Archives par mot-clé : Filtrage

Les grandes plateformes en Europe doivent filtrer les publicités en ligne contrefaisant des marques

Publié le par

C’est un pavé dans la marre des très grandes plateformes numériques (réseaux sociaux, ecommerce, etc.) qu’a lancé la cour d’appel de Paris avec son arrêt du 28 janvier 2026 à l’encontre du groupe Meta. Elle lui ordonne de filtrer en Europe toute publicité contrefaisant une marque.

La cour d’appel de Paris – dans son arrêt rendu le 28 janvier 2026 – « ordonn[e] à la société Meta Platforms Ireland Limited de mettre en œuvre, par tout moyen efficace, les mesures propres à prévenir la diffusion de publicités sur Facebook, Instagram et Messenger ciblant le public de l’Union européenne dont les contenus présentent les critères cumulatifs suivants : publicités […] assurant la promotion de jeux de hasard et d’argent en ligne et de jeux de casino sociaux en ligne […] : publicités reproduisant dans le texte ou l’image à l’identique les marques [du groupe casinotier Barrière, ndlr] ; publicités diffusées par des annonceurs dont les comptes n’ont pas fait l’objet d’une authentification selon la procédure mise en place par la société Meta […] ».

Filtrage jusqu’en février 2027
Par cette décision (1) à portée européenne, qui concerne potentiellement tous secteurs d’activité et toutes les marques, la cour d’appel de Paris – où Françoise Barutel (photo), conseillère en propriété intellectuelle, était présidente chargée d’instruire l’affaire – confirme ainsi l’ordonnance du 24 avril 2024 « en toutes ses dispositions », prononcée en première instance par le tribunal judiciaire de Paris. Ce filtrage des publicités en ligne contrefaisantes, Meta a l’obligation de le mettre en œuvre « à l’expiration d’un délai de 8 jours à compter de la transmission de la présente décision » – à savoir depuis le 6 février 2026 environ – et maintenu « pour une durée de douze mois », soit jusqu’en février 2027. Quand bien même la filiale européenne de Meta (basée à Dublin en Irlande) se pourvoirait en cassation, cet éventuel recours dans les deux mois après la décision ne serait pas suspensif de l’obligation d’exécuter les mesures de filtrage.
C’est le 20 novembre 2023 que la société Barrière a déposé une plainte pénale pour dénoncer l’utilisation sans son autorisation, sur Facebook et Instagram, de la marque « Barrière » pour promouvoir une activité de casino en ligne – alors que (suite) les casinos en ligne sont prohibés et sanctionnés pénalement en France. Meta affirme avoir été informé en décembre 2023, par l’Autorité nationale des jeux (ANJ), de l’existence de ces publicités et avoir proposé à la société Barrière un outil de protection des droits de la marque pour lui permettre de supprimer les contenus contrefaisants publiés. La société Barrière a fait constater par un commissaire de justice – les 5 et 7 janvier 2024 – la diffusion sur Facebook, Instagram et Messenger d’au moins 2.400 publicités, publiées par plusieurs centaines de profils d’annonceurs différents (2). Car le problème, au-delà du caractère illégal de ces publicités puisque les jeux de casino en ligne ne sont pas autorisés en France, était que ces publicités numériques reproduisaient les marques « Barrière » sans son accord pour faire la promotion d’une application de jeux de casino en ligne, certaines annonces reproduisant même la devanture de ses casinos physiques. « La société Barrière [a] procédé à la signalisation de plus d’une centaine de comptes sur la plateforme de Meta. Elle a mis en demeure la société Meta le 8 janvier 2024 de retirer les publicités estimées illicites diffusées sur Instagram et Facebook, soulignant que les applications de casino en ligne sont prohibées en France, et lui enjoignant de lui communiquer les informations nécessaires à l’identification des éditeurs des annonces et pages litigieuses, et de refuser à l’avenir les publicités sur Facebook, Instagram, Messenger et Audience Network relatives aux jeux de casino ou jeux d’argent ou de hasard, reproduisant les marques Barrière ou les imitant, lorsque l’annonceur n’a pas de compte certifié », énonce l’arrêt de la cour d’appel de Paris. S’instaure alors un dialogue de sourds entre Barrière et Meta :
Le casinotier obtient une ordonnance datée du 11 janvier 2024, rendue sur sa requête présentée le même jour, qui ordonne à Meta de « mettre en œuvre tout moyen de nature à prévenir les publicités illicites sur ses plateformes en filtrant les contenus répondant aux critères définis dans l’ordonnance et de conserver les données concernant les publicités litigieuses et les informations sur leurs annonceurs ».

Première ordonnance contestée par Meta
Deux sociétés sont visées : Hosting Ukraine, un hébergeur web impliqué dans des litiges de contrefaçon, de cybersquatting ou de publicités illicites, et l’américain Namecheap, registrar (bureau d’enregistrement de noms de domaine garantissant la protection WhoisGuard masquant l’identité du titulaire du domaine) et hébergeur web.
La big tech adresse à Barrière un e-mail daté du 25 janvier 2024 pour lui signifier qu’elle ne peut accéder à sa demande « de prévenir la diffusion d’autres publicités dès lors qu’en sa qualité d’hébergeur, elle n’a pas d’obligation de surveillance générale », tout en précisant que « les informations sur les annonceurs pourront être communiquées sur décision de justice ». Puis, le 20 février 2024, Meta fait assigner la société Barrière en référé-rétractation pour contester cette première ordonnance.

