17
octobre
2023
Entrée en vigueur de la loi sur le cyberscore
Author:
admingih092115
La loi n°2022-309 du 3 mars 20221 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public est entrée en vigueur le 1er octobre 2023.
L’objectif de cette loi est de sensibiliser et d’éduquer les utilisateurs de plateformes en ligne à la cybersécurité.
La période de crise sanitaire liée au covid a accéléré la dématérialisation des données et les interdépendances humaines aux systèmes de communication numérique. Le recours à des plateformes ou à des solutions de messagerie, de visioconférence, s’est décuplé au cours de cette période. Ces services ont notamment été proposés par des acteurs américains, ce qui a posé des questions d’application des règles protectrices du droit de l’Union ou encore de l’hébergement des données.
Leur développement a aussi multiplié les risques et les atteintes liées à la cybersécurité, qui sont de plus en plus élaborées, telles que la captation des données personnelles, de données bancaires, l’usurpation d’identité, l’espionnage, les enregistrements frauduleux de réunions en ligne à l’insu des participants, voire le détournement d’image ou de voix pour l’élaboration de deep fake…
Et ces failles ne sont pas exploitées uniquement envers les particuliers ; les systèmes informatiques des pouvoirs publics, des collectivités territoriales, des hôpitaux, ou encore des entreprises privées sont également largement visés.
La loi s’insère dans le développement d’une stratégie de maîtrise, de protection des données et de préservation de la souveraineté numérique
Pour sensibiliser sur les enjeux de sécurité numérique, la loi a introduit un système de cyberscore en créant l’article L. 111-7-3 dans le Code de la consommation.
Cet article va tout d’abord s’appliquer aux opérateurs de plateformes en lignes tels que désignés à l’article L. 111-7 du même code. Ces opérateurs sont « des personnes physiques ou morales proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur le classement ou le référencement, au moyen d’algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers, ou sur la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service ».
Sont ensuite concernés les services de communications interpersonnelles non fondés sur la numérotation qui sont désignés et définis au point 6° quater de l’article L. 32 du Code des postes et des communications électroniques, comme WhatsApp ou Messenger.
La loi impose à ces acteurs, franchissant un certain seuil dont les modalités de détermination seront fixées par décret, de réaliser un audit auprès de prestataires d’audit de la sécurité des systèmes d’information (PASSI)2 qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Les critères à prendre en compte lors de la réalisation de l’audit sont quant à eux déterminés par décret conjoint des ministres en charge de la consommation et du numérique, pris après avis de la Commission nationale de l’informatique et des libertés (CNIL).
Le résultat de l’audit prendra la forme d’une certification de sécurité pour les plateformes numériques. Ce label cyberscore, à l’instar du nutriscore présent sur de nombreux emballages de produits alimentaires, vise à informer les internautes utilisateurs de ces sites sur le niveau de sécurisation des données. Il devra être présenté aux utilisateurs des plateformes « de façon lisible, claire et compréhensible et être accompagné d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel ».
En obligeant la présentation d’une telle information sur les sites, les objectifs de la loi sont clairs : forcer les opérateurs concernés à être transparents sur leur sécurité et à la renforcer, protéger les utilisateurs tout sensibilisant ces derniers à la protection de leurs données, à des fins d’éducation sur la cybersécurité. Cette garantie de cybersécurité vise les données dans leur ensemble, allant au-delà d’un simple chevauchement avec la protection des données personnelles déjà assurée par le Règlement général sur la protection des données (RGPD).
Bénéficier d’un score élevé, obtenu à l’issue d’audits réalisés par des opérateurs externes qualifiés, sera vertueux tant pour l’image de la plateforme que pour la confiance des utilisateurs. Ces audits permettront, de plus, de s’assurer d’un certain contrôle sur les plateformes et autres opérateurs du Cloud, dont un grand nombre est susceptible d’être tiers à l’Union européenne.
Des débuts difficiles pour la loi
Cependant, arborer un tel score ne garantit aucunement l’absence totale de risques. Les attaques contre les sites internet, les entreprises et les particuliers sont nombreuses et les méthodes variées.
Par ailleurs, la loi est certes entrée en vigueur, mais le décret d’application et l’arrêté censés définir respectivement les seuils déterminant les plateformes et services visés, ainsi que les critères à prendre en compte pour l’audit et la délivrance du certificat, n’ont pas été pris au jour de l’entrée en application de la loi, ce qui retarde son application effective.
