L’article 17 de la directive « Copyright » validé, le filtrage des contenus sur Internet peut commencer

La Cour de justice européenne (CJUE) a validé le 26 avril 2022 l’article 17 de la directive « Droit d’auteur et droits voisins dans le marché unique numérique ». Le filtrage des contenus mis en ligne soulève des questions. La liberté d’expression et d’information risque d’être la victime collatérale.

En France, aussitôt après que la Cour de justice de l’Union européenne (CJUE) ait – dans un arrêt du 26 avril 2022 – validé le controversé article 17 sur le filtrage des contenus mis en ligne sur Internet, au nom de la lutte contre le piratage, l’Arcom a publié deux questionnaires pour l’ « évaluation du niveau d’efficacité des mesures de protection des oeuvres et des objets protégés » par le droit d’auteur et les droits voisins. L’un s’adresse aux fournisseurs de services de partage de contenus (de YouTube à TikTok en passant par Facebook et Twitter). L’autre s’adresse aux titulaires de droits (de l’audiovisuel à la musique en passant par la radio, les podcasts, la presse écrite, les photos, les illustrations, les livres ou encore les jeux vidéo). Ils ont tous jusqu’au 20 juin 2022 pour y répondre. La France est, parmi les Vingt-sept, le pays qui veut être le bon élève dans la transposition de la directive européenne de 2019 sur « le droit d’auteur et les droits voisins dans le marché unique numérique », censée l’être depuis le 7 juin 2021 par tous les Etats membres.

Content ID (YouTube), Rights Manager (Facebook), Surys (ex-Hologram), TMG, …
Sans attendre l’échéance, le gouvernement français avait pris une première ordonnance dès le 12 mai 2021 pour transposer les dispositions concernant la responsabilité des plateformes et le fameux article 17. Maintenant que la CJUE, avec son avocat général Henrik Saugmandsgaard Øe (photo), a tranché en faveur de la validité de cet article 17 au regard de la liberté d’expression et d’information, l’Arcom consulte les ayants droit et les plateformes de partage en vue de publier des recommandations (1) pour améliorer l’ « efficacité » et la « robustesse » des mesures de protection mises en place par les acteurs du Net concernés, ainsi que leur « transparence », leur « simplicité d’usage » et leur « finesse ». Ces systèmes automatisés et méconnus du grand public se nomment, pour n’en citer que quelques uns : Content ID (YouTube), Rights Manager (Facebook), Audible Magic, Signature (Ina), Surys (ex-Hologram Industries, ex-Advestigo), Trident Media Guard (TMG), Kantar ACR (ex-NexTracker et SyncNow de Civolution), Digimarc (acquéreur d’Attributor) ou encore Blue Efficience. Ces outils Continuer la lecture

Les métavers et la propriété intellectuelle : quelle protection pour les titulaires de marques ?

Deux principes fondamentaux régissent, dans le monde réel, le droit des marques : la spécialité et la territorialité. Mais qu’en est-il dans les mondes virtuels à l’ère des métavers ? Entre vide juridique et absence de jurisprudence, les titulaires de ces marques doivent s’y aventurer prudemment.

Par Véronique Dahan (photo), avocate associée, Joffe & Associés.

Beaucoup d’entreprises s’interrogent sur la stratégie à adopter pour protéger leurs marques dans le métavers. Les problématiques juridiques rencontrées dans le monde physique tendent à se transposer au métavers, que ce soit en matière de données personnelles, de droit de la consommation et évidemment de droit de la propriété intellectuelle. A ce jour, il n’existe aucune réglementation propre au métavers. A ce titre, la question de la stratégie à adopter afin d’obtenir une protection optimale de ses marques dans le métavers est cruciale. Le droit des marques est un droit monopolistique, en ce sens que la protection découlant de la marque permet à son titulaire d’évincer tous ses concurrents de l’utilisation à des fins commerciales d’un signe distinctif identique ou similaire. Le droit des marques est régi par deux principes fondamentaux, dont l’extension au monde virtuel peut sembler épineuse : le principe de spécialité, d’une part, et le principe de territorialité, d’autre part.

