MegaUpload : UbicMedia et la question des droits d’auteurs sur les contenus multimédias

Sous ce titre, évidemment inspiré de l’actualité, lire par exemple http://bit.ly/wivoS4, nous voulons parler ici de deux des points qu’un créateur souhaite généralement que l’on ne fasse pas de son travail : modifier ou transformer son œuvre en le recopiant (droit moral) et le commercer ou faire commercer (droit patrimonial) sans qu’il ait son mot à dire. Cette problématique a existé de tout temps mais elle a été amplifiée avec l’avènement d’Internet et du Web qui proposent d’extraordinaires facilités en copie, en visibilité et en transfert de contenus audiovisuels et cinématographiques numérisés par tout un chacun.

L’évènement historique dans la jeune histoire d’Internet qu’ont constitué l’arrêt subit des DNS de la société MegaUpload et la destruction annoncée de données privées sur ces serveurs, couplé avec les débats autour des lois (en cours de) mises en place – SOPA, PIPA, ACTA, HADOPI – a mis en avant l’incroyable réactivité, dans un sens ou dans un autre, des internautes, des associations impliquées, des filières industrielles et des législateurs dès lors qu’il s’agit de droits d’auteur d’œuvres musicales, audiovisuelles, cinématographiques… Alors que certains détenteurs de propriétés industrielles auraient bien aimé que l’on s’occupe avec autant d’empressement et de force légale des contrefacteurs bien mis en avant, voire relayés, par les services « Shopping » des outils de recherche bien connus sur Internet. Le sujet est sensible.

Aussi pour les spécialistes, cet article est sans doute trop simplifié et l’auteur trop peu compétent pour débattre globalement des droits d’auteur. Je souhaite ici simplement initier et soumettre à discussion certains aspects qui touchent directement la distribution des contenus audiovisuels et cinématographiques numérisés sur Internet (pour un regard détaillé et complet de ce sujet, voir la thèse de Sophie Boudet-Dalbin soutenue le 12/12/2011 http://bit.ly/rDE0Z8). Mon premier souhait est de montrer qu’il serait particulièrement intéressant, pour approfondir ce sujet socio-économiquement très vaste, que des historiens spécialisés étudient les « comment cette problématique des droits d’auteur étendue à cette technologie de rupture, que sont les reproductions numériques et le medium Internet accessibles à tous, a été traitée lors de l’apparition de précédentes techniques de rupture » : de la photographie jusqu’au lecteur-enregistreur en passant par le scanner, de la TSF jusqu’aux transports électroniques en passant par le fichier numérique. A l’image de l’excellent numéro de la revue Les collections de l’Histoire d’octobre-décembre 2005 consacré à l’écriture : on y apprend que si la copie a toujours existé elle a été multipliée dès l’invention (ou popularisation) de la sténographie à la fin du XVIe siècle en Angleterre. A l’époque, il s’agissait surtout de rejouer les pièces des grands auteurs dans les provinces. De même, une étude historique sur le comportement socio-économique des consommateurs des œuvres serait tout aussi indispensable : aujourd’hui, une partie de la nouvelle génération se contente souvent de regarder des œuvres en très mauvaise qualité et/ou sans confort et il n’est pas sûr que ce soit dû à la seule gratuité. Je ne sais pas s’il en existe mais je suis convaincu qu’à défaut d’être complète, toute évolution légiférée ou qui nécessite une régulation ne peut être consistante « qu’à ce prix », qu’avec ce travail préalable.

A ce propos, Molière aurait-il été connu s’il n’avait pas été copié ? C’est une grande question qui en appelle d’autres sur notre sujet : les « téléchargeurs » illicites de films ne sont-ils pas de grands acheteurs de DVD ou de tickets de cinéma ? Ne font-ils pas partie des principaux acteurs du « bouche à oreille », le fameux « spray the word » que les spécialistes du « e-marketing » tentent de développer sur Internet ? Y-a-t-il eu des études sur ces questions ? Si nous revenons à l’actualité, le projet MegaUpload + UbicMedia aurait pu contribuer à répondre grâce aux millions d’usagers mensuels de MegaUplaod qui devait tester un modèle nouveau. Emmanuel Gadaix de MegaUpload a déclaré au Sénat le 11 janvier 2012 : « nous allons faire un essai avec eux (UbicMedia) pour la distribution d’œuvres et les mettre en place de manière totalement légale avec le contrôle complet des Ayants droit afin qu’ils puissent utiliser notre plateforme en tant que site d’hébergement et ainsi profiter de nos centaines de millions d’utilisateurs et de toute la présence globale que nous avons. », et j’ajoute, en permettant de tester tous les modèles socio-économiques possibles. Une étude européenne tend à montrer par exemple que de 10 à 20 % au moins des « téléchargeurs » dits illicites auraient payé l’auteur ou le producteur, ce qui représente un chiffre d’affaires égal voire supérieur au Box Office mondial.

