R

RGPD Sous Traitance

Liens publicitaires : suggérer, est-ce contrefaire ?

La responsabilité de Google du fait de la présence de marques de tiers dans les mots-clés que son outil de suggestion (1)
(1)

Ou « générateur de mots-clés »
propose aux annonceurs est une question épineuse qui a partagé les tribunaux. Dans l’affaire qui oppose le Gifam et ses membres aux sociétés Google, la 4e chambre, section B de la Cour d’appel de Paris a rendu un arrêt (2)

(2)
CA Paris, 4e ch., sect. B, 1er février 2008, Gifam et autres c/ Google France, Google Inc., Google Ireland Ltd., RLDI 2008/35, nº 1177, obs. Costes L. ; voir Tardieu-Guignes E., Liens commerciaux : contrefaçon ou non ? À la recherche d’une solution convaincante..., supra, nº 1194 ; qui sur cet aspect condamne le prestataire de liens publicitaires pour contrefaçon.

Conseil en Propriété Industrielle Cabinet Plasseraud
En première instance, le jugement avait marqué les esprits en retenant que Google avait commis une faute « en ne mettant pas en place un dispositif de contrôle a priori de la licéité de l’utilisation par ses annonceurs dans le système Adwords de mots-clés constituant des signes, objet de droit privatif de tiers ».

Le Tribunal avait alors condamné le prestataire de liens publicitaires sur la base de la responsabilité civile, après avoir écarté la contrefaçon en ce qui concerne la présentation de marques de tiers dans l’outil de suggestion de mots-clés. Aux yeux des juges de première instance, par ce biais « la société Google ne fait pas un usage illicite de marques car lorsque l’outil suggère le nom d’une marque, Google ne sait pas a priori si l’annonceur va choisir cette marque et dans l’hypothèse d’un choix si son client est autorisé à l’utiliser par exemple en tant que distributeur de produits authentiques ou licencié ».
L’arrêt, s’il abandonne toute référence à un tel dispositif de contrôle n’en reste pas moins strict à l’égard de Google. Le total du montant des dommages et intérêts alloués aux demandeurs dépasse les 300 000 euros, ordre de grandeur comparable à la sanction infligée en appel dans l’affaire Vuitton (1) .
Alors que plusieurs tribunaux, dont les trois sections de la troisième chambre du Tribunal de grande instance de Paris, ont progressivement adopté une jurisprudence inverse, c’est le retour à la solution initialement retenue dans les premières affaires relatives aux liens publicitaires qui prévaut. Ce mouvement de balancier traduit un manque de stabilité et de cohérence d’une jurisprudence qui risque de continuer à se chercher.

C’est l’appréciation des notions d’usage de marque dans le commerce, et en filigrane de protection de la fonction essentielle de la marque, qui sont ici en jeu.
C’est l’appréciation des notions d’usage de marque dans le commerce, et en filigrane de protection de la fonction essentielle de la marque, qui sont ici en jeu. La présente affaire soulève un autre problème, celui de la liberté d’usage des marques par les tiers lorsque peuvent jouer des exceptions au monopole qui leur est attaché ; ces exceptions peuvent être implicites (C. propr. intell., art. L. 713-6 (2) ) ou explicites (autorisation d’usage donnée par contrat).

Pour mémoire, dans cette affaire, plus d’une vingtaine d’industriels de l’électroménager intervenaient aux côtés du Groupement interprofessionnel des fabricants d’appareils d’équipement ménager (Gifam), en invoquant des droits sur leurs marques (dont la renommée était mise en avant), noms de domaine et dénominations sociales. Étaient formulés à l’encontre de la société Google France des griefs visant l’usage de ces signes distinctifs par Google dans l’outil de suggestion de mots-clés et pour l’affichage des annonces, ainsi que le caractère mensonger des publicités apparaissant sous une bannière « liens commerciaux ».

La défense de Google consistait non seulement à contester que les faits reprochés constituaient un usage à titre commercial des marques et à nier sa responsabilité, mais également à dénoncer l’action du Gifam et de ses membres comme une entente ayant pour effet de restreindre la concurrence sur internet « en privant les opérateurs concernés d’un important moyen de promouvoir leur offre commerciale auprès des internautes opérant une recherche sur le site Google et qui sont précisément intéressés par ces marques ».

Le jugement écartait les griefs de contrefaçon et d’atteinte aux autres signes distinctifs invoqués mais retenait que la responsabilité civile de Google était engagée « du fait de son absence d’examen préalable de la licéité de l’usage par les annonceurs des 32 mots-clés en cause et ce d’autant que les signes incriminés sont toutes des marques renommées dans le domaine de l’électroménager, ce qui facilitait son contrôle préalable ».

En appel, les sociétés Google Inc. et Google Ireland Ltd., défenderesses en intervention forcée, formulaient une demande de saisine du Conseil de la concurrence visant à obtenir un avis concernant la licéité des agissements qu’elles reprochaient à leurs adversaires.

L’arrêt infirme le jugement, retenant à l’inverse que « les sociétés Google en proposant aux annonceurs l’usage, comme mots-clés, des signes (...) déposés à titre de marque (...) ont commis des actes de contrefaçon au préjudice des sociétés appelantes qui en sont titulaires ». En revanche, en ce qui concerne l’affichage des annonces publicitaires, l’atteinte aux marques n’est pas caractérisée aux yeux de la Cour. En effet, il apparaît qu’un certain nombre d’annonces visaient à promouvoir une activité en liaison avec des produits authentiques et ainsi faire usage des marques en cause, notamment sous le couvert des dispositions de l’article L. 713-6 b) du Code de la propriété intellectuelle, car « nombre des annonces litigieuses sont le fait d’éditeurs de services de comparaison de prix et de recherche d’enchères ».

Enfin, l’arrêt retient l’existence d’actes de publicité mensongère.

