Présenté par la Commission européenne le 15 décembre 2020, le paquet législatif « DSA & DMA » – visant à réguler Internet en Europe, des réseaux sociaux aux places de marché – relève d’un exercice d’équilibriste entre régulation des écosystèmes et responsabilités. Son adoption est espérée d’ici début 2022.
Archives par mot-clé : Internet
Clubhouse veut devenir le « Facebook » vocal
En fait. Le 1er février, le milliardaire Elon Musk, patron de Tesla et de SpaceX, a déclaré oralement sur l’application Clubhouse : « Le bitcoin est une bonne chose ». Cela a fait non seulement fait bondir le cours de la cryptomonnaie mais aussi tourner les projecteurs sur Clubhouse. Ce futur « Facebook » vocal donne de la voix.
Conseil supérieur de la propriété littéraire et artistique, le CSPLA a vingt ans et veut étendre son influence
Méconnu du grand public, le CSPLA conseille – depuis l’année 2000 – le ministère de la Culture, dont il dépend, sur le droit d’auteur et les droits voisins à l’ère du numérique. Cette instance consultative atteint cette année les 100 membres et veut se faire entendre en Europe. Sa séance plénière du 15 décembre est la 40e !
Le Conseil supérieur de la propriété littéraire et artistique (CSPLA), présidé depuis deux ans par Olivier Japiot (photo), veut passer à la vitesse supérieure et étendre son influence, y compris au niveau européen. Evoluant dans l’ombre de la direction générale des médias et des industries culturelles (DGMIC) du ministère de la Culture, avec laquelle il occupe les locaux de l’immeuble des Bons enfants, rue Saint-Honoré à Paris (1), cette instance consultative sur le droit d’auteur et les droits voisins à l’ère de l’Internet entend donner un coup de projecteur sur ses travaux et rapports qui sont publiés à un rythme soutenu. Rien que pour sa prochaine séance plénière, la 40e, qui se tient ce 15 décembre, sont présentés pas moins de quatre rapports : celui sur les outils de reconnaissance des contenus et des œuvres sur Internet, au regard de la transposition de la directive européenne de 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique ; celui sur l’exception au droit d’auteur pour les fouilles de textes et de données, ou text and data mining, à des fins de recherche scientifique voire d’intelligence artificielle ; celui sur le contrat de commande rémunérant en droit d’auteur le temps de travail lié à l’activité créatrice des artistes auteurs ; celui enfin sur la preuve de l’originalité de l’oeuvre pour que celle-ci puisse bénéficier de la protection légale pendant la durée de son « monopole ».
Piratage en ligne et article 17 européen : le CSPLA est aux avant-postes
« Nous publierons donc cinq rapports cette année, en comptant celui sur la réalité virtuelle et la réalité augmentée publié cet été », indique Olivier Japiot à Edition Multimédi@. L’an dernier, le CSPLA avait aussi été productif, avec pas moins de quatre rapports : les ventes passives, l’intelligence artificielle, les outils de reconnaissance des contenus (premier rapport précédant le second présenté ce 15 décembre, tous deux réalisés avec l’Hadopi et le CNC), et les services de référencement automatique d’images sur Internet. Ce dernier rapport avait, lui, débouché sur un projet de taxe « Google Image » (7) qui cherche encore son véhicule législatif. « Parmi mes priorités pour 2021, il y a la poursuite des études prospectives concernant l’impact des nouvelles technologies sur le droit d’auteur, comme l’illustre la mission que je viens de lancer sur les systèmes de recommandation d’œuvres sur les plateformes en ligne », explique le conseiller d’Etat. Pour autant, certains s’interrogent sur l’existence même du CSPLA : la sénatrice centriste Françoise Férat a demandé à la ministre de la Culture Roselyne Bachelot – dont elle attend la réponse (9) – s’il ne fallait pas le supprimer « dans un souci de rationalisation des dépenses publiques et de simplification administrative ». Selon elle, l’Hadopi (dont la fusion avec le CSA est prévue) et le Conseil national du numérique (CNNum) « couvrent une partie de ses compétences ».
