Le tabou de la propriété des données personnelles, éléments de la personnalité et objets de commerce

Parler de la « propriété » des données personnelles est un quasi-blasphème
pour certains. Autant dans l’entreprise, ces dernières font partie du fonds de commerce, autant pour les individus, elles ne sont pas considérées comme tel. Les contrats suffisent-ils ou faut-il créer un droit spécifique ?

Par Winston Maxwell, avocat associé, et Maxime Cordier, stagiaire*, Hogan Lovells

Les entreprises traitent régulièrement les données comme un élément de patrimoine. L’exemple le plus connu est la liste des clients, élément du fonds de commerce (1). Cette liste peut être vendue dans le cadre d’une cession de fonds de commerce,
et si une entreprise concurrente
se l’approprie sans autorisation, le propriétaire du fonds de commerce peut demander réparation en justice. La liste de clients peut figurer au bilan comme une immobilisation incorporelle. Dans les fusions et acquisitions, la valeur des données peut représenter une partie importante du prix de cession. Alors, pourquoi donc autant de difficulté à parler de la « propriété » de données ?

Propriété pour un marché plus efficace ?
La propriété des données pose question sous l’angle de la personne qui les génère,
et sous l’angle de l’entreprise qui les collecte. En ce qui concerne l’individu, le Conseil d’Etat rejette l’idée qu’une personne puisse être propriétaire de ses données à caractère personnel (2). Celles-ci sont conçues comme un élément de la personnalité, et par là, incessibles. La reconnaissance d’un tel droit limiterait pour les pouvoirs publics la possibilité de protéger les individus. Le Conseil d’Etat propose la reconnaissance d’un droit à l’« autodétermination informationnelle », sur le modèle allemand. D’autres encore appellent à une gestion collective des données personnelles, pensées comme un « bien commun » (3). Certains soutiennent que l’individu devrait disposer d’un droit de propriété afin de créer un marché et corriger le déséquilibre entre les individus et certaines grandes plateformes Internet. L’avocat Alain Bensoussan propose de passer d’une logique du don à une logique de l’échange, nécessitant la reconnaissance par les pouvoirs publics d’un droit de propriété sur les données personnelles (4). Utiliser les données comme une monnaie d’échange est reconnu dans le projet de directive européenne de 2015 concernant certains aspects des contrats de fourniture de contenu numérique : « Dans l’économie numérique, les acteurs du marché ont souvent et de plus en plus tendance à considérer les informations concernant les particuliers comme ayant une valeur comparable à celle de l’argent. Il est fréquent que du contenu numérique soit fourni, non pas en échange d’un paiement, mais moyennant une contrepartie non pécuniaire, c’est-à-dire en accordant l’accès à des données à caractère personnel ou autres » (5). Les données à caractère personnel seraient à la fois un objet de commerce et un élément de la personnalité, protégé en tant que droit fondamental.
Les droits de propriété intellectuelle classiques ne reconnaissent pas les données brutes comme un objet de protection. La protection sui generis bénéficient aux bases
de données non « créatives » si elles ont fait l’objet d’un « investissement substantiel du point de vue qualitatif ou quantitatif » (6). Néanmoins, les données en elles-mêmes ne sont pas protégées. Beaucoup de bases de données issues d’objets connectés pourraient ne pas bénéficier la protection sui generis de la directive, soit qu’elles ne sont pas créatives, soient qu’elles ne pourraient bénéficier de la protection sui generis. Certains auteurs soutiennent que la création d’objets connectés avec des capteurs n’entrerait pas dans le calcul de « l’investissement substantiel » nécessaire pour la protection sui generis des bases de données (7). En tout état de cause, cette protection sui generis ne permet pas une protection entière de la base de données, puisque des extractions et réutilisations de parties non substantielles du contenu de la base de données peuvent être réalisées tant qu’elles ne causent pas de préjudice injustifié aux intérêts légitimes du fabricant de la base.

La protection du secret des affaires
La directive européenne de 2016 sur le secret des affaires (8) permet de protéger le détenteur de données personnelles contre l’acquisition, l’usage et la divulgation illicite de certains secrets. Cependant, son champ d’application se limite aux informations
qui « ne sont pas généralement connues des personnes appartenant aux milieux qui s’occupent normalement du genre d’informations en question, ou ne leur sont pas aisément accessibles ». Pour certains auteurs (9), il n’est pas assuré que les données produites par les capteurs des objets connectés puissent être protégées. Les données ne seraient d’ailleurs protégées que contre certaines actions illégales. Les prérogatives issues de la protection par le « secret des affaires » ne peuvent être qualifiées de droit de propriété, mais ce droit consacre néanmoins une certaine protection, à l’instar de la protection accordée à une liste de clients d’une entreprise (10).

Créer un droit de propriété spécifique ?
Cependant, faut-il nécessairement un droit de propriété spécifique ? Certains ne le pensent pas, car le marché des données fonctionne très bien uniquement sur la base de contrats (11). Ils citent le cas des droits sportifs. Dans de nombreux pays, les événements sportifs ne bénéficient pas d’un droit de propriété intellectuelle. Et pourtant les droits de rediffusion se négocient à prix d’or ! La raison est liée à la possibilité technique de contrôler l’accès au stade. L’organisateur de l’événement sportif peut autoriser un seul diffuseur à accéder au stade pour filmer l’événement, créant ainsi une rareté qui se monnaie. Selon le centre de recherche de la Commission européenne, le Joint Research Centre (JRC), les données seraient comme un match de foot : pas de droit de propriété intellectuelle spécifique, mais une maîtrise technique de l’accès aux données qui permet une négociation efficace par voie contractuelle. « Je donne accès
à mes données à Alice, mais pas à Bob ». Si le marché s’organise efficacement autour de contrats – comme c’est le cas pour les événements sportifs – aucun besoin de créer un droit de propriété spécifique. Le règlement général sur la protection des données,
dit RGPD et applicable à partir du 25 mai 2018, reconnaît une série de droits pour l’individu, et impose une série d’obligations au responsable du traitement pour garantir le respect des droits de l’individu (lire encadré ci-dessous). Le RGPD n’utilise jamais
le terme « propriété » pour caractériser les droits de l’individu ou des droits du responsable du traitement. Et pourtant, selon le JRC, le RGPD reconnaît implicitement un droit de propriété pour le responsable de traitement (12). Il s’agit d’un droit de propriété implicite pour l’ensemble des droits résiduels liés aux données. @

Maxime Cordier est étudiant
« Data Protection Officer » (DPO), à l’université Paris II
Panthéon-Assas, et stagiaire au département
« droit et contrats des données » de Hogan Lovells.

ZOOM

D’après le RGPD, le propriétaire des données est le responsable du traitement
Le règlement général sur la protection des données (RGPD), applicable à partir du
25 mai 2018, répartit les droits sur les données personnelles entre deux acteurs : le responsable de traitement et la personne concernée. La personne concernée dispose du « pouvoir d’initiative » dans la création et la mise à disposition de droits sur ses données personnelles (13). Parmi ces droits, les plus significatifs sont le droit d’obtenir une information préalable, le droit d’accès ou le droit de rectification. Le responsable
de traitement est lui le « gardien des données » et dispose de tous les « droits » qui ne sont pas affectés à la personne concernée, ou qui ne sont pas limités par d’autres droits de la personne concernée. En reconnaissant que le responsable du traitement détient le droit de déterminer la finalité et les moyens de traitement, le RGPD confère un degré de sécurité juridique à son statut de « propriétaire » des données.
Propriétaire des droits résiduels , le responsable du traitement reste néanmoins fortement limité dans son exploitation des données. Les contraintes sont d’origine réglementaire : le RGPD, la directive « ePrivacy », le secret bancaire, le secret
médical, … D’autres textes réglementaires limiteront sa marge de manœuvre. Mais
les contraintes peuvent également être d’origine contractuelle, notamment en cas de partage de données entre plusieurs responsables du traitement, chacun lié par un contrat définissant précisément son rôle. Dans un consortium lié à l’Internet des objets, il pourra exister plusieurs responsables du traitement, chacun responsable pour l’exploitation des données en vue de la réalisation d’une finalité spécifique : recherche, amélioration du produit, sécurité, publicité…

