Les fichiers clients des entreprises de commerce en ligne ont une grande valeur commerciale et constituent un élément du fonds de commerce électronique. Du fait de cette valeur économique, ces fichiers sont souvent l’objet de cessions commerciales, sous réserve du respect des règles édictées par la CNIL en matière de protection des données personnelles.

( TGI de Paris -21 février 2013 ; Sarenza c/ Jonathan et autres)

Mais les entreprises disposant d’un fichier clients conséquent s’exposent régulièrement au piratage de son contenu. Un jugement du TGI de Paris en date du 21 février 2013 montre que si en principe l’entreprise victime d’une extraction ou réutilisation de sa base de données peut se placer sous les auspices du droit d’auteur, cette protection peut parfois faire défaut, et il faudra alors recourir au droit commun civil ou commercial qui assurera cette défense.

En l’espèce, le site de la Société Sarenza, spécialisée dans la vente en ligne d’articles de maroquinerie, a été l’objet du piratage de son fichier clients par la société NA2J média spécialisée dans la vente en ligne de meubles.

L’accès par la société NA2J média à la base de données du site Sarenza.com, contenant 4.7 millions d’adresses électroniques de clients, a été facilité par une employée de la Société Sarenza. L’employée entretenait des relations personnelles avec le gérant de NA2J et disposait des codes d’accès aux données personnelles des clients.

Durant plusieurs semaines, NA2J a pu librement consulter la base de données du site Sarenza.com, procéder à leur exploitation et céder des milliers d’adresses électroniques aux sociétés Vivaki et à plusieurs agences d’e-mailing. Ce n’est qu’après la réception, à des adresses pièges, de courriels pour la promotion de produits de la société NA2J que la Société Sarenza a constaté les intrusions dans son système.

La société Sarenza agit donc contre les différentes sociétés en réparation sur les fondements de la contrefaçon à sa base de données et de la concurrence déloyale et parasitisme. Enfin, à l’encontre des sociétés Vivaki qui ont acquis de NA2J des adresses électroniques, elle demande au Tribunal de constater l’existence d’une faute d’imprudence, consistant à avoir acquis des données personnelles sans s’être préoccupée de leur provenance, en application de l’article 1382 du Code civil. Elle évalue son préjudice à environ 4.5 millions d’euros.

Le Tribunal ne retiendra finalement que la responsabilité des sociétés Vivaki pour faute d’imprudence et prononcera une condamnation de 100.000 euros. Cette condamnation sera ramenée in fine à 70.000 euros, le Tribunal considérant que la Société Sarenza devait supporter à hauteur de 30 % son propre dommage du fait de l’insuffisance de sa gestion des identifiants d’accès à sa base.

Les demandes en contrefaçon de base de données ainsi que celles en concurrence déloyale et parasitisme seront rejetées. S’agissant de l’action en concurrence déloyale et parasitisme, le Tribunal a considéré que les sociétés au litige n’intervenaient pas dans le même secteur d’activité. C’est le rejet de l’application de la protection au titre du droit d’auteur, et du droit sui generis, ainsi que l’obligation de sécuriser son système de données qui font l’intérêt du présent jugement.

1/ Défaut de qualification de base de données

La base de données bénéficie selon le Code de la propriété intellectuelle (CPI) de la protection au titre du droit d’auteur. L’article L112-3 du CPI en donne la définition suivante : « on entend par base de données un recueil d’œuvres, de données ou d’autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou par tout autre moyen ».

La base de données bénéficie également d’une protection découlant d’un droit sui generis. L’article L341-1 du CPI dispose en effet que «  le producteur d’une base de données entendu comme la personne qui prend l’initiative et le risque des investissements correspondants, bénéficie d’une protection du contenu de la base lorsque la constitution, la vérification ou la présentation de celui-ci atteste d’un investissement financier, matériel ou humain substantiel  ».

La reconnaissance de la qualité de producteur d’une base de donnée confère par ailleurs en vertu de l’article L.342-1 le droit d’interdire l’extraction ou la réutilisation d’un contenu qualitativement ou quantitativement substantiel d’une base de données.

