Piratage des contenus sportifs : vers de nouveaux moyens d’une lutte efficace après le déconfinement ?

Comme par magie, le piratage sur Internet des retransmissions sportives en direct a disparu avec l’annulation de la plupart des rencontres et des épreuves, en raison de la pandémie de covid-19. Mais avec la sortie progressive du confinement à partir du 11 mai, le live streaming sportif illicite reprendra.

Par Richard Willemant*, avocat associé, cabinet Féral-Schuhl/Sainte-Marie

Selon une étude de l’Hadopi réalisée avec l’Ifop et publiée le 14 avril, 13 % des internautes interrogés regardaient encore fin mars des retransmissions sportives en direct durant le confinement – bien que beaucoup de rencontres ont été annulées depuis. Et tous biens culturels confondus, le piratage en ligne a légèrement diminué en un an pour représenter 21 % de leur consommation (1). En mai 2019, l’Hadopi publiait une autre étude avec l’Ifop où 45 % des consommateurs de contenus sportifs en live-streaming en France déclaraient s’être désabonnés d’une offre légale pour consommer le même contenu de manière illégale (2).

Le cadre juridique actuel inadapté
Les dommages causés aux entreprises titulaires d’une licence d’exploitation audiovisuelle des manifestations sportives (3) sont considérables. Le cadre juridique actuel pour lutter contre le streaming illégal est inadapté, tout particulièrement pour les contenus sportifs qui sont par nature éphémères et qui requièrent donc des mesures efficaces de prévention ou de cessation immédiate des atteintes. Hélas, les délais actuels d’obtention d’une mesure judiciaire de blocage ou de référencement d’un contenu illicite sont incompatibles avec la nécessité d’agir, dans un délai de seulement quelques heures, pour faire interrompre un flux pirate. Le contournement d’une mesure de blocage par la mise en ligne d’un site miroir permettant la poursuite des agissements illicites est également difficile à combattre, puisqu’en l’état du droit français une nouvelle action judiciaire est alors nécessaire. Les diffuseurs peuvent certes, en invoquant leurs droits voisins d’entreprise de communication audiovisuelle, agir en référé (4) ou par la procédure accélérée au fond (5) qui permet de solliciter toute mesure propre à faire cesser une atteinte à leurs droits, notamment un blocage ou un déréférencement du site litigieux. Mais les modalités pratiques de ces procédures nécessitent l’obtention d’une autorisation préalable et ne permettent pas d’obtenir une décision à très brefs délais, même par la voie d’une assignation « d’heure à heure ». La voie de la requête (6) – qui permettrait, elle, d’obtenir une décision dans un délai très court – est souvent déconseillée, en raison des risques élevés d’inexécution ou de remise en cause par les intermédiaires techniques, lesquels contestent généralement la réalité des circonstances qui justifieraient de déroger au principe du contradictoire. Le législateur semble avoir pris la mesure de la situation. Le projet de loi française relative à la communication audiovisuelle et à la souveraineté culturelle à l’ère numérique (7), qui transpose les directives européennes « Droit d’auteur » (8) et « Services de médias audiovisuels » (9), comprend une réforme du dispositif de lutte contre la contrefaçon sur Internet, en particulier en cas de retransmission illicite des manifestations et compétitions sportives. Le texte, dont l’examen a été déprogrammé fin mars en raison du covid-19 et sera présenté dans quelques semaines, poursuit le bon objectif, mais risque d’aboutir – en dépit des amendements adoptés à ce jour – à une solution inefficace ou trop complexe à mettre en œuvre.
Parmi les mesures-phares du projet de loi, l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom), issue de la fusion de l’Hadopi et du CSA, hérite des compétences de ces deux autorités, auxquelles sont ajoutées de nouvelles prérogatives. Parmi les moyens dévolus à l’Arcom, il est prévu l’intervention d’agents habilités et assermentés qui pourront enquêter sous pseudonyme et constater, par procès-verbal, les faits susceptibles de constituer des infractions. Un nouvel article L. 333-11 du Code du sport permettrait aux titulaires de droits d’exploitation des contenus sportifs de saisir l’Arcom afin que ses enquêteurs procèdent à des constatations. La nouvelle autorité aura aussi pour mission de créer une liste noire de sites web portant atteinte de « manière grave et répétée » aux droits d’auteurs. En outre, les prestataires de services publicitaires et les fournisseurs de moyens de paiement devront rendre publique l’existence de relations commerciales avec une personne inscrite sur cette liste noire. L’objectif est double : retracer les flux financiers pour les assécher, selon le principe du « Follow the Money », et inciter ces acteurs aux bonnes pratiques par la sanction d’une publicité négative dite « Name & Shame ».

Vers des ordonnances « dynamiques »
Le projet de loi de réforme de l’audiovisuel prévoit un système d’exécution dynamique des décisions judiciaires, à l’image des « Dynamic Injunctions » obtenues en Angleterre (10) et aux Pays-Bas (11) par la Premier League (le championnat d’Angleterre de football, plus importante compétition britannique du ballon rond), afin de lutter plus efficacement contre les sites miroirs. Dès lors qu’une décision sera passée en force de chose jugée, un titulaire de droit pourra saisir l’Arcom qui aura le pouvoir de « demander à toute personne susceptible d’y contribuer, et pour une durée ne pouvant excéder celle restant à courir pour les mesures ordonnées par le juge, d’empêcher l’accès à tout service de communication au public en ligne reprenant en totalité ou de manière substantielle le contenu » litigieux. Par ailleurs, le titulaire de droits pourra saisir l’autorité de régulation, afin qu’elle demande un déréférencement du contenu.

