Données de connexion et usage d’algorithmes : les lois françaises en violation des droits fondamentaux

La justice européenne a déclaré illégales les dispositions françaises sur la conservation des données de trafic et de localisation par les opérateurs télécoms, ainsi que par les hébergeurs. Elle a aussi fourni une feuille de route sur l’utilisation de « boîtes noires » dans la lutte contre le terrorisme.

Par Winston Maxwell*, Telecom Paris, Institut polytechnique de Paris

La Cour de justice de l’Union européenne (CJUE) a, le 6 octobre 2020 (1), mis fin à un débat qui existe depuis le 8 avril 2014, date à laquelle elle avait annulé la directive de 2006 sur la conservation des données de trafic (2), estimant que celle-ci était contraire à la Charte des droits fondamentaux de l’UE (3). La CJUE a jugé que cette directive créait une atteinte disproportionnée au droit à la protection des données personnelles parce qu’elle exigeait la conservation généralisée et indifférenciée des données de trafic de l’ensemble de la population.

La France n’a pas (encore) bougé
La CJUE est intervenue une deuxième fois en 2016, annulant les dispositions britanniques et suédoises sur la conservation des données de trafic, précisant de nouveau qu’une obligation de conservation généralisée et indifférenciée était incompatible avec cette même Charte des droits fondamentaux (4). Malgré ces deux décisions de la justice européenne, la France n’a pas bougé, préservant sa législation qui impose, d’une part, la conservation par les opérateurs de communications électroniques des données de connexion et de localisation, et, d’autre part, la conservation par les hébergeurs des données relatives à l’identification des utilisateurs et à leurs activités sur les plateformes numériques.
En plus, après les attentats terroristes de 2015, la France a introduit de nouvelles mesures permettant aux autorités d’utiliser des « boîtes noires » pour analyser l’ensemble des données de trafic des réseaux. Et ce, afin de détecter des signaux faibles de projets terroristes.
La Quadrature du Net (5) a contesté l’ensemble de ces mesures devant le Conseil d’Etat, et celui-ci a envoyé plusieurs questions préjudicielles à la CJUE. Devant cette dernière, le gouvernement français a d’abord défendu sa législation sur le fondement de l’article 4 du Traité sur l’UE qui précise que la protection de la sécurité nationale relève de la compétence exclusive de la France. A titre subsidiaire, le gouvernement français a soutenu que la lutte contre le terrorisme justifiait des mesures de surveillance plus intrusives qu’en matière de criminalité simple, et que les dispositions françaises devaient dès lors être validées compte tenu du risque accru du terrorisme.
Sur le premier point, la CJUE a confirmé que le droit de l’UE ne s’appliquait pas aux activités de renseignement et de protection de la sécurité nationale entreprises par l’Etat lui-même. En revanche, lorsque l’Etat impose aux entreprises privées des obligations telles que la conservation de données, le droit de l’UE s’applique, même s’il s’agit de mesures destinées à lutter contre le terrorisme. Par conséquent, la jurisprudence de la CJUE dans les affaires précitées de 2014 « Digital Rights Ireland » et de 2016 « Tele2 Sverige et Watson » s’applique pleinement à la France.
La CJUE a été d’accord avec la France sur la nécessité d’accorder une marge de manœuvre plus grande aux Etats membres en matière de protection de la sécurité nationale, car la menace est d’une toute autre nature qu’en matière de criminalité. Pour apprécier la proportionnalité de différentes mesures de surveillance, la CJUE établit trois niveaux de gravité :
• Le premier niveau est la protection de la sécurité nationale, y compris la lutte contre le terrorisme. Selon la CJUE, « la prévention et la répression d’activités de nature à déstabiliser gravement les structures constitutionnelles, politiques, économiques ou sociales fondamentales d’un pays, et en particulier à menacer directement la société, la population ou l’Etat en tant que tel », peut justifier une atteinte plus forte aux droits fondamentaux et, notamment, une obligation généralisée de conserver des données de trafic et de localisation. Mais cette obligation ne peut être justifiée que pendant une période limitée durant laquelle il existerait des « circonstances suffisamment concrètes permettant de considérer que l’Etat (…) fait face à une menace grave » pour sa sécurité nationale. Une commission indépendante ou un tribunal doit valider l’existence d’une telle menace.

Les trois niveaux de gravité
• Le deuxième niveau de gravité concerne la lutte contre la criminalité grave et les menaces graves contre la sécurité publique. Pour ce niveau, une obligation de conservation systématique et continue de données est exclue. Selon la CJUE, il faudrait qu’il existe un lien, même indirect, entre les données dont la conservation est demandée, et la détection ou la répression d’un crime grave. Ainsi, les demandes de conservation de données de trafic et de localisation doivent être ciblées, concernant un groupe particulier de personnes, ou une zone géographie à risque, par exemple les données de trafic autour d’une gare. En revanche, s’il s’agit uniquement des adresses IP, ceux-ci peuvent être stockés de manière généralisée, selon la justice européenne.
• Le troisième niveau concerne toutes les formes de criminalité. Seul le stockage des données relatives à l’identité civile des utilisateurs peut être envisagé. La conservation d’autres données est exclue.
Cette approche graduée découle naturellement de la jurisprudence de la CJUE en matière de proportionnalité – plus la menace pour l’Etat et les citoyens est élevée, plus le niveau d’ingérence avec la vie privée peut être élevé.

