Archives par mot-clé : CJUE

RGPD : toute personne a un droit d’accès étendu à ses données personnelles, à deux limites près

Publié le par

La Cour de justice de l’Union européenne (CJUE) devrait suivre les conclusions de son avocat général sur l’interprétation étendue de l’article 15 du RGPD donnant droit aux individus l’accès à leurs données personnelles et à l’identité des destinataires de ces données. Sauf dans deux cas de figure.

D’après Giovanni Pitruzzella, avocat général à la Cour de justice de l’Union européenne (CJUE).

Giovanni Pitruzzella (photo), avocat général à la Cour de justice de l’Union européenne (CJUE), a présenté le 9 juin dernier ses conclusions dans une affaire opposant un citoyen autrichien dit « RW » et la poste autrichienne Österreichische Post (OP). Le litige commence en janvier 2019 lorsque le premier a demandé à la seconde d’accéder aux données à caractère personnel le concernant. Sa demande portait non seulement sur ses données personnelles conservées par l’OP, mais aussi celles communiquées à des tiers – afin d’être informé sur l’identité des destinataires. Et ce, en application de l’article 15 « Droit d’accès de la personne concernée » du RGPD, le règlement général européen sur la protection des données (1).

Le « ou » de la discorde
La poste autrichienne a répondu à RW en lui expliquant qu’elle utilise des données dans le cadre de son activité d’éditeur d’annuaires téléphoniques et qu’elle les propose à des partenaires commerciaux à des fins de marketing. L’OP a aussi renvoyé le requérant vers deux sites web d’information, l’un sur les finalités du traitement des données, l’autre sur les catégories générales de destinataires auxquels elle communique les données à caractère personnel (en l’occurrence à des partenaires commerciaux, parmi lesquels des annonceurs dans le secteur de la vente par correspondance et du commerce physique, des entreprises informatiques, des éditeurs d’annuaires téléphoniques et des associations telles que des organisations caritatives, des ONG ou des partis politiques). Pour autant, à aucun moment, l’OP n’a révélé à RW les destinataires spécifiques auxquels elle avait communiqué ses données.
L’intéressé a alors introduit un recours pour tenter de faire condamner la poste autrichienne à lui fournir davantage d’informations en application de l’article 15 du RGPD, concernant notamment d’éventuels transferts de ses données à caractère personnel à des tiers, ainsi que le ou les destinataires spécifiques auxquels ces données ont été communiquées. La demande de RW a ensuite été rejetée par les juridictions autrichiennes, tant en première instance qu’en appel, en invoquant le fait que l’article 15 du RGPD mentionne – parmi les huit types d’informations que doit fournir le responsable du traitement des données – « les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées ». C’est ce « ou » qui rend flou l’interprétation de cet article 15. Selon l’avocat général de la CJUE, « cette disposition accorde au responsable du traitement la possibilité de choisir de se limiter à communiquer à la personne concernée les catégories de destinataires, sans devoir indiquer de manière nominative les destinataires spécifiques auxquels ses données à caractère personnel sont transmises ».
Or, sur ce point, il y a débat justement, certains voyant au contraire dans ce « ou » la possibilité pour la personne concernée soit de se contenter d’obtenir du responsable du traitement des données les « catégories » de destinataires auxquels ses données personnelles ont été communiquées, soit d’aller plus loin en exigeant la liste spécifique de ces mêmes destinataires. C’est dans ce sens que le citoyen RW s’est pourvu en cassation en introduisant un nouveau recours. Du coup, la cour suprême d’Autriche – Oberster Gerichtshof – a eu un doute quant à l’interprétation de l’article 15 du RGPD qui a été retenue par les juridictions du fond, et a donc décidé de surseoir à statuer et de poser à la CJUE la question préjudicielle suivante : « L’article 15, paragraphe 1, sous c), du [RGPD] doit-il être interprété en ce sens que le droit d’accès [de la personne concernée] est limité à l’information sur les catégories de destinataires si les destinataires concrets ne sont pas encore connus lorsque les communications sont envisagées, mais qu’il doit impérativement s’étendre également à l’information sur les destinataires de ces informations lorsque des données ont déjà été communiquées ? ».