Ainsi, les opérateurs concernés ne sont pas encore déterminés. En effet, tous les sites ne seront pas concernés, et ce, pour permettre un équilibre entre une réglementation trop prononcée, et le développement des activités et de l’innovation.
La loi ne sera donc pleinement opérationnelle qu’après la publication du décret et de l’arrêté, éléments clés pour définir les acteurs concernés.
Arthur Burger
Stagiaire juriste
Gaëlle Loinger-Benamran
Conseil en propriété industrielle Associée
[1] https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045294275/
[2] https://www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-daudit-de-la-securite-des-systemes-dinformation-passi-qualifies/
24
janvier
2023
Digital Market Act et Digital Service Act : à quoi correspondent ces Règlements européens visant à réguler internet ?
Author:
admingih092115
Définitivement votés par le parlement européen en juillet 2022, le Règlement sur les marchés numériques (Digital Markets Act ou DMA) et le Règlement sur les services numériques (Digital Services Act ou DSA) ont été publiés respectivement les 12 et 27 octobre 2022.
En apparence différents, ces deux règlements visent à assainir le marché numérique de manière durable, avec deux objectifs distincts, celui de lutter contre les pratiques anticoncurrentielles des géants de l’Internet et celui de lutter contre les contenus illicites en ligne.
Mais que vont-ils concrètement changer ? Quels sont les acteurs concernés ? Pour quelles activités ? Quelles sont les sanctions en cas de non-respect ?
I. Le règlement sur les marchés numériques
Le DMA affiche un objectif clair et limpide : lutter contre les pratiques anticoncurrentielles des géants de l’Internet (notamment les GAFAM) et corriger les déséquilibres causés par leur domination.
Toutes les entreprises ne sont pas concernées par le DMA. Celui-ci ne cible que les « Gatekeepers », autrement dit, les contrôleurs d’accès à l’entrée d’Internet, les PME étant épargnées par cette qualification. Sont qualifiées de Gatekeepers les plateformes qui :
Ont un chiffre d’affaires ou une valorisation boursière très élevée (plus de 7,5 milliards d’euros de chiffre d’affaires annuel en Europe dans les 3 dernières années ou une valorisation en bourse d’au moins 75 milliards d’euros durant la dernière année)
Enregistrent un grand nombre d’utilisateurs dans l’UE (plus de 45 millions d’utilisateurs mensuels actifs et plus de 10 000 professionnels par an pendant les trois dernières années)
Fournissent un ou plusieurs services de plateforme essentiels dans au moins trois pays européens
Le DMA concerne donc les services de plateformes jugés essentiels tels que les services de messagerie, les réseaux sociaux, les moteurs de recherches ou encore les marketplaces.
Pour ce faire, des outils de régulation ex-ante sont mis en place afin de créer une concurrence loyale entres les acteurs, de stimuler l’innovation, la croissance et la compétitivité sur le marché numérique et, enfin, de renforcer la liberté de choix des consommateurs européens.
Parmi ces outils figurent une vingtaine d’obligations (désinstallation facile d’applications préinstallées ; désabonnement à un service de plateforme essentiel aussi simple que l’abonnement, etc.) ou d’interdictions (réutilisation de données personnelles d’un utilisateur à des fins de publicité ciblée sans son consentement explicite ; fait d’imposer des logiciels importants comme un moteur de recherche par défaut à l’installation du système d’exploitation, etc.) que les responsables de traitement devront respecter sous peine d’amende. Toute personne qui s’estime lésée pourra, sur la base de ces obligations ou interdictions, demander, devant les juges nationaux, des dommages et intérêts.
De même, en cas de non-respect du DMA, la Commission Européenne pourra prononcer, à l’égard du Gatekeepers des amendes proportionnelles à son chiffre d’affaires (jusqu’à 10% du chiffre d’affaires mondial ou 20% en cas de récidive). Des mesures correctives additionnelles sont prévues en cas de violation systématique (notamment, une cession de parties de l’activité du contrôleur d’accès).
II. Le règlement sur les services numériques
La volonté des législateurs européens, au travers de ce règlement, est de mettre en place un système selon lequel tout ce qui est illégal hors ligne l’est également en ligne.
Le DSA s’applique à toutes les plateformes en ligne qui offrent des biens, contenus ou services sur le marché européen. Cela signifie que même les sociétés étrangères opérant en Europe sont concernées. Parmi ces plateformes, sont notamment visés les fournisseurs d’accès à internet (FAI), les services de cloud, les marketplaces, les réseaux sociaux, les plateformes de partage de contenus, etc.
