Archives par mot-clé : Europe

Readium LCP : la solution de gestion de droits digitaux de l’EDRLab veut libérer le livre numérique

Publié le par

Le déverrouillage des ebooks est en marche, grâce au DRM (Digital Rights Management) conçu par l’EDRLab (European Digital Reading Lab). Cet outil appelé Readium LCP (Licensed Content Protection) se veut une alternative aux verrous propriétaires d’Amazon, d’Apple, d’Adobe ou de Kobo.

La plupart des maisons d’édition, des libraires, des bibliothèques et des plateformes de distribution de ebooks l’ont adoptée : la solution de gestion de droits numériques développée et promue par l’association européenne EDRLab, basée à Paris, est en train de se généraliser au monde du livre après un an de test. Baptisé Readium LCP, cet outil DRM se veut une alternative ouverte aux verrous propriétaires des Amazon, Apple, Adobe et autres Kobo (Rakuten). La France a été le premier pays à l’adopter, suivie de l’Allemagne, de la Grande-Bretagne et d’autres pays européens, voire partout dans le monde (1).

Copie privée, circulation et inclusion
Les acteurs français du prêt numérique en bibliothèque l’utilisent déjà tels que Numilog, Eden Livres, Immatériel, Vivlio, La Médi@thèque et BiblioAccess, ainsi que les plateformes de ventes de livres numériques comme ePagine. A l’instar du groupe Editis (Vivendi) ou d’Hachette Livre (Lagardère), des éditeurs y ont de plus en plus recours. Objectif : libérer le marché du livre numérique, en permettant enfin aux lecteurs de partager les fichiers de leurs ebooks dans le respect du droit d’auteur. Ainsi, les utilisateurs peuvent user de leur droit à la copie privée (exception au droit d’auteur) puisque le partage est limité à une trentaine de personnes ou de terminaux au sein de leur cercle familial voire amical. « Readium LCP est une solution de gestion des droits basée sur les mots de passe, avec laquelle les titulaires de droits peuvent protéger efficacement et à faible coût leur contenu ePub, PDF et livres audio contre le partage excessif. Il s’agit d’une solution simple mais fiable pour la distribution de contenu protégé, basée sur des algorithmes de cryptage solides et des techniques classiques de PKI [gestionnaire de clés publiques, ou Public Key Infrastructure, ndlr]. La solution est en même temps minimalement intrusive pour les utilisateurs finaux, qui n’ont pas besoin de créer un compte tiers et peuvent même partager leurs ebooks avec leur famille ou des amis proches », explique l’EDRLab cofondé durant l’été 2015 par Hachette Livre, Editis, Madrigall/ Gallimard-Flammarion et Media Participations, avec le Syndicat national de l’édition (SNE), le Cercle de la Librairie (CL) et le Centre national du livre (CNL), ainsi que le ministère de la Culture (2). L’EDRLab contribue en outre aux évolutions du format ePub 3 pour les ebooks, en attendant de l’IDPF (3) un éventuel ePub 4 multimédia (texte, audio, vidéo, …). En « libéralisant » le marché du livre numérique, les professionnels de la filière font d’une pierre deux coups : la norme internationale Readium LCP les met d’ores et déjà en conformité avec la directive européenne sur l’accessibilité de l’édition numérique, ou « Accessibility Act » (4), qui entrera en vigueur à partir du 28 juin 2025. Celle-ci inclut les personnes handicapées dans l’accès aux produits et services – dont les ebooks et les liseuses. Readium LCP est aussi conçu en mode privacy-by-design pour la protection de la vie privée et des données personnelles.
L’industrie du livre européenne fait ainsi le pari de la circulation facilitée des œuvres de l’écrit, comme l’a fait en son temps l’industrie de la musique. Fini les obstacles techniques au partage de ebooks. Fini l’impossibilité d’accéder à un fichier numérique de livre après la fermeture d’une librairie en ligne. Il s’agit de déverrouiller, enfin (5). « Avec Readium LCP, l’utilisateur peut constituer sans contraintes sa bibliothèque numérique. Car ce DRM dispense désormais le lecteur de la création d’un compte auprès d’un service tiers et de son identification préalable à la lecture de son livre numérique. Reposant sur un système de phrase secrète (pass-phrase), cette solution lui permet d’accéder facilement à ses livres numériques sur différents supports de lecture », explique la plateforme ePagine, librairie numérique lancée en 2008 par la société Tite-Live sous le nom d’Aligastore. Cette plateforme de marché de librairies opère aussi pour Place des Libraires, Bookeen, Gibert ou encore Gallimard.