Est-ce nécessaire de protéger sa marque pour les produits et services liés spécifiquement au métavers ?
Le code de la propriété intellectuelle (CPI) dispose que « l’enregistrement de la marque confère à son titulaire un droit de propriété sur cette marque pour les produits ou services qu’il a désignés » (1). En vertu du principe de spécialité, une marque n’est protégée que pour les produits et services visés lors du dépôt (sauf pour les marques de renommées qui bénéficient d’une protection juridique élargie au-delà des produits et services pour lesquels elles ont été enregistrées). Toute la question est donc de savoir si un bien ou un service du monde réel pourrait être considéré comme identique ou similaire à son équivalent virtuel et générer un risque de confusion dans l’esprit du public. De prime abord, nous pourrions penser qu’un bien ou un service réel et son équivalent virtuel sont différents dans la mesure où ils ne rempliraient pas la même fonction. Si nous prenons l’exemple d’un sac : un sac virtuel n’est autre que des données informatiques représentées sur un écran. Il ne remplit pas sa fonction première qui est d’y ranger ses affaires. Toutefois, Continuer la lecture

Création d’une œuvre ou d’une invention par une IA : la justice commence à faire bouger les lignes

C’est un peu le paradoxe de l’oeuf et de la poule : qui est apparu le premier ? Dans le cas d’une création ou d’une invention par une intelligence artificielle, qui est l’auteur : la personne humaine ou la technologie créatrice ? Cette question existentielle commence à trouver des réponses, en justice.

Par Boriana Guimberteau (photo), avocatE associéE, cabinet Stephenson Harwood

L’intelligence artificielle (IA) fait l’objet de développements exponentiels dans des domaines aussi variés que les voitures autonomes (et les données générées par celle-ci), la rédaction d’articles ou la création de musiques. Au-delà de la compréhension de son fonctionnement, l’intelligence artificielle soulève la question de la paternité et de la titularité des œuvres créées ou des inventions générées par elle.

Vers un « Artificial Intelligence Act »
Avant d’explorer plus en amont cette question, il convient de fournir une définition de l’intelligence artificielle. Selon l’Organisation mondiale de la propriété intellectuelle (OMPI), l’intelligence artificielle désigne une branche de l’informatique qui a pour objet de concevoir des machines et des systèmes à même d’accomplir des tâches faisant appel à l’intelligence humaine, avec un intervention humaine limitée ou nulle. Cette notion équivaut généralement à l’intelligence artificielle spécialisée, c’est-à-dire aux techniques et applications programmées pour exécuter des tâches individuelles. L’apprentissage automatique (machine learning) et l’apprentissage profond (deep learning) font tous deux parties des applications de l’intelligence artificielle (1).
L’IA peut ainsi produire différents résultats dont certains pourraient être qualifiés de créations ou d’inventions, les premières protégeables par le droit d’auteur et les secondes par le droit des brevets d’invention. La question est alors de savoir qui sera titulaire des créations ou des inventions générées par l’IA, et si l’IA pourrait être qualifiée d’auteur ou d’inventeur par le droit positif français.
En matière de droit d’auteur tout d’abord, de nombreux auteurs se sont penchés sur la question de savoir si l’intelligence artificielle pouvait bénéficier de la qualité d’auteur. La majorité d’entre eux reconnaissent la conception personnaliste et humaniste du droit français qui considère comme auteur la personne qui crée une œuvre. Par définition, un fait créatif est un fait matériellement imputable à une personne humaine. Cette conception s’impose également par le seul critère d’admission à la protection des œuvres de l’esprit qu’est l’originalité, laquelle se caractérise par l’empreinte de la personnalité de l’auteur (2). Eu égard à la personne de l’auteur, le professeur Christophe Caron a pu affirmer que « le duo formé par la notion de création et de personne physique est indissociable » et donc que « le créateur est forcément une personne physique ». Si la définition de l’auteur est absente du code de propriété intellectuelle (CPI), on y retrouve néanmoins diverses références : « Est dite de collaboration l’œuvre à la création de laquelle ont concouru plusieurs personnes physiques » (3) ; « Ont la qualité d’auteur d’une œuvre audiovisuelle la ou les personnes physiques qui réalisent la création intellectuelle de cette œuvre » (4). Dans le cadre de l’œuvre radiophonique, « ont la qualité d’auteur d’une œuvre radiophonique la ou les personnes physiques qui assurent la création intellectuelle de cette œuvre » (5). La seule exception à la naissance ab initio du droit d’auteur sur la tête d’une personne physique : l’œuvre collective (6).
De plus, la nécessité d’une intervention consciente de l’homme implique qu’un animal ou une machine ne peuvent être considérés comme auteurs. L’intelligence artificielle ne peut alors être qu’un outil de création supplémentaire.

