La « taxe GAFA » – chère au président Macron et à son ministre Le Maire – cherche son véhicule législatif

Absente de la loi de finances pour 2019 et de la loi « Gilets jaunes » promulguées en décembre, la taxe GAFA – que Bruno Le Maire présentera d’ici fin février en conseil des ministres – cherche encore son véhicule législatif. Projet de loi Pacte ? Projet de loi de finances rectificative (PLFR) pour 2019 ? Ou projet de loi spécifique à part ?

Edition Multimédi@ s’est rendu le 14 janvier dernier à Bercy aux voeux à la presse de Bruno Le Maire (photo) et, en marge de la cérémonie, a pu demander directement au ministre de l’Economie et des Finances à quel stade en est précisément la décision de taxer en France les GAFA – les Google, Amazon, Facebook, Apple et autres Microsoft – rétroactivement à partir du 1er janvier 2019. « Pour la taxation nationale des géants du numériques, je suis en train avec mes équipes de préparer un projet de loi spécifique qui nous soumettrons au Parlement dans les prochaines semaines », nous a-t-il répondu, sans préciser quel véhicule législatif sera utilisé pour porter cette « taxe GAFA » qui est l’un des chevaux de bataille du président de la République, Emmanuel Macron. Six jours après ses voeux à la presse, Bruno Le Maire n’a pas non plus évoqué – dans une interview au Journal du Dimanche parue le 20 janvier – le cadre législatif retenu pour ce projet de loi « taxe GAFA » du gouvernement.

La « taxe GAFA » devant le Parlement au printemps
« Nous présenterons un projet de loi spécifique en conseil des ministres d’ici à fin février, qui sera rapidement soumis au vote du Parlement », a-t-il néanmoins indiqué, en ajoutant que « [cette] taxe touchera toutes les entreprises qui proposent des services numériques représentant un chiffre d’affaires supérieur à 750 millions d’euros au niveau mondial et 25 millions d’euros en France (…) et son taux sera modulé en fonction du chiffre d’affaires avec un maximum de 5 % ». Le gouvernement en attend quelque 500 millions d’euros de recettes fiscales dès cette année.
Sur le véhicule législatif, le ministre de l’Economie et des Finances avait pourtant dit le 18 décembre dernier que cette mesure fiscale – qui portera sur les revenus publicitaires des plateformes numériques et la vente des données des utilisateurs à des fins de publicité – « pourrait être introduite dans la loi Pacte » (1), dont le projet va être examiné en première lecture au Sénat (2) à partir du 29 janvier et jusqu’au 12 février. Or non seulement Bruno Le Maire Lire la suite

C’est la fête à Nyssen ! La ministre de la Culture ne plaît pas à tout le monde et les dossiers sensibles s’accumulent

L’ancienne co-directrice des éditions Actes Sud fête ses un an – le 17 mai – comme ministre de la Culture, nommée par Emmanuel Macron car issue de la « société civile ». Mais les dossiers délicats voire sensibles s’amoncellent sur son bureau de la rue de Valois. Beaucoup se demandent si elle est à la hauteur.

Critiquée, brocardée, déconsidérée, décrédibilisée, … La discrète ministre de la Culture d’Emmanuel Macron passe de moins en moins inaperçue, et à son corps défendant. Depuis un an qu’elle est la locataire de la rue de Valois, Françoise Nyssen (photo) déçoit politiquement et médiatiquement – même si certains l’apprécient toujours. Issue de la « société civile », elle ne s’est pas vraiment imposée dans les deux gouvernements successifs d’Edouard Philippe. Nombreux sont ceux qui s’interrogent sur sa capacité à incarner la Culture et… la Communication,
ce dernier volet ayant d’ailleurs disparu du libellé de cette fonction ministérielle avec l’ère Macron.
Au moment où « l’exception culturelle » qui lui est chère doit s’adapter aux usages numériques, l’ancienne co-directrice des éditions Actes Sud semble déconnectée des nouveaux enjeux de son maroquin.

Maillon faible du gouvernement « Macron »
D’autant que les dossiers – tous impactés par le digital – s’accumulent sur son bureau, dont beaucoup sont emblématiques du quinquennat du jeune chef de l’Etat : réforme délicate de l’audiovisuel public, impasse des négociations sur la chronologie des médias, lutte contre le piratage avec « liste noire », création du Centre national de la musique (CNM), mis en place du « Pass Culture », polémique sur les déserts culturels, etc.
Officiellement, l’Elysée et Matignon accordent toute leur confiance à Françoise Nyssen. Mais en aparté, elle est considérée comme le maillon faible du gouvernement et son manque de charisme inquiète. Même auprès des mondes de la culture et des médias, son crédit est largement entamé – voire entaché d’approximations. « C’est une erreur de casting », peut-on même lire dans Libération qui lui a consacré sa pleine Une le 23 avril sous le titre de « Faut-il sauver Nyssen ? ». Le classement des ministres publié le 3 mai par Challenges la relègue à la douzième place, avec toutes ses notes en dessous de la moyenne… Son cabinet ministériel est Son cabinet ministériel est limité par l’Elysée à dix membres (1), ce qui n’est pas assez pour faire face aux multiples dossiers épineux et à risques, surtout quand six membres désignés au départ ont depuis été remplacés – avant un
« remaniement » du cabinet qui serait envisagé d’ici l’été prochain.

