Sécurité des systèmes d’information et des données personnelles : nul ne peut ignorer ses responsabilités

RSI, NIS, OSE, OIV, PSC, EBIOS, RGPD, SecNumCloud, … Derrière ces acronymes du cadre réglementaire numérique, en France et en Europe, apparaissent les risques et les obligations en matière de sécurité des systèmes d’information et des traitements de données personnelles.

Par Christophe Clarenc, avocat, Cabinet DTMV & Associés

Les rapports d’activité pour 2018 publiés mi-avril (1) par, respectivement, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le « régulateur de la sécurité numérique » en sa qualité d’autorité en charge de la cybersécurité nationale,
et la Commission nationale de l’informatique et des libertés (Cnil), en charge de la sécurité des traitements de données personnelles, offrent et permettent un tour d’horizon rapide des évolutions réglementaires et de l’état des responsabilités en la matière.

Une réglementation évolutive
Au plan réglementaire, on doit tout d’abord mentionner la loi n° 2018-133 du 26 février 2018, le décret 2018-384 du 23 mai 2018 et l’arrêté du 14 septembre 2018 qui sont venus assurer la transposition en France de la directive européenne du 6 juillet 2016, dite « NIS », sur la sécurité des réseaux et systèmes d’information (RSI) des
« opérateurs de services essentiels » (2) (OSE) et des grands « fournisseurs de services numériques » (3) (FSN). Cette réglementation est supervisée en France
par l’ANSSI et dans la ligne de son dispositif de protection des RSI des opérateurs d’importance vitale (OIV) (4). Elle soumet les OSE et les FSN pour la protection de leurs RSI critiques à un régime de « règles de sécurité nécessaires pour garantir un niveau de sécurité adapté au risque existant compte tenu de l’état des connaissances », et de déclaration des incidents et de contrôle.
Cette réglementation définit et prescrit pour les OSE l’ensemble des « mesures appropriées » pour tout à la fois prévenir, limiter l’impact et gérer les incidents et compromissions de sécurité. Les règles de sécurité prescrites pour les FSN sont établies dans un règlement d’exécution du 30 janvier 2018 (5). Ces règles et mesures sont définies dans cinq « domaines » : celui de la « gouvernance » des RSI concernés (6) (analyse de risque, politique de sécurité décrivant l’ensemble des procédures et
des moyens organisationnels et techniques de sécurité mis en oeuvre, homologation
et audits de sécurité, cartographie (7)) ; celui de leur « protection » (architecture, administration, identités et accès), celui de leur « défense » (détection et traitement des incidents) ; et celui de la « résilience des activités » (gestion de crise en cas d’incident de sécurité ayant un impact majeur sur la fourniture des services essentiels en cause). Ces règles établissent le champ et les mesures de référence de la protection responsable des systèmes d’information critiques.
On peut ensuite mentionner le règlement européen sur la cybersécurité (8), voté en mars 2019 par le Parlement européen, qui vient, d’une part, donner mandat permanent et compétences à l’ENISA, l’Agence européenne chargée de la sécurité des RSI (9), d’autre part, établir une cadre pour la mise en place d’un « système européen de certification de cybersécurité » pour les processus, produits et services des technologies de l’information et de la communication (TIC). Ce dispositif, qui pourrait devenir un ressort essentiel du « marché unique numérique », devra s’articuler avec
les compétences de souveraineté et les intérêts normatifs et industriels fondamentaux des Etats membres avancés dans ce domaine, dont la France avec l’ANSSI. Les deux chambres du Parlement français avaient émis fin 2017 alerte et réserve sur ce point.
Le dispositif prévoit que la Commission européenne proposera la liste prioritaire des processus, produits et services TIC susceptibles d’être soumis à ce système de certification et que la certification, structurée en trois « niveaux d’assurance » (élémentaire, substantiel et élevé) procédera par démarche volontaire des acteurs intéressés.

Référentiels et socle de conformité
L’ANSSI a présenté en 2018 sa méthode EBIOS Risk Manager de référence pour l’analyse des risques de sécurité numérique et l’élaboration d’un « socle de sécurité solide appliquant les référentiels pertinents vis-à-vis de l’état de l’art (10) et de la réglementation », en vue notamment d’un label de conformité pour les éditeurs de solutions logicielles de gestion des risques et de la conformité. Le « régulateur de
la sécurité numérique » s’est également intéressé spécifiquement à la sécurité des données personnelles, en faisant évoluer son référentiel SecNumCloud pour intégrer les exigences du règlement général sur la protection des données (RGPD) et en publiant pour la matière des recommandations (« commandements de base »,
« précautions élémentaires ») tirées et adaptées de son guide d’hygiène informatique. Ce référentiel SecNumCloud concerne les prestations de services d’informatique en nuage (PSIN). Il fait partie des référentiels d’exigences et de labellisation développés par l’ANSSI pour qualifier les « prestataires de services de confiance » (PSC) (11).