• La preuve de la qualité de producteur

Ce sont ces textes que la société Sarenza invoque pour demander au Tribunal de constater l’existence d’une contrefaçon sur sa base de données. Pour se faire elle devait préalablement démonter sa qualité de producteur d’une base de données. Or, elle considère disposer de cette qualité de producteur de base de données tel que défini à l’article L112-3, à raison des investissements qu’elle y a consacrés pour collecter les informations et effectuer leur mise à jour ainsi que leur vérification.

Ensuite, une fois établie sa qualité de producteur, la société Sarenza avait à justifier qu’il y a eu soit extraction soit réutilisation d’un contenu quantitativement ou qualitativement substantiel de sa base de données. Or la saisie-contrefaçon qu’elle a réalisée dans les locaux des sociétés, montre un taux d’adresses identiques de 94.4 % entre sa base de données et celle transmise par son employée aux sociétés concernées.

• La contestation par les défenderesses de la qualité de producteur

Les sociétés NA2J et Vivaki font valoir pour leur défense que les fichiers d’adresses électroniques ne peuvent pas constituer une base de données au sens de l’article L.112-3 et que par conséquent il n’y a pas lieu de reconnaître la qualité de producteur à la société Sarenza.

Toutefois, les sociétés défenderesses s’abstiennent de préciser en quoi il n’y a pas base de données au sens de l’article L.112-3, préférant concentrer leur argumentation sur la notion d’investissement prévue à l’article L.341-1, lequel subordonne la protection par le droit sui generis à la condition d’établir que la constitution, la vérification ou la présentation du contenu de la base témoigne d’un investissement financier ou humain substantiel.
 
• L’investissement économique substantiel

Ce faisant les défenderesses s’inspirent de la jurisprudence dégagée par la CJUE dans ses arrêts du 9 novembre 2004 (notamment, CJUE, 9 nov. 2004, The British Horseracing Board Ltd). Ces arrêts précisent ce qu’il faut entendre par le caractère substantiel de l’investissement.

L’investissement s’entend des moyens consacrés à la recherche d’éléments existants et à leur réunion dans une base, c’est-à-dire des efforts réalisés pour obtenir, vérifier et présenter les éléments, sans que les éléments créés par le producteur lui-même soient pris en compte dans l’appréciation du caractère substantiel de l’investissement. Il s’agit en somme de tous les moyens spécifiques et autonomes consacrés à la constitution de la base de données.

C’est ainsi que la simple accumulation de données dans le cadre de rencontres sportives qui ne nécessitent aucune mise en œuvre de moyens spécifiques et autonomes pour leur obtention, vérification ou présentation de leur contenu afin de les réunir dans une base, ne constituent pas un investissement substantiel et ne peut par conséquent bénéficier du droit sui generis (CJUE, 9 nov. 2004, The British Horseracing).

Les sociétés défenderesses reprochent justement à la société Sarenza de ne pas avoir réalisé d’investissements substantiels répondant aux critères retenus par la CJUE et que finalement la part d’investissement dans la création de la base de données l’emporte sur celle des investissement liés à l’obtention, la vérification ou la présentation d’éléments existants contenus dans sa base.

Par ailleurs, c’est aussi en référence à la jurisprudence de la CJUE de 2004 que les sociétés défenderesses entendent réfuter l’argument relatif à l’extraction de 94.4 % de la base de données de la société Sarenza.

En effet, la CJUE a pu décider que la valeur qualitative du contenu extrait de la base de données importait peu et que l’interrogation devait porter davantage sur l’investissement réalisé en amont pour l’obtention, la vérification et la présentation du contenu, savoir s’il était substantiel, « indépendamment du point de savoir si le contenu extrait représente une partie quantitativement substantielle du contenu général de la base de données protégée » (CJUE, 9 nov. 2004 The British Horseracing point 70).

Les juges du fond, bien qu’ils ne suivent pas toujours les raisonnements complexes retenus par la CJUE en matière d’investissement quantitativement substantiel, exigent des investissements substantiels pour l’obtention, la vérification ou la présentation du contenu de la base de données.

Ainsi, pour un Institut d’enseignement regroupant les coordonnées professionnelles et personnelles de ses anciens élèves, la cour d’appel a rejeté l’action fondée sur le droit sui generis en l’absence de production des documents comptables de nature à démontrer la part réservée dans ses comptes à la constitution, à la vérification et à la présentation du contenu de la base de données (Paris 28 fév. 2007 -JCP E 2008 .1581).

