Archives par mot-clé : Juridique

Différence entre les blocages de TeamAlexandriz (2021) et de Z-Library (2022) : le rôle de l’Arcom

Publié le par

Prise le 25 août 2022 par le tribunal judiciaire de Paris, la décision de blocage des adresses Internet de Z-Library – vaste bibliothèque en ligne – est applaudie par les maisons d’édition en France. Mais le piratage d’ebooks, avec ses sites miroirs désormais listés par l’Arcom, est sans frontières.

Orange, Bouygues Telecom, SFR et Free sont obligés rendre inaccessible sur l’Hexagone la bibliothèque en ligne Z-Library, condamnée pour contrefaçon de livres numériques. Edition Multimédi@ a constaté que le blocage sur les « box » de ces fournisseurs d’accès à Internet (FAI) était effectif : « Désolé, impossible d’accéder à cette page », nous a confirmé le navigateur en voulant par exemple aller sur « fr.z-lib.org » ou sur « http://z-lib.org ». Le jugement du 25 août 2022, que nous nous sommes procurés (1), liste 209 noms de domaine de Z-Library à rendre inaccessibles « pendant une durée de 18 mois ». Sont ainsi neutralisés autant de sites dits « miroirs » permettant jusqu’alors d’entrer dans cette bibliothèque parallèle géante, qui est une des multiples déclinaisons de Library Genesis d’origine russe.

Listes noires des sites et des miroirs
Le Syndicat national de l’édition (SNE) et une douzaine de maisons d’édition (Actes Sud, Albin Michel, Cairn, Editis, Hachette Livre, Humensis, Lefebvre-Sarrut, LexisNexis, Madrigall, Maison des Langues, Odile Jacob, et les Presses de Science Po) avaient attaqué le 29 juin 2022 le site web Zlibrary devant le tribunal judiciaire de Paris, dans le cadre d’une procédure accélérée au fond. Vingt-cinq jours après le rendu de la décision de blocage (le temps que la signification du jugement aux FAI soit faite aux interressés), le SNE s’est notamment félicité des « nouvelles prérogatives confiées à l’Arcom en matière d’extension du blocage à tout lien redirigeant vers une réplique de site bloqué ».
Et pour cause, l’Autorité de régulation de la communication audiovisuelle et numérique (née de la fusion entre le CSA et l’Hadopi) se retrouve aux avant-postes de la lutte contre le piratage en ligne. Et ce, depuis la promulgation il y a presqu’un an de la loi du 25 octobre 2021 « relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique » (2). C’est cette loi « Anti-piratage » qui a porté sur les fonts baptismaux législatifs l’Arcom – présidée par Roch-Olivier Maistre (photo) jusqu’en janvier 2025 – en lui attribuant de nouveaux pouvoirs de régulation, notamment en la chargeant de constituer « une liste » – surnommée, hors texte de loi, « liste noire » – des « services porta[n]t atteinte, de manière grave et répétée, aux droits d’auteur ou aux droits voisins ». En outre, l’Arcom a le pouvoir supplémentaire de « lutte contre les sites miroirs ». Ainsi, la loi « anti-piratage » a rajouté une disposition « sites miroirs » dans le code de la propriété intellectuelle (CPI) qui permet à « un titulaire de droits partie à la décision judiciaire » – par exemple l’un des douze maisons d’édition dans l’affaire « ZLibrary » – de saisir l’Arcom pour lui demander de mettre à jour la décision de blocage avec les nouvelles adresses Internet des sites miroirs. En l’occurrence, le blocage à effectuer par les FAI devra suivre l’évolution de la liste noire qui dépassera sûrement les 209 noms de domaine initialement identifiées. Pour l’heure, dans l’affaire « Z-Library », la décision de justice a été rendue le 25 août 2022 : il ne reste plus qu’à un ayant droit concerné de saisir l’Arcom en s’appuyant sur l’article L. 331-27 du CPI. Que dit-il ? « Lorsqu’une décision judiciaire passée en force de chose jugée a ordonné toute mesure propre à empêcher l’accès à un service de communication au public en ligne en application de l’article L. 336-2 [du CPI, nous y reviendrons, ndlr], l’Autorité de régulation de la communication audiovisuelle et numérique [Arcom], saisie par un titulaire de droits partie à la décision judiciaire, peut demander à toute personne visée par cette décision (…) d’empêcher l’accès à tout service de communication au public en ligne reprenant en totalité ou de manière substantielle le contenu du service mentionné par ladite décision ». Bref, toute nouvelle apparition d’un site miroir lié de près ou de loin à la plateforme pirate condamnée devra faire aussi l’objet d’un blocage de la part non seulement des quatre principaux opérateurs télécoms français mais aussi des moteurs de recherche ou des annuaires de référencement (si le juge le décide).
Pour ce faire, c’est l’Arcom qui communiquera « précisément » à tous ces acteurs « les données d’identification du service en cause » à bloquer et à déréférencer. La loi « anti-piratage » prévoit même que l’Arcom passe des accords avec« les ayants droit et toute personne susceptible de contribuer à remédier aux atteintes aux droits d’auteur et droits voisins en ligne » pour déterminer notamment les conditions d’« information réciproque » sur l’existence de tout site miroir.

