Téléchargeable ici –> Lettre d’information Droit du numérique n°2 juillet 2021
MARCHE UNIQUE NUMERIQUE & RESPONSABILITÉ DES PLATEFORMES 1
DÉCRET SMAD, CINÉMA & AUDIOVISUEL 2
CONTREFAÇON DE LOGICIEL & CONSTITUTIONNALITE 3
CYBERATTAQUES & LOGICIEL DE RANÇON 3
DONNEES PERSONNELLES & CNIL (1) 4
DONNEES PERSONNELLES & CNIL (2) 4
DONNEES D’IDENTIFICATION & SERVICES DE COMMUNICATION ELECTRONIQUES 5
MARCHÉ UNIQUE NUMÉRIQUE & RESPONSABILITÉ DES PLATEFORMES : Le nouveau régime de responsabilité des plateformes de contenus en ligne protégés par un droit d’auteur ou un droit voisin vient d’être transposé en droit français (Ordonnance n° 2021-580 du 12 mai 2021 portant transposition du 6 de l’article 2 et des articles 17 à 23 de la directive 2019/790 du Parlement européen et du Conseil du 17 avril 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique).
L’article 17 de la Directive (UE) 2019/790 du 17 avril 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique a fait couler beaucoup d’encre.
Il a été transposé en droit français par l’ordonnance n°2021 du 12 mai 2021 avec les articles 18 à 23 de cette directive portant sur la juste rémunération des auteurs et des artistes interprètes ou exécutants dans le cadre des contrats d’exploitation (nous aurons l’occasion d’en reparler).
Cette transposition intervient sur le fil : alors que le gouvernement français avait souhaité transposer rapidement la directive, sa volonté s’est heurtée à la pandémie du COVID-19. La transposition n’en intervient pas moins dans les délais, la date limite de transposition ayant été fixée au 7 juin 2021.
Connu, l’article 17 n’en est pas moins complexe. Cette complexité se retrouve également dans le texte de transposition. Ce dernier a ainsi créé un nouveau chapitre VII dans le titre III du Code de la propriété intellectuelle (CPI) intitulé «Dispositions applicables à certains fournisseurs de services de partage de contenus en ligne » qui décline en 4 articles denses le nouveau dispositif (Art. L. 137-1 à L. 137-4 CPI). Ce dispositif applicables aux œuvres de l’esprit (droit d’auteur) est décliné aux articles L. 219-1 à L. 219-4 du CPI pour les objets protégés (droits voisins).
L’article L. 137-1 CPI définit les personnes visées par ce dispositif, à savoir le « fournisseur d’un service de partage de contenus en ligne », c’es-à-dire « la personne qui fournit un service de communication au public en ligne dont l’objectif principal ou l’un des objectifs principaux est de stocker et de donner au public accès à une quantité importante d’œuvres ou d’autres objets protégés téléversés par ses utilisateurs, que le fournisseur de service organise et promeut en vue d’en tirer un profit, direct ou indirect ». Sont ainsi visées les plateforme de partage de contenus en ligne, dont les plus emblématiques YouTube, Instagram, Dailymotion, Facebook, TikTok, Twitter, etc. D’autres sont expressément exclues du dispositif dont notamment les encyclopédies en ligne à but non lucratif, les fournisseurs de places de marché en ligne, les services en nuage entre entreprises ou encore les services en nuage qui permettent aux utilisateurs de téléverser des contenus pour leur usage strictement personnel.
L’article L. 137-2 CPI fixe le régime applicable à ces plateformes de partage de contenus en ligne. Il est ainsi précisé qu’en donnant accès à une œuvre protégée (ou objet protégé) par le droit d’auteur (ou par les droits voisins), la plateforme réalise un acte de représentation (ou de communication ou de télédifussion), de sorte qu’elle doit obtenir l’autorisation des titulaires des droits. Cette autorisation bénéfice à l’utilisateur de la plateforme. A défaut d’autorisation, la plateforme est juridiquement responsable des contenus contrefaisants téléversés par ses utilisateurs. Sa responsabilité ne peut toutefois être engagée si certaines précautions ont été prises : si ses meilleurs efforts ont été fournis pour obtenir l’accord des titulaires de droits, si ses meilleurs efforts ont été fournis pour garantir l’indisponibilité des œuvres (ou objets protégés) pour lesquelles elle dispose des informations pertinentes et nécessaires et si en tout état de cause, elle a agi promptement, dès notification d’une demande motivée, non seulement pour bloquer l’accès aux œuvres (ou objets protégés) mais également pour empêcher que ces œuvres (ou objets protégés) soient téléversées dans le futur.
