Archives par mot-clé : CJUE

Non-respect d’une licence de logiciel par le licencié : manquement contractuel ou contrefaçon ?

Publié le par

Deux affaires récentes ont opposé respectivement Free et Orange à des éditeurs de logiciels, lesquels les accusaient de contrefaçon. Mais le non-respect d’un contrat de licence de logiciel par le détenteur de cette licence de logiciel peut soit relever de la contrefaçon, soit du manquement contractuel.

Par Charles Bouffier, avocat, cabinet August Debouzy

La question de la nature de la responsabilité de toute personne qui souscrit à une licence pour l’utilisation d’un logiciel (le « licencié ») mais qui ne respecte pas les termes du contrat de licence du logiciel a donné lieu ces dernières années à des solutions jurisprudentielles contrastées en droit français (1). Et ce, compte-tenu du principe de non-cumul des responsabilités (2). Cette question délicate se trouve au coeur de deux affaires récentes opposant des opérateurs – respectivement Free Mobile et Orange – à des éditeurs de logiciels.

Affaire « Free » : question préjudicielle
Le 16 octobre 2018, la Cour d’appel de Paris (3) a posé une question préjudicielle à la Cour de justice de l’Union européenne (CJUE) dans le cadre d’une affaire opposant Free Mobile à la société IT Development (4). Les faits sont les suivants : la société IT Development a consenti par contrat à la société Free Mobile une licence sur un logiciel de gestion de déploiement de réseaux mobiles dénommé ClickOnSite. Arguant d’une décompilation non-autorisée et de modifications apportées au code-source de son logiciel en violation du contrat de licence, notamment pour créer des formulaires, la société IT Development a fait procéder à une saisie-contrefaçon dans les locaux d’un sous-traitant de l’opérateur Free Mobile puis a assigné ce dernier en contrefaçon de logiciel. En défense, Free Mobile a opposé que les actes invoqués ne constituent pas une violation de droits de propriété intellectuelle, mais une inexécution contractuelle. Par jugement du 6 janvier 2017, le TGI de Paris a considéré qu’il était reproché à la société Free Mobile « des manquements à ses obligations contractuelles, relevant d’une action en responsabilité contractuelle et non pas des faits délictuels de contrefaçon de logiciel, de sorte que l’action en contrefaçon initiée par la demanderesse est irrecevable » (5). La Cour d’appel de Paris, elle, a accepté de surseoir à statuer et de renvoyer à la CJUE la question préjudicielle suivante : « Le fait pour un licencié de logiciel de ne pas respecter les termes d’un contrat de licence de logiciel (par expiration d’une période d’essai, dépassement du nombre d’utilisateurs autorisés ou d’une autre unité de mesure, comme les processeurs pouvant être utilisés pour faire exécuter les instructions du logiciel, ou par modification du code-source du logiciel lorsque la licence réserve ce droit au titulaire initial) constitue-t-il : une contrefaçon (au sens de la directive 2004/48 du 29 avril 2004 [sur le respect des droits de propriété intellectuelle, dite IPRED, ndlr]) subie par le titulaire du droit d’auteur du logiciel réservé par l’article 4 de la directive 2009/24/CE du 23 avril 2009 concernant la protection juridique des programmes d’ordinateur, ou bien peut-il obéir à un régime juridique distinct, comme le régime de la responsabilité contractuelle de droit commun ». Très attendues, les conclusions de l’avocat général de la CJUE ont été publiées le 12 septembre dernier (6). Après avoir réduit la portée de la question préjudicielle à la seule hypothèse de la modification du code source du logiciel (au motif que les trois autres seraient étrangères aux faits litigieux), l’avocat général suggère à la CJUE d’y répondre de la façon suivante : « Il y a lieu d’interpréter les articles 4 et 5 de la directive (…) concernant la protection juridique des programmes d’ordinateur, pris avec l’article 3 de la directive (…) relative au respect des droits de propriété, en ce sens que :
• La modification du code source d’un programme d’ordinateur, effectuée en violation d’un contrat de licence, constitue une atteinte aux droits de propriété intellectuelle qui appartiennent au titulaire du droit d’auteur sur le programme, à condition que cette modification ne soit pas exonérée d’autorisation conformément à la directive [sur la protection juridique des programmes d’ordinateur].
• Le fondement juridique de l’action que le titulaire des droits d’auteur sur un programme informatique peut exercer contre le titulaire de la licence, pour cause de violation des facultés propres du titulaire des droits, est de nature contractuelle lorsque le contrat de licence réserve ces facultés au titulaire du programme, conformément à l’article 5 paragraphe 1, de la directive [sur la protection juridique des programmes d’ordinateur].

Des facultés réservées au titulaire
• Il appartient au législateur national de déterminer, en respectant les dispositions de la directive [IPRED] et les principes d’équivalence et d’effectivité, les modalités procédurales nécessaires à la protection des droits d’auteur sur le programme d’ordinateur en cas de violation de ces derniers, lorsque cette violation implique simultanément une violation de ces droits et un manquement contractuel. » Ainsi, selon l’avocat général de la CJUE, si le manquement reproché au licencié consiste dans le non-respect d’une clause contractuelle par laquelle le titulaire s’est expressément réservé l’exclusivité de certaines des facultés énumérées dans la directive concernant la protection juridique des programmes d’ordinateur, « la qualification juridique du différend serait uniquement contractuelle » et il n’y aurait alors pas de place pour la contrefaçon. En revanche, la modification du code source d’un programme d’ordinateur effectuée en violation d’un contrat de licence se situe en dehors de la réserve des facultés énumérées dans cette directive. Elle implique une décompilation (afin de reconstituer le code source du logiciel), qui ne figure pas parmi les facultés précitées et qui n’est permise qu’à des fins d’interopérabilité, sous réserve de certaines conditions (8).
Aussi, selon l’avocat général, un tel manquement « pourrait être qualifié, simultanément, de manquement contractuel et de violation du devoir général du respect du droit d’auteur selon les contours définis par la loi […]. Dans ce cas de figure, le principe de non-cumul serait applicable ». Par application de la règle de non-cumul – et sous-réserve de la conformité de cette règle avec le droit de l’Union européenne (en particulier la directive IPRED) ce qu’il appartiendra à la juridiction de renvoi de dire, le fondement de l’action du titulaire serait alors de nature contractuelle.