E-surveillance générale interdite, sauf…
Le tribunal judiciaire de Paris ne l’entend pas de cette oreille, et, par son ordonnance de référé rétractation du 24 avril 2024, renvoie Meta Platforms Ireland Limited – dirigé par Anne O’Leary (photo ci-contre) – dans ses cordes en rejetant sa demande de caducité et de rétractation de l’ordonnance sur requête du 11 janvier 2024. Le juge la conserve mais en la modifiant légèrement en faveur de Meta. En effet, Meta devait filtrer toute publicité répondant à l’un des critères alternatifs (publicité en lien avec des jeux d’argent/casino en ligne, publicité reproduisant les marques Barrière, publicité émise par un annonceur non authentifié). Ce qui exposait Meta à un risque massif de sur-blocage. Depuis la modification du 24 avril 2024, Meta ne doit plus filtrer que les publicités remplissant simultanément les trois critères cumulatifs. Il faut alors les 3 conditions réunies pour que Meta soit obligée d’agir. C’est un changement majeur dans la mesure où cela réduisait considérablement l’obligation de Meta sur un périmètre de filtrage moins étendu. Cela supprimait le risque de surblocage et de censure excessive, tout en évitant à la maison mère de Facebook, d’Instagram et de Messenger d’être accusée de surveillance généralisée. Surtout, cela rend l’injonction compatible avec le droit européen, que cela soit : avec la directive « E-commerce » de 2000 – transposée en France par la loi « Confiance dans l’économie numérique (LCEN) – prévoyant que la responsabilité des hébergeurs de contenus en ligne n’est pas engagée dès lors que des contenus manifestement illicites leur ont été notifiés et qu’ils ont pas agi promptement pour les retirer ou rendre leur accès impossible (3) ; avec le règlement « DSA » de 2022 renforçant la régulation des grandes plateformes numériques désormais tenues d’instaurer des systèmes de modération et des mécanismes de notification des contenus illicites (4). Le groupe Barrière a fait valoir devant le juge :
que la société Meta n’a jamais contesté sa qualité d’intermédiaire de la contrefaçon mais persiste à entretenir en appel, la confusion entre la notion d’intermédiaire de la contrefaçon au sens de la directive « Propriété intellectuelle » (ou « Enforcement ») du 29 avril 2004 – dite aussi IPRED (5) – et celle de fournisseur de services intermédiaires au sens de la directive « E-commerce » du 8 juin 2000, et du Digital Services Act (DSA) du 19 octobre 2022 ;
qu’à aucun moment la Cour de justice de l’Union européenne (CJUE) ne considère que les deux qualifications (prestataire intermédiaire ayant un rôle actif/intermédiaire de la contrefaçon) seraient incompatibles entre elles, et pour cause puisque la directive « E-commerce » et la directive « Propriété intellectuelle » doivent être appliquées de manière combinée. Meta doit donc être qualifié d’intermédiaire au sens du code de la propriété intellectuelle (6).
La cour d’appel de Paris, elle, rappelle la jurisprudence issue de l’arrêt « Tommy Hilfiger » (7) de la CJUE rendu le 7 juillet 2016 disant que : la directive « Propriété intellectuelle » (IPRED) (8) et la directive européenne « Droit d’auteur et des droits voisins dans la société de l’information » (DADVSI) du 22 mai 2001 (9), auquel elle se réfère, obligent les Etats membres à « garantir que l’intermédiaire dont les services sont utilisés par un tiers pour porter atteinte à un droit de propriété intellectuelle puisse, indépendamment de sa propre responsabilité éventuelle dans les faits litigieux, être contraint de prendre des mesures visant à faire cesser ces atteintes ainsi que des mesures visant à prévenir de nouvelles atteintes » (10).
Meta invoquait la prohibition d’une obligation générale de surveillance prévue par la directive « E-commerce » et par le DSA. Mais parmi les exceptions, il y a justement « les activités de jeux d’argent impliquant des mises ayant une valeur monétaire dans des jeux de hasard, y compris les loteries et les transactions portant sur des paris » (11). Or Meta soutenait que seules sont exclues les activités de jeux d’argent et non pas les publicités de jeux d’argent et de hasard. Distinction que la cour d’appel de Paris n’a pas suivie. Dans l’arrêt du 28 janvier 2026, le juge estime que « la mesure de filtrage ordonnée [à] Meta » n’est « ni disproportionnée ni inéquitable », puisqu’elle est « limitée dans son objet » (publicités de jeux d’argent et de hasard en ligne contenant les marques « Barrière ») et « dans sa durée » (douze mois), « et dans sa portée territoriale » (limitée à l’Union européenne).

Filtrage proportionné, équitable et limité
« Il résulte des développements qui précèdent et de l’ensemble des dispositions ainsi pertinemment rappelées par le premier juge, que ce dernier doit être approuvé […] Par ces motifs, confirme l’ordonnance du 24 avril 2024 en toutes ses dispositions », conclut la cour d’appel de Paris. De son côté, Tim Miller, le président de la Gambling Commission – l’« ANJ » britannique – a reproché à Meta – lors du Salon international des casinos (ICE (12)) à Barcelone en janvier dernier – de ne pas utiliser sa propre fonction de mots-clés (13) pour empêcher la publicité des jeux illégaux, et autres publicités illicites. Environ 10 % du chiffre d’affaires de Meta en 2024, soit 16 milliards de dollars selon Reuters (14), ont été générés par des publicités interdites ou frauduleuses. @

Charles de Laubier

Entraînement des IA avec les données personnelles de Facebook et d’Instagram : validation européenne ?