L’interprétation de l’article 15
Après avoir rappelé que l’article 15 du RGPD concrétise et précise le droit de toute personne d’accéder aux données la concernant, lequel droit est consacré par la charte des droits fondamentaux de l’Union européenne (2), l’avocat général Giovanni Pitruzzella s’est attardé plus précisément sur l’interprétation du « ou » (dans « les destinataires ou catégories de destinataires ») : « Le libellé de la disposition (…) ne permet pas (…), indique-t-il, d’apporter une réponse définitive à la question de savoir s’il convient de considérer que le droit d’accès de la personne concernée qui est prévu à cet article inclut nécessairement l’accès à des informations relatives aux destinataires précis de la communication de données à caractère personnel la concernant, ou si sa portée peut être limitée à l’accès à des informations relatives aux catégories de destinataires ». Et d’ajouter : « Cette disposition ne précise pas non plus explicitement s’il est possible de choisir entre les deux catégories d’informations possibles qui sont prévues (à savoir les “destinataires” ou les “catégories de destinataires“) ni à qui (c’est-à-dire à la personne concernée ou au responsable du traitement) il appartient, le cas échéant, de choisir à quel type d’informations l’accès doit être garanti ». Informations sur les destinataires Cependant, Giovanni Pitruzzella indique privilégier une interprétation de la disposition permettant à la personne concernée – « et donc pas au responsable du traitement comme l’ont jugé les deux juridictions nationales du fond dans la présente affaire » – de choisir entre les deux solutions alternatives qui y sont prévues. Et, dans cette logique, cet article prévoit le droit pour la personne concernée de demander, lorsque c’est possible, l’accès aux informations relatives aux destinataires spécifiques auxquels ses données à caractère personnel sont communiquées. Pour conforter cette interprétation, l’avocat général a rappelé le considérant 63 du RGPD prévoyant explicitement que la personne concernée doit « avoir le droit de connaître et de se faire communiquer […] l’identité des destinataires de ces données à caractère personnel ». Aussi, dans cette affaire « RW contre l’OP », ce considérant ne mentionne en aucune manière que ce droit d’accès de la personne concernée pourrait être limité, à la discrétion du responsable du traitement, aux seules catégories de destinataires.
La spécification des destinataires auxquels les données à caractère personnel de l’individu sont communiquées participe en outre à l’objectif du RGPD visant à la transparence des modalités de traitement des données à l’égard des personnes concernées, lesquelles peuvent prendre connaissance du traitement de leurs données et d’en vérifier la licéité : « L’exercice de ce droit d’accès doit, en particulier, permettre à la personne concernée de vérifier non seulement que les données la concernant sont exactes, mais également qu’elles ont été communiquées à des destinataires autorisés. Cela présuppose en principe que les indications fournies soient les plus précises possibles », relève Giovanni Pitruzzella. Le considérant 39 du RGPD consacre aussi le principe de transparence (3). De plus, ce droit d’accès permet à la personne concernée d’exercer le droit de rectification, le droit à l’effacement – le droit à l’oubli – et le droit à la limitation du traitement qui lui sont conférés par, respectivement, les articles 15, 17 et 18 du RGDP. Aussi, le responsable du traitement est tenu de notifier à chaque destinataire – auquel les données à caractère personnel ont été communiquées – toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué, « à moins qu’une telle communication se révèle impossible ou exige des efforts disproportionnés » (4).
Les destinataires ainsi informés sont dès lors obligés de procéder immédiatement à la rectification, à l’effacement ou à la limitation du traitement, pour autant qu’ils sont encore en train de traiter les données en question. En conséquence, afin de garantir l’effet utile des droits de la personne concernée à l’effacement, à la rectification ou à la limitation du traitement, celle-ci doit disposer – « en principe » – d’un droit à être informée de l’identité des destinataires spécifiques.
Néanmoins, l’avocat général de la CJUE voit « une limite » à cette extension du droit d’accès prévu par le RGPD, « dans au moins deux cas de figure » :
Dans le cas où il est matériellement impossible de fournir des informations sur les destinataires spécifiques, par exemple parce que ceux-ci ne sont pas encore effectivement connus. Aussi, dans ce cas, le droit d’accès de la personne concernée ne pourra porter que sur les « catégories » de destinataires.
L’exercice du droit d’accès de la personne concernée doivent être examinés au regard des principes de loyauté et de proportionnalité. Les demandes de la personne concernée ne doivent pas être manifestement infondées ou excessives et que, si tel est le cas, le responsable du traitement peut également refuser de donner suite à ces demandes.
Au-delà de ces deux cas de figure limitatifs, Giovanni Pitruzzella a rappelé qu’il convenait de « trouver un juste équilibre entre, d’un côté, l’intérêt de la personne à protéger sa vie privée (…) et, de l’autre, les obligations incombant au responsable du traitement ».

Deux limitations sont avancées
Conclusion de l’avocat général que la CJUE devrait suivre dans son prochain arrêt – comme elle le fait le plus souvent : « Il est possible de limiter ce droit d’accès à la seule indication des catégories de destinataires lorsqu’il est matériellement impossible d’identifier les destinataires spécifiques de la communication des données à caractère personnel de la personne concernée ou lorsque le responsable du traitement démontre que les demandes de la personne concernée sont manifestement infondées ou excessives » (5). @

Charles de Laubier

Plus personne ne parle de la société Trident Media Guard (TMG), 20 ans cette année, et pour cause

Publié le par

Spécialisée dans « la recherche de contenu et l’anti-piratage sur Internet », l’entreprise nantaise TMG – créée il y a 20 ans – avait défrayé la chronique après que les SACEM, SDRM, SCPP, SPPF et Alpa l’aient retenue en 2010 pour traquer les internautes « pirates » sur les réseaux peer-to-peer.

Cofondée en mars 2002 par Alain Guislain et Bastien Casalta sous le nom de Mediaguard, la société nantaise TMG – Trident Media Guard – compte depuis 2007 à son capital (1) et dans son conseil d’administration l’acteur-producteur Thierry Lhermitte. C’est elle qui fut choisie fin 2009 par quatre organisations des droits d’auteur de la musique et du cinéma (2) réunis en « consortium » : côté musique, la SACEM et sa SDRM, la SCPP et la SPPF ; côté audiovisuel, l’Alpa.