Incidents, risques et manquements
La Cnil a elle-même publié en 2018 un guide de sécurité des données personnelles (12), consolidant et développant ses recommandations antérieures. Elle souligne dans son rapport pour 2018 que les « mesures de précautions élémentaires » rappelées dans les recommandations de son guide et de celui de l’ANSSI permettent de prévenir ou de limiter l’impact de nombreuses violations de données personnelles et « doivent aujourd’hui être le socle minimum sur lequel toute organisation fait reposer son système d’information ». D’autant que le RGPD, entré en vigueur en mai 2018, « impose à tous les organismes qui traitent des données personnelles de mettre en place des mesures pour prévenir les violations de ces données » et de pouvoir « apporter la preuve de
leur conformité ». En effet, le RGPD place la « garantie de sécurité appropriée » des données personnelles parmi les « principes » de conformité et de responsabilité du traitement des données personnelles, avec la responsabilité de « mettre en oeuvre des mesures techniques et organisationnelles appropriées pour assurer et être en mesure de démontrer que le traitement est effectué conformément au règlement » (13). La mise en oeuvre du « socle de sécurité » recommandé aura ainsi vocation à constituer la preuve de la conformité à l’obligation de garantie de sécurité appropriée des données personnelles traitées, obligation de moyen renforcée et de moyens effectifs à l’état de l’art, en particulier dans le cadre de la notification obligatoire d’une violation de données susceptible de révéler non seulement un défaut de sécurité causal mais une politique de sécurité défaillante.
L’ANSSI rapporte la survenance en 2018 de 1.869 signalements d’événements de sécurité, dont 391 incidents (hors OIV) et 16 incidents majeurs, contre respectivement 2.435, 794 et 20 en 2017. Elle rappelle l’étendue et l’intensité constantes des menaces et des risques de cybersécurité (sabotage, déstabilisation, espionnage, captations, fraudes, etc.), en soulignant que l’espionnage est le risque qui pèse le plus fortement sur les organisations, à travers notamment des attaques indirectes exploitant des relations de confiance établies entre parties prenantes. Le rapport publié en mai 2018 par la Délégation interministérielle aux industries de sécurité et à la lutte contre les cybermenaces (DMISC) sur l’état de la menace numérique en 2018 présente un tableau instructif des attaques, des fraudes et des dommages enregistrés avec le développement notamment du « crimeas- a-service » (CaaS) et souligne le risque majeur des objets connectés, à la fois cibles et vecteurs d’attaques, dont la sécurité n’est souvent pas la préoccupation principale de leurs fabricants. Il note par ailleurs que si la grande majorité des entreprises françaises sont touchées par des cyberattaques et que la France est le deuxième pays au monde le plus affecté par les vols de données personnelles, « la sécurité représente moins de 5 % du budget IT dans près de deux tiers des entreprises ». La Délégation parlementaire au renseignement a pu constater dans son rapport publié en avril 2018 que le tissu économique français « pâtit encore d’une culture de sécurité, notamment informatique, très largement déficitaire ». Pour sa part, la CNIL mentionne la poursuite en 2018 de nombreux signalements de violations de données personnelles issues de failles de sécurité et la réception entre fin mai 2018 (entrée en vigueur du RGPD) et fin décembre 2018 de 1.170 notifications de violations à la suite principalement d’atteintes à la confidentialité. De son analyse de ces notifications, elle a constaté tout d’abord que plus de 50 % des violations avaient pour cause un acte externe malveillant (principalement par piratage cyber et secondairement par vol physique) et environ 17 % un acte interne accidentel (principalement par adressage à un mauvais destinataire et secondairement par publication non volontaire). Ensuite, que ces violations mettaient « en évidence des faiblesses des systèmes d’information ou des processus mis en oeuvre au sein des entreprises ».
Tout comme en 2017, la majorité des sanctions (7 sur 10) et les montants les plus élevés de sanctions pécuniaires prononcés par la Cnil en 2018 l’ont été pour des manquements à la sécurité et à la confidentialité des données des utilisateurs ou des clients (14). Ces montants restent néanmoins limités au regard de la gravité des manquements des atteintes constatées.

Sanctions des carences ou insuffisances
La Cnil souligne que ce ne sont pas les incidents de sécurité en tant que tels qu’elle
a sanctionnés, mais les carences ou les insuffisances manifestes dans les mesures prises pour assurer la sécurité, causales dans les violations constatées y compris dans les cas d’intrusions élaborées. Les motifs de manquement et les montants de sanctions pourraient se développer fortement sur la base du RGPD, et avec une meilleure répartition entre les différentes parties prenantes à la sécurité des traitements. Il sera également instructif de suivre le traitement par la DGCCRF du signalement que lui
a adressé la Cnil en novembre 2017, dans l’affaire de la sécurisation des jouets connectés (15), au regard des « enjeux de sécurité et de conformité qui persistent
en dehors du champ d’application de la loi “Informatique et Liberté” ». @

Directive européenne sur le droit d’auteur : vers un nouveau modèle économique du numérique

La directive sur « le droit d’auteur dans le marché unique numérique » est sur
le point d’être promulguée au Journal officiel de l’Union européenne, après sa validation du 15 avril par les Etats membres (19 pour, 6 contre et 3 abstentions). Mais sa transposition nationale d’ici mi-2021 va être délicate.

Par Véronique Dahan, avocate, et Mahasti Razavi, associée gérante, August Debouzy

Après plus de deux ans de controverses, le Parlement européen a finalement adopté, le 26 mars 2019, la directive sur
le « droit d’auteur dans le marché unique numérique » que le Conseil de l’Union européenne a validée le 15 avril – bien
que six pays aient voté contre (l’Italie, la Finlande, la Suède, le Luxembourg, la Pologne et les Pays-Bas) et que trois pays se soient abstenus (la Belgique, l’Estonie et la Slovénie). Mais cette opposition n’a pas été suffisante pour bloquer le texte (1).

Licence, rémunération, gestion collective
Cette directive « Copyright » (2) a pour objectif principal d’accorder une meilleure protection aux créateurs de contenus en leur permettant de percevoir un revenu équitable pour l’utilisation de leurs œuvres par les acteurs principaux d’Internet,
à savoir les GAFAM. L’ambition affichée est de pousser les plateformes de partage
de contenus à mettre en place une politique globale, visant à rémunérer de façon
« appropriée et proportionnelle » tous ceux dont elles tirent un revenu. Afin d’appréhender l’impact que cette directive aura en pratique, il faudra attendre sa transposition au sein de chaque Etat membre. Il est en effet important de rappeler
que contrairement à un règlement, une directive ne produit pas d’effet direct sur les Etats Membres.
Cela signifie qu’elle devra être transposée par chaque pays européen dans sa législation nationale et dans le délai fixé par la directive pour pouvoir produire un quelconque effet. Ici, le délai fixé pour la transposition de la directive « Copyright »
est de vingt-quatre mois après son entrée en vigueur. Or elle va entrer en vigueur
« le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne » (JOUE) – ce qui ne devait pas tarder au moment où nous publions ces lignes. Cela nous amène donc a priori avant l’été 2021. D’ici là, les Etats membres devront obligatoirement transposer le texte.Quelles sont les mesures-phares-adoptées par la directive sur le droit d’auteur dans le marché unique numérique et susceptibles d’avoir un impact sur l’écosystème du numérique ?