Publié le par

Une décision rendue le 23 mai 2025 par un tribunal de Cologne (OLG Köln), couplée aux échanges préalables avec la « Cnil » irlandaise (DPC) et à la mise en place des mesures proposées par cette dernière, entérine la possibilité pour Meta de lancer son projet d’entraînement des modèles d’IA.

Par Sandra Tubert, avocate associée, et Miguel Piveteau, élève avocat, Algo Avocats

Le groupe Meta Platforms utilise depuis le 27 mai 2025 les données partagées publiquement par les utilisateurs majeurs et les comptes institutionnels sur ses services Facebook et Instagram (1) : publications, photos, vidéos ou encore commentaires (exceptés les messages échangés entre utilisateurs et contenus privés), mais aussi les interactions des utilisateurs avec ses systèmes d’intelligence artificielle (IA) pour entraîner ses grands modèles de langage (LLM) comme Llama.

Décision d’un tribunal de Cologne
A la différence de X (ex-Twitter) (2), Meta a engagé un dialogue constructif avec l’autorité irlandaise de protection des données (DPC). En effet, avant que le grand public ne découvre ce nouveau projet fin mai 2024, Meta avait informé la DPC, au mois de mars 2024, de son souhait d’utiliser les contenus publics de ses utilisateurs européens de Facebook et d’Instagram pour l’entraînement de ses modèles d’IA (3). Meta avait finalement suspendu le projet, le 14 juin 2024 (4), après le dépôt de plusieurs plaintes par l’organisation autrichienne Nyob auprès de onze autorités de contrôle européennes (5) et d’échanges avec la DPC (6), laquelle avait émis des réserves concernant notamment (suite) la base légale et la transparence d’un tel traitement. Le 4 septembre 2024, la DPC avait alors demandé au Comité européen sur la protection des données (EDPB) de rendre un avis sur l’utilisation de données personnelles pour le développement et le déploiement de modèles d’IA (7). Tenant compte de cet avis du 17 décembre (8), Meta a réévalué certaines modalités de son projet (notamment le renforcement des mesures de filtrage pour réduire le risque que des données personnelles soient mémorisées par les modèles d’IA lors de la phase d’entraînement) et a fourni à la DPC une documentation actualisée dans l’optique de débuter l’entraînement de ses modèles d’IA le 27 mai 2025.
Après avoir examiné les propositions de Meta et recueilli les commentaires des autres autorités de contrôle européennes, la DPC a formulé un certain nombre de recommandations qui ont été appliquées par Meta, parmi lesquelles la simplification des formulaires d’opposition au traitement et leur accessibilité pendant plus d’un an, la fourniture d’une information claire sur les moyens permettant aux utilisateurs de contrôler les données utilisées (paramétrage des contenus en mode privé), et un délai plus long entre ces informations et le lancement du projet pour leur permettre réellement de s’y opposer (9). L’annonce de ce projet a suscité une levée de boucliers par plusieurs associations, telles que UFC-Que Choisir (10) en France ou Noyb en Autriche. Cette dernière a notamment adressé à l’entreprise une mise en demeure (11), se réservant la possibilité d’intenter une action de groupe au civil. En parallèle, une association de consommateurs allemande (VZNRW) a saisi en référé le tribunal régional supérieur de Cologne – Oberlandesgericht Köln (OLG Köln) – afin qu’il soit interdit à Meta de traiter les données personnelles partagées publiquement par les utilisateurs sur les services Facebook et Instagram afin de développer et améliorer ses IA. Dans une décision (12) rendue le 23 mai 2025, le tribunal rejette la demande de l’association (après un examen qu’il qualifie de sommaire de l’affaire, mais qui est pourtant très étayé), et ne remet pas en cause la légalité du projet de Meta. En effet, en s’appuyant sur une argumentation documentée, conforme à l’avis de l’EDPB et enrichie de l’avis circonstancié des autorités de contrôle des Länder du Bade-Wurtemberg et d’Hambourg, il a écarté, un à un, les griefs soulevés tenant à : la violation du Digital Markets Act (DMA) ; l’impossibilité pour Meta de fonder le traitement sur l’intérêt légitime ; et l’absence d’exception autorisant le traitement de données sensibles. L’OLG Köln a d’abord estimé que la constitution d’une base de données d’entraînement au moyen des données publiques issues des services Facebook et Instagram ne violait pas le DMA (13) – Meta étant désigné comme contrôleur d’accès par la Commission européenne pour ces services essentiels.

Gatekeeper : pas de violation du DMA
Le DMA interdit à tout contrôleur d’accès de combiner, sans consentement préalable de l’utilisateur, les données personnelles provenant d’un service essentiel, qu’il propose aux utilisateurs, avec celles provenant d’un autre service. Selon le tribunal, le fait que Meta introduise des données partiellement désidentifiées et fragmentées provenant de deux services de plateforme dans un ensemble non structuré de données d’entraînement ne constitue pas une combinaison de données, au sens du DMA, en l’absence de lien et mise en relation des données personnelles d’un utilisateur provenant d’un service à celles du même utilisateur provenant d’un autre service. L’OLG Köln valide ensuite le recours à l’intérêt légitime comme base légale de traitement, en réalisant une analyse complète, s’appuyant sur les différents critères exigés par l’EDPB. Le tribunal y reconnaît ainsi que l’intérêt poursuivi, à savoir proposer une IA générative optimisée en fonction des habitudes régionales, quoique commercial, est légitime, puis que le traitement envisagé par Meta s’avère nécessaire pour atteindre cet intérêt en l’absence d’un moyen moins intrusif.