Les quatre couches de la propriété des données
La « propriété » des données pour un responsable du traitement peut s’analyser en quatre couches : la première concerne le contrôle technique de l’accès aux données
(il s’agit de l’équivalent des clés du stade, si l’on prend l’exemple des droits sportifs) ;
la seconde a trait à l’existence ou non de droits de propriété intellectuelle pour les données en question (droit sui generis sur les bases de données, secret des affaires) ; la troisième couche porte sur les contraintes réglementaires qui pèsent sur
l ‘ exploitation des données par le responsable du traitement, dont la liberté en tant
que « propriétaire » des données sera réduite (les droits de l’individu au titre du RGPD seront parmi les plus grandes contraintes , mais d’autres pourraient exister, par exemple en droit de la concurrence, ou en application d’un texte spécifique tel que la directive « Services de paiement en matière bancaire », par exemple) ; la quatrième couche concerne les contraintes liées aux contrats auxquels le responsable du traitement est partie (dans le contexte de l’Internet des objets ces contrats seront nombreux, et délimiteront l’étendue des droits de chaque entreprise membre du consortium, identifiant pour chacun la finalité que l’entreprise pourra poursuivre,
et les mesures de protection que celle-ci mettra en place).
L’empilement de ces quatre couches permet de comprendre la « propriété » des données dans un projet spécifique, comme la création d’une ville intelligente, par exemple. Lorsque de nombreuses entreprises interviennent dans le projet, le contrôle physique des données (première couche) sera particulièrement controversé. Dans certains cas le contrôle physique pourra être confié à une entreprise commune qui gérera l’accès pour le compte de l’ensemble des membres du consortium. Dans ce cas, la gouvernance de l’entreprise commune sera déterminante. @

Uber : un service électronique d’intermédiation de transport, mais pas de la société de l’information

Le 20 décembre 2017, la Cour de justice de l’Union européenne (CJUE) a rendu un arrêt (1) important qui tranche une incertitude au niveau de la qualification juridique des services proposés par la nouvelle économie numérique. Uber est concerné au premier chef, mais il n’est pas le seul.

Fabrice Lorvo*, avocat associé, FTPA.

Rappelons ce truisme selon lequel la révolution numérique a profondément modifié le monde économique. Mais aussi le monde juridique. A quelle catégorie juridique existante rattacher ces nouveaux « services » ? On rappellera que la qualification juridique est le pain quotidien des juristes ; elle consiste à rattacher un acte ou un fait à une catégorie et lui appliquer la règle de droit afférant. Ce processus se décompose en deux phases : d’abord choisir les éléments caractéristiques du fait ou de l’acte, puis le rattacher à une catégorie existante et lui appliquer la règle de droit.

Service mixte d’Uber : de quel droit ?
Pour reprendre la belle métaphore de la commode (2) : il faut d’abord choisir l’étoffe que l’on souhaite ranger, pour déterminer, ensuite, le tiroir dans lequel elle sera rangée. Or, le numérique a dématérialisé l’étoffe ou lui a rajouté une étape, de sorte que l’on est confronté à des difficultés pour choisir le tiroir ! C’est Uber et son modèle économique qui, une fois de plus, posaient des interrogations. Après celles du droit de la concurrence, de la protection des consommateurs et du droit de travail, il s’est posé la question de savoir si le fonctionnement d’Uber relevait du droit de l’Union européenne (UE) ou des Etats membres. Les faits sont simples et la question s’est posée dans de nombreux pays européens.
En 2014, une association professionnelle de chauffeurs de taxi de la ville de Barcelone (Espagne) a assigné devant un tribunal espagnol Uber Systems Spain SL, société liée à Uber Technologies Inc., en prétendant que cette dernière fournit une activité de transport sans autorisation. On rappellera que le numéro un mondial des services de voitures de tourisme avec chauffeur (VTC) fournit, au moyen d’une application pour téléphone intelligent, un service rémunéré de mise en relation de chauffeurs non professionnels utilisant leur propre véhicule avec des personnes souhaitant effectuer des déplacements urbains. Le service proposé par Uber est mixte. Une partie est réalisée par voie électronique (la réservation, l’approche, le paiement), et l’autre est réalisée physiquement par une opération traditionnelle de transport (le trajet proprement dit). Dans tous les cas, ni Uber ni ses chauffeurs non professionnels des véhicules concernés ne disposent des licences et des agréments prévus par le droit espagnol. L’association professionnelle a considéré que les activités d’Uber constituaient des pratiques trompeuses et des actes de concurrence déloyale et a demandé au tribunal de commerce espagnol d’interdire à Uber d’exercer cette activité
à l’avenir. Le juge espagnol a considéré que la solution du litige dépendait du point de savoir si Uber devait, ou non, disposer d’une autorisation administrative préalable en Espagne.
A cette fin, il convenait de déterminer si les services fournis par cette société doivent être regardés comme étant des services de transport (compétence des Etats membres), ou des services propres à la société de l’information (droit de l’UE), ou une combinaison de ces deux types de services. Le juge espagnol a décidé de surseoir à statuer et de poser à la Cour de justice de l’Union européenne (CJUE) une question préjudicielle portant uniquement sur la qualification juridique du service en cause. La CJUE a relevé qu’un « service électronique d’intermédiation » – consistant à mettre en relation un chauffeur non professionnel utilisant son propre véhicule et une personne qui souhaite effectuer un déplacement urbain – constitue, en principe, un service distinct du service de transport qui consiste en l’acte physique de déplacement de personnes ou de biens d’un endroit à un autre au moyen d’un véhicule. De plus, chacun de ces services, pris isolément, est susceptible d’être rattaché à différentes directives ou dispositions du traité sur le fonctionnement de l’UE (TFUE) relatives à la libre prestation de services.

Intermédiation avec le monde physique
En effet, un service électronique d’intermédiation – qui permet la transmission au moyen d’une application pour téléphone intelligent des informations relatives à la réservation du service de transport entre le passager et le chauffeur non professionnel utilisant son propre véhicule qui effectuera le transport – répond, en principe, aux critères pour être qualifié de « service de la société de l’information » (3). Et ce, dès lors qu’il s’agit d’un « service presté normalement contre rémunération, à distance par voie électronique et à la demande individuelle d’un destinataire de services ». Dans ce cas, aucune autorisation ne doit être demandée à l’Etat membre. En revanche, un service de transport urbain non collectif, tel qu’un service de taxi (service physique), doit être qualifié de « service dans le domaine des transports » et relève de la compétence de l’Etat membre.

