Lettre d’information droit du numérique n°1 – Février 2021

Télécharger en cliquant ici ⇒

Au sommaire :

LIENS HYPERTEXTE & DROIT D’AUTEUR, SUITE : La Cour de Justice de l’Union Européenne est saisie d’une question préjudicielle mettant aux prises le droit d’auteur et les liens hypertexte de type « framing » et « inline linking », qui permettent d’insérer une image ou une autre ressource au sein d’une page Web. L’occasion pour elle de compléter et préciser le régime des liens hypertextes élaboré au fil de sa jurisprudence antérieure…

DROIT D’AUTEUR & « COPYRIGHT TROLLS » : L’Avocat général de la CJUE a rendu des conclusions visant à refuser la qualité pour agir au licencié qui n’entend pas exploiter les droits concédés…

LOGICIEL & CONSTITUTIONNALITE : Le délit pénal de contrefaçon de droits d’auteur d’un logiciel soumis à une question prioritaire de constitutionnalité (QPC)…

DROIT DU PRODUCTEUR DE BASE DE DONNÉES : Dans un arrêt du 2 février 2021, la cour d’appel de Paris juge que la « sous base » de données relative aux annonces immobilières présentes sur le site leboncoin.fr est protégée par le droit du producteur de bases de données, et que leur reprise partielle au sein du site entreparticuliers.com porte atteinte à ce droit. L’arrêt apporte des précisions utiles quant à l’accès à la protection des bases de données d’annonces et quant aux effets de cette protection…

COOKIES, INFORMATION & CONSENTEMENT : La CNIL a sanctionné lourdement Google et Amazon pour non-respect des règles relatives aux cookies, et plus particulièrement celles relatives à l’information préalable et au consentement de l’utilisateur, d’où l’on peut tirer quelques leçons pratiques…

ATTAQUES PAR « CREDENTIAL STUFFING » & MESURES DE SECURITE : Recommandations de la CNIL pour prévenir et se protéger face aux attaques par « credential stuffing » ou bourrage d’identifiants…

CONDITIONS GENERALES D’UTILISATION (CGU) & INTERNET : Une clause attributive de compétence contenue dans des CGU est inopposable lorsque leur acceptation résulte de la simple utilisation du site internet…

MARCHE UNIQUE NUMERIQUE & AUDIOVISUEL : La directive « Services de médias audiovisuels » (SMA) enfin transposée en droit français…

En savoir plus :

LIENS HYPERTEXTE & DROIT D’AUTEUR, SUITE : La Cour de Justice de l’Union Européenne est saisie d’une question préjudicielle mettant aux prises le droit d’auteur et les liens hypertexte de type « framing » et « inline linking », qui permettent d’insérer une image ou une autre ressource au sein d’une page Web. L’occasion pour elle de compléter et préciser le régime des liens hypertextes élaboré au fil de sa jurisprudence antérieure (Conclusions de l’Avocat général, 10 septembre 2020, aff. C-392/19, VG Bild-Kunst c/ Stiftung PreuBischer Kulturbestiz)

Dans ses conclusions, l’Avocat général propose à la Cour de juger que l’insertion, au sein d’une page Web, d’une œuvre protégée par le droit d’auteur au moyen d’un lien hypertexte cliquable (technique dite du « framing »), et nécessitant donc une action de l’internaute visiteur du site, ne constitue pas un acte de communication au public soumis l’autorisation du titulaire de ce droit d’auteur. Et cela, même si ce lien contourne une mesure technique visant précisément à empêcher le framing.

Il propose à l’inverse de juger que cette insertion constitue un acte de communication au public soumis au droit d’auteur si elle est réalisée au moyen d’un lien d’insertion (« inline linking » ou « hotlinking »), lequel n’implique pas d’action additionnelle du visiteur du site.

Cette solution, qui repose sur une analyse subtile de la notion de « public nouveau », permet à l’Avocat général de réconcilier les deux interprétations de cette notion données par la Cour respectivement dans ses arrêts Svensson (13 février 2014, aff. C-466/12) et Renkhoff (7 août 2018, aff. C-161/17), qui pouvaient paraître contradictoires. On attend donc avec impatience la décision de la Cour.

