Blockchain et RGPD : relations complexes, surtout lorsqu’il s’agit du traitement des données

La protection des données personnelles et la blockchain sont souvent vues comme incompatibles. Pourtant, les réflexions en cours permettent de nuancer, même si les droits des personnes (comme le droit à l’oubli) ou la question de la responsabilité (dans un monde décentralisé) restent à définir.

Par Arnaud Touati, avocat associé, Hashtag Avocats, et Benjamin Allouch, consultant*.

Le 25 mai 2018, le règlement général sur la protection des données (RGPD) est entré en application (1). Ce règlement européen, présenté comme le texte juridique le plus abouti en matière de protection des données à caractère personnel, s’applique dès que l’on utilise des données personnelles à des fins professionnelles. Il s’impose à tous, des autoentreprises aux institutions publiques, en passant par les sociétés commerciales. Le RGPD est également applicable dans le monde entier, si tant est que l’entité concernée utilise des données appartenant à des résidents de l’Union européenne (UE).

Blockchain et RGPD en chiens de faïence ?
Le 3 janvier 2009, le premier bloc de bitcoins est créé, selon son créateur anonyme Satoshi Nakamoto et auteur de l’article fondateur publié deux mois plus tôt (2), pour répondre aux dérives de la crise financière de 2008. Bitcoin, c’est notamment une transparence absolue des transactions, conservées ad vitam aeternam, dans « un système peer-to-peerde monnaie électronique ». Dès lors, comment conjuguer deux principes de prime abord antagonistes ? Comment protéger les données personnelles au sein d’une technologie où tout est transparent ? Comment garantir certains droits des personnes quand les données ne peuvent pas être effacées ? D’aucuns ont alors conclu à une incompatibilité entre la blockchain et le RGPD. Pourtant, s’il existe certainement des difficultés, la blockchain comme le RGPD peuvent s’adapter pour coopérer. Petit tour d’horizon des conflits relevés et des adaptations trouvées. Avant l’entrée en vigueur du RGPD, la législation sur la protection des données souffrait d’un manque de clarté quant à la répartition des rôles de chaque acteur. En outre, la responsabilité de certains d’entre eux était pour le moins incertaine. Aujourd’hui, le rôle de chacun et leurs responsabilités corrélatives sont clairement définis.
Il y a tout d’abord le responsable du traitement, soit l’entité qui « détermine les finalités et les moyens du traitement ». En d’autres termes, les données sont collectées pour l’activité du responsable du traitement. Ce sont par exemple les données des salariés d’une entreprise dans le cadre de sa gestion des ressources humaines. Il y a ensuite le soustraitant, lequel agit « au nom et pour le compte du responsable du traitement ». Autrement dit, il assiste son client dans la collecte des données ou à y accéder une fois collectées. C’est typiquement le cas d’un éditeur de logiciel, qui permet à son client de les consulter.
Et la blockchain dans tout ça ? Pour une bonne application du RGPD, il convient – même dans cette industrie décentralisée – de déterminer le rôle de chacun. Pour une entité centralisée, le procédé est plutôt aisé. Ainsi, une plateforme d’échange d’actifs numériques sera assimilée à un responsable du traitement pour les données de ses clients, voire de ses salariés si l’entreprise est basée sur le territoire de l’UE. Il en va de même, par exemple, pour les données de prospection commerciale. Mais qu’en est-il des applications décentralisées ? Déterminer son rôle est difficile. C’est le cas lorsqu’un protocole de finance décentralisée est lancé par un groupe de développeurs qui a, ensuite, le contrôle uniquement pour y effectuer de la maintenance. Peut-on considérer que, par exemple, Uniswap Labs – l’entité derrière le protocole Uniswap – est responsable du traitement des données ? Ou est-elle davantage sous-traitante des blockchains, comme Ethereum, qui tournent sur son protocole ? Derrière la question de la détermination du rôle de chacun, se cache invariablement celle, épineuse, de la responsabilité encourue.
La responsabilité d’une plateforme centralisée ne se pose pas, puisqu’il s’agit d’une entreprise avec des organes de direction précisément identifiés. En revanche, pour ce qui concerne les applications décentralisées et les acteurs qui construisent un protocole, la question est bien plus complexe. Prenons l’exemple d’un assureur qui aurait « blockchainisé » l’un de ses produits. L’octroi d’une indemnisation dépend non pas d’un humain, mais d’un algorithme, en l’occurrence un smart contract dans le langage « blockchain » (3). Qui serait alors considéré comme le sous-traitant ? Les développeurs ou l’éventuelle entité de la blockchain utilisée ?

Responsabilité dans un monde blockchainisé
Le RGPD exige du sous-traitant qu’il agisse en fonction des instructions écrites de son client. Or, si l’assureur utilise un protocole existant, ce dernier n’agira pas en fonction des instructions de son « client », puisqu’il est théoriquement le même pour tous. En outre, en cas de manquement au RGPD, comment rendre responsables les développeurs d’un protocole ? Ces questions restent, pour l’heure, sans réponse… En théorie, la blockchain est publique, transparente et accessible à tous. Cela signifie que n’importe qui peut avoir accès aux données. En pratique, cette transparence ne sera pas pour autant absolue. Il en va notamment des données médicales, dont l’accès sera protégé. Ainsi, si la donnée est visible dans la blockchain, elle n’est pas pour autant aisément accessible et fait l’objet d’un chiffrement, dont seule la personne concernée possède la clé de déchiffrement. Cependant, quid des données brutes et accessibles à tous ?

