Archives par mot-clé : Responsabilité des plateformes

« Nintendo c/ DStorage » : la Cour de cassation appelle les hébergeurs à leurs responsabilités

Publié le par

La décision rendue le 26 février 2025 par la Cour de cassation – dans l’affaire opposant Nintendo à DStorage – marque la fin d’une saga judiciaire, qui permet de confirmer les contours du régime de responsabilité des hébergeurs, dans le contexte de l’entrée en vigueur du Digital Services Act (DSA).

Par Olivia Roche et Eva Naudon, avocates associées, Phaos Avocats

Le 26 février dernier, la Cour de cassation a rendu une décision dans le cadre de l’affaire « Nintendo c/ DStorage », mettant en lumière le renforcement des obligations pesant sur les hébergeurs de contenus en ligne. Cet arrêt (1) intervient dans le contexte plus global de l’évolution récente de la législation française et européenne visant à mieux encadrer le rôle des plateformes en ligne dans la lutte contre la diffusion des contenus portant atteinte aux droits d’auteur et aux droits voisins.

Hébergement de copies illicites de jeux vidéo
La société DStorage fournit, depuis 2009, des services d’hébergement et de stockage de données en ligne, notamment à travers le site Internet 1fichier.com, qui est ouvert au public. En 2018, différentes entités du groupe Nintendo ont constaté que des copies illicites de leurs jeux vidéo-phares, tels que « Super Mario Maker » ou « Pokémon Sun », étaient hébergées sur les serveurs de DStorage et mis à disposition du public notamment via ce site web. Les sociétés Nintendo – la maison mère japonaise Nintendo Co Ltd, la société The Pokemon Company, Creatures et Game Freak – ont ainsi entrepris de notifier à la société française DStorage l’existence de ces copies, ainsi que la reproduction servile de différentes de leurs marques. Et cette notification fut faite conformément au formalisme imposé par la loi « Confiance dans l’économie numérique » (LCEN) du 21 juin 2004 (2), dans sa version antérieure à la transposition du Digital Services Act (DSA) de 2022 (3).
En réponse, la société DStorage a invité les sociétés Nintendo à utiliser son outil de retrait dénommé « Takedown tool » ou bien à saisir un juge afin d’obtenir une ordonnance constatant le caractère manifestement illicite des contenus notifiés. Dans un second temps, la société DStorage a également indiqué aux sociétés Nintendo que les contenus violant des droits de propriété intellectuelle n’entreraient pas dans le périmètre des contenus manifestement illicites au sens de la LCEN. Face à l’inaction de la société DStorage, les sociétés Nintendo (suite)
ont engagé une action en responsabilité afin d’obtenir le retrait des contenus. Par un arrêt du 12 avril 2023, la cour d’appel de Paris a fait droit aux demandes des sociétés Nintendo. En n’agissant pas promptement pour retirer ces données, la société DStorage a engagé sa responsabilité en qualité d’hébergeur de contenus. Alors que Nintendo avait valablement suivi la procédure de notification. La cour d’appel a ordonné à la société DStorage de supprimer les contenus litigieux sous astreinte de 1.000 euros par jour, l’astreinte courant sur six mois, et de publier la décision sur son site Internet. Enfin, elle a condamné DStorage à payer à la société Nintendo la somme de 442.750 euros en réparation de son préjudice commercial.
La société DStorage s’est pourvue en cassation en invoquant l’absence de preuve du caractère manifestement illicite des contenus litigieux et que l’injonction de retrait faite par la cour d’appel de Paris reviendrait à imposer une obligation générale de surveillance.
Dans cette affaire, la question tranchée par les juridictions successivement saisies consistait ainsi à déterminer si la société DStorage avait rempli les conditions d’exonération de sa responsabilité, à savoir : la connaissance des contenus illicites résultant de la notification opérée par les sociétés Nintendo, et la diligence dans le retrait des contenus notifiés (4). La LCEN, transposant en droit français la directive européenne « E-commerce » de 2000, prévoit que la responsabilité des hébergeurs de contenus en ligne peut être engagée dès lors qu’ils ont eu connaissance de manière effective de l’existence de contenus manifestement illicites « ou de faits et circonstances faisant apparaître ce caractère », et qu’ils n’ont pas agi promptement pour les retirer ou rendre leur accès impossible (5).