L’approche « création intellectuelle »
Dans le cadre du projet de réglementation européenne sur les droits de propriété intellectuelle pour le développement des technologies liées à l’intelligence artificielle – l’« Artificial Intelligence Act » actuellement en cours d’examen en commissions au sein du Parlement européen (7) –, une résolution du 20 octobre 2020 du Parlement européen précisait sa teneur en affirmant ceci : « Les œuvres produites de manière autonome par des agents artificiels et des robots pourraient ne pas bénéficier de la protection par le droit d’auteur, afin de respecter le principe d’originalité, qui est lié à une personne physique, et étant donné que la notion de “création intellectuelle” porte sur la personnalité de l’auteur » (8). Cette approche se retrouve également dans les pays du système juridique dit Common Law. En 2012, la cour fédérale d’Australie affirmait la nécessité d’une intervention humaine en jugeant qu’une base de données générée automatiquement par un système d’intelligence artificielle n’est pas protégeable par le copyright dans la mesure où l’effort d’extraction des données n’était pas le fait d’une personne ou d’un groupe de personnes (9). Aux Etats-Unis, une position identique ressortait de l’affaire médiatisée du macaque Naruto ayant pris un selfie. La cour américaine n’a pas manqué de rappeler qu’une photographie prise par un animal n’est pas susceptible de protection eu égard à l’absence d’intervention humaine (10).

L’IA créatrice demande protection
L’AIPPI – association Internationale pour la protection de la propriété intellectuelle (11) – s’est également penchée sur cette question et a adopté, après d’âpres discussions, une résolution (12) lors de son congrès de septembre 2019. Selon cette résolution, les œuvres générées par une IA pourraient bénéficier de la protection par le droit d’auteur à condition qu’une intervention humaine ait lieu lors de leur création. Néanmoins, pour la première fois, le tribunal de Shenzhen en Chine a jugé qu’un article financier écrit par Dreamwriter, un algorithme conçu par Tencent, avait été reproduit sans autorisation reconnaissant ainsi que la création d’une intelligence artificielle peut bénéficier de la protection du droit d’auteur (13). Si diverses réflexions sont en cours pour faire émerger de nouveaux concepts juridiques appréhendant l’IA dans le cadre de la propriété intellectuelle, nulles n’ont connu de réels aboutissements législatifs jusqu’à présent. La protection des réalisations de l’IA s’opère ainsi notamment par la voie contractuelle. A titre illustratif, l’entreprise Aiva Technologies, connue pour son IA capable de composer de la musique, offre le choix entre une utilisation gratuite pour une exploitation privée des résultats créatifs et une utilisation payante pour une exploitation commerciale de ceux-ci.
Parallèlement, la problématique de l’IA-inventeur se pose également dans le cadre du droit des brevets. En effet, en France, le CPI prévoit que le droit au titre de propriété industrielle « appartient à l’inventeur ou à son ayant cause. Si plusieurs personnes ont réalisé l’invention indépendamment l’une de l’autre, le droit au titre de propriété industrielle appartient à celle qui justifie de la date de dépôt la plus ancienne » (14).
Ainsi, l’on retrouve en matière de brevets la même dimension humaniste dont est empreint le droit d’auteur. La question a néanmoins été posée aux offices et aux juridictions de savoir si une IA pouvait être l’inventeur d’un brevet. Les demandes déposées par « Dabus » ont ainsi pu illustrer cette problématique et les solutions retenues actuellement. Dabus est un réseau de neurones artificiel développé par le chercheur américain Stephen Thaler qui (l’IA neuronale) a notamment conçu, de manière autonome, un récipient pour boissons basé sur la géométrie fractale et un dispositif embarquant une lumière vacillante pour attirer l’attention pendant des opérations de recherche et de sauvetage. Depuis, l’équipe de « The Artificial Inventor Project » a amorcé une quête visant à faire reconnaître Dabus comme inventeur d’un brevet dans divers pays.
En décembre 2019, l’Office européen des brevets (EPO) a refusé deux demandes d’enregistrement de brevets européens (15) soumises au nom de Dabus dans la mesure où seule une personne physique peut être inventeur d’un brevet européen (16).
Le bureau américain des brevets et des marques de commerce (USPTO) a, lui, rejeté le 22 avril 2020 la demande de brevet indiquant Dabus comme inventeur pour les mêmes motifs (17). Le 2 septembre 2021, le tribunal du district Est de Virginie statuait lui aussi « qu’un système d’intelligence artificielle (IA) ne peut pas déposer de brevet » (18).
De l’autre côté de l’Atlantique, la cour d’appel de Londres suivit l’office des brevets britanniques (IPO) qui avait rejeté une même demande, le 21 septembre 2021. La juge Elisabeth Laing affirma ainsi que « seule une personne peut avoir des droits. Pas une machine » (19).
Néanmoins, au mois de juillet 2021, l’office des brevets sud-africain (CIPC) a reconnu Dabus comme inventeur lors d’un dépôt de brevet pour la première fois (20), suivi de près par la Cour fédérale australienne qui jugea que « Dabus pouvait être un inventeur au sens de la loi australienne » (21).