Dans cette perspective, le règlement fixe un ensemble de mesures, graduées selon les acteurs en ligne et leur rôle, qui viennent lutter contre les contenus illicites en ligne et incitent les plateformes à se responsabiliser.
Les mesures prévues par ce règlement peuvent être classées selon trois catégories, la lutte contre les contenus illicites, la transparence en ligne et, l’atténuation des risques et réponse aux crises.
D’abord, concernant la première catégorie, un système permettant aux internautes de signaler facilement les contenus illicites devra être mis en place. En ce sens, les plateformes devront coopérer avec des signaleurs de confiance dont les signalements seront traités en priorité. Une fois le contenu illicite signalé, les plateformes devront retirer ou bloquer rapidement le contenu.
Par ailleurs, les marketplaces devront mieux tracer les vendeurs proposant des produits et services ainsi que mieux informer les consommateurs.
Ensuite, concernant la transparence en ligne, les plateformes auront l’obligation d’avoir un système de traitement interne des réclamations. Elles devront également expliquer le fonctionnement des algorithmes qu’elles utilisent pour recommander des contenus publicitaires fondés sur le profil des utilisateurs et, pour les plus grandes plateformes, l’obligation de proposer un système de recommandation de contenus non-fondé sur le profilage.
Enfin, le troisième volet d’obligations concerne les très grandes plateformes et les très grands moteurs de recherche dont la liste sera fixée par la Commission européenne. Ils devront entre autres, analyser tous les ans les risques systémiques qu’ils génèrent et effectuer des audits indépendants de réductions des risques sous le contrôle de la Commission. Ils devront également fournir une analyse des risques que posent leurs interfaces lorsqu’une crise émerge (santé publique ou sécurité publique), la Commission pouvant même leur imposer durant un temps limité des mesures d’urgence.
Les sanctions notables semblent pouvoir pousser les entreprises à se plier au respect du règlement. Dans le cas contraire la Commission peut prononcer des amendes allant jusqu’à 6% du chiffre d’affaires annuel mondial des entreprises, voire, en cas de violations graves et répétées, leur interdire d’exercer leur activité sur le marché européen.
Alors que le DMA cible certains acteurs, le DSA à un spectre beaucoup plus large, s’adressant à tous les intermédiaires qui offrent leurs services sur le marché européen (FAI, places de marché, réseaux sociaux…etc). Des règles spécifiques s’appliqueront aux plateformes ayant une audience importante au sein de l’Union européenne (plateforme de plus de 45 millions d’utilisateurs actifs par mois). Inversement, les plus petites plateformes seront quant à elles exemptées de certaines obligations (PME).
Pour ce qui est de leur entrée en vigueur respective, le Règlement DMA serait applicable dès mai 2023, le temps, pour la Commission, de prendre les actes nécessaires à la mise en œuvre des nouvelles règles. Concernant le Règlement DSA, il est entré en vigueur en novembre 2022 avec une applicabilité en février 2024, exception faite pour les très grandes plateformes en ligne et les très grands moteurs de recherche pour qui le règlement serait applicable dès 2023 (4 mois après que la Commission européenne en aura établi la liste).
Les équipes de TAoMA sont à votre disposition pour toute question que vous pourriez avoir sur le sujet ou pour échanger avec vous de ces réformes importantes et impactantes aussi bien pour les sociétés concernées que pour les consommateurs.
Nathan Audinet
Stagiaire Pôle Avocats
Jean-Charles Nicollet
Conseil en Propriété Industrielle
29
novembre
2022
Bataille des NFT : 1-0 pour la Juventus !
Author:
admingih092115
Il n’est plus nécessaire de présenter la Juventus de Turin, même pour les profanes en matière de foot !
Si la Juve, pour les intimes, se bat au quotidien sur les terrains de foot, elle n’est pas en reste quand il s’agit de défendre ses droits devant les tribunaux, et avec un certain succès.
Dans le cadre de l’une des premières décisions en Union européenne dans le domaine, la Juve l’a emporté haut la main contre des cartes numériques à jouer authentifiées par NFT.
Petit résumé de la compétition
En 2021, la société Blockeras s.r.l a obtenu l’accord de différents joueurs actifs ou à la retraite pour lancer le projet Coin Of Champion consistant en la réalisation de cartes à jouer à leur effigie et authentifiées par NFT.
L’une des cartes représentait l’ancien avant-centre Bobo VIERI portant son ancien maillot de la Juve.
En 2022, Blockeras lance la commercialisation de ses cartes entrainant l’attaque de la Juventus.
