Archives par mot-clé : loi

Lutte contre le piratage audiovisuel : la riposte légale du régulateur et de la justice s’organise

Publié le par

La piraterie – notamment audiovisuelle – est un fléau qui, avec le numérique, peut aller jusqu’à mettre en cause la viabilité de l’industrie de la culture et du divertissement. Pour lutter contre, deux textes de loi (une proposition et un projet arrivés aux Sénat) renforcent l’arsenal judiciaire.

Par Fabrice Lorvo*, avocat associé, FTPA.

Les Etats-Unis ont affiché leur volonté de lutter contre le trafic de marchandises contrefaites et piratées (1), à la suite des propositions (2) qui avaient été formulées sous l’administration Trump (3). Le France, elle, n’est pas en reste avec deux initiatives de lutte contre la piraterie en cours de discussion : une proposition de loi « visant à démocratiser le sport en France » (4) et un projet de loi « relatif à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique » (5).

Une lutte plus « sportive » contre le piratage
• La proposition de loi « Démocratiser le sport en France », adoptée en première lecture par l’Assemblée nationale le 19 mars 2021 et transmise le jour-même au Sénat, vise notamment à lutter contre le streaming illégal. Un de ses articles (l’article 10) est consacré à la « lutte contre la retransmission illicite des manifestations et compétitions sportives ». Certains grands événements sportifs sont le fer de lance de l’audimat. D’après le Conseil supérieur de l’audiovisuel (CSA), 23 des 25 plus fortes audiences de la télévision française au cours de ces trente dernières années sont des événements sportifs (6).
Cependant, l’essor du marché des émissions et des retransmissions sportives a entraîné, sur Internet, une explosion de diffusion sans autorisation des organisateurs d’événements sportifs (OES) – à savoir les fédérations, les ligues, les clubs etc. – ou de leurs ayants droit. Selon l’Association pour la protection des programmes sportifs (APPS), le streaming illégal a causé des pertes économiques de recettes estimées à 500 millions d’euros en 2017 dans le domaine du sport professionnel (7).
Les victimes de ce manque à gagner sont nombreuses : on peut citer notamment l’Etat avec un manque à gagner fiscal et social, les OES, les entreprises chargées du marketing et de la distribution ainsi que les entreprises audiovisuelles, et par ricochet le sport amateur. Ce dernier bénéficie en effet, par le biais de la taxe « Buffet » (8), d’une rétrocession de 5 % du montant des droits de diffusion cédés. Avec cette proposition de loi « Démocratiser le sport en France », il est envisagé de créer une nouvelle procédure judiciaire dite « dynamique ». Elle est instituée, à ce stade, par l’article 10 pour le blocage, le retrait ou le déréférencement des sites web retransmettant illégalement une compétition sportive diffusée en direct sur Internet. Cette procédure prévoit l’intervention de l’autorité judiciaire et de la Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hadopi), laquelle –comme le prévoit par ailleurs le projet de loi « Protection de l’accès aux œuvres » (voir plus loin) – va fusionner avec le CSA pour former l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom).
En cas d’atteintes graves et répétées aux droits d’exploitation audiovisuelle d’un événement sportif, occasionnées par le contenu d’un site de streaming illégal (c’est-à-dire un service de communication au public en ligne dont l’objectif principal ou l’un des objectifs principaux est la diffusion sans autorisation de compétitions ou manifestations sportives), le titulaire des droits sur l’événement sportif (c’est-à-dire l’OES ou son ayant droit à titre exclusif) peut saisir le juge afin d’obtenir toutes mesures proportionnées propres à prévenir ou à faire cesser cette atteinte, à l’encontre de toute personne susceptible de contribuer à y remédier – et notamment les fournisseurs d’accès à Internet (FAI). L’autorité judiciaire pourra ainsi ordonner, au besoin sous astreinte, toutes mesures proportionnées – telles que le blocage, de retrait ou de déréférencement – de sites Internet contrefaisants pour toute la durée d’une compétition, dans la limite de douze mois. Et ce, que les sites web incriminés soient identifiés ou pas de façon à lutter aussi contre les sites miroirs ou de contournement. Ces derniers reprennent en totalité ou en grande partie les contenus d’un site web condamné en justice.

