Digital Services Act (DSA) et Digital Markets Act (DMA) : l’Europe vise une régulation équilibrée du Net

Présenté par la Commission européenne le 15 décembre 2020, le paquet législatif « DSA & DMA » – visant à réguler Internet en Europe, des réseaux sociaux aux places de marché – relève d’un exercice d’équilibriste entre régulation des écosystèmes et responsabilités. Son adoption est espérée d’ici début 2022.

Par Laura Ziegler, Sandra Tubert et Marion Moine, avocates, BCTG Avocats

La digitalisation croissante de la société et de son économie a fait naître de nouvelles problématiques sociétales et juridiques que l’arsenal législatif jusqu’alors disponible – en particulier la directive européenne « E-commerce » adoptée il y a plus de vingt ans (1) et transposée en 2004 pour ce qui concerne la France (2) – ne parvient plus à réguler efficacement. Les exemples d’actualité sont nombreux : des contenus illicites ou préjudiciables postés sur les réseaux sociaux, à l’opacité des algorithmes aux conséquences néfastes, … Bien qu’ayant pour ambition commune de réguler le monde digital, le DSA et le DMA poursuivent chacun un objectif distinct.

L’ombre de la directive « E-commerce »
Le projet de DSA. Ce règlement a vocation à remplacer les dispositions relatives à la responsabilité des prestataires de services intermédiaires contenues dans la directive « Ecommerce » (3), et à abandonner la distinction actuelle et quelque peu dépassée entre éditeur et hébergeur. Il vise à établir des règles harmonisées concernant la fourniture de « services intermédiaires », notion qui s’interprète toujours largement et englobe à la fois le transport (4) et la transmission (5) d’informations sur un réseau de communication, la fourniture d’un accès au réseau de communication, ainsi que l’hébergement de données.
En pratique, seront donc concernés : fournisseurs d’accès Internet, bureaux d’enregistrement de noms de domaine (registrars), hébergeurs « cloud » et web, marketplaces, boutiques d’applications (app stores), réseaux sociaux et autres plateformes agissant en qualité d’intermédiaires (plateforme d’économie collaborative, etc.). Plus particulièrement, le DSA aspire à établir un cadre de responsabilité pour les prestataires de services intermédiaires, et à leur imposer des diligences raisonnables qui diffèrent selon la catégorie dont ils relèvent (6) et qui sont au nombre de quatre : services intermédiaires offrant une infrastructure réseau, services d’hébergement, plateformes en ligne réunissant vendeurs et consommateurs et très grandes plateformes. Ces règles trouveront à s’appliquer aux prestataires qui fournissent des services à des destinataires (7) ayant leur lieu d’établissement ou leur résidence dans l’Union européenne (8). Le lieu d’établissement des prestataires est donc sans incidence, dès lors qu’ils présentent un « lien substantiel » avec le territoire européen (9). Evidemment, tous ces prestataires de services intermédiaires ne se verront pas appliquer les mêmes régimes.
S’agissant tout d’abord de leur responsabilité, aucun bouleversement annoncé. En effet, les projets d’articles 3 et 4 du DSA – concernant les services dits de « mere conduit » et de « caching » – reprennent quasiment à l’identique les dispositions des articles 12 et 13 de la directive « Ecommerce » de 2000 : ils ne sont pas responsables des informations qu’ils transportent et/ou transmettent dès lors qu’ils n’ont, en substance, pas une connaissance effective de l’activité ou du contenu illégal ou à défaut, dès lors qu’ils ont agi promptement pour retirer le contenu en cause.
Pas de grand changement non plus pour les hébergeurs qui bénéficieront toujours du régime de responsabilité atténuée. La seule nouveauté relative figure sous son article 5.3. : le régime de responsabilité atténuée ne sera pas applicable si un consommateur concluant un contrat à distance avec des professionnels via une plateforme en ligne est conduit à croire que l’information, le produit ou le service faisant l’objet de la transaction est fournie par cette dernière directement, ou par un destinataire du service agissant sur son autorité ou son contrôle. L’avenir nous dira si ces nouvelles dispositions conduiront les juridictions à adopter une approche plus stricte que celle de l’actuelle jurisprudence basée sur l’interprétation du « rôle actif » des intermédiaires. En revanche, le DSA n’envisage pas d’imposer aux prestataires de services intermédiaires (10) une obligation générale de surveillance (11). Ils y seront cependant encouragés puisque les enquêtes d’initiative volontaires « visant à détecter, identifier, supprimer ou désactiver l’accès à un contenu illégal, (…) » ne leur feront pas perdre le bénéfice de l’exemption de responsabilité (12).