DROIT D’AUTEUR & « COPYRIGHT TROLLS » : L’Avocat général de la CJUE a rendu des conclusions visant à refuser la qualité pour agir au licencié qui n’entend pas exploiter les droits concédés (Conclusions de l’Avocat général, M. Maciej Szpunar, 17 décembre 2020, aff. C-597/19, Mircom International Content Management & Consulting (M.I.C.M.) Limited c. Telenet BVBA, Proximus NV, Scarlet Belgium NV)

L’Avocat général a rendu des conclusions en réponse aux questions préjudicielles posées par un tribunal belge à la Cour de justice de l’Union européenne dans une affaire où un titulaire de contrats de licence pour la communication au public de films sur des réseaux peer-to-peer demandait à des fournisseurs d’accès à internet les données d’identification de certains utilisateurs de ces réseaux qui auraient porté atteinte aux droits qui lui ont été concédés.

Outre les questions portant sur la qualification des actes commis par les utilisateurs sur ces plateformes de partage et la possibilité d’obtenir les données d’identification desdits utilisateurs, il est demandé à la CJUE si le titulaire des contrats de licence, qui n’exploite pas les droits sur les œuvres protégées qui lui ont été concédés, mais se borne à exiger des indemnités auprès des personnes qui portent atteinte à ces droits, a qualité pour bénéficier des mesures, des procédures et des réparations prévues au chapitre II de la directive 2004/48/CE (du 29 avril 2004 relative au respect des droits de propriété intellectuelle).

Sur ce point, l’Avocat général considère que si la juridiction nationale constate que l’acquisition des droits par l’organisme avait pour seul but d’obtenir la qualité pour agir, ce comportement doit être qualifié d’abus de droit et cette qualité doit lui être refusée. Il admet en revanche que l’organisme puisse être qualifié de cessionnaire de créances liées aux atteintes aux droits de propriété intellectuelle, dont il appartient à la juridiction nationale de vérifier que le droit national donne, à ce titre, qualité pour agir.

L’Avocat général cherche ainsi à limiter les actions pouvant être intentées par les organismes désignés, en pratique, de « copyright trolls », suivant un raisonnement qui doit encore être confirmé par la CJUE pour être applicable.

LOGICIEL & CONSTITUTIONNALITE : Le délit pénal de contrefaçon de droits d’auteur d’un logiciel soumis à une question prioritaire de constitutionnalité (QPC) (Tribunal judiciaire de Bobigny, transmission à la Cour de cassation, 15 décembre 2020)

Il est traditionnel de considérer que la contrefaçon de logiciel visée à l’article L. 335-3 alinéa 2 du Code de la propriété intellectuelle est pénalement sanctionnée des peines visées à l’article L. 335-2 du même code. Le premier texte prévoit l’incrimination (« Est également un délit de contrefaçon la violation de l’un des droits de l’auteur d’un logiciel définis à l’article L. 122-6 »), tandis que le second précise les sanctions encourues (« Toute édition d’écrits, de composition musicale, de dessin, de peinture ou de toute autre production, imprimée ou gravée en entier ou en partie, au mépris des lois et règlements relatifs à la propriété des auteurs, est une contrefaçon et toute contrefaçon est un délit. La contrefaçon en France d’ouvrages publiés en France ou à l’étranger est punie de trois ans d’emprisonnement et de 300 000 euros d’amende. Seront punis des mêmes peines le débit, l’exportation et l’importation des ouvrages contrefaisants. Lorsque les délits prévus par le présent article ont été commis en bande organisée, les peines sont portées à cinq ans d’emprisonnement et à 500 000 euros d’amende »).

Mais est-ce si sûr, dès lors que le logiciel n’est pas expressément visé dans le second texte ? Le texte d’incrimination a été édicté en 1994, date de transposition de la directive 91/250 CCE du 14 mai 1991 organisant la protection des logiciels par le droit d’auteur, alors que celui relatif aux sanctions est bien antérieur (il existe dans le code de la propriété intellectuelle depuis son édification le 1er juillet 1992 et même avant, avec l’ancien article 425 du code pénal).

Telle est la question de constitutionnalité posée dans un litige en contrefaçon opposant au pénal deux éditeurs de logiciels, l’un ayant déposé plainte contre l’autre.

