Archives par mot-clé : Données

Avec les milliards de données de leurs abonnés, les opérateurs télécoms sont des cybercibles de choix

Publié le par

L’été 2025 n’aura pas été de tout repos pour les « telcos ». En France, Bouygues Telecom a été victime début août d’une cyberattaque. Peu avant, fin juillet, Orange a aussi été la cible d’une cyberattaque. L’an dernier, SFR puis Free avaient eux aussi fait l’objet d’une fuite massive de données.

Les quatre opérateurs télécoms français, que sont Orange, Bouygues Telecom, SFR et Free, sont plus que jamais exposés à des cyberattaques de leurs systèmes d’information, où sont gérées et stockées des milliards de données personnelles de leurs plusieurs dizaines de millions d’abonnés mobiles et fixes. Devenus encore plus redoutables et imprévisibles avec l’intelligence artificielle, ces cyberpiratages massifs inquiètent de plus en plus leurs clients.

Données personnelles : open bar ?
Orange compte en France près de 22,1 millions d’abonnés mobiles et plus de 14 millions d’abonnés fixes, et totalise presque 300 millions de clients dans le monde. Bouygues Telecom a, lui, plus de 18 millions d’abonnés mobiles et 5,3 millions d’abonnés fixes, toujours sur l’Hexagone. SFR, c’est 19,3 millions d’abonnés mobiles et 6,1 millions d’abonnés fixes. Quant à Free, il compte en France 15,5 millions d’abonnés mobiles et 7,6 millions d’abonnés fixes, avec un total d’environ 51 millions avec les quelques autres pays où le groupe est présent. Autant dire que les quatre « telcos » français regorgent de données personnelles qui suscitent les convoitises de hackers et cybercriminels désireux de s’en emparer pour demander une rançon et/ou les vendre sur le dark web. Coup sur coup, cet été, Orange puis Bouygues Telecom ont subi une violation de leur système d’information respectif. Or, ce n’est pas la première fois que (suite) des opérateurs télécoms sont victimes de cyberattaques massives visant leurs millions de données.
« Bouygues Telecom a été victime d’une cyberattaque ayant permis l’accès non autorisé à certaines données personnelles de 6,4 millions de comptes clients, a fait savoir le 6 août 2025 la filiale du groupe de BTP et de communication Bouygues à propos de cette cyberintrusion détectée le 4 août. L’opérateur a notifié la Cnil (1) et déposé plainte auprès des autorités judiciaires. Tous les clients concernés ont reçu ou vont recevoir un mail ou un SMS pour les en informer et nos équipes restent pleinement mobilisées pour les accompagner ». Bouygues Telecom a voulu rassurer en affirmant que « la situation a[vait] été résolue dans les plus brefs délais » par ses équipes techniques et que « toutes les mesures complémentaires nécessaires ont été mises en place » (2). L’opérateur télécom dirigé par Benoît Torloting (photo de gauche) a mis en place une page web dédiée à cette cyberattaque du 4 août (3) ainsi qu’un numéro vert au 0801 239 901, tandis qu’un dossier « Cybersécurité » (4) informe les abonnés. « Nous tenons une nouvelle fois à vous présenter nos excuses pour cet incident », est-il indiqué en préambule d’une page mise en ligne le 13 août (5).
De son côté, le groupe Orange a communiqué le 28 juillet 2025 sur la cyberintrusion dont il a été victime trois jours avant par un : « Le vendredi 25 juillet, le groupe Orange a détecté une cyberattaque sur un de ses systèmes d’information. Immédiatement alertées, avec le support d’Orange Cyber-defense, les équipes se sont pleinement mobilisées pour isoler les services potentiellement concernés et limiter les impacts. Cependant, ces opérations d’isolement ont eu pour conséquence de perturber certains services et plateformes de gestion pour une partie de nos clients […]. Une plainte a été déposée et les autorités compétentes ont été alertées. Nous travaillons avec elles en parfaite collaboration » (6).
L’opérateur télécoms historique, dirigé par Christel Heydemann (photo du milieu), indiquait ce jour-là qu’« aucun élément ne laisse penser que des données de nos clients ou d’Orange auraient été exfiltrées ». Mais le 28 août, Bloomberg révélait qu’avaient été publiées sur le dark web des données qu’un porte-parole d’Orange a qualifiées « d’obsolètes ou de faible sensibilité » (7). SFR (8) et Free ont eux aussi été cybervisités de façon malveillante – respectivement le 3 septembre et le 17 octobre 2024. SFR et Free n’ont, eux, pas publié de communiqué, mais confirmé cette cyberattaque auprès de leurs clients, le 19 septembre pour SFR (9) et le 28 octobre pour Free après des révélations dès le 22 octobre (10).

