Début 2015, la Cour de justice de l'Union européenne a rendu un arrêt (CJUE, aff. C-30/14) qui devrait rassurer les propriétaires de bases de données quelle que soit la nature de ces dernières. En réponse à une question préjudicielle posée par la Cour suprême des Pays-Bas, la haute juridiction européenne a en effet confirmé que les propriétaires de bases de données qui ne tombent pas sous le régime de protection légale peuvent limiter leur usage par les tiers par le biais de conditions générales. Explications.
Contexte
C'est à la société Ryanair que l'on doit cette clarification utile. Constatant qu'un comparateur de vols sur Internet utilisait ses données (horaires des vols et prix des billets) reproduites à partir du site Internet de Ryanair et permettait même aux internautes de réserver directement un vol avec Ryanair via ce comparateur de vols, Ryanair a saisi les juridictions néerlandaises.
Ryanair invoquait à la fois une atteinte à ses droits sur le recueil de données en relation avec ses vols et un manquement à ses conditions générales d'utilisation. En effet, les conditions générales présentes sur le site Internet de Ryanair étaient on ne peut plus claires quant à l'impossibilité pour tout tiers d'utiliser les données de vol de Ryanair dans un but commercial.
Celles-ci prévoyaient ainsi que le « site Internet et le centre d'appels de Ryanair sont les distributeurs exclusifs des services Ryanair » et que l'utilisation du site Internet de Ryanair ne pouvait avoir qu'une finalité privée. Ryanair avait même pris le soin de préciser dans ses conditions générales que « l'utilisation de systèmes automatisés ou de logiciels pour extraire des données de ce site Internet (...) à des fins commerciales (...) est interdite, à moins que des tiers n'aient conclu directement avec Ryanair une convention de licence écrite, dans laquelle il est donné accès à la partie concernée, uniquement dans un but de comparaison des prix, aux informations de Ryanair sur les prix, vols et horaires ».
A la suite du rejet de ses demandes par les premières juridictions, Ryanair a formé un recours devant la Cour suprême des Pays-Bas qui a estimé nécessaire de demander à la Cour de justice de l'Union européenne (CJUE) de se prononcer sur le champ d'application de la directive européenne concernant la protection juridique des bases de données (ci-après la « Directive »).
Double protection juridique des bases de données
La Directive, qui devait être transposée dans le droit national de chaque Etat membre, a en effet institué un double régime de protection juridique pour les bases de données. Au Luxembourg, cette transposition s'est faite par le biais de la loi du 18 avril 2001 sur les droits d'auteur, les droits voisins et les bases de données modifiée par la loi du 18 avril 2004.
En bref, une base de données peut bénéficier de la protection du droit d'auteur lorsque, par le choix ou la disposition des éléments qu'elle contient, elle constitue une création intellectuelle propre à son auteur. Le droit d'auteur s'applique ici au contenant, à la structure de la base de données et non à son contenu.
La protection du contenu d'une base de données est assurée par un droit nouveau (dénommé droit sui generis) lorsque l'obtention, la vérification ou la présentation du contenu de la base atteste d'un investissement qualitatif ou quantitatif substantiel de la part du producteur de la base. L'investissement peut prendre différentes formes (financier, technique, humain). Le cas échéant, le droit d'auteur et le droit sui generis peuvent bien évidemment s'appliquer de manière cumulative à une même base de données.
Lorsqu'une base de données est protégée, l'auteur et le producteur de la base bénéficient de droits exclusifs qu'ils peuvent exploiter eux-mêmes ou accorder à des tiers par le biais d'une licence (tels que le droit de reproduire, traduire, distribuer au public la base de données ou le droit d'extraire ou de réutiliser la totalité ou une partie substantielle du contenu de la base).
En contrepartie de ces droits exclusifs, l'auteur et le producteur ne peuvent s'opposer à ce qu'un utilisateur légitime (à savoir, un tiers autorisé ou un tiers ayant accès à une base dont la mise à la disposition du public a été décidée par le producteur) accomplisse certains actes en relation avec la base de données. Ainsi, le producteur d'une base de données qui serait mise à la disposition du public ne pourra pas empêcher un utilisateur légitime d'extraire et/ou de réutiliser des parties non substantielles du contenu de la base, quelle que soit la finalité de cette opération.
Afin que l'équilibre entre les droits exclusifs des auteurs et producteurs et les droits des utilisateurs légitimes ne soit pas rompu, le législateur européen a expressément prévu que les dispositions sur les droits des utilisateurs légitimes avaient un caractère impératif et que toute stipulation contractuelle contraire serait nulle et non avenue. Cette disposition est au cœur de l'arrêt rendu par la CJUE le 15 janvier 2015.
Enseignement et portée de l'arrêt Ryanair
Dans l'arrêt Ryanair, la CJUE énonce en toute logique que le régime juridique mis en place par la Directive ne s'applique qu'aux bases de données bénéficiant de la protection du droit d'auteur et/ou du droit sui generis et qu'en conséquence, les dispositions impératives en relation avec les droits des utilisateurs légitimes des bases de données ne s'appliquent pas aux bases de données « simples », c'est-à-dire non protégées. Le propriétaire d'une telle base est en droit de limiter les droits des tiers par le biais de conditions générales. Cette solution doit être saluée.
En effet, dès lors que le propriétaire d'une base simple ne dispose pas de droits exclusifs conférés par la loi, il n'y a pas lieu d'instaurer un équilibre avec les éventuels droits des tiers. Au contraire, le seul moyen à la disposition du propriétaire de la base pour encadrer l'utilisation de cette dernière par des tiers est le contrat. La voie du contrat pourra également être utilisée pour encadrer l'utilisation des bases dont la protection légale est arrivée à expiration.
En pratique cependant, les limitations contractuelles encadrant l'utilisation des bases de données non protégées ne pourront être opposées qu'aux tiers qui ont eu connaissance de ces limitations et qui les ont acceptées, ce que le demandeur devra démontrer en cas de litige et qui pourra être sujet à interprétation selon les juridictions.
Dans l'affaire Ryanair, la CJUE a pris le soin de souligner que la société qui avait repris sans autorisation les données de vol de Ryanair avait préalablement accepté l'application des conditions générales de Ryanair en cochant une case à cet effet. Dans l'hypothèse où un tiers aurait repris les données de Ryanair, non pas sur le site de la compagnie aérienne mais sur celui du comparateur de prix, les conditions générales de Ryanair n'auraient pas pu lui être opposées. Par principe, les contrats n'ont d'effet qu'entre les parties contractantes et ne lient pas les tiers.
En définitive, l'arrêt rendu par la CJUE apporte de nouvelles perspectives aux propriétaires de bases de données non protégées par la loi (notamment celles accessibles en ligne) auxquels on ne saurait trop conseiller de délimiter l'usage de leurs bases par le biais de conditions générales clairement présentées aux internautes. Toutefois, en cas de reprise en chaîne de données par des tiers, la liberté contractuelle accordée aux propriétaires de bases simples ne pourra être aussi efficace que les droits exclusifs opposables à tous qui sont conférés à l'auteur et au producteur d'une base de données originale ou ayant bénéficié d'un investissement substantiel.