Rapport de Meta pour octobre 2025
Pour démontrer cette nécessité, le tribunal de Cologne mobilise l’AI Act (14) qui reconnaît expressément que le développement et l’entraînement des modèles d’IA génératifs requièrent un accès à de grandes quantités de données (15). S’agissant des moyens moins intrusifs proposés notamment par l’association – à savoir le fait d’utiliser uniquement des données anonymisées ou synthétiques (données qui ne sont pas issues d’une observation réelle, mais qui sont créées artificiellement via des simulations), ou de restreindre l’entraînement aux seules données d’interaction avec les systèmes d’IA –, ils ne permettraient pas, selon l’OLG Köln, d’obtenir des résultats comparables.
Enfin, la mise en balance de l’intérêt légitime poursuivi par Meta avec les intérêts et droits des personnes concernées est jugée adéquate. Le tribunal allemand a identifié les conséquences négatives du traitement, notamment les atteintes aux droits des personnes de décider et contrôler l’usage de leurs données et au droit à l’effacement. Ces conséquences négatives sont toutefois tempérées en raison, d’une part, du caractère public des données traitées limitant les risques liés à une divulgation (puisque ces données sont déjà accessibles librement), et, d’autre part, des mesures de mitigation mises en place par Meta. Sont soulignées les mesures visant à réduire le caractère identifiant des données (incluant la tokenisation) et à les rassembler sous une forme non structurée. Sont également mises au crédit de Meta les possibilités offertes aux utilisateurs pour empêcher l’inclusion de leurs données dans la base d’entraînement : le retrait du statut « public » de leurs publications ou de leur compte ainsi que l’opposition au traitement spécifique des données pour entraîner les modèles d’IA par l’intermédiaire de deux formulaires disponibles en ligne. L’OLG Köln a estimé que l’opposition pouvait ainsi être exercée sans difficulté et de manière éclairée par l’utilisateur dans un délai suffisant (six semaines avant la mise en œuvre effective du traitement). La décision laisse toutefois en suspens la question du caractère effectif de cette possibilité d’opposition pour les tiers non-utilisateurs cités dans les publications ou commentaires. Concernant les attentes raisonnables des personnes concernées, le traitement des données publiées à partir du 26 juin 2024 est jugé prévisible pour les utilisateurs qui ont été informés de ce traitement par l’annonce du 10 juin 2024. S’agissant des données publiées antérieurement, leur traitement n’est, en revanche, pas jugé prévisible car sa finalité n’est pas d’améliorer les services existants de Meta mais de développer des IA utilisables de manière autonome et accessibles à tous. Cette absence de prévisibilité n’est toutefois pas vue comme une difficulté pour la juridiction qui justifie l’absence d’interdiction de traiter ces données au motif que les utilisateurs disposent d’un instrument d’opposition efficace. Enfin, le traitement des données sensibles des utilisateurs est autorisé car il porte sur des données manifestement rendues publiques par l’utilisateur, l’une des exceptions prévues à l’article 9 du RGPD. S’agissant des données sensibles de tiers partagées par les utilisateurs via des publications, le tribunal de Cologne reconnaît que l’exception précédente ne peut pas être mobilisée, mais estime – en s’appuyant notamment sur une jurisprudence de la Cour de Justice de l’UE de 2019 (qui n’aborde pourtant pas cette problématique précise (16)) et sur le fait qu’une application littérale de l’article 9 du RGPD ne permettrait pas d’atteindre les objectifs de l’AI Act – que Meta peut traiter ces données de manière incidente et résiduelle jusqu’à ce que l’interdiction de le faire soit sollicitée par le tiers concerné. Cette décision de l’OLG Köln, couplée aux échanges avec la DPC et à la mise en place des mesures proposées par cette dernière – enrichies de l’avis des autres autorités de l’UE –, entérinent donc la possibilité pour Meta de lancer son projet d’entraînement des modèles d’IA. Mais l’entreprise ne bénéficie pas d’un blanc-seing pour autant.
La DPC suit de près le déploiement du projet et attend un rapport complet de Meta pour le mois d’octobre 2025 contenant, entre autres, des développements sur l’efficacité et l’adéquation des mesures. En parallèle, les autorités de l’UE collaborent (17) pour évaluer plus largement la conformité des traitements envisagés par Meta, notamment en lien avec la phase de déploiement des systèmes d’IA qui pose d’autres questions au regard du RGPD. Meta n’est donc pas totalement à l’abri de l’engagement d’une procédure de sanction par la DPC si des manquements sont constatés. Enfin, bien que la Cnil ne se soit pas officiellement positionnée sur la licéité des pratiques de Meta, la récente mise à jour de ses fiches sur la mobilisation de l’intérêt légitime pour développer un système d’IA (18) témoigne d’une certaine tolérance concernant ce type de pratiques.

Position de la Cnil sur l’intérêt légitime
La Cnil, ayant pris en compte les retours du terrain, y a notamment précisé que l’intérêt commercial entourant les projets de développement de systèmes d’IA par les entreprises constituait un intérêt légitime à part entière. Elle a également admis que cette base légale pouvait être mobilisée par un réseau social qui collecte des données d’utilisateurs rendues librement accessibles et manifestement publiques sur son forum en ligne afin de développer un agent conversationnel. Cette prise en compte par la Cnil des réalités économiques et opérationnelles est bienvenue et rassurera les développeurs de systèmes d’IA qui envisagent d’utiliser ou de constituer de grandes bases de données pour entraîner leurs modèles. @

Mesures techniques contre le piratage : les ayants droit exigent plus des plateformes

Publié le par

L’Arcom a publié le 25 octobre son rapport 2024 d’« évaluation des mesures techniques d’identification des œuvres et objets protégés mises en œuvre par les fournisseurs de services de partage de contenus en ligne ». Trois ans après la loi « Antipiratage », les ayants droit ne sont pas satisfaits de ces outils.

