Création d’une oeuvre ou d’une invention par une IA : la justice commence à faire bouger les lignes

C’est un peu le paradoxe de l’oeuf et de la poule : qui est apparu le premier ? Dans le cas d’une création ou d’une invention par une intelligence artificielle, qui est l’auteur : la personne humaine ou la technologie créatrice ? Cette question existentielle commence à trouver des réponses, en justice.

Par Boriana Guimberteau (photo), avocatE associéE, cabinet Stephenson Harwood

L’intelligence artificielle (IA) fait l’objet de développements exponentiels dans des domaines aussi variés que les voitures autonomes (et les données générées par celle-ci), la rédaction d’articles ou la création de musiques. Au-delà de la compréhension de son fonctionnement, l’intelligence artificielle soulève la question de la paternité et de la titularité des oeuvres créées ou des inventions générées par elle. Avant d’explorer plus en amont cette question, il convient de fournir une définition de l’intelligence artificielle. Selon l’Organisation mondiale de la propriété intellectuelle (OMPI), l’intelligence artificielle désigne une branche de l’informatique qui a pour objet de concevoir des machines et des systèmes à même d’accomplir des tâches faisant appel à l’intelligence humaine, avec un intervention humaine limitée ou nulle.

Vers un « Artificial Intelligence Act » européen
Cette notion équivaut généralement à l’intelligence artificielle spécialisée, c’est-à-dire aux techniques et applications programmées pour exécuter des tâches individuelles. L’apprentissage automatique (machine learning) et l’apprentissage profond (deep learning) font tous deux parties des applications de l’intelligence artificielle. L’IA peut ainsi produire différents résultats dont certains pourraient être qualifiés de créations ou d’inventions, les premières protégeables par le droit d’auteur et les secondes par le droit des brevets d’invention. La question est alors de savoir qui sera titulaire des créations ou des inventions générées par l’IA, et si l’IA pourrait être qualifiée d’auteur ou d’inventeur par le droit positif français. En matière de droit d’auteur tout d’abord, de nombreux auteurs se sont penchés sur la question de savoir si l’intelligence artificielle pouvait bénéficier de la qualité d’auteur. La majorité d’entre eux reconnaissent Continuer la lecture

Sécurité numérique : le Premier ministre plus que jamais en première ligne

Le Premier ministre est le régulateur de la sécurité numérique nationale. Le Conseil constitutionnel a confirmé en février dernier l’étendue de ses prérogatives et des garanties nécessaires en la matière. L’affaire « SolarWinds » appelle de telles garanties du côté des fournisseurs d’informatique en nuage.

Par Christophe Clarenc (photo), avocat, cabinet DTMV & Associés

La « transition numérique » de l’économie et des entreprises s’accompagne d’une démultiplication pandémique des violations et compromissions de sécurité des systèmes d’information (1), avec un flot continu de « fuites » massives de données, une industrialisation (à l’état de l’art) de l’exploitation des « failles » de sécurité, et une explosion des cyberattaques critiques. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) rapporte à cet égard un développement exponentiel à la fois des cyberattaques criminelles par rançongiciels et des menaces d’espionnage, de déstabilisation voire de sabotage à travers les attaques indirectes par rebond dans les chaînes de sous-traitance, d’approvisionnement et de partenariat industriels, dont la propre chaîne des fournisseurs de services d’informatique et d’infogérance en nuage. Le risque systémique d’attaques ciblées et vectorisées par la chaîne d’approvisionnement informatique est plus que confirmé par la campagne de cheval de Troie menée dans et à partir de la plateforme de gestion et de supervision informatique (Orion) du fournisseur américain SolarWinds, détectée en décembre dernier (2).

Chaîne de compromission « SolarWinds »
Par compromission des mises à jour logicielles distribuées par cette plateforme, cette attaque a infiltré et infecté en profondeur les systèmes de près de 18.000 de ses clients-utilisateurs, dont plusieurs départements de l’administration américaine (Pentagone, NSA, Trésor, Justice, Energie), de grands fournisseurs de services informatiques et de cybersécurité comme Microsoft et FireEye, et une série de grands comptes industriels aux Etats-Unis et en Europe. Reçue comme un « Pearl Harbour » de la « Supply Chain Security », cette affaire a soulevé aux Etats-Unis un tourbillon d’interrogations et d’investigations sur l’état des risques, des faiblesses systémiques, notamment réglementaires, et des défaillances individuelles de sécurité dans l’industrie et la chaîne d’approvisionnement « IT » (Information Technology). Microsoft a répondu que ce type de cyberattaque « sera la norme ». Le New York Times a révélé que les mesures et la politique de sécurité de SolarWinds étaient structurellement déficientes, notamment pour satisfaire aux exigences de profitabilité de ses investisseurs. L’agence Moody’s a considéré que l’affaire Continuer la lecture

