L’Arcep est attendue sur l’analyse du secteur des infrastructures gigabit aux entreprises

Le cadre législatif du « marché numérique unique » a fondé son programme de « numérisation des entreprises » sur la « connectivité gigabit » en boucle locale et sur les « services numériques avancés » en nuage. L’Arcep doit l’intégrer dans ses analyses et sa régulation du « marché entreprises ».

Par Christophe Clarenc, avocat, cabinet DTMV & Associés

Les documents de consultation publique publiés par l’Arcep en vue du cycle 2024- 2028 de régulation des marchés du haut et du très haut débit fixe pour les entreprises (son « bilan et perspectives » de juillet 2022 et son projet de décision « marché 2 de fourniture en gros d’accès de haute qualité » de février 2023 (1)) ne sont pas au rendez-vous du cadre et des cibles d’analyse, de bilan et de feuille de route tracés dans la communication « Connectivité gigabit » de 2016 de la Commission européenne (2) et fixés dans la décision législative « Cibles numériques à l’horizon 2030 » de décembre dernier (3).

Gigabit aux entreprises : marché « cible »
Cette décision « Cibles numériques à l’horizon 2030 » poursuit le programme de « transformation numérique de l’Union européenne » en fixant aux Etats membres des « cibles numériques » à l’horizon 2030 dans les domaines connexes : des « réseaux fixes de connectivité gigabit jusqu’au point de terminaison du réseau » ; des « infrastructures numériques d’informatique en nuage, d’informatique en périphérie, de gestion des données et d’intelligence artificielle » ; de la « numérisation » des entreprises et des services publics à travers ces réseaux et ces infrastructures, ce avec une « feuille de route nationale » (comportant les « trajectoires prévisionnelles » et les « investissements et ressources nécessaires ») à présenter « le 9 octobre 2023 au plus tard », et un suivi de leurs « performances » et « progrès » dans l’Indice de l’économie et de la société numériques (DESI) annuellement publié par la Commission européenne. S’agissant des « réseaux fixes en gigabit », la décision de décembre 2022 a fixé à l’horizon 2030 une cible de « couverture de tous les utilisateurs finaux » au premier rang desquels les entreprises. Cette cible est à rapprocher de l’objectif « pour 2025 » qui avait été fixé en 2016 par la Commission européenne dans sa communication « Connectivité gigabit ». Elle appelait le secteur des télécommunications à un déploiement accéléré et massif des nouveaux « réseaux à très haute capacité » (VHCN) en fibre optique jusqu’au point de terminaison – réseaux « FTTP » dans le DESI recouvrant les boucles locales optiques (BLO) dédiées (BLOD) et mutualisées sur FTTH (BLOM) – assurant une « connectivité Internet en gigabit » (symétrique descendante/montante d’au moins 1 Gbit/s) considérée comme nécessaire pour l’utilisation par les entreprises des « solutions de transformation numérique » fournies dans les plateformes d’informatique en nuage. La Commission européenne proposait à cet effet une réforme du cadre réglementaire des télécommunications pour faire de « l’accès à la connectivité à très haute capacité et de sa pénétration sur le marché un objectif de la régulation », avec des conditions « incitatives, stables et homogènes » pour les opérateurs investisseurs leur assurant un « retour sur investissement », des conditions de « concurrence fondée sur les infrastructures dans les zones denses où plusieurs réseaux peuvent coexister » et des conditions « favorisant le Co investissement et les modèles d’opérateurs réservés au marché de gros » dans les autres zones. Elle formulait avec cette réforme un « objectif stratégique pour 2025 de connectivité en gigabit pour l’ensemble des principaux pôles de l’activité socio-économique ».
Cette réforme est venue par la directive européenne du 11 décembre 2018 établissant le nouveau code des communications électroniques européen (4) et visant « à mettre en œuvre un marché intérieur des réseaux et des services de communications électroniques qui aboutisse au déploiement et à la pénétration des réseaux à très haute capacité ». La Commission européenne a présenté en février 2023 une proposition de « Gigabit Infrastructure Act » (5) visant à faciliter le déploiement des BLO dans les infrastructures de génie civil alternatives.