Quid des droits des personnes ?
En théorie, toujours, la blockchain est immuable. Ainsi, les données ne peuvent ni être modifiées ni même effacées. Or, l’article 17 du RGPD instaure un droit à l’effacement (4), que l’on appelle plus communément « droit à l’oubli » (5). Comment concilier ce droit à l’effacement avec l’immutabilité de la blockchain ? A priori, cela paraît impossible. Pourtant, la réalité diffère… D’une part, l’immutabilité de la blockchain (pas de retour en arrière possible) est issue du protocole Bitcoin et n’est pas un principe gravé dans le marbre. Grâce à un smart contract (non applicable à Bitcoin mais à d’autres protocoles), il est tout à fait possible de prévoir l’effacement de certaines données à une date précise. En outre, le droit à l’oubli luimême n’est pas absolu, puisque le RGPD prévoit des exceptions, notamment celle du droit à l’information. Enfin, la blockchain n’est pas nécessairement transparente. En effet, il existe des blockchains privées ou de consortium, qui ne sont accessibles qu’à un certain nombre d’individus précisément identifiés. Dans cette hypothèse, il s’agit simplement d’une base de données améliorée, qui répond aux mêmes exigences que les bases de données classiques. Si les dispositions du RGPD sont bien respectées, les données sont sécurisées et seules les personnes autorisées y ont accès.
Les personnes dont les données sont collectées peuvent exercer plusieurs droits distincts. Outre le droit à l’oubli, le droit d’accès, le droit d’opposition, le droit de rectification, le droit à la suppression ou encore le droit à la portabilité font partie de ce que l’on appelle les droits des personnes. Or, si le principe d’immutabilité de la blockchain n’est pas absolu, cela ne signifie pas que l’on peut y modifier aisément les données inscrites. Ainsi, le droit à la rectification des données inscrites dans la blockchain semble plus que complexe. En effet, chaque donnée d’une blockchain est conservée dans des blocs qui s’enchaînent chronologiquement, d’où son nom (chaîne de blocs). Ce faisant, pour modifier une donnée, il faudrait, en principe, en modifier l’ensemble du bloc, ce qui constituerait un travail d’envergure.
De même, le droit à la portabilité semble, à l’heure actuelle, impossible. La portabilité est la possibilité pour toute personne de solliciter le responsable du traitement aux fins de transférer l’ensemble de ses données à un autre responsable du traitement. Qu’est-ce que cela signifierait réellement dans la blockchain ? L’on pourrait imaginer le passage d’une plateforme centralisée à une autre. En l’espèce, cela serait possible, puisqu’il s’agit de données clients. En revanche, la portabilité entre différents protocoles décentralisés et différentes blockchains semble presque impossible. L’un des problèmes principaux des blockchains est effectivement l’interopérabilité entre elles. Or, faire passer des données entre, par exemple, le réseau Bitcoin et le réseau Ethereum est tellement complexe que personne ne s’essaierait à le faire. Toutefois, il existe des protocoles appelés « bridge », qui sont justement prévus pour permettre cette interopérabilité. Mais de là à faire passer un jeu de données d’un protocole à l’autre, c’est une autre histoire…
Au-delà même du droit des personnes, subsiste la question de la nature des données concernées. Pour la blockchain Bitcoin, la seule donnée personnelle présente est l’adresse publique… qui est une donnée pseudonymisée. Il en va de même pour la majorité des autres protocoles, qui, s’ils diffèrent de Bitcoin, reprennent ce principe de collecter un minimum de données personnelles, à l’exception de l’adresse IP pour certains. Ainsi, l’exercice du droit d’opposition est impossible pour de telles données puisque refuser le traitement signifie tout simplement refuser d’utiliser le protocole en question. Encore une fois, nous en revenons toujours au même point : ce sont les plateformes centralisées qui conservent le plus de données personnelles, en raison notamment de la vérification d’identité, ou KYC (Know Your Customer) à effectuer. La question principale est donc celle de la prochaine articulation entre les protocoles décentralisés, le RGPD et le futur règlement européen TFR (Transfer of Funds Regulation). Ce dernier, bientôt en première lecture au Parlement européen (6), va effectivement obliger les plateformes d’échange à effectuer une vérification d’identité pour tout transfert vers les portefeuilles non hébergés.

Nécessaire souplesse dans l’interprétation
Or, à l’exception de l’adresse IP pour certains protocoles bien identifiés, aucune donnée personnelle n’est collectée à ce jour lors de la création de ces portefeuilles, comme ceux de l’entreprise française Ledger. Si tel est le cas à l’avenir, la collecte et la conservation des données devraient a priori respecter les dispositions du RGPD.
En définitive, il est envisageable de respecter les principes du RGPD, tout en utilisant la blockchain (7). Les marges d’appréciation sont importantes et le règlement dispose de nombreuses exceptions. Cela nécessite de la souplesse. Depuis le rapport de 2019 du Parlement européen (8), les réflexions dans ce domaine se poursuivent. Il ne faudrait cependant pas qu’une règlementation trop stricte retarde l’Europe par rapport aux Etats-Unis et à la Chine, comme cela l’a été pour le développement d’Internet dans les années 1990… Affaire à suivre ! @

* Benjamin Allouch est consultant indépendant Web3
et protection des données.

Entre marques et noms de domaine, le risque de conflit existe mais il peut être évité en amont

Le dépôt de marques et l’enregistrement de noms de domaines peuvent tourner à l’affrontement judiciaire ou extra-judiciaire depuis que l’Internet existe, notamment en cas de contrefaçon, de cybersquattage ou encore de typosquattage. L’antériorité n’est pas le seul critère à considérer. Etat des lieux.

Par Vanessa Bouchara*, avocate associée, cabinet Bouchara Avocats.

Un nom de domaine – cette adresse textuelle attribuée à une adresse IP – peut constituer une antériorité opposable à une marque puisque le code de la propriété intellectuelle prévoit qu’un nom de domaine, dont la portée n’est pas seulement locale, constitue une antériorité opposable à une marque s’il existe un risque de confusion dans l’esprit du public (1). Pour autant, la marque peut être enregistrée alors même qu’il existe un nom de domaine antérieur et qu’elle ne sera susceptible d’être annulée que si le titulaire du nom de domaine antérieur oppose ses droits.