La question prioritaire de constitutionnalité est libellée en ces termes : « Les dispositions de l’alinéa 2 de l’article L. 335-3 du code de la propriété intellectuelle disposant qu’est également un délit de contrefaçon la violation de l’un des droits de l’auteur d’un logiciel définis à l’article L. 122-6 portent-elles atteinte au principe de légalité des délits et des peines tel que garanti par les articles 8 de la Déclaration des droits de l’homme et du citoyen du 27 août 1789 et 34 de la Constitution du 04 octobre 1958 dans la mesure où ce texte spécifique d’incrimination n’est assorti d’aucune peine ? »

La question a été transmise par le Tribunal judiciaire de Bobigny à la Cour de cassation le 15 décembre 2020. Cette dernière doit se prononcer dans les trois mois « à compter de la réception de la transmission » afin de décider si elle transmet ou non la QPC au Conseil constitutionnel. En cas de transmission, le même délai de trois mois sera imparti au Conseil constitutionnel à compter de sa saisine pour apprécier si la disposition législative en cause porte ou non atteinte aux droits et libertés que la Constitution garantit. En cas de réponse positive, l’article L. 335-3 alinéa 2 du Code de la propriété intellectuelle en cause serait donc abrogé.

La cour d’appel juge d’abord que la sous base de données en ligne constituée des annonces immobilières disponibles sur le site leboncoin.fr est protégée par le droit du producteur de données, car elle est le fruit d’investissements substantiels relatifs à la collecte des données qui la composent, ainsi qu’à leur vérification et leur présentation (étant rappelé qu’un investissement substantiel dans un seul de ces champs suffit à admettre la protection).

La cour accueille, au titre de la collecte des données, les investissements de communication destinés à multiplier le nombre d’annonceurs utilisant le service du Bon Coin. On sait que dans ses arrêts du 9 novembre 2004 (aff. C-444/02, C-46/02 et C-388/02) proposant un véritable vademecum du droit du producteur de base de données, la Cour de Justice a notamment dit pour droit que seuls devaient être pris en compte, au titre des investissements relatifs à la constitution de la base de données, ceux relatifs à la collecte de données préexistantes, à l’exclusion de ceux relatifs à la création de données. Et l’on se souvient peut-être que la Cour de cassation (1ère Civ., 5 mars 2009, n°07-19.535), faisant selon nous une interprétation discutable de cette solution, a jugé qu’un site d’annonces en ligne ne pouvait bénéficier de la protection, car les annonces été créées par son opérateur. Dans l’affaire rapportée, la société entreparticuliers.com, défenderesse, ne manquait pas d’en tirer argument pour contester la protection revendiquée par Le Bon Coin. La cour d’appel écarte cette défense, car, selon elle comme les premiers juges, ce sont les utilisateurs du site leboncoin.fr qui créent les annonces, et non la société exploitante du site. Par suite, les investissements invoqués par cette dernière ont bien pour objet la collecte de données préexistantes, autrement dit la constitution de la base.

Au titre de la vérification des données, la cour relève que la société LBC France atteste d’investissements substantiels relatifs (i) à un outil logiciel visant à vérifier la conformité des annonces notamment à la réglementation applicable en matière de ventes immobilières et (ii) une équipe également dédiée à leur vérification.

Enfin, au titre de la présentation des données, sont retenus notamment les investissements relatifs à la définition, la maintenance et l’évolution des règles de catégorisation de la base, ainsi qu’au design et au fonctionnement par catégories du moteur de recherche. En effet, ces investissements permettent l’accès aux annonces individuellement selon de multiples critères de recherche et relèvent donc bien de la présentation de la base.

La cour d’appel juge ensuite qu’en reprenant sur son site les « éléments essentiels » des annonces issues du site leboncoin.fr, la défenderesse avait commis des actes d’extraction et de réutilisation d’une partie substantielle de la sous base de données d’annonces immobilières du Bon Coin.

En particulier, elle écarte l’argument en défense tiré du fait qu’un certain nombre d’annonces issues du Bon Coin et présentes sur entreparticuliers.com ne contenaient pas le numéro de téléphone du vendeur et renvoyaient l’internaute désireux de le consulter, via un lien hypertexte, vers l’annonce d’origine publiée sur leboncoin.fr. Selon la cour, ce renvoi n’est pas exclusif d’une extraction substantielle et donc d’une atteinte aux droits du producteur, dès lors que sont repris par ailleurs les critères essentiels des annonces (lieu, type de bien, prix et surface). Cette indexation, dit la cour, ne relève pas de la liberté de lier sur internet mais d’une extraction prohibée.