Bilan et trajectoire sur « l’objectif 2025 »
Le DESI 2022 (6) classe la performance de la France au 5e rang des Etats membres dans l’indice « Connectivité », avec en particulier un taux de couverture de 63 % pour les réseaux FTTP contre 50 % pour la moyenne des Etats membres.
L’analyse bilantielle et prospective du « marché entreprises »* présentée par l’Arcep pour le cycle 2024- 2028 n’est pas au rendez-vous de ce cadre et de ces conditions. Elle ne désigne pas et ne définit pas ce marché « cible » des réseaux et services gigabit sur BLO en marché pertinent de référence et structurellement distinct des autres marchés de détail et de gros du haut et du très haut débit fixe. Elle ne présente pas d’état des lieux ni a fortiori de feuille de route des « investissements et ressources nécessaires » concernant « l’objectif 2025 de connectivité en gigabit pour l’ensemble des principaux pôles de l’activité socio-économique » au regard à la fois de la cartographie des BLOD et des BLOM-FTTH déployées en concurrence par les opérateurs investisseurs et de l’état des mises en service FTTH Pro, FTTH+ et FTTE par chacun des opérateurs FTTH concernés dans leurs zones.

Concurrence sur le « marché entreprises »
Le bilan de l’Arcep voit une « concurrence insuffisante » qui ne correspond pas à son objectif annoncé en 2016 – et atteint – de « stimuler une concurrence à au moins trois opérateurs investisseurs sur le segment entreprises », ni à ses données de structure et de niveau des parts de marchés concurrentiels sur les marchés de détail concernés. Il ne répond pas non plus au critère de « concurrence effective » fixé dans la réglementation sectorielle, ni aux conditions symétriques du déploiement des BLO. Et il ne prend pas en compte par ailleurs la présence, le poids et la pression des grands fournisseurs de services intégrés d’informatique en nuage et de communications interpersonnelles non fondés sur la numérotation sur ce « marché entreprises ».
Dans son « bilan et perspectives » de juillet 2022 (7), l’Arcep relève que « les entreprises françaises, et en particulier les plus petites, accusent un retard dans leur transformation numérique ». « Si elles disposent généralement d’au moins un accès à Internet, elles ont un moindre usage du numérique que leurs homologues européennes. Ainsi, les entreprises localisées en France se positionnent à la 19e place en matière d’intégration des technologies numériques selon le “Digital scoreboard” [faisant alors référence au DESI 2021, ndlr] établi par la Commission européenne ». Et d’ajouter : « Dans la mesure où la connectivité est la porte d’accès des entreprises aux solutions numériques, l’Arcep a identifié depuis ces dernières années la connectivité des entreprises comme l’un de ses chantiers prioritaires ». La France est pourtant au 5e place en matière de connectivité…
L’indice « Intégration des technologies numériques » (ITN) du DESI de la Commission européenne mesure les « progrès » de la numérisation des entreprises dans chaque Etat membre à travers l’évolution de leurs taux et niveau d’adoption des « 12 technologies numériques sélectionnées » comme « indicateurs de performance » pour cet indice, dont en particulier les « technologies avancées » du « cloud », du « big data » et de l’« AI ». La décision de décembre 2022 a fixé à l’horizon 2030 une cible d’adoption de ces trois services avancés par au moins 75 % des entreprises et une cible d’adoption d’un « niveau élémentaire d’intensité numérique » (adoption d’au moins quatre des « technologies » cataloguées dans l’indice ITN) par plus de 90 % des TPE.
Le DESI 2022 affiche pour les entreprises françaises des niveaux de taux d’ITN contrastés entre eux et par rapport à la moyenne de l’Union européenne (UE) : un taux de 25 % pour les services cloud, par rapport à un taux moyen UE de 34 % ; un taux de 22 % pour les services big data, par rapport à un taux moyen UE de 14 % ; un taux de 7 % pour les services AI, par rapport à un taux moyen UE de 8 % ; et un taux de 47 % pour les TPE au « niveau élémentaire d’intensité numérique », par rapport à un taux moyen UE de 55 %. La diversité de ces taux d’ITN des entreprises françaises rapportée à l’indice de connectivité en France tend à montrer que les conditions du marché des services de connectivité aux entreprises en France sont sans rapport avec leur taux et leurs politiques d’ITN. L’ITN des entreprises s’est très largement traduite par une « migration » dans les infrastructures numériques des trois grands fournisseurs américains de services intégrés d’informatique en nuage (Amazon Web Services, Microsoft Azure et Google Cloud), qui « concentrent l’essentiel du marché en volume et en croissance » selon les propres termes de l’Autorité de la concurrence (8).