• Vers une responsabilisation des « Big » plateformes.
Aujourd’hui, les plateformes numériques qui ont un rôle passif concernant les contenus qu’elles stockent – c’està- dire celles qui ne font aucun contrôle a priori – ont une responsabilité dite « limitée » dans le sens où leur responsabilité ne peut être engagée que si le titulaire de droits d’auteur leur signale de manière précise qu’un contenu est illicite et qu’elles n’effectuent pas leur retrait promptement. Autre élément : lesdites plateformes ne reversent pas ou très peu de redevances aux auteurs, alors que les revenus publicitaires découlant des contenus publiés par leurs utilisateurs sont extrêmement élevés. Le nouvel article 17 de la directive « Copyright » prévoit la mise en place d’une responsabilité accrue des plateformes désignées comme « fournisseurs de services de partages de contenus en ligne », pour toute diffusion de contenus sans autorisation de l’ayant droit. La directive définit les « fournisseurs de services de partages de contenus en ligne » comme les sites web qui ont pour objectif de « stocker et de donner au public l’accès à une quantité importante d’œuvres protégées par le droit d’auteur ou d’autres objets protégés qui ont été téléversés [mis en ligne] par ses utilisateurs, qu’il organise et promeut à des fins lucratives ». Concrètement cela vise les plateformes telles que Facebook, YouTube ou encore Dailymotion, mais ne sont pas concernées les plateformes encyclopédiques à but non lucratif telles que Wikipédia ou encore les places de marché (marketplace) comme Amazon, eBay ou LeBonCoin.

Exonération de responsabilité possible
L’article 17 impose aux plateformes visées – autrement dit les GAFAM et apparentés – d’obtenir l’autorisation des titulaires de droits pour pouvoir mettre leurs créations à la disposition du public, en concluant notamment des contrats de licence. La conclusion de ces contrats passera par l’intermédiaire des société de gestion collective des droits d’auteur, par exemple en France la Société des auteurs, compositeurs et éditeurs de musique (Sacem) ou la Société des auteurs et compositeurs dramatiques (SACD) dans le cinéma et l’audiovisuel. Et ce, afin de garantir une meilleure répartition des revenus. Ainsi, sans accord, les plateformes numériques seront responsables de la mise en ligne de tout contenu non-autorisé sans que le régime de responsabilité limité de l’hébergeur puisse s’appliquer – c’est-à-dire sans que le « GAFAM » puisse invoquer la directive
« Ecommerce » de 2000 qui leur conférait une responsabilité limitée quels que soient les contenus partagés en ligne (3).

Obligation de « fournir ses meilleures efforts »
Il existe cependant un régime d’exonération de responsabilité des plateformes, dès
lors qu’elles seront capables de démontrer avoir rempli les trois conditions cumulatives suivantes : avoir fourni « ses meilleurs efforts » pour obtenir une autorisation du titulaire des droits afin de communiquer l’oeuvre au public ; avoir fourni « ses meilleurs efforts », « conformément aux normes élevées du secteur en matière de diligence professionnelle », permettant de garantir l’indisponibilité de l’oeuvre protégée dès lors que la communication non autorisée de celle-ci a été signalée par son titulaire de droits au moyen « d’informations pertinentes et nécessaires » ; avoir agi promptement pour retirer ou bloquer l’accès à l’oeuvre dès réception de la notification « suffisamment motivée » par les titulaires de droit. Le respect de chacune de ces obligations sera apprécié en fonction du type, de l’audience et de la taille de la plateforme ainsi que du type d’oeuvres mises en ligne. Une attention particulière sera également portée aux moyens disponibles qui doivent être adaptés et efficaces, ainsi qu’à leur coût pour les plateformes. En tout état de cause, la directive « Copyright » n’impose pas aux plateformes un contrôle a priori des contenus postés notamment – par exemple via
la mise en place de systèmes automatisés de type Content ID (YouTube) ou Rights Manager (Facebook).

• Un modèle plus favorable aux plateformes européennes.
L’objectif étant de faire passer « payer » les GAFAM, la responsabilité des plateformes numériques est également variable selon leur taille : les structures qui ont moins de trois ans d’existence et qui génèrent un chiffre d’affaire annuel inférieur à 10 millions d’euros ont en effet des obligations allégées. Ces « start-up » devront à ce titre faire leurs meilleurs efforts pour obtenir l’autorisation auprès du titulaire des droits, et pour retirer promptement un contenu signalé comme contrevenant au droit d’auteur. En revanche, les plateformes qui comptent plus de 5 millions de visiteurs uniques par mois devront démontrer avoir fait tous les efforts possibles pour empêcher de nouveaux téléchargements des œuvres déjà signalées par les titulaires de droit. Ces exemptions visent certainement à avantager les plateformes européennes qui n’ont pas la même force de frappe que leurs concurrents américains que sont les GAFAM. Quant à l’applicabilité de la directive « Copyright » aux plateformes situées en dehors de l’Union européenne, il semblerait logique que le critère de « l’accessibilité » soit celui retenu pour permettre d’établir si les dispositions de la présente directive seront ou non applicables à une plateforme située en dehors de l’Union européenne. Ainsi, dès
lors qu’une plateforme numérique sera accessible au sein d’un Etat membre ayant transposé la directive, cette dernière lui sera applicable, peu importe où est située géographiquement la plateforme.

• La création d’un droit voisin des éditeurs de presse.
Aujourd’hui, les éditeurs de presse sont le plus souvent désarmés en cas de reprise
de leurs contenus par des plateformes d’agrégation partageant des articles d’actualité, notamment au regard de la preuve de la titularité des droits d’auteur qu’ils doivent apporter à chaque fois. L’article 15 de la directive prévoit la création d’un droit voisin des éditeurs de presse. Concrètement, cela signifie que les éditeurs de presse seront considérés comme détenteurs des droits sur les articles écrits par les journalistes. Ce droit leur permettrait ainsi de négocier plus facilement des licences payantes avec les plateformes qui indexent automatiquement leurs articles, comme Google Actualités ou Yahoo News. Ainsi, toutes les « fournisseurs de services de la société de l’information » qui indexent des articles de presse dans leurs services d’actualité devront en principe rémunérer les entreprises de presse.
Le Parlement européen a toutefois apporté le 14 février 2019 une prévision dans un communiqué indiquant ceci : « Le partage d’extraits d’articles d’actualité ne déclenchera pas de droits pour l’organe de presse ayant produit l’article partagé. Toutefois, l’accord contient également des dispositions visant à éviter que les agrégateurs de nouvelles n’abusent de cette tolérance. L’extrait pourra donc continuer
à apparaître sur un fil d’actualités Google News, par exemple, or lorsqu’un article est partagé sur Facebook, à condition qu’il soit ‘‘très court’’ » (4).

