Piratage : l’Hadopi a demandé au Conseil d’Etat une « étude juridique » sur l’évolution de la réponse graduée

Au moment où la réponse graduée franchit le seuil des 2.000 dossiers transmis à la justice depuis ses débuts, elle suscite de plus en plus d’interrogations sur son avenir face aux nouvelles pratiques de piratage. L’Hadopi, cantonnée au peer-to-peer, doit-elle être amenée à infliger des amendes ?

Selon nos informations, la Haute autorité pour la diffusion des oeuvres et la protection des droits sur Internet (Hadopi) a demandé à deux maîtres de requêtes au Conseil d’Etat – Bethânia Gaschet (photo) et Louis Dutheillet de Lamothe (1) – de lui remettre d’ici fin novembre une « évaluation juridique des diverses propositions externes de modification du mode de sanction de la réponse graduée ».
Cette étude leur est confiée à titre individuel et ne constitue donc pas une saisine pour avis du Conseil d’Etat. Il s’agit principalement à savoir si l’instauration d’une amende automatique, que les ayants droits appellent de leurs voeux, peut compléter voire remplacer l’actuelle sanction pour « négligence caractérisée » (2).

Amende, liste noire et suivi des oeuvres
« Amende administrative ou forfaitaire, chacune de ces propositions mériterait d’être bien évaluée au regard des exigences de constitutionnalité, de sa compatibilité avec le statut actuel d’autorité publique indépendante et du nécessaire équilibre entre l’effet d’exemplarité recherché et son acceptabilité pour les usagers », indique à ce propos l’Hadopi dans son dernier rapport d’activité publié en début d’année.
Mais le Conseil constitutionnel est très sourcilleux sur l’exploitation des données personnelles, dont fait partie l’adresse IP des internautes, dans la lutte contre le piratage. Les deux maîtres de requêtes au Conseil d’Etat devront dire si l’on peut remplacer l’actuelle amende pénale par une amende administrative ou forfaitaire, à 135 euros par exemple, qui serait prononcée non pas par l’autorité judiciaire mais par  Lire la suite

Libre circulation des données et souveraineté numérique dans le nuage : le prochain rendez-vous

La Commission européenne prône la libre circulation des données dans le nuage informatique par suppression des restrictions injustifiées de localisation nationale, lesquelles morcèlent le marché unique numérique. Mais cette politique favorise-t-elle vraiment l’émergence d’un « cloud européen » ?

Par Christophe Clarenc (photo) et Martin Drago, cabinet Dunaud Clarenc Combles & Associés

Dans le cadre de sa stratégie de marché unique du numérique (1), la Commission européenne a annoncé le 19 avril dernier un plan de mesures en vue du passage au numérique de l’industrie européenne (2) comportant en particulier une « initiative pour la libre circulation des données » visant à éliminer les restrictions nationales injustifiées et à harmoniser la libre circulation des données européennes – autres que les données personnelles
(3) – dans le nuage informatique.

Nuage européen sous pavillon américain
Attendue pour début 2017 sous la forme d’une proposition législative, cette initiative de la Commission européenne s’inscrit dans sa politique de construction d’un « cadre favorable à un marché unique des données massives et de l’informatique en nuage » répondant aux enjeux et conditions précédemment identifiés dans ses communications du 29 septembre 2012 (« Exploiter le potentiel de l’informatique en nuage ») et du 2 juillet 2014 (« Vers une économie de la donnée prospère ») et dans le rapport intermédiaire « Trusted Cloud Europe » (TCE) remis le 18 mars 2014 (4). Trois grands enjeux combinés étaient identifiés : le positionnement européen dans les infrastructures et l’offre de services en nuage ; les normes de confiance, les certifications de conformité et les conditions contractuelles applicables aux services en nuage ; et les exigences réglementaires ou contraintes prudentielles de localisation nationale des données restreignant la libre circulation de ces dernières dans le nuage.
Dans sa communication de 2012 sur le cloud, la Commission européenne soulignait tout d’abord l’enjeu des capacités et services de l’informatique en nuage dans le développement de l’économie du traitement massif des données et l’intérêt stratégique de positionner l’Europe à l’avant-garde et en acteur mondial du côté de l’offre de capacités et de services en nuage. Dans sa communication de 2014 sur la data, elle qualifiait l’informatique en nuage d’« infrastructure essentielle pour une économie de
la donnée » (voir encadré page suivante) et relevait le retard et le défi capacitaires de l’Europe, par rapport aux Etats- Unis, dans la concurrence mondiale. Elle évoquait également la question de « la souveraineté des données européenne dans le nuage » devant les possibilités « de surveillance par des acteurs publics ou privés » (référence implicite à la soumission et à la participation des grands fournisseurs de services numériques américains aux programmes extraterritoriaux de surveillance et de renseignement des autorités américaines autorisés par le FISA (5)). Ainsi que le montrent les dernières études du marché (6), le nuage européen est plus que jamais sous exploitation américaine – et ainsi sous juridiction extraterritoriale américaine : Amazon Web Services, Microsoft, Google et IBM (les « Big Four » du cloud), dominent largement les capacités européennes (avec des centres de données principalement installés au Royaume- Uni, en Allemagne, aux Pays-Bas et en Irlande), transatlantiques et mondiales d’hébergement distant et chacun des types et modèles de services en nuage. Dans sa communication de 2012, la Commission européenne soulignait ensuite l’enjeu et les conditions de la confiance dans les services en nuage au regard de la responsabilité des fournisseurs, de la jungle des normes et du déséquilibre des contrats dans le nuage, ainsi que du morcellement du marché unique. Ces difficultés tiennent à la diversité des cadres juridiques nationaux et aux incertitudes concernant en particulier la localisation, la propriété et la sécurité des données dans le nuage. La Commission européenne relevait « l’incidence majeure » de la localisation des données sur le cadre juridique applicable et la forte préoccupation de transparence et de conformité des utilisateurs à cet égard à l’endroit de leurs données sensibles. Elle identifiait – dans la confusion des normes et le déséquilibre des contrats – le risque de nuages ne garantissant pas aux utilisateurs la responsabilité, la sécurité, la réversibilité et la portabilité des données hébergées.

Confiance dans le nuage
La communication de 2012 appelait à l’élaboration, pour les services en nuage, de règles de conformité et de dispositifs de certification permettant aux utilisateurs d’utiliser et de choisir en confiance ces services au regard de leurs propres exigences. Dans sa communication de 2014, la Commission européenne annonçait des « actions concernant la transparence des normes, la certification volontaire à l’échelle de l’UE
et des conditions contractuelles sûres et justes pour les utilisateurs » sur la base des recommandations du rapport TCE. Dans ses mesures présentées en avril dernier, elle annonce une « accélération » de l’élaboration de normes communes pour l’informatique en nuage.

