Règlement européen sur la protection des données : ce qui va changer pour les internautes

Le règlement européen sur la protection des données – proposé il y a plus de quatre ans par la Commission européenne – a été publié au J.O. de l’Union européenne le 4 mai. Il sera applicable sur toute l’Europe le 25 mai 2018. Il renforce les droits des Européens sur leurs données personnelles.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Ayant constaté l’existence d’une fragmentation dans la mise en oeuvre de la protection des données à caractère personnel dans l’Union européenne (UE), la Commission européenne a soumis le
25 janvier 2012 (1) au Parlement et au Conseil européens une proposition de règlement européen « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données ».

Renforcement des droits de la personne
Cette nouvelle législation a fait l’objet d’un accord informel en trilogue le 17 décembre 2015, et a été votée définitivement le 14 avril dernier et publiée le 4 mai au Journal officiel de l’UE. L’une des avancées majeures du règlement « Protection des données » – entré en vigueur 20 jours après sa publication (soit le 24 mai), pour être applicable dans tous les pays de l’UE le 25 mai 2018 (les entreprises ont donc deux années entières pour s’y préparer) – est sans conteste le renforcement des droits de la personne.
Dans un univers dématérialisé où tout devient possible en quelques clics, l’UE avait dans une directive, dès 1995, souhaité protéger l’individu en lui accordant un certain nombre de droits. Elle prévoyait ainsi :
• un droit à l’information qui consiste en l’obligation, pour le responsable de traitement, de fournir certaines informations énumérées dans la directive ;
• un droit d’accès qui est le droit pour la personne concernée de réclamer de la part du responsable de traitement la consultation de certaines informations portant sur ses données personnelles et sur le traitement de ses données ;
• un droit de rectification qui consiste en la possibilité pour la personne concernée
de demander la rectification, l’effacement ou le verrouillage des données qui sont incomplètes ou inexactes ;
• un droit d’opposition qui est le droit pour la personne concernée de s’opposer à
tout moment à ce que ses données fassent l’objet d’un traitement, pour des raisons légitimes. Pourtant, comme le soulignait Viviane Reding en 2012, lorsqu’elle était encore commissaire européenne à la Justice, aux Droits fondamentaux et à la Citoyenneté, les citoyens « n’ont pas toujours le sentiment de maîtriser entièrement
les données à caractère personnel les concernant ».
En effet, qui n’a pas déjà reçu des publicités dans sa boîte aux lettres sans que l’on n’ait jamais ni effectué d’achats chez l’émetteur de publicités ni donné ses informations personnelles telles que les nom, prénom, et adresse ? Qui n’a pas réceptionné des appels téléphoniques inconnus dont l’objet est de promouvoir un produit, ou de vous solliciter pour un sondage téléphonique, l’interlocuteur connaissant déjà vos nom et prénom sans même que vous ne l’ayez déjà contacté de votre vie, ou sans même que les prestataires de services professionnels avec qui vous avez contracté ne vous ait prévenu de la communication de vos informations à ces tiers précisément ?
Pour remédier à ce problème de maîtrise des données, le règlement prévoit un chapitre entier sur les droits de la personne concernée, ce que ne faisait pas la directive de 1995, laquelle se contentait de placer les droits de la personne concernée dans un chapitre intitulé « Conditions générales de licéité des traitements de données à caractère personnel ».
Le renforcement des droits de la personne concernée se fait en accentuant les droits préexistants de celle-ci, par exemple en prévoyant une meilleure transparence quant
à la communication des informations relatives au traitement des données à caractère personnel, ou encore en rallongeant la liste des informations à fournir à la personne concernée.