Influencer la Commission européenne et d’autres
Le CSPLA, dont le budget est pris en charge par l’Etat et la rue de Valois, a atteint cette année les 100 membres exactement (dont 38 suppléants), à la suite d’un arrêté aoûtien (10) qui élargit le champ de compétences des « personnalités qualifiées » (PQ) et crée une nouvelle catégorie de « membres d’honneur » afin de mettre à des PQ comme l’avocate Josée-Anne Bénazéraf, son confrère Jean Martin et au professeur Pierre Sirinelli de continuer à collaborer aux travaux. A part cette faveur, pas d’évolution. La recommandation du rapport Racine de renforcer la représentation des auteurs (artistes auteurs) n’a pas été suivie d’effet, relève ActuaLitté (11). S’il n’y a aucun salarié au CSPLA, son président, lui, touche une indemnité, laquelle – depuis un décret pris en plein confinement (12) – ne sera plus forfaitaire mais« ajustée en fonction de la complexité et du temps requis par la fonction ».
C’est qu’Olivier Japiot entend bien continuer à faire exister plus que jamais le CPLA jusqu’à la fin de son mandat présidentiel de trois ans qui s’achèvera en novembre 2021, nous disant d’ailleurs disposé à être renouvelé. Il compte développer des coopérations avec d’autres organismes, comme avec l’Hadopi – dont est membre du collège Alexandra Bensamoun, une des PQ du CSPLA – et le CNC sur la reconnaissance des contenus protégés sur Internet. Par exemple, «un travail commun sur l’impression 3D a également pu être conduit avec l’Institut national de la propriété industrielle (INPI) ». Il a en outre opéré des « rapprochements » avec, cette fois, le CNNum. Il s’agit aussi de rayonner à l’international. « La plupart des nouveaux rapports sont désormais traduits en anglais afin de mieux faire connaître nos analyses et propositions novatrices à nos partenaires à l’étranger », comme avec l’Organisation mondiale de la propriété intellectuelle (OMPI) et la Commission européenne.
Hasard du calendrier : c’est justement ce 15 décembre que la Commission européenne présente son paquet législatif pour mieux réguler l’économie numérique, composé du Digital Services Act (DSA) et du Digital Market Act (DMA). En ligne de mire : les géants du numérique en général et les GAFA en particulier, qui, en tant que « plateformes structurantes », seront soumis à de nouvelles règles et « responsabilités systémiques ». Ces propositions DSA et DMA, qui doivent être encore débattues courant 2021 par le Parlement européen, remettent notamment en cause pour les plateformes numériques leur statut protecteur d’hébergeur – que leur octroie depuis vingt ans la directive européenne « E-commerce » – et pour les acteurs dominants leurs pratiques non-transparentes et anticoncurrentielles. C’est dans ce contexte de réglementation accrue du marché unique numérique que le CSPLA enchaîne missions et rapports sur des questions liées au « copyright », et notamment au moment crucial où la Commission européenne s’apprête à publier ses lignes directrices (guidance) sur les modalités de mise en œuvre du blocage de contenus – dans la lutte contre le piratage sur Internet – que prévoit l’article 17 controversé de la directive européenne sur le droit d’auteur et les droits voisins dans le marché unique numérique. « L’élaboration de cette directive a été inspirée (…) par les travaux du CSPLA, en particulier notre rapport sur les outils de reconnaissance automatique d’œuvres protégées sur les plateformes de partage, celui sur l’exploration et la fouille de données ou encore ceux sur le droit voisin des éditeurs de presse », se félicite Olivier Japiot dans l’introduction du rapport d’activité 2019 du CSPLA, mis en ligne le 7 décembre dernier (13). Cette directive « Copyright » (14) doit être transposée au plus tard le 7 juin 2021. La France est le premier Etat membre à le faire, par ordonnance et via un nouveau « projet de loi sur l’audiovisuel et la lutte contre le piratage » annoncé pour 2021. Publié l’été dernier par la Commission européenne, le projet de guidance (15) sur l’article 17 a provoqué une levée de boucliers des industries culturelles sur la question du blocage des contenus. Le 10 septembre dernier, les autorités françaises (16) et l’Hadopi (17) ont critiqué l’approche de la Commission européenne, laquelle est soucieuse d’éviter un filtrage automatique et généralisé des contenus sur Internet en instaurant un distinguo entre contenus « vraisemblablement contrefaisants » et ceux « vraisemblablement légitimes ».
