Blockchain et RGPD : relations complexes, surtout lorsqu’il s’agit du traitement des données

La protection des données personnelles et la blockchain sont souvent vues comme incompatibles. Pourtant, les réflexions en cours permettent de nuancer, même si les droits des personnes (comme le droit à l’oubli) ou la question de la responsabilité (dans un monde décentralisé) restent à définir.

Par Arnaud Touati, avocat associé, Hashtag Avocats, et Benjamin Allouch, consultant*.

Le 25 mai 2018, le règlement général sur la protection des données (RGPD) est entré en application (1). Ce règlement européen, présenté comme le texte juridique le plus abouti en matière de protection des données à caractère personnel, s’applique dès que l’on utilise des données personnelles à des fins professionnelles. Il s’impose à tous, des autoentreprises aux institutions publiques, en passant par les sociétés commerciales. Le RGPD est également applicable dans le monde entier, si tant est que l’entité concernée utilise des données appartenant à des résidents de l’Union européenne (UE).

Blockchain et RGPD en chiens de faïence ?
Le 3 janvier 2009, le premier bloc de bitcoins est créé, selon son créateur anonyme Satoshi Nakamoto et auteur de l’article fondateur publié deux mois plus tôt (2), pour répondre aux dérives de la crise financière de 2008. Bitcoin, c’est notamment une transparence absolue des transactions, conservées ad vitam aeternam, dans « un système peer-to-peerde monnaie électronique ». Dès lors, comment conjuguer deux principes de prime abord antagonistes ? Comment protéger les données personnelles au sein d’une technologie où tout est transparent ? Comment garantir certains droits des personnes quand les données ne peuvent pas être effacées ? D’aucuns ont alors conclu à une incompatibilité entre la blockchain et le RGPD. Pourtant, s’il existe certainement des difficultés, la blockchain comme le RGPD peuvent s’adapter pour coopérer. Petit tour d’horizon des conflits relevés et des adaptations trouvées. Avant l’entrée en vigueur du RGPD, la législation sur la protection des données souffrait d’un manque de clarté quant à la répartition des rôles de chaque acteur. En outre, la responsabilité de certains d’entre eux était pour le moins incertaine. Aujourd’hui, le rôle de chacun et leurs responsabilités corrélatives sont clairement définis.
Il y a tout d’abord le responsable du traitement, soit l’entité qui « détermine les finalités et les moyens du traitement ». En d’autres termes, les données sont collectées pour l’activité du responsable du traitement. Ce sont par exemple les données des salariés d’une entreprise dans le cadre de sa gestion des ressources humaines. Il y a ensuite le soustraitant, lequel agit « au nom et pour le compte du responsable du traitement ». Autrement dit, il assiste son client dans la collecte des données ou à y accéder une fois collectées. C’est typiquement le cas d’un éditeur de logiciel, qui permet à son client de les consulter.
Et la blockchain dans tout ça ? Pour une bonne application du RGPD, il convient – même dans cette industrie décentralisée – de déterminer le rôle de chacun. Pour une entité centralisée, le procédé est plutôt aisé. Ainsi, une plateforme d’échange d’actifs numériques sera assimilée à un responsable du traitement pour les données de ses clients, voire de ses salariés si l’entreprise est basée sur le territoire de l’UE. Il en va de même, par exemple, pour les données de prospection commerciale. Mais qu’en est-il des applications décentralisées ? Déterminer son rôle est difficile. C’est le cas lorsqu’un protocole de finance décentralisée est lancé par un groupe de développeurs qui a, ensuite, le contrôle uniquement pour y effectuer de la maintenance. Peut-on considérer que, par exemple, Uniswap Labs – l’entité derrière le protocole Uniswap – est responsable du traitement des données ? Ou est-elle davantage sous-traitante des blockchains, comme Ethereum, qui tournent sur son protocole ? Derrière la question de la détermination du rôle de chacun, se cache invariablement celle, épineuse, de la responsabilité encourue.
La responsabilité d’une plateforme centralisée ne se pose pas, puisqu’il s’agit d’une entreprise avec des organes de direction précisément identifiés. En revanche, pour ce qui concerne les applications décentralisées et les acteurs qui construisent un protocole, la question est bien plus complexe. Prenons l’exemple d’un assureur qui aurait « blockchainisé » l’un de ses produits. L’octroi d’une indemnisation dépend non pas d’un humain, mais d’un algorithme, en l’occurrence un smart contract dans le langage « blockchain » (3). Qui serait alors considéré comme le sous-traitant ? Les développeurs ou l’éventuelle entité de la blockchain utilisée ?

Responsabilité dans un monde blockchainisé
Le RGPD exige du sous-traitant qu’il agisse en fonction des instructions écrites de son client. Or, si l’assureur utilise un protocole existant, ce dernier n’agira pas en fonction des instructions de son « client », puisqu’il est théoriquement le même pour tous. En outre, en cas de manquement au RGPD, comment rendre responsables les développeurs d’un protocole ? Ces questions restent, pour l’heure, sans réponse… En théorie, la blockchain est publique, transparente et accessible à tous. Cela signifie que n’importe qui peut avoir accès aux données. En pratique, cette transparence ne sera pas pour autant absolue. Il en va notamment des données médicales, dont l’accès sera protégé. Ainsi, si la donnée est visible dans la blockchain, elle n’est pas pour autant aisément accessible et fait l’objet d’un chiffrement, dont seule la personne concernée possède la clé de déchiffrement. Cependant, quid des données brutes et accessibles à tous ?

