L’affaire Death Moon rappelle que les hébergeurs doivent retirer « promptement » un contenu illicite

Notes L’auteur de « Death Moon » avait demandé à la justice de condamner la plateforme audio SoundCloud à lui payer environ 6,7 millions d’euros pour contrefaçon de son affiche en partenariat avec la major Universal Music. Mais le statut d’hébergeur « non responsable » lui a finalement été opposé.

Le litige en question : Mathieu Pequignot, un auteur d’oeuvres graphiques – qu’il exploite sous le pseudonyme de Elvisdead (1) et dont il commercialise les tirages par le biais de sa boutique en ligne (2) – contacte le 12 juin 2020 SoundCloud pour lui reprocher une exploitation non autorisée de son oeuvre « Death Moon » à travers des publications mises en ligne (3). La plateforme de streaming musical et audio lui a répondu le même jour que la reproduction avait été fournie par Universal Music et que toute demande devrait être adressée à cette major de la musique enregistrée. Et dans la foulée, SoundCloud a supprimé le contenu et estimé qu’il n’y avait pas à indemniser l’auteur.

6,7 millions d’euros en jeu en 2021
L’auteur de « Death Moon » ne l’a pas entendu de cette oreille et a assigné le 18 décembre 2020 la société SoundCloud – fondée et présidée par Alexander Ljung (photo) – devant le tribunal judiciaire de Marseille pour contrefaçon de droits d’auteur. La société de la plateforme de streaming audio a d’abord contesté le droit à agir de l’auteur de l’affiche intitulée « Death Moon » car celui-ci ne justifiait pas que l’oeuvre, soi-disant contrefaite, était « originale », et, « n’était donc pas investi des droits attribués à l’auteur d’une oeuvre de l’esprit » que prévoit le code de la propriété intellectuelle (CPI). Mais l’auteur a assuré devant le juge en 2021 que l’oeuvre en question était bien originale et qu’il y avait bien contrefaçon de « Death Moon », amenant SoundCloud à ne plus maintenir sa demande de nullité de l’assignation et à reconnaître le plaignant comme étant l’auteur de l’oeuvre « Death Moon ».

Projet de loi SREN : procédure accélérée… ralentie

En fait. Le 10 avril, l’Assemblée nationale discutera en séance publique du texte élaboré le 26 mars par la commission mixte paritaire (CMP) sur le projet de loi visant à « sécuriser et réguler l’espace numérique » (SREN). Et ce, après que le Sénat a amendé le 2 avril dernier ce texte de la CMP.

En clair. Le projet de loi « Sécuriser et réguler l’espace numérique » (SREN) – émanant donc du gouvernement qui avait engagé une procédure accélérée le 10 mai 2023 – termine son marathon parlementaire. Il aura duré près d’un an ! Pourtant, le Sénat avait adopté un texte le 5 juillet 2023, suivi par l’Assemblée nationale le 17 octobre.
Bien que la commission mixte paritaire (CMP) ait été convoquée le 18 octobre, celle-ci n’a pu se réunir que le… 26 mars 2024, soit près de six mois après. Pourquoi un tel délai, alors que le gouvernement avait opté pour une « procédure accélérée » ? C’est que « ce texte relève pour une très large partie des domaines de compétence de l’Union européenne, et qu’en la matière des législations sont ou bien déjà adoptées ou bien en cours d’adoption [DSA, DMA, AI Act ou encore Data Act, ndlr], ce qui ne nous a pas facilité la tâche », a expliqué la présidente de cette CMP, la sénatrice (centriste) Catherine Morin-Desailly. Le gouvernement a dû notifier à la Commission européenne son projet de loi « SREN » par trois fois (texte gouvernemental, texte des sénateurs et texte des députés), puis attendre à chaque fois la réponse de Bruxelles. La Commission européenne avait même rendu un « avis circonstancié » – voire très critique, notamment au regard du Data Act. Paris a dû revoir sa copie à l’aune des nouvelles législations du marché unique numérique.

Données produites par l’Internet des objets et l’informatique en nuage : ce que dit le Data Act

Le législateur européen poursuit ses travaux en vue de créer un marché unique des données. La dernière avancée en date : le règlement sur les données, dit « Data Act », entré en vigueur le 11 janvier 2024. Il sera applicable à compter du 12 septembre 2025. Tour d’horizon de ses principales dispositions.

