Pourquoi WhatsApp a écopé en Europe d’une amende ré-évaluée à 225 millions d’euros

La « Cnil » irlandaise avait proposé fin 2020 à ses homologues européennes de mettre à l’amende WhatsApp et sa maison mère Facebook à hauteur de 30 à 50 millions d’euros. « Insuffisant ! », ont-elles estimé. Leur comité européen (CEPD) leur a donné raison et la note a plus que quadruplé.

La « Cnil » irlandaise, en l’occurrence la Data Protection Commission (DPC) dirigée par la commissaire Helen Dixon (photo de gauche), a annoncé le 2 septembre 2021 avoir infligé une amende de 225 millions d’euros à la société WhatsApp pour ne pas avoir respecté le règlement européen sur la protection des données personnelles (RGPD) – un record après la condamnation d’Amazon au Luxembourg à payer une sanction pécuniaire de 746 millions d’euros pour avoir aussi enfreint ce même RGPD.

Amende administrative insuffisante
WhatsApp devrait faire appel de cette décision. La filiale de Facebook, dont le siège européen est basé à Dublin (capitale de l’Irlande), a non seulement écopé d’une amende salée mais aussi reçu une « réprimande » – autrement dit un blâme – et une injonction de se mettre en conformité avec le RGPD (1), lequel est en vigueur depuis le 25 mai 2018. C’est d’ailleurs moins de six mois après cette date d’application que la « Cnil » irlandaise avait débuté son enquête (à partir du 10 décembre 2018) sur les pratiques de WhatsApp en termes de transparence des informations devant être fournies aux utilisateurs de cette messagerie instantanée comme aux non-utilisateurs du service.
« Cela comprend les informations fournies aux personnes concernées sur le traitement des données entre WhatsApp et d’autres entreprises Facebook [le réseau social Facebook, la plateforme de partage de photos et de vidéo Instagram, ou encore la messagerie Messenger, ndlr] », a précisé la DPC qui, conformément à l’article 60 du RGPD, s’est constituée en « chef de file » des autres autorités de contrôle (visà- vis donc des autres « Cnil » dans l’Union européenne) afin de « s’effor[cer] de parvenir à un consensus » entre elles. Après des mois d’enquête, la DPC avait soumis un projet de décision en décembre 2020 à toutes ses homologues européennes. Mais faut de consensus sur les objections de huit « Cnil » sur les vingt-sept, l’autorité irlandaise a déclenché le processus de règlement de différends le 3 juin dernier. Ce mécanisme de contrôle de la cohérence peu aboutir à ce que le Comité européen de la protection des données (CEPD) – ou European Data Protection Board (EDPB) – adopte une décision contraignante, comme ce fut le cas dans l’affaire « WhatsApp ». En effet, le 28 juillet 2021, cet organe européen indépendant présidé par Andrea Jelinek (photo de droite) – successeur du groupe de travail dit « Article 29 » sur la protection des données – a rendu sa décision. Notifiée à la « Cnil » irlandaise, celle-ci a été obligée « à réévaluer et à augmenter l’amende proposée sur la base d’un certain nombre de facteurs » détaillés dans la décision contraignante. C’est ainsi que la société WhatsApp Ireland Limited s’est vu imposer une amende de 225 millions d’euros. « Le CEPD charge la DPC de fixer un montant d’amende plus élevé pour les infractions constatées, par rapport à l’amende administrative envisagée dans le projet de décision, tout en restant conforme aux critères d’efficacité, la proportionnalité et la dissuasion », a notamment exigé le comité européen. Dans son projet de sanction établi en 2020, la « Cnil » irlandaise avait calculé son amende sur la base du chiffre d’affaires combiné du groupe Facebook (Inc.) et de sa filiale WhatsApp en Irlande pour l’année se terminant le 31 décembre 2019. Elle a cependant dû revoir à la hausse le montant, étant donné que sa décision finale allait intervenir cette année, donc devant se référer au chiffre d’affaires au 31 décembre 2020 – et en tenant compte de la hausse de 15 % environ de ces revenus annuels.
Quels sont les griefs faits à WhatsApp ? Plusieurs violations du RGPD ont été constatées non seulement pas la « Cnil » irlandaise mais aussi par ses homologues européennes qui ont obtenu auprès du CEPD un durcissement de la décision finale de la DPC sur certains points :
• Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée (article 13) : le CEPD charge la DPC de « constater dans sa décision finale qu’il y a eu infraction à [fournir les informations sur les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, ndlr (2)] » sur la base des insuffisances qu’elle a identifiées.

Anonymisation des données personnelles
En outre, le CEPD exige que la DPC inclue dans sa décision finale une constatation de violation – « au lieu de formuler une simple recommandation » – de l’obligation pour WhatsApp de fournir aux personnes concernées les informations complémentaires, notamment « sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données » (3) .
• Risques pour les libertés et droits fondamentaux des personnes concernées (article 4) : le CEPD conclut que le « tableau des hachures avec perte » (dans le cadre de la procédure dite de Lossy Hashing censée anonymiser les données personnelles), ainsi que les numéros de téléphone des utilisateurs associés en tant que liste de non-utilisateurs, constituent des données personnelles, et demande à la DPC de modifier son projet de décision en conséquence pour éviter un risques pour les libertés et droits fondamentaux des personnes concernées (4).