Quid des droits des personnes ?
En théorie, toujours, la blockchain est immuable. Ainsi, les données ne peuvent ni être modifiées ni même effacées. Or, l’article 17 du RGPD instaure un droit à l’effacement (4), que l’on appelle plus communément « droit à l’oubli » (5). Comment concilier ce droit à l’effacement avec l’immutabilité de la blockchain ? A priori, cela paraît impossible. Pourtant, la réalité diffère… D’une part, l’immutabilité de la blockchain (pas de retour en arrière possible) est issue du protocole Bitcoin et n’est pas un principe gravé dans le marbre. Grâce à un smart contract (non applicable à Bitcoin mais à d’autres protocoles), il est tout à fait possible de prévoir l’effacement de certaines données à une date précise. En outre, le droit à l’oubli luimême n’est pas absolu, puisque le RGPD prévoit des exceptions, notamment celle du droit à l’information. Enfin, la blockchain n’est pas nécessairement transparente. En effet, il existe des blockchains privées ou de consortium, qui ne sont accessibles qu’à un certain nombre d’individus précisément identifiés. Dans cette hypothèse, il s’agit simplement d’une base de données améliorée, qui répond aux mêmes exigences que les bases de données classiques. Si les dispositions du RGPD sont bien respectées, les données sont sécurisées et seules les personnes autorisées y ont accès.
Les personnes dont les données sont collectées peuvent exercer plusieurs droits distincts. Outre le droit à l’oubli, le droit d’accès, le droit d’opposition, le droit de rectification, le droit à la suppression ou encore le droit à la portabilité font partie de ce que l’on appelle les droits des personnes. Or, si le principe d’immutabilité de la blockchain n’est pas absolu, cela ne signifie pas que l’on peut y modifier aisément les données inscrites. Ainsi, le droit à la rectification des données inscrites dans la blockchain semble plus que complexe. En effet, chaque donnée d’une blockchain est conservée dans des blocs qui s’enchaînent chronologiquement, d’où son nom (chaîne de blocs). Ce faisant, pour modifier une donnée, il faudrait, en principe, en modifier l’ensemble du bloc, ce qui constituerait un travail d’envergure.
De même, le droit à la portabilité semble, à l’heure actuelle, impossible. La portabilité est la possibilité pour toute personne de solliciter le responsable du traitement aux fins de transférer l’ensemble de ses données à un autre responsable du traitement. Qu’est-ce que cela signifierait réellement dans la blockchain ? L’on pourrait imaginer le passage d’une plateforme centralisée à une autre. En l’espèce, cela serait possible, puisqu’il s’agit de données clients. En revanche, la portabilité entre différents protocoles décentralisés et différentes blockchains semble presque impossible. L’un des problèmes principaux des blockchains est effectivement l’interopérabilité entre elles. Or, faire passer des données entre, par exemple, le réseau Bitcoin et le réseau Ethereum est tellement complexe que personne ne s’essaierait à le faire. Toutefois, il existe des protocoles appelés « bridge », qui sont justement prévus pour permettre cette interopérabilité. Mais de là à faire passer un jeu de données d’un protocole à l’autre, c’est une autre histoire…
Au-delà même du droit des personnes, subsiste la question de la nature des données concernées. Pour la blockchain Bitcoin, la seule donnée personnelle présente est l’adresse publique… qui est une donnée pseudonymisée. Il en va de même pour la majorité des autres protocoles, qui, s’ils diffèrent de Bitcoin, reprennent ce principe de collecter un minimum de données personnelles, à l’exception de l’adresse IP pour certains. Ainsi, l’exercice du droit d’opposition est impossible pour de telles données puisque refuser le traitement signifie tout simplement refuser d’utiliser le protocole en question. Encore une fois, nous en revenons toujours au même point : ce sont les plateformes centralisées qui conservent le plus de données personnelles, en raison notamment de la vérification d’identité, ou KYC (Know Your Customer) à effectuer. La question principale est donc celle de la prochaine articulation entre les protocoles décentralisés, le RGPD et le futur règlement européen TFR (Transfer of Funds Regulation). Ce dernier, bientôt en première lecture au Parlement européen (6), va effectivement obliger les plateformes d’échange à effectuer une vérification d’identité pour tout transfert vers les portefeuilles non hébergés.

Nécessaire souplesse dans l’interprétation
Or, à l’exception de l’adresse IP pour certains protocoles bien identifiés, aucune donnée personnelle n’est collectée à ce jour lors de la création de ces portefeuilles, comme ceux de l’entreprise française Ledger. Si tel est le cas à l’avenir, la collecte et la conservation des données devraient a priori respecter les dispositions du RGPD.
En définitive, il est envisageable de respecter les principes du RGPD, tout en utilisant la blockchain (7). Les marges d’appréciation sont importantes et le règlement dispose de nombreuses exceptions. Cela nécessite de la souplesse. Depuis le rapport de 2019 du Parlement européen (8), les réflexions dans ce domaine se poursuivent. Il ne faudrait cependant pas qu’une règlementation trop stricte retarde l’Europe par rapport aux Etats-Unis et à la Chine, comme cela l’a été pour le développement d’Internet dans les années 1990… Affaire à suivre ! @

* Benjamin Allouch est consultant indépendant Web3
et protection des données.

Entre marques et noms de domaine, le risque de conflit existe mais il peut être évité en amont

Le dépôt de marques et l’enregistrement de noms de domaines peuvent tourner à l’affrontement judiciaire ou extra-judiciaire depuis que l’Internet existe, notamment en cas de contrefaçon, de cybersquattage ou encore de typosquattage. L’antériorité n’est pas le seul critère à considérer. Etat des lieux.

Par Vanessa Bouchara*, avocate associée, cabinet Bouchara Avocats.

Un nom de domaine – cette adresse textuelle attribuée à une adresse IP – peut constituer une antériorité opposable à une marque puisque le code de la propriété intellectuelle prévoit qu’un nom de domaine, dont la portée n’est pas seulement locale, constitue une antériorité opposable à une marque s’il existe un risque de confusion dans l’esprit du public (1). Pour autant, la marque peut être enregistrée alors même qu’il existe un nom de domaine antérieur et qu’elle ne sera susceptible d’être annulée que si le titulaire du nom de domaine antérieur oppose ses droits.