Transparence accrue des intermédiaires
S’agissant ensuite des diligences et obligations qui seront mises à la charge de ces acteurs, certaines seront spécifiques à la catégorie à laquelle ils appartiennent, d’autres seront communes. On relèvera parmi ces dernières, la création d’un « point de contact » permettant une communication directe par voie électronique et l’intégration, dans leurs conditions générales, d’informations rédigées dans un langage clair et sans ambiguïté, sur les politiques, procédures, mesures et outils utilisés à des fins de modération du contenu, y compris sur les algorithmes utilisés pour prendre des décisions. Toujours dans un objectif de transparence accrue, les intermédiaires devront également publier des rapports annuels sur leur activité de modération de contenus. Cette exigence ne devrait pas s’appliquer aux petites et micros entreprises mais devrait être renforcée pour les plateformes en ligne et très grandes plateformes.

Statuts d’hébergeur et contenus illégaux
Concernant plus spécifiquement les services d’hébergement, ceux-ci devront mettre en place des mécanismes d’accès faciles et conviviaux permettant à toute personne de les informer de l’existence de contenus illégaux. Toute décision de suppression ou de désactivation d’un accès à des informations devra en outre faire l’objet d’une information motivée par l’intermédiaire à l’utilisateur concerné (13). Les plateformes en ligne devront en outre créer un système gratuit de traitement des réclamations par voie électronique au sujet des décisions qu’elles sont susceptibles de prendre (modération, suspension, suppression ou résiliation d’un service ou d’un compte utilisateur). Elles auront d’ailleurs, dans ce cadre, l’obligation de suspendre pendant un délai raisonnable, après avertissement, les comptes utilisateurs à partir desquels des abus seront commis (publication de contenus manifestement illicites, et notifications et/ou plaintes manifestement infondées).
Les plateformes mettant en relation commerçants et professionnels devront enfin, procéder à des vérifications élémentaires de l’identité et des coordonnées de ces derniers. Les très grandes plateformes en ligne (14) devront quant à elles procéder, au moins une fois par an, aux études et audits nécessaires pour leur permettre notamment d’identifier les risques systémiques significatifs résultant du fonctionnement et de l’utilisation de leurs services (15). Elles devront également désigner un ou plusieurs responsables de la conformité qui seront chargés de contrôler le respect du règlement DSA. A l’image des « Data Protection Officer » (DPO), ceux-ci devront notamment, faire l’objet d’une désignation officielle auprès des organismes compétents et pouvoir s’acquitter de leurs tâches de manière indépendante. Enfin, les très grandes plateformes pourront être contraintes de fournir un accès à leurs données, en particulier à des chercheurs agréés (16).
Le projet de DMA. Ce règlement-ci ne s’appliquera qu’aux « gatekeepers » ou « contrôleurs d’accès » qui fournissent à des utilisateurs, professionnels ou non, situés dans l’Union européenne (17), des services en ligne essentiels (18). Un prestataire de services essentiels sera présumé être un gatekeeper si celui-ci répond aux trois critères cumulatifs suivants : avoir un impact significatif sur le marché intérieur (en fonction de seuils de chiffre d’affaires et de la valorisation de l’entreprise) ; exploiter un service de « plateforme essentiel » qui sert de passerelle majeure pour les utilisateurs professionnels pour atteindre les consommateurs finaux ; bénéficier d’une position enracinée et durable ou être en voie de bénéficier d’une telle position dans un proche avenir. Le contrôle de l’atteinte de ces seuils quantitatifs incombera tout d’abord aux prestataires de services qui en informeront la Commission européenne. Les gatekeepers fraichement nommés disposeront d’un délai de six mois pour se conformer aux obligations du règlement. Ces désignations pourront bien sûr être reconsidérées, modifiées ou abrogées par la Commission à la lumière de l’évolution des éléments de contexte.
S’agissant de l’étendue de ses obligations, un gatekeeper ayant une position enracinée et durable se verra imposer davantage d’obligations que ceux en voie d’en bénéficier. Dans ce contexte, le règlement introduit plus de quinze obligations et interdictions, parmi lesquelles l’interdiction des pratiques visant à empêcher leurs utilisateurs professionnels de proposer leurs produits et services aux utilisateurs finaux par le biais de services concurrents tiers à des prix ou à des conditions différents (20), ou à traiter plus favorablement, dans le classement, les produits et services qui sont proposés par le contrôleur d’accès lui-même (21), ou encore l’obligation, dans certaines hypothèses, de permettre aux consommateurs de désinstaller les applications logicielles préinstallées ou de fournir aux entreprises qui font de la publicité sur leur plateforme les outils et les informations nécessaires pour effectuer leur propre vérification des annonces publicitaires hébergées par le contrôleur d’accès. Certaines dispositions concerneront par ailleurs, les traitements de données à caractère personnel en imposant des conditions supplémentaires à celles figurant dans le RGPD (22), ou en interdisant purement et simplement certaines pratiques (23). L’interopérabilité est également au coeur des préoccupations puisque le DMA imposera désormais aux contrôleurs d’accès de mettre en place de manière proactive certaines mesures, telles que des mesures ciblées permettant aux logiciels de fournisseurs tiers de fonctionner et d’interagir correctement avec leurs propres services (24). Dans cette même dynamique, les consommateurs devront pouvoir changer d’applications logicielles et de services sans restriction technique (25).

