Archives par mot-clé : Juridique

A défaut de grande réforme du quinquennat, le paysage audiovisuel français (PAF) entame sa mue

Publié le par

Alors que plus de soixante sénateurs ont saisi le 30 septembre 2021 le Conseil constitutionnel sur le projet de loi « Anti-piratage », adopté définitivement la veille par l’Assemblée nationale, la grande réforme de l’audiovisuel du quinquennat n’a pas eu lieu. Mais le gouvernement y est allé par touches.

Par Charles Bouffier, avocat counsel, et Cen Zhang, avocat, August Debouzy*

La réforme de l’audiovisuel, envisagée par le président de la République comme une des réformes majeures de son quinquennat, a fait preuve de résilience et d’adaptation pour surmonter la crise sanitaire et les bouleversements de l’agenda parlementaire qu’elle a engendrés. En effet, le gouvernement s’est adapté aux contraintes conjoncturelles. Et ce, après que l’examen de l’ambitieux projet de loi sur la régulation de l’audiovisuel à l’ère du numérique, qui promettait une modification profonde du paysage audiovisuel et numérique français, ait été interrompu dès le 5 mars 2020.

Le financement du cinéma français
Le gouvernement a entrepris de mener cette réforme de manière progressive, l’abordant sous différents angles et par le biais de plusieurs textes législatifs et règlementaires. La réforme de l’audiovisuel public, initialement envisagée, a été distraite de cet ensemble. Résultat : le 29 septembre 2021, un pilier majeur de la réforme de l’audiovisuel – le projet de loi sur « la régulation et la protection de l’accès aux œuvres culturelles à l’ère numérique » a définitivement été adopté à l’Assemblée nationale après son adoption au Sénat. Le vote de ce texte « Anti-piratage », qu’examine actuellement le Conseil constitutionnel saisi le lendemain par plus de soixante sénateurs, est l’occasion de dresser un panorama synthétique des dispositions phares de la réforme de l’audiovisuel et des prochaines étapes, qui cristallisent l’attention des professionnels du secteur et ont vocation à refaçonner le paysage audiovisuel français (PAF).
• Le décret SMAd. Les services de médias audiovisuels à la demande (SMAd) regroupent les services de vidéos à la demande par abonnement (SVOD), payants à l’acte ou gratuits, et les services de télévision de rattrapage (replay). Les SMAd – en particulier ceux établis à l’étranger, y compris dans un autre Etat membre de l’Union européenne – ont longtemps échappé à la réglementation française sur les services de médias audiovisuels, notamment en matière d’obligation de contribution financière à la production des œuvres ou de publicité. Comme la directive européenne « SMA » du 14 novembre 2018 l’a rendu possible, le décret SMAd (1) transposant cette directive vise à étendre la réglementation des services de médias audiovisuels aux SMAd, y compris aux services étrangers dès lors qu’ils visent la France. Entré en vigueur le 1er juillet 2021, il prévoit que les SMAd établis en France, dont le chiffre d’affaires annuel est supérieur à 1 million d’euros, doivent conclure une convention avec le Conseil supérieur de l’audiovisuel (CSA) précisant leurs obligations, notamment en matière de contribution au financement des œuvres (2). Pour ceux qui ne sont pas établis en France mais qui visent le territoire français, ils peuvent aussi conclure cette convention avec le régulateur. A défaut, ils communiquent à celui-ci les informations relatives à leur activité en France (3).
Concernant les plateformes de SVOD dont le chiffre d’affaires annuel est supérieur à 5 millions d’euros et la part d’audience supérieure à 0,5 %, elle doivent en consacrer entre 20 % et 25 % au financement de la production d’œuvres cinématographiques et audiovisuelles européennes ou d’expression originale française (4), dont une part importante à la production indépendante (5). Cette obligation de contribution au financement pèse également sur certains services de télévision de rattrapage et sur les services payants à l’acte (SVOD à l’acte) et gratuits (6). Quant aux plateformes de SMAd dont le chiffre d’affaires annuel est supérieur à 1 million d’euros et la part d’audience supérieure à 0,1 %, elles ont l’obligation d’inclure dans leur catalogue de films et d’œuvres audiovisuelles au moins 60 % d’œuvres européennes et 40 % d’œuvres françaises, tout en mettant en valeur ces œuvres (7). Enfin, le décret prévoit des dispositions ayant trait à la publicité, au téléachat et au parrainage applicables aux SMAd (8).

Meilleures fenêtres pour la SVOD
• L’accord attendu sur la chronologie des médias. Les fenêtres de diffusion successives sont convenues entre les professionnels du secteur et les éditeurs des services de médias. Elles sont rendues obligatoires en application du code du cinéma et de l’image animée définissant les délais à respecter pour l’exploitation d’un film sur différents supports après sa sortie en salle. L’ordonnance du 21 décembre 2020 a confirmé la volonté du gouvernement d’adapter la chronologie des médias pour répondre à l’évolution des modes de consommation des œuvres, en particulier de la VOD/SVOD (9). Cette adaptation constitue en outre une demande forte des SMAd, que ceux-ci estiment justifiée par les nouvelles obligations financières auxquelles ils sont assujettis. Par un décret du 26 janvier 2021, le gouvernement avait fixé le délai alloué aux professionnels du secteur pour trouver un nouvel accord sur la chronologie des médias (10) – à savoir au 31 mars 2021. Ce délai a été largement dépassé, les professionnels du secteur n‘étant toujours pas parvenus à un accord sur la nouvelle chronologie applicable.