Notification de contenus illicites : formalisme
La LCEN – dans sa version applicable aux faits, soit avant la modification résultant de l’entrée en vigueur du DSA – disposait par ailleurs que « la connaissance des faits litigieux est présumée acquise lorsque la notification est faite conformément à certaines exigences, impliquant notamment une description des faits litigieux et leur localisation précise » (6). Concrètement, le prestataire doit recevoir des éléments permettant à un « opérateur économique diligent » de constater aisément et sans examen juridique approfondi l’existence du caractère manifestement illicite des contenus litigieux. La société DStorage reprochait notamment à la notification effectuée par les sociétés Nintendo de ne pas prouver la titularité des droits d’auteur sur les jeux, ainsi que le caractère contrefaisant des copies diffusées via le site « 1fichier.com », ainsi que de ne pas avoir utilisé leur outil « Takedown tool ». La cour d’appel a confirmé d’une part que les sociétés Nintendo pouvaient se prévaloir des présomptions légales, tant pour la titularité de leurs droits que pour l’originalité des jeux vidéo, en particulier au regard de leur renommée mondiale. Elle rappelle que ces exigences ne sont pas requises par la LCEN, sur la base de laquelle elles engageaient la responsabilité délictuelle de la société DStorage, contrairement à une action en contrefaçon imposant en effet ces démonstrations.

Le DSA n’était pas applicable en 2018
La société DStorage invoquait également le fait que le DSA prévoit que les hébergeurs doivent désormais fournir des outils de notification des contenus illicites, tels que « Takedown tool », permettant d’alléger les obligations mises à la charge des hébergeurs. Néanmoins, comme le rappelle la cour d’appel, ces dispositions n’étaient pas applicables en 2018 et n’étaient donc pas de nature à exonérer la société DStorage de sa responsabilité en raison du non-retrait des contenus litigieux qui lui avaient été notifiés selon les exigences de la LCEN, dans sa version alors applicable. La plus haute juridiction française a rejeté le pourvoi de DStorage et confirmé qu’en l’absence de contestation sur ces points, les demandeurs n’avaient pas à démontrer l’originalité ni la titularité des droits des jeux en cause. Par ailleurs, elle a retenu que les notifications effectuées par les sociétés Nintendo étaient suffisantes au regard des exigences de la LCEN pour permettre d’établir le caractère manifestement illicite des contenus et donc imposer leur prompt retrait par la société DStorage, compte tenu notamment de l’identification précise des contenus et de leur localisation.
La société DStorage considérait que l’injonction de la cour d’appel de retirer les contenus litigieux revenait à lui imposer une obligation générale de surveillance, laquelle est pourtant prohibée par la LCEN (7), et désormais du DSA (8). Néanmoins, la Cour de cassation a également rejeté le pourvoir sur ce fondement. Dans son arrêt, elle rappelle en effet que si les hébergeurs ne sont pas soumis à une obligation générale de surveillance des contenus qu’ils stockent ou transmettent, ni à une obligation générale de rechercher des faits ou circonstances révélant des activités illicites, ils peuvent se voir imposer une activité de surveillance ciblée et temporaire. La mesure ordonnée par la cour d’appel visant des contenus précis et étant limitée à une durée temporaire de six mois, la plus haute juridiction a considéré que le cadre légal de la LCEN et du régime de responsabilité limitée des hébergeurs était respecté. Cette décision s’inscrit dans la continuité de la décision de la chambre commerciale de la Cour de cassation qui, dans une décision de mars 2024, avait rappelé qu’un hébergeur n’est pas susceptible d’être condamné à déployer un dispositif permettant de bloquer l’accès à des contenus illicites de manière illimitée dans le temps et portant sur les éventuels contenus à venir (9).
Bien que le DSA, entrée en vigueur le 17 février 2024, n’ait pas été directement applicable dans cette affaire dont les faits remontent à avant, son influence est perceptible dans les arguments déployés par la société DStorage ou les motifs de la décision de la Cour de cassation. De fait, le DSA vise à renforcer la régulation des grandes plateformes numériques en précisant les obligations de transparence et de diligence imposées en matière de gestion des contenus illicites diffusés grâce à leurs services.
Les hébergeurs sont désormais tenus d’instaurer des systèmes de modération et de notification des contenus illicites. Le DSA prévoit en effet que les fournisseurs de services d’hébergement doivent mettre en place des mécanismes permettant à tout particulier ou toute entité légale de leur signaler la présence de contenus illicites (10), à l’instar de l’outil « Takedown tool » dont se prévalait la société DStorage. Le DSA instaure également des mécanismes pour améliorer le traitement de ces notifications et renforcer leurs obligations à l’égard des injonctions des autorités compétentes, en lien avec des contenus illicites. Le non-respect de ces obligations est susceptible de donner lieu à des amende d’un montant maximum de 6 % du chiffre d’affaires mondial annuel de la grande plateforme numérique concernée.
L’un des enseignements majeurs de l’arrêt du 26 février 2025 réside dans la réaffirmation du principe selon lequel l’hébergeur, pour bénéficier de l’exonération de responsabilité prévue par la LCEN (11), doit agir rapidement et de manière diligente pour retirer les contenus illicites une fois qu’il en a été informé.

