En taxant le cloud, la France reste plus que jamais championne d’Europe de la copie privée

La commission « copie privée », sous la houlette des ministères de la Culture, de l’Industrie et de la Consommation, vient de faire un premier pas vers la taxation du Net en vue de « compenser » le manque à gagner des industries culturelles lié au droit de copie privée des utilisateurs enregistrant des oeuvres audiovisuelles dans le cloud.

Par Charles de Laubier

La commission « copie privée », présidée par Jean Musitelli (photo), vient d’adopter les barèmes de taxes qui seront prélevées auprès des éditeurs de services de télévision et de radio fournis à distance, en ligne, avec possibilités d’enregistrement dans le cloud. Le vote des membres de cette commission – composée de personnes désignées pour moitié par les ayants droits (12 sièges), pour un quart par les fabricants ou importateurs de supports numériques (6 sièges), et pour un autre quart par les consommateurs (6 sièges) – s’est déroulé le 19 juin dernier. C’est le site web Next Inpact qui l’a révélé le 30 juin. Cette taxation du cloud audiovisuel intervient un an après l’adoption de la loi « Création » (1), datée du 7 juillet 2016, qui prévoit en effet dans son article 15 que la rémunération pour « copie privée » soit également versée par des services en ligne à usage privé de télévision ou de radio d’origine linéaire.

De l’amendement « Lescure » au barème « Molotov »
Et ce, grâce à l’adoption lors des débats d’un « amendement Lescure », du nom de l’ancien PDG de Canal+, aujourd’hui président du Festival de Cannes. Concoctée spécialement pour Molotov.tv, cette disposition qui fut aussi surnommée « amendement Molotov » (2) permet à cette entreprise cofondée par Pierre Lescure de profiter de l’exception au droit d’auteur au nom du droit de tout un chacun à la copie privée (dans un cercle restreint ou familial) de musiques, de films ou d’autres oeuvres. De l’amendement « Lescure » au barème « Molotov » Autrement dit : la société éditrice du service de télévision Molotov.tv se contentera de payer à l’organisme collecteur Copie France la redevance « copie privée », en contrepartie du droit de proposer à ses clients télénautes la fonction d’enregistrement de programmes TV dans leur cloud personnel, sans que les dirigeants de Molotov aient besoin de négocier directement avec les ayants droits eux-mêmes – en l’occurrence les chaînes de télévision. La société Molotov devra simplement s’acquitter de Lire la suite

Fleur Pellerin promet de poursuivre la réflexion sur une éventuelle taxe « copie privée » sur le cloud

La ministre de la Culture et de la Communication, Fleur Pellerin, s’est engagée
à l’Assemblée nationale d’« approfondir la réflexion sur l’assiette de la rémunération pour copie privée ». La proposition de taxer le « nuage informatique » devrait revenir en deuxième lecture du projet de loi « Création ».

« Je m’engage à prendre les initiatives nécessaires pour que le ministère puisse entamer cette réflexion dans les meilleurs délais », a promis le 30 septembre dernier Fleur Pellerin (photo) au député (PS) Marcel Rogemont, lequel avait déposé avec la députée (PS) Martine Martinel un amendement proposant d’étendre au nuage informatique (cloud) la rémunération pour copie privée. Cette taxe est jusqu’à maintenant prélevée auprès des consommateurs sur le prix public lors de l’achat des appareils dotés d’un support de stockage numérique (DVD, clés USB, smartphones, tablettes, …), susceptibles d’enregistrer des oeuvres (musiques, films, livres, …) dans le cadre légal de la copie privée prévu dans le cercle restreint et familial (exception au droit d’auteur).

Une étude de la DGMIC en vue
La redevance « copie privée », inscrite dans le Code de la propriété intellectuelle depuis trente ans (1), rapporte aujourd’hui plus de 200 millions d’euros par ans
aux ayants droits des industries culturelles. La ministre de la Culture et de la Communication a obtenu le retrait de cet amendement n°233, qui fut déposé le 24 septembre, contre la promesse de poursuivre la réflexion sur le cloud. « Je suis extrêmement intéressée par ce sujet, qui me semble une piste de réflexion incontournable : on voit bien, en effet, que la notion de capacité de stockage d’un appareil n’est plus la seule pertinente », a-t-elle admis. Une étude devrait être lancée rapidement par la Direction générale des médias et des industries culturelles (DGMIC), au sein du ministère de la Culture et de la Communication, en vue d’apporter de nouveaux éléments de réponse d’ici la seconde lecture du projet de loi « Liberté de création, architecture et patrimoine » porté par Fleur Pellerin. « Il me paraîtrait regrettable de procéder de la même façon que cela a été fait avec les ordinateurs, c’est-à-dire laisser faire pour ne rien faire », a prévenu Marcel Rogemont lors du débat à l’Assemblée nationale. En effet, contrairement aux autres supports de stockages numériques, les ordinateurs sont curieusement encore épargnés par la taxe « copie privée » – aucun gouvernement ayant osé prendre une telle mesure qui aurait été impopulaire et contraire à la lutte contre la fracture numérique… L’ordinateur, pourtant doté de capacités en gigaoctets voire téraoctets de stockage, n’a d’ailleurs jamais fait l’objet d’une réflexion de la part du Conseil supérieur de la propriété littéraire et artistique (CSPLA), ni de la Commission pour la rémunération de la copie privée (CRCP) qui serait pourtant légitime à se pencher sur la question ! En revanche, le cloud a fait l’objet de préconisations dans un rapport du CSPLA daté d’octobre 2012 – il y a trois ans maintenant (2). Mais à défaut de trancher clairement la question, bien qu’une partie des producteurs cinématographiques et audiovisuels français soient favorables à une telle taxe, il identifie certains cas où le nuage pourrait être soumis à la redevance pour copie privée. Cinq mois après, en mars 2013, le rapport Lescure ne sera pas plus décisif, se contentant de recommander de « clarifier la prise en compte, dans le calcul de la rémunération pour copie privée, des copies effectuées à partir de services de cloud computing » et de « lancer une étude d’usage permettant d’évaluer précisément la réalité de ces pratiques » (3). Depuis, rien.
Quant au rapport Maugüé sur le fonctionnement de la commission « copie privée », remis à Fleur Pellerin, le 30 juin dernier, il aborde bien le cloud en tant que « capacités de stockage dématérialisé » mais aussi les services dits « nPVR » (network Personal Video Recorder) que sont les magnétoscopes numériques personnels dans le nuage informatique. « S’agit-il de copie privée ou non ? Si oui, est-il possible, au regard de la législation actuelle, d’assujettir ces capacités de stockage à la rémunération pour copie privée alors même qu’il n’y a pas copie sur des supports physiques classiques ? En cas de réponse positive, quelle doit être l’assiette de la rémunération ? », s’interroge le rapport Maugüé sans y répondre (4).