Internet : premier arrivé, premier servi
Mais les noms de domaine et les marques font-ils bonménage ou se regardent-ils en chiens de faïence ? Rappelons qu’une marque est un signe déposé auprès d’un office de marque qui peut être l’Institut national de la propriété industrielle (Inpi), l’Office de l’Union européenne pour la propriété intellectuelle (Euipo) ou l’Organisation mondiale de la propriété intellectuelle (Ompi). Une marque doit être distinctive, ce qui signifie qu’elle doit permettre de distinguer les produits ou services proposés par une entreprise de ceux de ses concurrents, pour être protégeable. Elle permettra ainsi au consommateur d’identifier les produits ou services de la marque comme provenant justement d’elle. De nombreux signes peuvent être déposés et constituer une marque : une dénomination, des signes figuratifs (logo, dessin), des signes tridimensionnels, des couleurs, des sons, etc.
Quant au nom de domaine, il comprend un terme auquel est ajouté l’extension du nom de domaine qui peut être générique (.com, .org, .net, …) ou territoriale (.fr, .uk, .com, .cn, …). . Le nom de domaine, qui est associé – par un annuaire d’Internet (2) – à une adresse IP, permet aux internautes d’accéder à un site web spécifique. Le nom de domaine aura été enregistré auprès d’un bureau d’enregistrement accrédité (« registrar » en anglais), en fonction des règles applicables et de l’extension du nom de domaine concernée (3). Sous réserve d’être exploité, un nom de domaine peut constituer un signe distinctif, tout comme le sont les dénominations sociales. En tant que tel, il constitue alors un actif immatériel important pour son titulaire et dispose d’une valeur juridique dont il est important de comprendre la portée. Les noms de domaine sont en principe soumis à la règle du « premier arrivé, premier servi », sous réserve que le nom de domaine ne porte pas atteinte à des droits antérieurs de tiers. Il n’existera donc pas plusieurs noms identiques. Certaines extensions de domaine ont des règles d’attribution strictes. Par exemple, le .fr ne pourra être attribué qu’à une entité ou personne résidant dans l’Union européenne et ayant une existence légale en France.
Alors quid des risques entre l’enregistrement d’un nom de domaine et le dépôt d’une marque ? Tout d’abord, un nom de domaine ne doit pas porter atteinte à un droit antérieur de tiers et notamment à une marque antérieure, qu’il s’agisse notamment de « cybersquattage » (appelé aussi cybersquatting, à savoir l’enregistrement d’un signe distinctif comme une dénomination sociale ou une marque par un tiers souhaitant en tirer un profit) ou de « typosquattage » (appelé aussi typosquatting, à savoir l’enregistrement par un tiers d’un nom de domaine similaire à une marque, une enseigne, un nom patronymique ou encore un autre nom de domaine pour créer la confusion). Lorsqu’un nom de domaine porte atteinte à une marque antérieure, il peut être possible pour le titulaire de la marque d’engager des actions spécifiques de type UDRP (4) pour les litiges portant sur l’enregistrement et l’utilisation de noms de domaine de premier niveau (.com, .biz, .info, .mobi, .net, .org…) ou SYRELI (5) pour obtenir le transfert ou la suppression de noms de domaine (uniquement pour .fr). Ces actions extrajudiciaires ne sont toutefois pas disponibles pour toutes les extensions de noms de domaine. Quelles sont donc les règles applicables aux conflits entre ces deux droits, marques et noms de domaine ? Deux hypothèses se présentent en cas de litige selon l’antériorité de l’une ou de l’autre.

En cas de litige, deux hypothèses
• La première hypothèse est celle d’un nom de domaine antérieur à une marque. La jurisprudence a posé la règle selon laquelle un nom de domaine peut constituer un droit antérieur opposable à une marque dès lors qu’il est effectivement exploité et qu’il existe un risque de confusion dans l’esprit du public susceptible d’affecter la fonction essentielle de la marque (6). En tout état de cause, si le nom de domaine est composé de signes descriptifs de son exploitation, il ne pourra pas être opposé à une marque elle-même descriptive, y compris si cette marque est bien postérieure à l’enregistrement et à l’exploitation du nom de domaine antérieur (7). Le code de la propriété intellectuelle (CPI) a par la suite intégré en 2019 le nom de domaine dans la liste des droits antérieurs opposables consacrée au nouvel article L711-3, dans le cadre de l’ordonnance « marques de produit et de services » (8).
Les exigences posées par la jurisprudence et l’article L711-3 du CPI pour qu’un nom de domaine constitue un droit opposable à une marque sont ainsi les suivantes : le nom de domaine doit être effectivement exploité ; le nom de domaine doit être exploité pour des produits ou services identiques ou similaires à ceux pour lesquels la marque a été déposée ; la portée du nom de domaine ne doit pas être seulement locale.

