Archives par mot-clé : Juridique

Lutte contre le piratage audiovisuel : la riposte légale du régulateur et de la justice s’organise

Publié le par

La piraterie – notamment audiovisuelle – est un fléau qui, avec le numérique, peut aller jusqu’à mettre en cause la viabilité de l’industrie de la culture et du divertissement. Pour lutter contre, deux textes de loi (une proposition et un projet arrivés aux Sénat) renforcent l’arsenal judiciaire.

Par Fabrice Lorvo*, avocat associé, FTPA.

Les Etats-Unis ont affiché leur volonté de lutter contre le trafic de marchandises contrefaites et piratées (1), à la suite des propositions (2) qui avaient été formulées sous l’administration Trump (3). Le France, elle, n’est pas en reste avec deux initiatives de lutte contre la piraterie en cours de discussion : une proposition de loi « visant à démocratiser le sport en France » (4) et un projet de loi « relatif à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique » (5).

Une lutte plus « sportive » contre le piratage
• La proposition de loi « Démocratiser le sport en France », adoptée en première lecture par l’Assemblée nationale le 19 mars 2021 et transmise le jour-même au Sénat, vise notamment à lutter contre le streaming illégal. Un de ses articles (l’article 10) est consacré à la « lutte contre la retransmission illicite des manifestations et compétitions sportives ». Certains grands événements sportifs sont le fer de lance de l’audimat. D’après le Conseil supérieur de l’audiovisuel (CSA), 23 des 25 plus fortes audiences de la télévision française au cours de ces trente dernières années sont des événements sportifs (6).
Cependant, l’essor du marché des émissions et des retransmissions sportives a entraîné, sur Internet, une explosion de diffusion sans autorisation des organisateurs d’événements sportifs (OES) – à savoir les fédérations, les ligues, les clubs etc. – ou de leurs ayants droit. Selon l’Association pour la protection des programmes sportifs (APPS), le streaming illégal a causé des pertes économiques de recettes estimées à 500 millions d’euros en 2017 dans le domaine du sport professionnel (7).
Les victimes de ce manque à gagner sont nombreuses : on peut citer notamment l’Etat avec un manque à gagner fiscal et social, les OES, les entreprises chargées du marketing et de la distribution ainsi que les entreprises audiovisuelles, et par ricochet le sport amateur. Ce dernier bénéficie en effet, par le biais de la taxe « Buffet » (8), d’une rétrocession de 5 % du montant des droits de diffusion cédés. Avec cette proposition de loi « Démocratiser le sport en France », il est envisagé de créer une nouvelle procédure judiciaire dite « dynamique ». Elle est instituée, à ce stade, par l’article 10 pour le blocage, le retrait ou le déréférencement des sites web retransmettant illégalement une compétition sportive diffusée en direct sur Internet. Cette procédure prévoit l’intervention de l’autorité judiciaire et de la Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hadopi), laquelle –comme le prévoit par ailleurs le projet de loi « Protection de l’accès aux œuvres » (voir plus loin) – va fusionner avec le CSA pour former l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom).
En cas d’atteintes graves et répétées aux droits d’exploitation audiovisuelle d’un événement sportif, occasionnées par le contenu d’un site de streaming illégal (c’est-à-dire un service de communication au public en ligne dont l’objectif principal ou l’un des objectifs principaux est la diffusion sans autorisation de compétitions ou manifestations sportives), le titulaire des droits sur l’événement sportif (c’est-à-dire l’OES ou son ayant droit à titre exclusif) peut saisir le juge afin d’obtenir toutes mesures proportionnées propres à prévenir ou à faire cesser cette atteinte, à l’encontre de toute personne susceptible de contribuer à y remédier – et notamment les fournisseurs d’accès à Internet (FAI). L’autorité judiciaire pourra ainsi ordonner, au besoin sous astreinte, toutes mesures proportionnées – telles que le blocage, de retrait ou de déréférencement – de sites Internet contrefaisants pour toute la durée d’une compétition, dans la limite de douze mois. Et ce, que les sites web incriminés soient identifiés ou pas de façon à lutter aussi contre les sites miroirs ou de contournement. Ces derniers reprennent en totalité ou en grande partie les contenus d’un site web condamné en justice.

Arcom (ex-Hadopi) : tiers de confiance
La décision judiciaire pourra être rendue publique selon les modalités décidées par le juge, qui se prononce dans un délai « utile » à la protection des droits. A noter que par ailleurs, à la commission des affaires juridique (Juri) du Parlement européen, des eurodéputés ont adopté le 13 avril un pré-rapport recommandant notamment que le blocage puisse être obtenu en 30 minutes après la notification de l’infraction (9). En France, sur la base de la décision judiciaire, les sites web non identifiés à la date où elle a été rendue, mais retransmettant la compétition, pourront également être bloqués. Pour demander le blocage de sites web incriminés, le titulaire de droits devra transmettre à l’Arcom (ex-Hadopi) tous les renseignements utiles à la caractérisation des sites pirates, à charge ensuite pour cette autorité, intervenant ès qualités de tiers de confiance, de vérifier le bien-fondé de ces demandes et le cas échéant, de communiquer au titulaire de droits les données d’identification des sites web concernés. L’article 10 permet également à l’Arcom d’adopter des modèles d’accord-type susceptibles de lutter contre le piratage sportif et d‘inviter les différents acteurs à les conclure. L’ex-Hadopi interviendra comme tiers de confiance et disposera de pouvoirs d’investigation.