Arcom (ex-Hadopi) : tiers de confiance
La décision judiciaire pourra être rendue publique selon les modalités décidées par le juge, qui se prononce dans un délai « utile » à la protection des droits. A noter que par ailleurs, à la commission des affaires juridique (Juri) du Parlement européen, des eurodéputés ont adopté le 13 avril un pré-rapport recommandant notamment que le blocage puisse être obtenu en 30 minutes après la notification de l’infraction (9). En France, sur la base de la décision judiciaire, les sites web non identifiés à la date où elle a été rendue, mais retransmettant la compétition, pourront également être bloqués. Pour demander le blocage de sites web incriminés, le titulaire de droits devra transmettre à l’Arcom (ex-Hadopi) tous les renseignements utiles à la caractérisation des sites pirates, à charge ensuite pour cette autorité, intervenant ès qualités de tiers de confiance, de vérifier le bien-fondé de ces demandes et le cas échéant, de communiquer au titulaire de droits les données d’identification des sites web concernés. L’article 10 permet également à l’Arcom d’adopter des modèles d’accord-type susceptibles de lutter contre le piratage sportif et d‘inviter les différents acteurs à les conclure. L’ex-Hadopi interviendra comme tiers de confiance et disposera de pouvoirs d’investigation.

Procédure : une réforme plutôt timide
Cet article 10 confie enfin aux agents habilités et assermentés de l’autorité de régulation le pouvoir d’enquêter, de constater les faits de piraterie sportive par procès-verbal, de participer sous pseudonyme à des échanges électro-niques susceptibles de se rapporter à des actes de piraterie sans que cette participation ne puisse avoir pour effet d’inciter autrui à commettre une infraction, puis d’informer les personnes concernées des faits qu’ils ont constatés et leur communiquer tout document utile à la défense de leurs droits.
On ne peut que saluer le côté innovant de cette procédure qui apporte des réponses concrètes aux difficultés techniques auxquelles les victimes sont confrontées (assistance du régulateur pour la constatation des infractions, cas des sites non identifiés ou miroirs, …) mais on regrettera aussi le côté timide de cette réforme. Elle est d’une part limitée aux ayant droit à titre exclusif. Est-ce à dire que, par exemple, les diffuseurs ayant acquis les droits d’exploitation audiovisuelle à titre non exclusif seront laissés de côté ? Qu’ils ne méritent pas une protection dynamique ? Cette réforme est ensuite limitée au cas d’atteintes graves et répétées aux droits d’exploitation audiovisuelle d’un événement sportif. Est-ce à dire que la loi instaure a contrario un « droit de pirater » de manière légère et unique ? Gardons à l’esprit qu’un événement sportif est par nature unique et que tout acte de piraterie porte un coup fatal à sa valeur. La balle est maintenant dans le camp des sénateurs, le texte ayant été renvoyé à la commission de la culture, de l’éducation et de la communication du Sénat en prévision d’une première lecture.
• Le projet de loi « Protection de l’accès aux œuvres », qui a été présenté le 8 avril dernier en conseil des ministres (10) et qui sera discuté au Sénat les 18 et 19 mai prochain, vise à renforcer la lutte contre le piratage audiovisuel. Il a pour objectif de protéger les droits des créateurs en renforçant la lutte contre les sites Internet de streaming, de téléchargement direct ou de référencement, qui tirent des profits de la mise en ligne d’œuvres en violation des droits des créateurs. Pour ce faire, il est proposé la création d’un nouvel acteur doté de nouveaux outils. La mise en œuvre ces nouveaux outils sera confiée à l’Arcom, née de la fusion de l’Hadopi et du CSA. Ce nouveau régulateur, qui disposera de davantage de pouvoirs (procédure de conciliation, pouvoirs d’enquête), sera compétent sur tout le champ des contenus audiovisuels et numériques : lutte contre le piratage, protection des mineurs, lutte contre la désinformation et la haine en ligne. Son pouvoir de contrôle et d’enquête sera ainsi étendu avec des agents assermentés et habilités pour mener des investigations. Concernant les nouveaux outils, il est d’abord prévu la création d’un mécanisme de « listes noires » des sites Internet portant atteinte, de manière grave et répétée, aux droits d’auteur ou aux droits voisins. L’inscription sur la liste (pour une durée maximale de 12 mois), à l’initiative de l’Arcom, fera l’objet d’une procédure contradictoire et pourra être rendue publique. Cette liste pourra appuyer les actions judiciaires des ayants droit. Elle a aussi vocation à responsabiliser les différents acteurs qui souhaiteraient passer des relations commerciales avec ces sites (notamment les annonceurs publicitaires et ceux qui leurs procurent des moyens de paiement). Ceux-ci devront rendre publique au moins une fois par an l’existence de leurs relations avec ces sites web contrefaisant en les mentionnant notamment dans leurs rapports de gestion.
Il est prévu ensuite un dispositif de blocage ou de déréférencement des sites miroirs. Lorsqu’une décision judiciaire « passée en force de chose jugée » a ordonné toute mesure propre à empêcher l’accès à un site contrefaisant, l’Arcom – saisie par un titulaire de droits « partie à la décision judiciaire » – peut, pour une durée ne pouvant excéder celle restant à courir pour les mesures ordonnées par le juge, demander d’une part aux FAI ainsi qu’à tout fournisseur de noms de domaine, d’empêcher l’accès à tout service de communication au public en ligne reprenant en totalité ou de manière substantielle le contenu du service visé par ladite décision, et d’autre part demander à tout exploitant de moteur de recherche, annuaire ou autre service de référencement de faire cesser le référencement des adresses électroniques donnant accès à ces services de communication au public en ligne.