La Cour de justice de l’Union Européenne en avait déjà jugé ainsi dans son arrêt Innoweb (19 décembre 2013, aff. C-202-12), mais c’est la première fois, à notre connaissance, qu’une juridiction française juge en ce sens, assurant ainsi l’effectivité du droit du producteur de base de données face à des pillards prompts à s’abriter derrière une « liberté d’indexation » sur internet, qu’ils dévoient à l’évidence.

COOKIES, INFORMATION & CONSENTEMENT : La CNIL a sanctionné lourdement Google et Amazon pour non-respect des règles relatives aux cookies, et plus particulièrement celles relatives à l’information préalable et au consentement de l’utilisateur, d’où l’on peut tirer quelques leçons pratiques (CNIL, Délibérations SAN-2020-012 et SAN-2020-013 du 7 décembre 2020)

Ces deux délibérations de la CNIL traitent d’abord de la compétence matérielle de cette dernière, contestée par Google et Amazon au profit de celle de l’autorité « Chef de file » prévue par le RGPD, et de sa compétence territoriale, également contestée par les « GA ». Sans développer le raisonnement, complexe, indiquons seulement que la disposition légale en cause sur le fond, l’article 82 de la loi Informatique & Libertés, est la transposition en droit français de l’article 5 (3) de la Directive 2002/58/CE du 12 juillet 2002 dite « ePrivacy », en sorte que les règles pertinentes relatives à la compétence ne sont pas celles du RGPD mais celles, supplétives en quelque sorte, de la loi Informatique et Libertés. Et ces dispositions permettent à la CNIL de décider qu’elle est compétente aussi bien au plan matériel que territorial.

Sur le fond, on sait que l’article 82 précité subordonne l’implantation de cookies ou autres traceurs, qui permettent soit de stocker des informations sur le terminal d’un utilisateur soit d’y accéder (quel que soit ce terminal : ordinateur, tablette, téléphone, ordinateur de bord d’une voiture, etc.), au consentement préalable de ce dernier, qu’il doit donner après avoir reçu une information « claire et complète » notamment sur les finalités des traitements ainsi opérés et les moyens dont il dispose pour s’y opposer. Cela sous réserve des exceptions limitativement prévues par la loi en faveur des cookies (i) ayant pour finalité exclusive de faciliter la communication ou (ii) nécessaires à la fourniture du service, dont ne font pas partie les cookies publicitaires.

Or, les contrôles de la CNIL avaient établi que plusieurs cookies publicitaires étaient déposés sur le terminal de l’utilisateur dès sa première visite sur les sites du moteur de recherche de Google et de vente en ligne d’Amazon, avant tout action de sa part.

Cela suffisait à entrer en voie de condamnation puisqu’à l’évidence, l’exigence du consentement ne pouvait être respectée.

Mais la CNIL insiste également sur le défaut ou l’insuffisance d’information préalable. Dans le cas d’Amazon, le bandeau présent sur le site indiquait que des cookies étaient déposés afin « offrir et améliorer les services », suivie d’un lien « En savoir plus » : information trop vague et donc insuffisante aux yeux de la CNIL, car l’utilisateur n’est pas en mesure de comprendre, à la lecture du bandeau, « le type de contenus et d’annonces susceptibles d’être personnalisés en fonction de son comportement ».

Et elle décide que, lorsque l’utilisateur arrive sur le site d’Amazon via une publicité diffusée sur un site tiers, l’icône « Adchoices » présente sur la publicité, sur laquelle il faut cliquer pour accéder à des informations relatives aux cookies, équivaut à une absence d’information, car on ne peut « raisonnablement attendre » de l’utilisateur qu’il clique sur une telle icône.

Dans le cas de Google, la CNIL juge que le renvoi à la politique de confidentialité est insuffisant, d’autant que cette politique ne contenait elle-même aucune disposition relative aux cookies ; pour accéder à ces dernières, il fallait faire défiler toute la politique de confidentialité sans cliquer sur les divers liens proposés, pour découvrir en bas de page un lien « Autres options » qui menait enfin aux informations relatives aux cookies. Selon la CNIL, cette « architecture informationnelle » ne permettait aux utilisateurs d’être clairement et préalablement renseignés sur les opérations réalisées via les cookies.