Algorithmes de détection en temps réel
La France devra donc réécrire ses lois pour introduire une différenciation entre les menaces graves pour la sécurité nationale (menaces de niveau 1), menaces graves pour la sécurité publique et lutte contre la criminalité grave (menaces de niveau 2), et lutte contre la criminalité ordinaire (menaces de niveau 3). A chaque niveau correspondra des règles adaptées en matière de conservation des données.
L’autre leçon de la décision de la CJUE concerne la régulation des algorithmes utilisés par l’administration française pour détecter des projets terroristes. Depuis la loi de 2015 sur les techniques de renseignement (6), les services spécialisés – désignés par décret en Conseil d’Etat – ont la possibilité de procéder à l’analyse automatique des données de trafic et de localisation en temps réel afin de détecter des signaux faibles d’activités terroristes. Cette possibilité est strictement encadrée par la Commission nationale de contrôle des techniques de renseignement (CNCTR (7)), et la période d’expérimentation doit prendre fin le 31 juillet 2021. Le gouvernement a récemment proposé d’étendre la période d’expérimentation des algorithmes jusqu’à fin décembre 2021.
L’utilisation de l’intelligence artificielle pour lutter contre le terrorisme est controversée, car les algorithmes sont faillibles et peuvent tirer des conclusions erronées et discriminatoires. Dans sa décision du 6 octobre, la CJUE fournit une feuille de route sur la possibilité de déployer ces outils.
D’abord, la justice européenne confirme que l’analyse des données de trafic et de localisation en temps réel constitue une ingérence « particulièrement grave » avec la protection de la vie privée. Le déploiement d’un tel dispositif doit être prévu par une loi claire et précise qui définit les limites et les mesures de protection accompagnant le dispositif. La CJUE indique que le dispositif ne peut se justifier qu’en présence d’une menace grave pour la sécurité nationale qui s’avère « réelle et actuelle ou prévisible ». Un tribunal ou autorité administrative indépendante doit contrôler l’existence d’une telle menace, et ses décisions doivent avoir un effet contraignant. En ce qui concerne l’algorithme lui-même, les modèles et critères préétablis doivent être « spécifiques et fiables, permettant d’aboutir à des résultats identifiant des individus à l’égard desquels pourrait peser un soupçon raisonnable de participation à des infractions terroristes et, d’autre part, non discriminatoires ». Les modèles et critères préétablis ne peuvent se fonder seulement sur des données sensibles. Les termes utilisés par la CJUE suggèrent que l’algorithme pourrait éventuellement s’appuyer – en partie – sur des données sensibles, ce qui semble en contradiction avec le règlement général sur la protection des données (RGPD) en vigueur au niveau européen. La CJUE indique ensuite que tout algorithme comporte un taux d’erreur, et que tout résultat positif doit être soumis à un réexamen individuel par un analyste humain avant la mise en œuvre d’autres mesures de surveillance. Cette exigence de la CJUE pose la question de la compréhension de la recommandation algorithmique par l’analyste humain et sa capacité de contredire l’algorithme. Pour qu’il y ait une vraie intervention humaine, l’algorithme doit être en mesure d’expliquer pourquoi il a détecté des signaux faibles d’activités terroristes, et l’analyste humain doit être en mesure d’apporter une analyse critique par rapport à l’explication donnée par l’algorithme. Lorsque l’algorithme s’appuie sur des techniques d’apprentissage-machine (machine learning), de telles explications peuvent s’avérer difficiles. La CJUE impose un réexamen régulier de l’algorithme et les données utilisées pour garantir l’absence de discrimination et le caractère strictement nécessaire du dispositif à la lumière de la menace terroriste. La fiabilité et l’actualité des modèles et critères préétablis, et les bases de données utilisées, doivent également être revues régulièrement par une autorité de contrôle, soit une forme de suivi dynamique. Enfin, si l’algorithme débouche sur la surveillance plus poussée d’un individu, celui-ci doit être informé dès le moment où cette communication n’est pas susceptible de compromettre les missions incombant aux autorités.

Renseignement : la loi française à réécrire
Réunie le 7 juillet 2020, la commission de la Défense nationale et des Forces armées de l’Assemblée nationale a estimé que le recours aux algorithmes était utile et nécessaire dans lutte contre le terrorisme et devrait être pérennisé, voire étendu pour permettre l’analyse d’autres données, telles que des URL (8) de sites web consultés (9). Au moment de sa séance, la commission parlementaire avait connaissance de l’affaire pendante devant la CJUE et a reconnu que celle-ci pourrait avoir un profond impact sur les méthodes utilisées en France. Elle ne s’y est pas trompée : la décision du 6 octobre impose une réécriture de la loi française sur les techniques de renseignement. @

* Winston Maxwell, ancien avocat, est depuis juin 2019
directeur d’études Droit et Numérique à Telecom Paris.

Désinformations, rumeurs infondées, ragots, … A quand de vraies nouvelles sur les fake news ?

Lutter contre la désinformation suppose de responsabiliser les acteurs impliqués dans sa propagation, depuis la source d’une fake news, en passant par les algorithmes sacralisant la popularité des contenus, jusqu’à l’internaute qui la relaie – sciemment ou non. Et il faut adapter le cadre juridique.