Objections et griefs des autres « Cnil »
De plus, le CEPD exige de la DPC qu’elle modifie son projet de décision « de manière à ce que le délai de six mois pour la conformité soit réduit à une période de trois mois » – à savoir a priori jusqu’au 2 décembre 2021 par rapport au 2 septembre de la décision finale.
• Principes relatifs au traitement des données à caractère personnel (article 5) : Compte tenu de la gravité, de la nature générale et de l’impact des infractions, la DPC est tenue d’inclure dans sa décision finale une constatation de violation du principe de transparence (5) selon lequel « les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ».
• Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée (article 14) : La DPC est tenue, là aussi, de modifier son projet de décision pour tenir compte du fait que la violation de l’obligation d’informations à fournir sur le traitement des données des non-utilisateurs sous la forme de listes de non-utilisateurs après la procédure d’anonymisation des données personnelles (Lossy Hashing).
• Concernant l’amende administrative : le CEPD charge la DPC de modifier son projet de décision afin de tenir compte du chiffre d’affaires total de toutes les sociétés composant l’entreprise unique Facebook (WhatsApp, Instagram inclus) pour calculer le montant de l’amende elle-même, et considérer la date de la décision finale (2021) à partir de laquelle les revenus de l’exercice précédent (2020) devrait être considéré.
• Concernant l’amende administrative (article 83) : la DPC a été contrainte d’amender son projet de décision afin de prendre également en compte les autres infractions – en plus de l’infraction la plus grave – dans le calcul de l’amende (6), sous réserve des critères d’efficacité, de proportionnalité et de dissuasion (7). Compte tenu du chiffre d’affaires annuel global de Facebook, ainsi que des infractions constatées et des facteurs aggravants correctement identifiés par la DPC, le CEPD a estimé que l’amende administrative initiale envisagée par la « Cnil » irlandaise – à savoir entre 30 et 50 millions d’euros – n’était pas suffisante et lui a demandé de la réévaluer. Pour autant, bien que les 225 millions d’euros représentent plus de quatre fois l’amende initialement envisagée par l’Irlande et qu’elle soit la deuxième plus élevée dans les sanctions pécuniaires sur les données personnelles en Europe, la somme à payer par Facebook ne représente que… 0,08 % de son chiffre d’affaires concerné. Mais pour la firme de Mark Zuckerberg, qui avait tenté en vain de bloquer l’enquête de la « Cnil » irlandaise devant la Haute cour de justice du pays, la sanction est jugée disproportionnée. « Le RGPD prévoit des amendes allant jusqu’à 4 % du chiffre d’affaires. Cela montre à quel point la DPC est encore extrêmement dysfonctionnelle », a taclé le 2 septembre l’Autrichien Max Schrems (photo ci-dessous), président de l’organisation à but non lucratif Noyb dont il est le fondateur (8).
Cette décision contraignante (9) adoptée par le CEPD dans la torpeur de l’été (le 28 juillet 2021 donc) a non seulement été adressée à la « Cnil » irlandaise mais aussi à ses homologues de l’Union européenne. La DPC a ainsi durci et annoncé sa décision finale rectifiée début septembre (10). La DPC avait un délai d’un mois à compter de la réception de la décision contraignante pour transmettre sa décision finale corrigée à la présidente du CEPD, actuellement Andrea Jelinek. La décision contraignante et la décision finale (11) qui en découle ont été rendues publiques (12).
Ce verdict à l’encontre de Facebook-WhatsApp fera date, en Europe mais aussi dans le monde. Cela restera un cas d’école pour tous les praticiens et les garants de la vie privée. Bien d’autre plaintes sont déjà sur le bureau de la DPC. Mais Facebook n’est pas au bout de ses peines, notamment depuis que WhatsApp a annoncé en début d’année à ses 2milliards d’utilisateurs de nouvelles conditions d’utilisation permettant – depuis mi-mai (13) – des transferts de données personnelles vers le réseau social.

Les « amis » consommateurs se rebiffent
C’est sur ces nouvelles règles controversées de WhatsApp que le Bureau européen des unions de consommateurs (Beuc) et huit de ses membres – dont l’association UFC-Que Choisir en France – ont déposé plainte contre la filiale de Facebook le 12 juillet dernier auprès de la Commission européenne et du CPC, réseau européen des autorités de consommateurs (14). Le Beuc accuse le numéro un mondial des réseaux sociaux de « violations multiples des droits des consommateurs de l’UE » et de « pressions indues sur ses utilisateurs pour qu’ils acceptent ses nouvelles conditions d’utilisation et sa politique de confidentialité » (15), alors qu’elles ne sont ni transparentes ni compréhensibles pour les internautes. @

Charles de Laubier

Live streaming et covid-19 en France : les enjeux juridiques du direct sans frontières sur Internet

La retransmission en direct sur Internet d’événements culturels, qu’ils soient spectacles vivants, concerts ou encore festivals, a explosé à l’ère des confinements. Si le live streaming ne date cependant pas d’hier, son avenir pourrait être mieux encadré par une réglementation et une jurisprudence.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

La crise sanitaire a bouleversé l’industrie audiovisuelle et établi de nouvelles façons d’accéder aux biens culturels, lesquelles sont susceptibles de perdurer, dont le live streaming. Son exploitation financière se heurte à une complexité juridique qui en fait encore un outil promotionnel avant tout, sans pourtant empêcher les innovations de se multiplier.