Brièvement et très schématiquement, le terme « droits d’auteur » apparaît (pour la 1ère fois) en 1838 en France et tend à s’internationaliser avec la Convention de Berne à partir de 1886 signée par 10 pays puis jusqu’à environ 180 pays en 2009. Elle a donné une position centrale à l’auteur, alors que le « copyright » anglo-saxon s’attache à la protection de l’œuvre elle-même. Les droits ont été étendus et renforcés avec les nouvelles technologies durant le XXe siècle. En ce siècle, ils sont plutôt remis en cause car l’essor de cette dernière rupture, l’économie numérique, semble donner naissance (ou libérer ?) à de nouveaux comportements socio-économiques aussi bien des auteurs que des consommateurs au détriment de filières intermédiaires. Ces dernières doivent faire face à ce nouveau paysage ; schématiquement, elles ne peuvent que s’orienter vers une concentration de ses propres acteurs y compris les sites de VoD (catalogues, « agrégateurs »…) qui n’ont fait que reproduire grâce à l’application Web au-dessus d’Internet, le modèle antérieur : producteurs, agents internationaux, distributeurs locaux, exploitants et en gardant partiellement ou totalement les règles d’exclusivité. C’est le règne des hyper-marchés Web, du e-commerce étendu aux biens immatériels. Le mode de répartition légale et équitable des revenus pour les Ayants droit y est presque insoluble dans ces modèles qui généralement demandent au consommateur de s’abonner au site et non d’acheter un visionnement du contenu. Elle est généralement complétée par une répartition elle-même très difficilement contrôlable des revenus publicitaires. Elle est de plus amputée des coûts de mis en avant marketing des contenus dans ces mêmes sites !

Encore schématiquement, s’agissant du bien matériel en Amérique du Nord, le leader NetFlix et d’autres ont profité de la « first sale doctrine » qui lui permet d’acheter des DVD puis de les louer « physiquement » à volonté sur Internet sans rien devoir ni avertir les Ayants droit de toute nature. Il en est de même pour la revente de DVD par les Musées, leur location par les Médiathèques, etc… En Europe et autres régions, cela n’est pas légal, et cela a participé aux fameux débats sur la copie privée. Lorsque NetFlix a étendu son site de location de DVD à la fonction de VoD, ce principe ne pouvait plus s’appliquer, d’une part parce que cette doctrine ne s’applique qu’aux biens matériels et d’autre part parce qu’elle suppose une utilisation unique simultanée du DVD acheté. Principe difficilement prolongeable sur un site Web de VoD : imagine-t-on chacun des centaines voire des milliers d’internautes devant attendre que tous les autres internautes ayant déjà acheté le droit de voir aient fini de le voir ! C’est alors le retour aux marges garanties (voir l’article des Echos des Finances n° 20990 du 8 août 2011 sur la mésaventure de NetFlix avec Starz qui possédait 22% des contenus mis en VoD) et donc la recherche d’un prix de revient soutenable, prix déjà amputé par les coûts des techniques centralisées de streaming sur Web. En dehors peut-être de la concentration et de ses revenus publicitaires, ce modèle devient insoutenable.

Une piste, peut-être saine, pour une évolution complète et consistante de la distribution et les visionnements des contenus numériques à valeur marchande sur Internet, rappelons que c’est notre propos ici, est de considérer comme postulat qu’Internet est un nouveau medium pour un nouveau marché, totalement complémentaire au Cinéma et TV, comme l’ont été et démontré par leur immense succès, le VHS, le CD et le DVD qui pourtant nécessitaient l’achat d’équipements à la maison. Dans ce cas, si l’on revient à nos deux préoccupations de l’introduction, un auteur ou producteur de cette génération pourrait imaginer :

« (a) En ce qui concerne la reproduction de mon œuvre, j’accepte une certaine transformation afin que le fichier de mon contenu numérisé (pseudo-master numérique) puisse être diffusée vers le plus grand nombre des internautes (droit de reproduction) et je contrôle cette qualité (droit moral). »
« (b) En ce qui concerne mes revenus sur la vente et re-vente des visionnements de mon œuvre respectant mon travail créatif ou d’édition, (b.1) soit j’en demande un prix suffisamment élevé pour que j’accepte qu’elle soit revendue ou relouée par les acquéreurs sans que je n’y ai rien à dire, mais je contrôle encore la qualité de mes images (droit moral), mon copyright (droit de reproduction) et les audiences (extension de la « first sale doctrine ») (b.2) soit je détermine un prix de vente compatible avec les prix Internet (forcément inférieur au prix d’entrée d’une salle qui offre le fauteuil, le grand écran, les services annexes et l’environnement social) mais je peux exercer à tout moment mon droit opposable (« droit de suite ») sur toute revente sous forme de retour monétaire ou de royautés accordés au revendeur ou prescripteur internaute, voire même en contre-partie d’actions marketing de type « spray the word » par exemple. »