Barrières dans le nuage
Enfin, c’est dans sa communication de 2014 que la Commission européenne a abordé et orienté l’enjeu de la circulation des données européennes dans le nuage, sur la base également des recommandations du rapport TCE. Le rapport TCE a dressé une typologie des exigences de localisation des données au sein des Etats membres, présentées comme des barrières réglementaires au développement des services en nuage, en appelant à une élimination des exigences injustifiées et à une harmonisation fondée sur un principe de libre circulation des données dans le nuage à l’intérieur et l’extérieur des frontières de l’UE. Cette typologie est classée par types d’organes prescripteurs (pouvoirs législatifs et réglementaires, autorités de régulation et de supervision, associations professionnelles), par types d’exigences (protection des données personnelles, protection des droits de propriété intellectuelle, confidentialité des données, sécurité des systèmes d’information, exercice des pouvoirs de supervision et de contrôle, souveraineté nationale, sécurité nationale, prévention contre les lois et juridictions étrangères, règles des marchés publics), et par grands secteurs concernés (secteur public, fiscalité, santé, médias, services bancaires et financiers, archives, industrie et consommation).
Dans sa communication de 2014, la Commission européenne a relevé que « dans plusieurs secteurs, les exigences applicables à la localisation des données limitent le flux transfrontière des informations et font obstacle à un marché unique de l’informatique en nuage et des données massives ». Sa communication de 2015 de stratégie de marché unique du numérique (7) a pointé comme restrictives ces exigences des Etats membres de localisation et de conservation des données sur leur territoire, notamment en ce qu’elles « contraignent les prestataires de services en nuage à construire de coûteuses infrastructures locales dans chaque région ou pays », et annoncé son initiative à l’encontre de ces restrictions et pour une libre circulation des données européennes dans le nuage. La Commission européenne a également affiché son intention d’utiliser les négociations commerciales internationales en cours pour éliminer et prévenir ces « nouvelles formes de protectionnisme numérique » (un rapport remis au gouvernement français en avril 2016 par l’IGF et le CGI (8) démontre tout le déséquilibre et le risque d’une telle démarche). On peut ainsi anticiper que son initiative attendue – d’élimination des exigences injustifiées d’hébergement localisé des données pratiquées au sein des Etats membres pour une libre circulation intraeuropéenne et transatlantique de ces données dans le nuage – sera à tout le moins conforme aux attentes et intérêts du « nuage américain » (clairement exprimés dans les positions publiées par l’US Chamber of Commerce et par DigitalEurope).
La France et l’Allemagne ont engagé de leur côté une politique d’offre et de certification de services en nuage souverains (9) La France a lancé une offre de services souverains à travers le projet « Andromède », dont sont issues les offres actuelles de Cloudwatt (Orange) et Numergy (SFR). OVH propose également aujourd’hui une telle offre sur la base de ses capacités installées et administrées en France. L’Allemagne revendique également un « Bundes Cloud » organisé notamment à partir d’une offre
« Cloud Germany » de Microsoft appuyée sur deux centres de données de Microsoft
en Allemagne, avec garantie d’hébergement localisé et sécurisé des données sensibles et administration sous le contrôle d’un tiers de confiance (en l’espèce T-Systems International).

Nuage « souverain »
La France (ANSSI (10)) et l’Allemagne (BSI (11)) collaborent par ailleurs à la mise en place d’un référentiel de sécurité élevé et d’une certification de confiance pour les services en nuage (Cloud Secure) qui pourraient exiger une localisation nationale et/ou européenne des données sensibles et de leurs centres d’hébergement (12). Les débats dans le nuage ne sont pas clos. @

ZOOM

Portée de la directive européenne « SRSI » de juillet 2016
L’informatique en nuage a également été regardée comme une infrastructure critique par la directive européenne sur la sécurité des réseaux et des systèmes d’information (« SRSI ») dans l’Union européenne (UE), adoptée le 6 juillet dernier (13) et applicable
à certains fournisseurs de services numériques, dont les fournisseurs de services d’informatique en nuage, et aux relations entre ces fournisseurs et les opérateurs de services essentiels au fonctionnement de l’économie et de la société (les « opérateurs d’importance vitale » au sens du droit français). Cette directive « SRSI », dont l’ANSSI portera la transposition en France d’ici mai 2018 (14), prescrit aux Etats membres de se doter d’une stratégie et de moyens en vue de garantir un niveau élevé de sécurité (16) sur leur territoire. @

 

Devant l’urgence du tout connecté à très haut débit, la Commission européenne change de paradigme

Le retard de la France dans le déploiement du très haut débit fixe et mobile
est emblématique d’une Europe qui se rend compte du relativement faible investissement de ses opérateurs télécoms. La faute à une réglementation
trop « consumériste » ? Jean-Claude Juncker veut corriger le tir.

Rémy Fekete, associé Jones Day

L’Europe n’est pas prête. Elle n’est pas prête à s’inscrire dans une économie numérique où le très haut débit est la règle et la condition du fonctionnement des nouveaux outils, des services, des contenus, bre f , d e l’activité des entreprises et de la vie
des citoyens.
« France Numérique 2012 », « Plan de relance numérique »,
« Plan national très haut débit » (PNTHD), « Plan France très haut débit » (France THD) : depuis six ans, les politiques n’ont
eu de cesse d’annoncer pour l’Hexagone des jours meilleurs et, en particulier, l’accession de la totalité de la population au très haut débit.

Hors des villes, mornes plaines
Mais ces projets gouvernementaux se sont toujours inscrits dans un horizon calendaire dépassant – estce intentionnel ? – le terme de leur mandat électoral. Entre fibre optique jusqu’à l’abonné (FTTH) en zone dense et très haut débit sur lignes de cuivre (VDSL2) autorisé depuis fin 2013 par l’Arcep, afin d’offrir une solution d’attente à la fibre, les zones d’habitat dense ont certes vu les zones de foyers éligibles au très haut débit atteindre les 15,1 millions – dont seulement 4,8 millions son abonnés (derniers chiffres en date au 30 juin 2016). Mais dans un pays de 66 millions d’habitants, dont 43 % résident en zone peu dense, il y a loin de la coupe aux lèvres . Le niveau
de subventionnement ne cesse d’augmenter (1) et, malgré les mécanismes de financement exceptionnels (2), il faut que l’environnement soit décidemment peu porteur pour constater cinq années plus tard que pour sa grande majorité le budget alloué n’a pas été consommé. Et le très haut débit mobile ?
Là encore, hors des centres villes des principales agglomérations, en dehors des heures creuses, la qualité de service reste très aléatoire. Les engagements de couverture territoriale, y compris en 2G, ont pris un retard considérable. Celles de la 3G et de la 4G ont fait l’objet de nouveaux accords avec les opérateurs mobile et le régime des sanctions utilisables par l’Arcep a été renforcé. Reste que les zones blanches et les zones grises peinent, encore et toujours, à recevoir les investissements nécessaires au déploiement ou à la densification de réseaux mobile sur leurs territoires. Alors comment expliquer ces retards persistants dans l’équipement du pays – de l’ensemble du pays – en réseaux de télécommunications dignes de ce nom ? Le cas français, à vrai dire, est loin d’être le pire au sein de l’Union Européenne. De fait, entre 2006 et 2013, lorsque les quatre principaux opérateurs américains (3) ont augmenté leurs investissements
de près de 40 %, les sept principaux opérateurs européens (4) ont diminué les leurs de 5 % (ces pourcentages intègrent les montants dédiés aux redevances d’attributions de fréquences mais demeurent pertinents s’agissant du déploiement d’infrastructures).