Périmètre des « infrastructures numériques »
L’Arcep serait ainsi bienvenue d’intégrer la présence et le poids des grands fournisseurs de services intégrés d’informatique en nuage et de communications interpersonnelles non fondés sur la numérotation dans son analyse du secteur des infrastructures et des services gigabit aux entreprises, en convergence à la fois avec : le règlement « Marchés Numériques » (DMA) de 2022 (9) qui a classé ces services dans la liste des « services de plateforme essentiels » ; avec la directive « Sécurité des Réseaux et des Systèmes d’Information » (NIS 2) (10) qui a classé et regroupé ces fournisseurs et les opérateurs de communications électroniques dans le même secteur convergent des « infrastructures numériques » ; et avec la décision législative de 2022 qui appelle à une « feuille de route nationale » également pour le déploiement des « nœuds périphériques » de l’informatique en périphérie. @

* Le « marché entreprises » recouvre l’ensemble des entreprises (TGE, MGE, PME, TPE et Petits Professionnels) et des entités publiques (administrations, établissements publics, collectivité territoriales) qui se fournissent pour les besoins de leur activité socio-économique.

Le marché unique a 30 ans, pas celui du numérique

En fait. Le 1er janvier 2023, le marché unique européen a eu 30 ans. Il comprend 27 Etats membres depuis le Brexit de janvier 2020 – contre 12 lors de sa création en 1993. Internet alors embryonnaire n’était connu que des centres de recherche et des universités. Le « Digital Single Market », lui, émerge en 2015.

En clair. Si le marché unique européen a 30 ans au 1er janvier 2023, il n’en va pas de même pour le marché unique numérique qui est fixé comme objectif en 2015 seulement. Neelie Kroes, auparavant commissaire européenne en charge de l’« Agenda numérique » (2010-2014) en avait rêvé (1) ; la Commission Juncker (2014-2019) en a fait une stratégie pour l’Union européenne. Avant elle, la Commission Barroso (2004-2014) avait bien commencé à poser des jalons d’un « marché unique pour les contenus et les services en ligne » (2), tâche confiée à Neelie Kroes justement (ex-commissaire à la Concurrence), mais il faudra encore attendre pour que le spectre s’élargisse.
C’est seulement le 6 mai 2015 que Jean-Claude Juncker, président de la Commission européenne, lance la stratégie « marché unique numérique pour l’Europe » (3) afin de « casser les silos nationaux dans la régulation télécoms, le droit d’auteur et la protection des données ». Mission sensible confiée alors au duo Andrus Ansip-Günther Oettinger (4), le premier en charge du Marché unique numérique et le second à l’Economie numérique et à la Société. Objectif : déverrouiller les marchés et abolir les frontières. En voulant « briser les barrières nationales en matière de réglementation (…) du droit d’auteur » (licences multi-territoriales, géo-blocage, chronologie des médias, copie privée, exceptions au droit d’auteur, …), Jean-Claude Juncker va faire sortir de ses gonds les industries culturelles redoutant la fin de « l’exception culturelle ». Le Parlement européen, qui avait adopté dès avril 2012 une résolution « sur un marché unique du numérique concurrentiel » (5), puis une seconde en juillet 2013, accueille favorablement le Digital Single Market de Juncker par une troisième en janvier 2016. Des avancées majeures suivront : fin du géo-blocage injustifié, fin des frais d’itinérance mobile, fin des surcoûts de portabilité transfrontalière des contenus en ligne, fin des violations envers la neutralité d’Internet, fin des restrictions à la libre circulation des données, …
La directive sur les « services de médias audiovisuels » à la demande (SMAd) sera adoptée en novembre 2018, celle sur « le droit d’auteur dans le marché unique numérique » en avril 2019, ou encore, sous l’actuelle Commission von der Leyen, les règlements DSA (Digital Services Act) et DMA (Digital Markets Act) adoptés en 2022. @

Europe : iMessage d’Apple enfreint le règlement DMA

En fait. Le 7 septembre, à la conférence Code 2022 de Vox Media, le PDG d’Apple Tim Cook a fait part de son désintérêt pour le nouveau protocole RCS (Rich Communication Services) censé remplacer à terme SMS et MMS. La messagerie iMessage des iPhone de la marque à la pomme n’est pas « DMA-compatible ».

