Archives par mot-clé : Régulation

Blockchain : quelle régulation pour les jetons non fongibles ou NFT (Non-Fungible Tokens) ?

Publié le par

Les « NFT » défraient la chronique. Ces actifs numériques générés par une blockchain font parler d’eux, depuis qu’un artiste a vendu aux enchères début mars une de ses œuvres numériques – ou plutôt le NFT associé – pour… 69,3 millions de dollars ! Mais la régulation de ces tokens reste à inventer.

L’artiste américain Mike Winkelmann, alias Beeple ou Beeple Crap (1), est entré définitivement dans l’Histoire de l’art digital en voyant l’une de ses œuvres, une composition de 5.000 images numériques intitulée «Everydays: the First 5.000 Days », adjugée aux enchères chez Christie’s (2) le 11mars dernier plus de 69,3 millions de dollars, après une mise à prix de 100 dollars ! L’acquéreur, qui se cachait derrière le pseudonyme Metakovan, a révélé le 18mars (3) être Vignesh Sundaresan (photo), un Indien devenu millionnaire et angel investor dans la blockchain (4). Avec cette vente historique, l’œuvre est – tous arts confondus – la plus chère vendue du vivant de son auteur.

Monétiser des biens virtuels
Dans ce monde virtuel, un jeton non fongible est par définition quelque chose – une œuvre digitale ou un bien numérique – qui ne se consomme pas à l’usage ni ne peut être remplacé par une chose de même nature, de même qualité ou de même quantité. Un token « NFT » n’est donc en aucun cas une denrées consommable ou périssable, ni de l’argent, mais l’ADN d’un objet numérique rendu inviolable et impiratable grâce à la chaîne de blocs à laquelle il appartient et qui en assure la valeur authentique. C’est une révolution pour le marché de l’art numérique, mais aussi dans bien d’autres secteurs culturels ou marchands. A Londres, les fondateurs d’Argo Blockchain viennent de lancer la société NFT Investments pour acheter des NFT. Pas si anecdotique : le PDG cofondateur de Twitter, Jack Dorsey, a mis en vente sur le site web Valuables (5) son tout premier tweet émis il y a 15 ans (le 21 mars 2006) : « Je crée mon compte Twttr ». Ce premier gazouillis de l’histoire a été vendu le 22 mars 3 millions de dollars ($2.915.835,47) à Sina Estavi (6), spécialiste de la chaîne de blocs basé en Malaisie. Le 25 mars, un éditorial du New York Times a été vendu sous forme de NFT… 350 ethereum, soit 560.000 dollars (7). A New York, justement, une galerie d’œuvres NFT a ouvert le 25mars… De son côté, le milliardaire Elon Musk – patron de Tesla – a contribué à refaire parler des NFT en mettant en vente le 15 mars dernier sur son compte Twitter une musique : « Je vends cette chanson sur les NFT en tant que NFT » (8). Ce n’est pas le premier à vente de la musique en NFT : la chanteuse canadienne Grimes, en couple avec Elon Musk, a mis en vente le 1er mars sur Nifty Gateway (9), une dizaine de ses œuvres numériques, adjugées 6 millions de dollars. Début mars, le groupe de rock américain Kings of Leon a mis en vente son nouvel album « When You See Yourself » sous forme de NFT sur la plateforme YellowHeart (10) lancée à cette occasion. Recettes : plus de 2 millions de dollars. Le rappeur Mike Shinoda du groupe Linkin Park ou encore le DJ américain 3Lau ont eux aussi cédé aux sirènes des jetons non fongibles pour monétiser leurs musiques. Les industries culturelles et l’artisanat – au sens créatif du terme – pourraient se retrouver chamboulées par ces tokens infalsifiables et gravés dans le marbre des blockchains utilisées comme réseaux (tiers) de confiance et émetteurs de certificat de vente. Comme tout objet numérique (image, message, musique, vidéo, jeu vidéo, ebook, etc.), le risque de copie (libre ou piratée) fait partie de ce nouveau marché. Mais grâce aux NFT, un seul de ces fichiers sera certifié authentique – comme un original dont la valeur marchande est expertisée.
Des plateformes de blockchain grand public permettent à tout un chacun d’accoler un token non fongible à un objet numérique qu’il possède (souvent en tant que créateur auteur). Au-delà de Valuables, Nifty Gateway ou YellowHeart, déjà cités, il y a aussi OpenSea, « un marché entre pairs [peer-to-peer]pour les objets numériques rares et les objets de collection cryptographiques » (11), ainsi que Rarible, pour « créer et vendre des objets de collection numériques sécurisés avec blockchain » (12). La plateforme CryptoPunks est, elle, considérée comme l’une des pionnières des NFT sur la blockchain Ethereum. Développée par le studio américain Larva Labs (13), elle fut opérationnelle dès juin 2017. Des œuvres numériques peuvent y être vendues plusieurs millions de dollars.