L’article L. 137-3 CPI impose à la plateforme de partage de contenus en ligne une obligation de transparence afin que les titulaires de droits puissent apprécier la réalité des mesures prises par elle et, partant, sa responsabilité.
L’article L. 137-4 CPI comprend enfin des mesures en faveur des utilisateurs. D’une part, il est rappelé que le nouveau dispositif ne peut s’opposer au libre usage des œuvres (ou objets protégés) dans les limites des droits prévus par le CPI, notamment s’agissant du bénéfice des exceptions aux droits d’auteur (et droits voisins). Et d’autre part, le fournisseur d’un service de partage de contenus en ligne doit mettre en place un dispositif de « recours et de traitement des plaintes relatives aux situations de blocage ou de retrait » afin de les contester y compris dans le cadre d’un recours devant la HADOPI (appelée à fusionner avec le CSA dans la future ARCOM).
Ce nouveau dispositif est applicable depuis le 7 juin 2021, y compris pour les contenus téléversés avant cette date. En coulisse, la bataille n’est toutefois pas terminée. Des « orientations relatives à l’article 17 de la nouvelle directive sur le droit d’auteur visent à soutenir une application cohérente dans tous les États membres de cette disposition importante des nouvelles règles de l’UE en matière de droit d’auteur » ont d’ailleurs été publiées par la Commission de l’Union européenne. Leur but officiel est de partager les points de vue des différentes parties prenantes et « d’examiner les solutions pratiques possibles pour l’application de l’article 17 ». Bref, la tentation de réécrire le texte n’est pas encore totalement abandonnée…
DÉCRET SMAD : CINÉMA & AUDIOVISUEL : Les nouvelles règles applicables aux services de médias audiovisuels à la demande (SMAD) viennent d’être adoptées en droit français (décret n° 2021-793 du 22 juin 2021 relatif aux services de médias audiovisuels à la demande).
Le décret dit SMAD se substitue à l’ancien texte du 12 novembre 2010 relatif aux services de médias audiovisuels. Le nouveau texte, qui entre en vigueur le 1er juillet 2021, est dense (41 articles). Il fixe les règles applicables aux services de médias audiovisuels à la demande (SMAD), qui regroupent les services de vidéos à la demande par abonnement, payants à l’acte ou gratuits, et les services de télévision de rattrapage, en matière de contribution à la production d’œuvres cinématographiques et audiovisuelles européennes et d’expression originale française, d’exposition de ces mêmes œuvres et en matière de publicité, de parrainage et de téléachat.
Sa principale nouveauté est d’assujettir les SMAD étrangers visant la France aux mêmes règles de contribution au financement de la production d’œuvres cinématographiques et audiovisuelles que celles qui s’appliquent aux services relevant de la compétence de la France. Il met ainsi en pratique la dérogation au principe du pays d’origine adopté par l’ordonnance n°2020-1642 du 21 décembre 2020 portant transposition de la directive 2018/1808 « services de médias audiovisuels » du 14 novembre 2018.
Prochain texte : le décret dit « TNT » relatif à la contribution à la production d’œuvres cinématographiques et audiovisuelles des services de télévision diffusés par voie hertzienne terrestre sur lequel une consultation publique est ouverte depuis le 18 juin 2021.
CONTREFAÇON DE LOGICIEL & CONSTITUTIONNALITÉ : La contrefaçon pénale des droits de l’auteur d’un logiciel telle que prévue et réprimée par le Code de la propriété intellectuelle est conforme à la constitution (QPC – Cour de cassation, ch. crim., 9 mars 2021, 20-90.034).
