La modification d’une œuvre architecturale qui ne porte pas atteinte aux droits de son auteur, peut se faire sans son accord préalable

La modification d'une œuvre architecturale qui ne porte pas atteinte aux droits de son auteur, peut se faire sans son accord préalable

L’essence même du droit d’auteur est de conférer à l’auteur d’une œuvre originale de l’esprit un droit de propriété incorporelle exclusif et opposable à tous. En vertu de ce droit exclusif, toute atteinte à l’œuvre, de quelle que nature que ce soit, ne peut être effectuée sans le consentement préalable de son auteur.
Ainsi, le droit au respect de l’intégrité l’œuvre consacré par l’article L.121-1 du Code de la Propriété Intellectuelle impose qu’une œuvre emprunte de la personnalité de son auteur ne peut en principe faire l’objet d’une modification matérielle sans l’accord exprès de son auteur. Par un arrêt du 20 décembre 2017, la Cour de cassation vient consacrer une limite à ce droit exclusif de l’auteur : la modification d’une œuvre architecturale, si elle ne porte pas atteinte aux droits de son auteur, peut se faire sans son accord.

Une œuvre architecturale originale est protégeable au titre des droits d’auteur comme le serait toute autre œuvre littérale et artistique. Cependant, et contrairement à une œuvre purement esthétique, l’œuvre architecturale a une finalité fonctionnelle qui résulte du fait qu’un bâtiment, en plus d’être original, peut constituer un lieu d’habitation, de travail ou d’accès à la culture. En l’espèce, l’œuvre architecturale destinée à recevoir les collections du « Musée de l’Arles antique » avait été réalisée par un architecte pour le compte d’un département, lequel a fait entreprendre, sans l’accord de l’architecte, des travaux d’extension de ladite l’œuvre afin d’y exposer un bateau de commerce gallo-romain.

La finalité fonctionnelle de l’œuvre architecturale impose qu’il faille concilier le droit au respect de l’architecte avec le droit du propriétaire de l’œuvre. La méthode mise en œuvre par les juges est celle du contrôle de proportionnalité: il faut accepter de limiter un droit fondamental (le droit d’auteur) mais de façon justifiée et proportionnée. La Cour de cassation vient ici valider le raisonnement de l’arrêt du 7 janvier 2016 rendu par la cour d’appel d’Aix-en-Provence ayant débouté l’architecte. Pour préserver l’équilibre entre les prérogatives de l’auteur et celles du propriétaire de l’œuvre architecturale, les modifications apportées ne doivent pas excéder ce qui est strictement nécessaire à l’adaptation de l’œuvre à des besoins nouveaux et ne doivent pas être disproportionnées au regard du but poursuivi. En l’espèce, la découverte du bateau datant de l’époque romaine déclaré “trésor national” ainsi que de sa cargaison, et la nécessité d’exposer cet ensemble dans le musée considéré, caractérisent l’existence d’un besoin nouveau qui, pour être satisfait, commandait la construction d’une extension, dès lors que l’unité qui s’attachait au bâtiment muséal, excluait l’édification d’un bâtiment séparé. L’extension réalisée modifie la construction d’origine mais reprend néanmoins les couleurs originelles, blanche des murs et bleue des façades, et qu’il n’est pas démontré qu’elle dénature l’harmonie de l’œuvre.

Le droit au respect de l’œuvre fait donc l’objet d’une application à géométrie variable selon la finalité de ladite œuvre. En matière d’œuvre architecturale, l’architecte ne peut imposer une intangibilité absolue des lieux qu’il a réalisé et doit supporter des atteintes à ses droits lorsque celles-ci sont justifiées et proportionnées.

Sensibiliser son équipe : une étape essentielle dans la mise en place du RGPD

Sensibiliser son équipe : une étape essentielle dans la mise en place du RGPDSi la plupart des responsables ont désormais compris l’enjeu du règlement général sur la protection des données (RGPD) qui entrera en application le 25 mai 2018, la mise en œuvre de ses dispositions reste difficile à appréhender. A deux mois de son application, il est impératif pour les entreprises de sensibiliser leurs équipes sur les objectifs du règlement et surtout, sur la façon de les mettre en pratique.

1.La cartographie des risques

Afin de mettre en œuvre son plan de conformité, l’entreprise doit commencer par recenser les traitements de données personnelles, l’ensemble des flux informatiques et manuels pour déterminer d’où provient chaque traitement, par qui est-il effectué, et enfin, sa finalité. Cette cartographie de la donnée permettra in fine, de définir les enjeux et les risques propres à l’entreprise. Dans ce cadre, la CNIL propose des exemples de fiche de registre afin d’orienter les équipes de travail sur les actions à mener.