Actifs numériques (loi Pacte) ?
Reste à savoir à quelle régulation sont soumis les NFT. «En vertu du principe de neutralité technologique – “la substance prime sur la forme ou le médium” –, le NFT sera régulé selon la nature des droits ou de l’objet qu’il représente : un titre de propriété, un droit, une œuvre d’art, etc. », avait avancé en 2019 l’avocat William O’Rorke, spécialise de la blockchain (14). En ajoutant : « A la lumière de la nouvelle définition légale d’actif numérique [au sens de la loi française Pacte], les NFT ne peuvent être considérés comme tels, échappant ainsi à la réglementation applicable à l’émission de jetons et à la fourniture de services sur actifs numériques ». @

Charles de Laubier

Internet global : la régulation nationale adaptée ?

Publié le par

En fait. Le 25 mars, Mark Zuckerberg, Sundar Pichai et Jack Dorsey ont été auditionnés par une commission du Congrès des Etats-Unis sur « l’extrémisme et la désinformation » véhiculés par Facebook, Google et Twitter. La régulation de l’Internet global risque de tourner en patchwork réglementaire.

En clair. La pression monte aux Etats-Unis pour que soit réformée la section 230 du « Communications Decency Act » de 1996, lequel accorde une « immunité » judiciaire aux plateformes numériques – au premier rang desquelles Facebook, Google et Twitter – quant aux contenus mis en ligne par leurs utilisateurs. Ce « bouclier » du CDA, qui ressemble à la responsabilité limitée garantie aux hébergeurs en Europe par la directive « Ecommerce » de 2000, est plus que jamais contesté jusqu’à Washington. Car les médias sociaux ne sont plus seulement hébergeurs mais aussi des modérateurs, lorsqu’ils ne sont pas eux-mêmes éditeurs. Joe Biden a déjà fait savoir (1) qu’il allait réviser cette section 230. Ni Mark Zuckerberg, ni Sundar Pichai, ni Jack Dorsey – respectivement PDG de Facebook, Google et Twitter – ne s’opposent à une nouvelle régulation du Net.
Mais le paradoxe est que ces patrons de plateformes numériques mondiales – sans frontières – raisonnent devant la commission de l’énergie et du commerce du Congrès des Etats- Unis (2) comme s’ils n’étaient présents qu’aux Etats-Unis. Ce paradoxe sous-tend le fait que les régulateurs nationaux – américains, européens (français inclus) et d’ailleurs – cherchent à encadrer des médias sociaux dont l’emprise n’est pas nationale mais mondiale. Lorsque Mark Zuckerberg appelle, dans une déposition écrite (3) la veille de son audition, à plus de responsabilité des plateformes numériques, il s’adresse aux législateurs américains, pas à leurs homologues européens, pas plus qu’aux législateurs du reste du monde. De son côté, l’Union européenne (UE) est en train de revoir la responsabilité de ces géants du Net, d’envergure internationale donc, avec deux textes législatives – le DSA (4) et le DMA (5) – en cours d’examen au sein du Conseil de l’UE et des instance préparatoires.
Etant entendu que ce futur cadre du marché unique numérique ne s’appliquera qu’aux Vingt-sept, mais pas au-delà. Il en va de même de la directive européenne de 2018 sur les services de médias audiovisuels, dite SMA (6). Censée être transposée par les Etats membres de l’UE à septembre 2020, elle étend la régulation audiovisuelle aux plateformes de streaming (médias sociaux compris). Chaque région du monde, voire chaque pays, entend réguler les géants du Net – à l’instar de la future Arcom en France –, au risque de se retrouver avec un patchwork réglementaire inefficace face à ces acteurs globaux. @

Sécurité numérique : le Premier ministre plus que jamais en première ligne

Publié le par

Le Premier ministre est le régulateur de la sécurité numérique nationale. Le Conseil constitutionnel a confirmé en février dernier l’étendue de ses prérogatives et des garanties nécessaires en la matière. L’affaire « SolarWinds » appelle de telles garanties du côté des fournisseurs d’informatique en nuage.

Par Christophe Clarenc (photo), avocat, cabinet DTMV & Associés

La « transition numérique » de l’économie et des entreprises s’accompagne d’une démultiplication pandémique des violations et compromissions de sécurité des systèmes d’information (1), avec un flot continu de « fuites » massives de données, une industrialisation (à l’état de l’art) de l’exploitation des « failles » de sécurité, et une explosion des cyberattaques critiques.