Internet : premier arrivé, premier servi
Mais les noms de domaine et les marques font-ils bonménage ou se regardent-ils en chiens de faïence ? Rappelons qu’une marque est un signe déposé auprès d’un office de marque qui peut être l’Institut national de la propriété industrielle (Inpi), l’Office de l’Union européenne pour la propriété intellectuelle (Euipo) ou l’Organisation mondiale de la propriété intellectuelle (Ompi). Une marque doit être distinctive, ce qui signifie qu’elle doit permettre de distinguer les produits ou services proposés par une entreprise de ceux de ses concurrents, pour être protégeable. Elle permettra ainsi au consommateur d’identifier les produits ou services de la marque comme provenant justement d’elle. De nombreux signes peuvent être déposés et constituer une marque : une dénomination, des signes figuratifs (logo, dessin), des signes tridimensionnels, des couleurs, des sons, etc.
Quant au nom de domaine, il comprend un terme auquel est ajouté l’extension du nom de domaine qui peut être générique (.com, .org, .net, …) ou territoriale (.fr, .uk, .com, .cn, …). . Le nom de domaine, qui est associé – par un annuaire d’Internet (2) – à une adresse IP, permet aux internautes d’accéder à un site web spécifique. Le nom de domaine aura été enregistré auprès d’un bureau d’enregistrement accrédité (« registrar » en anglais), en fonction des règles applicables et de l’extension du nom de domaine concernée (3). Sous réserve d’être exploité, un nom de domaine peut constituer un signe distinctif, tout comme le sont les dénominations sociales. En tant que tel, il constitue alors un actif immatériel important pour son titulaire et dispose d’une valeur juridique dont il est important de comprendre la portée. Les noms de domaine sont en principe soumis à la règle du « premier arrivé, premier servi », sous réserve que le nom de domaine ne porte pas atteinte à des droits antérieurs de tiers. Il n’existera donc pas plusieurs noms identiques. Certaines extensions de domaine ont des règles d’attribution strictes. Par exemple, le .fr ne pourra être attribué qu’à une entité ou personne résidant dans l’Union européenne et ayant une existence légale en France.
Alors quid des risques entre l’enregistrement d’un nom de domaine et le dépôt d’une marque ? Tout d’abord, un nom de domaine ne doit pas porter atteinte à un droit antérieur de tiers et notamment à une marque antérieure, qu’il s’agisse notamment de « cybersquattage » (appelé aussi cybersquatting, à savoir l’enregistrement d’un signe distinctif comme une dénomination sociale ou une marque par un tiers souhaitant en tirer un profit) ou de « typosquattage » (appelé aussi typosquatting, à savoir l’enregistrement par un tiers d’un nom de domaine similaire à une marque, une enseigne, un nom patronymique ou encore un autre nom de domaine pour créer la confusion). Lorsqu’un nom de domaine porte atteinte à une marque antérieure, il peut être possible pour le titulaire de la marque d’engager des actions spécifiques de type UDRP (4) pour les litiges portant sur l’enregistrement et l’utilisation de noms de domaine de premier niveau (.com, .biz, .info, .mobi, .net, .org…) ou SYRELI (5) pour obtenir le transfert ou la suppression de noms de domaine (uniquement pour .fr). Ces actions extrajudiciaires ne sont toutefois pas disponibles pour toutes les extensions de noms de domaine. Quelles sont donc les règles applicables aux conflits entre ces deux droits, marques et noms de domaine ? Deux hypothèses se présentent en cas de litige selon l’antériorité de l’une ou de l’autre.

En cas de litige, deux hypothèses
• La première hypothèse est celle d’un nom de domaine antérieur à une marque. La jurisprudence a posé la règle selon laquelle un nom de domaine peut constituer un droit antérieur opposable à une marque dès lors qu’il est effectivement exploité et qu’il existe un risque de confusion dans l’esprit du public susceptible d’affecter la fonction essentielle de la marque (6). En tout état de cause, si le nom de domaine est composé de signes descriptifs de son exploitation, il ne pourra pas être opposé à une marque elle-même descriptive, y compris si cette marque est bien postérieure à l’enregistrement et à l’exploitation du nom de domaine antérieur (7). Le code de la propriété intellectuelle (CPI) a par la suite intégré en 2019 le nom de domaine dans la liste des droits antérieurs opposables consacrée au nouvel article L711-3, dans le cadre de l’ordonnance « marques de produit et de services » (8).
Les exigences posées par la jurisprudence et l’article L711-3 du CPI pour qu’un nom de domaine constitue un droit opposable à une marque sont ainsi les suivantes : le nom de domaine doit être effectivement exploité ; le nom de domaine doit être exploité pour des produits ou services identiques ou similaires à ceux pour lesquels la marque a été déposée ; la portée du nom de domaine ne doit pas être seulement locale.