En clair. La messagerie iMessage d’Apple enfreint le règlement européen sur les marchés numériques, le fameux DMA (Digital Markets Act), en étant non-interopérable avec le protocole de messagerie RCS déjà utilisé par plus de 420 millions de mobinautes dans le monde (1). Dans son article 7, le DMA oblige tout « contrôleur d’accès » [gatekeeper], comme Apple, de « rend[re] interopérables au moins les fonctionnalités de (…) messagerie textuelle, (…) partage d’images, de messages vocaux, de vidéos et d’autres fichiers joints ».
Cross-plateforme, RCS – Rich Communication Services – est justement plébiscité comme messagerie instantanée et réseau social multimédia (texte, photo, vidéo, audio, …) fonctionnant sous IP sur les mobiles. Promu par les opérateurs mobiles au sein de la GSMA et par Google, ce standard remplacera à termes les SMS/MMS. Tim Cook, PDG de la marque à la pomme, est censé se mettre en conformité avec le DMA qui a été adopté le 18 juillet dernier (2) et qui sera applicable par les Vingt-sept « six mois après son entrée en vigueur [laquelle est prévue le vingtième jour suivant la publication au Journal Officiel de l’UE, ndlr] » – à savoir d’ici fin 2022 ou début 2023. Apple sera alors obligé de « publier (…) les détails techniques et les conditions générales d’interopérabilité avec [iMessage, ndlr] ». La Commission européenne, elle, pourra consulter les « Arcep » de l’UE au sein du Berec (3) afin de déterminer si « l’offre de référence » d’Apple lui permet de « se conformer avec cette obligation ».
Si l’iMessage des iPhone devait rester incompatible avec la plupart des smartphones en Europe – dont ceux de Samsung, Xiaomi, Huawei, Sony ou encore LG Electronics, tous fonctionnant sous Android –, Apple prendrait le risque d’une amende pouvant aller jusqu’à 10 % de son chiffre d’affaires mondial. Google, lui, est très remonté contre Apple (4). Tim Cook fait la sourde-oreille : « Je n’entends pas nos utilisateurs demander que nous mettions beaucoup d’énergie pour l’instant là-dessus », a-t-il répondu le 7 septembre. « J’adorerais vous convertir à un iPhone », s’est contenté de répliquer le PDG d’Apple pour enterrer toute perspective d’interopérabilité avec RCS. Tim Cook a même lancé un « Achetez un iPhone à votre mère ! » à son interlocuteur qui racontait que celle-ci se plaignait de cette incompatibilité entre iMessage et RCS. @

Le marché unique du numérique et de ses données fait face à un foisonnement de textes législatifs

Les acteurs du numérique et de la data en Europe ne sont pas au bout de leur peine. Le marché est peut-être unique, mais la législation – en vigueur et à venir – est multiple. La mise en œuvre pratique des textes, souvent imbriqués, est complexe et peu intelligible. Petit aperçu de ce labyrinthe.

Si l’Union européenne (UE) a déjà pris plusieurs mesures depuis 2014 afin de faciliter le développement d’une économie des données (1), elle entend, dans le cadre de sa stratégie pour les données et des objectifs fixés pour la « décennie numérique » (2), compléter les textes existants afin de créer de nouveaux droits et obligations destinés à favoriser l’accès et le partage des données, le développement des technologies et la souveraineté numérique. D’où le foisonnement de textes législatifs qui vont bouleverser considérablement l’écosystème de l’économie numérique et des données.

Chantier de la « décennie numérique »
Les principaux acteurs concernés (notamment les fabricants d’objets connectés, les fournisseurs de services d’intermédiation de données et les prestataires de cloud) devront tenir compte de ces nouvelles obligations et anticiper leur entrée en application dans la conception de leurs solutions et de leurs produits, ainsi qu’au sein de leur documentation contractuelle. Pas si simple. Tour d’horizon de ces nouveaux textes :
• Data Governance Act (DGA). Ce règlement sur la gouvernance des données (3) a été adopté le 30 mai 2022 et entrera en application à partir du 24 septembre 2023, avec pour objectif de favoriser la disponibilité des données, de renforcer les mécanismes de partage et d’augmenter la confiance dans les intermédiaires de données. Ainsi, le DGA adresse trois grandes thématiques : conditions d’accès et de réutilisation des « données protégées » détenues par des organismes publics ; régulation des fournisseurs de services d’intermédiation de données ; régulation de l’utilisation altruiste des données. Sur le premier point, le DGA vient compléter la directive « Open Data » de 2019, mais ne crée pas d’obligation de mise à disposition pour les organismes publics (4). Il vient encadrer les réutilisations qui peuvent être faites de ces données protégées en veillant (5) à les préserver (6). Concernant les deux autres points, le DGA crée deux régimes spécifiques et dédiés pour les services d’intermédiation de données (7) et les organisations altruistes en matière de données (8). Les services d’intermédiation de données (data marketplaces ou data pool par exemple) seront soumis à une notification auprès d’une autorité compétente préalablement à tout début d’activité et auront notamment l’obligation de fournir les services selon des conditions équitables, transparentes et non-discriminatoires, de prendre des mesures pour assurer l’interopérabilité avec d’autres services d’intermédiation de données, de mettre en place des mesures de sécurité appropriées pour empêcher l’accès et le transfert illicite de données non-personnelles. Ils devront également notifier aux détenteurs de données en cas d’accès, de transfert ou d’utilisation non-autorisés aux données non-personnelles partagées. De leur côté, les organisations altruistes se verront notamment imposer la tenue d’un registre des utilisations des données, la publication d’un rapport annuel d’activité, des obligations de transparence vis-à-vis des personnes concernées ou des détenteurs de données (objectifs d’intérêt général, finalités des traitements) et de sécurisation des données non-personnelles.
Le DGA crée enfin un régime restrictif de transfert des données non-personnelles hors-UE similaire au régime prévu par le RGPD.
• Data Act (DA). Ce projet de règlement sur les données (9) a été soumis par la Commission européenne le 23 février 2022. Un objectif d’adoption ambitieux a été fixé à mi-2023, pour une entrée en application douze mois après son adoption. Il s’agit de faciliter l’accès aux données et leur utilisation, de favoriser leur portabilité, d’améliorer l’interopérabilité des solutions et infrastructures et enfin de favoriser la création de valeur autour de la donnée. Sont notamment impactés : les fabricants et distributeurs d’objets connectés et les fournisseurs de services connexes basés sur l’utilisation de données générées par ces objets, tout détenteur et destinataire de données, les prestataires et utilisateurs de services cloud (IaaS, PaaS, SaaS) ou encore les opérateurs de data spaces.