Quatre principaux nouveaux outils
Mais surtout, le règlement européen lui octroie de nouveaux droits :
• Un droit à l’information lors de l’apparition de failles de sécurité.
Ainsi, le droit à la notification d’une violation de ses données à caractère personnel semble aujourd’hui indispensable, alors que l’on ne compte plus le nombre d’entreprises victimes de failles de sécurité relatives aux informations sur leur clientèle : noms, adresses, numéros de téléphone ou encore données bancaires se retrouvent alors publics.
• Un droit d’opposition à une mesure fondée sur le profilage.
Au-delà des failles de sécurité dont peuvent être victimes les entreprises, les internautes doivent, aussi, à leur échelle, faire preuve de vigilance. En effet, au travers des historiques de navigations, des blogs, des réseaux sociaux ou des moteurs de recherche, ils dévoilent, sans souvent en avoir pleinement conscience, des pans entiers de leur vie privée. Or ces informations se révèlent souvent précieuses puisqu’elles pourront être valorisées, alimentant ainsi une véritable économie des données. En ce sens, le « profilage », destiné à évaluer et analyser certains aspects personnels afin d’orienter les publicités selon les intérêts ou de prévenir certains comportements illicites peut être source d’erreurs ou d’abus. C’est dans cet objectif que le Règlement prévoit une obligation d’information spécifique en matière de profilage ainsi que la possibilité
de s’y opposer.
• Un droit à l’« effacement » numérique.
Comme le souligne la CNIL dans son rapport d’activité 2013, « la circulation d’informations concernant une personne peut avoir de graves conséquences sur sa
vie privée et professionnelle, parfois plusieurs années après les faits ». Aussi, le Règlement européen vient consacrer un « droit à l’effacement » qui permettra à la personne concernée, selon des motifs limitativement énumérés, d’obtenir l’effacement de données personnelles la concernant et la cessation de la diffusion de ces données. La consécration de ce nouveau droit par le Règlement achève ainsi une évolution nécessaire au regard de la protection de la vie privée des citoyens européens.
• Un droit à la portabilité de ses données.
Ces nouveaux droits sont primordiaux en ce qu’ils permettent à la personne concernée d’exercer un contrôle ex post sur ses données. La personne concernée a le droit de se voir communiquer ses données personnelles par le responsable de traitement, sous un format « structuré, couramment utilisé et lisible par machine » afin de faciliter leur transfert vers un autre prestataire de services si elle le souhaite et sans que le responsable de traitement ne puisse s’y opposer. L’objectif ici est d’éviter à la personne concernée de se lancer dans une fastidieuse récupération manuelle de ses données qui pourrait l’inciter à renoncer à changer de prestataire.

« Education » et « hygiène informatique »
Ces nouveaux outils doivent cependant s’accompagner d’une part, d’une « éducation » à la protection des données, et d’autre part, de la promotion d’une certaine « hygiène informatique », selon l’expression consacrée par l’ANSSI (2), qui permettra à la personne concernée de fixer elle-même les frontières de sa vie privée.

Le règlement européen tient aussi compte de l’invalidation du « Safe Harbor » (3) (décision CJUE du 6 octobre 2015 (4). et ses conséquences en consacrant son chapitre V au transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales L’invalidation de cette décision a conduit la Commission européenne et le gouvernement américain à conclure un accord visant à assurer un niveau de protection suffisant aux données transférées de l’UE vers les Etats-Unis appelé « Privacy Shield ».

Articulation avec le « Privacy Shield »
Le G29 réunissant les « Cnil » européennes, qui avait publié son avis le 13 avril 2016 sur le niveau de protection des données personnelles assuré par le « Privacy Shield » (5), a cependant rappelé qu’il devrait tenir compte du règlement européen sur les données personnelles – lequel n’avait pas encore été adopté au moment de la publication du « Privacy Shield ». L’article 45 du règlement énonce les critères à prendre en compte par la Commission européenne lors de l’évaluation du caractère adéquat du niveau de protection des pays tiers à l’Union. Au nombre de ces critères,
on trouve « le respect des droits de l’homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l’accès
des autorités publiques aux données à caractère personnel (…) ».
Outre le renforcement de la sécurité juridique, on notera que le règlement vise à : réduire la charge administrative des responsables de traitement de données, faire peser davantage de responsabilité sur les sous-traitants, renforcer l’exercice effectif par les personnes physiques de leur droit à la protection des données les concernant au sein de l’UE (notamment leur droit à l’effacement et leur droit d’exiger que leur consentement préalable, clair et explicite soit requis avant l’utilisation de leurs données personnelles), améliorer l’efficacité de la surveillance et du contrôle de l’application des règles en la matière (6).
Le règlement aura d’autant plus d’impact qu’il s’appliquera, dès le 25 mai 2018, de manière uniforme dans l’ensemble des pays de l’UE, sans devoir être transposé en droit national (7). Son champ d’application s’étendra au-delà des frontières des Vingt-huit puisque, désormais, des entreprises ayant leur siège social en dehors de l’UE pourront se voir appliquer le règlement dès lors que les données qu’elles traitent concernent des résidents de l’UE, ce que ne prévoyait pas la directive. @

* Ancien bâtonnier du Barreau de Paris.