Audiovisuel, cinéma, musique, piratage, …
Les hésitations, maladresses et autres embarras (balbutiements et lacunes) de Françoise Nyssen – sans doute les défauts de ses qualités, diront ses soutiens – apparaissent comme problématiques pour le gouvernement qui lui avait confié l’un de ses plus gros dossiers prioritaires du quinquennat : la grande réforme de l’audiovisuel, dont les premières orientations seront présentées en juin, alors que le rapprochement des sociétés audiovisuelles publiques (France Télévisions, Radio France, Arte, France Médias Monde, TV5 Monde et l’INA) avait été l’une des promesses majeures de campagne présidentielle du candidat Macron l’an dernier (2).
Avant le remaniement du gouvernement il y a six mois, il avait été question de désigner un secrétaire d’Etat à la Communication pour épauler Françoise Nyssen dans cette réforme d’ampleur. Puis il y a eu en novembre 2017 cette fuite dans les médias à propos des pistes de réforme du ministère de la Culture et de l’audiovisuel public, un document de travail (3) révélé par Le Monde et intitulé « Contribution ministérielle aux travaux du CAP 2022 » (4). Y sont envisagés non seulement « le regroupement des sociétés [de l’audiovisuel public] au sein d’une holding pour aligner et dégager des synergies », mais aussi la suppression de la chaîne France Ô, l’arrêt de France 4 sur la TNT pour la limiter à la diffusion numérique, et le basculement de la radio Le Mouv de la FM à Internet. Sans parler du rapprochement de France 3 avec France Bleu, ou encore la fermeture de France 2 en régions.
Françoise Nyssen n’avait rien trouvé d’autre que de porter plainte contre X pour recèle de document et de se défaire en janvier de son directeur de cabinet, Marc Schwartz, lequel travaillait justement sur ce projet de réforme de l’audiovisuel. Ce dernier a été remplacé par Laurence Tison-Vuillaume, épaulée sur l’audiovisuel par Catherine Smadja et Isabelle Giordano (ex-Unifrance).
Depuis ce couac, Matignon a confié la réforme de l’audiovisuel public à Olivier Courson, conseiller Culture et Communication du Premier ministre. Tandis que l’Elysée surveille cette réforme complexe comme le lait sur le feu, via Claudia Ferrazzi, conseillère Culture et Communication du Président de la République, et Alexis Kohler, secrétaire général au
« Château ». Emmanuel Macron n’avait-il pas affirmé que l’audiovisuel public était « une honte » pour la France ? Sans parler de la députée « macroniste » (LREM), Aurore Bergé, qui, depuis le début de l’année, mène une mission sur « une nouvelle régulation de la communication audiovisuelle à l’ère numérique » (responsabilisation des plateformes vidéo, règles télévisuelles, rapprochement Hadopi-CSA, audiovisuel public, …). Bercy attendrait de cette réforme 500 millions d’euros d’économies !
La ministre de la Culture semble tenue à l’écart. Et comme un train peut
en cacher un autre : la réforme de la redevance audiovisuelle, depuis longtemps en réflexion en vue d’élargir l’assiette des téléviseurs aux autres écrans numériques, promet aussi d’être délicate à mener pour la locataire de la rue de Valois. Autre dossier épineux : la chronologie des médias, laquelle réglemente la sortie des films (monopole des quatre mois des salles obscures, VOD à l’acte, TV payante, SVOD, etc). Après d’énièmes négociations interprofessionnelles via la mission « Hinnin », ce fut à nouveau un constat d’échec dans la recherche d’un consensus – malgré un ultime projet présenté le 29 mars (5) pour adapter au numérique les fenêtres de diffusion inchangées depuis 2009. Faut d’accord au 12 avril, la patate chaude est arrivée dans les mains de Françoise Nyssen qui devrait
en passer par une loi. Les organisations du cinéma français, divisées sur la question, font pression sur la ministre pour qu’il y ait non seulement des engagements d’investissement dans les films de la part des plateformes vidéo si elles veulent avoir leur fenêtre plus tôt, mais aussi un plan gouvernemental de lutte contre le piratage sur Internet. Le dossier devient donc explosif, tandis que la ministre prévoit une « liste noire » des sites de piratage gérée par l’Hadopi.
Le projet de loi « Fake news » s’invite aussi rue de Valois. La musique occupe, elle aussi, une bonne place sur le bureau de Françoise Nyssen en surchauffe. Le Centre national de la musique (CNM), qui sera à cette industrie culturelle ce que le CNC est au cinéma, va être créé début 2019
– serpent de mer depuis 2011 (6). Après le rapport de Roch-Olivier Maistre, la ministre l’a annoncé le 25 avril au Printemps de Bourges et a confié une mission sur son mode de financement (budget annuel de 60 millions d’euros) aux députés (LREM) Emilie Cariou et Pascal Bois, lesquels rendront leurs conclusions d’ici début septembre.