Vers des règles ad hoc ?
En conclusion, la question de l’intelligence artificielle et de la titularité des droits de propriété intellectuelle demeure globalement dominée par le principe de prééminence de l’humain, le droit français ne se démarquant pas tant de ses voisins européens et anglo-saxons. Toutefois, les développements de l’IA sont encore à un stade peu avancé et il faudrait suivre son évolution pour apprécier la nécessité d’une adaptation des règles juridiques en conséquence, notamment celles relatives à la protection des investissements ayant abouti à l’IA. @

* Boriana Guimberteau est avocate experte en
propriété intellectuelle, que cela soit dans les
domaines des marques de commerce, du droit
d’auteur, des dessins et modèles et des brevets. Elle
vient d’intégrer le cabinet Stephenson Harwood en tant
que partner, après dix ans chez FTPA Avocats.

A défaut de grande réforme du quinquennat, le paysage audiovisuel français (PAF) entame sa mue

Alors que plus de soixante sénateurs ont saisi le 30 septembre 2021 le Conseil constitutionnel sur le projet de loi « Anti-piratage », adopté définitivement la veille par l’Assemblée nationale, la grande réforme de l’audiovisuel du quinquennat n’a pas eu lieu. Mais le gouvernement y est allé par touches.

Par Charles Bouffier, avocat counsel, et Cen Zhang, avocat, August Debouzy*

La réforme de l’audiovisuel, envisagée par le président de la République comme une des réformes majeures de son quinquennat, a fait preuve de résilience et d’adaptation pour surmonter la crise sanitaire et les bouleversements de l’agenda parlementaire qu’elle a engendrés. En effet, le gouvernement s’est adapté aux contraintes conjoncturelles. Et ce, après que l’examen de l’ambitieux projet de loi sur la régulation de l’audiovisuel à l’ère du numérique, qui promettait une modification profonde du paysage audiovisuel et numérique français, ait été interrompu dès le 5 mars 2020.

Le financement du cinéma français
Le gouvernement a entrepris de mener cette réforme de manière progressive, l’abordant sous différents angles et par le biais de plusieurs textes législatifs et règlementaires. La réforme de l’audiovisuel public, initialement envisagée, a été distraite de cet ensemble. Résultat : le 29 septembre 2021, un pilier majeur de la réforme de l’audiovisuel – le projet de loi sur « la régulation et la protection de l’accès aux œuvres culturelles à l’ère numérique » a définitivement été adopté à l’Assemblée nationale après son adoption au Sénat. Le vote de ce texte « Anti-piratage », qu’examine actuellement le Conseil constitutionnel saisi le lendemain par plus de soixante sénateurs, est l’occasion de dresser un panorama synthétique des dispositions phares de la réforme de l’audiovisuel et des prochaines étapes, qui cristallisent l’attention des professionnels du secteur et ont vocation à refaçonner le paysage audiovisuel français (PAF).
• Le décret SMAd. Les services de médias audiovisuels à la demande (SMAd) regroupent les services de vidéos à la demande par abonnement (SVOD), payants à l’acte ou gratuits, et les services de télévision de rattrapage (replay). Les SMAd – en particulier ceux établis à l’étranger, y compris dans un autre Etat membre de l’Union européenne – ont longtemps échappé à la réglementation française sur les services de médias audiovisuels, notamment en matière d’obligation de contribution financière à la production des œuvres ou de publicité. Comme la directive européenne « SMA » du 14 novembre 2018 l’a rendu possible, le décret SMAd (1) transposant cette directive vise à étendre la réglementation des services de médias audiovisuels aux SMAd, y compris aux services étrangers dès lors qu’ils visent la France. Entré en vigueur le 1er juillet 2021, il prévoit que les SMAd établis en France, dont le chiffre d’affaires annuel est supérieur à 1 million d’euros, doivent conclure une convention avec le Conseil supérieur de l’audiovisuel (CSA) précisant leurs obligations, notamment en matière de contribution au financement des œuvres (2). Pour ceux qui ne sont pas établis en France mais qui visent le territoire français, ils peuvent aussi conclure cette convention avec le régulateur. A défaut, ils communiquent à celui-ci les informations relatives à leur activité en France (3).
Concernant les plateformes de SVOD dont le chiffre d’affaires annuel est supérieur à 5 millions d’euros et la part d’audience supérieure à 0,5 %, elle doivent en consacrer entre 20 % et 25 % au financement de la production d’œuvres cinématographiques et audiovisuelles européennes ou d’expression originale française (4), dont une part importante à la production indépendante (5). Cette obligation de contribution au financement pèse également sur certains services de télévision de rattrapage et sur les services payants à l’acte (SVOD à l’acte) et gratuits (6). Quant aux plateformes de SMAd dont le chiffre d’affaires annuel est supérieur à 1 million d’euros et la part d’audience supérieure à 0,1 %, elles ont l’obligation d’inclure dans leur catalogue de films et d’œuvres audiovisuelles au moins 60 % d’œuvres européennes et 40 % d’œuvres françaises, tout en mettant en valeur ces œuvres (7). Enfin, le décret prévoit des dispositions ayant trait à la publicité, au téléachat et au parrainage applicables aux SMAd (8).