OVNI juridique et usages multiples
Piètre millésime que l’année 2020 : interdiction en France des rassemblements de plus de mille, cent, puis six personnes pour lutter contre la propagation du covid-19. Les mesures sanitaires qui s’imposent alors (respectivement les 8 mars, 15 mars et 14 octobre 2020 (1)) empêcheront la tenue de spectacles vivants, privant les acteurs concernés de la quasi-totalité des revenus tirés des spectacles en « présentiel ». Au pied du mur, le monde du spectacle vivant, déjà fragilisé, s’inquiète. C’était toutefois sans compter sur l’existence d’un pis-aller au développement fulgurant. Le concert est mort… vive le live streaming. Ne nous y trompons pas, le « live streaming », ou « diffusion en direct », préexistait à la crise sanitaire mondiale actuelle (2).
« L’exploitation secondaire du spectacle vivant qui connaît la plus forte croissance sur Internet reste la diffusion de concerts en direct – financée par les marques, le sponsoring et la publicité, ou grâce au paiement à l’acte », constate dès 2015 l’ancien think tank Proscenium qui avait été créé par le Prodiss, syndicat national des producteurs, diffuseurs, festivals et salles de spectacle musical et de variété (3). Les festivals de musique font d’ailleurs figures de précurseurs en la matière : à l’international, dès 2012, l’américain Coachella optait pour le spectacle vivant hybride, réunissant 80.000 festivaliers face à la scène et 4.000.000 d’autres face à leur écran, venus assister à la retransmission diffusée en temps réel sur la plateforme de partage de vidéos en ligne YouTube. La diffusion en live sur YouTube est rendue disponible dès 2011. Néanmoins, si l’ère du covid n’a pas fait naître le live stream, elle en a été le tremplin (4) et commence à constituer une alternative crédible aux directs des chaînes de télévision traditionnelles (5). La réalité du live streaming est telle qu’à ce jour sa définition n’a d’ancrage dans aucune source textuelle ou jurisprudentielle, ni ne fait consensus auprès notamment des acteurs de la filière musicale (6). En matière musicale justement, suppléant l’absence de définition unique, le Centre national de la musique (CNM) propose celle de « mode de diffusion sur des canaux numériques d’une captation de spectacle, selon des modalités souvent très différentes, en direct ou en différé, gratuite ou payante, sur des sites Internet dédiés, sur les sites d’institutions ou de médias et sur les réseaux sociaux » (7).
Cette définition reflète une réalité pratique protéiforme, où d’importants paramètres sont susceptibles de varier : modes de production (artiste seul/producteur), d’accès (gratuit/ possibilité de don/payant), jauge de public, zone de diffusion, durée de la diffusion (éphémère/avec replay pour une durée déterminée), moment de la diffusion (en temps réel/en différé mais avec accès simultané des spectateurs à un moment préalablement défini, à la manière d’un rendezvous), mode d’interaction entre le public et l’artiste (simple spectateur/chat, don, merchandising…). A ce sujet, le CNM a publié en février 2021 un « état des lieux exploratoire du live streammusical » (8).
Cependant, en l’absence de droit spécial spécifique consacré au live streaming, les mécanismes de droit commun du droit de la propriété intellectuelle s’appliquent. Du point de vue du droit d’auteur, la diffusion d’un live stream constitue selon le Code de la propriété intellectuelle (CPI) : un acte de représentation (9) et un acte de reproduction (10). Les droits d’auteurs et droits voisins octroyant un droit exclusif à leurs titulaires au titre duquel ceux-ci peuvent autoriser ou interdire tout acte d’exploitation s’appliquent, ainsi que les droits d’exclusivité contractuels.

Un potentiel millefeuille de droits
Qu’il s’agisse de l’artiste lui-même ou de son producteur phonographique, audiovisuel, ou de spectacle, avec lequel il aura conclu, le responsable du live stream – qui prévoit de communiquer un objet protégé – doit s’assurer d’avoir préalablement obtenu l’autorisation de tous les ayants droits. Or ce procédé est avant tout une captation, fixation sonore ou audiovisuelle d’une prestation conçue pour être retransmise en ligne en direct, à un public présent ou non au lieu de sa réalisation. Elle est un potentiel millefeuille de droits, correspondant à ceux – d’autant de contributeurs ou leurs ayants droits – qui devront en autoriser l’utilisation et qu’il faudra rémunérer pour chaque mode d’exploitation, sauf à constituer un acte de contrefaçon : droits des auteurs du spectacle et de la captation (compositeur, adaptateur…) (11), des artistes-interprètes (comédien, musicien…) (12) y compris leur droit à l’image (13), des producteurs de phonogrammes ou vidéogrammes (14), du producteur de spectacle vivant, des exploitants du lieu où le spectacle est capté pour l’exploitation de l’image du lieu, …