Saisines « L. 336-2 » et « L. 331-27 »
L’Arcom peut en outre – « en cas de difficulté » – demander aux services de communication au public en ligne de se justifier. En lisant la fin de l’article L. 331-27 du CPI, l’on comprend implicitement que l’Arcom peut saisir, « en référé ou sur requête », l’autorité judiciaire pour « ordonner toute mesure destinée à faire cesser l’accès à ces services ». Cette saisine-là peut se faire « sans préjudice de la saisine prévue à l’article L. 336-2. ». Il y a donc deux types de saisine des tribunaux pour faire bloquer et déréférencer des sites web pirates d’œuvres ou d’objets protégés par le droit d’auteur : la saisine « L. 336-2 » par des titulaires de droits, leurs ayants droit, des organismes de gestion collective, des organismes de défense professionnelle, ou même par le CNC – le Centre national du cinéma et de l’image animée (3) ; la saisine « L. 331-27 » par l’Arcom (bien que cela ne soit pas clairement spécifié dans le texte de loi) lorsqu’elle-même est saisie par un titulaire de droits concerné par la décision judiciaire rendue à l’issue de la première saisine. Cette justice à deux détentes (liste noire initiale des sites web à neutraliser, liste noire mise à jour avec les sites miroirs) tend vers le black-out – total ? – de la plateforme incriminée. Prochains : Pirate Library Mirror, Bookys, … « Ce succès collectif vient conclure l’expérimentation inédite de cette procédure pour le livre, et ouvre la voie à de nouvelles actions – des éditeurs et du SNE – de blocage et de déréférencement, rapides et systématiques, contre des sites web proposant des contenus illicites violant le droit d’auteur », a prévenu le syndicat présidé par Vincent Montagne (PDG du groupe franco-belge Média-Participations).
Autant lors de la précédente affaire « Team Alexandriz », dont les responsables ont été condamnés au pénal en mai 2021 au bout de dix ans de procédure judiciaire (4), les sites miroirs passaient sous les radars, autant depuis la loi « Anti-piratage » d’octobre 2021 permet aux ayants droit et à l’Arcom d’agir devant la justice contre la résurgence de sites miroir dans une même affaire de type « Z-Library ». « Se présentant “comme une bibliothèque gratuite depuis 2009”, mais proposant un modèle payant d’accès aux œuvres contrefaites, le site Z-Library accessible via de multiples adresses, proposait un accès à plus de 8 millions de livres – tous secteurs éditoriaux confondus – et 80 millions d’articles piratés », précise le SNE qui compte 700 éditeurs français adhérents. Le site Z-Library (ex-BookFinder ou BookFi, alias B.ok.cc), affichait, lui, avant d’être blacklisté, un catalogue de 11,1 millions de livres et plus de 84,8 millions d’articles. Quelques jours avant d’être bloqué par Orange, SFR, Bouygues Telecom et Free, cette « plus grandes bibliothèques en ligne dans le monde » lançait une « campagne de collecte » jusqu’au 1er octobre 2022 en guise d’« appel de fonds à tous ceux qui veulent contribuer encore plus au soutien et au développement de notre projet » (5). Certains internautes avisés peuvent contourner le blocage-filtrage par nom de domaine mis en place par les FAI (les DNS étant retirés de leurs répertoires d’adresses IP) et les principaux moteurs de recherche (déréférencement).
La précédente affaire « Team Alexandriz » avait été enclenchée il y a dix ans, avec là aussi la plainte du SNE, déposée en novembre 2012 avec six grands éditeurs français – Hachette, Editis, Gallimard, Albin Michel, La Martinière et Actes Sud. Le site qui se revendiquait comme le « n°1 sur les ebooks FR » avait cessé de fonctionner dès fin août 2013 mais la procédure judiciaire a continué pour s’éterniser près de dix ans (6), jusqu’à la condamnation pour contrefaçon de neuf des douze prévenus avec « circonstance aggravante de bande organisée ». Entre mai 2010 et juin 2013, était-il précisé, ce fut plus de 23.942 livres qui avaient été piratés, qu’il s’agisse de livres numériques sur lesquels les mesures de protection avaient été retirées ou de livres imprimés illégalement numérisés et corrigés (7). Certains responsables de Team Alexandriz ont écopé de peines d’emprisonnement avec sursis et le tribunal a condamné les neuf à « 10.000 euros de dommages et intérêts pour chaque éditeur et pour le SNE, en réparation du préjudice subi ». C’est relativement peu au regard de la peine maximale qu’ils encouraient : trois ans d’emprisonnement et de 300 000 euros d’amende, selon l’article L335-4 du CPI (8).
Avec la loi « Anti-piratage » et le renfort de l’Arcom dans les actions judiciaires en « procédure accélérée », le SNE et les maisons d’éditions disposent désormais d’un double-levier procédural à leur disposition. A qui le tour : à Pirate Library Mirror ? Ce site web déclare : « Nous violons délibérément la loi sur le droit d’auteur dans la plupart des pays. (…) Miroir – Nous sommes strictement un miroir des bibliothèques existantes. (…) La première bibliothèque que nous avons reflétée est Z-Library. C’est une bibliothèque populaire (et illégale). Ils ont pris la collection Library Genesis et l’ont rendue facilement consultable » (9). Ou bien à Bookys ? Ce site web le reconnaît : « En rendant le téléchargement gratuit, Bookys enfreint les règles de protection des droits d’auteurs » (10).
Reste que la portée de ces condamnations au pénal pour contrefaçon a ses limites puisque celles-ci ne s’appliquent qu’en France. Alors que les sites et de leurs sites miroirs présumés pirates sont sans frontières. Le règlement européen sur les services numériques – le DSA (Digital Services Act) – est sur le point d’entrer en vigueur. Il prévoit lui aussi le blocage mais sur décision d’un juge. Ce ne seront ni les FAI, ni les plateformes numériques, ni les régulateurs qui peuvent bloquer d’eux-mêmes les contenus piratés.

Frontières : vers un blocage européen
L’affaire « Z-Library » apparaît comme un marqueur dans l’histoire de la lutte contre le piratage de contenus protégés. Du moins en France, en attendant des actions au niveau européen lorsque le DSA sera pleinement applicable. Si les livres numériques sont concernés par cette décision de blocage du 25 août 2022, à laquelle l’Arcom contribue devant la justice avec la mise à jour de sa liste des sites miroirs et d’éventuels nouveaux recours, le nouvel arsenal judicaire est à la disposition de toutes les industries culturelles : livre mais aussi musique, cinéma, retransmissions sportifs, ou encore jeux vidéo. @

Charles de Laubier

Rapport « NFT » au CSPLA : jetons non-fongibles et propriété intellectuelle font-ils bon ménage ?

Publié le par

La question de la nature juridique des NFT n’est pas près d’être tranchée. Le rapport « Martin-Hot », remis au Conseil supérieur de la propriété littéraire et artistique (CSPLA), soulève les difficultés et fait des recommandations. Dommage que ni l’Arcom ni des magistrats n’aient été consultés.

Par Véronique Dahan, avocate associée, et Jérémie Leroy-Ringuet, avocat, Joffe & Associés.

Le Conseil supérieur de la propriété littéraire et artistique (CSPLA), instance consultative chargée de conseiller le ministère de la Culture, s’est vu remettre, le 12 juillet 2022, un rapport sur les jetons non-fongibles, ou NFT (1). L’objectif fixé à leurs auteurs – Jean Martin, président de mission, et Pauline Hot, la rapporteure – était de dresser un état des lieux et une analyse du phénomène du développement des NFT en matière littéraire et artistique.

Nature juridique : question non tranchée
Le rapport formule également vingt propositions destinées à informer les acteurs et à encadrer et sécuriser le marché, à un moment où les ventes de NFT connaissent un important reflux : près de 6 milliards de dollars de volume de ventes en janvier 2022 contre moins de 700 millions en juillet et même à peine 370 millions en août (2). Nous retenons de ce dense rapport de près de cent pages (3) la caractérisation d’une triple difficulté : celle de qualifier juridiquement les NFT, celle de les encadrer juridiquement, et celle de sanctionner des usages contrefaisants qu’ils occasionnent.