Lignes directrices « préoccupantes », selon le CSPLA
Il s’agit pour la Commission européenne de trouver un point d’équilibre et des exceptions au droit d’auteur pour ne pas sacrifier la liberté d’expression, de création et d’information – dont la citation, la critique, la revue, la caricature, la parodie ou le pastiche (dixit l’article 17) – sur l’autel de la propriété intellectuelle. Travaillant en amont pour le gouvernement, le CSPLA a, lui, a regretté dans une note préparatoire – révélée par Next Inpact le 2 décembre dernier (18) – que la Commission européenne « esquiss[e] des lignes directrices qui réserveraient les blocages aux seuls cas de certitude de contrefaçon, et en donnant à la protection des exceptions […] une place centrale au détriment de l’effectivité des droits ». Ce que nous confirme Olivier Japiot : « Certaines orientations paraissent en effet préoccupantes ». Le rapport du CSPLA sur les outils de reconnaissance des contenus au regard de l’article 17, réalisé avec l’Hadopi et le CNC et présenté ce 15 décembre en séance plénière, servira aussi à mettre en garde la Commission européenne avant qu’elle ne mette un point final à ses lignes directrices. @
Charles de Laubier
Fréquences 5G : en plus des 2,7 milliards d’euros, les opérateurs verseront 1 % de leur chiffre d’affaires
Les lauréats Orange, SFR, Bouygues Telecom et Free Mobile, qui peuvent utiliser leurs fréquences 5G depuis le 18 novembre, verseront entre 2020 et 2034 une « redevance fixe » totale de plus de 2,7 milliards d’euros à l’Etat. Mais aussi « redevance variable » de 1 % de leurs revenus mobiles, dont ceux de la publicité et des contenus.
Au total, les quatre lauréats des premières fréquences 5G en France – bande des 3,4 à 3,8 Ghz dite « bande coeur », en attendant cette des 26 Ghz dite « bande pionnière » – devront verser à l’Etat une redevance fixe de précisément 2.789.096.245 euros. Celle-ci est exigible en plusieurs parts entre 2020 et 2034. Mais ce n’est pas tout : Orange, SFR, Bouygues Telecom et Free Mobile verseront en plus chaque année une redevance variable égale à 1 % du chiffre d’affaires réalisé sur ces fréquences, comme c’est le cas sur les fréquences 3G et 4G.
Taxe de 1 % des revenus 5G durant 15 ans
C’est Orange qui paiera la redevance fixe la plus élevée, à savoir 854 millions d’euros. Vient ensuite SFR (groupe Altice) avec 728 millions d’euros. Free Mobile arrive en troisième position avec 605 millions d’euros. Bouygues Telecom ferme le ban avec 602 millions d’euros à débourser. Ce qui fait, pour ces fréquences 5G, un total de redevance fixe supérieur à 2,7 milliards d’euros. Mais ce n’est pas un record en France. A titre de comparaison : les fréquences 4G dans les bandes 800 Mhz et 2.6 Ghz avaient rapporté 3,6 milliards d’euros en 2012, et les 700 Mhz avaient rapporté 2,98 milliards en 2015 (1).
L’Etat français, dont le chef actuel est Emmanuel Macron (photo), est loin d’empocher les quelque 6,5 milliards d’euros obtenus par l’Allemagne de ses enchères 5G, certes avec plus de fréquences mises en vente. L’Italie a aussi récolté la même somme record.
Pour s’acquitter de leur redevance fixe d’ici à 2034 pour leurs fréquences 5G dans la bande 3,4-3,8 Ghz, les quatre opérateurs mobiles français doivent débourser trois fois, conformément à un décret « Redevances » (2). L’autorisation d’utilisation des fréquences attribuée en 2020 porte sur l’exploitation d’un réseau mobile en France métropolitaine pendant une durée initiale de quinze ans. La redevance pour chaque opérateur mobile se décompose en deux parts fixes et une part variable.
• La première part fixe correspond au montant déterminé par le résultat de la phase d’attribution des blocs de 50 Mhz dans la bande 3,5 Ghz en France métropolitaine pour établir et exploiter un système mobile terrestre. Ainsi, chacun des quatre opérateurs mobiles doit s’acquitter de la même somme, à savoir 350 millions d’euros payables « en quinze parts égales sur quinze ans ».