Ceci revient à considérer Internet comme une salle de cinéma universelle où se côtoient tous les films dont la visibilité dépendra des internautes eux-mêmes : les fans sur les réseaux sociaux, les blogueurs prescripteurs, les auto-distributeurs comme les hébergeurs ou les utilisateurs de réseaux P2P, ou encore les professionnels en marketing ou agences de communication spécialisés dans le numérique. Ce marché existe réellement potentiellement en terme de comportement des internautes : diverses études tendent à démontrer d’une part que 2/3 des internautes acheteurs ou vendeurs sur Internet le seront encore plus activement s’ils peuvent à la fois acheter et vendre et d’autre part qu’entre ½ et 2/3 des internautes achèteraient volontiers sur le conseil d’« amis » dans les réseaux sociaux.

En continuant l’analogie avec les spectateurs en salle de cinéma, l’accès au film sera donc un ticket d’entrée dans une salle virtuelle qui fonctionne 24/24 et depuis n’importe quelle connexion Internet. Ces tickets à usage unique peuvent être achetés par lot et revendus ou … la créativité sera de mise sur ce point. Le Créateur peut demander à ce qu’un usage soit multiple (par exemple l’équivalent du déchirement des quatre coins d’un ticket…). Un ticket peut être aussi un carton d’invitation à une séance privée entièrement contrôlée par l’Ayant droit.

Enfin, les visionnements ainsi achetés ou permis sur invitation doivent pouvoir être consommés par tout un chacun quelque soit la connexion Internet disponible : si la connexion d’un Internaute est supérieure au taux d’encodage du film décidé par le Créateur, alors il peut le voir immédiatement, si elle inférieure, il devra attendre plus ou moins longtemps avant de commencer de voir mais à la même qualité que celle désirée par le Créateur (droit moral). Si le film est sur dispositif hardware (clés usb, hdd, dvd…), le film sera vu immédiatement.

Ce système respecte les « droits de suite » de tout Créateur ou de ses représentants (Ayant droit) et peut être utilisé pour une « first sale doctrine » étendue à Internet pour les sites de e-Commerce de contenus numérisés virtuels. En effet, les technologies architecturales (sécurité système) peuvent permettre de garantir la pérennité du quadruple lien (sécurité métier) entre l’Ayant droit, le contenu numérisé, l’internaute (même anonyme) et, s’il y a, le(s) revendeur(s)/prescripteur(s), où que se trouve le contenu et quelque soit le dispositif de visualisation (sécurité applicative).

Pour conclure et en espérant une suite à cet article clairement conduit par l’actualité donc forcément incomplet et teinté de subjectivité, citons la Spedidam, société de perception et de distribution des droits des artistes-interprètes, qui écrit (29/01/2012) en concluant son rapport 2011 : « Les plateformes de diffusion de musique sur Internet, comme celles qui ont été labellisées en 2011 par Hadopi, font un commerce légal mais inéquitable. » Dans cette voie de plateformes Web e-Commerce, il est certain que dans l’audiovisuel et le cinéma où les droits sont très complexes, « l’inéquitabilité » deviendrait la règle et la « légalité » incontrôlable (voir à ces sujets, la newsletter du 6/02/12 d’Electronlibre.info).
Ce qui serait dommage car Internet, qui a été pour beaucoup d’acteurs de la filière Cinéma qualifié de cause de toutes les dérives, contient et peut fournir en fait la solution à un niveau qui n’a jamais été atteint pour le bénéfice des Auteurs et des Ayants droit.

C’est ce type de solution, qui provient de 4 ans de recherches totalement orientées vers les Créateurs et Ayants droit « internautes » et vers une expérience confortable des internautes spectateurs, qu’offre le système PUMit de ma société UbicMedia. Cette solution est proposée, en Amérique du Nord et dans les pays BRIC, aux éditeurs de sites de partage et gestion de documents (un partenariat a commencé avec BOX, un des leaders américains), aux studios producteurs et distributeurs (un partenariat a été signé avec Starz Media et elle est étudiée et proposée aux Majors), aux éditeurs d’outils de Post-Production, aux sociétés de e-marketing (un accord est signé avec CrowdStarter) et aux hébergeurs offrant des services comme Amazon, Akamaï, EMC et bien sûr MegaUpload qui nous a contactés dans ce contexte pour devenir la plus grande salle de cinéma du monde, pleinement légale et équitable puisque contrôlée par les Ayants droit eux-mêmes. Déjà, en ce début d’année, UbicMedia devait y mettre pour le compte de Starz Media des séries numérisées traitées par PUMit et ainsi bénéficier immédiatement des millions de spectateurs mensuels potentiels !