I. - RESPONSABILITÉ DU PRESTATAIRE QUANT À L’OUTIL DE SUGGESTION : ÉVOLUTION DE LA JURISPRUDENCE

Après un certain assouplissement de la position des tribunaux, se traduisant par un refus de qualifier de contrefaçon le fait que l’outil de suggestion de mots-clés de Google propose les marques de tiers aux annonceurs (bien que la responsabilité civile soit retenue), c’est un retour à la position stricte des premières décisions rendues en la matière que l’on constate nettement dans les récents arrêts de la Cour d’appel d’Aix-en-Provence (3) et dans l’arrêt parisien de l’espèce.
Un aperçu des décisions rendues depuis 2004 permet de retracer cette évolution.

Le jugement du 14 décembre 2004 dans l’affaire CNRRH (4) retient que la marque Eurochallenges « était proposée comme mot-clé similaire en "requête large" aux clients commerciaux potentiels ayant sélectionné le mot-clé "rencontre". La marque est donc bien proposée par Google et non choisie par le client seul ». Le Tribunal constate que « la marque a été servilement reproduite par Google pour des services identiques à ceux protégés » et « que la société Google en proposant à des annonceurs la marque Eurochallenges sans l’autorisation de son propriétaire Pierre Alexis T. et pour des produits et services identiques à ceux désignés dans l’enregistrement s’est rendu coupable de faits de contrefaçon sur le fondement de l’article L. 713-2 du Code de la propriété intellectuelle ».

C’est un retour à la position stricte des premières décisions rendues en la matière que l’on constate nettement dans les récents arrêts de la Cour d’appel d’Aix-en-Provence et dans l’arrêt parisien de l’espèce.

Dans cette affaire, l’arrêt rendu le 23 mars 2006 (5) confirme la condamnation de Google pour contrefaçon, par des motifs qui ne développent l’aspect lié à l’outil de suggestion de mots-clés. Cet arrêt fait l’objet d’un pourvoi en cassation.

Un jugement du 24 juin 2006 (6) amène également les juges à se prononcer sur la responsabilité de Google au regard du fonctionnement et des résultats fournis par son outil de suggestion de mots-clés. On y retrouve les quatre éléments qui déterminent la solution : une matérialité de l’usage de la marque, caractérisée par son affichage à l’écran (« Attendu que, dans le cadre de ce service de générateur de mots-clés, c’est Google et non pas l’annonceur qui fait apparaître à l’écran le terme litigieux » ; « si, in fine, c’est l’annonceur qui choisira les mots-clés et les termes de son annonce, il demeure que la société Google joue un rôle actif en lui proposant et même en l’incitant à choisir tels ou tels termes à titre de mots clés, au regard de l’activité qu’il poursuit »), la nature commerciale de cet usage (liée à la perception de revenus par Google), un contexte d’apparition de la marque qui correspond aux produits et services pour lesquels la marque est enregistrée (« l’apparition de ce signe est réalisée en fonction de l’activité menée par l’annonceur ; (...) il s’agit, en effet, pour Google de proposer des mots-clés pertinents ») et la présentation incitative des mots-clés fournis par l’outil de suggestion (« en l’espèce, Google a suggéré à la société Espace 2001 de choisir divers mots-clés parmi lesquels figurait le signe "Amen" »). La contrefaçon est ainsi caractérisée.
Enfin, dans l’affaire Bourse des Vols, le sujet est abordé par la Cour d’appel de Versailles. Son arrêt (7) confirme le jugement rendu, le 13 octobre 2003, par le Tribunal de grande instance de Nanterre qui condamnait Google pour contrefaçon. Si le jugement n’évoquait pas l’outil de suggestion de mots-clés, la Cour relève que « la société Google France, alors même qu’elle aurait légitimement ignoré que les sociétés Viaticum et Luteciel étaient titulaires des marques litigieuses, ne pouvait pas proposer dans son outil de suggestion de mots-clés l’achat des mots-clés "bourse aux voyages" ou "bourse de voyages" ou encore "bdv.com", sous prétexte qu’ils figuraient parmi les plus souvent demandés, sans s’être livrée à une recherche sérieuse des droits éventuels de tiers sur ces mots ».

Après l’été 2005 (8) , le revirement est marqué par un jugement du 8 décembre 2005 (9) : la même section du Tribunal de grande instance de Paris (10) rejette alors le grief de contrefaçon à l’encontre de l’outil de suggestion de mots-clés de Google, aux motifs que « le fait pour [Google] de proposer un mot-clé à un annonceur ne réalise pas un acte de contrefaçon ; qu’en effet, si Google utilise la marque "Kertel" pour référencer et présenter les liens commerciaux de l’annonceur, en l’espèce la société Cartephone, cet usage du signe ne s’accompagne d’aucune proposition de produits ou services visés à l’enregistrement de la marque opposée mais participe d’une activité de prestataire de services de publicité ».

La tournure « participe d’une activité de prestataire... » n’est pas sans une certaine subtilité en ce sens qu’elle semble s’éloigner de la notion d’usage à titre de marque. Mais, en réalité, si la contrefaçon est écartée, c’est en application du principe de spécialité car de cette constatation, le jugement tire la conclusion suivante : « l’identité de produits ou services à ceux désignés dans l’enregistrement exigée par l’article L. 713-2 précité n’est donc pas réalisée ».

Autrement dit, si les tribunaux écartent la contrefaçon en suivant ce courant amorcé en décembre 2005, c’est parce qu’ils estiment que le principe de spécialité qui limite la portée des droits attachés à une marque constitue une frontière que Google n’a pas franchie.

Et donc, a contrario, si l’on est en présence d’une marque enregistrée pour des services publicitaires, le juge devrait retenir la contrefaçon. La situation s’est effectivement présentée.

Par un jugement du 31 octobre 2006 (11) , la première section de la troisième chambre du Tribunal de grande instance de Paris exposait dans son raisonnement retenir des principes identiques à ceux du jugement Kertel pour apprécier si le fonctionnement de l’outil de suggestion au regard des marques en cause pouvait être considéré comme contrefaisant. Certaines de ces marques n’ayant effectivement rien à voir avec la publicité, la contrefaçon est écartée. L’une des marques pourtant est enregistrée en classe 35 pour des services concernant « la publicité, la gestion de fichiers informatique, la location de temps d’accès à un centre serveur de base de données ».
Le Tribunal qui décidément n’entendait pas admettre la contrefaçon n’hésitera pas à affirmer que « [l]’activité de régie publicitaire [de Google] n’est pas une activité de publicité mais de mise à disposition à des clients d’espaces publicitaires » ! Autant vider de son sens la notion de lien de similarité...