La difficile qualification juridique et l’objectif pratique des NFT en matière de propriété littéraire et artistique. Le rapport part d’une constatation de la difficulté de définir les NFT, qualifiés d’« objets juridiques non identifié » (4). Il écarte toute une série de catégories juridiques : les NFT ne sont pas des œuvres d’art puisqu’ils sont le résultat de processus de codage automatisés et non le produit original de l’empreinte de la personnalité d’un auteur ; ils ne sont pas des supports d’œuvres d’art puisque, la plupart du temps, ils ne contiennent pas l’œuvre mais l’indexent ; ils ne sont ni des certificats d’authenticité ni des éléments de DRM (5) puisqu’ils peuvent porter sur des faux ou des contrefaçons ; enfin, ils ne sont pas des contrats, notamment du fait que les parties sont identifiées par des pseudonymes et que le langage de nature logicielle du NFT ne permet pas de s’assurer du consentement des parties sur le contenu du contrat. Le rapport finit par retenir plutôt la qualification, « souple », de « titre de droits sur un jeton mais aussi sur un fichier, dont l’objet, la nature, et l’étendue varie en fonction de la volonté de son émetteur exprimée par les choix techniques et éventuellement juridiques associés au smart contract ». Les NFT seraient donc assimilables à des biens meubles incorporels correspondant à des titres de propriété. Mais quand on sait que la doctrine n’est toujours pas d’accord sur la qualification d’un droit de marque (droit personnel ? droit mobilier incorporel, donc réel ? titre de propriété dont l’objet comprend les composantes traditionnelles d’usus, fructus et abusus ?), on peut imaginer que la question de la nature juridique du NFT n’est pas près d’être tranchée. Quoi qu’il en soit, le rapport liste une série d’usages actuels ou potentiels des NFT dans le secteur littéraire et artistique, qui compose un paysage assez complet. Ce que l’on peut résumer en disant que les NFT représentent de nouvelles opportunités économiques pour les ayants droit. Il peut s’agir tout d’abord de nouveaux usages monnayés : vente d’œuvres « natives » NFT, de copies numériques d’œuvres préexistantes, de prestations associées propres à créer ou renforcer des communautés de « fans », etc.
Ces nouveaux usages monnayables pourraient particulièrement intéresser de nouveaux publics et donc de nouveaux consommateurs. Il peut ensuite s’agir de favoriser le financement de projets littéraires et artistiques : des NFT peuvent être offerts en contrepartie d’un apport à des financements participatifs de films, de publications, d’expositions, … Enfin, l’usage de NFT permet d’authentifier certains droits et de prévenir des usages contrefaisants, au moyen de smart contracts dont le rapport pointe toutefois les limites eu égard au formalisme requis, pour certains contrats, par le code de la propriété intellectuelle. Ainsi, les NFT pourraient être utilisés pour la billetterie de spectacles ou pour encadrer l’usage d’une œuvre sur laquelle des droits sont transférés.

Auteur, titulaire de droits et plateforme
Le rapport recommande donc d’effectuer un travail pédagogique auprès des différents acteurs pour encourager les usages vertueux des NFT, et à clarifier leur régime juridique par des voies normatives.
Le difficile encadrement de l’usage des NFT. Créer un NFT revient soit à créer une œuvre native NFT, soit à créer la copie privée d’une œuvre acquise par le créateur du NFT. Dès lors, le rapport rappelle que ce n’est pas tant la création d’un NFT elle-même qui peut présenter un risque de non-respect des droits que l’inscription du NFT sur une plateforme spécialisée dans l’achat et la revente de NFT. En effet, le créateur du NFT ne peut l’inscrire sur cette plateforme que s’il est auteur ou titulaire des droits sur l’œuvre vers laquelle le NFT « pointe ». Or le rapport rappelle que 80 % des NFT actuellement en ligne sur la plateforme OpenSea, par exemple, sont des contrefaçons ou du spam. Ce qui représente d’ailleurs des risques pour les consommateurs potentiellement abusés.

Les ayants droit en position de force ?
Le rapport évoque bien sûr l’apport de la technologie blockchain sur la sécurisation de la chaîne des droits : les smart contracts liés aux NFT « pointant » vers des œuvres pourraient prévoir une « forme d’automatisation des royalties » qui, si elle ne mettra certainement pas fin aux litiges en la matière, placera les ayants droit en position de force. Le rapport analyse également en détail l’interaction potentielle du droit de suite avec les NFT. Selon le rapport, si les NFT permettent un paiement automatique des ayants droit identifiés dans le smart contract à l’occasion de chaque transfert de droits, il ne semble pas possible de tirer profit de cette technologie pour faire une application du « droit de suite » au sens de l’article L. 122-8 du code de la propriété intellectuelle. Et ce, en raison des critères spécifiques afférents à ce droit, notamment celui du transfert de propriété par un professionnel de la vente d’œuvres.
Enfin, le rapport s’interroge sur la qualification d’atteinte au droit moral par l’inscription d’un NFT sans l’accord de l’auteur de l’œuvre vers laquelle « pointe » le NFT : si, par exemple, une œuvre musicale est reproduite sous forme de fichier mp3, fortement compressé, ou si elle est reproduite sans mention du nom du compositeur, l’atteinte devrait pouvoir être aisément caractérisée ; mais dans le cas contraire, il restera un débat sur la question de savoir si la « transformation » d’une œuvre en NFT peut constituer une violation du droit moral.
Pour favoriser un écosystème vertueux du marché des NFT, le rapport propose l’élaboration de chartes de bonnes pratiques aux niveaux national et européen, ainsi que le développement d’outils d’observation du marché de nature à accroître la transparence sur les mouvements de fonds.
L’encore incertaine sanction des usages de NFT contrefaisants. Un des apports les plus intéressants du rapport est son analyse du statut des plateformes de NFT et des sanctions qu’elles pourraient subir, notamment en raison de la grande présence de contrefaçon parmi les NFT hébergés. Selon le rapport, il n’est pas exclu que le régime des fournisseurs de services de partage de contenu en ligne s’applique à celles qui proposent l’achat et la vente de NFT, et donc que la responsabilité des plateformes soit engagée si elles ne retirent pas promptement les contenus contrefaisants, comme l’exige la loi « Confiance dans l’économique numérique » de 2004. On regrettera, à ce sujet, qu’aucune personne de l’Arcom (ex-CSA et Hadopi) n’ait été consultée par la mission. Il est regrettable aussi de ne pas avoir consulté des magistrats spécialisés en propriété intellectuelle pour anticiper l’appréciation par les tribunaux des NFT allégués de contrefaçon et de l’application de l’arsenal procédural anti-contrefaçon. Ainsi, les praticiens pourront s’interroger sur les conditions pratiques et juridiques de la récolte de preuves de contrefaçon par des NFT : quid de la possibilité de réaliser une saisie contrefaçon descriptive, par exemple ? Il conviendrait donc que les propositions d’informations et de réflexions prônées par le rapport visent également les juges.
Nous sommes plus optimistes que le rapport sur la compétence des tribunaux français pour des atteintes à des droits d’auteur dont les titulaires sont français : les clauses attributives de juridiction des conditions générales de vente (CGV) et des conditions générales d’utilisation (CGU) des plateformes hébergeant les NFT contrefaisants ne seront pas opposables aux auteurs des œuvres contrefaites. Et la reconnaissance de plus en plus large du critère d’accessibilité en matière de contrefaçon en ligne devrait assurer la compétence des tribunaux nationaux pour des actes commis sur des sites accessibles depuis la France.
Mais le rapport soulève une question intéressante : le « caractère immuable » de la blockchain semble rendre quasiment impossible la suppression définitive de NFT contrefaisants, sinon par une procédure de « brûlage » du NFT consistant à le rendre inaccessible et par un déréférencement de la copie contrefaisante de l’œuvre, liée au NFT. La technologie évoluera peut-être encore mais, en l’état, la difficulté à faire disparaître un NFT empêche le contrefacteur de faire disparaître les preuves de la contrefaçon tout en gênant l’exécution de décisions qui ordonneraient la suppression des NFT contrefaisants.