Dans cette affaire MegaUpload doté du système PUMit, les Créateurs ont perdu une excellente solution pour commercialiser leurs œuvres, sans doute la plus grande salle de cinéma dont ils pouvaient rêver. Les sites de VoD « online » ont gagné une concurrence en moins et s’attachent à récupérer cette audience, ce qu’ils affirment observer ces jours. C’est peut-être bien là un aveu que des utilisateurs de sites dits illicites mais de qualité accepteraient de payer s’ils y trouvaient légalement les films qu’ils recherchent ou qui leur sont proposés. Clairement, leur motivation ou le fait de leur entrée sur ces sites n’était pas du tout seulement la gratuité. Pourquoi donc ? est la seule et bonne question pour déterminer les nouveaux modèles socio-économiques sur Internet.

Alain ROSSET, président d’UbicMedia SAS et INC.

Fragilité de l’Internet : l’illustration Megauplaud

Internet est une merveille, incontournable et indispensable. L’impact sur nos modes de travail est tel que se remémorer nos coutumes vieilles de seulement quinze ans nous ramène à un autre temps. Souvenez-vous :
les fax remplaçaient avantageusement les télex.
Mais, car il y a un mais : imaginez maintenant qu’Internet vous soit bridé, voire retiré. Bien plus qu’une simple frustration c’est votre activité quotidienne et professionnelle qui s’en trouvera affectée.

Or Internet est un être fragile. Non, pas seulement à cause de grippages ou congestions passagères. Deux écueils au moins sont identifiés. Le premier est lié au mode de routage entre les réseaux, construit sur un principe d’annonces (protocole BGP) et ouvert à toute déclaration fallacieuse à même de détourner le trafic. Le deuxième nous intéresse plus particulièrement ici. Il s’agit de l’attribution des adresses IP d’Internet et de la gestion des serveurs de nom de domaine où toute erreur éteint les domaines affectés. Cette tables sont sous l’autorité d’un organisme, l’ICANN. À lui le pouvoir de dire non, en l’occurrence de "blacklister" un site jugé indésirable. La rapidité de la coupure de MegaUpload illustre ce pouvoir absolu.
Entendons-nous bien : Internet ne peut fonctionner que dans la mesure où il n’y a pas d’ambiguïté sur les adresses des machines qui y sont connectées. Il faut un chef. De même qu’en 1883 la nécessité d’une configuration arbitraire pour établir la longitude 0° ne portait pas à discussion – et ce fut Greenwich – on pressent qu’une gestion centralisée des adresses Internet est un point de passage obligé. Dont acte.

Bien. Sauf que le bât blesse quand cet organisme n’est pas indépendant mais sous l’autorité d’un Êtat. Il nous faut alors quitter le modèle Greenwich pour nous rapprocher d’un autre comme le réseau de satellites GPS. Nous sommes largement tributaires de services – heure, localisation
– dont la précision est à la discrétion des États-Unis. Vite, Galileo !
Soyons plus précis. L’ICANN a sous sa responsabilité l’IANA qui gère les adresses IP. Et l’IANA est sous contrat avec le DOC. Non, ce n’est pas un fichier Word, c’est l’United States Department of Commerce. Le Ministère du Commerce, si vous préférez. Ainsi, en ne caricaturant que peu : toute présence sur Internet est soumise au bon vouloir du Ministère du Commerce des États-Unis. Vite, libérons l’ICANN !

Mais que me dit-on ? MegaUplaud était fin prêt pour le lancement d’une nouvelle offre commerciale ? Rassurez-moi, il n’y a là aucun lien ?

Internet : indispensable mais ô combien fragile !

Jacques BAUDRON, Secrétaire Adjoint Forum Atena, jacques.baudron (at) ixtel.fr

Compte-rendu – "De la loi du silence à l’ordonnance du 24 août 2011"

Préambule

Le président de l’association « Forum Atena » accueille les participants pour l’intervention assurée par le cabinet d’avocats Iteanu et plus particulièrement par maître Raoul Fuentes.

Les propos qui suivent sont tirés de la transcription de cette intervention.

Exposé

L’Ordonnance n°2011-1012 du 24 août 2011 relative aux communications électroniques est un texte ayant valeur de loi élaboré par le pouvoir réglementaire sur autorisation expresse du parlement français. Elle transpose le « Paquet Télécom », comportant notamment la directive européenne 2009/136/EC du 25 novembre 2009.