Uber a créé son propre marché
Dans ces conditions, faut-il faire une application distributive ou appliquer un seul régime si une prestation était considérée comme l’accessoire de l’autre. Dans ce dernier cas, quel serait le service qui prévaudrait, le service électronique ou le service physique ? D’après la CJUE, la prestation d’Uber ne se résume pas à un service électronique.
En effet, le fournisseur de ce service d’intermédiation crée en même temps « une offre de services de transport urbain, qu’il rend accessible notamment par des outils informatiques, tels que l’application en cause au principal, et dont il organise le fonctionnement général en faveur des personnes désireuses de recourir à cette offre aux fins d’un déplacement urbain ».
La CJUE considère que l’application d’Uber crée son propre marché car elle fournit
« une application sans laquelle, d’une part, ces chauffeurs ne seraient pas amenés à fournir des services de transport et, d’autre part, les personnes désireuses d’effectuer un déplacement urbain n’auraient pas recours aux services desdits chauffeurs ». C’est bien là la différence des services d’Uber avec d’autres services d’intermédiation qui vendent par exemple des billets d’avion ou des nuitées d’hôtel. Dans ce dernier cas, le marché est autonome. Sans ces applications, vous pourrez toujours acheter les mêmes prestations directement auprès de la compagnie d’aviation ou de l’hôtel. À l’inverse, sans application d’Uber, les services des chauffeurs non professionnels (c’est-à-dire sans licence) ne pourraient pas être sollicités ou seraient qualifiés de taxis clandestins. La plateforme d’Uber constitue donc le seul moyen de commercialiser leurs services.
La CJUE a été plus loin car elle a constaté d’autres particularités dans la prestation d’Uber qui ont permis de caractériser un lien indissociable entre le service électronique et le service de transport. En effet, Uber exerce « une influence décisive sur les conditions de la prestation de tels chauffeurs » car Uber établit, au moyen de son application, « à tout le moins le prix maximum de la course, que cette société collecte ce prix auprès du client avant d’en reverser une partie au chauffeur non professionnel du véhicule, et qu’elle exerce un certain contrôle sur la qualité des véhicules et de leurs chauffeurs ainsi que sur le comportement de ces derniers, pouvant entraîner, le cas échéant, leur exclusion ». La CJUE relève donc que l’application d’Uber est indissociablement liée à un service de transport. Il ne s’agit pas d’un simple service électronique, qui mettrait en relation une offre et une demande. La prestation est globale, Uber contrôlant ou ne pouvant que contrôler la plupart des maillons de la chaîne.
Comme l’a relevé l’avocat général (4), « Uber est un véritable organisateur et opérateur de services de transport urbain dans les villes dans lesquelles il est présent ». En conséquence, la CJUE juge que le service d’intermédiation d’Uber doit donc être considéré comme faisant partie intégrante d’un service global dont l’élément principal est un service de transport et, partant, comme répondant à la qualification non pas
de « service de la société de l’information », mais de « service dans le domaine des transports », or ce dernier service est exclu du principe de la liberté de prestation de services et relève de la compétence exclusive des Etats membres. La décision préjudicielle rendue par la CJUE devrait donc conduire les juridictions espagnoles à considérer qu’Uber et ses chauffeurs non professionnels exercent leurs activités en violation du droit espagnol qui soumet cette activité à une autorisation. Il est donc probable qu’Uber sera condamné pour pratiques trompeuses et actes de concurrence déloyale (5). Le dossier à l’origine de l’arrêt remonte à 2014. C’est maintenant à la justice espagnole de trancher en fonction de la décision préjudicielle de la CJUE. Cette affaire judiciaire est suivie de près par la France, mais aussi par la Grande-Bretagne, ainsi que par l’ensemble des pays européens confrontés au modèle économique d’Uber.
S’agit-il d’un coup de grâce juridique donné par un vieux monde qui refuserait les bouleversements de la société numérique ? Nous ne le pensons pas. L’analyse faite par l’avocat général est très riche d’enseignement.

Liberté de prestation de services
Pour pouvoir être qualifié de « service de la société de l’information », et bénéficier
de la liberté de prestation de services, il faut : que la prestation soit exclusivement composée d’un élément fourni par voie électronique ; que, dans le cas de services mixtes (composés d’un élément fourni par voie électronique et d’un autre qui n’est pas fourni par cette voie), l’élément fourni par voie électronique soit économiquement indépendant, ou principal, par rapport au second. L’utilisation du numérique dans une prestation ne doit pas être une caution pour dispenser les nouveaux acteurs des contraintes que pèsent sur ceux qui exercent la même activité sans le numérique. @

* Auteur du livre « Numérique : de la révolution au naufrage ? »,
paru en 2016 chez Fauves Editions.

La Commission européenne plaide pour le respect du droit international dans l’affaire «Microsoft Irlande»

Dans l’affaire du stockage des données en Irlande qui oppose Microsoft au gouvernement américain, la Commission européenne a déposé un mémoire devant la Cour suprême des Etats-Unis dans lequel elle plaide pour une application des principes de « territorialité » et de « courtoisie internationale ». Explications.

Par Winston Maxwell, avocat associé, Hogan Lovells

Le contentieux qui oppose depuis 2014 la société Microsoft et
le gouvernement américain à propos des e-mails stockés en Irlande est maintenant devant la Cour suprême des Etats-Unis. Ce litige concerne la portée éventuellement extraterritoriale des réquisitions judiciaires américaines dans le cadre d’enquêtes pénales. La police américaine avait demandé à Microsoft de livrer une copie de certains e-mails échangés par une personne soupçonnée d’activités criminelles.

Règles de bon voisinage entre Etats
Les e-mails étant stockés en Irlande et sous le contrôle de la société Microsoft Irlande, la firme de Redmond (Etat de Washington) s’était opposée à la réquisition, en indiquant qu’il fallait passer par les procédures de coopération internationale en matière d’enquêtes pénales. La Cour d’appel de Manhattan avait donné raison en 2016 à Microsoft, en indiquant que la loi fédérale sur les réquisitions était silencieuse sur l’éventuelle portée extraterritoriale des réquisitions et qu’une telle portée ne pouvait
pas être déduite de manière implicite. Le gouvernement américain avait porté l’affaire devant la Cour suprême des Etats-Unis. C’est là qu’intervient la Commission européenne, qui, en décembre 2017, a déposé un mémoire (amicus brief) pour éclairer la Cour suprême sur certains aspects de droit international (1). La Commission européenne plaide pour une application du principe de la territorialité et du principe de courtoisie internationale. Ces principes revêtent une importance croissante dans toutes les affaires concernant la régulation des activités numériques, ces activités étant par nature transnationales.
Le droit international part du principe que chaque Etat doit respecter la souveraineté des autres Etats. Ce respect se manifeste par le respect des eaux territoriales et des frontières physiques entre Etats. La violation d’une frontière d’un autre Etat est une violation du droit international. Ce respect se manifeste également par une prise en considération des lois en vigueur dans les autres pays. Ces principes de « bon voisinage » entre Etats se traduisent par les deux concepts de droit international évoqués par la Commission européenne, à savoir : le principe de « territorialité » et
le principe de « courtoisie internationale ». Le principe de territorialité signifie que les lois d’un Etat s’appliquent à l’intérieur du territoire de l’Etat en question et non sur le territoire d’un pays tiers. Il existe des exceptions à ce principe, mais celles-ci sont extrêmement limitées (il s’agit de cas d’occupation militaire, par exemple, d’un territoire étranger). La courtoisie internationale signifie que lorsqu’une loi produit des effets dans un autre Etat, le premier Etat doit prendre en considération les lois de cet autre Etat afin de minimiser les conflits avec les lois de cet autre Etat.
Appliqués dans l’affaire Microsoft, ces principes impliqueraient, en premier lieu, que
la police américaine ne peut pas effectuer une perquisition sur le territoire de l’Irlande, puisque le pouvoir de la police et l’étendue territoriale de la loi américaine s’arrêtent
aux frontières des Etats-Unis. En second lieu, la courtoisie internationale commanderait que lorsqu’un juge américain ordonne à Microsoft d’extraire des données et de les communiquer à la police aux Etats-Unis, le juge doit se demander si cette action serait en violation des lois irlandaises applicables. Si c’est le cas, le juge doit chercher une voie qui éviterait un tel conflit. La Commission européenne indique qu’il existe des mécanismes d’entraide internationale en matière d’enquête policière et que le règlement général sur la protection des données à caractère personnel (RGPD) de 2016 (2) ne s’oppose pas à des réquisitions de ce type, à condition d’utiliser la convention internationale. La Commission européenne cite le considérant 110 du RGPD, qui prévoit que l’application extraterritoriale de réquisitions judiciaires peut constituer une violation du droit international et qu’une entreprise établie en Europe
doit donc appliquer les lois locales.