Blocages sur la proposition du CNC
En l’état, proposé par le Centre national du cinéma et de l’image animée (CNC) le 19 juillet 2021 mais suscitant encore des résistances, le dernier projet d’accord en cours de discussion prévoit notamment : pour les services de télévision payants de cinéma (Canal+, OCS) respectant certaines conditions (accord avec les organisations professionnelles du cinéma, engagements financiers et de diffusion, versement des taxes au CNC, convention avec le CSA, …), une première fenêtre d’exploitation entre 6 et 9 mois à compter de la sortie en salle ; pour les plateformes de SVOD, par défaut, une fenêtre d’exploitation à 15 mois, ou une fenêtre d’exploitation plus courte à 12 mois (sous réserve du versement des taxes), pouvant être réduite jusqu’à 6 mois (11).
• Le Projet de loi « Anti-piratage ». Le projet de loi sur « la régulation et la protection de l’accès aux œuvres culturelles à l’ère numérique » (12), adopté définitivement le 29 septembre 2021, crée un nouveau régulateur en charge de l’audiovisuel et du numérique, tout en étoffant l’arsenal juridique contre le piratage des programmes audiovisuels, culturels et sportifs sur internet. Le Conseil constitutionnel a été saisi par soixante sénateurs, qui contestent notamment le mécanisme de sanction en cas de non-respect des obligations d’investissement dans la création audiovisuelle et cinématographique.
La principale réforme est la création de l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom), issue de la fusion à venir entre le CSA et l’Hadopi. Sa compétence élargie en matière de contenus audiovisuels et numériques portera sur : la protection des œuvres, la sensibilisation du public contre le piratage, l’encouragement au développement de l’offre légale, la régulation et la veille dans le domaine des mesures techniques de protection et d’identification des œuvres protégée, la protection des mineures, et la lutte contre les discours de haine en ligne et la désinformation. Outre les pouvoirs réglementaires et de sanction des deux autorités préexistantes, l’Arcom sera dotée de nouveaux pouvoirs de régulation, notamment de conciliation en cas de litige ou des pouvoirs d’enquête. Trois mécanismes majeurs viennent renforcer la lutte contre le piratage des œuvres :
• la « liste noire » des sites contrefaisants que l’Arcom pourra rendre publique, définie comme la liste des sites « portant atteinte, de manière grave et répétée, aux droits d’auteurs ou aux droits voisins », tandis que les annonceurs devront rendre publique, au moins une fois par an, l’existence de relations avec de tels sites ;
• le déréférencement des sites miroirs, l’Arcom pouvant se prévaloir d’une décision judiciaire pour demander d’empêcher l’accès à un site miroir ou de faire cesser le référencement du site concerné ;
• la lutte contre la « retransmission illicite des manifestations et compétitions sportives » (le « live streaming »), en procédure accélérée au fond ou en référé. Le projet de loi « Anti-piratage » vise également à protéger l’accès au patrimoine cinématographique français, en instaurant un régime de notification préalable, auprès du ministère de la Culture, des cessions envisagées de catalogues d’œuvres cinématographiques et audiovisuelles français. Le non-respect de cette obligation pourra entraîner une sanction pécuniaire dont le montant est proportionnel à la valeur des œuvres concernées.
• Les projets de décrets « TNT » et « Câble-satellite ». En cette fin de quinquennat, le gouvernement se penche en particulier sur la modernisation du régime applicable aux services de télévision diffusés par voie hertzienne (TNT) et des éditeurs de services de télévision distribués par les réseaux n’utilisant pas les fréquences assignées par le CSA. D’une part, le projet de décret TNT proposé par le ministère de la Culture (13) vise à moderniser le régime applicable aux éditeurs de services de télévision nationaux, en vue de réaliser un rééquilibrage de leurs droits et obligations, afin de tenir compte de la concurrence exercée par les services non linéaires (notamment les SMAd) et les acteurs extranationaux. Le projet de décret propose d’assouplir les obligations des services de télévision nationaux par une baisse de la part de production indépendante, un meilleur accès à la coproduction, et un élargissement du mandat de commercialisation des œuvres.

Décrets « TNT » et « Câble-Satellite » en vue
D’autre part, le nouveau décret « Câble-satellite » se substituera au décret « Câble-satellite » de 2010 et définit les obligations des éditeurs de services de télévision ou de radio diffusés via câble et satellite. Les chaînes seront notamment tenues de financer davantage la production française et européenne. Une nouvelle monture du texte est attendue, après la consultation publique en juillet 2021 (14). @

* Les auteurs remercient Myriam Souanef,
élève avocate, pour la qualité de ses recherches
et sa contribution à la rédaction de cet article.