  1. Une feuille de route adressée à son équipe de travail

Une fois la cartographie établie, l’équipe doit prioriser ses actions en rédigeant une feuille de route comprenant :

– une méthode assurant la gestion des risques identifiés préalablement par l’équipe de travail

– la sensibilisation des opérationnels au sein de l’entreprise

– la mise en place d’une nouvelle gouvernance

– la création d’un processus de gestion des traitements afin d’assurer la conformité de l’entreprise en continue.

  1. L’information de l’individu en cas de collecte de données personnelles à partir de sources externes

S’il est possible de traiter de données collectées auprès de sources externes telles que les bases de données publiques, les réseaux sociaux, les listes de prospects, les dispositions du règlement doivent être respectées. Cependant, l’entreprise devra faire valoir un intérêt légitime au recueil de ces données au titre de l’article 47 du RGPD. Cet intérêt légitime peut être avancé lorsque :

  • Le traitement des données a lieu dans le cadre d’une relation client
  • Le traitement est opéré à des fins marketing
  • Le traitement prévient la fraude ou assure la sécurité du réseau des systèmes informatiques
  1. Le choix de l’individu relativement à la collecte de ses données personnelles

Afin de pouvoir traiter les données personnelles, l’entreprise doit permettre à l’individu de fournir son consentement et ce, expressément au titre de l’article 7 du RGPD. En pratique, les cases pré-cochées seront exclues au bénéfice d’une disposition exclusivement consacrée au consentement de l’individu et ce, pour chaque donnée personnelle collectée. Cela permet de limiter la sur-collecte de donnée ; par exemple recueillir la date de naissance exacte de l’individu ne sera plus autorisé si l’année de naissance suffit à répondre à la finalité du traitement, tout comme son lieu de résidence exact si le pays suffit. Face à ces exigences, l’entreprise devra s’adapter et ne conserver que les données strictement nécessaires. Par ailleurs, si l’individu souhaite modifier ou même supprimer ses données personnelles, cette manipulation doit être facilement réalisables, ce qui suppose de rendre flexible son système de collecte de données personnelles.

  1. S’assurer de la conformité des sous-traitants

Si les détenteurs directs des données personnelles sont visés par le règlement, ce dernier s’applique aussi aux sous-traitants et vendeurs dès lors qu’ils disposent d’un accès à ces données. En effet, ces derniers doivent attester de leur conformité avec le RGPD. Pour se faire, les entreprises devront insérer dans les contrats, s’ils sous-traitent les données collectées, des clauses types relative à la protection des données attestant de leur conformité au RGPD.

  1. Quels sont les outils de travail des collaborateurs visés par le RGPD ?

Par définition, le RGPD s’applique lorsque

  • Le traitement est effectué par des « moyens automatisés »
  • Lorsque les données « font partie d’un système de classement ou sont destinées à faire partie d’un système de classement » bien que le traitement ne soit pas réalisé par des moyens automatisés stricto sensu.

En ce qui concerne le premier cas, les équipes de travail devront seulement procéder aux conversions des documents sous format numérique. En ce qui concerne le second cas, les équipes de travail doivent entendre par système de classement « tout ensemble structuré de données personnelles qui est accessible selon des critères spécifiques ». En pratique, tous les documents papiers non organisés comme les documents en vrac sur une imprimante, sur un bureau ne sont pas soumis au RGPD. A contrario, dès lors que ces documents papiers sont organisés par les collaborateurs de manière à être accessibles selon des critères définis, le RGPD s’appliquera. A titre d’exemple, seront soumis au RGPD les fichiers placés dans un classeur indexé par nom, les rapports de dépenses triés par fonction et triés en interne ou encore les dossiers du département des ressources humaines.

Au regard des changements futurs, nous préconisons d’engager la mise en conformité dès que possible. Doté à présent d’un département dédié aux problématiques des données à caractère personnel et d’un département assorti de compétences techniques, Dreyfus & associés est le partenaire idéal pour vous accompagner dans cette démarche de transition.

Le projet de loi relatif à la protection des données personnelles

Le projet de loi relatif à la protection des données personnellesL’adoption du « paquet européen de protection des données » le 27 avril 2016 a lancé au sein des Etats membres un mouvement de réforme des législations nationales sur les données personnelles. C’est notamment l’entrée en vigueur du Règlement Général sur la Protection des Données 2016/679 (http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR)  (« RGPD ») qui vient marquer une avancée notable en la matière. C’est dans l’optique de l’application de ce règlement que le gouvernement français a rendu public le 13 décembre 2017 le « Projet de loi relatif à la protection des données personnelles » venant adapter la Loi informatique et libertés au RGPD ( https://www.legifrance.gouv.fr/affichLoiPreparation.do?idDocument=JORFDOLE000036195293&type=general&typeLoi=proj&legislature=15).