Procédure : une réforme plutôt timide
Cet article 10 confie enfin aux agents habilités et assermentés de l’autorité de régulation le pouvoir d’enquêter, de constater les faits de piraterie sportive par procès-verbal, de participer sous pseudonyme à des échanges électro-niques susceptibles de se rapporter à des actes de piraterie sans que cette participation ne puisse avoir pour effet d’inciter autrui à commettre une infraction, puis d’informer les personnes concernées des faits qu’ils ont constatés et leur communiquer tout document utile à la défense de leurs droits.
On ne peut que saluer le côté innovant de cette procédure qui apporte des réponses concrètes aux difficultés techniques auxquelles les victimes sont confrontées (assistance du régulateur pour la constatation des infractions, cas des sites non identifiés ou miroirs, …) mais on regrettera aussi le côté timide de cette réforme. Elle est d’une part limitée aux ayant droit à titre exclusif. Est-ce à dire que, par exemple, les diffuseurs ayant acquis les droits d’exploitation audiovisuelle à titre non exclusif seront laissés de côté ? Qu’ils ne méritent pas une protection dynamique ? Cette réforme est ensuite limitée au cas d’atteintes graves et répétées aux droits d’exploitation audiovisuelle d’un événement sportif. Est-ce à dire que la loi instaure a contrario un « droit de pirater » de manière légère et unique ? Gardons à l’esprit qu’un événement sportif est par nature unique et que tout acte de piraterie porte un coup fatal à sa valeur. La balle est maintenant dans le camp des sénateurs, le texte ayant été renvoyé à la commission de la culture, de l’éducation et de la communication du Sénat en prévision d’une première lecture.
• Le projet de loi « Protection de l’accès aux œuvres », qui a été présenté le 8 avril dernier en conseil des ministres (10) et qui sera discuté au Sénat les 18 et 19 mai prochain, vise à renforcer la lutte contre le piratage audiovisuel. Il a pour objectif de protéger les droits des créateurs en renforçant la lutte contre les sites Internet de streaming, de téléchargement direct ou de référencement, qui tirent des profits de la mise en ligne d’œuvres en violation des droits des créateurs. Pour ce faire, il est proposé la création d’un nouvel acteur doté de nouveaux outils. La mise en œuvre ces nouveaux outils sera confiée à l’Arcom, née de la fusion de l’Hadopi et du CSA. Ce nouveau régulateur, qui disposera de davantage de pouvoirs (procédure de conciliation, pouvoirs d’enquête), sera compétent sur tout le champ des contenus audiovisuels et numériques : lutte contre le piratage, protection des mineurs, lutte contre la désinformation et la haine en ligne. Son pouvoir de contrôle et d’enquête sera ainsi étendu avec des agents assermentés et habilités pour mener des investigations. Concernant les nouveaux outils, il est d’abord prévu la création d’un mécanisme de « listes noires » des sites Internet portant atteinte, de manière grave et répétée, aux droits d’auteur ou aux droits voisins. L’inscription sur la liste (pour une durée maximale de 12 mois), à l’initiative de l’Arcom, fera l’objet d’une procédure contradictoire et pourra être rendue publique. Cette liste pourra appuyer les actions judiciaires des ayants droit. Elle a aussi vocation à responsabiliser les différents acteurs qui souhaiteraient passer des relations commerciales avec ces sites (notamment les annonceurs publicitaires et ceux qui leurs procurent des moyens de paiement). Ceux-ci devront rendre publique au moins une fois par an l’existence de leurs relations avec ces sites web contrefaisant en les mentionnant notamment dans leurs rapports de gestion.
Il est prévu ensuite un dispositif de blocage ou de déréférencement des sites miroirs. Lorsqu’une décision judiciaire « passée en force de chose jugée » a ordonné toute mesure propre à empêcher l’accès à un site contrefaisant, l’Arcom – saisie par un titulaire de droits « partie à la décision judiciaire » – peut, pour une durée ne pouvant excéder celle restant à courir pour les mesures ordonnées par le juge, demander d’une part aux FAI ainsi qu’à tout fournisseur de noms de domaine, d’empêcher l’accès à tout service de communication au public en ligne reprenant en totalité ou de manière substantielle le contenu du service visé par ladite décision, et d’autre part demander à tout exploitant de moteur de recherche, annuaire ou autre service de référencement de faire cesser le référencement des adresses électroniques donnant accès à ces services de communication au public en ligne.

L’autorité judiciaire en dernier recours
Lorsqu’il n’est pas donné suite à la saisine de l’Arcom, que de nouvelles atteintes aux droits d’auteurs ou aux droits voisins sont constatées, l’autorité judiciaire peut être saisie – en référé ou sur requête – pour ordonner toute mesure destinée à faire cesser l’accès à ces services. Que cela soit pour la proposition de loi « Démocratiser le sport en France » ou pour le projet de loi « Protection de l’accès aux œuvres », attendons sereinement la contribution du Sénat à la protection des créateurs. @

* Fabrice Lorvo est l’auteur du livre « Numérique : de la
révolution au naufrage ? », paru en 2016 chez Fauves Editions.