Parallèle avec l’affaire « Orange »
En attendant l’arrêt de la CJUE sur cette question, un parallèle peut être fait avec une autre affaire récente. Le contentieux impliquant des licences de logiciel libre est suffisamment rare(lire ci-dessous une autre affaire « Free » de 2008) pour que l’on s’attarde sur un jugement du TGI de Paris du 21 juin 2019 rendu dans une affaire opposant l’éditeur de logiciel libre Entr’ouvert aux sociétés Orange et Orange Applications for Business (10). L’opérateur télécoms avait répondu à un appel d’offres de l’Agence pour le gouvernement de l’administration électronique (ADAE) en vue de la conception et de la réalisation d’un portail informatique, en proposant un outil interfacé avec la bibliothèque logicielle Lasso éditée par la société Entr’ouvert sous licence libre GNU GPL version 2. Estimant que la mise à disposition par Orange de cette bibliothèque à son client ne respectait pas les articles 1 et 2 de cette licence libre, la société Entr’ouvert a fait procéder à une saisie-contrefaçon au siège d’Orange puis l’a assigné en contrefaçon de droit d’auteur devant le TGI de Paris. En substance, elle reprochait à l’opérateur télécoms une déclaration d’utilisation de la version 0.6.3 de la licence litigieuse – alors qu’il aurait également employé la version 2.2.90, ainsi que l’indication prétendument trompeuse à l’ADAE de ce que la bibliothèque serait un module autonome.

Non-cumul de responsabilité
Orange et sa filiale Orange Application for Business (cette dernière étant intervenue volontairement à l’instance) soulevaient pour leur part l’irrecevabilité de l’action intentée au motif que le litige relèverait de la responsabilité contractuelle et non pas de la contrefaçon. L’opérateur télécoms a été suivi en cela par le TGI. En effet, après avoir rappelé – à l’instar de l’avocat de la CJUE dans l’affaire « Free » – que « la violation des droits réservés de l’auteur [listés à l’article L.122-6 du code de la propriété intellectuelle] est sanctionnée par la contrefaçon » et que « les modalités particulières d’usage pour permettre l’utilisation du logiciel conformément à sa destination, par [le licencié] sont aménagées, selon l’alinéa 2 de l’article L122-6-1 du code de la propriété intellectuelle, par contrat entre les parties », le TGI a finalement considéré « que la société Entr’ouvert poursuit en réalité la réparation d’un dommage généré par l’inexécution par les sociétés défenderesses d’obligations résultant de la licence et non pas la violation d’une obligation extérieure au contrat de licence ». En application du principe de non-cumul de responsabilité, nous dit le jugement, « seul le fondement de la responsabilité contractuelle est susceptible d’être invoqué par la demanderesse, qui doit donc être déclarée irrecevable en son action en contrefaçon et en ses prétentions accessoires ». L’affaire rebondira peut-être devant la Cour d’appel de Paris… @

ZOOM

Il y a dix ans, Free était déjà accusé de contrefaçon – sur sa Freebox
La licence libre GNU GPL Version 2 (GNU signifiant « GNU’s Not UNIX » et GPL « General Public License ») avait déjà été au cœur il y a dix ans d’une précédente affaire de contrefaçon portée devant le TGI de Paris : l’affaire « Free/ Welte, Andersen et Landley » qui avait défrayé la chronique à l’époque. En 2008, les auteurs de deux logiciels libres (Iptables et BusyBox) avaient assigné Free en contrefaçon de leurs droits d’auteur devant le TGI de Paris. Ils reprochaient à l’opérateur télécoms l’utilisation, dans la Freebox, des deux logiciels litigieux sans permettre l’accès à leurs codes sources, en méconnaissance des termes de cette licence GNU GPL Version 2 (https:// lc.cx/Assign2008). Free s’était alors défendue en expliquant que le terminal n’était pas vendu mais simplement prêté, ce qui l’exonérait — selon son fondateur Xavier Niel — de toute obligation de divulgation dudit code source. Un accord avait finalement été conclu en juillet 2011 entre les parties mettant fin au procès (https:// lc.cx/FSF-Free2011). Cet accord prévoyait notamment le libre accès aux codes sources des logiciels libres utilisés dans les Freebox. Compte-tenu de cette issue amiable, le TGI n’avait pas eu à se prononcer sur la recevabilité de l’action en contrefaçon des demandeurs pour non-respect des termes de la licence GNU GPL Version 2. Huit ans après, l’occasion lui en a été donnée dans le cadre d’une affaire visant cette fois-ci l’opérateur Orange. @

Les internautes reprennent la main sur les cookies, mais les éditeurs de sites web se rebiffent

Publié le par

« Le placement de cookies requiert le consentement actif des internautes ; une case cochée par défaut est donc insuffisante », a rappelé la Cour de justice de l’Union européenne (CJUE) dans un arrêt du 1er octobre, RGPD oblige. Ce consentement actif préalable ne plaît à tous les éditeurs du Web.

L’étau du règlement général sur la protection des données (RGPD), entré en vigueur en mai 2018, se resserre sur les cookies, ces traceurs ou autres mouchards déposés sur les terminaux des internautes et mobinautes à des fins de publicités ciblées et de collecte de données. L’arrêt rendu le 1er octobre par la Cour de justice de l’Union européenne (CJUE) suit les conclusions de l’avocat général de cette dernière, qui, le 21 mars 2019, avait rappelé que pour être valide le consentement de l’utilisateur à accepter des cookies doit être « éclairé » (1).