Pass Culture : près de 500 millions d’euros
Dans son discours au Printemps de Bourges, François Nyssen a de nouveau esquissé le projet « Pass Culture » – autre promesse d’Emmanuel Macron – pour que les jeunes de 18 ans aient accès à toute sorte de contenus (musique, films, jeux vidéo, …) et d’activités ou événements culturels (cours de musique, musées, théâtre, concerts, festivals, …). Pourtant présenté comme prioritaire depuis près d’un an (7), ce futur pass ne semble pas convaincre la ministre qui peine à trouver son financement : 500 millions d’euros pour 850.000 jeunes (8). Par ailleurs, Françoise Nyssen est critiquée pour son plan « déserts culturels ». Adepte d’anthroposophie, la ministre ne peut que faire preuve de philosophie face à l’adversité. @

Charles de Laubier

La législation française permet-elle de protéger entreprises et médias contre les cyberattaques ?

Le 7 novembre 2017, la Cour de cassation confirmait la condamnation d’un individu pour avoir participé au groupement Anonymous en vue d’une attaque par déni de service. Décision isolée ? Ou les entreprises et les médias ont-elles les moyens juridiques pour lutter contre les cyberattaques ?

Par Corentin Pallot, Hervé Castelnau et Marie-Hélène Tonnellier – Latournerie Wolfrom Avocats

 

 

 

 

Ces dernières années, les médias ont été les victimes directes ou indirectes de plusieurs cyberattaques. On se souvient notamment, en avril 2015, de l’arrêt de la diffusion de TV5 Monde qui avait, à l’époque, fait grand bruit. Ayant fait face à une « agression fulgurante, qui a probablement été très bien préparée », le directeur informatique de TV5 Monde s’était en effet trouvé forcé de « tout couper », occasionnant un coût de « dix millions d’euros à la chaîne et le rehaussement du niveau de sécurité confié à la filiale cyber d’Airbus, [engendrant ainsi] une dépense
de 3,5 millions d’euros chaque année ».

DoS/DDoS et droit pénal
Trois mois plus tôt, en janvier 2015, Le Monde annonçait que l’Armée électronique syrienne (SEA) avait tenté de prendre le contrôle du compte Twitter de Lemonde.fr
et avait réussi à s’infiltrer dans son outil de publication, puis essayé de diffuser des articles, en vain. Mais quelques jours plus tard, la SEA réussissait finalement à pirater le compte Twitter du Monde et publiait quelques messages (1). Peu de temps après, Lemonde.fr faisait l’objet d’une attaque par « déni de service » – aussi connue sous l’acronyme DoS pour « Denial of Service ». En 2016, une cyberattaque contre une société chargée de rediriger les flux Internet vers les hébergeurs empêchait l’accès à de prestigieux médias américains comme CNN, le New York Times, le Boston Globe,
le Financial Times ou encore The Guardian.
En mai 2017, le prestataire français Cedexis racheté en février par l’américain Citrix
et chargé d’aiguiller une partie du trafic Internet, était la cible d’une attaque DDoS (Distributed Denial of Service). S’en suivait la perturbation de l’accès à de nombreux sites web, parmi lesquels ceux du Monde, de L’Obs, du Figaro, de France Info, de 20 Minutes ou encore de L’Equipe.
Pourtant, sur le papier, l’arsenal répressif français permettant de lutter contre les infractions informatiques se présente particulièrement étoffé. Certaines atteintes commises sur (ou via) des moyens numériques peuvent bien entendu être réprimées par le droit pénal général (vol pour sanctionner le détournement de données, escroquerie pour condamner le phishing, recel de contrefaçon de logiciels, etc.). Mais le code pénal prévoit également un nombre conséquent de textes spécifiquement destinés à encadrer l’usage des outils informatiques. Pionnière en la matière, la loi « Godfrain » du 5 janvier 1988 (2) permet ainsi de lutter contre les « atteintes aux systèmes de traitement automatisé de données » (accès frauduleux à un serveur, modification des informations contenues dans un ordinateur, etc.). Mais il y a beaucoup d’autres exemples de textes répressifs dédiés au numérique, comme les sanctions spécifiques en matière de pédopornographie lorsqu’il y a utilisation d’un réseau de communications électroniques (3), l’infraction constituée par le défaut de mentions légales sur un site Internet (4), l’atteinte au secret des correspondances émises par voie électronique (5), etc. La décision rendue le 7 novembre 2017 par la chambre criminelle de la Cour de cassation pourrait laisser penser que la justice se saisit avec fermeté de ces sujets, en n’hésitant pas à sanctionner des individus qui auraient participé, même indirectement, à des cyberattaques. En l’espèce, un individu avait
mis à disposition des internautes un «WebIRC » (IRC pour Internet Relay Chat, un protocole de communication textuelle sur Internet) sur un serveur dont il était locataire et gestionnaire, afin de leur faciliter l’accès à des sites web de discussion. Cet IRC avait facilité la conduite d’une attaque par déni de service dirigée contre EDF, sur fond de protestations contre le nucléaire. En effet, parmi les sites Internet qu’il référençait, figuraient ceux utilisés par des membres Anonymous, et notamment un site web dédié aux discussions sur les modalités concrètes d’opérations du mouvement « hacktiviste » contre EDF, parmi lesquelles une attaque par déni de service.