Presse d’information politique et générale : le fragile statut IPG soulève des questions juridiques

Publié le par

Particulier à la France, le statut dit « IPG » – assez fragile – divise la presse et amène l’Etat à aider plus certains journaux que d’autres, imprimés et/ou en ligne. Ce statut, aux frontières floues, soulève au moins trois questions juridiques, tant au niveau national qu’européen.

Par Emmanuelle Mignon*, avocate associée, August Debouzy

Considérée comme une condition nécessaire à l’exercice des autres libertés (1) et au bon fonctionnement de la démocratie, la liberté d’expression et de communication justifie, depuis longtemps et dans presque tous les pays occidentaux, l’existence d’aides étatiques aux médias, et plus particulièrement à la presse écrite qui a été pionnière dans la conquête de la liberté par la diffusion de la pensée.

Aides d’Etat à la presse : avantage à l’« IPG »
Le régime français, lui, se caractérise par une addition de dispositifs qui, comme souvent, se superposent sans jamais que la création d’une aide nouvelle ne soit accompagnée de la disparition d’une aide existante. La raison en est politique, mais pas seulement. Les objectifs des aides à la presse écrite sont en effet multiples, depuis l’encouragement au lectorat jeune jusqu’à la préservation de l’emploi local, en passant par le pluralisme ou l’aide à la transition numérique.
Cette superposition entraîne des effets d’aubaine et de seuils, ainsi que de frottements anticoncurrentiels entre les différentes familles de presse, que les textes successifs s’efforcent de corriger au prix d’une complexification croissante du système. Selon la Commission paritaire des publications et agences de presse (CPPAP), qui délivre le numéro d’inscription permettant à une publication d’accéder au régime économique général de la presse (2), près de 7.000 publications bénéficient actuellement de ce dispositif (3), dont 50 % correspondent à des titres de la presse « éditeur » (4). Depuis 2009, les services de presse en ligne (SPEL) – aujourd’hui au nombre de 1.200 (pendants de journaux imprimés ou pure players) – ont eu progressivement accès eux aussi aux aides, en particulier au taux super réduit de TVA (2,10 % depuis 2014).
Mais, à l’intérieur de ce régime général de soutien, la presse d’information politique et générale (IPG) bénéficie d’aides supplémentaires : tarif postal encore plus favorable, aide au portage (presse sportive quotidienne aussi), avantages fiscaux (5), aides aux publications à faibles ressources, … Les critères à remplir pour bénéficier du statut IPG ne sont pas strictement identiques selon les différents dispositifs d’aides, mais généralement la condition principale est de consacrer la majorité de la surface rédactionnelle à des informations politiques et générales relatives à l’actualité dépassant les préoccupations d’une catégorie particulière de lecteurs (6). D’après la CPPAP, 412 titres imprimés relèvent du statut IPG (soit environ 6 % de tous les titres) mais son site web n’indique pas le nombre de SPEL (presse en ligne) bénéficiant de ce statut. Les grands quotidiens nationaux – presque tous d’IPG – étant en plus, depuis une quinzaine d’années, les principaux bénéficiaires des subventions à la réforme des imprimeries de presse et du réseau de distribution, il est clair que la presse IPG (incluant aussi les quotidiens régionaux ou locaux et certains magazines) est beaucoup plus aidée que les autres.
L’objectif poursuivi est le pluralisme et l’indépendance de la presse, mais au profit d’une information politique, afin que tous les Français puissent accéder régulièrement – dans des conditions de prix raisonnables, et malgré les difficultés économiques du secteur – à un contenu informatif et éditorial susceptible de les éclairer dans leurs choix de citoyens. Le statut IPG – dont la définition est consacrée législativement pour la première fois dans la loi de 2019 portant réforme de la distribution (7) – s’étend d’ailleurs au-delà des seuls avantages d’aides publiques renforcées. Dans le sens des contraintes, il comprend des limites à la concentration. Dans le sens des privilèges, il donne un droit absolu d’accès au réseau physique de distribution dans les quantités déterminées par les éditeurs. Pour autant, ce statut soulève plusieurs questions juridiques.

Le principe d’égalité mis à mal
• La première question juridique est la conformité du statut IPG au principe d’égalité dès lors que la frontière entre la presse dite IPG et celle non-IPG n’est pas toujours très nette et que la première bénéficie d’avantages concurrentiels susceptibles de pénaliser la seconde aussi bien sur le marché des lecteurs que sur celui de la publicité. Il a toutefois été jugé, et par le Conseil d’Etat (8) et par le Conseil constitutionnel (9), que l’objectif de pluralisme – auquel est parfois ajouté celui d’indépendance – de l’information politique et générale justifiait l’existence de ce statut particulier. On ne peut pas dire que ces décisions soient très motivées. Elles ramènent à la seule presse IPG les objectifs de pluralisme et d’indépendance, alors que la liberté d’expression et de communication vise toute sorte de pensée et d’opinion. Et ces décisions ne s’intéressent pas aux effets anticoncurrentiels concrets que ces publications dites IPG exercent sur les autres familles de presse. De même, il a été jugé que la préservation des équilibres économiques du réseau de distribution de la presse écrite, sans lequel les citoyens ne pourraient pas avoir accès à une presse IPG pluraliste et indépendante, justifiait que la résiliation d’un contrat librement conclu entre une société de messagerie de presse et un dépositaire central de presse puisse être imposée par un organisme tiers composé d’éditeurs (10). En d’autres termes, les objectifs qui s’attachent à la défense du pluralisme et de l’indépendance de la presse IPG peuvent conduire à assujettir les autres formes de presse à ses besoins.