Des sanctions et des astreintes dissuasives
Pour s’assurer de l’effectivité de cette nouvelle régulation, la Commission européenne a mis en place un véritable arsenal puisque tout manquement aux obligations prévues par les DMA et DSA, pourra être sanctionné par une amende pouvant aller jusqu’à 10 % (DMA) et/ou 6% (DSA) du chiffre d’affaires total de l’intermédiaire concerné au cours de l’exercice précédent. Des astreintes pouvant aller jusqu’à 5 % du chiffre d’affaires journalier moyen à compter de sa décision pourront également être prononcées. @

Streaming, self-releasing et maisons de disques

En fait. Le 8 janvier, le jour de son anniversaire, le chanteur Pascal Obispo (56 ans) a lancé sa propre plateforme numérique – « Obispo All Access » – pour s’affranchir des « maisons de disques » (il était notamment chez Epic Records/Sony Music depuis 1990). Le streaming crée des vocations d’autoproduction (self-releasing).

En clair. L’application « Obispo All Access » (OAA) est un pied de nez aux majors et à tous les labels de la musique enregistrée. L’autoproduction d’un artiste musicien, le « self releasing », n’est pas une première dans l’industrie musicale (1). Mais avec la montée en puissance du streaming, de plus en plus nombreux sont les musiciens – jeunes talents en quête de public ou vedettes aspirant à l’indépendance – qui s’interrogent sur le « DIY musical » (2). Certains ont franchi le pas comme Pascal Obispo, d’autres y songent comme Florent Pagny. Plusieurs stars de la musique ont tenté l’aventure avant lui, mais en sont revenues : Prince, Taylor Swift, Jay Z, Moby, Aretha Franklin. Jean-Jacques Goldman ou encore Francis Cabrel. Sans doute se sont-ils lancés trop tôt.
L’autoproduction devrait s’accélérer avec le très haut débit, la 5G et la fibre optique, au grand dam des Universal Music (Vivendi), Sony Music et autres Warner Music, mais aussi des nombreuses maisons de disques. Il y a 30 ans, Pascal Obispo signait son premier contrat d’artiste avec Epic Records (groupe Sony Music). « Tu vas me manquer » sera son premier grand succès. Manquera-t-il aux producteurs de musique ? « Je ne vois pas à quoi me servirait une maison de disques… à me limiter en me disant qu’il faut sortir un album tous les deux ans et demi ? C’est une insulte à la musique et à la créativité », s’est justifié Pascal Obispo le 11 janvier (3). « Je vous donne rendez-vous sur mon application. Venez partager avec moi cette nouvelle aventure », déclare-t-il en ligne (4).
La plateforme OAA a été développée par la société Mobelite pour PO Productions et est disponible sous Android (Google Play) et sous iOS (App Store), avec l’achat in-app, dont l’abonnement à 5,99 euros (59,99 euros à l’année). « Les plateformes [YouTube, Spotify, Deezer, …, ndlr] ont donné l’illusion de la gratuité de la musique, mais elle ne l’est pas ; je fais travailler des musiciens, des techniciens, mixeurs, ingénieurs, des graphistes, etc ; je fais travailler dix fois plus de monde qu’une maison de disques », ironise-t-il. Le chanteur de « L’Important c’est d’aimer » y propose l’« l’intégralité de [sa] musique d’hier, d’aujourd’hui et de demain », avec : animations, clips, séries, programmes, live inédits, livres, BD, partages autour d’un piano et d’une guitare, karaokés, documentaires, interviews … « Tout ça en continu et en pleine liberté ». @

Zero-rating ou « trafic gratuit » : les opérateurs mobiles n’ont pas le droit de favoriser des applications

Le « zero-rating » pratiqué depuis des années par certains opérateurs mobiles, pour discriminer les applications, est illégal. C’est ce que proclame la justice européenne dans un arrêt du 15 septembre 2020, qui invalide ce « tarif nul » contraire à la neutralité du Net.

Le groupe de Mark Zuckerberg profite pleinement du zero-rating pour ses applications mobile Facebook, Messenger, Instagram et WhatsApp. Mais aussi Twitter et Viber dans la catégorie réseaux sociaux et messageries instantanées. Les applications de streaming sur smartphone en raffolent aussi, parmi lesquelles Apple Music, Deezer, Spotify ou encore Tidal. Tous ces acteurs du Net bénéficient d’un traitement de faveur dans le cadre d’un accord de « partenariat » avec certains opérateurs mobiles dans le monde.

