Archives par mot-clé : Droit européen

Le « Cloud Act » américain est-il une menace pour les libertés des citoyens européens ?

Publié le par

La controverse née avec l’affaire « Microsoft » sur la localisation
des données prend fin avec le « Cloud Act » dans lequel le Congrès américain précise que la localisation physique de données n’est pas
un élément pertinent lorsqu’un juge américain émet un mandat de perquisition.

Par Winston Maxwell, avocat associé, Hogan Lovells

Le 23 mars 2018, le Congrès américain a adopté une disposition qui modifie le code de procédure pénale afin de préciser que la localisation physique de données n’est pas un élément pertinent lorsqu’un juge américain émet un mandat de perquisition. De plus, cette disposition prévoit la mise en place d’accords bilatéraux entre pays ayant un niveau de protection adéquat des libertés individuelles, afin de faciliter l’échange de données dans le cadre d’enquêtes criminelles.

Plus de garanties aux Européens
Certains voient dans le « Cloud Act » – pour Clarifying Lawful Overseas Use of Data Act (1) – une menace pour les libertés des citoyens européens et une possible mise en cause de l’accord « Privacy Shield », le bouclier vie privée (2). En réalité, le Cloud Act sert simplement rétablir une situation qui existait avant la décision de la Cour d’appel américaine dans l’affaire Microsoft. Cette décision de 2016 de la Cour d’appel de Manhattan contredisait d’autres décisions qui estimaient qu’un juge pouvait ordonner la communication de toutes données sous le contrôle direct ou indirect de l’entreprise en cause, peu importe la localisation des serveurs (3). En raison de cette décision «Microsoft » (4), la Cour suprême des Etats-Unis s’apprêtait à rendre une décision sur l’interprétation de cette disposition du code de procédure pénale. Le Congrès américain a réagi plus vite en adoptant le Cloud Act, lequel met fin donc à cette controverse.
Aux Etats-Unis comme en France, il existe deux corps de lois relatifs à la collecte de données par les autorités : en premier lieu, le code de procédure pénale qui régit les enquêtes criminelles ; en deuxième lieu, les dispositions sur la collecte de données dans le cadre des activités de renseignement. Aux Etats-Unis, ces dernières dispositions se trouvent dans le « code de l’espionnage et de la guerre ». En France, ces dispositions se trouvent dans le « code de la sécurité intérieure ». La controverse entre l’Europe et les Etats-Unis après l’affaire Snowden concernait les activités de renseignement (5). Après l’arrêt « Schrems » de la Cour de Justice de l’Union européenne (CJUE) (6), la Commission européenne et le gouvernement des Etats-Unis ont négocié des changements afin de garantir que les citoyens européens ne font pas l’objet d’une surveillance de masse et bénéficient de certaines garanties qui n’existaient pas auparavant. Ces garanties n’ont pas été abrogées par l’administration Trump et le mécanisme du « Privacy Shield » reste intact pour l’instant. Les dispositions du récent Cloud Act ne concernent pas ces activités de renseignements. Il s’agit uniquement d’enquêtes criminelles encadrées par le code de procédure pénale américain. Le Cloud Act concerne une partie de ce code qui permet à un juge saisi par le procureur d’ordonner à un fournisseur de services de communiquer des données relatives à une personne suspectée d’avoir commis un crime. C’est la même procédure que celle appliquée lorsqu’il faut fouiller la maison d’un suspect. Le niveau de preuves et de garanties des droits individuels est à son niveau le plus élevé, car le procureur doit démontrer l’existence d’un faisceau d’indices concordants indiquant qu’une personne identifiée a bien commis un crime et que les preuves se situent probablement à tel ou tel endroit. Un mandat de ce type ne peut être délivré afin d’« aller à la pêche » pour des renseignements.
La logique est complètement différente de celle applicable en matière de renseignements où l’objectif est justement d’aller à la pêche pour des signaux faibles indiquant la présence de menaces graves contre les intérêts de l’Etat. Les dispositions du code de procédure pénale amendées par le Cloud Act ne font aucune différence entre les citoyens américains et les autres. Par conséquent, un Européen qui est visé par une enquête criminelle aux Etats-Unis bénéficie des mêmes garanties qu’un Américain. En matière de renseignements, la situation est différente. A l’origine,
les lois sur le renseignement aux Etats-Unis accordaient moins de droits
aux personnes situées en dehors du sol américain. C’était l’un des points principaux qui posait problème dans l’affaire « Privacy Shield » et qui a poussé l’administration américaine à accorder plus de garanties aux Européens dans le contexte des activités de renseignements.