L’autorité judiciaire en dernier recours
Lorsqu’il n’est pas donné suite à la saisine de l’Arcom, que de nouvelles atteintes aux droits d’auteurs ou aux droits voisins sont constatées, l’autorité judiciaire peut être saisie – en référé ou sur requête – pour ordonner toute mesure destinée à faire cesser l’accès à ces services. Que cela soit pour la proposition de loi « Démocratiser le sport en France » ou pour le projet de loi « Protection de l’accès aux œuvres », attendons sereinement la contribution du Sénat à la protection des créateurs. @

* Fabrice Lorvo est l’auteur du livre « Numérique : de la
révolution au naufrage ? », paru en 2016 chez Fauves Editions.

Responsabilité des hébergeurs : renforcer la modération en ligne, mais éviter les censures

Publié le par

Les patrons de Facebook, Google et Twitter ont été auditionnés le 25 mars au Congrès des Etats-Unis sur « le rôle des médias sociaux dans la promotion de l’extrémisme et de la désinformation » (1). Aucun ne s’oppose à une réforme de la responsabilité des plateformes. L’Europe, elle, a pris de l’avance.

Par Olivia Roche, avocate, et Prudence Cadio, avocate associée, cabinet LPA-CGR avocats

L’utilisation toujours plus massive d’Internet par les internautes a progressivement conduit les plateformes à opérer un filtrage renforcé de leurs contenus. A défaut de contours clairs des règles qui leur sont applicables, les hébergeurs endossent ainsi un nouveau rôle de « premier juge » en établissant des standards pour écarter les éventuels abus liés à l’utilisation de leurs services.

Les plateformes, juges et parties
Aujourd’hui, en Europe, les régimes de responsabilité des acteurs de l’Internet résultent principalement de la directive « E-commerce » de 2000 relative à certains aspects juridiques des services de l’information, et notamment du commerce électronique (2). Cette directive européenne a été transposée en droit français par la loi dite « pour la confiance dans l’économie numérique », ou loi « LCEN » (3). Celle-ci distingue, d’une part, les intermédiaires techniques, fournisseurs d’accès à Internet (FAI) et hébergeur et, d’autre part, les éditeurs de contenus, éditeurs de site web et internautes. Les premiers fournissent un accès au public à des services de communications électroniques et leur permettent de stocker les contenus fournis par les destinataires de ce service, tandis que les seconds utilisent ces services comme outils de communication.
Contrairement aux règles applicables aux éditeurs, la LCEN prévoit que les hébergeurs ne sont pas soumis à « une obligation générale de surveiller les informations qu’ils transmettent ou stockent, ni une obligation générale de rechercher des faits ou des circonstances révélant des activités illicites », sans préjudice « de toute activité de surveillance ciblée et temporaire demandée par l’autorité judiciaire » (4). Ainsi, c’est seulement à partir du moment où un contenu illicite est porté à la connaissance de l’hébergeur, que celui-ci doit « agir promptement pour retirer ces données ou en rendre l’accès impossible » (5) – à défaut sa responsabilité étant susceptible d’être engagée. Dès lors, les hébergeurs endossent une responsabilité très limitée dans la mesure où ils ne sont pas tenus de rechercher les contenus illicites parmi ceux qu’ils hébergent. En effet, de même que les FAI, les hébergeurs doivent simplement collaborer à la lutte contre les contenus illicites. Leur responsabilité est limitée aux seuls cas où ils n’auraient pas retiré – promptement – un contenu stocké qu’ils savent manifestement illicite après avoir reçu une notification signalant ce contenu, cette notification étant soumise à des règles précises pour être valide, telles que prévues par la LCEN.
A l’origine, ce régime de responsabilité limitée a été établi pour éviter la censure par les hébergeurs et afin de préserver la liberté d’expression sur Internet. Néanmoins, aujourd’hui, les réseaux sociaux sont de plus en plus présents dans notre environnement en raison du nombre croissant d’utilisateurs et de la multiplication des contenus postés.
Cette explosion de l’utilisation d’Internet a eu pour conséquence le développement d’abus tels que l’incitation à la haine, la violence ou les propos injurieux (mention de l’origine israélienne du père d’April Benayoum, tweets antisémites envers Miss France 2021, affaire de l’influenceur Marvel Fitness, …), ce qui a été renforcé par la possibilité pour les auteurs de rester anonymes. Dans ces conditions, les hébergeurs ont dû dépasser le rôle qui leur avait été initialement été assigné par la directive européenne « E-commerce » et la loi française LCEN en contrôlant davantage les publications mises en ligne via leurs services. L’exposition quotidienne du nombre de contenus mis en ligne et l’impossibilité, en cas de contenus illicites, de saisir autant de juges, au surplus dans un contexte mondialisé, ont contribué au développement de prises de décisions arbitraires et extrajudiciaires par les plateformes numériques elles-mêmes.