Aides « IPG », toutes euroconformes ?
• La deuxième question juridique est celle de la conformité du statut de la presse IPG avec le droit de l’Union européenne (UE). Dans les autres Etats membres, les aides à la presse ne sont pas aussi segmentées au profit d’une catégorie de presse. Il y a d’ailleurs relativement peu de décisions de la Commission européenne sur des dispositifs d’aides à la presse (en tout cas s’agissant des grands pays), ce qui laisse penser que les régimes existants sont anciens, stables et relativement neutres. Les aides nouvelles, quand elles existent, sont toujours justifiées par l’objectif de pluralisme, mais appliqué à toutes les publications. Toutefois, la Suède et le Danemark ont récemment institué des aides – respectivement à la transformation numérique (11) et à la presse écrite (12) – subordonnées à des critères de contenu ou de cibles proches du statut IPG français. Les décisions de la Commission ne laissent guère planer de doute sur la compatibilité des aides françaises à la presse IPG avec le droit des aides d’Etat, dès lors qu’elles restent raisonnables dans leur ampleur.
Bien consciente des difficultés économiques de la presse, elle valide généralement les aides qui lui sont notifiées au nom du principe d’intérêt commun de pluralisme et d’indépendance de la presse. Si l’on ne peut exclure que ces aides affectent le commerce intra-communautaire dès lors que les publications des différents Etats membres sont en concurrence sur le marché des lecteurs, mais aussi de la publicité, de l’impression et de la distribution, la Commission européenne relève également que cet effet reste limité du fait que les publications éditées dans d’autres pays de l’UE ne sont que marginalement substituables aux titres nationaux. Et elle reconnaît que le pluralisme et l’indépendance de l’information politique destinée à l’édification des citoyens peut appeler des mesures particulières puisqu’elle a validé (13), outre les dispositifs suédois et danois, l’extension de l’aide française aux quotidiens à faibles recettes publicitaires aux titres de périodicité hebdomadaire à trimestrielle, alors que cette aide cible exclusivement la presse IPG. Ce qui est plus surprenant est que seuls deux dispositifs français d’aides à la presse IPG aient été notifiés à Bruxelles : le premier étant l’extension de l’aide mentionnée ci-dessus ; le second étant le crédit d’impôt pour premier abonnement à un titre IPG (14) créé par la loi de finances rectificative pour 2020, pour lequel une réponse de la Commission européenne est toujours en attente. En 1999, le Conseil d’Etat a jugé – non sans bénévolence – que l’aide postale ciblée à la presse IPG n’était pas soumise à l’exigence de notification dès lors qu’elle réaménageait un régime existant d’aides postales créé antérieurement à l’entrée en vigueur du Traité de Rome (15). De même, les dispositifs fiscaux relatifs aux provisions pour investissement et à la réduction de l’impôt sur les sociétés (IS) pour souscription au capital d’entreprises de presse sont couverts par le principe de dispense de notification des aides de minimis. Reste que d’autres aides à la presse IPG n’ont pas été notifiées, à commencer par l’aide aux quotidiens IPG à faibles ressources publicitaires créée en 1986 (seule son extension l’a été), laissant planer un doute sur leur légalité.
• La troisième question juridique soulevée est le caractère en grande partie réglementaire du statut de la presse IPG, alors que l’article 34 de la Constitution française confie au législateur (depuis la réforme constitutionnelle du 23 juillet 2008) le soin de fixer les règles relatives à la liberté, au pluralisme et à l’indépendance des médias. Bien sûr, on pourrait penser que l’introduction de cette disposition dans la Constitution n’avait pas d’autre vocation que de codifier l’état du droit antérieur, lequel a déjà reconnu que toute atteinte à la liberté d’expression et de communication ne peut résulter que de la loi (16). Or, instituer des d’aides, c’est a priori aider la presse et l’on voit mal pourquoi le recours à la loi serait nécessaire. Mais en aidant certaines familles de presse ou en posant des conditions à l’attribution des aides, on exclut nécessairement certaines publications de leur bénéfice, au risque de porter atteinte à leur indépendance (17) ou de faire des choix arbitraires, justifiant que seul le législateur puisse être autorisé à déterminer ces régimes.