L’ investissement dans le réseau 4G a été particulièrement intensif aux Etats-Unis depuis 2009, avec une croissance de 118 % des investissements dans le mobile.
Si le niveau d’investissement est significativement plus faible sur le continent européen, c’est que le marché lui-même – en particulier sous l’effet d’une régulation
à visée essentiellement consumériste – a laminé les capacités d’investissement des opérateurs télécoms : entre 2006 et 2013, les revenus des quatre opérateurs américains ont augmenté de 51 %, pendant que ceux des sept européens baissaient
de 7 %.
Le revenu moyen par abonné (ARPU) était, sur la période, resté stable aux Etats-Unis quand il chutait de 35 % en France : c’est l’effet d’une régulation ayant incité à augmenter le nombre d’opérateurs dans chacun des pays membres de l’Union européenne ; ce qui n’a pas facilité (un euphémisme) la concentration des opérateurs télécoms, ni au sein de chaque Etat membre ni au niveau paneuropéen.

Vidéo, Internet des objets, cloud, …
Certes, le consommateur a vu le prix de la minute baisser, qu’il s’agisse de voix ou
de données, mais malgré des investissements qui restent significatifs, le déploiement des infrastructures coûteuses d’avenir prend du retard. C’est notamment le cas du LTE, norme proche de la 4G (5). Résultat, l’on peut surtout craindre que ce retard s’amplifie alors que les enjeux de l’économie numérique à très haut débit accélèrent
– avec la multiplication de l’usage de la vidéo notamment – des prévisions du trafic considérable lié à l’Internet des objets et à l’ensemble des applications liées à l’usage du cloud.

Un enjeu « effroyable » (Arcep) ?
L’enjeu, selon les termes mêmes du directeur général de l’Arcep (Benoît Loutrel) à une table ronde en 2015, est « effroyable ». Le terme n’est pas exagéré si l’on réalise que
la disponibilité d’infrastructures très haut débit n’est plus seulement un facteur d’attractivité des entreprises, mais est devenue très simplement une des conditions de leurs maintiens et de leurs capacités à concurrencer efficacement leurs compétiteurs internationaux.
Une étude du Forum économique mondial (6) rappelle de nombreuses études (McKinsey Global Institute, Unesco, UIT, OCDE, Arthur D. Little et Regeneris Consulting) aux termes desquelles un investissement d’une livre anglaise en réseau
de fibre optique en zone rurale crée de l’ordre de 15 livres de valeur ajoutée supplémentaire en Grande-Bretagne. L’investissement dans les réseaux très haut débit est donc non seulement une condition de survie pour les opérateurs télécoms (7), mais le salut viendra de la capacité à fournir aux services à valeur ajoutée, gourmands en bande passante, des capacités de transmission dans des conditions de facilités d’usage et de rapidité à la hauteur des attentes des consommateurs. C’est la condition pour permettre aux opérateurs de réseaux de justifier enfin une augmentation des ARPU.
Dire que dans ce contexte le financement du déploiement de l’Internet très haut débit en France obéit à un régime juridique complexe encadré à la fois par les textes nationaux et par le contrôle de la Commission européenne, en particulier des modalités de subventionnements publiques et des aides d’Etat, est une manière positive de présenter la situation. Des réseaux d’initiatives publiques (RIP) ont connu des conditions de mises en oeuvre difficiles et restent complexes à utiliser, ce qui explique la lenteur du déploiement de réseaux sous ce régime.
Il a fallu plusieurs jurisprudences européennes (8) pour affiner les modalités de financements publiques dans le cadre des services d’intérêt économique général (SIEG). Retard significatif dans le déploiement de réseaux très haut débit, insuffisance des investissements, et régulation complexe et peu stable visant en priorité la satisfaction du consommateur plutôt que l’incitation à l’investissement dans les réseaux, tel semble être le constat partagé par le président de la Commission européenne Jean-Claude Juncker : le 14 septembre dernier, dans son discours sur l’état de l’Union en 2016, il a indiqué l’ouverture du chantier de la refonte significative du cadre européen applica b le au secteur des télécommunications. Il ne s’agit pas seulement d’intégrer
les directives du « Paquet télécom » dans un seul code européen des communications électroniques ou de réviser les pouvoirs de l’Organe des régulateurs européens des communications électroniques (Orece) (9). Mais il s’agit surtout d’engager les réformes nécessaires à l’accélération des investissements dans les réseaux de haut et de très haut débit, et notamment la 5G et la fibre optique. Et ce, afin de rendre le très haut débit mobile disponible dans toutes les zones urbaines avant 2025 (le 10 novembre dernier, le Parlement européen a voté en faveur de la bande des 700 Mhz pour le mobile 4G
et 5G) et permettre à l’ensemble des foyers européens de disposer d’une vitesse de téléchargement d’au moins 100 Mbits/s.
Jean-Claude Juncker y associe un projet intéressant de déploiement de Wifi gratuit au travers des collectivités locales (10). « L’Union européenne vous apporte du Wifi au cœur des villages et des villes, des parcs, des bibliothèques, des bâtiments publics », promet la Commission européenne, qui vise au moins 6.000 à 8.000 hotspots dans
les Vingt-sept (11). Espérons qu’il ne s’agisse pas d’une énième déclaration visant simplement à annoncer le déploiement de réseaux de backbones nationaux, transnationaux, en vue d’un déploiement de fibre en mode FTTH. Si l’on veut atteindre les objectifs annoncé s p a r l’Union européenne, à savo i r d’augmenter avant 2025 le PIB européen de 910 milliards d’euros et créer 1,3 million d’emplois, c’est un véritable changement de paradigme qu’il faut appeler de nos vœux.

Fin du « consumérisme »
Le président de la Commission européenne s’inscrit dans cette perspective lorsqu’il souhaite déplacer le point d’équilibre de la régulation européenne en fixant comme premier objectif l’investissement et non plus uniquement la visée « consumériste » de baisse des prix à courts termes. Il reste à attendre les textes d’application qui mettront en oeuvre les déclarations de Jean-Claude Juncker, et surtout à souhaiter que le processus de rédaction et d’adoption de ces textes aboutisse suffisamment rapidement pour ne pas rendre une nouvelle fois vains les objectifs ambitieux fixés à l’horizon 2025. @

 

 

La légalité de l’hyperlien pointant vers un contenu piraté est jugée d’après les circonstances

Dans un arrêt rendu le 8 septembre 2016 (affaire « GS Media »), la CJUE estime que lorsqu’un hyperlien renvoie vers un site Internet d’œuvres piratées, cela ne signifie pas automatiquement qu’il s’agit d’un acte de communication au public. Question d’équilibre…

Fabrice Lorvo, avocat associé, FTPA.

La Cour de justice de l’Union européenne (CJUE) s’est prononcée sur l’importante question de savoir si le fait
de placer sur un site Internet un lien hypertexte (ou
« hyperlien ») vers des œuvres protégées, librement disponibles mais sans l’autorisation du titulaire du droit d’auteur sur un autre site Internet, constitue ou pas une
« communication au public » au sens de la directive européenne « DADVSI » (1).