La pratique « trafic gratuit » a dix ans
Le problème est que ces contenus « partenaires » ne sont pas décomptés du forfait de données mobile proposés par les opérateurs mobiles concernés, tels que l’opérateur télécoms norvégien Telenor qui a été épinglé en Hongrie pour ces pratiques par la Cour de justice de l’Union européenne (CJUE) dans un arrêt rendu le 15 septembre (1) (*) (**). Autrement dit, si ces applications-là sont gratuites même lorsque le forfait de données mobile est épuisé, les autres applications concurrentes restent, elles, bien payantes. En conséquence, avec le zero-rating, les données téléchargées par certaines applications ou services ne sont pas comptabilisées dans l’abonnement mobile de l’utilisateur, favorisant ainsi certains éditeurs au détriment d’autres. Ce favoritisme applicatif est connu depuis près de dix ans, mais les régulateurs n’ont rien fait.
Les opérateurs télécoms et les acteurs du Net ont commencé à proposer du zero-rating dans des pays émergents au prétexte de lutter contre la fracture numérique. C’est en partant avec de bonnes intentions que la cyberencyclopédie mondiale Wikipedia a été proposée dès 2012 dans une offre « zéro » afin d’en donner gratuitement l’accès au plus grand nombre de détenteurs de forfaits mobiles. Avec « free basics », Facebook avait lancé début 2016 pour les populations démunies en Inde un bouquet de services web de type « all-inclusive » comprenant sans supplément Wikipedia, là encore, la BBC et le moteur de recherche Bing de Microsoft. Il fallait faire partie de ces quelques applications et sites web triés sur le volet pour être accessible, sinon les autres contenus n’étaient pas disponibles ou en options payantes. Mais le deuxième pays le plus peuplé de la planète ne l’a pas entendu de cette oreille : le gendarme indien des télécoms n’avait pas apprécié cette discrimination violant délibérément la neutralité de l’Internet. En février 2016, le gouvernement de New Delhi a interdit au réseau social américain et à tout fournisseur d’accès à Internet présents sur le sous-continent indien de pratiquer des tarifs différenciés en fonction des services et contenus offerts. La France n’a pas échappé à cet appel du « trafic gratuit » (2) – traduction proposée début 2020 par la Commission d’enrichissement de la langue française – mais sans trop s’y aventurer. Jusqu’en octobre 2014, Orange le pratiquait avec la plateforme française de musique en ligne Deezer, dont l’opérateur historique est actionnaire minoritaire (3), le streaming étant alors compris dans certains de ses forfaits mobiles (4). Si les opérateurs mobiles français n’ont pas été vraiment « zéros », c’est notamment parce que l’Autorité de la concurrence les mettait sous surveillance. « Le débat autour de l’interdiction du zero-rating consiste à étendre le principe de neutralité des réseaux, qui porte sur la qualité d’acheminement du trafic, en lui adjoignant un principe de neutralité commerciale envers le consommateur final », avait déclaré en 2016 son président d’alors, Bruno Lasserre, dans Le Monde (5). L’association de consommateurs UFCQue choisir avait clairement exprimé son hostilité envers le « trafic gratuit » : « Nous sommes réticents à la sacralisation du zero-ratingqui, par définition, pousse les consommateurs de smartphones à s’orienter vers un service – généralement le leader capable de payer le plus – au détriment de ses concurrents, au risque de les faire disparaître », avait mis en garde Antoine Autier, devenu son responsable adjoint du service des études.

L’Orece n’avait rien trouvé à redire
Bien que le règlement européen « Internet ouvert » – alias neutralité de l’Internet – ait été adopté par les eurodéputés le 25 novembre 2015 (entré en vigueur le 30 avril 2016), le zero-rating a continué de prospérer dans les Vingt-huit (aujourd’hui Vingt-sept). Telenor en Hongrie, avec ses deux offres groupées « MyChat » et « MyMusic », est un exemple parmi d’autres. L’Organe des régulateurs européens des communications électroniques (Orece, en anglais Berec) a, lui, été attentiste dans son approche. A l’issue d’une consultation publique menée sur le sujet il y a quatre ans, il n’avait pas jugé bon de proposer d’interdire le zero-rating. C’est même tout juste s’il ne l’encourageait pas, préférant regarder « au cas par cas » (6). @

Charles de Laubier

Après 12 ans, l’OMPI tourne la page « Francis Gurry »

En fait. Du 20 au 25 septembre, se sont tenues les assemblées des Etats membres de l’Organisation mondiale de la propriété intellectuelle (OMPI) que l’Australien francophone Francis Gurry a dirigé pendant 12 ans. Il passe la main au Chinois Daren Tang qui entrera en fonctions le 1er octobre.