Le Conseil d’Etat saisi contre la Cnil
« Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité », prévoit le considérant 32 du RGPD. De plus, l’utilisateur doit être informé de la durée de fonctionnement des cookies et de l’identité des tiers ayant accès à ses informations par ce biais. Et le RGPD précise qu’il en va ainsi « que les informations stockées ou consultées dans l’équipement terminal de l’utilisateur d’un site Internet constituent ou non des données à caractère personnel ». Il s’agit de protéger chaque Européen connecté de toute ingérence dans sa vie privée, « notamment contre le risque que des identificateurs cachés ou autres dispositifs analogues pénètrent dans son équipement à son insu » (2).
Le Comité européen de la protection des données (CEPD), anciennement appelé groupe de travail « Article 29 » (G29) et réunissant les « Cnil » européennes, est le garant de cette bonne application par les différents Etats membres. D’autant que le projet de règlement européen « ePrivacy » (respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques), toujours en discussion au Parlement européen (3), ira dans le même sens concernant les cookies.
En France, c’est la Commission nationale de l’informatique et des libertés (Cnil) qui veille et contrôle au bon respect des consignes législative du RGPD par les éditeurs de sites web. Mais elle a décidé d’appliquer un moratoire, en fixant à début 2020 le moment de la publication de ses recommandations pour mettre en oeuvre les lignes directrices publiées le 19 juillet au Journal Officiel (4) – remplaçant ainsi les précédentes instructions datant de 2013. A ce délai s’ajoutent six mois de délai pour laisser le temps aux éditeurs en ligne de s’adapter et de se mettre en conformité, soit à partir de mi-2020, deux ans après l’entrée en vigueur du fameux RGPD (5). Or une douzaine de jours avant l’arrêt de la CJUE, Etienne Drouard (photo), avocat d’un groupement de neuf associations professionnelles (6), dont le Groupement des éditeurs de contenus et de services en ligne (Geste), déposait en France un recours devant le Conseil d’Etat contre les lignes directrices « cookies et autres traceurs » de la Cnil. Ces neuf associations professionnelles, représentatives de l’écosystème du Net français (éditeurs, régies publicitaires, Ad-tech, e-commerçants et annonceurs), contestent la manière dont la Cnil interprète le RGPD. Par exemple, cette dernière prévoit à l’article 2 de ses lignes directrices qu’« afin que le consentement soit éclairé, l’utilisateur doit pouvoir identifier l’ensemble des entités ayant recours à des traceurs avant de pouvoir y consentir. Ainsi, la liste exhaustive et régulièrement mise à jour de ces entités doit être mise à disposition auprès de l’utilisateur directement lors du recueil de son consentement » (7).
Les neuf plaignantes craignent « une totale remise en cause, à terme, des activités marketing et publicitaires et une grande destruction de valeur économique, notamment au profit des acteurs internationaux dominants de ce secteur ». Par ailleurs, pour Maître Drouard (cabinet K&L Gates), qui s’est exprimé chez nos confrères de Mind Media et de l’AFP, cette solution franco-française n’est pas prévue dans le RGPD qui ne prévoit pas tant d’informations à fournir aux utilisateurs. « La publicité sans cookies, ça n’existe pas », a-t-il lancé. A partir du 29 octobre, Libération va essayer de prouver le contraire.

Le moratoire « cookies » attaqué par LQDN
Quant au moratoire consenti par la Cnil aux éditeurs en ligne du temps pour avoir le temps de se mettre en conformité, il est attaqué dans un second recours déposé le 29 juillet devant le Conseil d’Etat par cette fois La Quadrature du Net, association française de défense des droits et libertés numériques, et Caliopen, autre association de l’Internet libre (à l’origine d’un projet soutenu par Gandi pour développer un agrégateur de correspondances privées provenant de messageries électroniques, réseaux sociaux ou de microblogging). Pour elles, il n’y a pas de temps à perdre pour assurer « la protection de nos libertés fondamentales ». L’arrêt est à venir. @

Charles de Laubier

Responsabilité et données : le « Je t’aime moi non plus » des éditeurs en ligne vis-à-vis de Facebook

Publié le par

La pluralité de responsables dans le traitement des données personnelles n’implique pas forcément une responsabilité conjointe. C’est le raisonnement que devrait avoir la Cour de justice européenne dans l’affaire « Fashion ID ».
Or, son avocat général n’en prend pas le chemin. Erreur !

Par Etienne Drouard et Joséphine Beaufour, avocats associés, cabinet K&L Gates

L’éditeur d’un service en ligne – site web et/ou application mobile – peut-il être coresponsable de la collecte, par Facebook, des données personnelles des visiteurs de son service en raison de l’intégration d’un bouton « J’aime » de Facebook au sein de son service ? Selon l’avocat général de la Cour de justice de l’Union européenne (CJUE), lequel a présenté le 19 décembre 2018 ses conclusions dans l’affaire « Fashion ID » (1), la réponse devrait être « oui ».