Photos de Playboy piratées
Dans l’affirmative, celui qui publie l’hyperlien soit pourrait voir sa responsabilité engagée par l’auteur de l’oeuvre vers laquelle l’hyperlien renvoie, soit devrait
faire disparaître le lien si l’auteur de l’oeuvre le lui demande. Car, selon la directive
« DADVSI », les auteurs ont le droit exclusif d’autoriser ou d’interdire toute communication au public de leurs œuvres. A l’inverse, si l’hyperlien n’est pas un acte de communication au public, l’auteur ne peut rien demander à celui qui place l’hyperlien ; l’auteur ne pourrait se retourner que contre celui qui a diffusé l’oeuvre sur le site Internet vers lequel l’hyperlien renvoie.
Reste à savoir en quoi consiste la « communication au public ». La directive ne la définit pas mais il existe cependant deux décisions datant de 2014 (« Svensson »
et « BestWater ») qui ont déjà conclu que placer un hyperlien ne constituait pas une communication au public dès lors que ledit hyperlien n’était pas destiné à un public nouveau. Cependant, dans ces deux décisions (2), les hyperliens renvoyaient vers
des œuvres qui avaient été rendues librement disponibles, d’une part, sur Internet et, d’autre part, avec le consentement de l’auteur. Lorsque l’oeuvre en question était déjà disponible sur Internet (c’est-à-dire sans aucune restriction d’accès sur le site Internet auquel l’hyperlien permet d’accéder), l’ensemble des internautes pouvaient, en principe, déjà avoir accès à celle-ci même en l’absence de l’hyperlien en cause. Or, dans l’affaire « GS Media », l’auteur n’avait consenti ni au principe de publication de son oeuvre, ni au support de publication (Internet). La question était de savoir si cette particularité était de nature à rendre inapplicable les jurisprudences précitées.

Les faits étaient les suivants : Sanoma, éditeur de Playboy, a commandé à un photographe, des photos nues d’une présentatrice de télévision aux Pays-Bas.
Sanoma est devenu titulaire des droits d’auteur sur ces photos. Avant que Playboy
ne les publie dans la revue papier uniquement, en décembre 2011, ces photos ont
été frauduleusement mises en ligne au mois d’octobre précédent sur un site Internet australien (Filefactory.com). La publication des photos a donc été faite avant la date prévue par l’auteur et sur un support non autorisé (Internet) puisque l’auteur s’était engagé vis-à-vis de la présentatrice à ne les diffuser que sur un support papier. Le site hollandais GeenStijl a notamment publié un hyperlien renvoyant vers Filefactory.com. Sanoma a protesté contre les deux, mais seul le site Filefactory.com a accepté de supprimer les photos. Lesdites photos ont été de nouveau publiées sur un site Internet américain (Imageshack.us). GeenStijl, a donc de nouveau publié un hyperlien vers
le site Imageshack.us. Sanoma a protesté contre les deux, mais seul le site Imageshack.us a accepté de supprimer les photos. Elles ont été une nouvelle fois publiées sur d’autres sites. Le 17 novembre 2011, GeenStijl, a publié des hyperliens renvoyant vers ces autres sites. En dépit des protestations de Sanoma, GeenStijl n’a pas supprimé ses hyperliens. Sanoma a donc engagé une action en responsabilité contre GeenStijl. L’enjeu du débat est donc simple. Si les hyperliens en cause sont qualifiés d’actes de communications au public, GeenStijl a porté atteinte aux droits exclusifs de Sanoma sur les photos en question et a donc engagé sa responsabilité.
A défaut, GeenStijl n’a pas commis de faute.

Une question préjudicielle
Afin de se prononcer sur ce litige, la Cour de cassation des Pays-Bas a posé à la CJUE la question préjudicielle (3) de savoir si « fournir un lien vers un site Internet sur lequel une oeuvre a été placée sans l’accord du titulaire du droit d’auteur constitue une communication au public et ce, indépendamment du point de savoir si cette oeuvre a été publiée auparavant avec son accord ou non ». Dans sa réponse, la CJUE rappelle que les deux décisions déjà mentionnées (« Svensson » et « BestWater ») ne concernaient que le placement des hyperliens vers des œuvres qui avaient été rendues librement disponibles sur Internet avec le consentement du titulaire et ce vers le public en général c’est-à-dire sans mesure de restriction.
La CJUE considère ensuite que lorsqu’un hyperlien renvoie vers un site contenant des œuvres protégées dont la communication n’a pas été autorisée par l’auteur, cela ne signifie pas automatiquement qu’il s’agit d’un acte de communication au public.

Entre droit d’auteur et liberté d’expression
En effet, la CJUE rappelle que la directive « DADVSI » a pour objectif de maintenir
un juste équilibre entre deux droits fondamentaux qui sont également protégés par le droit européen, à savoir les droits de l’auteur sur son oeuvre, d’un côté, et la liberté d’expression et d’information des internautes, de l’autre côté. Or, les hyperliens contribuent au bon fonctionnement de la liberté d’expression et d’information ainsi
qu’à l’échange d’opinions et d’informations sur Internet. Internet est un lieu qui est caractérisé par la disponibilité d’immenses quantités d’informations.
Dans ces conditions, l’hyperlien est une bonne technique pour individualiser et partager certaines informations. La CJUE a donc recherché un critère permettant de trouver un équilibre entre ces deux droits d’égale valeur. Pour ce faire, la Cour invite à rechercher si celui qui place l’hyperlien savait ou devait savoir qu’il donne accès à une oeuvre illégalement publiée sur Internet. Elle relève qu’il peut s’avérer difficile pour un particulier qui place un hyperlien de vérifier si le site Internet vers lequel il renvoie contient des œuvres qui sont protégées et dont leur auteur n’a pas autorisé la publication sur Internet (surtout s’il existe des sous-licences).
De plus, même si la vérification était faite à la création de l’hyperlien, le contenu du
site Internet pointé peut évoluer ultérieurement en dehors du contrôle de celui qui place l’hyperlien. La CJUE considère que la connaissance du caractère illégal de l’accès
par celui qui place l’hyperlien ne peut se déduire que de l’analyse des circonstances suivantes :
• La personne qui place l’hyperlien poursuit un but lucratif. Lorsque le placement d’un hyperlien est effectué dans un but lucratif, celui qui le place doit réaliser les vérifications nécessaires pour s’assurer que l’oeuvre concernée n’est pas illégalement publiée. Si l’oeuvre a été illégalement publiée sur Internet et qu’un but lucratif est poursuivi, il pèse sur la personne qui place l’hyperlien une présomption de connaissance du caractère illégal de l’accès. Sauf à renverser cette présomption, placer un hyperlien vers une oeuvre illégalement publiée sur Internet constitue une « communication au public » au sens de la directive « DADVSI ».
• La personne qui place l’hyperlien a été avertie par le titulaire du droit d’auteur que l’oeuvre a été illégalement publiée sur Internet.
A compter de l’avertissement, il est établi que ladite personne savait ou devait savoir que l’hyperlien qu’elle a placé donne accès à une oeuvre illégalement publiée sur Internet. Ce faisant, la fourniture de ce lien constitue une « communication au public », au sens de la directive « DADVSI ».
• L’hyperlien permet aux utilisateurs de contourner des mesures de restriction prises par le site web où se trouve l’oeuvre protégée afin d’en restreindre l’accès par le public à ses seuls abonnés.
Dans ce cas, le placement de l’hyperlien constitue une intervention délibérée sans laquelle une partie du public ne pourraient pas bénéficier des œuvres diffusées. Ce faisant, la fourniture de ce lien constitue une « communication au public », au sens
de la directive « DADVSI ».
En appliquant les critères précités, la CJUE a conclu qu’il apparaît, sous réserve
des vérifications à effectuer par la juridiction de renvoi, qu’en plaçant ces hyperliens permettant d’avoir accès aux photos litigieuses, GS Media – qui édite le site Internet GeenStijl (4) – a réalisé une « communication au public » au sens de la directive
« DADVSI ».
On doit saluer l’exercice d’équilibre effectué par la CJUE pour prendre en compte
des intérêts parfois divergents, à savoir la protection du droit des auteurs et la liberté d’expression des internautes.