Dans la même veine, un jugement de la deuxième section de la troisième chambre du Tribunal de grande instance de Paris (12) applique toujours le même principe et retient cette fois-ci la contrefaçon car la marque invoquée était enregistrée pour des services de... télécommunications, jugés similaires aux services proposés par la société Google France (13) !

Si la façon d’appréhender la qualification du fonctionnement du générateur de mots-clés par ce courant jurisprudentiel peut sembler moins sévère à l’égard de Google, il n’en demeure pas moins qu’à défaut de contrefaçon, la responsabilité civile du prestataire est retenue, pour avoir proposé un signe protégé en tant que marque « à titre de mot-clé, en n’effectuant aucun contrôle préalable des mots-clés réservés par ses clients et susceptibles de porter atteinte aux droits détenus par des tiers » (14) .

Il est généralement admis par les différents tribunaux que la matérialité de l’usage se traduit par l’affichage de la marque à l’écran, parmi les résultats de l’outil de suggestion de mots-clés.

Le même raisonnement et la même solution ont à nouveau été mis en œuvre par la deuxième section de la troisième chambre du Tribunal de grande instance de Paris le 27 avril 2006 (15) , puis par d’autres juges du Tribunal de grande instance de Paris (16) , du Tribunal de grande instance de Strasbourg (17) et par le Tribunal de commerce de Paris (18) .

Cette évolution de la jurisprudence des tribunaux depuis l’affaire Kertel est en contradiction totale avec la position jusqu’à présent constante des juridictions d’appel (19) qui ont systématiquement retenu la contrefaçon. Sans doute une question préjudicielle ne serait pas inutile pour éclairer les juridictions nationales et harmoniser la jurisprudence (20) .
Que les décisions relèvent schématiquement du courant développé par les tribunaux ou de celui des cours d’appels, on peut résumer le raisonnement suivi par l’ensemble des juges à trois questions :

l’affichage du nom d’une marque parmi les mots-clés constitue-t-il un usage de la marque par la régie publicitaire ? ;
le cas échéant, cet usage intervient-il dans la vie des affaires ? ;

le cas échéant, cet usage dans la vie des affaires intervient-il dans le domaine de spécialité de la marque ?

C’est essentiellement la réponse apportée à la troisième question qui distingue les deux tendances.
La première question se résume pour les juges à pouvoir mettre en avant un acte matériel de la part du prestataire. La dématérialisation propre au réseau n’est pas ici une difficulté : il est généralement admis par les différents tribunaux que la matérialité de l’usage se traduit par l’affichage de la marque à l’écran, parmi les résultats de l’outil de suggestion de mots-clés.

La deuxième question vise à déterminer si l’usage intervient dans la sphère commerciale. La directive nº 89/104 du 21 décembre 1988 rapprochant les législations des États membres sur les marques énonce, dans son article 5, que le droit exclusif attaché à la marque habilite son titulaire « à interdire à tout tiers, en l’absence de son consentement, de faire usage, dans la vie des affaires » d’un signe identique pour des produits ou services identiques ou d’un signe « pour lequel, en raison de son identité ou de sa similitude avec la marque et en raison de l’identité ou de la similitude des produits ou des services couverts par la marque et le signe, il existe, dans l’esprit du public, un risque de confusion ». Le même article précise que l’interdiction peut notamment porter sur l’utilisation du signe « dans la publicité ».

La notion d’usage « dans la vie des affaires » a été précisée par la Cour de justice des Communautés européennes. Dans son arrêt « Arsenal / Reed » (21) , la CJCE rappelle que « l’usage du signe identique a bien lieu dans la vie des affaires, dès lors qu’il se situe dans le contexte d’une activité commerciale visant à un avantage économique et non dans le domaine privé » (§ 40). On peut constater que l’activité de régie publicitaire de Google vise à lui procurer un avantage économique, et admettre par conséquent que lorsque Google fait usage d’une marque, cet usage intervient bien dans le contexte d’une activité économique, donc « dans la vie des affaires ».
Reste la troisième question, celle qui touche une limite essentielle de la protection d’une marque : le principe de spécialité.

Si l’usage commercial est admis, il est difficile de soutenir que l’on se trouve dans un domaine de spécialité autre que celui de la marque.

En effet, on touche bien dans le principe de la « publicité contextuelle » (expression souvent mise en avant par Google), à un lien qui associe les annonces publicitaires au contexte sémantique du secteur d’activité de l’annonceur. Tel est précisément tout l’intérêt du système des liens AdSense/AdWords, qui vise à cibler très précisément l’affichage d’annonces publicitaires auprès du public.

Comme indiqué dans la motivation du jugement Kertel précité, c’est la nature publicitaire de l’activité de Google qui conduit à faire jouer le principe de spécialité en défaveur du titulaire des droits de marque dans les jugements qui ont suivi.
Toutefois, on peut continuer à s’interroger sur la pertinence de ce raisonnement : si la société Google exerce une activité de régie publicitaire, les marques des tiers dont cette régie publicitaire fait usage dans la sphère commerciale, via son outil de suggestion ou pour l’affichage des annonces, ne sont pas exactement utilisées pour désigner les services publicitaires de Google (22) .

Or, quand il s’agit d’apprécier si une société est responsable de la contrefaçon d’une marque, l’évaluation doit surtout être fonction du lien de similarité entre, d’une part, les produits et services pour lesquels la marque est enregistrée, et d’autre part, les produits et services pour lesquels le présumé contrefacteur en fait usage.

Si « Google n’est pas une agence matrimoniale » (23) - ou un fabricant d’électroménager -, il n’en demeure pas moins que ses outils de suggestion avancent - parmi divers mots-clés - des noms de marques d’électroménager à qui veut passer des annonces dans ce domaine et indiquent des noms de marques d’agences matrimoniales à qui recherche des mots-clés pour faire de la publicité dans ce créneau.

