Archives par mot-clé : DSA

Protection des données : après 5 ans de mise à l’épreuve du RGPD, son réexamen sera le bienvenu

Publié le par

En attendant le réexamen en 2024 du règlement sur la protection des données (RGPD), les entreprises peinent à remplir certaines de leurs obligations, comme celle de transparence envers les utilisateurs, et doivent faire face au détournement du droit d’accès aux données et à la déferlante de l’IA.

Par Sandra Tubert, avocate associée, Algo Avocats

Entré en application le 25 mai 2018, deux ans après son entrée en vigueur afin de laisser aux entreprises le temps nécessaire pour se mettre en conformité, le règlement européen sur la protection des données (RGPD) affichait des objectifs ambitieux (1). La couverture médiatique dont il a fait l’objet a permis de sensibiliser les Européens à la protection de leurs données à caractère personnel, mais également au RGPD de s’imposer comme une référence pour les Etats étrangers ayant adopté une loi similaire. Pour autant, avec un recul d’un peu plus de cinq ans, le RGPD peine à remplir pleinement certains des objectifs fixés.

Internautes concernées mieux informés
Dans la lignée de la directive « Protection des données personnelles » de 1995 qui l’a précédée (2), le RGPD n’a pas choisi la voie de la patrimonialisation des données à caractère personnel. Le législateur européen n’a en effet pas créé de droit à la propriété sur les données à caractère personnel, mais s’est plutôt orienté vers une approche de protection des données permettant aux personnes concernées d’avoir une certaine maîtrise de l’utilisation faite de leurs données à caractère personnel. Deux objectifs principaux ont été associés à cette approche : renforcer la transparence sur les traitements réalisés et fournir des droits supplémentaires aux personnes concernées. C’est ainsi que le RGPD est venu renforcer l’obligation faite aux responsables du traitement de fournir une information détaillée sur les traitements mis en œuvre (3). L’objectif affiché était louable : une transparence accrue afin de permettre aux individus de comprendre en amont l’utilisation envisagée de leurs données par les entreprises et ainsi d’en avoir la maîtrise en leur laissant la possibilité d’effectuer un choix éclairé : refuser la communication de leurs données, s’opposer à certains traitements, ou bien encore donner leur consentement à la réalisation de certaines activités.
En pratique, les entreprises ont l’obligation de fournir l’intégralité des informations prévues par le RGPD de façon concise, transparente, compréhensible et aisément accessible, en utilisant des termes clairs et simples. Or répondre à ces impératifs de manière conforme à ce qui est attendu par les autorités de contrôle – comme la Commission nationale de l’informatique et des libertés (Cnil) en France – est l’une des premières difficultés que cinq ans de pratique du RGPD ont fait émerger. En effet, les organisations ont des difficultés à concilier les exigences de fourniture d’une information exhaustive et très technique – notamment concernant les bases légales du traitement et les garanties fondant les transferts des données hors de l’Union européenne (4) – avec celles de clarté et de concision. Ainsi, au titre des effets pervers de cette obligation de transparence accrue, les citoyens européens font face à des politiques de confidentialité toujours plus longues, rédigées en des termes trop techniques ou trop juridiques. De l’autre côté, les autorités de protection des données n’hésitent pas à sanctionner les manquements à cette obligation, puisque le « défaut d’information des personnes » figure parmi les manquements les plus fréquemment sanctionnés par la Cnil (5).
Cette obligation a été couplée à la fourniture de droits supplémentaires aux personnes, toujours dans une optique de leur offrir une meilleure maîtrise de leurs données. En pratique, le RGPD a repris les droits existants depuis la directive « Protection des données personnelles » (droits d’accès, de rectification, d’opposition), consacré le droit d’effacement (6) et créé de nouveaux droits (droits à la limitation du traitement et à la portabilité des données). La sensibilisation du grand public à l’existence de ces droits, grâce notamment aux actions de la Cnil et au traitement médiatique, ont eu pour effets la réception, par les entreprises, de demandes fondées sur les droits issus du RGPD de plus en plus nombreuses. Par ricochet, les autorités de protection des données ont, elles aussi, vu le nombre de plaintes déposées auprès de leurs services augmenter considérablement (7). Ainsi, la Cnil a reçu 12.193 plaintes en 2022 contre 7.703 en 2016. L’objectif fixé par le RGPD semble donc atteint sur ce point.