Projet de décret SMAd et futur décret TNT : le paysage audiovisuel français (PAF) fait sa mue

La réforme de l’audiovisuel en France est à un tournant historique. Si les négociations interprofessionnelles et les ajustements des pouvoirs publics ne se bloquent pas, notamment sur la chronologie des médias, un nouveau cadre (décrets SMAd et TNT) pourrait entrer en vigueur le 1er juillet 2021.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Alors que l’année 2020 a renforcé les services délinéarisés, les téléspectateurs n’ont pas boudé les 31 chaînes métropolitaines de la TNT (1). Preuve que la distribution numérique via des fréquences attribuées (2) a encore un rôle à jouer – a minima, à titre transitoire. Pour l’heure, la révision prochaine du décret dit TNT nous invite à évoquer les enjeux historiques et structurels mais surtout conjoncturels – pour partie liés à la réforme de l’audiovisuel – de la télévision numérique terrestre.

Enjeux historiques, structurels et conjoncturels
La TNT, encadrée par la loi du 1er août 2000 (3), porte des enjeux historiques. Elle possède en effet certaines caractéristiques qui font sa spécificité auprès des téléspectateurs et des éditeurs de service de télévision – une couverture large, une offre riche et gratuite et une simplicité d’utilisation – qui participent à s’opposer aux effets de la fracture numérique. Les chaînes de la TNT ne peuvent cependant pas ignorer l’impact des changements en cours dans le secteur de l’audiovisuel. En effet, si la TNT reste essentielle pour de nombreux foyers, elle est sujette à la concurrence des nouveaux modes de consommation de biens culturels.
Aussi, depuis quelques années, la question de la modernisation de la TNT est-elle discutée de manière constante au fil des rapports et des consultations de l’Arcep et du CSA (4) (*) (**). La proposition de loi relative à la modernisation de la TNT, déposée le 4 février 2021 au Sénat par Catherine Morin-Desailly va dans ce sens (5). Selon la sénatrice, la modernisation de la TNT est une nécessité qui répond à la fois à « une demande forte » des acteurs du secteur et des téléspectateurs. Elle propose à cette fin : le lancement de services TNT en ultra-haute définition (UHD) ; l’attribution de nouvelles compétences de régulation au CSA ; l’adoption de nouvelles normes pour accroître la qualité des services (notamment des standards d’image et de son) ; le développement de services interactifs enrichis pour les téléspectateurs. Les Jeux olympiques de Paris en 2024 devraient constituer l’horizon auquel une plateforme TNT modernisée serait proposée aux Français. Pour ces raisons, la TNT va, au moins à titre transitoire, conserver un rôle. La TNT porte également des enjeux conjoncturels liés à la réforme du paysage audiovisuel français. Si l’on applique au secteur audiovisuel la citation de Paul Eluard « Il n’y a pas de hasard, il n’y a que des rendez-vous », peuvent s’analyser comme une succession de rendez-vous destinés à donner in fine une « architecture logique et complète » au paysage audiovisuel français : le nouveau décret « SMAd » (pour services de médias audiovisuels à la demande) pris pour transposer la directive européenne SMA et abroger le premier décret SMAd de 2010 ; la renégociation de la chronologie des médias (régissant les fenêtres de diffusion des films sortant en France), et les négociations tenant à revoir le décret TNT datant de 2010 lui-aussi (6).
Premier rendez-vous : la TNT face à la transposition de la directive SMA. La directive européenne de 2018 sur les services de médias audiovisuels, dite SMA (7) et telle que transposée en droit français dans le projet de nouveau décret SMAd, ne régit pas la TNT (8). Pourtant, les changements que ce décret implique sont connexes aux discussions relatives à la révision du futur décret TNT. En effet, le nouveau décret SMAd permettra l’intégration des plateformes de streaming vidéo dans le système de financement de la création, en leur imposant – à l’instar des chaînes de télévision – de consacrer un pourcentage de leur chiffre d’affaires réalisé en France à la production d’œuvres audiovisuelles et cinématographiques « européennes ou d’expression originale française ». Ainsi, dans le projet de décret SMAd (9) tel que notifié par la France à la Commission européenne le 18 décembre 2020 et en période d’observation à Bruxelles jusqu’au 19 mars 2021, deux taux de contribution à la création différents sont prévus : l’un équivalant à 25 % du chiffre d’affaires des plateformes, l’autre à 20 %.