Par Sandra Tubert, avocate associée, et Antoine Tong, avocat, Algo Avocats

Numérique soutenable : l’Arcep collecte les données

En fait. Le 6 mars, trois ministres ont reçu de l’Arcep et de l’Agence de la transition écologique (Ademe) leur étude prospective sur l’empreinte environnementale du numérique en France à l’horizon 2030 et 2050 (1). Une façon aussi de justifier la collecte des données environnementales auprès de tout l’écosystème. En clair. Pendant que le gouvernement appelle à « un effort collective » pour réduire l’empreinte carbone du numérique, voire à « un changement radical » (dixit le ministre délégué chargé de la Transition numérique et des Télécommunications, Jean-Noël Barrot), l’Arcep, elle, généralise la collecte des données environnementales auprès de tous les acteurs du numérique. Non seulement les opérateurs télécoms et fournisseurs d’accès à Internet – au premier rang desquels Orange, Bouygues Telecom, Free et SFR – doivent montrer pattes blanches depuis un an pour tendre vers « un numérique soutenable », mais aussi – depuis cette année – les fabricants de terminaux (smartphones, ordinateurs, télés connectés, …), d’équipements (box, répéteur wifi, décodeur, prise CPL, …) et les centres de données (data center, cloud, hébergeur, …). Ces derniers ont jusqu’au 31 mars prochain pour transmettre à l’Arcep leurs données environnementales : émissions de gaz à effet de serre, terres rares et métaux précieux utilisés, nombre de terminaux neufs et reconditionnés vendus, consommation électrique et énergétique, volumes d’eau consommés, etc. Les opérateurs télécoms, eux, ont commencé avec une première édition 2022 (2) avec trois catégories de données fournies à l’Arcep (émissions de gaz à effet de serre, énergie consommée, sort des téléphones mobiles). La deuxième édition, toujours limitée à Orange, Bouygues Telecom, Free et SFR (données 2021), paraîtra au printemps prochain. La troisième édition – prévue, elle, à la fin de cette année 2023 – portera sur les « telcos » (données 2022) mais aussi sur les autres acteurs de l’écosystème numérique. Cette quantité d’indicateurs à fournir au désormais « régulateur environnemental du numérique » est un vrai casse-tête annuel pour tous les professionnels, d’autant qu’ils ont l’obligation de fournir aux agents assermentés de l’Arcep ces informations et documents dès lors qu’ils concernent de près ou de loin « l’empreinte environnementale du secteur des communications électroniques ou des secteurs étroitement liés à celui-ci ». Et ce, sans pouvoir opposer le secret des affaires ni la confidentialité à l’Arcep (3), laquelle est dotée de ces nouveaux super-pouvoirs d’enquête depuis la loi « Chaize » du 23 décembre 2021 (4). Une décision dite « de collecte », prise par le régulateur le 22 novembre dernier (5), a précisé les données attendues. @

Blockchain et RGPD : relations complexes, surtout lorsqu’il s’agit du traitement des données

