Archives par mot-clé : CJUE

Digital Markets Act (DMA) : un an après le début des premières enquêtes, Bruxelles défie Washington

Publié le par

Un an après le lancement des premières enquêtes de la Commission européenne à l’encontre de Meta, d’Apple et d’Alphabet (Google), soupçonnés d’enfreindre le règlement sur les marchés numériques (DMA), les Etats-Unis de Donald Trump attendent fébriles les verdicts de l’Union européenne.

Il y a un an – le 25 mars 2024 – pas moins de cinq enquêtes avaient été ouvertes contre trois géants américains du numérique : Apple (iOS/ iPadOS//App Store/Safari), Alphabet (Google/ Android/YouTube/Chrome) et Meta Platforms (Facebook/Instagram/WhatsApp/Messenger), soupçonnés d’enfreindre les nouvelles règles européennes sur les marchés numériques, autrement de violer le Digital Markets Act (DMA). La Commission européenne avait alors prévenu qu’elle avait l’intention de clore ces procédures « dans un délai de 12 mois » à partir de cette date-là (1), soit avant le 25 mars 2025.

Amende de 10 % à 20 % du chiffre d’affaires
Or, à défaut de boucler ces trois enquêtes, la Commission européenne « 2024-2029 » les poursuit en ayant envoyé le 19 mars dernier des « constatations préliminaire » à Alphabet (2) et des « mesures à prendre » à Apple (3). Le premier est accusé de « favoriser ses propres services » sur son moteur de recherche Google Search et de « restreindre techniquement certains aspects de l’orientation » sur sa place de marché Google Play. Autrement dit, Alphabet et Apple auraient enfreint le DMA. Pour Alphabet, « cet avis ne préjuge en rien de l’issue de l’enquête » et laisse à la maison mère de Google « la possibilité d’exercer ses droits de la défense […] en répondant par écrit à ces constatations préliminaires ». Pour Apple, « les décisions précisant les mesures à mettre en œuvre sont juridiquement contraignantes », distinctes de l’enquête elle-même, renvoient à un « contrôle juridictionnel indépendant » pour les droits de la défense.
Pour ces deux Big Tech américaines, les enquêtes de la Commission européenne se poursuivent et pourraient aboutir à des sanctions pécuniaires. Au grand dam de Washington, Bruxelles pourrait à l’issue de ces deux procédures infliger à Alphabet et Apple une amende pouvant aller pour chacun jusqu’à 10 % de leur chiffre d’affaires mondial total respectif. Ces amendes peuvent aller jusqu’à 20 % en cas d’infractions répétées. Mais ce n’est pas tout : Bruxelles dispose d’une « arme nucléaire » de dissuasion qui, « en cas d’infractions systématiques », peut (suite)

« obliger un contrôleur d’accès à vendre tout ou partie d’une activité », selon une procédure communément appelée « démantèlement » (ou breakup en anglais). La Commission européenne peut aussi « lui interdire d’acquérir des services supplémentaires liés au non-respect systémique constaté ». Ces menaces potentielles venues de l’Europe rendent nerveuse l’administration « Trump II ». Quant au groupe américain Meta Platforms, dont l’enquête engagée il y a un an s’éternise, il a soumis le 6 mars à la Commission européenne deux « rapports de conformité » et un sur le « profilage des consommateurs » sur Facebook, Instagram et WhatsApp. Bruxelles est en train d’étudier leur conformité au DMA.
Au bout d’un an d’enquête, aucune amende n’a donc été prononcée dans le cadre de ce règlement sur les marchés numériques. Est-ce que les intimidations de l’administration « Trump II » envers l’Union européenne ont produit leurs effets ? Bruxelles semble retenir ses coups (4), depuis le mémorandum « pour défendre les entreprises et les innovateurs américains contre l’extorsion à l’étranger » (5) que le 47e président des Etats-Unis, Donald Trump, a signé le 21 février 2025, et le courrier de deux républicains du Congrès américain – Jim Jordan et Scott Fitzgerald – adressé le 23 février à Teresa Ribera (photo), vice-présidente de la commissaire européenne, en charge de la concurrence (6), pour demander des explications sur les mesures du DMA « qui peuvent cibler les entreprises américaines » (7).
Apple, Alphabet et Meta sont donc les trois premiers « contrôleurs d’accès » (ou gatekeepers) à être depuis un an dans le collimateur de l’exécutif européen. Ils sont soumis aux obligations du DMA (8), et ce, officiellement depuis le 7 mars 2024, tout comme les trois autres premiers gatekeepers désignés par la Commission européenne que sont Amazon (Marketplace), ByteDance (TikTok) et Microsoft (Windows/LinkedIn). Par la suite, ils ont été rejoints en mai 2024 par Booking, portant à vingt-quatre le nombre des « services de plateforme essentiels », y compris le système d’exploitation iPadOS d’Apple pour ses tablettes intégré en avril 2024 (voir tableau page suivante).