Chaîne de compromission « SolarWinds »
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) rapporte à cet égard un développement exponentiel à la fois des cyberattaques criminelles par rançongiciels et des menaces d’espionnage, de déstabilisation voire de sabotage à travers les attaques indirectes par rebond dans les chaînes de sous-traitance, d’approvisionnement et de partenariat industriels, dont la propre chaîne des fournisseurs de services d’informatique et d’infogérance en nuage.
Le risque systémique d’attaques ciblées et vectorisées par la chaîne d’approvisionnement informatique est plus que confirmé par la campagne de cheval de Troie menée dans et à partir de la plateforme de gestion et de supervision informatique (Orion) du fournisseur américain SolarWinds, détectée en décembre dernier (2). Par compromission des mises à jour logicielles distribuées par cette plateforme, cette attaque a infiltré et infecté en profondeur les systèmes de près de 18.000 de ses clients-utilisateurs, dont plusieurs départements de l’administration américaine (Pentagone, NSA, Trésor, Justice, Energie), de grands fournisseurs de services informatiques et de cybersécurité comme Microsoft et FireEye, et une série de grands comptes industriels aux Etats-Unis et en Europe.
Reçue comme un « Pearl Harbour » de la « Supply Chain Security », cette affaire a soulevé aux Etats-Unis un tourbillon d’interrogations et d’investigations sur l’état des risques, des faiblesses systémiques, notamment réglementaires, et des défaillances individuelles de sécurité dans l’industrie et la chaîne d’approvisionnement « IT » (Information Technology). Microsoft a répondu que ce type de cyberattaque « sera la norme ». Le New York Times a révélé que les mesures et la politique de sécurité de SolarWinds étaient structurellement déficientes, notamment pour satisfaire aux exigences de profitabilité de ses investisseurs. L’agence Moody’s a considéré que l’affaire « forcera une évaluation approfondie des éditeurs de logiciels » et que « la réglementation sur le risque cyber devrait s’accroître pour la chaîne d’approvisionnement ». La « transition numérique » interroge ainsi plus que jamais les pratiques, les garanties, les responsabilités et la régulation même de la sécurité numérique.
Ce qui, en France, invite à rappeler tout d’abord la fonction institutionnelle du Premier ministre dans la protection et la régulation de la sécurité numérique nationale, à souligner ensuite la force de la récente décision n°2019- 810 QPC du Conseil constitutionnel sur les exigences de contrôle des garanties de sécurité, et à évoquer enfin les nécessités d’un renforcement des certifications obligatoires, des garanties et des responsabilités du côté de la chaine des fournisseurs d’informatique et d’infogérance en nuage. Le Premier ministre est institutionnellement le régulateur de la sécurité numérique nationale.
Au titre de ses attributions de responsable de la défense et de la sécurité nationale, il a pour fonction et mission de définir la politique, de coordonner l’action gouvernementale et de fixer et contrôler le respect des règles nécessaires aux besoins de sécurité des systèmes d’information (SSI) dans le cadre de la défense et de la promotion des intérêts fondamentaux de la nation, dont son indépendance, sa sécurité et les éléments essentiels de son potentiel scientifique, technique et économique incluant la « souveraineté numérique ».

Règles et référentiels de sécurité
Le Premier ministre dispose en particulier à cet effet :
du Secrétariat général de la défense et de la sécurité nationale (SGDSN), qui préside le Comité stratégique de la SSI et prépare la réglementation ;
de l’ANSSI, qui élabore les référentiels d’exigences pour l’évaluation et la qualification des produits et des prestations de confiance pour les besoins de la SSI ;
du Service de l’information stratégique et de la sécurité économiques (SISSE), qui informe sur les entités, les réglementations, les standards de conformité et les pratiques d’affaires extérieurs susceptibles de menacer les technologies, les entreprises et les filières stratégiques pour l’économie française. Le Premier ministre structure les conditions et la filière de la cybersécurité nationale en promouvant et en approuvant les référentiels de qualification et d’exigences des produits de sécurité et des prestataires de service de confiance (3).
Des référentiels de qualification ont été fixés pour les prestataires d’audit de la SSI (PASSI), les prestataires de détection des incidents de sécurité (PDIS), les prestataires de réponse aux incidents de sécurité (PRIS) et les prestataires de services d’informatique en nuage (PSIN IaaS PaaS et SaaS). Ils sont en cours d’élaboration pour les prestations d’administration et de maintenance sécurisées (PAMS) et les prestations d’accompagnement et de contrôle de SSI (PACS).