Adapter la chronologie des médias à Netflix
Deuxième rendez-vous : la TNT dans la renégociation de la chronologie des médias. L’introduction de ces nouvelles obligations de financement rendent nécessaires la renégociation de la chronologie des médias, dernièrement modifiée en janvier 2019 par arrêté (10) à la suite d’un accord interprofessionnel (11) signé fin 2018. En effet, comme le rappelait le Premier ministre Jean Castex l’été dernier : « On ne peut pas exiger beaucoup des plateformes et leur imposer les délais de diffusion aujourd’hui prévus » (12). Le pendant de cette affirmation est que les chaînes de télévision de la TNT, considérées comme des acteurs historiques du financement de l’audiovisuel et bénéficiant, à ce titre, de leur place définie dans la chronologie des médias, se verront davantage encore concurrencées par les services de médias audiovisuels à la demande, les « SMAd », que sont notamment Netflix, Amazon Prime Video, Disney+ ou encore Apple TV+.

Négociations jusqu’au 31 mars 2021
Selon la chronologie des médias actuelle, les chaînes – qu’elles soient payantes ou gratuites – disposent d’une avance sur les SMAd avec plusieurs modalités de diffusion comprises entre 8 et 30 mois à compter de sortie en salle des nouveaux films, contrairement aux SMAd qui disposent d’une fenêtre de diffusion allant de 17 à 36 mois. Cependant, la logique de la chronologie des médias – qui met en place des fenêtres d’exclusivité pour la diffusion d’un film après sa sortie en salle, en fonction de la participation au financement d’un film – invite à donner aux SMAd une place prenant en compte de leur participation au financement d’un film. Pour les chaînes de la TNT, les négociations qui se jouent sont donc cruciales puisqu’il en va de la survie de leur modèle. En effet, malgré l’attractivité des plateformes de SMAd, elles conservaient jusqu’à présent une valeur ajoutée liée à des fenêtres de diffusion plus stratégiques.
En l’état actuel, conformément à un décret paru en janvier, les acteurs de l’audiovisuel ont jusqu’au 31 mars 2021 pour négocier un nouvel accord relatif à la chronologie des médias (13). A défaut, un décret fixera, de façon temporaire, les fenêtres d’exploitation qui ne résultent pas de la loi et ce jusqu’à la conclusion d’un nouvel accord interprofessionnel.
Troisième rendez-vous : le lancement de la négociation du décret TNT. La négociation autour du décret TNT de 2010 a fini par s’imposer comme le troisième et dernier rendez-vous pour « garantir l’équité entre services linéaires et non linéaires d’une part et entre opérateurs nationaux et internationaux d’autre part » (14). En effet, si la TNT demeure essentielle à la création puisqu’elle contribue de manière centrale au financement de la production cinématographique et audiovisuelle d’œuvres « européennes ou d’expression originale française », et à leur rayonnement, elle est tributaire d’obligations de production qui s’inscrivent dans un cadre règlementaire lourd et qui rendent les chaînes de la TNT moins compétitives par rapport aux SMAd. Depuis 2010, la contribution obligatoire des éditeurs de télévision diffusés par la TNT à la production d’œuvres cinématographiques et audiovisuelle est régie par le décret TNT du 2 juillet 2010. Cette réglementation prévoit notamment : des obligations de quotas de diffusion d’œuvres cinématographiques ou audiovisuelles européennes et en langue française pour les éditeurs de télévision diffusés par la TNT ; des obligations de financement à la production cinématographique différentes selon qu’il s’agit d’une chaîne de cinéma ou non ; des obligations de financement à la production audiovisuelle différentes selon qu’il s’agit d’une chaîne en clair ou avec abonnement spécifiquement cinéma ou non. Par ailleurs, les dépenses prises en compte au titre des obligations de financement diffèrent selon le type de production (audiovisuel ou cinématographique). Par exemple, pour la production d’œuvres cinématographiques, le préachat des droits de diffusion est pris en compte. Ici, le but du législateur est de développer un secteur de production audiovisuelle indépendant. Les dépenses sont donc volontairement fléchées pour que les producteurs gardent un contrôle de la propriété des parts de leurs productions et coproductions, les droits des chaînes d’entrer en coproduction étant limités pour protéger la production indépendante. Dans la logique de préservation de la production indépendante, les chaînes de télévision sont limitées dans la patrimonialisation des droits.
A l’aube des négociations du futur décret TNT, les chaînes de télévision demandent de bénéficier de plus de droits une fois qu’elles ont rempli leur obligation de contribution à la production d’œuvres audiovisuelles et cinématographiques. La question de l’allongement des droits sur les œuvres produites (aujourd’hui limités à trois ans) pourrait cristalliser les débats. Elle implique une négociation sur les parts de coproduction et sur la définition de la part devant être consacrée à la production dépendante et indépendante, sachant que les chaînes de télévision ne cessent d’exiger davantage de droits sur les œuvres qu’elles financent (15). Il s’agit de questions épineuses mais dont la réponse devrait s’attacher à illustrer deux constantes de politique de production audiovisuelle à l’œuvre depuis 1986 : développer et valoriser l’identité française et européenne des programmes, tout en permettant la constitution d’un secteur de production audiovisuelle solide.