Vers des politiques proactives de contrôle
Dans cette décision, la Cour de cassation rappelle que la responsabilité des hébergeurs ne peut être exclue s’ils ne mettent pas en œuvre des moyens raisonnables pour surveiller activement les contenus partagés par leurs utilisateurs. Cette position renforce la nécessité, pour les acteurs du secteur numérique, de mettre en place des mécanismes efficaces de notification et de retrait des contenus illicites. En outre, la plus haute juridiction française incite à la mise en place de politiques proactives de contrôle, d’autant plus dans un contexte où la régulation des plateformes devient de plus en plus stricte. @

Blockchain et RGPD : relations complexes, surtout lorsqu’il s’agit du traitement des données

Publié le par
La protection des données personnelles et la blockchain sont souvent vues comme incompatibles. Pourtant, les réflexions en cours permettent de nuancer, même si les droits des personnes (comme le droit à l’oubli) ou la question de la responsabilité (dans un monde décentralisé) restent à définir. Par Arnaud Touati, avocat associé, Hashtag Avocats, et Benjamin Allouch, consultant*. Le 25 mai 2018, le règlement général sur la protection des données (RGPD) est entré en application (1). Ce règlement européen, présenté comme le texte juridique le plus abouti en matière de protection des données à caractère personnel, s’applique dès que l’on utilise des données personnelles à des fins professionnelles. Il s’impose à tous, des autoentreprises aux institutions publiques, en passant par les sociétés commerciales. Le RGPD est également applicable dans le monde entier, si tant est que l’entité concernée utilise des données appartenant à des résidents de l’Union européenne (UE). Blockchain et RGPD en chiens de faïence ? Le 3 janvier 2009, le premier bloc de bitcoins est créé, selon son créateur anonyme Satoshi Nakamoto et auteur de l’article fondateur publié deux mois plus tôt (2), pour répondre aux dérives de la crise financière de 2008. Bitcoin, c’est notamment une transparence absolue des transactions, conservées ad vitam aeternam, dans « un système peer-to-peerde monnaie électronique ». Dès lors, comment conjuguer deux principes de prime abord antagonistes ? Comment protéger les données personnelles au sein d’une technologie où tout est transparent ? Comment garantir certains droits des personnes quand les données ne peuvent pas être effacées ? D’aucuns ont alors conclu à une incompatibilité entre la blockchain et le RGPD. Pourtant, s’il existe certainement des difficultés, la blockchain comme le RGPD peuvent s’adapter pour coopérer. Petit tour d’horizon des conflits relevés et des adaptations trouvées. Avant l’entrée en vigueur du RGPD, la législation sur la protection des données souffrait d’un manque de clarté quant à la répartition des rôles de chaque acteur. En outre, la responsabilité de certains d’entre eux était pour le moins incertaine. Aujourd’hui, le rôle de chacun et leurs responsabilités corrélatives sont clairement définis. Il y a tout d’abord le responsable du traitement, soit l’entité qui « détermine les finalités et les moyens du traitement ». En d’autres termes, les données sont collectées pour l’activité du responsable du traitement. Ce sont par exemple les données des salariés d’une entreprise dans le cadre de sa gestion des ressources humaines. Il y a ensuite le soustraitant, lequel agit « au nom et pour le compte du responsable du traitement ». Autrement dit, il assiste son client dans la collecte des données ou à y accéder une fois collectées. C’est typiquement le cas d’un éditeur de logiciel, qui permet à son client de les consulter. Et la blockchain dans tout ça ? Pour une bonne application du RGPD, il convient – même dans cette industrie décentralisée – de déterminer le rôle de chacun. Pour une entité centralisée, le procédé est plutôt aisé. Ainsi, une plateforme d’échange d’actifs numériques sera assimilée à