Action judiciaire ou extra-judiciaire
Ce n’est que lorsque ces trois conditions seront remplies que le titulaire d’un nom de domaine pourra alors opposer ses droits à une marque postérieure, qu’elle soit enregistrée ou en cours d’enregistrement.
En tout état de cause, il est vivement recommandé de procéder à une recherche d’antériorité préalablement à l’enregistrement d’une marque afin de s’assurer de la disponibilité du signe concerné, et notamment de l’absence de noms de domaine à risque.
• La seconde hypothèse est celle d’une marque antérieure à un nom de domaine. Les règles applicables aux conflits entre une marque antérieure et un nom de domaine connaissent de légères différences en fonction du type d’actions engagé. En effet, plusieurs types d’actions sont envisageables. Il y a notamment l’action judiciaire en contrefaçon devant les tribunaux. Il est établi depuis de nombreuses années que la reproduction illicite d’une marque protégée utilisée à titre de nom de domaine constitue une contrefaçon de marque (9).
Toutefois, en vertu du principe de spécialité, l’atteinte à la marque (en l’occurrence l’acte de contrefaçon) ne sera constituée que si le nom de domaine postérieur est exploité, ou est susceptible d’être exploité, pour une activité identique ou similaire à celle couverte par la marque antérieure ainsi que sur le territoire concerné. Si cette condition est remplie, le titulaire de la marque pourra opposer ses droits sur le nom de domaine postérieur dans le cadre d’une action en contrefaçon devant les tribunaux. Cette action aura pour objectif d’obtenir la cessation de l’atteinte, mais également le transfert du nom de domaine au titulaire de la marque, ou encore la condamnation de la société titulaire et/ou exploitant le nom de domaine à des dommages et intérêts. Il y a aussi le mode alternatif de règlement des litiges relatifs aux noms de domaine. Selon l’extension des noms de domaine, il pourrait être possible d’engager une action extrajudiciaire simplifiée, le plus souvent une action UDRP ou SYRELI, afin d’obtenir le transfert ou l’annulation d’un nom de domaine enregistré portant atteinte à une marque antérieure. Ces actions simplifiées sont plus rapides et moins coûteuses qu’une action judiciaire. Le recours à de telles actions n’empêche pas les parties de saisir les tribunaux si besoin, notamment en appel de ces décisions si elles ne sont pas satisfaisantes. Pour avoir gain de cause dans le cadre de telles procédures, il est généralement nécessaire : de justifier de ses droits antérieurs ; de démontrer l’identité ou quasi identité entre la marque et le nom de domaine ; de convaincre que le titulaire du nom de domaine n’a pas de droits ou d’intérêts légitimes à enregistrer et à exploiter le nom de domaine ; de prouver que le nom de domaine a été enregistré et est exploité de mauvaise foi par son titulaire. Un titulaire de nom de domaine pourra démontrer qu’il dispose de droits ou d’intérêts légitimes sur un nom de domaine, notamment s’il exploite le nom de domaine en relation avec une offre bona fide de biens ou de services (10) ou pour un usage non commercial sans intention de détourner les internautes ou de ternir la marque antérieure en cause (11).
L’enregistrement et l’exploitation de mauvaise foi d’un nom de domaine pourront par ailleurs être constitués lorsque son titulaire tente intentionnellement d’attirer, pour un gain financier, les internautes vers son propre site Internet ou le site d’un tiers, en créant un risque de confusion avec la marque antérieure en cause (12). En tout état de cause, il est recommandé d’enregistrer également un nom de domaine à titre de marque afin de renforcer la protection associée et les moyens d’actions à disposition du titulaire du nom de domaine en cas d’atteinte à ses droits par des tiers, mais également de réaliser une recherche d’antériorité préalablement à l’enregistrement du nom de domaine afin de s’assurer de la disponibilité du signe concerné.

Avant tout, prudence et précaution
En conclusion, les conflits entre marques et noms de domaine sont nombreux, dans un sens comme dans l’autre. La prudence est de mise avant de déposer un nom de domaine et de créer un site Internet : il est indispensable de s’assurer que ce nom de domaine, pour l’activité projetée, n’est pas susceptible de porter atteinte aux droits de tiers, plus particulièrement à des droits de marque. De la même manière, le dépôt d’une marque doit être précédé d’une recherche d’antériorités qui permettra d’établir si la marque est disponible et peut être librement déposée et exploitée. En s’entourant de précautions avant le lancement de son activité, on évite ainsi de la mettre en péril si des droits antérieurs lui étaient opposés ultérieurement. @

* Vanessa Bouchara, avocate et spécialiste en droit
de la propriété intellectuelle, a fondé le
cabinet Bouchara Avocats (www.cabinetbouchara.com).

Readium LCP : la solution de gestion de droits digitaux de l’EDRLab veut libérer le livre numérique

Le déverrouillage des ebooks est en marche, grâce au DRM (Digital Rights Management) conçu par l’EDRLab (European Digital Reading Lab). Cet outil appelé Readium LCP (Licensed Content Protection) se veut une alternative aux verrous propriétaires d’Amazon, d’Apple, d’Adobe ou de Kobo.

La plupart des maisons d’édition, des libraires, des bibliothèques et des plateformes de distribution de ebooks l’ont adoptée : la solution de gestion de droits numériques développée et promue par l’association européenne EDRLab, basée à Paris, est en train de se généraliser au monde du livre après un an de test. Baptisé Readium LCP, cet outil DRM se veut une alternative ouverte aux verrous propriétaires des Amazon, Apple, Adobe et autres Kobo (Rakuten). La France a été le premier pays à l’adopter, suivie de l’Allemagne, de la Grande-Bretagne et d’autres pays européens, voire partout dans le monde (1).