Atteinte à un système informatique
L’individu en question ne contestait pas les faits ; il avait même affirmé à l’audience avoir ressenti de la fierté lorsqu’il avait appris que des Anonymous avaient cité son WebIRC comme moyen d’accès au forum de discussion du groupement pour une autre opération contre EDF. Il n’ignorait d’ailleurs pas l’opération qui était mise au point sur
le site web de discussion qu’il hébergeait. Toutefois, l’homme n’avait pas pris part à la cyberattaque ; il affirmait en outre désapprouver les attaques DoS. Il assurait aussi ne pas avoir participé activement à la définition des modalités des actions d’entrave contre EDF et ne pas nécessairement les approuver, n’étant personnellement pas opposé au nucléaire. Pour reprendre les termes de la Cour de cassation, cette personne se présentait avant tout comme « un acteur de mise en relation [n’ayant] agi que dans
le but de favoriser un usage flexible et libre d’Internet [et ne maîtrisant pas] l’utilisation [des sites web accessibles via son serveur] par les internautes qui ne faisaient que passer par son serveur pour échanger entre eux ». Confirmant la position de la cour d’appel de Paris, la Cour de cassation a considéré que ces éléments étaient suffisants pour sanctionner l’individu sur le fondement de la « participation à un groupement formé ou à une entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d’une ou de plusieurs des infractions » d’atteinte à un système de traitement automatisé de données (6), validant ainsi sa condamnation à une peine de deux mois d’emprisonnement assortis d’un sursis avec mise à l’épreuve.

Finalement, de rares condamnations
Le champ d’application de cette infraction, qui se trouve être une transposition dans la sphère numérique de l’ancienne « association de malfaiteurs », a été ici sensiblement étendu par les magistrats. En effet, la jurisprudence et la doctrine considéraient jusqu’alors qu’il était nécessaire que le groupement ou l’entente ait été constitué en vue de la préparation d’une atteinte à un système de traitement automatisé de données ou, à tout le moins, qu’il ait « à un moment donné eu pour but de préparer la commission » (7). Ce qui n’était pas tout à fait le cas ici. Faut-il y voir une forme de sévérité de l’appareil judiciaire à l’égard des hackers ? Peut-être, certes, sur le plan de l’interprétation de la loi. Pour autant, les poursuites et les condamnations reposant sur ces outils répressifs se révèlent en en réalité particulièrement rares.
Dans un rapport interministériel (8), datant certes de 2014 (mais l’on peut sérieusement douter d’une véritable amélioration), on apprenait ainsi qu’entre 2008 et 2012, seules environ 2.000 infractions par an étaient prononcées sur des fondements de droit pénal spécial du numérique (entendu au sens large, incluant par exemple des infractions au droit de la presse, des atteintes aux données personnelles, de la captation frauduleuse de programmes télédiffusés, des atteintes à la propriété intellectuelle, …). Et en regardant en détail ces statistiques, on s’aperçoit que certaines pratiques réprimées par le code pénal sont particulièrement peu sanctionnées. Ainsi, sur l’année 2012, seules 182 condamnations pour des atteintes à des systèmes de traitement automatisé de données – les attaques les plus fréquentes et les plus perturbantes pour les médias – étaient prononcées. Lorsque l’on sait qu’une étude de PwC estime à 4.165 le nombre de cyberattaques « détectées » en France en 2016, pour un montant moyen de pertes financières estimé dans chaque cas à 1,5 million d’euros (9), on ne peut que s’étonner et regretter que l’Etat ne se soit pas encore doté de véritables moyens techniques, financiers et surtout humains pour lutter opérationnellement contre ces pratiques qui entravent l’économie. A quoi sert en effet de disposer d’un arsenal répressif aussi puissant s’il n’y pas assez de soldats formés pour en faire usage ? Il paraît difficilement acceptable que les entreprises soient, à ce jour, livrées à elles-mêmes et à des solutions techniques coûteuses : selon un rapport d’Accenture de 2017, les coûts induits par la cybercriminalité auraient augmenté de 62 % en cinq ans (10) pour les entreprises, sans qu’elles puissent compter sur un véritable soutien de l’Etat. D’autant que – en plus des conséquences financières qui pèsent nécessairement sur l’économie – d’autres intérêts fondamentaux sont en jeu comme le respect de la liberté d’expression, clairement mis à mal quand les médias sont la cible de cyberattaques. Finalement, plutôt qu’un arsenal répressif objectivement difficile, voire irréaliste, à mettre en oeuvre a posteriori (difficultés techniques de l’expertise, problématiques d’extranéités inhérentes à Internet, etc.), ne devrait-on pas envisager des solutions plus réalistes et efficaces qui conjugueraient intelligemment droit et technique ?
En ce sens, voilà quelques semaines, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), faisait le constat suivant : « dans le cas d’une attaque massive de déni de service distribué […] les opérateurs sont les seuls
à pouvoir agir » (11). Quelques jours plus tard était présenté le projet de loi de programmation militaire (LPM) pour les années 2019 à 2025, avec des mesures qui visent à détecter les attaques massives au niveau des réseaux – et donc avant qu’elles ne puissent atteindre leurs cibles. Notamment, la mesure phare consiste à autoriser
les opérateurs télécoms à mettre en place des marqueurs techniques de détection des événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés. LMP 2019-2025 : le rôle des « telcos » Si ce texte « LMP 2019-2025 » passe le filtre du Parlement (12), où il commencera à être débattu à l’Assemblée nationale à partir du 20 mars 2018, l’ANSSI pourra également imposer aux opérateurs télécoms d’avoir recours à ses propres marqueurs lorsqu’elle aura eu connaissance d’une menace. De plus, ces « telcos » seront tenus d’informer l’ANSSI des vulnérabilités
des attaques qu’ils auront détectées, et elle pourra même aller jusqu’à imposer aux opérateurs de réseaux et/ou aux fournisseurs d’accès à Internet (FAI) d’alerter leurs abonnés de la vulnérabilité ou de l’atteinte de leurs systèmes d’information. @

