France: L'impact du Data Act sur la protection des données industrielles

La donnée, nouvel or noir du XXIème siècle s'est imposée comme une ressource stratégique essentielle. 

L'Union européenne, qui demeure le premier marché mondial, a décidé de créer, in fine, un marché unique européen de la donnée. 

Après l'entrée en vigueur du Règlement général sur la protection des données (RGPD) en 2018 visant à protéger les données personnelles, c'est aux données industrielles, et particulièrement à celles issues de l'utilisation d'objets connectés, que s'est récemment intéressé le Conseil de l'Union européenne en adoptant le Data act. 

L'adoption de ce nouveau règlement européen le 27 novembre 2023, offre l'occasion de revenir sur les dispositions légales destinées à protéger la donnée. Il est en effet important de confronter le Data act avec les principes clés du droit de la propriété intellectuelle, principes ayant vocation à s'appliquer aux bases de données visées par le Data act. 

La protection de la structure des bases de données par le droit d'auteur 

En vertu du Code de la propriété intellectuelle¹, les recueils d'œuvres ou de données telles que des bases de données, constituent des créations intellectuelles. A ce titre, l'auteur d'une base de données peut se voir attribuer un droit de propriété intellectuelle, lorsqu'il a choisi de manière singulière la structure de celle-ci. Il doit démontrer l'originalité.     

Accorder une protection par le droit d'auteur aux bases de données signifie cependant d'en adopter le régime. Ainsi, pour bénéficier de la protection, l'auteur d'une base de données devra démontrer que sa façon de constituer la base est originale et personnelle. Mais cela pourra surtout permettre à l'auteur d'une telle base d'en refuser l'exploitation, ou à l'inverse, d'obtenir une rémunération en contrepartie de son autorisation. 

Toutefois, ce n'est pas la seule protection qu'il faut ici envisager. 

Le droit sui generis des bases de données accordé au producteur

Issu d'une directive européenne², le droit spécial des bases de données vise à récompenser le producteur, à l'initiative de la création. C'est grâce à son investissement, et donc, à sa prise de risque, qu'une telle base de données peut être constituée. 

Pour bénéficier de cette protection, le producteur devra ainsi pouvoir démontrer qu'il a réalisé un investissement financier, matériel ou humain substantiel dans cette base³. S'il parvient à prouver son investissement, le producteur pourra, en retour, interdire toute extraction ou réutilisation d'une partie qualitativement ou quantitativement substantielle du contenu de la base de données⁴. 

Ce droit spécial des bases de données n'exclut pas pour autant la protection par le droit d'auteur classique. La loi prévoit en effet que le droit sui generis confère une protection indépendante qui peut se cumuler avec la protection résultant du droit commun⁵. 

Or, ces régimes de protection pourraient être partiellement remis en cause par l'entrée en vigueur du Data Act. 

L'entrée en scène du Data Act

Constatant que la plupart des données sont concentrées entre les mains de quelques entreprises qui exercent une influence disproportionnée sur l'économie mondiale, le législateur européen a souhaité équilibrer l'accès aux données et la répartition de la valeur issue de leur utilisation. 

Le Data Act impose ainsi aux détenteurs de :

• partager les données issues des objets connectés aux utilisateurs⁶. 
• faciliter l'accès à ces données⁷. 

Par ailleurs, l'utilisateur de l'objet connecté devra disposer d'un droit de partager ses données avec des tiers⁸. 

Dans une certaine mesure, l'utilisateur retrouve la maîtrise de ses données puisqu'il doit être libre d'utiliser les données à toute fin licite⁹. 

Concernant les données protégées, le législateur européen se veut rassurant : « tout droit de propriété intellectuelle devra être respecté lors du traitement des données »¹⁰, car « il importe de préserver les incitations à investir dans des produits dotés de fonctionnalité fondées sur l'utilisation des données »¹¹. Ainsi « le présent règlement n'a pas d'incidence sur les actes juridiques de l'Union et nationaux prévoyant la protection des droits de propriété intellectuelle¹²  ». 

