Le projet de règlement européen « Régulation harmonisée de l’IA », qui a entamé son parcours législatif, est ambitieux puisque la proposition est assortie d’une application extraterritoriale, à l’instar du RGPD. Très redouté par les GAFAM, ce cadre établie une échelle de risques des « systèmes d’IA ».
Archives par mot-clé : Juridique
Piratage : l’amende de 350 € vraiment écartée ?
En fait. Le 13 juillet, à l’Assemblée nationale, se tiendra la deuxième séance publique sur le projet de loi « Régulation et protection de l’accès aux œuvres culturelles à l’ère numérique ». Une commission mixte paritaire présentera son rapport. Le Sénat renoncera-t-il définitivement à l’amende de 350 euros pour piratage ?
Données de connexion : le Conseil d’Etat dit d’ajuster légèrement la loi française au droit européen
Données de connexion (comme l’adresse IP) ou données téléphoniques (comme le numéro), leur conservation est interdite. Mais il y a une exception obligeant les opérateurs et les hébergeurs à conserver ces données durant un an. Le Conseil d’Etat appelle le gouvernement à circonscrire cette rétention.
Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie
Décevante pour certains, équilibrée pour d’autres : la décision du 21 avril 2021 du Conseil d’Etat (1) – saisi en avril 2021 par les associations La Quadrature du Net, French Data Network et Igwan.net – a le mérite de procéder à une analyse précise du cadre règlementaire national relatif aux données de connexion, en opérant une distinction entre l’obligation de conservation et le droit d’accès à ces données. Pour se conformer à la jurisprudence européenne, des adaptations sont à prévoir – mais à la marge.
Rétention des données de connexion
Interdiction de principe. Les données de communication sont celles qui sont engendrées automatiquement par les communications effectuées via Internet (données de connexion) ou la téléphonie (données téléphoniques). Elles donnent des informations sur chaque message échangé (nom, prénom, numéro de téléphone pour les données téléphoniques, numéro IP pour les données de connexion). Egalement qualifiées de « métadonnées », elles représentent tout ce qui n’est pas le contenu lui-même de la communication, mais qui informe sur cette dernière (horodatage par exemple).
La conservation de ces données est interdite, en application de l’article L. 34-1 du code des postes et des communications électroniques qui impose leur effacement – voire l’anonymisation de « toute donnée relative au trafic » (2).
Cependant, il existe une exception à ce principe. L’article R10-13 du même code (3) impose aux opérateurs de communications électroniques, aux fournisseurs d’accès à Internet (FAI) et aux hébergeurs de conserver – pour une durée d’un an – toutes les données de trafic, de localisation et celles relatives à l’identité de leurs utilisateurs. Cette conservation se justifie pour les besoins d’une part, de la recherche, de la constatation et de la poursuite des infractions, notamment pénales, et, d’autre part, des missions de défense et de promotion des « intérêts fondamentaux de la nation » (indépendance, intégrité de son territoire, sécurité, forme républicaine de ses institutions, moyens de sa défense et de sa diplomatie, etc. (4)) confiées aux services de renseignement. Ainsi – et c’est bien ce que relève le Conseil d’Etat dans son arrêt du 21 avril 2021 –, il existe une obligation de conservation générale et indifférenciée des données de connexion. On retrouve dans la directive ePrivacy (5) (désormais abrogée) le principe et l’exception précités. En effet, le texte européen interdisait le stockage des communications et des données relatives au trafic (6), mais ouvrait la faculté pour les Etats membres d’adopter des mesures législatives visant à limiter la portée de cette interdiction (7).
Dans la continuité de plusieurs décisions antérieures, un arrêt du 8 avril 2014 de la Cour de Justice de l’Union européenne (CJUE) rappelle que la conservation des données de connexion constitue une ingérence profonde dans la vie privée des citoyens de l’UE (8). La Haute juridiction européenne exige en conséquence : de solides garanties, des textes clairs et une obligation circonscrite à la seule lutte contre les infractions graves. Elle a consolidé cette analyse le 2 mars 2021, en conditionnant les législations permettant l’accès des autorités publiques aux données de connexion « à des procédures visant à la lutte contre la criminalité grave ou à la prévention de menaces graves contre la sécurité publique » (9). Dans la suite de l’arrêt de la CJUE du 2 mars 2021, le Conseil d’Etat a pris position à son tour : il admet que la conservation généralisée et indifférenciée peut être justifiée dans un objectif de sécurité nationale. A ce titre, les risques d’attentats qui pèsent sur le pays, mais également les risques d’espionnage et d’ingérence étrangère, les risques d’attaques informatiques ou encore l’augmentation de l’activité de groupes radicaux et extrémistes constitueraient autant de menaces portant atteinte à la sécurité nationale. Il prévoit cependant que le gouvernement doit adapter la règlementation, dans les six mois, afin de prévoir un réexamen périodique de la menace, de manière à rectifier le dispositif.