Sports : mesures difficiles à mettre en œuvre
Pour faciliter l’exécution de ces décisions, l’Arcom adoptera des modèles-types d’accord avec les intermédiaires techniques. En cas d’échec, le titulaire de droits pourra saisir l’autorité judiciaire en référé ou sur requête. Ce nouveau régime serait une avancée, mais il est étonnant qu’il ne soit pas conçu comme un dispositif d’injonction stricto sensu. Le nouvel article L. 333-10 du Code du sport permettra au titulaire des droits d’exploitation audiovisuelle d’une manifestation ou d’une compétition sportive et à la ligue sportive de « saisir le président du tribunal judiciaire, statuant selon la procédure accélérée au fond ou en référé, aux fins d’obtenir toutes mesures proportionnées propres à prévenir ou à faire cesser cette atteinte, à l’encontre de toute personne susceptible de contribuer à y remédier ». Le texte prévoit néanmoins trois conditions : l’atteinte doit être « grave et répétée » ; « l’objectif principal ou l’un des objectifs principaux » du site web doit être « la diffusion sans autorisation de compétitions ou manifestations sportives » ; la mesure doit avoir pour but de « prévenir ou de remédier à une nouvelle atteinte grave et irrémédiable » aux droits d’exploitation. Ces trois conditions cumulatives sont très restrictives et pourraient vider le nouveau dispositif de tout son intérêt. Par ailleurs, il est permis de douter de la conformité de cette disposition aux textes européens et aux engagements internationaux de la France en matière de respect des droits de propriété intellectuelle, car elle ajoute des conditions actuellement non prévues. Enfin, notons que le dispositif est prévu « afin de prévenir ou de remédier à une nouvelle atteinte grave et irrémédiable » dont la charge de la preuve pèse sur le demandeur. Ce nouveau dispositif pourrait hélas se révéler moins utile et efficace que le droit actuel incluant l’action spéciale prévue par l’article L. 336-2 du Code de la propriété intellectuelle (procédure accélérée au fond déjà évoquée plus haut). La suite du texte offre des exemples de ce que le juge pourra ordonner aux fins de faire cesser les atteintes : « au besoin sous astreinte, la mise en œuvre, pour chacune des journées figurant au calendrier officiel de la compétition ou de la manifestation sportive, dans la limite d’une durée de douze mois, de toutes mesures proportionnées, telles que des mesures de blocage, de retrait ou de déréférencement, propres à empêcher l’accès à partir du territoire français, à tout service de communication au public en ligne identifié ou qui n’a pas été identifié à la date de ladite ordonnance diffusant illicitement la compétition ou manifestation sportive, ou dont l’objectif principal ou l’un des objectifs principaux est la diffusion sans autorisation de compétitions ou manifestations sportives ».
Les députés ont aussi étendu le délai initial de mise en œuvre des mesures pour une durée de 12 mois, au lieu des 2 mois prévus initialement, afin de prendre en compte les manifestations sportives de courte durée, comme le tournoi de Roland-Garros, qui pourront être protégées à titre préventif, et de rendre le dispositif plus robuste pour lutter contre les sites miroirs sur Internet. Poursuivant ce même objectif, le texte précise que les mesures peuvent être prises à l’encontre de tout site web contrefaisant, ceci incluant des sites Internet qui n’ont pas été visés par l’ordonnance initiale. Il s’agit d’un dispositif d’exécution dynamique des ordonnances prévu spécialement pour les retransmissions illicites de manifestations sportives. Sous les réserves qui concernent particulièrement l’article L. 333-10 I. du Code du sport, ce texte de loi pourrait constituer une avancée majeure pour endiguer le piratage des contenus sportifs en ligne. Il n’est pas encore trop tard pour que les parlementaires assouplissent les conditions de mise en œuvre pour atteindre un niveau de protection équivalent à celui résultant des décisions de jurisprudence obtenues par la Premier League. Dans une étude conjointe, l’Hadopi et le CSA soutiennent que la voie d’endiguement du piratage « sportif » sur Internet et du live streaming illicites passera par le développement de l’offre Over-the-Top (OTT) et par une offre légale moins fragmentée, première cause de piratage. En effet, les internautes qui visionnent du contenu sur des sites Internet illicites ont un profil proche du consommateur de l’offre légale OTT, susceptible, par son développement, de les ramener dans le sérail.

La cherté des offres légales pousse au piratage
Les consommateurs sont souvent repoussés par l’envolée du coût d’accès au sport par la multiplication de l’offre légale. En 2019, pour être sûr de voir jouer Neymar et ses coéquipiers en championnat de France de football de Ligue 1 et au niveau européen en Ligue des Champions, il fallait débourser plus de 50 euros par mois (12). Trop cher, d’autant que ce tarif « contenus » vient s’ajouter à l’abonnement « accès » qui a augmenté avec la fibre optique. Les conditions ne sont pas réunies pour que la consommation audiovisuelle illicite – qui peut prendre plusieurs formes – disparaisse. @

* Richard Willemant, associé du cabinet
Féral-Schuhl/Sainte-Marie, est avocat aux barreaux de Paris et
du Québec, agent de marques de commerce, médiateur
accrédité par le barreau du Québec, délégué à la protection des
données, et cofondateur de la Compliance League.

Affaire Schrems : probable non-invalidation des clauses contractuelles types, fausse bonne nouvelle ?

Alors que le scandale « Cambridge Analytica » continue depuis deux ans de ternir l’image de Facebook, une autre affaire dite « Schrems » suit son cours devant la Cour de justice européenne et fait trembler les GAFAM. Retour sur les conclusions de l’avocat général rendues le 19 décembre 2019.

Par Charlotte Barraco-David, avocate, et Marie-Hélène Tonnellier, avocate associée, cabinet Latournerie Wolfrom Avocats

Les clauses contractuelles types – conformes à la décision prise il y a dix ans maintenant, le 5 février 2010, par la Commission européenne (1) – seraient bien un moyen valable de transfert de données personnelles hors d’Europe (lire encadré page suivante). C’est en tous cas ce que l’avocat général de la Cour de justice de l’Union européenne (CJUE) préconise de juger dans la deuxième affaire « Schrems » (2) qui fait trembler les GAFAM. Reste à attendre de savoir si, comme souvent, la CJUE le suivra. Cette décision, imminente, est attendue non sans une certaine fébrilité.