Un droit voisin de la presse limité
Une négociation va donc maintenant s’engager entre les éditeurs de presse et les plateformes du Net, et des barèmes de redevances devront être établis. Pour autant,
ce droit voisin accordé aux éditeurs de presse ne s’appliquera pas : « aux utilisations,
à titre privé ou non commercial, de publications de presse faites par des utilisateurs individuels, (…) aux actes liés aux hyperliens, [à] l’utilisation de mots isolés ou de très courts extraits d’une publication de presse » (article 15). De plus, ce droit voisin expire deux ans après que la publication de presse ait été publiée (durée calculée à partir du 1er janvier de l’année suivante) et ne s’applique pas aux publications de presse publiées pour la première fois avant la date d’entrée en vigueur de cette directive
« Copyright ». @

Dans le Far-West numérique, le juge commence à se faire entendre. On attend plus que le shérif !

La révolution numérique a fait exploser notre système juridique. Que ce soit avec la dématérialisation ou l’abolition des frontières, le droit national de l’ancien monde est devenu ineffectif. Progressivement, la législation et la jurisprudence s’adaptent, en attendant le gendarme…

Fabrice Lorvo*, avocat associé, FTPA.

Les acteurs de l’Internet, par philosophie ou par appât du gain, se sont opposés à toute régulation au nom de la liberté. Avec la révolution numérique, il s’est de nouveau posé l’éternelle question : peut-il y avoir de liberté sans contrainte ? Dans tous les cas, ce cyberespace est rapidement devenu un Far-West. Sur Internet, au nom de la liberté
(de la culture, du savoir, des échanges), certains ont partagé, ou même vendu des créations originales, au mépris des droits d’auteur. Sur les réseaux sociaux, la liberté d’expression est parfois comprise comme permettant l’outrance, l’invective, l’insulte, voire la haine et le harcèlement.

Escrocs, mules, sites web et victimes
Force est de constater que les tribunaux, notamment français, ont pris la dimension de certains comportements néfastes et des peines de plus en plus lourdes commencent à sanctionner les abus. On doit noter les décisions suivantes :

• Une mesure répressive contre des escrocs aux numéros de cartes bancaires (1) : de la prison ferme. Courant 2010, le FBI a mené une enquête concernant la cybercriminalité et notamment un forum baptisé « Cardshop » sur lequel s’échangeaient ou se vendaient des logiciels permettant la compromission de systèmes informatiques. Parmi les membres du forum ont été identifiés plusieurs ressortissants français apparaissant impliqués dans du « carding » – comprenez du commerce illicite de numéros de cartes bancaires sur Internet. Informé par le FBI, l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) (2) a entrepris des investigations et a fait mettre hors ligne ce forum le 26 juin 2012. Ce type d’escroquerie se déroulait en trois temps. D’abord, commander des marchandises, et pour ce faire : obtenir des numéros de cartes bancaires frauduleux notamment sur des forums comme « Carderprofit » ; utiliser des systèmes d’anonymisation (3) ; accéder à des comptes clients existants et piratés ou créés à partir d’identités fictives ou réelles sur des sites de e-commerce ; modifier les données (notamment les adresses e-mail de réception des commandes) et utiliser les données bancaires usurpées ; passer des commandes et ainsi tromper les sites web de ecommerce pour les déterminer à remettre des biens. Ensuite, aller chercher les marchandises dans des relais colis directement ou par des « mules » (drops) recrutées à cet effet, à l’aide de faux documents d’identité et fausses procurations. Enfin, revendre tout ou partie des marchandises frauduleusement obtenues sur des sites web tels que PriceMinister ou LeBonCoin. Le tribunal a jugé que les faits commis par les quatorze prévenus sont d’une très grande gravité. Il y a les préjudices financiers (évalués à 141.142 euros) causés aux sociétés de e-commerce, mais également l’atteinte à la sécurité des transactions effectuées sur Internet et à la confiance des utilisateurs. Ces derniers, lorsqu’ils sont victimes de l’utilisation indue de leurs données bancaires et de leurs comptes clients, peuvent rencontrer des difficultés importantes vis-à-vis des sociétés de e-commerce et/ou de leur établissement bancaire. Les six organisateurs ont été condamnés à des peines de prison ferme de quinze, dix-huit mois et deux ans, notamment pour escroquerie réalisée en bande organisée, participation
à une association de malfaiteurs en vue de préparer un délit (puni d’au moins cinq ans de prison), accès, maintien frauduleux dans un système de traitement automatisé de données et modification frauduleuse de données. Les autres participants ont été condamnés à des peines de prison avec sursis de six, neuf, douze et dix-huit mois.

Topsite : organisation très hiérarchisée
• Une mesure répressive contre des pirates diffusant des oeuvres protégées contre rémunération (4) : 22 millions d’euros d’indemnisation. En 2007-2008, le
« topsite » Bulltrack (5) proposait des fichiers contrefaisants de musique, œuvres audiovisuelles et jeux vidéogrammes à des utilisateurs en contrepartie du paiement d’un droit d’accès. Ces contrefaçons étaient réalisées grâce à la location de serveurs de stockage puissants et à la mise à disposition par un groupe de « racers » (6) de fichiers. Une organisation hiérarchisée, avec quatre niveaux différents, permettait de faire fonctionner le topsite et chaque protagoniste avait un rôle déterminé. Au premier niveau, l’administrateur principal décidait de son orientation, de son utilisation, du lieu de location et du type de serveur. Au deuxième niveau, deux autres personnes assuraient la location des serveurs (financée par les utilisateurs), mis à la disposition du topsite, et leur maintenance. Au troisième niveau, des « racers » étaient chargés d’une part de fabriquer des nouvelles copies d’oeuvres contrefaites, appelées « release » ou d’autre part de diffuser les fichiers.