Les rapports d’audit « DMA » rendus publics
Ce que reproche Bruxelles à Apple, Alphabet et Meta depuis le 25 mars 2024 se décline en cinq enquêtes « pour non-respect » du DMA sur, respectivement : les règles d’Alphabet concernant l’orientation dans Google Play et ses pratiques d’« auto-favoritisme » dans Google Search ; les règles d’Apple ayant trait là aussi à l’orientation dans l’App Store et à l’écran de sélection pour Safari ; les règle portant sur le modèle « Pay or Consent » de Meta. Il s’agit pour le DMA d’éviter les goulets d’étranglement dans l’économie numérique, les abus de position dominante, les stratégies d’éviction de concurrents, ou encore les atteintes aux données personnelles. La Commission européenne a maintenant toutes les cartes en main pour rendre ses verdicts, chacun des sept gatekeepers lui ayant remis avant le 7 mars leur « rapport de conformité mis à jour » des mesures de conformité mises en œuvre pour respecter le DMA, ainsi qu’un autre rapport de « toutes les techniques de profilage des consommateurs qu’il applique dans le cadre de ses services de plateforme essentiels » (9). Les versions publiques des « rapports de conformité mis à jour » sont accessibles sur la page web consacrée au DMA (10), tandis que les résumés non confidentiels des « rapports sur le profilage des consommateurs » sont accessibles sur une autre page web consacrée là aussi au DMA (11).

« Groupe de haut niveau » : quatrième réunion
Après les analyses menées par deux directions à Bruxelles – la direction générale de la concurrence (DG Comp) et la direction générale des réseaux de communication, du contenu et de la technologie (DG Cnect ou DG Connect) –, cet « audit indépendant » sera transmis par la Commission européenne au Comité européen de la protection des données (CEPD). C’est à la lumière de ces audits et rapports, étayés en outre par les commentaires de tiers intéressés, que l’exécutif européen dira si tel ou tel contrôleur d’accès à enfreint le DMA et s’il mérite une sanction pécuniaire.
Cette échéance du 7 mars 2025 pour la publication de ces premiers rapports de transparence et de conformité, correspondant au premier anniversaire de l’entrée en application du DMA pour les gatekeepers, a été l’occasion pour le « Groupe de haut niveau » (High-Level Group) – prévu par ce règlement sur les marchés numériques (12) – de se réunir à Bruxelles pour la quatrième fois depuis sa création il y a deux ans (la précédente réunion datait de mai 2024). Parmi les trente membres de l’« HLG », dont le mandat est de deux ans (13), sont présents des représentants de l’Organe des régulateurs européens des communications électroniques (ORECE), du Comité européen de la protection des données (EDPB) et de son Contrôleur européen de la protection des données (CEPD), du réseau européen de la concurrence (REC), du Réseau de coopération pour la protection des consommateurs (CPC Network), et enfin du Groupe des régulateurs des médias audiovisuels (EBMS, ex-Erga). Teresa Ribera y était. Cette réunion-anniversaire a aussi donné un aperçu des sous-groupes thématiques du groupe de haut niveau (High-Level Group Thematic Sub-Groups) sur « les obligations en matière de données, l’interopérabilité et l’intelligence artificielle ». Ont aussi été abordés les travaux conjoints de la Commission européenne avec le CEPD (protection des données), les orientations concernant les interactions entre le DMA et le règlement général sur la protection des données (RGPD), et avec le règlement sur les services numériques (DSA). Pour autant, la Commission européenne n’a pas attendu le règlement sur les marchés numériques pour mettre à l’amende les Gafam. Par exemple, et à défaut de démantèlement jusqu’à ce jour, Google s’est déjà vu infliger trois amendes pour abus de position dominante (14) : 2,42 milliards d’euros le 27 juin 2017 pour son moteur de recherche – amende confirmée le 10 septembre 2014 par la CJUE (15) –, 4,3 milliards d’euros le 18 juillet 2018 pour Android, et 1,49 milliard d’euros d’amende infligée le 20 mars 2019 pour la publicité.

Des amendes n’ont pas attendu le DMA
De son côté, Apple – via son siège européen « Apple Operations International » basé à Cork en Irlande – a aussi été mis à l’amende par la Commission européenne en mars 2024, à hauteur de 1,8 milliard d’euros (16), à la suite d’une enquête engagée en juin 2020 sur une plainte de Spotify (17). Quant au groupe Meta Platforms, il a écopé le 14 novembre 2024 d’une amende record de 797,72 millions d’euros (18) pour pratiques abusives en faveur de Facebook Marketplace. @

Charles de Laubier

L’enjeu de la base légale et de l’information dans la conformité au RGPD des fournisseurs d’IA

Publié le par

Depuis peu, les fournisseurs de systèmes d’intelligence artificielle (IA) font l’objet d’une attention accrue de la part des autorités de contrôle européennes, lesquelles analysent leur conformité au règlement sur la protection des données (RGPD), de l’information des personnes à la base légale.

Par Sandra Tubert, avocate associée et Alicia Forgues, docteure en droit, Algo Avocats

Après avoir sanctionné OpenAI en décembre 2024 pour ses manquements au RGPD en lien avec son IA générative ChatGPT (1), l’autorité italienne de protection des données – la GPDP (2) – vient cette fois d’ordonner, le 30 janvier dernier (3), le blocage immédiat de l’application et du site web DeepSeek en Italie en raison de manquements présumés au RGPD. Avant d’ordonner la limitation du traitement, la GPDP avait adressé le 28 janvier une demande d’informations à DeepSeek, afin qu’elle précise les données traitées, les finalités poursuivies, leurs bases légales, le lieu de stockage, ainsi que la typologie de données utilisées pour entraîner les modèles d’IA, leurs sources et les modalités d’information des personnes (4).