En ce sens, l’arrêt de l’espèce souligne que « lorsque l’annonceur sollicite le générateur de mots-clés, il s’interroge sur le ou les mots-clés les plus pertinents pour faciliter la consultation de son site et ce, en fonction de l’activité qu’il y développe ou du moins qu’il veut y développer ;
En rejetant l’action en concurrence déloyale après avoir fait droit à l’action en contrefaçon, la Cour semble manquer de cohérence car ce sont le plus souvent les mêmes termes ou expressions qui sont protégés.

Qu’il interroge donc le service de Google par rapport à un produit ou à un ensemble de produits désignés ».
De ces éléments, l’arrêt conclut, ensuite, que « l’usage de ces signes déposés à titre de marques est dès lors bien un usage à titre de marque, c’est-à-dire dans la fonction d’individualisation de produits ou services ». La formulation de cette motivation n’est pas éloignée de celle du jugement rendu dans l’affaire Amen c/ Espace 2001 déjà citée plus haut (24) .

II. - REJET DE LA CONCURRENCE DÉLOYALE

Alors qu’en plus de leurs marques les membres du Gifam invoquaient les droits attachés à leurs dénominations sociales, noms commerciaux et noms de domaine, la Cour refuse de voir une atteinte à ces signes distinctifs. Sur ce point, la motivation est lapidaire : les juges estiment simplement « que l’internaute qui prend connaissance de la liste des mots-clés dont certains constituent la dénomination sociale, le nom commercial ou même le nom de domaine des sociétés membres du Gifam, ne peut se méprendre sur l’usage de ces signes par le générateur de mots-clés ».

En rejetant ainsi l’action en concurrence déloyale après avoir fait droit à l’action en contrefaçon, la Cour semble manquer de cohérence car ce sont le plus souvent les mêmes termes ou expressions qui sont protégés, d’une part, en tant que marque et, d’autre part, comme dénomination sociale, nom commercial ou nom de domaine (25) .

III. - INCIDENT CONCERNANT LES INFORMATIONS PERMETTANT D’ÉVALUER LE PRÉJUDICE

L’arrêt du 1er février 2008 est remarquable par le montant total des sommes allouées à titre de dommages et intérêts (plus de 300 000 euros (26) ), fonction du nombre impressionnant de titulaires de droits face à Google. En effet, outre le Gifam, pas moins de 28 de ses membres faisaient valoir leurs intérêts.
Bien qu’on imagine sans mal qu’à chaque situation correspondaient une atteinte et un préjudice particuliers, chacun de ces professionnels de l’électroménager se voit allouer le même, montant.

Une ordonnance de référé du 12 octobre 2005 enjoignait Google à produire des informations quantitatives relatives à l’usage des marques invoquées en l’espèce. Celle-ci a été largement atténuée par une ordonnance du juge de la mise en état du 11 janvier 2006 qui admettait que « compte tenu du nombre de marques en cause (31) la charge de recherche des éléments sollicités peut être lourde » (27) et a donc enjoint Google à produire sous astreinte les éléments sollicités (28) seulement pour un nombre limité de marques.

Ces informations n’ont pas été fournies par Google : il ressort des termes du jugement du 12 juillet 2006 qu’une demande de liquidation de l’astreinte avait ensuite été formulée, mais que les demandeurs y ont finalement renoncé « les parties ne souhaitant pas retarder les plaidoiries ».

Les statistiques sollicitées visaient à permettre l’évaluation du préjudice. En d’autres circonstances, il a été jugé que le faible nombre de consultations des liens mis en avant par des annonces jugées illicites ne pouvait donner lieu qu’à un dédommagement somme toute limité (29) .

On observera que dans l’affaire Gifam, les demandes d’informations ont été formulées sous l’empire du droit commun de la procédure civile. À l’avenir, les demandes visant à obtenir des informations de la part des intermédiaires vont se multiplier. En effet, l’entrée en vigueur de la loi nº 2007-1544 du 29 octobre 2007 renforce les prérogatives des titulaires de droits de propriété industrielle en leur permettant dans certaines circonstances d’intervenir à l’encontre des intermédiaires dont les présumés contrefacteurs utilisent les services (C. propr. intell., art. L. 716-6 modifié). Il leur est également possible d’obtenir des ordonnances sur requête « afin de déterminer l’origine et les réseaux de distribution des produits contrefaisants qui portent atteinte aux droits du demandeur, la production de tous documents ou informations détenus par le défendeur ou par toute personne qui a été trouvée en possession de produits contrefaisants ou qui fournit des services utilisés dans des activités de contrefaçon ou encore qui a été signalée comme intervenant dans la production, la fabrication ou la distribution de ces produits ou la fourniture de ces services » (C. propr. intell., art. L. 716-7-1 nv.).
En l’espèce, face à l’absence d’éléments précis pour quantifier le préjudice, la Cour tient rigueur à Google de son « choix de ne fournir que quelques éléments comptables qui ne permettent pas d’apprécier la fréquence et l’importance de la reproduction de l’ensemble des marques par le générateur de mots-clés ». L’évaluation, forcément empirique dans ces circonstances, se base sur la considération que les marques « n’ont pu qu’être souvent reproduites et que faire l’objet d’une large consultation par les annonceurs, s’agissant de signes désignant des produits de consommation courante ».
Alors que la jurisprudence n’est pas encore totalement harmonisée et stabilisée en matière de liens publicitaires, d’autres questions se profilent déjà.

IV. - AFFICHAGE DES ANNONCES

La suggestion de mots-clés constitue une première étape au cours de laquelle la marque apparaît à l’écran. Une fois le mot-clé réservé, l’affichage des annonces publicitaires sera déclenché par la saisie du mot-clé dans le moteur de recherche (ou par sa présence dans un contenu en marge duquel s’affiche la publicité contextuelle, selon le système Adsense).

Sur la question de la contrefaçon des marques lors de l’affichage des annonces elles-mêmes (et de l’éventuelle imputabilité de la responsabilité de ce fait à Google), Google souligne fort à propos que rien ne permet d’exclure l’application de l’exception prévue à l’article L. 713-6 b) du Code de la propriété intellectuelle (30) .