Schrems II : le retour
Les conclusions de l’avocat général, le Danois Henrik Saugmandsgaard Øe (3), ont été publiées le 19 décembre dernier et s’inscrivent dans le cadre de la saga judiciaire « Schrems », du nom de l’activiste autrichien Maximillian (Max) Schrems qui lutte pour la protection de ses données personnelles face au géant américain Facebook. Cette saga débute en 2013 avec l’affaire « Schrems I ». L’activiste, alors simple étudiant en droit, dépose plainte contre Facebook devant l’équivalent de la Cnil en Irlande (le DPC), le siège européen du groupe américain se trouvant dans cet Etat européen réputé fiscalement accueillant.
Cette première affaire fait suite aux révélations d’Edward Snowden, le lanceur d’alerte qui avait révélé plusieurs programmes américains et britanniques de surveillance de masse. Elle a conduit la CJUE, le 6 octobre 2015, à invalider la décision d’adéquation rendue par la Commission européenne sur laquelle reposait le transfert des données opéré par Facebook Irlande vers sa maison-mère américaine et auto-certifié dans le cadre du Safe Harbour (4), le prédécesseur du Privacy Shield (l’actuel « bouclier de protection des données »). La Cour européenne avait alors considéré que le droit américain présentait des risques trop importants d’ingérence des autorités américaines dans la vie privée des Européens, dont les données étaient transférées vers les Etats-Unis. Et ce, afin que des organismes américains, mêmes de bonne volonté, puissent ainsi bénéficier d’un tel blancseing. Un successeur avait alors rapidement été trouvé au Safe Harbor, en l’occurrence le Privacy Shield, présenté comme plus protecteur (5). Max Schrems a alors reformulé sa plainte auprès de la « Cnil » irlandaise (Data Protection Commissioner), arguant du fait que – les mêmes causes produisant les mêmes effets – ces clauses ne pouvaient pas servir de fondement au transfert de données personnelles vers un Etat aussi intrusif que les Etats-Unis. Tel est l’objet de cette deuxième procédure préjudicielle, l’affaire « Schrems II », laquelle a donné lieu aux conclusions de l’avocat général le 19 décembre 2019.
Le mécanisme des « clauses contractuelles types », lesquelles figurent en annexe et concernent la protection des données, a précisément pour objet de permettre de pallier l’absence de conformité de la législation du pays de destination. Son existence même postule donc que des données peuvent être transférées vers des pays par définition non « adéquats » (terme consacré en la matière), moyennant la mise en place de mécanismes destinés à contrebalancer les effets potentiellement négatifs de la législation de ce pays. Remettre en cause le principe des clauses contractuelles au seul motif que la législation du pays de destination n’assurerait pas un niveau de protection équivalent à celui offert par le règlement général européen sur la protection des données (RGPD) reviendrait donc à priver d’effet son article 46 qui prévoit ces clauses.
Certes, l’avocat général « estime que les “garanties appropriées” [telles que les clauses contractuelles types (…)] doivent assurer que les droits des personnes dont les données sont transférées bénéficient, comme dans le cadre d’un transfert basé sur une décision d’adéquation, d’un niveau de protection substantiellement équivalent à celui qui résulte du RGPD, lu à la lumière de la Charte [des droits fondamentaux de l’Union européenne] ». Il précise toutefois que « la manière dont la continuité du niveau élevé de protection est préservée diffère en fonction de la base juridique du transfert ».

Décision d’adéquation et clauses contractuelles
Dès lors, le problème n’est pas – et ne doit pas être – la validité des clauses contractuelles, mais celui de l’effectivité des garanties de protection des données effectivement en place. Cela implique que le destinataire respecte les clauses, sans en être empêché par son droit local, ce qui est de la responsabilité du responsable du traitement donnant accès aux données de garantir. Le mécanisme des clauses contractuelles repose donc, dans la droite ligne du RGPD (6), sur la « responsabilisation de l’exportateur ainsi que, à titre subsidiaire, des autorités de contrôle ». La question de la validité des clauses ne devrait ainsi dépendre que du point de savoir « s’il existe des mécanismes suffisamment solides permettant d’assurer que les transferts fondés sur les clauses contractuelles types soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer », par exemple en raison d’une législation du pays de destination faisant obstacle au respect des obligations contractuelles souscrites par le destinataire des données.

Importateur et exportateur de données
Et en l’espèce, l’avocat général considère que tel est bien le cas des clauses résultant de la décision de 2010, telle que modifiée suite à l’affaire « Schrems I » par la décision de la Commission européenne du 16 décembre 2016 (7). En effet, au sein de ces clauses, la clause 5 intitulée « Obligations de l’importateur de données », le premier alinéa prévoit que s’il est dans l’incapacité de s’y conformer pour quelque raison que ce soit, « l’importateur des données » doit en informer « l’exportateur de données ». Ce dernier est alors fondé à (et devrait) suspendre le transfert « et/ou » résilier le contrat. Autrement dit, le pourvoyeur de ces données est tenu de stopper leur transfert, si son analyse le conduit à estimer que le risque pour la vie privée des personnes est important au regard des caractéristiques propres du traitement et de ce que les autorités de l’Etat tiers intrusif risquent de faire des données. De plus, le RGPD oblige les autorités de contrôle – si les « Cnil » estiment qu’un transfert ne respecte pas les droits des personnes concernées – à prendre des mesures pouvant aller jusqu’à ordonner la suspension du transfert (8).
La vision de l’avocat général apparaît donc conforme à la lettre et à l’esprit du RGPD : emplie de subtilité et d’une pointe de contradiction. Qu’il revient à ceux qui y sont soumis d’analyser, d’apprécier, et d’appliquer, en leur âme et conscience et surtout responsabilité. De quoi attiser un peu plus le sentiment anxiogène que laisse la lecture de ce texte pour ceux qui y sont soumis. Une invalidation claire et nette des clauses semblerait presque préférable. D’autant que, sur le fond, une telle invalidation serait l’occasion pour la Commission européenne de revoir sa copie pour mettre ces clauses à jour par rapport au RGPD. Rappelons en effet que les obligations imposées au destinataire hors Europe, lequel se trouve être sous-traitant en vertu de ces clauses, ne coïncident pas parfaitement avec celles qui doivent désormais être posées dans tout contrat de sous-traitance (avec ou sans transfert) en vertu de l’article 28 dudit RGPD.
Ne reste désormais qu’à savoir si la CJUE suivra son avocat général. A cet égard, si ses conclusions ne lient pas la Cour européenne, l’on remarque qu’elles l’inspirent souvent. @