La loi du 25 octobre 2021 de « régulation et de protection de l’accès aux œuvres culturelles à l’ère numérique », loi dite « Antipiratage » (1), a confié à l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) – que préside jusqu’au 2 février 2025 Roch-Olivier Maistre (photo) – une mission d’évaluation de l’efficacité des mesures de protection des œuvres et objets protégés prises par les fournisseurs de services de partage de contenus en ligne (YouTube, Instagram, Facebook, Snapchat, TikTok, Pinterest, Dailymotion, X/Twitter, …). Et ce, aux termes de l’article L. 331-18 du code de la propriété intellectuelle (CPI).

« Mesures techniques », filtrage et blocage
Les plateformes numériques de partage de contenus protégés par le droit d’auteur et les droits voisins doivent obtenir l’autorisation préalable des titulaires de droits pour les œuvres et objets protégés que leurs internautes utilisateurs téléchargent sur leur service pour les partager. En l’absence d’autorisation, ces fournisseurs de services de partage de contenus – plateformes vidéo telles que YouTube ou réseaux sociaux tels qu’Instagram ou X (ex-Twitter), soit au total 23 services en France, d’après l’Arcom – doivent, afin de ne pas engager leur responsabilité : démontrer avoir fourni leurs meilleurs efforts pour obtenir une autorisation préalable auprès des titulaires de droits ; avoir fourni leurs meilleurs efforts pour garantir l’indisponibilité des contenus pour lesquels les titulaires de droit leur ont fourni les informations pertinentes et nécessaires ; avoir agi promptement, dès réception d’une notification, pour bloquer ou retirer le contenu signalé et empêcher son nouveau téléchargement sur son service.
Ce régime spécifique d’autorisation et de responsabilité des plateformes de partage, au regard du droit d’auteur et des droits voisins, découle de la transposition de l’article 17 sur le filtrage des contenus de la directive européenne « Droit d’auteur dans le marché unique numérique » du 17 avril 2019, dite directive « Copyright » (2). (suite)

Cet article 17 – très controversé à l’époque (3) – épargne cependant du dispositif ce qui relève du droit de citation, de critique, de revue, ou d’utilisation à des fins de caricature, de parodie ou de pastiche. Cette exception au droit d’auteur et aux droits voisins n’est pas explicitement reprise dans l’article L. 137-2 du CPI (4) qui a transposé en France cet article 17. Ayant fait couler beaucoup d’entre à la fin des années 2010, l’article 17 de la directive « Copyright » ne remet pas en cause le statut d’hébergeur, mais crée seulement une exception au droit d’auteur dès lors que les services concernés réalisent des actes de communication au public en ligne. Pour être en conformité avec les obligations qui leur incombent, les YouTube, Instagram et autres TikTok doivent recourir à des « mesures techniques » d’identification et de protection des contenus prévues par la directive « Droit d’auteur et droits voisins dans la société de l’information » du 22 mai 2001, dite directive « DADVSI » (5), ces outils « rest[ant] indispensable pour assurer la protection et l’exercice effectif des droits conférés aux auteurs et aux autres titulaires de droits » par la directive « Copyright » (6).
La définition de ces mesures techniques, établie depuis plus de 23 ans maintenant, est à suivante : « On entend par “mesures techniques”, précise la directive DADVSI dans son article 6-3, toute technologie, dispositif ou composant qui, dans le cadre normal de son fonctionnement, est destiné à empêcher ou à limiter, en ce qui concerne les œuvres ou autres objets protégés, les actes non autorisés par le titulaire d’un droit d’auteur ou d’un droit voisin du droit d’auteur […]. Les mesures techniques sont réputées efficaces lorsque l’utilisation d’une œuvre protégée, ou celle d’un autre objet protégé, est contrôlée par les titulaires du droit grâce à l’application d’un code d’accès ou d’un procédé de protection, tel que le cryptage, le brouillage ou toute autre transformation de l’œuvre ou de l’objet protégé ou d’un mécanisme de contrôle de copie qui atteint cet objectif de protection ».

Content ID, Rights Manager, Signature, …
C’est dans ce cadre législatif européen que se sont multipliées les mesures techniques : Content ID de YouTube, Rights Manager de Meta (ex-Facebook), MediaMatch de TikTok, Signature de l’Ina (7) Dailymotion, Content Claiming Portal (8) de Pinterest, ou encore RightsAudit/RightsRx d’Audible Magic pour les producteurs de musique et les réseaux sociaux. Ces mesures techniques sont devenues nécessaires pour les plateformes numériques de partage de contenus protégés par le droit d’auteur, afin de les bloquer avant leur mise à disposition ou les retirer suite à une notification – si leur utilisation est considérée comme du piratage ou de la contrefaçon par les ayants droit de l’audiovisuel, du cinéma, de la musique, de l’image, de la photographie et de l’édition. Ces mesures techniques de filtrage sur Internet peuvent aussi être mises en place pour mesurer la consommation effective des contenus protégés, voire les monétiser. En France, l’article L. 331-18 du CPI – introduit par la loi « Antipiratage » de 2021 – confie à l’Arcom une « mission d’évaluation du niveau d’efficacité des mesures de protection des oeuvres et objets protégés prises par les fournisseurs de services de partage de contenus en ligne ».