La protection des données personnelles et la blockchain sont souvent vues comme incompatibles. Pourtant, les réflexions en cours permettent de nuancer, même si les droits des personnes (comme le droit à l’oubli) ou la question de la responsabilité (dans un monde décentralisé) restent à définir. Par Arnaud Touati, avocat associé, Hashtag Avocats, et Benjamin Allouch, consultant*. Le 25 mai 2018, le règlement général sur la protection des données (RGPD) est entré en application (1). Ce règlement européen, présenté comme le texte juridique le plus abouti en matière de protection des données à caractère personnel, s’applique dès que l’on utilise des données personnelles à des fins professionnelles. Il s’impose à tous, des autoentreprises aux institutions publiques, en passant par les sociétés commerciales. Le RGPD est également applicable dans le monde entier, si tant est que l’entité concernée utilise des données appartenant à des résidents de l’Union européenne (UE). Blockchain et RGPD en chiens de faïence ? Le 3 janvier 2009, le premier bloc de bitcoins est créé, selon son créateur anonyme Satoshi Nakamoto et auteur de l’article fondateur publié deux mois plus tôt (2), pour répondre aux dérives de la crise financière de 2008. Bitcoin, c’est notamment une transparence absolue des transactions, conservées ad vitam aeternam, dans « un système peer-to-peerde monnaie électronique ». Dès lors, comment conjuguer deux principes de prime abord antagonistes ? Comment protéger les données personnelles au sein d’une technologie où tout est transparent ? Comment garantir certains droits des personnes quand les données ne peuvent pas être effacées ? D’aucuns ont alors conclu à une incompatibilité entre la blockchain et le RGPD. Pourtant, s’il existe certainement des difficultés, la blockchain comme le RGPD peuvent s’adapter pour coopérer. Petit tour d’horizon des conflits relevés et des adaptations trouvées. Avant l’entrée en vigueur du RGPD, la législation sur la protection des données souffrait d’un manque de clarté quant à la répartition des rôles de chaque acteur. En outre, la responsabilité de certains d’entre eux était pour le moins incertaine. Aujourd’hui, le rôle de chacun et leurs responsabilités corrélatives sont clairement définis. Il y a tout d’abord le responsable du traitement, soit l’entité qui « détermine les finalités et les moyens du traitement ». En d’autres termes, les données sont collectées pour l’activité du responsable du traitement. Ce sont par exemple les données des salariés d’une entreprise dans le cadre de sa gestion des ressources humaines. Il y a ensuite le soustraitant, lequel agit « au nom et pour le compte du responsable du traitement ». Autrement dit, il assiste son client dans la collecte des données ou à y accéder une fois collectées. C’est typiquement le cas d’un éditeur de logiciel, qui permet à son client de les consulter. Et la blockchain dans tout ça ? Pour une bonne application du RGPD, il convient – même dans cette industrie décentralisée – de déterminer le rôle de chacun. Pour une entité centralisée, le procédé est plutôt aisé. Ainsi, une plateforme d’échange d’actifs numériques sera assimilée à un responsable du traitement pour les données de ses clients, voire de ses salariés si l’entreprise est basée sur le territoire de l’UE. Il en va de même, par exemple, pour les données de prospection commerciale. Mais qu’en est-il des applications décentralisées ? Déterminer son rôle est difficile. C’est le cas lorsqu’un protocole de finance décentralisée est lancé par un groupe de développeurs qui a, ensuite, le contrôle uniquement pour y effectuer de la maintenance. Peut-on considérer que, par exemple, Uniswap Labs – l’entité derrière le protocole Uniswap – est responsable du traitement des données ? Ou est-elle davantage sous-traitante des blockchains, comme Ethereum, qui tournent sur son protocole ? Derrière la question de la détermination du rôle de chacun, se cache invariablement celle, épineuse, de la responsabilité encourue. La responsabilité d’une plateforme centralisée ne se pose pas, puisqu’il s’agit d’une entreprise avec des organes de direction précisément identifiés. En revanche, pour ce qui concerne les applications décentralisées et les acteurs qui construisent un protocole, la question est bien plus complexe. Prenons l’exemple d’un assureur qui aurait « blockchainisé » l’un de ses produits. L’octroi d’une indemnisation dépend non pas d’un humain, mais d’un algorithme, en l’occurrence un smart contract dans le langage « blockchain » (3). Qui serait alors considéré comme le sous-traitant ? Les développeurs ou l’éventuelle entité de la blockchain utilisée ? Responsabilité dans un monde blockchainisé Le RGPD exige du sous-traitant qu’il agisse en fonction des instructions écrites de son client. Or, si l’assureur utilise un protocole existant, ce dernier n’agira pas en fonction des instructions de son « client », puisqu’il est théoriquement le même pour tous. En outre, en cas de manquement au RGPD, comment rendre responsables les développeurs d’un protocole ? Ces questions restent, pour l’heure, sans réponse… En théorie, la blockchain est publique, transparente et accessible à tous. Cela signifie que n’importe qui peut avoir accès aux données. En pratique, cette transparence ne sera pas pour autant absolue. Il en va notamment des données médicales, dont l’accès sera protégé. Ainsi, si la donnée est visible dans la blockchain, elle n’est pas pour autant aisément accessible et fait l’objet d’un chiffrement, dont seule la personne concernée possède la