Copie privée, circulation et inclusion
Les acteurs français du prêt numérique en bibliothèque l’utilisent déjà tels que Numilog, Eden Livres, Immatériel, Vivlio, La Médi@thèque et BiblioAccess, ainsi que les plateformes de ventes de livres numériques comme ePagine. A l’instar du groupe Editis (Vivendi) ou d’Hachette Livre (Lagardère), des éditeurs y ont de plus en plus recours. Objectif : libérer le marché du livre numérique, en permettant enfin aux lecteurs de partager les fichiers de leurs ebooks dans le respect du droit d’auteur. Ainsi, les utilisateurs peuvent user de leur droit à la copie privée (exception au droit d’auteur) puisque le partage est limité à une trentaine de personnes ou de terminaux au sein de leur cercle familial voire amical. « Readium LCP est une solution de gestion des droits basée sur les mots de passe, avec laquelle les titulaires de droits peuvent protéger efficacement et à faible coût leur contenu ePub, PDF et livres audio contre le partage excessif. Il s’agit d’une solution simple mais fiable pour la distribution de contenu protégé, basée sur des algorithmes de cryptage solides et des techniques classiques de PKI [gestionnaire de clés publiques, ou Public Key Infrastructure, ndlr]. La solution est en même temps minimalement intrusive pour les utilisateurs finaux, qui n’ont pas besoin de créer un compte tiers et peuvent même partager leurs ebooks avec leur famille ou des amis proches », explique l’EDRLab cofondé durant l’été 2015 par Hachette Livre, Editis, Madrigall/ Gallimard-Flammarion et Media Participations, avec le Syndicat national de l’édition (SNE), le Cercle de la Librairie (CL) et le Centre national du livre (CNL), ainsi que le ministère de la Culture (2). L’EDRLab contribue en outre aux évolutions du format ePub 3 pour les ebooks, en attendant de l’IDPF (3) un éventuel ePub 4 multimédia (texte, audio, vidéo, …). En « libéralisant » le marché du livre numérique, les professionnels de la filière font d’une pierre deux coups : la norme internationale Readium LCP les met d’ores et déjà en conformité avec la directive européenne sur l’accessibilité de l’édition numérique, ou « Accessibility Act » (4), qui entrera en vigueur à partir du 28 juin 2025. Celle-ci inclut les personnes handicapées dans l’accès aux produits et services – dont les ebooks et les liseuses. Readium LCP est aussi conçu en mode privacy-by-design pour la protection de la vie privée et des données personnelles.
L’industrie du livre européenne fait ainsi le pari de la circulation facilitée des œuvres de l’écrit, comme l’a fait en son temps l’industrie de la musique. Fini les obstacles techniques au partage de ebooks. Fini l’impossibilité d’accéder à un fichier numérique de livre après la fermeture d’une librairie en ligne. Il s’agit de déverrouiller, enfin (5). « Avec Readium LCP, l’utilisateur peut constituer sans contraintes sa bibliothèque numérique. Car ce DRM dispense désormais le lecteur de la création d’un compte auprès d’un service tiers et de son identification préalable à la lecture de son livre numérique. Reposant sur un système de phrase secrète (pass-phrase), cette solution lui permet d’accéder facilement à ses livres numériques sur différents supports de lecture », explique la plateforme ePagine, librairie numérique lancée en 2008 par la société Tite-Live sous le nom d’Aligastore. Cette plateforme de marché de librairies opère aussi pour Place des Libraires, Bookeen, Gibert ou encore Gallimard.

ePagine et Numilog aux avant-postes
Cofondateur d’ePagine, François Boujard (photo de gauche) vient d’annoncer cet été que « la totalité du catalogue de l’édition française est désormais compatible avec Readium LCP, ePagine appliquant la protection d’EDRLab sur l’ensemble des fichiers hébergés ». Autre diffuseur numérique et libraire en ligne, Numilog a indiqué début juillet avoir adopté lui aussi le DRM sur ses plateformes Numilog.com et Girlybook.com – après l’avoir rendu disponible dès 2021 sur Biblioaccess.com (prêt numérique pour bibliothèques). « Cela pourrait avoir à terme un impact positif important sur le marché des livres numériques », espère Denis Zwirn (photo de droite), président fondateur de Numilog. @

Charles de Laubier

Un NFT est un OJNI dissociant l’unicité d’un bien, lequel suppose une licence d’utilisation

Toute transaction de NFT confère un droit qui n’est pas un droit de propriété, contrairement à ce que laissent supposer les plateformes de commercialisation, mais seulement l’octroi d’une licence d’utilisation restreinte, temporaire, donnée par le créateur du NFT à un souscripteur. Explications.

Par Fabrice Lorvo*, avocat associé, FTPA.

La révolution numérique nous a propulsé dans l’univers de la dématérialisation. Sa première vague, par l’intermédiaire des plateformes, nous a initiés à la dissociation entre la propriété et son usage. Amazon est le plus grand magasin au monde sans posséder de magasins – même si à la marge sa stratégie brick-and-mortar point (1). De même, Airbnb semble être le plus grand hôtelier planétaire sans posséder un seul hôtel et Uber est sans doute la plus grande entreprise de transport sans posséder une seule voiture.

Non-fongible, unique et original
Avec le NFT (Non-Fungible Token, ou jeton non-fongible), nous découvrons la dissociation d’un bien avec son support. Un NFT est un actif numérique unique associé à un support électronique parfois extrêmement banal (un fichier au format jpeg, mp3 ou mp4, etc.). Un NFT peut représenter n’importe quoi. Il peut être une image, un son, une vidéo ou encore un écrit. Il peut être créé par n’importe qui, donc par chacun d’entre nous. L’unicité comme la traçabilité de cet actif unique sont certifiées par un dépôt dans la blockchain, à savoir une chaîne de blocs cryptée de bout-en-bout qui permet d’assurer la traçabilité et l’authenticité des transactions de façon décentralisée. Un tout récent rapport formule une définition : « Concrètement, l’acquisition d’un jeton non-fongible (“JNF” en français, “NFT” en anglais) correspond à l’acquisition d’un jeton inscrit sur la blockchain et associé à un “smart contract” (contrat intelligent, en français), qui renvoie à un fichier numérique (image, son, vidéo, …) » (2).
Ce nouvel outil numérique prometteur – mais aux allures d’OJNI (objet juridique non identifié) – n’est pas facilement appréhendable par le grand public du fait de sa totale dématérialisation, et cette difficulté est renforcée par la confusion entre l’objet (le NFT), le lieu d’échange (la plateforme de commercialisation) et les conditions de l’échange (l’environnement numérique). Bien que difficilement conceptualisable, le NFT connaît une très forte notoriété, probablement du fait du fantasme implicite d’une plus-value immédiate et importante. Quel est le concept ? Dans le domaine de l’art, par exemple, un NFT est une œuvre originale (c’est notre postulat mais gare aux contrefaçons), qui est soit directement créée de manière numérique, soit représentant numériquement une œuvre qui existe déjà sur un autre support matériel (comme une toile). Ce NFT peut représenter l’œuvre intégralement ou par morceau, comme une pièce de puzzle (ou «mass »). Cette « chose » (le jeton) est dite « non-fongible » car elle ne peut pas être échangée contre quelque chose de valeur égale. A l’inverse, une pièce de 1 euro est un bien fongible car elle peut être échangée avec une autre pièce de 1 euro qui aura la même valeur. Etant unique, le NFT est doublement non-fongible : un NFT n’a pas la même valeur qu’un autre NFT – le NFT « Merge » détient pour le moment le record avec une vente estimée autour de 91,8 millions de dollars (3). De plus, il peut exister plusieurs représentations d’un même NFT sur un même support (fichier au format jpeg par exemple) mais seul celle qui a été désignée comme unique par son auteur et authentifiée comme telle sur une blockchain a de la valeur. Si l’on fait abstraction de la plateforme et des conditions de commercialisation, au moins dans le domaine de l’art, le NFT n’est donc qu’une représentation virtuelle d’une œuvre dissociée de son support. Dans le monde matériel, l’unicité c’est à la fois le fait qu’il n’existe pas le même type d’œuvre sur le même type de support (approche objective) et qu’une seule personne puisse la détenir (approche subjective). En pratique, les deux se confondent. Lorsqu’on achète « une toile », on possède à la fois le support de la peinture et l’image de la peinture.
Dans le monde numérique, du fait de la dématérialisation, c’est l’image du NFT (c’est-à-dire sa représentation virtuelle) qui fait l‘objet de la transaction. Son support (c’est-à-dire le fichier numérique qui permet la représentation virtuelle) reste dans la blockchain.