Meilleures fenêtres pour la SVOD
• L’accord attendu sur la chronologie des médias.
Les fenêtres de diffusion successives sont convenues entre les professionnels du secteur et les éditeurs des services de médias. Elles sont rendues obligatoires en application du code du cinéma et de l’image animée définissant les délais à respecter pour l’exploitation d’un film sur différents supports après sa sortie en salle. L’ordonnance du 21 décembre 2020 a confirmé la volonté du gouvernement d’adapter la chronologie des médias pour répondre à l’évolution des modes de consommation des œuvres, en particulier de la VOD/SVOD (9). Cette adaptation constitue en outre une demande forte des SMAd, que ceux-ci estiment justifiée par les nouvelles obligations financières auxquelles ils sont assujettis. Par un décret du 26 janvier 2021, le gouvernement avait fixé le délai alloué aux professionnels du secteur pour trouver un nouvel accord sur la chronologie des médias (10) – à savoir au 31 mars 2021. Ce délai a été largement dépassé, les professionnels du secteur n‘étant toujours pas parvenus à un accord sur la nouvelle chronologie applicable.

Blocages sur la proposition du CNC
En l’état, proposé par le Centre national du cinéma et de l’image animée (CNC) le 19 juillet 2021 mais suscitant encore des résistances, le dernier projet d’accord en cours de discussion prévoit notamment : pour les services de télévision payants de cinéma (Canal+, OCS) respectant certaines conditions (accord avec les organisations professionnelles du cinéma, engagements financiers et de diffusion, versement des taxes au CNC, convention avec le CSA, …), une première fenêtre d’exploitation entre 6 et 9 mois à compter de la sortie en salle ; pour les plateformes de SVOD, par défaut, une fenêtre d’exploitation à 15 mois, ou une fenêtre d’exploitation plus courte à 12 mois (sous réserve du versement des taxes), pouvant être réduite jusqu’à 6 mois (11).
• Le Projet de loi « Anti-piratage ». Le projet de loi sur « la régulation et la protection de l’accès aux œuvres culturelles à l’ère numérique » (12), adopté définitivement le 29 septembre 2021, crée un nouveau régulateur en charge de l’audiovisuel et du numérique, tout en étoffant l’arsenal juridique contre le piratage des programmes audiovisuels, culturels et sportifs sur internet. Le Conseil constitutionnel a été saisi par soixante sénateurs, qui contestent notamment le mécanisme de sanction en cas de non-respect des obligations d’investissement dans la création audiovisuelle et cinématographique.
La principale réforme est la création de l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom), issue de la fusion à venir entre le CSA et l’Hadopi. Sa compétence élargie en matière de contenus audiovisuels et numériques portera sur : la protection des œuvres, la sensibilisation du public contre le piratage, l’encouragement au développement de l’offre légale, la régulation et la veille dans le domaine des mesures techniques de protection et d’identification des œuvres protégée, la protection des mineures, et la lutte contre les discours de haine en ligne et la désinformation. Outre les pouvoirs réglementaires et de sanction des deux autorités préexistantes, l’Arcom sera dotée de nouveaux pouvoirs de régulation, notamment de conciliation en cas de litige ou des pouvoirs d’enquête. Trois mécanismes majeurs viennent renforcer la lutte contre le piratage des œuvres :
• la « liste noire » des sites contrefaisants que l’Arcom pourra rendre publique, définie comme la liste des sites « portant atteinte, de manière grave et répétée, aux droits d’auteurs ou aux droits voisins », tandis que les annonceurs devront rendre publique, au moins une fois par an, l’existence de relations avec de tels sites ;
• le déréférencement des sites miroirs, l’Arcom pouvant se prévaloir d’une décision judiciaire pour demander d’empêcher l’accès à un site miroir ou de faire cesser le référencement du site concerné ;
• la lutte contre la « retransmission illicite des manifestations et compétitions sportives » (le « live streaming »), en procédure accélérée au fond ou en référé. Le projet de loi « Anti-piratage » vise également à protéger l’accès au patrimoine cinématographique français, en instaurant un régime de notification préalable, auprès du ministère de la Culture, des cessions envisagées de catalogues d’œuvres cinématographiques et audiovisuelles français. Le non-respect de cette obligation pourra entraîner une sanction pécuniaire dont le montant est proportionnel à la valeur des œuvres concernées.
• Les projets de décrets « TNT » et « Câble-satellite ». En cette fin de quinquennat, le gouvernement se penche en particulier sur la modernisation du régime applicable aux services de télévision diffusés par voie hertzienne (TNT) et des éditeurs de services de télévision distribués par les réseaux n’utilisant pas les fréquences assignées par le CSA. D’une part, le projet de décret TNT proposé par le ministère de la Culture (13) vise à moderniser le régime applicable aux éditeurs de services de télévision nationaux, en vue de réaliser un rééquilibrage de leurs droits et obligations, afin de tenir compte de la concurrence exercée par les services non linéaires (notamment les SMAd) et les acteurs extranationaux. Le projet de décret propose d’assouplir les obligations des services de télévision nationaux par une baisse de la part de production indépendante, un meilleur accès à la coproduction, et un élargissement du mandat de commercialisation des œuvres.