Avant Orange et Bouygues, SFR et Free
Alors que le cybervol massif chez Free a touché 19,2 millions de clients (11), le directeur général de la maison mère Iliad, Thomas Reynaud (photo de droite), avait affirmé à l’AFP le 14 novembre 2024 qu’« il n’y a[vait] pas eu d’impact opérationnel ». L’enquête et l’instruction se poursuivent par la Cnil, laquelle pourrait infliger des amendes en cas de manquements, tandis que des abonnés pourraient attaquer leur opérateur télécoms devant la justice (12). Quant à l’Arcep, elle a enfin publié le 15 septembre 2025 son avis de 2024 (13) sur le projet de loi renforçant la cybersécurité (NIS2). @

Charles de Laubier

L’explosion des centres de données en Europe pose de sérieux problèmes environnementaux

Publié le par

Les centres de données explosent, atteignant près de 10.000 installations dans le monde. La France n’échappe pas à cette demande de data centers pour y faire tourner les intelligences artificielles et les services de cloud. Ces fermes informatiques présentent un risque réel pour l’environnement.

Ils s’appellent Amazon Data Services (AWS), Equinix, OVHcloud, Data4, Telehouse, Digital Realty, Atos, Scaleway, ou encore Microsoft Azure. Ce sont les opérateurs de centres de données, dont le marché français – à l’instar de ce qui se passe dans le monde – explose pour répondre à la forte demande de l’intelligence artificielle et des services de cloud. « On entend par centres de données les installations accueillant des équipements de stockage de données numériques », définit officiellement le code des postes et des communications électroniques (CPCE). Et « on entend par opérateur de centre de données toute personne assurant la mise à la disposition des tiers d’infrastructures et d’équipements hébergés dans des centres de données » (1).

L’Europe va tripler ses centres de données
Cette course frénétique aux data centers engagée partout dans le monde correspond à un marché total dont le chiffre d’affaires est estimé à 452,5 milliards de dollars en 2025, avec une croissance annuelle moyenne de 8,3 % prévue jusqu’en 2029, ce qui devrait générer 624 milliards de dollars cette année-là, d’après une étude de Brightlio (2). Et selon Statista, la France pèserait actuellement 2,7 % de ce marché mondial (3). Des entreprises pratiquant l’informatique en nuage (dans le cloud) aux éditeurs d’IA génératives (ChatGPT, Gemini, Mistral, …), en passant par les producteurs de contenus audiovisuels, la clientèle se bouscule aux portillons.
Se pratique soit la colocation lorsque plusieurs clients installent et gèrent dans des centres de données leur(s) propre(s) réseau(x), serveurs, équipements et services de stockage, soit le co-hébergement lorsque plusieurs clients ont accès à un ou plusieurs réseaux, serveurs et équipements de stockage fournis en tant que service par l’opérateur de centres de données. Et la montée en charge promet (suite)

d’être exponentielle : lors du « Sommet pour l’action sur l’IA », en février dernier à Paris, le président de la République Emmanuel Macron a mis sur la table 109 milliards d’euros pour l’IA en France sur cinq ans, avec à la clé de nouveaux data centers à construire sur 35 sites identifiés dans l’Hexagone, lequel compte déjà 300 centres de données d’après le Conseil économique social et environnemental (Cese). Le lendemain de cette annonce, l’Arcep présidée par Laure de La Raudière (photo de droite), publiait – bien à-propos – un livret intitulé, comme pour interpeller le chef de l’Etat, « Y a-t-il une IA pour sauver la planète ? », issu du « Tribunal pour les générations futures » (4). Au niveau européenne cette fois, la Commission européenne a mis les bouchées doubles dans le cadre des 200 milliards d’euros prévus pour l’IA (5), en détaillant le 9 avril son « AI Continent Action Plan ». Objectif : « Au moins tripler la capacité des centres de données de l’UE au cours des cinq à sept prochaines années, en privilégiant les centres de données hautement durables ».
Pour y parvenir, la vice-présidente européenne en charge de la souveraineté technologique, Henna Virkkunen (photo de gauche), a annoncé qu’elle proposera « une loi sur le développement de l’informatique en nuage et de l’IA ». Côté infrastructures, la Commission européenne veut à la fois renforcer un réseau d’« usines d’IA » (AI Factories) au-delà des 13 existantes dotées de supercalculateurs européens, et mettre en place des « gigafactories d’IA » (AI Gigafactories) équipées chacune d’environ 100.000 puces d’IA, soit quatre fois plus que les usines d’IA actuelles. Cela comprend donc pour Bruxelles « des centres de données massifs pour former et développer des modèles d’IA complexes à une échelle sans précédent ». Un appel à manifestation d’intérêt pour les consortiums intéressés a été publié dans la foulée.
Les investissements privés dans les gigafactories seront en outre stimulés par le biais d’InvestAI, qui mobilisera 20 milliards d’euros d’investissements pour un maximum de cinq gigafactories d’IA dans l’Union européenne (6). Ces investissements massifs dans les centres de données dans les Vingt-sept va immanquablement accroître l’impact du numérique sur l’environnement.