En clair. Les deux mandats de Francis Gurry ont notamment été marqués par l’entrée en vigueur de deux nouveaux accords : d’une part, le Traité de Pékin qui étend au numérique la protection des artistes interprètes ou exécutants de l’audiovisuel prévue par la Convention de Rome (y compris les exceptions et limitations au droit d’auteur sur Internet), d’autre part, le Traité de Marrakech qui facilite l’accès – en format accessible (numérique compris) par les aveugles ou déficients visuels – aux œuvres publiées (là aussi avec limitations et exceptions au droit d’auteur).
Le rôle de l’OMPI, basée en Suisse à Genève, est de fournir des services mondiaux de propriété intellectuelle, dont les recettes ont dépassé 850 millions d’euros (1) sur l’exercice biennal 2018- 2019. Cela représente une hausse de 50 % sous les 12 ans de direction de Francis Gurry, qui souligne la rentabilité – avec 337 millions d’euros d’actifs nets (2) – et l’absence de dette de l’organisation. Le gros des recettes provient des taxes perçues au titre du système dit du PCT (74 %), à savoir les taxes relevant du Traité de coopération en matière de brevets, lequel permet aux déposants d’obtenir une protection par brevet au niveau international, et au public d’accéder à une mine d’informations techniques relatives à ces inventions. Ainsi, en déposant une seule demande internationale de brevet selon le PCT, les déposants peuvent demander la protection d’une invention simultanément dans actuellement 153 pays (3). Viennent ensuite les taxes perçues au titre du système de Madrid (16,8 % des recettes de l’OMPI), lequel correspond au système international des marques reconnu à ce jour par 122 pays (4). L’OMPI coopère d’ailleurs avec l’Icann sur les noms de domaine de l’Internet par rapport aux marques déposées (règlement des litiges par le Centre d’arbitrage et de médiation).
Le reste des recettes (9,2 %) proviennent de contributions statutaires que doivent verser chacun des 193 Etats membres de l’OMPI, ou de contributions volontaires que paient des communautés autochtones et locales, ou encore de taxes perçues au titre du système dit de La Haye (enregistrement international des dessins et modèles industriels). Dans la high-tech, la bataille des brevets est devenue un sport mondial qui peut rapporter gros (5). L’Asie – Chine (6), Corée du Sud et Inde en tête – dépose désormais plus de la moitié des brevets à l’international. @

Open data des décisions judiciaires et administratives : des avancées mais encore des zones floues

Le 30 juin a été publié au J.O. le décret de mise à disposition du public des décisions judiciaires et administratives. Soit près de quatre ans après la loi « pour une République numérique » annonçant l’open data de ces décisions. Mais il faudra des arrêtés et des circulaires pour y voir plus clair.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

La loi « pour une République numérique » du 16 octobre 2016, en annonçant l’open data des décisions de justice (1), marquait une étape décisive dans le processus de l’accès au droit pour tous. Mais il aura fallu attendre la loi « de programmation 2018-2022 et de réforme pour la justice » du 23 mars 2019 pour rouvrir le dossier de l’open data des décisions judiciaires (2). Et encore une année de plus pour que le décret pour « la mise à la disposition du public des décisions des juridictions judiciaires et administratives » du 29 juin 2020 soit publié.