Décret TNT révisé : en vigueur le 1er juillet ?
En tout état de cause, la ministre de la Culture Roselyne Bachelot espère que ce décret TNT révisé entrera en vigueur le 1er juillet 2021 – soit en même temps que le nouveau décret SMAd – et que les négociations s’achèveront le 31 mars 2021 – soit en même temps que la fin des négociations relatives à la chronologie des médias. Et, en définitive, nous voyons, dans la concomitance de ces dates, l’étape-clé du processus logique et complet de la réforme du paysage audiovisuel français. @

* Anne-Marie Pecoraro est avocate spécialisée en droit
de la propriété intellectuelle, des marques, des nouvelles
technologies et de l’exploitation des données personnelles.

Brexit : entre l’Union européenne et le Royaume-Uni, les données personnelles sont entre deux eaux

Le RGPD sur la protection des données personnelles en Europe reste applicable à leurs transferts vers le Royaume-Uni jusqu’au 1er juillet 2021. Mais, depuis le début de l’année, la « Cnil » britannique ne peut plus être « chef de file ». En tout cas, il faut anticiper avec ce « pays tiers ».

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

A l’heure où le Brexit devient réalité, la question du transfert des données personnelles entre l’Union européenne (UE) et le Royaume-Uni (RU) mérite une attention particulière. Pas d’urgence absolue puisque le règlement européen sur la protection des données RGPD reste applicable au Royaume-Uni de manière transitoire jusqu’au 1er juillet 2021. A noter toutefois que, depuis le 1er janvier 2021, le mécanisme du « guichet unique » ne sera plus effectif par le biais de l’Information Commissioner’s Office (ICO), la « Cnil » britannique.

RGPD, applicable jusqu’au 1er juillet 2021
Ainsi, à moins qu’une décision d’adéquation ne soit accordée au Royaume-Uni par la Commission européenne d’ici mi- 2021, les transferts de données personnelles vers le Royaume-Uni devront être encadrés par les outils prévus par le RGPD. Autant s’en préoccuper dès à présent ! Concrètement, jusqu’au 1er juillet 2021, le Royaume-Uni est toujours considéré comme un Etat membre de l’UE dans le cadre des transferts de données. Si aucune modification n’est requise dans l’immédiat pour continuer à transférer des données personnelles avec le territoire britannique, l’autorité de contrôle britannique ICO recommande aux entreprises britanniques ayant des activités transfrontalières avec les Vingt-sept d’anticiper tout risque potentiel d’interruption des transferts.
L’accord de commerce et de coopération entre l’UE et le RU, conclu le 24 décembre 2020 et en vigueur depuis le 1er janvier 2021, prévoit, en matière de protection des données à caractère personnel, que le RGPD demeure applicable pour une durée maximum de six mois. Cet accord a fait suite à une période transitoire qui courait depuis un premier accord de retrait trouvé le 31 janvier 2020 à minuit. Car les textes européens étant alors encore applicables, cet accord n’ouvrant en réalité qu’une période de transition s’étalant jusqu’au 31 décembre 2020. Rappelons que c’est à la suite du référendum du 23 juin 2016 que le Royaume-Uni a actionné la procédure de retrait de l’Union européenne prévue par l’article 50 du Traité de l’UE. Cette décision en faveur du Brexit (pour « British Exit ») a donné lieu à de nombreuses discussions afin d’organiser cette sortie effective du Royaume-Uni. L’accord conclu entre le RU et l’UE a conduit à l’exclusion de l’autorité britannique du mécanisme de guichet unique. Ce mécanisme permet aux entreprises opérant des traitements transfrontaliers (entre plusieurs Etats membres) de centraliser leur communication avec une seule autorité qualifiée alors de « chef de file » (1). Cette autorité n’est pas choisie par l’entreprise mais correspond à celle du pays dans lequel se situe l’établissement principal de l’entreprise en question. En France, c’est la Commission nationale de l’informatique et des libertés (Cnil). Au Royaume- Uni, c’est l’Information Commissioner’s Office (ICO).
La fin du guichet unique pour le Royaume-Uni signifie donc que les entreprises qui effectuaient des traitements transfrontaliers et qui avaient l’ICO comme autorité chef de file ne pourront plus bénéficier de ce mécanisme. Seuls les responsables de traitement ou sous-traitants ayant un établissement principal au sein de l’Espace économique européen (EEE) pourront continuer de bénéficier du guichet unique, avec pour autorité chef de file, celle du pays dans lequel est implanté ledit établissement. Concernant les entreprises exclusivement basées au Royaume-Uni, il est important de rappeler que le caractère extraterritorial du champ d’application du RGPD rend ce dernier applicable dès lors que les activités de traitement sont liées à une offre de bien ou de service destinée à des personnes concernées de l’Union européenne ou au suivi du comportement de ces personnes. Dès lors, ces entreprises britanniques seront tenues de désigner un représentant au sein de l’Union européenne conformément à l’article 27 du RGPD. Une fois le délai de transition expiré, il faudra appréhender les transferts au Royaume-Uni comme des transferts vers un pays tiers, c’est-à-dire comme un pays situé en dehors de l’EEE.