Documents localisés à l’étranger
Avant la décision de la Cour d’appel dans l’affaire Microsoft, la plupart des tribunaux américains admettaient la possibilité d’ordonner la production de documents sous le contrôle direct ou indirect du prestataire, peu importe la localisation physique des données. Ainsi, si le prestataire pouvait avoir accès aux documents, le juge estimait qu’il était légitime d’exiger leur communication, même si ces documents étaient localisés à l’étranger.
La Cour d’appel fédérale a pris le contrepied de cette jurisprudence en décidant que la loi sur les mandats de perquisition ne permettait pas à
un juge d’ordonner la communication de documents localisés à l’étranger. La Cour suprême s’est saisie de la question mais a mis fin à l’affaire lorsque le Congrès américain a adopté le Cloud Act qui précise justement que la localisation physique des serveurs n’est pas importante en matière de mandat de perquisition.

Droit international et accords bilatéraux
Il faut rapprocher cette disposition de l’article 57-1 du code de la procédure pénale en France, lequel précise que les réquisitions concernent les données situées à l’étranger dès lors qu’il existe un point d’accès autorisé
en France et que la mesure n’est pas en contradiction avec le droit international. L’article 18 de la convention du Conseil de l’Europe sur la cybercriminalité – à laquelle les Etats-Unis sont signataires – évoque également la possibilité d’ordonner la communication d’informations
« sous le contrôle » du prestataire. Cette convention permet à une autorité d’ordonner : « à une personne présente sur son territoire de communiquer les données informatiques spécifiées, en sa possession ou sous son contrôle, qui sont stockées dans un système informatique ou un support de stockage informatique ; et à un fournisseur de services offrant des prestations sur le territoire de la Partie, de communiquer les données en sa possession ou sous son contrôle relatives aux abonnés et concernant de tels services » .
Le Cloud Act rétabli la situation qui existait avec la décision de la Cour d’appel de 2016. Le débat dans chaque situation sera de savoir si les données sont « en la possession ou sous le contrôle » d’un prestataire.
Le deuxième apport du Cloud Act est de permettre la conclusion d’accords bilatéraux permettant aux autorités judiciaires de pays « amis » de pouvoir ordonner la communication rapide de documents sans passer par les procédures plus lourdes d’entraides judiciaires. En plus de la convention
du Conseil de l’Europe, les procédures d’entraides judiciaires actuelles s’appuient sur les accords bilatéraux de coopération dénommés MLAT (Mutual Legal Assistance Treaty). Le système actuel d’entraide judiciaire n’est plus adapté au volume d’affaires nécessitant de telles coopérations en matière de données. Un groupe de travail au niveau du Conseil de l’Europe planche sur le sujet, ainsi que la Commission européenne qui vient de proposer un règlement « e-evidence » – pour electronic evidence, ou preuves électroniques – pour faciliter l’accès aux données pour les juges.
Le Cloud Act s’inscrit donc dans cette tendance générale qui vise à trouver des mécanismes de coopération plus efficace entre autorités judiciaires, notamment pour les enquêtes sur les crimes les plus graves. Le Cloud Act permet aux opérateurs de communications électroniques et prestataires
de cloud de répondre à des requêtes judiciaires émises par un pays ayant conclu un accord avec les Etats-Unis.
Ces accords seraient autorisés uniquement avec des pays qui respectent les mêmes valeurs constitutionnelles que les Etats-Unis en matière d’enquêtes judicaires. Un tel accord est en négociation avec le Royaume-Uni et d’autres pays européens pourraient suivre. Pour un Européen, il paraît surprenant que les Etats-Unis insistent sur l’existence d’une protection adéquate en matière de libertés individuelles. Généralement, c’est tout le contraire : l’Europe reproche aux Etats-Unis l’absence de protection adéquate. Cependant, en matière d’enquêtes judiciaires, l’Europe et les Etats-Unis partagent à peu de choses près les mêmes systèmes de protection des individus. Aux Etats-Unis, ces protections découlent du 4e Amendement de la Constitution qui, depuis 1789, protège l’individu contre diverses formes de perquisitions par les autorités de police. Les règles de procédure dans le « Stored Communication Act » (7) et le Cloud Act respectent ces principes, et ne font aucune différentiation entre des citoyens américains et des citoyens européens. L’Europe et les Etats-Unis sont généralement sur la même longueur d’onde en matière d’enquêtes judiciaires, ce qui n’est pas le cas
en matière de renseignement où les suspicions européennes restent fortes. Et le droit international dans tout ça ? Le principe de « courtoisie internationale » (8) oblige chaque autorité à tenir compte de l’existence de lois étrangères et de s’efforcer d’éviter des conflits avec ces lois. Dans les procédures de discovery en matière civile, les juges américains reconnaissent de plus en plus l’importance des lois européennes en matière de protection des données à caractère personnel, et prennent ces lois en considération. Le Cloud Act inscrit le principe de courtoisie internationale dans la loi en matière de procédures pénales, mais uniquement à l’égard des accords bilatéraux de coopération.