La Commission européenne dément la rumeur d’un report de la directive sur le droit d’auteur

Alors que le mandat de la « Commission Juncker » prendra fin en 2019, une rumeur circule au sein des industries culturelles, selon laquelle la réforme du droit d’auteur sur le marché unique numérique serait renvoyée à la prochaine équipe. « Sans fondement », nous assure-t-on à Bruxelles.

« La rumeur est sans fondement, mais l’heure tourne. La modernisation du droit d’auteur reste une des priorités – dans les accords tripartites – à finaliser cette année. Nous attendons tant du Parlement européen que du Conseil de l’Union européenne pour avancer sur ce dossier prioritaire, tandis qu’ils peuvent entièrement compter sur la Commission européenne pour aider à faciliter les négociations prochaines », nous a répondu Nathalie Vandystadt, porteparole à la fois de la commissaire Mariya Gabriel, en charge de l’Economie et de la Société numériques, et du commissaire Tibor Navracsics, à l’Education, la Culture, à la Jeunesse et au Sport. La Commission européenne répondait ainsi à une question de Edition Multimédi@ sur une rumeur persistante selon laquelle la réforme du droit d’auteur via la nouvelle directive « Copyright » en cours de discussion ne serait pas adoptée avant la fin du mandat prévu le 31 octobre 2019 de l’actuelle équipe du président Jean-Claude Juncker (photo), lequel a déjà fait savoir il y a un an maintenant qu’il ne briguera pas l’an prochain un second mandat.

A l’approche des élections européennes de fin mai 2019
Le temps presse d’autant plus que les activités des institutions européennes vont ralentir, voire se figer, à l’approche des prochaines élections européennes de fin mai 2019 pour désigner les prochains eurodéputés. « Il y a les élections européennes qui se rapprochent et un président de la Commission européenne qui ne va pas rempiler. Donc, le bruit qui courent à Bruxelles est que le Parlement européen ne va pas se prononcer sur le nouveau texte “Droit d’auteur” d’ici les prochaines élections. Il y a eu des débats au sein des commissions du Parlement européen, mais les eurodéputés ne vont pas voter au cours de cette législature-là. Il faudra attendre la prochaine Commission européenne. Cela reporte d’environ d’un an », a confié mi-janvier le dirigeant de l’une des plus grandes sociétés françaises de perception et de répartition des droits (SPRD). Le projet de directive sur le droit d’auteur dans le marché unique numérique, proposé en septembre 2016 par la « Commission Juncker », est l’un des textes les plus sensibles de la législature en cours. Il fait l’objet de Lire la suite

Désinformations, rumeurs infondées, ragots, … A quand de vraies nouvelles sur les fake news ?