Attention toutefois : le Data act exclut les données issues des produits connectés de la protection par le droit sui generis des bases de données¹³. En effet, le texte précise que « le droit sui generis (des bases de données) ne s'applique pas lorsque des données sont obtenues à partir d'un produit connecté ou d'un service connexe relevant du champ d'application du présent règlement ou générées par un tel produit ou service », en particulier concernant le droit des utilisateurs d'accéder à ses données, ou de partager ses données avec des tiers. 

Autrement dit, le droit de l'utilisateur sur ses données prévaudra sur le droit du producteur sur sa base. A ce titre, le fabricant d'une base de données ne pourra plus interdire à l'utilisateur la possibilité d'extraire ou de réutiliser une partie substantielle, voire la totalité, des données contenues dans la base¹⁴ lorsque celles-ci proviennent d'objets connectés ou de services connexes.

Les producteurs de bases de données constituées à partir d'objets connectés, et notamment celles générées automatiquement par des capteurs, pourraient donc ne plus pouvoir prétendre à la protection spéciale du droit de la propriété intellectuelle. Le Data act implique en effet que les producteurs permettent par exemple aux acteurs spécialisés dans la réparation et l'entretien, d'accéder aux données du produit pour proposer des services parfois concurrentiels. 

Toutefois, si le monopole du producteur sur ses données pourrait être mis à mal au regard de ces dispositions, cela n'exclut pas pour autant la protection plus classique du droit d'auteur sur la structure de la base. Encore faut-il être en capacité de justifier de l'antériorité sur cette structure ainsi que de l'originalité de celle-ci.

Une autre stratégie pourrait être de faire valoir le secret des affaires pour protéger certaines données. En ce sens, le règlement prévoit que « lorsque le détenteur de données qui est un détenteur de secret d'affaires peut démontrer qu'il est très probable qu'il subisse un préjudice économique grave du fait de la divulgation de secrets d'affaires », malgré les mesures prises par l'utilisateur avant la divulgation pour préserver leur confidentialité, « le détenteur de données peut refuser au cas par cas une demande d'accès aux données spécifiques en question »¹⁵. 

En tout état de cause, si ouverture il y a, celle-ci n'est pas absolue. Un contrôle de l'usage pourra en effet être utilement défini. Par contrat, le détenteur de données pourra encadrer l'usage de l'utilisateur de ces données. Il est par exemple interdit à l'utilisateur de se servir des données pour concurrencer le produit du fabricant, ou pour obtenir des informations sur la situation économique, les actifs, ou méthodes de production du fabricant¹⁶. L'interdiction de concurrence déloyale pourrait ainsi permettre au producteur de défendre efficacement son investissement. Encore faut-il pour cela encadrer contractuellement la mise à disposition des données et être en mesure d'en contrôler l'usage.

Compte tenu de ce qui précède, les producteurs et détenteurs de base de données auront tout intérêt à définir une stratégie de propriété intellectuelle tenant compte des obligations nées du Data act afin de sécuriser leurs investissements. Droit d'auteur, secret des affaires, politique contractuelle constituent à ce titre des outils essentiels à optimiser et à déployer.

Footnotes

1. Article L 112-3 

2. Directive 96/9/CE du Parlement européen et du Conseil du 11 mars 1996 concernant la protection juridique des bases de données

3. Article L 341-1 du code de la propriété intellectuelle 

4. Article L 342-1 du code de la propriété intellectuelle 

5. Article L 341-1 du code de la propriété intellectuelle 

6. Article 3 Data act 

7. Article 4 Data act

8. Article 5 Data Act

9. Considérant n°30 du Data Act

10. Considérant n°30 du Data Act

11. Considérant n°30 du Data Act

12. Considérant n°13 du Data Act

13. Article 43 du Data Act

14. Comme l'article 7 de la directive 96/9/CE le prévoit

15. Article 4.6 et 8 du Data Act

16. Article 4.10 du Data Act

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.