Le RGDP : une barrière à la coopération ?
L’article 48 du règlement général sur la protection des données personnelles (RGDP, ou, en anglais GDPR), lequel est entré en vigueur depuis le 25 mai 2018, semble interdire tout échange de données en dehors d’une procédure d’entraides judiciaires. Selon la Commission européenne, cet article 48 n’est pas aussi catégorique et permet d’autres bases légales de transfert vers des autorités étrangères. Dans son amicus brief (9) devant la Cour suprême dans Etats-Unis, dans le cadre de l’affaire Microsoft, la Commission européenne a souligné que le RGPD tolérait des transmissions de données notamment sur le fondement de l’intérêt légitime ou de l’intérêt public. L’article 48 n’est donc pas une barrière infranchissable. @

Les objets connectés n’échapperont pas au droit européen sur la protection des données personnelles

Publié le par

L’Internet des objets – prolongement du cyberespace à des objets physiques connectés – doit assurer la protection des données personnelles et faire preuve de transparence vis-à-vis des internautes auxquels le consentement doit être demandé. Sinon, les responsables risquent gros.

Par Christophe Clarenc et Merav Griguer, cabinet Dunaud, Clarenc Combles & Associés

La « French Tech » était particulièrement représentée au
CES (Consumer Electronics Show) de Las Vegas en janvier dernier, ce salon international dédié au marché des innovations technologiques grand public et en particulier aux objets connectés. Les objets connectés sont le fruit de l’extension d’Internet aux choses du monde physique via des systèmes d’identification électronique normalisés et sans fil qui permettent de collecter, stocker, traiter, communiquer, transférer et partager des données (1). C’est l’Internet des objets, ou IoT (Internet of Things).