Modèles d’IA, systèmes d’IA et données
D’autres « Cnil » européennes ont ouvert des enquêtes. Si le recours à l’IA n’impacte pas véritablement les réponses à apporter à certaines de ces questions, les bases légales de traitement et modalités d’information des personnes posent plus de difficultés lorsqu’il s’agit des traitements mis en œuvre dans le cadre de l’entraînement des modèles d’IA. En effet, ces derniers sont entraînés à l’aide d’un grand nombre de données, parmi lesquelles figurent parfois des données personnelles. Celles-ci se divisent en deux catégories : les données fournies directement par des personnes concernées ou les utilisateurs du système d’IA intégrant le modèle d’IA, auxquelles se rajoutent les données collectées durant l’utilisation du service (données first-party) et les données de non-utilisateurs collectées par web scraping ou grâce à la signature de contrats de licences d’utilisation de contenus (données third-party).
Lorsque le fournisseur se contente d’utiliser des données first-party pour entraîner ses modèles d’IA, le contact direct dont il dispose avec les personnes concernées par le traitement lui permet de les informer de manière classique, notamment via une politique de confidentialité – à laquelle il sera renvoyé depuis un formulaire de collecte ou un courriel – qui devra être précise et claire sur les finalités d’entraînement des modèles (notamment en distinguant l’information portant sur l’entraînement des modèles des autres traitements). A l’inverse, s’il utilise également (suite)

des données third-party, le fournisseur fait face à une difficulté, celle d’identifier un moyen approprié pour informer les personnes concernées de l’utilisation de leurs données à des fins d’entraînement des modèles d’IA. Sur ce point, la décision de sanction de 15 millions d’euros rendue en Italie par la GPDP à l’encontre d’OpenAI contient quelques enseignements. Elle y rappelle qu’elle avait, en avril 2023, ordonné à OpenAI un certain nombre de mesures pour se conformer à l’obligation d’information du RGPD. Selon la GPDP, OpenAI devait non seulement publier une mention d’information sur son site Internet explicitant clairement les finalités d’entraînement des modèles, mais aussi mettre à disposition des personnes un outil permettant d’exercer leurs droits (notamment d’opposition). Le fournisseur de ChatGPT devait également et surtout mener une campagne non promotionnelle à la radio, dans les journaux et à la télévision, dont le contenu aurait dû être validé par l’autorité. Objectif : que les utilisateurs et non-utilisateurs soient clairement sensibilisés à l’utilisation de leurs données à des fins d’entraînement des modèles d’IA et aux droits dont ils disposent, afin qu’ils puissent pleinement les exercer. Cette dernière modalité d’information demandée questionne sur les motivations entourant cette mesure (volume de personnes et de données concernées ? méconnaissance de ces traitements par le grand public en 2023 ?). En effet, cette mesure semble difficilement transposable à l’ensemble des acteurs entraînant des modèles d’IA.
En France, la Commission nationale de l’informatique et des libertés (Cnil) propose dans ses fiches IA (5) d’autres pistes pour informer les personnes. Première suggestion : s’appuyer sur le diffuseur des données (celui qui les a collectées initialement auprès des personnes) pour fournir une information complète, étant précisé que la seule mention d’une ré-exploitation par des tiers est insuffisante et qu’il convient, au contraire, d’indiquer que les données seront utilisées afin de développer un système d’IA et d’en désigner nommément le fournisseur.

Exception à l’information individuelle
Deuxième suggestion de la Cnil : rendre les informations disponibles publiquement sur un site web ou panneau d’affichage, sans procéder à une information individuelle, en s’appuyant sur l’exception prévue par le RGPD (à savoir l’information individuelle se révèlerait impossible ou exigerait des efforts disproportionnés (6)). Sur ce point, il conviendra alors de documenter le caractère disproportionné, suite à une mise en balance entre les efforts exigés – comme l’absence de coordonnées des personnes, le nombre de personnes concernées, les coûts de communication – et l’atteinte portée à la vie privée des personnes, notamment le caractère intrusif du traitement. La Cnil précise que l’information générale devra alors indiquer les sources précises utilisées pour constituer la base de données d’entraînement (ou a minima les catégories de sources lorsqu’elles sont trop nombreuses) ainsi que les moyens pour contacter le diffuseur auprès duquel les données ont été récupérées (7).