• La deuxième part fixe correspond, elle, au montant déterminé par le résultat des enchères principales et de positionnement dans le cadre de l’attribution d’autorisations d’utilisation de fréquences. Orange devra s’acquitter de 504 millions d’euros, SFR de 378 millions d’euros, Bouygues Telecom de 252 millions d’euros et Free Mobile de 252 millions d’euros. Ces sommes-là sont exigibles « en quatre parts égales sur quatre ans ». A noter que Free Mobile est le seul à payer 3 millions d’euros supplémentaires (3 096 245 euros) à l’issue de « l’enchère de positionnement » pour permettre de positionner les fréquences de chacun des lauréats (3). Orange, SFR et Bouygues Telecom, eux, ne paient rien.
• La part variable, quant à elle, est versée annuellement et correspond à une taxe de 1% du montant total du chiffre d’affaires annuel réalisé avec les fréquences 5G. Un acompte provisionnel est versé avant le 30 juin de l’année en cours – en l’occurrence d’ici le 30 juin 2021. Le décret « Redevances » précise que ce « chiffre d’affaires » sur lequel sera prélevé ce 1 % ne comprend pas les revenus de la vente de terminaux.
Cette taxe porte en revanche sur les recettes d’exploitation (hors taxes) « réalisées grâce à l’utilisation des fréquences allouées » : recettes de fourniture de service téléphonique et de transport de données aux clients directs et indirects, et celles réalisées par les entreprises dont l’opérateur détient le contrôle ou qui sont contrôlées par une société détenant également le contrôle de l’opérateur, ainsi que les recettes liées à l’interconnexion (à l’exclusion des appels issus d’un autre réseau mobile titulaire d’une autorisation en France), et celles issues des clients en itinérance sur le réseau de l’opérateur.
Pub, contenus ou services mis à contribution
Entrent enfin en ligne de compte les recettes perçues par l’opérateur sur les services ou les prestations fournis à des tiers en rapport avec les services précédents, « en particulier les prestations publicitaires, de référencement ou la perception de commissions dans le cadre du commerce électronique ». Sont aussi pris en compte les revenus tirés des mises en service et des raccordements au réseau, et ceux liés à « la vente de services (y compris la fourniture de contenus) dans le cadre d’une transaction vocale ou de données » – étant même précisé que « les reversements aux fournisseurs de services sont déduits de ces recettes ». Et même « éventuellement tout nouveau service utilisant les fréquences considérées ». @
Charles de Laubier
Données de connexion et usage d’algorithmes : les lois françaises en violation des droits fondamentaux
La justice européenne a déclaré illégales les dispositions françaises sur la conservation des données de trafic et de localisation par les opérateurs télécoms, ainsi que par les hébergeurs. Elle a aussi fourni une feuille de route sur l’utilisation de « boîtes noires » dans la lutte contre le terrorisme.
Par Winston Maxwell*, Telecom Paris, Institut polytechnique de Paris
La Cour de justice de l’Union européenne (CJUE) a, le 6 octobre 2020 (1), mis fin à un débat qui existe depuis le 8 avril 2014, date à laquelle elle avait annulé la directive de 2006 sur la conservation des données de trafic (2), estimant que celle-ci était contraire à la Charte des droits fondamentaux de l’UE (3). La CJUE a jugé que cette directive créait une atteinte disproportionnée au droit à la protection des données personnelles parce qu’elle exigeait la conservation généralisée et indifférenciée des données de trafic de l’ensemble de la population.
La France n’a pas (encore) bougé
La CJUE est intervenue une deuxième fois en 2016, annulant les dispositions britanniques et suédoises sur la conservation des données de trafic, précisant de nouveau qu’une obligation de conservation généralisée et indifférenciée était incompatible avec cette même Charte des droits fondamentaux (4). Malgré ces deux décisions de la justice européenne, la France n’a pas bougé, préservant sa législation qui impose, d’une part, la conservation par les opérateurs de communications électroniques des données de connexion et de localisation, et, d’autre part, la conservation par les hébergeurs des données relatives à l’identification des utilisateurs et à leurs activités sur les plateformes numériques.