Rançongiciels et « double extorsion » : le paiement de la rançon ne doit surtout pas être la solution

Publié le par

Les rançongiciels, en plein boom, constituent un fléau numérique mondial qui pourrait coûter en 2021 plus de 20 milliards de dollars de dommages – rançons comprises. Or payer les sommes exigées – sans résultat parfois – ne fait qu’alimenter un cercle vicieux que seul l’arsenal juridique peut enrayer.

Par Richard Willemant*, avocat associé, cabinet Féral

Selon l’Agence nationale de la sécurité des systèmes d’information (Anssi), un rançongiciel se définit comme une « technique d’attaque courante de la cybercriminalité [consistant] en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement » (1). Depuis plusieurs années, le monde entier connaît une augmentation exponentielle des cyberattaques par rançongiciels, marquée par une forte accélération ces derniers mois en pleine pandémie de covid-19 (2).

Ransomware-as-a-Service (RaaS)
Les signalements auprès de l’Anssi de ce type d’attaques informatiques ont en effet augmenté de près de 255 % en 2020 (3). Elles représentent une part substantielle des 3.000 notifications de violation de données (environ) qui sont régularisées auprès de la Commission nationale de l’informatique et des libertés (Cnil) chaque année (4). Ce véritable fléau numérique frappe tous les secteurs d’activités et tous les types d’acteurs économiques, y compris les plus sensibles, sans qu’aucune zone géographique ne soit épargnée. Cette tendance est facilitée par la disponibilité grandissante sur les marchés cybercriminels de solutions « clé en main » de type Ransomware-as-a-Service (RaaS) permettant, aux attaquants de type étatique ou hackers, de réaliser plus aisément des attaques massives ou ciblées. Si tous les acteurs économiques sont concernés, les spécialistes relèvent néanmoins une tendance accrue au ciblage d’entreprises, de collectivités publiques ou d’institutions particulières relevant du « Big Game Hunting » (chasse au gros gibier), en raison de leur taille, de leurs vulnérabilités – vraies ou supposées – et de l’impact médiatique (potentiel) d’une telle cyberattaque. L’actualité a été marquée, en pleine lutte contre le covid-19, par les attaques informatiques à l’encontre des hôpitaux qui sont devenus des cibles privilégiées. Le centre hospitalier de Dax (dans le sud de la France) a par exemple subi une attaque de grande ampleur, en février 2021, rendant indisponible l’ensemble de son système informatique, médical, comptable et de communication (5). Le système de santé irlandais (HSE) a également été victime d’un rançongiciel, en mai 2021 cette fois, conduisant à l’interruption de tous ses systèmes informatiques et notamment le système de prise de rendez-vous pour le dépistage du covid-19. Après avoir chiffré les données et bloqué les systèmes, l’attaquant aurait menacé de diffuser les données volées mais le Premier ministre irlandais a aussitôt déclaré que son pays ne paiera pas la rançon (6). Le monde a alors découvert, avec effroi, que les rançongiciels ne portent pas seulement atteinte aux données et à des valeurs économiques, mais qu’ils peuvent directement mettre en danger des vies humaines.
Le droit pénal et la procédure pénale en France sont d’ores et déjà pourvus en moyens de lutte. Les auteurs des attaques peuvent être poursuivis sur des fondements de droit commun et de droit spécial. En premier lieu, les faits relevant d’attaques par rançongiciel sont susceptibles de caractériser des infractions de droit commun, tels que le délit d’escroquerie (article 313-1 du code pénal) et le délit d’extorsion (article 312-1), réprimés par des peines principales d’emprisonnement respectivement de cinq ans et sept ans. Ces infractions peuvent éventuellement être commises et poursuivies avec la circonstance aggravante de bande organisée, étant précisé que dans cette hypothèse d’extorsion est alors un crime puni de vingt ans de réclusion criminelle et de 150.000 euros d’amende. En outre, ces attaques caractérisent des atteintes aux systèmes de traitement automatisé de données qui sont spécifiquement incriminées, au rang des infractions dites « informatiques », par les articles 323-1 à 323-8 du code pénal. Sont ainsi généralement constitués les délits d’accès et de maintien frauduleux dans un système de traitement automatisé de données, ainsi que le délit d’entrave et de faussement d’un système d’information, et le délit de modification frauduleuse de données, qui sont punis des peines principales de cinq ans d’emprisonnement et de 150.000 euros d’amende (sept ans de prison et 300.000 euros d’amende lorsque l’Etat est visé).

Un arsenal répressif et procédural
Il existe également une infraction d’association de malfaiteurs spéciale qui permet de poursuivre l’ensemble des personnes ayant participé à une entente en vue de préparer des cyberattaques. Ce délit spécifique est prévu par l’article 323- 4 du Code pénal et réprimé par la peine prévue par l’infraction la plus sévèrement réprimée commise par le principal auteur des faits. Tout cet arsenal répressif se conjugue avec des moyens procéduraux adaptés tenant compte de la portée et de l’intensité des atteintes qui requièrent souvent une coordination centrale des actions répressives. L’article 706- 72-1 du code de procédure pénale confie au procureur de la République, au pôle de l’instruction, au tribunal correctionnel et à la cour d’assises de Paris une compétence concurrente nationale en matière d’atteintes aux systèmes de traitement automatisé de données. Il existe en outre une section spécialisée au parquet de Paris, composée de magistrats consacrant leur quotidien à la lutte contre la cybercriminalité, ainsi que des bridages d’enquêteurs spécialisés de Police (OCLCTIC, BL2C) et de Gendarmerie (C3N).