Contrefaçon en bande organisée
Enfin au dernier niveau, les derniers membres du réseau recrutaient les utilisateurs (entre 150 et 300) appelés les « supplies », à qui ils accordaient l’accès au site web contre paiement sur les comptes PayPal des administrateurs d’un droit d’accès (entre 20 et 80 euros selon le nombre de giga-octets qu’ils pouvaient télécharger). Le topiste avait passé un accord avec le « tracker » Snowtigers.net (un tracker étant un serveur qui aide à la communication entre pairs et au partage de fichiers) qui fournissait un système de partage haute vitesse dit « powerseed » et qui permettaient de télécharger rapidement les fichiers contrefaisants mis à disposition.
Le tribunal correctionnel avait déjà jugé que cette activité constituait une contrefaçon d’œuvres de l’esprit en bande organisée (7). L’affaire revenait devant la cour d’appel essentiellement sur les intérêts civils (8), dont le montant avait été contesté par les auteurs du délit. La Cour a infirmé la décision des premiers juges et aggravé les sanctions. Elle a fixé l’indemnisation du préjudice à 5 euros (au lieu de 0,20 euros) pour les films catalogue et à 8 euros (au lieu de 1 euro) pour les films en exclusivité. C’est donc plus de 22 millions d’euros qui ont été alloués aux victimes de la plateforme illégale de téléchargement.

• Une mesure préventive de mise hors ligne contre des pirates diffusant des œuvres protégées gratuitement (9). Le groupe Elsevier est une maison d’édition de publications scientifiques qui met à disposition des professionnels de santé et des sciences, des publications et analyses de données. Il commercialise ses articles de revues scientifiques et chapitres d’ouvrages (plus de 15 millions de publications) via
sa plateforme propriétaire et base de données ScienceDirect.com. Le groupe Springer Nature édite des publications (environ 300.000 par an) qui s’adressent aux chercheurs, étudiants, professeurs et professionnels. Ses publications sont notamment commercialisées via la plateforme Nature.com. Ces deux éditeurs reprochent aux sites web accessibles via les noms de domaine « Sci-Hub » et « LibGen » de mettre à disposition des internautes gratuitement les publications scientifiques en violation des droits d’Elsevier, Springer Nature et d’autres éditeurs. Les plateformes Sci-Hub et LibGen se revendiquent clairement comme des plateformes « pirates » rejetant le principe du droit d’auteur et contournant les portails d’accès par abonnement des éditeurs. Ainsi la fondatrice de la plateforme (10) se décrit comme une « fervente
pirate » pour laquelle « le droit d’auteur doit être aboli », et la page Facebook de
« Libgen.in » invite ses utilisateurs à mettre en ligne des ouvrages protégés en violation des droits d’auteur. Le tribunal a donc ordonné aux fournisseurs d’accès à Internet (FAI) (11) de mettre en oeuvre et/ou faire mettre en oeuvre, toutes mesures propres à empêcher l’accès aux plateformes Sci-Hub et LibGen, à partir du territoire français par leurs abonnés par le blocage des 57 noms de domaine, dans les quinze jours de la décision à intervenir – et ce, pendant une durée de douze mois. Il est notable que le tribunal ait jugé qu’en dépit du système d’irresponsabilité de principe des fournisseurs d’accès tel qu’organisé par la loi de 2004 pour la confiance dans l’économie numérique (LCEN), les fournisseurs d’accès et d’hébergement sont tenus de contribuer à la lutte contre les contenus illicites et, plus particulièrement, contre la contrefaçon de droits d’auteur et de droits voisins, dès lors qu’ils sont les mieux à même de mettre fin à
ces atteintes. Aucun texte ne s’oppose à ce que le coût des mesures strictement nécessaires à la préservation des droits en cause, ordonnées sur le fondement de l’article L. 336-2 du code de la propriété intellectuelle, soit supporté par les intermédiaires techniques, quand bien même ces mesures sont susceptibles de représenter pour eux un coût important.

Rapprochement « Arcep-CSA-Hadopi » ?
En conclusion, le monde numérique commence à ne plus être un Far-West où la liberté est le prétexte d’abus. Des lois commencent à protéger concrètement l’industrie créative (12). Des décisions judiciaires sanctionnent de manière de plus en plus lourde les atteintes portées à l’économie numérique et aux auteurs. On ne peut que se féliciter de cette évolution, même s’il nous semble nécessaire de compléter le dispositif en créant « un shérif du numérique ». On doit se demander si le rapprochement « Arcep-CSA-Hadopi » ne servirait pas à mieux lutter contre le piratage en général et ce type d’atteinte en particulier. @

* Auteur du livre « Numérique : de la révolution au
naufrage ? », paru en 2016 chez Fauves Éditions.

Comment l’Autorité de la concurrence dénonce une régulation audiovisuelle « profondément inadaptée »

La Cour des comptes, le CSA et le rapport « Bergé » ont déjà mis en évidence
les faiblesses du système français de régulation de l’audiovisuel. L’Autorité de
la concurrence va plus loin en en dénonçant la « complexité rare » et le caractère « très atypique », voire « non-équitable et inefficace ».

François Brunet*, avocat associé, et Winston Maxwell, avocat associé, cabinet Hogan Lovells

L’Autorité de la concurrence plaide pour une réforme qui permettrait aux acteurs français de la télévision de se débarrasser de contraintes, lesquelles, aujourd’hui, n’ont plus aucun sens économique – voire, risquent de condamner à la stagnation et au déclin l’ensemble des filières audiovisuelle et cinématographique françaises. Son analyse (1) commence par un panorama détaillé du nouveau paysage concurrentiel
de l’audiovisuel.