Suppressions et risques de censures
Ces opérateurs privés revêtent ainsi progressivement un rôle de « premier juge » dans la mesure où, comme l’a récemment rappelé en France la Cour d’appel de Versailles, ils doivent « prendre toutes mesures techniques » pour « retirer les données illicites ou en rendre l’accès impossible quelles qu’en soient les conséquences » (6). Pour respecter ces obligations, les hébergeurs sont nécessairement amenés à apprécier, de manière autonome et parfois arbitraire, le caractère illicite ou non des contenus partagés via leurs plateformes. Ces systèmes de restriction des réseaux sociaux sont au cœur d’enjeux importants au regard de la liberté d’expression. Un certain nombre d’éditeurs de contenus ou d’utilisateurs de plateformes en ligne ou de réseaux estiment que ces mécanismes se rapprochent aujourd’hui d’une forme de censure de la part des acteurs du Net qui ont pu procéder à des suppressions de contenus jugées abusives.

Techniques de filtrage à encadrer
A titre d’exemples, il y a eu la suspension en janvier 2021 du compte de la militante féministe Mélusine pendant 12 heures suite à un tweet, ainsi que la fermeture en février 2011 du compte de l’enseignant Frédéric Durant qui avait publié une photo du tableau de Gustave Courbet « L’Origine du monde ». Les demandes de retraits se multipliant le rôle des plateformes évolue, celles-ci devant faire un arbitrage dépassant l’appréciation des contenus « manifestement illicites ». Si la viralité des contenus publiés complique la modération, les hébergeurs développent de nouveaux standards qui leur sont propres et leur permettent un contrôle plus accru.
C’est dans ce contexte, où les pratiques de filtrages sur mesure sont mises en œuvre par les plateformes numériques, avec des méthodes souvent floues et nonharmonisées, que les initiatives légales et réglementaires visant à renforcer les obligations des hébergeurs ont été entreprises. La situation actuelle, mais également la volonté de lutter contre la diffusion de contenus haineux ou injurieux en ligne, ont poussé les législateurs à repenser le régime de responsabilité des acteurs de l’Internet. C’est dans cette perspective que la proposition de loi française dite « Avia » (7), visant à lutter contre les contenus haineux sur Internet, avait été portée afin de modifier les dispositions de l’article 6 la LCEN. L’article 1er de la proposition de loi Avia prévoyait notamment que les hébergeurs et les éditeurs disposaient d’un délai d’une heure pour retirer les contenus à caractère terroriste ou pédopornographique notifiés par l’autorité administrative.
Néanmoins, ces dispositions ont été censurées par le Conseil constitutionnel qui a jugé que le dispositif prévu n’aurait fait « qu’inciter les opérateurs de plateforme en ligne à retirer les contenus qui leur sont signalés, qu’ils soient ou non manifestement illicites » et que ces dispositions « portent donc une atteinte à l’exercice de la liberté d’expression et de communication qui n’est pas nécessaire, adaptée et proportionnée » (8). Dans la continuité de la censure partielle de la proposition de loi Avia, un amendement a été porté en janvier 2021 afin d’introduire, au sein du projet de loi confortant « le respect des principes de la République » (9), un mécanisme de contrôle des contenus illicites publiés sur les plateformes en ligne. L’adoption de ce texte permettrait à la France d’anticiper l’entrée en vigueur du règlement européen « Digital Service Act » (DSA) – en cours d’élaboration au sein du Conseil de l’Union européenne et des instances préparatoires (10) – et de se doter de moyens plus efficaces de lutte contre les contenus illicites en ligne.
Cet amendement de « mise en œuvre des procédures et des moyens humains et technologiques proportionnés » (11) vise à compléter le dispositif prévu par la LCEN en créant de nouvelles obligations substantielles à la charge des plateformes numériques en matière de modération des contenus illicites, de transparence quant aux algorithmes utilisés pour retirer des contenus de manière automatisée, ou encore de procédures de traitement des injonctions des autorités judiciaires ou publiques.
Le contrôle de la mise en œuvre de ces obligations serait confié au Conseil supérieur de l’audiovisuel (CSA), en l’occurrence de la future Autorité de régulation de la communication audiovisuelle et numérique (Arcom) issue de la fusion du CSA et de l’Hadopi, qui pourrait prononcer des mises en demeure, éventuellement suivies d’amendes administratives pouvant atteindre 20 millions d’euros ou 6 % du chiffre d’affaires mondial total de l’exercice précédent de la plateforme mise en cause. Ce nouveau dispositif imposerait aux plateformes de l’Internet une meilleure transparence et coopération avec les autorités mais également de publier des conditions générales d’utilisation claires et transparentes, afin de prévoir l’interdiction de mettre en ligne des contenus illicites. Cette réforme obligerait également ces plateformes numériques à détailler leurs moyens et procédures internes pour détecter, identifier et traiter ces contenus illicites, et à prévoir une procédure de recours interne pour contester les décisions de modération qu’elles auraient prises.