Des millions d’adresses IP identifiées
Ces organisations des ayants droits des industries de la musique et de l’audiovisuel piègent depuis lors les internautes en les amenant à télécharger sur les réseaux peer-to-peer des fichiers musicaux ou cinématographiques protégés par le droit d’auteur. Mais pas n’importe quel fichier. TMG, aujourd’hui présidé et dirigé par Alain Ghanimé (photo), s’infiltre en effet sur les réseaux peer-to-peer comme BitTorrent, eMule ou encore μTorrent pour y déposer des œuvres protégées (musiques ou films), mais leurs fichiers sont banalisés et surveillés à distance. Autrement dit, il s’agit de sorte de leurres ou d’appâts pour « flasher » les internautes pris en flagrant délit de piratage. C’est là que Trident Media Guard porte bien son nom : un trident – du latin tridens – est une fourche à trois pointes servant à harponner les poissons ! Une fois que l’un d’eux a « mordu », son adresse IP est transmise à l’Hadopi (désormais l’Arcom) dans le cadre du « traitement automatisé de données à caractère personnel » qui avait été officialisé le 7 mars 2010. Ce cadre permet à la commission de protection des droits (CPD) de collecter auprès de ces organismes représentant les ayants droit les pseudonymes et adresses IP – y compris le protocole peer-to-peer utilisé – de chaque abonné incriminé (3).
Bref, ce trident – attribut de nombreuses divinités marines… – évolue depuis une douzaine dans les eaux profondes du Net. Le pic du volume d’adresses IP « pirates » livrées à l’Hadopi par les ayants droit (SACEM/SDRM, SCPP, SPPF et Alpa) fut atteint en 2017 avec plus de 18,7 millions dont 15,6 millions adresses IP ont pu être identifiées. C’est d’ailleurs ce qui motive l’action en justice lancée en 2019 par La Quadrature du Net – avec la FFDN (4), la FDN (5) et Franciliens.net – pour demander l’abrogation du décret « Traitement automatisé de données à caractère personnel » (6). L’affaire suit son cours (7) devant la Cour de justice de l’Union européenne (CJUE). Pour les autres adresses IP qui n’ont pu être identifiées, la raison en est qu’il y a un recours croissant aux VPN (8), mais aussi à la pratique du partage d’adresses IP. Même les fournisseurs d’accès à Internet (FAI) recourent eux aussi au partage d’adresses IP entre plusieurs abonnés pour faire face à la pénurie des adresses IPv4 (9). Pour y remédier, l’Hadopi a obtenu qu’un décret pris fin 2021 – en vigueur depuis le 1er janvier 2022 – conserver et traiter le « port source » (« port associé ») que lui communiquent les ayants droit, au même titre que l’adresse IP, puis de le transmettre pour identification aux FAI (10).
Ainsi, alimentée par TMG, l’Hadopi a pu de 2010 à fin 2021 envoyer à des abonnés Internet plus de 13,3 millions d’emails d’avertissement (appelées « recommandations »), dont le deuxième envoi (soit 10 % de ce total) est doublé d’une lettre recommandée avec accusé de réception. Il leur est reproché des « téléchargements et mises à disposition illicites constatés à partir de leur connexion ». Et selon l’Hadopi, au moins sept personnes sur dix averties prennent des mesures pour éviter tout renouvellement d’actes de piratage (11). Concernant les autres, plus de 23.000 dossiers – toujours en cumulé sur plus de dix ans – ont fait l’objet d’un « constat de négligence caractérisée », envoyé par e-mail et courrier remis contre signature. Parmi eux, 8.476 dossiers ont été transmis à la justice (au parquet alias le procureur de la République) puis, selon les calculs de Edition Multimédi@, 3.148 suites judiciaires portées à la connaissance de l’Hadopi ont été engagées. Mais entre les relaxes, les classements sans suite, les rappels à la loi, les mesures alternatives aux poursuites et les régularisations sur demande du parquet, très peu de sanctions pénales sont in fine prononcées : quelques centaines tout au plus depuis douze ans.

Le P2P n’est pas mort ; il bouge encore
La pédagogie de l’Hadopi aurait largement triomphé sur le répressif. Si TMG continue à alimenter la réponse graduée en adresse IP, force est de constater que l’usage du peer-topeer s’est effondré au profit du streaming, du téléchargement direct et du live streaming. « Le nombre d’utilisateurs illicites des réseaux pair-à-pair est passé de 8,3 millions d’internautes par mois en 2009 à environ 3 millions par mois aujourd’hui, soit une baisse de plus de 60 % », s’est félicitée l’Hadopi dans son dernier rapport annuel. @

Charles de Laubier

Mineurs, réseaux sociaux et sites pornos : contrôle de l’âge et risques sur la vie privée

Publié le par

Alors qu’une procédure de l’Arcom s’éternisent devant la justice contre cinq sites web pornographiques (Pornhub, Ttukif, xHamster, Xnxx, et Xvideos), le contrôle de l’âge – pour interdire aux mineurs l’accès à ces contenus pour adultes ou l’inscription sur les réseaux sociaux – pose problème.

Cela fait un an que la Commission nationale de l’informatique et des libertés (Cnil) a publié – le 9 juin 2021 – huit recommandations pour « renforcer la protection des mineurs en ligne » (1), dont une – la septième – s’intitule « Vérifier l’âge de l’enfant et l’accord des parents dans le respect de sa vie privée ». Car la question du contrôle de l’âge est complexe et difficile à mettre en œuvre au regard de la protection de la vie privée et du principe de l’anonymat. Or, 44 % des 11-18 ans déclarent avoir déjà menti sur leur âge pour utiliser les réseaux sociaux (2). Et quelle proportion des mineurs ont déclaré être majeurs sur les sites web à caractère pornographique ?