Droit d’accès : instrumentalisation
Néanmoins, ces dernières années ont également été témoin du détournement du droit d’accès, aussi bien dans la sphère sociale que commerciale. En effet, les entreprises reçoivent de plus en plus de demandes de droit d’accès dont l’objectif n’est pas de vérifier l’existence et la licéité du traitement des données, mais au contraire de se constituer des preuves dans le cadre d’un précontentieux ou d’un contentieux à l’encontre de l’entreprise. Cette instrumentalisation est parfaitement connue des autorités qui ont toutefois réaffirmé (8) que, dans le cadre de l’évaluation des demandes reçues, le responsable du traitement ne devait pas analyser l’objectif du droit d’accès en tant que condition préalable à l’exercice de ce droit et qu’il ne devait pas refuser l’accès au motif que les données demandées pourraient être utilisées par la personne pour se défendre en justice. Les entreprises n’ont ainsi d’autres choix que de donner suite à ces demandes, en restreignant la nature des données communiquées aux seules données relatives à la personne concernée et en veillant à ne pas porter atteinte aux droits des tiers (9).

Des obligations de sécurité renforcées
La protection des données à caractère personnel passant nécessairement par la sécurité de celles-ci, le RGPD est venu renforcer les obligations à la charge des entreprises au moyen de deux mécanismes assez efficaces : l’obligation pour les responsables du traitement de notifier les violations de données aux autorités de contrôle (10), voire directement aux personnes concernées, respectivement lorsqu’elles présentent des risques ou des risques élevés pour les personnes; l’obligation pour les responsables du traitement et les sous-traitants (11) de mettre en œuvre des mesures de sécurité appropriées aux risques présentés par le traitement.
Il est assez difficile de déterminer si les objectifs de sécurisation des données fixés par le RGPD sont atteints. Néanmoins, dans un contexte où les attaques par rançongiciel (ransomware) se multiplient chaque année (12), les autorités de contrôle sont particulièrement vigilantes quant au respect de ces deux obligations. En témoigne notamment le fait qu’en 2022, un tiers des sanctions prononcées par la Cnil concernait un manquement à l’obligation de sécurité. Ce même manquement a conduit cette dernière à prononcer sa première sanction publique à l’encontre d’un sous-traitant (13), un éditeur de logiciel, pour un montant de 1,5 million d’euros. Elle n’a pas non plus hésité à sanctionner une entreprise qui n’avait pas informé les personnes concernées de la violation de données intervenue, alors qu’elle présentait un risque élevé pour ces dernières.
Sur le respect de l’obligation de notification des violations de données, il est assez difficile de tirer de réels enseignements des chiffres disponibles, même si l’on constate des disparités importantes quant au nombre de notifications de violation de données réalisées chaque jour en fonction des pays. A titre d’exemple, il y a environ 14 notifications par jour en France, contre 27 notifications par jour au Royaume-Uni.
Cette disparité se retrouve également dans le nombre de sanctions prononcées chaque année par les autorités de contrôle et l’approche suivie par ces dernières. Si l’autorité espagnole prononce énormément de sanctions, l’autorité irlandaise est régulièrement épinglée (y compris par ses homologues) pour sa clémence et le peu de sanctions prononcées depuis l’entrée en application du RGPD, alors même qu’elle fait office d’autorité chef de file de la plupart des GAFAM (14). C’est finalement sur ce point que le RGPD peine à convaincre et à remplir pleinement ses objectifs, à savoir inciter les entreprises à se mettre en conformité au moyen d’un arsenal répressif dissuasif. En effet, à l’exception des quelques fortes sanctions (dont la dernière en date de 1,2 milliard d’euros à l’encontre de Meta), prononcées principalement à l’encontre des GAFAM et des géants du Net, les sanctions à l’encontre des sociétés sont moins fréquentes que ce qui était escompté par les associations de protection des données. Et les montants des sanctions financières sont assez éloignés des montants maximums encourus (4 % du chiffre d’affaires mondial consolidé). En France, en dehors des sanctions prononcées à l’encontre des GAFAM (dont beaucoup pour des manquements en matière de cookies, non régulés par le RGPD) et très récemment de Criteo (40 millions d’euros), le montant des sanctions prononcées par la Cnil sur le fondement du RGPD oscille depuis cinq ans entre 125.000 et 3 millions d’euros (15).
L’association Noyb (16), à l’origine de nombreuses sanctions prononcées en Europe au cours des cinq dernières années, dénonce une certaine résistance des autorités de contrôle et des tribunaux nationaux dans l’application effective du RGPD (17). Elle appelle à suivre l’initiative de la Commission européenne d’adopter un règlement sur les règles de procédure relatives à l’application du RGPD (18), ce qui permettrait selon Noyb d’uniformiser l’approche procédurale des autorités et ainsi de favoriser une meilleure application du RGPD.
Par ailleurs, si les entreprises ont pu craindre la multiplication des actions de groupe en matière de protection des données, cette modalité d’action est à l’heure actuelle peu utilisée par les associations de protection des données. En France, seulement deux actions de groupe ont été portées devant les juridictions : l’ONG Internet Society France contre Facebook et l’association UFC-Que-Choisir contre Google. Ce qui pourrait changer au regard des dernières annonces faites par Noyb suite à l’entrée en application des dispositions issues de la directive « Recours collectifs » de 2020 (19).