Lutter contre la désinformation suppose de responsabiliser les acteurs impliqués dans sa propagation, depuis la source d’une fake news, en passant par les algorithmes sacralisant la popularité des contenus, jusqu’à l’internaute qui la relaie – sciemment ou non. Et il faut adapter le cadre juridique.

(Cet article juridique est paru le 18 décembre 2017 dans le n°180 de Edition Multimédi@. Le 3 janvier 2018, lors de ses vœux à la presse, Emmanuel Macron a annoncé un futur projet de loi contre les « fausses informations ».)

Par Alexandre Euverte et Etienne Drouard (photo), cabinet K&L Gates

« Johnny Hallyday a trouvé la mort aujourd’hui à l’âge de 74 ans ». Cette affirmation ne correspond pas à la triste nouvelle qui a endeuillé la France à l’aube du 6 décembre 2017. C’est la réponse que donnait l’application Siri d’Apple le 30 novembre 2017 si vous lui demandiez : « Comment va Johnny ? ». Cette information fausse, relayée par Siri, faisait suite à une modification trompeuse de la page Wikipedia du légendaire chanteur, mise en ligne par un individu anonyme annonçant son décès de façon prématurée.
Si Internet forme aujourd’hui un forum d’échanges global favorisant l’expansion de la liberté d’expression, il est impossible d’ignorer les dérives induites par la vitesse et l’effervescence des contenus. C’est le cas des fake news, ces actualités créées intentionnellement pour tromper le public et lui fournir une représentation erronée de la réalité ou une dénaturation des faits, souvent utilisées à des fins malveillantes.

Loi de 1881 et fake news du XXIe siècle
Au-delà de la désinformation de masse, les fake news nourrissent des théories conspirationnistes, en augmentation en France, ainsi que les propagandes les plus nauséabondes. L’impulsion des réseaux sociaux permet de donner une ampleur inédite aux fake news, parfois relayées par des médias institutionnels ou historiques, voire par des responsables politiques. Lutter efficacement contre ce « cancer » de la désinformation exige de responsabiliser tous les acteurs impliqués dans sa propagation, depuis la source d’une fake news, en passant par les algorithmes de classement basés sur la popularité des contenus, jusqu’à l’internaute qui relaie la désinformation – sciemment ou à son insu – à travers l’audience de masse des réseaux sociaux. Il est nécessaire d’adapter notre cadre juridique et d’inciter les acteurs les plus impliqués à privilégier la vérité par rapport à la popularité. Or notre arsenal législatif Lire la suite

Après Zone-Téléchargement, légalisation du partage ?

En fait. Depuis le 6 décembre, soit une semaine après la fermeture du site Zone Téléchargement (ZT) accusé de pirater des œuvres, la rumeur s’est intensifiée sur l’arrêt imminent du non moins connu site de téléchargement « torrent » français, Cpasbien. Certains en appellent à la légalisation du partage.

En clair. C’est pas bien. Après le site web Zone- Téléchargement (ZT) fermé par la gendarmerie nationale le 28 novembre dernier, le prochain sur la liste – car lui aussi accusé par les ayants droit (Sacem (1), Alpa (2), …) de pirater des œuvres musicales ou cinématographiques – serait cette fois Cpasbien. Comme bien d’autres, ces sites de partage de warez – comprenez : des contenus numériques piratés que l’on désigne par ce surnom issu de where is (où est) et ware (marchandise) – échappent aux radars de l’Hadopi.
La réponse graduée est en effet circonscrite par la loi aux réseaux peer-to-peer (P2P). Comme ZT, après ses prédécesseurs The Pirate Bay, eMule, T411, Wawa-Mania, OMG Torrent ou encore What.cd, Cpasbien a préféré se déployer en proposant du direct download (DDL) pour accéder aux « .torrent » – ces fichiers de métadonnées contenant toutes les informations pour que les fichiers de musiques, de films, de jeux, voire de logiciels, soient téléchargeables (nom, taille, composition, adresse IP d’un serveur, …). Cpasbien, alias Torrent9, est prêt comme les autres à jouer au chat et à la souris avec des « sites miroirs ». Les deux jeunes administrateurs de ZT risquent gros.
« Ce ne sont pas Thibault et Wilfrid qui ont créé le préjudice, mais les utilisateurs », a déclaré leur avocat toulousain Simon Cohen qui en appelle à « une réponse judiciaire graduée » (3). C’est dans ce contexte de répression judiciaire contre le piratage que la question du partage sur Internet est revenue dans le débat, soit plus de deux ans après le rapport « intermédiaire » (non finalisé) de l’ex-secrétaire général de l’Hadopi, Eric Walter, sur la controversée « rémunération proportionnelle du partage » (4) (*) (**).
La Quadrature du Net, association de défense des droits et libertés numériques, monte au créneau pour plaider en faveur de la « légalisation du partage non-marchand [déjà préconisée par le rapport Lescure de 2013, ndlr], couplée à une redevance levée sur l’abonnement Internet des foyers, de l’ordre de 4 ou 5 euros par mois » (5). Pour l’un de ses représentants, le juriste et bibliothécaire Lionel Maurel, « les industries culturelles se battent depuis des années contre des monstres qu’elles ont elles-mêmes créés ». Licence globale, contribution compensatoire, contribution créative, redevance de partage, … Et si la campagne présidentielle pour 2017 s’emparait du débat ? @