Les usages litigieux seraient, en effet, selon Google, le fait de revendeurs de produits authentiques ou de sites de comparaison de prix. Or, le Gifam n’a pas démontré d’atteinte (se contentant d’incriminer « globalement un ensemble d’annonces qui obéissent à des finalités bien distinctes, sans procéder dans ses écritures à l’analyse précise de leur contenu ») et, face aux allégations de Google, « n’a pas cru devoir appeler dans la cause les responsables de ces annonces ». Encore une fois, on ne pourra que s’étonner de l’absence des annonceurs dans les instances relatives aux liens publicitaires (31) . Ici, faute de précision, la question est écartée (32) .

V. - PUBLICITÉ MENSONGÈRE

Un dernier grief est retenu à l’encontre des sociétés Google par l’arrêt du 1er février 2008 : la publicité réalisée est jugée mensongère du fait de l’ambiguïté de l’intitulé « liens commerciaux » sous lequel apparaissent les annonces dans une colonne voisine des résultats affichés par le moteur de recherche. Cette appréciation n’est pas unanimement partagée par les différentes juridictions qui ont eu à se prononcer sur cette question (33) .

Alors que la jurisprudence n’est pas encore totalement harmonisée et stabilisée en matière de liens publicitaires, d’autres questions se profilent déjà.
Des procédés visant à développer encore plus l’impact des annonces par liens hypertextes « contextualisés » pourraient également avoir un impact inattendu. Ainsi se trouvent, par exemple, les requêtes larges, qui ont été encore très peu abordées devant les tribunaux et ne suscitant pas des décisions limpides quant au fonctionnement de ce système.

Une autre technique, si elle était généralisée, pourrait aussi susciter des débats : l’« automatic matching » est un procédé à ce jour expérimental visant à permettre à Google d’atteindre les plafonds que les annonceurs ont fixés pour leur budget de campagnes de liens publicitaires.

Pour cela, Google choisirait lui-même, et sans intervention de l’annonceur, les mots-clés susceptibles de déclencher l’affichage des publicités (34) .