Par Alexandre Euverte et Etienne Drouard, cabinet K&L Gates

« Johnny Hallyday a trouvé la mort aujourd’hui à l’âge de 74 ans ». Cette affirmation ne correspond pas à la triste nouvelle qui a endeuillé la France à l’aube du 6 décembre 2017. C’est la réponse que donnait l’application Siri d’Apple le 30 novembre 2017 si vous lui demandiez :
« Comment va Johnny ? ». Cette information fausse, relayée par Siri, faisait suite à une modification trompeuse de la page Wikipedia du légendaire chanteur, mise en ligne par un individu anonyme annonçant son décès de façon prématurée (1).

Loi de 1881 et fake news du XXIe siècle
Si Internet forme aujourd’hui un forum d’échanges global favorisant l’expansion de la liberté d’expression, il est impossible d’ignorer les dérives induites par la vitesse et l’effervescence des contenus. C’est le cas des fake news, ces actualités créées intentionnellement pour tromper le public et lui fournir une représentation erronée
de la réalité ou une dénaturation des faits, souvent utilisées à des fins malveillantes. Au-delà de la désinformation de masse, les fake news nourrissent des théories conspirationnistes, en augmentation en France (2), ainsi que les propagandes les
plus nauséabondes. L’impulsion des réseaux sociaux permet de donner une ampleur inédite aux fake news, parfois relayées par des médias institutionnels ou historiques, voire par des responsables politiques. Lutter efficacement contre ce « cancer » de la désinformation exige de responsabiliser tous les acteurs impliqués dans sa propagation, depuis la source d’une fake news, en passant par les algorithmes de classement basés sur la popularité des contenus, jusqu’à l’internaute qui relaie la désinformation – sciemment ou à son insu – à travers l’audience de masse des réseaux sociaux. Il est nécessaire d’adapter notre cadre juridique et d’inciter les acteurs les plus impliqués à privilégier la vérité par rapport à la popularité. Or notre arsenal législatif peine à s’adapter au numérique, même si les règles de fond applicables gardent toute leur légitimité. Le dispositif législatif français issu de la loi du 29 juillet 1881 sur la liberté de la presse permet déjà, en soi, l’appréhension des fake news. L’article 27 de cette loi fondamentale pour notre démocratie dispose en effet que « la publication, la diffusion ou la reproduction, par quelque moyen que ce soit, de nouvelles fausses, de pièces fabriquées, falsifiées ou mensongèrement attribuées à des tiers lorsque, faite de mauvaise foi, elle aura troublé la paix publique, ou aura été susceptible de la troubler, sera punie d’une amende de 45.000 euros ». Si le texte permet ainsi de condamner aussi bien le fait d’avoir publié ou d’avoir relayé une fake news, il faut néanmoins que l’auteur ait été de mauvaise foi. Cette condition reste indiscutablement légitime. Elle exonère de responsabilité l’internaute ou le média reproduisant une information fausse en la croyant véridique.
Il a ainsi déjà été jugé que l’absence de vérification de l’information communiquée était insuffisante pour engager la responsabilité du diffuseur d’une fausse information (3).
En ce sens, seules les personnes à la source de l’information fausse ou dont on peut démontrer qu’elles en connaissaient le caractère mensonger, pourraient être condamnées. Il faut ensuite que la fake news soit de nature à troubler « la paix publique », ce qui peut laisser une marge d’interprétation importante aux juges et qui devrait écarter les cas isolés d’internautes relayant de telles informations à leur cercle restreint via, par exemple, un compte Facebook fermé et avec peu d’amis.Ce texte a été très peu appliqué en jurisprudence (4), sans doute pour éviter les potentielles atteintes à la liberté d’expression et les accusations de vouloir imposer une vérité officielle. Or, il est le seul texte général, en France, à rendre illicites les fausses nouvelles, lorsqu’elles ne peuvent être sanctionnées sur le fondement d’autres infractions, telles que la calomnie, la diffamation ou l’incitation à la haine. Mais lorsque le temps judiciaire discrédite la loi, faut-il encore légiférer ?

Faut-il sanctionner pénalement ?
C’est dans ce contexte que le débat a été relancé en France. Le 22 mars 2017, la sénatrice Nathalie Goulet (5) a soumis une proposition de loi (6) visant à définir et sanctionner les fausses nouvelles, ou «fake news ». Cette proposition a pour objectif
de reprendre la jurisprudence de la Cour de cassation sur l’application de l’article 27
de la loi du 29 juillet 1881, mais en assouplissant l’exigence d’un élément moral de l’infraction, à savoir la mauvaise foi. Il s’agirait en effet de pouvoir sanctionner les personnes qui relaient des contenus sans en avoir vérifié les sources. Il est proposé d’ajouter un nouvel article 226-12-1 du Code pénal qui sanctionnerait la mise à disposition du public de fake news non accompagnées des réserves nécessaires (7). Un nouvel article 226-12-2 du Code pénal préciserait également : « Doit notamment être considéré de mauvaise foi, l’éditeur, le diffuseur, le reproducteur, le moteur de recherche ou le réseau social ayant maintenu à la disposition du public des nouvelles fausses non accompagnées des réserves nécessaires pendant plus de trois jours à compter de la réception du signalement de leur caractère faux ». L’auteur de la fake news pourrait cependant prouver sa bonne foi en démontrant qu’il a accompli les
« démarches suffisantes et proportionnelles aux moyens dont il dispose » pour vérifier le contenu litigieux.