Objets, Big Data et régulation
Les objets connectés contribuent de manière significative à la transformation économique et sociétale attachée à la révolution numérique en cours, notamment
pour ce qui concerne les secteurs de la santé et du bien-être (le « feel good »). Le phénomène est à un stade embryonnaire. L’Arcep a mené l’an dernier une consultation publique (2) sur l’utilisation des bandes de fréquences dites « libres », en particulier dans le contexte du développement de l’Internet des objets. Les résultats confirment notamment que « les bandes libres constituent un levier du développement des
usages innovants » et seront prises en compte dans le cadre de travaux internationaux d’harmonisation.
Plus les objets intelligents se développent, plus la question de la régulation de cette nouvelle source de « Big Data » se pose. En effet, les objets connectés ne peuvent
être mis sur le marché, distribués, commercialisés, hébergés ou utilisés sans s’assurer du respect des règles qui leurs sont applicables, plus particulièrement au titre de la réglementation sur la protection des données personnelles, sous peine de sanctions civiles, administratives ou pénales. La Commission nationale de l’informatique et des libertés (Cnil) peut ainsi prononcer des sanctions administratives allant de l’avertissement (souvent publié) à l’amende de 300.000 euros. Le projet de règlement européen, qui devrait entrer en vigueur courant 2015, prévoit que l’amende peut aller jusqu’à 5 % du chiffre d’affaires annuel mondial du groupe.
Le groupe « G29 » des « Cnil européennes » (3) a adopté les 16 et 17 septembre 2014 un avis sur l’Internet des objets afin de préciser le cadre règlementaire européen applicable. Cet avis affirme que la directive européenne « Protection des données »
du 24 octobre 1995 (4) est applicable à l’IoT. Comme l’a précisé en octobre dernier la Déclaration sur l’Internet des objets adoptée lors de la 36e Conférence internationale des Commissaires à la protection des données et de la vie privée, les objets connectés collectent une masse de données sur leurs utilisateurs qualifiables de « données à caractère personnel » (5). En effet, les données ainsi captées et enregistrées par ces objets intelligents permettent l’identification directe ou indirecte des individus.
L’Internet des objets ne peut échapper à l’application du droit européen sur la protection des données personnelles. En effet, l’article 4 de la directive de 1995 prévoit que la loi nationale d’un Etat membre transposant la directive européenne s’applique même au responsable du traitement de données à caractère personnel. Ce responsable, sans être établi sur le territoire d’un Etat membre, recourt à des moyens, automatisés ou non, situés sur le territoire de cet Etat membre (sauf si ces moyens ne sont utilisés
qu’à des fins de transit sur ce territoire). Ainsi, le traitement de données à caractère personnel inhérent à l’objet connecté commercialisé en France sera soumis au respect de la loi française « Informatique et Libertés » (6).

Champ d’application large
Plusieurs acteurs peuvent intervenir dans le cadre des objets connectés : le fabricant de l’objet intelligent, l’éditeur de la plate-forme qui agrège les données, l’hébergeur des données collectées et traitées, le développeur de l’application mobile, le distributeur, les réseaux sociaux interconnectés sur lesquels les utilisateurs partagent leurs données, les tiers destinataires des données, les brokers de données, etc.

Le G29 recommande de bien définir le rôle de chacun des acteurs impliqués, y compris les sous-traitants, afin de déterminer leurs obligations et leur responsabilité au regard de la réglementation applicable. Ces points doivent être prévus dans les contrats liant les différents acteurs entre eux.
Il convient notamment d’identifier lesquels de ces acteurs endossent le statut de responsable de traitement. Plus particulièrement, il est important de prévoir en amont qui est responsable en cas de défaillance du dispositif, en cas de perte ou altération des données, ou encore en cas de cyberattaques telles que l’accès frauduleux au système, l’usurpation d’identité numérique, la divulgation des données ou autres atteintes à la confidentialité, etc.

Rôle contractualisé des acteurs
En effet, selon l’article 34 de la loi « Informatique et Libertés », « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Les données collectées et traitées via les objets connectés étant souvent hébergées par des solutions de type « cloud computing »,
les contrats avec ces prestataires doivent également prévoir un certain nombre de garanties, conformément aux recommandations de la Cnil en la matière.
Par ailleurs, la définition des rôles, statuts et responsabilité de chacun des acteurs impliqués permettra de déterminer à qui incombe l’obligation de déclarer à la Cnil
le traitement des données à caractère personnel relatif à l’objet connecté.