FOCUS

Transferts de données personnelles hors de l’EEE
Comme avant lui l’article 26 de l’ancienne directive européenne de 1995 (promulguée il y a 25 ans) sur la protection des données personnelles en Europe (9), l’article 46 du fameux RGPD (10) interdit par principe le transfert de données personnelles hors de l’Union européenne (UE), ou plus précisément hors de l’Espace économique européen (EEE).
Cet EEE, dont le comité mixte du 6 juillet 2018 a incorporé le RGPD dans son accord de 1994, est constitué des pays membres de l’UE, de l’Islande, de la Norvège et du Liechtenstein, pays auxquels il faut désormais ajouter, au moins provisoirement, le Royaume-Uni depuis le Brexit (11). Par transfert de données personnelles « hors d’Europe », les autorités de protection – que sont les équivalents de la Cnil en France – entendent aussi bien le déplacement physique de données que le simple accès depuis un pays situé hors de l’EEE à des données personnelles stockées sur le sol européen. En matière de transferts de données personnelles hors d’Europe, le RGPD pose un principe d’interdiction, assorti toutefois d’exceptions notables :
• Les transferts vers les pays dits adéquats (article 45 du RGPD). Il s’agit des transferts vers des pays hors d’Europe, dont la législation a été reconnue par la Commission européenne comme suffisamment protectrice au regard des standards européens. Si certains de ces pays peuvent sembler anecdotiques (Iles Féroé ou Guernesey par exemple), d’autres le sont beaucoup moins puisque figurent parmi eux les Etats-Unis. Dans ce cas particulier, la législation américaine n’est toutefois réputée adéquate qu’au bénéfice des organismes auto-certifiés dans le cadre du dispositif du « bouclier » Privacy Shield.
• Les transferts encadrés par des garanties appropriées (articles 46 et 47 du RGPD). Il s’agit cette fois de mécanismes conventionnels visant à pallier l’absence de décision d’adéquation du pays de destination. Les plus pratiqués sont les règles d’entreprises contraignantes (les « Binding Corporate Rules ») et les fameuses clauses contractuelles types de la Commission européenne (décision européenne de 2010, modifiée en 2016, notamment). Ces dernières sont très simples à mettre en œuvre en pratique : il s’agit d’un modèle de contrat qui doit être signé tel quel. Aucune de ses clauses ne peut être librement négociée. Seules les annexes décrivant le transfert doivent être complétées, selon un formalisme lui aussi imposé.
• Les transferts en vertu des dérogations particulières (article 49 du RGPD). Ces dérogations-là sont conçues de manière tellement exceptionnelle par les autorités de protection qu’elles n’ont pas vocation à s’appliquer à des transferts de données massifs ou structurels (12). Parmi ces dérogations, figurent notamment le consentement explicite des personnes concernées, ou encore les nécessités (réelles) de l’exécution d’un contrat particulier, un contrat de réservation d’hôtel à l’étranger par exemple. @

Cookies : l’écosystème de la publicité ciblée s’organise en attendant la recommandation finale de la Cnil

C’est en avril que la Cnil devrait publier sa recommandation finale sur « les modalités pratiques de recueil du consentement » des utilisateurs au dépôt de « cookies et autres traceurs » sur leurs terminaux. Retour sur le projet de recommandation, qui est contesté par les éditeurs et les publicitaires.

Par Sandra Tubert et Laura Ziegler, avocates associées, BCTG Avocats

Alors que l’adoption du règlement européen « ePrivacy » patine depuis déjà trois ans (1), certaines « Cnil » européennes – allemande, anglaise, française, espagnole et grecque – ont décidé de prendre les devants en adoptant leurs propres lignes directrices sur les règles attendues en matière de cookies et autres technologies de traçage. En juin 2019, en France, la Cnil (2) a annoncé son plan d’action en matière de publicité ciblée. Au menu : l’adoption de lignes directrices dans une délibération datée du 4 juillet 2019 rappelant les règles de droit applicables en matière de cookies (3), complétées d’un projet de recommandation publié le 14 janvier dernier précisant les modalités concrètes de recueil du consentement.

Un cadre plus strict et peu pragmatique
Ce projet de recommandation (4), dont la version finale devrait être adoptée courant avril, a été soumis à consultation publique, laquelle s’est achevée le 25 février avec un taux de participation étonnement très relatif (5). L’abandon de la poursuite de la navigation comme modalité valide de recueil du consentement – modalité qui prévalait jusqu’alors puisque préconisée dans la recommandation de la Cnil de 2013 – est l’une des annonces phares de la Cnil. En effet le consentement tel que défini dans le règlement général européen sur la protection des données (RGPD) doit être spécifique, éclairé, univoque et libre (6). Pour satisfaire à ces quatre critères, la Cnil détaille dans ses deux textes ses attentes vis-à-vis des professionnels pour recueillir un consentement valide pour le dépôt et la lecture de cookies. Elle prend néanmoins le soin de préciser, dans son projet de recommandation, que les exemples de modalités pratiques y figurant ne sont ni prescriptifs ni exhaustifs. Les professionnels peuvent donc choisir d’autres modalités, dès lors qu’elles sont conformes aux exigences de qualité du consentement posées par le RGPD. Il est alors surprenant de constater que malgré cette annonce et le délai de grâce de six mois laissé aux sociétés pour se mettre en conformité, la Cnil précise sur son site Internet : que des contrôles seront mis en place six mois après l’adoption de sa recommandation définitive pour en vérifier le respect pratique, et que le respect des règles en matière de cookies est l’un des trois axes prioritaires du plan de contrôle pour 2020 de la Cnil (7). Ce projet de recommandation a également été l’occasion pour la Cnil d’insérer, dans chacune des sections, des « bonnes pratiques » qui sont en réalité – et de son propre aveu – des pratiques « permettant d’aller au-delà des exigences légales » (8). Concernant le premier critère, à savoir le caractère éclairé du consentement, celui-ci s’entend comme la fourniture – au moyen de termes simples et compréhensibles par tous – d’une information sur les différentes finalités pour lesquelles les cookies seront utilisés, les acteurs qui les utiliseront et la portée du consentement. Pour satisfaire ce point, exit les terminologies juridiques ou techniques complexes ou le simple renvoi vers les conditions générales d’utilisation (CGU) : la Cnil attend la fourniture d’une information complète, lisible et mise en évidence au moment du recueil du consentement. En pratique, cela signifierait une information en deux niveaux.
• Dans le premier niveau d’information, il s’agit de mettre à disposition de façon succincte l’identité du ou des responsables du traitement (avec un lien ou un bouton renvoyant à la liste complète des sociétés utilisant les cookies), les finalités des cookies mises en avant dans un intitulé court, accompagné d’un bref descriptif (ainsi que la possibilité d’accéder à une description plus détaillée sur le second niveau via un bouton ou un lien hypertexte), et le droit de retirer son consentement.
• Dans le second niveau d’information, accessible via un lien hypertexte ou un bouton depuis le premier niveau d’information, sont attendues deux listes exhaustives : celles sur les responsables de traitement utilisant des cookies et celles des sites web et applications tiers où la navigation des utilisateurs est suivie. Et c’est bien là toute la nouveauté et la complexité des attentes de la Cnil en la matière.

Fini les seuls boutons « Accepter »
De l’avis général, l’écosystème de la publicité ciblée est un système relativement complexe impliquant un nombre considérable d’acteurs. Attendre de l’éditeur d’un site web, la tenue et la mise à jour de ces deux listes et l’obtention d’un nouveau consentement de l’utilisateur en cas d’ajouts de responsables du traitement qualitativement ou quantitativement substantiel semble peu réaliste et laisse par ailleurs à l’appréciation de chacun le caractère substantiel des changements opérés. Toute cette information doit naturellement être fournie aux utilisateurs sans avoir recours à la pratique des cookies walls, reconnue non valide par la Cnil et le Comité européen de la protection des données (CEPD), puisque non compatible avec le caractère libre du consentement. C’est par ailleurs ce qui pousse la Cnil à préciser que l’utilisateur doit avoir la possibilité d’accepter ou de ne pas accepter le dépôt de cookies pour que l’on puisse valablement considérer que son consentement est « libre ». Pour ce faire, les mêmes modalités techniques et de présentation doivent s’appliquer à la capacité de consentir ou de refuser (9). Fini donc les boutons « Accepter » mis en évidence et les petits liens « En savoir plus », dont l’identification incertaine était laissée au soin des utilisateurs, lesquels devaient en déduire qu’ils étaient là pour paramétrer ou refuser le dépôt de cookies. Désormais, l’utilisateur devra se voir proposer des boutons identiques pour refuser ou accepter le dépôt de cookies.