Responsabilité, rigueur et déontologie
Si elles étaient adoptées, ces nouvelles règles feraient peser sur les particuliers, comme sur les acteurs du Web, une responsabilité lourde, similaire à celle pesant sur les journalistes professionnels (8). Les notions de « mauvaise foi », de « réserves nécessaires » et de « démarches suffisantes et proportionnelles aux moyens dont il dispose » seront laissées à l’appréciation souveraine des juges du fond à défaut d’indications plus précises. Le texte envisagé par le Sénat souhaitait ériger cette infraction en délit et proposait une peine d’un an d’emprisonnement et de 15.000 euros d’amende. Des nouvelles dispositions du Code pénal ajouteraient en outre que les éditeurs de presse et les syndicats de journalistes pourraient se constituer partie civile, endossant ainsi le rôle de « gardiens de la rigueur et des exigences déontologiques qu’implique l’exercice journalistique », selon les termes du préambule de la proposition de loi. Néanmoins, il semble que le calendrier de cette proposition de loi – déposée au Sénat le 22 mars 2017 – ait été retardé, puisqu’elle n’a toujours pas été étudiée par l’Assemblée nationale à ce jour ni fait l’objet de travaux en commissions. Quant aux réseaux sociaux, quelle est leur contribution contre la désinformation de masse ? Légalement, les hébergeurs n’ont pas un devoir de réaction aux fake news. Selon la réglementation française et européenne (9), les réseaux sociaux sont considérés comme des hébergeurs des contenus mis en ligne par leurs membres et bénéficient
à ce titre d’un régime de responsabilité limitée. Ils doivent, d’une part, conserver les données d’identification des personnes ayant contribué à la création de contenus sur leurs services et les communiquer, sur demande, à l’autorité judiciaire. D’autres part,
ils doivent bloquer et faire cesser les contenus faisant « l’apologie des crimes contre l’humanité, de la provocation à la commission d’actes de terrorisme et de leur apologie, de l’incitation à la haine raciale, à la haine à l’égard des personnes à raison de leur sexe, de leur orientation ou identité sexuelle ou de leur handicap ainsi que de la pornographie enfantine, de l’incitation à la violence, notamment l’incitation aux violences faites aux femmes, ainsi que des atteintes à la dignité humaine ». Mais
ce, uniquement après que de tels contenus leur ont été signalés (10). Les fausses nouvelles qui n’inciteraient pas à la haine, à la violence, à la discrimination ou à la dignité humaine, échappent donc au champ d’application de ce texte qui définit strictement les contenus illicites que les hébergeurs – dont font encore partie les Facebook, WhatsApp, Twitter et autres Snapchat – doivent contribuer à bannir de leurs services, lorsque de tels contenus leur sont signalés. Face à l’ampleur du phénomène des fake news et aux pressions exercées contre eux, certains réseaux sociaux ont pris des initiatives. Facebook a, par exemple, mis en ligne un outil de vérification des contenus pour lutter contre les fake news (11). Cet outil n’a toutefois pas permis à Facebook d’essuyer les nombreuses critiques récentes reçues pour la mise en avant automatique de fake news, notamment lors de la tuerie de masse de Las Vegas (12). Le 16 novembre 2017, Facebook, Google, Twitter et Bing ont rejoint le « Trust Project », un consortium de grands éditeurs de presse créé pour lutter contre les fake news (13). Alors que l’Union européenne consulte de son côté (lire encadré cidessous), la contribution des géants américains est bienvenue, puisqu’ils sont les instruments de la diffusion, à grandes échelle, des articles des éditeurs de sites web, via notamment leurs procédés d’indexation et de mise en avant de contenus ainsi que le partage effectué par leurs utilisateurs. @

ZOOM

L’Europe, elle, consulte jusqu’en février 2018 : pour éviter ses erreurs passées ?
La Commission européenne a lancé le 13 novembre 2017 une consultation publique
en ligne concernant la lutte contre les fake news (14). Les objectifs sont résumés ainsi :
« La consultation vise à recueillir des informations sur les aspects suivants : définition des fausses nouvelles et de leur diffusion en ligne ; évaluation des mesures déjà prises par les plateformes en ligne, les médias et les organisations de la société civile pour contrer la diffusion de fausses nouvelles en ligne ; futures actions possibles pour renforcer les informations de qualité et endiguer la propagation de la désinformation en ligne ». La consultation est ouverte jusqu’en février 2018 à toutes les parties prenantes – citoyens, journalistes, personnes morales, fournisseurs de services – qui peuvent répondre à des questionnaires adaptés. Les résultats seront publiés à la suite de la consultation. Réfléchir avant de légiférer, une saine méthode…, à condition de ne pas reproduire les erreurs du passé récent, comme la Cour de Justice de l’Union européenne (CJUE) qui a « inventé » un droit à la désindexation, dont elle a confié
la mise en oeuvre aux moteurs de recherche (15), ou comme la Commission et le Parlement européens qui s’apprêtent dans le cadre du futur règlement « ePrivacy »
à confier aux éditeurs de logiciels de navigation le soin d’informer les internautes sur
le dépôt d’un fichier « cookie » et de paramétrer les conditions de leurs choix (16). Gageons donc, sans devoir se contenter d’allumer un cierge – sauf à la mémoire de Johnny –, que cette consultation publique sur les fake news ne relèguera pas le juge
au rang de figurant et ne fera pas de la loi l’instrument d’un abandon de souveraineté européenne. Il en va de la vérité dans nos démocraties. De notre culture européenne de la liberté d’expression. @

Piratage sur Internet : le filtrage obligatoire des contenus devant les eurodéputés

Le Parlement européen va bientôt se prononcer sur le projet de directive « Droit d’auteur dans le marché unique numérique », actuellement examiné par ses différentes commissions. C’est l’occasion de se pencher sur l’article 13 qui fait polémique en matière de lutte contre le piratage. Il pourrait être supprimé.