Des quantités de térawatt-heures (TWh)
Est considéré comme « gros centre des données » celui dont la puissance maximale admissible en équipements informatiques est supérieure à 500 kilowatts (kW), c’est-à-dire au niveau maximal de puissance que l’installation électrique alimentant toutes les salles informatiques du data center peut fournir en instantané aux équipements informatiques hébergés dans chacune de ses salles. Mis bout-à-bout, les centres données d’un pays comme la France consomment par an des quantités de térawattheures (TWh). C’est là qu’entre la notion d’« efficacité énergétique » d’un centre de données, laquelle est généralement mesurée par l’indicateur du Power Usage Effectiveness (PUE). Il est calculé comme le rapport entre sa consommation électrique totale et la consommation électrique de ses équipements informatiques (7). Plus la valeur du PUE d’un centre de données est proche de 1, plus il est considéré comme performant d’un point de vue énergétique.

Electricité et eau court-circuitent la planète
En France, constate l’enquête annuelle de l’Arcep « Pour un numérique soutenable », publié le 17 avril (8), « la consommation électrique totale des centres de données augmentant moins vite (+ 8 % en 2023) que la consommation électrique des équipements informatiques (+ 12 %), le PUE moyen des centres de données s’améliore légèrement en 2023 (1,46 en 2023 contre 1,51 en 2022) ». Mais des disparités demeurent selon l’ancienneté du data center : s’il a été mis en service au cours des dix dernières années, il a de grande chance d’être plus efficaces énergétiquement en moyenne que celui mis en service antérieurement : « Le PUE moyen s’élève à 1,34 pour les centres de données mis en exploitation entre 2013 et 2022 (soit un peu plus d’un tiers des centres de données étudiés), tandis qu’il s’élève en moyenne à 1,54 pour ceux mis en exploitation il y a plus de dix ans (avant 2013) », relève l’étude de l’Arcep.
La consommation électrique du centre de données prend en compte l’ensemble de ses consommations, celles des équipements informatiques (capacité maximale admissible à délivrer une quantité d’énergie par unité de temps aux équipements informatiques), mais également celles des systèmes de refroidissement, de l’éclairage des bureaux, du chauffage, etc (consommation électrique). Au-delà de l’électricité, il y a l’eau. Une fois mis en service, les équipements informatiques des centres de données génèrent de la chaleur, ce qui nécessite leur refroidissement pour éviter qu’ils ne fondent ou ne grillent. Or ces solutions de refroidissement sont plus ou moins énergivores elles-aussi et ont un impact sur la ressource en eau. La quantité d’eau prélevée pour refroidir les centres de données dépend en outre des conditions météorologiques, alors les ressources en eau s’amenuisent durant les périodes de forte chaleur, là où les centres de données ont justement le plus besoin d’eau pour être refroidis. Ce sont ainsi des centaines de milliers de mètres-cubes d’eau, pour l’essentiel potable, qui sont utilisés sur une année. Outre son utilité de « liquide de refroidissement », l’eau sert aussi pour le traitement de l’air en tant qu’humidificateur, ainsi que pour le rechargement des circuits fermés, le nettoyage et l’arrosage des équipements techniques, sans parler des sanitaires pour le personnel ou les restaurants d’entreprise.
Rien qu’en France, les émissions de gaz à effet de serre (GES) émis ensemble par les acteurs du numérique que sont les fabricants de terminaux, les opérateurs télécoms et les opérateurs de centres de données dépassent largement le million de tonnes de CO2. Dans son enquête annuelle, l’Arcep a non seulement interrogé vingt-et-un opérateurs de centres de données, mais aussi quatre opérateurs télécoms (Orange, Bouygues Telecom, Free et SFR), vingt-trois fabricants de terminaux (smartphones, tablettes, ordinateurs portables, écrans d’ordinateur et téléviseurs) et quatre équipementiers de réseaux mobiles. Il en ressort qu’en 2023 le volume de GES rejeté par ces quatre catégories d’acteurs du numérique s’est élevé à 954.000 tonnes équivalent CO2, soit l’empreinte carbone annuelle de près de 102.000 personnes en France cette année-là. « Ces émissions progressent légèrement, d’environ 1 % par an depuis 2021, dans un contexte de baisse des émissions globales de gaz à effet de serre en France (- 5,8 % en 2023) », souligne l’Arcep. Il ne serait pas surprenant que les prochaines enquêtes annuelles portant sur 2024 et 2025 montrent des centres de données beaucoup plus énergivores. @

Charles de Laubier

L’enjeu de la base légale et de l’information dans la conformité au RGPD des fournisseurs d’IA

Publié le par

Depuis peu, les fournisseurs de systèmes d’intelligence artificielle (IA) font l’objet d’une attention accrue de la part des autorités de contrôle européennes, lesquelles analysent leur conformité au règlement sur la protection des données (RGPD), de l’information des personnes à la base légale.