Accès aux données de connexion
Mais cela ne modifie en rien l’obligation de conservation des données de connexion pour les opérateurs télécoms et fournisseurs d’accès et d’hébergement Internet, lesquels peuvent recevoir une demande d’accès de la part des services de renseignement. La lutte contre la criminalité légitime l’ingérence de l’Etat. Les services d’enquête doivent pouvoir accéder aux données de connexion afin de pouvoir remonter jusqu’à l’auteur de l’infraction. Cette modalité est parfaitement admise par la CJUE. Toutefois, si la finalité est légitime, la mise en œuvre interroge. Comment, en effet, circonscrire l’obligation de conservation des données de connexion à des infractions qui n’ont pas été commises, ou dont les auteurs n’ont pas encore été identifiés ? Une solution en fait impraticable. La finalité de la sécurité, même encadrée, conduit nécessairement à une conservation généralisée et indifférenciée des données par les opérateurs. En effet, elle soulève une difficulté opérationnelle. Obstacles techniques et ciblages Le Conseil d’Etat détaille lui-même l’ensemble des obstacles de nature technique et matérielle auxquelles font face les opérateurs, fournisseurs et hébergeurs. Ces derniers ne peuvent que difficilement effectuer un tri selon les personnes ou les zones géographiques. Il leur est également impossible d’identifier par avance une personne susceptible de commettre telle infraction, ou deviner un lieu où est susceptible de se dérouler telle autre.
Le Conseil d’État n’abroge pas pour autant la solution européenne (10). L’opportunité de la solution mise en avant par la CJUE – la conservation doit être ciblée sur certaines personnes soupçonnées ou des lieux spécifiques – n’est pas à proprement parler remise en question par le Conseil d’Etat. En revanche, il enjoint au Premier ministre de réviser les textes concernés (11) afin de circonscrire les finalités de l’obligation de conservation des données de trafic et de localisation à la seule sauvegarde de la sécurité nationale. Ce qui, selon le Conseil d’Etat, ne comprend pas les données d’identité civile, les coordonnées de contact et de paiement, les données relatives aux contrats et aux comptes, ainsi que les adresses IP qui, à elles seules, ne permettent pas d’obtenir d’information pertinente sur la communication. Le Conseil d’Etat valide également la légalité des techniques mises en œuvre par les services de renseignement.
L’accès en temps différé (12), l’accès en temps réel aux données de connexion en matière terroriste (13), la géolocalisation en temps réel (14), ou encore les fameuses boîtes noires ou traitements algorithmiques – à savoir les « traitements automatisés destinés, en fonction de paramètres précisés dans l’autorisation, à détecter des connexions susceptibles de révéler une menace terroriste » (15) – sont autant de techniques mises à la disposition des services de renseignement. Introduites dans le code de la sécurité intérieure (16) à la suite des attentats de 2015, leur légalité, fortement contestée à plusieurs reprises, a été questionnée de nouveau, sans infléchir la position du Conseil d’Etat qui admet leur conformité au droit de l’Union européenne (UE). Cependant, le recours à ces techniques doit être contrôlé par une institution dotée d’un pouvoir contraignant. La Commission nationale de contrôle des techniques de renseignement (CNCTR), instituée en juillet 2015 (17), a bien été mise en place pour veiller au respect du principe de proportionnalité de l’atteinte à la vie privée qu’entraînent ces techniques (18). Cependant, comme elle formule seulement des avis simples ou des recommandations qui n’ont pas de force contraignante, le Conseil d’Etat – pour se conformer au droit de l’UE – a annulé les décrets (19) en ce qu’ils prévoient la mise en œuvre de ces techniques de renseignement (20) sans contrôle préalable par une autorité administrative indépendante dotée d’un pouvoir d’avis conforme ou d’une juridiction.