En effet, cette dernière est titulaire de nombreuses marques dont les marques verbales JUVE, JUVENTUS et une marque figurative représentant son célèbre maillot à rayures noires et banches portant 2 étoiles.
La Juve découvrant la production (mintage), la publicité et la mise en vente des cartes authentifiées par NFT contenant ses marques sans son autorisation, elle saisit la cour de première instance de Rome dans le contexte d’une « injonction préliminaire ». Elle considère que ces cartes constituent des actes de contrefaçon de ses marques et de concurrence déloyale.
Pour sa défense, Blockeras fait notamment valoir que les marques invoquées n’étaient pas enregistrées pour les produits virtuels téléchargeables !
Tableau des scores
La cour de première instance de Rome relève que les marques concernent l’équipe de foot italienne la plus performante qui a remporté le plus de compétitions.
Par ailleurs, la Juve a une activité de merchandising généralisée dans différents secteurs (vêtements, jeux, etc.) aussi bien sur le web que dans des magasins physiques dans différentes villes d’Italie.
Ainsi, l’usage de l’image de Bobo VIERI, portant son maillot de la Juve, entraine un usage des marques sans autorisation de la Juventus. Il s’agit d’un usage à des fins purement commerciales et l’autorisation de Bobo VIERI d’exploiter son image portant son maillot devait également faire l’objet d’une demande d’autorisation auprès du célèbre club de foot puisque la réputation de ses marques contribue à la valeur de la carte numérique authentifiée par NFT.
Quant à l’argument de Blockeras selon lequel les marques ne sont pas protégées en classe 9 pour des produits virtuels, la cour l’écarte d’un revers du pied. En effet, elle note que les marques désignent différents produits, notamment en classe 9, qui sont liés aux « publications électroniques téléchargeables ».
De plus, elle précise que la Juve est active dans le monde des crypto jeux, des crypto monnaies et des NFT notamment via des accords avec la société française Sorare.
Elle en conclut donc que la création et la commercialisation des cartes numériques par Blockeras portent atteinte aux marques de la Juve.
Commentaire (non sportif)
En juin dernier, l’Office européen de la propriété intellectuelle (EUIPO) a publié ses « guidelines » relatives aux NFT dans lesquelles il estime que ces derniers relèvent de la classe 9 « parce qu’ils sont traités comme du contenu ou des images numériques ». Il en ressort donc une présomption que les marques pour des produits physiques doivent également être déposées pour les produits virtuels si leurs titulaires souhaitent être protégés pour ces derniers.
Cette décision de la cour de première instance de Rome semble également aller dans ce sens puisqu’elle reconnait la similarité entre les cartes virtuelles authentifiées par NFT avec les « publications électroniques téléchargeables » auxquelles des produits désignés par les marques de la Juventus sont liés. Il est vrai que la cour retient également l’activité marquée de la Juve dans le domaine des crypto jeux et crypto monnaies pour renforcer le risque de confusion dans l’esprit du public.
Néanmoins, si les marques de la Juve n’avaient pas désigné des produits liés aux publications électroniques téléchargeables, nous pouvons nous demander si la cour aurait eu le même raisonnement malgré l’activité du club de foot dans ces nouvelles technologies.
Face aux incertitudes actuelles liées aux NFT, il est donc fortement recommandé d’étendre la protection de ses marques aux produits virtuels, au moins par précaution.
N’hésitez pas à nous contacter pour en discuter et mettre en place une stratégie de marque adaptée à vos besoins !
Jean-Charles Nicollet
Conseil en Propriété Industrielle
17
octobre
2022
Entre arnaque et auto-régulation : le paradoxe du monde des NFT
Author:
admingih092115
La spéculation autour de certains NFT crée la convoitise. C’est ainsi que 5 NFT de la fameuse collection Bored Apes ont été volés pour un préjudice chiffré autour de 2.5 millions de dollars. L’un des NFT vaut à lui seul plus d’1 million de dollars.
Il y a quelques jours, c’est à Paris que plusieurs personnes ont été mises en examen pour ces faits qualifiés d’escroquerie en bande organisée, blanchiment et association de malfaiteurs
L’affaire a commencé par une proposition de « upgrader » c’est-à-dire faire évoluer les fameux NFT pour en faire un gif animé. Un site internet d’hameçonnage faisait partie des moyens.
Ça s’est terminé par un smart contract piégé…qui donnait accès aux NFT. Et le tour était joué.