En plus, après les attentats terroristes de 2015, la France a introduit de nouvelles mesures permettant aux autorités d’utiliser des « boîtes noires » pour analyser l’ensemble des données de trafic des réseaux. Et ce, afin de détecter des signaux faibles de projets terroristes.
La Quadrature du Net (5) a contesté l’ensemble de ces mesures devant le Conseil d’Etat, et celui-ci a envoyé plusieurs questions préjudicielles à la CJUE. Devant cette dernière, le gouvernement français a d’abord défendu sa législation sur le fondement de l’article 4 du Traité sur l’UE qui précise que la protection de la sécurité nationale relève de la compétence exclusive de la France. A titre subsidiaire, le gouvernement français a soutenu que la lutte contre le terrorisme justifiait des mesures de surveillance plus intrusives qu’en matière de criminalité simple, et que les dispositions françaises devaient dès lors être validées compte tenu du risque accru du terrorisme.
Sur le premier point, la CJUE a confirmé que le droit de l’UE ne s’appliquait pas aux activités de renseignement et de protection de la sécurité nationale entreprises par l’Etat lui-même. En revanche, lorsque l’Etat impose aux entreprises privées des obligations telles que la conservation de données, le droit de l’UE s’applique, même s’il s’agit de mesures destinées à lutter contre le terrorisme. Par conséquent, la jurisprudence de la CJUE dans les affaires précitées de 2014 « Digital Rights Ireland » et de 2016 « Tele2 Sverige et Watson » s’applique pleinement à la France.
La CJUE a été d’accord avec la France sur la nécessité d’accorder une marge de manœuvre plus grande aux Etats membres en matière de protection de la sécurité nationale, car la menace est d’une toute autre nature qu’en matière de criminalité. Pour apprécier la proportionnalité de différentes mesures de surveillance, la CJUE établit trois niveaux de gravité :
• Le premier niveau est la protection de la sécurité nationale, y compris la lutte contre le terrorisme. Selon la CJUE, « la prévention et la répression d’activités de nature à déstabiliser gravement les structures constitutionnelles, politiques, économiques ou sociales fondamentales d’un pays, et en particulier à menacer directement la société, la population ou l’Etat en tant que tel », peut justifier une atteinte plus forte aux droits fondamentaux et, notamment, une obligation généralisée de conserver des données de trafic et de localisation. Mais cette obligation ne peut être justifiée que pendant une période limitée durant laquelle il existerait des « circonstances suffisamment concrètes permettant de considérer que l’Etat (…) fait face à une menace grave » pour sa sécurité nationale. Une commission indépendante ou un tribunal doit valider l’existence d’une telle menace.
Les trois niveaux de gravité
• Le deuxième niveau de gravité concerne la lutte contre la criminalité grave et les menaces graves contre la sécurité publique. Pour ce niveau, une obligation de conservation systématique et continue de données est exclue. Selon la CJUE, il faudrait qu’il existe un lien, même indirect, entre les données dont la conservation est demandée, et la détection ou la répression d’un crime grave. Ainsi, les demandes de conservation de données de trafic et de localisation doivent être ciblées, concernant un groupe particulier de personnes, ou une zone géographie à risque, par exemple les données de trafic autour d’une gare. En revanche, s’il s’agit uniquement des adresses IP, ceux-ci peuvent être stockés de manière généralisée, selon la justice européenne.
• Le troisième niveau concerne toutes les formes de criminalité. Seul le stockage des données relatives à l’identité civile des utilisateurs peut être envisagé. La conservation d’autres données est exclue.
Cette approche graduée découle naturellement de la jurisprudence de la CJUE en matière de proportionnalité – plus la menace pour l’Etat et les citoyens est élevée, plus le niveau d’ingérence avec la vie privée peut être élevé.
Algorithmes de détection en temps réel
La France devra donc réécrire ses lois pour introduire une différenciation entre les menaces graves pour la sécurité nationale (menaces de niveau 1), menaces graves pour la sécurité publique et lutte contre la criminalité grave (menaces de niveau 2), et lutte contre la criminalité ordinaire (menaces de niveau 3). A chaque niveau correspondra des règles adaptées en matière de conservation des données.