L’ordonnance du 24 août 2011, par les obligations qu’elle intègre à la législation sur les données personnelles, est une révolution dans le domaine de la sécurité informatique : la pratique de la loi du silence en cas d’attaque ou de fuite(s) de données cède désormais la place à l’obligation légale de divulgation des manquements constatés à la sécurité des données personnelles.

Pour saisir la portée de cette modification légale, il est intéressant de remonter à sa source et de comprendre l’esprit dans lequel cette obligation a été prévue.

Genèse de l’obligation

La directive européenne 2002/58/EC (directive "vie privée et communications électroniques") posait en réalité le cadre de cette obligation. Dans son considérant 20 le législateur européen indiquait « qu’il convient que les fournisseurs de services prennent les mesures appropriées pour assurer la sécurité de leurs services, le cas échéant conjointement avec le fournisseur du réseau, et informent les abonnés des risques particuliers liés à une violation de la sécurité du réseau. De tels risques peuvent notamment toucher les services de communications électroniques fournis par l’intermédiaire d’un réseau ouvert tel que l’Internet ou la téléphonie mobile analogique. »
La directive 2002/58/EC précise par ailleurs en son article 4 traitant de la sécurité que :
« 1. Le fournisseur d’un service de communications électroniques accessible au public prend les mesures d’ordre technique et organisationnel appropriées afin de garantir la sécurité de ses services, le cas échéant conjointement avec le fournisseur du réseau public de communications en ce qui concerne la sécurité du réseau. (…).
2. Lorsqu’il existe un risque particulier de violation de la sécurité du réseau, le fournisseur d’un service de communications électroniques accessible au public informe les abonnés de ce risque (…) .
En clair le fournisseur d’un service de communication doit garantir la sécurité de ses services.
La directive 2009/136/EC à l’origine de l’ordonnance du 24 août 2011 confirme cette obligation et la précise. La lecture de son considérant 59 traduit une volonté du législateur européen de donner à cette obligation une portée très étendue : « (…) Les exigences relatives à la notification des violations de données à caractère personnel figurant dans la directive 2002/58/CE (…) offrent une structure pour la notification aux autorités compétentes et aux personnes concernées lorsqu’il y a eu, malgré tout, violation des données à caractère personnel. Ces exigences de notification sont limitées aux violations de sécurité intervenant dans le secteur des communications électroniques. Cependant, la notification des violations de sécurité traduit l’intérêt général des citoyens à être informés des violations de sécurité qui pourraient se traduire par la perte ou la violation de leurs données à caractère personnel (…) L’intérêt des utilisateurs à être informés ne se limite pas, à l’évidence, au secteur des communications électroniques, et il convient dès lors d’introduire de façon prioritaire, au niveau communautaire, des exigences de notification explicites et obligatoires, applicables à tous les secteurs. Dans l’attente d’un examen, mené par la Commission, de toute la législation communautaire applicable dans ce domaine, la Commission, après consultation du contrôleur européen de la protection des données, devrait prendre les mesures appropriées pour promouvoir, sans retard, l’application, dans l’ensemble de la Communauté, des principes inscrits dans les règles relatives à la notification des violations des données contenues dans la directive 2002/58/CE (directive "vie privée et communications électroniques"), quel que soit le secteur ou le type de données concerné. »

L’article 2 c) de la directive précise la directive de 2002, en introduisant les notions de « violation de données à caractère personnel », une définition des services concernés, et les modalités de l’obligation de notification qui sont reprises par l’Ordonnance.
Il est intéressant de noter que cette initiative communautaire visant à protéger les personnes physiques en Union Européenne n’est pas une première. Ce type d’obligations de notification existe ainsi par exemple aux Etats-Unis dans de nombreux Etats, le premier à s’être doté d’une telle législation étant la Californie avec son « California Security Breach Notification Act » de 2002, qui vise à contraindre les sociétés collectant des données personnelles à notifier l’existence d’une brèche dans la sécurité de leurs systèmes, à en notifier l’existence à chaque personne présente dans leur base de données.

Mise en œuvre : qui, quoi ?

Le texte résultant de l’Ordonnance pose une difficulté d’interprétation quant à sa portée.
Dans une interprétation restrictive du texte partagée par certains commentateurs, les traitements concernés étant désignés par l’Ordonnance, reprenant les termes de la Directive comme les « traitements mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux », et ces commentateurs relevant que la Directive de 2009 relève du « Paquet Télécom », considèrent que les personnes concernées par cette obligation seraient seulement les opérateurs de communication électronique.
Nous ne partageons pas cette analyse. En effet, si le législateur avait voulu limiter l’obligation de notification aux opérateurs de communication électronique, il aurait fait usage de ce terme, ce qu’il n’a pas fait. Le terme d’opérateur est très précisément défini à l’article L 32  15°(Chap. Ier Définitions) du Code des Postes et Communications Electroniques « On entend par opérateur toute personne (…) exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques ».
La Commission Nationale de l’Informatique et des Libertés (CNIL) a, par ailleurs, également tenu à préciser dans son communiqué de presse diffusé suite à l’entrée en vigueur du texte, qu’à son avis qu’il fallait entendre par fournisseur « essentiellement les opérateurs déclarés à l’ARCEP », ce qui signifie selon nous que la CNIL indique bien elle-même que les opérateurs ne sont pas les seuls concernés. Bien entendu, la CNIL va forger sa propre doctrine sur l’application du texte dans les mois à venir par la pratique des dispositions de la loi, qui l’impliquent directement dans le processus de notification, comme nous allons le voir.