Libertés d’expression et de création
Ces tentatives multiples de réforme du statut des hébergeurs de contenus mis en ligne illustrent le principe suivant : si la possibilité d’exprimer ses opinions sur Internet et la liberté de créer ou de caricaturer doivent être protégées, cela doit néces-sairement être concilié avec la sauvegarde de l’ordre public. Compte tenu de ce double objectif, le cadre juridique pertinent est délicat à définir pour protéger la liberté d’expression tout en poursuivant la lutte contre la diffusion massive sur Internet de contenus illicites. @

L’obsolescence programmée prend un coup dans l’aile, avec une loi contre et un indice de réparabilité

Publié le par

Le 12 janvier, le Sénat a adopté à la quasi-unanimité la proposition de loi pour « réduire l’empreinte environnementale du numérique en France ». Est prévu un délit d’obsolescence programmée et d’obsolescence logicielle. Par ailleurs, un indice de réparabilité est en vigueur depuis le 1er janvier.

La proposition de loi visant à « réduire l’empreinte environnementale du numérique en France », adoptée le 12 janvier en première lecture au Sénat, est maintenant entre les mains de l’Assemblée nationale. Le texte a été cosigné par plus de 130 sénateurs de tous bords politiques, parmi lesquels « son principal auteur » : le sénateur Patrick Chaize (photo de gauche), par ailleurs président de l’Association des villes et collectivités multimédias (Avicca).

Qu’on y reprenne plus Apple et d’autres
Selon la chambre haute du Parlement, cette proposition de loi vise notamment à « limiter le renouvellement des terminaux numériques, dont la fabrication est le principal responsable de l’empreinte carbone du numérique en France ». Le texte prévoit ainsi de sanctionner l’obsolescence logicielle, d’améliorer la lutte contre l’obsolescence programmée et de soutenir les activités de reconditionnement et de réparation par une baisse du taux de TVA à 5,5 %. Les pratiques consistant à programmer justement la fin de vie d’un appareil ou d’un terminal, ou d’en détériorer progressivement les performances pour pousser l’utilisateur à en changer, ont déjà fait l’objet de condamnations.
Il y a un an, en France et à la suite d’une plainte de l’association Hop (1), la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) a infligé une sanction pécuniaire à Apple d’un montant de 25 millions d’euros, dont la marque à la pomme s’est acquittée dans le cadre d’une transaction (2). Même si l’accusation d’obsolescence programmée n’a pas été retenue dans cette affaire-là, le fabricant d’iPhone et d’iPad a été condamné pour « pratiques commerciales trompeuses par omission », faute d’avoir informé des détenteurs d’iPhone que les mises à jour du système d’exploitation iOS qu’ils installaient étaient susceptibles de conduire à un ralentissement du fonctionnement de leur smartphone (3). « C’est une première victoire historique contre des pratiques scandaleuses du prêt-à-jeter », s’était félicitée Hop en février 2020, alors que la France promulguait au même moment une loi de « lutte contre le gaspillage et [pour] l’économie circulaire » (4). Selon cette association cofondée en 2015 par Laëtitia Vasseur (photo de droite), sa déléguée générale, la condamnation d’Apple a ouvert la voie à des demandes en dommages et intérêts de la part des clients lésés (5). La firme de Cupertino semble coutumière du fait car les Etats- Unis l’ont aussi condamnée : à l’automne dernier, une trentaine d’Etats américains – excusez du peu – ont contraint Apple à verser pas moins de 113 millions de dollars pour régler un litige portant sur le ralentissement des performances d’iPhone dans le but caché de ménager leurs batteries vieillissantes. Parallèlement, dans le cadre d’une procédure en nom collectif (class action) lancée par des utilisateurs, Apple a accepté de payer quelque 500 millions de dollars pour mettre fin aux poursuites.
En France, Hop fait figure de David contre les « Goliath » de la Big Tech. L’association avait déjà attaqué il y a trois ans le fabricant d’imprimantes Epson et, l’an dernier, accusé Google d’« encourager l’obsolescence culturelle d’appareils » avec une publicité « changez pour Chromebook ». Elle entend aussi convaincre la Commission européenne d’agir dans le cadre de son plan d’action pour une économie circulaire : « Les décideurs européens ont une responsabilité décisive dans la mise en place d’un cadre législatif qui favorise les produits de longue durée », conclut Hop dans son livre blanc en faveur des « produits durables », publié en novembre dernier (6). Depuis, le Vieux Continent avance : la Commission européenne a adopté en mars 2020 son nouveau plan d’action pour une économie circulaire, ou CEAP (7) ; le Parlement européen a approuvé le 25 novembre dernier une résolution intitulée « Vers un marché unique plus durable pour les entreprises et les consommateurs » (8).
La France, elle, commence à passer à l’action sur le terrain dans sa lutte contre l’obsolescence programmée : depuis le 1er janvier 2021, un « indice de réparabilité » est obligatoire pour notamment « les producteurs, importateurs, distributeurs ou autres metteurs sur le marché d’équipements électriques et électroniques », y compris dans le e-commerce.