Phénomène de la « double extorsion »
Le mode opératoire des cyberattaquants est marqué depuis 2019 par la prédominance d’un phénomène nommé « double extorsion », consistant à exercer une pression sur la victime en copiant ses données qui sont exfiltrées avant d’être cryptées, puis en menaçant de les publier sur Internet, afin de la conduire à payer la rançon. Dans cette hypothèse, la victime subit, d’une part, une privation de l’accès à ses données et souvent une indisponibilité de son système d’information et, d’autre part, une menace forte d’atteinte à sa réputation, à son image de marque, à la confidentialité à des données. Ces dernières peuvent être stratégiques, sensibles et relever du secret des affaires, outre qu’il peut s’agit de données à caractère personnel concernant notamment des salariés, des usagers ou des clients. La désorganisation de la victime du fait de l’indisponibilité de ses données se double alors de violences psychologiques d’une intensité considérable. C’est ce qui conduit, malheureusement, une part grandissante des victimes à s’incliner et à verser le montant de la rançon.
Or le paiement de la rançon aggrave souvent la situation : une très grande majorité des victimes d’attaque par rançongiciel qui paient la rançon sont la cible d’au moins une seconde attaque. Une étude menée au printemps 2021 montre même que la proportion des victimes qui aggraveraient ainsi leur sort en payant la rançon serait de 80 % au niveau mondial (7). Payer cette rançon n’est donc décidément pas la solution. Cela encourage évidemment les cybercriminels à poursuivre et multiplier leurs agissements. Et un paiement de la rançon ne garantit pas le décryptage des données : la promesse des pirates d’une remise de la clé de déchiffrement n’est pas toujours respectée, ou se trouve souvent conditionnée soudainement au versement d’une rançon complémentaire. Lorsque la victime dispose de la clé de décryptage, il est fréquent que les données soient endommagées et que leur restauration soit partielle, voire impossible. Seule une victime sur deux parvient à récupérer ses données sans aucune perte. Quant à la souscription d’une assurance contre les risques dits « cyber », elle n’est pas nécessairement une solution, notamment en raison des plafonds de garanties et des exclusions. En couvrant tout ou partie du montant de la rançon, ce type de police d’assurance alimenterait en outre le cercle vicieux qui conduit à une augmentation des attaques par rançongiciel. L’étude précitée mentionne d’ailleurs une autre source (8) montrant une progression vertigineuse du montant des rançons au cours des dernières années, passant de 6.000 dollars en 2028 à 84.000 dollars en 2019, avant de doubler en 2020 pour atteinte une moyenne de 178.000 dollars ! Et rien que sur le premier trimestre 2021, le montant moyen de la rançon atteint 220.298 dollars (9). Il convient de relativiser ces chiffres au regard des montants colossaux des rançons exigées dans le cadre de certaines attaques de grande envergure, pour celles qui sont rendues publiques. Selon les estimations (10), ce fléau mondial du ransomware devrait coûter 20 milliards de dollars en 2021 et grimper à 265 milliards de dollars en 2031.
Après que des cybercriminels aient piraté son réseau informatique, paralysant les livraisons de carburant sur la côte Est des Etats-Unis, la société américaine Colonial Pipeline a ainsi déclaré avoir payé une rançon en cryptomonnaie d’un montant de 4,4 millions de dollars en mai 2021, dont 2,3 millions récupérés par la suite avec l’aide du FBI (11). En juin 2021, la société JBS USA spécialisée dans l’agroalimentaire a, elle, payé une rançon d’un montant de 11 millions de dollars aux cybercriminels qui étaient parvenus à désorganiser plusieurs sites de production aux Etats-Unis et en Australie. Les sociétés Acer et Apple ont elles aussi été frappées, avec des demandes de rançons atteignant 50 millions de dollars.
Le lutte contre les attaques par rançongiciels suppose donc d’enrayer la logique actuelle de paiement des rançons qui produit des effets pervers et entretien le cercle vicieux de la cybercriminalité. Dans ce cadre, l’Union européenne – au travers du Cybercrime Centre de l’agence Europol – a créé en 2016 l’initiative « No More Ransom » (12), dont le but est notamment d’aider les victimes des rançongiciels à retrouver leurs données chiffrées sans avoir à payer les cybercriminels.