Vérifier l’âge : pas de procédé fiable (PEReN)
Vérifier l’âge de l’internaute reste encore à ce jour un problème car les solutions de contrôle sont soit facilement contournables (déclaration qui peut être mensongère, vérification par e-mail inefficace, …), soit portant atteinte à la protection des données et à la vie privée (reconnaissance faciale jugée disproportionnée, utilisation des données recueillies à des fins commerciales ou publicitaires, …). A ce jour, les réseaux sociaux – le plus souvent interdits aux moins de 13 ans (voire moins de 16 ans dans certains autres pays européens comme l’Allemagne), et les sites web pornographiques interdits aux moins de 18 ans – ne savent pas vraiment comment procéder pour être irréprochables dans le contrôle de l’âge de leurs utilisateurs.
A Bercy, le Pôle d’expertise de la régulation numérique (PEReN) – rattaché à la Direction générale des entreprises (DGE) et placé sous l’autorité conjointe des ministres chargés de l’Economie, de la Culture et du Numérique (3) – a publié le 20 mai dernier une étude à ce sujet. « Détection des mineurs en ligne : peut-on concilier efficacité, commodité et anonymat ? », s’interroge cette entité interministérielle. Son constat : « Aujourd’hui, pratiquement aucun service en ligne n’utilise de procédé fiable permettant de vérifier l’âge. Malgré leur multiplicité, peu de méthodes sont à la fois faciles à mettre en œuvre, peu contraignantes et respectueuses de la vie privée des utilisateurs, performantes et robustes face à des tentatives de fraude ». Le PEReN, qui est dirigé par Nicolas Deffieux (photo), fait aussi office de task force au service notamment de l’Arcom (Autorité de régulation de la communication audiovisuelle et numérique), au moment où celle-ci – du temps du CSA (Conseil supérieur de l’audiovisuel) – a mis en demeure le 13 décembre 2021 cinq sites web pornographiques et les a enjoints de se mettre en conformité avec les nouvelles dispositions du code pénal. Faute d’avoir obtempéré dans les temps (ultimatum de quinze jours), les cinq plateformes incriminées – Pornhub, Ttukif, xHamster, Xnxx, et Xvideos – se retrouvent devant la justice, à l’initiative de l’Arcom, dans le cadre d’une procédure « accélérée » qui s’éternise (4).
Selon NextInpact, la présidente du tribunal judiciaire de Paris a considéré le 24 mai dernier comme « caduque » l’assignation adressée par l’Arcom aux fournisseurs d’accès à Internet (FAI) afin qu’ils bloquent les cinq sites pornos. Raison de cette annulation : l’Arcom n’a informé le tribunal de cette assignation que le jour même de l’audience, au lieu de la veille au plus tard (5). L’Arcom doit donc réassigner les FAI, ce qui reporte l’audience de quelques semaines. Toujours selon NextInpact, les avocats des sites pornos réclament le dépôt d’une question prioritaire de constitutionnalité devant le Conseil constitutionnel et d’une question préjudicielle à la Cour de justice de l’Union européenne (CJUE).
Tandis que le Conseil d’Etat, lui, a été saisi de l’annulation du décret d’application du 7 octobre 2021 portant sur les «modalités de mise œuvre des mesures visant à protéger les mineurs contre l’accès à des sites diffusant un contenu pornographique » (6). Ce décret menace les FAI contrevenants à des sanctions pénales de « trois ans d’emprisonnement et de 75.000 euros d’amende lorsque ce message [à caractère violent, incitant au terrorisme, pornographique] est susceptible d’être vu ou perçu par un mineur » (7). Surtout que « les infractions (…) sont constituées y compris si l’accès d’un mineur aux messages (…) résulte d’une simple déclaration de celui-ci indiquant qu’il est âgé d’au moins dix-huit ans » (8). Cette dernière disposition introduite dans le code pénal découle de la loi du 30 juillet 2020 visant à protéger les victimes de violences conjugales.

Vie privée : ne pas enfreindre le RGPD
Il y a donc péril judiciaire dans le porno. D’autant qu’une deuxième procédure, distincte de celle de l’Arcom, suit son cours en référé déposé devant le tribunal judiciaire par deux autres associations – La Voix de l’enfant et e-Enfance – sur la base de la loi « Confiance dans l’économie numérique » (loi LCEN de 2004). Son visés les mêmes sites pornos que dans la première affaire, mais avec MrSexe, IciPorno, YouPorn et RedTube (soit neuf au total). Or, à ce jour, l’absence de procédés fiables pour contrôler l’âge des internautes sans porter atteinte à la vie privée – et en respectant au niveau européen le règlement général sur la protection des données (RGPD) – rend la situation compliquée pour les réseaux sociaux et les sites pornos. « Les procédés techniques visant à vérifier la majorité d’âge ne sauraient conduire au traitement de données biométriques au sens de l’article 9 du RGPD, compte tenu de la nature particulière de ces données et du fait que le recueil du consentement de la personne concernée ne pourrait être considéré comme libre s’il conditionne l’accès au contenu demandé », avait mis en garde la Cnil dans son avis du 3 juin 2021 sur le projet de décret « Protéger les mineurs » (devenu le décret du 7 octobre 2021).

Double anonymat préconisé par la Cnil
Dans sa délibération parue au J.O. le 12 octobre de la même année (9), la Cnil écarte aussi le recours à la carte d’identité : « Serait considérée comme contraire aux règles relatives à la protection des données la collecte de justificatifs d’identité officiels, compte tenu des enjeux spécifiques attachés à ces documents et du risque d’usurpation d’identité lié à leur divulgation et détournement ».
Quoi qu’il en soit, l’article 8 du RGPD interdit l’utilisation de données personnelles des enfants âgés de moins de 13 à 16 ans, selon les Etats membres. La France, elle, a retenu l’âge de 15 ans. Ainsi, en-dessous de cet âge légal, la loi « Informatique et Libertés » impose – conformément au RGPD – le recueil du consentement conjoint de l’enfant et du titulaire de l’autorité parentale (10). Si la préoccupation première était de ne pas exposer les mineurs de 13 à 16 ans à de la publicité ciblée sur les réseaux sociaux, lesquels sont censés avoir mis en place des procédés de vérification de l’âge (11), cette obligation concerne désormais les sites web à caractère pornographique.
A noter que les jeux d’argent et de hasard en ligne (comme les paris sur Internet) sont également soumis au contrôle préalable de l’âge. Au niveau européen, la Commission européenne soutient l’initiative euConsent qui vise à mettre en place des systèmes de vérification de l’âge et de consentement parental qui soient interopérables, sécurisés et ouverts à l’échelle paneuropéenne – conformes à la certification eIDAS (12). Dans le consortium euConsent se côtoient Facebook, Google, les associations européennes respectivement des opérateurs télécoms historiques Etno et des fournisseurs d’accès à Internet EuroIspa, ou encore des organisations de protection de l’enfance. Le futur Digital Services Act (DSA), législation sur les services numériques, va introduire à son tour une interdiction de la publicité ciblée pour les mineurs.
Le contrôle de l’âge va se renforcer sur Internet, mais les méthodes de vérifications laissent à désirer. Le PEReN a classé dans son étude les solutions selon le mode de preuve employé (voir aussi tableau ci-dessous) :
• Le contrôle de l’âge, à l’aide d’un document portant l’identité et la date de naissance de la personne, à l’aide d’un document dont toutes les parties identifiantes auraient été supprimées avant tout traitement, ou enfin par les parents (contrôle parental) ;
• L’estimation algorithmique de l’âge sur la base du contenu publié ou utilisé par l’utilisateur sur le site ou bien à partir de données biométriques (voix, images, vidéos, …) ;
• Le déclaratif se basant uniquement sur les déclarations des internautes.
Le PEReN estime « primordial que la vérification de l’âge ne soit pas directement opérée par la plateforme ou le service en ligne afin de réduire le risque de croisement ou de réutilisation des données collectées lors de la vérification ». Il préconise alors « un mécanisme de tiers, voire de double tiers, [qui] peut être mis en place pour la transmission du résultat de la vérification précisément afin de minimiser ce risque ». Ainsi, ce mécanisme de doubletiers constitue une mise en œuvre possible du double anonymat recommandé par la Cnil, laquelle – en partenariat avec un laboratoire de l’Ecole polytechnique et le PEReN – a développé un prototype de ce mécanisme de vérification de l’âge par double anonymat pour en démontrer la faisabilité technique. D’après le PEReN « cette preuve de concept [devait] être rendue disponible fin mai ».
Contacté par Edition Multimédi@, son directeur général Nicolas Deffieux nous indique que la Cnil est maître des horloges. Le prototype est en effet entre les mains de Vincent Toubiana, qui y dirige le laboratoire d’innovation numérique (Linc). « Notre calendrier a été décalé et je n’ai actuellement aucune date de publication prévue », nous précise ce dernier. @