ePagine et Numilog aux avant-postes
Cofondateur d’ePagine, François Boujard (photo de gauche) vient d’annoncer cet été que « la totalité du catalogue de l’édition française est désormais compatible avec Readium LCP, ePagine appliquant la protection d’EDRLab sur l’ensemble des fichiers hébergés ». Autre diffuseur numérique et libraire en ligne, Numilog a indiqué début juillet avoir adopté lui aussi le DRM sur ses plateformes Numilog.com et Girlybook.com – après l’avoir rendu disponible dès 2021 sur Biblioaccess.com (prêt numérique pour bibliothèques). « Cela pourrait avoir à terme un impact positif important sur le marché des livres numériques », espère Denis Zwirn (photo de droite), président fondateur de Numilog. @

Charles de Laubier

Jean-Noël Barrot, ministre tous azimuts du digital

Publié le par

En fait. Le 4 septembre, cela fait deux mois que Jean-Noël Barrot – fils de feu Jacques Barrot, ancien ministre et commissaire européen – est ministre délégué du gouvernement Borne, chargé de la Transition numérique et des Télécommunications. Son été fut studieux, entre sobriété et déploiement du numérique.

En clair. 4 juillet-4 septembre 2022 : les deux mois estivaux que vient de passer le nouveau ministre délégué chargé de la Transition numérique et des Télécommunications, Jean-Noël Barrot (39 ans), reflète la multitude de ses attributions qu’un décret daté du 29 juillet dernier est venu préciser. Etant entendu qu’il n’aura pas à s’occuper ni à connaître des dossiers concernant le groupe Uber, comme l’avait spécifié un décret précédent daté du 21 juillet. Et ce, afin d’écarter tout conflits d’intérêt (1) puisque sa soeur cadette – Hélène Barrot – y travaille depuis près de dix ans, actuellement comme directrice de la communication pour l’Europe de l’Ouest et du Sud (2).
Selon le décret de ses attributions, « JNB » traite de « toutes les affaires en matière de numérique et de télécommunication ». Ainsi, par délégation du ministre de l’économie, des finances et de la souveraineté industrielle et numérique, il s’occupe du numérique tous azimuts : de la « souveraineté numérique » à la « transformation numérique des entreprises », en passant par les « communications électroniques », les « objectifs de transition écologique et de souveraineté technologique » ou encore au « cadre juridique relatif au numérique ». En outre, « il veille aux droits et libertés fondamentaux dans le monde numérique, à l’éthique des technologies, à l’inclusion, l’accessibilité et la médiation numériques ». Les « communs numériques » et la « gouvernance de l’Internet » entrent aussi dans ses nombreux champs de compétences, dont font partie aussi « l’éducation et la formation au numérique » ainsi que les « mutations numériques du travail », le « déploiement des infrastructures numérique » et l’« inclusion numérique » (3).
Bref, Jean-Noël Barrot est un véritable couteau suisse du digital pour le gouvernement Borne. Sur le terrain, il s’est rendu le 26 août au chevet de l’hôpital CHSF de Corbeil-Essonnes victime d’une cyberattaque. Trois jours plus tôt, il était dans le Cantal pour parler « ruralité et numérique » (4). Fin juillet, il participait au lancement du « groupe de travail “numérique et télécommunication” » dans le cadre du plan « sobriété énergétique ». Cela débouchera fin septembre sur un « plan d’actions de mesures simples et opérationnelles ». Economiste de formation, JNB n’avait pas d’expériences dans le numérique ; il devra savoir vite où donner de la tête. @

Itinérance 2G/3G Free-Orange : l’Arcep va consulter

Publié le par

En fait. Le 30 août, Iliad a publié ses résultats semestriels en hausse : 4 milliards d’euros de chiffre d’affaires, et 639 millions d’euros de résultat net. Pour son réseau mobile – lancé il y a dix ans – Free bénéficie toujours d’un accord d’itinérance 2G/3G avec Orange. Doit-il être encore prolongé ?