 

Blue Efficience, plus fort que Content ID de YouTube ?

En fait. Le 4 février, Blue Efficience s’est félicitée d’être « le nouveau prestataire technique de protection et lutte contre l’exploitation non autorisée des œuvres
du groupe TF1 », après un appel d’offre remporté en juillet 2015. Cette société française fait la chasse au piratage de films sur Internet.

En clair. Créée en 2008 par Thierry Chevillard, un ingénieur féru de technologies de protections électroniques et formé à l’ESIEE (ex-école Breguet), la société Blue Efficience cherche à s’imposer dans le cinéma français avec non seulement sa solution d’empreintes numériques afin, explique-t-elle, de « permettre le filtrage en amont de la plupart des vidéos pirates », mais aussi sa prestation de « recherche manuelle continue des œuvres sur les plateformes afin de retirer les vidéos qui n’auraient pas été filtrées par les systèmes automatisés ».
Avec cette veille manuelle, Blue Efficience revendique notamment une meilleure efficacité que la solution Content ID de YouTube : « Le robot Content ID ne permet
en effet pas d’identifier les contenus qui ont été habilement déformés par les pirates afin de passer entre les mailles du filet ». Et d’affirmer à l’encontre de Google : « Ainsi, YouTube héberge actuellement des milliers de films dont la mise en ligne n’a été aucunement approuvée par leurs auteurs » En décrochant un contrat avec TF1,
cette start-up voit sa technologie de protection sur réseaux peer-to-peer, streaming ou téléchargement direct une nouvelle fois consacrées. La filiale de télévision du groupe Bouygues s’ajoute à ses références où l’on retrouve France Télévisions Distribution, Universal Pictures France, UGC, Mars Distribution, Pyramide Distribution, ou encore Les Films du Losange. L’Hadopi fait aussi partie de ses clients, Blue Efficience étant
« prestataire technique », comme l’est Trident Media Guard (TMG) pour les ayants droits de la musique (1). Avec TF1, Blue Efficience tente de s’imposer un peu plus face au géant YouTube et sa technologie Content ID. La première chaîne française s’était d’ailleurs résolue en décembre 2011 à souscrit tardivement à Content ID que YouTube lui proposait depuis… avril 2008 afin d’empêcher la mise en ligne de copies audiovisuelles non autorisées.
Au lieu de cela, TF1 avait préféré ferrailler en justice contre la filiale vidéo de Google. La procédure a duré huit ans et a tourné à l’avantage de YouTube. Pour ne pas perdre la face, la chaîne de Bouygues a finalement préféré enterrer la hache de guerre en novembre 2014 avec YouTube et accepter d’utiliser sa technologie Content ID, plutôt que d’être déboutée dans un procès enlisé. Depuis, TF1 a même lancé des chaînes
sur YouTube, mais pas sous sa propre marque (2). @

Protéger l’innovation et le patrimoine informationnel : une entreprise avertie en vaut deux

Depuis la directive européenne « Attaques contre les systèmes d’information »
de 2013, censée être transposée par les Ving-huit depuis le 4 septembre 2015,
les entreprises – et leurs-traitants – doivent redoubler de vigilance contre la cybercriminalité aux risques démultipliés. L’arsenal français est renforcé.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

L’innovation à l’ère numérique peut revêtir plusieurs formes :
un nouveau brevet, un concept commercial, un logiciel, des informations stratégiques, des bases de données, de la musique, des films, … Certaines de ces données bénéficient d’une protection légale : le droit d’auteur pour les logiciels, les vidéos, les œuvres multimédia… ; le droit des marques pour les noms de domaine,
les logos… ; la loi informatique et libertés pour les données personnelles, le droit des brevets pour les inventions, …