Portabilité des données et services de cloud Le DA prévoit notamment des obligations pour les fabricants ou distributeurs d’objets connectés qui viennent compléter les obligations d’information et de portabilité prévues par le RGPD, comme l’obligation d’informer leurs utilisateurs sur les données générées par l’usage des objets et les conditions d’accès et de partage de telles données, ainsi qu’une obligation de mise à disposition gratuite et prompte (le cas échéant en temps réel et continu) des données générées par des objets connectés à leurs utilisateurs ou à un tiers à la demande de l’utilisateur, et ce dans des conditions équitables, raisonnables, transparentes, non-discriminatoires et non-exclusives. Ces obligations sont complétées par des interdictions (par exemple des clauses restreignant les droits des utilisateurs d’objets ou des clauses abusives imposées aux petites et moyennes entreprises). Objets connectés, dossiers médicaux, … Le Data Act impose par ailleurs une série d’obligations aux prestataires de services cloud en matière de migration de données et d’interopérabilité (par exemple supprimer les obstacles commerciaux, techniques et contractuels empêchant le client de porter ses données, applications ou autres actifs numériques vers d‘autres prestataires ; assurer une période transitoire de migration de 30 jours avec assistance ; ou encore assurer la compatibilité de ses services avec les normes d’interopérabilité de la Commission européenne).
• European Health Data Space (EHDS). La proposition de règlement sur l’espace européen des données de santé (10) a été soumise par la Commission européenne le 3 mai 2022. L’UE entend adopter ce texte d’ici 2025, pour une entrée en application douze mois après sa publication. L’objectif est triple : établir les règles régissant l’espace européen des données de santé afin d’améliorer et garantir aux personnes physiques un accès sûr à leurs propres données de santé et un contrôle sur ces données dans le contexte des soins de santé (dite « utilisation primaire ») ; améliorer le fonctionnement du marché unique pour la mise au point et l’utilisation de produits et services de santé innovants fondés sur des données de santé, et veiller à ce que les chercheurs et les entreprises innovantes puissent tirer le meilleur parti des données de santé disponibles pour leurs travaux (dite « utilisation secondaire ») ; établir un cadre juridique uniforme pour le développement, la commercialisation et l’utilisation des systèmes de dossiers médicaux électroniques (DME). Dans le cadre de l’utilisation primaire des données, les citoyens de l’UE auront à leur disposition des droits et mécanismes supplémentaires complétant leurs droits existants au titre du RGPD sur leurs données de santé électroniques.
Concernant l’utilisation secondaire, le projet de règlement EHDS vient encadrer avec précision les pratiques des chercheurs et acteurs de l’industrie de santé (par exemple : limitation des catégories de données pouvant être utilisées, encadrement des finalités autorisées) et leur imposer des obligations (sécurité des solutions utilisées, transparence sur le calcul des redevances générées par l’utilisation secondaire).
• Artificial Intelligence Act (AIA). Cette proposition de règlement sur l’intelligence artificielle (11) a été soumise le 21 avril 2021 par la Commission européenne. L’adoption de ce texte est pressentie à horizon 2024, pour une entrée en application entre 18 et 24 mois après son adoption. Le texte vise à créer les conditions propices au développement et à l’utilisation d’une IA de pointe, éthique, sûre et digne de confiance dans l’UE. Pour se faire, l’approche est technologiquement neutre et le texte met en place des règles impératives, applicables de façon proportionnée en fonction des risques que présentent les systèmes d’IA concernés. Ainsi, les IA présentant un risque inacceptable pour les personnes sont interdites ; celles présentant un haut risque se voient imposer un certain nombre d’obligations; celles présentant un risque faible sont soumises à des obligations de transparence et d’information vis-à-vis des utilisateurs ; et enfin celles présentant un risque résiduel ne sont pas soumises au projet de règlement AIA, mais régulées par l’adoption volontaire de code de conduite et/ou de charte éthique (12).
• Digital Services Act (DSA) et Digital Markets Act (DMA). Un accord politique a été conclu sur le DMA (13) le 24 mars 2022 et sur le DSA (14) le 23 avril 2022, suivi d’un vote final au Parlement européen le 5 juillet dernier. Une fois adoptés respectivement en juillet et en septembre 2022, le DMA entrera en application six mois après l’entrée en vigueur, et le DSA quinze mois après l’entrée en vigueur ou à partir du 1er janvier 2024, la date la plus tardive étant retenue (15).
• Modifications de textes existants. Plusieurs autres textes sont également en cours de révision. La directive NIS (16) est modifiée par le projet de directive NIS2, dont le champ d’application a été considérablement élargi, puisqu’il vise désormais à réguler beaucoup plus d’organisations et entreprises et qu’il renforce les obligations à la charge des acteurs concernés en imposant notamment des obligations renforcées en termes de gestion des risques, de notification des incidents et de divulgation des vulnérabilités (17). La directive Machines (18) devient un projet de règlement Machines (19), visant principalement une numérisation de la documentation en la matière (instructions d’utilisation et déclaration) et la mise en place d’évaluations de conformité (pour certaines catégories de produits). De son côté, la directive ePrivacy (21), transformée en projet de règlement ePrivacy peine à voir le jour depuis la publication de sa première version en janvier 2017. De nombreux points restent encore et toujours en débat, notamment sur le régime applicable au dépôt de cookies et à la prospection commerciale.

