Droit des bases de données, entre progressions et coups d’arrêt

Le 27 novembre dernier, le Data Act, a été adopté. Il s’inscrit dans la stratégie européenne du numérique visant à standardiser les règles d’accès aux données dans le but ultime de créer un marché unique des données. Ce texte apporte des changements significatifs, notamment l’exclusion des bases de données contenant des données issues d’objets connectés de la protection du droit sui generis ; une occasion de revenir ici sur les développements jurisprudentiels récents, car ce droit sui generis, malgré ses défis, demeure un outil efficace pour la protection des bases de données.

Dans le paysage juridique dynamique des droits des bases de données, nous assistons à une série de décisions judiciaires qui marquent à la fois des avancées et des reculs dans la protection de ces droits. À l’occasion de l’adoption du Data Act, cet article vise à éclairer les récents développements relatifs au droit sui generis.

Importance cruciale des bases de données

Dans l’ère numérique actuelle, les bases de données constituent une composante vitale de l’économie mondiale, jouant un rôle central dans presque tous les secteurs d’activité. Ces vastes réservoirs d’informations, allant des données clients aux tendances de marché, en passant par des ensembles complexes de données pour l’intelligence artificielle, sont au cœur de la prise de décision stratégique, de l’innovation et de la compétitivité des entreprises. Leur valeur réside non seulement dans les données elles-mêmes, mais aussi dans la manière dont elles sont collectées, organisées, et mises à disposition. Face à cette importance croissante, une panoplie de mécanismes juridiques a été développée pour protéger ces actifs précieux.

En effet, les bases de données sont aujourd’hui protégées par différents droits de propriété intellectuelle et moyens de protection, notamment :

• le droit d’auteur (ou Copyright), qui protège la structure particulière de certaines bases de données ou encore certaines données stockées dans la base de données, par exemple un article ou une musique ;
• le RGPD, qui concerne les données à caractère personnel stockées dans une base de données ; …
• les contrats, limitant l’accès ou l’utilisation des bases de données, et ;
• le droit sui generis des bases de données, qui protège les investissements.

En droit européen, le droit sui generis s’applique aux bases de données qui ont nécessité un investissement substantiel pour leur collecte, leur vérification ou leur présentation.

Plus précisément, selon l’article 7 de la directive européenne sur les bases de données (Dir. 96/9/CE du Parlement européen et du Conseil, du 11 mars 1996), le droit sui generis vise à empêcher une extraction qualitativement ou quantitativement substantielle d’une base de données lorsqu’un investissement substantiel a été réalisé. À titre d’exemple, si une base de données protégée par le droit sui generis est disponible en ligne, il n’est pas possible d’en extraire toutes les données pour créer une nouvelle base de données ou améliorer une base de données existante.

Les règles qui entourent ce droit sont encore en discussion pour être complétées et précisées. Il y a eu cependant quelques affaires importantes qui nous permettent de comprendre son fonctionnement. L’une des jurisprudences les plus capitales est celle de British Horse Racing Board c/ William Hill devant la Cour de justice de l’Union européenne (CJUE 9 nov. 2004, aff. C-203/02, RTD com. 2005. 90, obs. F. Pollaud-Dulian ). Dans cette décision, la société British Horse Racing Board (BHRB) disposait d’une base de données contenant de nombreux détails sur les courses de chevaux au Royaume-Uni, intégrant les noms des chevaux, leurs cotes, les résultats et les lieux des courses… Ces informations étaient accessibles au public sur un site internet. William Hill a utilisé certaines de ces données pour sa propre plateforme de paris sportifs en ligne. Ainsi, BHRB a accusé William Hill d’atteinte à son droit sui generis par l’extraction et l’utilisation de ses données.

La Cour a déclaré que BHRB avait investi beaucoup de temps et de ressources dans la création de sa base de données, mais BHRB n’était pas en mesure de prouver que ces investissements visaient directement la collecte, la vérification ou la présentation de la base de données. Par ailleurs, elle considère que le BHRB ne peut prouver que William Hill ait extrait une partie qualitativement ou quantitativement significative de la base de données. De la sorte, BHRB n’a donc pas pu obtenir gain de cause sur le fondement de l’atteinte à son droit sui generis.

En France, un différend similaire est intervenu entre Ryanair et Opodo (Com. 10 févr. 2015, n° 12-26.023, Dalloz actualité, 10 mars 2015, obs. J. Daleau ; D. 2015. 908 , note T. Lancrenon  ; ibid. 2214, obs. J. Larrieu, C. Le Stanc et P. Tréfigny  ; ibid. 2016. 396, obs. J.-P. Clavier, N. Martial-Braz et C. Zolynski  ; JT 2015, n° 173, p. 16, obs. X. Delpech ). Ryanair a investi pour construire une grande base de données sur les vols, mais n’a pas réussi à prouver cet investissement lorsqu’Opodo a été poursuivi en justice en raison de la récupération du contenu de cette base de données. Dans cette affaire, Opodo a fait valoir que Ryanair n’avait pas correctement détaillé la structure de sa base de données. Le tribunal considère qu’il est impossible de définir l’investissement dans les tâches liées au droit sui generis si l’on ne peut pas expliquer le volume global de travail impliqué dans la construction de la base de données.