Communauté d’intérêt et responsabilité
Cet avocat général (2) cherche à construire, en matière de protection des données personnelles comme en matière de propriété intellectuelle, un régime de responsabilité liée à l’insertion d’un lien hypertexte vers les services d’un tiers. En matière de propriété intellectuelle, il aura fallu 14 années de controverses avant de juger au niveau européen qu’un lien hypertexte peut être un acte de représentation d’une oeuvre nécessitant, pour celui qui intègre un lien au sein de son service, de recueillir l’autorisation du titulaire des droits attachés à l’oeuvre accessible via ce lien (3). En matière de protection des données personnelles, cette fois, quelle est la responsabilité pour l’éditeur d’un service en ligne résultant de l’insertion d’un lien hypertexte d’un tiers – en l’occurrence le bouton « J’aime » de Facebook – sur son site web, permettant à ce tiers de collecter des données personnelles des visiteurs du site web concerné ? Comme en matière de propriété intellectuelle, l’avocat général de la CJUE se demande si le critère décisif pour déclencher une telle responsabilité ne serait pas celui d’une communauté d’intérêts entre celui qui intègre le lien sur son site web et celui qui a conçu seul les fonctionnalités que ce lien déclenche. Dans cette affaire « Fashion ID » – du nom de la société allemande de vente en ligne de prêt-à-porter – il est établi que l’adresse IP et l’identifiant du logiciel de navigation du visiteur du site web de Fashion ID sont transmis à Facebook du fait de l’intégration d’un bouton « J’aime » sur ce site, même si le visiteur ne clique pas sur ce bouton « J’aime », et même s’il ne dispose pas d’un compte Facebook. La « Verbraucherzentrale NRW eV », une association allemande de protection des consommateurs a introduit une action en cessation à l’encontre de Fashion ID au motif que l’utilisation du bouton « J’aime » de Facebook sur ce site web était contraire aux lois allemandes sur la protection des données personnelles, lois transposant la directive européenne «Protection des données personnelles » de 1995. Puisque cette action ayant été introduite avant l’entrée en vigueur du RGPD (4), la CJUE rendra donc sa décision en application de cette directive de 1995 et des lois de transposition allemandes (5). L’association reproche ainsi à Fashion ID de n’avoir fourni aucune information à ses visiteurs sur l’existence d’une telle collecte par Facebook. Le régime de responsabilité entre Facebook et Fashion ID reste en suspens : est-elle conjointe, solidaire, ou distincte ? Pour obtenir une réponse fiable, l’association allemande a saisi la CJUE d’une question préjudicielle afin de savoir si Fashion ID peut être considéré comme « responsable du traitement » au sens de la directive de 1995, alors même qu’elle ne peut avoir elle-même aucune influence sur ce processus de traitement des données par Facebook ?
L’avocat général de la CJUE fait référence, dans ses conclusions, à l’arrêt
« Unabhängiges » (6) du 5 juin 2018 dont l’affaire serait similaire à celle de Fashion ID, au motif que : l’éditeur de site web intègre dans son site une fonctionnalité développée et mise à disposition par Facebook, permettant ainsi la collecte de données personnelles par Facebook, résultant de l’enregistrement par Facebook de cookies
sur les terminaux des visiteurs de sa page web. L’occasion de faire cette analogie ayant été trop belle, il en a conclu que le gestionnaire d’un site web qui y intègre un lien hypertexte installant le « plugiciel » (ou plugin en anglais) d’un tiers – en l’espèce,
le bouton « J’aime » de Facebook – permettant la collecte par ce tiers de données personnelles, devrait être considéré comme un « coresponsable » de cette collecte avec ledit tiers ayant conçu ce plugiciel.

« Unité de finalités et de moyens » : vague
Inventer des similitudes peut parfois tourner à la conversation de comptoir. L’avocat général a cherché à découvrir, coûte que coûte, « une identité de finalités et de
moyens » dans l’opération de collecte et de transfert des données personnelles pour que Facebook et Fashion ID soient jugés coresponsables. Selon lui, la détermination commune des moyens serait caractérisée par la décision prise par Fashion ID d’utiliser le plugiciel fourni par Facebook, outil permettant la collecte et la transmission des données personnelles à Facebook. Ainsi, tant Facebook que Fashion ID « paraissent donc avoir délibérément été à l’origine de la phase de collecte et de transmission du processus de traitement des données ».

Des conclusions dénuées de tout fondement
Par ailleurs, l’avocat général, a estimé que la finalité pour laquelle Fashion ID a intégré le bouton « J’aime » sur son site web serait d’améliorer la visibilité de ses produits par le biais du réseau social. S’il admet que cette finalité ne correspond pas à celle poursuivie par Facebook (à savoir le profilage des visiteurs à des fins de publicités ciblées), il affirme cependant que les deux parties « paraissent globalement poursuivre la même finalité d’une manière qui semble mutuellement assez complémentaire ». Le critère retenu ici ne serait donc pas l’identité de la finalité poursuivie, mais « une unité de la finalité : commerciale et publicitaire », critère beaucoup plus large, vague et sujet à interprétation que le premier. La conclusion à laquelle parvient l’avocat général est dénuée de tout fondement juridique connu ou prévu par les textes en vigueur hier ou aujourd’hui. D’une part, ni la directive de 1995, ni le RGPD, ni la CJUE jusqu’à présent, ne se fondent sur une « identité de finalités » ou encore une « unité de finalités », mais bien sur la détermination commune de finalités par les deux responsables de traitement, c’est-à-dire une (ou plusieurs) finalité(s) déterminée(s) d’un commun accord.
D’autre part, la détermination conjointe de moyens ne fonde pas la décision prise par un éditeur de site web d’intégrer un plugiciel d’un tiers sur sa page web. Il serait, au contraire, grand temps d’admettre qu’un seul et même moyen de traitement de données, peut servir des finalités et des intérêts différents, voire divergents, déclenchant des responsabilités distinctes pour des traitements de données qui peuvent être étrangers l’un de l’autre ou propres à un acteur, et échappant à la connaissance, au contrôle ou au bénéfice d’un autre acteur. C’est au prix de cette distinction des intérêts et des finalités, qu’on peut réguler l’économie numérique en évitant de confondre David et Goliath et de rendre un éditeur européen de services coresponsable de l’activité d’un vendeur américain de profils publicitaires. Fashion ID
et Facebook ne sont pas coresponsables de traitement ; Fashion ID n’a pas déterminé conjointement avec Facebook les finalités et les moyens qu’aura Facebook de traiter des données. La pluralité de responsables de traitement n’implique pas forcément une responsabilité conjointe. Autrement dit, quand on est plusieurs, on ne forme pas qu’un. Selon la directive de 1995, un responsable de traitement est « la personne physique ou morale qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel » (7). Cette définition a été reprise à l’identique dans le RGPD (8) : elle admet qu’il peut y avoir plusieurs coresponsables décidant conjointement de la finalité du traitement et des moyens à mettre en oeuvre pour la réaliser (9). S’il peut exister différents niveaux de responsabilité conjointe, pour tout ou partie d’un traitement de données, la question posée désormais à la CJUE est celle avant tout de savoir comment caractériser une telle responsabilité conjointe et non de la décréter par paresse lorsqu’on se trouve en présence de plusieurs acteurs autour d’un même moyen de traitement de données. Tant la directive de 1995 que le RGPD
de 2018 posent un critère repris par la CJUE, celui de la « détermination conjointe des finalités et des moyens » du traitement opéré par les personnes physiques ou morales. Or, l’avocat général ne reprend pas ce critère d’appréciation puisque, selon lui, pour qu’il y ait responsabilité conjointe, il est nécessaire que les deux opérateurs poursuivent une unité de finalité et non pas qu’ils déterminent conjointement la finalité de traitement. Or les finalités poursuivies par Fashion ID et par Facebook sont divergentes.
Il est faux d’affirmer en l’espèce que les deux parties auraient déterminé de façon commune la finalité de l’opération de traitement consistant en la collecte des données personnelles des visiteurs du site web de Fashion ID. En effet, Facebook n’est convenu de rien avec personne lorsqu’il a conçu son plugiciel lui permettant à lui – et à lui seul – de collecter les données de personnes visitant un site web tiers. Facebook n’a pas davantage discuté avec quiconque de sa stratégie « data », consistant à collecter et traiter des données à des fins de profilage et de ciblage publicitaire, y compris lorsque les personnes concernées ne se sont jamais inscrites sur Facebook. Fashion ID a simplement décidé, a posteriori, d’intégrer ce plugiciel dans sa page web afin de bénéficier de la diffusion qu’un bouton « J’aime » lui procure au sein des membres
de la communauté Facebook d’un de ses visiteurs, si ce dernier a un compte Facebook et s’il clique « J’aime ». La société Fashion ID n’a en aucun cas déterminé les moyens essentiels à la collecte par Facebook des données car elle n’a pas participé à la conception du plugiciel, de ses fonctionnalités, de ses finalités et de leur participation
à la stratégie « data » de Facebook.