Imbrication des textes parfois peu intelligible
Ces textes sont ambitieux et mêlent approche globale et sectorielle. Il en résulte une imbrication parfois peu intelligible des différents mécanismes et obligations pesant sur les acteurs qui multiplient souvent de nombreuses casquettes et entrent donc simultanément dans les champs d’application de plusieurs de ces textes. Bien qu’il soit louable de vouloir emboîter le pas au développement exponentiel de la valeur des données et du numérique, on peut s’interroger sur l’efficacité d’une telle multiplication de textes qui entraîne malheureusement la publication de textes peu aboutis, péniblement interopérables, voire difficilement transposables à la pratique des industries qu’ils visent. @

L’article 17 de la directive « Copyright » validé, le filtrage des contenus sur Internet peut commencer

La Cour de justice européenne (CJUE) a validé le 26 avril 2022 l’article 17 de la directive « Droit d’auteur et droits voisins dans le marché unique numérique ». Le filtrage des contenus mis en ligne soulève des questions. La liberté d’expression et d’information risque d’être la victime collatérale.

En France, aussitôt après que la Cour de justice de l’Union européenne (CJUE) ait – dans un arrêt du 26 avril 2022 – validé le controversé article 17 sur le filtrage des contenus mis en ligne sur Internet, au nom de la lutte contre le piratage, l’Arcom a publié deux questionnaires pour l’ « évaluation du niveau d’efficacité des mesures de protection des œuvres et des objets protégés » par le droit d’auteur et les droits voisins. L’un s’adresse aux fournisseurs de services de partage de contenus (de YouTube à TikTok en passant par Facebook et Twitter). L’autre s’adresse aux titulaires de droits (de l’audiovisuel à la musique en passant par la radio, les podcasts, la presse écrite, les photos, les illustrations, les livres ou encore les jeux vidéo). Ils ont tous jusqu’au 20 juin 2022 pour y répondre (1).