Une « décision d’adéquation » avec le RU ?
Cependant, le Royaume-Uni, en sa qualité d’ancien Etat membre de l’UE, dispose déjà d’un important arsenal juridique en matière de protection des données avec des dispositifs tels que le « Data Protection Act » ou encore le « Privacy and Electronic Communication Regulations ». Ces textes de loi reprenant déjà la majorité des dispositions du RGPD, il apparaît possible que la Commission européenne autorise de façon générale l’ensemble des transferts de données vers le Royaume-Uni à travers une « décision d’adéquation ». Tel sera le cas si la Commission européenne considère que le Royaume-Uni offre toujours un niveau de protection au moins équivalent à celui exigé au sein de l’UE. Pour autant, il convient de rester vigilant car les dernières déclarations du Premier ministre Boris Johnson annonce une évolution de la législation interne dans le sens d’un assouplissement de cette dernière. L’hypothèse d’une décision d’adéquation semble ainsi s’éloigner notamment compte tenu de l’appartenance du Royaume-Uni au « Five Eyes », alliance des services secrets britanniques, canadiens, australiens, américains et néo-zélandais.

Sinon, explorer les « garanties appropriées »
On rappellera que cette alliance à cinq (également désignée par FVEY), qui remonte à l’époque de la Guerre froide, permet aux agences de renseignement de ces cinq pays de se demander respectivement d’intercepter des communications de leurs citoyens. Ce partage d’informations et de données alerte de plus en plus les institutions et l’opinion publique, notamment depuis les révélations d’Edward Snowden en 2013. Selon ce lanceur d’alerte, les Etats contourneraient leur propre législation nationale en demandant aux membres de l’alliance de collecter des informations pour leur compte, et ce sur le fondement de cet accord. En 2014, la Commission européenne avait publié un rapport (2) confirmant le fait que les agences de renseignement néo-zélandaises et canadiennes auraient coopéré avec la National Security Agency (NSA) dans le cadre du programme Five Eyes et potentiellement partagé activement des données personnelles de citoyens de l’UE. Si l’option « décision d’adéquation » devait être écartée, il conviendra alors d’explorer d’autres solutions, notamment les « garanties appropriées » prévues par le RGPD. Il s’agit soit des clauses contractuelles types (CCT) à insérer dans le contrat entre l’importateur et l’exportateur de données (3), soit des règles d’entreprise contraignantes (BCR) qui désignent les règles internes de protection des données applicables entre exportateur et importateur de données au sein d’un groupe d’entreprise (4), soit encore d’outils tels que : code de conduite, mécanisme de certification, instrument juridique contraignant entre autorités publiques, etc (5).
Le RGPD prévoit également certaines dérogations exceptionnelles. L’organisation souhaitant transférer des données en dehors de l’EEE pourrait ainsi faire valoir l’une de ces dérogations à condition que le transfert ait un caractère exceptionnel (ni régulier, ni structurel) et qu’aucun autre cadre juridique ne puisse être utilisé. Tel est le cas lorsque la personne concernée consent au transfert de ses données ou lorsque le transfert de données est nécessaire à la conclusion ou à l’exécution d’un contrat ou encore lorsque le transfert est nécessaire par exemple à l’exercice des droits de la défense dans le cadre de procédures judiciaires. On notera cependant que, dans tous les cas, il appartient au responsable de traitement et au destinataire des données de vérifier, préalablement à tout transfert, si le pays tiers permet en pratique d’assurer un niveau de protection essentiellement équivalent à celui garanti dans l’UE par le RGPD, et notamment que les personnes concernées disposent de droits opposables et de voies de droit effective (6). Cette règle a été rappelée par la Cour de justice de l’Union européenne (CJUE), dans son arrêt « Schrems II » (7) du 16 juillet 2020. On rappellera que, dans cette affaire, Maximillian Schrems, défenseur autrichien de la protection des données personnelles, avait sollicité l’interdiction ou la suspension du transfert de ses données personnelles par Facebook Ireland à la maison mère Facebook Inc. établie aux Etats-Unis. Ce dernier considérait que la législation américaine ne permettait pas en pratique de protéger adéquatement les données personnelles détenues sur son territoire contre l’accès des autorités publiques et qu’il n’y avait pas de recours efficace pour les personnes concernées européennes. La CJUE étant particulièrement regardante sur l’effectivité des droits des personnes concernées ainsi que sur leur exercice, c’est précisément ce qui a fondé l’invalidation du « Privacy Shield » au sein de cette décision.
De même, si la CJUE a confirmé la validité des clauses contractuelles types comme outil de transfert, il est important de préciser que ces clauses ne lient pas les autorités des pays tiers, en raison de leur caractère contractuel. Ainsi, dans les situations où la législation de ces pays compromettrait en pratique le niveau de protection adéquat que ces outils garantissent, la CJUE incite à prévoir des mesures supplémentaires. De nature technique, contractuelle ou organisationnelle selon les recommandations du Contrôleur européen de la protection des données (CEPD), ces mesures permettraient d’assurer l’effectivité des « garanties appropriées » au sein de ces systèmes juridiques (8). Toutefois, en fonction des caractéristiques du transfert de données envisagé, et de l’évaluation de la législation du pays tiers faite par l’importateur et l’exportateur des données, si aucune mesure supplémentaire efficace ne peut être mise en œuvre pour garantir le niveau de protection équivalent, il conviendra de renoncer au transfert.

Considérer le RU comme « pays tiers »
En conclusion, si le RGPD reste applicable aux transferts de données vers le Royaume-Uni jusqu’au 1er juillet 2021, il n’est certainement pas trop tôt pour anticiper la suite. En l’absence d’une décision d’adéquation avant cette date butoir, les transferts de données devront être considérés comme ayant pour destination un pays tiers. De ce fait, il est d’ores et déjà recommandé d’identifier les traitements en question pour, le jour venu, adopter l’une des solutions évoquées à l’aune de la future législation britannique. @

* Christiane Féral-Schuhl, ancienne présidente
du Conseil national des barreaux (CNB)
après avoir été bâtonnier du Barreau de Paris,
est l’auteure de « Cyberdroit » paru aux éditions Dalloz.

Digital Services Act (DSA) et Digital Markets Act (DMA) : l’Europe vise une régulation équilibrée du Net

Présenté par la Commission européenne le 15 décembre 2020, le paquet législatif « DSA & DMA » – visant à réguler Internet en Europe, des réseaux sociaux aux places de marché – relève d’un exercice d’équilibriste entre régulation des écosystèmes et responsabilités. Son adoption est espérée d’ici début 2022.

Par Laura Ziegler, Sandra Tubert et Marion Moine, avocates, BCTG Avocats

La digitalisation croissante de la société et de son économie a fait naître de nouvelles problématiques sociétales et juridiques que l’arsenal législatif jusqu’alors disponible – en particulier la directive européenne « E-commerce » adoptée il y a plus de vingt ans (1) et transposée en 2004 pour ce qui concerne la France (2) – ne parvient plus à réguler efficacement. Les exemples d’actualité sont nombreux : des contenus illicites ou préjudiciables postés sur les réseaux sociaux, à l’opacité des algorithmes aux conséquences néfastes, … Bien qu’ayant pour ambition commune de réguler le monde digital, le DSA et le DMA poursuivent chacun un objectif distinct.