(1)
CA Paris, 4e ch., sect. A, 28 juin 2006, Google France c/ Louis Vuitton Malletier. Cet arrêt fait l’objet d’un pourvoi.
(2)
« L’enregistrement d’une marque ne fait pas obstacle à l’utilisation du même signe ou d’un signe similaire comme : (...) - b) Référence nécessaire pour indiquer la destination d’un produit ou d’un service, notamment en tant qu’accessoire ou pièce détachée, à condition qu’il n’y ait pas de confusion dans leur origine. Toutefois, si cette utilisation porte atteinte à ses droits, le titulaire de l’enregistrement peut demander qu’elle soit limitée ou interdite. »
(3)
CA Aix-en-Provence, 2e ch., 6 déc. 2007, TWD Industries c/ Google France, Google Inc., RLDI 2008/34, nº 1137, obs. Auroux J.-B.
(4)
TGI Nanterre, 2e ch., 14 déc. 2004, CNRRH c/ Google France.
(5)
CA Versailles, 12e ch., sect. 2, 23 mars 2006, Google France c/ CNRRH.
(6)
TGI Paris, 3e ch., 2e sect., 24 juin 2005, Agence des Medias Numériques (Amen) c/ Espace 2001, Google France.
(7)
CA Versailles, 12e ch., sect. 1, 10 mars 2005, Google France c/ Viaticum, Luteciel.
(8)
On peut noter pour la chronologie que c’est à la fin juillet 2005 que le Forum de droits sur l’internet (FDI) a fait paraître ses recommandations sur les liens commerciaux, destinées aux acteurs du marché (et non aux juridictions). Sans se prononcer sur la nature contrefaisante ou non de l’apparition des marques de tiers dans les outils de suggestion, l’organisme, qui « se félicite des bonnes pratiques des fournisseurs de liens commerciaux » leur adresse cinq conseils : il leur recommande notamment de mettre en garde les annonceurs contre la sélection de mots-clés pouvant porter atteinte aux droits de tiers et de préciser le rôle des générateurs de mots-clés afin que ces outils ne soient pas présentés comme « conseillant ou suggérant » de sélectionner les termes indiqués. En d’autres termes, le FDI préconise l’abandon de toute présentation incitative de la présentation de résultats statistiques.
(9)
TGI Paris, 3e ch., 2e sect., 8 déc. 2005, Kertel c/ Google France.
(10)
Mais composée d’autres juges.
(11)
TGI Paris, 3e ch., 1re sect., 31 oct. 2006, Iliad c/ Google France, Helios.
(12)
TGI Paris, 3e ch., 2e sect., 9 mars 2006, Promovacances, Karavel c/ Google France.
(13)
Cette qualification étrange de l’activité de la société Google (pourtant considérée comme régie publicitaire) n’est pas sans rappeler les errements du passé sur la fameuse classe 38, auxquels la Cour de cassation avait pourtant mis fin avec l’arrêt « Locatour » (Cass. com. 13 déc. 2005, nº 04-10.143).
(14)
TGI Paris, 3e ch., 2e sect., 8 déc. 2005, précité, note 11.
(15)
TGI Paris, 3e ch., 2e sect., 27 avr. 2006, Auto IES c/ Google France, Car Import, Directinfos Com, Ebay France, Pierre B.
(16)
TGI Paris, 3e ch., 3e sect., 12 juill. 2006, Gifam et autres c/ Google France ; TGI Paris, réf., 11 oct. 2006, Citadines c/ Google France, Google Inc. (rendu en pratique par le président de la 3e chambre, 3e section) ; TGI Paris, 3e ch., 1re sect., 13 févr. 2007, Laurent C. c/ Google France.
(17)
TGI Strasbourg, 1re ch. civ., 20 juill. 2007, Atrya c/ Google France, KparK, Technifenetre. À propos de ce jugement, voir Tardieu-Guigues E., L’utilisation de la marque d’un tiers dans des mots-clés sur un moteur de recherche ne porte pas atteinte au droit de marque (sous certaines conditions), RLDI 2008/34, nº 1128.
(18)
T. com. Paris, 8e ch., 31 oct. 2007, Trednet c/ Bodxl, Google France.
(19)
CA Aix-en-Provence, 2e ch., 6 déc. 2007, TWD Industrie c/ Google France, Google Inc. ; CA Paris, 4e ch., A, 28 juin 2006, Google France c/ Louis Vuitton Malletier ; CA Versailles, 12e ch., sect. 1, 10 mars 2005, Viaticum, Luteciel c/ Google France ; CA Versailles, 12e ch., sect. 2, 23 mars 2006, Google France c/ CNRRH) ; et dans une certaine mesure : CA Versailles, 12e ch., sect. 1, 24 mai 2007, Google France c/ Hotels Méridien. Eu égard à la renommée de la marque, la Cour a retenu l’application de l’article L. 713-5 du Code de la propriété intellectuelle, la notion de principe de spécialité étant alors écartée.
(20)
Y compris au niveau européen.
(21)
CJCE (cour plénière), 12 nov. 2002, Arsenal Football Club Plc c/ Matthew Reed, Aff. C-206/01.
(22)
Tel est l’objet de la marque Adwords enregistrée à l’OHMI pour « Dissemination of advertising for others » et de la marque Adsense, qui en classe 35 vise « Advertising ; business management ; business administration ; office functions ; dissemination of advertising for others via the Internet ».
(23)
Gaultier J.-F. et Jourdain M., Liens sponsorisés : Google est-elle une agence matrimoniale ?, , 30 mai 2005.
(24)
Jugement rendu sous l’égide du même magistrat que l’arrêt du 1er février 2008.
(25)
À l’inverse, dans le jugement du 24 juin 2005 (note 8), la concurrence déloyale était retenue au regard du sigle et du nom commercial « Amen ». Voir Glaize F., Liens commerciaux : nouvelle décision peu amène envers Google, , 8 nov. 2005.
(26)
Chaque société titulaire de marques se voit allouer 10 000 euros au titre de la contrefaçon et 1 500 euros du fait du caractère trompeur de la publicité. Le préjudice du Gifam est évalué à 1 000 euros.
(27)
Google soutenait que « les recherches des éléments demandés seraient trop coûteuses en personnel ». Depuis le rachat de la société Urchin Software Corporation en 2005 par Google, ce genre d’argument ne devrait plus être admis puisque, a ainsi été acquis l’un des services de statistiques les plus perfectionnés, rebaptisé depuis alternative Google Analytics CNIL.
(28)
Ces éléments consistent en la liste des clients de Google utilisant les marques pour l’affichage des liens commerciaux dans le cadre du système Adwords et le lien commercial correspondant à chacun d’entre eux, le nombre de pages visualisées par les internautes - depuis certaines dates fixées - et faisant apparaître les liens commerciaux en cause et ce, lien par lien, le système de rémunération de la société Google pour chaque lien commercial sur la période considérée, le chiffre d’affaires de la société Google pour chaque lien commercial en question pour la période de référence.
(29)
Voir par ex., T. com. Paris, 8e ch., 5 oct. 2005, Corb’s c/ Evoc, http://legalis.net/breves-article.php3?id_article=1539;.
(30)
À propos de la mise en œuvre des dispositions de l’article L. 713-6 en matière de liens publicitaires, CA Versailles, 2 nov. 2006, 12e ch., sect. 1, Overture c/ Accor.
(31)
À supposer que les annonceurs soient clairement identifiables, ce qu’impose l’article 20 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique.
(32)
Dans l’affaire TWD Industries, l’arrêt de la Cour d’appel d’Aix-en-Provence retient la responsabilité de Google pour contrefaçon lors de l’affichage des annonces publicitaires.
(33)
Parmi les décisions retenant la qualification de publicité mensongère : CA Paris, 4e ch., sect. A, 28 juin 2006, Google France c/ Louis Vuitton Malletier ; TGI Paris, 3e ch., 3e sect., 12 déc. 2007, Syndicat Français de la Literie c/ Google France ; et celles rejetant la qualification de publicité mensongère ou de publicité trompeuse : CA Versailles, 2 nov. 2006, précité ; CA Aix-en-Provence, 6 déc. 2007, précité.
(34)
Ellen Kehoane, DMNews, 28 févr. 2008, Google AdWords automatic matching meets wary audience, http://www.dmnews.com/Google-AdWords-automatic-matching-meets-wary-audience/article/107409/.

Comment s’assurer qu’un sous-traitant présente des «garanties suffisantes » ?

Le responsable de traitement et le sous- traitant ont l’obligation de mettre en place les mesures techniques et organisationnelles de sécurité qui sont adaptées aux risques engendrés par le traitement, selon l’article 32 du RGPD. Néanmoins, l’obligation générale visant à s’assurer et à démontrer que le traitement est effectué conformément au règlement pèse uniquement sur le responsable de traitement.

Autrement-dit, le responsable de traitement et le sous-traitant ont tous les deux l’obligation d’assurer la sécurité des données, mais la preuve visant à démontrer que les mesures techniques et organisationnelles de sécurité mises en place sont adaptées au risque, doit être apportée par le responsable de traitement.

C’est d’ailleurs pourquoi il est fortement conseillé au responsable de traitement de toujours procéder à une analyse de risque sur la sécurité des données (confidentialité, intégrité et disponibilité), quel que soit le traitement de données personnelles envisagé. En effet, ce procédé lui permet d’une part d’identifier les mesures techniques et organisationnelles de sécurité à mettre en place et d’autre part d'évaluer l'intégrité des tiers.

Enfin, lorsque le traitement implique le recours à la sous-traitance, le résultat de cette analyse peut être utilisé pour sélectionner uniquement les sous-traitants qui sont en mesures d’assurer la sécurité des données. C’est-à-dire ceux disposant des moyens nécessaires pour mettre en place et respecter les mesures de sécurité adaptées au risque.

Ainsi le choix du sous-traitant devrait être conditionné à la réalisation des étapes suivantes :

La réalisation d’une étude de risque sur la sécurité des données pouvant avoir des impacts sur la vie privée

Cela passe par l’anticipation de scénarios susceptibles de se réaliser. Par exemple, un salarié non habilité, peut-il accéder aux fichiers des Ressources Humaines, extraire les données personnelles de ses collègues, et les diffuser par la suite sur le Dark web, compromettant ainsi la confidentialité des données ? Si la réponse est oui, cela signifie qu’il est nécessaire de mettre en place des mesures de sécurité pour réduire ce risque.