Ce projet de loi met en avant la volonté, contenue dans le règlement européen, d’accentuer l’influence des autorités de contrôle nationales compétentes en matière de données personnelles.  A cet effet, de nombreux changements relatifs aux pouvoirs et à l’organisation de la CNIL (https://www.cnil.fr/)  sont prévus.  On relève, le renforcement de son rôle, notamment à travers l’extension de ses pouvoirs en matière de « soft law » et de sanction. Certaines modifications concernent également son pouvoir d’investigation et sa coopération avec d’autres autorités de contrôle de l’UE. En ce sens on constate que la CNIL pourra désormais assortir ses conclusions d’une demande de question préjudicielle à la Cour de Justice de l’Union européenne en vue d’apprécier la validité de la décision d’adéquation de la Commission européenne ainsi que de tous les actes pris par la Commissions européenne autorisant ou approuvant les garanties appropriées dans le cadre des transferts de données. En outre, on constate l’élargissement de son champ d’action par le biais de sa capacité à demander au Conseil d’Etat ( https://www.google.fr/search?q=conseil+d%27%C3%A9tat&rlz=1C1CHBD_frFR778FR778&oq=conseil+d%27&aqs=chrome.0.69i59j0j69i57j0l3.1759j1j4&sourceid=chrome&ie=UTF-8) d’ordonner la suspension ou la cessation du transfert de données en cause, le cas échéant sous astreinte.

Par ailleurs, le projet de loi établit une procédure spécifique pour le traitement des données issues du domaine de la santé. Si cette catégorie de traitement inclut la recherche médicale et l’évaluation des soins, elle exclut cependant, dès lors qu’ils relèvent des dispositions sur les données sensibles, les traitements « nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de service de santé ». Aussi, conformément au RGPD, le projet de loi met en place une interdiction de principe de traiter des données dites « sensibles », de traiter des données génétiques et biométriques aux fins d’identifier une personne physique de manière unique. Il va en revanche plus loin que l’article 9.2 du RGPD en prévoyant la possibilité, pour l’administration et les employeurs d’utiliser des données biométriques à des fins de contrôle d’accès aux lieux de travail, appareils et applications. De plus, le projet de loi limite à seulement certaines catégories de personne l’utilisation des données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes à seulement certaines catégories de personnes. Une exception est, en revanche, prévue lorsque ce type de données est utilisé dans le but d’exercer une action en justice en tant que victime, mis en cause, ou pour le compte de ceux-ci et de faire exécution la décision rendue. Enfin, il a été prévu, en matière procédurale, que les personnes concernées pourront être représentées individuellement par toute organisation ou association habilitée à procéder à des actions de groupe dans le cadre de réclamation ou d’action à l’encontre de la CNIL.

Bien que le projet de loi s’inscrive dans la lignée du RGPD, on relève, néanmoins, quelques divergences entre les deux textes. En effet, si le RGPD supprime les formalités préalables auprès des autorités de contrôle, sous réserve de quelques exceptions, le projet de loi, lui, les conserve auprès de la CNIL pour les données de santé dans certains domaines. De surcroît, il conserve également un niveau élevé d’autorisation pour les traitements pour le compte de l’Etat, dont l’utilisation de données biométriques ou génétiques à titre d’indentification et de contrôle d’identité. Les traitements nécessitant l’utilisation du numéro de sécurité sociale (NIR) seront également autorisés dans le cadre d’un décret en Conseil d’Etat, pris après avis motivé et publié de la CNIL qui déterminera les catégories de responsables de traitement et les finalités de ces traitements. L’utilisation des NIR sera également autorisée à titre dérogatoire pour les besoins de statistiques nationales, de relations électroniques avec l’administration française et de recherche scientifique. Par conséquent, le projet de loi s’avère plus inflexible à cet égard.

On regrette l’absence de précisions du projet de loi quant à la nomination du Délégué à la Protection des Données (« DPO ») ou encore quant à l’âge requis concernant le consentement des mineurs, aspects pour lesquels était pourtant prévue une certaine marge de manœuvre aux Etats membres.

En conclusion, au vu de ces quelques décalages, il est certain que, même après l’adoption de la loi, certaines modifications soient encore nécessaires pour rendre la loi française d’autant plus compatible avec le RGPD. On tiendra cependant à mesurer l’impact de ces divergences dans la mesure ou le règlement européen demeure d’application directe.