Territorialité et activités de renseignement
Le groupe « Article 29 » (G29), qui réunit les « Cnil » européennes, préconise également un respect strict des règles de droit international afin de ne pas créer des conflits avec des lois d’autres pays (3). Les pays signataires de la Convention du Conseil de l’Europe sur la cybercriminalité (4) tentent justement de trouver un terrain d’entente afin de faciliter l’échange de données au niveau international sans violer les principes de territorialité et de courtoisie internationale (voir encadré ci-dessous). L’affaire Microsoft concerne en outre les enquêtes pénales. Le droit international est également mis à l’épreuve par les activités de renseignement. Jusqu’à 2015, il n’existait pas en France de cadre légal pour la conduite des activités de renseignement à l’étranger.

Contenus illicites et fake news
La loi française sur les activités de renseignement de 2015 (5) a créé un cadre pour ces activités. Après censure du Conseil constitutionnel, la loi a été modifiée afin de donner plus de garanties aux individus ciblés par ces activités de surveillance extraterritoriales. Cependant, le niveau des garanties accordées par la loi française aux individus résidant à l’étranger est plus faible que les garanties accordées aux résidents et citoyens français. Deux poids, deux mesures : un résidant espagnol bénéficie de moins de garanties qu’un résidant français en matière de surveillance. Cette différence de traitement surprend, car ni la Charte européenne des droits fondamentaux (adoptée le 7 décembre 2000) ni la Convention européenne des droits de l’homme (signé le 4 novembre 1950) ne prévoient une quelconque différence de protection en fonction de la résidence ou de la nationalité de la personne.Les règles de droit international jouent un rôle important dans la lutte contre des contenus illicites sur Internet. Chaque pays a sa propre définition de contenus illicites, fixée en fonction du contexte culturel et historique du pays. Dans certains pays, des contenus blasphématoires sont interdits. Dans d’autres, il s’agit des contenus qualifiés de propagande homosexuelle. Les conflits entre lois nationales sont fréquents, comme en témoigne l’affaire Yahoo en 2000 concernant la vente d’objets nazis (6). La mise aux enchères d’objets nazis n’est pas interdite aux Etats- Unis et serait même protégée par la liberté d’expression. En revanche, ces mêmes contenus sont considérés en France comme outrepassant la liberté d’expression. Les plateformes Internet étant globales, il serait tentant pour un juge national d’ordonner le retrait pur et simple du contenu afin qu’il ne soit plus visible où que ce soit dans le monde. Cependant, une telle approche serait en contradiction avec les principes de droit international mis en avant par la Commission européenne dans l’affaire Microsoft. Cela ouvrirait la voie à une surenchère internationale où chaque pays essayerait d’appliquer ses propres normes en matière de contenus au monde entier, en contradiction totale avec les des règles de courtoisie internationale et de territorialité. Depuis l’affaire Yahoo, les juges nationaux font justement preuve de prudence lorsqu’ils ordonnent le blocage de contenus sur Internet, en limitant les effets de leurs décisions au territoire national. Le Tribunal de grande instance de Paris a reconnu que Yahoo, par un système de géo-blocage, pouvait tout simplement bloquer l’accès au contenu pour les utilisateurs situés en France, ce qui est une manière d’appliquer la loi française à l’intérieur du territoire national sans créer de conflit avec la loi américaine. Même si le pouvoir du juge s’arrête aux frontières nationales, les actions d’autorégulation, notamment par les plateformes, peuvent avoir une dimension transnationale. La Commission européenne, à l’origine de la création d’un groupe de haut niveau sur les fake news (High Level group on Fake News) qui tient sa réunion inaugurale en janvier 2018 (7), privilégie l’angle de l’autorégulation (self-regulation) et du partage des bonnes pratiques (shared good practices) pour le phénomène du fake news (8). Le Conseil d’Etat préconise, quant à lui, l’adoption d’une convention internationale relative aux libertés fondamentales et aux principes de gouvernance d’Internet, ainsi que la mise
en place de dispositifs fondés sur l’autorégulation des opérateurs, à travers la mise
en conformité (compliance) et leur responsabilisation (accountability) (9).

Atténuer les contraintes par l’autorégulation
Le respect du droit international impose des contraintes, et notamment l’utilisation de procédures de coopération internationale. Certaines de ces contraintes peuvent être atténuées grâce à des mécanismes efficaces d’autorégulation en matière de contenus illicites sur Internet. @

ZOOM

Convention de Budapest : vers une coopération internationale renforcée
La Convention de Budapest sur la Cybercriminalité a été ouverte à la signature
en 2001. Elle a été complétée en 2013 par un « Protocole additionnel relatif à l’incrimination d’actes de nature raciste et xénophobe commis par le biais de systèmes informatiques » (https://lc.cx/gWWx). « Alors que prospèrent la cybercriminalité et les autres infractions entraînant des preuves électroniques sur des systèmes informatiques, et que ces preuves sont de plus en plus stockées sur des serveurs hébergés dans des juridictions étrangères, multiples, fluctuantes ou inconnues, autrement dit dans le cloud, les pouvoirs des services répressifs sont limités par les frontières territoriales », a souligné le Conseil de l’Europe le 2 novembre 2017 en vue de renforcer la coopération internationale sur la cybercriminalité et les preuves électroniques. Les Parties à la Convention de Budapest, à savoir 56 Etats auxquels
14 autres ont été invités à y adhérer, ont organisé de 2012 à 2014 un groupe de travail sur l’accès transfrontière aux données, puis de 2015 à 2017, un groupe sur les preuves dans le cloud. Il s’agit notamment de négocier d’ici à décembre 2019, un deuxième protocole additionnel à la Convention de Budapest sur une coopération internationale renforcée. @

L’Open data risque de se heurter aux droits de propriété intellectuelle des services publics

Le buffet des données publiques est ouvert, mais les administrations réfractaires à l’open data n’ont peut-être pas dit leur dernier mot avec le droit d’auteur. La loi « République numérique » pourrait leur avoir offert une nouvelle arme pour lutter contre la réutilisation de leurs données.

Marie-Hélène Tonnellier (avocat associée) & Corentin Pallot (avocat) – Latournerie Wolfrom Avocats

L’« économie de la donnée » est sur toutes les lèvres, et l’ouverture en grand des vannes des données générées par les services de l’Etat et des collectivités territoriales est présentée par beaucoup comme un sérieux levier de croissance. A voir les données déjà « offertes » au téléchargement par les administrations sur la plateforme publique Data.gouv.fr, l’on comprend aisément tout le potentiel pour les opérateurs économiques : base « Sirene » de l’ Institut national de la statistique et des études économiques (Insee) donnant accès au répertoire de 9 millions d’entreprises et 10 millions d’établissements actifs, mais aussi par ailleurs données de trafic des transporteurs publics, cartes maritimes, liste des fournisseurs des départements, dépenses d’assurance maladie par les caisses primaires et départementales, etc.