un responsable du traitement pour les données de ses clients, voire de ses salariés si l’entreprise est basée sur le territoire de l’UE. Il en va de même, par exemple, pour les données de prospection commerciale. Mais qu’en est-il des applications décentralisées ? Déterminer son rôle est difficile. C’est le cas lorsqu’un protocole de finance décentralisée est lancé par un groupe de développeurs qui a, ensuite, le contrôle uniquement pour y effectuer de la maintenance. Peut-on considérer que, par exemple, Uniswap Labs – l’entité derrière le protocole Uniswap – est responsable du traitement des données ? Ou est-elle davantage sous-traitante des blockchains, comme Ethereum, qui tournent sur son protocole ? Derrière la question de la détermination du rôle de chacun, se cache invariablement celle, épineuse, de la responsabilité encourue. La responsabilité d’une plateforme centralisée ne se pose pas, puisqu’il s’agit d’une entreprise avec des organes de direction précisément identifiés. En revanche, pour ce qui concerne les applications décentralisées et les acteurs qui construisent un protocole, la question est bien plus complexe. Prenons l’exemple d’un assureur qui aurait « blockchainisé » l’un de ses produits. L’octroi d’une indemnisation dépend non pas d’un humain, mais d’un algorithme, en l’occurrence un smart contract dans le langage « blockchain » (3). Qui serait alors considéré comme le sous-traitant ? Les développeurs ou l’éventuelle entité de la blockchain utilisée ? Responsabilité dans un monde blockchainisé Le RGPD exige du sous-traitant qu’il agisse en fonction des instructions écrites de son client. Or, si l’assureur utilise un protocole existant, ce dernier n’agira pas en fonction des instructions de son « client », puisqu’il est théoriquement le même pour tous. En outre, en cas de manquement au RGPD, comment rendre responsables les développeurs d’un protocole ? Ces questions restent, pour l’heure, sans réponse… En théorie, la blockchain est publique, transparente et accessible à tous. Cela signifie que n’importe qui peut avoir accès aux données. En pratique, cette transparence ne sera pas pour autant absolue. Il en va notamment des données médicales, dont l’accès sera protégé. Ainsi, si la donnée est visible dans la blockchain, elle n’est pas pour autant aisément accessible et fait l’objet d’un chiffrement, dont seule la personne concernée possède la clé de déchiffrement. Cependant, quid des données brutes et accessibles à tous ? Quid des droits des personnes ? En théorie, toujours, la blockchain est immuable. Ainsi, les données ne peuvent ni être modifiées ni même effacées. Or, l’article 17 du RGPD instaure un droit à l’effacement (4), que l’on appelle plus communément « droit à l’oubli » (5). Comment concilier ce droit à l’effacement avec l’immutabilité de la blockchain ? A priori, cela paraît impossible. Pourtant, la réalité diffère… D’une part, l’immutabilité de la blockchain (pas de retour en arrière possible) est issue du protocole Bitcoin et n’est pas un principe gravé dans le marbre. Grâce à un smart contract (non applicable à Bitcoin mais à d’autres protocoles), il est tout à fait possible de prévoir l’effacement de certaines données à une date précise. En outre, le droit à l’oubli luimême n’est pas absolu, puisque le RGPD prévoit des exceptions, notamment celle du droit à l’information. Enfin, la blockchain n’est pas nécessairement transparente. En effet, il existe des blockchains privées ou de consortium, qui ne sont accessibles qu’à un certain nombre d’individus précisément identifiés. Dans cette hypothèse, il s’agit simplement d’une base de données améliorée, qui répond aux mêmes exigences que les bases de données classiques. Si les dispositions du RGPD sont bien respectées, les données sont sécurisées et seules les personnes autorisées y ont accès. Les personnes dont les données sont collectées peuvent exercer plusieurs droits distincts. Outre le droit à