Dissociation image-support : problèmes
Cette dissociation de l’image et de son support pose cependant des problèmes pratiques.
• Le premier problème est qu’il est difficile de commercialiser une image virtuelle. Le caractère dématérialisé de l’image est difficilement appréhendable par le juriste dès lors qu’en matière de chose, nos lois régissent essentiellement la possession et donc la détention matérielle : « En fait de meubles, la possession vaut titre » (4). Comment peut-on posséder une chose qui n’est qu’une image virtuelle ? La loi va devoir s’adapter à ce nouvel outil et elle commence à le faire. Jusqu’à récemment, la loi limitait la vente volontaire de meubles aux enchères publiques aux seuls biens mobiliers corporels (5), ce qui excluait en France notamment la vente aux enchères des NFT. Or, de telles ventes étaient possibles hors de France. Rappelons que Christie’s à New York avait vendu en mars 2021 le NFT « Everydays: the First 5.000 Days » pour plus de 69,3 millions de dollars (6). Depuis mars 2022, l’interdiction a été levée en France. L’article L320-1 du code du commerce a été modifié par la loi « Moderniser la régulation du marché de l’art » du 28 février 2022 (7). La preuve du dépôt dans la blockchain • Le second problème est de savoir comment accorder de la valeur à une image virtuelle et, ce faisant, comment s’approprier une image virtuelle. Pour être commercialisé, un NFT doit être exposé, et donc être visible de tous. A priori sa valeur ne résulte pas de son exposition. Même s’il est une représentation virtuelle, le NFT, pour être commercialisé, ne peut s’affranchir de tout support. Cette dissociation n’est donc pas totale dès lors que l’image virtuelle est en fait associée à un support unique. L’unicité du support – et donc sa valeur – résultera du fait qu’il sera désigné comme tel par l’auteur du NFT. Et ce, par un dépôt dans la blockchain. Même s’il peut exister plusieurs représentations d’un NFT sur un même type de support, seul sera unique le support du NFT qui aura été désigné comme tel par le créateur dudit NFT. Par exemple, un NFT peut être représenté sur un support extrêmement banal (une vidéo au format mp4 par exemple), copiable par milliers et, en même temps, être unique, parce que son créateur l’aura rendu unique en le déposant dans la blockchain. Cette unicité ne pourra pas être, en droit, remise en cause par l’acquéreur du NFT. En effet, en déposant dans la blockchain une autre copie en mp4 du NFT vidéo unique (notre exemple), ledit acquéreur n’en ferait qu’une contrefaçon
Tout le monde peut voir un NFT s’il est mis en ligne sur une plateforme dédiée, mais une seule personne peut se prétendre détentrice de la preuve du dépôt d’un support unique dans la blockchain. Le NFT permet donc de dissocier l’unicité de la détention du support de celle de la propriété matérielle. Il permet donc d’ajouter une nouvelle modalité à l‘unicité en déclarant le NFT comme tel par son dépôt dans la blockchain. Outre la difficulté du concept, le NFT s’échange en utilisant d’autres outils nouveaux. La commercialisation des NFT suppose d’utiliser un environnement numérique, lui-même source de complexité. En effet, qui veut comprendre le fonctionnement des NFT doit aussi s’initier à la création et l’usage du portefeuille électronique, ou wallet, qui permet en effet de stocker et gérer ses crypto-actifs de la même manière qu’un compte en banque. Mais aussi il doit savoir recourir aux smart contracts (8). L’utilisateur doit aussi de familiariser avec l’utilisation de la cryptomonnaie (monnaie numérique émise de pair-à-pair sur un réseau décentralisé et sans nécessiter de banque centrale), le tout déposé dans la blockchain (là encore sans intermédiaire centralisé).
Enfin, l’échange de NFT suppose le recours à des places de marché. Le NFT est actuellement commercialisé par le biais de plateformes dédiées (OpenSea, Binance, Sorare, …), lesquelles ont imposé leurs pratiques de commercialisation. La difficulté est que l’acheteur du NFT ne sait pas toujours ce qu’il achète, ni comment il l’achète. Les plateformes sont assez « pudiques » sur le sujet, n’offrant qu’un espace de commercialisation (9) et renvoyant aux deux parties le soin de définir la nature et les conditions de « l’échange ». C’est une place de marché qui, assez étrangement, ne fixe pas les conditions juridiques du marché.
Du fait de la nature même du NFT (une représentation virtuelle), toute transaction confère un droit qui n’est pas un droit de propriété contrairement à ce que laisse supposer le vocabulaire utilisé par les plateformes (« acheteur », « vendeur », etc.). Toute commercialisation n’est, en réalité, que l’octroi d’une licence d’utilisation restreinte temporaire donnée par le créateur du NFT à un souscripteur. Cette licence se transmet sur le marché primaire (cession initiale) ou sur le marché secondaire (cessions ultérieures).
S’agissant du marché primaire, la commercialisation suppose la réunion de trois conditions :
Le NFT doit être créé par un artiste ; il s’agit essentiellement d’une œuvre de l’esprit unique qui ne doit pas porter atteinte aux droits des tiers. Le support électronique utilisé pour reproduire ou représenter ce NFT peut être commun (comme un jpeg) ; Le NFT doit être déposé dans la blockchain, et faire l’objet d’un certificat de dépôt pour singulariser et authentifier le NFT. Le support de la représentation devient ainsi unique ; L’artiste doit transférer le NFT au client primaire contre une rémunération dans le cadre d’une licence d’utilisation du NFT, cette licence définissant les conditions dans lesquelles le titulaire peut utiliser le NFT.
S’agissant du marché secondaire, la commercialisation suppose la réunion de deux conditions :
Le client primaire cède son NFT à un client secondaire qui paye le prix net au client primaire et la rémunération directement de l’artiste (généralement 10 %) et le cas échéant, la rémunération technique à la plateforme ; L’artiste confère au client secondaire une nouvelle licence d’utilisation (celle du client primaire devenant caduque du fait de la nouvelle « cession »).