Des règles devenues obsolètes
Quoi qu’il en soit, la France doit revoir sa copie privée. Les usages numériques débordent largement au-delà des seuls supports physiques : le stockage dans les nuages et les enregistrements à distance ont rendu obsolète la règlement sur l’exception de copie privée. « Cette conception est aujourd’hui dépassée dans la mesure où certains services en ligne [lire encadré cidessous] permettent au public
de procéder au stockage à distance d’oeuvres et d’objets protégés ou mettent à sa disposition des copies, auxquelles il a accès sur ses équipements et matériels (téléphones, ordinateurs, tablettes multimédias, etc.) », ont expliqué Marcel Rogemont et Martine Martinel à l’appui de leur amendement. Et d’ajouter : « L’intervention d’un tiers dans l’acte de copie interdirait en l’état de considérer que ces copies puissent être qualifiées de copie privée. Or si les modalités techniques de réalisation des copies évoluent, la finalité – et donc la nature – de ces copies demeure la même : permettre à un particulier (personne physique) de disposer, à son initiative, à des fins d’usage privé de copies d’œuvres qu’il a acquises ou auxquelles il a licitement accès ».

La Scam s’oppose à l’Afnum
Pour les ayants droits, il ne fait aucun doute qu’il faille taxer le cloud, sans même attendre une étude d’usages sur le sujet. La Société civile des auteurs multimédias (Scam), qui perçoit et répartit les droits d’auteurs de ses 37.000 membres (5),
a encouragé le gouvernement et le Parlement à « inclure dans le périmètre de rémunération de la copie privée les copies d’oeuvres stockées à distance dans le “nuage informatique” ou cloud ».
Le projet de loi « Création » prévoit – sur proposition d’un autre amendement de Marcel Rogemont, adopté celui-là – qu’« une part ne pouvant excéder 1 % des sommes provenant de la rémunération pour copie privée est affectée par ces organismes au financement des enquêtes d’usage réalisées » (article 7 ter). Mais en attendant que
ces études soient réalisée, bien des questions restent en suspend, qui pourront être posées en deuxième lecture, telles que celle de savoir si la taxe pour copie privée peut être étendue au cloud qui relève de la location de support numérique et non d’un achat (ce n’est pas comme acheter une clé USB ou un smartphone). Et ainsi que le souligne la députée (Ecologie) Isabelle Attard, cela reviendrait à faire payer deux fois l’utilisateur : une fois pour l’accès en ligne, une deuxième fois pour le stockage sur le même service !
De leur côté, les industriels sont bien sûr vent debout contre cette taxe. L’Alliance française des industries du numérique (Afnum) (6), qui représente une soixantaine de groupes industriels pour un chiffre d’affaires annuel en France de 10 milliards d’euros, et le Syndicat de l’industrie des technologies de l’information (Sfib) se sont inscrits en faux contre les arguments de Marcel Rogemont et Martine Martinel. « Les usages de cloud n’induisent pas préjudice avéré pour les ayants droit au titre de la copie privée. Notamment, les services offerts par les plateformes de téléchargement légal de contenus audio-visuels rémunèrent depuis de nombreuses années les ayants droit pour les copies faites par leurs clients », ont déclaré le 28 septembre, la veille du retrait justement de cet amendement contesté, les deux organisations d’industriels, membres de la commission « copie privée » qui reprend ses travaux après deux ans d’interruption. Et de s’adresser au gouvernement : « Nous encourageons donc les pouvoirs publics à prendre le temps nécessaire de la réflexion et de la démonstration de la réalité d’un éventuel lien entre les usages cloud et de copie privée » A suivre. @