UE et USA : « No more ransom »
En juin 2021, face à l’ampleur du phénomène et aux montants considérables des rançons, en particulier dans les secteurs stratégiques, les Etats-Unis et l’Union européenne ont également pris une initiative commune visant à coordonner leurs actions de lutte. Les objectifs annoncés comprennent notamment des mesures répressives, une sensibilisation du public aux moyens de prévention, tout en encourageant la poursuite et la répression par tous les Etats concernés, en renforçant la coopération et l’entraide internationales. Le Trésor américain, lui, a annoncé le 21 septembre 2021 qu’il prenait « des mesures robustes pour contrer les rançongiciels » (13), notamment en s’attaquant aux devises virtuelles pour le blanchiment des e-rançons. @

* Richard Willemant, avocat associé du cabinet Féral, est avocat aux barreaux de Paris et du Québec, agent de marques, mandataire d’artistes et d’auteurs, médiateur accrédité par le barreau du Québec, délégué à la protection des données (DPO), cofondateur de la Compliance League, et responsable du Japan Desk de Féral.

Pourquoi WhatsApp a écopé en Europe d’une amende ré-évaluée à 225 millions d’euros

Publié le par

La « Cnil » irlandaise avait proposé fin 2020 à ses homologues européennes de mettre à l’amende WhatsApp et sa maison mère Facebook à hauteur de 30 à 50 millions d’euros. « Insuffisant ! », ont-elles estimé. Leur comité européen (CEPD) leur a donné raison et la note a plus que quadruplé.

La « Cnil » irlandaise, en l’occurrence la Data Protection Commission (DPC) dirigée par la commissaire Helen Dixon (photo de gauche), a annoncé le 2 septembre 2021 avoir infligé une amende de 225 millions d’euros à la société WhatsApp pour ne pas avoir respecté le règlement européen sur la protection des données personnelles (RGPD) – un record après la condamnation d’Amazon au Luxembourg à payer une sanction pécuniaire de 746 millions d’euros pour avoir aussi enfreint ce même RGPD.

Amende administrative insuffisante
WhatsApp devrait faire appel de cette décision. La filiale de Facebook, dont le siège européen est basé à Dublin (capitale de l’Irlande), a non seulement écopé d’une amende salée mais aussi reçu une « réprimande » – autrement dit un blâme – et une injonction de se mettre en conformité avec le RGPD (1), lequel est en vigueur depuis le 25 mai 2018. C’est d’ailleurs moins de six mois après cette date d’application que la « Cnil » irlandaise avait débuté son enquête (à partir du 10 décembre 2018) sur les pratiques de WhatsApp en termes de transparence des informations devant être fournies aux utilisateurs de cette messagerie instantanée comme aux non-utilisateurs du service.
« Cela comprend les informations fournies aux personnes concernées sur le traitement des données entre WhatsApp et d’autres entreprises Facebook [le réseau social Facebook, la plateforme de partage de photos et de vidéo Instagram, ou encore la messagerie Messenger, ndlr] », a précisé la DPC qui, conformément à l’article 60 du RGPD, s’est constituée en « chef de file » des autres autorités de contrôle (visà- vis donc des autres « Cnil » dans l’Union européenne) afin de « s’effor[cer] de parvenir à un consensus » entre elles. Après des mois d’enquête, la DPC avait soumis un projet de décision en décembre 2020 à toutes ses homologues européennes. Mais faut de consensus sur les objections de huit « Cnil » sur les vingt-sept, l’autorité irlandaise a déclenché le processus de règlement de différends le 3 juin dernier. Ce mécanisme de contrôle de la cohérence peu aboutir à ce que le Comité européen de la protection des données (CEPD) – ou European Data Protection Board (EDPB) – adopte une décision contraignante, comme ce fut le cas dans l’affaire « WhatsApp ». En effet, le 28 juillet 2021, cet organe européen indépendant présidé par Andrea Jelinek (photo de droite) – successeur du groupe de travail dit « Article 29 » sur la protection des données – a rendu sa décision. Notifiée à la « Cnil » irlandaise, celle-ci a été obligée « à réévaluer et à augmenter l’amende proposée sur la base d’un certain nombre de facteurs » détaillés dans la décision contraignante. C’est ainsi que la société WhatsApp Ireland Limited s’est vu imposer une amende de 225 millions d’euros. « Le CEPD charge la DPC de fixer un montant d’amende plus élevé pour les infractions constatées, par rapport à l’amende administrative envisagée dans le projet de décision, tout en restant conforme aux critères d’efficacité, la proportionnalité et la dissuasion », a notamment exigé le comité européen. Dans son projet de sanction établi en 2020, la « Cnil » irlandaise avait calculé son amende sur la base du chiffre d’affaires combiné du groupe Facebook (Inc.) et de sa filiale WhatsApp en Irlande pour l’année se terminant le 31 décembre 2019. Elle a cependant dû revoir à la hausse le montant, étant donné que sa décision finale allait intervenir cette année, donc devant se référer au chiffre d’affaires au 31 décembre 2020 – et en tenant compte de la hausse de 15 % environ de ces revenus annuels.
Quels sont les griefs faits à WhatsApp ? Plusieurs violations du RGPD ont été constatées non seulement pas la « Cnil » irlandaise mais aussi par ses homologues européennes qui ont obtenu auprès du CEPD un durcissement de la décision finale de la DPC sur certains points :
• Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée (article 13) : le CEPD charge la DPC de « constater dans sa décision finale qu’il y a eu infraction à [fournir les informations sur les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, ndlr (2)] » sur la base des insuffisances qu’elle a identifiées.