D’autres éléments nous semblent plaider pour une interprétation étendue au-delà des seuls opérateurs :

• L’Ordonnance introduit cette obligation dans un nouvel article 34 Bis de la Loi Informatique et Libertés, c’est-à-dire dans une partie de la loi décrivant les obligations de sécurité imposées à tout responsable de traitement,
• C’est probablement le sens de l’histoire, et l’intention, en tout état de cause, du législateur européen, que d’étendre à terme cette obligation à tous les secteurs.

Le contenu de l’obligation de notification telle qu’elle résulte de l’ordonnance

Que dit la loi française et plus particulièrement la loi dite « Informatique et Libertés » de 1978 sur le sujet ?

• Rappel : l’obligation de sécurité

Il faut rappeler ici que l’article 34 de la loi, qui existe depuis l’origine de la loi en 1978, prévoit une obligation de sécurité à la charge de tout responsable de traitement de données personnelles en ces termes : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. ».
Cette obligation est sanctionnée pénalement, en cas de non-respect par le responsable du traitement, par des peines maximales de cinq ans d’emprisonnement et de 300 000 Euros d’amende (Article 226-17 du Code Pénal).
Les dispositions nouvelles introduites par l’Ordonnance en article 34 Bis, concernent des cas où les mesures de sécurité (appropriées selon la nature des données et les risques) qui devraient être mises en oeuvre se sont avérées en tout état de cause insuffisantes pour empêcher une violation.

• Définitions des traitements concernés et du concept de « violation »

L’article 34 Bis nouveau de la loi n° 78-17 du 6 janvier 1978 définit le champ d’application de l’obligation de notification en indiquant que « Le présent article s’applique au traitement des données à caractère personnel mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification. »
Puis l’article définit le terme de « violation », l’obligation de notification portant sur les cas constatés de violations de données à caractère personnel, en ces termes :« on entend par violation de données à caractère personnel toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques. »
Comme on le voit, la « violation » qui déclenche l’obligation de notification n’est pas uniquement le cas d’une attaque externe ou d’un accès indû, mais aussi le cas de perte des données ou d’altération même accidentelle.
Ainsi, si une perte de données personnelles résulte d’un dysfonctionnement (bogue) d’un logiciel, cet événement devrait faire partie de ceux devant faire l’objet d’une notification au sens de la loi.

• Obligation de notification à la CNIL

Le texte poursuit en indiquant que « II. – En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l’informatique et des libertés. ».
Cette obligation de notification à la CNIL est systématique et doit être faite dès connaissance de la violation.
Le non-respect de l’obligation est sanctionné pénalement par l’article 226-17-1 du Code Pénal, comme indiqué ci-après.
Les termes « sans délai » suggèrent que le responsable du traitement victime de cette violation a intérêt à se préserver la preuve de la date de cette notification, et d’envoyer sa notification par lettre Recommandée avec AR.

• Obligation de notification à la personne concernée

Le texte prévoit en outre, une obligation de notification à la personne physique concernée par la violation des données personnelles en ces termes : « Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une autre personne physique, le fournisseur avertit également, sans délai, l’intéressé. ».
Là aussi, la notification doit être faite sans délais et cette obligation est sanctionnée par les mêmes peines de l’article 226-17-1 du Code Pénal, comme indiqué ci-après. On voit que l’obligation de notification s’applique, et bénéficie à la personne concernée, que cette personne soit en contrat avec le fournisseur (« abonné ») ou non.
Une exception est toutefois prévue par le texte à cette obligation de notification à la personne concernée : « La notification d’une violation des données à caractère personnel à l’intéressé n’est toutefois pas nécessaire si la Commission nationale de l’informatique et des libertés a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation. ».
Ainsi, dans le cas où le responsable du traitement est en mesure de prouver à la CNIL que les données personnelles concernées par la violation étaient chiffrées, le responsable du traitement n’est pas tenu de notifier l’existence de la violation aux personnes concernées.
Au vu des éléments qui lui sont communiqués, la CNIL peut tout de même estimer que ces conditions ne sont pas réunies et enjoindre le responsable du traitement à notifier la violation aux intéressés.
C’est ce que prévoit le texte lorsqu’il indique « A défaut, la Commission nationale de l’informatique et des libertés peut, après avoir examiné la gravité de la violation, mettre en demeure le fournisseur d’informer également les intéressés. »