Rémunération spécifique des artistes
Parallèlement, l’artiste-interprète engagé par un producteur pour l’enregistrement d’une captation de spectacle pourra l’être au titre d’un contrat de travail à durée déterminée (15) ; un contrat spécifique au titre des droits voisins devra être conclu par écrit (16). Les organismes de gestion collective, comme la Société des auteurs, compositeurs et éditeurs de musique (Sacem), ont accompagné les titulaires de droits dans la mutation de l’industrie musicale en gratifiant les artistes qui ont privilégié le live streaming d’une « rémunération spécifique exceptionnelle de droits d’auteur adaptée à la diffusion des live stream » pour pallier l’absence de concerts ou de festivals (17). Les droits d’auteurs sont calculés selon des conditions précises, dont la durée de la performance live et le nombre de vues.
Le live stream ne se limite pas au domaine musical, loin s’en faut : l’e-sport occuperait la première place du podium avec 54 % des contenus proposés (18). Ces industries rappellent que parmi les modes possibles de création de valeur appliqués au live streaming (paiement à l’acte/billetterie, abonnement, don, publicité, placements de produits…), les revenus issus des licences, sponsoring et communications commerciales audiovisuelles sont essentiels, dans le respect des exigences de transparence applicables aux publicités en ligne (19). Les parrainages, sponsorships, y auraient générés 641 millions de dollars de revenus en 2021, loin devant les autres sources de revenus. Quid de la régulation des contenus et de la responsabilité des plateformes ? Le groupe des régulateurs européens des services de médias audiovisuels, appelé ERGA, a récemment rendu un avis favorable concernant le Digital Services Act (DSA). Encore à l’état de projet législatif, ce dernier vise à instaurer un tronc commun de règles relatives aux obligations et à la responsabilité des intermédiaires au sein du marché unique (services intermédiaires, services d’hébergement, plateformes en ligne et très grandes plateformes en ligne).
L’ERGA préconise de le renforcer en incluant dans son champ tous les acteurs qui appliquent une politique de modération, y compris les services de live streaming (20). En effet, l’ERGA constate que leurs fonctionnalités et leurs modalités permettent aux services de live streaming d’entrer dans la définition des plateformes de partage de vidéos donnée par la directive européenne sur les service de médias audiovisuels (SMA) (21), mais pas dans la définition des plateformes en ligne, ni des services d’hébergement donnée par le DSA s’ils n’impliquent pas de capacités de stockage, ce qui les exclut du régime d’obligations correspondant (22). De ce fait, il est nécessaire que le champ d’application matériel de la SMA et du DSA soient accordés.

Le live streaming survivra au covid
Quinze mois après l’interdiction de la tenue des concerts et festivals, la mesure est levée au 30 juin 2021. Mais si le coronavirus n’est que temporaire, il y a à parier que le live streaming lui survivra. Sur le plan créatif, il permet de créer un lien avec le public via une utilisation innovante des nouvelles technologies ; en termes d’influence, il permet une retransmission transfrontière et d’atteindre un public plus large. Il en a été ainsi, pour ne citer que deux exemples, du concert en réalité virtuelle agrémenté d’effets visuels donné par Billie Eillish en octobre 2020, à partir d’un studio à Los Angeles et une production à Montréal, ou de celui de Jean- Michel Jarre à la cathédrale Notre-Dame de Paris en janvier 2021. Le covid est mort… vive le live streaming ? @

* Anne-Marie Pecoraro est avocate spécialisée en droit de
la propriété intellectuelle, des marques, des nouvelles
technologies et de l’exploitation des données personnelles.

ZOOM

Le cadre réglementaire du live stream : vide juridique ?
Du point de vue juridique, d’après une fiche pratique* publiée en février 2021 par le Centre national de la musique (CNM), le live stream suppose à la fois :
un acte de représentation : la diffusion numérique en direct/instantanée de la représentation à partir de la mémoire vive de l’ordinateur de l’internaute, ce qui constitue une exécution publique ;
un acte de reproduction : le stockage de la captation sur le serveur d’hébergement du média (intermédiaire) proposant sa diffusion à l’internaute (consommateur final). La mise à disposition d’une performance/ de la représentation d’un spectacle en live stream nécessite donc d’avoir acquis au préalable auprès de l’ensemble des contributeurs et ayants droit concernés l’autorisation expresse de :
numériser la représentation afin qu’elle puisse être stockée sur le site source de la plateforme de diffusion en ligne ;
et communiquer en instantanée aux internautes connectés la représentation du spectacle ainsi numérisée. @

* Auteur de la fiche du CNM :
l’avocat Pierre Emaille :
https://lc.cx/CNM-captation

Lignes directrices de l’article 17 : ménager chèvre (droit d’auteur) et chou (liberté d’expression)

La lutte contre le piratage sur Internet en Europe prend un tournant décisif avec la transposition – censée l’être depuis le 7 juin dernier par les Etats membres – de la directive « Droit d’auteur et droits voisins ». Mais les orientations de son article 17 déplaisent aux industries culturelles.

Par Véronique Dahan, avocate associée, Joffe & Associés

Le 4 juin dernier, la Commission européenne a publié des lignes directrices (1) sur l’application de l’article 17 controversé de la directive « Droit d’auteur et droits voisins dans le marché numérique » (2). Pour l’exécutif européen « l’objectif des lignes directrices [sur l’article 17 de cette directive censée avoir été transposée depuis le 7 juin 2021 au plus tard] est de parvenir à une transposition correcte et cohérente de cet article dans les Etats membres, en portant attention à la nécessité d’équilibrer les droits fondamentaux et le recours aux exceptions et limitations [au droit d’auteur] » (3).