L’ombre de la directive « E-commerce »
Le projet de DSA. Ce règlement a vocation à remplacer les dispositions relatives à la responsabilité des prestataires de services intermédiaires contenues dans la directive « Ecommerce » (3), et à abandonner la distinction actuelle et quelque peu dépassée entre éditeur et hébergeur. Il vise à établir des règles harmonisées concernant la fourniture de « services intermédiaires », notion qui s’interprète toujours largement et englobe à la fois le transport (4) et la transmission (5) d’informations sur un réseau de communication, la fourniture d’un accès au réseau de communication, ainsi que l’hébergement de données.
En pratique, seront donc concernés : fournisseurs d’accès Internet, bureaux d’enregistrement de noms de domaine (registrars), hébergeurs « cloud » et web, marketplaces, boutiques d’applications (app stores), réseaux sociaux et autres plateformes agissant en qualité d’intermédiaires (plateforme d’économie collaborative, etc.). Plus particulièrement, le DSA aspire à établir un cadre de responsabilité pour les prestataires de services intermédiaires, et à leur imposer des diligences raisonnables qui diffèrent selon la catégorie dont ils relèvent (6) et qui sont au nombre de quatre : services intermédiaires offrant une infrastructure réseau, services d’hébergement, plateformes en ligne réunissant vendeurs et consommateurs et très grandes plateformes. Ces règles trouveront à s’appliquer aux prestataires qui fournissent des services à des destinataires (7) ayant leur lieu d’établissement ou leur résidence dans l’Union européenne (8). Le lieu d’établissement des prestataires est donc sans incidence, dès lors qu’ils présentent un « lien substantiel » avec le territoire européen (9). Evidemment, tous ces prestataires de services intermédiaires ne se verront pas appliquer les mêmes régimes.
S’agissant tout d’abord de leur responsabilité, aucun bouleversement annoncé. En effet, les projets d’articles 3 et 4 du DSA – concernant les services dits de « mere conduit » et de « caching » – reprennent quasiment à l’identique les dispositions des articles 12 et 13 de la directive « Ecommerce » de 2000 : ils ne sont pas responsables des informations qu’ils transportent et/ou transmettent dès lors qu’ils n’ont, en substance, pas une connaissance effective de l’activité ou du contenu illégal ou à défaut, dès lors qu’ils ont agi promptement pour retirer le contenu en cause.
Pas de grand changement non plus pour les hébergeurs qui bénéficieront toujours du régime de responsabilité atténuée. La seule nouveauté relative figure sous son article 5.3. : le régime de responsabilité atténuée ne sera pas applicable si un consommateur concluant un contrat à distance avec des professionnels via une plateforme en ligne est conduit à croire que l’information, le produit ou le service faisant l’objet de la transaction est fournie par cette dernière directement, ou par un destinataire du service agissant sur son autorité ou son contrôle. L’avenir nous dira si ces nouvelles dispositions conduiront les juridictions à adopter une approche plus stricte que celle de l’actuelle jurisprudence basée sur l’interprétation du « rôle actif » des intermédiaires. En revanche, le DSA n’envisage pas d’imposer aux prestataires de services intermédiaires (10) une obligation générale de surveillance (11). Ils y seront cependant encouragés puisque les enquêtes d’initiative volontaires « visant à détecter, identifier, supprimer ou désactiver l’accès à un contenu illégal, (…) » ne leur feront pas perdre le bénéfice de l’exemption de responsabilité (12).

Transparence accrue des intermédiaires
S’agissant ensuite des diligences et obligations qui seront mises à la charge de ces acteurs, certaines seront spécifiques à la catégorie à laquelle ils appartiennent, d’autres seront communes. On relèvera parmi ces dernières, la création d’un « point de contact » permettant une communication directe par voie électronique et l’intégration, dans leurs conditions générales, d’informations rédigées dans un langage clair et sans ambiguïté, sur les politiques, procédures, mesures et outils utilisés à des fins de modération du contenu, y compris sur les algorithmes utilisés pour prendre des décisions. Toujours dans un objectif de transparence accrue, les intermédiaires devront également publier des rapports annuels sur leur activité de modération de contenus. Cette exigence ne devrait pas s’appliquer aux petites et micros entreprises mais devrait être renforcée pour les plateformes en ligne et très grandes plateformes.