Vers un réexamen du RGPD en 2024
Enfin, le paysage législatif européen pourrait également avoir un impact sur l’application du RGPD. En effet, plusieurs textes européens adoptés récemment (DSA, DGA) ou en cours d’adoption (DA, AIA) ont des champs d’application recoupant celui du RGPD, ce qui va notamment nécessiter de veiller à garantir leurs bonnes articulations. A cette occasion, ou au titre de l’article 97 du RGPD (réexamen tous les 4 ans à compter du 25 mai 2020), il serait souhaitable de voir le législateur européen adresser certaines des difficultés rencontrées par les entreprises dans la mise en application pratique du RGPD. @

Carte d’identité numérique européenne : c’est parti

Publié le par

En fait. Le 16 mars, le Parlement européen a adopté la décision de la commission parlementaire d’engager des « négociations » (trilogues) sur l’identité numérique européenne qui consistera à créer un portefeuille électron

En clair. Le coup d’envoi des « négociations interinstitutionnelles » en vue d’instaurer une identité numérique européenne – désignée parfois par « eID » – pour chacun des citoyens des Vingt-sept a été donné par le Parlement européen réuni en séance plénière le 16 mars. Il s’agit pour cette phase de « trilogues » – dont la première réunion tripartite (1) s’est tenue le 21 mars – de trouver un accord politique sur un cadre réglementaire entourant un système de portefeuilles électroniques à puce. Ces e-wallets nationaux seront émis par chaque Etat membre mais interopérables à travers l’Union européenne (UE). Les Européens pourront ainsi avoir dans leur smartphone – a priori dès 2024 – toute leurs données personnelles, de l’état civil (nom, prénom, date de naissance, nationalité, …) au certificat de naissance en passant par son dossier de santé ou encore le permis de conduire. Ils se serviront de leur carte d’identité numérique pour : s’identifier en ligne ou hors ligne (prouver l’identité d’une personne sur Internet sans mot de passe), conserver et échanger des informations fournies par des administrations publiques ou des acteurs privés dignes de confiance, ou encore utiliser ces informations afin d’attester de leur droit de résider, de travailler ou d’étudier dans un Etat membre (authentification transfrontière). Les e-portefeuilles faciliteront par exemple aussi la demande d’un prêt auprès de banques (2). Pour l’UE, il s’agit d’un enjeu de souveraineté visà-vis des GAFAM qui, en tant que très grandes plateformes et conformément au règlement européen DSA (3), devront faire en sorte de reconnaître ces e-wallets européens. Ce sera particulièrement le cas pour Google, Amazon, Facebook ou encore Apple, dont les systèmes d’identification seront ainsi concurrencés. Rien n’empêcherait alors d’obliger les réseaux sociaux de vérifier l’âge des adolescents (de 13 ans) sur présentation de l’e-wallet européen.
Proposé en juin 2021 par la Commission européenne pour compléter le règlement dit « eIDAS » de 2014 sur « l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur » (4), ce nouveau cadre « eID » a déjà été adopté par le Conseil des ministres de l’UE en décembre dernier. Les négociations porteront notamment sur le niveau de sécurité qui sera plus élevé que, par exemple, système national France Connect (5). @

La Chine est le premier pays à s’attaquer aux « deepfake », ces contenus hyper-truqués à l’IA

Publié le par

Depuis le 10 janvier 2023, en Chine, le règlement « Deep Synthesis Provisions » est entré en vigueur pour réguler voire interdire les « deepfake » créés à l’aide de l’intelligence artificielle en détournant textes, images audios et/ou vidéos. Ces créations hyperréalistes prennent de l’ampleur.