Le « proof of stake » moins énergivore
Enfin, on saluera les alertes et les propositions écologiques du rapport à propos de l’empreinte énergétique des NFT, encore mal définie mais que l’on peut comparer à celle du bitcoin, soit plusieurs dizaines de térawatts-heure (TWh) par an, c’est-à-dire la consommation électrique de pays entiers. La plupart des blockchains fonctionnent aujourd’hui sous des modèles de « preuve de travail » (proof of work) gourmandes en énergie. Or des modèles de « preuve de participation » (proof of stake) apparaissent, qui ne reposent pas sur la puissance de calcul des utilisateurs, mais sur leur participation à la crypto-monnaie. La blockchain Ethereum, très utilisée pour les NFT, est ainsi bien moins énergivore (6) depuis le 15 septembre 2022. @

RGPD : toute personne a un droit d’accès étendu à ses données personnelles, à deux limites près

Publié le par

La Cour de justice de l’Union européenne (CJUE) devrait suivre les conclusions de son avocat général sur l’interprétation étendue de l’article 15 du RGPD donnant droit aux individus l’accès à leurs données personnelles et à l’identité des destinataires de ces données. Sauf dans deux cas de figure.

D’après Giovanni Pitruzzella, avocat général à la Cour de justice de l’Union européenne (CJUE).

Giovanni Pitruzzella (photo), avocat général à la Cour de justice de l’Union européenne (CJUE), a présenté le 9 juin dernier ses conclusions dans une affaire opposant un citoyen autrichien dit « RW » et la poste autrichienne Österreichische Post (OP). Le litige commence en janvier 2019 lorsque le premier a demandé à la seconde d’accéder aux données à caractère personnel le concernant. Sa demande portait non seulement sur ses données personnelles conservées par l’OP, mais aussi celles communiquées à des tiers – afin d’être informé sur l’identité des destinataires. Et ce, en application de l’article 15 « Droit d’accès de la personne concernée » du RGPD, le règlement général européen sur la protection des données (1).

Le « ou » de la discorde
La poste autrichienne a répondu à RW en lui expliquant qu’elle utilise des données dans le cadre de son activité d’éditeur d’annuaires téléphoniques et qu’elle les propose à des partenaires commerciaux à des fins de marketing. L’OP a aussi renvoyé le requérant vers deux sites web d’information, l’un sur les finalités du traitement des données, l’autre sur les catégories générales de destinataires auxquels elle communique les données à caractère personnel (en l’occurrence à des partenaires commerciaux, parmi lesquels des annonceurs dans le secteur de la vente par correspondance et du commerce physique, des entreprises informatiques, des éditeurs d’annuaires téléphoniques et des associations telles que des organisations caritatives, des ONG ou des partis politiques). Pour autant, à aucun moment, l’OP n’a révélé à RW les destinataires spécifiques auxquels elle avait communiqué ses données.
L’intéressé a alors introduit un recours pour tenter de faire condamner la poste autrichienne à lui fournir davantage d’informations en application de l’article 15 du RGPD, concernant notamment d’éventuels transferts de ses données à caractère personnel à des tiers, ainsi que le ou les destinataires spécifiques auxquels ces données ont été communiquées. La demande de RW a ensuite été rejetée par les juridictions autrichiennes, tant en première instance qu’en appel, en invoquant le fait que l’article 15 du RGPD mentionne – parmi les huit types d’informations que doit fournir le responsable du traitement des données – « les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées ». C’est ce « ou » qui rend flou l’interprétation de cet article 15. Selon l’avocat général de la CJUE, « cette disposition accorde au responsable du traitement la possibilité de choisir de se limiter à communiquer à la personne concernée les catégories de destinataires, sans devoir indiquer de manière nominative les destinataires spécifiques auxquels ses données à caractère personnel sont transmises ».
Or, sur ce point, il y a débat justement, certains voyant au contraire dans ce « ou » la possibilité pour la personne concernée soit de se contenter d’obtenir du responsable du traitement des données les « catégories » de destinataires auxquels ses données personnelles ont été communiquées, soit d’aller plus loin en exigeant la liste spécifique de ces mêmes destinataires. C’est dans ce sens que le citoyen RW s’est pourvu en cassation en introduisant un nouveau recours. Du coup, la cour suprême d’Autriche – Oberster Gerichtshof – a eu un doute quant à l’interprétation de l’article 15 du RGPD qui a été retenue par les juridictions du fond, et a donc décidé de surseoir à statuer et de poser à la CJUE la question préjudicielle suivante : « L’article 15, paragraphe 1, sous c), du [RGPD] doit-il être interprété en ce sens que le droit d’accès [de la personne concernée] est limité à l’information sur les catégories de destinataires si les destinataires concrets ne sont pas encore connus lorsque les communications sont envisagées, mais qu’il doit impérativement s’étendre également à l’information sur les destinataires de ces informations lorsque des données ont déjà été communiquées ? ».