Un fragile régime d’aides à réformer
La question s’est posée directement dans la requête contre le décret n°2015-1440 du 6 novembre 2015 étendant à tous les périodiques jusqu’aux trimestriels le bénéfice des aides aux publications IPG à faibles ressources publicitaires, auparavant réservées aux quotidiens. Malgré les conclusions du rapporteur public invitant le Conseil d’Etat à censurer ce décret intervenu dans le domaine de la loi, la haute assemblée a préféré censurer le décret sur le terrain du droit de l’UE (18). L’avantage est de ne pas avoir ébranlé tout d’un coup, et sans que personne ne s’y attende sans doute, une bonne partie du régime des aides à la presse ; l’inconvénient est que le système perdure et souffre d’une fragilité dont le gouvernement serait bien inspiré de se préoccuper. @

* Emmanuelle Mignon, ancienne conseiller d’Etat, est depuis
février 2015 avocate associée chez August Debouzy. Elle a été
directrice de cabinet à la présidence de la République
(sous Nicolas Sarkozy) et secrétaire générale d’EuropaCorp.

Responsabilité des hébergeurs : renforcer la modération en ligne, mais éviter les censures

Publié le par

Les patrons de Facebook, Google et Twitter ont été auditionnés le 25 mars au Congrès des Etats-Unis sur « le rôle des médias sociaux dans la promotion de l’extrémisme et de la désinformation » (1). Aucun ne s’oppose à une réforme de la responsabilité des plateformes. L’Europe, elle, a pris de l’avance.

L’Europe veut encadrer les algorithmes pour retirer les contenus illicites et éviter les « faux positifs »

Publié le par

Le futur règlement européen Digital Services Act (DSA) veut encadrer l’utilisation d’algorithmes dans la gestion des contenus sur les réseaux sociaux et d’en retirer ceux « jugés » illicites. Mais le risque de « faux positifs » (bloqués à tort) va poser des problèmes aux régulateurs et aux juges.

Par Winston Maxwell*, Telecom Paris, Institut polytechnique de Paris

Bloquer la publication d’un contenu est une décision grave, portant potentiellement atteinte à l’un des droits fondamentaux les plus importants pour la démocratie : la liberté d’expression. Pour la préserver, le droit constitutionnel américain et français exigent généralement qu’une décision interdisant la diffusion de contenus soit prise par une autorité judiciaire, et qu’elle le soit prise après la publication du contenu, non avant (1).

Blocage automatique : quelle légitimité ?
Les plateformes ne s’embarrassent pas de ces principes, filtrant des contenus avant leur publication par l’utilisation de robots. Faut-il s’en inquiéter ? S’agit-il d’une violation des droits fondamentaux des utilisateurs ? Le recours aux algorithmes pour identifier des contenus illégaux est devenu incontournable en raison de la quantité des informations publiées par les utilisateurs des réseaux sociaux. Même si la loi n’impose pas aux plateformes une obligation générale de surveillance des contenus, laquelle reste interdite (2), celles-ci ont mis en place des systèmes automatisés de détection de contenus illicites. Le champ d’application de ces outils s’est élargi grâce à l’émergence de modèles d’apprentissage automatique (machine learning), capables d’identifier des images et textes plus complexes, de comprendre le contexte d’une phrase ou d’une image, voire de juger de la véracité d’une affirmation.
Le futur règlement européen Digital Services Act (DSA) met en lumière les multiples rôles d’algorithmes dans la gestion de contenus sur les réseaux sociaux. Ces algorithmes identifient des contenus illicites et procèdent à leur retrait avec ou sans intervention humaine ; ils signalent l’existence d’utilisateurs potentiellement abusifs du service ; ils organisent la présentation de contenus et de publicités aux utilisateurs en fonction de leurs profils. Le règlement DSA propose d’encadrer l’utilisation d’algorithmes, surtout ceux utilisés pour retirer des contenus illicites. Les outils sont calibrés pour bloquer automatiquement, et sans intervention humaine, des contenus les plus manifestement illégaux. En cas de doute, la machine enverra le cas à des décisionnaires humains. Une grande partie des décisions de retrait de contenus sont aujourd’hui prises sans intervention humaine (3), ce qui soulève la question de leur légitimité et des garanties qui les entourent. Le DSA prévoit des garanties procédurales et de transparence similaires à celles qui existent pour les décisions prises par l’Etat. Le droit constitutionnel impose à l’Etat des règles contraignantes en matière de blocage de contenus illicites, alors que les plateformes, elles, ne sont pas directement concernées par ces contraintes constitutionnelles. Cependant, les plateformes dites « structurantes » ont un pouvoir quasi-étatique en matière de liberté d’expression. Il est donc logique d’étendre à ces plateformes les règles de transparence et de procédure qui s’appliquent aux décisions de l’Etat.
En 2018, les organisations de défense des droits civiques aux Etats-Unis ont élaboré des principes minimaux de transparence et de procédure équitable qui doivent s’appliquer aux décisions de retrait de contenus ou de suspension de comptes sur les réseaux sociaux. Appelés « Santa Clara Principles » (4), ces principes non-contraignants recommandent la publication par chaque plateforme numérique de données détaillées sur les alertes, les décisions de retrait et de suspension. Ils prévoient la notification aux utilisateurs affectés par les décisions de retrait, la publication de règles claires sur les types de contenus interdits sur la plateforme, la mention de raisons du retrait, la fourniture d’informations sur l’utilisation ou non d’un outil automatique, et une procédure efficace de contestation devant un décisionnaire humain différent de la personne qui a pris la décision initiale. Les Santa Clara Principles (SCP) reprennent, pour les adapter aux plateformes, une partie des règles constitutionnelles de « due process » aux Etats-Unis qui s’appliquent aux décisions, notamment algorithmiques, de l’Etat.