Des recommandations « Arcom » non suivies
Les agents habilités et assermentés de l’ex-CSA+Hadopi peuvent « mettre en œuvre des méthodes proportionnées de collecte automatisée des données publiquement accessibles » et l’Arcom peut « solliciter toutes informations utiles auprès des fournisseurs de service, des titulaires de droit et des concepteurs des mesures de protection ». Elle peut formuler des recommandations en vue de leur amélioration ainsi que sur le niveau de transparence requis (9), notamment en encourageant la coopération entre titulaires de droit et fournisseurs de services de partage de contenus, ou encore procéder au règlement de différends entre utilisateurs et ayants droit en cas de litige sur les suites données par le fournisseur de services à la plainte d’un utilisateur. Le tout premier rapport d’« évaluation des mesures techniques d’identification des œuvres et objets protégés » avait été publié le 27 avril 2023 par l’Arcom, laquelle y faisait treize recommandations à l’attention des plateformes numériques et des ayants droit.
Or, dans son second rapport publié le 25 octobre 2024, l’Arcom fait part de son mécontentement de na pas avoir été suivie pour certains points : « L’autorité constate avec insatisfaction la faible implication des parties à mettre en œuvre ces recommandations. Parmi celles-ci, une seule [la recommandation n° 11] a été suivie par les ayants droit [qui] ont […] apporté des réponses concernant les outils et coopéré avec l’autorité afin qu’elle puisse opérer ses évaluations. Les autres recommandations n’ont pas été suivies par les parties, et plus particulièrement celle demandant aux fournisseurs de services de préciser, dans leurs conditions générales d’utilisation ou dans les formulaires de contestation mis en ligne, la possibilité pour les utilisateurs et les ayants droit de saisir l’Arcom en cas de conflit dans le cadre d’une procédure de règlement de différends, ou encore celle demandant à informer les utilisateurs français des règles applicables en matière de droit d’auteur en France […] ». Aussi, ce deuxième rapport (10) sonne comme un rappel à l’ordre sur ces recommandations non prises en compte. Et l’Arcom en rajoute une couche, puisque ce second rapport formule six nouvelles recommandations, à savoir pour les fournisseurs de services de partage de contenus : conclure des accords et convenir avec les ayants droit de procédures facilitées pour la notification des contenus (recommandation n° 1) ; harmoniser les délais de traitement pour l’ensemble des secteurs culturels (recommandation n° 2) ;
mentionner les règles applicables sur le territoire français en matière de droit d’auteur comme recommandé dans le cadre du précédent rapport (recommandation n° 3) ;
préciser, dans les conditions générales d’utilisation ou dans les formulaires de contestation mis en ligne, la possibilité pour les utilisateurs et les ayants droit de saisir l’Arcom, en cas de conflit, dans le cadre d’une procédure de règlement de différends (recommandation n° 4) ; donner à l’Arcom l’accès aux outils de reconnaissance des contenus à des fins d’évaluation (recommandation n° 5) ; améliorer la robustesse des outils dans leur capacité à identifier les images fixes (recommandation n° 6).
A travers ces recommandations de l’Arcom, dont le groupe de travail « Protection des droits sur Internet » est présidé par Denis Rapone (photo ci-contre), ex-président de l’Hadopi (2018-2021), transparaissent les exigences des ayants droit vis-à-vis des plateformes numériques et des réseaux sociaux, lesquels ne coopèreraient pas assez à leurs yeux dans la lutte contre le piratage sur Internet. Les ayants droit ont notamment relevé le fait que des services « comme X (ex-Twitter) » ne possèdent pas d’outils de reconnaissance de contenus ou ne mettent pas en œuvre des mesures efficaces pour empêcher le téléversement d’œuvres protégées. Les ayants droit ont en outre fait part à l’Arcom de leurs difficultés à prendre en main Rights Manager (Meta/Facebook/Instagram), notamment son interface de configuration qui, selon l’un d’eux, « doit impérativement faire l’objet de modifications », mais aussi sa capacité « sous exploitée et peu optimale » à détecter les contenus. « Surtout, note l’Arcom, il est rapporté que l’outil est moins efficace sur Instagram que sur Facebook ». Le secteur de l’édition a, lui, fait part du caractère inadapté aux contenus écrits de Rights Manager (Meta) et de Content ID (YouTube). Quant à l’outil MediaMatch (TikTok) « déployé tardivement », il est jugé « inefficace ».

Accords de « monétisation » et de « blocage »
« Par ailleurs, constate le régulateur de l’audiovisuel et du numérique dans son deuxième rapport, trente-cinq accords ont été portés à la connaissance de l’Arcom par les ayants droit répondants. Ces accords peuvent être mixtes et la majorité d’entre eux concerne la monétisation (vingtneuf) et le blocage (vingt-trois). Ils sont principalement conclus avec les services Dailymotion, Meta, Snapchat, TikTok et YouTube. Les ayants droit regrettent en particulier l’absence d’accords à ce jour avec X (ex-Twitter) ». Sur les 23 services identifiés par l’Arcom concernés par la loi « Antipiratage », certains d’entre eux ne proposent pas d’outils de reconnaissance de contenus et sont donc dans le collimateur des ayants droit. @

Charles de Laubier

Chrome, Safari, Edge, Firefox, … : les navigateurs Internet pourraient filtrer, voire censurer

Publié le par

Le projet de loi « Sécuriser et réguler l’espace numérique » sera examiné à l’Assemblée nationale par une « commission spéciale » qui se réunira du 19 au 22 septembre. Parmi les mesures controversées : obliger les navigateurs web à faire la chasse aux contenus illicites, par filtrage ou blocage.