Action judiciaire ou extra-judiciaire
Ce n’est que lorsque ces trois conditions seront remplies que le titulaire d’un nom de domaine pourra alors opposer ses droits à une marque postérieure, qu’elle soit enregistrée ou en cours d’enregistrement.
En tout état de cause, il est vivement recommandé de procéder à une recherche d’antériorité préalablement à l’enregistrement d’une marque afin de s’assurer de la disponibilité du signe concerné, et notamment de l’absence de noms de domaine à risque.
• La seconde hypothèse est celle d’une marque antérieure à un nom de domaine. Les règles applicables aux conflits entre une marque antérieure et un nom de domaine connaissent de légères différences en fonction du type d’actions engagé. En effet, plusieurs types d’actions sont envisageables. Il y a notamment l’action judiciaire en contrefaçon devant les tribunaux. Il est établi depuis de nombreuses années que la reproduction illicite d’une marque protégée utilisée à titre de nom de domaine constitue une contrefaçon de marque (9).
Toutefois, en vertu du principe de spécialité, l’atteinte à la marque (en l’occurrence l’acte de contrefaçon) ne sera constituée que si le nom de domaine postérieur est exploité, ou est susceptible d’être exploité, pour une activité identique ou similaire à celle couverte par la marque antérieure ainsi que sur le territoire concerné. Si cette condition est remplie, le titulaire de la marque pourra opposer ses droits sur le nom de domaine postérieur dans le cadre d’une action en contrefaçon devant les tribunaux. Cette action aura pour objectif d’obtenir la cessation de l’atteinte, mais également le transfert du nom de domaine au titulaire de la marque, ou encore la condamnation de la société titulaire et/ou exploitant le nom de domaine à des dommages et intérêts. Il y a aussi le mode alternatif de règlement des litiges relatifs aux noms de domaine. Selon l’extension des noms de domaine, il pourrait être possible d’engager une action extrajudiciaire simplifiée, le plus souvent une action UDRP ou SYRELI, afin d’obtenir le transfert ou l’annulation d’un nom de domaine enregistré portant atteinte à une marque antérieure. Ces actions simplifiées sont plus rapides et moins coûteuses qu’une action judiciaire. Le recours à de telles actions n’empêche pas les parties de saisir les tribunaux si besoin, notamment en appel de ces décisions si elles ne sont pas satisfaisantes. Pour avoir gain de cause dans le cadre de telles procédures, il est généralement nécessaire : de justifier de ses droits antérieurs ; de démontrer l’identité ou quasi identité entre la marque et le nom de domaine ; de convaincre que le titulaire du nom de domaine n’a pas de droits ou d’intérêts légitimes à enregistrer et à exploiter le nom de domaine ; de prouver que le nom de domaine a été enregistré et est exploité de mauvaise foi par son titulaire. Un titulaire de nom de domaine pourra démontrer qu’il dispose de droits ou d’intérêts légitimes sur un nom de domaine, notamment s’il exploite le nom de domaine en relation avec une offre bona fide de biens ou de services (10) ou pour un usage non commercial sans intention de détourner les internautes ou de ternir la marque antérieure en cause (11).
L’enregistrement et l’exploitation de mauvaise foi d’un nom de domaine pourront par ailleurs être constitués lorsque son titulaire tente intentionnellement d’attirer, pour un gain financier, les internautes vers son propre site Internet ou le site d’un tiers, en créant un risque de confusion avec la marque antérieure en cause (12). En tout état de cause, il est recommandé d’enregistrer également un nom de domaine à titre de marque afin de renforcer la protection associée et les moyens d’actions à disposition du titulaire du nom de domaine en cas d’atteinte à ses droits par des tiers, mais également de réaliser une recherche d’antériorité préalablement à l’enregistrement du nom de domaine afin de s’assurer de la disponibilité du signe concerné.

Avant tout, prudence et précaution
En conclusion, les conflits entre marques et noms de domaine sont nombreux, dans un sens comme dans l’autre. La prudence est de mise avant de déposer un nom de domaine et de créer un site Internet : il est indispensable de s’assurer que ce nom de domaine, pour l’activité projetée, n’est pas susceptible de porter atteinte aux droits de tiers, plus particulièrement à des droits de marque. De la même manière, le dépôt d’une marque doit être précédé d’une recherche d’antériorités qui permettra d’établir si la marque est disponible et peut être librement déposée et exploitée. En s’entourant de précautions avant le lancement de son activité, on évite ainsi de la mettre en péril si des droits antérieurs lui étaient opposés ultérieurement. @

* Vanessa Bouchara, avocate et spécialiste en droit
de la propriété intellectuelle, a fondé le
cabinet Bouchara Avocats (www.cabinetbouchara.com).

Readium LCP : la solution de gestion de droits digitaux de l’EDRLab veut libérer le livre numérique

Le déverrouillage des ebooks est en marche, grâce au DRM (Digital Rights Management) conçu par l’EDRLab (European Digital Reading Lab). Cet outil appelé Readium LCP (Licensed Content Protection) se veut une alternative aux verrous propriétaires d’Amazon, d’Apple, d’Adobe ou de Kobo.

La plupart des maisons d’édition, des libraires, des bibliothèques et des plateformes de distribution de ebooks l’ont adoptée : la solution de gestion de droits numériques développée et promue par l’association européenne EDRLab, basée à Paris, est en train de se généraliser au monde du livre après un an de test. Baptisé Readium LCP, cet outil DRM se veut une alternative ouverte aux verrous propriétaires des Amazon, Apple, Adobe et autres Kobo (Rakuten). La France a été le premier pays à l’adopter, suivie de l’Allemagne, de la Grande-Bretagne et d’autres pays européens, voire partout dans le monde (1).

Copie privée, circulation et inclusion
Les acteurs français du prêt numérique en bibliothèque l’utilisent déjà tels que Numilog, Eden Livres, Immatériel, Vivlio, La Médi@thèque et BiblioAccess, ainsi que les plateformes de ventes de livres numériques comme ePagine. A l’instar du groupe Editis (Vivendi) ou d’Hachette Livre (Lagardère), des éditeurs y ont de plus en plus recours. Objectif : libérer le marché du livre numérique, en permettant enfin aux lecteurs de partager les fichiers de leurs ebooks dans le respect du droit d’auteur. Ainsi, les utilisateurs peuvent user de leur droit à la copie privée (exception au droit d’auteur) puisque le partage est limité à une trentaine de personnes ou de terminaux au sein de leur cercle familial voire amical. « Readium LCP est une solution de gestion des droits basée sur les mots de passe, avec laquelle les titulaires de droits peuvent protéger efficacement et à faible coût leur contenu ePub, PDF et livres audio contre le partage excessif. Il s’agit d’une solution simple mais fiable pour la distribution de contenu protégé, basée sur des algorithmes de cryptage solides et des techniques classiques de PKI [gestionnaire de clés publiques, ou Public Key Infrastructure, ndlr]. La solution est en même temps minimalement intrusive pour les utilisateurs finaux, qui n’ont pas besoin de créer un compte tiers et peuvent même partager leurs ebooks avec leur famille ou des amis proches », explique l’EDRLab cofondé durant l’été 2015 par Hachette Livre, Editis, Madrigall/ Gallimard-Flammarion et Media Participations, avec le Syndicat national de l’édition (SNE), le Cercle de la Librairie (CL) et le Centre national du livre (CNL), ainsi que le ministère de la Culture (2). L’EDRLab contribue en outre aux évolutions du format ePub 3 pour les ebooks, en attendant de l’IDPF (3) un éventuel ePub 4 multimédia (texte, audio, vidéo, …). En « libéralisant » le marché du livre numérique, les professionnels de la filière font d’une pierre deux coups : la norme internationale Readium LCP les met d’ores et déjà en conformité avec la directive européenne sur l’accessibilité de l’édition numérique, ou « Accessibility Act » (4), qui entrera en vigueur à partir du 28 juin 2025. Celle-ci inclut les personnes handicapées dans l’accès aux produits et services – dont les ebooks et les liseuses. Readium LCP est aussi conçu en mode privacy-by-design pour la protection de la vie privée et des données personnelles.
L’industrie du livre européenne fait ainsi le pari de la circulation facilitée des œuvres de l’écrit, comme l’a fait en son temps l’industrie de la musique. Fini les obstacles techniques au partage de ebooks. Fini l’impossibilité d’accéder à un fichier numérique de livre après la fermeture d’une librairie en ligne. Il s’agit de déverrouiller, enfin (5). « Avec Readium LCP, l’utilisateur peut constituer sans contraintes sa bibliothèque numérique. Car ce DRM dispense désormais le lecteur de la création d’un compte auprès d’un service tiers et de son identification préalable à la lecture de son livre numérique. Reposant sur un système de phrase secrète (pass-phrase), cette solution lui permet d’accéder facilement à ses livres numériques sur différents supports de lecture », explique la plateforme ePagine, librairie numérique lancée en 2008 par la société Tite-Live sous le nom d’Aligastore. Cette plateforme de marché de librairies opère aussi pour Place des Libraires, Bookeen, Gibert ou encore Gallimard.