Pouvoir de régulation du Premier ministre
Le Premier ministre fixe et contrôle le respect des règles de politique de SSI des opérateurs désignés d’importance vitale (OIV) et des opérateurs publics ou privés qui participent à leurs systèmes (4), ainsi que des opérateurs désignés de services essentiels au fonctionnement de la société et de l’économie (OSE) (5). Ces règles recouvrent les domaines de la gouvernance, de la protection, de la défense et de la résilience des systèmes et des activités concernés. Elles obligent ou préconisent le recours aux prestataires de service de confiance qualifiés, et peuvent prescrire le recours à des dispositifs matériels ou logiciels ou à des services informatiques dont la sécurité a été certifiée.
L’ANSSI souligne à cet égard, d’une part, que « la mise en conformité d’un [système d’information essentiel (SIE)] à la réglementation est de la responsabilité de l’opérateur », que « lorsque l’opérateur confie tout ou partie de la conception ou de l’exploitation [de son SIE] à un prestataire, le contrat doit prévoir les mesures de sécurité que le prestataire doit mette en oeuvre », et que « le niveau de sécurité exigé pour [son SIE] est le même que celuici soit directement géré par l‘opérateur ou qu’il soit confié à un prestataire », d’autre part, qu’« un prestataire qualifié fournissant une prestation qualifiée est considéré comme étant de confiance par défaut, alors que si la prestation n’est pas qualifiée, l’opérateur a la responsabilité de s’assurer du respect des exigences de sécurité par son prestataire » (6). Enfin, le Premier ministre contrôle et autorise l’exploitation par les opérateurs de réseaux 5G, directe ou par l’intermédiaire de tiers fournisseurs, des appareils (tous dispositifs matériels et logiciels) de connexion des terminaux au réseau qui, par leurs fonctions (7), présentent un risque pour le respect des règles de permanence, d’intégrité, de sécurité ou de disponibilité du réseau ou de confidentialité des messages transmis et des informations liées aux communications, et refuse l’octroi de cette autorisation s’il estime qu’il existe un risque sérieux d’atteinte aux intérêts de la défense nationale « résultant du manque de garantie du respect [de ces] règles », en considération du « niveau de sécurité » et des « modalités de déploiement et d’exploitation envisagées » de ces dispositifs et du « fait que l’opérateur ou ses prestataires, y compris par sous-traitance, est sous le contrôle ou soumis à des actes d’ingérence d’un Etat non membre de l’Union européenne » (8).
Dans sa décision du 5 février dernier (n°2020-882 QPC), le Conseil constitutionnel a remarquablement validé ce régime de contrôle et d’autorisation par le Premier ministre, en affirmant tout d’abord qu’il mettait « en oeuvre les exigences constitutionnelles inhérentes à la sauvegarde des intérêts fondamentaux de la nation » en ce qu’il avait pour objectif de « prémunir les réseaux mobiles des risques d’espionnage, de piratage et de sabotage pouvant résulter des nouvelles fonctionnalités offertes par la 5G », en soulignant ensuite qu’il ne visait « ni un opérateur ou un prestataire déterminé ni les appareils d’un fabricant déterminé » et que le critère d’appréciation du risque sérieux d’atteinte « dû à l’insuffisance des garanties du respect des règles » lié à la considération du « fait que l’opérateur ou son prestataire est sous le contrôle ou soumis à des actes d’ingérence d’un Etat étranger » est cohérent avec l’objet de l’autorisation, laquelle est accordée « non pas seulement en fonction des caractéristiques de l’appareil », mais aussi au regard des modalités de déploiement et d’exploitation envisagées, « ce qui recouvre les opérations de configuration, de supervision ou de maintenance par des prestataires et sous-traitants ».

Garanties des fournisseurs d’informatique en ligne
Ces exigences constitutionnelles de sécurité numérique nationale pourraient supporter un renforcement des garanties de sécurité et de confiance du côté des fournisseurs d’informatique et d’infogérance en nuage, qui sont à la fois les principaux transitaires et bénéficiaires de la « transformation numérique » et des facteurs et des vecteurs de risques de sécurité bien identifiés avant l’affaire « SolarWinds » (9).
En décembre 2020, l’ANSSI appelait l’Union européenne à « élever le niveau de sécurité de la chaine d’approvisionnement » et à « garantir la sécurisation des chaînes de valeur numériques » en activant des « leviers tels que la certification ou encore l’encadrement de la responsabilité des acteurs privés ». A cette date, aucun des grands fournisseurs d’informatique et d’infogérance en nuage actifs en France ne présentait la certification de confiance de l’ANSSI. Elle n’était que volontaire et pourrait légitimement devenir une « norme » obligatoire. @

Brexit : entre l’Union européenne et le Royaume-Uni, les données personnelles sont entre deux eaux

Publié le par

Le RGPD sur la protection des données personnelles en Europe reste applicable à leurs transferts vers le Royaume-Uni jusqu’au 1er juillet 2021. Mais, depuis le début de l’année, la « Cnil » britannique ne peut plus être « chef de file ». En tout cas, il faut anticiper avec ce « pays tiers ».