Intérêt légitime et ses limites : incertitude
Au-delà de l’information, l’entraînement des modèles d’IA questionne sur l’identification de la base légale parmi les six options inscrites dans le RGPD (8). Dans sa décision à l’encontre d’OpenAI, la GPDP a relevé un manquement sur ce point, lui reprochant une réflexion insuffisante sur le sujet, matérialisée par le fait qu’au cours de la procédure, la société a évoqué à la fois l’intérêt légitime et l’exécution du contrat comme base légale de son traitement d’entraînement des modèles d’IA. La GPDP rappelle ainsi aux fournisseurs de systèmes d’IA leur obligation d’identifier la base légale du traitement en amont de la mise en œuvre de ces traitements et de documenter leur analyse si l’intérêt légitime est retenu. Malheureusement, elle n’explore pas plus en profondeur la légitimité de fonder de tels traitements sur l’intérêt légitime ou ses limites, laissant les fournisseurs dans l’incertitude. Or, l’intérêt légitime est la base légale vers laquelle se tournent majoritairement les fournisseurs de système d’IA.
Ceci s’explique principalement par les cas restreints dans lesquels il est possible de fonder les traitements d’entraînement des modèles sur le consentement ou l’exécution du contrat. Cette dernière est souvent rapidement exclue, puisqu’une interprétation stricte en est retenue par les autorités et la CJUE et qu’elle ne peut être utilisée qu’en présence d’un contrat entre le fournisseur du système d’IA et les personnes concernées, pour des traitements objectivement indispensables à l’exécution des obligations prévues par ce contrat. Le consentement peut, quant à lui, être mobilisé par les fournisseurs utilisant des données firstparty, mais n’est pas véritablement disponible pour ceux qui entraînent leurs modèles d’IA avec des données third-party. Dès lors, le recours à l’intérêt légitime pour entraîner des modèles se généralise, même si cette démarche est critiquée, notamment par l’association Noyb (9).
Face à cette incertitude, l’autorité irlandaise (DPC) a émis une demande d’avis auprès du Comité européen de la protection des données (EDPB) en septembre 2024. La DPC souhaitait obtenir des renseignements sur la façon dont un responsable du traitement peut démontrer le bien-fondé de l’intérêt légitime en tant que base légale de traitement pour le développement de modèles d’IA (10). En réponse, l’EDPB a adopté en décembre dernier un avis (11), assez théorique (sans éclaircissements inédits), dans lequel il rappelle et présente les grandes notions et critères à prendre en compte en lien avec les trois conditions cumulatives pour documenter le fait qu’un traitement puisse être fondé sur l’intérêt légitime. L’EDPB y propose néanmoins quelques exemples de mesures souhaitables pour atténuer les risques identifiés lors de la balance des intérêts (pseudonymisation des données d’entraînement, masquage des données personnelles ou leur substitution par des données synthétiques, mise en place d’un délai entre la constitution de la base et l’entrainement des modèles pour permettre l’exercice des droits, …). Pour les données collectées par web scraping, l’EDPB propose des mesures spécifiques (exclure certaines catégories de données ou certaines sources, créer des listes d’opposition gérées par le fournisseur de systèmes d’IA, …). La DPC a salué l’avis rendu, de même que la Cnil, dont les travaux préexistants sur le sujet (qui apportent un éclairage complémentaire et plus concret) ne sont pas contredits (12). En dépit des recommandations figurant dans ces avis, les difficultés liées au recours à l’intérêt légitime dans un contexte d’entraînement des modèles d’IA sont mises en lumière par l’avertissement rendu par la GPDP, le 27 novembre 2024, à l’encontre de l’éditeur de presse Gedi (13). Celui-ci avait conclu un contrat avec OpenAI relatif à la communication d’archives de journaux pour permettre à ce dernier d’entraîner ses modèles d’IA et de mettre à disposition les contenus de presse de Gedi accompagnés d’un résumé, en temps réel, sur ChatGPT (14). En effet, bien que Gedi ait réalisé une analyse d’impact sur la protection des données, dans laquelle il indiquait fonder à la fois ses traitements et ceux d’OpenAI sur l’intérêt légitime, la GPDP a mis en lumière plusieurs difficultés liées à cette position (15).

Affaire « Gedi » : le cas des archives de presse
La première est la présence dans ces archives d’un volume important de données personnelles, notamment sensibles ou relatives à des infractions. L’autorité italienne rappelle alors que la base légale de l’intérêt légitime ne peut pas, à elle seule, légitimer le traitement de telles données sensibles et qu’il est nécessaire d’identifier, en plus, une des exceptions prévues par le RGPD (16). La seconde est relative à l’information des personnes et à leurs attentes raisonnables. La GPDP estime en effet que les personnes dont les données figurent dans ces archives de journaux ne peuvent pas s’attendre à une telle communication à OpenAI et que l’ajout prévu dans la politique de confidentialité de Gedi (non encore publié) s’adresse aux utilisateurs enregistrés de ses journaux et non aux personnes mentionnées dans les articles transmis. @

« Résumé suffisamment détaillé » : 2025 sera l’année de vérité dans la mise en œuvre de l’AI Act

Publié le par

Le rapport du CSPLA sur la mise en œuvre du règlement européen établissant des règles harmonisées sur l’IA fournit les ingrédients mais… pas la recette ! Le Bureau européen de l’IA, créé par l’AI Act, doit publier prochainement un « modèle européen » à suivre par les Vingt-sept.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Le rapport « IA et Transparence des données d’entraînement » (1), publié le 11 décembre 2024 par le Conseil supérieur de la propriété littéraire et artistique (CSPLA), s’inscrit dans la préparation de la mise en œuvre du règlement européen sur l’intelligence artificielle (AI Act) et a pour objectif de clarifier l’interprétation et la portée des dispositions imposant un modèle de « résumé suffisamment détaillé » (2). Ce modèle sera présenté au nom de la France dans le cadre du processus d’adoption d’un modèle européen par le Bureau européen de l’IA (AI Office), autorité créée par l’AI Act et chargée d’accompagner les fournisseurs d’IA dans leur mise en conformité. La publication du modèle européen est attendue pour janvier 2025.

Transparence des données d’entraînement
La collecte de données de qualité, notamment de données culturelles, est d’une importance stratégique pour les fournisseurs d’IA, puisque les systèmes d’IA ont besoin d’ingurgiter de grandes quantités de données, leur servant de modèles dans leurs productions. Or, des données contenant des créations protégées par un droit de propriété intellectuelle peuvent avoir été obtenues sans autorisation ou sans tenir compte d’un « opt-out », et avoir été effectivement exploitées. Il en va de même concernant des données personnelles (posts Facebook, Instagram, …) potentiellement utilisées pour l’entraînement de modèles d’IA. L’enjeu est alors d’avoir accès à l’information sur les données d’entraînement utilisées par une IA, pour bien des raisons et notamment ouvrir une visibilité aux ayants droits dont des données et/ou créations auraient été mobilisées, quelles qu’en soient les modalités.
Pour ce faire, les fournisseurs d’IA sont désormais soumis à une obligation de transparence qui se concrétise par la mise en place d’une politique de conformité, ainsi que par la mise à disposition au public d’un « résumé suffisamment détaillé » (sufficiently detailed summary) des contenus utilisés pour l’entraînement du modèle d’IA. Ce résumé permet le développement d’une IA de confiance souhaitée au niveau européen (3), en remédiant aux difficultés rencontrées par les titulaires de droits, confrontés à une charge de la preuve disproportionnée concernant l’utilisation de leurs contenus. Pour autant, le résumé doit répondre aux enjeux de la création d’un marché dynamique et équitable de l’IA. Ce qui impose un compromis pour restreindre la quantité d’informations mise à disposition afin de protéger le secret des affaires, moteur d’innovation pour les fournisseurs d’intelligence artificielle. (suite)