ePagine et Numilog aux avant-postes
Cofondateur d’ePagine, François Boujard (photo de gauche) vient d’annoncer cet été que « la totalité du catalogue de l’édition française est désormais compatible avec Readium LCP, ePagine appliquant la protection d’EDRLab sur l’ensemble des fichiers hébergés ». Autre diffuseur numérique et libraire en ligne, Numilog a indiqué début juillet avoir adopté lui aussi le DRM sur ses plateformes Numilog.com et Girlybook.com – après l’avoir rendu disponible dès 2021 sur Biblioaccess.com (prêt numérique pour bibliothèques). « Cela pourrait avoir à terme un impact positif important sur le marché des livres numériques », espère Denis Zwirn (photo de droite), président fondateur de Numilog. @

Charles de Laubier

Un NFT est un OJNI dissociant l’unicité d’un bien, lequel suppose une licence d’utilisation

Toute transaction de NFT confère un droit qui n’est pas un droit de propriété, contrairement à ce que laissent supposer les plateformes de commercialisation, mais seulement l’octroi d’une licence d’utilisation restreinte, temporaire, donnée par le créateur du NFT à un souscripteur. Explications.

Par Fabrice Lorvo*, avocat associé, FTPA.

La révolution numérique nous a propulsé dans l’univers de la dématérialisation. Sa première vague, par l’intermédiaire des plateformes, nous a initiés à la dissociation entre la propriété et son usage. Amazon est le plus grand magasin au monde sans posséder de magasins – même si à la marge sa stratégie brick-and-mortar point (1). De même, Airbnb semble être le plus grand hôtelier planétaire sans posséder un seul hôtel et Uber est sans doute la plus grande entreprise de transport sans posséder une seule voiture.

Non-fongible, unique et original
Avec le NFT (Non-Fungible Token, ou jeton non-fongible), nous découvrons la dissociation d’un bien avec son support. Un NFT est un actif numérique unique associé à un support électronique parfois extrêmement banal (un fichier au format jpeg, mp3 ou mp4, etc.). Un NFT peut représenter n’importe quoi. Il peut être une image, un son, une vidéo ou encore un écrit. Il peut être créé par n’importe qui, donc par chacun d’entre nous. L’unicité comme la traçabilité de cet actif unique sont certifiées par un dépôt dans la blockchain, à savoir une chaîne de blocs cryptée de bout-en-bout qui permet d’assurer la traçabilité et l’authenticité des transactions de façon décentralisée. Un tout récent rapport formule une définition : « Concrètement, l’acquisition d’un jeton non-fongible (“JNF” en français, “NFT” en anglais) correspond à l’acquisition d’un jeton inscrit sur la blockchain et associé à un “smart contract” (contrat intelligent, en français), qui renvoie à un fichier numérique (image, son, vidéo, …) » (2).
Ce nouvel outil numérique prometteur – mais aux allures d’OJNI (objet juridique non identifié) – n’est pas facilement appréhendable par le grand public du fait de sa totale dématérialisation, et cette difficulté est renforcée par la confusion entre l’objet (le NFT), le lieu d’échange (la plateforme de commercialisation) et les conditions de l’échange (l’environnement numérique). Bien que difficilement conceptualisable, le NFT connaît une très forte notoriété, probablement du fait du fantasme implicite d’une plus-value immédiate et importante. Quel est le concept ? Dans le domaine de l’art, par exemple, un NFT est une œuvre originale (c’est notre postulat mais gare aux contrefaçons), qui est soit directement créée de manière numérique, soit représentant numériquement une œuvre qui existe déjà sur un autre support matériel (comme une toile). Ce NFT peut représenter l’œuvre intégralement ou par morceau, comme une pièce de puzzle (ou «mass »). Cette « chose » (le jeton) est dite « non-fongible » car elle ne peut pas être échangée contre quelque chose de valeur égale. A l’inverse, une pièce de 1 euro est un bien fongible car elle peut être échangée avec une autre pièce de 1 euro qui aura la même valeur. Etant unique, le NFT est doublement non-fongible : un NFT n’a pas la même valeur qu’un autre NFT – le NFT « Merge » détient pour le moment le record avec une vente estimée autour de 91,8 millions de dollars (3). De plus, il peut exister plusieurs représentations d’un même NFT sur un même support (fichier au format jpeg par exemple) mais seul celle qui a été désignée comme unique par son auteur et authentifiée comme telle sur une blockchain a de la valeur. Si l’on fait abstraction de la plateforme et des conditions de commercialisation, au moins dans le domaine de l’art, le NFT n’est donc qu’une représentation virtuelle d’une œuvre dissociée de son support. Dans le monde matériel, l’unicité c’est à la fois le fait qu’il n’existe pas le même type d’œuvre sur le même type de support (approche objective) et qu’une seule personne puisse la détenir (approche subjective). En pratique, les deux se confondent. Lorsqu’on achète « une toile », on possède à la fois le support de la peinture et l’image de la peinture.
Dans le monde numérique, du fait de la dématérialisation, c’est l’image du NFT (c’est-à-dire sa représentation virtuelle) qui fait l‘objet de la transaction. Son support (c’est-à-dire le fichier numérique qui permet la représentation virtuelle) reste dans la blockchain.