Charles de Laubier

ZOOM

Les nuages s’amoncèlent sur la copie privée
Dropbox, Google Drive, Amazon Cloud Drive, SkyDrive de Microsoft, iCloud d’Apple, … Les services en ligne de stockage à distance, dits services de cloud (nuage informatique) rivalisent d’ingéniosité et de souplesse pour séduire internautes et mobinautes. « C’est le cas des services dits de “casier personnel” qui permettent le stockage d’œuvres et d’objets protégés préalablement détenus par l’utilisateur à des fins d’accès à distance. C’est également le cas des services permettant aux utilisateurs d’obtenir la copie d’un programme d’un service linéaire de télévision ou de radio qu’ils éditent ou distribuent, au moment de sa diffusion, cette faculté étant destinée à se substituer aux modalités actuelles de la copie effectuée par l’utilisateur sur l’appareil permettant la réception dudit programme (« box ») mais non aux services de télévision et/ou radio de rattrapage. Par ailleurs, il existe des services dits de synchronisation qui permettent à l’utilisateur de disposer, sur ses terminaux personnels, de copies d’une oeuvre ou d’un objet protégé préalablement acquise auprès d’une plateforme en ligne », ont détaillé les députés (PS) Marcel Rogemont et Martine Martinel dans leur amendement (finalement retiré) destiné à taxer le cloud pour la copie privée. @

A 40 ans, Microsoft lance Windows 10 fin juillet : un nouvel « OS » devenant écosystème multimédia

C’est en juillet 1975 que Bill Gates et Paul Allen ont créé Microsoft. Quarante
ans après, le groupe dirigé par Satya Nadella cherche un nouveau souffle avec Windows 10, le mobile et le cloud – sur fond de déclin des PC. Son objectif est d’atteindre 20 milliards de dollars de chiffre d’affaires d’ici trois ans, pour l’année fiscale se terminant le 30 juin 2018.

Microsoft devient un fournisseur de services de télécommunications et de contenus. D’éditeur de logiciels, la firme de Redmond (Etat de Washington aux Etats- Unis) opère sa mue à 40 ans. Le groupe fondé en 1975 par Bill Gates et Paul Allen abandonne progressivement la vente de Windows en boîte pour miser sur les logiciels et services en ligne jusque dans le nuage informatique (cloud).

1 milliard de Windows 10 d’ici 2018
La nouvelle version de son système d’exploitation – Windows 10 – va étendre plus
que jamais l’écosystème de Microsoft – jusqu’alors très OS (Operating System) et bureautique – au divertissement, aux communications et au multimédia. Multi-terminaux, Windows 10 sera lancé le 29 juillet au niveau mondial pour les ordinateurs
et tablettes, puis par la suite sur les smartphones, les consoles de jeu Xbox et autres appareils. Microsoft, dont la campagne marketing commence dès le 20 juillet, table sur 1 milliard de terminaux dotés de Windows 10 d’ici 2018. Cette nouvelle version sera proposée gratuitement sur une période limitée aux centaines de millions d’utilisateurs de Windows 7 et Windows 8.1 dans 190 pays. Windows 10 sera censé tourner la page de Windows 8 qui avait déçu après son lancement en 2012.
Windows 10 sera le « tout-en-un » online de cette mutation. Skype y sera intégré,
tout comme un nouveau navigateur Internet baptisé Edge, la reconnaissance vocale Cortana (concurrent de Siri d’Apple) ou encore la reconnaissance faciale et de mouvement de type Kinect (pour notamment être identifié sans mot de passe). La nouvelle version du système d’exploitation intègrera aussi non seulement un nouveau Minecraft mais aussi d’autres jeux en ligne, ainsi que de nouvelles applications (Hello, Continuum, …). Groove (ex-Xbox Music) et Movies & TV (ex- Xbox Video) seront intégrés au nouvel OS (Operating System), comme l’a annoncé le 6 juillet dernier Brandon LeBlanc, responsable de la communication marketing chez Microsoft, sur le blog officiel de l’entreprise (1). Pour la musique, l’écoute et la gestion des titres comme des playlists sont simplifiées. Et le mélomane peut aussi adapter la musique en fonction de son humeur. Les musiques téléchargées en MP3 pourront être stockées et réécoutées facilement à partir du cloud OneDrive. L’abonnement mensuel (Groove Music Pass) donne accès à plus de 40 millions de titres et permet en outre de créer sa radio en fonction de ses préférences. Quant au service Movies & TV, il offrira un catalogue de films et séries. Que cela soit pour la musique ou le cinéma, des achats pourront être faits en connexion avec la boutique en ligne Windows Store. Microsoft, dirigé par Satya Nadella (photo) depuis février 2014 (après avoir succédé à Steve Ballmer), s’est fixé deux objectifs ambitieux : que le chiffre d’affaires global du groupe atteigne les 20 milliards de dollars à l’issue de son année fiscale se terminant le 30 juin 2018. Pour y parvenir, le géant américain doit séduire un plus grand nombre de développeurs d’applications afin de rivaliser avec les écosystèmes Android de Google et iOS d’Apple. Depuis l’annonce de Windows 10 en septembre 2014, Microsoft a mis en place le programme « Windows Insider » qui permet aux développeurs, experts informatiques et créateurs numériques (5 millions d’inscrits à ce jour) de contribuer à l’amélioration et aux avant-premières du nouveau système (bêta, build ou preview) – y compris pour la version mobile depuis février. Ce sont ceux-là qui seront prioritaires à partir du 29 juillet, suivis progressivement par les autres qui se sont déjà pré-inscrits à la mise à jour vers Windows 10.