La mission à l’origine du rapport approuvé par le CSPLA (4) rappelle à ce titre qu’il convient de « donner à la transparence les conséquences attendues, à savoir créer un marché et permettre la rémunération des contenus » (5). Il s’appuie sur deux principaux points pour justifier son modèle de résumé.
En premier lieu, l’obligation de mettre en place une politique de conformité et celle de mettre à disposition du public un résumé suffisamment détaillé sont indissociables en ce qu’elles participent au même objectif de transparence. A ce titre, et par souci de cohérence avec le « codes de bonne pratique » (code of practice) attendu auprès du bureau de l’IA, la mission considère que la politique de conformité devrait apparaître, au moins dans ses grandes lignes, dans le résumé. La mission explicite certains des principaux éléments de conformité qui devraient figurer dans le résumé. Elle souligne que l’AI Act exige explicitement que la politique de conformité inclut l’« identification et le respect (…) des réserves de droits exprimées conformément à l’article 4, paragraphe 3, de la directive [« Copyright » de 2019 (6)] » (7), mécanisme dont les faiblesses ont été éclairées lors de la récente décision du tribunal régional d’Hambourg dans l’affaire « LAION c/ Robert Kneschke» (8).

Fouille de textes et de données (TDM)
Pour mémoire, le dispositif de ces articles que nous avons commenté (9) permet aux titulaires de droits de s’opposer à la fouille de textes et de données si les œuvres et autres objets protégés ont été réservés « par leurs titulaires de droits de manière appropriée, notamment par des procédés lisibles par machine pour les contenus mis à la disposition du public en ligne ». Or, le tribunal allemand a notamment validé l’application des exceptions de « fouille de textes et de données » (TDM) pour l’entraînement des systèmes d’IA. D’autre part, le tribunal allemand a pour la première fois en Europe établi un précédent concernant l’exception de TDM en insistant sur la nécessité pour les fournisseurs d’intelligence artificielle d’adopter des technologies pour respecter les clauses de réserve exprimées au titre de l’article 4 de la directive « Copyright ». En abordant la question de l’opt-out et la possibilité pour les détenteurs de droits de s’opposer à l’utilisation de leur contenu, le tribunal d’Hambourg a noté que l’opt-out exprimé en langage naturel pouvait être considéré comme « machine-lisible », ce qui aura des implications pour la manière dont les « optout » sont formulés et reconnus à l’avenir. Par conséquent, omettre de mentionner la clause de réserve de droits dans le résumé reviendrait à réduire la portée de l’obligation de transparence (10).

Détail du résumé et secret des affaires
Par ailleurs, le modèle de résumé devrait inciter les fournisseurs à préciser les protocoles reconnus par les « moissonneurs » de données qu’ils utilisent, que ce soit directement ou via des tiers et lorsqu’il s’agit de jeux de données obtenus gratuitement ou moyennant paiement auprès de tiers, et si des mesures ont été mises en place pour garantir que ces données ont été collectées en conformité avec la législation applicable, notamment en vérifiant l’existence d’une autorisation ou d’une licence.
En second lieu, le modèle de résumé doit être pensé afin de garantir un niveau de protection suffisant aux titulaires de droit tout en préservant l’innovation et ainsi conserver l’effet utile du texte. La mission du CSPLA souligne que la finalité du résumé telle que rappelée dans les considérants du règlement est d’« aider les parties ayant des intérêts légitimes, y compris les titulaires de droit d’auteur, à exercer et à faire respecter les droits que leur confère la législation de l’Union », sans pour autant porter atteinte au secret des affaires. A ce titre, le degré de détail du résumé doit s’apprécier au regard de cet objectif et de cette limite, afin de garantir l’effet utile du texte (11).
Pour garantir l’effet utile du résumé, le mission propose dans son rapport une approche graduée, ajustant le niveau de détail selon la nature des contenus, tout en veillant à préserver un équilibre avec le respect du secret des affaires. A ce titre, la mission estime que l’information relative aux contenus et le degré détail attendu est fonction du degré de fiabilité des sources. Pour les contenus libres de droit, ainsi que les contenus relevant d’arrangements contractuels, des informations générales peuvent suffire. Pour les autres contenus protégés, la mission estime que le secret des affaires ne saurait justifier de se borner à transmettre la liste des principales sources et donc ne pas transmettre la liste des URL (12), à savoir des adresses des sites web moissonnés. La mission souligne que l’AI Act insiste sur la nécessité de fournir un résumé complet pour permettre aux parties ayant des intérêts légitimes, comme les titulaires de droits d’auteur, d’exercer et de faire respecter leurs droits (13). Si le secret des affaires peut limiter le niveau de détail technique, il ne peut réduire le résumé au point de le rendre inefficace. Ainsi, la mission énonce comme essentielles certaines informations, telles que les URL des sites Internet d’où proviennent les données récupérées, la date de moissonnage, ainsi que la taille et le type de données utilisées. Toutefois, elle précise que des informations plus détaillées, comme les modalités d’utilisation des contenus (par exemple, méthode de filtrage ou tokenisation), relèvent du secret des affaires et ne doivent pas être divulguées dans le résumé public. Néanmoins, le secret des affaires ayant ses limites, ces informations pourront être divulguées dans le cadre d’une réclamation.
Le rapport du CSPLA se base notamment sur l’inopposabilité du secret des affaires au autorités judiciaires et administratives. A ce titre, la Cour de justice de l’Union européenne (CJUE) a considéré dans son arrêt « Dun&Bradstreet Austria GmbH » (14) que le secret des affaires ne saurait conduire à écarter le droit d’un individu, au titre du règlement européen sur la protection des données (RGPD) de comprendre une décision qui l’affecte. Pour la mission, cette solution est transposable aux dispositions de droit d’auteur issues des textes européens : le secret des affaires ne peut conduire, en vidant toute substance le résumé suffisamment détaillé, à écarter le droit qu’un titulaire de droits tire de l’AI Act à disposer d’éléments pouvant l’aider « à exercer et à faire respecter les droits que leur confère la législation de l’Union [européenne] ».
La mission souligne que si le Bureau de l’IA, lors de ses vérifications, n’a pas à examiner chaque œuvre ou contenu protégé individuellement pour contrôler la conformité des résumés fournis, l’AI Act n’interdit pas qu’un résumé inclut une liste des contenus protégés ou moissonnés, à condition que cette liste demeure globalement complète (15). L’exhaustivité de cette liste pourrait et devrait également être contrôlée dans le cadre d’une réclamation.