L’identification des mesures techniques et organisationnelles de sécurités les plus adaptées aux risques identifiés

En se basant sur l’exemple ci-dessus, le responsable de traitement peut décider de mettre en place différentes mesures de sécurité, telles que : la traçabilité sur les actions, l’authentification forte, ou encore par la mise en place d’une gestion des habilitations. Avec ces mesures, le responsable de traitement peut considérablement réduire le risque qu’un salarié non habilité puisse accéder à des données personnelles, les extraire, puis les diffuser. Une fois ce travail réalisé, le responsable de traitement dispose d’une liste exhaustive des mesures techniques et organisationnelles de sécurité.

La vérification que le sous-traitant est en mesure de mettre en place les mesures techniques et organisationnelles de sécurité

Afin de s’assurer que le ou les sous-traitants sélectionnés appliquent déjà ou sont en mesure d’implémenter les mesures de sécurité identifiées, le responsable de traitement peut leur adresser un document sous forme de questionnaire reprenant l’ensembles desdites mesures. Par ailleurs, le responsable de traitement peut s’appuyer sur l’ensemble de ces exigences pour conditionner le recours à un sous-traitant de second rang.

Un autre aspect à prendre en compte est celui de la chaine de sous-traitance. Il est souvent constaté dans les modèles de contrats fournis par les sous-traitants qu’ils se réservent la possibilité de faire eux-mêmes appel à un sous- traitant de second rang afin de déléguer une partie des opérations de traitement. Si bien souvent le contrat contient l’obligation pour le sous-traitant d’en informer au préalable le responsable de traitement pour lui permettre d’émettre des objections, dans les faits ce dernier en a rarement connaissance.

Selon l’article 28 du RGPD, le contrat entre le sous-traitant de premier rang et de second rang doit contenir les mêmes obligations que celles prévues au contrat entre le responsable de traitement et le sous-traitant, notamment concernant la sécurité des données. Et c’est au sous-traitant de premier rang de s’assurer que le sous-traitant de second rang respecte bien ses obligations en matière de protection des données et si celui-ci « ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l'exécution par l'autre sous- traitant de ses obligations ».

Sur le plan juridique, ces dispositions du RGPD protègent le responsable de traitement mais dans les faits, si une violation de données venait à se produire du fait de la défaillance du second sous-traitant, celle-ci pourrait être rendue publique et engendrer de lourdes conséquences pour le responsable de traitement. Apprenant dans la presse que leurs données personnelles sont accessibles ou vente sur le dark web, les personnes concernées se tourneraient immédiatement vers le responsable de traitement et/ou perdraient confiance en lui (impacts sur son image). Cela pourrait également engendrer une sanction de la CNIL, si jamais la notification de violation de données ne lui avait pas été remontée dans les temps. Il est donc fortement recommandé que le responsable de traitement prenne en compte la chaine de sous-traitance au moment de sélectionner un sous-traitant et de bien l’encadrer contractuellement.

A retenir : plus le traitement est considéré comme sensible ou à risque, plus les obligations du responsable de traitement sont renforcées concernant le choix d’un sous- traitant et le suivi du respect de ses obligations (audits réguliers).

Vérifier la maturité des sous-traitants en matière de protection des données personnelles

Le responsable de traitement doit faire une sélection sur le marché des seuls sous-traitants présentant «des garanties suffisantes pour mettre en œuvre mesures techniques et organisationnelles appropriées» pour répondre aux exigences du RGPD. Si de prime abord, le législateur européen ne précise pas ce qu’il entend par des «garanties suffisantes», il est néanmoins possible d’en préciser les contours via les considérants et les articles du RGPD.

Le considérant 81 du RGPD prévoit que « le responsable du traitement ne devrait faire appel qu’à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles qui satisferont aux exigences du présent règlement ».

En pratique, l’expertise d’un sous-traitant peut s’apprécier de différentes manières, telles que l’application par le sous-traitant d’un code de bonne conduite, la vérification de la conformité de son site internet, la démonstration que le produit et/ou service prend en compte le privacy by design et le privacy by default ou encore via une la documentation sur les mesures de sécurité. Pour ce qui est de la fiabilité, il peut être recommandé de prendre en compte la renommée sur le marché du sous-traitant, la date de création de l’entreprise, sa présence à l’international ou ses certifications (ISO27001, ISO27701, etc.).

Enfin, concernant les ressources, la présence d’un DPO chez le sous-traitant ou la formation/sensibilisation du personnel à la protection des données sont des facteurs à prendre en compte et facilement vérifiables. Néanmoins, si aucun des points ci-dessus ne permet à lui seul d’apprécier « les garanties suffisantes », cela constitue néanmoins un faisceau d’indices qui peut être utilisé pour faire une présélection des sous-traitants.

D’un point de vue opérationnel, le responsable de traitement devrait établir un questionnaire contenant toutes les informations qu’il juge utiles pour s’assurer que le sous-traitant présente des garanties suffisantes et intégrer l’usage de ce questionnaire dans un process interne relatif au choix d’un nouveau prestataire.

  • Avez-vous désigné un Délégué à la Protection des Données ?
  • Avez-vous établi un registre des activités de traitement Responsable de traitement et Sous-traitant ?
  • Avez-vous une Politique de Sécurité ?
  • Avez-vous mis en place une procédure de gestion de crise, notamment en cas de violation de données ?
  • Votre personnel est-il formé/sensibilisé à la protection des données ?
  • Proposez-vous un Plan d’Assurance Sécurité ?

En analysant les réponses obtenues, le responsable de traitement est désormais en mesure de faire une présélection des sous-traitants, pour ne retenir que ceux démontrant un bon niveau de maturité en matière de protection des données.