Le DSA va plus loin que les « SCP »
Le projet de règlement DSA rendrait contraignant un certain nombre des SCP, et notamment l’obligation d’informer l’utilisateur que son contenu a été retiré et de lui fournir une explication sur les raisons du retrait. La notification doit également mentionner l’utilisation éventuelle d’un outil automatique, et fournir des informations claires sur la possibilité de contester la décision. Le DSA exige une procédure efficace pour gérer les contestations d’utilisateurs, une procédure qui ne peut pas s’appuyer uniquement sur des moyens automatisés. Les utilisateurs peuvent donc contester un retrait devant un décisionnaire humain. Le DSA va au-delà des SCP en matière de transparence algorithmique, en exigeant la publication par les plateformes structurantes d’information sur les objectifs poursuivis par l’algorithme, les indices de performance, et les garanties entourant son utilisation.
Le projet de loi français sur le « respect des principes de la République », adopté par l’Assemblée nationale le 16 février dernier et actuellement examiné au Sénat (5), va plus loin encore en prévoyant la communication au Conseil supérieur de l’audiovisuel (CSA) des paramètres utilisés par les outils automatisés, des méthodes et des données utilisées pour l’évaluation et l’amélioration de leur performance.

Algorithmes, « faux positifs » et censure
La performance des algorithmes sera un sujet-clé pour le régulateur. Quel est le niveau acceptable de « faux positifs », à savoir des contenus bloqués à tort ? On sait que les tribunaux n’apprécient guère les faux positifs en matière de liberté d’expression (lire encadré ci-dessous) et qu’un algorithme d’apprentissage automatique va forcément générer des faux positifs. Le niveau de faux positifs dépendra notamment du niveau de sensibilité de l’algorithme dans la détection de « vrais » positifs, par exemple une vraie vidéo terroriste. Si l’on réduit le nombre de faux positifs, on va nécessairement réduire la sensibilité de l’algorithme dans la détection de vrais cas de contenus illégaux. Le bon équilibre entre les faux positifs et les faux négatifs sera un sujet délicat, et le niveau d’équilibre sera différent selon le type de contenus. Laisser passer la vidéo d’un acte terroriste du type Christchurch aura un coût très élevé pour la société, alors que laisser passer un morceau de musique protégé par le droit d’auteur sera a priori moins dommageable.
Les taux d’erreurs algorithmiques peuvent varier en fonction de la langue utilisée – un algorithme d’analyse de textes sera généralement plus performant en anglais – et peuvent également refléter les biais présents dans les données d’entraînement. Les algorithmes apprennent à partir des exemples de contenus retirés précédemment par les analystes humains. Ces analystes humains sont faillibles. Ils ont leur propre biais – biais culturels, linguistiques, ethniques, de genre – et commettent eux-aussi des erreurs d’appréciation qui seront reproduits ensuite par les algorithmes (6). Ainsi, il faut veiller non seulement au « bon » niveau de faux positifs et de faux négatifs selon le type de contenu, mais également vérifier que le niveau de perfor-mances de l’algorithme ne varie pas selon la couleur de la peau ou le sexe des personnes impliquées, selon la langue utilisée, ou selon le type de discours haineux (7). Ces multiples équilibres devraient être abordés dans un premier temps dans les études de risques systémiques conduites par les plateformes structurantes, en application de l’article 26 du futur règlement DSA en Europe. Ces études devront analyser l’impact des algorithmes d’identification et de retrait de contenus sur les droits fondamentaux. Ainsi, les plateformes devront proposer des solutions techniques et humaines pour concilier des objectifs – souvent contradictoires – liés à la mise en place d’un système de détection performant qui respecte en même temps la liberté d’expression, la protection des données personnelles et la protection contre les discriminations. Actuellement, le projet de règlement DSA prévoit que la Commission européenne sera le régulateur principal pour les plateformes structurantes. Celle-ci pourra émettre des recommandations relatives aux systèmes algorithmiques. Mais la manière de gérer les tensions entre la liberté d’expression et d’autres droits est avant tout une affaire nationale, dépendant du contexte, de l’histoire et de la culture de chaque pays (8).
En France, le CSA serait mieux placé que la Commission européenne pour évaluer les systèmes algorithmiques mis en place par les grandes plateformes pour analyser des contenus destinés au public français. Le paramétrage des algorithmes devra nécessairement refléter ces circonstances locales, et le contrôle de ces paramètres relèverait plus naturellement de la compétence du régulateur national. Un contrôle national de ces outils renforcerait en revanche le morcèlement des approches réglementaires entre Etats membres, et nécessiterait donc un système de coordination au niveau européen similaire à ce qui existe pour la régulation des télécoms et le RGPD. @

* Winston Maxwell, ancien avocat, est depuis juin 2019
directeur d’études Droit et Numérique à Telecom Paris.

Brexit : entre l’Union européenne et le Royaume-Uni, les données personnelles sont entre deux eaux

Publié le par

Le RGPD sur la protection des données personnelles en Europe reste applicable à leurs transferts vers le Royaume-Uni jusqu’au 1er juillet 2021. Mais, depuis le début de l’année, la « Cnil » britannique ne peut plus être « chef de file ». En tout cas, il faut anticiper avec ce « pays tiers ».