Cadre réglementaire actuel inadapté
L’Autorité de la concurrence met en avant l’existence d’une « révolution numérique », qui a « profondément modifié les usages de l’audiovisuel » (2) et qui a permis le développement de nouveaux opérateurs issus du monde de l’Internet, en particulier celui des GAFAN. Elle constate ainsi que ces nouveaux acteurs ne connaissent pas
les mêmes contraintes réglementaires que les acteurs traditionnels français de l’audiovisuel et sont, en conséquence, capables de proposer des offres plus flexibles
et moins coûteuses pour les consommateurs. Ainsi, Netflix augmente aujourd’hui le nombre de ses abonnés de 25 % à 30 % par an et dispose d’une base mondiale de
140 millions d’abonnés – dont près de 5 millions en France. De même, après seulement deux années d’existence, Amazon Prime Video totalise déjà 100 millions d’abonnés dans le monde. A l’inverse, Canal+, qui, depuis 20 ans, s’est désinvesti de nombreux marchés étrangers, notamment de l’Italie et des pays scandinaves, voit sa base française d’abonnés décliner chaque année (3). L’Autorité de la concurrence note également, dans la lignée de son avis de mars 2018 relatif à la publicité en ligne (4), que cette révolution numérique s’accompagne « d’une rapide évolution du secteur de
la publicité télévisuelle, confrontée à la très forte croissance de la publicité en ligne » (5). Dans ce nouvel environnement, Google et Facebook captent l’essentiel de la croissance du segment de la publicité en ligne, qui connait un taux de croissance en France de l’ordre de 10 % à 15 % par an (6), alors que le marché français de la publicité est globalement atone et que les revenus publicitaires des grandes chaînes
en clair (TF1, France Télévision, M6) stagnent dangereusement, voire déclinent franchement (7). Au regard du développement rapide de nouvelles plateformes numériques et de nouveaux usages par les consommateurs, l’Autorité constate que
« le modèle de la télévision linéaire classique [qui] est celui d’un marché géographique national mature, fortement régulé, et non intégré entre la production de contenus et l’édition de services » (8) est fortement déstabilisé. Ces bouleversements « voient leurs effets accrus par l’existence d’une réglementation sectorielle française beaucoup plus stricte et détaillée qu’ailleurs en Europe, à laquelle les nouveaux acteurs ne sont pas soumis, et dont l’efficacité semble, par ailleurs, faible pour les secteurs censés en bénéficier » (9). Historiquement, le cadre réglementaire français en matière audiovisuelle, résultant de la loi du 30 septembre 1986, repose sur un compromis entre d’une part les lourdes obligations pesant sur les éditeurs de services de télévision et d’autre part le droit octroyé à ces mêmes éditeurs d’utiliser à titre gratuit les fréquences de radiodiffusion concédées par l’Etat (10). Autrefois seul moyen d’atteindre le public, ces fréquences de radiodiffusion n’ont plus aujourd’hui la même valeur en raison de la concurrence d’autres vecteurs de diffusion (réseaux câblés, fibre), ce qui rend de facto le cadre réglementaire actuel suranné. En matière publicitaire, ce cadre réglementaire
a pour effet de limiter l’accès des éditeurs de chaînes de télévision aux ressources publicitaires. Et ce, en leur interdisant de diffuser des écrans publicitaires pour certains secteurs, dont le cinéma et l’édition littéraire. La logique derrière cette interdiction est de défendre la diversité culturelle française, en protégeant les producteurs indépendants et les petites maisons d’édition face aux capacités financières des distributeurs de films à succès et des grands groupes d’édition.

Pub TV : des secteurs profitent des interdits
L’interdiction de promouvoir les films de cinéma ou les livres n’est pas la seule restriction affectant la publicité télévisuelle. Les chaînes de télévision sont, de surcroît, soumises à l’obligation de diffuser des messages publicitaires identiques sur l’ensemble du territoire national, ce qui leur interdit de facto toute publicité locale ou « ciblée ». L’objectif est ici de conforter le monopole de fait dont la presse quotidienne régionale bénéficiait (et bénéficie encore très largement, en dépit de la concurrence croissante
de la publicité sur Internet) en matière de publicité locale ou « ciblée ». A l’inverse, l’Autorité de la concurrence souligne que la publicité en ligne n’est pas assujettie aux mêmes contraintes réglementaires, notamment en termes de volume publicitaire, de
« ciblage » des messages publicitaires et de secteurs interdits (11).

Les asymétries réglementaires dénoncées
L’Autorité de la concurrence dénonce également les asymétries réglementaires relatives à la production de contenus cinématographiques et audiovisuels. Les grandes chaînes de télévision françaises sont en effet légalement tenues d’investir un pourcentage variable de leur chiffre d’affaires dans la production cinématographique
et audiovisuelle française, dont 75 % doit être consacré à des œuvres dites
« indépendantes ». Le soutien à la production indépendante a été reconnu au niveau européen comme un objectif légitime (12), dans la mesure où il favorise la diversité de la création et est donc une source de diversité culturelle. Cependant, en France, le critère d’indépendance est entendu à la fois comme une indépendance capitalistique
et commerciale, alors que les autres pays européens, à l’exception de l’Italie, ne retiennent que la notion d’indépendance capitalistique. L’Autorité de la concurrence estime ainsi que « la combinaison de ces deux critères de l’indépendance rend […] particulièrement contraignant le recours à la production indépendante, dans la mesure où elle interdit à l’éditeur de services de se constituer un actif sous forme de catalogue de droits sur des œuvres qu’il a pourtant commandées et financées majoritairement » (13). A l’inverse, la tendance mondiale va vers l’intégration verticale (14), que ce soit au niveau des studios, qui descendent vers la distribution, ou au niveau des plateformes et distributeurs, qui remontent vers la production. L’Autorité de la concurrence met en évidence le succès de la BBC, qui produit entre 60 % et 70 % de ses programmes en interne, et met l’ensemble du catalogue sur sa plateforme BBC iPlayer. Ainsi, la BBC, que l’on a coutume d’affubler du titre de « vieille dame », aurait une longueur d’avance par rapport à ses homologues français !
Compte tenu de ce nouvel environnement concurrentiel, jugé « non équitable et inefficace », selon les termes de l’Autorité de la concurrence, cette dernière estime que le cadre réglementaire actuel doit faire l’objet d’un réexamen ambitieux et large. Et ce, avec pour objectif annoncé de protéger les investissements dans la création française et, à terme, l’exception culturelle française (15). Que propose donc l’Autorité de la concurrence ? Elle suggère une dérégulation du marché de la publicité télévisuelle, en supprimant les secteurs interdits et l’interdiction de la publicité ciblée, afin de contrer l’érosion des revenus publicitaires des chaînes de télévision. Elle propose en outre de réviser le critère d’« indépendance » des œuvres cinématographiques et audiovisuelles pour se cantonner à une indépendance purement capitalistique, ce qui permettrait aux chaînes françaises d’acquérir des droits de diffusion sur des films ou des séries télévisées sur une base géographiquement élargie, idéalement mondiale, et pour de longues périodes d’exploitation. Elle défend également d’autres mesures d’inspiration libérale, telles que l’assouplissement de la règle des « jours interdits » à la télévision, qui prohibe actuellement la diffusion de films le vendredi soir et le samedi. Et ce, en vue d’inciter à la fréquentation des salles de cinéma. Enfin, elle émet l’idée de réviser le dispositif anti-concentration visant à l’origine à garantir un certain degré de dispersion du capital des éditeurs de chaînes de télévision et en conséquence le pluralisme dans le secteur des médias, mais qui aujourd’hui empêche une consolidation jugée inéluctable du secteur.
Publiées peu de temps après la réforme de la directive européenne « SMA », sur les services de médias audiovisuels, ces propositions de l’Autorité de la concurrence ont déjà suscité de vives critiques (16). L’Union des producteurs de cinéma (UPC) y a vu
un abandon du soutien apporté à la production indépendante française, au profit de nouveaux arrivants dans le secteur de l’audiovisuel qui refuseraient toute régulation.
Ou encore, de la même manière, la société des Auteurs Réalisateurs Producteurs (l’ARP) a considéré que l’avis constituait une « violente charge contre la diversité culturelle ». Les organisations professionnelles qui ont émis ces critiques ne s’y sont pas trompées. Les réformes proposées sont de nature à bouleverser totalement le paysage audiovisuel français. Mais de telles réformes semblent inéluctables.
Selon l’Autorité de la concurrence, le système actuel rate sa cible « tant en termes de promotion de l’industrie audiovisuelle qu’en termes culturels » (17). A maintenir des régulations d’un autre âge, ne prenons-nous pas le risque d’infliger une double peine aux opérateurs français : la stagnation des revenus et des bénéfices à court terme et,
à moyen terme, la remise en cause de leur pérennité ? En outre, une telle remise en cause ne serait-elle pas elle-même de nature à mettre en péril le financement de la production française tant redoutée par les parties prenantes du secteur ?