Dans le premier numéro de notre lettre d’information, nous avions signalé la question prioritaire de constitutionnalité (QPC) transmise par le Tribunal judiciaire de Bobigny à la Cour de cassation le 15 décembre 2020 concernant la conformité à la constitution des textes du Code de la propriété intellectuelle (CPI) en matière de contrefaçon pénale de logiciel.
La QPC avait été soulevée dans le cadre d’un litige en contrefaçon opposant au pénal deux éditeurs de logiciels consécutivement à la plainte déposée par l’un de ces éditeurs, qui reprochait à l’autre d’utiliser sans son autorisation certains de ses logiciels.
La QPC était libellée en ces termes : « Les dispositions de l’alinéa 2 de l’article L. 335-3 du code de la propriété intellectuelle disposant qu’est également un délit de contrefaçon la violation de l’un des droits de l’auteur d’un logiciel définis à l’article L. 122-6 portent-elles atteinte au principe de légalité des délits et des peines tel que garanti par les articles 8 de la Déclaration des droits de l’homme et du citoyen du 27 août 1789 et 34 de la Constitution du 04 octobre 1958 dans la mesure où ce texte spécifique d’incrimination n’est assorti d’aucune peine ? »
En substance, l’auteur de la QPC considérait que le texte qui prévoit l’incrimination (article L. 335-3 alinéa 2 du Code de la propriété intellectuelle) n’est pas assorti de sanctions dès lors que le texte qui les prévoit (article L. 335-2 CPI) ne vise pas expressément le logiciel.
Par arrêt du 9 mars 2021, la Cour de cassation a refusé de renvoyer au conseil constitutionnel la QPC. Selon la Cour de cassation, la question « ne présente pas un caractère sérieux dès lors que les dispositions de l’alinéa 2 de l’article L. 335-3 du [CPI] se bornent à étendre aux faits qu’elles décrivent, l’incrimination de délit de contrefaçon clairement réprimé par les peines indiquées à l’article L. 335-3 du même code ».
La solution était prévisible. Le texte d’incrimination a été édicté en 1994, date de transposition de la directive 91/250 CCE du 14 mai 1991 organisant la protection des logiciels par le droit d’auteur, alors que celui relatif aux sanctions est antérieur : il existe dans le code de la propriété intellectuelle depuis le 1er juillet 1992 et même avant la codification, avec l’ancien article 425 du code pénal. Or l’un renvoie « clairement » à l’autre, de sorte que le délit de contrefaçon de logiciel est bien prévu (art. L. 335-3 alinéa 2 CPI) et réprimé (article L. 335-2 CPI).
La procédure devant la chambre correctionnelle du Tribunal judiciaire de Bobigny devrait donc pouvoir reprendre.
CYBERATTAQUES & LOGICIEL DE RANÇON : De quelques enseignements de l’affaire Vinnik pour les entreprises victimes de cyberattaques (article de Vincent Varet et Xavier Près, Le Club des Juristes, 18 juin 2021).
La Cour d’appel de Paris a rendu sa décision le 24 juin dernier dans l’affaire Vinnik ou Locky, du nom de ce logiciel de rançon. Avec l’accélération de la transition numérique, les cyberattaques dont sont victimes les entreprises se multiplient. Quelles formes prennent-elles ? Quelles sont les infractions applicables ? Comment réagir ? C’est à ces trois questions du Club des juristes qu’a répondu VARET PRES.
L’article est à lire ICI.
PODCASTS & ÉCOSYSTÈME : Balade Juridiques au pays des podcasts (article de Vincent Varet et Xavier Près, Journal du Net, avril 2021).La production et la diffusion de podcasts sont en plein essor, comme en témoignent les derniers chiffres du secteur publiés dans le rapport de l’IGAC intitulé « L’écosystème de l’audio à la demande (« podcasts ») : enjeux de souveraineté, de régulation et de soutien à la création audionumérique » de François Hurard et Nicole Phoyu-Yedid, remis en octobre 2020. L’occasion pour VARET PRES de brosser un panorama complet des questions juridiques liées à la création et à l’exploitation des podcasts.