L’interprétation de l’article 15
Après avoir rappelé que l’article 15 du RGPD concrétise et précise le droit de toute personne d’accéder aux données la concernant, lequel droit est consacré par la charte des droits fondamentaux de l’Union européenne (2), l’avocat général Giovanni Pitruzzella s’est attardé plus précisément sur l’interprétation du « ou » (dans « les destinataires ou catégories de destinataires ») : « Le libellé de la disposition (…) ne permet pas (…), indique-t-il, d’apporter une réponse définitive à la question de savoir s’il convient de considérer que le droit d’accès de la personne concernée qui est prévu à cet article inclut nécessairement l’accès à des informations relatives aux destinataires précis de la communication de données à caractère personnel la concernant, ou si sa portée peut être limitée à l’accès à des informations relatives aux catégories de destinataires ». Et d’ajouter : « Cette disposition ne précise pas non plus explicitement s’il est possible de choisir entre les deux catégories d’informations possibles qui sont prévues (à savoir les “destinataires” ou les “catégories de destinataires“) ni à qui (c’est-à-dire à la personne concernée ou au responsable du traitement) il appartient, le cas échéant, de choisir à quel type d’informations l’accès doit être garanti ». Informations sur les destinataires Cependant, Giovanni Pitruzzella indique privilégier une interprétation de la disposition permettant à la personne concernée – « et donc pas au responsable du traitement comme l’ont jugé les deux juridictions nationales du fond dans la présente affaire » – de choisir entre les deux solutions alternatives qui y sont prévues. Et, dans cette logique, cet article prévoit le droit pour la personne concernée de demander, lorsque c’est possible, l’accès aux informations relatives aux destinataires spécifiques auxquels ses données à caractère personnel sont communiquées. Pour conforter cette interprétation, l’avocat général a rappelé le considérant 63 du RGPD prévoyant explicitement que la personne concernée doit « avoir le droit de connaître et de se faire communiquer […] l’identité des destinataires de ces données à caractère personnel ». Aussi, dans cette affaire « RW contre l’OP », ce considérant ne mentionne en aucune manière que ce droit d’accès de la personne concernée pourrait être limité, à la discrétion du responsable du traitement, aux seules catégories de destinataires.
La spécification des destinataires auxquels les données à caractère personnel de l’individu sont communiquées participe en outre à l’objectif du RGPD visant à la transparence des modalités de traitement des données à l’égard des personnes concernées, lesquelles peuvent prendre connaissance du traitement de leurs données et d’en vérifier la licéité : « L’exercice de ce droit d’accès doit, en particulier, permettre à la personne concernée de vérifier non seulement que les données la concernant sont exactes, mais également qu’elles ont été communiquées à des destinataires autorisés. Cela présuppose en principe que les indications fournies soient les plus précises possibles », relève Giovanni Pitruzzella. Le considérant 39 du RGPD consacre aussi le principe de transparence (3). De plus, ce droit d’accès permet à la personne concernée d’exercer le droit de rectification, le droit à l’effacement – le droit à l’oubli – et le droit à la limitation du traitement qui lui sont conférés par, respectivement, les articles 15, 17 et 18 du RGDP. Aussi, le responsable du traitement est tenu de notifier à chaque destinataire – auquel les données à caractère personnel ont été communiquées – toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué, « à moins qu’une telle communication se révèle impossible ou exige des efforts disproportionnés » (4).
Les destinataires ainsi informés sont dès lors obligés de procéder immédiatement à la rectification, à l’effacement ou à la limitation du traitement, pour autant qu’ils sont encore en train de traiter les données en question. En conséquence, afin de garantir l’effet utile des droits de la personne concernée à l’effacement, à la rectification ou à la limitation du traitement, celle-ci doit disposer – « en principe » – d’un droit à être informée de l’identité des destinataires spécifiques.
Néanmoins, l’avocat général de la CJUE voit « une limite » à cette extension du droit d’accès prévu par le RGPD, « dans au moins deux cas de figure » :
Dans le cas où il est matériellement impossible de fournir des informations sur les destinataires spécifiques, par exemple parce que ceux-ci ne sont pas encore effectivement connus. Aussi, dans ce cas, le droit d’accès de la personne concernée ne pourra porter que sur les « catégories » de destinataires.
L’exercice du droit d’accès de la personne concernée doivent être examinés au regard des principes de loyauté et de proportionnalité. Les demandes de la personne concernée ne doivent pas être manifestement infondées ou excessives et que, si tel est le cas, le responsable du traitement peut également refuser de donner suite à ces demandes.
Au-delà de ces deux cas de figure limitatifs, Giovanni Pitruzzella a rappelé qu’il convenait de « trouver un juste équilibre entre, d’un côté, l’intérêt de la personne à protéger sa vie privée (…) et, de l’autre, les obligations incombant au responsable du traitement ».

Deux limitations sont avancées
Conclusion de l’avocat général que la CJUE devrait suivre dans son prochain arrêt – comme elle le fait le plus souvent : « Il est possible de limiter ce droit d’accès à la seule indication des catégories de destinataires lorsqu’il est matériellement impossible d’identifier les destinataires spécifiques de la communication des données à caractère personnel de la personne concernée ou lorsque le responsable du traitement démontre que les demandes de la personne concernée sont manifestement infondées ou excessives » (5). @

Charles de Laubier

Un NFT est un OJNI dissociant l’unicité d’un bien, lequel suppose une licence d’utilisation

Publié le par

Toute transaction de NFT confère un droit qui n’est pas un droit de propriété, contrairement à ce que laissent supposer les plateformes de commercialisation, mais seulement l’octroi d’une licence d’utilisation restreinte, temporaire, donnée par le créateur du NFT à un souscripteur. Explications.

Par Fabrice Lorvo*, avocat associé, FTPA.

La révolution numérique nous a propulsé dans l’univers de la dématérialisation. Sa première vague, par l’intermédiaire des plateformes, nous a initiés à la dissociation entre la propriété et son usage. Amazon est le plus grand magasin au monde sans posséder de magasins – même si à la marge sa stratégie brick-and-mortar point (1). De même, Airbnb semble être le plus grand hôtelier planétaire sans posséder un seul hôtel et Uber est sans doute la plus grande entreprise de transport sans posséder une seule voiture.