Les navigateurs Chrome de Google, Safari d’Apple, Edge de Microsoft ou encore Firefox de Mozilla sont appelés à lutter contre les sites web et les contenus illicites, au risque de devenir des censeurs de l’Internet. L’article 6 du projet de loi – du gouvernement donc (1) – visant à sécuriser et réguler l’espace numérique (« SREN »). Le texte dans son ensemble a déjà été adopté en première lecture par le Sénat le 5 juillet dernier ; il doit maintenant passer par les fourches caudines d’une « commission spéciale » créée à l’Assemblée nationale. Les réunions pour l’examiner dans ce cadre se tiendront du 19 au 22 septembre (2).

Les navigateurs avertissent voire bloquent
« L’autorité administrative notifie l’adresse électronique du service concerné aux fournisseurs de navigateurs Internet […], aux fins de la mise en œuvre de mesures conservatoires » prévoit l’article 6 du projet SREN. Et de préciser : « La personne destinataire d’une notification prend sans délai, à titre conservatoire, toute mesure utile consistant à afficher un message avertissant l’utilisateur du risque de préjudice encouru en cas d’accès à cette adresse. Ce message est clair, lisible, unique et compréhensible et permet aux utilisateurs d’accéder au site Internet officiel du groupement d’intérêt public pour le dispositif national d’assistance aux victimes d’actes de cyber malveillance ».

Tout en fixant un délai durant lequel apparaîtra le message d’avertissement : « Cette mesure conservatoire est mise en œuvre pendant une durée de sept jours ». De deux choses l’une, alors : soit l’éditeur du service en cause cesse de mettre en ligne le contenu illicite, auquel cas il est mis fin à la mesure conservatoire, soit l’infraction en ligne continue, auquel cas « l’autorité administrative peut, par une décision motivée, enjoindre aux fournisseurs de navigateurs Internet […], aux fournisseurs de services d’accès à internet ou aux fournisseurs de systèmes de résolution de noms de domaine [DNS, ndlr] de prendre sans délai toute mesure utile destinée à empêcher l’accès à l’adresse de ce service pour une durée maximale de trois mois ». Pendant ces trois mois de blocage, destiné à empêcher l’accès à l’adresse du service incriminé, les internautes seront redirigés vers « une page d’information de l’autorité administrative compétente indiquant les motifs de la mesure de blocage ». Mais le blocage peut être prolongée « de six mois au plus » sur avis conforme de la personnalité qualifiée désignée au sein de la Commission nationale pour l’informatique et les libertés (Cnil). Et si cela ne suffit pas, « une durée supplémentaire de six mois peut être prescrite selon la même procédure ». Il est en outre précisé que l’autorité administrative établit « une liste des adresses des services de communication au public en ligne dont l’accès a été empêché » et vérifie cette « liste noire » à l’approche de l’expiration de la durée des trois mois de blocage.
Dans son rapport daté du 27 juin 2023, la commission du Sénat fait remarquer que « le dispositif de filtrage proposé s’inspire à la fois des dispositifs de filtrage déjà existants, des dispositifs mis en œuvre à l’étranger, mais aussi des solutions gratuites déjà mises en œuvre par les principaux navigateurs sur Internet depuis plusieurs années, en particulier l’outil Safe Browsing de Google et Smart Screen de Microsoft, qui sont d’ailleurs utilisables sur d’autres navigateurs tels que Mozilla Firefox ». Pourtant, elle reconnaît que « le dispositif proposé va toutefois plus loin que ce que le marché offre actuellement, en permettant le blocage de l’accès aux sites frauduleux » (3).
Pour la fondation Mozilla justement, éditrice du navigateur Firefox, c’est là que le bât blesse selon elle. Ces mesures présentent un risque de censure pour Internet, non seulement en France mais aussi ailleurs. « Obliger les navigateurs à créer des fonctionnalités pour bloquer des sites web créera un précédent inquiétant à l’échelle mondiale », explique à Edition Multimédi@ Tasos Stampelos (photo ci-dessus), responsable des politiques publiques et des relations gouvernementales de Mozilla en Europe.

Le « filtre anti-arnaque » de Macron
« Car, poursuit-il, de telles fonctionnalités pourraient être utilisées par des régimes autoritaires pour restreindre les droits fondamentaux, les libertés publiques et imposer une censure sur les sites web auxquels les utilisateurs voudraient accéder ». La fondation Mozilla a en outre lancé en ligne, le 17 août dernier, une pétition (4) « pour empêcher la France d’obliger les navigateurs comme Mozilla Firefox à censurer des sites web ». Elle a déjà recueilli « plus de 50.000 signatures », nous indique Tasos Stampelos. Au Sénat, il était intervenu lors de la table ronde « Navigateurs Internet » réunie avant l’été par la commission sénatoriale, où était aussi présent Sylvestre Ledru, directeur de l’ingénierie et responsable de Mozilla en France. Google (Chrome) et Apple (Safari) y participaient également. Selon l’éditeur de Firefox, la loi poussée par le gouvernement français – lequel a engagé la procédure accélérée – « pourrait menacer la liberté sur Internet », en obligeant les navigateurs à bloquer des sites web directement au niveau du navigateur. « Cette mesure créerait un dangereux précédent et servirait de modèle à d’autres gouvernements pour, à leur tour, transformer les navigateurs en outils de censure gouvernementale », craint-elle.