L’autre leçon de la décision de la CJUE concerne la régulation des algorithmes utilisés par l’administration française pour détecter des projets terroristes. Depuis la loi de 2015 sur les techniques de renseignement (6), les services spécialisés – désignés par décret en Conseil d’Etat – ont la possibilité de procéder à l’analyse automatique des données de trafic et de localisation en temps réel afin de détecter des signaux faibles d’activités terroristes. Cette possibilité est strictement encadrée par la Commission nationale de contrôle des techniques de renseignement (CNCTR (7)), et la période d’expérimentation doit prendre fin le 31 juillet 2021. Le gouvernement a récemment proposé d’étendre la période d’expérimentation des algorithmes jusqu’à fin décembre 2021.
L’utilisation de l’intelligence artificielle pour lutter contre le terrorisme est controversée, car les algorithmes sont faillibles et peuvent tirer des conclusions erronées et discriminatoires. Dans sa décision du 6 octobre, la CJUE fournit une feuille de route sur la possibilité de déployer ces outils.
D’abord, la justice européenne confirme que l’analyse des données de trafic et de localisation en temps réel constitue une ingérence « particulièrement grave » avec la protection de la vie privée. Le déploiement d’un tel dispositif doit être prévu par une loi claire et précise qui définit les limites et les mesures de protection accompagnant le dispositif. La CJUE indique que le dispositif ne peut se justifier qu’en présence d’une menace grave pour la sécurité nationale qui s’avère « réelle et actuelle ou prévisible ». Un tribunal ou autorité administrative indépendante doit contrôler l’existence d’une telle menace, et ses décisions doivent avoir un effet contraignant. En ce qui concerne l’algorithme lui-même, les modèles et critères préétablis doivent être « spécifiques et fiables, permettant d’aboutir à des résultats identifiant des individus à l’égard desquels pourrait peser un soupçon raisonnable de participation à des infractions terroristes et, d’autre part, non discriminatoires ». Les modèles et critères préétablis ne peuvent se fonder seulement sur des données sensibles. Les termes utilisés par la CJUE suggèrent que l’algorithme pourrait éventuellement s’appuyer – en partie – sur des données sensibles, ce qui semble en contradiction avec le règlement général sur la protection des données (RGPD) en vigueur au niveau européen. La CJUE indique ensuite que tout algorithme comporte un taux d’erreur, et que tout résultat positif doit être soumis à un réexamen individuel par un analyste humain avant la mise en œuvre d’autres mesures de surveillance. Cette exigence de la CJUE pose la question de la compréhension de la recommandation algorithmique par l’analyste humain et sa capacité de contredire l’algorithme. Pour qu’il y ait une vraie intervention humaine, l’algorithme doit être en mesure d’expliquer pourquoi il a détecté des signaux faibles d’activités terroristes, et l’analyste humain doit être en mesure d’apporter une analyse critique par rapport à l’explication donnée par l’algorithme. Lorsque l’algorithme s’appuie sur des techniques d’apprentissage-machine (machine learning), de telles explications peuvent s’avérer difficiles. La CJUE impose un réexamen régulier de l’algorithme et les données utilisées pour garantir l’absence de discrimination et le caractère strictement nécessaire du dispositif à la lumière de la menace terroriste. La fiabilité et l’actualité des modèles et critères préétablis, et les bases de données utilisées, doivent également être revues régulièrement par une autorité de contrôle, soit une forme de suivi dynamique. Enfin, si l’algorithme débouche sur la surveillance plus poussée d’un individu, celui-ci doit être informé dès le moment où cette communication n’est pas susceptible de compromettre les missions incombant aux autorités.
Renseignement : la loi française à réécrire
Réunie le 7 juillet 2020, la commission de la Défense nationale et des Forces armées de l’Assemblée nationale a estimé que le recours aux algorithmes était utile et nécessaire dans lutte contre le terrorisme et devrait être pérennisé, voire étendu pour permettre l’analyse d’autres données, telles que des URL (8) de sites web consultés (9). Au moment de sa séance, la commission parlementaire avait connaissance de l’affaire pendante devant la CJUE et a reconnu que celle-ci pourrait avoir un profond impact sur les méthodes utilisées en France. Elle ne s’y est pas trompée : la décision du 6 octobre impose une réécriture de la loi française sur les techniques de renseignement. @
* Winston Maxwell, ancien avocat, est depuis juin 2019
directeur d’études Droit et Numérique à Telecom Paris.