Anonymisation des données personnelles
En outre, le CEPD exige que la DPC inclue dans sa décision finale une constatation de violation – « au lieu de formuler une simple recommandation » – de l’obligation pour WhatsApp de fournir aux personnes concernées les informations complémentaires, notamment « sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données » (3) .
• Risques pour les libertés et droits fondamentaux des personnes concernées (article 4) : le CEPD conclut que le « tableau des hachures avec perte » (dans le cadre de la procédure dite de Lossy Hashing censée anonymiser les données personnelles), ainsi que les numéros de téléphone des utilisateurs associés en tant que liste de non-utilisateurs, constituent des données personnelles, et demande à la DPC de modifier son projet de décision en conséquence pour éviter un risques pour les libertés et droits fondamentaux des personnes concernées (4).

Objections et griefs des autres « Cnil »
De plus, le CEPD exige de la DPC qu’elle modifie son projet de décision « de manière à ce que le délai de six mois pour la conformité soit réduit à une période de trois mois » – à savoir a priori jusqu’au 2 décembre 2021 par rapport au 2 septembre de la décision finale.
• Principes relatifs au traitement des données à caractère personnel (article 5) : Compte tenu de la gravité, de la nature générale et de l’impact des infractions, la DPC est tenue d’inclure dans sa décision finale une constatation de violation du principe de transparence (5) selon lequel « les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ».
• Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée (article 14) : La DPC est tenue, là aussi, de modifier son projet de décision pour tenir compte du fait que la violation de l’obligation d’informations à fournir sur le traitement des données des non-utilisateurs sous la forme de listes de non-utilisateurs après la procédure d’anonymisation des données personnelles (Lossy Hashing).
• Concernant l’amende administrative : le CEPD charge la DPC de modifier son projet de décision afin de tenir compte du chiffre d’affaires total de toutes les sociétés composant l’entreprise unique Facebook (WhatsApp, Instagram inclus) pour calculer le montant de l’amende elle-même, et considérer la date de la décision finale (2021) à partir de laquelle les revenus de l’exercice précédent (2020) devrait être considéré.
• Concernant l’amende administrative (article 83) : la DPC a été contrainte d’amender son projet de décision afin de prendre également en compte les autres infractions – en plus de l’infraction la plus grave – dans le calcul de l’amende (6), sous réserve des critères d’efficacité, de proportionnalité et de dissuasion (7). Compte tenu du chiffre d’affaires annuel global de Facebook, ainsi que des infractions constatées et des facteurs aggravants correctement identifiés par la DPC, le CEPD a estimé que l’amende administrative initiale envisagée par la « Cnil » irlandaise – à savoir entre 30 et 50 millions d’euros – n’était pas suffisante et lui a demandé de la réévaluer. Pour autant, bien que les 225 millions d’euros représentent plus de quatre fois l’amende initialement envisagée par l’Irlande et qu’elle soit la deuxième plus élevée dans les sanctions pécuniaires sur les données personnelles en Europe, la somme à payer par Facebook ne représente que… 0,08 % de son chiffre d’affaires concerné. Mais pour la firme de Mark Zuckerberg, qui avait tenté en vain de bloquer l’enquête de la « Cnil » irlandaise devant la Haute cour de justice du pays, la sanction est jugée disproportionnée. « Le RGPD prévoit des amendes allant jusqu’à 4 % du chiffre d’affaires. Cela montre à quel point la DPC est encore extrêmement dysfonctionnelle », a taclé le 2 septembre l’Autrichien Max Schrems (photo ci-dessous), président de l’organisation à but non lucratif Noyb dont il est le fondateur (8).
Cette décision contraignante (9) adoptée par le CEPD dans la torpeur de l’été (le 28 juillet 2021 donc) a non seulement été adressée à la « Cnil » irlandaise mais aussi à ses homologues de l’Union européenne. La DPC a ainsi durci et annoncé sa décision finale rectifiée début septembre (10). La DPC avait un délai d’un mois à compter de la réception de la décision contraignante pour transmettre sa décision finale corrigée à la présidente du CEPD, actuellement Andrea Jelinek. La décision contraignante et la décision finale (11) qui en découle ont été rendues publiques (12).
Ce verdict à l’encontre de Facebook-WhatsApp fera date, en Europe mais aussi dans le monde. Cela restera un cas d’école pour tous les praticiens et les garants de la vie privée. Bien d’autre plaintes sont déjà sur le bureau de la DPC. Mais Facebook n’est pas au bout de ses peines, notamment depuis que WhatsApp a annoncé en début d’année à ses 2milliards d’utilisateurs de nouvelles conditions d’utilisation permettant – depuis mi-mai (13) – des transferts de données personnelles vers le réseau social.