Au final, des changements marginaux sont à prévoir. Si le Conseil d’Etat admet que la règlementation française doit être adaptée pour se conformer à la jurisprudence européenne, on observe qu’il s’agit de changements à la marge : prévoir un réexamen périodique de la menace qui justifie la conservation des données de connexion, redéfinir les finalités des traitements et garantir un pouvoir contraignant aux avis formulés par la CNCTR. Le cadre législatif et règlementaire français apparaît ainsi dans les grandes lignes conforme aux exigences de la CJUE.
Conservation généralisée : arrêt belge contre
La Cour constitutionnelle belge, elle, n’a pas fait la même analyse. Saisie en janvier 2017 par l’Ordre des barreaux francophones et germanophone, ainsi que par trois associations sans but lucratif (21), elle a rendu le lendemain de la décision du Conseil d’Etat en France, soit le 22 avril 2021, un arrêt (22) où elle retient que le droit de l’UE, à la lumière de la jurisprudence de la CJUE, impose aux Etats de renoncer, pour l’essentiel, à « la conservation généralisée et indifférenciée des données » de connexion (données de trafic et des données de localisation, adresses IP, identité civile des utilisateurs de moyens de communications électroniques, …), annulant ainsi la loi belge du 29 mai 2016 « relative à la collecte et à la conservation des données dans le secteur des communications électroniques », sans attendre une nouvelle législation en la matière. @
* Christiane Féral-Schuhl, ancienne présidente
du Conseil national des barreaux (CNB) après
avoir été bâtonnier du Barreau de Paris,
est l’auteure de « Cyberdroit » paru aux éditions Dalloz.
Les « NFT » ne sont pas encadrés mais ces jetons non-fongibles sont assimilés à des actifs numériques
Un jeton non-fongible, ou NFT, est un titre de propriété rattaché à un actif immatériel ou matériel. Il est émis et géré sur une blockchain et fait l’objet de transactions. Mais que disent au juste le code de propriété intellectuelle, le code monétaire et financier ainsi que le code général des impôts ?
Par Boriana Guimberteau*, avocat associée, FTPA
Les NFT – Non-Fungible Tokens – sont des jetons numériques uniques émis et gérés sur une blockchain ; ils permettent la vérification de propriété d’un actif numérique. Par chose fongible, il faut entendre une chose qui est équivalente à une autre. Selon la formule du professeur Gérard Cornu, il s’agit d’« une chose qui appartenant au même genre qu’une autre peut être considérée comme équivalente (sur un marché, pour un paiement) si elle est de même qualité et quantité » (1). En revanche, les choses non fongibles se définissent par leur caractéristique propre et qui ne sont donc pas, pour cette raison, interchangeables – par exemple une œuvre d’art. Les choses non fongibles sont susceptibles d’être individualisées
Droit de propriété et droit de suite
Contrairement aux crypto-monnaies, qui sont des actifs fongibles, les NFT ne peuvent pas être négociés ou échangés par équivalence. Un jeton non-fongible n’est ainsi pas une œuvre en tant que telle mais un titre de propriété rattaché à un actif immatériel ou matériel tel que des œuvres d’art digitales, des cartes à collectionner virtuelles, des tweets ou même des objets physiques. Les NFT contiennent en fait un identifiant du jeton (« token ID »), l’identification du propriétaire actuel de l’actif, ainsi que des données relatives à l’actif (adresse de l’œuvre digitale, le nombre d’exemplaires dans lequel elle a été éditée, informations permettant d’identifier l’œuvre). Les jetons non-fongibles permettent un vrai essor de l’art digital puisqu’elles permettent l’authentification et l’appropriation des œuvres numériques.