De deux choses l’une
On doit dorénavant distinguer deux situations :
• L’oeuvre a été mise en ligne sur Internet avec le consentement de l’auteur.
Dans ce cas, les titulaires du droit d’auteur peuvent agir uniquement contre toute personne qui utilise un hyperlien pour contourner des mesures de restriction prises par le site web où se trouve l’oeuvre protégée, afin d’en restreindre l’accès par le public à ses seuls abonnés.
• L’oeuvre a été mise en ligne sur Internet sans le consentement de l’auteur. Dans ce cas, les titulaires du droit d’auteur peuvent agir : contre le site Internet qui a initialement publié illégalement l’oeuvre ; contre toute personne ayant placé, à des fins lucratives, un hyperlien vers l’oeuvre illégalement publiée sur un autre site ; contre toute personne – ayant placé un tel lien – qui a été informée du caractère illégal de la publication de l’oeuvre sur Internet et qui n’a pas supprimé l’hyperlien. @

Le vieux débat sur la régulation des OTT est réactivé après le lobbying des opérateurs télécoms

Parmi les règles proposées par la Commission européenne le 14 septembre dernier, dans son projet de « code des communications », figure la possible application – à tout le moins partielle – du régime des opérateurs de communications électroniques aux fournisseurs de services Over-the-Top (OTT).

Par Katia Duhamel, experte en droit et régulation des TIC, K. Duhamel Consulting

Depuis la publication par l’Organe des régulateurs européens des communications électroniques (Orece) de son rapport sur les OTT (1), on s’en doutait un peu, l’Europe semblait incliner vers l’adoption de « règles plus convergentes » entre OTT (Over-The- Top) et opérateurs de communications électroniques. La Commission européenne a désormais tranché : elle souhaite soumettre partiellement au Paquet télécom révisé, les opérateurs télécoms et services OTT tels que Skype, WhatsApp ou FaceTime.

Pourquoi réguler les OTT
Ces propositions s’inscrivent dans le cadre de la stratégie d’un marché unique numérique (Digital Single Market ou « DSM ») pour l’Europe (2), laquelle stratégie suggérait de garantir des conditions de concurrence équitables pour l’investissement des acteurs sur le marché et une application cohérente des règles. Surtout, cette stratégie numérique de la Commission européenne fait suite à un intense effort de lobbying soutenu par les quatre grands opérateurs télécoms européens – Orange, Vodafone, Deutsche Telekom et Telefonicà – dans le but d’obtenir une taxation plus équitable des OTT et de limiter l’utilisation de leurs services, notamment les services
de voix qui concourent largement à la chute drastique du trafic et des revenus sur les réseaux des opérateurs traditionnels. Le principal argument de ces derniers, qui semble l’avoir emporté, est que les OTT – soumis à moins de règles contraignantes – exercent une concurrence déloyale à leur encontre, alors mêmes qu’eux, opérateurs télécoms, doivent assumer seuls les investissements nécessaires. Et ce, pour faire face à l’augmentation exponentielle des usages et des débits, portée précisément par la généralisation des services OTT. Ce à quoi les OTT répondent qu’ils représentent l’avenir de l’économie numérique, et que les soumettre à un cadre réglementaire trop strict pénalisera l’innovation. En filigrane, deux autres arguments ont sans doute joué en faveur de la position des opérateurs télécoms classiques : la question sécuritaire (les criminels et terroristes utilisant ces moyens de communication qui ne permettent pas les écoutes et qui sont plus difficiles à tracer), et l’origine étrangère des OTT tels que Google, Skype, WhatsApp ou FaceTime (lesquels de surcroît mettent en oeuvre des dispositifs d’optimisation fiscale au détriment des revenus fiscaux des Etats membres de l’Union européenne).
Que dit au juste la directive « cadre » du Paquet télécom en Europe ? Elle définit le service de communications électroniques comme « le service fourni normalement contre rémunération qui consiste entièrement ou principalement en la transmission
de signaux sur des réseaux de communications électroniques, y compris les services de télécommunications et les services de transmission sur les réseaux utilisés pour
la radiodiffusion, mais qui exclut les services consistant à fournir des contenus à l’aide de réseaux et de services de communications électroniques ou à exercer une responsabilité éditoriale sur ces contenus ; il ne comprend pas les services de la société de l’information tels que définis à l’article 1er de la directive 98/34/CE qui ne consistent pas entièrement ou principalement en la transmission de signaux sur des réseaux de communications électroniques » (3). Cette définition est reprise en substance dans la loi française (4).
Les opérateurs de services de communications électroniques doivent se conformer à un certain nombre d’obligations légales. Par exemple, ils doivent : assurer des appels d’urgence gratuits, mettre en place des dispositifs pour l’interception et l’écoute des communications, répondre aux réquisitions légales concernant les données de trafic, faciliter la possibilité de changer d’opérateur télécoms tout en conservant son ancien numéro de téléphone, fournir des informations transparentes et actualisées sur les prix et les tarifs, assurer la protection des données à caractère personne et le secret des communications. Et, en premier lieu bien sûr, les opérateurs télécoms doivent se déclarer auprès de l’autorité de régulation sectorielle, comme l’Arcep en France.
Ce qu’aurait prévu de faire Microsoft pour Skype (voir encadré page suivante).

Le débat juridique en Europe
Jusqu’à présent, et encore dans le cadre du projet de nouvelle directive, la Commission européenne ne qualifie pas les services OTT comme des services de communications électroniques. A contrario, en Allemagne, l’Agence fédérale des réseaux (Bundesnetzagentur) considère les fournisseurs de services webmails comme des fournisseurs de services de communications électroniques. Ce qu’a confirmé le tribunal administratif de Cologne en décidant que la loi allemande sur les communications électroniques s’appliquait au service Gmail de Google (5). Par la suite, en avril 2016, la deuxième chambre du parlement allemand, le Conseil fédéral, a adopté une résolution demandant au gouvernement fédéral de veiller à l’application de la réglementation des télécommunications aux services OTT (6).