Applis compatibles Android et iOS
Lors de sa conférence des développeurs « Build », qui s’est tenue en avril dernier, Microsoft leur a même promis de fournir les outils pour rendre compatibles leurs applications conçues initialement sur Android et iOS. « Windows est le seul écosystème qui vous permet de porter vos applications sur tous les appareils », martèle depuis la firme de Redmond, afin de se démarquer des autres environnements plus walled gardens. Il va sans dire que les applications développées pour Windows 10 s’adapteront automatique aux différentes tailles d’écran sans lignes de codes supplémentaires à faire par la suite, ainsi qu’aux lunettes de réalité augmentée HoloLens. Par ailleurs, un adaptateur est prévu cette année pour pourvoir jouer avec une nouvelle manette « Xbox One » sur ordinateur.
Toujours par souci de pragmatisme, Microsoft a en outre prévu de permettre d’ici la fin de l’année d’installer sur ses propre smartphones Lumia sous Windows le système d’exploitation Android de son rival, lequel est plébiscité par les mobinautes – via notamment les smartphones Samsung. Le sud-coréen détient plus de 80 % de parts de marché du téléphone mobile multimédias dans le monde, contre 15 % pour Apple et seulement 3% pour Microsoft (selon le cabinet d’étude Strategy Analytics). Microsoft peine à imposer sur le marché ses smartphones Lumia, lesquels sont issus de la gamme du même nom qui appartenait au finlandais Nokia avant que celui-ci ne lui cède cette activité mobile en octobre 2014.

L’heure de vérité pour Satya Nadella
Satya Nadella joue avec Windows 10 sa crédibilité. Le 8 juillet, Microsoft a annoncé
la suppression de 7.800 emplois qui viennent s’ajouter aux 18.000 décidés il y a un
an – soit près de 22 % des effectifs qui étaient de 118.000 employés au 31 mars (2).
Ce « dégraissage » s’accompagne d’une simplification de l’organigramme et d’un changement de culture de l’entreprise en pleine crise de la quarantaine face aux biens plus jeunes GAFA – mis à part Apple qui a un an de moins que Microsoft. Face à Google, la firme cofondée par Bill Gates a pris un coup de vieux. Has been Microsoft ? Victime du déclin des PC (personal computer) qui lui assuraient une rente de situation, grâce notamment à la vente liée « ordinateur- système d’exploitation », le géant de l’informatique doit faire face aux géants de l’Internet (Google en tête) et des mobiles (dont Samsung et Apple) – deux virages qu’il n’a pas su prendre à temps.
Pris au piège de l’immobilisme et du confort de ses lauriers, l’éditeur de Windows s’est réveillé avec un nouveau patron décidé à rattraper son retard. Quitte à se raccrocher
à ses rivaux : au-delà de ses smartphones Lumia qui s’ouvriront à Android, la suite bureautique Office va de son côté être proposée sur l’iPad d’Apple et l’écosystème de Google.

C’est historique : Microsoft capitule dans la guerre des systèmes d’exploitation. Tandis que ses lunettes de réalité augmentée HoloLens vont directement concurrencer Oculus de Facebook, tout en attirant de jeunes développeurs. C’est dans cette optique qu’a été racheté à prix d’or (2,5 milliards de dollars) en septembre 2014 le jeu vidéo massivement multijoueurs (3) Minecraft (cédé par la société suédoise Mojang), très prisé des adolescents séduit par le free-to-play (jouez gratuitement et ne payez que
des options). Microsoft renforce ainsi sa division jeux vidéo et console Xbox (4). Côté musique et vidéo, Microsoft est bousculé par Apple Music et YouTube – au point de rebaptiser Xbox Music et Xbox Video qui deviennent respectivement « Groove » et
« Movies & TV ».
Satya Nadella, qui aura 48 ans le 19 août prochain, était – avant de devenir directeur général – vice-président de l’activité cloud de Microsoft. C’est sur ce terrain là que le numéro un mondial du logiciel doit continuer à se développer. Le cloud est devenu le mantra de cet Indo-américain (né à Hyderabad en Inde). Avec lui, les revenus de cette division ont franchi en 2013 la barre des 20 milliards de dollars. Fini la vente de logiciels sur CD en boîte ; place à l’abonnement logiciel en ligne. Mais le succès de la plateforme Azure, nuage informatique pour entreprises présent à l’échelle mondial, n’est pas suffisant. Et le cloud grand public One Drive n’a pas encore la notoriété souhaitée. Il faut aller plus loin dans la dématérialisation des logiciels et des services, avec le risque de voir les revenus baisser – car tout coûte moins cher sur le cloud – et devenir irréguliers.
Financièrement, Microsoft dispose d’environ de 8 milliards d’euros de trésorerie qui lui permettrait de faire de nouvelles acquisitions (après celle de Minecraft). A cela s’ajoute le fait que la firme de Redmond emprunte en plus à taux bas sur le marché des obligations et à longue échéance, comme elle l’a fait en février dernier pour la somme record de 10,75 milliards (bien plus que les 6,6 milliards de dollars empruntés par Apple juste avant). Au total, Microsoft dispose d’un encours de trésorerie de quelque 90 milliards de dollars ! Au-là des dépenses courantes du groupe en pleine restructuration (une charge de 7,6 milliards de dollars vient d’être annoncée), des investissements en capital, de la rémunération des actionnaires et du remboursement de la dette, Microsoft prévoit des acquisitions et il ne serait pas étonnant que les cibles se trouvent dans le mobile et/ou le cloud. @