Ce qu’en disent les « Cnil » européennes
Ainsi, Fashion ID et Facebook ne peuvent être qualifiés de responsables conjoints d’un tel traitement, non pas parce que ce serait une erreur d’appréciation discutable, mais parce que les régulateurs européens et le RGPD disent le contraire. Comme l’a relevé le G29 des « Cnil » européennes, « la coopération dans le traitement ne signifie pas qu’il y a forcément coresponsabilité. En effet, un échange de données entre deux parties, sans partage des finalités ou des moyens dans un ensemble d’opération, doit être considéré uniquement comme un transfert de données entre des responsables distincts » (10). Il faudra être encore un peu patient avant d’avoir la position finale de
la CJUE, en espérant, d’ici là, que celle-ci ne se trompera pas de question ni de raisonnement. @

Réforme du droit d’auteur : les eurodéputés rejettent le risque de filtrage généralisé d’Internet

Publié le par

En rejetant le 5 juillet 2018 la réforme controversée de la directive sur le droit d’auteur, les eurodéputés jouent les prolongations en renvoyant la poursuite des débats à septembre prochain. Le risque de filtrage généralisé de l’Internet est l’un des points noirs de ce projet législatif.

L’article 13 de la directive européenne « Droit d’auteur dans le marché unique numérique » est le plus controversé de la réforme du copyright, contre laquelle 318 eurodéputés se sont prononcés contre le 5 juillet à Strasbourg (versus 278 pour et 31 abstention). Cet article 13 est celui qui fait le plus débat – voire polémique – dans ce projet de texte qui vient d’être rejeté. Car il introduirait une responsabilité des plateformes du numériques – de YouTube à Facebook, en passant par Twitter, Dailymotion ou encore Wikipedia – sur le sort des contenus (musiques, films, photos, …) qu’elles hébergent et mettent à disposition sur Internet.

L’article 13 cristallise l’opposition
Cet article 13, qui avait pourtant obtenu le 20 juin dernier la bénédiction de la commission des Affaires juridiques (JURI) du Parlement européen (15 voix pour,
10 contre), présente le risque d’ouvrir la voie au filtrage généralisé d’Internet dans la mesure où les GAFA devraient supprimer de façon préventive les contenus considérés comme piratés. Leur responsabilité serait ainsi étendue à la lutte contre le piratage en ligne, au point de leur demander d’utiliser le filtrage automatique de téléchargement en cas de violation de la propriété intellectuelle. YouTube, la filiale vidéo de Google, utilise déjà un système d’identification des contenus protégés, baptisé Content ID, qui détecte automatiquement les violations présumées de droits d’auteur. Un fois que le contenu
« piraté » est repéré, YouTube le supprime aussitôt.
C’est la perspective de ce filtrage généralisé qui pose problème depuis la présentation de ce projet de directive en septembre 2016 par la Commission européenne. Le 25 mai dernier, les Etats membres, au sein du Conseil de l’Union européenne, s’étaient mis d’accord sur la responsabilisation des plateformes. Le projet de texte (1) oblige les prestataires de services à obtenir l’autorisation des ayants droits. Ainsi, l’article 13 stipule : « Quand il a aucune autorisation, par exemple parce que le détenteur de droits ne veut pas conclure une licence, le prestataire de services devra empêcher la disponibilité des œuvres identifiées par l’ayant droit. Sinon, les prestataires de service seront considérés comme responsables de l’infraction au copyright. (…) Sur la notification par l’ayant droit d’une oeuvre protégée non autorisé, le prestataire de services devra prendre des mesures urgentes pour supprimer l’oeuvre et l’empêcher de devenir disponible à l’avenir ». Autrement dit, en absence de d’autorisation de l’ayant droit, un fournisseur de services de partage de contenu en ligne sera tenu pour responsable s’il ne démontre pas qu’il a fait preuve des meilleurs efforts pour empêcher la disponibilité des œuvres spécifiques ou autres « en mettant en oeuvre des mesures efficaces et proportionnées, pour empêcher la disponibilité sur ses services des œuvres spécifiques ou autres identifiées par le détenteur de droits et pour lequel celui-ci a fourni au service des informations pertinentes et nécessaires pour l’application de ces mesures, et sur notification de l’ayant droit ». Cet article 13 soulève de nombreux problèmes de compatibilité avec la directive européenne de 2000 sur le commerce électronique (2), laquelle régit – depuis près de vingt ans maintenant – une bonne partie des responsabilités des acteurs de l’Internet qui ne sont soumis à aucune obligation de surveillance préalable des contenus. Le statut d’hébergeur à responsabilité limité avait d’ailleurs été conforté le 24 novembre 2011 par la Cour de justice de l’Union européenne (CJUE) dans un arrêt « Scarlet contre Sabam » dans lequel elle a décidé que« le droit de l’Union s’oppose à une injonction faite à un [fournisseur d’Internet] de mettre en place un système de filtrage de toutes les communications électroniques transitant par ses services ». La directive « e-commerce » de 2000 prévoit en effet, dans son article 15 intitulé « Absence d’obligation générale en matière de surveillance », que « les États membres ne doivent pas imposer aux [fournisseur d’Internet] une obligation générale de surveiller les informations qu’ils transmettent ou stockent, ou une obligation générale de rechercher activement des faits ou des circonstances révélant des activités illicites » (3).