Le président ukrainien Volodymyr Zelensky a expliqué l’an dernier dans une vidéo qu’il avait capitulé face aux russes et qu’il appelait les soldats de son pays à déposer les armes (1). L’acteur américain Morgan Freeman s’est exprimé en 2021 sur la chaîne YouTube néerlandaise Diep Nep pour dire : « Je ne suis pas Morgan Freeman. Ce que vous voyez n’est pas réel » (2). Car ces vidéos et de nombreuses autres postées sur les réseaux sociaux – lorsque ce ne sont pas des textes, des images ou des podcasts – sont des « deepfake », des contenus entièrement manipulés et détournés à l’aide de l’intelligence artificielle (IA) et l’apprentissage machine (AM).

La Chine devance les USA et l’UE
Le résultat est vraisemblable et bluffant. L’année 2023 pourrait être celle de l’explosion de ces vidéos truquées hyperréalistes. Les Etats-Unis ont commencé à légiférer par endroits (Californie, New York, Virginie, Texas) contre les abus des deepfakes – nom composé de deep learning et de fake news. Le Parlement européen devrait bientôt examiner en séance publique la proposition de règlement « Artificial Intelligence Act » (3) mise sur les rails il y a vingt mois (4). Mais c’est la Chine qui vient de devancer l’Occident en faisant entrer en vigueur le 10 janvier 2023 un règlement applicable à l’ensemble de l’Empire du Milieu.
Le texte composé de 25 articles est surnommé le « Deep Synthesis Provisions » (5) et s’applique désormais à toute la filière des fournisseurs de « synthèse profonde » (deepfake). Son entrée en vigueur est l’aboutissement d’un processus qui avait commencé après un discours du président Xi Jinping (photo) devant le Politburo en octobre 2021 où il mettait en garde contre « les symptômes malsains et incontrôlés » de l’économie numérique. C’est le Cyberespace Administration of China (CAC), en cheville avec les ministères de l’Industrie et des Technologies de l’information (MIIT) et de la Sécurité publique (MPS), qui a été à la manoeuvre. Le CAC a été chargé d’élaborer ce règlement « Deep Synthesis Provisions », dont la première version a été publiée il y a un an (fin janvier 2022) à l’occasion d’une consultation publique d’un mois. La version finale a été publiée fin novembre dernier. « Les services qui offrent un dialogue intelligent, des voix synthétisées, la génération de visages, des scénarios de simulation immersive, etc., pour générer ou modifier considérablement la fonction du contenu d’information, devraient être marqués de façon significative pour éviter la confusion ou l’identification erronée du public. », explique le CAC dans un communiqué du 11 décembre (6). La Chine définit la technologie de synthèse profonde comme celle qui utilise l’apprentissage profond (deep learning), la réalité virtuelle et d’autres algorithmes synthétiques pour produire du texte, des images, de l’audio, de la vidéo, des scènes virtuelles ou en 3D, et d’autres informations réseau. Les fournisseurs de services de synthèse approfondie sont tenus de désigner les entreprises qui offrent des services, logiciels et supports techniques. La responsabilité incombe aux prestataires de services de synthèse profonde en matière de sécurité des données et de protection des informations personnelles, de transparence (notamment en établissant des lignes directrices, des critères et des processus pour reconnaître les informations fausses ou préjudiciables), et de gestion de contenu et étiquetage (étiquettes ou logos).
Les dispositions du règlement « Deep Synthesis Provisions » s’appuient sur un règlement « Online Audio and Video Information Services » (7) de 2019 qui interdit sur Internet l’utilisation de photos, d’audios et de vidéos générés par ordinateur pour produire ou diffuser des fausses nouvelles. Mais comme dans le reste du monde, il sera difficile de faire la part des choses, entre fake news et parodie. La censure chinoise ajoute une corde à son arc.
Quoi qu’il en soit, Pékin prend très au sérieux la menace des deepfakes, y compris des algorithmes (8), à l’heure où la bataille commerciale exacerbée avec Washington fait rage sur fond de guerre en Ukraine déclenchée par sa voisine et amie la Russie.