Par Sandra Tubert, avocate associée et Alicia Forgues, docteure en droit, Algo Avocats

Après avoir sanctionné OpenAI en décembre 2024 pour ses manquements au RGPD en lien avec son IA générative ChatGPT (1), l’autorité italienne de protection des données – la GPDP (2) – vient cette fois d’ordonner, le 30 janvier dernier (3), le blocage immédiat de l’application et du site web DeepSeek en Italie en raison de manquements présumés au RGPD. Avant d’ordonner la limitation du traitement, la GPDP avait adressé le 28 janvier une demande d’informations à DeepSeek, afin qu’elle précise les données traitées, les finalités poursuivies, leurs bases légales, le lieu de stockage, ainsi que la typologie de données utilisées pour entraîner les modèles d’IA, leurs sources et les modalités d’information des personnes (4).

Modèles d’IA, systèmes d’IA et données
D’autres « Cnil » européennes ont ouvert des enquêtes. Si le recours à l’IA n’impacte pas véritablement les réponses à apporter à certaines de ces questions, les bases légales de traitement et modalités d’information des personnes posent plus de difficultés lorsqu’il s’agit des traitements mis en œuvre dans le cadre de l’entraînement des modèles d’IA. En effet, ces derniers sont entraînés à l’aide d’un grand nombre de données, parmi lesquelles figurent parfois des données personnelles. Celles-ci se divisent en deux catégories : les données fournies directement par des personnes concernées ou les utilisateurs du système d’IA intégrant le modèle d’IA, auxquelles se rajoutent les données collectées durant l’utilisation du service (données first-party) et les données de non-utilisateurs collectées par web scraping ou grâce à la signature de contrats de licences d’utilisation de contenus (données third-party).
Lorsque le fournisseur se contente d’utiliser des données first-party pour entraîner ses modèles d’IA, le contact direct dont il dispose avec les personnes concernées par le traitement lui permet de les informer de manière classique, notamment via une politique de confidentialité – à laquelle il sera renvoyé depuis un formulaire de collecte ou un courriel – qui devra être précise et claire sur les finalités d’entraînement des modèles (notamment en distinguant l’information portant sur l’entraînement des modèles des autres traitements). A l’inverse, s’il utilise également (suite)

des données third-party, le fournisseur fait face à une difficulté, celle d’identifier un moyen approprié pour informer les personnes concernées de l’utilisation de leurs données à des fins d’entraînement des modèles d’IA. Sur ce point, la décision de sanction de 15 millions d’euros rendue en Italie par la GPDP à l’encontre d’OpenAI contient quelques enseignements. Elle y rappelle qu’elle avait, en avril 2023, ordonné à OpenAI un certain nombre de mesures pour se conformer à l’obligation d’information du RGPD. Selon la GPDP, OpenAI devait non seulement publier une mention d’information sur son site Internet explicitant clairement les finalités d’entraînement des modèles, mais aussi mettre à disposition des personnes un outil permettant d’exercer leurs droits (notamment d’opposition). Le fournisseur de ChatGPT devait également et surtout mener une campagne non promotionnelle à la radio, dans les journaux et à la télévision, dont le contenu aurait dû être validé par l’autorité. Objectif : que les utilisateurs et non-utilisateurs soient clairement sensibilisés à l’utilisation de leurs données à des fins d’entraînement des modèles d’IA et aux droits dont ils disposent, afin qu’ils puissent pleinement les exercer. Cette dernière modalité d’information demandée questionne sur les motivations entourant cette mesure (volume de personnes et de données concernées ? méconnaissance de ces traitements par le grand public en 2023 ?). En effet, cette mesure semble difficilement transposable à l’ensemble des acteurs entraînant des modèles d’IA.
En France, la Commission nationale de l’informatique et des libertés (Cnil) propose dans ses fiches IA (5) d’autres pistes pour informer les personnes. Première suggestion : s’appuyer sur le diffuseur des données (celui qui les a collectées initialement auprès des personnes) pour fournir une information complète, étant précisé que la seule mention d’une ré-exploitation par des tiers est insuffisante et qu’il convient, au contraire, d’indiquer que les données seront utilisées afin de développer un système d’IA et d’en désigner nommément le fournisseur.

Exception à l’information individuelle
Deuxième suggestion de la Cnil : rendre les informations disponibles publiquement sur un site web ou panneau d’affichage, sans procéder à une information individuelle, en s’appuyant sur l’exception prévue par le RGPD (à savoir l’information individuelle se révèlerait impossible ou exigerait des efforts disproportionnés (6)). Sur ce point, il conviendra alors de documenter le caractère disproportionné, suite à une mise en balance entre les efforts exigés – comme l’absence de coordonnées des personnes, le nombre de personnes concernées, les coûts de communication – et l’atteinte portée à la vie privée des personnes, notamment le caractère intrusif du traitement. La Cnil précise que l’information générale devra alors indiquer les sources précises utilisées pour constituer la base de données d’entraînement (ou a minima les catégories de sources lorsqu’elles sont trop nombreuses) ainsi que les moyens pour contacter le diffuseur auprès duquel les données ont été récupérées (7).