Preuve de la titularité des droits
La protection est parfois assujettie à des formalités légales : l’enregistrement des brevets, des dépôts de marques, des noms de domaine ou encore les formalités auprès de la Cnil (1). Parfois, la protection est acquise de plein droit mais il faudra justifier de certaines conditions en cas de contestation : l’« originalité » pour l’oeuvre logicielle ou encore l’« investissement financier, matériel ou humain substantiel » pour les bases de données (2). Il faudra en tout état de cause établir la preuve de la titularité des droits, ce qui peut exiger des précautions telles que le dépôt des codes sources pour lui donner date certaine, ou encore un contrat pour encadrer les conditions de cession
des données concernées.
Mais la protection n’est pas systématique, comme l’illustre si bien le long débat législatif sur le secret des affaires qui n’a pas encore permis de trouver de solution (3), ouvrant la voie au détournement de données stratégiques pour l’entreprise. S’il est désormais acquis que la valeur de l’entreprise réside en grande partie dans son patrimoine informationnel, la question de la protection de ces données est d’autant plus cruciale que l’entreprise, pour être compétitive, doit vivre à l’heure du big data, de l’open data, du cloud, du logiciel libre (open source), des API (4) et des objets connectés.
Comment, dans cet environnement, lutter contre la malveillance ou tout simplement la négligence ?
Une enquête réalisée par le cabinet d’étude britannique Vanson Bourne pour EMC, réalisée entre août et septembre 2014 sur des décideurs informatiques au sein d’entreprises employant plus de 250 personnes (pour un total de 3.300 personnes dans 24 pays), a révélé que 64 % des entreprises concernées avaient déclaré avoir
été victime(s) de pertes de données ou d’interruptions d’activité dans le cours de l’année 2014. Ce qui correspond à une moyenne de trois jours ouvrés d’interruption
non planifiée. Ces entreprises auraient subi un préjudice de 1,7 milliards de dollars.

Si les entreprises sont confrontées à des risques en provenance de l’extérieur (piratage, vol de données, fraude, virus, phishing, usurpation d’identité, …), il faut constater que les défaillances sont le plus souvent le résultat de négligences internes : non respect des règles de sécurité, notamment dans la gestion des badges d’accès ou des codes, divulgations non autorisées de données, erreurs de manipulations, …, manque de formation, d’information, de sensibilisation, etc.
L’exemple de la recherche et du développement – secteur d’investissement et d’innovation par nature – en est une bonne illustration. En effet, les travaux menés
par les chercheurs le sont parfois en mode collaboratif sur des réseaux non sécurisés, voire non conservés dans les serveurs de l’entreprise, exposant à la perte des investissements. De même, la publication ou l’utilisation d’API ouvrent des fenêtres sur les systèmes d’information des entreprises et organisations, et engendrent des risques liés à la sécurité, notamment d’atteintes aux données (intrusion, captation, …).

Directive contre la cybercriminalité
Le chef d’entreprise a l’obligation d’assurer la sécurité de l’entreprise. Cette obligation devrait être renforcée dans les années à venir avec la directive européenne « Attaques contre les systèmes d’information » du 12 août 2013.
Cette directive visant à combattre la cybercriminalité (5), qui devait être transposée par les Vingt-huit avant le 4 septembre 2015 (6), encourage les Etats membres à prévoir
« dans le cadre de leur droit national, des mesures pertinentes permettant d’engager
la responsabilité des personnes morales, lorsque celles-ci n’ont de toute évidence pas assuré un niveau de protection suffisant contre les cyberattaques » (considérant 26). Mais au-delà de cette obligation générale, le chef d’entreprise peut être tenu, pour certaines catégories de données, à des obligations légales spécifiques. Tel est le cas pour les données à caractère personnel pour lesquelles il est tenu de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (7).
Le manquement à cette disposition légale est sanctionné de cinq ans de prison et de 300.000 euros d’amende (8).

Obligations des entreprises
L’entreprise, elle, doit également veiller au respect de cette obligation par ses sous-traitants (9), au risque d’être sanctionnée. Ainsi, une société distribuant des produits optiques a été condamnée par la Cnil à une sanction de 50.000 euros pour avoir, entre autres, manqué à son obligation d’assurer la sécurité et la confidentialité gérées par
un de ses sous-traitants. La Cnil relève que « le contrat entre la société et son sous-traitant ne comportait aucune clause relative à la sécurité et à la confidentialité des données » (10).
Sur ce point également, le prochain règlement européen sur la protection des données à caractère personnel (« Privacy »), devrait renforcer les obligations en prévoyant une obligation de notification des failles de sécurité à toutes les personnes concernées, ainsi qu’une obligation d’informer l’autorité de contrôle de toute violation « sans retard injustifié et, si possible, 24 heures au plus tard après en avoir pris connaissance ». Au-delà du délai de 24 heures, l’entreprise devra nécessairement justifier son silence.
Par ailleurs, les opérateurs d’importance vitale (OIV) sont tenus de respecter des règles de sécurité spécifiques (11). Leur non-respect les expose à des sanctions pénales (12). Les OIV ont également l’obligation d’informer sans délai le Premier ministre de tout incident affectant le fonctionnement ou la sécurité des systèmes d’information (13).