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

A l’heure où le Brexit devient réalité, la question du transfert des données personnelles entre l’Union européenne (UE) et le Royaume-Uni (RU) mérite une attention particulière. Pas d’urgence absolue puisque le règlement européen sur la protection des données RGPD reste applicable au Royaume-Uni de manière transitoire jusqu’au 1er juillet 2021. A noter toutefois que, depuis le 1er janvier 2021, le mécanisme du « guichet unique » ne sera plus effectif par le biais de l’Information Commissioner’s Office (ICO), la « Cnil » britannique.

RGPD, applicable jusqu’au 1er juillet 2021
Ainsi, à moins qu’une décision d’adéquation ne soit accordée au Royaume-Uni par la Commission européenne d’ici mi- 2021, les transferts de données personnelles vers le Royaume-Uni devront être encadrés par les outils prévus par le RGPD. Autant s’en préoccuper dès à présent ! Concrètement, jusqu’au 1er juillet 2021, le Royaume-Uni est toujours considéré comme un Etat membre de l’UE dans le cadre des transferts de données. Si aucune modification n’est requise dans l’immédiat pour continuer à transférer des données personnelles avec le territoire britannique, l’autorité de contrôle britannique ICO recommande aux entreprises britanniques ayant des activités transfrontalières avec les Vingt-sept d’anticiper tout risque potentiel d’interruption des transferts.
L’accord de commerce et de coopération entre l’UE et le RU, conclu le 24 décembre 2020 et en vigueur depuis le 1er janvier 2021, prévoit, en matière de protection des données à caractère personnel, que le RGPD demeure applicable pour une durée maximum de six mois. Cet accord a fait suite à une période transitoire qui courait depuis un premier accord de retrait trouvé le 31 janvier 2020 à minuit. Car les textes européens étant alors encore applicables, cet accord n’ouvrant en réalité qu’une période de transition s’étalant jusqu’au 31 décembre 2020. Rappelons que c’est à la suite du référendum du 23 juin 2016 que le Royaume-Uni a actionné la procédure de retrait de l’Union européenne prévue par l’article 50 du Traité de l’UE. Cette décision en faveur du Brexit (pour « British Exit ») a donné lieu à de nombreuses discussions afin d’organiser cette sortie effective du Royaume-Uni. L’accord conclu entre le RU et l’UE a conduit à l’exclusion de l’autorité britannique du mécanisme de guichet unique. Ce mécanisme permet aux entreprises opérant des traitements transfrontaliers (entre plusieurs Etats membres) de centraliser leur communication avec une seule autorité qualifiée alors de « chef de file » (1). Cette autorité n’est pas choisie par l’entreprise mais correspond à celle du pays dans lequel se situe l’établissement principal de l’entreprise en question. En France, c’est la Commission nationale de l’informatique et des libertés (Cnil). Au Royaume- Uni, c’est l’Information Commissioner’s Office (ICO).
La fin du guichet unique pour le Royaume-Uni signifie donc que les entreprises qui effectuaient des traitements transfrontaliers et qui avaient l’ICO comme autorité chef de file ne pourront plus bénéficier de ce mécanisme. Seuls les responsables de traitement ou sous-traitants ayant un établissement principal au sein de l’Espace économique européen (EEE) pourront continuer de bénéficier du guichet unique, avec pour autorité chef de file, celle du pays dans lequel est implanté ledit établissement. Concernant les entreprises exclusivement basées au Royaume-Uni, il est important de rappeler que le caractère extraterritorial du champ d’application du RGPD rend ce dernier applicable dès lors que les activités de traitement sont liées à une offre de bien ou de service destinée à des personnes concernées de l’Union européenne ou au suivi du comportement de ces personnes. Dès lors, ces entreprises britanniques seront tenues de désigner un représentant au sein de l’Union européenne conformément à l’article 27 du RGPD. Une fois le délai de transition expiré, il faudra appréhender les transferts au Royaume-Uni comme des transferts vers un pays tiers, c’est-à-dire comme un pays situé en dehors de l’EEE.

Une « décision d’adéquation » avec le RU ?
Cependant, le Royaume-Uni, en sa qualité d’ancien Etat membre de l’UE, dispose déjà d’un important arsenal juridique en matière de protection des données avec des dispositifs tels que le « Data Protection Act » ou encore le « Privacy and Electronic Communication Regulations ». Ces textes de loi reprenant déjà la majorité des dispositions du RGPD, il apparaît possible que la Commission européenne autorise de façon générale l’ensemble des transferts de données vers le Royaume-Uni à travers une « décision d’adéquation ». Tel sera le cas si la Commission européenne considère que le Royaume-Uni offre toujours un niveau de protection au moins équivalent à celui exigé au sein de l’UE. Pour autant, il convient de rester vigilant car les dernières déclarations du Premier ministre Boris Johnson annonce une évolution de la législation interne dans le sens d’un assouplissement de cette dernière. L’hypothèse d’une décision d’adéquation semble ainsi s’éloigner notamment compte tenu de l’appartenance du Royaume-Uni au « Five Eyes », alliance des services secrets britanniques, canadiens, australiens, américains et néo-zélandais.