Les interfaces de recueil du consentement en matière de cookies dont l’usage se généralise aujourd’hui, conformément aux lignes directrices de la CNIL du 4 juillet 2019 (qui existaient déjà lors des faits litigieux !) modifiées le 17 septembre 2020, permettent en principe de répondre aux exigences légales. Mais encore faut-il (i) y recourir, ce qui n’est pas toujours le cas notamment en matière de publicités sur mobile et (ii) que l’information fournie par leur intermédiaire, en particulier sur la finalité des cookies, soit suffisamment claire et précise.

Les sanctions sont lourdes : outre la publication des décisions et l’injonction de se conformer aux règles applicables sous astreinte de 100.000 euros par jour (quand même), les sociétés Google sont condamnées à 100 millions d’euros d’amende, et Amazon à 40 millions d’euros.

Alors que la CNIL a annoncé que le délai de mise en conformité à la dernière version de ses lignes directrices expirerait fin mars 2021, ces condamnations rappellent qu’il ne faut pas plaisanter avec les cookies.

ATTAQUES PAR « CREDENTIAL STUFFING » & MESURES DE SECURITE : Recommandations de la CNIL pour prévenir et se protéger face aux attaques par « credential stuffing » ou bourrage d’identifiants (Recommandations CNIL, La violation du trimestre, 12 janvier 2021)

La CNIL a publié le 12 janvier dernier ses recommandations face aux attaques par bourrage d’identifiants. Ces attaques, qui reposent sur le principe que les internautes se servent souvent du même mot de passe et du même identifiant pour différents services, consistent à réaliser des tentatives d’authentification massives sur des sites et services web à partir de couples identifiants/mots de passe, obtenus à la suite d’une violation de données.

En cas d’attaque, la CNIL recommande d’organiser une cellule de crise, d’analyser les journaux d’accès (« logs ») pour déterminer la nature de l’attaque, d’informer les personnes concernées par une alerte leur proposant de modifier leur mot de passe, d’enregistrer la violation dans le registre adapté et de la notifier à la CNIL.

Plus intéressantes sont les mesures de sécurité proposées par la CNIL pour prévenir les futures attaques par « credential stuffing ». Il s’agit, d’une part, d’exclure le risque d’une attaque en subordonnant l’accès à un service, non seulement à l’utilisation d’un identifiant et d’un mot de passe, mais également d’une connexion multifacteur (comme l’envoi d’un SMS de confirmation). D’autre part, le risque d’une telle attaque peut être réduit, selon la CNIL, en ayant recours, au stade de la connexion de l’internaute, à un CAPTCHA ou en imposant que l’identifiant ne soit pas l’adresse courriel de l’utilisateur.

A défaut de mise en place de ces mesures par les entreprises exposées aux attaques par bourrage d’identifiants, la CNIL pourrait retenir, entre autres, cet élément pour caractériser la violation de l’obligation de sécurité du responsable de traitement ou du sous-traitant.

La décision rendue le 6 janvier dernier est l’occasion pour la Cour d’appel de Paris de rappeler une jurisprudence, désormais constante, en vertu de laquelle une clause attributive de compétence est en principe licite lorsqu’elle est invoquée dans un litige à caractère international, mais elle n’est opposable à une partie qui si cette dernière en a eu connaissance et l’a acceptée au moment de la formation du contrat.

La vérification du respect de ces conditions suppose une appréciation précise du parcours de l’internaute sur le site internet ainsi que de la rédaction des CGU dans lesquelles la clause attributive de compétence est insérée. La Cour retient qu’en l’espèce, les conditions n’étaient pas remplies car les CGU stipulaient que leur acceptation était présumée du seul fait de l’utilisation du site, sans qu’il soit démontré que l’internaute en avait, par ailleurs, eu connaissance et les avaient acceptées.

Seule l’acceptation en connaissance de cause, par l’internaute, de CGU rédigées dans des termes lisibles et claires permet l’opposabilité de la clause attributive de compétence qui y est insérée.