Occulter les données ou pas, c’est selon
Ce décret de mise à la disposition du public, sur Internet, des décisions judiciaires et administratives apporte quelques précisions complémentaires. Pour autant, dans sa formule « a minima », le dispositif prête à beaucoup d’interrogations et laisse de grandes zones d’ombres. En attendant les arrêtés et circulaires à suivre, un point d’étape s’impose. S’agissant tout d’abord de la responsabilité de la collecte et de la diffusion des décisions de justice sous format électronique, celle-ci est confiée respectivement à la Cour de cassation pour les décisions de l’ordre judiciaire, et au Conseil d’Etat pour les décisions de l’ordre administratif. C’est une bonne chose et cela est conforme au souhait exprimé par le Conseil national des barreaux (CNB) dans une déclaration signée avec la Cour de cassation en juin 2019 et avec le Conseil d’Etat en juin 2020. En effet, cette règle devrait mettre un terme à la délivrance « sauvage » des copies aux tiers qui a permis à certains de constituer un fonds documentaire, dans le cadre d’accords bilatéraux avec certains greffes.
Désormais, la délivrance des copies aux tiers ne pourra concerner que des décisions « précisément identifiées » (3). Pour les décisions de l’ordre judiciaire, le refus de délivrance ou le silence gardé pendant deux mois pourra donner lieu à un recours gracieux devant le président de la juridiction. Enfin, le greffier devra occulter les éléments permettant l’identification des personnes physiques de nature à porter atteinte à leur sécurité ou au respect de la vie privée des personnes ou celles de leur entourage, précision donnée que cette occultation sera automatique lorsqu’elle a été faite pour la mise à disposition du public. Le recours contre cette décision sera possible, par requête présentée par un avocat, devant le président de la juridiction auprès de laquelle le greffier exerce ses fonctions. Le président statuera par ordonnance, le demandeur et les personnes physiques, parties ou tiers, mentionnées dans la décision, si possible entendus ou appelés. En revanche, les questions relatives à l’exhaustivité et l’intégrité de la base de données demeurent entières alors que les résultats d’une recherche peuvent être différents selon la constitution de la base de données. Imaginons un instant que les décisions collectées soient toutes du Nord de la France sans tenir compte des jurisprudences d’autres régions.
S’agissant ensuite de l’occultation des données à caractère personnel, l’objectif consiste à trouver le juste équilibre entre le droit à l’information du public et le droit au respect de la vie privée des personnes concernées par les décisions de justice. La loi du 23 mars 2019 a prévu que les noms et prénoms des personnes physiques, parties ou tiers à l’affaire, seraient systématiquement anonymisés (4). Quant aux autres éléments identifiants, ils devront être occultés par le juge lorsque leur « divulgation est de nature à porter atteinte à la sécurité ou au respect de la vie privée de ces personnes ou de leur entourage ». La décision d’occultation peut également porter sur tout élément de la décision dont la divulgation est susceptible de « porter atteinte aux intérêts fondamentaux de la Nation » (5).