Sinon, explorer les « garanties appropriées »
On rappellera que cette alliance à cinq (également désignée par FVEY), qui remonte à l’époque de la Guerre froide, permet aux agences de renseignement de ces cinq pays de se demander respectivement d’intercepter des communications de leurs citoyens. Ce partage d’informations et de données alerte de plus en plus les institutions et l’opinion publique, notamment depuis les révélations d’Edward Snowden en 2013. Selon ce lanceur d’alerte, les Etats contourneraient leur propre législation nationale en demandant aux membres de l’alliance de collecter des informations pour leur compte, et ce sur le fondement de cet accord. En 2014, la Commission européenne avait publié un rapport (2) confirmant le fait que les agences de renseignement néo-zélandaises et canadiennes auraient coopéré avec la National Security Agency (NSA) dans le cadre du programme Five Eyes et potentiellement partagé activement des données personnelles de citoyens de l’UE. Si l’option « décision d’adéquation » devait être écartée, il conviendra alors d’explorer d’autres solutions, notamment les « garanties appropriées » prévues par le RGPD. Il s’agit soit des clauses contractuelles types (CCT) à insérer dans le contrat entre l’importateur et l’exportateur de données (3), soit des règles d’entreprise contraignantes (BCR) qui désignent les règles internes de protection des données applicables entre exportateur et importateur de données au sein d’un groupe d’entreprise (4), soit encore d’outils tels que : code de conduite, mécanisme de certification, instrument juridique contraignant entre autorités publiques, etc (5).
Le RGPD prévoit également certaines dérogations exceptionnelles. L’organisation souhaitant transférer des données en dehors de l’EEE pourrait ainsi faire valoir l’une de ces dérogations à condition que le transfert ait un caractère exceptionnel (ni régulier, ni structurel) et qu’aucun autre cadre juridique ne puisse être utilisé. Tel est le cas lorsque la personne concernée consent au transfert de ses données ou lorsque le transfert de données est nécessaire à la conclusion ou à l’exécution d’un contrat ou encore lorsque le transfert est nécessaire par exemple à l’exercice des droits de la défense dans le cadre de procédures judiciaires. On notera cependant que, dans tous les cas, il appartient au responsable de traitement et au destinataire des données de vérifier, préalablement à tout transfert, si le pays tiers permet en pratique d’assurer un niveau de protection essentiellement équivalent à celui garanti dans l’UE par le RGPD, et notamment que les personnes concernées disposent de droits opposables et de voies de droit effective (6). Cette règle a été rappelée par la Cour de justice de l’Union européenne (CJUE), dans son arrêt « Schrems II » (7) du 16 juillet 2020. On rappellera que, dans cette affaire, Maximillian Schrems, défenseur autrichien de la protection des données personnelles, avait sollicité l’interdiction ou la suspension du transfert de ses données personnelles par Facebook Ireland à la maison mère Facebook Inc. établie aux Etats-Unis. Ce dernier considérait que la législation américaine ne permettait pas en pratique de protéger adéquatement les données personnelles détenues sur son territoire contre l’accès des autorités publiques et qu’il n’y avait pas de recours efficace pour les personnes concernées européennes. La CJUE étant particulièrement regardante sur l’effectivité des droits des personnes concernées ainsi que sur leur exercice, c’est précisément ce qui a fondé l’invalidation du « Privacy Shield » au sein de cette décision.
De même, si la CJUE a confirmé la validité des clauses contractuelles types comme outil de transfert, il est important de préciser que ces clauses ne lient pas les autorités des pays tiers, en raison de leur caractère contractuel. Ainsi, dans les situations où la législation de ces pays compromettrait en pratique le niveau de protection adéquat que ces outils garantissent, la CJUE incite à prévoir des mesures supplémentaires. De nature technique, contractuelle ou organisationnelle selon les recommandations du Contrôleur européen de la protection des données (CEPD), ces mesures permettraient d’assurer l’effectivité des « garanties appropriées » au sein de ces systèmes juridiques (8). Toutefois, en fonction des caractéristiques du transfert de données envisagé, et de l’évaluation de la législation du pays tiers faite par l’importateur et l’exportateur des données, si aucune mesure supplémentaire efficace ne peut être mise en œuvre pour garantir le niveau de protection équivalent, il conviendra de renoncer au transfert.