Charles de Laubier

ZOOM

Microsoft confie sa régie e-pub à AOL
Pour se concentrer sur son nouvel « écosystème d’exploitation » Windows 10, le
géant du logiciel renforce et prolonge de dix ans son accord international avec AOL – fraîchement racheté par Verizon en juin (5) – dans la publicité en ligne, y compris pour son moteur de recherche Bing. Annoncé fin juin, ce partenariat consiste à ce qu’AOL gère la publicité en ligne et programmatique sur tous types de supports pour le compte de Microsoft. Cela concernera l’« inventaire » publicitaire de Microsoft, c’est-àdire
les espaces disponibles sur la page d’accueil MSN, sur la messagerie Outlook, les consoles connectées Xbox Live, les communications Skype et les publicités dans
les applications mobiles. Et ce, dans plusieurs pays dont la France. Pour cela, AOL
va embaucher 1.200 employés de Microsoft. Revendiquant plus de 380 millions de visiteurs sur ses différents sites web, les sites d’AOL (AOL.com, TechCrunch, The Huffington Post, …) adopteront en outre Bing à partir du 1er janvier 2016 dans le cadre de ce partenariat étendu aux liens sponsorisés. Là encore, il s’agit pour Satya Nadella de continuer à exister face à Google. @

Taxe « Copie privée » : 30 ans cette année, et après ?

En fait. Le 17 avril, l’amendement du sénateur PS Richard Yung – proposant d’étendre aux imprimantes 3D la taxe de la copie privée – a été retiré du projet
de loi « Macron ». Tandis que le 14 avril, la conseillère d’Etat Christine Maugüé
a été missionnée pour « réactiver » la commission « copie privée ».

En clair. C’est Emmanuel Macron, ministre de l’Economie, de l’Industrie et du Numérique, qui a demandé au sénateur de retirer son amendement proposé dans
le cadre du projet de loi « pour la croissance, l’activité et l’égalité des chances économiques » (en cours d’examen jusqu’au vote prévu le 12 mai). Il s’agissait d’assujettir les imprimantes 3D et les scanneurs 3D à la rémunération pour copie privée (taxe de quelques euros prélevée lors de l’achat du produit), sous prétexte qu’ils permettent de copier et de reproduire des objets protégés par le droit de propriété intellectuelle (1).
Mais le ministre a convaincu le sénateur de retirer son amendement en lui donnant des gages sur la poursuite de la réflexion : « L’Assemblée nationale a engagé une réflexion sur le sujet [la commission des Affaires culturelles doit rendre son rapport en juin, ndlr]. Je suggère que la Haute Assemblée [le Sénat] mette en place un groupe de travail,
en collaboration avec mon ministère, qui est également saisi. Nous devons (…) trouver le cadre adéquat dans les prochains mois ; le bon agenda serait d’ici à la fin de l’année. A mon avis, la solution ne saurait être une application classique de la copie privée ». Mais l’extension du domaine de la taxe « copie privée », laquelle va fêter ses 30 ans en juillet prochain (2), est loin d’être achevée. Car c’est aussi en juillet que la conseillère d’Etat Christine Maugüé, missionnée le 14 avril par la ministre de la Culture et de la Communication pour « réactiver » la commission « copie privée » dès septembre prochain, proposera « une feuille de route ». Avec à la clé de nouveaux supports à taxer : le cloud, dans le viseur de la copie privée depuis octobre 2012 (préconisation
du CSPLA), mais aussi – comme l’a révélé Next Inpact le 17 avril – liseuses et consoles de jeux. Bref, pour ses 30 ans, la taxe « copie privée » reprend du poil de la bête et pourrait dépasser rapidement les 250 millions d’euros par an. Seuls les ordinateurs, portant dotés de Gigaoctets de stockage, lui échappent encore pour des raisons politiques…
Quant à l’harmonisation européenne de la copie privée souhaitée par Bruxelles, confortée par le rapport de l’eurodéputée Julia Reda sur la réforme de la directive
« DADVSI » (droit d’auteur), elle devrait devenir une préoccupation majeure par rapport aux initiatives nationales. @

Notification des violations de données personnelles : régime juridique bientôt élargi, source d’incertitudes

Accès frauduleux à des données de santé, piratage de données personnelles, divulgation de photos hébergées sur le cloud portant atteinte à la vie privée, perte d’informations relevant du secret bancaire,…:les failles de sécurité des systèmes d’informations les plus performants défraient la chronique.

Par Christophe Clarenc (photo) et Merav Griguer, cabinet Dunaud, Clarenc Combles & Associés

Les organismes, entreprises ou établissements publics ont l’obligation légale de garantir la sécurité des données à caractère personnel qu’ils traitent ou qui sont traitées pour leur compte par des prestataires. Cette obligation résulte de la loi « Informatique et Libertés », selon laquelle « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient
accès » (1).