Droit d’auteur et données personnelles
Ainsi, pour la mission du CSPLA, il s’agit au stade du résumé public d’identifier les sources collectées pour l’entraînement de l’IA, mais pas encore d’explorer comment ces sources ont été utilisées, tenant compte du secret des affaires. Ces informations pouvant être révélées ultérieurement dans le cadre d’une réclamation, la protection des titulaires de droit demeure assurée. Les ingrédients donc… mais pas la recette. Le rapport du CSPLA confirme la lecture que l’on pouvait faire de l’AI Act, selon laquelle « l’obligation de transparence s’étend bien au-delà des contenus protégés par le droit d’auteur et les droits voisins » (16), et intègre notamment les données à caractère personnel. @

* Anne-Marie Pecoraro est avocate spécialisée en droit de
la propriété intellectuelle, des médias et des technologies.

La revente numérique de jeux vidéo interdite en France : une « exception culturelle » qui interroge

Publié le par

Retour sur la décision de la Cour de cassation qui, le 23 octobre 2024, clôt l’affaire opposant depuis 2015 UFC Que-Choisir à la société américaine Valve, laquelle interdit la revente de jeux vidéo dématérialisés. Pas d’« épuisement des droits » pour ces derniers, contrairement aux logiciels…

La plus haute juridiction française, la Cour de cassation, a eu le dernier mot dans l’affaire qui opposait depuis près de dix ans en France l’Union fédérale des consommateurs-Que choisir (UFC-Que choisir) et la société américaine Valve Corporation. Cofondée en 1996 par son président Gabe Newell (photo de gauche), Valve opère la plateforme numérique Steam créée en 2002 pour distribuer et diffuser en ligne des jeux vidéo, des logiciels, des films ou encore des séries. L’arrêt du 23 octobre 2024 a tranché en faveur de Valve qui n’autorise pas la revente de jeux vidéo dématérialisés.

Directive : « DADVSI » ou « Logiciels » ?
La Cour de cassation a estimé dans cette décision du 23 octobre 2024 (1) que la cour d’appel a eu raison de dire dans son arrêt du 21 octobre 2022 (2) qu’« un jeu vidéo n’est pas un programme informatique à part entière mais une œuvre complexe en ce qu’il comprend des composantes logicielles ainsi que de nombreux autres éléments tels des graphismes, de la musique, des éléments sonores, un scénario et des personnages [“dont certains deviennent cultes”, ajoutait même Valve, ndlr] ». Et que, « à la différence d’un programme d’ordinateur destiné à être utilisé jusqu’à son obsolescence, le jeu vidéo se retrouve rapidement sur le marché une fois la partie terminée et peut, contrairement au logiciel, être encore utilisé par de nouveaux joueurs plusieurs années après sa création ». Dans ses arguments distinguant logiciel et jeu vidéo, la cour d’appel avait aussi affirmé qu’« il ne peut être considéré que la fourniture d’un jeu vidéo sur un support matériel et la fourniture d’un jeu vidéo dématérialisé sont équivalentes d’un point de vue économique et fonctionnel, le marché des copies immatérielles d’occasion des jeux vidéo risquant d’affecter beaucoup plus fortement les intérêts des titulaires de droit d’auteur que le marché d’occasion des programmes d’ordinateur ».
La plus haute juridiction française, qui avait déjà fait sienne cette définition d’« œuvre complexe » pour les jeux vidéo dans l’arrêt « Cryo » du 25 juin 2009 (3), a donc finalement donné raison à la cour d’appel et, partant, à la société Valve contre l’association UFC-Que Choisir, tout en ajoutant que la cour d’appel « a déduit à bon droit que seule la directive 2001/29 [directive européenne “Droit d’auteur et des droits voisins dans la société de l’information” ou DADVSI (4), ndlr] est applicable aux jeux vidéo, que la règle de l’épuisement du droit ne s’applique pas en l’espèce et qu’en l’absence de doute raisonnable quant à l’interprétation du droit de l’Union européenne, il n’y a pas lieu de saisir la Cour de justice de l’Union européenne [CJUE, ndlr] d’une question préjudicielle ». Donc, circulez, il n’y a rien à voir. (suite)