Dissociation image-support : problèmes
Cette dissociation de l’image et de son support pose cependant des problèmes pratiques.
• Le premier problème est qu’il est difficile de commercialiser une image virtuelle. Le caractère dématérialisé de l’image est difficilement appréhendable par le juriste dès lors qu’en matière de chose, nos lois régissent essentiellement la possession et donc la détention matérielle : « En fait de meubles, la possession vaut titre » (4). Comment peut-on posséder une chose qui n’est qu’une image virtuelle ? La loi va devoir s’adapter à ce nouvel outil et elle commence à le faire. Jusqu’à récemment, la loi limitait la vente volontaire de meubles aux enchères publiques aux seuls biens mobiliers corporels (5), ce qui excluait en France notamment la vente aux enchères des NFT. Or, de telles ventes étaient possibles hors de France. Rappelons que Christie’s à New York avait vendu en mars 2021 le NFT « Everydays: the First 5.000 Days » pour plus de 69,3 millions de dollars (6). Depuis mars 2022, l’interdiction a été levée en France. L’article L320-1 du code du commerce a été modifié par la loi « Moderniser la régulation du marché de l’art » du 28 février 2022 (7). La preuve du dépôt dans la blockchain • Le second problème est de savoir comment accorder de la valeur à une image virtuelle et, ce faisant, comment s’approprier une image virtuelle. Pour être commercialisé, un NFT doit être exposé, et donc être visible de tous. A priori sa valeur ne résulte pas de son exposition. Même s’il est une représentation virtuelle, le NFT, pour être commercialisé, ne peut s’affranchir de tout support. Cette dissociation n’est donc pas totale dès lors que l’image virtuelle est en fait associée à un support unique. L’unicité du support – et donc sa valeur – résultera du fait qu’il sera désigné comme tel par l’auteur du NFT. Et ce, par un dépôt dans la blockchain. Même s’il peut exister plusieurs représentations d’un NFT sur un même type de support, seul sera unique le support du NFT qui aura été désigné comme tel par le créateur dudit NFT. Par exemple, un NFT peut être représenté sur un support extrêmement banal (une vidéo au format mp4 par exemple), copiable par milliers et, en même temps, être unique, parce que son créateur l’aura rendu unique en le déposant dans la blockchain. Cette unicité ne pourra pas être, en droit, remise en cause par l’acquéreur du NFT. En effet, en déposant dans la blockchain une autre copie en mp4 du NFT vidéo unique (notre exemple), ledit acquéreur n’en ferait qu’une contrefaçon
Tout le monde peut voir un NFT s’il est mis en ligne sur une plateforme dédiée, mais une seule personne peut se prétendre détentrice de la preuve du dépôt d’un support unique dans la blockchain. Le NFT permet donc de dissocier l’unicité de la détention du support de celle de la propriété matérielle. Il permet donc d’ajouter une nouvelle modalité à l‘unicité en déclarant le NFT comme tel par son dépôt dans la blockchain. Outre la difficulté du concept, le NFT s’échange en utilisant d’autres outils nouveaux. La commercialisation des NFT suppose d’utiliser un environnement numérique, lui-même source de complexité. En effet, qui veut comprendre le fonctionnement des NFT doit aussi s’initier à la création et l’usage du portefeuille électronique, ou wallet, qui permet en effet de stocker et gérer ses crypto-actifs de la même manière qu’un compte en banque. Mais aussi il doit savoir recourir aux smart contracts (8). L’utilisateur doit aussi de familiariser avec l’utilisation de la cryptomonnaie (monnaie numérique émise de pair-à-pair sur un réseau décentralisé et sans nécessiter de banque centrale), le tout déposé dans la blockchain (là encore sans intermédiaire centralisé).
Enfin, l’échange de NFT suppose le recours à des places de marché. Le NFT est actuellement commercialisé par le biais de plateformes dédiées (OpenSea, Binance, Sorare, …), lesquelles ont imposé leurs pratiques de commercialisation. La difficulté est que l’acheteur du NFT ne sait pas toujours ce qu’il achète, ni comment il l’achète. Les plateformes sont assez « pudiques » sur le sujet, n’offrant qu’un espace de commercialisation (9) et renvoyant aux deux parties le soin de définir la nature et les conditions de « l’échange ». C’est une place de marché qui, assez étrangement, ne fixe pas les conditions juridiques du marché.
Du fait de la nature même du NFT (une représentation virtuelle), toute transaction confère un droit qui n’est pas un droit de propriété contrairement à ce que laisse supposer le vocabulaire utilisé par les plateformes (« acheteur », « vendeur », etc.). Toute commercialisation n’est, en réalité, que l’octroi d’une licence d’utilisation restreinte temporaire donnée par le créateur du NFT à un souscripteur. Cette licence se transmet sur le marché primaire (cession initiale) ou sur le marché secondaire (cessions ultérieures).
S’agissant du marché primaire, la commercialisation suppose la réunion de trois conditions :
Le NFT doit être créé par un artiste ; il s’agit essentiellement d’une œuvre de l’esprit unique qui ne doit pas porter atteinte aux droits des tiers. Le support électronique utilisé pour reproduire ou représenter ce NFT peut être commun (comme un jpeg) ; Le NFT doit être déposé dans la blockchain, et faire l’objet d’un certificat de dépôt pour singulariser et authentifier le NFT. Le support de la représentation devient ainsi unique ; L’artiste doit transférer le NFT au client primaire contre une rémunération dans le cadre d’une licence d’utilisation du NFT, cette licence définissant les conditions dans lesquelles le titulaire peut utiliser le NFT.
S’agissant du marché secondaire, la commercialisation suppose la réunion de deux conditions :
Le client primaire cède son NFT à un client secondaire qui paye le prix net au client primaire et la rémunération directement de l’artiste (généralement 10 %) et le cas échéant, la rémunération technique à la plateforme ; L’artiste confère au client secondaire une nouvelle licence d’utilisation (celle du client primaire devenant caduque du fait de la nouvelle « cession »).