Décrets « TNT » et « Câble-Satellite » en vue
D’autre part, le nouveau décret « Câble-satellite » se substituera au décret « Câble-satellite » de 2010 et définit les obligations des éditeurs de services de télévision ou de radio diffusés via câble et satellite. Les chaînes seront notamment tenues de financer davantage la production française et européenne. Une nouvelle monture du texte est attendue, après la consultation publique en juillet 2021 (14). @

* Les auteurs remercient Myriam Souanef,
élève avocate, pour la qualité de ses recherches
et sa contribution à la rédaction de cet article.

Rançongiciels et « double extorsion » : le paiement de la rançon ne doit surtout pas être la solution

Les rançongiciels, en plein boom, constituent un fléau numérique mondial qui pourrait coûter en 2021 plus de 20 milliards de dollars de dommages – rançons comprises. Or payer les sommes exigées – sans résultat parfois – ne fait qu’alimenter un cercle vicieux que seul l’arsenal juridique peut enrayer.

Par Richard Willemant*, avocat associé, cabinet Féral

Selon l’Agence nationale de la sécurité des systèmes d’information (Anssi), un rançongiciel se définit comme une « technique d’attaque courante de la cybercriminalité [consistant] en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement » (1). Depuis plusieurs années, le monde entier connaît une augmentation exponentielle des cyberattaques par rançongiciels, marquée par une forte accélération ces derniers mois en pleine pandémie de covid-19 (2).