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

A l’heure où le Brexit devient réalité, la question du transfert des données personnelles entre l’Union européenne (UE) et le Royaume-Uni (RU) mérite une attention particulière. Pas d’urgence absolue puisque le règlement européen sur la protection des données RGPD reste applicable au Royaume-Uni de manière transitoire jusqu’au 1er juillet 2021. A noter toutefois que, depuis le 1er janvier 2021, le mécanisme du « guichet unique » ne sera plus effectif par le biais de l’Information Commissioner’s Office (ICO), la « Cnil » britannique.

RGPD, applicable jusqu’au 1er juillet 2021
Ainsi, à moins qu’une décision d’adéquation ne soit accordée au Royaume-Uni par la Commission européenne d’ici mi- 2021, les transferts de données personnelles vers le Royaume-Uni devront être encadrés par les outils prévus par le RGPD. Autant s’en préoccuper dès à présent ! Concrètement, jusqu’au 1er juillet 2021, le Royaume-Uni est toujours considéré comme un Etat membre de l’UE dans le cadre des transferts de données. Si aucune modification n’est requise dans l’immédiat pour continuer à transférer des données personnelles avec le territoire britannique, l’autorité de contrôle britannique ICO recommande aux entreprises britanniques ayant des activités transfrontalières avec les Vingt-sept d’anticiper tout risque potentiel d’interruption des transferts.
L’accord de commerce et de coopération entre l’UE et le RU, conclu le 24 décembre 2020 et en vigueur depuis le 1er janvier 2021, prévoit, en matière de protection des données à caractère personnel, que le RGPD demeure applicable pour une durée maximum de six mois. Cet accord a fait suite à une période transitoire qui courait depuis un premier accord de retrait trouvé le 31 janvier 2020 à minuit. Car les textes européens étant alors encore applicables, cet accord n’ouvrant en réalité qu’une période de transition s’étalant jusqu’au 31 décembre 2020. Rappelons que c’est à la suite du référendum du 23 juin 2016 que le Royaume-Uni a actionné la procédure de retrait de l’Union européenne prévue par l’article 50 du Traité de l’UE. Cette décision en faveur du Brexit (pour « British Exit ») a donné lieu à de nombreuses discussions afin d’organiser cette sortie effective du Royaume-Uni. L’accord conclu entre le RU et l’UE a conduit à l’exclusion de l’autorité britannique du mécanisme de guichet unique. Ce mécanisme permet aux entreprises opérant des traitements transfrontaliers (entre plusieurs Etats membres) de centraliser leur communication avec une seule autorité qualifiée alors de « chef de file » (1). Cette autorité n’est pas choisie par l’entreprise mais correspond à celle du pays dans lequel se situe l’établissement principal de l’entreprise en question. En France, c’est la Commission nationale de l’informatique et des libertés (Cnil). Au Royaume- Uni, c’est l’Information Commissioner’s Office (ICO).
La fin du guichet unique pour le Royaume-Uni signifie donc que les entreprises qui effectuaient des traitements transfrontaliers et qui avaient l’ICO comme autorité chef de file ne pourront plus bénéficier de ce mécanisme. Seuls les responsables de traitement ou sous-traitants ayant un établissement principal au sein de l’Espace économique européen (EEE) pourront continuer de bénéficier du guichet unique, avec pour autorité chef de file, celle du pays dans lequel est implanté ledit établissement. Concernant les entreprises exclusivement basées au Royaume-Uni, il est important de rappeler que le caractère extraterritorial du champ d’application du RGPD rend ce dernier applicable dès lors que les activités de traitement sont liées à une offre de bien ou de service destinée à des personnes concernées de l’Union européenne ou au suivi du comportement de ces personnes. Dès lors, ces entreprises britanniques seront tenues de désigner un représentant au sein de l’Union européenne conformément à l’article 27 du RGPD. Une fois le délai de transition expiré, il faudra appréhender les transferts au Royaume-Uni comme des transferts vers un pays tiers, c’est-à-dire comme un pays situé en dehors de l’EEE.

Une « décision d’adéquation » avec le RU ?
Cependant, le Royaume-Uni, en sa qualité d’ancien Etat membre de l’UE, dispose déjà d’un important arsenal juridique en matière de protection des données avec des dispositifs tels que le « Data Protection Act » ou encore le « Privacy and Electronic Communication Regulations ». Ces textes de loi reprenant déjà la majorité des dispositions du RGPD, il apparaît possible que la Commission européenne autorise de façon générale l’ensemble des transferts de données vers le Royaume-Uni à travers une « décision d’adéquation ». Tel sera le cas si la Commission européenne considère que le Royaume-Uni offre toujours un niveau de protection au moins équivalent à celui exigé au sein de l’UE. Pour autant, il convient de rester vigilant car les dernières déclarations du Premier ministre Boris Johnson annonce une évolution de la législation interne dans le sens d’un assouplissement de cette dernière. L’hypothèse d’une décision d’adéquation semble ainsi s’éloigner notamment compte tenu de l’appartenance du Royaume-Uni au « Five Eyes », alliance des services secrets britanniques, canadiens, australiens, américains et néo-zélandais.