Sanctions administratives et pénales
La Cnil (2) a le pouvoir de contrôler, sur place, le respect de ces obligations de sécurité. Elle peut prononcer des sanctions administratives allant de l’avertissement (souvent publié) à la sanction pécuniaire pouvant atteindre 300.000 euros en cas de récidive.
Le manquement à cette obligation de sécurité est également sanctionné par le Code pénal d’une peine pouvant aller jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende (3). Depuis l’ordonnance «Communications électroniques » (4) de 2011 transposant les directives « Paquet télécom » (5) du 25 novembre 2009, la Cnil est compétente pour examiner les failles de sécurité des opérateurs télécoms (fixe ou mobile) et des fournisseurs d’accès à Internet (FAI). Ces failles de sécurité sont définies comme « toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques ».
La loi « Informatique et Libertés » impose à ces opérateurs télécoms et FAI – devant être déclarés devant l’Arcep (6) – de notifier à la Cnil les violations des données à caractère personnel (7). Or à ce jour, l’obligation de notification des violations de données personnelles ne concerne pas les grands acteurs de l’Internet qui fournissent pourtant au public des solutions de cloud régulièrement victimes de cyberattaques. Alors que les opérateurs télécoms et les FAI, eux, sont tenus de notifier à la Cnil (8)
– dans les 24 heures de la constatation de la violation – toute destruction, perte, altération, divulgation ou tout accès non autorisé à des données à caractère personnel, et ce quel que soit le niveau de gravité de la violation (accident, malveillance ou négligence). Les personnes dont les données à caractère personnel ont été violées doivent également être informées par leur fournisseur d’accès, sans retard injustifié après constat de la violation des données personnelles (9). Parmi les informations requises figurent :
• le nom du fournisseur ;
• l’identité et les coordonnées d’un point de contact en interne auprès duquel les personnes peuvent obtenir des informations supplémentaires, le cas échéant,
et dans la mesure où l’organisation interne le permet, ce point de contact pourrait
être le correspondant informatique et libertés ;
• le résumé de l’incident à l’origine de la violation ;
• la date estimée de l’incident ;
• la nature et la teneur des données concernées ;
• les conséquences vraisemblables de la violation pour la personne ;
• les circonstances de la violation ;
• les mesures prises pour remédier à la violation ;
• les mesures recommandées par le fournisseur pour atténuer les préjudices potentiels. La Cnil précise que « l’information doit être rédigée dans une langue claire et aisément compréhensible », et être distincte et autonome (10).

Notifications à la Cnil et à l’intéressé
En revanche, si le niveau de gravité de la violation est tel qu’il n’est pas susceptible de porter atteinte aux données ou à la vie privée des personnes concernées, le fournisseur n’a pas l’obligation d’en informer les personnes concernées. Il en va de même pour le fournisseur qui a mis en place des mesures techniques de protection préalables, telles que le chiffrement, rendant incompréhensibles les données à tous tiers non autorisées à y avoir accès (11).
Un inventaire des violations, dans lequel figure notamment les modalités de la violation, l’effet de la violation et les mesures pour y remédier, doit être mis à disposition de la Cnil. Si l’opérateur télécoms ou le FAI ne notifient pas à cette dernière ou à l’intéressé une violation de données personnelles, ils encourent cinq ans d’emprisonnement et
300 000 € d’amende (12). Trois années après l’entrée en vigueur en France de ce régime spécifique de notification applicable aux seuls fournisseurs de communications électroniques, celui-ci fait encore débat.

Extension à tous les acteurs du Net
La proposition de règlement européen – qui sera d’application directe – prévoit
un régime similaire, bien que non identique, pour l’ensemble des responsables
de traitements de données à caractère personnel (13). Seraient également mis
à contribution les sous-traitants, qui auraient l’obligation d’alerter et d’informer le responsable de traitement de la violation de données personnelles. Seraient ainsi concernés l’ensemble des services de la société d’informations : sites de e-commerce, réseaux sociaux, banques en lignes, téléservices des administrations, etc, ainsi que tout organisme qui traite des données personnelles, comme tout simplement pour la gestion de ses ressources humaines.
Or, il apparaît que le respect des obligations de notification de failles de sécurité présente un investissement volumineux, tant en termes de coût que de temps. Alors que les opérateurs télécoms et les FAI peinent à répondre aux obligations requises, il est à craindre que le régime à venir étendant l’obligation de notification des violations de données personnelles à tous les responsables de traitements, soit difficilement praticable pour les TPE et les PME. Le délai actuel de 24 heures ne paraît pas raisonnable, voire impraticable lorsque la violation de données personnelles s’est produite chez le prestataire. Dans le cadre du règlement européen à venir, le sous-traitant aurait donc l’obligation d’informer et d’alerter immédiatement le responsable
de traitement. Toutefois, compte tenu du temps nécessaire à l’identification, la circonscription, la mesure et la correction de la faille par le sous-traitant, puis le temps nécessaire au responsable de traitement pour procéder aux mesures de vérifications, de contrôle et pour notifier, il est à craindre que le délai de 24 heures ne soit dépassé. La proposition de règlement européen prévoit un régime plus souple que celui actuellement réservé aux opérateurs télécoms et FAI. Aussi, une question persiste :
le nouveau régime va-t-il se substituer à l’actuel régime pour ne créer qu’un seul et unique régime de notification des failles de sécurité ? Ou les deux régimes similaires, sans être identiques, vont-ils devoir se juxtaposer créant deux régimes distincts, inégaux et même contradictoires par certains égards ? Une modification de la loi
« Informatique et Libertés » paraît donc nécessaire, afin d’anticiper sur le règlement européen. Des incertitudes demeurent créant une certaine insécurité juridique. En effet, dans la mesure où aucun texte de loi contraignant ne fixe précisément des standards de sécurité à respecter, il est difficile d’identifier avec précision les manquements à la sécurité (par faute ou négligence) susceptibles d’être sanctionnés par la Cnil. Par ailleurs, la notification d’une faille de sécurité ou d’une attaque ayant porté atteinte aux données personnelles de ses clients (par perte, divulgation, accès frauduleux, etc) déclenche une procédure d’instruction par la Cnil. L’autorité administrative compétente dispose d’un large pouvoir de contrôle et de sanction, allant de l’avertissement aux sanctions pécuniaires, étant précisé que la Cnil publie souvent les sanctions qu’elle prononce. Une telle publication a pu être maintenue en page d’accueil du site de la
Cnil pendant plusieurs semaines, causant un préjudice particulièrement important au responsable de traitement en termes de réputation.
La Cnil reconnaît elle-même, dans ses FAQ, qu’« une faille de sécurité peut donner une très mauvaise réputation à une entreprise, dont l’impact économique pourra être bien supérieur à la valeur même des données perdues ». Ainsi, le dispositif actuel, comme
à venir, n’encourage pas les responsables de traitements à la transparence et à la notification à la Cnil des violations des données personnelles. En effet, une entreprise qui notifierait une faille de sécurité ou une attaque ayant porté atteinte aux données personnelles de ses clients, risque non seulement une sanction de la Cnil mais encore la perte de confiance de sa clientèle et l’atteinte à sa réputation et à son image auprès du grand public. Il est donc à craindre que ce dispositif de notification des violations de données personnelles dissuade in fine un certain nombre d’entreprises à jouer le jeu
de la transparence.