Intérêt légitime et ses limites : incertitude
Au-delà de l’information, l’entraînement des modèles d’IA questionne sur l’identification de la base légale parmi les six options inscrites dans le RGPD (8). Dans sa décision à l’encontre d’OpenAI, la GPDP a relevé un manquement sur ce point, lui reprochant une réflexion insuffisante sur le sujet, matérialisée par le fait qu’au cours de la procédure, la société a évoqué à la fois l’intérêt légitime et l’exécution du contrat comme base légale de son traitement d’entraînement des modèles d’IA. La GPDP rappelle ainsi aux fournisseurs de systèmes d’IA leur obligation d’identifier la base légale du traitement en amont de la mise en œuvre de ces traitements et de documenter leur analyse si l’intérêt légitime est retenu. Malheureusement, elle n’explore pas plus en profondeur la légitimité de fonder de tels traitements sur l’intérêt légitime ou ses limites, laissant les fournisseurs dans l’incertitude. Or, l’intérêt légitime est la base légale vers laquelle se tournent majoritairement les fournisseurs de système d’IA.
Ceci s’explique principalement par les cas restreints dans lesquels il est possible de fonder les traitements d’entraînement des modèles sur le consentement ou l’exécution du contrat. Cette dernière est souvent rapidement exclue, puisqu’une interprétation stricte en est retenue par les autorités et la CJUE et qu’elle ne peut être utilisée qu’en présence d’un contrat entre le fournisseur du système d’IA et les personnes concernées, pour des traitements objectivement indispensables à l’exécution des obligations prévues par ce contrat. Le consentement peut, quant à lui, être mobilisé par les fournisseurs utilisant des données firstparty, mais n’est pas véritablement disponible pour ceux qui entraînent leurs modèles d’IA avec des données third-party. Dès lors, le recours à l’intérêt légitime pour entraîner des modèles se généralise, même si cette démarche est critiquée, notamment par l’association Noyb (9).
Face à cette incertitude, l’autorité irlandaise (DPC) a émis une demande d’avis auprès du Comité européen de la protection des données (EDPB) en septembre 2024. La DPC souhaitait obtenir des renseignements sur la façon dont un responsable du traitement peut démontrer le bien-fondé de l’intérêt légitime en tant que base légale de traitement pour le développement de modèles d’IA (10). En réponse, l’EDPB a adopté en décembre dernier un avis (11), assez théorique (sans éclaircissements inédits), dans lequel il rappelle et présente les grandes notions et critères à prendre en compte en lien avec les trois conditions cumulatives pour documenter le fait qu’un traitement puisse être fondé sur l’intérêt légitime. L’EDPB y propose néanmoins quelques exemples de mesures souhaitables pour atténuer les risques identifiés lors de la balance des intérêts (pseudonymisation des données d’entraînement, masquage des données personnelles ou leur substitution par des données synthétiques, mise en place d’un délai entre la constitution de la base et l’entrainement des modèles pour permettre l’exercice des droits, …). Pour les données collectées par web scraping, l’EDPB propose des mesures spécifiques (exclure certaines catégories de données ou certaines sources, créer des listes d’opposition gérées par le fournisseur de systèmes d’IA, …). La DPC a salué l’avis rendu, de même que la Cnil, dont les travaux préexistants sur le sujet (qui apportent un éclairage complémentaire et plus concret) ne sont pas contredits (12). En dépit des recommandations figurant dans ces avis, les difficultés liées au recours à l’intérêt légitime dans un contexte d’entraînement des modèles d’IA sont mises en lumière par l’avertissement rendu par la GPDP, le 27 novembre 2024, à l’encontre de l’éditeur de presse Gedi (13). Celui-ci avait conclu un contrat avec OpenAI relatif à la communication d’archives de journaux pour permettre à ce dernier d’entraîner ses modèles d’IA et de mettre à disposition les contenus de presse de Gedi accompagnés d’un résumé, en temps réel, sur ChatGPT (14). En effet, bien que Gedi ait réalisé une analyse d’impact sur la protection des données, dans laquelle il indiquait fonder à la fois ses traitements et ceux d’OpenAI sur l’intérêt légitime, la GPDP a mis en lumière plusieurs difficultés liées à cette position (15).