MARCHE UNIQUE NUMERIQUE & AUDIOVISUEL : La directive « Services de médias audiovisuels » (SMA) enfin transposée en droit français (Ordonnance de transposition, prise sur le fondement de l’habilitation prévue par la loi dite « DDADUE » n° 2020-1508 du 3 décembre 2020, a été signée par le Président de la République le 21 décembre 2020)

Le marché unique numérique continue à déployer ses effets. Ce chantier lancé au niveau européen a fait l’objet de plusieurs règlements et directives. Ces dernières sont en cours de transposition dans les différents États membres de l’Union européenne. Il en est ainsi de la directive (UE) 2018/1808 du Parlement européen et du Conseil du 14 novembre 2018 modifiant la directive 2010/13/UE visant à la coordination de certaines dispositions législatives, réglementaires et administratives des États membres relatives à la fourniture de services de médias audiovisuels (dite directive « Services de médias audiovisuels » ou « Directive SMA »). La Directive SMA apporte deux innovations importantes : elle permet à chaque État membre de l’UE :

d’appliquer son régime de contribution à la production d’œuvres cinématographiques et audiovisuelles aux services de télévision et de médias audiovisuels à la demande (SMAD) relevant de la compétence d’un autre État membre et qui visent son territoire ;
d’étendre la régulation audiovisuelle aux plateformes de partage de vidéos (notamment afin de protéger les mineurs et le public en général de certains contenus).

La transposition de la Directive SMA a pris du retard. Elle aurait dû être transposée avant le 19 septembre 2020 par le projet de loi relatif à la communication audiovisuelle et à la souveraineté culturelle à l’ère numérique. Mais son examen a été interrompu du fait de la crise sanitaire, lors de la première vague, alors que le projet avait été adopté par la commission des affaires culturelles et de l’éducation de l’Assemblée nationale le 5 mars 2020.

La Directive SMA a résisté à la deuxième vague du COVID-19. L’ordonnance de transposition, prise sur le fondement de l’habilitation prévue par la loi dite « DDADUE » n° 2020-1508 du 3 décembre 2020, a été signée par le Président de la République le 21 décembre 2020. Elle a été publiée au Journal officiel du 23 décembre 2020.

L’ordonnance modifie la loi du 30 septembre 1986 relative à la liberté de communication (nouveau régime applicable aux plateformes de partage de vidéos), le code du cinéma et de l’image animée, ainsi que les délais relatifs à l’exploitation des œuvres cinématographiques.

Parmi les innovations et modifications importantes apportées à l’ordonnancement juridique français, signalons en substance que l’ordonnance :

étend le régime de contribution à la production d’œuvres aux services de télévision et aux services de médias audiovisuels à la demande (SMAD) étrangers visant la France. Cette disposition est présentée comme de nature à permettre d’assurer une équité dans l’application des règles entre les services étrangers et les services établis en France, déjà assujettis au régime de contribution à la création. Concrètement, les services américains de SVOD ont désormais l’obligation de contribuer à la production de programmes audiovisuels européens ;
crée un titre IV au sein de la loi du 30 septembre 1986 fixant notamment le nouveau régime applicable aux plateformes de partage de vidéos, dont l’objet est d’étendre la régulation audiovisuelle à ces plateformes et ce sous l’égide du CSA ;
encadre certains contenus par exemple en interdisant, outre les incitations à la haine et la violence, la provocation à la commission d’actes de terrorisme, en renforçant les règles de protection des mineurs (par l’interdiction faite aux éditeurs de services de traiter à des fins commerciales des données à caractère personnel des mineurs ou en prévoyant l’adoption, par les éditeurs de services, de codes de bonne conduite afin de prévenir l’exposition des enfants aux publicités relatives des aliments ou boissons dont la présence excessive dans le régime alimentaire n’est pas recommandée) ou encore en adaptant le régime du placement de produit ;
permet au Gouvernement de fixer, par décret, un délai à la renégociation de l’accord professionnel du 6 septembre 2018 relatif à la chronologie des médias et en cas d’échec des négociations, d’établir temporairement la durée et les modalités des fenêtres d’exploitation qui ne résultent pas de la loi.

Lettre d’information droit du numérique n°1 – Février 2021

NOS ACTUALITÉS