L’article est à lire ICI.
DONNÉES PERSONNELLES & CNIL (1) : La CNIL a sanctionné lourdement une PME pour avoir commis pas moins de six manquements aux règles de protection des données personnelles (CNIL, Délibération SAN-2021-008 du 14 juin 2021).
A la suite d’une procédure de contrôle dans les locaux de la société BRICO PRIVE ainsi que sur le site de vente de produits de bricolage édité par celle-ci, la CNIL a considéré que les traitements, opérés par cette société, des données à caractère personnel de ses clients et prospects, obtenues lors de leur connexion audit site, n’étaient pas conformes au RGPD et à la loi Informatique et libertés.
En particulier, la CNIL a considéré que la société avait manqué à ses obligations (1) de définir et de respecter des durées raisonnables de conservation des données personnelles, (2) d’informer les personnes concernées de ces durées de conservation, des leurs droits, des bases légales de traitements et des coordonnées du délégué à la protection des données, (3) de respecter les demandes d’effacement des données personnelles, (4) d’assurer la sécurité de ces données, (5) de recueillir le consentement préalable des internautes à l’utilisation de certains cookies et (6) de recueillir également leur consentement préalable à des opérations de prospection commerciale par courriers électroniques.
Compte tenu du nombre important de personnes concernées par les traitements en cause et de la négligence grave dont témoignent, selon la CNIL, les manquements de la société, celle-ci a été condamnée à 500.000 euros d’amende et s’est vue enjoindre sous astreinte de se mettre en conformité. La CNIL justifie le montant de l’amende au regard de l’activité de la société et de sa situation financière ; étant précisé qu’il s’agit d’un montant bien inférieur à celui qui était encouru par BRICO PRIVE, à savoir, entre 20 millions d’euros et 4% du chiffre d’affaires annuel mondial, selon le montant le plus élevé, pour les manquements au RGPD et 2% du chiffre d’affaires annuel mondial total pour les violations de la loi Informatique et Libertés.
DONNÉES PERSONNELLES & CNIL (2) : Suivant l’expiration du délai accordé aux acteurs par la CNIL pour se mettre en conformité aux nouvelles règles en matière de traceurs, la CNIL a adressé le 18 mai dernier des mises en demeure à des organismes privés et publics pour non-respect desdites règles (CNIL, Communiqué du 25 mai 2021).
La CNIL avait accordé aux éditeurs de sites et d’applications mobiles un délai de « grâce » jusqu’au 31 mars 2021 pour se mettre en conformité aux nouvelles règles en matière de traceurs, issues du RGPD et dont la CNIL a notamment fixé le 17 décembre 2020 des lignes directrices.
A la suite de l’expiration de ce délai, la CNIL a annoncé avoir adressé le 18 mai dernier une vingtaine de mises en demeure à des organismes dont des acteurs internationaux de l’économie numérique et des organismes publics. La Présidente de la CNIL relève que les vérifications opérées en ligne sur les sites et applications mobiles, édités par ces organismes, ont fait apparaître des manquements aux règles précitées et en particulier, qu’un certain nombre d’entre eux ne permettait toujours pas aux internautes de refuser les cookies aussi facilement que de les accepter.
Il s’agit de la première campagne de mesures prises par la CNIL depuis l’expiration du délai précité, aux moyens de mises en demeure qui n’ont en l’espèce pas été publiées, bien que la CNIL en ait le pouvoir, et dans lesquelles celle-ci fait injonction aux organismes concernés de se mettre en conformité dans un délai d’un mois. A défaut de réponse à une telle mise en demeure ou de réponse jugée satisfaisante, la CNIL poursuivra sa procédure de contrôle qui peut aboutir au prononcé d’une sanction pécuniaire d’un montant pouvant s’élever, en cette matière, jusqu’à 2% du chiffre d’affaires de l’organisme concerné.