L’affaire « Microsoft » : la localisation des données et l’extraterritorialité en question

Le 14 juillet 2016, la cour d’appel fédérale de Manhattan aux Etats-Unis a décidé qu’un mandat de perquisition ne permettait pas aux autorités américaines d’obtenir des données stockées par Microsoft en Irlande, car un tel mandat ne peut avoir d’effets en dehors des frontières des Etats-Unis.
Quel impact en Europe ?

Par Winston Maxwell (photo), avocat associé, Hogan Lovells

winston-maxwellL’arrêt « Microsoft » a le mérite de préciser l’étendue territoriale des pouvoirs de police aux Etats-Unis et de relancer le débat sur la localisation des données. Cette affaire commence en décembre 2013 lorsqu’un magistrat ordonne à la firme de Redmond de livrer aux services du procureur de l’Etat de New York le contenu de courriers électroniques appartenant à une personne suspectée de trafic de drogues.
Microsoft a livré les métadonnées concernant le compte e-mail du suspect, mais a refusé de livrer le contenu des e-mails, car celui-ci était hébergé en Irlande. Selon Microsoft, les effets de l’ordonnance du magistrat s’arrêtaient aux frontières des Etats-Unis. En première instance, le magistrat a sanctionné Microsoft en 2014 pour avoir désobéi à son ordonnance.

Perquisitions et frontières
Après une procédure d’appel médiatisée et impliquant de nombreuses interventions volontaires, la cour d’appel fédérale a donné raison à Microsoft. La loi américaine permet à la police d’accéder au contenu d’e-mails uniquement après la délivrance par un juge d’un « mandat de perquisition » (warrant). Il s’agit du même outil juridique que celui utilisé pour la fouille d’une maison, par exemple. Selon Microsoft, un mandat de perquisition émis par un juge américain ne pouvait pas produire d’effets en dehors des Etats-Unis.
Le gouvernement américain soutenait, au contraire, qu’aucune fouille n’était nécessaire en dehors des Etats-Unis puisque Microsoft pouvait – à partir de son siège à Redmond (Etat de Washington) – récupérer les données irlandaises par un simple manœuvre technique. Pour le gouvernement américain, la localisation des données n’était pas importante dès lors que le fournisseur de service était situé aux Etats-Unis,
et il pouvait donc accéder à ces données.
La position du gouvernement américain converge avec l’article 57-1 du Code de procédure pénale en France, lequel permet à la police, sous certaines conditions, d’accéder à des données hébergées à l’étranger si un accès à ces données est autorisé en France.
La cour d’appel américaine n’a pas voulu rentrer dans la logique du gouvernement des Etats-Unis. La cour s’est focalisée avant tout sur l’intention du législateur américain. Selon l’arrêt du 16 juillet, une portée extraterritoriale ne peut découler implicitement d’une loi : il faut que la loi prévoie cette portée extraterritoriale explicitement. C’est le cas de certaines lois américaines qui visent de manière explicite des actes commis à l’étranger (actes de terrorisme, ou tourisme sexuel impliquant des mineurs, etc.). Cependant, si la loi ne dit rien sur l’extraterritorialité, la loi doit être lue comme étant limitée au territoire national. Selon la cour d’appel, seul le législateur est habilité à
gérer les questions délicates d’extraterritorialité et des relations internationales. L’extraterritorialité doit être explicite. La loi américaine sur la protection des communications électroniques est silencieuse sur la question territoriale. Pour la cour fédérale, la loi ne peut donc produire d’effets au-delà de la frontière des Etats-Unis.
Par conséquent, le gouvernement ne peut pas utiliser un mandat de perquisition pour forcer Microsoft à livrer des données hébergées en Irlande (1).
Le débat n’est pas clos pour autant, car le gouvernement américain pourrait porter cette affaire devant la Cour Suprême.