Les « amis » consommateurs se rebiffent
C’est sur ces nouvelles règles controversées de WhatsApp que le Bureau européen des unions de consommateurs (Beuc) et huit de ses membres – dont l’association UFC-Que Choisir en France – ont déposé plainte contre la filiale de Facebook le 12 juillet dernier auprès de la Commission européenne et du CPC, réseau européen des autorités de consommateurs (14). Le Beuc accuse le numéro un mondial des réseaux sociaux de « violations multiples des droits des consommateurs de l’UE » et de « pressions indues sur ses utilisateurs pour qu’ils acceptent ses nouvelles conditions d’utilisation et sa politique de confidentialité » (15), alors qu’elles ne sont ni transparentes ni compréhensibles pour les internautes. @

Charles de Laubier

Live streaming et covid-19 en France : les enjeux juridiques du direct sans frontières sur Internet

Publié le par

La retransmission en direct sur Internet d’événements culturels, qu’ils soient spectacles vivants, concerts ou encore festivals, a explosé à l’ère des confinements. Si le live streaming ne date cependant pas d’hier, son avenir pourrait être mieux encadré par une réglementation et une jurisprudence.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

La crise sanitaire a bouleversé l’industrie audiovisuelle et établi de nouvelles façons d’accéder aux biens culturels, lesquelles sont susceptibles de perdurer, dont le live streaming. Son exploitation financière se heurte à une complexité juridique qui en fait encore un outil promotionnel avant tout, sans pourtant empêcher les innovations de se multiplier.

OVNI juridique et usages multiples
Piètre millésime que l’année 2020 : interdiction en France des rassemblements de plus de mille, cent, puis six personnes pour lutter contre la propagation du covid-19. Les mesures sanitaires qui s’imposent alors (respectivement les 8 mars, 15 mars et 14 octobre 2020 (1)) empêcheront la tenue de spectacles vivants, privant les acteurs concernés de la quasi-totalité des revenus tirés des spectacles en « présentiel ». Au pied du mur, le monde du spectacle vivant, déjà fragilisé, s’inquiète. C’était toutefois sans compter sur l’existence d’un pis-aller au développement fulgurant. Le concert est mort… vive le live streaming. Ne nous y trompons pas, le « live streaming », ou « diffusion en direct », préexistait à la crise sanitaire mondiale actuelle (2).
« L’exploitation secondaire du spectacle vivant qui connaît la plus forte croissance sur Internet reste la diffusion de concerts en direct – financée par les marques, le sponsoring et la publicité, ou grâce au paiement à l’acte », constate dès 2015 l’ancien think tank Proscenium qui avait été créé par le Prodiss, syndicat national des producteurs, diffuseurs, festivals et salles de spectacle musical et de variété (3). Les festivals de musique font d’ailleurs figures de précurseurs en la matière : à l’international, dès 2012, l’américain Coachella optait pour le spectacle vivant hybride, réunissant 80.000 festivaliers face à la scène et 4.000.000 d’autres face à leur écran, venus assister à la retransmission diffusée en temps réel sur la plateforme de partage de vidéos en ligne YouTube. La diffusion en live sur YouTube est rendue disponible dès 2011. Néanmoins, si l’ère du covid n’a pas fait naître le live stream, elle en a été le tremplin (4) et commence à constituer une alternative crédible aux directs des chaînes de télévision traditionnelles (5). La réalité du live streaming est telle qu’à ce jour sa définition n’a d’ancrage dans aucune source textuelle ou jurisprudentielle, ni ne fait consensus auprès notamment des acteurs de la filière musicale (6). En matière musicale justement, suppléant l’absence de définition unique, le Centre national de la musique (CNM) propose celle de « mode de diffusion sur des canaux numériques d’une captation de spectacle, selon des modalités souvent très différentes, en direct ou en différé, gratuite ou payante, sur des sites Internet dédiés, sur les sites d’institutions ou de médias et sur les réseaux sociaux » (7).
Cette définition reflète une réalité pratique protéiforme, où d’importants paramètres sont susceptibles de varier : modes de production (artiste seul/producteur), d’accès (gratuit/ possibilité de don/payant), jauge de public, zone de diffusion, durée de la diffusion (éphémère/avec replay pour une durée déterminée), moment de la diffusion (en temps réel/en différé mais avec accès simultané des spectateurs à un moment préalablement défini, à la manière d’un rendezvous), mode d’interaction entre le public et l’artiste (simple spectateur/chat, don, merchandising…). A ce sujet, le CNM a publié en février 2021 un « état des lieux exploratoire du live streammusical » (8).
Cependant, en l’absence de droit spécial spécifique consacré au live streaming, les mécanismes de droit commun du droit de la propriété intellectuelle s’appliquent. Du point de vue du droit d’auteur, la diffusion d’un live stream constitue selon le Code de la propriété intellectuelle (CPI) : un acte de représentation (9) et un acte de reproduction (10). Les droits d’auteurs et droits voisins octroyant un droit exclusif à leurs titulaires au titre duquel ceux-ci peuvent autoriser ou interdire tout acte d’exploitation s’appliquent, ainsi que les droits d’exclusivité contractuels.