« L’article 13 prévoit l’obligation, pour les prestataires de services de la société de l’information qui stockent et donnent accès à un grand nombre d’œuvres et autres objets protégés, chargés par leurs utilisateurs, de prendre des mesures appropriées et proportionnées pour assurer le bon fonctionnement des accords conclus avec les titulaires de droits et pour empêcher la mise à disposition, par leurs services, de contenus identifiés par les titulaires de droits en coopération avec ces prestataires », avait expliqué la Commission européenne dans ses motifs lors de la présentation il y a six mois de son projet de réforme du droit d’auteur dans le marché unique numérique.

Atteintes aux droits fondamentaux ?
C’est cet article 13 sur l’utilisation de contenus protégés par le droit d’auteur qui fait l’objet d’un intense lobbying de dernière ligne droite au Parlement européen entre les ayants droits et les acteurs du Net. L’article 13 stipule en effet que « les prestataires
de services de la société de l’information (…) prennent des mesures [de lutte contre
le piratage sur Internet, ndlr]. Ces mesures, telles que le recours à des techniques efficaces de reconnaissance des contenus, doivent être appropriées et proportion-
nées ». L’eurodéputée Therese Comodini Cachia, au sein de la commission des Affaires juridiques du Parlement européen, a préconisé de supprimer cette disposition. La Quadrature du Net, association de défense des droits et libertés numériques, a pris aussi position contre cette mesure, en annonçant le 7 mars dernier avoir envoyé aux eurodéputés ses arguments pour faire avancer le débat sur la réforme du droit d’auteur. Selon elle, la détection automatique de contenus illicites est d’abord une lourde atteinte aux principes du droit. « Nous préconisons de refuser la systématisation de ce procédé de détection d’œuvres protégées sur les plateformes de contenu, sous peine d’alourdir considérablement le régime juridique de la publication sur Internet et de mettre en place une inflation des atteintes aux droits fondamentaux », a dit aux eurodéputés l’association des internautes présidée par Philippe Aigrain (photo). La raison en est que l’article 13 inverse la charge de la preuve.« Au lieu d’exiger de l’ayant droit qu’il prouve qu’il y a eu utilisation illicite de son oeuvre, il impose à l’internaute qui a mis en ligne un contenu de prouver, après suppression automatique, que son contenu ne violait pas les droits d’autrui. Ce mécanisme risque de porter gravement atteinte à la liberté d’expression et de création », déplore l’association. Pour La Quadrature du Net, le caractère automatique de la sanction décourage de tout recours et prive du droit au procès équitable qui soustend les principes du droit. L’article 13 prévoit bien que les acteurs du Net mettent en place des dispositifs de plainte et de recours à l’intention des utilisateurs pour les litiges suite à l’application des mesures prises pour lutter contre le piratage telles que le recours à des techniques efficaces de reconnaissance des contenus, mais l’association relève que « rien n’est indiqué dans la directive pour obliger les plateformes à tenir compte des réclamations faites ou mettre en place des procédures d’appel (mise à part une vague obligation “d’adéquation et de proportionnalité” et la mention d’un dispositif de plainte sans garantie) ». L’association dénonce en outre deux ruptures d’égalité devant la justice dans le sens où, d’une part,« les éditeurs dont les contenus ont été abusivement supprimés doivent, eux, supporter la charge d’une action judiciaire pour faire valoir leurs droits a posteriori », et, d’autre part, « si cette automatisation du retrait de contenu illicite devient la norme, alors seuls ceux capables de supporter le coût de cette automatisation pourront faire valoir leurs droits ». Quant aux outils de contrôle de détection de contenus illicites, ils seront laissés dans les mains des seuls acteurs du Net. Ce qui amène La Quadrature du Net à se poser des questions sur ces robots de filtrage. Qui les contrôlera et vérifiera leurs paramétrages ? (1) « Au vu du fonctionnement de ce type de robots pour des plateformes de vidéo (YouTube), il est d’ores et déjà prouvé que ces robots font de nombreuses erreurs. Parmi ces erreurs, il a par exemple déjà été constaté que les ayants droit qui posent des empreintes sur des œuvres peuvent se réapproprier eux-mêmes les œuvres d’autres auteurs, et priver ceux-ci du libre choix de publication de leur création », prévient l’association.

Une menace pour la création
Ensuite, La Quadrature du Net estime que cet article 13 sera contre-productif pour la création et les créateurs, voire une menace pour la création car il instaure une censure incapable de repérer les exceptions légitimes au droit d’auteur. « Les outils de censure automatique sont, par nature, incapables de discerner lors de la réutilisation d’une oeuvre, s’il s’agit d’une simple copie sans ajout, ou bien d’une parodie, d’une critique ou d’un remix (entre autres possibilités de reprise légitimes et légales d’un extrait d’oeuvre protégée). Toute la culture qui repose sur l’utilisation d’autres œuvres pour alimenter la création est donc niée et fortement mise en danger par ce type de mesure », met en garde l’association des internautes. Et d’ajouter : « Or, la culture transformative est extrêmement présente dans les nouveaux usages et services. Y porter atteinte de façon indifférenciée, c’est donc mettre en péril une part très importante de la création audio et vidéo actuelle ».