Il ressort des dispositions de la directive européenne « Protection des données »
et de la loi « Informatique et Libertés » que les utilisateurs d’objets intelligents
doivent consentir de manière expresse au traitement de leurs données à caractère personnel (7).
Toutefois, le G29 regrette le manque de transparence des responsables sur les caractéristiques des traitements de données à caractère personnel liés aux objets connectés. Or, le consentement n’est considéré par les « Cnil » européennes comme valable que s’il est exprès, libre, spécifique et éclairé. Pour le G29, le consentement doit pouvoir être retiré de telle sorte que l’utilisateur a le droit de s’opposer ultérieurement au traitement de ses données.
Les conditions d’utilisation des objets intelligents (accessibilité, diffusion et divulgation des données ainsi captées et enregistrées) doivent donc être particulièrement soignées, ainsi que les modalités d’acceptation d’acceptation et de mise à jour de celles-ci. Ces mentions d’information doivent être rédigées de manière claire et compréhensible précise le G29 dans son avis. De manière générale, le G29 considère que l’ensemble des acteurs impliqués doit respecter les concepts de « privacy by design » et « privacy by default », lesquels sont à considérer comme centraux lors
de la conception d’objets connectés. Ainsi, les utilisateurs doivent pouvoir garder le contrôle et la maîtrise de leurs données.
La loi « Informatique et Libertés » dispose en outre que les données doivent être
« adéquates, pertinentes et non excessives au regard des finalités pour lesquelles
elles sont collectées et de leurs traitements ultérieurs » (8). Par conséquent, seules
les données pertinentes et strictement nécessaires peuvent être collectées et traitées. Par ailleurs, cette même loi exige que les données à caractère personnel collectées
et traitées soient « exactes, complètes et, si nécessaire, mises à jour » (9). Egalement, « les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ».
Lorsque l’objet connecté collecte et traite des données « sensibles » (10), le cadre règlementaire spécifique aux données sensibles doit être respecté. Parmi les nombreuses mesures de sécurité recommandées, figurent le cryptage des données sensibles et, dans la mesure du possible, l’anonymisation irréversible de celles-ci. S’agissant des données de santé à caractère personnel qui seraient collectées et traitées par l’objet connecté, la réglementation relative aux dispositifs médicaux est susceptible de s’appliquer à ces objets connectés.

Hébergeur agréé de données de santé
Le Code de la santé publique exige également que ces données soient hébergées par un hébergeur de données de santé agréé (11). Toutefois, il n’existe pas de définition légale claire de la notion de « données de santé à caractère personnel » (12).
Par conséquent, se pose la question de l’obligation de recourir à un prestataire d’hébergement agréé de données de santé pour les objets connectés collectant des données liées au bien être ou mieux être de l’utilisateur (humeur, déshydratation de la peau, etc.). De nombreuses questions demeurent donc encore en suspens. Compte tenu de l’ampleur du phénomène et des enjeux y afférent, la multiplication des contrôles de la Cnil en la matière est à prévoir et à anticiper. @

Le contrat d’édition numérique français résistera-t-il à l’épreuve du droit européen ?

Publié le par

En France, tous les contrats signés depuis le 1er décembre 2014 doivent se conformer aux nouvelles règles entourant le contrat d’édition étendu au numérique. Les contrats antérieurs seront amendés. Mais avec le débat autour
de la réforme du droit d’auteur, l’Europe pourrait avoir son mot à dire.

Par Rémy Fekete (photo), avocat associé, et Marta Lahuerta Escolano, avocate, Gide Loyrette Nouel

L’ordonnance du 12 novembre 2014 modifiant les dispositions
du Code de la propriété intellectuelle (CPI) relatives au contrat d’édition (1) entend clarifier le cadre législatif qui entoure l’édition numérique et l’adapter à un marché de l’exploitation numérique des livres qui peine encore aujourd’hui à se développer en France. Elle est avant tout le résultat d’une demande des auteurs soucieux de pouvoir isoler les droits liés à la diffusion numérique, dans un contexte où la lecture sur supports numériques gagne
de fait de plus en plus de terrain sans une véritable codification. Ainsi, l’ordonnance codifie l’accord-cadre du 21 mars 2013 intervenu entre le Syndicat national de l’édition (SNE) et le Conseil permanent des écrivains (CPE) (2).

