21
mai
2024
Le tabouret Tam Tam, une protection qui tient debout devant la Cour d’appel
Author:
TAoMA
Dans un arrêt du 22 février 2024, la Cour d’appel de Lyon a confirmé le caractère original du tabouret « TAM TAM » et condamné les sociétés LaFoir’Fouille et FF Digital en contrefaçon de droit d’auteur et en concurrence parasitaire.
La société Stamp, détentrice des droits d’auteur sur le célèbre tabouret « Tam Tam » conçu en 1968 par le designer Henry Massonnet, a assigné en contrefaçon de droit d’auteur et en concurrence déloyale les sociétés La Foir’Fouille et FF Digital pour avoir reproduit et commercialisé des modèles de tabourets reprenant les caractéristiques du tabouret « Tam Tam », et pour avoir réalisé une campagne publicitaire faisant directement écho à son produit.
En première instance, le Tribunal judiciaire de Lyon a reconnu le caractère original du tabouret « Tam Tam » et sa protection au titre du droit d’auteur. Toutefois, la société Stamp a été déboutée de ses demandes indemnitaires au titre de la contrefaçon, le Tribunal estimant que les preuves apportées n’étaient pas suffisantes pour établir l’imitation ou la reproduction des caractéristiques originales du tabouret par les défenderesses.
Après s’être ménagée de nouveaux moyens de preuves, la société Stamp a eu gain de cause en appel.
En effet, la Cour d’appel de Lyon a réaffirmé que le caractère original du tabouret « Tam Tam » tenait dans la combinaison spécifique de trois éléments :
• Sa forme en diabolo ;
• L’emploi de la matière plastique ;
• Les parties jumelles démontables et emboîtables.
Elle souligne que cette combinaison d’éléments ne répond pas à des contraintes techniques, et qu’au contraire, elle reflète bel et bien la personnalité de l’auteur.
Ainsi, sur la base des nouveaux éléments de preuves produites par l’appelante, elle condamne les sociétés La Foir’Fouille, FF Digital et Directusine (fabricante du produit) en contrefaçon de droit d’auteur.
S’agissant de la concurrence parasitaire, la Cour a jugé que la référence directe au tabouret « Tam Tam » dans le slogan publicitaire des intimées, constituait « l’une des déclinaisons les plus pures qui soient du comportement parasitaire ». En effet, les intimées utilisaient l’argument publicitaire suivant « 5 euros le tabouret, vous n’aurez qu’à dire que vous l’avez acheté dans une boutique design ».
Cet arrêt rappelle qu’il n’est pas possible de copier impunément les créations d’autrui, et personne n’en tombera de sa chaise.
Delphine Monfront
Avocate à la Cour
07
mai
2024
Alerte RGPD et Publicité digitale : La CJUE encadre les enchères de données personnelles en masse
Author:
TAoMA
Le 7 mars 2024, la Cour de Justice de l’Union Européenne (ci-après « CJUE »), s’est prononcée dans l’affaire opposant IAB Europe et l’Autorité Belge de la protection des données (ci-après « APD »), concernant la vente aux enchères massive de données à caractère personnel.
Contexte
La vente aux enchères de données à caractères personnel en ligne instantanée et automatisée de profils d’utilisateurs, aussi appelée « Real Time Bidding » ou « RTB », est une forme de publicité qui permet la vente et l’achat d’espaces publicitaires.
Le système fonctionne de la manière suivante : lorsqu’un utilisateur consulte un site internet qui contient un espace publicitaire, les opérateurs publicitaires (annonceurs) enchérissent en temps réel, pour obtenir cet espace publicitaire, via l’OpenRTB, afin d’afficher des publicités ciblées et adaptées au profil de cet utilisateur.
Le consentement de l’utilisateur est préalablement recueilli lors de sa première connexion, via une plateforme de gestion du consentement, le Consent Management Platform (ci-après CMP). En effet, l’utilisateur peut :
1. donner son consentement en vue du traitement de ses données (localisation, âge, historique des recherches et achats récents) à des fins de marketing ou publicité ou en vue du partage de ses données avec certains fournisseurs ;
2. s’opposer à ces différents traitements.
IAB Europe, organisme de normalisation, a élaboré le Transparency & Consent Framework ou « TCF », un cadre réglementaire qui permet à tout acteur de l’Internet de traiter les données à caractère personnelle des utilisateurs conformément au Règlement Général sur la Protection des Données (ci-après « RGPD »).
Le TFC est censé favoriser le respect de la réglementation européenne lorsque les annonceurs utilisent le protocole OpenRTB, pour faire du Real Time Bidding.
Le TFC facilite l’enregistrement des préférences des utilisateurs au moyen de la CMP. Les données sont codées et stockées dans une chaine composée d’une combinaison de lettres ou de caractères appelée Transparency and Consent String (ci-après TC String). Un cookie est placé par le CMP sur l’appareil de l’utilisateur qui, combiné avec le TC String, peut être lié à l’adresse IP de l’utilisateur.
Les préférences des utilisateurs sont ensuite communiquées aux courtiers et plateformes publicitaires. La TC String facilite donc la vente de publicités ciblées.