Les 3 types d’OTT sur Internet
Antérieurement, d’autres régulateurs nationaux avaient déjà qualifié certains types de services OTT de « services de communications électroniques » et les avaient soumis en tant que tels à la réglementation des télécommunications. Il s’agit en particulier des services de voix sur IP (VoIP) du type Skype Out qui permettent d’appeler des lignes fixes et mobiles traditionnelles. Il n’en demeure pas moins que, jusqu’à présent, la portée de la définition des services de communications électroniques issue de de la directivecadre (2002/21 / CE) entretient l’incertitude et selon l’Orece devait être révisée. Pour remédier à cette incertitude, l’Orece proposait donc dans son rapport sur les OTT de classifier leurs services sur la base d’une combinaison de critères techniques et économiques :
• OTT-0 : un service OTT qui peut être qualifié de service de communications électroniques, à savoir un service qui consiste entièrement ou principalement en la transmission de signaux.
• OTT-1 : un service OTT qui n’est pas un service de communications électroniques mais qui est potentiellement en concurrence avec un tel service, comme un service de messagerie instantanée.
• OTT-2 : Les autres services OTT, tels que le commerce électronique, la vidéo et la musique en streaming. Selon la logique de l’Orece, la catégorie « 0 » des OTT – tels que les services VoIP de type Skype Out de Microsoft – devrait se voir appliquer les mêmes obligations que les opérateurs de réseaux de communications électroniques, tandis que les catégories « 1 » et « 2 » bénéficieraient d’un régime de moins en moins contraignant.
Toutefois, dans le projet de directive établissant le code européen des communications électroniques, la Commission européenne affiche moins d’ambition en adoptant une taxinomie un peu différente. Elle distingue entre, d’une part, les services et réseaux
de communications électroniques et, d’autre part, les services de communications interpersonnelles « non dépendant d’un numéro ». Ces derniers, « par exception », pourraient être soumis à des obligations réglementaires indépendamment du fait
qu’ils utilisent – ou non – des numéros. Ces obligations concernent en particulier les exigences de sécurité (article 40) ou d’interopérabilité à savoir l’accès aux services d’urgence (article 102) ou l’obligation d’assurer une connectivité de bout en bout entre les utilisateurs finaux (article 59). Enfin, dans l’hypothèse où ces services de communication interpersonnelles ne bénéficient pas de l’utilisation des ressources de numérotation public, alors ils ne seraient pas soumis au régime général d’autorisation – en l’espèce le régime de la déclaration en France. @

ZOOM

France : Microsoft déclare Skype auprès de l’Arcep
Selon une information de Silicon.fr et de Lemondeinformatique.fr, parue début octobre dernier (7), Microsoft s’est résolu à déposer un dossier auprès de l’Arcep pour devenir opérateur télécoms. Contacté par Edition Multimédi@, le régulateur des télécoms nous a indiqué ne rien avoir reçu (au 11 octobre). Il précisera en outre, d’ici la mi-2017, « sa doctrine » quant à la nature des acteurs soumis à l’obligation de déclaration.

Pour l’éditeur de Windows, propriétaire de Skype depuis octobre 2011, être déclaré auprès de l’Arcep permettrait de pouvoir commercialiser à partir du 1er décembre prochain deux forfaits dans Skype Entreprise. En 2013, l’Arcep avait saisi le Procureur de la République du fait que Skype se rendait coupable d’une infraction pénale en ne se déclarant pas en tant qu’opérateur de communications électroniques en France et ce faisant, se soustrayait aux obligations issues du code des postes et communications électroniques. L’Arcep considérait en effet que la fonction de Skype permettant d’appeler et/ou de se faire appeler était un service de communications électroniques (ou un service téléphonique) et donc que Skype devait se déclarer. L’utilisation de ressources en numérotation était prise en compte par l’Arcep dans son raisonnement.

Cette plainte n’a pas (encore) donné lieu à des poursuites, ou a été classée sans suite (comme une plainte précédente de 2007). En effet, elle est désormais sans objet dans la mesure où l’Arcep dispose, depuis la loi dite « Macron » du 6 août 2015 « pour la croissance, l’activité et l’égalité des chances économiques » du pouvoir de déclarer
un opérateur d’office. Car l’article L. 33-1 du code des postes et communications électroniques (CPCE) prévoit désormais que « lorsqu’une personne exploite un réseau ouvert au public ou fournit au public un service de communications électroniques sans que la déclaration prévue au premier alinéa du présent I ait été faite, l’autorité, réunie en formation de règlement des différends, de poursuite et d’instruction, peut, après que cette personne a été invitée à déclarer sans délai l’activité concernée, procéder d’office à cette déclaration. La personne concernée en est informée » (8). @

Communication des décisions de justice : favoriser la liberté d’expression ou le droit à la vie privée ?

Il est traditionnellement acquis, en jurisprudence française, que le droit à la vie privé ne peut être interprété comme un droit susceptible de faire disparaître le droit à la liberté d’expression. Cependant, une inflexion est perceptible, Internet facilitant les risques d’atteinte à la vie privée.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Signe de l’évolution numérique, ce combat de l’équilibre entre
ces deux dro i t s fondamentaux – la liberté d’expression et le droit au respect de la vie privée – se déplace actuellement sur le terrain du droit à la protection des données à caractère personnel (facette du droit à la vie privée), contre le droit à la protection des contenus médiatiques publiés sur Internet (facette du droit à la liberté d’expression).

Arrêt « Lesechos.fr » de 2016
Tandis qu’explosent actuellement – suite à l’arrêt « Costeja » impliquant Google en Espagne (1) – les demandes de référencement qui atteignent désormais les organes
de presse en ligne, la Cour de cassation a eu l’occasion de trancher en faveur de la protection des archives de presse. Elle a ainsi rejeté, par un arrêt en date du 12 mai 2016, la demande de deux individus ayant sollicité – sur le fondement de l’article 38 de la loi « Informatique et libertés » relatif au droit d’opposition au traitement de données
à caractère personnel – la suppression d’informations identifiantes sur le moteur de recherche du site web d’un journal. Celui-ci, en l’occurrence Lesechos.fr (2), donnait accès à un article de presse faisant état d’une condamnation prononcée à leur encontre plusieurs années auparavant. La Cour s’est fondée sur l’absence d’inexactitude des faits et a considéré que « le fait d’imposer à un organe de presse (…) de supprimer du site Internet dédié à l’archivage de ses articles (…) l’information elle-même contenue dans l’un de ces articles (…) privant celui-ci de tout intérêt [ou] d’en restreindre l’accès en modifiant le référencement habituel, excède les restrictions qui peuvent être apportées à la liberté de la presse ».
Ce parti pris n’est pas nouveau en droit français. Ainsi, dans une affaire concernant la publication d’un article relatif au placement en garde à vue d’un individu qui avait bénéficié d’un non-lieu, le tribunal de grande instance (TGI) de Paris avait déjà jugé en 2015 que le traitement des données litigieuses – l’âge, la profession du requérant et le fait qu’il ait été impliqué dans une procédure pénale – répondait à un intérêt légitime
« tant en ce que l’information portait sur le fonctionnement de la justice et le traitement des affaires d’atteintes graves aux personnes qu’en ce qu’elle visait une personne exerçant une profession faisant appel au public et encadrant une activité proposée notamment à des enfants » et qu’aucun abus de la liberté de la presse n’était établi (3). Cependant, une inflexion est perceptible, l’Internet étant devenu un moyen de rechercher et de se renseigner, facilitant les risques d’atteinte à la vie privée. Cette atteinte est réprimée par l’article 226-1 du Code pénal qui sanctionne d’une peine
d’un an d’emprisonnement et de 45.000 euros d’amende le fait de porter atteinte volontairement à l’intimité de la vie privée d’autrui en « fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l’image d’une personne se trouvant dans un lieu privé ».
S’agissant des comptes rendus de procès ou de décisions de justice citant des personnes physiques parties ou témoins aux procès, la Commission nationale de l’informatique et des liberté (Cnil) avait déjà eu l’occasion de tirer la sonnette d’alarme concernant les risques d’atteintes à la vie privée des personnes concernées. Elle avait en effet considéré en 1995 qu’il n’est pas indispensable de diffuser les décisions en ligne, sur des sites web en accès libre, en précisant que « les aménagements aux règles de la protection des données que commande le respect de la liberté d’expression ne doivent pas avoir pour effet de dispenser les organismes de la presse écrite ou audiovisuelle, lorsqu’ils recourent à des traitements automatisés, de l’observation de certaines règles » (4).