Alors que pour UFC-Que Choisir, dont la présidente MarieAmandine Stévenin (photo de droite) indique à Edition Multimédi@ que son service juridique analyse la décision et étudie les possibilités de recours, la règle dite d’« épuisement du droit » devait s’appliquer aux jeux vidéo. Et ce, conformément à une autre directive européenne, la 2009/24 sur la protection juridique des programmes d’ordinateur, ou directive « Logiciels » (5). L’association de consommateurs avait donc demandé, en vain, à la cour d’appel de Paris de transmettre à la Cour de justice de l’Union européenne (CJUE) une question préjudicielle qui était la suivante : « Au regard notamment de la jurisprudence de la CJUE qui consacre une qualification distributive du jeu vidéo, l’épuisement du droit de distribution concernant ces œuvres de l’esprit estil régi par le seul article 4 de la directive [DADVSI], alors que le caractère logiciel du jeu vidéo revête une de ses caractéristiques principales et nécessaire à son utilisation ; en cas de réponse négative à la première question, comment articuler les règles relatives à l’épuisement du droit de distribution issues des directives [DADVSI] et [Logiciels] à un jeu vidéo composé principalement d’œuvre logicielles ainsi que d’œuvres non logicielles identifiables dans leur singularité tout en étant interdépendantes pour permettre la jouissance de l’œuvre. Enfin, existe-il un argument juridique permettant de ne pas appliquer au jeu vidéo une logique de protection par l’intermédiaire de mesures de protections techniques et par conséquent, d’appliquer au jeu vidéo les règles de l’épuisement du droit de distribution prévues par la directive [Logiciels] ».

« Situation ubuesque » (UFC-Que Choisir)
L’association UFC-Que Choisir avait en outre précisé dans ses conclusions qu’« appliquée à la règle de l’épuisement du droit cette qualification distributive aboutirait “à une situation ubuesque lorsque le jeu est mis sur le marché de manière dématérialisée”, les règles applicables de l’épuisement du droit étant différentes ». La cour d’appel de Paris en octobre 2022 puis la Cour de cassation en octobre 2024 n’ont donc pas jugé bon de transmettre cette question préjudicielle à la CJUE, alors qu’UFC-Que Choisir a soutenu jusqu’à la fin que « le logiciel d’un jeu vidéo n’est pas accessoire et relève, par sa nature, de la directive [Logiciels], et non pas de la directive [DADVSI] » et qu’« en outre, s’agissant du marché des copies de jeux vidéo, ou marché de l’occasion, il n’existe aucune différence selon que la copie est faite à partir d’un support matériel ou à partir d’Internet ».

L’exception de l’« épuisement du droit »
Pour l’association française de consommateurs, il y a lieu d’appliquer aux jeux vidéo la règle dite de l’« épuisement du droit » consacré par l’article 4-2 de la directive « Logiciels » de 2009, lequel prévoit : « La première vente d’une copie d’un programme d’ordinateur dans [l’Union européenne] par le titulaire du droit ou avec son consentement épuise le droit de distribution de cette copie […], à l’exception du droit de contrôler des locations ultérieures du programme d’ordinateur ou d’une copie de celui-ci ». La transposition de cette disposition en droit français résulte de l’article L. 122-6 3° du code de la propriété intellectuelle (6). Il s’agit d’une exception au droit d’auteur qu’une jurisprudence européenne a étendu aux logiciels, dans le cadre de l’affaire « UsedSoft contre Oracle » qui a fait l’objet d’un arrêt de la CJUE le 3 juillet 2012. La cour y fixe l’interprétation qui doit être faite de l’article 4-2 de la directive « Logiciels » : « Le droit de distribution de la copie d’un programme d’ordinateur est épuisé si le titulaire du droit d’auteur, qui a autorisé, fût-il à titre gratuit, le téléchargement de cette copie sur un support informatique au moyen d’Internet, a également conféré, moyennant le paiement d’un prix destiné à lui permettre d’obtenir une rémunération correspondant à la valeur économique de la copie de l’œuvre dont il est propriétaire, un droit d’usage de ladite copie, sans limitation de durée ». En clair, les utilisateurs peuvent revendre leurs licences de logiciels d’occasion, même si ces logiciels ont été téléchargés en ligne, tant que le titulaire du droit d’auteur a reçu une rémunération appropriée pour la copie initiale. Et l’arrêt « UsedSoft contre Oracle » de décider que « le second acquéreur de ladite licence ainsi que tout acquéreur ultérieur de cette dernière pourront se prévaloir de l’épuisement du droit de distribution […] et, partant, pourront être considérés comme des acquéreurs légitimes d’une copie d’un programme d’ordinateur […], et bénéficier du droit de reproduction prévu à cette dernière disposition » (7).
Mais tant la cour d’appel de Paris que la Cour de cassation invoquent les considérants 28 et 29 de la directive DADVSI qui énoncent, respectivement, que le droit de distribution inclut le droit exclusif de contrôler « la distribution d’une œuvre incorporée à un bien matériel » et que « la question de l’épuisement du droit ne se pose pas dans le cas des services, en particulier lorsqu’il s’agit de services en ligne » (8). Ainsi, contrairement au CD-Rom ou un DVD par exemple, pour lesquels la propriété intellectuelle est incorporée dans un support physique, tout acte en ligne doit être soumis à autorisation dans le cadre du droit d’auteur ou du droit voisin. Ainsi, la première chambre civile de la Cour de cassation, présidée par Carole Champalaune (photo cidessous), considère que « selon la CJUE, si l’épuisement du droit [prévu par la directive “Logiciels”] concerne à la fois les copies matérielles et immatérielles d’un programme d’ordinateur, et partant également les copies de programmes d’ordinateur qui, à l’occasion de leur première vente, ont été téléchargées au moyen d’Internet, sur l’ordinateur du premier acquéreur, les dispositions de la directive [“Logiciels”] constituent une lex specialis par rapport aux dispositions de la directive DADVSI ». Etant entendu qu’une loi spécifique (lex specialis) prévaut sur la loi générale (lex generalis). L’arrêt de la Cour de cassation du 23 octobre 2024 est un revirement complet par rapport au jugement de première instance d’il y a un peu plus de cinq ans, où le tribunal de grande instance (TGI) de Paris avait considéré le 17 septembre 2019 que Valve était dans l’illégalité en empêchant les utilisateurs de sa plateforme Steam de de revendre leurs jeux entre eux. Parmi les clauses abusives dénoncé par le juge de première instance, « la clause n° 1.C est illicite » au regard des directives DADVSI et « Logiciels » dans la mesure où « le principe de l’épuisement s’applique à la fourniture de contenus numériques dématérialisés telle que la fourniture de jeux vidéo en ligne, lesquels sont accessibles à distance via Internet et téléchargés sur l’ordinateur de celui qui l’utilise » (9). La fédération des consommateurs s’était félicitée à l’époque, notamment sur Twitter : « You Win ! Grâce à @UFCquechoisir, les #gamers pourront revendre leurs jeux achetés sur #steam » (10). Mais la victoire ne sera que de courte durée : la société Valve fera appel le 3 novembre 2020. Pour les quatre années suivantes, on connaît la suite. Le débat sur la vente d’occasion de jeux vidéo dématérialisés n’est pas clos pour autant, tandis que la question de ce marché numérique de seconde main se pose pour les autres industries culturelles : livre, musique, film, …