Ransomware-as-a-Service (RaaS)
Les signalements auprès de l’Anssi de ce type d’attaques informatiques ont en effet augmenté de près de 255 % en 2020 (3). Elles représentent une part substantielle des 3.000 notifications de violation de données (environ) qui sont régularisées auprès de la Commission nationale de l’informatique et des libertés (Cnil) chaque année (4). Ce véritable fléau numérique frappe tous les secteurs d’activités et tous les types d’acteurs économiques, y compris les plus sensibles, sans qu’aucune zone géographique ne soit épargnée. Cette tendance est facilitée par la disponibilité grandissante sur les marchés cybercriminels de solutions « clé en main » de type Ransomware-as-a-Service (RaaS) permettant, aux attaquants de type étatique ou hackers, de réaliser plus aisément des attaques massives ou ciblées. Si tous les acteurs économiques sont concernés, les spécialistes relèvent néanmoins une tendance accrue au ciblage d’entreprises, de collectivités publiques ou d’institutions particulières relevant du « Big Game Hunting » (chasse au gros gibier), en raison de leur taille, de leurs vulnérabilités – vraies ou supposées – et de l’impact médiatique (potentiel) d’une telle cyberattaque. L’actualité a été marquée, en pleine lutte contre le covid-19, par les attaques informatiques à l’encontre des hôpitaux qui sont devenus des cibles privilégiées. Le centre hospitalier de Dax (dans le sud de la France) a par exemple subi une attaque de grande ampleur, en février 2021, rendant indisponible l’ensemble de son système informatique, médical, comptable et de communication (5). Le système de santé irlandais (HSE) a également été victime d’un rançongiciel, en mai 2021 cette fois, conduisant à l’interruption de tous ses systèmes informatiques et notamment le système de prise de rendez-vous pour le dépistage du covid-19. Après avoir chiffré les données et bloqué les systèmes, l’attaquant aurait menacé de diffuser les données volées mais le Premier ministre irlandais a aussitôt déclaré que son pays ne paiera pas la rançon (6). Le monde a alors découvert, avec effroi, que les rançongiciels ne portent pas seulement atteinte aux données et à des valeurs économiques, mais qu’ils peuvent directement mettre en danger des vies humaines.
Le droit pénal et la procédure pénale en France sont d’ores et déjà pourvus en moyens de lutte. Les auteurs des attaques peuvent être poursuivis sur des fondements de droit commun et de droit spécial. En premier lieu, les faits relevant d’attaques par rançongiciel sont susceptibles de caractériser des infractions de droit commun, tels que le délit d’escroquerie (article 313-1 du code pénal) et le délit d’extorsion (article 312-1), réprimés par des peines principales d’emprisonnement respectivement de cinq ans et sept ans. Ces infractions peuvent éventuellement être commises et poursuivies avec la circonstance aggravante de bande organisée, étant précisé que dans cette hypothèse d’extorsion est alors un crime puni de vingt ans de réclusion criminelle et de 150.000 euros d’amende. En outre, ces attaques caractérisent des atteintes aux systèmes de traitement automatisé de données qui sont spécifiquement incriminées, au rang des infractions dites « informatiques », par les articles 323-1 à 323-8 du code pénal. Sont ainsi généralement constitués les délits d’accès et de maintien frauduleux dans un système de traitement automatisé de données, ainsi que le délit d’entrave et de faussement d’un système d’information, et le délit de modification frauduleuse de données, qui sont punis des peines principales de cinq ans d’emprisonnement et de 150.000 euros d’amende (sept ans de prison et 300.000 euros d’amende lorsque l’Etat est visé).

Un arsenal répressif et procédural
Il existe également une infraction d’association de malfaiteurs spéciale qui permet de poursuivre l’ensemble des personnes ayant participé à une entente en vue de préparer des cyberattaques. Ce délit spécifique est prévu par l’article 323- 4 du Code pénal et réprimé par la peine prévue par l’infraction la plus sévèrement réprimée commise par le principal auteur des faits. Tout cet arsenal répressif se conjugue avec des moyens procéduraux adaptés tenant compte de la portée et de l’intensité des atteintes qui requièrent souvent une coordination centrale des actions répressives. L’article 706- 72-1 du code de procédure pénale confie au procureur de la République, au pôle de l’instruction, au tribunal correctionnel et à la cour d’assises de Paris une compétence concurrente nationale en matière d’atteintes aux systèmes de traitement automatisé de données. Il existe en outre une section spécialisée au parquet de Paris, composée de magistrats consacrant leur quotidien à la lutte contre la cybercriminalité, ainsi que des bridages d’enquêteurs spécialisés de Police (OCLCTIC, BL2C) et de Gendarmerie (C3N).