Accélération du mouvement open data
Mais l’open data entend dépasser la seule sphère économique et compte s’imposer comme un véritable outil démocratique en permettant à tous, et notamment aux journalistes et aux médias, d’accéder et d’exploiter les masses colossales de données générées par l’administration. Toujours sur la plateforme Data.gouv.fr, développée et animée par la mission Etalab (voir encadré page suivante), les statistiques relatives aux impôts locaux, aux infractions constatées par département ou encore les résultats de tous les établissements scolaires privés et publics français, représentent sans conteste une source exceptionnelle mise à la disposition des journalistes de données (data journalists) pour entrer dans l’intimité du fonctionnement de l’Etat. C’est la loi « pour une République numérique » du 7 octobre 2016 (1), portée par Axelle Lemaire (alors secrétaire d’Etat chargée du Numérique et de l’Innovation), qui a souvent été présentée comme la grande réforme de l’open data. Le chantier avait en réalité été déjà bien entamé dans les mois qui l’avaient précédée. Ainsi le législateur avait-il par exemple décidé d’aller au-delà des impératifs européens en matière de tarification des données, en consacrant purement et simplement le principe de la gratuité avec la loi « Valter » (2). Mais il faut néanmoins reconnaître à Axelle Lemaire une avancée législative notable pour l’open data, qui a d’ailleurs introduit la notion de « service public de la donnée » (3). Parmi ses mesures les plus emblématiques, l’ouverture des données
des services publics industriels et commerciaux apporte un élargissement considérable à la notion d’« information publique ». Alors que la réglementation autorisait jusqu’à cette réforme l’accès à ces données mais en interdisait la libre réutilisation (4), il est à présent possible d’exploiter ces immenses gisements informationnels.
Nous pourrions également citer d’autres nouveautés d’une aide indéniable pour le développement de l’open data, comme l’obligation faite aux administrations de publier en ligne certains documents et informations, tels que les « bases de données, mises à jour de façon régulière, qu’elles produisent ou qu’elles reçoivent et qui ne font pas l’objet d’une diffusion publique par ailleurs » ou encore « les données, mises à jour de façon régulière, dont la publication présente un intérêt économique, social, sanitaire ou environnemental » (5). De même, la contrainte faite aux administrations qui souhaitent soumettre la réutilisation gratuite à des licences de choisir parmi une liste fixée par décret permettra nécessairement une plus grande facilité de réutilisation (6), même
si les administrations conservent néanmoins la possibilité d’élaborer leurs propres licences, à condition néanmoins de les faire homologuer par l’Etat.
Mais qui trop embrasse mal étreint. Et à vouloir border textuellement tous les aspects de l’open data, la loi « République numérique » pourrait avoir offert aux administrations une nouvelle arme pour lutter contre la réutilisation de leurs données, grâce à leurs droits de propriété intellectuelle.

Opposition à la libre-circulation des data
Il existait depuis longtemps un débat sur la faculté pour les administrations d’opposer
à la libre réutilisation de leurs informations publiques leurs droits de propriété intellectuelles sur les documents dans lesquels ces précieuses données figuraient (bases de données, logiciels, etc.). Certes, la Commission d’accès aux documents administratifs ( CADA ) , a u torité administrative chargée de veiller à la liberté d’accès aux documents administratifs, avait eu l’occasion de répondre par la négative à cette question (7).

Propriété intellectuelle et droit d’auteur
Mais la doctrine d’une administration ne suffit pas à faire le droit et la cour administrative d’appel de Bordeaux, en 2015, avait justement jugé le contraire, en considérant que le conseil général du département de la Vienne pouvait opposer son droit sui generis de producteur de bases de données pour s’opposer à la réutilisation des archives publiques de la collectivité (8). Le Code de la propriété intellectuelle permet notamment d’interdire l’« extraction, par transfert permanent ou temporaire de
la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu d’une base de données sur un autre support, par tout moyen et sous toute forme que ce soit [et la] réutilisation, par la mise à la disposition du public de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu de la base, quelle qu’en soit la forme » (9). Saisi de la question, le Conseil d’Etat a rejeté l’argumentaire des magistrats bordelais par un arrêt du 8 février 2017 (10). En interdisant à l’administration d’opposer un quelconque droit de propriété intellectuelle, le Conseil d’Etat apportait ainsi sa pierre à l’édifice de l’open data. Sauf qu’entre-temps le législateur avait à tout prix souhaité légiférer sur le sujet.
Visiblement inquiets, si l’on en croit les discussions parlementaires, de l’arrêt de la
cour administrative de Bordeaux précité, les rédacteurs de la loi ont cru devoir écarter expressément la faculté pour l’administration d’opposer ses droits sui generis de producteur de base de données. Mais l’enfer est pavé de bonnes intentions et, apparemment obnubilés par cet arrêt d’appel, les rédacteurs se sont alors contentés d’interdire aux administrations d’opposer ce droit sui generis sans faire mention des autres droits de la propriété intellectuelle – notamment le droit d’auteur. Les administrations host i les à l’open data ne manqueront probablement pas d’exploiter cette maladresse pour opposer leurs autres droits de propriété intellectuelle. Tout
aussi contraire à l’esprit d’ouverture de la loi , celle-ci cantonne ce t te interdiction d’opposer le droit sui generis de producteur de bases de données à la réutilisation
des seuls contenus de « bases de données que ces administrations ont obligation de publier ». A savoir : les « bases de données, mises à jour de façon régulière, [que les administrations] produisent ou qu’elles reçoivent et qui ne font pas l’objet d’une diffusion publique par ailleurs » (11). Cette disposition ouvre encore ici la voie à une interprétation a contrario des administrations réticentes, puisque seules certaines bases de données doivent impérativement être publiées.
La CADA a eu beau s’émouvoir de ce dangereux excès de précision, la loi a été votée et promulguée en l’état (12). Il existe donc à ce jour une marge d’interprétation et, partant, une source d’inconnu quant à la faculté pour l’administration de s’opposer à la libre réutilisation de données lorsque celles-ci sont contenues dans des documents sur lesquels elle détient des droits de propriété intellectuelle : soit parce qu’elle invoque des droits de propriété intellectuelle autres que ceux du producteur de bases de données, soit parce qu’il s’agit de bases de données dont la publication n’est pas obligatoire.

Des administrations peu enclines à partager
On sait que certaines administrations n’ont pas été particulièrement enchantées par
le mouvement l’ouverture des données publiques, pour diverses raisons : nécessaire surcharge d’activité induite par le travail de mise à disposition, refus de partager leurs précieuses données jalousement conservées depuis des décennies (ou pense notamment aux services publics industriels et commerciaux), manque à gagner puisque certaines administrations monétisaient – parfois fort cher ! – leurs données. Ces administrations ne manqueront certainement pas de s’engouffrer dans la brèche.
La grande razzia sur les données publiques que l’on nous avait annoncée se révèlera peut-être moins facile qu’on nous l’avait promise. @

ZOOM

Google, Microsoft, Orange ou encore Salesforce, partenaires d’Etalab
En France, la politique d’ouverture en ligne des données publiques (Open data) est pilotée par la mission Etalab, placée sous l’autorité du Premier ministre depuis février 2011 et, depuis octobre 2012, rattachée directement au Secrétaire général pour la modernisation de l’action publique. Etalab gère le portail unique interministériel Data.gouv.fr, lequel met « à disposition librement l’ensemble des informations publiques de l’Etat, de ses établissements publics et, si elles le souhaitent, des collectivités territoriales et des personnes de droit public ou de droit privé chargées d’une mission de service public ». Etalab rassemble en outre des acteurs de l’innovation en France au sein d’une communauté appelée Dataconnexions, dans laquelle l’on retrouve Google, Microsoft, Orange ou encore Salesforce parmi les partenaires. C’est dans ce cadre que sont organisés des concours pour encourager l’usage des données publiques et récompenser les projets les plus innovants. Six éditions ont déjà eu lieu. @

Charles de Laubier

Le père fondateur du Web décide de donner un coup de pouce aux DRM sur Internet : controverse

Alors que le 9 juillet fut la journée internationale contre les DRM, le World Wild Web Consortium (W3C) – présidé par Tim Berners-Lee, principal inventeur du Web – a approuvé le 6 juillet la controversée spécification EME (Encrypted Media Extensions) facilitant la mise en ligne de contenus protégés.

« Par rapport aux méthodes précédentes de visualisation de vidéo chiffrée sur le Web [comprenez des vidéos de films, de clips vidéo ou de séries cryptées pour n’être lues que par l’acquéreur, ndlr], EME a l’avantage que toutes les interactions se produisent au sein du navigateur web et il déplace ces interactions des plugins vers le navigateur. De cette façon, EME apporte une meilleure expérience utilisateur, offrant une plus grande interopérabilité, confidentialité, sécurité et accessibilité pour la visualisation de vidéos chiffrées sur le Web », a expliqué Tim Berners Lee (photo) pour justifier l’approbation le 6 juillet (1) de la spécification Encrypted Media Extensions (EME) par le World Wild Web Consortium (W3C) qu’il dirige.