En clair. « L’Arcep a reçu le 27 juillet 2022 un nouvel avenant au contrat d’itinérance conclu entre Free Mobile et Orange. Elle doit désormais l’analyser. Un appel à commentaires du secteur sera lancé dans les prochains jours », indique à Edition Multimédi@ une porte-parole du régulateur des télécoms. Le 3 mars 2011, France Télécom et Free Mobile signaient un accord d’itinérance nationale sur les réseaux 2G et 3G de l’opérateur historique pour y faire transiter le trafic Internet, voix et SMS/MMS du nouvel entrant.
Plus de dix ans après, cet accord – que Bouygues Telecom et SFR n’ont eu de cesse de contester, en vain – est toujours en vigueur. Le deal ne devait pas aller au-delà de 2018, ce que l’Autorité de la concurrence avait considéré en mars 2013 comme « une échéance raisonnable » (1). Autant au lancement en 2012 de Free Mobile, dépourvu à l’époque d’antenne réseau sur le territoire, cette itinérance était justifiée, autant aujourd’hui elle apparaît aux yeux de Bouygues Telecom et de SFR comme un avantage concurrentiel. Or, déjà renouvelé une première fois, cet accord d’itinérance élaboré par Nicolas Guérin – alors directeur juridique d’Orange – a été une seconde fois prorogé par un avenant de février 2020, soit jusqu’à fin 2022. Bien que désormais « déraisonnable », ce report avait quand même obtenu le feu vert de l’Arcep qui avait plafonné les débits de crête montants et descendants à 384 Kbits/s pour les clients en itinérance (au lieu de 1 Mbit/s en 2017). « L’Arcep n’a pas à ce jour jugé nécessaire de modifier les contrats de mutualisation et d’itinérance des opérateurs, y compris suite à cette prolongation », rappelle encore aujourd’hui Free. SFR et Bouygues Telecom avait aussitôt saisi le Conseil d’Etat pour demander l’annulation de cette décision, mais ils ont été déboutés le 15 décembre 2021. Au risque d’ulcérer à nouveau Bouygues Telecom et SFR, l’opérateur de Xavier Niel a obtenu d’Orange la prolongation de ce roaming national jusqu’en 2025. « En phase d’extinction progressive, la charge financière du contrat d’itinérance n’est désormais plus déterminante dans l’économie générale du groupe », temporise Iliad.
En Europe, Iliad voit aussi ses accords d’itinérance mobile 2G/3G/4G arriver bientôt à échéance eux aussi (2) : avec Orange Polska en Pologne en faveur de sa filiale Play (3) jusqu’en 2025, et avec Wind Te en Italie jusqu’en 2026. @

Le marché unique du numérique et de ses données fait face à un foisonnement de textes législatifs

Publié le par

Les acteurs du numérique et de la data en Europe ne sont pas au bout de leur peine. Le marché est peut-être unique, mais la législation – en vigueur et à venir – est multiple. La mise en œuvre pratique des textes, souvent imbriqués, est complexe et peu intelligible. Petit aperçu de ce labyrinthe.

Si l’Union européenne (UE) a déjà pris plusieurs mesures depuis 2014 afin de faciliter le développement d’une économie des données (1), elle entend, dans le cadre de sa stratégie pour les données et des objectifs fixés pour la « décennie numérique » (2), compléter les textes existants afin de créer de nouveaux droits et obligations destinés à favoriser l’accès et le partage des données, le développement des technologies et la souveraineté numérique. D’où le foisonnement de textes législatifs qui vont bouleverser considérablement l’écosystème de l’économie numérique et des données.