Open data et « République numérique »
Une ordonnance du 19 décembre 2014, dans la suite de l’affaire « Google Spain »
de la même année, vient illustrer cette inflexion. Le juge avait retenu les « raisons prépondérantes et légitimes prévalant sur l e d r o i t à l ’ i n f o r m a t i o n » i n v o q u é e p a r l a demanderesse. La nature des données personnelles, le temps écoulé depuis la condamnation – prononcée huit années auparavant –, et l’absence de mention de la condamnation au casier judiciaire de l’intéressée, justifiaient le déréférencement du lien renvoyant à un article de 2006 (5).
Or, le droit à l’information est en grande partie garanti par la publicité des audiences
et des décisions de justice ainsi que la libre communication des jugements. Aussi, en prévoyant que la quasi-totalité des décisions produites par les juridictions françaises devront être accessible en open data (autrement dit en accès libre), la loi « République numérique » marque l’aboutissement du processus d’ouverture des données. Cette mesure (6) s’inscrit dans la logique de la politique volontariste du gouvernement d’ouverture des données publiques (mission Etalab). Elle répond de surcroît à la préconisation de la mission d’information du Sénat (7) d’inscrire dans la loi une obligation de mise en ligne progressive de l’ensemble des bases de données détenues par l’administration.

Conciliation par anonymisation ?
La numérisation des décisions de justice et leur mise à disposition sur Internet favorise le risque de voir des bases de données se créer et vendre des données sensibles susceptibles d’intéresser certains acteurs. Par exemple, une banque pourrait très certainement ê t re i n t é ress é e p a r l a condamnation pour surendettement d’un de ses clients. Pour reprendre les mots de Claude Bourgeos, docteur en droit, « l ’ e x p l o i t a t i o n d e s b a n q u e s d e d o n n é e s jurisprudentielles [pouvait] aboutir à la constitution d’un gigantesque casier “juridique” des personnes sans qu’aucun contrôle ne puisse être exercé dessus » (8).
Aussi, consciente des risques amplifiés par les facilités de recherche sur l’Internet – rien de plus facile que de retrouver une jurisprudence donnée au moyen de critères croisés (date de la décision, articles visés, motc l é d u tex t e i n t é g r a l ) – , l a C n i l a é m i s u n e recommandation du 29 novembre 2001 (9) portant sur « la diffusion de données personnelles sur Internet par les banques de données de jurisprudence ». Les éditeurs de bases de données de décisions de justice librement accessibles sur des sites Internet doivent s’abstenir de faire faire figurer le nom et l’adresse des parties ou des témoins au procès. Cette mesure doit être prise à l’initiative du diffuseur et sans que les personnes concernées aient à accomplir de démarche particulière. Cette anonymisation ne souffre en principe aucune exception et la Cnil dispose d’un pouvoir de sanctions à l’encontre des responsables de traitement de données à caractère personnel qui ne respecteraient pas leurs obligations. On observe que l’anonymisation générale des décisions de justice publiées sur Internet est également effective dans de nombreux autres pays, notamment en Allemagne, aux Pays-Bas et au Portugal.
En faisant le bilan de cette recommandation cinq ans près (19 janvier 2006 (10)), la Cnil a pu constater que l’anonymisation était effective chez la plupart des éditeurs de bases de données, notamment sur le principal site français de bases de données de jurisprudence en accès libre, Légifrance. Cependant, la puissance des moteurs de recherche permettant d’accéder très aisément à ces décisions – il suffirait, pour un employeur, à la recherche d’un nouvel employé, de se rendre sur une base de données juridique et de taper le nom de l’intéressé –, elle a conclu à la nécessité d’adopter une disposition législative spécifique (11). Celle-ci prévoit l’anonymisation des données lorsqu’elles sont diffusées par des moyens électroniques en raison de « l’impact réel, parfois dramatique, de la diffusion de décisions nominatives sur [un site] sur les vies personnelles et professionnelles des personnes concernées ».
Depuis l’anonymisation s’est imposée très rapidement comme la règle. D’ailleurs, une décision du Conseil d’Etat du 11 mars 2015 (12) a précisé que l’anonymisation était
une règle générale qui s’applique également à la Cnil, en lui enjoignant de procéder
à l’anonymisation des mentions d’une délibération concernant un tiers à la procédure objet de cette délibération. Avec l’open data qui généralise le libre accès aux décisions de justice, le risque de la ré-identification – c’est-à-dire le risque, après anonymisation, de retrouver les noms retirés en s’intéressant aux autres éléments du texte – devient important. En effet, on peut imaginer que si une décision comporte la mention du titre de la personne concernée, par exemple « Mme X, président de la société Y », il ne sera pas très difficile de retrouver le nom de la personne concernée.

Limiter le risque de ré-identification
Aussi, le Conseil d’Etat préconise – afin de limiter le risque de réidentification – de
« faire définir par la Cnil […] des standards d’anonymisation ; constituer au sein de chaque ministère un pôle d’expertise en matière d’anonymisation, a priori au sein du service statistique ministériel ; […] lorsque le risque de réidentification ne peut être écarté, définir une procédure d’accès sur autorisation plutôt que de mettre en ligne,
en particulier lorsque sont en cause des données sensibles » (13). @

* Ancien bâtonnier du Barreau de Paris.

L’affaire « Microsoft » : la localisation des données et l’extraterritorialité en question

Le 14 juillet 2016, la cour d’appel fédérale de Manhattan aux Etats-Unis a décidé qu’un mandat de perquisition ne permettait pas aux autorités américaines d’obtenir des données stockées par Microsoft en Irlande, car un tel mandat ne peut avoir d’effets en dehors des frontières des Etats-Unis.
Quel impact en Europe ?

Par Winston Maxwell (photo), avocat associé, Hogan Lovells

winston-maxwellL’arrêt « Microsoft » a le mérite de préciser l’étendue territoriale des pouvoirs de police aux Etats-Unis et de relancer le débat sur la localisation des données. Cette affaire commence en décembre 2013 lorsqu’un magistrat ordonne à la firme de Redmond de livrer aux services du procureur de l’Etat de New York le contenu de courriers électroniques appartenant à une personne suspectée de trafic de drogues.
Microsoft a livré les métadonnées concernant le compte e-mail du suspect, mais a refusé de livrer le contenu des e-mails, car celui-ci était hébergé en Irlande. Selon Microsoft, les effets de l’ordonnance du magistrat s’arrêtaient aux frontières des Etats-Unis. En première instance, le magistrat a sanctionné Microsoft en 2014 pour avoir désobéi à son ordonnance.