Politique de sanction contreproductive
Une politique d’accompagnement dans la mise en oeuvre de mesures de protection optimales et efficaces, mais aussi proportionnées aux risques, paraît devoir être privilégiée en lieu et place d’une politique de sanction. Et ce, dès lors que le responsable de traitement qui notifie la faille de sécurité dont il est victime justifie de diligences et d’efforts suffisants et raisonnables au regard des règles de l’art.
Il en résulterait que le taux de participation des entreprises au respect de ce dispositif de notification augmenterait de manière significative au bénéfice de l’amélioration et
du renforcement de la protection des données et de la vie privée de tous. @

 

Ego… métrique

De nos jours, le « Connais-toi toi-même » prend une tournure singulière. Cette sagesse antique n’a sans doute jamais été aussi populaire qu’aujourd’hui, même si c’est en empruntant des chemins que n’auraient pu imaginer nos ancêtres qui la gravèrent au fronton du temple de Delphes. Maintenant, mon « Moi » est mesuré, jour et nuit, par la puissance des applications du Quantified Self (QS) : une véritable batterie de données sur le nombre de calories brûlées, le poids, la tension, le pouls, ou encore la qualité du sommeil. Apparus au stade industriel à la fin des années 2000, les objets connectés liés au bien-être et à la santé se sont multipliés, explorant toutes les pistes possibles. Les utilisateurs pionniers avaient ainsi accès à des données qui les aidaient à se fixer des objectifs simples, et découvraient émerveillés le nombre de pas qu’ils faisaient par jour. Et, en bon élève docile, ils acceptaient la petite remontrance ou le message de félicitation envoyés par le programme. Les capteurs et bracelets d’activité ont ainsi ouvert le marché avec Jawbone, iHealth, Nike VitaDock ou Fitbit, qui connurent un premier succès même s’ils ne proposaient que très peu de mesures. Suivirent une
plus grande diversité d’objets : bouchons de tube de médicament GlowCaps alertant l’utilisateur, ceintures Lumo Back vibrant pour signaler une mauvaise posture, ou serre-têtes Melon destinés à améliorer l’attention…
Les leaders des terminaux mobiles ont ensuite essayé de prendre le contrôle du marché en lançant tour à tour leurs montres connectées, et faire ainsi main basse sur un marché aux perspectives immenses, le dispositif central étant leurs smartphones – véritables pilotes des applications.

« Quantified Self : les objets connectés liés
au bien-être et à la santé se sont multipliés. »

Mais c’est avec la seconde génération de capteurs que les usages ont véritablement explosés. Lorsque, miniaturisés et quasiment invisibles, ils se sont embarqués dans
les objets eux-mêmes, soit lors de leur construction, soit sous forme de stickers positionnables sur nos objets quotidiens : vêtements, chaussures, vaisselles, aliments, … Sans oublier bien sûr nos pacemakers, nos lentilles de contact, ou tout autre modèle de prothèses connectées de nouvelle génération que nous sommes de plus en plus nombreux à porter. Dès lors, le nombre de données collectées a explosé : niveau de stress, rythme cardiaque, tension, vision, respiration, calorie, température, qualité du sommeil, bilan sanguin, activité cérébrale, taux de glucide,… Sachant que chaque année de nouvelles données s’ajoutent aux anciennes moissons. Les bénéfices impressionnant ont emporté l’adhésion du plus grand nombre. Nous n’avions jamais atteint un tel niveau de précision dans le suivi de notre santé quotidienne. Mais pour
en arriver là, il a fallu franchir de nombreuses étapes. Il ne s’agissait plus de données associées à une pratique sportive ou paramédicale, mais de données médicales ultra-sensibles. La question cruciale de leur accès et de leur protection est à peine résolue aujourd’hui. Si les pionniers du QS furent les start-up, suivies par les équipementiers leaders, les géants du Net, les opérateurs télécoms et les grandes compagnies d’assurance, il faut désormais compter avec les grands laboratoires et les systèmes
de santé associant le personnel médical. Le vaste monde du soin est en pleine phase de réorganisation autour de la bonne utilisation de ses montagnes de données personnelles que l’on a commencé à collecter avant de savoir s’en servir.