Content ID, Rights Manager, Surys, TMG, …
La France est, parmi les Vingt-sept, le pays qui veut être le bon élève dans la transposition de la directive européenne de 2019 sur « le droit d’auteur et les droits voisins dans le marché unique numérique » (2), censée l’être depuis le 7 juin 2021 par tous les Etats membres. Sans attendre l’échéance, le gouvernement français avait pris une première ordonnance dès le 12 mai 2021 pour transposer (3) les dispositions concernant la responsabilité des plateformes et le fameux article 17.
Maintenant que la CJUE a tranché en faveur de la validité de cet article 17 au regard de la liberté d’expression et d’information, l’Arcom consulte les ayants droit et les plateformes de partage en vue de publier des recommandations (4) pour améliorer l’« efficacité » et la « robustesse » des mesures de protection mises en place par les acteurs du Net concernés, ainsi que leur « transparence », leur « simplicité d’usage » et leur « finesse ». Ces systèmes automatisés et méconnus du grand public se nomment, pour n’en citer que quelques uns : Content ID (YouTube), Rights Manager (Facebook), Audible Magic (5), Signature (Ina), Surys (ex-Hologram Industries, ex-Advestigo), Trident Media Guard (TMG), Kantar ACR (ex-NexTracker et SyncNow de Civolution), Digimarc (acquéreur d’Attributor) ou encore Blue Efficience (6). Ces outils de filtrage de contenus en ligne font de la reconnaissance automatique des ces contenus en recourant soit au « hachage numérique » (hashing), soit au « marquage numérique » (watermarking), soit – de façon plus sophistiquée, automatisée et la plus répandue – à l’« empreinte numérique » (fingerprinting). Mais l’Arcom comme ses homologues de l’Union européenne réunis au sein de l’Erga (7) savent que le filtrage des contenus sur Internet à l’aide de ces outils de protection – pour distinguer entre un contenu illicite et un contenu licite, sans bloquer ce dernier – relève d’un exercice d’équilibrisme entre le droit fondamental de la liberté d’expression et d’information, d’une part, et le droit de propriété intellectuelle, d’autre part.
Autant dire que les régulateurs et les plateformes vont marcher sur des œufs. La Commission européenne avait bien publié le 4 juin 2021 ses lignes directrices sur l’application de l’article 17, en insistant sur « la nécessité d’équilibrer les droits fondamentaux et le recours aux exceptions et limitations [au droit d’auteur et aux droits voisins] » (8). Elle avait aussi prévenu que l’objectif n’était pas de créer une obligation générale de surveillance de l’Internet (9). Mais malgré ses « orientations », les craintes sur la liberté d’expression et d’information ont persisté. Celle-ci est garantie par la Charte des droits fondamentaux de l’Union européenne : « Toute personne a droit à la liberté d’expression. Ce droit comprend la liberté d’opinion et la liberté de recevoir ou de communiquer des informations ou des idées sans qu’il puisse y avoir ingérence d’autorités publiques et sans considération de frontières » (article 11). Et c’est à la suite d’un recours – en annulation de l’article 17 – introduit le 24 mai 2019 par la Pologne que la CJUE a dû mettre les choses au clair vis-à-vis de ces droits fondamentaux, tout en rejetant ce recours avec le soutien de la France, de l’Espagne et du Portugal. Les juges ont suivi – comme souvent à la CJUE – les conclusions que l’avocat général, Henrik Saugmandsgaard Øe (photo), ou usuellement Henrik Øe, avait rendues le 15 juillet 2021 (10).

Varsovie opposé à Paris sur la liberté
Dans sa plaidoirie, la Pologne estime que l’article 17 viole le droit à la liberté d’expression et d’information garanti par l’article 11 de la Charte. Son argumentation était la suivante : « Afin d’être exonérés de toute responsabilité pour le fait de donner au public l’accès à des œuvres protégées par le droit d’auteur ou à d’autres objets protégés qui ont été téléversés par leurs utilisateurs en violation du droit d’auteur, les fournisseurs de services de partage de contenus en ligne sont contraints, en vertu de l’article 17, (….) de procéder, de manière préventive, à une surveillance de l’ensemble des contenus que leurs utilisateurs souhaitent mettre en ligne. Pour ce faire, ils devraient utiliser des outils informatiques permettant le filtrage automatique préalable de ces contenus ». Et Varsovie de conclure : « En imposant, de fait, de telles mesures de surveillance préventive aux fournisseurs de services de partage de contenus en ligne sans prévoir de garanties assurant le respect du droit à la liberté d’expression et d’information, les dispositions litigieuses constitueraient une limitation de l’exercice de ce droit fondamental qui ne respecterait ni le contenu essentiel de celui–ci ni le principe de proportionnalité et qui, par conséquent, ne saurait être considérée comme étant justifiée ».