l’oubli, le droit d’accès, le droit d’opposition, le droit de rectification, le droit à la suppression ou encore le droit à la portabilité font partie de ce que l’on appelle les droits des personnes. Or, si le principe d’immutabilité de la blockchain n’est pas absolu, cela ne signifie pas que l’on peut y modifier aisément les données inscrites. Ainsi, le droit à la rectification des données inscrites dans la blockchain semble plus que complexe. En effet, chaque donnée d’une blockchain est conservée dans des blocs qui s’enchaînent chronologiquement, d’où son nom (chaîne de blocs). Ce faisant, pour modifier une donnée, il faudrait, en principe, en modifier l’ensemble du bloc, ce qui constituerait un travail d’envergure. De même, le droit à la portabilité semble, à l’heure actuelle, impossible. La portabilité est la possibilité pour toute personne de solliciter le responsable du traitement aux fins de transférer l’ensemble de ses données à un autre responsable du traitement. Qu’est-ce que cela signifierait réellement dans la blockchain ? L’on pourrait imaginer le passage d’une plateforme centralisée à une autre. En l’espèce, cela serait possible, puisqu’il s’agit de données clients. En revanche, la portabilité entre différents protocoles décentralisés et différentes blockchains semble presque impossible. L’un des problèmes principaux des blockchains est effectivement l’interopérabilité entre elles. Or, faire passer des données entre, par exemple, le réseau Bitcoin et le réseau Ethereum est tellement complexe que personne ne s’essaierait à le faire. Toutefois, il existe des protocoles appelés « bridge », qui sont justement prévus pour permettre cette interopérabilité. Mais de là à faire passer un jeu de données d’un protocole à l’autre, c’est une autre histoire… Au-delà même du droit des personnes, subsiste la question de la nature des données concernées. Pour la blockchain Bitcoin, la seule donnée personnelle présente est l’adresse publique… qui est une donnée pseudonymisée. Il en va de même pour la majorité des autres protocoles, qui, s’ils diffèrent de Bitcoin, reprennent ce principe de collecter un minimum de données personnelles, à l’exception de l’adresse IP pour certains. Ainsi, l’exercice du droit d’opposition est impossible pour de telles données puisque refuser le traitement signifie tout simplement refuser d’utiliser le protocole en question. Encore une fois, nous en revenons toujours au même point : ce sont les plateformes centralisées qui conservent le plus de données personnelles, en raison notamment de la vérification d’identité, ou KYC (Know Your Customer) à effectuer. La question principale est donc celle de la prochaine articulation entre les protocoles décentralisés, le RGPD et le futur règlement européen TFR (Transfer of Funds Regulation). Ce dernier, bientôt en première lecture au Parlement européen (6), va effectivement obliger les plateformes d’échange à effectuer une vérification d’identité pour tout transfert vers les portefeuilles non hébergés. Nécessaire souplesse dans l’interprétation Or, à l’exception de l’adresse IP pour certains protocoles bien identifiés, aucune donnée personnelle n’est collectée à ce jour lors de la création de ces portefeuilles, comme ceux de l’entreprise française Ledger. Si tel est le cas à l’avenir, la collecte et la conservation des données devraient a priori respecter les dispositions du RGPD. En définitive, il est envisageable de respecter les principes du RGPD, tout en utilisant la blockchain (7). Les marges d’appréciation sont importantes et le règlement dispose de nombreuses exceptions. Cela nécessite de la souplesse. Depuis le rapport de 2019 du Parlement européen (8), les réflexions dans ce domaine se poursuivent. Il ne faudrait cependant pas qu’une règlementation trop stricte retarde l’Europe par rapport aux Etats-Unis et à la Chine, comme cela l’a été pour le développement d’Internet dans les années 1990… Affaire à suivre ! @