Des délibérations et exigences critiquées
Par ailleurs, le consentement et le refus de consentement devront être enregistrés pour une durée identique – de 6 mois d’après la Cnil – de manière à ne pas solliciter à nouveau, pendant un certain laps de temps, le consentement de l’utilisateur, afin de ne pas le pousser par cette pression répétée à accepter par lassitude. Pour répondre au caractère spécifique du consentement, la Cnil exige également qu’il soit possible pour l’utilisateur de consentir de manière granulaire pour chaque finalité distincte. Différentes modalités semblent acceptées par l’autorité de contrôle : soit sur le premier niveau d’information, soit sur le second. Le consentement global – et donc le bouton « Tout accepter » – est toutefois possible à condition : d’avoir présenté toutes les finalités au préalable, de permettre de consentir par finalité, et de proposer également la possibilité de refuser de façon globale. En pratique donc, devraient fleurir des boutons « Tout accepter », « Tout refuser » et « Paramétrer/Personnaliser », de même taille, de même police et mis en évidence de manière identique pour être conforme aux exigences de la Cnil.
Enfin, pour respecter le caractère univoque comme le caractère libre, la Cnil interdit la pratique des cases pré-cochées, des interrupteurs sur la position activée par défaut et l’acceptation des cookies par les CGU, l’objectif étant que l’utilisateur effectue un acte positif pour mieux prendre conscience du choix qu’il réalise. Les attentes de la Cnil sont donc extrêmement exigeantes envers les éditeurs de sites web et d’applications mobiles, d’autant plus que ces deux délibérations – lignes directrices du 4 juillet 2019 et projet de recommandation – sont à l’heure actuelle assez éloignées des pratiques existantes sur le marché. Il n’est dès lors pas étonnant qu’elles aient fait l’objet de vives contestations par les acteurs de l’écosystème : recours devant le Conseil d’Etat (10) déposé le 18 septembre 2019 par neuf grandes associations professionnelles contre les lignes directrices de la Cnil ; tribunes, lettres ouvertes et prises de position (11) du Collectif pour les acteurs du marketing digital (CPA), de l’Udecam (12) et du Geste (13), reprochant à la Cnil de ne pas avoir pris en compte les propositions des représentants exprimées lors de la concertation engagée par la Cnil entre la publication des lignes directrices et l’adoption du projet de recommandation. Outre la contestation des différents acteurs dont le modèle économique s’est construit autour de la publicité ciblée, se pose également la question de la compatibilité de la multiplicité des lignes directrices publiées ces derniers mois par les différentes autorités de contrôles en Europe. Dans un monde globalisé où Internet est par essence transfrontalier, la publication de lignes directrices aux exigences divergentes par les autorités de contrôle européennes pousse les acteurs désireux de se mettre en conformité à des arbitrages, parfois hasardeux, qui ne sont pas souhaitables. Comme pour justifier le contenu de son projet de recommandation, la Cnil a publié en même temps que ce dernier, les chiffres d’un sondage Ifop (14) dont les résultats sont saisissant de paradoxes. En effet, alors que 70 % des personnes interrogées pensent qu’il est indispensable d’obtenir à chaque fois leur accord au risque d’alourdir leur navigation, 65 % pensent que les demandes d’autorisation de dépôt des cookies ne sont pas efficaces pour protéger leur vie privée. Pire encore : 90% considèrent qu’en plus de consentir, elles devraient connaître l’identité des entreprises susceptibles de suivre leur navigation sur le Web via des cookies, alors que différents sondages précisent que 89 % d’entre elles ne prennent pas le temps de lire ce à quoi elles consentent en ligne.
Face aux difficultés de mise en œuvre pratique du projet de recommandation de la Cnil, aux impacts significatifs que ses exigences pourraient avoir, le modèle des cookies se retrouve plus largement questionné. Google a annoncé – le même jour de la publication du projet de recommandation de la Cnil – son intention de faire disparaître les cookies tiers de son navigateur Chrome d’ici deux ans en optant pour une « Privacy Sandbox », tout comme l’avaient auparavant annoncé Apple avec Safari et Mozilla avec Firefox. Même Criteo – sous le coup d’une enquête de la Cnil suite à une plainte de Privacy International (15) – tente de rassurer en annonçant avoir des solutions qui fonctionneraient sans cookies (16).

Paramètres des navigateurs et des OS
Dans ce contexte, on peut légitimement s’interroger sur la nécessité d’utiliser de nouveaux outils qui pourraient permettre, à la fois, de répondre aux enjeux du modèle économique de la publicité ciblée et de protéger plus efficacement la vie privée des utilisateurs. Une publicité « mieux » ciblée, alignée sur les préférences choisies et affichées des utilisateurs en amont, via un medium à déterminer, ne serait-elle pas une piste à explorer ? De son côté, dans ses deux textes, la Cnil semble en appeler à la modification des paramètres des navigateurs et des systèmes d’exploitation (OS), afin que ceux-ci permettent aux utilisateurs d’exprimer leurs préférences. Cette solution est fortement critiquée par certains acteurs du fait du « monopole » qu’obtiendrait certains GAFAM avec une telle approche. Le débat est ouvert. @

Pour la reconnaissance faciale à distance ou locale, les enjeux éthiques ne sont pas les mêmes

Identifier un visage dans une foule soulève de sérieuses questions sur les libertés individuelles. Mais il existe de nombreux autres usages de la reconnaissance faciale, notamment la validation d’identité en local. Ces utilisations ont vocation à se développer mais posent d’autres questions éthiques.

Par Winston Maxwell* et David Bounie**, Telecom Paris, Institut polytechnique de Paris

L’utilisation de la reconnaissance faciale pour l’identification à distance constitue une menace pour les libertés individuelles, car cela tend à banaliser une société de surveillance. Selon le New York Times, une start-up américaine Clearview AI a déjà fabriqué des gabarits d’identification de 3 milliards d’individus à partir d’images copiées sur le Web (1). N’importe quelle force de l’ordre – mais pas le grand public (2) – peut utiliser le logiciel de Clearview AI et identifier les visages dans une foule. Cependant, plusieurs villes américaines ont temporairement banni cette utilisation de la technologie par leurs autorités publiques.