DRM : Digital Restrictions Management
Ce standard est destiné à faciliter l’usage par les ayants droits de DRM, ces systèmes de gestion numériques des droits d’œuvres audiovisuelles. Comme le suggère son nom, EME est une spécification technique qui prolonge le standard HTML5 en fournissant des API (Application Programming Interface) pour mieux contrôler la lecture – à partir d’un navigateur web – de contenus cryptés. Il s’agit donc de faciliter a priori
la vie de l’internaute face aux nombreux contenus protégés ou restreints en utilisation, conformément aux exigences des industries culturelles et de leurs ayants droits. EME fait office de passerelle entre les navigateurs web et les logiciels de DRM (Digital Rights Management), lesquels ne font pas l’unanimité – certains préférant les appeler d’ailleurs des « Digital Restrictions Management ». L’avantage de EME est, selon le W3C, de permettre l’utilisation de vidéos sous HTML5 pour les visualiser avec leur DRM embarqué comme pour des services de streaming vidéo, mais sans avoir besoin de recourir à des plugins tiers tels que Flash d’Adobe ou Silverlight de Microsoft. Cette nouvelle spécification est basée sur le HTML5, lequel permet le développement d’applications sur le Web fixe et mobile, et permet d’avoir du streaming adapté en utilisant des standards tels que Mpeg-Dash (Dynamic Adaptive Streaming over http)
(2) ou Mpeg Common Encryption (Mpeg-Cenc). Dès avril 2013, Netflix fut la première entreprise à offrir des vidéos en mode EME sur des ordinateurs Chromebook de Samsung (fonctionnant sous le système d’exploitation Chrome OS développé par Google). Sans attendre l’adoption du W3C, les navigateurs Chrome (Google), Internet Explorer (Microsoft), Safari (Apple), Firefox (Mozilla Foundation) et Edge (Microsoft) l’ont adopté à partir de 2016. La controverse vient du fait que EME contient des éléments propriétaires, par définition fermés, au coeur de ce qui devrait être au contraire un écosystème entièrement ouvert et basé sur des logiciels libres. Il est reproché à cette extension d’instaurer des barrières au niveau des navigateurs web censés être open source, d’être un frein à l’interopérabilité, de poser des problèmes au regard de la vie privée, ou encore d’exposer l’internaute à des ennuis judiciaires avec les ayants droits.
Aux Etats-Unis, la controverse des derniers mois fait place à la polémique. La Free Software Foundation (FSF), qui mène campagne contre les restrictions des DRM en tout genre via sa campagne militante « Defective by Design », s’en ait pris à la décision de Tim Berners-Lee approuvant EME. « Nous sommes opposés à EME depuis le début [il y a trois ans, ndlr] parce qu’il empiète sur le contrôle des internautes de leurs propres ordinateurs et affaiblit leur sécurité et leur vie privée. Un représentant de l’ONU [Frank La Rue, directeur général adjoint à la communication et à l’information de l’Unesco, ndlr], un groupe de défenseurs des droits de l’homme [Just Net Coalition, dont sont membres pour la France Eurolinc, Open-root, Louis Pouzin, Planète informatique et libertés, ndlr], une pléthore de chercheurs reconnus en sécurité ainsi que des experts en Internet, ont contesté l’approbation de EME », a déclaré la FSF. De plus, la fondation pour le logiciel libre pointe le fait que EME est soutenu par Netflix, Google, Microsoft ou encore Apple, ainsi que par la puissante Motion Picture Association of America (MPAA), tous apportant leur contribution financière au W3C.

Recours contre la décision « EME »
Les opposants à EME avaient jusqu’au 21 juillet pour faire appel – devant le comité consultatif du W3C – de la « décision désastreuse » de Tim Berners-Lee qui fut plus inspiré par le passé pour défendre la neutralité du Net et un Web ouvert (3) (*) (**) (***). Si au moins 5 % des 475 membres signent le recours dans ce délai de deux semaines,
cela déclencherait un nouveau vote pour ratifier ou rejeter EME. Pour la FSF, le W3C n’a pas à aider Hollywood dans l’utilisation de DRM pour verrouiller les contenus. @

Charles de Laubier

Réforme du droit d’auteur en Europe : inquiétudes légitimes du secteur de l’audiovisuel

La Commission européenne avait présenté, le 14 septembre 2016, la version finale du « Paquet Droit d’auteur ». Ce texte, qui vise à réformer le droit d’auteur afin de l’adapter au « marché unique numérique », suscite inquiétudes et critiques de la part des acteurs du secteur de l’audiovisuel.

Par Etienne Drouard et Olivia Roche, avocats, cabinet K&L Gates

Ces propositions de la Commission européenne s’inscrivent dans la lignée de sa « Stratégie pour le marché unique numérique » (1) adoptée en mai 2015 et de sa communication de décembre de la même année intitulée « Vers un cadre moderne et plus européen pour le droit d’auteur » (2). La Commission européenne avait alors affirmé sa volonté d’adapter le cadre européen en matière de droits d’auteur aux nouvelles réalités du numérique, notamment en améliorant l’accès transfrontière aux œuvres et en clarifiant le rôle des services en ligne dans la distribution des œuvres.

Combler des vides juridiques et rééquilibrer
En effet, la régulation actuelle de la propriété littéraire et artistique en Europe repose essentiellement sur la directive européenne sur l’harmonisation de certains aspects
du droit d’auteur et des droits voisins dans la société de l’information de 2001 (directive « DADVSI » (3)), rédigée à l’heure où les technologies numériques émergeaient tout juste. En quinze ans, les évolutions des technologies numériques ont mené à des bouleversements considérables de l’offre et des pratiques culturelles, en particulier dans le secteur de l’audiovisuel, que les législateurs européens de 2001 n’avaient
pas envisagés, ce qui explique les nombreux vides juridiques que la Commission européenne souhaite aujourd’hui combler.
Cette stratégie est structurée autour de trois objectifs qui touchent directement le secteur de l’audiovisuel : améliorer l’accès aux biens et services numériques dans toute l’Union européenne (UE) pour les consommateurs et les entreprises, mettre en place un environnement propice au développement des réseaux et services numériques, et maximiser le potentiel de croissance de l’économie numérique européenne. La réponse que la Commission européenne souhaite apporter aux enjeux du numérique s’articule ainsi autour de la nécessité, d’une part, de réformer le cadre réglementaire actuel pour mieux protéger les industries culturelles face à l’émergence de nouveaux risques et d’acteurs tels que les GAFA et, d’autre part, d’adapter l’offre et la structure du marché culturel aux nouvelles pratiques des consommateurs depuis l’apparition du numérique. A l’appui de cette double logique (réformer/adapter), le « Paquet Droit d’auteur »,
qui comporte quatre volets, développe des obligations nouvelles figurant dans la proposition de directive sur le droit d’auteur dans le marché unique numérique (4) et dans la proposition de règlement établissant des règles sur l’exercice du droit d’auteur et des droits voisins applicables à certaines diffusions en ligne d’organismes de radiodiffusion et retransmissions d’émissions de télévision et de radio (5). S’y ajoutent deux textes (6) qui entérinent les exigences du Traité de Marrakech (7) dont l’UE est signataire depuis 2014 et organisent des aménagements du droit d’auteur en faveur des aveugles, déficients visuels et personnes ayant d’autres difficultés de lecture des textes imprimés. La révolution numérique a abouti à l’émergence de nouveaux canaux de distribution sur le marché de l’audiovisuel via la démultiplication des services en ligne et des plateformes permettant le partage, par les utilisateurs, de contenus protégés.
Ces acteurs de l’Internet ont progressivement bénéficié d’une part grandissante des revenus générés par l’exploitation en ligne des œuvres audiovisuelle, en partie grâce à leur statut privilégié d’hébergeurs (8), confirmé par une jurisprudence établie des juridictions nationales et européennes. Les plateformes telles que YouTube ou Dailymotion, pour ne citer que les plus célèbres, n’avaient en effet jusqu’à ce jour aucune obligation de contrôle « a priori » de la licéité des contenus publiés par les internautes.