* Benjamin Allouch est consultant indépendant Web3 et protection des données.

Joe Biden (78 ans), 46e président des Etats-Unis, pourrait être celui qui mettra au pas les GAFA

Publié le par

Donald Trump est mort, vive Joe Biden ! A 78 ans, l’ancien vice-président de Barack Obama (2009-2017) et ancien sénateur du Delaware (1973-2009) a été investi 46e président des Etats-Unis le 20 janvier. Membre du Parti démocrate depuis 1969, Joseph Robinette Biden Junior est attendu au tournant par les Big Tech et la Silicon Valley.

Joe Biden (photo) et Kamala Harris ont donc prêté serment le 20 janvier 2021 en tant que respectivement président et vice-présidente des Etats-Unis. Battu de justesse et ayant eu du mal à admettre sa défaite, Donald Trump a boudé la cérémonie. Maintenant, la fête est finie et le 46e président des Etats-Unis se retrouve avec une pile de dossiers à traiter dans le Bureau ovale de la Maison-Blanche, sa résidence officielle jusqu’en janvier 2025 – son mandat étant de quatre ans, sauf décès ou destitution, renouvelable une fois. Située plutôt en haut de la pile des urgences se trouve la régulation de l’Internet, tant les problèmes se sont accumulés sous l’administration Trump : les enquêtes antitrust lancées à l’encontre des GAFA menacés de démantèlement pour en finir avec les abus de positions dominantes dans l’économie numérique et le e-commerce ; la protection des données personnelles en ligne et de la vie privée numérique, notamment mises à mal par les réseaux sociaux ; l’explosion des contenus controversés voire illicites sur Internet tels que publicités politiques, cyberhaine, cyberviolence ou encore désinformation ; la liste noire d’une dizaine d’entreprises technologiques chinoises devenues indésirables aux yeux de son prédécesseur sur le sol américain ; l’augmentation envisagée des droits de douanes sur des produits provenant des pays, dont la France, instaurant des taxes « GAFA ».

Europe : les plateformes numériques visées sont préoccupées par le projet de régulation du Net

Publié le par

Les GAFAM sont les premiers concernés par les deux textes législatifs proposés le 15 décembre 2020 par la Commission européenne. Un mois après la publication de ce « paquet numérique » (Digital Services Act et Digital Markets Act), Edition Multimédi@ revient sur les réactions des acteurs du Net.

« Le diable sera dans les détails », a lancé Siada El Ramly (photo), directrice générale de Dot Europe (ex-Edima), lobby des GAFAM et d’autres. De son côté, Christian Borggreen, directeur de la CCIA Europe, où l’on retrouve aussi les géants du Net, dit en substance : « La réglementation numérique ne doit pas empêcher l’innovation numérique ». Tandis que DigitalEurope (ex-Eicta), également porte-voix de la high-tech dirigé par Cecilia Bonefeld-Dahl, estime que tout est question d’« équilibre entre la protection des droits fondamentaux et la prévention des activités illégales et nuisibles en ligne ».

L’Allemagne légifère contre les abus des GAFAM

Publié le par

En fait. Le 2 septembre, l’Autorité de la concurrence allemande a publié son rapport annuel dans lequel son président Andreas Mundt et le ministre allemand de l’Economie Peter Altmaier se félicitent des projets d’amendements qui seront débattus au Parlement afin de mieux « combattre les abus » des Big Tech.

En clair. Ce sont des amendements allemands destinés à modifier le « German Competition Act » (GWB) qui pourraient avoir des répercussions sur toute l’Europe. Car l’Allemagne est non seulement un des piliers de l’Union européenne (UE), mais en plus pour six mois (de juillet à décembre 2020) le pays qui préside le Conseil des ministres de l’UE justement. D’autant que la Commission européenne prépare un Digital Services Act (DSA) responsabilisant plus les plateformes du Net (1). Ces amendements « antitrust numérique », approuvés par la chancelière Angela Merkel le 9 septembre, vont renforcer les pouvoirs de l’Office anti-cartel fédéral allemand (le Bundeskartellamt), vis-à-vis des GAFAM. Ces amendements vont maintenant devoir être votés par le Parlement.