Chantier de la « décennie numérique »
Les principaux acteurs concernés (notamment les fabricants d’objets connectés, les fournisseurs de services d’intermédiation de données et les prestataires de cloud) devront tenir compte de ces nouvelles obligations et anticiper leur entrée en application dans la conception de leurs solutions et de leurs produits, ainsi qu’au sein de leur documentation contractuelle. Pas si simple. Tour d’horizon de ces nouveaux textes :
• Data Governance Act (DGA). Ce règlement sur la gouvernance des données (3) a été adopté le 30 mai 2022 et entrera en application à partir du 24 septembre 2023, avec pour objectif de favoriser la disponibilité des données, de renforcer les mécanismes de partage et d’augmenter la confiance dans les intermédiaires de données. Ainsi, le DGA adresse trois grandes thématiques : conditions d’accès et de réutilisation des « données protégées » détenues par des organismes publics ; régulation des fournisseurs de services d’intermédiation de données ; régulation de l’utilisation altruiste des données. Sur le premier point, le DGA vient compléter la directive « Open Data » de 2019, mais ne crée pas d’obligation de mise à disposition pour les organismes publics (4). Il vient encadrer les réutilisations qui peuvent être faites de ces données protégées en veillant (5) à les préserver (6). Concernant les deux autres points, le DGA crée deux régimes spécifiques et dédiés pour les services d’intermédiation de données (7) et les organisations altruistes en matière de données (8). Les services d’intermédiation de données (data marketplaces ou data pool par exemple) seront soumis à une notification auprès d’une autorité compétente préalablement à tout début d’activité et auront notamment l’obligation de fournir les services selon des conditions équitables, transparentes et non-discriminatoires, de prendre des mesures pour assurer l’interopérabilité avec d’autres services d’intermédiation de données, de mettre en place des mesures de sécurité appropriées pour empêcher l’accès et le transfert illicite de données non-personnelles. Ils devront également notifier aux détenteurs de données en cas d’accès, de transfert ou d’utilisation non-autorisés aux données non-personnelles partagées. De leur côté, les organisations altruistes se verront notamment imposer la tenue d’un registre des utilisations des données, la publication d’un rapport annuel d’activité, des obligations de transparence vis-à-vis des personnes concernées ou des détenteurs de données (objectifs d’intérêt général, finalités des traitements) et de sécurisation des données non-personnelles.
Le DGA crée enfin un régime restrictif de transfert des données non-personnelles hors-UE similaire au régime prévu par le RGPD.
• Data Act (DA). Ce projet de règlement sur les données (9) a été soumis par la Commission européenne le 23 février 2022. Un objectif d’adoption ambitieux a été fixé à mi-2023, pour une entrée en application douze mois après son adoption. Il s’agit de faciliter l’accès aux données et leur utilisation, de favoriser leur portabilité, d’améliorer l’interopérabilité des solutions et infrastructures et enfin de favoriser la création de valeur autour de la donnée. Sont notamment impactés : les fabricants et distributeurs d’objets connectés et les fournisseurs de services connexes basés sur l’utilisation de données générées par ces objets, tout détenteur et destinataire de données, les prestataires et utilisateurs de services cloud (IaaS, PaaS, SaaS) ou encore les opérateurs de data spaces.