• Sanction pénale du non-respect des obligations de notification

L’article 226-17-1 du code pénal nouveau dispose en effet que « Le fait pour un fournisseur de services de communications électroniques de ne pas procéder à la notification d’une violation de données à caractère personnel à la Commission nationale de l’informatique et des libertés ou à l’intéressé, en méconnaissance des dispositions du II de l’article 34 bis de la loi n° 78-17 du 6 janvier 1978, est puni de cinq ans d’emprisonnement et de 300 000 € d’amende. ».

• Obligation de tenue d’un registre des violations

Le texte prévoit enfin que « III. – Chaque fournisseur de services de communications électroniques tient à jour un inventaire des violations de données à caractère personnel, notamment de leurs modalités, de leur effet et des mesures prises pour y remédier et le conserve à la disposition de la commission. »

Réflexions sur ces nouvelles obligations

Par l’effet de ces dispositions, la CNIL doit être dans « la confidence » de l’incident constitutif de la violation de sécurité, et ce rapidement.

Mécaniquement, le rôle de la CNIL sera ainsi, in fine, de vérifier que le prestataire de services ayant collecté ou traitant les données personnelles se préoccupe concrètement de mettre en œuvre des mesures visant à garantir la sécurité des informations personnelles qu’il détient.

Le texte comporte quelques imprécisions notamment le contenu de la notification reste vague : doit-il comporter une description de la faille ainsi que les moyens d’y remédier ? Le texte ne le précise pas. Il est probable que la CNIL exigera ces explications et plus particulièrement le descriptif des moyens mis en œuvre pour y remédier.

Le responsable du traitement est en position délicate : il doit signaler à la CNIL une violation qui peut, le cas échéant, être révélatrice d’un manquement de sa part à ses obligations de sécurité. C’est pourquoi nous pensons qu’il voudra, en tout état de cause montrer, pour échapper à cette responsabilité :

• que des mesures de sécurité étaient en place et qu’elles étaient, a priori appropriées
• qu’elles ont été inefficaces pour des raisons indépendantes de sa volonté
• et qu’il a déjà arrêté les mesures appropriées pour remédier au problème et éviter qu’il ne se reproduise à l’avenir

Des incertitudes demeurent notamment sur la définition exacte de la notion de fournisseur de services. On pourrait aussi rapprocher cette notion du type de celles de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) définissant ainsi « Les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne ». Ces définitions sont communément considérées comme se référant à des intermédiaires techniques. Certains juges ont ainsi pu appliquer ces définitions non seulement à des fournisseurs d’accès à l’Internet, mais aussi à des entreprises mettant à la disposition de leurs salariés un accès(1), ou s’agissant de l’intermédiaire d’hébergement, non seulement l’hébergeur au sens strict, mais aussi toute personne offrant des fonctions de stockage de données mises à disposition d’un public (Web 2.0).

Cette approche de ces textes par la jurisprudence laisse penser que l’interprétation restrictive de l’article 34 Bis pourrait ne pas être retenue par des juges lesquels pourraient être tentés d’élargir la notion de fournisseur de services à toutes personnes exerçant une fonction de fourniture de services de communications électroniques, selon les circonstances et les faits de l’espèce, plutôt que de s’arrêter à celles ayant un statut d’opérateur au sens strict. Tout comme la LCEN, le texte intégré dans la loi par l’Ordonnance ne se réfère pas à une définition statutaire, mais à une définition fonctionnelle de l’activité.

Il peut être noté aussi que, même en faisant une application littérale du texte et de la définition de « fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public », nous pensons qu’il pourrait être facilement considéré, par exemple, qu’un site Internet qui mettrait à disposition des visiteurs des fonctionnalités de publication de commentaires, pourrait être considéré comme un tel fournisseur.

De même, par extension de cette logique, il pourrait être prudent de considérer que tout détenteur de données à caractère personnel sur un réseau « on line » doit se préparer à respecter les obligations de notification en attendant que l’interprétation du texte soit clarifiée par les juges et par  la doctrine de la CNIL en la matière.

Dans la situation actuelle d’incertitude, certaines entreprises auront une attitude prudente et notifieront, d’autres pas, ce qui pourra donner lieu à des contentieux.

Les recommandations de la CNIL, sa pratique et doctrine, ainsi que des premières jurisprudences sont bien sûr attendues et ne tarderont pas à dessiner les contours de cette nouvelle obligation de notification.