La notion de « contenus illicites » du DSA
En attendant l’adoption du règlement « Artificial Intelligence Act », l’Europe s’est dotée du Digital Services Act (DSA) qui entre en vigueur en 2023. Il prévoit notamment que les plateformes numériques « lutte[nt] contre la diffusion de contenus illicites en ligne et contre les risques, pour la société, de diffusion d’informations trompeuses » (considérant 9), la notion (vague ?) de « contenus illicites » étant mentionnée dans au moins huit articles du DSA (9) – mais sans qu’il y soit question explicitement de deepfake. Avec son « Deep Synthesis Provisions », la Chine a pris de l’avance et pourrait être suivie par d’autres pays autoritaires. @

Charles de Laubier

Différence entre les blocages de TeamAlexandriz (2021) et de Z-Library (2022) : le rôle de l’Arcom

Publié le par

Prise le 25 août 2022 par le tribunal judiciaire de Paris, la décision de blocage des adresses Internet de Z-Library – vaste bibliothèque en ligne – est applaudie par les maisons d’édition en France. Mais le piratage d’ebooks, avec ses sites miroirs désormais listés par l’Arcom, est sans frontières.

Orange, Bouygues Telecom, SFR et Free sont obligés rendre inaccessible sur l’Hexagone la bibliothèque en ligne Z-Library, condamnée pour contrefaçon de livres numériques. Edition Multimédi@ a constaté que le blocage sur les « box » de ces fournisseurs d’accès à Internet (FAI) était effectif : « Désolé, impossible d’accéder à cette page », nous a confirmé le navigateur en voulant par exemple aller sur « fr.z-lib.org » ou sur « http://z-lib.org ». Le jugement du 25 août 2022, que nous nous sommes procurés (1), liste 209 noms de domaine de Z-Library à rendre inaccessibles « pendant une durée de 18 mois ». Sont ainsi neutralisés autant de sites dits « miroirs » permettant jusqu’alors d’entrer dans cette bibliothèque parallèle géante, qui est une des multiples déclinaisons de Library Genesis d’origine russe.

Listes noires des sites et des miroirs
Le Syndicat national de l’édition (SNE) et une douzaine de maisons d’édition (Actes Sud, Albin Michel, Cairn, Editis, Hachette Livre, Humensis, Lefebvre-Sarrut, LexisNexis, Madrigall, Maison des Langues, Odile Jacob, et les Presses de Science Po) avaient attaqué le 29 juin 2022 le site web Zlibrary devant le tribunal judiciaire de Paris, dans le cadre d’une procédure accélérée au fond. Vingt-cinq jours après le rendu de la décision de blocage (le temps que la signification du jugement aux FAI soit faite aux interressés), le SNE s’est notamment félicité des « nouvelles prérogatives confiées à l’Arcom en matière d’extension du blocage à tout lien redirigeant vers une réplique de site bloqué ».
Et pour cause, l’Autorité de régulation de la communication audiovisuelle et numérique (née de la fusion entre le CSA et l’Hadopi) se retrouve aux avant-postes de la lutte contre le piratage en ligne. Et ce, depuis la promulgation il y a presqu’un an de la loi du 25 octobre 2021 « relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique » (2). C’est cette loi « Anti-piratage » qui a porté sur les fonts baptismaux législatifs l’Arcom – présidée par Roch-Olivier Maistre (photo) jusqu’en janvier 2025 – en lui attribuant de nouveaux pouvoirs de régulation, notamment en la chargeant de constituer « une liste » – surnommée, hors texte de loi, « liste noire » – des « services porta[n]t atteinte, de manière grave et répétée, aux droits d’auteur ou aux droits voisins ». En outre, l’Arcom a le pouvoir supplémentaire de « lutte contre les sites miroirs ». Ainsi, la loi « anti-piratage » a rajouté une disposition « sites miroirs » dans le code de la propriété intellectuelle (CPI) qui permet à « un titulaire de droits partie à la décision judiciaire » – par exemple l’un des douze maisons d’édition dans l’affaire « ZLibrary » – de saisir l’Arcom pour lui demander de mettre à jour la décision de blocage avec les nouvelles adresses Internet des sites miroirs. En l’occurrence, le blocage à effectuer par les FAI devra suivre l’évolution de la liste noire qui dépassera sûrement les 209 noms de domaine initialement identifiées. Pour l’heure, dans l’affaire « Z-Library », la décision de justice a été rendue le 25 août 2022 : il ne reste plus qu’à un ayant droit concerné de saisir l’Arcom en s’appuyant sur l’article L. 331-27 du CPI. Que dit-il ? « Lorsqu’une décision judiciaire passée en force de chose jugée a ordonné toute mesure propre à empêcher l’accès à un service de communication au public en ligne en application de l’article L. 336-2 [du CPI, nous y reviendrons, ndlr], l’Autorité de régulation de la communication audiovisuelle et numérique [Arcom], saisie par un titulaire de droits partie à la décision judiciaire, peut demander à toute personne visée par cette décision (…) d’empêcher l’accès à tout service de communication au public en ligne reprenant en totalité ou de manière substantielle le contenu du service mentionné par ladite décision ». Bref, toute nouvelle apparition d’un site miroir lié de près ou de loin à la plateforme pirate condamnée devra faire aussi l’objet d’un blocage de la part non seulement des quatre principaux opérateurs télécoms français mais aussi des moteurs de recherche ou des annuaires de référencement (si le juge le décide).
Pour ce faire, c’est l’Arcom qui communiquera « précisément » à tous ces acteurs « les données d’identification du service en cause » à bloquer et à déréférencer. La loi « anti-piratage » prévoit même que l’Arcom passe des accords avec« les ayants droit et toute personne susceptible de contribuer à remédier aux atteintes aux droits d’auteur et droits voisins en ligne » pour déterminer notamment les conditions d’« information réciproque » sur l’existence de tout site miroir.

