qui ressemble fortement au périmètre d'exploitation appartenant au titulaire d'un droit de propriété intellectuelle.
NB : Rappelons que dans d'autres pays – spécialement aux États-Unis – un traitement de données personnel peut ne pas connaître de finalités, donc pas de limites d'utilisation. Ainsi tout client du site Amazon – entreprise de droit américain – transmet au vendeur ses coordonnées qui pourront ainsi être communiquées à d'autres entités, jusqu'au gouvernement des États-Unis, par exemple à la NSA ou au FBI.
Comme on le voit, ces deux notions, l'une issue de la propriété intellectuelle, l'autre du droit de l'information – spécialement de la protection des données personnelles –, sont très proches et issues d'un même esprit : quelqu'un détient le droit d'autoriser ou de consentir à l'usage de quelque chose qui lui appartient selon un périmètre bien défini :
Lorsqu'on fait signer un acte de cession de droits sur son image par une personne physique, il est important de spécifier pour quels usages – ou si l'on préfère "à quelles fins" – les droits sont ainsi cédés et pour quels lieu et durée.
L'utilisation de l'image d'une personne physique constituant également un "traitement de données à caractère personnel" au sens du RGPD, il est significatif de constater que la notion de consentement prévu pour toute mise en œuvre de tels traitements – un des piliers principaux du RGPD – vient renforcer l'obligation de demander à la personne physique son accord pour utiliser son image.
Consulter nos actualités sur la Propriété intellectuelle, le Droit d'auteur et sur les Données à caractère personnel.
Didier FROCHOT
Site : © 2007-2022 Les Infostratèges SARL
Contenu :
Directeurs de la publication :
Didier Frochot, Fabrice Molinaro