Le procédé est particulièrement banal : l’hameçonnage, appelé dans le jargon « phishing scam ». Mais les moyens, eux, sont réservés à une élite de hackers, parfaitement rôdés à la Blockchain. Qui sont aussi très jeunes…
Toutefois cet écosystème s’auto-régule aussi. Il est historiquement fondé sur des valeurs fortes d’entraide et de coopération désintéressée de la part des membres. Certains vont jusqu’à se donner pour mission d’assurer la transparence et dénoncer les transactions louches.
C’est là qu’entre en scène un investigateur anonyme, mais célèbre sous son pseudo dans le monde de la Blockchain : ZachXBT.
Zach traque, analyse les transactions, car elles sont visibles dans les Blockchain, retrace les flux de cryptomonnaies et fait les recoupements permettant l’identification de cybercriminels.
Son compte twitter est très suivi.
Il a déjà proposé son aide pour des arnaques célèbres.
ZachXBT déclare sur sa page de crowdfunding Grants, qu’après avoir été lui-même victime, il a décidé de documenter les transactions louches afin d’éduquer et accroître la transparence dans cet espace.
Il expose aussi les influenceurs qui abusent de leur influence pour pousser le public à des transactions opaques, voire malhonnêtes.
Dans cette affaire des Bored Apes il a apporté une aide déterminante à l’OCLCTIC (Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication).
Anne Messas
Avocat à la Cour
10
août
2022
Minecraft refuse les NFT au nom de l’inclusion
Pendant que les juristes et acteurs économiques s’agitent pour s’adapter au marché des NFT et du metaverse, les plus jeunes se réjouissent car un éditeur de jeu et non des moindres a dit non.
Dans son communiqué du 20 juillet 2022, l’éditeur de Minecraft, le jeu vidéo le plus téléchargé au monde, prend position contre la logique de spéculation, de rareté et d’exclusion, qui, selon lui, est véhiculée par l’usage actuel des NFT.
L’éditeur Mojang Studios détenu depuis 2014 par Microsoft, s’inscrit fermement contre l’intégration des NFT au jeu Minecraft, au nom des valeurs d’égalité d’accès aux contenus du jeu et d’inclusion créative.
« NFTs are not inclusive of all our community and create a scenario of the haves and the have-nots. The speculative pricing and investment mentality around NFTs takes the focus away from playing the game and encourages profiteering, which we think is inconsistent with the long-term joy and success of our players. » (« Les NFTs ne sont pas inclusifs pour l’ensemble de notre communauté et créent un scénario entre ceux qui ont et ceux qui n’ont pas. La mentalité de prix spéculatif et d’investissement qui entoure les NFTs détourne l’attention du jeu et encourage le profit, ce qui, selon nous, est incompatible avec la joie et le succès à long terme de nos joueurs. »)
Cette décision est conforme à l’état d’esprit de nombreux gamers qui rejettent les NFT en les associant à un univers de spéculation mais aussi à cause des conséquences graves et non maîtrisées pour l’instant de la blockchain sur l’environnement.
L’univers du web 3.0 n’en finit pas de susciter débat.
TAoMA suit cela de très près.
Stay tuned
Anne Messas
Avocat à la cour
19
décembre
2019
Un an de prison pour usurpation d’identité et cyber harcèlement : les juges haussent le ton
Author:
teamtaomanews
Face à la prolifération des comportements nuisibles sur internet, le législateur s’est efforcé de proposer une répression adéquate en renforçant notamment la sanction du harcèlement moral lorsqu’il est commis en ligne[1], l’usurpation d’identité en ligne restant en revanche assimilée au délit commis par d’autres moyens[2].
En l’espèce, une professeure de philosophie à la retraite, administratrice et rédactrice d’un site internet concernant la culture chinoise a commenté en 2013 un ouvrage dont elle critiquait la qualité.
Peu de temps après, et durant une période de plus d’un an, la professeure a reçu de plus de 500 courriers électroniques malveillants et insultants de la part de l’auteure.
Elle n’a également pas hésité à contacter l’ancien établissement scolaire de la victime, ainsi qu’une mairie, afin de la discréditer.
Et pour pour chercher à accréditer ses propos diffamatoires, elle avait créé plusieurs adresses mails depuis lesquels elle publiait de faux messages antisémites attribués à la victime sur différents sites internet, messages qu’elle commentait ensuite sous un autre nom pour alimenter la polémique. Certains webmasters ayant accepté de fournir les identifiants de connexion, la démarche de l’auteure a été dévoilée.
Face à ces faits édifiants, le jugement a été sans équivoque. En effet, le préjudice moral subit par Madame X a été constaté ayant pour cause « les nuisances importantes qu’internet peut occasionner en adressant des messages haineux et calomniateur sous le couvert de l’anonymat supposé d’un clavier ».