Risque de divergences d’interprétation
La Commission européenne propose ainsi d’instaurer, pour certains types de services en lignes, l’obligation de se doter de technologies permettant le filtrage automatisé et systématiques des contenus mis en ligne par les utilisateurs (9). Ce type de technologie s’apparenterait au système ContentID développé et déjà utilisé par YouTube pour lutter contre la contrefaçon, la pédophilie ou l’apologie des actes terroristes, et aurait ainsi vocation à être généralisé. Néanmoins, cette mesure a fait l’objet de vives critiques et de plusieurs amendements déposés par les eurodéputés qui, pour certains vont jusqu’à en demander la suppression. En effet, les observateurs jugent, pour certains, que les termes de la proposition de directive sont trop vagues, dans la mesure où, d’après le considérant 38, cette disposition ne s’appliquerait qu’aux « prestataires de services de la société de l’information qui stockent un grand nombre d’œuvres ou autres objets protégés par le droit d’auteur ». L’absence de précision sur l’appréciation du « grand nombre » pourrait générer des divergences d’interprétation entre les États membres
et réduire considérablement le champ d’application de cette disposition.

Répartition équitable et territorialité des droits
Par ailleurs, plusieurs autres mesures de la proposition de directive sur le droit d’auteur dans le marché unique numérique visent à favoriser une répartition plus équitable des bénéfices issus de la distribution en ligne de contenus protégés par le droit d’auteur.
La Commission européenne propose, notamment, la création d’une obligation pour les plateformes de conclure, dans certaines conditions, des contrats de licence avec les titulaires des droits.
De même, le texte met en place une obligation de transparence quant à l’exploitation des œuvres et des revenus générés, à la charge des prestataires de services en ligne, via la mise en place de mécanismes appropriés et suffisants. Néanmoins, là encore, d’après le considérant 38 de la proposition, ces obligations n’ont vocation à s’appliquer que si le prestataire de services joue un « rôle actif, notamment en optimisant la présentation des œuvres ou autres objets protégés mis en ligne ». Le grand nombre d’amendements, parfois contradictoires, déposés par les eurodéputés sur ces dispositions, illustre la cristallisation des débats autour de ce sujet, ainsi que l’importance de ces enjeux pour les acteurs du secteur de l’audiovisuel.
En outre, la Cour de justice de l’Union européenne (CJUE), dans une décision du
14 juin 2017 (10), vient de confirmer la position de durcissement de la Commission européenne à l’égard des fournisseurs de services en ligne et, en particulier, des plateformes de partage de contenus audiovisuels. Dans cette décision, la CJUE affirme en effet que la mise à disposition et la gestion sur Internet d’une plateforme, intégrant l’indexation des œuvres, un moteur de recherche et des moyens de partage peer-to-peer, constituent « un acte de communication au public » (11). Cette interprétation de
la CJUE, dans la lignée de ses récentes décisions « GS Media » (12) et « Stichting Brein contre Jack Frederik Wullems » (13), devrait ainsi permettre d’engager la responsabilité de ces plateformes sur le terrain de la contrefaçon.

πUne autre mesure proposée par la Commission européenne en vue d’adapter le cadre réglementaire européen du droit d’auteur aux évolutions du marché de l’audiovisuel sous l’influence des technologies numériques, émane de la proposition de règlement
« Télévision et Radio » (14). En effet, le cadre réglementaire actuel reposant sur la directive de 1993 concernant le câble et le satellite (15), prévoit pour la seule radiodiffusion par satellite un droit de communication au public fondé sur le principe
dit « du pays d’origine », à savoir qu’une seule licence, octroyée dans le pays d’origine du programme diffusé par satellite, est suffisante pour une exploitation sur l’ensemble du territoire de l’UE. La proposition de règlement vise à étendre ce régime à la transmission des programmes audiovisuels en ligne. La proposition de la Commission européenne ne concerne que les services directement liés à l’émission originale (par exemple, les services de rattrapage ou les services dits « accessoires »).
Les critiques autour de cette extension du principe du pays d’origine sont particulièrement virulentes dans la mesure où le modèle de financement de la création audiovisuelle repose essentiellement sur la territorialité des droits et l’acquisition des droits par les diffuseurs des différents Etats membres de l’UE. Les détracteurs de
ce texte, dénoncent une évolution du financement des créations audiovisuelles qui pourrait, à terme, fragiliser l’indépendance des acteurs européens du secteur et la diversité de l’offre culturelle européenne, au profit des grandes productions. Il est difficile de ne pas être convaincu par cet argument, tant l’impact sur les schémas actuels semble évident.

Divergence et importance des intérêts en jeu
Au-delà de l’apparente complexité de ces débats autour de la réforme, pourtant souhaitable, du droit d’auteur, notamment dans son application au secteur de l’audiovisuel, se révèlent la divergence et l’importance, culturelle et économique,
des intérêts en jeu tant au niveau européen qu’à un niveau global. Il serait temps
que les spécialistes de l’inflation réglementaire soient substitués à des représentants des Etats membres disposant d’une vision politique et stratégique européenne claire sur l’articulation entre le financement durable de politiques culturelles et le poids de
la concurrence extra-européenne sur la diffusion numérique des contenus. @

Piraterie audiovisuelle : il faut réinventer un arsenal juridique préventif

Si le législateur a su donner au juge des outils pour lutter contre les pirates, ces outils ne sont cependant pas toujours adaptés, notamment lors de diffusions en direct – comme dans le sport – ou pour les nouveautés. A quoi bon condamner un pirate si la sanction ne peut être exécutée.

Fabrice Lorvo*, avocat associé, FTPA.

Un des aspects de la révolution numérique, qui a bouleversé notre société, est la dématérialisation. Du fait de la facilité de la transmission du support, la piraterie audiovisuelle « professionnelle » s’est largement répandue. Il s’agit d’un poison mortel pour la création culturelle et pour le monde du divertissement. Le pirate professionnel est celui qui met à la disposition du public, sans autorisation, une oeuvre ou un événement protégé et qui tire un revenu ou un avantage direct de son activité par exemple, par abonnement ou par la publicité.

Réponse judiciaire ou prévention ?
Cette piraterie lucrative a pu prospérer à la faveur de certaines particularités du numérique : disparition des frontières, concurrence de droits applicables et anonymat qui rendent difficiles la poursuite et l’exécution de la décision. La réponse judiciaire est cependant réelle comme l’illustre une série de décisions récentes qui condamnent, parfois lourdement, ces flibustiers (1) du Net.

• En Juillet 2015, l’administrateur français du site Wawa Mania, qui mettait à disposition du public 3.600 œuvres cinématographiques, a été condamné par le tribunal correctionnel de Paris à un an de prison ferme et à indemniser les parties civiles à hauteur de 15 millions d’euros.
• En octobre 2015, l’administrateur français du site GKS, qui a permis entre 2012 et 2014 de télécharger sans autorisation des œuvres appartenant au répertoire de la Sacem/SDRM (2.240 albums de musiques, 240 concerts) et 242.279 Téraoctets d’œuvres cinématographiques, a été condamné par le tribunal correctionnel de La Rochelle à six mois de prison avec sursis et à indemniser les onze parties civiles à hauteur d’un montant de presque 2,9 millions d’euros.
• En septembre 2016, l’administrateur français du site OMG-Torrent, qui mettait à disposition du public des liens permettant de télécharger sans autorisation des œuvres (musiques, films, séries et des jeux vidéo), a été condamné par le tribunal correctionnel de Châlons-en- Champagne (Marne) à un an de prison dont huit mois ferme et à indemniser les parties civiles à hauteur de 5 millions d’euros.
• En Janvier 2017, cinq personnes qui proposaient aux particuliers, via des sites de vente en ligne entre 2008 et 2010, des systèmes d’exploitation Windows XP hors licence ont été condamnées par le tribunal correctionnel de Bayonne (Pyrénées-Atlantiques) à des peines d’emprisonnement allant de douze à dix-huit mois de prison avec sursis et à payer à Microsoft 4,6 millions d’euros.