clé de déchiffrement. Cependant, quid des données brutes et accessibles à tous ? Quid des droits des personnes ? En théorie, toujours, la blockchain est immuable. Ainsi, les données ne peuvent ni être modifiées ni même effacées. Or, l’article 17 du RGPD instaure un droit à l’effacement (4), que l’on appelle plus communément « droit à l’oubli » (5). Comment concilier ce droit à l’effacement avec l’immutabilité de la blockchain ? A priori, cela paraît impossible. Pourtant, la réalité diffère… D’une part, l’immutabilité de la blockchain (pas de retour en arrière possible) est issue du protocole Bitcoin et n’est pas un principe gravé dans le marbre. Grâce à un smart contract (non applicable à Bitcoin mais à d’autres protocoles), il est tout à fait possible de prévoir l’effacement de certaines données à une date précise. En outre, le droit à l’oubli luimême n’est pas absolu, puisque le RGPD prévoit des exceptions, notamment celle du droit à l’information. Enfin, la blockchain n’est pas nécessairement transparente. En effet, il existe des blockchains privées ou de consortium, qui ne sont accessibles qu’à un certain nombre d’individus précisément identifiés. Dans cette hypothèse, il s’agit simplement d’une base de données améliorée, qui répond aux mêmes exigences que les bases de données classiques. Si les dispositions du RGPD sont bien respectées, les données sont sécurisées et seules les personnes autorisées y ont accès. Les personnes dont les données sont collectées peuvent exercer plusieurs droits distincts. Outre le droit à l’oubli, le droit d’accès, le droit d’opposition, le droit de rectification, le droit à la suppression ou encore le droit à la portabilité font partie de ce que l’on appelle les droits des personnes. Or, si le principe d’immutabilité de la blockchain n’est pas absolu, cela ne signifie pas que l’on peut y modifier aisément les données inscrites. Ainsi, le droit à la rectification des données inscrites dans la blockchain semble plus que complexe. En effet, chaque donnée d’une blockchain est conservée dans des blocs qui s’enchaînent chronologiquement, d’où son nom (chaîne de blocs). Ce faisant, pour modifier une donnée, il faudrait, en principe, en modifier l’ensemble du bloc, ce qui constituerait un travail d’envergure. De même, le droit à la portabilité semble, à l’heure actuelle, impossible. La portabilité est la possibilité pour toute personne de solliciter le responsable du traitement aux fins de transférer l’ensemble de ses données à un autre responsable du traitement. Qu’est-ce que cela signifierait réellement dans la blockchain ? L’on pourrait imaginer le passage d’une plateforme centralisée à une autre. En l’espèce, cela serait possible, puisqu’il s’agit de données clients. En revanche, la portabilité entre différents protocoles décentralisés et différentes blockchains semble presque impossible. L’un des problèmes principaux des blockchains est effectivement l’interopérabilité entre elles. Or, faire passer des données entre, par exemple, le réseau Bitcoin et le réseau Ethereum est tellement complexe que personne ne s’essaierait à le faire. Toutefois, il existe des protocoles appelés « bridge », qui sont justement prévus pour permettre cette interopérabilité. Mais de là à faire passer un jeu de données d’un protocole à l’autre, c’est une autre histoire… Au-delà même du droit des personnes, subsiste la question de la nature des données concernées. Pour la blockchain Bitcoin, la seule donnée personnelle présente est l’adresse publique… qui est une donnée pseudonymisée. Il en va de même pour la majorité des autres protocoles, qui, s’ils diffèrent de Bitcoin, reprennent ce principe de collecter un minimum de données personnelles, à l’exception de l’adresse IP pour certains. Ainsi, l’exercice du droit d’opposition est impossible pour de telles données puisque refuser le traitement signifie tout simplement refuser d’utiliser le protocole en question. Encore une fois, nous en revenons toujours au même point : ce sont les plateformes centralisées qui conservent le plus de données personnelles, en raison notamment de la vérification d’identité, ou KYC (Know Your Customer) à effectuer. La question principale est donc celle de la prochaine articulation entre les protocoles décentralisés, le RGPD et le futur règlement européen TFR (Transfer of Funds Regulation). Ce dernier, bientôt en première lecture au Parlement européen (6), va effectivement obliger les plateformes d’échange à effectuer une vérification d’identité pour tout transfert vers les portefeuilles non hébergés. Nécessaire souplesse dans l’interprétation Or, à l’exception de l’adresse IP pour certains protocoles bien identifiés, aucune donnée personnelle n’est collectée à ce jour lors de la création de ces portefeuilles, comme ceux de l’entreprise française Ledger. Si tel est le cas à l’avenir, la collecte et la conservation des données devraient a priori respecter les dispositions du RGPD. En définitive, il est envisageable de respecter les principes du RGPD, tout en utilisant la blockchain (7). Les marges d’appréciation sont importantes et le règlement dispose de nombreuses exceptions. Cela nécessite de la souplesse. Depuis le rapport de 2019 du Parlement européen (8), les réflexions dans ce domaine se poursuivent. Il ne faudrait cependant pas qu’une règlementation trop stricte retarde l’Europe par rapport aux Etats-Unis et à la Chine, comme cela l’a été pour le développement d’Internet dans les années 1990… Affaire à suivre ! @

* Benjamin Allouch est consultant indépendant Web3 et protection des données.