Une dérégulation inéluctable du secteur
En publiant cet avis audacieux quelques jours avant de célébrer ses dix premières années d’existence, l’Autorité de la concurrence envoie un message très fort à la communauté des affaires : elle y démontre, en effet, de manière très concrète, qu’elle est devenue une institution fondamentale de la République non seulement par la qualité de ses expertises sectorielles mais également par sa capacité à comprendre les enjeux stratégiques et à penser la dérégulation de certains secteurs lorsqu’elle est inéluctable. @

François Brunet est par ailleurs
président de la commission de la concurrence
de la Chambre de Commerce Internationale (Comité français).

Vers une nouvelle loi contre le cyberharcèlement et les contenus haineux en ligne

Le gouvernement va présenter avant l’été un projet de loi contre le cyberharcèlement et les contenus haineux en ligne, en responsabilisant plus
les plateformes numériques et en restreignant l’anonymat. Le droit à l’effacement et l’actuel arsenal juridique sont actuellement limités face au fléau.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Le harcèlement consiste à tenir des propos ou avoir des comportements répétés, ayant pour objet ou pour effet une dégradation des conditions de vie d’une personne, susceptible de porter atteinte à ses droits, à sa dignité et d’altérer sa santé physique ou mentale. A l’ère du numérique, le harcèlement s’opère sur Internet, les réseaux sociaux, les blogs ou tout autre support en ligne.

Essor d’un fléau et arsenal juridique
Le harcèlement en ligne, également appelé cyber-harcèlement, est au cœur de l’actualité, que ce soit avec les attaques qui ont visé le chanteur Bilal Hassani – représentant la France à l’Eurovision 2019, en mai prochain – ou encore avec l’affaire de la « Ligue du LOL ». La prolifération des faits de harcèlement en ligne suscite de plus en plus d’inquiétudes. Aux Etats-Unis, la cour suprême a récemment condamné pour homicide une femme de 22 ans jugée pour avoir poussé son petit ami au suicide en 2014, par une série de textos. En France, la récente affaire de la « Ligue du LOL », du nom d’un groupe privé sur Facebook, illustre également l’accroissement significatif du cyber-harcèlement. A la suite de ces révélations, plusieurs journalistes impliqués ont été suspendus par leurs employeurs pour avoir harcelé il y a quelques années d’autres journalistes et blogueurs sur le réseau social Twitter. Des victimes ont dénoncé des entraves à leur carrière et un dénigrement systématique de la part des membres du groupe ou de leur entourage, souvent accompagnés de photos et messages violents. Pour l’instant, il n’y a pas d’enquête judiciaire sur les faits allégués, la plupart d’entre eux étant prescrits (à partir de 6 ans, mais un rallongement du délai de prescription
est à l’étude). Cette affaire de la « Ligue du LOL » a amené une vingtaine de médias (presse et audiovisuel) à signer le 13 mars au ministère de la Culture une « Charte pour les femmes dans les médias, contre le harcèlement et les agissements sexistes dans les médias » (1). Le cyber-harcèlement est partout, y compris parfois au sein du couple. Dans le cadre des violences conjugales, les violences physiques sont souvent accompagnées de cyber-violences : cinq femmes victimes de violences conjugales
sur six déclarent ainsi avoir également subi des actes de cyber-harcèlement, selon le Centre Hubertine Auclert (2). Le cyber-harcèlement revêt dès lors plusieurs formes. Il peut s’agir de la propagation de rumeurs sur Internet, de la création d’un faux profil à l’encontre d’une personne, de la publication de photographies sexuellement explicites ou humiliantes, des messages menaçants ou du « happy slapping », cette pratique qui consiste à filmer à l’aide d’un téléphone portable des actes de violence et à les diffuser sur Internet, notamment sur les réseaux sociaux.
Le cyber-harcèlement est une infraction grave réprimée par le Code pénal. La menace de rendre publics sur Internet des enregistrements sonores, des images ou des vidéos à caractère sexuel d’un(e) ex-partenaire, avec l’intention de nuire, peut être qualifiée de chantage (3). Ou encore être sanctionnée sur le fondement de la menace de violence (4). La publication sur un site web permet aussi de sanctionner l’auteur pour des faits de violence psychologique, délit introduit dans notre Code pénal par la loi du 9 juillet 2010 dans le but de lutter plus efficacement contre les violences conjugales (5), quelle que soit leur nature (6). Diffuser à répétition sur Internet des enregistrements, des images, des vidéos à caractère sexuel, c’est aussi du harcèlement sexuel visé et réprimé par le Code pénal (7). Par ailleurs, l’article 222-33-2-2 du Code pénal sanctionne le harcèlement moral d’un an d’emprisonnement et de 15.000 euros d’amende.