Outils de surveillance généralisée
En Europe, la Commission européenne appelle à un grand débat européen sur l’utilisation de la reconnaissance faciale pour l’identification à distance. En France, le secrétaire d’Etat au numérique, Cédric O, souhaite lancer des expérimentations. Pour l’identification à distance, il faut avancer à tâtons pour trouver le bon équilibre entre les impératifs de sécurité publique et la préservation des valeurs démocratiques. Mais ce débat n’est pas différent au fond de celui qui, depuis 50 ans, entoure les technologies de surveillance des communications électroniques. La technologie utilisée pour la surveillance des communications n’a pas cessé d’évoluer : IMSI-catchers ou intercepteurs d’IMSI (3), boîtes noires, Deep Packet Inspection (DPI), captation à distance, … Ces outils permettraient une surveillance généralisée de la population. Leur utilisation en France est interdite, sauf par les forces de polices et des autorités de renseignement sous le contrôle de juges et de la CNCTR (4).
En application de la jurisprudence européenne, l’utilisation de technologies invasives de surveillance par l’Etat se justifie uniquement si l’utilisation est prévue par une loi. Et ce, pour faire face à une menace particulièrement grave, la lutte contre le terrorisme par exemple, et sous le contrôle d’un juge ou d’une commission indépendante. L’utilisation de la reconnaissance faciale pour identifier les individus à distance devrait suivre la même trajectoire : interdiction, sauf pour les autorités de police ou de renseignement sous le contrôle des juges. D’ailleurs, c’est déjà ce qui est prévu par la directive européenne européenne dite « Police-Justice » (5) de 2016, puisque la reconnaissance faciale est un traitement biométrique soumis à des règles strictes. Mais il existe un deuxième type d’utilisation, non-évoqué par la Commission européenne dans son livre blanc (6) sur l’intelligence artificielle (IA). Il s’agit de valider l’identité « en local » d’un individu en comparant sa photo « selfie » avec la photo de la pièce d’identité. Cette utilisation permet notamment d’ouvrir un compte bancaire à distance ou bien de passer plus vite dans un portique automatique à l’aéroport. Cette utilisation de la reconnaissance faciale se généralise, et elle paraît – de prime abord – moins attentatoire aux libertés individuelles : d’une part, parce que les personnes sont conscientes et consentantes de l’utilisation (ce qui n’est pas le cas pour l’identification à distance) ; d’autre part, parce qu’aucune image ni gabarit biométrique n’est stocké de manière centralisée. La vérification s’effectue en local, comme pour déverrouiller un smartphone avec l’empreinte digitale. Le système crée un gabarit biométrique à partir de la photo du passeport, analyse ensuite la photo de selfie, crée un deuxième gabarit biométrique du selfie, et compare les deux gabarits pour établir une probabilité de correspondance. Ensuite les gabarits sont détruits (lire encadré page suivante). La reconnaissance faciale locale soulève néanmoins des questions éthiques et juridiques importantes : l’existence d’un consentement libre, le problème des biais, l’explicabilité des algorithmes, et la difficile articulation avec le règlement général sur la protection des données (RGPD) pour la phase d’entraînement. La reconnaissance faciale « locale » pose la question du consentement libre. Si la personne subit des conséquences négatives en refusant la reconnaissance faciale, le consentement ne sera pas libre. Il en sera de même si le consentement est demandé par une personne jouissant d’une position d’autorité, par exemple si la direction d’un lycée demandait aux élèves de consentir à l’utilisation de la reconnaissance faciale pour rentrer dans l’établissement (7).

Les biais statistiques sont inévitables
Concerne les biais cette fois, le Parlement européen a appelé le 12 février 2020 à l’utilisation d’algorithme qu’il faut entraîner avec des données « non-biaisées » (8). Or, une telle condition est impossible à satisfaire en pratique. Certains groupes de la population seront toujours sous-représentés dans les images d’entraînement, ce qui signifie que les biais statistiques seront inévitables. Cela peut conduire à des niveaux de performance inégaux selon le genre, la couleur de peau ou la situation de handicap d’une personne. Par exemple, l’algorithme pourrait avoir plus de difficulté à identifier une femme noire qu’un homme blanc au moment de la vérification de l’identité à l’aéroport. Ces biais peuvent exister sous une forme bien pire chez les humains. Mais pour un algorithme, ce genre de biais est peu acceptable. Corriger ces biais dans l’algorithme est possible, mais cela soulève d’autres questions. Par exemple, si l’algorithme a un taux d’erreur élevé pour des personnes atteintes d’une certaine maladie de la peau, devons-nous baisser artificiellement le niveau de performance pour tous les autres groupes de la population pour que le taux d’erreur soit équivalent ? Ces questions deviennent rapidement politiques : à partir de quel moment un biais algorithmique devient-il suffisamment problématique pour le corriger, ce qui affectera inévitablement la performance de l’algorithme pour les autres personnes ?