Lenteur d’un consentement éclairé
Par la conclusion d’un contrat de licence à chaque « cession », chacun saurait la réalité de ce qu’il achète et les transactions n’auraient pas à se faire obligatoirement en cryptomonnaie – ce qui supprimerait les risques consécutifs à ce type de moyens de paiement. Cependant, un tel processus est beaucoup plus lourd que les facilités offertes par les plateformes. Il faut donc choisir entre la lenteur d’un consentement éclairé ou la rapidité dans l’ignorance de la nature des droits acquis. @

Live streaming et covid-19 en France : les enjeux juridiques du direct sans frontières sur Internet

La retransmission en direct sur Internet d’événements culturels, qu’ils soient spectacles vivants, concerts ou encore festivals, a explosé à l’ère des confinements. Si le live streaming ne date cependant pas d’hier, son avenir pourrait être mieux encadré par une réglementation et une jurisprudence.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

La crise sanitaire a bouleversé l’industrie audiovisuelle et établi de nouvelles façons d’accéder aux biens culturels, lesquelles sont susceptibles de perdurer, dont le live streaming. Son exploitation financière se heurte à une complexité juridique qui en fait encore un outil promotionnel avant tout, sans pourtant empêcher les innovations de se multiplier.

OVNI juridique et usages multiples
Piètre millésime que l’année 2020 : interdiction en France des rassemblements de plus de mille, cent, puis six personnes pour lutter contre la propagation du covid-19. Les mesures sanitaires qui s’imposent alors (respectivement les 8 mars, 15 mars et 14 octobre 2020 (1)) empêcheront la tenue de spectacles vivants, privant les acteurs concernés de la quasi-totalité des revenus tirés des spectacles en « présentiel ». Au pied du mur, le monde du spectacle vivant, déjà fragilisé, s’inquiète. C’était toutefois sans compter sur l’existence d’un pis-aller au développement fulgurant. Le concert est mort… vive le live streaming. Ne nous y trompons pas, le « live streaming », ou « diffusion en direct », préexistait à la crise sanitaire mondiale actuelle (2).
« L’exploitation secondaire du spectacle vivant qui connaît la plus forte croissance sur Internet reste la diffusion de concerts en direct – financée par les marques, le sponsoring et la publicité, ou grâce au paiement à l’acte », constate dès 2015 l’ancien think tank Proscenium qui avait été créé par le Prodiss, syndicat national des producteurs, diffuseurs, festivals et salles de spectacle musical et de variété (3). Les festivals de musique font d’ailleurs figures de précurseurs en la matière : à l’international, dès 2012, l’américain Coachella optait pour le spectacle vivant hybride, réunissant 80.000 festivaliers face à la scène et 4.000.000 d’autres face à leur écran, venus assister à la retransmission diffusée en temps réel sur la plateforme de partage de vidéos en ligne YouTube. La diffusion en live sur YouTube est rendue disponible dès 2011. Néanmoins, si l’ère du covid n’a pas fait naître le live stream, elle en a été le tremplin (4) et commence à constituer une alternative crédible aux directs des chaînes de télévision traditionnelles (5). La réalité du live streaming est telle qu’à ce jour sa définition n’a d’ancrage dans aucune source textuelle ou jurisprudentielle, ni ne fait consensus auprès notamment des acteurs de la filière musicale (6). En matière musicale justement, suppléant l’absence de définition unique, le Centre national de la musique (CNM) propose celle de « mode de diffusion sur des canaux numériques d’une captation de spectacle, selon des modalités souvent très différentes, en direct ou en différé, gratuite ou payante, sur des sites Internet dédiés, sur les sites d’institutions ou de médias et sur les réseaux sociaux » (7).
Cette définition reflète une réalité pratique protéiforme, où d’importants paramètres sont susceptibles de varier : modes de production (artiste seul/producteur), d’accès (gratuit/ possibilité de don/payant), jauge de public, zone de diffusion, durée de la diffusion (éphémère/avec replay pour une durée déterminée), moment de la diffusion (en temps réel/en différé mais avec accès simultané des spectateurs à un moment préalablement défini, à la manière d’un rendezvous), mode d’interaction entre le public et l’artiste (simple spectateur/chat, don, merchandising…). A ce sujet, le CNM a publié en février 2021 un « état des lieux exploratoire du live streammusical » (8).
Cependant, en l’absence de droit spécial spécifique consacré au live streaming, les mécanismes de droit commun du droit de la propriété intellectuelle s’appliquent. Du point de vue du droit d’auteur, la diffusion d’un live stream constitue selon le Code de la propriété intellectuelle (CPI) : un acte de représentation (9) et un acte de reproduction (10). Les droits d’auteurs et droits voisins octroyant un droit exclusif à leurs titulaires au titre duquel ceux-ci peuvent autoriser ou interdire tout acte d’exploitation s’appliquent, ainsi que les droits d’exclusivité contractuels.