Charles de Laubier

L’article 17 de la directive « Copyright » validé, le filtrage des contenus sur Internet peut commencer

Publié le par

La Cour de justice européenne (CJUE) a validé le 26 avril 2022 l’article 17 de la directive « Droit d’auteur et droits voisins dans le marché unique numérique ». Le filtrage des contenus mis en ligne soulève des questions. La liberté d’expression et d’information risque d’être la victime collatérale.

En France, aussitôt après que la Cour de justice de l’Union européenne (CJUE) ait – dans un arrêt du 26 avril 2022 – validé le controversé article 17 sur le filtrage des contenus mis en ligne sur Internet, au nom de la lutte contre le piratage, l’Arcom a publié deux questionnaires pour l’ « évaluation du niveau d’efficacité des mesures de protection des œuvres et des objets protégés » par le droit d’auteur et les droits voisins. L’un s’adresse aux fournisseurs de services de partage de contenus (de YouTube à TikTok en passant par Facebook et Twitter). L’autre s’adresse aux titulaires de droits (de l’audiovisuel à la musique en passant par la radio, les podcasts, la presse écrite, les photos, les illustrations, les livres ou encore les jeux vidéo). Ils ont tous jusqu’au 20 juin 2022 pour y répondre (1).

Content ID, Rights Manager, Surys, TMG, …
La France est, parmi les Vingt-sept, le pays qui veut être le bon élève dans la transposition de la directive européenne de 2019 sur « le droit d’auteur et les droits voisins dans le marché unique numérique » (2), censée l’être depuis le 7 juin 2021 par tous les Etats membres. Sans attendre l’échéance, le gouvernement français avait pris une première ordonnance dès le 12 mai 2021 pour transposer (3) les dispositions concernant la responsabilité des plateformes et le fameux article 17.
Maintenant que la CJUE a tranché en faveur de la validité de cet article 17 au regard de la liberté d’expression et d’information, l’Arcom consulte les ayants droit et les plateformes de partage en vue de publier des recommandations (4) pour améliorer l’« efficacité » et la « robustesse » des mesures de protection mises en place par les acteurs du Net concernés, ainsi que leur « transparence », leur « simplicité d’usage » et leur « finesse ». Ces systèmes automatisés et méconnus du grand public se nomment, pour n’en citer que quelques uns : Content ID (YouTube), Rights Manager (Facebook), Audible Magic (5), Signature (Ina), Surys (ex-Hologram Industries, ex-Advestigo), Trident Media Guard (TMG), Kantar ACR (ex-NexTracker et SyncNow de Civolution), Digimarc (acquéreur d’Attributor) ou encore Blue Efficience (6). Ces outils de filtrage de contenus en ligne font de la reconnaissance automatique des ces contenus en recourant soit au « hachage numérique » (hashing), soit au « marquage numérique » (watermarking), soit – de façon plus sophistiquée, automatisée et la plus répandue – à l’« empreinte numérique » (fingerprinting). Mais l’Arcom comme ses homologues de l’Union européenne réunis au sein de l’Erga (7) savent que le filtrage des contenus sur Internet à l’aide de ces outils de protection – pour distinguer entre un contenu illicite et un contenu licite, sans bloquer ce dernier – relève d’un exercice d’équilibrisme entre le droit fondamental de la liberté d’expression et d’information, d’une part, et le droit de propriété intellectuelle, d’autre part.
Autant dire que les régulateurs et les plateformes vont marcher sur des œufs. La Commission européenne avait bien publié le 4 juin 2021 ses lignes directrices sur l’application de l’article 17, en insistant sur « la nécessité d’équilibrer les droits fondamentaux et le recours aux exceptions et limitations [au droit d’auteur et aux droits voisins] » (8). Elle avait aussi prévenu que l’objectif n’était pas de créer une obligation générale de surveillance de l’Internet (9). Mais malgré ses « orientations », les craintes sur la liberté d’expression et d’information ont persisté. Celle-ci est garantie par la Charte des droits fondamentaux de l’Union européenne : « Toute personne a droit à la liberté d’expression. Ce droit comprend la liberté d’opinion et la liberté de recevoir ou de communiquer des informations ou des idées sans qu’il puisse y avoir ingérence d’autorités publiques et sans considération de frontières » (article 11). Et c’est à la suite d’un recours – en annulation de l’article 17 – introduit le 24 mai 2019 par la Pologne que la CJUE a dû mettre les choses au clair vis-à-vis de ces droits fondamentaux, tout en rejetant ce recours avec le soutien de la France, de l’Espagne et du Portugal. Les juges ont suivi – comme souvent à la CJUE – les conclusions que l’avocat général, Henrik Saugmandsgaard Øe (photo), ou usuellement Henrik Øe, avait rendues le 15 juillet 2021 (10).