Procédure
En 2019, plusieurs plaintes ont été dirigées contre IAB Europe portant sur la conformité du TFC au RGPD (qualité du consentement, défaut de mesures de sécurité, absence d’analyse d’impact, etc).
Après avoir examiné ces plaintes, l’Autorité Belge de la protection des données a jugé le 2 février 2022, que :
– IAB Europe agit qualité de responsable du traitement portant sur l’enregistrement des préférences de l’utilisateur au moyen de TC String, en ce qu’elle détermine les finalités et les moyens du traitement, la manière dont les TC Strings sont générées, modifiées et lues, de quelle façon et où les cookies nécessaires sont stockés, qui reçoit les données personnelles et sur la base de quels critères les délais de conservation des TC Strings peuvent être établies ;
– la TC String est une donnée à caractère personnel.
L’APD a notamment ordonné à IAB Europe de mettre en conformité le traitement effectué dans le cadre du TCF au RGPD et de payer une amende administrative de 250 000€. Cette dernière a formé un recours contre cette décision devant la Cour d’appel de Bruxelles, en faisant valoir que la TC String n’est pas une donnée à caractère personnel et que seuls les participants au TCF peuvent combiner la TC String avec l’adresse IP.
La Cour d’appel de Bruxelles a décidé de surseoir à statuer et a saisi la CJUE de deux questions préjudicielles :
– La TC String, combinée avec une adresse IP, constitue-t-elle une donnée à caractère personnel au sens du RGPD ?
– IAB Europe est-elle responsable conjoint du traitement au sens du RGPD ?’
Décision
Par une décision du 7 mars 2024, la ProcédureCJUE s’est prononcée sur les deux questions préjudicielles.
1. Lorsqu’on peut identifier indirectement une personne par des moyens raisonnables, il s’agit d’une donnée à caractère personnel soumise à la réglementation
La Cour rappelle que si la définition de donnée à caractère personnel est large, il faut faire une analyse concrète pour vérifier si un individu est ou non identifiable. Ici elle retient que la TC String est une donnée à caractère personnel dès lors qu’elle contient les préférences individuelles d’un utilisateur spécifique et qu’elle peut être associée, par des moyens raisonnables, à l’adresse IP de l’utilisateur. Ainsi, la TC String permet d’identifier indirectement la personne concernée, même si celui qui effectue le traitement ne détient pas tous les moyens de l’identification.
2. La responsabilité conjointe se déduit du fait qu’un acteur a déterminé ou influé sur la détermination des finalités du traitement
La Haute cour rappelle que le TFC vise à favoriser et à permettre la vente et l’achat d’espaces publicitaires sur Internet par les opérateurs qui participent à la vente aux enchères en ligne d’espaces publicitaires.
Elle rappelle que pour qu’il y ait responsabilité conjointe, il faut que l’acteur ait déterminé ou influé sur la détermination des finalités. Il n’est pas impératif que les responsables de traitement poursuivent les mêmes finalités, ni qu’ils prennent des décisions communes quant à la détermination des finalités, ni même qu’ils aient accès aux données pour lesquelles ils ont défini ou influé sur les finalités.
Elle estime que IAB Europe influe sur les opérations de traitement de données à caractère personnel en cause au principal et détermine, de ce fait, conjointement avec ses membres, les finalités de telles opérations. IAB Europe doit donc être considéré comme responsable conjoint du traitement.
Toutefois, elle considère logiquement que IAB Europe n’est pas responsable des traitements ultérieurs effectués par des tiers (fournisseurs de sites ou d’applications), pour ce qui concerne les préférences des utilisateurs aux fins de la publicité en ligne.
Désormais, il convient d’attendre que la Cour d’appel se prononce sur le fond et confirme ou non la décision de l’Autorité Belge de la protection des données.
Quelles sont les répercussions de cet arrêt sur les différents acteurs ?
Cet arrêt a une incidence positive pour les personnes concernées par ce type de traitements, puisque les rôles et obligations incombant à chaque acteur sont précisés. Ainsi, elles voient leurs droits à la protection des données renforcés.
Si la Cour d’appel de Bruxelles confirme la décision de la CJUE, IAB Europe, en qualité de responsable de traitement, devra respecter un certain nombre d’obligations, telles que par exemple la conclusion de contrats de responsabilité conjointe avec les opérateurs publicitaires (courtiers et fournisseurs) qui utilisent le TCF. Ces derniers seront donc solidairement responsables vis-à-vis utilisateurs.
Les éditeurs de sites Internet et opérateurs publicitaires devront également veiller à respecter le RGPD, pour les traitements de données qui les concernent, être attentifs aux outils et services qu’ils utilisent pour effectuer de la publicité ciblée.
Les acteurs de la publicité digitale seront sans doute aidés si la juridiction de renvoi belge caractérise l’influence réciproque des acteurs sur la détermination des finalités et des moyens de traitement sur la TC String.
Anne Messas
Avocate associée
Margaux Maarek
Juriste en Propriété industrielle
(1) CJUE, 7 mars 2024, IAB Europe contre Gegevensbeschermingsautoritei, aff. C-604/22 ;