Non-fongible, unique et original
Avec le NFT (Non-Fungible Token, ou jeton non-fongible), nous découvrons la dissociation d’un bien avec son support. Un NFT est un actif numérique unique associé à un support électronique parfois extrêmement banal (un fichier au format jpeg, mp3 ou mp4, etc.). Un NFT peut représenter n’importe quoi. Il peut être une image, un son, une vidéo ou encore un écrit. Il peut être créé par n’importe qui, donc par chacun d’entre nous. L’unicité comme la traçabilité de cet actif unique sont certifiées par un dépôt dans la blockchain, à savoir une chaîne de blocs cryptée de bout-en-bout qui permet d’assurer la traçabilité et l’authenticité des transactions de façon décentralisée. Un tout récent rapport formule une définition : « Concrètement, l’acquisition d’un jeton non-fongible (“JNF” en français, “NFT” en anglais) correspond à l’acquisition d’un jeton inscrit sur la blockchain et associé à un “smart contract” (contrat intelligent, en français), qui renvoie à un fichier numérique (image, son, vidéo, …) » (2).
Ce nouvel outil numérique prometteur – mais aux allures d’OJNI (objet juridique non identifié) – n’est pas facilement appréhendable par le grand public du fait de sa totale dématérialisation, et cette difficulté est renforcée par la confusion entre l’objet (le NFT), le lieu d’échange (la plateforme de commercialisation) et les conditions de l’échange (l’environnement numérique). Bien que difficilement conceptualisable, le NFT connaît une très forte notoriété, probablement du fait du fantasme implicite d’une plus-value immédiate et importante. Quel est le concept ? Dans le domaine de l’art, par exemple, un NFT est une œuvre originale (c’est notre postulat mais gare aux contrefaçons), qui est soit directement créée de manière numérique, soit représentant numériquement une œuvre qui existe déjà sur un autre support matériel (comme une toile). Ce NFT peut représenter l’œuvre intégralement ou par morceau, comme une pièce de puzzle (ou «mass »). Cette « chose » (le jeton) est dite « non-fongible » car elle ne peut pas être échangée contre quelque chose de valeur égale. A l’inverse, une pièce de 1 euro est un bien fongible car elle peut être échangée avec une autre pièce de 1 euro qui aura la même valeur. Etant unique, le NFT est doublement non-fongible : un NFT n’a pas la même valeur qu’un autre NFT – le NFT « Merge » détient pour le moment le record avec une vente estimée autour de 91,8 millions de dollars (3). De plus, il peut exister plusieurs représentations d’un même NFT sur un même support (fichier au format jpeg par exemple) mais seul celle qui a été désignée comme unique par son auteur et authentifiée comme telle sur une blockchain a de la valeur. Si l’on fait abstraction de la plateforme et des conditions de commercialisation, au moins dans le domaine de l’art, le NFT n’est donc qu’une représentation virtuelle d’une œuvre dissociée de son support. Dans le monde matériel, l’unicité c’est à la fois le fait qu’il n’existe pas le même type d’œuvre sur le même type de support (approche objective) et qu’une seule personne puisse la détenir (approche subjective). En pratique, les deux se confondent. Lorsqu’on achète « une toile », on possède à la fois le support de la peinture et l’image de la peinture.
Dans le monde numérique, du fait de la dématérialisation, c’est l’image du NFT (c’est-à-dire sa représentation virtuelle) qui fait l‘objet de la transaction. Son support (c’est-à-dire le fichier numérique qui permet la représentation virtuelle) reste dans la blockchain.

Dissociation image-support : problèmes
Cette dissociation de l’image et de son support pose cependant des problèmes pratiques.
• Le premier problème est qu’il est difficile de commercialiser une image virtuelle. Le caractère dématérialisé de l’image est difficilement appréhendable par le juriste dès lors qu’en matière de chose, nos lois régissent essentiellement la possession et donc la détention matérielle : « En fait de meubles, la possession vaut titre » (4). Comment peut-on posséder une chose qui n’est qu’une image virtuelle ? La loi va devoir s’adapter à ce nouvel outil et elle commence à le faire. Jusqu’à récemment, la loi limitait la vente volontaire de meubles aux enchères publiques aux seuls biens mobiliers corporels (5), ce qui excluait en France notamment la vente aux enchères des NFT. Or, de telles ventes étaient possibles hors de France. Rappelons que Christie’s à New York avait vendu en mars 2021 le NFT « Everydays: the First 5.000 Days » pour plus de 69,3 millions de dollars (6). Depuis mars 2022, l’interdiction a été levée en France. L’article L320-1 du code du commerce a été modifié par la loi « Moderniser la régulation du marché de l’art » du 28 février 2022 (7). La preuve du dépôt dans la blockchain • Le second problème est de savoir comment accorder de la valeur à une image virtuelle et, ce faisant, comment s’approprier une image virtuelle. Pour être commercialisé, un NFT doit être exposé, et donc être visible de tous. A priori sa valeur ne résulte pas de son exposition. Même s’il est une représentation virtuelle, le NFT, pour être commercialisé, ne peut s’affranchir de tout support. Cette dissociation n’est donc pas totale dès lors que l’image virtuelle est en fait associée à un support unique. L’unicité du support – et donc sa valeur – résultera du fait qu’il sera désigné comme tel par l’auteur du NFT. Et ce, par un dépôt dans la blockchain. Même s’il peut exister plusieurs représentations d’un NFT sur un même type de support, seul sera unique le support du NFT qui aura été désigné comme tel par le créateur dudit NFT. Par exemple, un NFT peut être représenté sur un support extrêmement banal (une vidéo au format mp4 par exemple), copiable par milliers et, en même temps, être unique, parce que son créateur l’aura rendu unique en le déposant dans la blockchain. Cette unicité ne pourra pas être, en droit, remise en cause par l’acquéreur du NFT. En effet, en déposant dans la blockchain une autre copie en mp4 du NFT vidéo unique (notre exemple), ledit acquéreur n’en ferait qu’une contrefaçon
Tout le monde peut voir un NFT s’il est mis en ligne sur une plateforme dédiée, mais une seule personne peut se prétendre détentrice de la preuve du dépôt d’un support unique dans la blockchain. Le NFT permet donc de dissocier l’unicité de la détention du support de celle de la propriété matérielle. Il permet donc d’ajouter une nouvelle modalité à l‘unicité en déclarant le NFT comme tel par son dépôt dans la blockchain. Outre la difficulté du concept, le NFT s’échange en utilisant d’autres outils nouveaux. La commercialisation des NFT suppose d’utiliser un environnement numérique, lui-même source de complexité. En effet, qui veut comprendre le fonctionnement des NFT doit aussi s’initier à la création et l’usage du portefeuille électronique, ou wallet, qui permet en effet de stocker et gérer ses crypto-actifs de la même manière qu’un compte en banque. Mais aussi il doit savoir recourir aux smart contracts (8). L’utilisateur doit aussi de familiariser avec l’utilisation de la cryptomonnaie (monnaie numérique émise de pair-à-pair sur un réseau décentralisé et sans nécessiter de banque centrale), le tout déposé dans la blockchain (là encore sans intermédiaire centralisé).
Enfin, l’échange de NFT suppose le recours à des places de marché. Le NFT est actuellement commercialisé par le biais de plateformes dédiées (OpenSea, Binance, Sorare, …), lesquelles ont imposé leurs pratiques de commercialisation. La difficulté est que l’acheteur du NFT ne sait pas toujours ce qu’il achète, ni comment il l’achète. Les plateformes sont assez « pudiques » sur le sujet, n’offrant qu’un espace de commercialisation (9) et renvoyant aux deux parties le soin de définir la nature et les conditions de « l’échange ». C’est une place de marché qui, assez étrangement, ne fixe pas les conditions juridiques du marché.
Du fait de la nature même du NFT (une représentation virtuelle), toute transaction confère un droit qui n’est pas un droit de propriété contrairement à ce que laisse supposer le vocabulaire utilisé par les plateformes (« acheteur », « vendeur », etc.). Toute commercialisation n’est, en réalité, que l’octroi d’une licence d’utilisation restreinte temporaire donnée par le créateur du NFT à un souscripteur. Cette licence se transmet sur le marché primaire (cession initiale) ou sur le marché secondaire (cessions ultérieures).
S’agissant du marché primaire, la commercialisation suppose la réunion de trois conditions :
Le NFT doit être créé par un artiste ; il s’agit essentiellement d’une œuvre de l’esprit unique qui ne doit pas porter atteinte aux droits des tiers. Le support électronique utilisé pour reproduire ou représenter ce NFT peut être commun (comme un jpeg) ; Le NFT doit être déposé dans la blockchain, et faire l’objet d’un certificat de dépôt pour singulariser et authentifier le NFT. Le support de la représentation devient ainsi unique ; L’artiste doit transférer le NFT au client primaire contre une rémunération dans le cadre d’une licence d’utilisation du NFT, cette licence définissant les conditions dans lesquelles le titulaire peut utiliser le NFT.
S’agissant du marché secondaire, la commercialisation suppose la réunion de deux conditions :
Le client primaire cède son NFT à un client secondaire qui paye le prix net au client primaire et la rémunération directement de l’artiste (généralement 10 %) et le cas échéant, la rémunération technique à la plateforme ; L’artiste confère au client secondaire une nouvelle licence d’utilisation (celle du client primaire devenant caduque du fait de la nouvelle « cession »).