Œuvres protégées et liberté de création
Ces « orientations » sur l’article 17 étaient très attendues, même si de nombreux Etats membres ont d’ores et déjà transposé la directive « Copyright » en question dans leur droit national, ou sont en phase finale de transposition. La rédaction de ces lignes directrices a provoqué des craintes de la part des titulaires de droits qui redoutaient que la Commission européenne recommande aux Etats membres de restreindre l’application et les effets de l’article 17. Rappelons que l’intention du législateur est d’assurer un niveau élevé de protection aux titulaires de droits d’auteur en Europe. Aussi, toute recommandation qui viserait à restreindre la portée de la directive « Droit d’auteur et droits voisins dans le marché numérique » serait contraire à l’intention du législateur. Et ce, d’autant qu’une protection élevée des droits d’auteur est essentielle non seulement pour la création mais aussi pour son financement – tout en maintenant l’équilibre entre les intérêts des auteurs (propriété intellectuelle sur leurs œuvres) et ceux des utilisateurs (liberté d’expression et de création).
Seule une transposition uniforme dans tous les pays européens permettra une application efficace de cette directive « Copyright ». Son article 17 propose un nouveau régime juridique de responsabilité pour les plateformes de partage de contenus en ligne, lesquelles mettent à disposition, à des fins lucratives, une quantité importante de contenus protégés que leurs utilisateurs ont souvent directement mis en ligne. Ce texte législatif, qui a suscité de nombreux débats, répond à l’un des objectifs que s’était fixée la Commission européenne, à savoir : améliorer le fonctionnement du marché de la diffusion en ligne des biens culturels protégés, en mettant en place un système d’autorisation et de responsabilité des plateformes de services de partage de contenus en ligne. L’article 17 de la directive, intitulé justement « Utilisation de contenus protégés par des fournisseurs de services de partage de contenus en ligne », pose un régime de responsabilité hybride qui conduit les plateformes à répondre à deux types d’obligations : fournir leurs meilleurs efforts pour obtenir les autorisations nécessaires auprès des titulaires de droits et assurer une rémunération appropriée au profit de ces derniers ; fournir également leurs meilleurs efforts afin de garantir l’indisponibilité des contenus non autorisés par les titulaires de droits.
Ainsi, cet article 17 est inédit en ce qu’il impose désormais aux services de partage de contenus en ligne d’obtenir les autorisations des ayants droit pour diffuser leurs œuvres, et de les rémunérer en conséquence. Sans accord préalable, ces plateformes numériques devront faire état de l’indisponibilité des œuvres non-autorisées. Les lignes directrices de la Commission européenne font suite aux dialogues mis en place entre les fournisseurs de services de partages de contenus en ligne et les titulaires de droits, afin d’examiner les meilleures pratiques pour une coopération. L’objectif principal étant d’apporter une aide aux Etats membres dans le cadre de la transposition de cette directive. Ces « orientations » – terme employé dans la traduction en français de ce guidance, plutôt que « lignes directrice » qui n’apparaît pas dans le texte – apportent, tout d’abord, des précisions quant au champ d’application de l’article 17.

Le streaming illicite dans le collimateur
Le « fournisseur de services de partage de contenus en ligne » concerné par la directive « Copyright » est défini par celle-ci (4) comme étant « le fournisseur d’un service de la société de l’information dont l’objectif principal […] est de stocker et de donner au public l’accès à une quantité importante d’œuvres protégées par le droit d’auteur ou d’autres objets protégés qui ont été téléversés par ses utilisateurs qu’il organise et promeut à des fins lucratives ». Cette directive de 2019 vise notamment ceux qui « jouent un rôle important sur le marché des contenus en ligne en étant en concurrence pour les mêmes publics avec d’autres services de contenus en ligne, comme les services de diffusion audio et vidéo en flux continu ». Autant dire que les GAFAM et toutes plateformes de streaming vidéo, de musique en ligne ou de réseau social sont visés. La Commission européenne recommande aux Etats membres, par souci de sécurité juridique, de transposer explicitement, sans modification, cette définition dans leur législation nationale et précise, par ailleurs, que ce champ ne peut être augmenté ou réduit.