Ainsi, même si une œuvre peut être disponible et visible sur Internet, une seule personne – détentrice du NFT – en sera propriétaire. L’auteur d’un NFT peut décider librement des droits de propriété intellectuelle qu’il consent à transférer à l’acheteur du NFT. Néanmoins, par défaut, la vente d’un NFT n’entraîne aucun transfert des droits de propriété intellectuelle afférents. Il s’agira simplement d’un droit d’usage à des fins personnelles accordé à l’acheteur par l’auteur. Ainsi, l’acheteur pourra céder à son tour le NFT sur le marché secondaire. En revanche, les NFT créent des opportunités intéressantes pour les auteurs d’œuvres digitales. Ils pourraient bénéficier du droit de suite qui est prévu en droit français à l’article L. 122-8 du code de propriété intellectuelle. Il s’agit d’un droit de participation pour l’auteur au produit de toute revente de son œuvre lorsqu’intervient un professionnel du marché de l’art, la vente étant effectuée sur le territoire français et assujettie à la TVA. Ce droit de suite n’existant pas dans toutes les législations, les NFT permettent de le prévoir contractuellement en l’incluant dans les données accompagnant le NFT. Ainsi, les artistes pourront bénéficier de manière beaucoup plus large des retombées financières des reventes successives, pour l’instant particulièrement rentables, de leurs œuvres.
Le NFT étant unique et inscrit sur la blockchain, il ne peut être dupliqué. En revanche, le lien avec l’actif qu’il représente peut disparaître soit temporairement soit définitivement, ou être faussé. Dans la plupart des cas, l’œuvre digitale liée à un NFT n’est pas directement stockée dans le jeton inscrit sur la blockchain puisqu’elle est trop volumineuse. Aussi, la majeure partie des NFT voient leurs œuvres stockées hors de la blockchain. Ainsi, l’œuvre digitale pourrait être rendue indisponible par le site sur lequel elle a été téléchargée. Elle peut même être supprimée définitivement des serveurs qui la stockent. En outre, si l’actif lié au NFT est une œuvre matérielle, le lien avec le monde réel peut également présenter des risques. Ainsi, un faux peut être présenté comme une œuvre originale. Il est donc important de coupler le système des NFT/blockchain avec un système d’authentification de l’œuvre originale : scan de l’œuvre originale et émission de certificat, par exemple.
En l’absence de réglementation spécifique, la relation entre les places de marché de NFT et leurs utilisateurs, d’une part, et les artistes, d’autre part, est essentiellement contractuelle. Certaines plateformes ont d’ores et déjà mis en place des conditions générales d’utilisation prévoyant des suppressions d’œuvres contrefaisantes après notification (2).
NFT, vigilance, KYC et AML
Néanmoins, la plupart des places de marché de NFT n’intègrent pas de contrôle KYC de leurs utilisateurs, à savoir le « Know Your Customer » (3) pour vérifier l’identité et l’intégrité du clients (comme le font les établissements bancaires notamment). Ainsi, derrière un acheteur anonyme peut se cacher une autre personne ne permettant pas d’identifier clairement les acheteurs. Dans ce contexte non réglementé, il appartiendra aux acheteurs d’être particulièrement vigilants lorsqu’ils vont enchérir et acquérir un NFT sur une place de marché. Les plateformes de négociation de jetons non-fongibles seront probablement tenues de mettre en œuvre les mêmes mesures (4) que celles des autres fournisseurs de services d’actifs virtuels (VASP, pour Virtual Asset Service Provider) : identification-authentification du client (KYC), lutte contre le blanchiment d’argent (AML, pour Anti-Money Laundering) et lutte contre le terrorisme et le financement de la prolifération (CTF/PF, pour Counter Terrorist and Proliferation Financing). Un règlement dit « MiCa » sur les crypto-actifs est actuellement en cours d’élaboration au sein de l’Union européenne (5).
Entre vide juridique et « Deep »
En France, à défaut de règles spécifiques applicables aux NFT, la loi dite « Pacte » – plan d’action pour la croissance et la transformation des entreprises (6) – a complété l’ordonnance de 2014 sur le financement participatif (7) en consacrant l’utilisation de la blockchain via le dispositif d’enregistrement électronique partagée (Deep) : « Constitue un jeton tout bien incorporel représentant, sous forme numérique, un ou plusieurs droits pouvant être émis, inscrits, conservés ou transférés au moyen d’un dispositif d’enregis-trement électronique partagé permettant d’identifier, directement ou indirectement, le propriétaire dudit bien », stipule l’article 85 de la loi Pacte qui modifie le code monétaire et financier (en son article L. 552-2).