Considérer le RU comme « pays tiers »
En conclusion, si le RGPD reste applicable aux transferts de données vers le Royaume-Uni jusqu’au 1er juillet 2021, il n’est certainement pas trop tôt pour anticiper la suite. En l’absence d’une décision d’adéquation avant cette date butoir, les transferts de données devront être considérés comme ayant pour destination un pays tiers. De ce fait, il est d’ores et déjà recommandé d’identifier les traitements en question pour, le jour venu, adopter l’une des solutions évoquées à l’aune de la future législation britannique. @

* Christiane Féral-Schuhl, ancienne présidente
du Conseil national des barreaux (CNB)
après avoir été bâtonnier du Barreau de Paris,
est l’auteure de « Cyberdroit » paru aux éditions Dalloz.

Conseil supérieur de la propriété littéraire et artistique, le CSPLA a vingt ans et veut étendre son influence

Publié le par

Méconnu du grand public, le CSPLA conseille – depuis l’année 2000 – le ministère de la Culture, dont il dépend, sur le droit d’auteur et les droits voisins à l’ère du numérique. Cette instance consultative atteint cette année les 100 membres et veut se faire entendre en Europe. Sa séance plénière du 15 décembre est la 40e !

Le Conseil supérieur de la propriété littéraire et artistique (CSPLA), présidé depuis deux ans par Olivier Japiot (photo), veut passer à la vitesse supérieure et étendre son influence, y compris au niveau européen. Evoluant dans l’ombre de la direction générale des médias et des industries culturelles (DGMIC) du ministère de la Culture, avec laquelle il occupe les locaux de l’immeuble des Bons enfants, rue Saint-Honoré à Paris (1), cette instance consultative sur le droit d’auteur et les droits voisins à l’ère de l’Internet entend donner un coup de projecteur sur ses travaux et rapports qui sont publiés à un rythme soutenu. Rien que pour sa prochaine séance plénière, la 40e, qui se tient ce 15 décembre, sont présentés pas moins de quatre rapports : celui sur les outils de reconnaissance des contenus et des œuvres sur Internet, au regard de la transposition de la directive européenne de 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique ; celui sur l’exception au droit d’auteur pour les fouilles de textes et de données, ou text and data mining, à des fins de recherche scientifique voire d’intelligence artificielle ; celui sur le contrat de commande rémunérant en droit d’auteur le temps de travail lié à l’activité créatrice des artistes auteurs ; celui enfin sur la preuve de l’originalité de l’oeuvre pour que celle-ci puisse bénéficier de la protection légale pendant la durée de son « monopole ».

Piratage en ligne et article 17 européen : le CSPLA est aux avant-postes
« Nous publierons donc cinq rapports cette année, en comptant celui sur la réalité virtuelle et la réalité augmentée publié cet été », indique Olivier Japiot à Edition Multimédi@. L’an dernier, le CSPLA avait aussi été productif, avec pas moins de quatre rapports : les ventes passives, l’intelligence artificielle, les outils de reconnaissance des contenus (premier rapport précédant le second présenté ce 15 décembre, tous deux réalisés avec l’Hadopi et le CNC), et les services de référencement automatique d’images sur Internet. Ce dernier rapport avait, lui, débouché sur un projet de taxe « Google Image » (7) qui cherche encore son véhicule législatif. « Parmi mes priorités pour 2021, il y a la poursuite des études prospectives concernant l’impact des nouvelles technologies sur le droit d’auteur, comme l’illustre la mission que je viens de lancer sur les systèmes de recommandation d’œuvres sur les plateformes en ligne », explique le conseiller d’Etat. Pour autant, certains s’interrogent sur l’existence même du CSPLA : la sénatrice centriste Françoise Férat a demandé à la ministre de la Culture Roselyne Bachelot – dont elle attend la réponse (9) – s’il ne fallait pas le supprimer « dans un souci de rationalisation des dépenses publiques et de simplification administrative ». Selon elle, l’Hadopi (dont la fusion avec le CSA est prévue) et le Conseil national du numérique (CNNum) « couvrent une partie de ses compétences ».