Un potentiel millefeuille de droits
Qu’il s’agisse de l’artiste lui-même ou de son producteur phonographique, audiovisuel, ou de spectacle, avec lequel il aura conclu, le responsable du live stream – qui prévoit de communiquer un objet protégé – doit s’assurer d’avoir préalablement obtenu l’autorisation de tous les ayants droits. Or ce procédé est avant tout une captation, fixation sonore ou audiovisuelle d’une prestation conçue pour être retransmise en ligne en direct, à un public présent ou non au lieu de sa réalisation. Elle est un potentiel millefeuille de droits, correspondant à ceux – d’autant de contributeurs ou leurs ayants droits – qui devront en autoriser l’utilisation et qu’il faudra rémunérer pour chaque mode d’exploitation, sauf à constituer un acte de contrefaçon : droits des auteurs du spectacle et de la captation (compositeur, adaptateur…) (11), des artistes-interprètes (comédien, musicien…) (12) y compris leur droit à l’image (13), des producteurs de phonogrammes ou vidéogrammes (14), du producteur de spectacle vivant, des exploitants du lieu où le spectacle est capté pour l’exploitation de l’image du lieu, …

Rémunération spécifique des artistes
Parallèlement, l’artiste-interprète engagé par un producteur pour l’enregistrement d’une captation de spectacle pourra l’être au titre d’un contrat de travail à durée déterminée (15) ; un contrat spécifique au titre des droits voisins devra être conclu par écrit (16). Les organismes de gestion collective, comme la Société des auteurs, compositeurs et éditeurs de musique (Sacem), ont accompagné les titulaires de droits dans la mutation de l’industrie musicale en gratifiant les artistes qui ont privilégié le live streaming d’une « rémunération spécifique exceptionnelle de droits d’auteur adaptée à la diffusion des live stream » pour pallier l’absence de concerts ou de festivals (17). Les droits d’auteurs sont calculés selon des conditions précises, dont la durée de la performance live et le nombre de vues.
Le live stream ne se limite pas au domaine musical, loin s’en faut : l’e-sport occuperait la première place du podium avec 54 % des contenus proposés (18). Ces industries rappellent que parmi les modes possibles de création de valeur appliqués au live streaming (paiement à l’acte/billetterie, abonnement, don, publicité, placements de produits…), les revenus issus des licences, sponsoring et communications commerciales audiovisuelles sont essentiels, dans le respect des exigences de transparence applicables aux publicités en ligne (19). Les parrainages, sponsorships, y auraient générés 641 millions de dollars de revenus en 2021, loin devant les autres sources de revenus. Quid de la régulation des contenus et de la responsabilité des plateformes ? Le groupe des régulateurs européens des services de médias audiovisuels, appelé ERGA, a récemment rendu un avis favorable concernant le Digital Services Act (DSA). Encore à l’état de projet législatif, ce dernier vise à instaurer un tronc commun de règles relatives aux obligations et à la responsabilité des intermédiaires au sein du marché unique (services intermédiaires, services d’hébergement, plateformes en ligne et très grandes plateformes en ligne).
L’ERGA préconise de le renforcer en incluant dans son champ tous les acteurs qui appliquent une politique de modération, y compris les services de live streaming (20). En effet, l’ERGA constate que leurs fonctionnalités et leurs modalités permettent aux services de live streaming d’entrer dans la définition des plateformes de partage de vidéos donnée par la directive européenne sur les service de médias audiovisuels (SMA) (21), mais pas dans la définition des plateformes en ligne, ni des services d’hébergement donnée par le DSA s’ils n’impliquent pas de capacités de stockage, ce qui les exclut du régime d’obligations correspondant (22). De ce fait, il est nécessaire que le champ d’application matériel de la SMA et du DSA soient accordés.

Le live streaming survivra au covid
Quinze mois après l’interdiction de la tenue des concerts et festivals, la mesure est levée au 30 juin 2021. Mais si le coronavirus n’est que temporaire, il y a à parier que le live streaming lui survivra. Sur le plan créatif, il permet de créer un lien avec le public via une utilisation innovante des nouvelles technologies ; en termes d’influence, il permet une retransmission transfrontière et d’atteindre un public plus large. Il en a été ainsi, pour ne citer que deux exemples, du concert en réalité virtuelle agrémenté d’effets visuels donné par Billie Eillish en octobre 2020, à partir d’un studio à Los Angeles et une production à Montréal, ou de celui de Jean- Michel Jarre à la cathédrale Notre-Dame de Paris en janvier 2021. Le covid est mort… vive le live streaming ? @

* Anne-Marie Pecoraro est avocate spécialisée en droit de
la propriété intellectuelle, des marques, des nouvelles
technologies et de l’exploitation des données personnelles.

Lignes directrices de l’article 17 : ménager chèvre (droit d’auteur) et chou (liberté d’expression)

Publié le par

La lutte contre le piratage sur Internet en Europe prend un tournant décisif avec la transposition – censée l’être depuis le 7 juin dernier par les Etats membres – de la directive « Droit d’auteur et droits voisins ». Mais les orientations de son article 17 déplaisent aux industries culturelles.