Affaire « Gedi » : le cas des archives de presse
La première est la présence dans ces archives d’un volume important de données personnelles, notamment sensibles ou relatives à des infractions. L’autorité italienne rappelle alors que la base légale de l’intérêt légitime ne peut pas, à elle seule, légitimer le traitement de telles données sensibles et qu’il est nécessaire d’identifier, en plus, une des exceptions prévues par le RGPD (16). La seconde est relative à l’information des personnes et à leurs attentes raisonnables. La GPDP estime en effet que les personnes dont les données figurent dans ces archives de journaux ne peuvent pas s’attendre à une telle communication à OpenAI et que l’ajout prévu dans la politique de confidentialité de Gedi (non encore publié) s’adresse aux utilisateurs enregistrés de ses journaux et non aux personnes mentionnées dans les articles transmis. @

L’affaire Death Moon rappelle que les hébergeurs doivent retirer « promptement » un contenu illicite

Publié le par

Notes L’auteur de « Death Moon » avait demandé à la justice de condamner la plateforme audio SoundCloud à lui payer environ 6,7 millions d’euros pour contrefaçon de son affiche en partenariat avec la major Universal Music. Mais le statut d’hébergeur « non responsable » lui a finalement été opposé.

Le litige en question : Mathieu Pequignot, un auteur d’oeuvres graphiques – qu’il exploite sous le pseudonyme de Elvisdead (1) et dont il commercialise les tirages par le biais de sa boutique en ligne (2) – contacte le 12 juin 2020 SoundCloud pour lui reprocher une exploitation non autorisée de son oeuvre « Death Moon » à travers des publications mises en ligne (3). La plateforme de streaming musical et audio lui a répondu le même jour que la reproduction avait été fournie par Universal Music et que toute demande devrait être adressée à cette major de la musique enregistrée. Et dans la foulée, SoundCloud a supprimé le contenu et estimé qu’il n’y avait pas à indemniser l’auteur.

6,7 millions d’euros en jeu en 2021
L’auteur de « Death Moon » ne l’a pas entendu de cette oreille et a assigné le 18 décembre 2020 la société SoundCloud – fondée et présidée par Alexander Ljung (photo) – devant le tribunal judiciaire de Marseille pour contrefaçon de droits d’auteur. La société de la plateforme de streaming audio a d’abord contesté le droit à agir de l’auteur de l’affiche intitulée « Death Moon » car celui-ci ne justifiait pas que l’oeuvre, soi-disant contrefaite, était « originale », et, « n’était donc pas investi des droits attribués à l’auteur d’une oeuvre de l’esprit » que prévoit le code de la propriété intellectuelle (CPI). Mais l’auteur a assuré devant le juge en 2021 que l’oeuvre en question était bien originale et qu’il y avait bien contrefaçon de « Death Moon », amenant SoundCloud à ne plus maintenir sa demande de nullité de l’assignation et à reconnaître le plaignant comme étant l’auteur de l’oeuvre « Death Moon ».

Mathieu Pequignot alias Elvisdead – 46 ans depuis le 2 août dernier et représenté par deux avocats (Jennifer Bongiorno au barreau de Marseille et Mehdi Gasmi au barreau de Paris) – a demandé au juge du tribunal judiciaire de Marseille de condamner SoundCloud Limited. La plateforme de streaming audio, dont le siège social est basé à Londres et les activités opérationnelles à Berlin, est accusée d’avoir reproduit « Death Moon » sans l’autorisation de l’auteur, d’avoir réalisé cette reproduction sans le citer en tant qu’auteur et d’avoir dénaturé l’oeuvre en ayant modifié substantiellement son contenu et en l’association à l’oeuvre musicale « Desires ». Au total, selon les calculs de Edition Multimédi@, le plaignant demandait la condamnation pécuniaire de SoundCloud à au moins 6,7 millions d’euros, à savoir : verser à l’auteur plus de 3,1 millions d’euros « en réparation de son préjudice économique », auxquels s’ajoutaient plus de 1,2 million d’euros pour « réparer le préjudice persistant qu’il a subi, consistant pour lui en la perte d’une chance de fidéliser la clientèle qu’il aurait pu acquérir si son oeuvre “Death Moon” avait été utilisée en mentionnant son nom d’auteur ». Le plaignant demandait aussi à SoundCloud de lui verser plus de 1,5 million d’euros « en réparation du préjudice moral qu’il retire des atteintes à son droit moral d’auteur », ainsi que près de 0,4 million d’euros de « réparation au titre de l’atteinte à ses droits patrimoniaux » et près de 0,4 million également en guise cette fois de « provision sur sa créance indemnitaire » dans le cadre d’une « réparation égale à 6,66 % du total des recettes directes et indirectes retirées par SoundCloud Limited de l’ensemble des publications ayant comporté les publications contrefaisantes en litige ». Le préjudice estimé a tenu compte de « l’ampleur des diffusions contrefaisantes de l’oeuvre » qui aurait fait l’objet, entre le 31 janvier 2020 et le 12 juin 2020, soit la période de la contrefaçon jusqu’au retrait par SoundCloud (4). Le plaignant demandait aussi au juge que la société britannique verse 12.000 euros « au titre des frais non compris dans les dépens » (5).
Mais ce n’est pas tout. L’auteur demandait en plus à ce que SoundCloud « inform[e] ses audiences de l’existence d’une contrefaçon de l’oeuvre “Death Moon” commise entre le 31 janvier 2020 et le 12 juin 2020, dans des conditions de nature à le rétablir dans sa paternité de l’oeuvre ». Le message aurait été accompagné de la publication sur la plateforme d’une reproduction numérique, autorisée cette fois par l’auteur, de l’oeuvre en question, assortie d’un commentaire indiquant qu’il s’agit de « Death Moon », avec le nom de l’auteur, Elvisdead.