Enfin, on rappellera que le Référentiel général de sécurité (RGS) – afin d’instaurer
la confiance dans les échanges au sein de l’administration et avec les citoyens – s’impose aux administrations et aux prestataires qui les assistent dans leur démarche de sécurisation de leurs systèmes d’information (arrêté du 13 juin 2014 portant approbation du RGS et précisant les modalités de mise en oeuvre de la procédure
de validation des certificats électroniques). Plus généralement, on rappellera que l’arsenal français est complet avec plusieurs infractions répertoriées dans le Code pénal. Le vol (14) de données est cependant rarement reconnu par la jurisprudence puisque les éléments constitutifs de l’infraction ne sont pas réunis : dans la mesure
où la donnée n’est pas une « chose », il n’y a pas de « soustraction frauduleuse de la chose d’autrui ».
En revanche, le recel (15) peut être invoqué à la condition que les données atteintes soient fixées sur un support physique. Même si le recel d’informations sans support matériel a pu être admis dans des arrêts anciens, la jurisprudence actuelle ne suit
pas cette tendance. De même, l’abus de confiance (16) est souvent utilisé à l’encontre de salariés ayant détourné des fichiers informatiques à des fins personnelles, en contradiction avec, notamment, la Charte informatique de l’entreprise. Enfin, l’usurpation d’identité numérique (17), utilisée depuis peu, a conduit récemment à la condamnation d’une personne s’étant fait passer pour l’ancien associé d’une entreprise afin de créer des adresses courrielles et des profils sur les réseaux sociaux. De même, c’est sur ce fondement qu’a été sanctionnée la personne ayant créé un faux site web permettant aux internautes de publier au nom d’une personne publiques des communiqués au contenu diffamatoire.

Infractions et Cheval de Troie
Enfin, les atteintes aux STAD (18) répertorient toute une série d’infractions : le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un STAD, le fait d’entraver ou fausser le fonctionnement d’un STAD, le fait d’introduire frauduleusement des données dans un STAD, extraire, détenir, reproduire, transmettre, supprimer ou modifier frauduleusement les données qu’il contient, ou encore le fait de – sans motif légitime – importer, détenir, offrir, céder ou mettre à disposition un équipement, instrument, programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs infractions prévues par les articles 232-1 à 323-3 du Code pénal, comme par exemple le Cheval de Troie.
Il convient de signaler que dans un arrêt récent (19), la Cour d’appel de Paris a relaxé un internaute ayant accédé à un système de traitement automatisé de données (STAD) dont la sécurité défaillante avait permis l’accès aux données, mais l’a condamné pour maintien frauduleux, ayant constaté qu’il avait réalisé des opérations de chargement alors qu’il existait un contrôle d’accès dont il n’avait pu ignorer l’existence On rappellera que la voie pénale n’exclut pas une action civile pour obtenir des dommages intérêts. @

* Christiane Féral-Schuhl,
ancien bâtonnier du Barreau de Paris.

La presse française n’a plus rien à redire sur Google

En fait. Le 26 mars, lors d’une conférence médias organisée par le Fonds
« Google » pour la presse (Finp) et l’association mondiale des journaux (Wan-Ifra), le bilan 2014 des aides du géant du Net à la presse française d’information politique et générale a été présenté : 16,1 millions euros pour 30 projets.

En clair. Force est de constater que, depuis l’accord Google- AIPG signé en présence de François Hollande à l’Elysée le 1er février 2013, la presse française a enterré la hache de guerre et ne formule plus aucun reproche à l’encontre du géant du Net. Et pour cause : Google est devenu, après l’Etat et ses 635 millions d’euros d’aides cette année, le deuxième plus grand pourvoyeur de fonds de la presse française. Alors que presque partout ailleurs en Europe, notamment en Allemagne et en Espagne, la fronde « anti-Google » bat son plein.