Lenteur d’un consentement éclairé
Par la conclusion d’un contrat de licence à chaque « cession », chacun saurait la réalité de ce qu’il achète et les transactions n’auraient pas à se faire obligatoirement en cryptomonnaie – ce qui supprimerait les risques consécutifs à ce type de moyens de paiement. Cependant, un tel processus est beaucoup plus lourd que les facilités offertes par les plateformes. Il faut donc choisir entre la lenteur d’un consentement éclairé ou la rapidité dans l’ignorance de la nature des droits acquis. @

Le marché unique du numérique et de ses données fait face à un foisonnement de textes législatifs

Publié le par

Les acteurs du numérique et de la data en Europe ne sont pas au bout de leur peine. Le marché est peut-être unique, mais la législation – en vigueur et à venir – est multiple. La mise en œuvre pratique des textes, souvent imbriqués, est complexe et peu intelligible. Petit aperçu de ce labyrinthe.

Si l’Union européenne (UE) a déjà pris plusieurs mesures depuis 2014 afin de faciliter le développement d’une économie des données (1), elle entend, dans le cadre de sa stratégie pour les données et des objectifs fixés pour la « décennie numérique » (2), compléter les textes existants afin de créer de nouveaux droits et obligations destinés à favoriser l’accès et le partage des données, le développement des technologies et la souveraineté numérique. D’où le foisonnement de textes législatifs qui vont bouleverser considérablement l’écosystème de l’économie numérique et des données.

Chantier de la « décennie numérique »
Les principaux acteurs concernés (notamment les fabricants d’objets connectés, les fournisseurs de services d’intermédiation de données et les prestataires de cloud) devront tenir compte de ces nouvelles obligations et anticiper leur entrée en application dans la conception de leurs solutions et de leurs produits, ainsi qu’au sein de leur documentation contractuelle. Pas si simple. Tour d’horizon de ces nouveaux textes :
• Data Governance Act (DGA). Ce règlement sur la gouvernance des données (3) a été adopté le 30 mai 2022 et entrera en application à partir du 24 septembre 2023, avec pour objectif de favoriser la disponibilité des données, de renforcer les mécanismes de partage et d’augmenter la confiance dans les intermédiaires de données. Ainsi, le DGA adresse trois grandes thématiques : conditions d’accès et de réutilisation des « données protégées » détenues par des organismes publics ; régulation des fournisseurs de services d’intermédiation de données ; régulation de l’utilisation altruiste des données. Sur le premier point, le DGA vient compléter la directive « Open Data » de 2019, mais ne crée pas d’obligation de mise à disposition pour les organismes publics (4). Il vient encadrer les réutilisations qui peuvent être faites de ces données protégées en veillant (5) à les préserver (6). Concernant les deux autres points, le DGA crée deux régimes spécifiques et dédiés pour les services d’intermédiation de données (7) et les organisations altruistes en matière de données (8). Les services d’intermédiation de données (data marketplaces ou data pool par exemple) seront soumis à une notification auprès d’une autorité compétente préalablement à tout début d’activité et auront notamment l’obligation de fournir les services selon des conditions équitables, transparentes et non-discriminatoires, de prendre des mesures pour assurer l’interopérabilité avec d’autres services d’intermédiation de données, de mettre en place des mesures de sécurité appropriées pour empêcher l’accès et le transfert illicite de données non-personnelles. Ils devront également notifier aux détenteurs de données en cas d’accès, de transfert ou d’utilisation non-autorisés aux données non-personnelles partagées. De leur côté, les organisations altruistes se verront notamment imposer la tenue d’un registre des utilisations des données, la publication d’un rapport annuel d’activité, des obligations de transparence vis-à-vis des personnes concernées ou des détenteurs de données (objectifs d’intérêt général, finalités des traitements) et de sécurisation des données non-personnelles.
Le DGA crée enfin un régime restrictif de transfert des données non-personnelles hors-UE similaire au régime prévu par le RGPD.
• Data Act (DA). Ce projet de règlement sur les données (9) a été soumis par la Commission européenne le 23 février 2022. Un objectif d’adoption ambitieux a été fixé à mi-2023, pour une entrée en application douze mois après son adoption. Il s’agit de faciliter l’accès aux données et leur utilisation, de favoriser leur portabilité, d’améliorer l’interopérabilité des solutions et infrastructures et enfin de favoriser la création de valeur autour de la donnée. Sont notamment impactés : les fabricants et distributeurs d’objets connectés et les fournisseurs de services connexes basés sur l’utilisation de données générées par ces objets, tout détenteur et destinataire de données, les prestataires et utilisateurs de services cloud (IaaS, PaaS, SaaS) ou encore les opérateurs de data spaces.