Lenteur d’un consentement éclairé
Par la conclusion d’un contrat de licence à chaque « cession », chacun saurait la réalité de ce qu’il achète et les transactions n’auraient pas à se faire obligatoirement en cryptomonnaie – ce qui supprimerait les risques consécutifs à ce type de moyens de paiement. Cependant, un tel processus est beaucoup plus lourd que les facilités offertes par les plateformes. Il faut donc choisir entre la lenteur d’un consentement éclairé ou la rapidité dans l’ignorance de la nature des droits acquis. @

Le statut juridique et le régime applicable aux câbles sous-marins gagnent à être assouplis

Véritable « pont entre les hommes », les réseaux de câbles sous-marins en fibre optique font partie des infrastructures internationales qui se singularisent par leur technicité, leur importance vitale pour l’économie et la sécurité nationale, et leur vulnérabilité. Leur régulation hétérogène s’assouplit.

Par Marta Lahuerta Escolano, avocate counsel, Jones Day

D’après l’Union internationale des télécommunications (UIT), le câble sous-marin de communication est « un câble posé dans le fond marin, ou ensouillé à faible profondeur, destiné à acheminer des communications » (1). Les câbles sous-marins utilisent la fibre optique pour transmettre les données à la vitesse de la lumière. Un peu plus de 420 câbles sont enfouis dans les profondeurs des océans à travers le monde (2) et assurent 99 % des communications mondiales via les échanges téléphoniques et l’accès à Internet.

Plusieurs problématiques demeurent
Malgré la pose du premier câble sous-marin avec succès durant le XIXe siècle, ces infrastructures restent peu connues et plusieurs problématiques demeurent quant à leur statut juridique et au régime régissant leur construction, pose et atterrissement. Un câble sous-marin a vocation à traverser de multiples milieux : terrestre ou maritime, d’une part, et espace cyber ou physique, d’autre part. Cette hétérogénéité d’environnements rencontrés par le réseau de câble sous-marin se matérialise par un encadrement juridique dispersé (3). Le caractère international des câbles sous-marins qui relient souvent plusieurs Etats – à titre illustratif, le câble sous-marin « 2Africa » s’étend sur 45.000 km et a pour but de relier 33 pays – créé des difficultés juridiques à maints niveaux. A la question des droits conférés et obligations imposées aux constructeurs, propriétaires et poseurs de câbles traversant plusieurs Etats, se rajoute celle de la protection de ces infrastructures critiques.
L’essentiel du droit international applicable à la pose des câbles sous-marins est issu de la Convention des Nations Unies sur le droit de la mer – Convention de Montego Bay (CMB) du 10 décembre 1982. Elle reprend et complète les dispositions essentielles des conventions de Paris de 1884 sur la protection des câbles sous-marins et de Genève de 1958 sur le droit de la mer. La CMB fournit une division juridique de la mer en plusieurs espaces maritimes, le régime juridique international applicable étant différent dans chacun de ces espaces (4). La mer territoriale (5) fait partie intégrante du territoire souverain des Etats. En conséquence, l’Etat côtier a le droit de légiférer et règlementer la pose de câbles dans cette zone. La pose de câbles sous-marins dans la mer territoriale est souvent soumise à une autorisation administrative de l’autorité compétente pour l’utilisation du domaine public maritime. A tout le moins, les Etats côtiers exigent une demande formelle de pose de câble sous-marin émise par le poseur avec l’assistance du propriétaire du câble sous-marins. Cette autorisation peut également être assortie du paiement d’une taxe ou redevance. Ainsi, en France, la redevance applicable aux câbles sous-marins posés dans les eaux sous souveraineté française est établie par mètre linéaire de câble (6). Au-delà de la mer territoriale, la CMB pose un principe de liberté selon lequel tous les Etats ont le droit de poser des câbles sousmarins sur le plateau continental (7) – fonds marins et leur sous-sol au-delà de la mer territoriale de l’Etat côtier (8) – et dans la zone économique exclusive (ZEE) (9). Cependant, cette liberté reste soumise aux pouvoirs réservés à l’Etat côtier qui peut prendre des mesures raisonnables pour protéger ses îles artificielles, ouvrages et installations déployées dans ces zones ou pour garantir l’exercice de son droit d’exploration et d’exploitation du plateau continental (10).
En principe, l’Etat côtier ne devrait pas soumettre la pose de câbles sous-marins à une autorisation dans cette zone. Il peut en revanche demander à ce que le tracé des câbles sousmarins dans cette zone lui soit communiqué. Il pourra ainsi demander sa modification le cas échéant. En conséquence, dans cette zone, la pose de câble est libre en prenant en compte les droits et obligations de l’Etat côtier.
La liberté en matière de pose de câbles sous-marins n’est totale qu’en haute mer ou dans les eaux internationales – tout l’espace maritime qui s’étend au-delà de la ZEE et du plateau continental (11) – où tous les Etats, côtiers ou non, ont « la liberté de poser des câbles et des pipelines sous-marins » (12).