Aussi, le juge a condamné la prévenue à 8000€ en réparation du préjudice moral de Mme X mais surtout, et c’est ce qui rend cet arrêt notable, il l’a condamnée à 1 an d’emprisonnement.
Willems Guiriaboye
Stagiaire Pôle avocats
Anita Delaage
Avocate
Date et référence : Tribunal de grande instance de Paris, 14ème chambre correctionnelle, 27 juin 2019
Lire le jugement sue Legalis
[1] Art 222-33-2-2 du Code pénal : « Le fait de harceler une personne par des propos ou comportements répétés ayant pour objet ou pour effet une dégradation de ses conditions de vie se traduisant par une altération de sa santé physique ou mentale est puni d’un an d’emprisonnement et de 15 000 € d’amende […]
Les faits mentionnés […] sont punis de deux ans d’emprisonnement et de 30 000 € d’amende : […]
4° Lorsqu’ils ont été commis par l’utilisation d’un service de communication au public en ligne ou par le biais d’un support numérique ou électronique […] ».
[2] Art 226-4-1 du Code pénal : « Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 € d’amende.
Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne ».
19
mars
2019
Le vrai du faux de l’article 13
Author:
teamtaomanews
Mise à Jour du 27 mars 2019 suite à l’adoption de la Directive par le Parlement européen le 26 mars 2019
La directive « droit d’auteur », proposée par la Commission le 14 septembre 2016, vient d’être votée dans une version modifiée et définitive par le Parlement européen le 26 mars 2019. Nous faisons le point sur ce que dit « l’article 13 », devenu article 17, et sur les peurs qu’il a suscitées.
Comme toute directive, le texte qui vient d’être adopté par le Parlement européen devra être transposé dans le droit national des 28 (ou 27 ?) États Membres et ne sera pas applicable tel quel (contrairement aux règlements, comme le RGPD qui n’a pas eu besoin de transposition). La directive ne fait que fixer des buts à atteindre et laisse aux États Membres les moyens de parvenir à ces buts (par exemple, en imposant l’utilisation de logiciels de filtrage automatique, ou non).
Cette directive, tout au long du processus de négociations qui a duré deux ans et demi, a suscité de multiples inquiétudes et nous avons souhaité faire le point sur ce qu’elle implique, en examinant chacune des craintes et interrogations qui se sont répandues sur la toile, en particulier au sujet du fameux « article 13 » qui est devenu, dans la version finale, l’article 17 mais qui est passé à la postérité sous son numéro 13.
C’est quoi, l’article 13 ?
L’article 13, devenu 17, de la directive prévoit :
La fin du statut protecteur de l’hébergeur de contenu étendu par la jurisprudence européenne des FAI aux plateformes : plus de safe harbor, qui permettait aux hébergeurs de ne pas voir leur responsabilité engagée en cas de prompt retrait du contenu litigieux, mais une responsabilité a priori;
Une rémunération des auteurs encadrée par des contrats de licence facultatifs pour les ayants droit (point 1 de l’article) ;
Quand les ayants droit ne souhaitent pas conclure d’accord global, une obligation de coopération pour les plateformes, qui seraient ainsi obligées de supprimer le contenu litigieux (point 4) ;
Lorsqu’aucune autorisation n’a été accordée par les ayants droit, les hébergeurs sont tenus responsables de la communication du contenu litigieux sauf s’ils démontrent qu’ils ont : tout fait pour obtenir l’autorisation, ont déployé tous les efforts pour assurer l’indisponibilité de l’œuvre spécifique et qu’ils ont agi avec diligence pour supprimer ou interdire l’accès à l’œuvre après avoir reçu notification par les titulaires des droits. Il sera fait application du principe de proportionnalité afin de déterminer si les hébergeurs ont respecté leur obligation de coopération notamment au regard de l’audience, de la taille du service, du type d’œuvres téléchargées par les utilisateurs, des moyens efficaces et de leur coût pour l’hébergeur.
La possibilité pour les utilisateurs dont le contenu a été retiré de contester ce retrait au moyen d’une procédure de recours interne (point 8)
Une obligation de filtrage préalable à laquelle n’échappent que les plateformes âgées de moins de trois ans, réalisant moins de 10 millions d’euros de chiffre d’affaire annuel. Lorsque ces plateformes attirent plus de 5 millions d’utilisateurs, elles devront également démontrer qu’elles ont réalisé les efforts substantiels pour empêcher le téléchargement des œuvres pour lesquelles les auteurs avaient communiqué les éléments pertinents (point 4aa).