Liens de SoundCloud avec Universal Music
Cette publication devait apparaître en permanence pendant « au moins trente jours francs », sous astreinte de 1.000 euros par jour de retard à compter de la date à laquelle cette condamnation est signifiée à SoundCloud. Dans sa plainte contre SoundCloud, l’auteur pointe deux faits qui empêchent la plateforme de streaming audio de bénéficier de l’exonération de responsabilité réservée aux entreprises du Net ayant le statut d’hébergeur en ligne. Selon l’auteur, ce statut à « responsabilité limitée » ne peut s’appliquer parce que : d’une part, SoundCloud est lié avec Universal Music par « un contrat de partenariat commercial ayant précisément pour objet la réalisation de publications sur la plateforme SoundCloud », et que la première major mondiale de la musique enregistrée « n’est donc pas un simple tiers tenu uniquement aux conditions générales d’utilisation de la plateforme SoundCloud ».

Responsabilité : hébergeur ou éditeur ?
D’autre part, a affirmé l’auteur plaignant, Universal Music « a détenu 191.174 titres au capital de SoundCloud jusqu’au 28 septembre 2017, via des sociétés holdings interposées » et qu’à partir de cette date Universal Music « a participé à une réorganisation concertée avec l’ensemble des actionnaires de Soundcloud Limited, en transférant l’ensemble de ses titres à Soundcloud Holdings II, domiciliée aux îles Caïmans […] ». Ainsi, affirme le plaignant, le partenariat SoundCloud-Universal Music, contrat que la société britannique a refusé de produire lors du procès, et leur relation capitalistique au moment des faits rendent caduque la protection juridique du statut d’hébergeur sur Internet. En outre, ajoute l’auteur de « Death Moon » pour démontrer que la plateforme de streaming audio n’est pas un hébergeur mais un éditeur soumis à une responsabilité vis-à-vis des contenus mis en ligne, « les activités de SoundCloud Limited ne se limitent pas à l’hébergement passif de contenus postés par des tiers mais comprennent également la commercialisation d’abonnements donnant accès aux contenus de cette plateforme et incluant plusieurs services, intitulés “SoundCloud Go” et “SoundCloud Go+”, générant la majeure partie de son chiffre d’affaires […] ». L’auteur estime que cette activité d’éditeur responsable est aussi démontrée par le fait que « les activités de SoundCloud Limited comprennent également la commercialisation de services d’assistance personnalisés intitulés “Soundcloud Pro”, incluant le fait d’être ‘’sponsorisé par [leur] équipe de relations dédiée aux artistes”, de “[bénéficier] d’avis d’expert” et de recevoir “une assistance prioritaire” ».
Le statut d’hébergeur en ligne est consacré par la loi française pour la confiance dans l’économie numérique (LCEN) de 2004, laquelle a transposé il y a 20 ans maintenant la directive européenne « E-commerce » de 2000 qui protège ces hébergeurs. Or, est-il rappelé, le régime exonératoire de la LCEN est inapplicable aux exploitants n’ayant pas un rôle strictement passif et limité à l’hébergement des contenus litigieux. Et un exploitant a un rôle actif lorsqu’il offre notamment à ses utilisateurs une assistance, consistant notamment à optimiser la présentation des offres à la vente en cause et à promouvoir celles-ci, ce qui reposait sur sa connaissance ou son contrôle des données stockées. Dans sa défense, la société SoundCloud – représentée par deux avocats (Marine da Cunha au barreau de Marseille et Marie- Dominique Luccioni Faiola) – a fait référence à la décision de Cour de justice de l’Union européenne (CJUE) datée du 22 juin 2021 (6), ayant concerné la plateforme YouTube qui a été admise au régime exonératoire alors qu’elle exploite aujourd’hui une offre « YouTube Premium » (7). Reste qu’au 25 mars 2024, la société SoundCloud a demandé au tribunal judiciaire de Marseille : de débouter l’auteur de « Death Moon », de reconnaître la qualité d’hébergeur au sens de la loi LCEN ; de « dire et juger qu’elle n’a commis aucune faute et a promptement réagi à réception de la notification du 12 juin 2020 adressée par [l’auteur] » ; de « dire et juger que l’oeuvre revendiquée “Death Moon” par [le plaignant] est dépourvue de toute originalité » (alors que la plateforme de streaming audio avait finalement reconnu en 2021 que le plaignant était bien l’auteur de l’oeuvre en question) ; de « dire et juger que l’auteur ne parvient pas à prouver les faits argués de contrefaçon qu’il invoque », etc.
La société SoundCloud insiste sur le fait qu’elle exploite « une plateforme d’écoute et de partage de musique en ligne sur un modèle similaire à YouTube ou Spotify » et qu’elle n’a qu’« un rôle passif d’intermédiaire technique et n’a pas connaissance des plus de 200 millions de titres et contenus qui sont publiés sur sa plateforme ». Elle revendique donc la qualification d’hébergeur assortie de son régime dérogatoire de responsabilité prévu par la loi LCEN, sans que le partenariat conclu avec Universal Music puisse avoir une incidence sur la qualification d’hébergeur ou sur l’applicabilité du régime dérogatoire – pas plus que pour les accords noués avec Warner Music, Sony Music ou d’autres labels pour seulement obtenir l’accès à l’ensemble du catalogue de ces maisons de disques.