Pas de surveillance généralisée du Net
Une analyse au cas par cas devra être menée afin de déterminer si le fournisseur tombe dans le champ de l’article ou non. En outre, ces lignes directrices apportent des précisions au regard de l’« autorisation des titulaires de droits » (5). Le terme « autorisation » n’est pas défini par la directive « Copyright ». Dès lors, il est conseillé aux Etats membres de mettre en place des moyens visant à encourager le développement de licences (modèles d’autorisation, mécanisme volontaire de facilitation d’accord, licences collectives, …). Par ailleurs, il est spécifié que les autorisations octroyées aux fournisseurs couvrent également les usages non-commerciaux ou ne générant pas de revenus significatifs réalisés par les utilisateurs.
Ainsi, les plateformes numériques de partage de contenus en ligne deviennent directement responsables de la mise à disposition d’un contenu non autorisé par son auteur, sans que le régime de responsabilité limitée de l’hébergeur ne puisse s’appliquer. Toutefois, le service en ligne sera exonéré de toute responsabilité s’il démontre avoir satisfait aux trois conditions cumulatives suivantes : fournir ses meilleurs efforts pour obtenir une autorisation ; (1) fournir ses meilleurs efforts pour assurer l’indisponibilité des œuvres protégées pour lesquelles les titulaires de droit ont fourni les informations nécessaires ; (2) faire preuve de réactivité dès la réception d’une notification motivée pour bloquer l’accès aux contenus protégés (3-a) et mettre en œuvre ses meilleurs efforts pour éviter dans le futur un scénario similaire (3-b). Ces conditions sont appréciées selon un principe de proportionnalité (6), détaillé par l’article 17 justement (7), et qui est rappelé à de nombreuses reprises par Bruxelles. La première condition – meilleurs efforts d’obtention d’une autorisation – se doit d’être évaluée au cas par cas au regard des spécificités du marché. Sans définition, là aussi, de la notion de « meilleurs efforts », la Commission européenne ajoute que cela s’entend par des démarches proactives et de bonne foi de la part des plateformes numériques concernées pour engager et poursuivre les négociations avec les titulaires de droit. L’objectif de la deuxième condition – fournir ses meilleurs efforts pour assurer l’indisponibilité des œuvres protégées pour lesquelles les titulaires de droit ont fourni les informations nécessaires – n’est pas de recommander l’usage de technologies spécifiques pour parvenir à rendre indisponibles les œuvres protégées. L’idée est de favoriser la coopération entre les fournisseurs en ligne et les titulaires de droits en leur laissant une certaine flexibilité, et que les acteurs du Net en question procèdent à un examen humain rapide pour décider si le contenu doit rester en ligne ou être supprimé. La Commission européenne tient à rappeler que l’objectif de la troisième et dernière condition – faire preuve de réactivité dès la réception d’une notification motivée pour bloquer l’accès aux contenus protégés et mettre en œuvre ses meilleurs efforts pour éviter dans le futur un scénario similaire – n’est pas de créer une obligation générale de surveillance pour les plateformes numériques.
Ce régime de responsabilité se veut pragmatique et prévoit un système particulier pour les fournisseurs qui proposent du contenu en ligne depuis moins de trois ans et qui ont un chiffre d’affaires annuel de moins de 10 millions d’euros. Il s’agit de critères que les Etats membres ne peuvent pas modifier. Parmi ces fournisseurs, les conditions qu’ils doivent respecter vont dépendre de leur audience : ceux réunissant moins de 5 millions de visiteurs devront respecter les conditions (1) (2) et (3-a) susvisées, tandis que ceux qui réunissent plus de 5millions de visiteurs devront respecter les conditions (1), (2), (3-a) et (3-b).
Enfin, la Commission européenne rappelle que le régime instauré par l’article 17 se veut souple. Une souplesse marquée par l’essence même du texte qui tend à protéger les usages légitimes ne portant pas atteinte aux droits d’auteur. L’article 17 n’affecte en rien la possibilité pour les utilisateurs et les plateformes de se prévaloir des exceptions existantes relatives notamment au droit de critique et de citation, à la caricature, à la parodie et au pastiche. Des notions non-définies qui doivent, selon la Commission européenne, être analysées dans leur sens commun et au regard du contexte dans lequel elles interviennent. Ainsi, elle ajoute que les Etats membres devraient adapter ces exceptions ou limitations obligatoires de manière à ce qu’elles s’appliquent de façon cohérente avec la Charte des droits fondamentaux de l’Union européenne (8), « notamment la liberté d’expression et la liberté des arts ».

Expression des internautes et titulaires de droits
Toujours dans une logique de souplesse, ce régime de responsabilité des plateformes numériques impose la mise en place d’un mécanisme de traitement des plaintes des utilisateurs. La Commission européenne préconise un mécanisme simple et sans frais pour garantir son efficacité. En ce sens, il est proposé que les plateformes pourraient fournir des formulaires en ligne aux utilisateurs. Ce mécanisme pourrait également aller plus loin en permettant directement aux titulaires de droits et utilisateurs d’échanger. En définitive, l’article 17 et les récentes lignes directrices de la Commission européenne tentent de trouver un équilibre entre protection des titulaires de droits et la liberté d’expression. @

Vers une régulation harmonisée des systèmes d’intelligence artificielle (IA) à risque en Europe

Le projet de règlement européen « Régulation harmonisée de l’IA », qui a entamé son parcours législatif, est ambitieux puisque la proposition est assortie d’une application extraterritoriale, à l’instar du RGPD. Très redouté par les GAFAM, ce cadre établie une échelle de risques des « systèmes d’IA ».

Par Laura Ziegler et Rémy Schlich, avocats, Algo Avocats

Faire de l’Union européenne (UE) la première région au monde pour le développement d’une intelligence artificielle de pointe, éthique et sûre, axée sur le facteur humain. Tel est l’objectif poursuivi depuis 2018 par la Commission européenne (1). Celle-ci est passée à la vitesse supérieure en proposant un règlement (2) établissant des règles harmonisées en matière d’intelligence artificielle (IA), afin d’encadrer une technologie stratégique et transversale, jusqu’alors habituée au droit souple.