Les arrêts « contre » de la CJUE
De plus, la CJUE avait estimé qu’« une telle obligation de surveillance générale serait incompatible » avec une autre directive et non des moindres : à savoir la directive « Propriété intellectuelle » du 29 avril 2004 (4), selon laquelle « les mesures [pour assurer le respect des droits de propriété intellectuelle] ne doivent pas être inutilement complexes ou coûteuses et ne doivent pas comporter de délais déraisonnables ». Ce qui n’est pas le cas du filtrage généralisé. Et comme si cela ne suffisait pas, les juges européens en ont appelé à la Charte des droits fondamentaux de l’Union européenne signée le 7 décembre 2000 et devenue « force juridique obligatoire » depuis l’entrée en vigueur du Traité de Lisbonne en décembre 2009. « La protection du droit de propriété intellectuelle est certes consacrée [par] la charte des droits fondamentaux de l’Union européenne (article 17, paragraphe 2). Cela étant, il ne ressort nullement (…) qu’un tel droit serait intangible et que sa protection devrait donc être assurée de manière absolue », a estimé la CJUE. Un autre arrêt européen, daté du 16 février 2012 celui-là (Sabam contre Netlog (5)), s’est lui aussi opposé à une surveillance généralisée du Net. En France, la loi pour la confiance dans l’économie numérique (LCEN) de 2004 est venue à son tour sanctuariser ce régime de responsabilité limitée de l’hébergeur.

Mises en garde et controverses
Malgré toutes ces précautions législatives et jurisprudentielles, le statut des hébergeurs du Net était menacé. Les mises en gardes des opposants et les campagnes des lobbies ont finalement abouti au rejet du 5 juillet. « Ces mesures [si elles devaient être adoptées à la rentrée, ndlr] vont sérieusement saper les libertés fondamentales de l’Internet. Placer les intérêts particuliers des grosses compagnies média avant notre capacité à participer librement en ligne est inacceptable », avait lancé le 20 juin dernier l’eurodéputée Julia Reda (photo), qui fut l’auteur en 2015 du premier rapport (6) demandé par le Parlement européen en vue de cette réforme du droit d’auteur à l’ère du numérique. Selon elle, « l’article 13 va forcer les plateformes Internet (réseaux sociaux, sites vidéo, hébergeurs de photos, etc.) à installer de puissants filtres pour inspecter tout contenu publié par des utilisateurs, aussi en images – et donc à bloquer la plupart des “mèmes” (7), ceux-ci étant en général basé sur des images connues et non libres de droits ». Du côté des utilisateurs, le Bureau européen des unions de consommateurs (Beuc), basé à Bruxelles, avait exprimé son inquiétude, par la voix de sa directrice générale, Monique Goyens :
« Internet tel que nous le connaissons ne sera plus le même à partir du moment où les plateformes devront systématiquement filtrer le contenu que les utilisateurs veulent télécharger. Internet va passer d’un lieu où les utilisateurs peuvent partager leurs créations et leurs idées à un lieu contraignant et contrôlé ». La Quadrature du Net, elle, avait dénoncé très tôt « l’automatisation de la censure au nom de la protection du droit d’auteur et, plus largement, contre la centralisation du Web » (8). Cette association de défense des droits et libertés numériques a pris acte des « garanties » présentées par l’eurodéputé rapporteur du texte, Axel Voss, à savoir contre des censures arbitraires ou abusives : la censure opérée par les plateformes ne doit pas conduire au filtrage de contenus qui ne contreviennent pas à un droit d’auteur, ni au déploiement d’une surveillance généralisée des contenus mis en ligne ; un mécanisme de contestation rapide auprès de la plateforme, ainsi que la possibilité de saisir un juge afin de faire valoir des exceptions au droit d’auteur qui rendraient le filtrage injustifié. Mais ce compromis n’avait pas convaincu La Quadrature du Net, ni même Wikipedia qui avait protesté le 4 juillet en se rendant inaccessible dans plusieurs pays européens. Surtout qu’un article 11 prévoit, lui, l’instauration d’un droit voisin pour les éditeurs de presse. Encore plus contesté que l’article 13, il fut adopté le 20 juin dernier de justesse (13 voix pour, 12 contre). Ce droit voisin va permettre aux journaux, magazines ou encore aux agences de presse de se faire rémunérer lors de la réutilisation en ligne de leurs contenus par les agrégateurs d’informations tels que Google News ou Yahoo News (9). Surnommée « taxe sur les liens » (link tax) pour les contenus d’actualité, cette mesure suppose aussi de surveiller et filtrer Internet pour la mettre en oeuvre. « Le filtrage automatique des téléchargements et les droits voisins vont entraîner une censure de la liberté d’expression en ligne et un délitement d’Internet tel que nous le connaissons », avait déclaré Siada El Ramly, directrice générale d’Edima (European Digital Media Association), organisation représentant les GAFA (10). Le 5 juillet, l’Edima a considéré le rejet du texte comme « une victoire pour la démocratie ». Quant à l’association CCIA (Computer & Communications Industry Association), basée aux Etats-Unis et porte-parole des mêmes géants américains du Net, elle avait fustigé aussi la réforme du droit d’auteur : « Les filtres de téléchargement présenteront une obligation générale de contrôler le contenu téléchargé par l’utilisateur, ce qui sera destructeur pour les droits fondamentaux des citoyens européens et pour responsabilité limité des plateformes – une pierre angulaire légale pour le secteur numérique européen ».
En France, l’Association des services Internet communautaires (Asic) – présidée par Giuseppe de Martino (11) – avait lancé un appel le 13 avril dernier, dans une tribune parue dans Le Monde et cosignée par le Syntec numérique, France Digitale, Tech in France et Renaissance numérique, en demandant « au gouvernement français de préserver l’Internet ouvert tel que nous le connaissons actuellement, en empêchant l’instauration d’un filtrage généralisé ». Ensemble, ils ont mis en garde : « Le développement d’Internet, la créativité, la diversité des contenus que l’on peut y trouver et qui font sa richesse s’en trouveraient gravement menacés ». Les eurodéputés les ont entendus.