Longue vie aux ordinateurs et smartphones
Un lot de décret et d’arrêtés – tous datés du 29 décembre 2020 – ont été publiés au J.O. le 31 décembre par le ministère de la Transition écologique (9). Outre le décret instaurant cet indice de réparabilité et un arrêté qui en fixe les modalités d’affichage et de calcul, il y a sept autres arrêtés (par produit), dont un pour les ordinateurs portables et un autre pour les smartphones. Hop a mis en ligne son site d’information produitsdurables.fr. Longue vie à eux ! @

Charles de Laubier

Données de connexion et usage d’algorithmes : les lois françaises en violation des droits fondamentaux

Publié le par

La justice européenne a déclaré illégales les dispositions françaises sur la conservation des données de trafic et de localisation par les opérateurs télécoms, ainsi que par les hébergeurs. Elle a aussi fourni une feuille de route sur l’utilisation de « boîtes noires » dans la lutte contre le terrorisme.

Par Winston Maxwell*, Telecom Paris, Institut polytechnique de Paris

La Cour de justice de l’Union européenne (CJUE) a, le 6 octobre 2020 (1), mis fin à un débat qui existe depuis le 8 avril 2014, date à laquelle elle avait annulé la directive de 2006 sur la conservation des données de trafic (2), estimant que celle-ci était contraire à la Charte des droits fondamentaux de l’UE (3). La CJUE a jugé que cette directive créait une atteinte disproportionnée au droit à la protection des données personnelles parce qu’elle exigeait la conservation généralisée et indifférenciée des données de trafic de l’ensemble de la population.

La France n’a pas (encore) bougé
La CJUE est intervenue une deuxième fois en 2016, annulant les dispositions britanniques et suédoises sur la conservation des données de trafic, précisant de nouveau qu’une obligation de conservation généralisée et indifférenciée était incompatible avec cette même Charte des droits fondamentaux (4). Malgré ces deux décisions de la justice européenne, la France n’a pas bougé, préservant sa législation qui impose, d’une part, la conservation par les opérateurs de communications électroniques des données de connexion et de localisation, et, d’autre part, la conservation par les hébergeurs des données relatives à l’identification des utilisateurs et à leurs activités sur les plateformes numériques.
En plus, après les attentats terroristes de 2015, la France a introduit de nouvelles mesures permettant aux autorités d’utiliser des « boîtes noires » pour analyser l’ensemble des données de trafic des réseaux. Et ce, afin de détecter des signaux faibles de projets terroristes.
La Quadrature du Net (5) a contesté l’ensemble de ces mesures devant le Conseil d’Etat, et celui-ci a envoyé plusieurs questions préjudicielles à la CJUE. Devant cette dernière, le gouvernement français a d’abord défendu sa législation sur le fondement de l’article 4 du Traité sur l’UE qui précise que la protection de la sécurité nationale relève de la compétence exclusive de la France. A titre subsidiaire, le gouvernement français a soutenu que la lutte contre le terrorisme justifiait des mesures de surveillance plus intrusives qu’en matière de criminalité simple, et que les dispositions françaises devaient dès lors être validées compte tenu du risque accru du terrorisme.
Sur le premier point, la CJUE a confirmé que le droit de l’UE ne s’appliquait pas aux activités de renseignement et de protection de la sécurité nationale entreprises par l’Etat lui-même. En revanche, lorsque l’Etat impose aux entreprises privées des obligations telles que la conservation de données, le droit de l’UE s’applique, même s’il s’agit de mesures destinées à lutter contre le terrorisme. Par conséquent, la jurisprudence de la CJUE dans les affaires précitées de 2014 « Digital Rights Ireland » et de 2016 « Tele2 Sverige et Watson » s’applique pleinement à la France.
La CJUE a été d’accord avec la France sur la nécessité d’accorder une marge de manœuvre plus grande aux Etats membres en matière de protection de la sécurité nationale, car la menace est d’une toute autre nature qu’en matière de criminalité. Pour apprécier la proportionnalité de différentes mesures de surveillance, la CJUE établit trois niveaux de gravité :
• Le premier niveau est la protection de la sécurité nationale, y compris la lutte contre le terrorisme. Selon la CJUE, « la prévention et la répression d’activités de nature à déstabiliser gravement les structures constitutionnelles, politiques, économiques ou sociales fondamentales d’un pays, et en particulier à menacer directement la société, la population ou l’Etat en tant que tel », peut justifier une atteinte plus forte aux droits fondamentaux et, notamment, une obligation généralisée de conserver des données de trafic et de localisation. Mais cette obligation ne peut être justifiée que pendant une période limitée durant laquelle il existerait des « circonstances suffisamment concrètes permettant de considérer que l’Etat (…) fait face à une menace grave » pour sa sécurité nationale. Une commission indépendante ou un tribunal doit valider l’existence d’une telle menace.