Savoir s’il y a discrimination algorithmique
Un autre aspect éthique de la reconnaissance faciale concerne l’explicabilité des algorithmes. En France, le code des relations entre le public et l’administration garantit à chaque individu le droit d’obtenir une explication lorsqu’un algorithme géré par l’Etat prend une décision à son encontre (9). Logiquement, ce droit exige que l’exploitant de l’algorithme soit en mesure d’expliquer à une personne pourquoi un système n’a pas pu vérifier son image par rapport à sa pièce d’identité. Techniquement, des solutions d’explicabilité existent, même pour des réseaux de neurones. Mais fournir une explication exige le stockage d’informations, et notamment les gabarits générés par l’algorithme. Or, le RGPD et la directive « Police- Justice » interdisent généralement ce stockage, surtout lorsqu’il s’agit de données biométriques.
Résultat : dans certains cas, il n’y aura aucune explication quant au refus du système de vérifier l’identité. Le système ne réussira pas à identifier la personne, sans que la personne puisse vérifier si elle a fait l’objet d’une discrimination algorithmique. Cette absence de transparence pose une difficulté au niveau des droits fondamentaux, comme le démontre une récente décision du tribunal de la Haye (10).
Enfin, l’entraînement des algorithmes de reconnaissance faciale est difficile à réconcilier avec le RGPD. Pour réduire les discriminations, l’Agence européenne des droits fondamentaux (FRA) souligne la nécessité d’entraîner l’algorithme sur une grande quantité d’images représentatives de la population, et notamment les personnes vulnérables (11). Or cette condition est quasiment impossible à remplir en Europe puisque le RGPD et la directive « Police-Justice » interdisent la création de grandes bases d’images, surtout lorsque les images sont étiquetées selon la couleur de peau ou la situation de handicap. Les systèmes américains et chinois bénéficient, eux, d’entraînement sur des dizaines de millions d’images, ce qui crée un avantage concurrentiel considérable. De plus, les tests de non-discrimination des algorithmes s’effectuent tous aux Etats-Unis à l’agence NIST (12), même pour les systèmes européens.
L’entraînement des algorithmes pose un problème particulier puisque le gabarit d’un visage est considéré comme une donnée biométrique. Or le RGPD interdit le traitement de données biométriques, hormis des cas limités – par exemple, le consentement explicite de la personne. Du coup, un entraînement sur des millions d’images récupérées sur Internet devient impossible par une société européenne puisque l’entraînement nécessite la création, au moins temporaire, de gabarits, une donnée biométrique. Une solution pourrait consister en l’assouplissement des conditions d’application du RGPD lorsqu’il s’agit de créer des gabarits éphémères pour l’apprentissage des algorithmes dans des environnements contrôlés, voire de considérer que ces gabarits ne sont pas des données biométriques puisque la finalité de leur traitement n’est pas l’identification d’une personne mais seulement l’entraînement de l’algorithme. Lorsque l’algorithme est mis en exploitation, les dispositions du RGPD ou de la directive « Police-Justice » sur la biométrie retrouveraient toute leur force, puisque les gabarits seraient bien utilisés pour identifier des personnes. Le consentement explicite de la personne, ou en cas d’intérêt public et de nécessité absolue, serait alors nécessaire. @

* Winston Maxwell, ancien avocat, est depuis juin 2019 directeur d’études
Droit et Numérique à Telecom Paris. ** David Bounie est directeur du
département Economie et Sciences sociales à Telecom Paris.

ZOOM

Qu’est-ce qu’un gabarit ?
Un gabarit est l’équivalent d’un code barre qui contient les mensurations uniques d’un visage. La clé du succès en matière de reconnaissance faciale est de créer un algorithme capable de générer des gabarits de qualité à partir d’images d’individus. Un algorithme de qualité doit savoir générer le même gabarit pour l’image de Paul, quelles que soient les différences de lumière, d’angle de vue et de netteté de l’image de Paul. Pour entraîner l’algorithme, on va présenter à un réseau de neurones 100 photos d’une même personne — par exemple Angelina Jolie — récupérées sur le Web, avec des angles de vue et des lumières différents, et demander au réseau de neurones de trouver une formule mathématique qui permettra pour chaque photo d’Angelina Jolie de générer le même gabarit, quels que soient l’angle de vue ou la lumière. Les gabarits générés pendant l’apprentissage sont éphémères. Ils servent uniquement à aider l’algorithme à trouver la bonne formule mathématique. Une fois cette formule mathématique unique établie, elle peut s’appliquer à n’importe quelle nouvelle photo de passeport et générer, pour cette photo, un gabarit de qualité. L’algorithme va ensuite générer un deuxième gabarit à partir d’une deuxième photo (par exemple un selfie), et si l’algorithme est bien fait, les deux gabarits vont correspondre malgré les différences d’angle de vue et de lumière. La qualité de cet algorithme est au cœur des systèmes de reconnaissance faciale. @

A la demande des industries créatives, les Etats-Unis déclarent la guerre à la contrefaçon et au piratage

La peur va-t-elle changer de camp aux Etats-Unis ? Le président Donald Trump entend donner des gages aux industries créatives en déclarant la guerre à la contrefaçon et au piratage de produits, y compris en ligne. Les plateformes de e-commerce devront coopérer. Mais le risque liberticide existe.

Fabrice Lorvo*, avocat associé, FTPA.

Au commencement de la révolution numérique, les acteurs de l’Internet, par philosophie ou par appât du gain, se sont opposés à toute régulation au nom de la liberté. Cependant, se pose avec persistance l’éternelle question : « Peut-il y avoir de liberté sans contrainte ? ». Dans les faits, le cyberespace est devenu un terreau fertile sur lequel a pu prospérer tant la contrefaçon que la piraterie.

Contrefaçon : plus de 1.000 milliards de $
Le contrefacteur est celui qui vend au public une copie de produits originaux copiés ou imités, alors que le pirate met à la disposition du public, sans autorisation du titulaire des droits, une œuvre ou un événement protégé et en tire un revenu ou un avantage direct de son activité, par exemple par abonnement ou par la publicité. D’un point de vue général, la vente de produits contrefaits et piratés – via des plateformes de commerce électronique et des marchés tiers en ligne – est une entreprise très rentable. En 2018, d’après une étude publiée par Bascap (1) et Frontier Economics (2), le montant des ventes mondiales des produits de contrefaçon était estimé en 2013 entre 710 et 917 milliards de dollars (3), et il est prévu qu’il atteindra 1.000 à 1.220 milliards de dollars d’ici 2022.
Pour les contrefacteurs, les coûts de production sont faibles. Internet permet d’accéder à des millions de clients potentiels. Le processus transactionnel est simple et le référencement sur des plateformes de notoriété internationale confère une apparence de légalité. De plus, les risques sont faibles car les contrefacteurs peuvent être résidents de pays dans lesquels cette activité illégale est peu poursuivie ou peu sanctionnée, que ce soit sur le plan civil ou pénal.
L’industrie numérique est aussi directement touchée. L’étude démontre que le montant des ventes mondiales des produits numériques piratés en 2015 était de 213 milliards de dollars (dont 160 milliards pour les films, 29 milliards pour la musique et 24 milliards pour les logiciels). Il est prévu qu’il atteindra d’ici 2022 entre 384 et 856 milliards de dollars (dont entre 289 et 644 milliards pour les films, entre 42 et 94 milliards pour la musique, et entre 42 et 95 milliards pour les logiciels).
Les réseaux sociaux sont eux-aussi concernés par la prolifération des contrefaçons. Selon un rapport de Ghost Data paru en 2019, près de 20 % des articles analysés sur les produits de mode sur Instagram comportaient des produits contrefaits ou illicites (4). Plus de 50.000 comptes Instagram ont été identifiés comme faisant la promotion et la vente de contrefaçons, une augmentation de 171 % par rapport à 2016. Ce phénomène est notamment justifié par les fonctionnalités proposées par les réseaux sociaux. Sur Instagram, par exemple, la recherche de certains biens est facilitée par l’utilisation des noms des marques de luxe dans les hashtags, les fameux mots-dièse. Les résultats de ces recherches mêlent cependant, à l’insu des utilisateurs, des produits contrefaits et des produits authentiques. Il est donc difficile de les différencier. De plus, la fonctionnalité « Story » d’Instagram est très utilisée par les vendeurs de contrefaçons car le contenu publié disparaît en vingt-quatre heures, ce qui permet de vendre rapidement et de disparaître.
Le 3 avril 2019, le président des Etats-Unis a publié un « Memorandum sur la lutte contre le trafic de marchandises contrefaites et piratées » (5) dans lequel il demandait un rapport faisant des recommandations pour lutter plus efficacement contre le trafic de marchandises contrefaites et piratées, y compris en ligne. Le 10 juillet 2019, le département du Commerce américain (DoC) a publié un appel à contribution (6) pour obtenir du secteur privé – détenteurs de droits de propriété intellectuelle, des plateformes de marchés en ligne et autres parties prenantes – leurs commentaires sur l’état de la contrefaçon et de la piraterie et leurs recommandations pour freiner ledit trafic.