Il apparaît donc clairement, qu’en cas de piraterie, le juge sanctionne la faute commise vis-à-vis du titulaire des droits piratés et ordonne la réparation du préjudice subi. Cependant, il s’agit souvent d’une victoire « sur le papier » – voire à la Pyrrhus tant
les pertes du vainqueur peuvent être élevées – dès lors qu’il est rare que ces condamnations pécuniaires soient effectivement recouvrées, et ce pour de nombreuses raisons : soit parce que l’on est en présence d’un pirate qui a externalisé son patrimoine, soit parce qu’il était prodigue (comprenez qu’il a tout dépensé), ou soit encore qu’il a vendu les œuvres d’autrui à vil prix. Dans ces conditions, l’essentiel des efforts ne devrait-il pas porter sur la prévention des actes de piraterie ? Ce serait donc au législateur d’intervenir en amont pour donner les outils nécessaires aux titulaires des droits pour prévenir le piratage plutôt que de confier au juge le soin de le réprimer.

Dans le domaine des droits piratés, les droits sportifs sont fortement convoités. Cela crée un préjudice important au titulaire des droits sportifs et entraîne un cercle vicieux dans l’économie du sport : la piraterie provoque une baisse des revenus, qui entraîne une baisse des ressources, laquelle se traduit par une baisse de la qualité de la compétition, etc.

Procédures inadaptées aux diffusions live
Conscients de ces difficultés, des sénateurs ont tenté d’endiguer la piraterie en amont dans une proposition de loi visant à préserver l’éthique du sport, à renforcer la régulation et la transparence du sport professionnel et à améliorer la compétitivité des clubs (2). A cette occasion, un amendement avait été adopté, en octobre 2016 en première lecture, afin que les acteurs du numérique et les titulaires de droits sportifs « établissent par voie d’accord professionnel les dispositions permettant de lutter contre la promotion, l’accès et la mise à la disposition au public en ligne, sans droit ni autorisation, de contenus sportifs sur Internet, ainsi que les bonnes pratiques y
afférant » (3). Cette démarche était inspirée par un souci pratique. Les procédures de lutte contre la piraterie – mises en demeure, référés, requêtes ; etc. – ne sont pas adaptées à la diffusion d’événements sportifs en direct. Malheureusement, au cours de la navette avec l’Assemblée nationale, cette obligation de conclure a été transformée en possibilité de conclure.

Contre le piratage, mais pas de filtrage
La version actuelle du texte, modifiée par les députés et transmise au Sénat le 12 janvier dernier pour une deuxième lecture à partir du 15 février prochain (4), prévoit que les parties concernées « peuvent conclure un ou plusieurs accords relatifs aux mesures et bonnes pratiques qu’ils s’engagent à mettre en oeuvre en vue de lutter contre la promotion, l’accès et la mise à la disposition au public en ligne, sans droit ni autorisation, de contenus audiovisuels dont les droits d’exploitation ont fait l’objet d’une cession par une fédération, une ligue professionnelle, une société sportive ou un organisateur de compétitions ou manifestations sportives ». Dans son rapport fait au nom de la commission des Affaires culturelles et de l’Education de l’Assemblée nationale, déposé le 6 décembre 2016 (5), la députée Jeanine Dubié, précise que
« l’accord ne saurait prévoir des mesures de filtrage, de retrait ou de déréférencement sans méconnaître les dispositions des articles 12.3, 13.2 et 14.3 de la directive 2000/31 [dite « Commerce électronique », ndlr (6)] qui réserve à une juridiction ou à une autorité administrative lorsqu’il s’agit “d’exiger du prestataire qu’il mette un terme à une violation ou qu’il prévienne une violation”. L’article 6.I.8 de la loi pour la confiance dans l’économie numérique du 21 juin 2004 a transposé la directive en confiant cette compétence à l’autorité judiciaire » (7).
Selon cet article 6.I.8 de la loi LCEN (8), l’autorité judiciaire peut prescrire – en référé ou sur requête, à tous prestataires techniques – toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne. Si la remarque de la députée est fondée en droit, elle ne l’est pas en fait. En pratique, pour un match de football de 90 minutes, qui est piraté en direct sur Internet, l’outil juridique du référé ou de la requête n’est pas adapté pour faire cesser l’infraction, surtout lorsque le site pirate se trouve à l’étranger ou qu’il n’indique pas où se trouve son siège social, et ce en infraction avec la législation française (9). La députée avance une autre raison : l’accord « ne peut pas non plus prévoir de ‘’dispositifs techniques de reconnaissance’’ dans la mesure où l’article 12 de la directive [« Commerce électronique »], transposé par l’article L. 32-3-3 du code des postes et des communications électroniques, protège la neutralité du fournisseur d’accès quant aux contenus diffusés. De même, un tel dispositif serait contraire à l’article 15 de cette directive dont la Cour de justice de l’Union européenne (CJUE) a déduit l’interdiction de toute obligation générale de surveillance pour les fournisseurs d’accès ou d’hébergement » (10). Alors que cet accord avait été proposé par des sénateurs pour lutter contre la diffusion illicite de contenus sportifs, « en conformité avec le droit communautaire et notamment la directive [« Commerce électronique »]», les députés l’ont rendu optionnel … pour se conformer avec ladite directive. A ce stade, la victime du pirate se sent un peu démunie. La solution judicaire n’est pas assez souple pour prévenir un acte de piraterie et le législateur prétend que seul le juge est compétent… S’il y a effectivement un obstacle, il n’est pas insurmontable. L’essor du numérique et les espoirs économiques mis dans ce nouveau marché nécessitent un nouvel arbitrage.
Oui, l’intervention du juge est nécessaire, mais, outre le fait qu’une procédure est longue et coûteuse, nous arrivons dans une situation paradoxale où la nécessaire intervention du juge judiciaire permet, de fait, la réalisation du dommage et l’impunité momentanée du pirate. Sans remettre en cause les grands équilibres des textes européens, ne conviendrait-il pas de créer un régime dérogatoire pour la diffusion en direct des événements (comme les compétitions sportives) ou pour les œuvres (comme un film) qui viennent d’être communiqués au public (et ce, par exemple, pendant un délai d’un mois à compter de la première diffusion sur le territoire) ?

Créer un système de requête en ligne
Pour cette catégorie de droits uniquement, il pourrait être demandé à un juge, par un système à créer de requête en ligne (indiquant que X certifie être titulaire des droits, que Y exploite les droits sans autorisation) de rendre, par retour, une ordonnance provisoire enjoignant aux prestataires Internet basés en France de rendre tel URL inaccessible pendant un certain délai. Toujours pour cette catégorie de droits, il pourrait aussi être prévu par la loi que les titulaires de droits puissent imposer, à leurs risques et périls, aux prestataires techniques de prendre des mesures d’exclusion des pirates, sauf à répondre devant le juge judiciaire de l’abus de telles demandes.
Plutôt que de poursuivre – en vain – des pirates, surtout lors de diffusions en direct ou pour les nouvelles diffusions, il faut donc inventer un arsenal juridique préventif. @

* Auteur du livre « Numérique : de la révolution
au naufrage ? », paru en 2016 chez Fauves Editions