Ça va encore compliquer la vie des PME, comme le RGPD ?
Le Parlement européen a allégé la charge prévue initialement par la Commission pour les PME qui n’auront pas à mettre en œuvre de mesure de blocage automatique même en présence d’accords de licence négociés avec les ayants droit (point 7). En revanche, les plus petites plateformes seront obligées d’accepter de signer des accords de licence.
Est-ce que je prendrai des risques en faisant apparaître des marques dans mes vidéos ?
Non, rien ne change en matière de marques. La directive ne concerne que le droit d’auteur. Elle ne change rien au fait qu’il est déjà possible, sans engager sa responsabilité, de faire apparaître, volontairement ou non, un objet portant une marque protégée, dans le contenu mis en ligne. C’est par exemple le cas de cette célèbre marque de vêtements dans une vidéo de Norman Thavaud. L’utilisation qui est faite de la marque n’est pas « dans la vie des affaires » : elle ne constitue donc pas une contrefaçon.
Et les œuvres protégées par le droit d’auteur ? Va-t-il être désormais interdit de les montrer, même dans un coin de l’image ou pendant une fraction de seconde ?
Contrairement au projet rédigé par la Commission, la version modifiée puis votée par le Parlement précise que les exceptions au droit d’auteur empêcheront l’application de l’article 13. Par conséquent, il sera toujours possible, comme c’est le cas aujourd’hui, de :
Reproduire le bref extrait d’une œuvre à titre illustratif d’un propos plus général (citer une phrase d’un roman, montrer l’extrait d’une pièce de théâtre, utiliser quelques secondes d’une chanson…), comme c’est le cas pour cet extrait du film Le Cinquième Élément dans la même vidéo de Norman Thavaud ;
Faire figurer une œuvre protégée au sein d’un ensemble plus vaste, par exemple la Pyramide du Louvre de Ieoh Ming Pei (œuvre architecturale encore protégée) dans une vidéo tournée dans Paris ou un personnage de Walt Disney sur un poster figurant en arrière-plan de la vidéo d’un youtubeur dès lors que ces œuvres ne sont pas l’objet principal du contenu mis en ligne (exception « de panorama » ou « d’inclusion fortuite ») ;
Détourner une œuvre pour s’en moquer, la parodier, ou produire un contenu humoristique (exception de parodie), comme cette vidéo des Guignols de l’info parodiant une chanson de Stromae ;
Et bien sûr, il reste possible d’utiliser librement des œuvres appartenant au domaine public, c’est-à-dire dont l’auteur ou le dernier coauteur survivant est mort depuis au moins 70 années écoulées avant le 1er janvier de l’année en cours (hors cas particuliers).
J’ai entendu dire que l’article 13, c’est le retour de la censure…
Dès lors que les exceptions au droit d’auteur sont préservées, la directive n’aura aucunement pour effet de « censurer » les uploadeurs. En revanche, les mesures de surveillance des œuvres protégées seront peut-être plus efficaces et donneront lieu à davantage de retraits de contenu : mais ces retraits seront justifiés par des infractions au droit d’auteur.
Le droit d’auteur est certes une limite à la liberté d’expression puisqu’il est, par exemple, interdit de mettre en ligne un film n’appartenant pas au domaine public sans l’autorisation des ayants droit. Mais il ne s’agit pas à proprement parler de « censure » car cette limite à la liberté d’expression est inscrite dans la loi et dans les droits fondamentaux et constitutionnels (par l’article 11 de la Déclaration des Droits de l’Homme et du Citoyen de 1789, notamment). Le terme de « censure » impliquant l’idée d’une intervention arbitraire, il est ici incorrect – sauf si les craintes suscitées par « Content ID » se révélaient justifiées, voir dernière question ci-dessous.
Est-ce vrai que les memes seront interdits ?
Les memes sont ces détournements parodiques qui incluent potentiellement des œuvres protégées, comme par exemple ce détournement du personnage OSS117 en référence à une phrase prononcée par l’actuel président de la République :
Une telle image utilise donc un extrait d’une œuvre protégée (OSS117 : Le Caire, nid d’espions) et le détourne par l’ajout d’un texte qui n’en provient pas mais qui suggère un rapprochement. A première vue, cette image enfreint donc le droit moral des ayants droit (absence de mention de l’auteur de l’image, modification non autorisée de l’œuvre) ainsi que leurs droit patrimoniaux (absence d’autorisation de la reproduction de l’œuvre, absence de rémunération).