Du retrait des contenus à de la prison ferme
La récente loi du 3 août 2018 renforçant la lutte contre les violences sexuelles et sexistes (8) modifie cet article pour prévoir que le délit est également constitué
« lorsque ces propos ou comportements sont imposés à une même victime par plusieurs personnes, de manière concertée ou à l’instigation de l’une d’elles, alors même que chacune de ces personnes n’a pas agi de façon répétée » ou « lorsque
ces propos ou comportements sont imposés à une même victime, successivement,
par plusieurs personnes qui, même en l’absence de concertation, savent que ces propos ou comportements caractérisent une répétition ». En outre, la même loi prévoit une aggravation des peines lorsque les faits sont commis par l’utilisation d’un service de communication au public en ligne ou par le biais d’un support numérique électronique. Ainsi, en cas de cyber-harcèlement, les peines sont portées à trois ans d’emprisonnement et 45.000 euros d’amende. Enfin, l’article 222-16 du Code pénal réprime l’envoi de plusieurs courriels malveillants à l’incrimination des appels téléphoniques malveillants et agressions sonores. A cet arsenal juridique, viennent s’ajouter des décisions judiciaires qui montrent de quelles manières les délits de cyber-harcèlement peuvent être constitués. Par une ordonnance de référé du 29 mars 2016 (9), le président du tribunal de grande instance de Paris a considéré que la publication de 34 articles faisant état de la dangerosité de deux personnes, affirmant qu’elles seraient recherchées par les autorités et lançant des avis de recherche était constitutive du délit de « cyber-harcèlement ». Le dirigeant a été condamné à retirer les articles publiés sous astreinte de 100 euros par jour.

Conseils de la Cnil et plan du gouvernement
A son tour, en 2017, le tribunal correctionnel de Bordeaux (10) a condamné une personne qui a proféré des menaces de mort à l’encontre d’un journaliste via le réseau social Twitter. Les juges ont retenu la circonstance aggravante de « menaces commises en raison de la religion ». Pour déterminer la culpabilité du mis en cause, il est retenu que « le premier message est clairement menaçant » et que « l’enchaînement des messages qui suivent est également de nature à constituer une menace de mort ».
En outre, les juges ont estimé que le délit était constitué, aux motifs que « les menaces ayant été adressées par messages envoyés par Twitter, il s’agi[ssai]t bien de menaces matérialisées par un écrit ». À ce titre, le prévenu a notamment été condamné à une peine d’emprisonnement d’un an ferme. Plus récemment, le 20 mars 2019, un étudiant qui avait harcelé une journaliste sur Internet à la suite d’un article a été condamné à cinq mois de prison avec sursis et 2.500 euros d’amende pour préjudice moral.
Partant du constat que près de 10 % de la population européenne a subi ou subira un harcèlement (11), la Commission nationale de l’informatique et des libertés (Cnil) a publié une série de conseils sur le cyber-harcèlement. Qui sont les cyber-harceleurs ?
« Un internaute peut être harcelé pour son appartenance à une religion, sa couleur de peau, ses opinions politiques, son comportement, ses choix de vie, … Le harceleur peut revêtir l’aspect d’un “troll” (inconnu, anonyme) mais également faire partie de l’entourage de la victime (simple connaissance, ex-conjoint, camarade de classe, collègue, voisin, famille …) », prévient la Cnil. Elle rappelle aux victimes de violences sur Internet la réaction à adopter face au harcèlement – avec comme principe de base de « ne surtout pas répondre ni se venger » – et les paramétrages des médias sociaux conseillés. Si le harcèlement en ligne est réprimé par le Code pénal et relève de la compétence judiciaire, la Cnil rappelle que chaque personne a un droit à l’effacement
et au déréférencement de ses données. Ainsi, la victime peut demander la suppression des informations auprès de chaque site web ou réseau social. La personne qui en est responsable est, par conséquent, tenue de procéder à l’effacement dans les meilleurs délais et au plus tard dans un délai d’un mois (voire trois si la demande est complexe). En cas d’absence de réponse sous un mois, un recours auprès de la Cnil est possible. Pour le droit au déréférencement spécifiquement, elle rappelle que « si ces informations apparaissent dans les résultats de recherche à la saisie de vos prénom et nom, vous avez la possibilité d’effectuer une demande de déréférencement auprès du moteur de recherche en remplissant le formulaire [comme celui de Google, ndlr (12)] ».
Face à la prolifération des faits de harcèlement en ligne, le gouvernement entend se saisir de la question et prendre de nouvelles mesures pour lutter efficacement contre ces actes. Un projet de loi contre les contenus haineux et le harcèlement en ligne devrait être présenté avant l’été. Il a ainsi annoncé le 14 février dernier sa volonté de responsabiliser les plateformes et d’accélérer les procédures pour identifier les auteurs de propos haineux en ligne. Les secrétaires d’Etat – Marlène Schiappa à l’Egalité et Mounir Mahjoubi au Numérique – veulent en effet, par ce « plan d’action », pousser les plateformes à mettre « en quarantaine » ou retirer « en quelques heures » les contenus haineux. Le gouvernement propose ainsi de superviser les outils de signalement
à disposition des internautes et envisage d’auditer régulièrement les règles de modération des contenus des plateformes. Il les incite également à développer leurs outils de modération automatique avec la possibilité, pour les utilisateurs, de faire appel. Le secrétaire d’Etat au Numérique désire par ailleurs créer un nouveau statut pour les plateformes en ligne qui serait entre celui d’hébergeur de contenus et celui d’éditeur, permettant d’engager plus efficacement leur responsabilité. « La loi allemande oblige (…) désormais les acteurs à supprimer dans un délai de 24h les contenus “manifestement illégaux” et prévoit des sanctions allant jusqu’à 50 millions d’euros en la matière », a-t-il rappelé (13).

Aller jusqu’à restreindre l’anonymat
Des mesures concernant l’anonymat sur Internet sont également en réflexion. Il s’agirait de restreindre cet anonymat à certains usages tels que les pétitions en lignes. Enfin, si la possibilité de demander l’identité des auteurs d’harcèlement en ligne existe déjà, le gouvernement voudrait fixer et imposer aux plateformes des délais pour communiquer ces données. @ 

* Christiane Féral-Schuhl est ancien bâtonnier
du Barreau de Paris, et auteure de « Cyberdroit »,
dont la 7e édition (2018-2019) est parue aux éditions Dalloz.