Bien qu’il ne soit pas question explicitement de NFT dans la loi Pacte, les jetons non-fongibles pourraient néanmoins être assimilés, à l’article suivant de cette même loi (et donc le code monétaire et financier), à des « actifs numériques » qui comprennent : les jetons mentionnés, à l’exclusion de ceux remplissant les caractéristiques des instruments financiers et des bons de caisse mentionnés, et « toute représentation numérique d’une valeur qui n’est pas émise ou garantie par une banque centrale ou par une autorité publique, qui n’est pas nécessairement attachée à une monnaie ayant cours légal et qui ne possède pas le statut juridique d’une monnaie, mais qui est acceptée par des personnes physiques ou morales comme un moyen d’échange et qui peut être transférée, stockée ou échangée électroniquement ». Quant à l’article 552-2 du code monétaire et financier, il définit que « constitue un jeton tout bien incorporel représentant, sous forme numérique, un ou plusieurs droits pouvant être émis, inscrits, conservés ou transférés au moyen d’un dispositif d’enregistrement électronique partagé permettant d’identifier, directement ou indirectement, le propriétaire dudit bien ».
Entre les notions de NFT et de jeton numérique, le lien semble établi. D’autant que les « tokens » sont créés par le Deep, le fameux dispositif d’enregistrement électronique partagée. Cette analyse semble confirmée par la proposition de règlement « MiCa ». Si un NFT est un actif numérique, il reste à savoir quelle fiscalité* lui est appliquée. Toujours en France, le code général des impôts prend en considération des actifs numériques. C’est son article 150 VH bis : « Les plus-values réalisées par les personnes physiques domiciliées fiscalement en France (…), lors d’une cession à titre onéreux d’actifs numériques mentionnés à l’article L. 54-10-1 du code monétaire et financier ou de droits s’y rapportant, sont passibles de l’impôt sur le revenu » (8). Les tokens et a priori les NFT sont donc soumis à l’impôt sur les plus-values (les cessions dont la somme des prix n’excède pas 305 euros au cours de l’année d’imposition sont exonérées). Cependant, des NFT sont liés à des œuvres d’art : comme les autres œuvres d’art, échappent-ils à l’impôt, eux ?
Dans une question écrite publiée dans le Journal Officiel du Chambre haute le 14 avril dernier, le sénateur Jérôme Bascher interpelle Bruno Le Maire, ministre de l’Economie, des Finances et de la Relance, en ces termes : « Il reste cependant très difficile de les inclure ou exclure dans le champ d’application de l’œuvre de l’esprit, tel que prévu par les articles L. 111 et suivants du code de la propriété intellectuelle. Difficile de les inclure, car les NFT sont clairement dans une autre catégorie que les œuvres énumérées (L. 112-1). Mais aussi difficile de les exclure, car le droit évolue et la définition d’une œuvre demeure très subjective. Au regard de l’importance croissante de ce phénomène de NFT, et de la complexité de sa catégorisation en vue de l’application d’un régime fiscal spécifique, [Jérôme Bascher] demande [à Bruno Le Maire] de bien vouloir lui préciser la position du Gouvernement sur ce sujet » (9). La réponse est à l’heure où nous écrivons ces lignes toujours en suspens. La « sécurité juridique » des NFT est en devenir. La technologie des jetons non-fongibles est encore jeune.
La finance décentralisée et sécurisée
Les premiers NFT apparaissent en novembre 2017 avec les CryptoKitties, c’est-à-dire des « cryptochatons » virtuels à acheter et revendre, permettant ainsi aux acheteurs de les collectionner et de jouer avec.
Quant à la blockchain ou « chaîne de blocs », elle est apparue pour la première fois en 2008. Selon Blockchain Partners (KPMG), il s’agit d’« une technologie de stockage et de transmission d’informations, transparente, sécurisée, et fonctionnant sans organe central de contrôle ni aucun intermédiaire ». Autrement dit, elle est « la technologie au cœur du Web décentralisé et de son corollaire, la finance décentralisée ». La blockchain permet la constitution de registre répliqué et distribué, sécurisé grâce à la cryptographie. Le registre ainsi constitué est transparent et immuable. @
* Boriana Guimberteau est l’auteure de cet article,
excepté pour la partie fiscale rédigée par Charles de Laubier.
Protection de la création (piratage et cession) : avancées et enjeux du projet de loi audiovisuel
Alors que la directive européenne sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information (DAVDSI) a vingt ans jour pour jour, la France est engagée dans une réforme de la protection de la création cinématographique et audiovisuelle française.