Amorce d’une régulation de l’IA
En l’absence de cadre légal général spécifique, le développement de l’IA a été favorisé ces dernières années par une régulation souple, volontaire et sectorielle, par le prisme des chartes éthiques et de la soft law, visant à la fois à sensibiliser le marché aux enjeux attachés à son usage et à bâtir la confiance nécessaire à son expansion. Née d’une volonté de promouvoir l’IA en facilitant son développement au sein du marché européen par une approche harmonisée et d’encadrer les risques associés à son utilisation, la proposition présentée par la Commission européenne le 21 avril 2021 opte pour une régulation de l’lA via l’instrument juridique européen le plus contraignant – le règlement – en instaurant un cadre qu’elle veut toutefois souple. Elle tient compte des nombreux travaux conduits en ce sens à l’échelle européenne, notamment par le groupe d’experts désignés par elle (3), le Parlement européen (4) ou encore dans le cadre du Conseil de l’Europe (5). Si plusieurs approches ont été examinées par la Commission européenne (mise en place d’un schéma de labélisation volontaire, approche sectorielle, règles impératives applicables à tous les systèmes d’IA sans distinction), une approche fondée sur l’évaluation des risques emporte ainsi sa préférence. Il s’agit d’instaurer un cadre réglementaire impératif, applicable uniquement aux systèmes d’IA présentant des risques élevés, et de laisser la possibilité aux fournisseurs de systèmes d’IA ne présentant pas de tels risques de s’autoréguler par l’adoption de chartes de conduite. Le projet de règlement « Régulation harmonisée de l’IA », qui vient d’entamer son parcours législatif au sein du Conseil de l’UE et de ses instances préparatoires (6), se veut ambitieux puisque la proposition est assortie d’une application extraterritoriale, à l’instar du RGPD, les opérateurs établis hors de l’UE à l’origine de la mise sur le marché, de la mise en service et de l’utilisation d’un système d’IA dans l’UE se trouvant également exposés à cette nouvelle réglementation. S’affranchissant de la désormais classique opposition IA forte/IA faible et rejoignant ainsi la position du Comité ad hoc sur l’intelligence artificielle (CAHAI (7)) du Conseil de l’Europe (8), la proposition adopte une approche généralisée et « neutre » technologiquement visant les systèmes intégrant des logiciels développés à l’aide d’une ou plusieurs techniques – systèmes auto-apprenants, systèmes logiques et systèmes statistiques (9) – et qui, « pour un ensemble donné d’objectifs définis par l’homme, génèrent des résultats tels que du contenu, des prédictions, des recommandations ou des décisions influençant des environnements réels ou virtuels » (10). L’approche sectorielle n’est également pas retenue par la Commission européenne qui opère une classification des systèmes d’IA en fonction de leurs finalités et non de la technologie utilisée (11), excluant au passage de son champ d’application les systèmes d’IA développés pour des finalités militaires (12) ou utilisées dans le cadre d’activités non-professionnelles ou ponctuelles (13). Le régime applicable aux systèmes d’IA sera ainsi fonction des risques induits par la finalité poursuivie par ces systèmes et leurs impacts en matière de sécurité, de santé ou encore de respect des droits et libertés fondamentaux des individus. Cette approche par les risques répertorie les utilisations de l’IA selon plusieurs catégories.

De la prohibition à la libre utilisation
L’utilisation de certains systèmes d’IA est désormais prohibée, considérée comme contrevenant par nature aux valeurs de l’UE et notamment aux droits fondamentaux. Sont ainsi interdites par exemple : les pratiques – comme le nudging – présentant un risque potentiel significatif de manipulation des individus par l’usage de techniques subliminales ou exploitant les vulnérabilités de certaines catégories d’individus (enfants, etc.) ; les pratiques susceptibles de leur causer un préjudice physique ou psychologique, celles visant à évaluer, classer ou noter les personnes physiques sur la base de leur comportement social, de caractéristiques personnelles ou prédites et conduisant à un traitement préjudiciable ou défavorable ; celles encore utilisant des techniques d’identification biométrique en temps réel dans des espaces accessibles au public à des fins d’application de la loi – sous réserve de certaines exceptions strictement encadrées (14). En introduisant de telles exceptions, la Commission européenne écarte donc l’idée d’un moratoire sur l’usage de la reconnaissance faciale dans l’espace public, envisagé peu avant la publication de son livre blanc (15) et souhaité par le Contrôleur européen de la protection des données et le Comité européen de la protection des données (EDPB) dans leur récent avis conjoint (16) (*).

Les systèmes d’IA à haut risque
Véritable cœur de la proposition, les « système d’IA à haut risque », c’est-à-dire présentant un risque élevé en matière de santé, de sureté et/ou de respect des droits et libertés fondamentales, sont autorisés sur le marché européen sous réserve de respecter un certain nombre d’exigences réglementaires et de procéder à une évaluation préalable de conformité. Deux catégories principales de systèmes d’IA à haut risque sont identifiées par la Commission européenne : ceux destinés à être utilisés comme composants de sécurité de produits soumis à une évaluation de conformité préalable par un tiers (17), et ceux autonomes ayant principalement des incidences sur les droits fondamentaux (18). Les systèmes d’IA spécifiques, c’est-à-dire présentant des risques spécifiques de manipulation, sont quant à eux uniquement soumis à des obligations de transparence et d’informa-tion (19) : il s’agit de ceux utilisés pour interagir avec des individus (chatbots), détecter des émotions ou établir des catégories sur la base de données biométriques ou encore pour générer ou manipuler des images, du contenu audio ou vidéo (deepfakes). Tous les autres systèmes d’IA ne sont quant à eux soumis à aucun encadrement strict (20).
Quant aux obligations pesant sur les différents acteurs de la chaîne de valeur d’un système d’IA, elles dépendent du rôle de chacun des acteurs. Des obligations spécifiques sont ainsi imposées aux fournisseurs, importateurs, distributeurs, utilisateurs ainsi qu’aux autres tiers. En substance, plus l’acteur est éloigné de la phase de conception du système d’IA, moins ses obligations seront conséquentes. Ainsi, le fournisseur de système d’IA établi dans l’UE (21) qui le développe ou le fait développer sous son nom ou sa marque, est soumis à de plus nombreuses obligations (établir la documentation technique, conserver les logs générés, procéder à l’analyse de conformité avant sa mise sur le marché, notifier et coopérer avec les autorités compétentes). L’importateur, lui, devra s’assurer que le fournisseur a bien réalisé une analyse de conformité et établir une documentation technique, quand l’utilisateur devra, pour sa part, principalement se conformer aux instructions accompagnant le système d’IA. Le nombre de ces obligations, pesant par ailleurs principalement sur les fournisseurs de solutions d’IA (pourtant véritables moteurs de l’innovation), peut interroger, notamment sur la charge que représentera ces coûts de mise en conformité pour ces derniers et ses conséquences sur le marché. La Commission européenne affiche toutefois sa volonté de maintenir les coûts de mise en conformité à un niveau minimum applicables uniquement en fonction des risques encourus. Pour pallier d’éventuels effets négatifs, elle a mis en place des mesures dédiées pour soutenir l’innovation, notamment à l’attention des PME et des start-up. Elle encourage tout d’abord les autorités nationales compétentes à créer des «bac à sable réglementaire» (sandboxes) pour mettre en place, sous leur contrôle, un environnement permettant le développement, le test et la validation de systèmes d’IA innovants pendant une période déterminée avant leur mise sur le marché ou en service – avec l’objectif de les mettre en conformité avec ces exigences réglementaires. De la même manière, elle exige des Etats membres la mise en place d’un certain nombre de mesures visant à encourager les PME et les start-up de systèmes d’IA. Toutefois, le choix de la Commission européenne d’une approche par les risques et non par la technologie concernée implique de « qualifier » un système d’IA en fonction de la finalité de chaque projet concerné. Si dans certains cas la qualification du système d’IA sera toujours la même (d’autant plus lorsqu’il s’agit d’une offre standardisée), certains fournisseurs (22) pourraient en revanche voir leur systèmes d’IA soumis à des qualifications différentes. Un fournisseur pourrait ainsi se trouver soumis à la majorité des obligations prévues dans la proposition en raison des finalités du projet porté par son client, à moins que ce client ne circule le système d’IA sous son nom ou sa marque ou décide de modifier sa finalité ou son fonctionnement de façon substantielle pour éviter une telle qualification (23).
En cas de manquements, les lourdes sanctions encourues peuvent s’élever jusqu’à un maximum de 30 millions d’euros ou 6 % du chiffre d’affaires mondial. En parallèle, les recommandations et lignes directrices en matière d’IA sont de plus en plus nombreuses : l’Unesco examinera prochainement le projet de recomman-dation sur l’éthique de l’IA ; le Conseil de l’Europe a produit de nombreuses lignes directrices, rapports et recomman-dations ; l’EDPB et les autorités nationales ont adopté de nombreux textes venant encadrer l’utilisation de l’IA en général ou pour des technologies spécifiques telles que la reconnaissance faciale, la localisation et le traçage, les véhicules autonomes ou encore les assistants vocaux.