Un potentiel millefeuille de droits
Qu’il s’agisse de l’artiste lui-même ou de son producteur phonographique, audiovisuel, ou de spectacle, avec lequel il aura conclu, le responsable du live stream – qui prévoit de communiquer un objet protégé – doit s’assurer d’avoir préalablement obtenu l’autorisation de tous les ayants droits. Or ce procédé est avant tout une captation, fixation sonore ou audiovisuelle d’une prestation conçue pour être retransmise en ligne en direct, à un public présent ou non au lieu de sa réalisation. Elle est un potentiel millefeuille de droits, correspondant à ceux – d’autant de contributeurs ou leurs ayants droits – qui devront en autoriser l’utilisation et qu’il faudra rémunérer pour chaque mode d’exploitation, sauf à constituer un acte de contrefaçon : droits des auteurs du spectacle et de la captation (compositeur, adaptateur…) (11), des artistes-interprètes (comédien, musicien…) (12) y compris leur droit à l’image (13), des producteurs de phonogrammes ou vidéogrammes (14), du producteur de spectacle vivant, des exploitants du lieu où le spectacle est capté pour l’exploitation de l’image du lieu, …

Rémunération spécifique des artistes
Parallèlement, l’artiste-interprète engagé par un producteur pour l’enregistrement d’une captation de spectacle pourra l’être au titre d’un contrat de travail à durée déterminée (15) ; un contrat spécifique au titre des droits voisins devra être conclu par écrit (16). Les organismes de gestion collective, comme la Société des auteurs, compositeurs et éditeurs de musique (Sacem), ont accompagné les titulaires de droits dans la mutation de l’industrie musicale en gratifiant les artistes qui ont privilégié le live streaming d’une « rémunération spécifique exceptionnelle de droits d’auteur adaptée à la diffusion des live stream » pour pallier l’absence de concerts ou de festivals (17). Les droits d’auteurs sont calculés selon des conditions précises, dont la durée de la performance live et le nombre de vues.
Le live stream ne se limite pas au domaine musical, loin s’en faut : l’e-sport occuperait la première place du podium avec 54 % des contenus proposés (18). Ces industries rappellent que parmi les modes possibles de création de valeur appliqués au live streaming (paiement à l’acte/billetterie, abonnement, don, publicité, placements de produits…), les revenus issus des licences, sponsoring et communications commerciales audiovisuelles sont essentiels, dans le respect des exigences de transparence applicables aux publicités en ligne (19). Les parrainages, sponsorships, y auraient générés 641 millions de dollars de revenus en 2021, loin devant les autres sources de revenus. Quid de la régulation des contenus et de la responsabilité des plateformes ? Le groupe des régulateurs européens des services de médias audiovisuels, appelé ERGA, a récemment rendu un avis favorable concernant le Digital Services Act (DSA). Encore à l’état de projet législatif, ce dernier vise à instaurer un tronc commun de règles relatives aux obligations et à la responsabilité des intermédiaires au sein du marché unique (services intermédiaires, services d’hébergement, plateformes en ligne et très grandes plateformes en ligne).
L’ERGA préconise de le renforcer en incluant dans son champ tous les acteurs qui appliquent une politique de modération, y compris les services de live streaming (20). En effet, l’ERGA constate que leurs fonctionnalités et leurs modalités permettent aux services de live streaming d’entrer dans la définition des plateformes de partage de vidéos donnée par la directive européenne sur les service de médias audiovisuels (SMA) (21), mais pas dans la définition des plateformes en ligne, ni des services d’hébergement donnée par le DSA s’ils n’impliquent pas de capacités de stockage, ce qui les exclut du régime d’obligations correspondant (22). De ce fait, il est nécessaire que le champ d’application matériel de la SMA et du DSA soient accordés.

Le live streaming survivra au covid
Quinze mois après l’interdiction de la tenue des concerts et festivals, la mesure est levée au 30 juin 2021. Mais si le coronavirus n’est que temporaire, il y a à parier que le live streaming lui survivra. Sur le plan créatif, il permet de créer un lien avec le public via une utilisation innovante des nouvelles technologies ; en termes d’influence, il permet une retransmission transfrontière et d’atteindre un public plus large. Il en a été ainsi, pour ne citer que deux exemples, du concert en réalité virtuelle agrémenté d’effets visuels donné par Billie Eillish en octobre 2020, à partir d’un studio à Los Angeles et une production à Montréal, ou de celui de Jean- Michel Jarre à la cathédrale Notre-Dame de Paris en janvier 2021. Le covid est mort… vive le live streaming ? @

* Anne-Marie Pecoraro est avocate spécialisée en droit de
la propriété intellectuelle, des marques, des nouvelles
technologies et de l’exploitation des données personnelles.

ZOOM

Le cadre réglementaire du live stream : vide juridique ?
Du point de vue juridique, d’après une fiche pratique* publiée en février 2021 par le Centre national de la musique (CNM), le live stream suppose à la fois :
un acte de représentation : la diffusion numérique en direct/instantanée de la représentation à partir de la mémoire vive de l’ordinateur de l’internaute, ce qui constitue une exécution publique ;
un acte de reproduction : le stockage de la captation sur le serveur d’hébergement du média (intermédiaire) proposant sa diffusion à l’internaute (consommateur final). La mise à disposition d’une performance/ de la représentation d’un spectacle en live stream nécessite donc d’avoir acquis au préalable auprès de l’ensemble des contributeurs et ayants droit concernés l’autorisation expresse de :
numériser la représentation afin qu’elle puisse être stockée sur le site source de la plateforme de diffusion en ligne ;
et communiquer en instantanée aux internautes connectés la représentation du spectacle ainsi numérisée. @

* Auteur de la fiche du CNM :
l’avocat Pierre Emaille :
https://lc.cx/CNM-captation