DONNÉES D’IDENTIFICATION & SERVICES DE COMMUNICATION ÉLECTRONIQUES : Le conseil d’Etat « sauve » l’essentiel du dispositif légal français imposant aux opérateurs des services de communication électroniques de conserver les données dites de « connexion », notamment aux fins de recherche d’infractions (CE, 21 avril 2021, décision n°393099).
Le Conseil d’Etat était saisi par plusieurs associations de défense des droits et libertés des personnes de la non conformité au droit européen et donc de l’abrogation – pour faire simple, notamment des articles R.10-13 du code des postes et des communications électroniques et du décret du 25 février 2011, pris respectivement en application de l’article L.34-1 du même code et de l’article 6.II de la loi du 2 juin 2004 dite « LCEN », déterminant les données dites de « connexion », que les opérateurs de services de communication au public en ligne doivent conserver en application de deux textes légaux précités.
Ces données sont, en pratique, essentielles pour identifier notamment les auteurs d’infractions sur internet, et donc dans la lutte contre les contenus illicites, quel que soit le fondement de cette illicéité.
C’est dire l’importance de la décision du Conseil d’Etat, l’abrogation du dispositif légal français étant de nature à priver les victimes de ces contenus de la faculté d’identifier leurs auteurs (sur requête de l’autorité judiciaire), et ainsi d’agir à leur encontre.
Par décision avant dire droit du 26 juillet 2018, le Conseil d’Etat avait posé plusieurs questions préjudicielles à la CJUE en interprétation des textes européens en cause, principalement l’article 15 de la directive 2002/58/CE du 12 juillet 2002 dite « directive vie privée et communications électroniques », et l’article 23 du RGPD.
La Cour de Justice s’est prononcée par un arrêt du 6 octobre 2020 (Aff. Jointes C-511/18, C-512/18, C-520-18), dont la première lecture pouvait laisser penser que le dispositif français était condamné, puisqu’elle a jugé, pour l’essentiel, que le droit européen excluait la conservation générale et indifférenciée des données de connexion – ce que semblaient bien organiser les textes français précités.
Interprétant cet arrêt dans sa décision du 21 avril dernier, le Conseil d’Etat sauve cependant l’essentiel du dispositif, en ne déclarant non conformes au droit européen que certains aspects limités de ces textes.
Pour cela, il distingue, à l’instar des textes européens, selon les catégories de données en cause.
En premier lieu, il estime que les données relatives à l’identité civile des utilisateurs de moyens de communication électroniques peuvent faire l’objet, en droit européen, d’une obligation générale et indifférenciée de conservation sans limitation de durée, notamment pour les besoins de toute procédure pénale et de la prévention de toute menace contre la sécurité publique. Il en déduit que les textes légaux et règlementaires français contestés sont, pour ces données et pour ces finalités, conformes au droit de l’Union.
En second lieu, il juge également qu’une obligation de conservation générale et indifférenciée des adresses IP est légitimement imposée aux opérateurs, au regard du droit européen tel qu’interprété par Cour de justice, dès lors qu’elle est limitée aux besoins de la recherche, la constatation et la poursuite d’infractions d’une gravité suffisante pour justifier l’ingérence qui en résulte dans les droits et libertés des personnes protégés par la Charte des droits fondamentaux de l’Union. Autrement dit, cette obligation est proportionnée à sa finalité, qui est légitime.
En troisième lieu, le Conseil d’Etat juge que les textes français, en imposant une obligation générale et indifférenciée des données de localisation et de trafic autres que les adresses IP, sans prévoir un réexamen périodique du dispositif au regard des risques existants par ailleurs pour la sécurité nationale, sont, dans cette mesure, contraire au droit de l’Union. Il enjoint donc au Gouvernement de compléter ces textes dans un délai de six mois à compter de sa décision.
En quatrième et dernier lieu, il juge encore que les textes nationaux en cause, en ce qu’ils prévoient à la charge des opérateurs une obligation de conservation générale et indifférenciée des données de connexion autres que celles relevant des précédentes catégories, pour toute autre finalité que l’existence d’une menace grave pour sécurité nationale (i.e. le terrorisme), est contraire au droit de l’Union. Le Gouvernement dont donc les abroger, dans cette mesure, dans un délai de six mois à compter de la décision du Conseil d’Etat.