Aujourd’hui, mes données alimentent en temps réel une base personnelle hébergée par le service Cloud Vitale, qui remplace mon ancienne carte à puce et à laquelle ont accès les médecins qui me suivent de leur cabinet ou de l’hôpital. Dans de nombreux cas, je peux bénéficier de soins ou de conseils préventifs. A tel point que c’est souvent mon docteur qui vient à moi pour me prodiguer des conseils avant qu’il ne soit trop tard ! Nous avons dû apprendre à déserter les salles d’attente devenues obsolètes ! Malgré tout, mon «Moi » décomposé, éclaté en myriades de données, me reste encore largement à découvrir, en dépit des tout derniers progrès de la neuropsychologie qui donne enfin accès à la cartographie inédite de mon cerveau, de ses failles et de ses ressources inexploitées. @

Jean-Dominique Séval*
Prochaine chronique « 2025 » : Moi augmenté (II)
* Directeur général adjoint de l’IDATE, auteur du livre « Vous
êtes déjà en 2025 » (http://lc.cx/Broché2025).
Les objets connectés et le Quantified Self seront abordés
lors du « Connected Things Forum », dans le cadre du
DigiWorld Summit, 18-20 nov. 2014 : digiworldsummit.com.

Androidologie

Monopoles, duopoles, oligopoles, … Ces structures de marché sont l’objet depuis longtemps de toutes les attentions de la part des politiques et des régulateurs, tout en alimentant des débats passionnés entre économistes. La liste est longue des monopoles historiques ayant été abolis et des entreprises lancées dans le grand bain concurrentiel. Mais la concurrence stimulée au niveau de chaque pays n’était-elle pas contre-productive quand la véritable échelle
à prendre en compte est celle l’Europe dans son ensemble et de sa place dans la compétition mondiale ?
Le constat est d’autant plus cruel que certaines mesures prises pour contraindre les entreprises européennes étaient bien plus difficiles à appliquer aux groupes venus d’ailleurs et tentés de régler leur compte en Europe. N’a-t-on pas vu, en 2013, Microsoft
et Nokia presser la Commission européenne d’agir contre Google accusé d’entraver la concurrence dans la téléphonie mobile ? Le géant du Net était alors soupçonné de détourner le trafic vers son moteur de recherche par le biais d’Android. La Commission européenne, pas plus que la Commission fédérale du commerce américain (FTC) quelques mois avant elle, avait refermé le dossier.

« Parallèlement, un nouveau front s’ouvrait
du côté de l’OS dans le Cloud, proposé en streaming,
par le navigateur, et en mode ‘’hors connexion’’. »

Il est pourtant indéniable que la domination d’Android posait problème avec une part de marché de plus de 75 % dès la fin 2013, suivie de l’iOS d’Apple à 17 %. Cette domination écrasante, qui rappelait celles d’IBM puis de Microsoft sur les ordinateurs, semble se répéter inéluctablement à chaque nouvelle génération de machines. Car le besoin de standard est fort au niveau planétaire pour permettre de gérer le développement d’une
très grande diversité de terminaux. Quel chemin parcouru par ce système d’exploitation visionnaire lancé en 2003 par Andy Rubin, qui imagina Android comme un OS (Operating System) pour caméra numérique avant de le repositionner pour les smartphones – avant d’être finalement acheté par Google en 2005 avec le succès que l’on connaît. Les initiatives pour déstabiliser ce duopole inégal, AndroidiOS, n’ont pas manqué. La période 2014 à 2016 a été consacrée à la recherche de ce fameux troisième OS en mesure de venir le déstabiliser : Windows Phone, Firefox OS ou encore Tizen de Samsung, lancèrent leur force dans la bataille en cherchant d’abord la faille sur des marchés moins verrouillés, en fournissant par exemple des terminaux aux millions de clients potentiels n’ayant pas les moyens de s’offrir un smartphone sous licence. Microsoft, Mozilla ou Samsung bénéficiaient également du soutien de grands opérateurs télécoms souhaitant disposer d’une offre alternative pour ne pas dépendre autant des deux OS nord-américains. Le China Operating System (COS), annoncé début 2014, a lui aussi été lancé pour conquérir une part significative du marché intérieur dominé par Android, ce au moment où China Mobile signait un accord historique avec Apple.
Parallèlement, un nouveau front s’ouvrait du côté de l’OS dans le Cloud. Microsoft y voyait l’opportunité de faire enfin son retour en proposant, peu avant 2020, Windows 10 en streaming. Apple, dans la suite de sa stratégie iCloud, engageait lui aussi une nouvelle étape décisive en introduisant en 2016 son nouvel OS convergent « iAnywhere » entre terminaux fixes et mobiles, consacrant la fusion entre iOS et « OS X ». Tandis que Google avait fait sensation en lançant, dès 2009, ChromeOS, un système d’exploitation pour les Chromebooks, ordinateur sans logiciels où tout passe par le navigateur. Les années suivantes ont été consacrées à l’amélioration de la gestion du mode « hors connexion » par l’introduction des Chrome Apps, ces applications web qui fonctionnent hors-ligne. C’était la promesse d’un nouvel écosystème que cherchait à promouvoir Google pour amener l’informatique dans son ensemble vers son modèle natif des applications en ligne. Cette guerre est désormais derrière nous. Nous ne faisons plus attention à ces OS hébergés dans le Cloud et qui font tourner tous nos terminaux, Internet des choses comprises. Même si les débats sont toujours aussi vifs pour savoir si les deux OS dominants, aujourd’hui comme hier, sont une fatalité dont les abus doivent être combattus. @

Jean-Dominique Séval*
Prochaine chronique « 2025 » : eDémocratie
* Directeur général adjoint de l’IDATE,
auteur du livre « Vous êtes déjà en 2025 »
(http://lc.cx/b2025).