Phénomène de la « double extorsion »
Le mode opératoire des cyberattaquants est marqué depuis 2019 par la prédominance d’un phénomène nommé « double extorsion », consistant à exercer une pression sur la victime en copiant ses données qui sont exfiltrées avant d’être cryptées, puis en menaçant de les publier sur Internet, afin de la conduire à payer la rançon. Dans cette hypothèse, la victime subit, d’une part, une privation de l’accès à ses données et souvent une indisponibilité de son système d’information et, d’autre part, une menace forte d’atteinte à sa réputation, à son image de marque, à la confidentialité à des données. Ces dernières peuvent être stratégiques, sensibles et relever du secret des affaires, outre qu’il peut s’agit de données à caractère personnel concernant notamment des salariés, des usagers ou des clients. La désorganisation de la victime du fait de l’indisponibilité de ses données se double alors de violences psychologiques d’une intensité considérable. C’est ce qui conduit, malheureusement, une part grandissante des victimes à s’incliner et à verser le montant de la rançon.
Or le paiement de la rançon aggrave souvent la situation : une très grande majorité des victimes d’attaque par rançongiciel qui paient la rançon sont la cible d’au moins une seconde attaque. Une étude menée au printemps 2021 montre même que la proportion des victimes qui aggraveraient ainsi leur sort en payant la rançon serait de 80 % au niveau mondial (7). Payer cette rançon n’est donc décidément pas la solution. Cela encourage évidemment les cybercriminels à poursuivre et multiplier leurs agissements. Et un paiement de la rançon ne garantit pas le décryptage des données : la promesse des pirates d’une remise de la clé de déchiffrement n’est pas toujours respectée, ou se trouve souvent conditionnée soudainement au versement d’une rançon complémentaire. Lorsque la victime dispose de la clé de décryptage, il est fréquent que les données soient endommagées et que leur restauration soit partielle, voire impossible. Seule une victime sur deux parvient à récupérer ses données sans aucune perte. Quant à la souscription d’une assurance contre les risques dits « cyber », elle n’est pas nécessairement une solution, notamment en raison des plafonds de garanties et des exclusions. En couvrant tout ou partie du montant de la rançon, ce type de police d’assurance alimenterait en outre le cercle vicieux qui conduit à une augmentation des attaques par rançongiciel. L’étude précitée mentionne d’ailleurs une autre source (8) montrant une progression vertigineuse du montant des rançons au cours des dernières années, passant de 6.000 dollars en 2028 à 84.000 dollars en 2019, avant de doubler en 2020 pour atteinte une moyenne de 178.000 dollars ! Et rien que sur le premier trimestre 2021, le montant moyen de la rançon atteint 220.298 dollars (9). Il convient de relativiser ces chiffres au regard des montants colossaux des rançons exigées dans le cadre de certaines attaques de grande envergure, pour celles qui sont rendues publiques. Selon les estimations (10), ce fléau mondial du ransomware devrait coûter 20 milliards de dollars en 2021 et grimper à 265 milliards de dollars en 2031.
Après que des cybercriminels aient piraté son réseau informatique, paralysant les livraisons de carburant sur la côte Est des Etats-Unis, la société américaine Colonial Pipeline a ainsi déclaré avoir payé une rançon en cryptomonnaie d’un montant de 4,4 millions de dollars en mai 2021, dont 2,3 millions récupérés par la suite avec l’aide du FBI (11). En juin 2021, la société JBS USA spécialisée dans l’agroalimentaire a, elle, payé une rançon d’un montant de 11 millions de dollars aux cybercriminels qui étaient parvenus à désorganiser plusieurs sites de production aux Etats-Unis et en Australie. Les sociétés Acer et Apple ont elles aussi été frappées, avec des demandes de rançons atteignant 50 millions de dollars.
Le lutte contre les attaques par rançongiciels suppose donc d’enrayer la logique actuelle de paiement des rançons qui produit des effets pervers et entretien le cercle vicieux de la cybercriminalité. Dans ce cadre, l’Union européenne – au travers du Cybercrime Centre de l’agence Europol – a créé en 2016 l’initiative « No More Ransom » (12), dont le but est notamment d’aider les victimes des rançongiciels à retrouver leurs données chiffrées sans avoir à payer les cybercriminels.

UE et USA : « No more ransom »
En juin 2021, face à l’ampleur du phénomène et aux montants considérables des rançons, en particulier dans les secteurs stratégiques, les Etats-Unis et l’Union européenne ont également pris une initiative commune visant à coordonner leurs actions de lutte. Les objectifs annoncés comprennent notamment des mesures répressives, une sensibilisation du public aux moyens de prévention, tout en encourageant la poursuite et la répression par tous les Etats concernés, en renforçant la coopération et l’entraide internationales. Le Trésor américain, lui, a annoncé le 21 septembre 2021 qu’il prenait « des mesures robustes pour contrer les rançongiciels » (13), notamment en s’attaquant aux devises virtuelles pour le blanchiment des e-rançons. @

* Richard Willemant, avocat associé du cabinet Féral, est avocat aux barreaux de Paris et du Québec, agent de marques, mandataire d’artistes et d’auteurs, médiateur accrédité par le barreau du Québec, délégué à la protection des données (DPO), cofondateur de la Compliance League, et responsable du Japan Desk de Féral.