Saisines « L. 336-2 » et « L. 331-27 »
L’Arcom peut en outre – « en cas de difficulté » – demander aux services de communication au public en ligne de se justifier. En lisant la fin de l’article L. 331-27 du CPI, l’on comprend implicitement que l’Arcom peut saisir, « en référé ou sur requête », l’autorité judiciaire pour « ordonner toute mesure destinée à faire cesser l’accès à ces services ». Cette saisine-là peut se faire « sans préjudice de la saisine prévue à l’article L. 336-2. ». Il y a donc deux types de saisine des tribunaux pour faire bloquer et déréférencer des sites web pirates d’œuvres ou d’objets protégés par le droit d’auteur : la saisine « L. 336-2 » par des titulaires de droits, leurs ayants droit, des organismes de gestion collective, des organismes de défense professionnelle, ou même par le CNC – le Centre national du cinéma et de l’image animée (3) ; la saisine « L. 331-27 » par l’Arcom (bien que cela ne soit pas clairement spécifié dans le texte de loi) lorsqu’elle-même est saisie par un titulaire de droits concerné par la décision judiciaire rendue à l’issue de la première saisine. Cette justice à deux détentes (liste noire initiale des sites web à neutraliser, liste noire mise à jour avec les sites miroirs) tend vers le black-out – total ? – de la plateforme incriminée. Prochains : Pirate Library Mirror, Bookys, … « Ce succès collectif vient conclure l’expérimentation inédite de cette procédure pour le livre, et ouvre la voie à de nouvelles actions – des éditeurs et du SNE – de blocage et de déréférencement, rapides et systématiques, contre des sites web proposant des contenus illicites violant le droit d’auteur », a prévenu le syndicat présidé par Vincent Montagne (PDG du groupe franco-belge Média-Participations).
Autant lors de la précédente affaire « Team Alexandriz », dont les responsables ont été condamnés au pénal en mai 2021 au bout de dix ans de procédure judiciaire (4), les sites miroirs passaient sous les radars, autant depuis la loi « Anti-piratage » d’octobre 2021 permet aux ayants droit et à l’Arcom d’agir devant la justice contre la résurgence de sites miroir dans une même affaire de type « Z-Library ». « Se présentant “comme une bibliothèque gratuite depuis 2009”, mais proposant un modèle payant d’accès aux œuvres contrefaites, le site Z-Library accessible via de multiples adresses, proposait un accès à plus de 8 millions de livres – tous secteurs éditoriaux confondus – et 80 millions d’articles piratés », précise le SNE qui compte 700 éditeurs français adhérents. Le site Z-Library (ex-BookFinder ou BookFi, alias B.ok.cc), affichait, lui, avant d’être blacklisté, un catalogue de 11,1 millions de livres et plus de 84,8 millions d’articles. Quelques jours avant d’être bloqué par Orange, SFR, Bouygues Telecom et Free, cette « plus grandes bibliothèques en ligne dans le monde » lançait une « campagne de collecte » jusqu’au 1er octobre 2022 en guise d’« appel de fonds à tous ceux qui veulent contribuer encore plus au soutien et au développement de notre projet » (5). Certains internautes avisés peuvent contourner le blocage-filtrage par nom de domaine mis en place par les FAI (les DNS étant retirés de leurs répertoires d’adresses IP) et les principaux moteurs de recherche (déréférencement).
La précédente affaire « Team Alexandriz » avait été enclenchée il y a dix ans, avec là aussi la plainte du SNE, déposée en novembre 2012 avec six grands éditeurs français – Hachette, Editis, Gallimard, Albin Michel, La Martinière et Actes Sud. Le site qui se revendiquait comme le « n°1 sur les ebooks FR » avait cessé de fonctionner dès fin août 2013 mais la procédure judiciaire a continué pour s’éterniser près de dix ans (6), jusqu’à la condamnation pour contrefaçon de neuf des douze prévenus avec « circonstance aggravante de bande organisée ». Entre mai 2010 et juin 2013, était-il précisé, ce fut plus de 23.942 livres qui avaient été piratés, qu’il s’agisse de livres numériques sur lesquels les mesures de protection avaient été retirées ou de livres imprimés illégalement numérisés et corrigés (7). Certains responsables de Team Alexandriz ont écopé de peines d’emprisonnement avec sursis et le tribunal a condamné les neuf à « 10.000 euros de dommages et intérêts pour chaque éditeur et pour le SNE, en réparation du préjudice subi ». C’est relativement peu au regard de la peine maximale qu’ils encouraient : trois ans d’emprisonnement et de 300 000 euros d’amende, selon l’article L335-4 du CPI (8).
Avec la loi « Anti-piratage » et le renfort de l’Arcom dans les actions judiciaires en « procédure accélérée », le SNE et les maisons d’éditions disposent désormais d’un double-levier procédural à leur disposition. A qui le tour : à Pirate Library Mirror ? Ce site web déclare : « Nous violons délibérément la loi sur le droit d’auteur dans la plupart des pays. (…) Miroir – Nous sommes strictement un miroir des bibliothèques existantes. (…) La première bibliothèque que nous avons reflétée est Z-Library. C’est une bibliothèque populaire (et illégale). Ils ont pris la collection Library Genesis et l’ont rendue facilement consultable » (9). Ou bien à Bookys ? Ce site web le reconnaît : « En rendant le téléchargement gratuit, Bookys enfreint les règles de protection des droits d’auteurs » (10).
Reste que la portée de ces condamnations au pénal pour contrefaçon a ses limites puisque celles-ci ne s’appliquent qu’en France. Alors que les sites et de leurs sites miroirs présumés pirates sont sans frontières. Le règlement européen sur les services numériques – le DSA (Digital Services Act) – est sur le point d’entrer en vigueur. Il prévoit lui aussi le blocage mais sur décision d’un juge. Ce ne seront ni les FAI, ni les plateformes numériques, ni les régulateurs qui peuvent bloquer d’eux-mêmes les contenus piratés.