Mais, comme ce dernier décide par ailleurs que cette même obligation est justifiée pour lutter contre le terrorisme, les opérateurs devront continuer à conserver lesdites données, qui sont souvent essentielles à l’identification d’auteurs d’infractions.
Certes, ils ne pourront les communiquer que dans le cadre de la lutte contre le terrorisme.
Cependant, comme la Cour de justice, dont son arrêt du 6 octobre 2020, admet qu’il puisse être fait obligation aux opérateurs de conserver de manière ciblée ces données notamment à des fins de prévention des atteintes à la sécurité des personnes et des biens et de recherche des auteurs d’infractions, il suffira que le juge ordonne une telle obligation aux opérateurs (qui conservent lesdites données pour lutter contre le terrorisme), pour ensuite solliciter auprès d’eux leur communication, notamment pour identifier les auteurs d’infractions.
Le Conseil d’Etat relève expressément, dans l’arrêt rapporté, cette solution de contournement, bien qu’il ne la qualifie pas de telle.
Est ainsi préservé l’essentiel du dispositif légal permettant d’identifier les auteurs de contenus illicites en ligne.
RESPONSABILITÉ EN LIGNE : LE PROJET DE RÈGLEMENT EUROPÉEN SUR LES SERVICES NUMÉRIQUES, DIT « DIGITAL SERVICES ACT » ou « DSA » : La commission européenne a présenté, le 15 décembre 2020, son projet de Règlement visant à harmoniser le cadre juridique des services en ligne en renforçant les obligations des opérateurs de ces services (Commission européenne, Proposition de Règlement du 15 déc. 2020, COM(2020 ) 825 final.
Le projet de Règlement « DSA », qui est soumis à la procédure législative ordinaire de l’Union européenne, ambitionne de mieux protéger les consommateurs en renforçant la transparence des opérateurs de services en ligne et en clarifiant les modalités de leur responsabilité.
A s’en tenir à l’essentiel, il crée trois grandes catégories d’opérateurs :
1/ Les prestataires de services intermédiaires, qui ne sont autres que, principalement, les fournisseurs d’accès et d’hébergement, dont le régime de responsabilité issu de la directive du 8 juin 2000 dite « commerce électronique » est maintenu, le critère de leur rôle « passif », édicté par la jurisprudence de la Cour de justice, étant même codifié, sous réserve de deux évolutions : en premier lieu, ces opérateurs devront désigner un point de contact unique à destination des autorités, et se voient imposer une obligation de transparence, notamment sur les moyens et les procédures de modération qu’ils mettent en œuvre ; en second lieu, les hébergeurs devront mettre en place un dispositif de notification des contenus illicites qui, si le texte était adopté en l’état, rendra caduc les exigences formelles de notification issues de l’article 6.I.5° de la LCEN et de son interprétation par la Cour de cassation.
2/ Les plateformes en ligne (qui incluent les hébergeurs et s’en distinguent difficilement) qui, outre l’obligation de mettre en place le dispositif de notification précité, doivent également instaurer un mécanisme gratuit de traitement interne des plaintes. Le projet impose également la création d’un « signaleur de confiance », à qui doivent être adressées les notifications, et qui est donc une sorte d’intermédiaire entre les plateformes et les victimes de contenus illicites. Il met encore à la charge des plateformes des obligations supplémentaires d’information ainsi qu’une obligation de transparence accrue en matière de publicité.
3/ Enfin, les « très grandes plateformes », c’est-à-dire dont le nombre moyen d’utilisateurs actifs mensuels est égal ou supérieur à 45 millions, outre les obligations qui s’imposent aux plateformes « simples », devront réaliser des analyses d’impact des risques systémiques résultant du fonctionnement et de l’utilisation de leurs services.
Leurs obligations d’information et de transparence sont également renforcées.
L’on suivra donc avec attention le devenir de ce projet, qui a déjà suscité les réactions d’un certain nombre de secteurs professionnels et qui va évidemment être soumis à un fort lobbying au cours du processus législatif.