Ces anciennes décisions ont marqué un premier coup d’arrêt à l’utilisation du droit sui generis car il semblait difficile de prouver :

• l’investissement, y compris la définition des tâches globales impliquées dans la construction de la base de données ;
• et que l’extraction doit être sanctionnée car qualitativement ou quantitativement significative.

En raison des standards de preuve très élevés exigés par les tribunaux, le droit sui generis est encore peu utilisé comme outil de protection des bases de données. Cependant, des évolutions récentes laissent penser que cela est susceptible de changer.

Dernières décisions françaises

Le 5 octobre 2022, la Cour de cassation a rendu une décision très intéressante dans l’affaire impliquant leboncoin.fr et entreparticuliers.com (Com. 5 oct. 2022, n° 21-16.307, Dalloz actualité, 14 nov. 2022, obs. O. Wang ; D. 2022. 1753  ; ibid. 2023. 357, obs. A. Bensamoun, S. Dormont, J. Groffe-Charrier, J. Lapousterle, P. Léger et P. Sirinelli  ; ibid. 2150, obs. A. Mendoza-Caminade, C. Le Stanc et P. Tréfigny  ; AJDI 2022. 853  ; Légipresse 2022. 707, étude C. Alleaume ). Les deux sociétés ont un modèle économique basé sur une place de marché en ligne et la publicité ; entreparticuliers.com a récupéré toutes les données de la base de données immobilière du site leboncoin.fr pour alimenter son propre site internet.

Dans ce cas, LeBonCoin (LBC) a pu prouver tous les investissements réalisés pour la collecte et la vérification de ses annonces, avec une explication précise du traitement des données depuis le comportement de l’utilisateur sur le site jusqu’à la publication des annonces. En effet, LBC a démontré que de nombreuses analyses et traitements sont réalisés pour éviter le harcèlement sexuel, les spams, les erreurs…

En outre, la Cour a déclaré que si une entreprise rapporte la preuve d’investissements substantiels dans une partie restreinte de la base de données principale, comme une base de données immobilière, cette partie peut bénéficier de sa propre protection juridique distincte sur le fondement du droit sui generis. Dans cette affaire, LBC avait suffisamment investi dans sa rubrique immobilière pour mériter sa propre protection, ce qu’entreparticuliers.com avait extrait en totalité.

Cette décision française explique comment on peut justifier de l’investissement et obtenir une condamnation sur le fondement du droit sui generis. Ainsi, nous avons constaté une progression dans l’utilisation de ce droit sui generis pour protéger de nombreuses bases de données de natures variables, notamment des bases de données utilisées pour l’entraînement d’intelligences artificielles.

Nouveau coup d’arrêt et progression

Outre cette décision favorable, une récente décision de la Cour de justice de l’Union européenne est venue mettre un nouveau coup d’arrêt à la protection (CJUE 3 juin 2021, CV-Online c/ Melons, aff. C-762/19, RTD com. 2022. 535, obs. F. Pollaud-Dulian  ; ibid. 547, obs. P. Gaudrat  ; RTD eur. 2022. 817, obs. E. Treppoz ). Cette décision opposait alors deux sociétés lettone CV-Online Lettonie, un site d’offres d’emploi, et Melons, un moteur de recherche spécialisé dans les offres d’emploi, qui a récupéré automatiquement des offres sur le site de CV-Online Lettonie. La Cour a rendu une décision qui vise à équilibrer les intérêts entre la protection des investissements de CV-Online dans sa base de données et l’intérêt public à un accès efficace à l’information. Elle a conclu que les moteurs de recherche, comme celui de Melons, facilitent la recherche d’informations sur internet, ce qui profite à tous : utilisateurs et entreprises. Ainsi, l’extraction réalisée par Melons n’a pas été condamnée au mépris du droit sui generis de CV-Online.

Une autre décision française, La Centrale contre ADS4ALL (TJ Paris, 8 juill. 2021), montre comment le titulaire d’un moteur de recherche peut prouver que la balance des intérêts est en faveur du propriétaire de la base de données. Dans cette affaire, les avocats de La Centrale ont fait valoir que le temps passé par les utilisateurs pour rechercher des annonces est crucial pour récupérer l’investissement relatif au droit sui generis si bien qu’ils ont obtenue une condamnation de ADS4ALL. Cette décision française montre une nouvelle fois une progression de la protection des bases de données par le droit sui generis, au moins en France.

Cependant, le Data Act récemment adapté au Conseil de Union européenne va entrer en vigueur prochainement. Ce texte apporte des changements significatifs, notamment l’exclusion des bases de données contenant des données issues d’objets connectés de la protection du droit sui generis. Cela pourrait freiner l’élan de ce droit, affectant notamment les bases de données constituées à partir de capteurs.

Ces développements jurisprudentiels suggèrent que le droit sui generis, malgré ses défis, demeure un outil potentiellement efficace pour la protection des bases de données. Les entreprises devraient envisager d’anticiper l’utilisation de ce droit et d’auditer leurs bases de données pour évaluer les investissements réalisés, préparant ainsi le terrain pour une défense robuste en cas d’extraction illégale. 

© Lefebvre Dalloz