Directive e-commerce et statut d’hébergeur
L’association rappelle par exemple le rôle de vulgarisation scientifique et de partage
de culture générale exercé par de nombreux créateurs de vidéos, participant ainsi à la vitalité de la création culturelle et éducative – notamment auprès d’un public jeune qui s’informe et se cultive plus volontiers sur YouTube que via des relais traditionnels. La Quadrature du Net s’attend par ailleurs à des conflits entre titulaires de droits : « Cette disposition pourrait avoir des répercussions négatives pour les œuvres qui sont diffusées sous licence libre, ou qui sont entrées dans le domaine public. L’expérience du robot de détection d’œuvres protégées sur YouTube a fait apparaître de nombreux conflits entre titulaires de droits, qui promet un contentieux important, et par ricochet une modification des conditions de création, les créateurs ne pouvant être assurés de contrôler comme ils le souhaitent la diffusion de leurs œuvres » (2).
L’association des internautes dénonce dans la foulée « une négation flagrante du statut du créateur amateur, qui ne peut être reconnu et protégé que s’il est inscrit à une société de gestion collective de droits, en charge de fournir les empreintes d’œuvres à “protéger” sur les plateformes de partage ». Pour elle, le projet de directive crée une insécurité juridique permanente pour les créateurs et les utilisateurs. Cette disposition risque aussi de pousser à « la création d’une culture hors-la-loi ». Or les commissions Imco (3) et Cult (4) du Parlement européen ont proposé respectivement une exception de citation élargie aux œuvres audiovisuelles et une exception permettant les usages transformatifs. Pour La Quadrature du Net, « ce serait une avancée significative dans l’adaptation du droit d’auteur aux usages actuels ».
Enfin, toujours selon La Quadrature du Net, l’article 13 entre en conflit avec le statut de l’hébergeur. « En demandant aux plateformes de mettre en place des outils de détection automatique de contenus illicites, cet article (…) pose de nombreux problèmes de compatibilité avec la directive de 2000 sur le commerce électronique (5) qui régit la plus grande part des responsabilités respectives des acteurs de l’Internet », lesquels ne sont soumis à aucune obligation de surveillance préalable des contenus. Et ce, depuis plus de quinze ans maintenant. Le 19 septembre dernier, l’Association des services Internet communautaires (Asic) avait également dénoncé cet article 13 en ces termes : « Le diable étant dans les détails, le texte ne s’arrête pas à ce qui aujourd’hui a été mis en place volontairement depuis près de dix ans par les hébergeurs (…) comme Dailymotion et YouTube – à travers les contrats conclus en France avec la SACD (6),
la Sacem (7), la Scam (8) et l’Adagp (9)… et l’adoption de systèmes de reconnaissance de contenus type (Audible Magic, Signature ou Content ID…) – mais va plus loin et prévoit une obligation de “prévenir la disponibilité des contenus” sur ces plateformes. L’article 13 veut ainsi instaurer une obligation de monitoring et de filtrage pour ces plateformes en contradiction totale avec les principes de la directive ecommerce » (10). La Quadrature du Net, elle, poursuit en affirmant que le dispositif envisagé ne résout pas le problème de transfert de valeur (value gap), lequel est mis en avant par les industries culturelles (musique, cinéma, audiovisuel, …) qui s’en disent victimes au profit des GAFA et des plateformes de contenus en ligne. « En supprimant les contenus, la problématique du transfert de valeur n’est pas résolue puisque cela n’entraîne aucune rémunération du créateur. Pire, les créateurs sont privés de la visibilité qu’apporte l’exposition, y compris illégale, de leurs œuvres sur Internet », regrette l’association. Et d’ajouter : « La question du différentiel de revenus entre plateformes et créateurs ne peut être réglée qu’en traitant des problématiques de répartition, avec une vraie acceptation des nouvelles pratiques de partage par les sociétés de gestion collective de droits ». La Quadrature du Net fait en outre remarquer aux eurodéputés que l’obligation générale de mise en place d’outils de détection automatique de contenus illicites – outils réputés pour être coûteux à acquérir et à mettre en place – devrait générer une forte inégalité entre plateformes numériques.

Risque de favoriser les GAFA
Résultat : « Paradoxalement, cette mesure risque de favoriser le monopole des GAFA et de tuer l’émergence d’acteurs européens, en faisant monter de façon disproportionnée le coût d’accès au marché ou les risques financiers imprévisibles en cas de création d’un service de partage de contenu ». Reste à savoir si les eurodéputés seront sensibles à ces arguments en supprimant l’article 13 controversé. A suivre. @

Charles de Laubier

Audiovisuel : YouTube n’est pas « éditeur », quoique…

En fait. Le 27 septembre, le Conseil supérieur de l’audiovisuel (CSA) a organisé ses premières Rencontres sur le thème de « L’audiovisuel dans l’espace numérique : plateformes et données ». En première ligne, Google a défendu son statut d’hébergeur : « Nous ne sommes pas éditeur de contenus ». Vraiment ?