Varsovie opposé à Paris sur la liberté
Dans sa plaidoirie, la Pologne estime que l’article 17 viole le droit à la liberté d’expression et d’information garanti par l’article 11 de la Charte. Son argumentation était la suivante : « Afin d’être exonérés de toute responsabilité pour le fait de donner au public l’accès à des œuvres protégées par le droit d’auteur ou à d’autres objets protégés qui ont été téléversés par leurs utilisateurs en violation du droit d’auteur, les fournisseurs de services de partage de contenus en ligne sont contraints, en vertu de l’article 17, (….) de procéder, de manière préventive, à une surveillance de l’ensemble des contenus que leurs utilisateurs souhaitent mettre en ligne. Pour ce faire, ils devraient utiliser des outils informatiques permettant le filtrage automatique préalable de ces contenus ». Et Varsovie de conclure : « En imposant, de fait, de telles mesures de surveillance préventive aux fournisseurs de services de partage de contenus en ligne sans prévoir de garanties assurant le respect du droit à la liberté d’expression et d’information, les dispositions litigieuses constitueraient une limitation de l’exercice de ce droit fondamental qui ne respecterait ni le contenu essentiel de celui–ci ni le principe de proportionnalité et qui, par conséquent, ne saurait être considérée comme étant justifiée ».

Trois conditions cumulatifs obligatoires
Le Parlement européen, le Conseil de l’Union européenne, soutenus par la France et l’Espagne, ainsi que par la Commission européenne, se sont inscrits en faux contre ce « moyen unique » soulevé par la Pologne. Dans son arrêt du 26 avril 2022, la CJUE rappelle que l’article 17, introduit « un régime de responsabilité spécifique pour l’hypothèse où aucune autorisation n’est accordée ». Pour autant, les plateformes ne peuvent « s’exonérer de leur responsabilité pour de tels actes de communication et de mise à disposition de contenus violant le droit d’auteur que sous certaines conditions cumulatives » :
Ils ont fourni leurs meilleurs efforts pour obtenir une autorisation.
Ils ont fourni leurs meilleurs efforts, conformément aux normes élevées du secteur en matière de diligence professionnelle, pour garantir l’indisponibilité d’œuvres et autres objets protégés spécifiques pour lesquels les titulaires de droits ont fourni aux fournisseurs de services les informations pertinentes et nécessaires. C’est ce que l’on appelle le principe juridique du « notice and take down » que l’on retrouve aussi aux Etats-Unis dans le Digital Millennium Copyright Act (DMCA).
Ils ont agi promptement, dès réception d’une notification suffisamment motivée de la part des titulaires de droits, pour bloquer l’accès aux œuvres et autres objets protégés faisant l’objet de la notification ou pour les retirer de leurs sites Internet, et ont fourni leurs meilleurs efforts pour empêcher qu’ils soient téléversés dans le futur. C’est l’équivalent cette fois du « notice and stay down » qui n’est cependant pas prévu dans le DMCA malgré la tentative du sénateur américain Thomas Tillis en décembre 2020 de l’introduire. Ce sont ces trois « conditions cumulatives » qu’a dénoncées Varsovie face à l’avocat général de la CJUE soutenu par Paris. L’arrêté rejetant le recours rappelle que les acteurs du Net visés par l’article 17 n’agissent pas seuls : ils n’agissent que s’ils ont reçu de la part des titulaires de droits et dans le cadre d’une procédure de notification « les informations pertinentes et nécessaires » pour agir contre le piratage présumé. Les mesures prises par les plateformes de partage de contenus en ligne se font donc « en coopération avec les titulaires de droits ». Et la CJUE d’assurer que ces filtrages automatiques sur Internet « ne devraient pas avoir pour conséquence d’empêcher la disponibilité de contenus qui ne portent pas atteinte au droit d’auteur, y compris d’œuvres ou d’autres objets protégés dont l’utilisation est couverte par un accord de licence, ou par une exception ou une limitation au droit d’auteur ou aux droits voisins » (considérant 66 de l’arrêt). Car il ne s’agit pas de sacrifier la liberté d’expression, de création et d’information – dont font partie la citation, la critique, la revue, la caricature, la parodie ou le pastiche – sur l’autel du droit de propriété intellectuelle (11). Il est en outre rappelé que l’article 17 prévoit lui-même que son « application (…) ne donne lieu à aucune obligation générale de surveillance » (son huitième point).
Pourtant, certains pourraient dire « et en même temps »…, l’avocat général Henrik Øe avait averti dans ses conclusions rendues le 15 juillet 2021 et suivies comme souvent par la Cour que « pour pouvoir effectuer un tel contrôle préalable, les fournisseurs de services de partage de contenus en ligne sont, en fonction du nombre de fichiers téléversés et du type d’objet protégé en question, (…) contraints de recourir à des outils de reconnaissance et de filtrage automatiques » (points 57 à 69 de ses conclusions). Et l’arrêt du 26 avril 2022 d’abonder : « En particulier, ni les institutions défenderesses ni les intervenants n’étaient en mesure, lors de l’audience devant la Cour, de désigner des alternatives possibles à de tels outils » (considérant 54).