La clé : « agir promptement » dès notification
Surtout, la société SoundCloud rappelle qu’elle « a agi promptement » en répondant au plaignant – le jour même de la réception de la notification –, que le contenu n’était déjà plus disponible sur sa plateforme. Ainsi, en vertu de la loi LCEN, l’hébergeur n’était pas responsable du caractère illicite du contenu. La procédure a été clôturée à la date du 14 mai 2024 et le jugement rendu le 26 septembre 2024 (8). Le tribunal judiciaire de Marseille a tranché : « SoundCloud doit donc être qualifiée d’hébergeur » et celui-ci a retiré avec diligence « Death Moon » de sa plateforme. Bien que n’ayant pas obtenu la condamnation de l’auteur à lui payer « la somme de 25.000 euros à titre de dommages-intérêts pour procédure abusive et vexatoire », le plaignant a cependant été condamné à payer 10.000 euros de frais irrépétibles. Reste à savoir si ce dernier fera appel. @

Charles de Laubier

Projet de loi SREN : procédure accélérée… ralentie

Publié le par

En fait. Le 10 avril, l’Assemblée nationale discutera en séance publique du texte élaboré le 26 mars par la commission mixte paritaire (CMP) sur le projet de loi visant à « sécuriser et réguler l’espace numérique » (SREN). Et ce, après que le Sénat a amendé le 2 avril dernier ce texte de la CMP.

En clair. Le projet de loi « Sécuriser et réguler l’espace numérique » (SREN) – émanant donc du gouvernement qui avait engagé une procédure accélérée le 10 mai 2023 – termine son marathon parlementaire. Il aura duré près d’un an ! Pourtant, le Sénat avait adopté un texte le 5 juillet 2023, suivi par l’Assemblée nationale le 17 octobre.
Bien que la commission mixte paritaire (CMP) ait été convoquée le 18 octobre, celle-ci n’a pu se réunir que le… 26 mars 2024, soit près de six mois après. Pourquoi un tel délai, alors que le gouvernement avait opté pour une « procédure accélérée » ? C’est que « ce texte relève pour une très large partie des domaines de compétence de l’Union européenne, et qu’en la matière des législations sont ou bien déjà adoptées ou bien en cours d’adoption [DSA, DMA, AI Act ou encore Data Act, ndlr], ce qui ne nous a pas facilité la tâche », a expliqué la présidente de cette CMP, la sénatrice (centriste) Catherine Morin-Desailly. Le gouvernement a dû notifier à la Commission européenne son projet de loi « SREN » par trois fois (texte gouvernemental, texte des sénateurs et texte des députés), puis attendre à chaque fois la réponse de Bruxelles. La Commission européenne avait même rendu un « avis circonstancié » – voire très critique, notamment au regard du Data Act. Paris a dû revoir sa copie à l’aune des nouvelles législations du marché unique numérique.

Catherine Morin-Desailly a en outre rappelé que le 9 novembre 2023 la Cour de justice de l’Union européenne (CJUE) a rendu un arrêt important dans l’affaire dite « Komm Austria » (1), qui opposait le gouvernement autrichien aux très grandes plateformes Google, Meta et TikTok. « La CJUE y limite très fortement le pouvoir des Etats membres quant à leur faculté d’imposer au niveau national des obligations aux plateformes établies dans d’autres Etats de l’Union européenne », a souligné la présidente de la CMP.
Autrement dit, c’est le maintien du « principe du pays d’origine » consacré par les directives « E-Commerce » de 2000 et « SMAd » de 2010 (plateformes de partage de vidéo). Parmi les nombreuses mesures prévues par la future loi SREN, citons : l’Arcom habilitée à être un des DSC (coordinateur pour les services numériques) des Vingt-sept (2) ; l’Arcep régulateur des nuages (3) ; les jeux à objet numérique monétisable (Jonum) encadrés (4) ; les navigateurs web obligés de signaler les contenus illicites (5). @