Perquisitions et frontières
Après une procédure d’appel médiatisée et impliquant de nombreuses interventions volontaires, la cour d’appel fédérale a donné raison à Microsoft. La loi américaine permet à la police d’accéder au contenu d’e-mails uniquement après la délivrance par un juge d’un « mandat de perquisition » (warrant). Il s’agit du même outil juridique que celui utilisé pour la fouille d’une maison, par exemple. Selon Microsoft, un mandat de perquisition émis par un juge américain ne pouvait pas produire d’effets en dehors des Etats-Unis.
Le gouvernement américain soutenait, au contraire, qu’aucune fouille n’était nécessaire en dehors des Etats-Unis puisque Microsoft pouvait – à partir de son siège à Redmond (Etat de Washington) – récupérer les données irlandaises par un simple manœuvre technique. Pour le gouvernement américain, la localisation des données n’était pas importante dès lors que le fournisseur de service était situé aux Etats-Unis,
et il pouvait donc accéder à ces données.
La position du gouvernement américain converge avec l’article 57-1 du Code de procédure pénale en France, lequel permet à la police, sous certaines conditions, d’accéder à des données hébergées à l’étranger si un accès à ces données est autorisé en France.
La cour d’appel américaine n’a pas voulu rentrer dans la logique du gouvernement des Etats-Unis. La cour s’est focalisée avant tout sur l’intention du législateur américain. Selon l’arrêt du 16 juillet, une portée extraterritoriale ne peut découler implicitement d’une loi : il faut que la loi prévoie cette portée extraterritoriale explicitement. C’est le cas de certaines lois américaines qui visent de manière explicite des actes commis à l’étranger (actes de terrorisme, ou tourisme sexuel impliquant des mineurs, etc.). Cependant, si la loi ne dit rien sur l’extraterritorialité, la loi doit être lue comme étant limitée au territoire national. Selon la cour d’appel, seul le législateur est habilité à
gérer les questions délicates d’extraterritorialité et des relations internationales. L’extraterritorialité doit être explicite. La loi américaine sur la protection des communications électroniques est silencieuse sur la question territoriale. Pour la cour fédérale, la loi ne peut donc produire d’effets au-delà de la frontière des Etats-Unis.
Par conséquent, le gouvernement ne peut pas utiliser un mandat de perquisition pour forcer Microsoft à livrer des données hébergées en Irlande (1).
Le débat n’est pas clos pour autant, car le gouvernement américain pourrait porter cette affaire devant la Cour Suprême.

Plusieurs enseignements
La décision nous livre plusieurs enseignements. Le premier est qu’en matière d’enquêtes judiciaires, la loi américaine fournit autant de protections aux individus
que la loi française. L’intervention d’un juge est nécessaire, comme pour la fouille
d’un domicile. En matière de protection des données à caractère personnel, la loi américaine sur les enquêtes criminelles ne peut guère être considérée comme étant
« inadéquate », car elle fournit autant de garanties que la loi française.
Certes, les services de renseignement américains ne sont pas tenus, eux, d’obtenir
un mandat avant de collecter des données, y compris hors des Etats-Unis. Ce point
est reproché aux Etats-Unis dans le contexte du nouveau « Privacy Shield » (2). Cependant, aucun pays européen n’impose une telle exigence à ses agences du renseignement. En France, par exemple, les agences du renseignement peuvent collecter des données concernant des communications internationales avec la seule autorisation du Premier ministre. L’erreur serait de comparer l’encadrement des activités de renseignement aux Etats-Unis avec l’encadrement des enquêtes
judiciaires en France. Les deux ne sont pas comparables. Seule une comparaison
« renseignement- renseignement » serait pertinent.

L’extraterritorialité ne se présume pas
Le deuxième enseignement de l’affaire Microsoft concerne localisation des données. Est-ce que la localisation physique des données compte ? En juillet, la Russie a adopté une loi qui étend considérablement l’obligation de stocker des données sur le territoire russe. Un amendement au projet de loi « République numérique » adopté au Sénat aurait créé une obligation de stocker des données sur le territoire français. Cet amendement n’a pas été repris dans la version du texte adoptée en juillet 2016 (3). Certaines lois chinoises prévoient l’obligation de stocker des données sur le territoire chinois. Face aux risques de la mondialisation, certains Etats voient dans la localisation des données un moyen de réaffirmer leur souveraineté. La décision Microsoft semble confirmer que la localisation physique des données peut avoir un impact sur les pouvoirs des autorités nationales.
Mais ce n’est pas si simple. Une loi nationale peut prévoir la possibilité pour les autorités d’accéder à des données hors de son territoire s’il existe un accès dans le territoire (en France, article 57-1 Code de la procédure pénale), voire la possibilité d’intercepter des données à l’étranger (article L854-1 du Code de la Sécurité intérieure). La leçon de l’affaire Microsoft est que la loi doit être précise sur ce point,
car l’extraterritorialité ne se présume pas.
Sur la question de la localisation des données, le nouveau règlement européen du 27 avril 2016 sur la protection des données à caractère personnel (4) est ambivalent, voire contradictoire. D’un côté, la localisation des données n’est pas importante, car tout traitement effectué dans le cadre des activités d’un établissement en Europe – ou lié à l’offre de services en Europe – est couvert par ce règlement, même si les données sont stockées en dehors de l’Europe. Le règlement précise d’ailleurs que le lieu du traitement est sans importance. De l’autre côté, le règlement impose des contraintes particulières pour tout transfert de données en dehors de l’Union européenne, ce qui du coup donne une importance à la localisation. Les prestataires de cloud expliqueront que les données sont stockées partout, et que cette architecture contribue à la sécurité, à la fiabilité, et au faible coût du service.
Mais après l’affaire « Snowden » (5), les fournisseurs de cloud mettent en avant des solutions de stockage 100 % européen, voire 100 % français. Les lois russes et chinoises vont dans le sens d’une localisation forcée des données sur le territoire,
sans parler de lois turques ou iraniennes (6). Dans le cadre de ses travaux sur le marché numérique unique, la Commission européenne dresse un inventaire sur les
cas de « localisation forcée » des données (7), et souligne la nécessité de permettre
la libre circulation des données afin de favoriser l’innovation, la croissance, et la liberté d’expression. Le débat sur la localisation des données s’accompagne d’un débat sur le chiffrement, car une donnée stockée localement n’est guère utile si elle ne peut être déchiffrée. La loi française oblige les fournisseurs de moyens de cryptologie à décrypter des messages, sauf si les prestataires « démontrent qu’ils ne sont pas en mesure de satisfaire à des réquisitions » (article L871-1 du Code de la Sécurité intérieure). Au moment où les gouvernements français et allemand plaident pour des pouvoirs accrus en matière de déchiffrement (8), la présidente de la Commission nationale de l’informatique et des libertés (Cnil) rappelle, dans une tribune qu’elle a cosignée (9), l’importance du chiffrement dans la protection des données à caractère personnel. @

ZOOM

Microsoft résiste encore et toujours à Washington
La firme de Redmond, dans l’Etat de Washington, a décidément maille à partir
avec l’administration de Washington. En effet, en avril 2016, Microsoft a porté plainte
– devant un tribunal fédéral de Seattle – contre le gouvernement américain en l’accusant de violer la Constitution des Etats-Unis en empêchant le géant américain
de l’informatique et du Net d’informer ses milliers de clients des requêtes « secrètes » de l’administration américaine – sous couvert de l’Electronic Communications Privacy Act (ECPA) – pour avoir accès à leurs e-mails et données personnelles.
Cette affaire rappelle celle de l’iPhone qu’Apple avait refusé de débloquer à la demande la police fédérale (FBI) – finalement abandonnée – à la suite de la tuerie de San Bernardino en décembre 2015. @