Pour terminer, l’esprit de la loi vise avant tout la sanction de la négligence et de l’indifférence des acteurs utilisateurs de données à caractère personnel en les mettant face à leurs responsabilités, face à la CNIL et aux personnes concernées. Communiquer l’existence de la violation de la sécurité, signifie y faire face.

En cas de violation de la sécurité des données personnelles, la passivité des responsables des traitements concernés est désormais sanctionnable.

Téléchargez les présentations de cette session d’information en ligne.

Raoul Fuentes – Avocat Cabinet Iteanu

Mythes & Légendes des TIC : la liberté de parole sur internet

Ceci est un extrait du livre collectif "Mythes et légendes des TIC" développé dans le cadre de l’association Forum ATENA, en rapport avec le sujet de cette lettre "Les moteurs de recherche".

Si vous désirez obtenir la version complète PDF la plus récente du livre "Mythes et légendes des TIC", il est téléchargeable en :
http://www.forumatena.org/LB47/MythesEtLegendesDesTIC1605.pdf

Si vous désirez commander la version papier c’est sur :
http://www.lulu.com/product/couverture-souple/mythes-l%C3%A9gendes-des-tic/15739496?productTrackingContext=author_spotlight_3412151_

MYTHE N° 2 :
LA LIBERTE DE PAROLE EST SANS LIMITE SUR INTERNET, ON PEUT TOUT DIRE
La diffamation est un fait pénal relativement mal connu dans son mécanisme bien que pourtant souvent cité à tout propos par ceux qui se trouvent pris dans les rets du débat public. Prévue par l’article 29 de la loi de 1881 sur la presse, l’infraction de diffamation repose essentiellement sur l’intention de son auteur d’attenter à l’honneur ou à la considération de la personne visée. Elle se rencontre communément dans toutes les conversations, quel qu’en soit le sujet, quels qu’en soient les participants. Si le législateur s’est pourtant emparé de la question au sujet de la presse, c’est qu’un propos mal calibré livré au cours d’une conversation animée ne recèle pas le même danger lorsqu’il est imprimé – donc fixé – et par voie de conséquence accessible à un plus grand nombre et sur une plus longue période. La ruine d’une réputation, la destruction potentielle d’une vie, d’une famille, d’une institution apporte un désordre social que le législateur doit corriger en apportant une restriction à la liberté d’expression.

Cette liberté d’expression, si chère aux constituants de 1789, semble l’être encore plus à tous les adeptes pratiquants de l’internet. Suivant un raisonnement que n’aurait pas renié Karl Marx, la combinaison de la technologie numérique et la libre accession à l’information et à « la culture » permettrait enfin de pouvoir exercer pleinement cette liberté restée formelle avant l’avènement des réseaux internet. Ce double pari s’appuyant toujours invariablement sur la technique (rapidité de la diffusion, de la duplication, de la reproduction) pour soit échapper au juge soit le placer devant le fait accompli.
La diffamation sur internet se rencontre essentiellement dans les forums, les newsgroups, les « sites communautaires 2.0 ».
En France, on peut parler de matrice diffamatoire avec l’affaire dite « Altern » ou encore « Estelle Halliday » en 1998. Bien que traitant de la protection de la vie privée (article 9 du code civil français), cette affaire mis en lumière ce que la liberté de publication puis de parole (cf. les propos tenus pour justifier la mise en ligne puis pour critiquer l’ordonnance rendue par le TGI de Paris) pouvaient avoir de destructeur. La présentation d’un mannequin célèbre dans son plus simple appareil assorti de commentaires à vocation masturbatoire plantait le décor d’une controverse qui déborda bientôt le cadre de la diffamation pour atteindre celui du statut de l’hébergeur (encore mal résolu à ce jour).

Le web2.0 se développe assez largement sur le mythe de l’impuissance du juge sur internet, incapable de « censurer » la liberté d’expression ou seulement d’appliquer une loi plutôt qu’une autre.

Ce mythe se fracassa notamment en 2002 avec l’emblématique affaire « Père-Noël.fr » et le forum « défense-consommateur.org » qui vit les propos outranciers tenus censurés par le juge et son auteur sévèrement condamné. La technique du constat d’huissier avait facilement permis de surmonter la prétendue difficulté du numérique.
Reste que la diffamation a encore de beaux jours devant elle sur internet. La nécessité de supprimer toute contrainte dans l’expression de la parole rencontrant la nécessité de trouver des financements pour les sites 2.0 (par la publicité notamment et donc par l’affichage de pages vues) fait peser une nouvelle menace sur l’application de ce régime injustement accusé d’être censeur alors qu’il n’est qu’un prolongement de l’article 11 de la Déclaration Universelle des Droits de l’Homme et du Citoyen de 1789.

Jean-Claude Patin, Juritel