Plusieurs enseignements
La décision nous livre plusieurs enseignements. Le premier est qu’en matière d’enquêtes judiciaires, la loi américaine fournit autant de protections aux individus
que la loi française. L’intervention d’un juge est nécessaire, comme pour la fouille
d’un domicile. En matière de protection des données à caractère personnel, la loi américaine sur les enquêtes criminelles ne peut guère être considérée comme étant
« inadéquate », car elle fournit autant de garanties que la loi française.
Certes, les services de renseignement américains ne sont pas tenus, eux, d’obtenir
un mandat avant de collecter des données, y compris hors des Etats-Unis. Ce point
est reproché aux Etats-Unis dans le contexte du nouveau « Privacy Shield » (2). Cependant, aucun pays européen n’impose une telle exigence à ses agences du renseignement. En France, par exemple, les agences du renseignement peuvent collecter des données concernant des communications internationales avec la seule autorisation du Premier ministre. L’erreur serait de comparer l’encadrement des activités de renseignement aux Etats-Unis avec l’encadrement des enquêtes
judiciaires en France. Les deux ne sont pas comparables. Seule une comparaison
« renseignement- renseignement » serait pertinent.

L’extraterritorialité ne se présume pas
Le deuxième enseignement de l’affaire Microsoft concerne localisation des données. Est-ce que la localisation physique des données compte ? En juillet, la Russie a adopté une loi qui étend considérablement l’obligation de stocker des données sur le territoire russe. Un amendement au projet de loi « République numérique » adopté au Sénat aurait créé une obligation de stocker des données sur le territoire français. Cet amendement n’a pas été repris dans la version du texte adoptée en juillet 2016 (3). Certaines lois chinoises prévoient l’obligation de stocker des données sur le territoire chinois. Face aux risques de la mondialisation, certains Etats voient dans la localisation des données un moyen de réaffirmer leur souveraineté. La décision Microsoft semble confirmer que la localisation physique des données peut avoir un impact sur les pouvoirs des autorités nationales.
Mais ce n’est pas si simple. Une loi nationale peut prévoir la possibilité pour les autorités d’accéder à des données hors de son territoire s’il existe un accès dans le territoire (en France, article 57-1 Code de la procédure pénale), voire la possibilité d’intercepter des données à l’étranger (article L854-1 du Code de la Sécurité intérieure). La leçon de l’affaire Microsoft est que la loi doit être précise sur ce point,
car l’extraterritorialité ne se présume pas.
Sur la question de la localisation des données, le nouveau règlement européen du 27 avril 2016 sur la protection des données à caractère personnel (4) est ambivalent, voire contradictoire. D’un côté, la localisation des données n’est pas importante, car tout traitement effectué dans le cadre des activités d’un établissement en Europe – ou lié à l’offre de services en Europe – est couvert par ce règlement, même si les données sont stockées en dehors de l’Europe. Le règlement précise d’ailleurs que le lieu du traitement est sans importance. De l’autre côté, le règlement impose des contraintes particulières pour tout transfert de données en dehors de l’Union européenne, ce qui du coup donne une importance à la localisation. Les prestataires de cloud expliqueront que les données sont stockées partout, et que cette architecture contribue à la sécurité, à la fiabilité, et au faible coût du service.
Mais après l’affaire « Snowden » (5), les fournisseurs de cloud mettent en avant des solutions de stockage 100 % européen, voire 100 % français. Les lois russes et chinoises vont dans le sens d’une localisation forcée des données sur le territoire,
sans parler de lois turques ou iraniennes (6). Dans le cadre de ses travaux sur le marché numérique unique, la Commission européenne dresse un inventaire sur les
cas de « localisation forcée » des données (7), et souligne la nécessité de permettre
la libre circulation des données afin de favoriser l’innovation, la croissance, et la liberté d’expression. Le débat sur la localisation des données s’accompagne d’un débat sur le chiffrement, car une donnée stockée localement n’est guère utile si elle ne peut être déchiffrée. La loi française oblige les fournisseurs de moyens de cryptologie à décrypter des messages, sauf si les prestataires « démontrent qu’ils ne sont pas en mesure de satisfaire à des réquisitions » (article L871-1 du Code de la Sécurité intérieure). Au moment où les gouvernements français et allemand plaident pour des pouvoirs accrus en matière de déchiffrement (8), la présidente de la Commission nationale de l’informatique et des libertés (Cnil) rappelle, dans une tribune qu’elle a cosignée (9), l’importance du chiffrement dans la protection des données à caractère personnel. @

ZOOM

Microsoft résiste encore et toujours à Washington
La firme de Redmond, dans l’Etat de Washington, a décidément maille à partir
avec l’administration de Washington. En effet, en avril 2016, Microsoft a porté plainte
– devant un tribunal fédéral de Seattle – contre le gouvernement américain en l’accusant de violer la Constitution des Etats-Unis en empêchant le géant américain
de l’informatique et du Net d’informer ses milliers de clients des requêtes « secrètes » de l’administration américaine – sous couvert de l’Electronic Communications Privacy Act (ECPA) – pour avoir accès à leurs e-mails et données personnelles.
Cette affaire rappelle celle de l’iPhone qu’Apple avait refusé de débloquer à la demande la police fédérale (FBI) – finalement abandonnée – à la suite de la tuerie de San Bernardino en décembre 2015. @