Frontières : vers un blocage européen
L’affaire « Z-Library » apparaît comme un marqueur dans l’histoire de la lutte contre le piratage de contenus protégés. Du moins en France, en attendant des actions au niveau européen lorsque le DSA sera pleinement applicable. Si les livres numériques sont concernés par cette décision de blocage du 25 août 2022, à laquelle l’Arcom contribue devant la justice avec la mise à jour de sa liste des sites miroirs et d’éventuels nouveaux recours, le nouvel arsenal judicaire est à la disposition de toutes les industries culturelles : livre mais aussi musique, cinéma, retransmissions sportifs, ou encore jeux vidéo. @

Charles de Laubier

Et si les réseaux sociaux étaient régulés par l’intelligence collective de la seule société civile

Publié le par

« Nous sommes les réseaux sociaux » est un essai de Serge Abiteboul, un des sept membres du collège de l’Arcep, et de Jean Cattan, secrétaire général du Conseil national du numérique (CNNum). Ils prônent « une véritable régulation-supervision » des réseaux sociaux « opérée par la société ».

Paru le 7 septembre 2022 aux éditions Odile Jacob, le livre de Serge Abiteboul (photo de gauche) et de Jean Cattan (photo de droite) – intitulé « Nous sommes les réseaux sociaux » – propose un nouveau modèle de régulation des Facebook, Twitter et autres TikTok. « Entre la censure excessive et le laisser-faire, une autre voie est possible, plus démocratique, plus participative », assurent-ils. Au bout de 250 pages (1), ils lancent un appel : « Une véritable régulation supervision opérée par la société nous paraît souhaitable. Une telle initiative permettrait d’animer un débat citoyen pour choisir la modération que nous souhaitons ».