L’évolution des critères quant au choix du sous-traitant

L’article 17 alinéa 2 de la Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, prévoyait une obligation pour le responsable de traitement de «devoir» choisir un sous-traitant sur la base des garanties qu’il présente en matière de sécurité. Cet article a été transposé à l’article 35 de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, qui dispose que «le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34». La sécurité des données personnelles était donc être le seul critère déterminant à prendre en compte par le responsable de traitement, pour effectuer le choix de son sous-traitant. A cet égard, seul le responsable de traitement était responsable en cas de manquement à l’obligation de sécurité, même si ce manquement résultait de son sous-traitant.

Le Règlement Général sur la Protection des Données, est venu préciser et renforcer les obligations du responsable de traitement, dès lors qu’il souhaite faire appel à un sous-traitant. L’article 28 alinéa 1 du RGPD dispose que le responsable de traitement «fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée».

Le législateur européen a considérablement élargi les critères à prendre en compte dans le choix d’un sous-traitant, puisque l’article 28 ne mentionne plus uniquement l’obligation de sécurité, mais l’ensemble de mesures techniques et organisationnelles visant à respecter les exigences du RGPD. L’emploi de l’adverbe «uniquement» ne laisse plus aucune interprétation possible sur la marge de manœuvre laissée au responsable de traitement, il a l’obligation d’apprécier les garanties suffisantes offertes par un sous-traitant sur la base des exigences prévues dans le RGPD.

Etant donné que le responsable doit mettre «en place des mesures techniques et organisationnelles appropriés pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au règlement», il devra nécessairement documenter les mesures prises pour apprécier lesdites garanties suffisantes offertes par le sous-traitant, afin de conserver des preuves et être en mesure de démontrer le respect des exigences du règlement (principe d’Accountability).

Le corolaire de cette obligation concerne les sous-traitants, puisque ces derniers devront être en mesure de démontrer qu’ils présentent des garanties suffisantes, au risque dans le cas contraire de ne pas être sélectionnés par des clients potentiel.

Le risque de sous-traitance sous l'angle RGPD

Qui est encore étonné de lire dans la presse qu’une entreprise, un hôpital ou encore une mairie est victime d’une attaque informatique, bloquant tout ou partie de son activité ?

Qui n’a pas encore pris connaissance d’une décision de la Commission Nationale de l’Informatique et Libertés (CNIL) sanctionnant un organisme, notamment pour un défaut de sécurité des données personnelles?

Aujourd’hui, il ne se passe pas un jour sans qu’un journal ne relaye ce genre d’information. Mais saviez-vous que certaines de ces situations sont la conséquence directe d’une défaillance d’un sous-traitant?

En effet, à y regarder de plus près, les pirates informatiques ne s’attaqueraient pas directement à leur cible finale, mais préfèreraient passer par leurs sous-traitants. C’est le cas pour Airbus dont la manœuvre est relayée par le journal Les Echos, «passant par des sous-traitants, les attaquants auraient tenté à plusieurs reprises de pénétrer les infrastructures informatiques du constructeur afin de lui dérober des données stratégiques».

Dans certains cas, la CNIL a également confirmé que l’origine de la fuite de données n’est pas directement imputable à l’organisme mais bien à son sous-traitant. C’est pourquoi, consciente des risques qui pèsent sur le recours à la sous-traitance, l’ANSSI (l’Agence nationale de la Sécurité des Systèmes informatiques) établit actuellement une liste blanche des prestataires d’administration et de maintenance «fournissant une qualité de service à la hauteur des enjeux de sécurité actuels».

On constate en parallèle, que de plus en plus d’organismes font le choix d’externaliser une partie de leurs activités (informatique, ressources humaines, logistique, etc.)pour diverses raisons: réduction des coûts, manque de savoir-faire, etc. Mais sans s’en rendre compte, ces organismes augmentent considérablement le risque d‘être victime d’une attaque informatique ou de subir une atteinte à la confidentialité des données.

La plupart des organismes estiment que la mise en place de mesures techniques et organisationnelles suffit pour assurer la sécurité de leur système d’information et ont donc le sentiment d’être à l’abri. Mais il ne se préoccupent pas toujours d’aller vérifier ce qu’il en est chez leurs sous-traitants. Ainsi, ils s’aperçoivent souvent trop tard que leurs prestataires délèguent eux-mêmes une partie des opérations de maintenance à un second prestataire situé par exemple en Asie, et dont l’approche en matière de sécurité est totalement différente.

Depuis l’entrée en application du Règlement Général sur la Protection des Données (RGPD), le choix du sous-traitant a pris toute son importance. Car la défaillance du sous-traitant va bien au-delà de la simple perte des données ou du paiement d’une rançon car les organismes ciblés encourent aussi des sanctions financières lourdes (jusqu’à 4% du chiffre d’affaires), un risque réputationnel et donc d’atteinte à leur image aux fortes conséquences (perte de confiance des clients, baisse du chiffre d’affaires, etc.).

Dans ce contexte, la bataille entre les organismes donneurs d’ordres, c’est-à-dire les responsables de traitement et leurs sous-traitants fait rage! En effet, les organismes victimes d’attaques tendent à reporter la faute sur leurs prestataires (à tort ou à raison), chez qui les traitements de données personnelles sont externalisés. Il n’est pas rare de lire dans les communications officielles, que la cyberattaque ou la fuite de données résulte d’une défaillance du sous-traitant, qui n’aurait pas mis en place les «bonnes» mesures techniques et organisationnelles de sécurité. Cette recherche de responsabilité est loin d’être anodine, car désormais le sous-traitant est responsable en cas de manquement, notamment en matière de sécurité des données personnelles.

Toutefois, la responsabilisation des sous-traitants n’amoindrit pas les obligations du responsable de traitement (organisme donneur d’ordre), qui demeure le seul responsable quant au choix de son sous-traitant. L’article 28 du RGPD dispose en effet, que le responsable de traitement doit faire «uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée».

En application du principe d’Accountability et de l’article 24 du RGPD, le responsable de traitement doit être en mesure de démontrer que son traitement remplit les exigences du RGPD. Cela implique pour le responsable de traitement d’apporter la preuve, que le choix du sous-traitant a été fait sur la base de «garanties suffisantes», pour que le traitement réponde aux exigences du règlement et garantisse la protection des droits des personne concernées.