« Outils automatiques » et contenus illicites
La Commission européenne, elle, incite fortement les plateformes à mettre en place des « outils automatiques » de détection pour lutter non seulement contre le piratage en ligne mais aussi les contenus à caractère terroriste, les incitations à la haine et à la violence, les contenus pédopornographiques, les produits de contrefaçon. C’est le sens de sa recommandation du 1er mars (12). Elle avait fixé l’échéance du mois de mai 2018 avant de décider s’il y a lieu ou pas de légiférer. @

Charles de Laubier

Uber : un service électronique d’intermédiation de transport, mais pas de la société de l’information

Publié le par

Le 20 décembre 2017, la Cour de justice de l’Union européenne (CJUE) a rendu un arrêt (1) important qui tranche une incertitude au niveau de la qualification juridique des services proposés par la nouvelle économie numérique. Uber est concerné au premier chef, mais il n’est pas le seul.

Fabrice Lorvo*, avocat associé, FTPA.

Rappelons ce truisme selon lequel la révolution numérique
a profondément modifié le monde économique. Mais aussi
le monde juridique. A quelle catégorie juridique existante rattacher ces nouveaux « services » ? On rappellera que la qualification juridique est le pain quotidien des juristes ; elle consiste à rattacher un acte ou un fait à une catégorie et lui appliquer la règle de droit afférant. Ce processus se décompose en deux phases : d’abord choisir les éléments caractéristiques du fait ou
de l’acte, puis le rattacher à une catégorie existante et lui appliquer la règle de droit.

Service mixte d’Uber : de quel droit ?
Pour reprendre la belle métaphore de la commode (2) : il faut d’abord choisir l’étoffe que l’on souhaite ranger, pour déterminer, ensuite, le tiroir dans lequel elle sera rangée. Or, le numérique a dématérialisé l’étoffe ou lui a rajouté une étape, de sorte que l’on est confronté à des difficultés pour choisir le tiroir ! C’est Uber et son modèle économique qui, une fois de plus, posaient des interrogations. Après celles du droit de la concurrence, de la protection des consommateurs et du droit de travail, il s’est posé la question de savoir si le fonctionnement d’Uber relevait du droit de l’Union européenne (UE) ou des Etats membres. Les faits sont simples et la question s’est posée dans de nombreux pays européens.
En 2014, une association professionnelle de chauffeurs de taxi de la ville de Barcelone (Espagne) a assigné devant un tribunal espagnol Uber Systems Spain SL, société liée à Uber Technologies Inc., en prétendant que cette dernière fournit une activité de transport sans autorisation. On rappellera que le numéro un mondial des services de voitures de tourisme avec chauffeur (VTC) fournit, au moyen d’une application pour téléphone intelligent, un service rémunéré de mise en relation de chauffeurs non professionnels utilisant leur propre véhicule avec des personnes souhaitant effectuer des déplacements urbains. Le service proposé par Uber est mixte. Une partie est réalisée par voie électronique (la réservation, l’approche, le paiement), et l’autre est réalisée physiquement par une opération traditionnelle de transport (le trajet proprement dit). Dans tous les cas, ni Uber ni ses chauffeurs non professionnels des véhicules concernés ne disposent des licences et des agréments prévus par le droit espagnol. L’association professionnelle a considéré que les activités d’Uber constituaient des pratiques trompeuses et des actes de concurrence déloyale et a demandé au tribunal de commerce espagnol d’interdire à Uber d’exercer cette activité
à l’avenir. Le juge espagnol a considéré que la solution du litige dépendait du point de savoir si Uber devait, ou non, disposer d’une autorisation administrative préalable en Espagne.
A cette fin, il convenait de déterminer si les services fournis par cette société doivent être regardés comme étant des services de transport (compétence des Etats membres), ou des services propres à la société de l’information (droit de l’UE), ou une combinaison de ces deux types de services. Le juge espagnol a décidé de surseoir à statuer et de poser à la Cour de justice de l’Union européenne (CJUE) une question préjudicielle portant uniquement sur la qualification juridique du service en cause. La CJUE a relevé qu’un « service électronique d’intermédiation » – consistant à mettre en relation un chauffeur non professionnel utilisant son propre véhicule et une personne qui souhaite effectuer un déplacement urbain – constitue, en principe, un service distinct du service de transport qui consiste en l’acte physique de déplacement de personnes ou de biens d’un endroit à un autre au moyen d’un véhicule. De plus, chacun de ces services, pris isolément, est susceptible d’être rattaché à différentes directives ou dispositions du traité sur le fonctionnement de l’UE (TFUE) relatives à la libre prestation de services.