Les risques d’un Etat « modérateur »
« Oui à une régulation fondée sur un débat citoyen, une régulation par la société », prônent Serge Abiteboul et Jean Cattan, respectivement membre du collège de l’Arcep et secrétaire général du Conseil national du numérique (CNNum). Cette régulation-supervision par la société gagnerait ainsi «sa légitimité à imposer aux réseaux sociaux une modération raisonnable qui donnerait à tous les moyens de s’exprimer dans le respect de chacun ». Et de prendre en exemple Wikipedia : l’encyclopédie en ligne montre qu’« il est possible d’exercer collectivement une forme d’intelligence de modération qui fonctionne », en tirant parti des « dynamiques collectives vertueuses ». Jimmy Wales, le fondateur de Wikipedia (2), a d’ailleurs lancé en 2019 un réseau social qu’il décrit comme « non-toxique » : WT.Social (3). L’intelligence collective des internautes en guise de régulation des réseaux sociaux serait elle la solution ? L’autorégulation par les plateformes elles-mêmes montre ses limites ; la censure stricte des contenus porte atteinte à la liberté d’expression et à la liberté d’informer ; la modération rigoriste freine l’émergence de nouvelles idées. Par conséquent, une régulation-supervision par la société semble la bonne voie : « Nous sommes les réseaux sociaux », titrent justement les auteurs de cet essai.
Mais cette régulation-supervision doit-elle se faire par l’intelligence collective de la société civile elle-même et, donc, sans l’intervention d’une autorité de régulation relevant d’un Etat, ou bien faudrait-il que cette régulation-supervision soit encadrée par les pouvoirs publics (gouvernement, régulateur, législateur, justice, …) ? Serge Abiteboul et Jean Cattan rejettent d’emblée – et c’est heureux – la voie d’une régulation tout-étatique : « Une régulation-supervision qui consacrerait un tête-à-tête entre l’Etat et le réseau social ne serait pas (…) à l’abris d’un rejet de la société ». Ils prônent donc « une véritable contribution (…) de la société à la modération [qui] serait non seulement gage d’une plus grande acceptabilité mais surtout d’une plus grande qualité ». Pour autant, les deux auteurs écartent implicitement la voie – pourtant possible – d’une régulation-supervision par la seule société civile, à la manière de Wikipedia dont ils parlent – et où ce sont les 103,9 millions d’individus contributeurs et les 3.762 administrateurs, au 20 septembre 2022 (4), qui ont voix au chapitre et non les régulateurs ni les gouvernements.
Au lieu de cela, le membre de l’Arcep et le secrétaire général du CNNum retiennent plutôt une approche à la manière de la « Mission Facebook ». A savoir : « Que les réseaux sociaux entrent dans un dialogue politique informé avec toutes les parties prenantes [gouvernement, législateur, justice, entreprises, société civile, …], collectivement ». Cette idée d’une « corégulation entre les plateformes et les autorités publiques » avait été évoquée par Mark Zuckerberg, PDG cofondateur de Facebook, et Emmanuel Macron, le président de la France, lors de leur rencontre en 2018 (5). Le rapport de la « Mission Facebook », remis par Macron à Zuckerberg le 17 mai 2019 à l’Elysée (6), a inspiré l’Europe sur certains points du DSA (Digital Services Act) : comme la « supervision » des moyens mis en œuvre par les plus grandes plateformes numériques – celles présentant un « risque systémique » – pour modérer les contenus nocifs. Mais le DSA, lui, n’associe pas directement la société civile et les internautes.

Europe : l’acte manqué du DSA
La « régulation-supervision » reste entre les mains de la Commission européenne (sur les très grandes plateformes), le nouveau Comité européen des services numériques (sur les services intermédiaires) et les régulateurs nationaux (en fonction du pays d’origine). La société civile, elle, reste absente de cette régulation-supervision des réseaux sociaux. « Un tel cadre [associant la société civile] pourrait enrichir le DSA [et] s’appliquer aussi au DMA [Digital Markets Act, ndlr], permettant ainsi à toute la société de participer à l’élaboration des objectifs de régulations », concluent les auteurs. En France, le Conseil d’Etat vient de recommander d’« armer la puissance publique dans son rôle de régulateur » (7) des réseaux sociaux… @

Charles de Laubier