Entrée en vigueur en 2024 ?
Les initiatives sectorielles restent pour l’heure la norme en matière de régulation de l’IA. La phase des négociations entre le Parlement européen, le Conseil de l’UE et la Commission européenne commence à peine sur ce texte législatif qui n’entrera en vigueur que 24 mois après son adoption. Rendezvous en 2024. @

Piratage : l’amende de 350 € vraiment écartée ?

En fait. Le 13 juillet, à l’Assemblée nationale, se tiendra la deuxième séance publique sur le projet de loi « Régulation et protection de l’accès aux œuvres culturelles à l’ère numérique ». Une commission mixte paritaire présentera son rapport. Le Sénat renoncera-t-il définitivement à l’amende de 350 euros pour piratage ?

En clair. Le 23 juin dernier, l’Assemblée nationale a adopté le projet de loi sur « la régulation et la protection de l’accès aux œuvres culturelles à l’ère numérique » (1). Ce texte, qui a remplacé en bien plus modeste la grande réforme de l’audiovisuel voulue initialement par Emmanuel Macron pour son quinquennat, fait de la lutte contre le piratage en ligne une priorité. Cependant, les industries culturelles restent sur leur faim car l’une des dispositions adoptées sous leur impulsion par le Sénat – l’amende transactionnelle de 350 euros pour un(e) internaute reconnu(e) coupable de piratage sur Internet (1.050 euros pour une personne morale) – a été retirée par les députés en commission.
Cette « transaction pénale » aurait été proposée à l’auteur de l’infraction et de la « négligence caractérisée » (défaut de sécurisation de son accès Internet dont il est responsable) par la future Autorité de régulation de la communication audiovisuelle et numérique (Arcom, alias Hadopi-CSA). Ne croyant plus à l’efficacité de la réponse graduée, les organisations professionnelles des industries culturelles, de l’audiovisuel et de la création (Sacem, SACD, Alpa, Scam, SEVN, Snac, UPC, …) en avaient rêvée (2). La droite sénatoriale, emmenée par le rapporteur du projet de loi Jean-Raymond Hugonet (LR), l’a fait en faisant adopter début mai un amendement (3) introduisant cette « amende transaction-nelle » qui donne la main à l’Arcom au lieu d’en passer par une décision judicaire. Selon ses motifs, « plus de 85 % des saisines du procureur ne donnent lieu à aucune poursuite ». La députée Aurore Bergé (LREM) avait soutenu avec les ayants droits cette disposition en 2020 lorsqu’elle était rapporteure du projet de loi (abandonné) sur la réforme de l’audiovisuel.
Mais le 9 juin, des députés – côté LREM (4) et côté LFI (5) – ont retiré cette transaction pénale de l’arsenal « anti-piratage », donnant satisfaction à la ministre de la Culture, Roselyne Bachelot, qui préfère la réponse graduée à cette amende pénale. Dans la foulée, cette suppression de l’amende transactionnelle coupait l’herbe sous le pieds de députés LR qui, eux, voulaient augmenter la sanction pécuniaire de 350 à 500 euros pour une personne physique, et de 1.050 à 2.500 euros pour une personne morale (6). Mais sortie par la porte, cette disposition peut-elle revenir par la fenêtre d’ici le 13 juillet ? @