Les marchés de l’occasion numérique
Il y a plus de dix ans, la société américaine ReDigi avait essuyé les plâtres dans le secteur de la musique (11) avec un procès fleuve (2012-2019) qui s’est terminé devant la Cour suprême des Etats-Unis (12). Dans l’édition, l’arrêt « Tom Kabinet » de la CJUE du 19 décembre 2019 a, lui, rendu illégal la revente d’ebooks (13). Mais c’était sans compter l’avènement de Web3 avec ses chaînes de blocs (blockchain), jetons non-fongibles (NFT) et cryptomonnaies (tokens) pour authentifier et monétiser la vente sécurisée d’actifs numériques (14). La législation et la jurisprudence devront évoluer. @

Charles de Laubier

Projet de loi SREN : procédure accélérée… ralentie

Publié le par

En fait. Le 10 avril, l’Assemblée nationale discutera en séance publique du texte élaboré le 26 mars par la commission mixte paritaire (CMP) sur le projet de loi visant à « sécuriser et réguler l’espace numérique » (SREN). Et ce, après que le Sénat a amendé le 2 avril dernier ce texte de la CMP.

En clair. Le projet de loi « Sécuriser et réguler l’espace numérique » (SREN) – émanant donc du gouvernement qui avait engagé une procédure accélérée le 10 mai 2023 – termine son marathon parlementaire. Il aura duré près d’un an ! Pourtant, le Sénat avait adopté un texte le 5 juillet 2023, suivi par l’Assemblée nationale le 17 octobre.
Bien que la commission mixte paritaire (CMP) ait été convoquée le 18 octobre, celle-ci n’a pu se réunir que le… 26 mars 2024, soit près de six mois après. Pourquoi un tel délai, alors que le gouvernement avait opté pour une « procédure accélérée » ? C’est que « ce texte relève pour une très large partie des domaines de compétence de l’Union européenne, et qu’en la matière des législations sont ou bien déjà adoptées ou bien en cours d’adoption [DSA, DMA, AI Act ou encore Data Act, ndlr], ce qui ne nous a pas facilité la tâche », a expliqué la présidente de cette CMP, la sénatrice (centriste) Catherine Morin-Desailly. Le gouvernement a dû notifier à la Commission européenne son projet de loi « SREN » par trois fois (texte gouvernemental, texte des sénateurs et texte des députés), puis attendre à chaque fois la réponse de Bruxelles. La Commission européenne avait même rendu un « avis circonstancié » – voire très critique, notamment au regard du Data Act. Paris a dû revoir sa copie à l’aune des nouvelles législations du marché unique numérique.

Catherine Morin-Desailly a en outre rappelé que le 9 novembre 2023 la Cour de justice de l’Union européenne (CJUE) a rendu un arrêt important dans l’affaire dite « Komm Austria » (1), qui opposait le gouvernement autrichien aux très grandes plateformes Google, Meta et TikTok. « La CJUE y limite très fortement le pouvoir des Etats membres quant à leur faculté d’imposer au niveau national des obligations aux plateformes établies dans d’autres Etats de l’Union européenne », a souligné la présidente de la CMP.
Autrement dit, c’est le maintien du « principe du pays d’origine » consacré par les directives « E-Commerce » de 2000 et « SMAd » de 2010 (plateformes de partage de vidéo). Parmi les nombreuses mesures prévues par la future loi SREN, citons : l’Arcom habilitée à être un des DSC (coordinateur pour les services numériques) des Vingt-sept (2) ; l’Arcep régulateur des nuages (3) ; les jeux à objet numérique monétisable (Jonum) encadrés (4) ; les navigateurs web obligés de signaler les contenus illicites (5). @