Par une formule intéressante, la Cour d’appel a synthétisé la finalité du droit sui generis : « le droit sui generis n’est donc pas destiné à stimuler la création de données mais à rentabiliser l’investissement affecté à la constitution d’un ensemble informationnel  » (Ryanair c/ Opodo CA Paris pôle 5, 2e ch. 23 mars 2012).

• Décision du TGI

Le jugement refuse la protection accordée au producteur d’une base de données par l’article L.341-1. Selon le Tribunal, les informations fournies par la société Sarenza ne sont pas suffisantes pour déterminer que ses fichiers clients sont organisés en base de données.

En effet, se référant aux dispositions de l’article L112-1, le Tribunal rappelle que les éléments d’une base de données doivent être disposés de manière systématique ou méthodique et « mettre en œuvre des principes d’organisation et de structuration qui permettent à son utilisateur d’avoir directement accès à un élément individuel ».

De ce fait, le Tribunal n’a pas eu à examiner le caractère substantiel des investissements de la société Sarenza : en l’absence de base de données, il n’y a pas lieu de statuer sur la protection d’un investissement substantiel.

2- L’obligation de sécuriser le système d’accès à sa base de données sur Internet

Le Tribunal a considéré que la société Sarenza a concouru à la réalisation de son préjudice à hauteur de 30% en raison du manque de rigueur dans la gestion des identifiants d’accès à sa base de données.

La société Sarenza avait pourtant mis en place un certain nombre de mesures pour protéger l’accès à sa base de données : recours à des sociétés informatiques extérieures et élaboration d’une infrastructure informatique et technique perfectionnée. De plus, l’intrusion dans sa base de données provenait de la malveillance d’une de ses salariées.

Cependant, il avait été relevé par les sociétés Vivaki et NA2J plusieurs éléments démontrant que la société Sarenza ne respectait pas les obligations imposées par la CNIL en matière de traitement des données personnelles.

La solution retenue par le tribunal peut a priori paraître sévère, notamment au regard de la jurisprudence Kitetoa.com de 2002, bien que le parallèle ne soit pas si manifeste (Paris 12ème Chambre, section A, 30 octobre 2002 Antoine Champagne. / Ministère public, société Tati). En l’occurrence, un journaliste qui avait été déclaré coupable d’accès ou maintien frauduleux dans le système de traitement automatisé des données de la société TATI en 1re instance, a été relaxé par la Chambre des appels correctionnels car « il ne peut être reproché à un internaute d’accéder ou de se maintenir dans les parties des sites qui peuvent être atteintes par la simple utilisation d’un logiciel grand public de navigation, ces parties de site, qui ne font par définition l’objet d’aucune protection de la part de l’exploitant du site  ».

C’est également la solution retenue par le TGI de Créteil le 23 avril 2013. L’introduction par une personne dans le système extranet de l’Agence nationale de sécurité sanitaire de l’alimentation (ANSES) pour y télécharger des documents confidentiels, ne peut être qualifiée de délit d’entrave à un système automatisé prévu à l’article 323-1 du Code pénal, en raison de l’absence de restriction d’accès permettant ainsi à une personne non-autorisée d’accéder au système sans avoir à employer des moyens destinés à forcer cet accès. En l’espèce, le prévenu avait découvert les fichiers après une recherche complexe sur Google.

Dans l’affaire Kitetoa.com comme dans celle de l’ANSES, c’est donc la faille dans leur système de protection qui a été reprochée, or il pèse sur le responsable de traitement automatisé une obligation de sécurité.

Dans le jugement du TGI de Paris du 21 février 2013, la société Sarenza avait pris toutes les mesures nécessaires pour sécuriser sa base de données et ce n’est finalement que l’insuffisance de rigueur dans la gestion des identifiants qui est sanctionnée. Ceci explique pourquoi il n’a pas été retenu contre la société une responsabilité pleine et entière mais seulement à hauteur de 30 %.

La sanction partielle de la Société Sarenza semble donc reposer implicitement sur le non- respect des obligations édictées par la CNIL en matière de traitement de données à caractère personnel et notamment sur la limitation de leur accès à un nombre restreint de salariés. Or en l’espèce, 4 salariés avaient accès à ces données.

{{Antoine Cheron ACBM Avocats }} [->acheron@acbm-avocats.com]