Portabilité des données et services de cloud Le DA prévoit notamment des obligations pour les fabricants ou distributeurs d’objets connectés qui viennent compléter les obligations d’information et de portabilité prévues par le RGPD, comme l’obligation d’informer leurs utilisateurs sur les données générées par l’usage des objets et les conditions d’accès et de partage de telles données, ainsi qu’une obligation de mise à disposition gratuite et prompte (le cas échéant en temps réel et continu) des données générées par des objets connectés à leurs utilisateurs ou à un tiers à la demande de l’utilisateur, et ce dans des conditions équitables, raisonnables, transparentes, non-discriminatoires et non-exclusives. Ces obligations sont complétées par des interdictions (par exemple des clauses restreignant les droits des utilisateurs d’objets ou des clauses abusives imposées aux petites et moyennes entreprises). Objets connectés, dossiers médicaux, … Le Data Act impose par ailleurs une série d’obligations aux prestataires de services cloud en matière de migration de données et d’interopérabilité (par exemple supprimer les obstacles commerciaux, techniques et contractuels empêchant le client de porter ses données, applications ou autres actifs numériques vers d‘autres prestataires ; assurer une période transitoire de migration de 30 jours avec assistance ; ou encore assurer la compatibilité de ses services avec les normes d’interopérabilité de la Commission européenne).
• European Health Data Space (EHDS). La proposition de règlement sur l’espace européen des données de santé (10) a été soumise par la Commission européenne le 3 mai 2022. L’UE entend adopter ce texte d’ici 2025, pour une entrée en application douze mois après sa publication. L’objectif est triple : établir les règles régissant l’espace européen des données de santé afin d’améliorer et garantir aux personnes physiques un accès sûr à leurs propres données de santé et un contrôle sur ces données dans le contexte des soins de santé (dite « utilisation primaire ») ; améliorer le fonctionnement du marché unique pour la mise au point et l’utilisation de produits et services de santé innovants fondés sur des données de santé, et veiller à ce que les chercheurs et les entreprises innovantes puissent tirer le meilleur parti des données de santé disponibles pour leurs travaux (dite « utilisation secondaire ») ; établir un cadre juridique uniforme pour le développement, la commercialisation et l’utilisation des systèmes de dossiers médicaux électroniques (DME). Dans le cadre de l’utilisation primaire des données, les citoyens de l’UE auront à leur disposition des droits et mécanismes supplémentaires complétant leurs droits existants au titre du RGPD sur leurs données de santé électroniques.
Concernant l’utilisation secondaire, le projet de règlement EHDS vient encadrer avec précision les pratiques des chercheurs et acteurs de l’industrie de santé (par exemple : limitation des catégories de données pouvant être utilisées, encadrement des finalités autorisées) et leur imposer des obligations (sécurité des solutions utilisées, transparence sur le calcul des redevances générées par l’utilisation secondaire).
• Artificial Intelligence Act (AIA). Cette proposition de règlement sur l’intelligence artificielle (11) a été soumise le 21 avril 2021 par la Commission européenne. L’adoption de ce texte est pressentie à horizon 2024, pour une entrée en application entre 18 et 24 mois après son adoption. Le texte vise à créer les conditions propices au développement et à l’utilisation d’une IA de pointe, éthique, sûre et digne de confiance dans l’UE. Pour se faire, l’approche est technologiquement neutre et le texte met en place des règles impératives, applicables de façon proportionnée en fonction des risques que présentent les systèmes d’IA concernés. Ainsi, les IA présentant un risque inacceptable pour les personnes sont interdites ; celles présentant un haut risque se voient imposer un certain nombre d’obligations; celles présentant un risque faible sont soumises à des obligations de transparence et d’information vis-à-vis des utilisateurs ; et enfin celles présentant un risque résiduel ne sont pas soumises au projet de règlement AIA, mais régulées par l’adoption volontaire de code de conduite et/ou de charte éthique (12).
• Digital Services Act (DSA) et Digital Markets Act (DMA). Un accord politique a été conclu sur le DMA (13) le 24 mars 2022 et sur le DSA (14) le 23 avril 2022, suivi d’un vote final au Parlement européen le 5 juillet dernier. Une fois adoptés respectivement en juillet et en septembre 2022, le DMA entrera en application six mois après l’entrée en vigueur, et le DSA quinze mois après l’entrée en vigueur ou à partir du 1er janvier 2024, la date la plus tardive étant retenue (15).
• Modifications de textes existants. Plusieurs autres textes sont également en cours de révision. La directive NIS (16) est modifiée par le projet de directive NIS2, dont le champ d’application a été considérablement élargi, puisqu’il vise désormais à réguler beaucoup plus d’organisations et entreprises et qu’il renforce les obligations à la charge des acteurs concernés en imposant notamment des obligations renforcées en termes de gestion des risques, de notification des incidents et de divulgation des vulnérabilités (17). La directive Machines (18) devient un projet de règlement Machines (19), visant principalement une numérisation de la documentation en la matière (instructions d’utilisation et déclaration) et la mise en place d’évaluations de conformité (pour certaines catégories de produits). De son côté, la directive ePrivacy (21), transformée en projet de règlement ePrivacy peine à voir le jour depuis la publication de sa première version en janvier 2017. De nombreux points restent encore et toujours en débat, notamment sur le régime applicable au dépôt de cookies et à la prospection commerciale.