Deux temps d’appréciation sont prévus
Pour la mise en œuvre de ce dispositif, le décret du 29 juin 2020 prévoit deux temps d’appréciation. Le premier temps se situe à la suite du prononcé du délibéré : le juge ou le président de la formation prend la décision d’occulter les informations indirectement identifiantes présentant l’un des deux risques précités (6). Le deuxième temps se situe après la publication en ligne de la décision : tout intéressé peut alors introduire, auprès d’un membre du Conseil d’Etat désigné par le vice-président du Conseil d’Etat (pour les décisions administratives) ou auprès d’un membre de la Cour de cassation désigné par le premier président (pour les décisions judiciaires), une demande d’occultation ou de levée d’occultation des éléments d’identification. Outre le fait qu’il en résulte une charge complémentaire pour les magistrats, ce mécanisme laisse au juge une marge très importante – trop ? – d’appréciation sur les informations dont la divulgation serait de nature à porter atteinte à la sécurité ou au respect de la vie privée des personnes citées dans la décision. Jusqu’à la publication sur Internet, les parties devraient pouvoir disposer d’une fenêtre de tir contrainte pour contester la décision d’occultation ou de non-occultation. Cependant, le décret ne précise rien à cet égard… Après la publication en ligne, le recours est le même pour tout intéressé, qu’il s’agisse d’une partie ou d’un tiers. La demande d’occultation ou de levée d’occultation des éléments d’identification est portée auprès du membre du Conseil d’Etat désigné par le vice-président du Conseil d’Etat ou auprès du membre de la Cour de cassation désigné par le premier président. Leur décision est elle-même susceptible de recours : pour les décisions de l’ordre administratif, il s’agit de « recours de plein contentieux » ; pour les décisions de l’ordre judiciaire d’un « recours devant le premier président de la Cour de cassation dans les deux mois suivant sa notification ».