Du fingerprinting au matching, et après ?
Les outils de reconnaissance ou ACR (Automatic Content Recognition), qui recourent à l’« empreinte numérique » (fingerprinting), filtrent automatiquement les œuvres et autres objets protégés par le droit d’auteur et les droits voisins dès que les internautes les « téléversent » sur les plateformes de partage et les réseaux sociaux. S’effectue alors automatiquement une comparaison de ces contenus mis en ligne avec des informations de référence fournies par les titulaires de droit. Lorsqu’il y a correspondance, on parle de « match ». L’ayant droit a alors le choix : soit bloquer le contenu « piraté », soit de le laisser en ligne en étant informé sur son audience, voire de l’ouvrir à de la publicité en ligne pour le monétiser. @

Charles de Laubier

Blocage de Russia Today et Sputnik en Europe et en France : rappel des fondements, avant débat au fond

Publié le par

RT et Sputnik ne diffusent plus en Europe depuis la décision et le règlement « PESC » du 1er mars. Saisi par RT France d’un recours en annulation de ces actes mais aussi d’un référé pour en suspendre l’exécution, le Tribunal de l’UE a rejeté le 30 mars ce référé. Retour sur ce blocage inédit.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Le 8 mars 2022, soit une semaine après la décision (1) du Conseil de l’Union européenne (UE), RT France avait déposé un recours en annulation de cette décision relevant de la politique étrangère et de sécurité commune (PESC) de l’UE et du règlement afférent (2), auprès du Tribunal de l’UE. La filiale de Russia Today a également déposé une demande en référé pour obtenir le sursis à l’exécution de ces derniers. Cette dernière demande a été refusée le 30 mars par le président du Tribunal, en raison de l’absence de caractère urgent.

La procédure au fond est accélérée
Selon l’ordonnance de rejet, RT France n’a pas suffisamment démontré l’existence d’un« préjudice grave et irréparable » (3). Le média russe avait fait état d’un préjudice économique et financier, d’une grave atteinte à sa réputation, et plus largement « d’une entrave totale et durable à l’activité d’un service d’information et [le fait] que de tels actes seraient irrémédiables et particulièrement graves au sein de sociétés démocratiques » (4). Quant au recours en annulation des deux actes (non législatifs), il suit son cours. Mais le président du Tribunal a précisé que « compte tenu des circonstances exceptionnelles en cause, le juge du fond a décidé de statuer selon une procédure accélérée » et que « dans l’hypothèse où RT France obtiendrait gain de cause par l’annulation des actes attaqués dans la procédure au fond, le préjudice subi (…) pourra faire l’objet d’une réparation ou une compensation ultérieure » (5). RT France pourra faire appel devant la Cour de justice de l’Union européenne (CJUE) contre l’ordonnance rejetant sa demande en référé. D’après le recours publié le 4 avril au JOUE, les bases légales invoquées par RT France reposent exclusivement sur des articles de la Charte des droits fondamentaux de l’UE. La chaîne estime que les droits de la défense, le respect du contradictoire, la liberté d’expression et d’information, la liberté d’entreprise et le principe de non-discrimination ont été méconnus (6). Compte tenu de ces fondements, les débats porteront certainement sur l’indépendance et le rôle des médias dans une société démocratique.
Comment en est-on arrivé là ? Dès le 27 février, la présidente de la Commission européenne, Ursula von der Leyen, a annoncé l’interdiction de diffuser les médias russes Russia Today et Sputnik, en raison de l’invasion de l’Ukraine par la Russie. Elle estime en effet que ces médias – contrôlés par le Kremlin – diffusent des messages de propagande continues ciblant les citoyens européens, et menacent ainsi l’ordre et la sécurité de l’UE. Le 1er mars, le Conseil des ministres de l’UE a par conséquent adopté des mesures inédites, ordonnant de suspendre la diffusion et la distribution par tout moyen et sur tous les canaux des contenus provenant de ces médias.
Tous les opérateurs concernés ont immédiatement mis en œuvre le 2 mars 2022 ces mesures qui dérogent de manière inédite aux lois et procédures en la matière, notamment françaises.
Quels sont les fondements juridiques européens ? Sur la procédure, la décision PESC du 1er mars 2022 se fonde sur l’article 29 du Traité sur l’UE et l’article 215 du Traité sur le fonctionnement de l’UE. Ces deux articles présentent des moyens légaux pour sanctionner financièrement des personnes physiques ou morales, des groupes ou entités non étatiques, dans le cadre de la PESC. Le Conseil de l’UE peut prendre seul des décisions, de manière unanime. Le Parlement, qui est habituellement le colégislateur, en est seulement informé. Par ailleurs, la CJUE est compétente que de manière très limitée lorsque des actes sont adoptés sur cette base. Elle peut notamment être saisie pour contrôler la légalité des décisions prévoyant des mesures restrictives à l’encontre de personnes physiques ou morales (7). Le Conseil de l’UE a recours habituellement à ces dispositions lorsqu’il souhaite stopper des échanges économiques visant à soutenir des groupes armés (8), imposer des restrictions à l’entrée de l’UE ou encore geler les avoirs dans l’UE de personnes étrangères. Bien que le champ de ces actions soit limité, les textes européens offrent par ce biais un pouvoir unilatéral important aux gouvernements – d’où le caractère inédit, l’ampleur et la rapidité des sanctions à l’égard de ces médias russes.