L’Espagne a adopté l’an dernier une loi sur la propriété intellectuelle – entrée en vigueur le 1er janvier dernier (1) – qui oblige les médias espagnols à faire payer les services
en ligne tels que Google News en guide de « compensation ». C’est l’association des journaux espagnols AEDE (2) qui est à l’initiative de cette « taxe Google », provoquant la décision du géant du Net de fermer en décembre dernier le Google News espagnol. En Allemagne, la coalition VG Media de 200 groupes de médias exige du géant du Net à être rémunéré pour les extraits d’articles de presse utilisés. Malgré la désaffection de l’un de ses membres, Axel Springer qui a renoncé à ne pas être présent sur Google News en raison de la chute de son trafic Internet, la revendication tient toujours. En France, silence radio : depuis le lancement du fonds « Google », plus de la moitié des 60 millions d’euros prévus sur trois ans (2013-2015, prorogeables deux ans maximum), soit 31,8 millions d’euros, ont été alloués à 53 projets de presse numériques. Il ne reste plus que 28,2 millions d’euros à distribuer à des journaux dits d’information politique et général – membres de l’Association de la presse d’information politique et générale (AIPG), partenaire du géant du Net (3).

Les Echos (groupe LVMH/Bernard Arnault) et Le Figaro (groupe Dassault/Serge Dassault) sont les deux plus grands bénéficiaires du fonds Google en 2014, suivis
par Le Point (Artémis/François Pinault). En 2013, les plus grands bénéficiaires étaient Le Nouvel Observateur (Le Monde Libre/Xavier Niel, Mathieu Pigasse, Pierre Bergé), L’Express (racheté depuis par Altice/Patrick Drahi) et Le Monde (Le Monde Libre/trio
« BNP »). Ce dernier, qui a reçu plus de 1,8 millions d’euros de Google, va lancer en avril une édition numérique du matin. L’avenir dira par ailleurs si le fonds Finp sera européen ou pas. @

Bruno Boutleux, Adami : « Il est temps de légiférer en faveur des artistes et musiciens interprètes »

L’Adami, société de gestion collective des droits des artistes et musiciens interprètes, fête ses 60 ans cette année et vient d’organiser les 15e Rencontres européennes des artistes. A cette occasion, son DG Bruno Boutleux explique à EM@ l’impact du numérique sur la rémunération et les mesures à prendre.

Propos recueillis par Charles de Laubier

Edition Multimédi@ : Vous dénoncez le partage
« inéquitable » de la valeur dans la musique en ligne, notamment pour le streaming. Que gagne un musicien lorsque sa musique passe sur Spotify, Deezer ou Qobuz ? Perçoit-il plus en téléchargement avec iTunes ? Bruno Boutleux : Un transfert de valeur de l’amont vers l’aval
au profit des géants du numérique s’est opéré depuis plusieurs années, remettant en question le partage de la valeur entre les différents acteurs. Pour un titre téléchargé sur iTunes, l’artiste ne touche que 0,04 euros sur 1,29 euros. Pour le streaming, la répartition est d’environ 90 % pour le producteur et 10 % pour l’artiste. Alors qu’elle est de 50-50 sur les diffusions radio. Au final, pour un abonnement streaming payé près de 9,99 euros par l’utilisateur, les artistes ne perçoivent que 0,46 euro à partager entre tous ceux écoutés sur un mois.

EM@ : Depuis le rapport « Phéline » de décembre 2013 sur la musique en ligne
et le partage de la valeur, espérez-vous toujours une juste rémunération des artistes-interprètes déjà évoquée par les rapports Zelnik, Hoog, et Lescure ? Etes-vous satisfait du projet de loi « Liberté de création » (1) à ce sujet ?
B. B. :
Le Premier ministre a annoncé que le projet de loi « Liberté de création » sera débattu au début de l’automne. Nous y croyons fermement. Le rapport Phéline, dit
d’« objectivation », a validé l’analyse et les propositions de l’Adami. Le partage inéquitable de la valeur est désormais irréfutable. Par conséquent, ce rapport donne une obligation. Après cinq rapports successifs, il est temps de légiférer. De plus,
ce sujet est devenu mondial : les artistes se mobilisent à travers tous les pays (2).
Le projet de loi « Liberté de création » n’est pas satisfaisant, nous l’avons dit, néanmoins nous avons face à nous un ministère [de la Culture et de la Communication, ndrl] à l’écoute et ouvert aux différentes propositions.