Pourtant, ce meme n’est pas une contrefaçon car les exceptions au droit d’auteur empêchent les ayants droit du film d’en demander la suppression : l’image est utilisée à des fins parodiques, Emmanuel Macron étant comparé à Hubert Bonisseur de la Bath.
Les memes ne sont donc pas mis en danger par la directive, en droit.
Mais si les exceptions restent en vigueur, qu’est-ce qui va changer ?
Si les exceptions au droit d’auteur ne sont pas supprimées par la directive, cela implique tout d’abord que les plateformes n’auront pas la tâche démesurée de retirer tous les contenus utilisant des œuvres grâce à ces exceptions !
Ce qui va surtout changer, c’est le mode de rémunération des ayants droit qui seraient payés, via les accords de licence ou les accords au cas par cas, à la fois par YouTube et par l’uploadeur alors que, jusqu’à présent, seul ce dernier rémunère les auteurs des œuvres qu’il utilise dans sa contribution, sur les revenus dégagés par la publicité et que lui reverse YouTube. C’est une des raisons pour lesquelles les plateformes s’opposent à l’article 13.
Ensuite, il est vrai que les changements ne seront peut-être pas très visibles pour les uploadeurs ou les utilisateurs. Ainsi, les grandes plateformes ont déjà mis en place, depuis des années, notamment en France, des systèmes leur permettant de filtrer le contenu protégé, ne serait-ce qu’en surveillant par mots-clés le contenu mis en ligne, mais aussi en recourant à des robots ; elles suppriment également du contenu qui leur a été signalé comme contrefaisant par les ayants droit en-dehors de tout accord de licence ; elles ont enfin déjà instauré des procédures de contestation par les uploadeurs des mesures de retrait opérées contre leur contenu.
Par exemple, YouTube (propriété de Google) propose une procédure en ligne de notification d’atteinte aux droits d’auteur, mais aussi une procédure de contestation de la demande de retrait.
De même, YouTube a déjà prévu un formulaire de contestation contre le blocage automatique d’une vidéo par le logiciel « Content ID » et même une possibilité de faire appel contre la confirmation du retrait suite à la contestation (même lien). YouTube a donc anticipé sur l’application de l’article 13.
Enfin, certains utilisateurs avertis contournent les mesures de blocage automatique en empêchant la reconnaissance automatique des données contenues dans les vidéos qu’ils mettent en ligne : la bataille technologique ne concerne certes pas le gros des troupes des utilisateurs mais elle a une nette avance, comme toujours, sur l’évolution juridique.
Comment ce robot de blocage automatique, « Content ID », fonctionne-t-il ?
C’est un robot capable de repérer qu’un YouTubeur essaie de mettre en ligne un film dont les ayants droit ont expressément demandé la protection, ou bien un extrait de ce film. Ainsi, si un utilisateur de YouTube essaie de mettre en ligne sur sa chaîne le dernier film commercialisé par Warner ou par Universal et que ces sociétés ont demandé à bénéficier des services de Content ID, la mise en ligne est automatiquement bloquée. Il aura le même problème s’il a inclus un extrait de ce film dans sa propre vidéo.
Le problème suscité par ce blocage automatique est sa coexistence avec l’exception de courte citation et avec l’exception de parodie. En effet, les ayants droit ont la possibilité d’encadrer par défaut la durée autorisée des extraits. C’est pour cela, justement, que les procédures de contestation ont été prévues. Mais comme ces procédures sont très favorables aux ayants droit, l’uploadeur n’a plus que la seule option de saisir les tribunaux judiciaires pour faire condamner l’atteinte à sa liberté d’expression.
Il bien sûr impossible pour ce robot de répertorier la totalité des œuvres audiovisuelles protégées (films, émissions, clips, etc.) et musicales. Dès lors, le blocage automatique ne pourra concerner qu’une petite partie des œuvres protégées.
La crainte majeure pour les plateformes est que le blocage automatique soit imposé dans le cadre des accords de licence comme une obligation de résultat et non comme une obligation de moyens : dans le premier cas, elles seraient responsables si leurs robots ne détectent pas l’utilisation non autorisée d’une œuvre protégée ; dans le second, elles pourraient se dédouaner si elles démontrent avoir tout fait pour assurer le blocage automatique avec les outils technologiques et les moyens humains qui sont les leurs.
Gaëlle Loinger-Benamran
Associée
Conseil en Propriété Industrielle
et
Jérémie Leroy-Ringuet
Avocat à la Cour