Portabilité des données et services de cloud Le DA prévoit notamment des obligations pour les fabricants ou distributeurs d’objets connectés qui viennent compléter les obligations d’information et de portabilité prévues par le RGPD, comme l’obligation d’informer leurs utilisateurs sur les données générées par l’usage des objets et les conditions d’accès et de partage de telles données, ainsi qu’une obligation de mise à disposition gratuite et prompte (le cas échéant en temps réel et continu) des données générées par des objets connectés à leurs utilisateurs ou à un tiers à la demande de l’utilisateur, et ce dans des conditions équitables, raisonnables, transparentes, non-discriminatoires et non-exclusives. Ces obligations sont complétées par des interdictions (par exemple des clauses restreignant les droits des utilisateurs d’objets ou des clauses abusives imposées aux petites et moyennes entreprises). Objets connectés, dossiers médicaux, … Le Data Act impose par ailleurs une série d’obligations aux prestataires de services cloud en matière de migration de données et d’interopérabilité (par exemple supprimer les obstacles commerciaux, techniques et contractuels empêchant le client de porter ses données, applications ou autres actifs numériques vers d‘autres prestataires ; assurer une période transitoire de migration de 30 jours avec assistance ; ou encore assurer la compatibilité de ses services avec les normes d’interopérabilité de la Commission européenne).
• European Health Data Space (EHDS). La proposition de règlement sur l’espace européen des données de santé (10) a été soumise par la Commission européenne le 3 mai 2022. L’UE entend adopter ce texte d’ici 2025, pour une entrée en application douze mois après sa publication. L’objectif est triple : établir les règles régissant l’espace européen des données de santé afin d’améliorer et garantir aux personnes physiques un accès sûr à leurs propres données de santé et un contrôle sur ces données dans le contexte des soins de santé (dite « utilisation primaire ») ; améliorer le fonctionnement du marché unique pour la mise au point et l’utilisation de produits et services de santé innovants fondés sur des données de santé, et veiller à ce que les chercheurs et les entreprises innovantes puissent tirer le meilleur parti des données de santé disponibles pour leurs travaux (dite « utilisation secondaire ») ; établir un cadre juridique uniforme pour le développement, la commercialisation et l’utilisation des systèmes de dossiers médicaux électroniques (DME). Dans le cadre de l’utilisation primaire des données, les citoyens de l’UE auront à leur disposition des droits et mécanismes supplémentaires complétant leurs droits existants au titre du RGPD sur leurs données de santé électroniques.
Concernant l’utilisation secondaire, le projet de règlement EHDS vient encadrer avec précision les pratiques des chercheurs et acteurs de l’industrie de santé (par exemple : limitation des catégories de données pouvant être utilisées, encadrement des finalités autorisées) et leur imposer des obligations (sécurité des solutions utilisées, transparence sur le calcul des redevances générées par l’utilisation secondaire).
• Artificial Intelligence Act (AIA). Cette proposition de règlement sur l’intelligence artificielle (11) a été soumise le 21 avril 2021 par la Commission européenne. L’adoption de ce texte est pressentie à horizon 2024, pour une entrée en application entre 18 et 24 mois après son adoption. Le texte vise à créer les conditions propices au développement et à l’utilisation d’une IA de pointe, éthique, sûre et digne de confiance dans l’UE. Pour se faire, l’approche est technologiquement neutre et le texte met en place des règles impératives, applicables de façon proportionnée en fonction des risques que présentent les systèmes d’IA concernés. Ainsi, les IA présentant un risque inacceptable pour les personnes sont interdites ; celles présentant un haut risque se voient imposer un certain nombre d’obligations; celles présentant un risque faible sont soumises à des obligations de transparence et d’information vis-à-vis des utilisateurs ; et enfin celles présentant un risque résiduel ne sont pas soumises au projet de règlement AIA, mais régulées par l’adoption volontaire de code de conduite et/ou de charte éthique (12).
• Digital Services Act (DSA) et Digital Markets Act (DMA). Un accord politique a été conclu sur le DMA (13) le 24 mars 2022 et sur le DSA (14) le 23 avril 2022, suivi d’un vote final au Parlement européen le 5 juillet dernier. Une fois adoptés respectivement en juillet et en septembre 2022, le DMA entrera en application six mois après l’entrée en vigueur, et le DSA quinze mois après l’entrée en vigueur ou à partir du 1er janvier 2024, la date la plus tardive étant retenue (15).
• Modifications de textes existants. Plusieurs autres textes sont également en cours de révision. La directive NIS (16) est modifiée par le projet de directive NIS2, dont le champ d’application a été considérablement élargi, puisqu’il vise désormais à réguler beaucoup plus d’organisations et entreprises et qu’il renforce les obligations à la charge des acteurs concernés en imposant notamment des obligations renforcées en termes de gestion des risques, de notification des incidents et de divulgation des vulnérabilités (17). La directive Machines (18) devient un projet de règlement Machines (19), visant principalement une numérisation de la documentation en la matière (instructions d’utilisation et déclaration) et la mise en place d’évaluations de conformité (pour certaines catégories de produits). De son côté, la directive ePrivacy (21), transformée en projet de règlement ePrivacy peine à voir le jour depuis la publication de sa première version en janvier 2017. De nombreux points restent encore et toujours en débat, notamment sur le régime applicable au dépôt de cookies et à la prospection commerciale.

Imbrication des textes parfois peu intelligible
Ces textes sont ambitieux et mêlent approche globale et sectorielle. Il en résulte une imbrication parfois peu intelligible des différents mécanismes et obligations pesant sur les acteurs qui multiplient souvent de nombreuses casquettes et entrent donc simultanément dans les champs d’application de plusieurs de ces textes. Bien qu’il soit louable de vouloir emboîter le pas au développement exponentiel de la valeur des données et du numérique, on peut s’interroger sur l’efficacité d’une telle multiplication de textes qui entraîne malheureusement la publication de textes peu aboutis, péniblement interopérables, voire difficilement transposables à la pratique des industries qu’ils visent. @