Trois conditions cumulatifs obligatoires
Le Parlement européen, le Conseil de l’Union européenne, soutenus par la France et l’Espagne, ainsi que par la Commission européenne, se sont inscrits en faux contre ce « moyen unique » soulevé par la Pologne. Dans son arrêt du 26 avril 2022, la CJUE rappelle que l’article 17, introduit « un régime de responsabilité spécifique pour l’hypothèse où aucune autorisation n’est accordée ». Pour autant, les plateformes ne peuvent « s’exonérer de leur responsabilité pour de tels actes de communication et de mise à disposition de contenus violant le droit d’auteur que sous certaines conditions cumulatives » :
Ils ont fourni leurs meilleurs efforts pour obtenir une autorisation.
Ils ont fourni leurs meilleurs efforts, conformément aux normes élevées du secteur en matière de diligence professionnelle, pour garantir l’indisponibilité d’œuvres et autres objets protégés spécifiques pour lesquels les titulaires de droits ont fourni aux fournisseurs de services les informations pertinentes et nécessaires. C’est ce que l’on appelle le principe juridique du « notice and take down » que l’on retrouve aussi aux Etats-Unis dans le Digital Millennium Copyright Act (DMCA).
Ils ont agi promptement, dès réception d’une notification suffisamment motivée de la part des titulaires de droits, pour bloquer l’accès aux œuvres et autres objets protégés faisant l’objet de la notification ou pour les retirer de leurs sites Internet, et ont fourni leurs meilleurs efforts pour empêcher qu’ils soient téléversés dans le futur. C’est l’équivalent cette fois du « notice and stay down » qui n’est cependant pas prévu dans le DMCA malgré la tentative du sénateur américain Thomas Tillis en décembre 2020 de l’introduire. Ce sont ces trois « conditions cumulatives » qu’a dénoncées Varsovie face à l’avocat général de la CJUE soutenu par Paris. L’arrêté rejetant le recours rappelle que les acteurs du Net visés par l’article 17 n’agissent pas seuls : ils n’agissent que s’ils ont reçu de la part des titulaires de droits et dans le cadre d’une procédure de notification « les informations pertinentes et nécessaires » pour agir contre le piratage présumé. Les mesures prises par les plateformes de partage de contenus en ligne se font donc « en coopération avec les titulaires de droits ». Et la CJUE d’assurer que ces filtrages automatiques sur Internet « ne devraient pas avoir pour conséquence d’empêcher la disponibilité de contenus qui ne portent pas atteinte au droit d’auteur, y compris d’œuvres ou d’autres objets protégés dont l’utilisation est couverte par un accord de licence, ou par une exception ou une limitation au droit d’auteur ou aux droits voisins » (considérant 66 de l’arrêt). Car il ne s’agit pas de sacrifier la liberté d’expression, de création et d’information – dont font partie la citation, la critique, la revue, la caricature, la parodie ou le pastiche – sur l’autel du droit de propriété intellectuelle (11). Il est en outre rappelé que l’article 17 prévoit lui-même que son « application (…) ne donne lieu à aucune obligation générale de surveillance » (son huitième point).
Pourtant, certains pourraient dire « et en même temps »…, l’avocat général Henrik Øe avait averti dans ses conclusions rendues le 15 juillet 2021 et suivies comme souvent par la Cour que « pour pouvoir effectuer un tel contrôle préalable, les fournisseurs de services de partage de contenus en ligne sont, en fonction du nombre de fichiers téléversés et du type d’objet protégé en question, (…) contraints de recourir à des outils de reconnaissance et de filtrage automatiques » (points 57 à 69 de ses conclusions). Et l’arrêt du 26 avril 2022 d’abonder : « En particulier, ni les institutions défenderesses ni les intervenants n’étaient en mesure, lors de l’audience devant la Cour, de désigner des alternatives possibles à de tels outils » (considérant 54).

Du fingerprinting au matching, et après ?
Les outils de reconnaissance ou ACR (Automatic Content Recognition), qui recourent à l’« empreinte numérique » (fingerprinting), filtrent automatiquement les œuvres et autres objets protégés par le droit d’auteur et les droits voisins dès que les internautes les « téléversent » sur les plateformes de partage et les réseaux sociaux. S’effectue alors automatiquement une comparaison de ces contenus mis en ligne avec des informations de référence fournies par les titulaires de droit. Lorsqu’il y a correspondance, on parle de « match ». L’ayant droit a alors le choix : soit bloquer le contenu « piraté », soit de le laisser en ligne en étant informé sur son audience, voire de l’ouvrir à de la publicité en ligne pour le monétiser. @

Charles de Laubier