Mozilla contre le risque de « dystopie »
L’article 6 est au cœur du « filtre anti-arnaque » promis par le président de la République au printemps 2022, lorsque Emmanuel Macron était candidat à sa propre succession : « Un filtre anti arnaques [qui] avertira en temps réel tous les usagers d’Internet avant qu’ils ne se rendent sur un site potentiellement piégé ». On y est. Dans un post sur le blog de Mozilla publié le 27 juin 2023, Sylvestre Ledru (photo ci-contre) estime que « la proposition française de bloquer les sites web via le navigateur nuira gravement à l’Internet ouvert mondial ». Ce texte de loi, s’il devait être adopté, « serait un désastre pour un Internet libre et serait disproportionnée par rapport aux objectifs du projet de loi, à savoir la lutte contre la fraude ». Pire, selon la fondation Mozilla : « La France s’apprête à obliger les créateurs de navigateurs à mettre en œuvre une fonctionnalité technique relevant de la dystopie », à savoir, d’après le Larousse, une « société imaginaire régie par un pouvoir totalitaire ou une idéologie néfaste ».
Mozilla affirme en outre que « cette mesure fournira aux gouvernements autoritaires un moyen de minimiser l’efficacité des outils qui peuvent être utilisés pour contourner la censure », comme les VPN (réseaux privés virtuels) ou les « proxy ». La France entre, selon la fondation de Firefox, dans « un terrain inconnu » et crée « un précédent mondial ». Sylvestre Ledru rappelle que « même les régimes les plus répressifs dans le monde préfèrent jusqu’à présent bloquer les sites web en amont du réseau (fournisseurs d’accès à Internet, etc.) » plutôt que d’ordonner aux éditeurs de navigateur du Net de bloquer ou censurer (c’est selon) les sites indésirables. Pour éviter d’en arriver là, « il serait plus judicieux de tirer parti des outils de protection existants contre les logiciels malveillants et l‘hameçonnage (phishing) plutôt que de les remplacer par des listes de blocage de sites web imposées par le gouvernement » (5). La fondation Mozilla rappelle que « les deux systèmes de protection contre les logiciels malveillants et l’hameçonnage les plus utilisés dans l’industrie sont Safe Browsing de Google et Smart Screen de Microsoft, Mozilla (ainsi qu’Apple, Brave et bien d’autres) utilisant Safe Browsing de Google ». Safe Browsing, qui couvre les logiciels malveillants, les logiciels indésirables et l’ingénierie sociale (hameçonnage et autres sites trompeurs), existe depuis au moins 2005 et protègerait actuellement près de la moitié de la population mondiale en ligne sur divers appareils et logiciels. Firefox utilise l’offre Safe Browsing de Google depuis 2007 et dispose d’une implémentation unique qui protège la vie privée des utilisateurs tout en les empêchant d’être victimes de logiciels malveillants et d’hameçonnage. Ce paramètre peut également être désactivé par les utilisateurs à tout moment, ce qui leur permet de garder le contrôle de leur expérience sur le Web. Dans le cadre de son audition pour le rapport du Sénat, Benoît Tabaka, secrétaire général de Google France, a expliqué que Safe Browsing utilise l’intelligence artificielle et se base sur les analyses menées par les équipes du géant du Net. « Cette interface de programmation d’application (API) affiche les informations dans les navigateurs comme Safari, Firefox ou Google Chrome, mais aussi dans les navigateurs internes de certaines applications. Nos équipes travaillent aujourd’hui sur l’articulation entre l’outil et le nouveau cadre juridique français, en sachant qu’un blocage via Safe Browsing serait par nature mondial », avait-il indiqué aux sénateurs.

La France outrepasse les DSA et DMA
Mettre à contribution obligatoire les navigateurs Internet dans la lutte contre les contenus illicites outrepasse les dispositions des deux règlements européens DSA et DMA, lesquels, assure Tasos Stampelos, « ne prévoient pas d’obligations pour les navigateurs web en matière de modération de contenu ». Selon lui, « l’article 6 du projet SREN va trop loin et crée directement une incohérence avec la législation européenne ». Le 2 août, le commissaire européen Thierry Breton, chargé du marché intérieur, a mis en garde la France : « L’effet direct des règlements de l’UE rend toute transposition nationale inutile et […] les Etats membres devraient s’abstenir d’adopter des législations nationales qui feraient double emploi » (6). Il a indiqué aussi que « les autorités françaises n’ont que partiellement notifié leur projet de loi » et « l’appréciation de sa compatibilité avec le droit de l’Union est en cours ». @

Charles de Laubier

L’article 17 de la directive « Copyright » validé, le filtrage des contenus sur Internet peut commencer

Publié le par

La Cour de justice européenne (CJUE) a validé le 26 avril 2022 l’article 17 de la directive « Droit d’auteur et droits voisins dans le marché unique numérique ». Le filtrage des contenus mis en ligne soulève des questions. La liberté d’expression et d’information risque d’être la victime collatérale.

En France, aussitôt après que la Cour de justice de l’Union européenne (CJUE) ait – dans un arrêt du 26 avril 2022 – validé le controversé article 17 sur le filtrage des contenus mis en ligne sur Internet, au nom de la lutte contre le piratage, l’Arcom a publié deux questionnaires pour l’ « évaluation du niveau d’efficacité des mesures de protection des œuvres et des objets protégés » par le droit d’auteur et les droits voisins. L’un s’adresse aux fournisseurs de services de partage de contenus (de YouTube à TikTok en passant par Facebook et Twitter). L’autre s’adresse aux titulaires de droits (de l’audiovisuel à la musique en passant par la radio, les podcasts, la presse écrite, les photos, les illustrations, les livres ou encore les jeux vidéo). Ils ont tous jusqu’au 20 juin 2022 pour y répondre (1).