Liberté d’expression et des médias
Sur les droits fondamentaux protégés par l’UE, fondements de la décision PESC du 1er mars, l’UE justifie son action sur la base de l’article 11 de la Charte des droits fondamentaux de l’UE, relatif à « la liberté d’expression et d’information » (9). Ce texte ainsi que les décisions qui en découlent, à l’instar de la décision PESC contre RT et Sputnik, doivent être mis en œuvre et respectés par l’ensemble des Etats membres. En pratique, l’article 11 de la Charte renvoie à « la liberté d’opinion et la liberté de recevoir ou de communiquer des informations ou des idées sans qu’il puisse y avoir ingérence d’autorités publiques et sans considération de frontières ». Et l’article 11 d’ajouter : « La liberté des médias et leur pluralisme sont respectés ». Pour autant, l’exercice de ces libertés peut être limité – par des lois – en raison d’objectifs d’intérêt général et s’il est nécessaire de protéger la sécurité nationale, l’intégrité du territoire ou la sûreté publique, entre autres (10). Comme ces limites doivent respecter le principe de proportionnalité, le Conseil de l’UE justifie sa décision PESC par le respect notamment de la liberté d’entreprise, et précise qu’elle ne modifie pas l’obligation de respecter les constitutions des Etats membres. La protection de l’ordre et de la sécurité de l’UE a donc été centrale dans la motivation des Etats membres à adopter ces mesures exceptionnelles.

Suspensions et blocages exceptionnels
Quelle mise en œuvre par les Etats membres ?
L’Arcom (ex-CSA), qui est l’autorité publique française de régulation de la communication audiovisuelle et numérique, s’est immédiatement conformée à ces décisions d’urgence et a résilié le 2 mars sa convention avec RT France – Sputnik, lui, n’étant pas conventionné (11), étant diffusé sur Internet. De la même manière, les fournisseurs d’accès à Internet, les réseaux sociaux et les moteurs de recherche ont immédiatement ou très rapidement bloqué l’accès au site en ligne et aux contenus de ces deux médias. On peut aussi se demander si l’application de cette décision par l’Arcom pourrait faire l’objet d’un recours devant un tribunal administratif français. Le Berec, lui, en tant qu’organisation européenne des régulateurs des télécoms, a par ailleurs précisé par le biais de deux communiqués (12) que ces sanctions sont conformes à la régulation européenne sur l’« Internet ouvert ».
La mise en œuvre de ces sanctions européennes est exceptionnelle car elle a été d’application directe et immédiate. En principe, lorsqu’il est question d’interdire la diffusion d’un média étranger sur le territoire français, la loi impose de respecter un certain nombre de conditions. Pour ce qui est de l’interdiction de diffusion et de distribution de RT et de Sputnik en Europe, comme en France, aucune des dispositions légales courantes en la matière n’a été appliquée. Cette décision PESC déroge par conséquent aux modes habituels d’interdiction de diffusion d’un média et de contenus illicites en ligne, et également en matière de blocage de sites Internet. En effet, selon la loi française de 1986 relative à la liberté de communication, la diffusion d’un média en France est en principe libre. Elle est dans certains cas soumise à l’autorisation préalable et à la conclusion d’une convention avec l’Arcom (13). Selon cette même loi et le droit européen (14), un média extra européen peut être rattaché à la compétence d’un Etat membre s’il est transmis principalement par un mode correspondant aux conditions de diffusion satellitaire (notamment par Eutelsat) décrites par les textes, et peut donc être soumis à des droits et obligations en France. Cependant, des raisons impérieuses doivent justifier une limite à l’exercice de cette liberté, notamment la sauvegarde l’ordre public ou la défense nationale (15). En cas de manquement, l’Arcom peut s’adresser – via un courrier de mise en garde – aux opérateurs de réseaux satellitaires et aux services de médias audiovisuels, afin de faire cesser ce manquement. La procédure peut aller ensuite de la mise en demeure de cesser la diffusion du médias audiovisuel (service de télévision notamment) à la saisine du Conseil d’Etat afin qu’il ordonne en référé la cessation de la diffusion de ce média par un opérateur (16). Depuis la loi de 2018 contre la manipulation de l’information, les pouvoirs de l’Arcom ont été étendus et elle peut prononcer la suspension provisoire de la diffusion d’un média et (17), dans certains cas, peut, après mise en demeure, prononcer la sanction de résiliation unilatérale de la convention avec un média extra européen, dès lors qu’il porte atteinte aux intérêts fondamentaux de la nation, notamment par la diffusion de fake news (18). Concernant le blocage des sites Internet en France, en l’occurrence ceux de RT France et de Sputnik, le code pénal et différentes lois, telles que la loi de 2004 pour la confiance dans l’économie numérique (LCEN), prévoient le retrait de contenus illicites, le blocage des sites et leur déférencement (19). Cette loi autorise par exemple l’autorité judiciaire à prescrire toutes mesures propres à prévenir ou à faire cesser un dommage causé par le contenu d’un site web ou un média en ligne (20). Dans des cas plus spécifiques, notamment la provocation à des actes terroristes et l’apologie publique de ces actes, ainsi que la pédopornographie, l’autorité administrative peut demander aux sites web ou autres intermédiaires en ligne de retirer les contenus en question. Concernant le blocage, il est mis en œuvre par les opérateurs télécoms sur la base d’une décision judiciaire ou administrative. Concernant le déréférencement, à savoir demander à un moteur de recherche de supprimer certains résultats de recherche associés à un mot, l’autorité administrative peut également notifier les adresses électroniques des sites en question afin de faire cesser le référencement (21).

Faire face au reproche de censure ?
La France, en donnant son accord à la décision et au règlement PESC, a certainement considéré l’évidence de son application directe et immédiate, par opposition à la législation française inopérante dans un tel cas d’immédiateté. Le secrétaire d’Etat chargé du numérique, Cédric O, a d’ailleurs énoncé le souhait de revoir les règles de régulation – « y compris en ce qui concerne les médias » – dans les situations de conflits (22). Plusieurs voix au sein de l’UE disent aussi vouloir travailler à un nouveau régime horizontal afin de lutter contre la désinformation, conscientes des difficultés en matière de transparence et de concertation que soulève une telle décision. @

* Anne-Marie Pecoraro est avocate spécialisée en droit de la
propriété intellectuelle, des marques, des nouvelles technologies