En clair. Alors que le statut d’hébergeur de certaines plateformes vidéo telles que YouTube ou Dailymotion est remis en question par les industries culturelles, en particulier en France, les premières Rencontres du CSA ont permis d’entendre Google à ce sujet. « Nous ne sommes pas éditeur de contenus, mais nous travaillons en partenariat avec les éditeurs de contenus », a affirmé Laurent Samama, directeur
des relations stratégiques Média et Divertissement de la firme de Mountain View pour
la région EMEA (1). Et le Français d’insister : « Nous ne nous considérons pas comme
un acteur à part entière car nous ne sommes pas éditeur de contenus ; nous ne faisons pas de contenus ». Le statut d’hébergeur permet aux plateformes vidéo de non seulement bénéficier d’une responsabilité limitée dans la lutte contre le piratage mais aussi de ne pas être soumises à des obligations de financement de la création (lire aussi p. 6 et 7).
Le CSA, lui, s’interroge sur le statut de YouTube. Dans un rapport publié peu avant
ces Rencontres, le régulateur écrit :« Certaines plateformes, (…), opèrent désormais simultanément à plusieurs niveaux et exercent à la fois les fonctions de production, d’édition et de distribution de contenus (exemple de YouTube) » (2). Ce qu’a aussitôt nuancé Nicolas Curien, membre du CSA : « Le CSA dit effectivement que YouTube n’est pas seulement un hébergeur. Le CSA ne dit pas qu’il est éditeur ou distributeur, mais il invite à repenser les catégories traditionnelles des fonctions des métiers de l’audiovisuel ». Laurent Samama est alors remonté au créneau : « Sur YouTube, on
a vraiment pas de fonction d’édition. (…) La seule chose est [que] nous avons des algorithmes et parfois de la vérification manuelle pour éviter ces contenus interdits ».
Francine Mariani-Ducray, membre du CSA, a saisi la balle au bond : «Mais est-ce
que les algorithmes de recommandation ne sont pas une manière d’éditorialiser ? … J’ai ma réponse personnelle ! (…) C’est “oui’” ». Le dirigeant de Google lui a répondu :
« C’est une bonne question. Nous, nous considérons que “non”. Ensuite, il y a une
vraie réflexion sur la part de la personnalisation des algorithmes, tout en gardant une part d’accès à la diversité. Donc, effectivement, il y a des formules à mettre en place mais qui, pour nous, ne s’apparentent pas à un choix éditorial de contenus à mettre
en avant ». @

Plateformes collaboratives : à la recherche d’un développement équilibré et durable

Le modèle disruptif des plateformes collaboratives recherche son modèle de régulation. Plusieurs Etats européens, dont la France, ont pris des mesures encadrant le développement de ces plateformes collaboratives. Les préoccupations sont fortes sur les droits et les obligations de ces acteurs.

Par Christophe Clarenc (photo) et Martin Drago, cabinet Dunaud Clarenc Combles & Associés

La Commission européenne a publié en juin dernier une communication présentant « un agenda européen pour l’économie collaborative » (1). Sous ce vocable d’économie collaborative (ou d’économie de partage), elle appréhende
« des modèles économiques où des plateformes collaboratives qui créent un marché ouvert pour l’utilisation temporaire de biens et de services souvent produits ou fournis par des personnes privées ».

Un « brouillage des limites »
La Commission européenne distingue les trois catégories d’acteurs concernés : les prestataires de services partageant leurs actifs ou ressources, qui peuvent être des personnes privées proposant leurs services sur une base occasionnelle (« pairs »)
ou des prestataires intervenant à titre professionnel (« prestataires de services professionnels ») ; les utilisateurs de ces services ; et les plateformes en ligne
(« intermédiaires ») mettant en relation ces prestataires et ces utilisateurs et facilitant leurs transactions (« plateformes collaboratives »).
La Commission européenne introduit sa communication en soulignant : d’un côté, l’essor important de l’économie collaborative en termes de transactions, de parts de marchés et de revenus (2), ainsi que l’intérêt d’en favoriser le développement au regard de sa capacité contributive à la croissance et à l’emploi ; de l’autre côté, les multiples problèmes auxquels se retrouvent confrontés les opérateurs de marché en place et surtout les fortes incertitudes soulevées concernant les droits et obligations des acteurs de cette nouvelle économie. Elle reconnaît que l’économie collaborative génère un
« brouillage des limites » entre consommateurs et fournisseurs, entre salariés et travailleurs indépendants, entre fournisseurs professionnels et fournisseurs non professionnels, entre services de base de la société de l’information et services sous-jacents ou connexes, ce qui suscite une certaine incertitude sur les règles applicables. Sa communication vise à réduire cette incertitude et à assurer un « développement équilibré et durable » de l’économie collaborative au sein de l’Union européenne (UE) en apportant une série d’« orientations non contraignantes sur les modalités selon lesquelles il conviendrait d’appliquer le droit de l’UE en vigueur », et ce, afin de traiter les « problèmes- clés » (3) auxquels les pouvoirs publics et les acteurs du marché
sont confrontés.
La Commission européenne vise aussi et surtout à prévenir « une fragmentation réglementaire découlant d’approches divergentes au niveau national ou local » et à éviter « les zones grises réglementaires ». Ce qu’elle souligne dans son communiqué de presse du 2 juin : « Si nous laissons notre marché unique se fragmenter au niveau national voire au niveau local, l’Europe tout entière risque d’être perdante. […] Nous invitons les Etats membres à réexaminer leur réglementation sur la base de ces orientations, et nous sommes disposés à les aider dans ce processus ». Plusieurs
Etats membres, dont la France (voir encadré page suivante), ont en effet pris des mesures d’encadrement des plateformes en ligne. Les orientations de la Commission européenne sur les « exigences à satisfaire pour accéder au marché » distinguent les prestations de services par des professionnels, les prestations de services de pair à pair et les plateformes collaboratives.