Les exigences des industries culturelles
En août 2019, plusieurs associations professionnelles américaines de l’industrie créatrice – à savoir la MPAA (7), l’IFTA (8), CreativeFuture (9), et le Sag-Aftra (10), ont répondu à cet appel en demandant à l’administration :
• de continuer d’exhorter les plateformes de contenus et les intermédiaires Internet à collaborer avec la communauté créative sur les meilleures pratiques volontaires pour lutter contre la violation du droit d’auteur ;
• d’encourager le département de la Justice (DoJ) à engager des poursuites pénales contre les entités impliquées dans une violation du droit d’auteur en ligne ;
• de persister à faire pression sur l’Icann (11) pour rétablir l’accès aux données « Whois » (12), accès qui serait entravé par une application excessive du RGPD européen, et d’adopter une loi si l’Icann ne parvient pas à le faire rapidement ;
• et d’élever le niveau de protection des droits d’auteur à l’étranger par le biais de négociations commerciales.

Les recommandations du « Homeland Security »
Le 24 janvier 2020, le département de la Sécurité intérieure des Etats-Unis – le « Homeland Security » (DHS) – a remis au président américain Donald Trump un rapport intitulé « Combattre le trafic de produits contrefaits et piratés » (13). Il conclut qu’il est essentiel, pour l’intégrité du commerce électronique et pour la protection des consommateurs et des titulaires de droits, que les plateformes de e-commerce et autres intermédiaires tiers assument un plus grand rôle, et donc une plus grande responsabilité dans la lutte contre le trafic de marchandises contrefaites et piratées. Ce rapport préconise de prendre immédiatement les mesures suivantes :
• S’assurer que les entités ayant des intérêts financiers dans les importations aux Etats-Unis assument une responsabilité. Elles devront apporter un soin raisonnable dans la lutte contre la piraterie. De plus, les entrepôts et les centres de distribution situés aux Etats-Unis seront considérés comme les destinataires finaux pour tout bien qui n’a pas été vendu à un consommateur spécifique au moment de son importation.
• Accroître l’examen du périmètre de l’article 321 (texte qui permet l’admission de produits en franchise de droits si sa valeur n’excède pas 800 dollars) pour obtenir plus d‘informations sur l’identité des tiers vendeurs. A défaut d’information, la responsabilité pèsera sur l’entrepôts ou le centre de distribution présent sur le sol américain.
• Lutter contre les acteurs de la fraude. Pour les acteurs directs, en excluant les récidivistes de la piraterie de toute participation aux marchés publics américains et/ou de pouvoir obtenir un numéro d’importateur pour les Etats-Unis. Pour les acteurs indirects, en adoptant des mesures de non-conformité dans l’utilisation du courrier international et en agissant contre les postes internationales qui ne les respecteraient pas.
• Renforcer la responsabilité des intermédiaires, dont les plateformes Internet, en appliquant des sanctions (amendes civiles, pénalités et injonctions), dès lors qu’il est prouvé qu’ils ont illégalement participé à l’importation de produits contrefaits.
• Améliorer la collecte des données concernant l’arrivée des produits contrefaits aux Etats-Unis par l’intermédiaire du courrier international.
• Créer un « Consortium anti-contrefaçon pour identifier les acteurs en ligne néfastes », et ce, en collectant les données auprès des acteurs tiers (plateformes, intermédiaires tiers ainsi que les transporteurs, expéditeurs, moteurs de recherche et centres de paiement en ligne). Ces données permettront de créer une technique d’automatisation des risques pour surveiller les plateformes et ainsi identifier les produits contrefaits.
• Augmenter les ressources de l’administration pour surveiller les envois (estimés 500 millions annuellement) par courrier international. Cela permettra, d’une part, de détecter les produits contrefaits, et, d’autre part, d’accroître la collecte des données sur ce type de transaction pour en améliorer la détection.
• Créer un cadre effectif moderne pour le commerce électronique qui pourrait prévoir des immunités pour les plateformes en échange d’un contrôle interne suffisant et de la communication d’informations aux autorités américaines.
• Evaluer, notamment avec le secteur privé, le cadre de la responsabilité des plateformes de e-commerce en cas de contrefaçon par fourniture de moyens.
• Réexaminer le cadre légal entourant les importateurs non-résidents (et notamment leurs agents résidents aux Etats-Unis).
• Etablir une campagne nationale de sensibilisation des consommateurs concernant les risques de contrefaçon (risques directs en cas de produits dangereux et risques indirects en cas, par exemple, de financement du terrorisme), ainsi que les différentes façons dont ils peuvent repérer les produits contrefaits.

En conclusion, le gouvernement américain déclare la guerre à la contrefaçon et à la piraterie et appelle à la mobilisation générale, tant des institutions politiques américaines, des acteurs tiers – dont les plateformes Internet – que des consommateurs situés aux Etats-Unis. Il conviendra de suivre la manière dont ces recommandations vont trouver une transcription dans la législation américaine.

L’Europe devrait avoir son mot à dire
Deux dangers doivent être conservés à l’esprit. D’une part, que la législation américaine devienne le standard international auquel devront se soumettre directement ou indirectement les opérateurs européens : dans cette perspective, une contribution de l’Europe à ce débat s’impose. D’autre part, qu’au nom de la protection du commerce et des consommateurs un vaste plan de collecte de données et de surveillance va probablement être mis en place. Il faudra garder à l’esprit que les modalités techniques de protection de la liberté peuvent aboutir, si l’on y prend garde, à l’anéantissement des libertés fondamentales. @

* Fabrice Lorvo est l’auteur du livre « Numérique : de la
révolution au naufrage ? », paru en 2016 chez Fauves Editions.