Les trois niveaux de gravité
• Le deuxième niveau de gravité concerne la lutte contre la criminalité grave et les menaces graves contre la sécurité publique. Pour ce niveau, une obligation de conservation systématique et continue de données est exclue. Selon la CJUE, il faudrait qu’il existe un lien, même indirect, entre les données dont la conservation est demandée, et la détection ou la répression d’un crime grave. Ainsi, les demandes de conservation de données de trafic et de localisation doivent être ciblées, concernant un groupe particulier de personnes, ou une zone géographie à risque, par exemple les données de trafic autour d’une gare. En revanche, s’il s’agit uniquement des adresses IP, ceux-ci peuvent être stockés de manière généralisée, selon la justice européenne.
• Le troisième niveau concerne toutes les formes de criminalité. Seul le stockage des données relatives à l’identité civile des utilisateurs peut être envisagé. La conservation d’autres données est exclue.
Cette approche graduée découle naturellement de la jurisprudence de la CJUE en matière de proportionnalité – plus la menace pour l’Etat et les citoyens est élevée, plus le niveau d’ingérence avec la vie privée peut être élevé.

Algorithmes de détection en temps réel
La France devra donc réécrire ses lois pour introduire une différenciation entre les menaces graves pour la sécurité nationale (menaces de niveau 1), menaces graves pour la sécurité publique et lutte contre la criminalité grave (menaces de niveau 2), et lutte contre la criminalité ordinaire (menaces de niveau 3). A chaque niveau correspondra des règles adaptées en matière de conservation des données.
L’autre leçon de la décision de la CJUE concerne la régulation des algorithmes utilisés par l’administration française pour détecter des projets terroristes. Depuis la loi de 2015 sur les techniques de renseignement (6), les services spécialisés – désignés par décret en Conseil d’Etat – ont la possibilité de procéder à l’analyse automatique des données de trafic et de localisation en temps réel afin de détecter des signaux faibles d’activités terroristes. Cette possibilité est strictement encadrée par la Commission nationale de contrôle des techniques de renseignement (CNCTR (7)), et la période d’expérimentation doit prendre fin le 31 juillet 2021. Le gouvernement a récemment proposé d’étendre la période d’expérimentation des algorithmes jusqu’à fin décembre 2021.
L’utilisation de l’intelligence artificielle pour lutter contre le terrorisme est controversée, car les algorithmes sont faillibles et peuvent tirer des conclusions erronées et discriminatoires. Dans sa décision du 6 octobre, la CJUE fournit une feuille de route sur la possibilité de déployer ces outils.
D’abord, la justice européenne confirme que l’analyse des données de trafic et de localisation en temps réel constitue une ingérence « particulièrement grave » avec la protection de la vie privée. Le déploiement d’un tel dispositif doit être prévu par une loi claire et précise qui définit les limites et les mesures de protection accompagnant le dispositif. La CJUE indique que le dispositif ne peut se justifier qu’en présence d’une menace grave pour la sécurité nationale qui s’avère « réelle et actuelle ou prévisible ». Un tribunal ou autorité administrative indépendante doit contrôler l’existence d’une telle menace, et ses décisions doivent avoir un effet contraignant. En ce qui concerne l’algorithme lui-même, les modèles et critères préétablis doivent être « spécifiques et fiables, permettant d’aboutir à des résultats identifiant des individus à l’égard desquels pourrait peser un soupçon raisonnable de participation à des infractions terroristes et, d’autre part, non discriminatoires ». Les modèles et critères préétablis ne peuvent se fonder seulement sur des données sensibles. Les termes utilisés par la CJUE suggèrent que l’algorithme pourrait éventuellement s’appuyer – en partie – sur des données sensibles, ce qui semble en contradiction avec le règlement général sur la protection des données (RGPD) en vigueur au niveau européen. La CJUE indique ensuite que tout algorithme comporte un taux d’erreur, et que tout résultat positif doit être soumis à un réexamen individuel par un analyste humain avant la mise en œuvre d’autres mesures de surveillance. Cette exigence de la CJUE pose la question de la compréhension de la recommandation algorithmique par l’analyste humain et sa capacité de contredire l’algorithme. Pour qu’il y ait une vraie intervention humaine, l’algorithme doit être en mesure d’expliquer pourquoi il a détecté des signaux faibles d’activités terroristes, et l’analyste humain doit être en mesure d’apporter une analyse critique par rapport à l’explication donnée par l’algorithme. Lorsque l’algorithme s’appuie sur des techniques d’apprentissage-machine (machine learning), de telles explications peuvent s’avérer difficiles. La CJUE impose un réexamen régulier de l’algorithme et les données utilisées pour garantir l’absence de discrimination et le caractère strictement nécessaire du dispositif à la lumière de la menace terroriste. La fiabilité et l’actualité des modèles et critères préétablis, et les bases de données utilisées, doivent également être revues régulièrement par une autorité de contrôle, soit une forme de suivi dynamique. Enfin, si l’algorithme débouche sur la surveillance plus poussée d’un individu, celui-ci doit être informé dès le moment où cette communication n’est pas susceptible de compromettre les missions incombant aux autorités.