Influencer la Commission européenne et d’autres
Le CSPLA, dont le budget est pris en charge par l’Etat et la rue de Valois, a atteint cette année les 100 membres exactement (dont 38 suppléants), à la suite d’un arrêté aoûtien (10) qui élargit le champ de compétences des « personnalités qualifiées » (PQ) et crée une nouvelle catégorie de « membres d’honneur » afin de mettre à des PQ comme l’avocate Josée-Anne Bénazéraf, son confrère Jean Martin et au professeur Pierre Sirinelli de continuer à collaborer aux travaux. A part cette faveur, pas d’évolution. La recommandation du rapport Racine de renforcer la représentation des auteurs (artistes auteurs) n’a pas été suivie d’effet, relève ActuaLitté (11). S’il n’y a aucun salarié au CSPLA, son président, lui, touche une indemnité, laquelle – depuis un décret pris en plein confinement (12) – ne sera plus forfaitaire mais« ajustée en fonction de la complexité et du temps requis par la fonction ».
C’est qu’Olivier Japiot entend bien continuer à faire exister plus que jamais le CPLA jusqu’à la fin de son mandat présidentiel de trois ans qui s’achèvera en novembre 2021, nous disant d’ailleurs disposé à être renouvelé. Il compte développer des coopérations avec d’autres organismes, comme avec l’Hadopi – dont est membre du collège Alexandra Bensamoun, une des PQ du CSPLA – et le CNC sur la reconnaissance des contenus protégés sur Internet. Par exemple, «un travail commun sur l’impression 3D a également pu être conduit avec l’Institut national de la propriété industrielle (INPI) ». Il a en outre opéré des « rapprochements » avec, cette fois, le CNNum. Il s’agit aussi de rayonner à l’international. « La plupart des nouveaux rapports sont désormais traduits en anglais afin de mieux faire connaître nos analyses et propositions novatrices à nos partenaires à l’étranger », comme avec l’Organisation mondiale de la propriété intellectuelle (OMPI) et la Commission européenne.
Hasard du calendrier : c’est justement ce 15 décembre que la Commission européenne présente son paquet législatif pour mieux réguler l’économie numérique, composé du Digital Services Act (DSA) et du Digital Market Act (DMA). En ligne de mire : les géants du numérique en général et les GAFA en particulier, qui, en tant que « plateformes structurantes », seront soumis à de nouvelles règles et « responsabilités systémiques ». Ces propositions DSA et DMA, qui doivent être encore débattues courant 2021 par le Parlement européen, remettent notamment en cause pour les plateformes numériques leur statut protecteur d’hébergeur – que leur octroie depuis vingt ans la directive européenne « E-commerce » – et pour les acteurs dominants leurs pratiques non-transparentes et anticoncurrentielles. C’est dans ce contexte de réglementation accrue du marché unique numérique que le CSPLA enchaîne missions et rapports sur des questions liées au « copyright », et notamment au moment crucial où la Commission européenne s’apprête à publier ses lignes directrices (guidance) sur les modalités de mise en œuvre du blocage de contenus – dans la lutte contre le piratage sur Internet – que prévoit l’article 17 controversé de la directive européenne sur le droit d’auteur et les droits voisins dans le marché unique numérique. « L’élaboration de cette directive a été inspirée (…) par les travaux du CSPLA, en particulier notre rapport sur les outils de reconnaissance automatique d’œuvres protégées sur les plateformes de partage, celui sur l’exploration et la fouille de données ou encore ceux sur le droit voisin des éditeurs de presse », se félicite Olivier Japiot dans l’introduction du rapport d’activité 2019 du CSPLA, mis en ligne le 7 décembre dernier (13). Cette directive « Copyright » (14) doit être transposée au plus tard le 7 juin 2021. La France est le premier Etat membre à le faire, par ordonnance et via un nouveau « projet de loi sur l’audiovisuel et la lutte contre le piratage » annoncé pour 2021. Publié l’été dernier par la Commission européenne, le projet de guidance (15) sur l’article 17 a provoqué une levée de boucliers des industries culturelles sur la question du blocage des contenus. Le 10 septembre dernier, les autorités françaises (16) et l’Hadopi (17) ont critiqué l’approche de la Commission européenne, laquelle est soucieuse d’éviter un filtrage automatique et généralisé des contenus sur Internet en instaurant un distinguo entre contenus « vraisemblablement contrefaisants » et ceux « vraisemblablement légitimes ».

Lignes directrices « préoccupantes », selon le CSPLA
Il s’agit pour la Commission européenne de trouver un point d’équilibre et des exceptions au droit d’auteur pour ne pas sacrifier la liberté d’expression, de création et d’information – dont la citation, la critique, la revue, la caricature, la parodie ou le pastiche (dixit l’article 17) – sur l’autel de la propriété intellectuelle. Travaillant en amont pour le gouvernement, le CSPLA a, lui, a regretté dans une note préparatoire – révélée par Next Inpact le 2 décembre dernier (18) – que la Commission européenne « esquiss[e] des lignes directrices qui réserveraient les blocages aux seuls cas de certitude de contrefaçon, et en donnant à la protection des exceptions […] une place centrale au détriment de l’effectivité des droits ». Ce que nous confirme Olivier Japiot : « Certaines orientations paraissent en effet préoccupantes ». Le rapport du CSPLA sur les outils de reconnaissance des contenus au regard de l’article 17, réalisé avec l’Hadopi et le CNC et présenté ce 15 décembre en séance plénière, servira aussi à mettre en garde la Commission européenne avant qu’elle ne mette un point final à ses lignes directrices. @

Charles de Laubier