Intermédiation avec le monde physique
En effet, un service électronique d’intermédiation – qui permet la transmission au moyen d’une application pour téléphone intelligent des informations relatives à la réservation du service de transport entre le passager et le chauffeur non professionnel utilisant son propre véhicule qui effectuera le transport – répond, en principe, aux critères pour être qualifié de « service de la société de l’information » (3). Et ce, dès lors qu’il s’agit d’un « service presté normalement contre rémunération, à distance par voie électronique et à la demande individuelle d’un destinataire de services ». Dans ce cas, aucune autorisation ne doit être demandée à l’Etat membre. En revanche, un service de transport urbain non collectif, tel qu’un service de taxi (service physique), doit être qualifié de « service dans le domaine des transports » et relève de la compétence de l’Etat membre.

Uber a créé son propre marché
Dans ces conditions, faut-il faire une application distributive ou appliquer un seul régime si une prestation était considérée comme l’accessoire de l’autre. Dans ce dernier cas, quel serait le service qui prévaudrait, le service électronique ou le service physique ? D’après la CJUE, la prestation d’Uber ne se résume pas à un service électronique.
En effet, le fournisseur de ce service d’intermédiation crée en même temps « une
offre de services de transport urbain, qu’il rend accessible notamment par des outils informatiques, tels que l’application en cause au principal, et dont il organise le fonctionnement général en faveur des personnes désireuses de recourir à cette offre aux fins d’un déplacement urbain ».
La CJUE considère que l’application d’Uber crée son propre marché car elle fournit
« une application sans laquelle, d’une part, ces chauffeurs ne seraient pas amenés à fournir des services de transport et, d’autre part, les personnes désireuses d’effectuer un déplacement urbain n’auraient pas recours aux services desdits chauffeurs ». C’est bien là la différence des services d’Uber avec d’autres services d’intermédiation qui vendent par exemple des billets d’avion ou des nuitées d’hôtel. Dans ce dernier cas, le marché est autonome. Sans ces applications, vous pourrez toujours acheter les mêmes prestations directement auprès de la compagnie d’aviation ou de l’hôtel. À l’inverse, sans application d’Uber, les services des chauffeurs non professionnels (c’est-à-dire sans licence) ne pourraient pas être sollicités ou seraient qualifiés de taxis clandestins. La plateforme d’Uber constitue donc le seul moyen de commercialiser leurs services.
La CJUE a été plus loin car elle a constaté d’autres particularités dans la prestation d’Uber qui ont permis de caractériser un lien indissociable entre le service électronique et le service de transport. En effet, Uber exerce « une influence décisive sur les conditions de la prestation de tels chauffeurs » car Uber établit, au moyen de son application, « à tout le moins le prix maximum de la course, que cette société collecte ce prix auprès du client avant d’en reverser une partie au chauffeur non professionnel du véhicule, et qu’elle exerce un certain contrôle sur la qualité des véhicules et de leurs chauffeurs ainsi que sur le comportement de ces derniers, pouvant entraîner, le cas échéant, leur exclusion ». La CJUE relève donc que l’application d’Uber est indissociablement liée à un service de transport. Il ne s’agit pas d’un simple service électronique, qui mettrait en relation une offre et une demande. La prestation est globale, Uber contrôlant ou ne pouvant que contrôler la plupart des maillons de la chaîne.
Comme l’a relevé l’avocat général (4), « Uber est un véritable organisateur et opérateur de services de transport urbain dans les villes dans lesquelles il est présent ». En conséquence, la CJUE juge que le service d’intermédiation d’Uber doit donc être considéré comme faisant partie intégrante d’un service global dont l’élément principal est un service de transport et, partant, comme répondant à la qualification non pas
de « service de la société de l’information », mais de « service dans le domaine des transports », or ce dernier service est exclu du principe de la liberté de prestation de services et relève de la compétence exclusive des Etats membres. La décision préjudicielle rendue par la CJUE devrait donc conduire les juridictions espagnoles à considérer qu’Uber et ses chauffeurs non professionnels exercent leurs activités en violation du droit espagnol qui soumet cette activité à une autorisation. Il est donc probable qu’Uber sera condamné pour pratiques trompeuses et actes de concurrence déloyale (5). Le dossier à l’origine de l’arrêt remonte à 2014. C’est maintenant à la justice espagnole de trancher en fonction de la décision préjudicielle de la CJUE. Cette affaire judiciaire est suivie de près par la France, mais aussi par la Grande-Bretagne, ainsi que par l’ensemble des pays européens confrontés au modèle économique d’Uber.
S’agit-il d’un coup de grâce juridique donné par un vieux monde qui refuserait les bouleversements de la société numérique ? Nous ne le pensons pas. L’analyse faite par l’avocat général est très riche d’enseignement.

Liberté de prestation de services
Pour pouvoir être qualifié de « service de la société de l’information », et bénéficier
de la liberté de prestation de services, il faut : que la prestation soit exclusivement composée d’un élément fourni par voie électronique ; que, dans le cas de services mixtes (composés d’un élément fourni par voie électronique et d’un autre qui n’est pas fourni par cette voie), l’élément fourni par voie électronique soit économiquement indépendant, ou principal, par rapport au second. L’utilisation du numérique dans une prestation ne doit pas être une caution pour dispenser les nouveaux acteurs des contraintes que pèsent sur ceux qui exercent la même activité sans le numérique. @

* Auteur du livre « Numérique : de la révolution au naufrage ? »,
paru en 2016 chez Fauves Editions.