Encadrement autour de trois axes
A l’ère du numérique, comment faut-il interpréter des textes qui parlent de « fabriquer ou de faire fabriquer en nombre des exemplaires » ? L’ordonnance élargie la définition légale du contrat d’édition pour inclure expressément la forme numérique : « Le contrat d’édition est le contrat par lequel l’auteur d’une oeuvre de l’esprit ou ses ayants droit cèdent à des conditions déterminées à une personne appelée éditeur le droit de fabriquer ou de faire fabriquer en nombre des exemplaires de l’oeuvre, ou de la réaliser ou de la faire réaliser sous forme numérique, à charge pour elle d’en assurer la publication et la diffusion » (3). Cet encadrement du contrat d’édition numérique s’articule en particulier autour de trois axes : la forme du contrat d’édition, les modalités d’exploitation de l’oeuvre et les modalités de rémunération des auteurs.
L’ordonnance instaure une autonomie formelle de la cession numérique : celle-ci devra se voir attribuer une partie distincte au sein du contrat. Cette autonomie de forme reflète l’autonomie de fond : la nullité ou la résiliation de la cession des droits d’exploitation sous une forme numérique n’aura pas d’effet sur l’exploitation de l’oeuvre sous forme imprimée (et inversement) et ne remettra pas en cause la validité du reste du contrat.
Du point de vue de l’exploitation de l’oeuvre, l’ordonnance impose à l’éditeur notamment l’obligation d’exploiter l’oeuvre dans sa totalité ou celle de la rendre disponible sur des formats usuels du marché et non propriétaires. Plus encore, à défaut d’exploitation dans les deux ans et trois mois suivant la signature du contrat, la reprise des droits d’exploitation numérique s’opère de plein droit, sur simple notification de l’auteur à l’éditeur. L’éditeur est sujet à une obligation d’exploitation permanente et suivie qui, dans le contrat d’édition numérique, englobe, entre autre, l’obligation d’exploiter l’oeuvre dans sa totalité, de la présenter au sein du catalogue numérique de l’éditeur, de la rendre accessible dans un format technique exploitable selon les formats usuels du marché (4) et de le présenter à la vente sur un ou plusieurs sites.
Une précision novatrice sur« l’obligation d’exploitation permanente et suivie » (5) est apportée : si l’éditeur manque à ses obligations d’exploitation sur l’un des deux supports, l’auteur ne pourra exciper de sa capacité de résiliation de la cession que sur les droits non exploités. En pratique, si un éditeur achète l’intégralité des droits d’un ouvrage et se limite à une exploitation du support papier, l’auteur cessionnaire pourrait obtenir la résiliation de la cession des droits numériques. Une fois l’auteur de nouveau titulaire de ses droits d’exploitation, il serait alors libre de les céder à un autre éditeur.

Obligation de publier dans les délais
L’éditeur d’une oeuvre sur support numérique est dans l’obligation de la publier dans les quinze mois de la remise du manuscrit ou dans les trois ans de la signature du contrat. Un manquement à cette obligation de publication permettra à l’auteur, après mise en demeure restée sans effet, de reprendre les droits cédés et non exploités. Une reprise de ces mêmes droits pourra avoir lieu en cas de défaut d’exploitation dans un délai de deux ans et trois mois à compter de la remise du manuscrit ou de quatre ans à compter de la signature du contrat. Dans cette dernière hypothèse, une simple notification de l’auteur à l’éditeur suffit. Enfin, l’ordonnance prévoit, entre autres, que l’éditeur opère une reddition annuelle des comptes à l’auteur, en y distinguant les recettes générées par l’exploitation numérique : cette mesure entend garantir aux auteurs une rémunération « juste et équitable » (6).