Sinon, explorer les « garanties appropriées »
On rappellera que cette alliance à cinq (également désignée par FVEY), qui remonte à l’époque de la Guerre froide, permet aux agences de renseignement de ces cinq pays de se demander respectivement d’intercepter des communications de leurs citoyens. Ce partage d’informations et de données alerte de plus en plus les institutions et l’opinion publique, notamment depuis les révélations d’Edward Snowden en 2013. Selon ce lanceur d’alerte, les Etats contourneraient leur propre législation nationale en demandant aux membres de l’alliance de collecter des informations pour leur compte, et ce sur le fondement de cet accord. En 2014, la Commission européenne avait publié un rapport (2) confirmant le fait que les agences de renseignement néo-zélandaises et canadiennes auraient coopéré avec la National Security Agency (NSA) dans le cadre du programme Five Eyes et potentiellement partagé activement des données personnelles de citoyens de l’UE. Si l’option « décision d’adéquation » devait être écartée, il conviendra alors d’explorer d’autres solutions, notamment les « garanties appropriées » prévues par le RGPD. Il s’agit soit des clauses contractuelles types (CCT) à insérer dans le contrat entre l’importateur et l’exportateur de données (3), soit des règles d’entreprise contraignantes (BCR) qui désignent les règles internes de protection des données applicables entre exportateur et importateur de données au sein d’un groupe d’entreprise (4), soit encore d’outils tels que : code de conduite, mécanisme de certification, instrument juridique contraignant entre autorités publiques, etc (5).
Le RGPD prévoit également certaines dérogations exceptionnelles. L’organisation souhaitant transférer des données en dehors de l’EEE pourrait ainsi faire valoir l’une de ces dérogations à condition que le transfert ait un caractère exceptionnel (ni régulier, ni structurel) et qu’aucun autre cadre juridique ne puisse être utilisé. Tel est le cas lorsque la personne concernée consent au transfert de ses données ou lorsque le transfert de données est nécessaire à la conclusion ou à l’exécution d’un contrat ou encore lorsque le transfert est nécessaire par exemple à l’exercice des droits de la défense dans le cadre de procédures judiciaires. On notera cependant que, dans tous les cas, il appartient au responsable de traitement et au destinataire des données de vérifier, préalablement à tout transfert, si le pays tiers permet en pratique d’assurer un niveau de protection essentiellement équivalent à celui garanti dans l’UE par le RGPD, et notamment que les personnes concernées disposent de droits opposables et de voies de droit effective (6). Cette règle a été rappelée par la Cour de justice de l’Union européenne (CJUE), dans son arrêt « Schrems II » (7) du 16 juillet 2020. On rappellera que, dans cette affaire, Maximillian Schrems, défenseur autrichien de la protection des données personnelles, avait sollicité l’interdiction ou la suspension du transfert de ses données personnelles par Facebook Ireland à la maison mère Facebook Inc. établie aux Etats-Unis. Ce dernier considérait que la législation américaine ne permettait pas en pratique de protéger adéquatement les données personnelles détenues sur son territoire contre l’accès des autorités publiques et qu’il n’y avait pas de recours efficace pour les personnes concernées européennes. La CJUE étant particulièrement regardante sur l’effectivité des droits des personnes concernées ainsi que sur leur exercice, c’est précisément ce qui a fondé l’invalidation du « Privacy Shield » au sein de cette décision.
De même, si la CJUE a confirmé la validité des clauses contractuelles types comme outil de transfert, il est important de préciser que ces clauses ne lient pas les autorités des pays tiers, en raison de leur caractère contractuel. Ainsi, dans les situations où la législation de ces pays compromettrait en pratique le niveau de protection adéquat que ces outils garantissent, la CJUE incite à prévoir des mesures supplémentaires. De nature technique, contractuelle ou organisationnelle selon les recommandations du Contrôleur européen de la protection des données (CEPD), ces mesures permettraient d’assurer l’effectivité des « garanties appropriées » au sein de ces systèmes juridiques (8). Toutefois, en fonction des caractéristiques du transfert de données envisagé, et de l’évaluation de la législation du pays tiers faite par l’importateur et l’exportateur des données, si aucune mesure supplémentaire efficace ne peut être mise en œuvre pour garantir le niveau de protection équivalent, il conviendra de renoncer au transfert.

Considérer le RU comme « pays tiers »
En conclusion, si le RGPD reste applicable aux transferts de données vers le Royaume-Uni jusqu’au 1er juillet 2021, il n’est certainement pas trop tôt pour anticiper la suite. En l’absence d’une décision d’adéquation avant cette date butoir, les transferts de données devront être considérés comme ayant pour destination un pays tiers. De ce fait, il est d’ores et déjà recommandé d’identifier les traitements en question pour, le jour venu, adopter l’une des solutions évoquées à l’aune de la future législation britannique. @

* Christiane Féral-Schuhl, ancienne présidente
du Conseil national des barreaux (CNB)
après avoir été bâtonnier du Barreau de Paris,
est l’auteure de « Cyberdroit » paru aux éditions Dalloz.