EM@ : Depuis 2009, une « contribution compensatoire » prélevée sur les fournisseurs d’accès à Internet (FAI) est proposée par la Sacem et l’Adami. L’Adami était candidat pour en être le gestionnaire. Qu’en est-il aujourd’hui ?
B. B. :
C’est une proposition qui date du rapport Zelnik (3) que nous n’avons pas renouvelée depuis car elle n’a été retenue nulle part. Pour autant, le transfert de la valeur de la création vers les géants du Net reste un problème non résolu. Nous planchons dessus avec d’autres pour trouver des solutions, et c’est certainement vers les moteurs de recherche, les liens hypertextes ou le statut d’hébergeur qu’il faudra se tourner.

EM@ : Le 9 mars, l’Adami a cosigné avec une vingtaine d’organisations (Snep/SCPP, Sacem/SDRM, SPPF/UPFI, …) une mise en garde contre le pré-rapport de l’eurodéputée Julia Reda sur la réforme du droit d’auteur à l’ère
du numérique (http://lc.cx/DAPI) : quels points contestez-vous ?
B. B. :
Contrairement à ce que suggère le projet de rapport, le droit d’auteur et les droits voisins ne sont pas un obstacle à la création, mais un réel encouragement à l’innovation et à la croissance.
Les œuvres créent de la valeur dès lors qu’elles sont produites et échangées ; elles sont le noyau d’un système économique qui pèse en Europe 536 milliards d’euros et 7,1 millions d’emplois.
Selon quelle logique rationnelle devrait-on démonter ce qui marche aujourd’hui ?
La ligne de défiance adoptée par Mme Reda sert uniquement les intérêts des acteurs digitaux extra-européens. Les artistes ne peuvent pas admettre que la valeur de leur travail ne profite qu’à certaines catégories d’intermédiaires, lesquels refusent toute rémunération en contrepartie. Ce rapport est hors-sujet puisqu’il ne traite pas de la problématique centrale du bouleversement numérique : le transfert de valeur de la création vers les grands groupes du Net et l’absence d’une juste et équitable rémunération pour les artistes. @

FOCUS

Le Prix Deezer Adami a cinq ans
Depuis 2010, l’Adami et la plateforme de musique en ligne Deezer soutiennent et accompagnent de jeunes artistes talentueux de la scène française, tous styles confondus, comme ce fut le cas pour les groupes « Fakear », « Deluxe » ou encore
« Music Is Not Fun ». Le Prix Deezer Adami se veut un tremplin pour une nouvelle génération d’artistes. Cette année, les trois lauréats de la 6e édition seront dévoilés
le 15 avril prochain. Dix groupes ont été sélectionnés parmi les 1.500 candidatures.
En plus du Prix des pros et du Prix des VIP, un Prix du public sera décerné par les internautes qui ont pu voter en ligne sur le site prixdeezeradami.com. Les trois gagnants gagneront chacun : 10.000 euros d’aide de l’Adami ; une session enregistrée dans les locaux de Deezer ; un concert au Casino de Paris le 1er juin prochain. @

ZOOM

L’Adami trouve l’Europe trop « bienveillante à l’égard des géants du Net »
l’occasion du Conseil des ministres franco-allemand qui s’est tenu à Berlin le 31 mars dernier, Fleur Pellerin, ministre de la Culture et de la Communication, a signé avec Heiko Maas, ministre de la Justice et de la Protection des consommateurs de la République d’Allemagne, en charge des questions de propriété intellectuelle, une déclaration conjointe pour la défense droit d’auteur.
Et ce, au moment où la Commission européenne veut « casser les silos nationaux
dans le droit d’auteur », dont le blocage géographique liés à la territorialité des droits (lire p. 8 et 9), pour tenir compte de l’ère numérique. Dans le même temps, le projet de rapport de l’eurodéputée Julia Reda est contesté par les industries culturelles. « Alors que l’approche de la Commission européenne se faisait jusqu’à présent sous l’unique prisme des grands groupes extra-européens du numérique, cette déclaration vient rappeler des principes essentiels », s’est félicitée l’Adami, présidée par l’harmoniciste Jean-Jacques Milteau, qui trouve l’Europe trop « bienveillante à l’égard des géants du Net ». Il retient également « l’hommage rendu à la copie privée : ‘’modèle intelligent’’». La déclaration commune n’occulte pas la nécessaire adaptation du droit d’auteur au numérique : « Personne ne le conteste », assure l’Adami. @