Garanties et algorithmes : le CNB alerte
Malheureusement, le décret n’apporte aucune précision notamment au regard de mesures provisoires, par exemple la suspension de la publication dans l’attente que soit tranchée la question de l’occultation ou de la non-occultation. Or, nous savons que le temps de communication sur l’Internet n’est pas celui du temps judiciaire, posant là une simple question d’efficacité. Sera-t-il utile de requérir une occultation après que la décision aura été rendue publique et aura circulé sur les réseaux du Net ? Pour ces différentes raisons, le Conseil national des barreaux (CNB) a demandé des garanties en termes d’information des parties, de débat contradictoire et de droit de recours (7). Sur le premier point, le CNB demande que soient précisées les modalités d’information des parties quant à la décision prise concernant l’occultation, pour leur permettre d’initier, le cas échéant, un recours avant la mise en ligne de la décision ou avant la délivrance au tiers, afin de garantir réellement le respect du principe du contradictoire et de leur vie privée. Sur le deuxième point, il demande que les avocats puissent engager une discussion contradictoire sur l’occultation, dès leurs premières écritures et au plus tard, dans leur plaidoirie, pour permettre au juge de rendre une décision éclairée et au plus proche des enjeux du respect de la vie privée et de la sécurité des personnes. Enfin, troisième point, la notification aux parties de la décision d’occultation devrait être faite dans un temps raisonnable pour leur permettre d’initier, le cas échéant, un recours avant la mise en ligne de la décision.
Au-delà de ces garanties qu’il serait souhaitable d’apporter, le cadre juridique de l’open data des décisions judiciaires laisse encore de nombreuses questions sans réponse. L’encadrement du recours aux algorithmes n’est toujours pas d’actualité, ouvrant un large champ d’exploration aux acteurs privés qui s’y sont engouffrés. S’agissant de la justice et donc d’un service public « pas comme les autres », la régulation du marché des algorithmes est une priorité. Le CNB n’a de cesse de rappeler la nécessaire vigilance à avoir quant à l’utilisation qui sera faite des décisions de justice ainsi mises à disposition et la nécessité de garantir la transparence et l’éthique des algorithmes utilisés pour leur exploitation. Dans cet objectif, l’institution représentative des avocats formule une proposition de constitution ou de désignation d’une instance publique chargée de la régulation et du contrôle des algorithmes utilisés pour l’exploitation de la base de données des décisions de justice ainsi que de la réutilisation des informations qu’elle contient (8). Le CNB souhaite en être membre, aux côtés des plus hautes autorités de l’ordre judiciaire et de l’ordre administratif. Il préconise également que les appels d’offres à destination des acteurs privés incluent systématiquement le rappel de principes éthiques, à l’exemple de ceux proposés par le Conseil de l’Europe (9) via sa Commission européenne pour l’efficacité de la justice (CEPEJ), ou encore des sept principes posés par la Commission européenne pour une « IA de confiance » (10), mais aussi, pourquoi pas, de règles co-construites au sein de l’institution à créer ou à désigner. Les prérequis pour la conception des algorithmes pourraient s’inspirer des règles ethic by design ou legal by design.
La question de l’accès aux données intègres pour les avocats n’est pas non plus traitée. En effet, le décret du 29 juin 2020 est muet sur les autorisations d’accès au flux intègres. Les magistrats auront-ils accès aux décisions intègres – c’est-àdire non anonymisées et non occultées – ou auront-ils accès aux décisions anonymisées et occultées ? Dans le premier cas, l’accès différencié pour les magistrats et les avocats conduirait à une inégalité inacceptable. L’avocat, auxiliaire de justice (11), ne peut pas être assimilé au « public » visé par la loi du 29 mars 2019. A ce titre, l’institution représentative des avocats a tenu à rappeler, dans sa résolution du 14 décembre 2019, que « les avocats doivent, à l’instar des magistrats du siège comme du parquet, aussi auxiliaires de justice, avoir accès aux décisions intègres, sans anonymisation ni occultation des éléments indirectement identifiants, au nom de l’égalité des armes consacrée par l’article 6 de la Convention européenne des droits de l’homme ». La seule alternative acceptable serait que nous ayons, avocats et magistrats, accès à l’open data des décisions judiciaires, dans les mêmes conditions.

Groupe de travail « Réutilisation des données »
Le décret du 29 juin 2020 devrait être complété par d’autres textes (arrêtés, circulaires, …). La Chancellerie a annoncé la mise en place d’un groupe de travail dédié à la problématique de la réutilisation des données issues des décisions de justice. La première réunion sur ce thème, organisée par le ministère de la Justice, doit se tenir au cours cette rentrée. En espérant que le Conseil national des barreaux pourra apporter sa pierre à cet édifice qui modifie en profondeur la justice. @

* Christiane Féral-Schuhl, présidente du Conseil
national des barreaux (CNB), est ancien
bâtonnier du Barreau de Paris, et auteure de
« Cyberdroit », paru aux éditions Dalloz.