Renseignement : la loi française à réécrire
Réunie le 7 juillet 2020, la commission de la Défense nationale et des Forces armées de l’Assemblée nationale a estimé que le recours aux algorithmes était utile et nécessaire dans lutte contre le terrorisme et devrait être pérennisé, voire étendu pour permettre l’analyse d’autres données, telles que des URL (8) de sites web consultés (9). Au moment de sa séance, la commission parlementaire avait connaissance de l’affaire pendante devant la CJUE et a reconnu que celle-ci pourrait avoir un profond impact sur les méthodes utilisées en France. Elle ne s’y est pas trompée : la décision du 6 octobre impose une réécriture de la loi française sur les techniques de renseignement. @

* Winston Maxwell, ancien avocat, est depuis juin 2019
directeur d’études Droit et Numérique à Telecom Paris.

Joe Biden aux GAFA : « Je t’aime… moi non plus »

Publié le par

En fait. Le 3 novembre, a eu lieu l’élection présidentielle américaine afin d’élire au scrutin indirect le président des Etats-Unis. Le 7 au soir, malgré l’incertitude sur le résultat final, Joe Biden s’est proclamé sur Twitter 46e président – successeur de Donald Trump. Sur le front des Big Tech, c’est le soulagement. Quoique.

En clair. La future administration « Biden » sera-t-elle plus pro-Tech et pro-GAFA que ne l’a été l’administration « Trump » ? Rien n’est moins sûr, même si plusieurs grands patrons de la Big Tech se sont précipités pour applaudir la victoire de Biden – mettant un terme aux relations tumultueuses de Trump avec eux (les décrets limitant les visas pour les salariés étrangers diplômés pourraient être abrogés).
Le futur 46e président des Etats-Unis s’est plus entouré d’universitaires et d’anciens fonctionnaires de l’ancienne administration « Obama ». Alors qu’il y a quatre ans l’ex-futur 45e président était plus cornaqué par des industriels et des conservateurs favorables à moins de réglementation. Joe Biden est plus pour l’intervention de l’Etat fédéral, ce qui pourrait aboutir à un renforcement des lois antitrust. De quoi faire frémir les GAFA, déjà sous le coup d’enquêtes – avec menaces de démantèlement – ouvertes sous l’administration Trump. Selon le think-tank Washington Center for Equitable Growth (WCEG), pro- Démocrate (1), l’élection de Biden annonce plus de concurrence et moins de positions dominantes. Google, la filiale d’Alphabet accusée par département de la Justice (DoJ) d’abus de position dominante (lire p. 4), se retrouve en tête de liste de la politique antimonopole du prochain locataire de la Maison-Blanche. Joe Biden pourrait même fait sien le rapport « antitrust » publié début octobre par la Chambre des représentants des Etats-Unis, où la Federal Trade Commission (FTC) reconnaît ses « graves erreurs » d’avoir laissé Facebook racheter Instagram et WhatsApp (2). Du côté d’Amazon, déjà sous le coup depuis le 10 novembre d’une deuxième enquête de la Commission européenne sur ses pratiques anti-concurrentielles (3), le prochain président américain pourrait non seulement en faire de même mais aussi ouvrir la voie à la réforme du « Communications Decency Act » (4) sur la responsabilité des plateformes du Net.
Deux femmes, dont les noms circulaient déjà pour de hautes fonctions, pourraient incarner cette politique antitrust « à la Biden » : Kamala Harris, qui sera investie le 20 janvier 2021 vice-présidence des Etats-Unis, et Terrell McSweeny, qui est pressentie pour présider l’an prochain la FTC ou le DoJ. Quant à la Chine et à ses Big Tech (5) mis en cause par Trump sur fond de bras de fer commercial sino-étatsunien, ils espèrent pouvoir enterrer la hache de guerre. @