Imbrication des textes parfois peu intelligible
Ces textes sont ambitieux et mêlent approche globale et sectorielle. Il en résulte une imbrication parfois peu intelligible des différents mécanismes et obligations pesant sur les acteurs qui multiplient souvent de nombreuses casquettes et entrent donc simultanément dans les champs d’application de plusieurs de ces textes. Bien qu’il soit louable de vouloir emboîter le pas au développement exponentiel de la valeur des données et du numérique, on peut s’interroger sur l’efficacité d’une telle multiplication de textes qui entraîne malheureusement la publication de textes peu aboutis, péniblement interopérables, voire difficilement transposables à la pratique des industries qu’ils visent. @

DSA et DMA : deux épées de Damoclès sur les Gafam

Publié le par

En fait. Le 5 juillet, le Parlement européen a procédé au vote final des deux textes législatifs européens sur respectivement les services numériques (DSA) adopté par 539 voix pour (54 contre/30 abstentions) et les marchés numériques (DMA) adopté par 588 voix pour (11 contre/31 abstentions). Ce que risquent les Gafam.

En clair. Maintenant que le Parlement européen, réuni à Strasbourg, a adopté par deux votes finaux le 5 juillet 2022 les deux piliers de la nouvelle régulation d’Internet et de l’économie numérique, il reste encore l’approbation officielle du Conseil de l’Union européenne (UE) qui interviendra courant juillet pour le DMA (Digital Markets Act) et en septembre pour le DSA (Digital Services Act). Pour autant, ces deux textes législatifs n’entreront pleinement en application que bien plus tard : le DSA quinze mois après son entrée en vigueur ou à partir du 1er janvier 2024, la date la plus tardive étant retenue (1) ; le DMA six mois après son entrée en vigueur (2). Ce point de départ de « l’entrée en vigueur » correspond au vingtième jour suivant celui de sa publication au Journal officiel de l’UE (JOUE).
« Toutefois », précisent les deux règlements, des articles sont applicables dès cette entrée en vigueur : pour le DSA les rapports de transparence incombant aux fournisseurs de plateformes en ligne, et des dispositions concernant les très grandes plateformes en ligne aux « risques systémiques » ; pour le DMA les obligations incombant aux contrôleurs d’accès (gatekeepers) et celles concernant l’interopérabilité des services de messageries sur Internet (3). Les moteurs de recherche, les réseaux sociaux, les plateformes de e-commerce et les places de marché sont les premiers concernés par ce nouvel arsenal. De par les sanctions qu’ils prévoient en cas d’infraction, ces textes européens – uniques au monde – constituent deux épées de Damoclès au-dessus des têtes des géants du numérique, américains (Gafam) ou asiatique (Alibaba, TikTok et autres Huawei). Si un gatekeeper enfreint le DMA, il encourt une amende pouvant atteindre 10 % de son chiffre d’affaires mondial annuel, voire 20 % en cas de récidive.
Si un « fournisseur de services intermédiaire » se retrouve en infraction avec les obligations du DSA, il peut se voir infliger une amende représentant jusqu’à 6 % de son chiffre d’affaires mondial annuel. Et il risque une sanction pécuniaire jusqu’à 1% de ses revenus ou de son chiffre d’affaires mondial en cas de « fourniture d’informations inexactes, incomplètes ou dénaturées », d’absence de réponse ou encore de « manque-ment à l’obligation de se soumettre à une inspection ». Boîtes noires, algorithmes, intelligence artificielle et autres ciblages publicitaires sont tenus à la transparence. @