Droits régional, national et privé
Les sources internationales du droit applicable aux câbles sous-marins sont complétées par un ensemble de sources régionales, bilatérales et multilatérales.
Droit régional. Des organismes régionaux se sont intéressés à l’encadrement des câbles sous-marins en formulant des lignes et directives à l’attention de leurs Etats membres. Tel est le cas de la Communauté économique des Etats de l’Afrique de l’Ouest (CEDEAO) qui à travers un règlement de 2012, a adopté un ensemble de règles fixant les conditions d’accès aux stations d’atterrissement des câbles sous-marins (13). Ainsi, en son article 4.1, le règlement impose aux Etats membres d’encourager l’octroi des licences aux nouvelles stations d’atterrissement des câbles sousmarins. Afin de favoriser un accès équitable à la bande passante, les Etats membres doivent veiller, lorsqu’ils attribuent des licences aux opérateurs, à y insérer des dispositions sur l’accès ouvert aux stations d’atterrissement de câbles et sur la mise à disposition de capacités internationales sur une base non discriminatoire (14).
Certaines conventions bilatérales et multilatérales organisent également les rapports des Etats en matière de pose de câbles sous-marins. On pourra citer, à titre d’exemple, l’accord conclu en 2009 entre l’Estonie, la Lettonie la Lituanie et la Suède prévoyant la construction d’un câble sous-marin à haute tension sous la mer Baltique.

La régulation nationale s’assouplie
Droit national.
Les réseaux de câbles sous-marins sont soumis au droit international, mais sont également encadrés par les législations nationales. Dans l’ordre interne, les Etats souverains soumettent la pose, l’atterrissement et l’exploitation des câbles sous-marins à divers régimes juridiques. Les câbles sous-marins sont ainsi régis par divers domaines de droit, en particulier, le droit des communications électroniques (s’agissant de réseaux de communications électroniques), le droit public et immobilier (notamment les règles du domaine public maritime), le droit environnementale (notamment des études l’impact sur l’environnement, le milieu marin ou autre), le droit de la propriété industrielle (droit d’inventeur), le droit de la cybersécurité, le droit de la défense et le droit pénal (dont les sanctions en cas de détérioration du réseau).
Ainsi, en France, la pose des câbles sous-marins s’apparente à l’utilisation du domaine public maritime. Or, il résulte de l’article L.2124-3 du code général de la propriété des personnes publiques (CGPPP) que de telles utilisations doivent se faire par le biais de concessions d’utilisation du domaine public (15). Il existe toutefois une procédure permettant d’obtenir de simples autorisations temporaires lorsque le projet de câble n’a pas vocation à être ouvert au public par exemple. En vertu du CGPPP, la demande doit être adressée au préfet maritime du département dans lequel la pose du câble doit s’opérer et, lorsque la demande concerne plusieurs départements, un seul préfet chargé de coordonner l’instruction de la demande sera nommé suivants les dispositions du décret de 2004 relatif aux pouvoirs des préfets (16).
Aujourd’hui, les législations nationales en matière de pose de câbles sous-marins s’assouplissent de plus en plus dans le but d’offrir le cadre juridique le plus attractif possible pour favoriser l’implantation de nouveaux câbles sous-marins. Cette tendance s’illustre en France par la circulaire du Secrétaire général de la mer du 13 novembre 2020 (17) qui a pour but de rationaliser les procédures administratives en matière de câbles sous-marins de communication. Cet effort de simplification est très bienvenu pour les porteurs de projets de câbles sous-marins internationaux. La complexité d’un dossier n’est pas seulement technique, les négociations peuvent être longues avec les gouvernements et toutes les parties prenantes. Toute initiative visant à faciliter le déploiement du câble sera prise en considération par les propriétaires de câbles pour définir les points d’atterrissage.
Droit privé. Le propriétaire privé d’un câble sous-marin est souvent une entreprise unique, comme c’est le cas du câble sous-marin Equiano de Google, ou bien un consortium d’entreprises, comme pour les câbles « 2Africa », « Africa-1 » ou « ACE ». Le projets de déploiement de câble sous-marin entraînent une architecture contractuelle assez complexe, à commencer par l’accord de confidentialité, suivi par : le protocole d’accord ou Memorandum of Understanding (MoU) ; le Joint Build Agreement (JBA) régissant les relations entre les différents entités faisant partie d’un consortium ; le contrat de construction et maintenance (C&MA) ; le Joint System Maintenance Document (JSMD) expliquant les aspects techniques et de sécurité du câble sous-marin ; le contrat de construction de la branche ; le contrat d’atterrissement (LPA/LSA) ; les accords de croisements d’autres câbles ou de pipelines préexistants.
Quant à la protection des câbles sous-marins, elle résulte d’un régime défini par la Convention internationale relative à la protection des câbles sous-marins signée à Paris en 1884. La CMB (Convention de Montego Bay) reprend certaines de ces dispositions et prévoit notamment l’obligation pour les Etats de sanctionner la détérioration ou la rupture d’un câble (18). Cependant, les mesures de protection prévues dans ces textes ne sont pas suffisantes face aux menaces et à l’importance critique de ces infrastructures. Les câbles sous-marins ont ainsi été des cibles en temps de guerre. La convention de Paris de 1884 laissait une liberté d’action aux belligérants en temps de guerre. Ceux-ci pouvaient alors sectionner des câbles sous-marins. La convention de Paris n’offrait de protection aux câbles sous-marins qu’en dehors des temps de guerre. Cette protection a été reprise par la CMB. Le Comité international de protection des câbles créé en 1958 poursuit cette oeuvre de protection en édictant des recommandations internationales pour l’installation, la protection et la maintenance des câbles.

Guerres : renforcer le cadre juridique
En août 2014, la Russie a sectionné des câbles sous-marins ukrainiens au cours de l’opération d’annexion de la Crimée. L’intensité du conflit en cours entre l’Ukraine et la Russie et la menace d’une occupation par la Russie d’Odessa, le plus grand port maritime d’Ukraine, fait ressurgir les craintes liées au risque de section des câbles sous-marins. Dans ce contexte, il est essentiel de renforcer le cadre juridique protégeant les câbles sous-marins. L’exercice ne sera pas facile, étant donnée la nature hybride de ces infrastructures qui peuvent être utilisées à des fins tant civiles que militaires. @