Accès au marché
S’agissant des prestations de services par des professionnels, elle rappelle les limites et conditions posées par les libertés fondamentales du traité et de la directive
« Services » de 2006 (4).
Concernant les prestations de services de pair à pair, elle souligne que la législation de l’UE ne définit pas expressément à quel stade un pair devient un prestataire de services professionnels et que les Etats membres utilisent des critères différents pour distinguer services professionnels et services de pair à pair. Elle admet l’utilité de seuils (éventuellement sectoriels) fixés de manière raisonnable.
S’agissant des plateformes collaboratives, elle distingue entre la fourniture des services de base de la société de l’information proposés à titre d’intermédiaire entre les prestataires de services sous-jacents et leurs utilisateurs, tels que définis et régis par la directive « Commerce électronique » de 2000 (5), la fourniture de services d’assistance aux prestataires des services sous-jacents (facilités de paiement, couverture d’assurance, services après-vente) et la fourniture en propre de services sous-jacents (par exemple services de transport ou services de location de courtes durée).

Responsabilité des plateformes
A propos des services fournis par ces plateformes, la Commission européenne rappelle tout d’abord que les services de base de la société de l’information ne peuvent être soumis à aucun régime d’autorisation préalable ou à toute autre exigence équivalente. Elle indique ensuite que la fourniture de services sous-jacents peut être soumise aux exigences d’autorisation de la réglementation sectorielle correspondante et qu’une plateforme collaborative exerçant un contrôle ou une influence importants sur le prestataire de service sous-jacent doit pouvoir être considérée comme fournissant
le service sous-jacent. Elle précise enfin que la fourniture de services d’assistance
ne constitue pas en soi la preuve de l’existence d’un contrôle ou d’une influence importants, mais que « plus les plateformes collaboratives gèrent et organisent la sélection des prestataires sous-jacents ainsi que la manière dont ces services sous-jacents sont fournis, plus il devient évident que la plateforme collaborative peut être considérée comme fournissant elle-même également les services sous-jacents ».

Les orientations de la Commission européenne sur les « régimes de responsabilité » des plateformes collaboratives distinguent également entre les services intermédiaires de la société de l’information et les services connexes, accessoires ou sous-jacents. Les services intermédiaires de la société de l’information bénéficient de l’exemption
de responsabilité sur les informations stockées telle que prévue dans la directive commerce électronique, dès lors que le service conserve un caractère purement technique, automatique et passif sans contrôle ni connaissance des informations.
Cette exemption s’applique ainsi aux plateformes collaboratives pour leurs prestations de services d’hébergement. Elle est cependant limitée à ces prestations et ne s’applique pas à leurs services connexes, accessoires et sous-jacents. @

ZOOM

Le France encadre l’économie du partage depuis 2014
• Par la loi du 1er octobre 2014 relative aux taxis et aux voitures de transport avec chauffeur interdisant « tout service de mise en relation de personnes avec des particuliers qui se livrent au transport routier de personnes à titre onéreux sans être
des entreprises de transport routier ou des taxis, des véhicules motorisés à deux ou trois roues ou des voitures de transport avec chauffeur » (6) – interdiction attaquée devant la Commission européenne par la société Uber ( le 17 février 2015. Uber devait faire de même contre
l’Allemagne et l’Espagne.
• Par la loi « Macron » du 6 août 2015 pour la croissance, l’activité et l’égalité des chances économiques, introduisant dans le Code de la consommation une obligation d’information, de loyauté et de transparence à l’égard de « toute personne dont l’activité consiste à mettre en relation, par voie électronique, plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un bien ou d’un service » (8) ;

• Par la loi de finances pour 2016, du 29 décembre 2015, prévoyant que ces intermédiaires « sont tenues [depuis le 1er juillet 2016, ndlr] de fournir, à l’occasion de chaque transaction, une information loyale, claire et transparente sur les obligations fiscales et sociales qui incombent aux personnes qui réalisent des transactions commerciales par leur intermédiaire » (9) ;

• Par le projet de loi pour une République numérique (qui doit encore être adopté définitivement en septembre au Sénat) envisageant de soumettre les plateformes à une obligation d’information « loyale, claire et transparente sur les conditions générales d’utilisation du service d’intermédiation », à l’obligation de faire « apparaître clairement l’existence d’une relation contractuelle avec la personne référencée, d’un lien capitalistique avec elle ou d’une rémunération à son profit, dès lors qu’ils influencent
le classement ou le référencement des contenus, des biens ou des services proposés » et à une obligation de déclaration à l’administration fiscale un ensemble d’informations concernant leurs utilisateurs « présumés redevables de l’impôt en France au titre des revenus qu’ils perçoivent par l’intermédiaire de la plateforme » (10) ;

• Par le rapport Terrasse sur l’économie collaborative remis en février 2016 au Premier ministre (11) , soulignant notamment que le régime juridique prévu par la directive sur le commerce électronique semble « de plus en plus inadapté au rôle actif que jouent les plateformes » et que « le régime de responsabilité des plateformes doit être redéfini au niveau européen ». @