Statuts d’hébergeur et contenus illégaux
Concernant plus spécifiquement les services d’hébergement, ceux-ci devront mettre en place des mécanismes d’accès faciles et conviviaux permettant à toute personne de les informer de l’existence de contenus illégaux. Toute décision de suppression ou de désactivation d’un accès à des informations devra en outre faire l’objet d’une information motivée par l’intermédiaire à l’utilisateur concerné (13). Les plateformes en ligne devront en outre créer un système gratuit de traitement des réclamations par voie électronique au sujet des décisions qu’elles sont susceptibles de prendre (modération, suspension, suppression ou résiliation d’un service ou d’un compte utilisateur). Elles auront d’ailleurs, dans ce cadre, l’obligation de suspendre pendant un délai raisonnable, après avertissement, les comptes utilisateurs à partir desquels des abus seront commis (publication de contenus manifestement illicites, et notifications et/ou plaintes manifestement infondées).
Les plateformes mettant en relation commerçants et professionnels devront enfin, procéder à des vérifications élémentaires de l’identité et des coordonnées de ces derniers. Les très grandes plateformes en ligne (14) devront quant à elles procéder, au moins une fois par an, aux études et audits nécessaires pour leur permettre notamment d’identifier les risques systémiques significatifs résultant du fonctionnement et de l’utilisation de leurs services (15). Elles devront également désigner un ou plusieurs responsables de la conformité qui seront chargés de contrôler le respect du règlement DSA. A l’image des « Data Protection Officer » (DPO), ceux-ci devront notamment, faire l’objet d’une désignation officielle auprès des organismes compétents et pouvoir s’acquitter de leurs tâches de manière indépendante. Enfin, les très grandes plateformes pourront être contraintes de fournir un accès à leurs données, en particulier à des chercheurs agréés (16).
Le projet de DMA. Ce règlement-ci ne s’appliquera qu’aux « gatekeepers » ou « contrôleurs d’accès » qui fournissent à des utilisateurs, professionnels ou non, situés dans l’Union européenne (17), des services en ligne essentiels (18). Un prestataire de services essentiels sera présumé être un gatekeeper si celui-ci répond aux trois critères cumulatifs suivants : avoir un impact significatif sur le marché intérieur (en fonction de seuils de chiffre d’affaires et de la valorisation de l’entreprise) ; exploiter un service de « plateforme essentiel » qui sert de passerelle majeure pour les utilisateurs professionnels pour atteindre les consommateurs finaux ; bénéficier d’une position enracinée et durable ou être en voie de bénéficier d’une telle position dans un proche avenir. Le contrôle de l’atteinte de ces seuils quantitatifs incombera tout d’abord aux prestataires de services qui en informeront la Commission européenne. Les gatekeepers fraichement nommés disposeront d’un délai de six mois pour se conformer aux obligations du règlement. Ces désignations pourront bien sûr être reconsidérées, modifiées ou abrogées par la Commission à la lumière de l’évolution des éléments de contexte.
S’agissant de l’étendue de ses obligations, un gatekeeper ayant une position enracinée et durable se verra imposer davantage d’obligations que ceux en voie d’en bénéficier. Dans ce contexte, le règlement introduit plus de quinze obligations et interdictions, parmi lesquelles l’interdiction des pratiques visant à empêcher leurs utilisateurs professionnels de proposer leurs produits et services aux utilisateurs finaux par le biais de services concurrents tiers à des prix ou à des conditions différents (20), ou à traiter plus favorablement, dans le classement, les produits et services qui sont proposés par le contrôleur d’accès lui-même (21), ou encore l’obligation, dans certaines hypothèses, de permettre aux consommateurs de désinstaller les applications logicielles préinstallées ou de fournir aux entreprises qui font de la publicité sur leur plateforme les outils et les informations nécessaires pour effectuer leur propre vérification des annonces publicitaires hébergées par le contrôleur d’accès. Certaines dispositions concerneront par ailleurs, les traitements de données à caractère personnel en imposant des conditions supplémentaires à celles figurant dans le RGPD (22), ou en interdisant purement et simplement certaines pratiques (23). L’interopérabilité est également au coeur des préoccupations puisque le DMA imposera désormais aux contrôleurs d’accès de mettre en place de manière proactive certaines mesures, telles que des mesures ciblées permettant aux logiciels de fournisseurs tiers de fonctionner et d’interagir correctement avec leurs propres services (24). Dans cette même dynamique, les consommateurs devront pouvoir changer d’applications logicielles et de services sans restriction technique (25).

Des sanctions et des astreintes dissuasives
Pour s’assurer de l’effectivité de cette nouvelle régulation, la Commission européenne a mis en place un véritable arsenal puisque tout manquement aux obligations prévues par les DMA et DSA, pourra être sanctionné par une amende pouvant aller jusqu’à 10 % (DMA) et/ou 6% (DSA) du chiffre d’affaires total de l’intermédiaire concerné au cours de l’exercice précédent. Des astreintes pouvant aller jusqu’à 5 % du chiffre d’affaires journalier moyen à compter de sa décision pourront également être prononcées. @