Rémunérer les auteurs, mais pas au forfait
L’assiette de rémunération doit prendre en compte les recettes directes (la vente à proprement parler) et indirectes (par exemple les recettes engendrées par la publicité). Par ailleurs, la rémunération au forfait pour la cession de l’ensemble des droits liés à une exploitation numérique est interdite. Cependant, elle est autorisée pour des actes précis d’exploitation. Tout acte supplémentaire fera l’objet d’une nouvelle négociation (7).
Les discussions autour de l’accord-cadre n’ont en revanche pas tranché le débat sur le niveau de la rémunération, qui fera l’objet d’une négociation contractuelle. En pratique, le taux de rémunération pour l’exploitation numérique est aligné sur celui de l’exploitation papier bien que les éditeurs ne supportent ni frais d’impression ni de librairie (8). Lors de cette négociation, les parties prendront en considération la nouvelle répartition des recettes tirées de la diffusion numérique qui, de plus en plus, profite aux plateformes de distribution. En pratique, pour établir la reddition annuelle des comptes qui doit inclure les revenus issus de la vente à l’unité et de chacun des autres modes d’exploitation du livre numérique, l’éditeur sera amené à collaborer avec les plateformes de diffusion. En cas d’exploitation papier et numérique, le détail est donné dans deux parties distinctes. L’éditeur manquant à cette obligation de reddition pourrait, dans certaines hypothèses, être sanctionné par une résiliation émanant de l’auteur. En France, tous les contrats signés à partir du 1er décembre 2014 doivent se conformer
à ces règles, de même que les contrats antérieurs devront, quant à eux, être amendés (9). Mais quelle est la position du contrat d’édition numérique français dans le contexte européen ? La Commission européenne présidée par Jean-Claude Juncker est à la tête de l’Union européenne depuis le 1er novembre 2014. Le développement du marché unique du numérique est l’une de ses priorités mais ce projet n’est pas acquis pour autant.
En effet, au niveau européen comme au niveau des Etats membres, des opinions diverses se font entendre. Cet empressement à instaurer le marché unique du numérique se reflète dans la nouvelle organisation de la Commission européenne : jusqu’à présent, les problématiques liées au droit d’auteur relevaient de la responsabilité du commissaire au Marché intérieur, lesquelles sont désormais sous
la responsabilité du commissaire au Marché numérique unique. Andrus Ansip, vice-président en charge du dossier, veut supprimer au plus vite les barrières injustifiées
à l’établissement de ce marché. Il approuve ainsi les objectifs ambitieux affichés par Jean-Claude Juncker qui parlait d’imposer des réformes ambitieuses lors des six premiers mois de son mandat. Pour lui, ces réformes passent par la suppression des barrières nationales et en particulier par la suppression des différences en matière de réglementation du droit d’auteur (10).
Mais une autre tendance est défendue par le commissaire à l’Economie numérique, Günther Oettinger, qui, avant d’émettre des propositions, souhaite prendre le temps de consulter les acteurs du marché. Il estime qu’une réflexion d’un an ou deux permettrait d’aboutir à une réforme équilibrée. Cette approche considère que le droit d’auteur doit prendre en considération en priorité la négociation contractuelle et démontrer sa capacité d’adaptation aux évolutions de l’ère numérique.
Les inquiétudes ressenties face au risque de réforme hâtive sont particulièrement présentes chez les professionnels européens du livre. Dans une déclaration du 9 octobre 2014, ces professionnels issus de quatorze pays européens rappellent que tous les acteurs du livre cherchent à trouver des nouveaux modèles qui permettent
de maintenir et diffuser la diversité culturelle dans le domaine du livre tout en défendant le droit d’auteur (11). Le contrat d’édition numérique français fait figure de premier acte au sein du débat qui se joue désormais sur la scène européenne. L’incertitude existe encore sur l’approche qui l’emportera au sein des instances communautaires. Soit celles ci entérinent la préoccupation française de préserver la défense du droit d’auteur et la France pourra apparaître comme précurseur voire comme un modèle, soit un modèle plus consumériste est retenu et les fondements juridiques de l’ordonnance française en seront d’autant affaiblis.

La technologie plus rapide que le droit
Reste que l’on peut surtout s’interroger sur la différence des temps : entre le temps court de l’émergence et de la diffusion des nouvelles applications digitales et le temps long des adaptations législatives, on constate une nouvelle fois l’incapacité du modèle démocratique habituel à ajuster les principes de droit au rythme des évolutions technologiques.
D’années de négociations et de discussions juridiques, il ne ressort pour l’instant qu’une adaptation à la marge du CPI (12), et qui ne devrait guère bouleverser les libraires indépendants dont la survie, pourtant essentielle aux éditeurs comme aux auteurs, reste la principale menacée de l’essor du livre numérique. @